回避力の高いin2al5d p3in4er

マルウェアローダーはその名前の通り、マルウェアを被害環境に取り込む部分を実行するマルウェアです。
いろいろな小さなマルウェアをあたかも部品を組み合わせるように構成し、全体として新しい攻撃キャンペーンを作り出します。
そんな風に使われる部品の一つに、回避力の高いマルウェアローダーが観測されています。
そのローダーの名前はマルウェアの機構の中にある文字列から名前を付けられ、in2al5d p3in4erと呼ばれます。
in2al5d p3in4erは、invalid printerでしょうか。

• 入口はYouTube
  攻撃者はさまざまなツールを使って攻撃を構築していきます。
  今回の攻撃では、AIを使って動画を生成します。
  生成された動画は悪意のあるコンテンツの配置されたWebサイトやダウンロードへのリンクを含む動画となっています。
  生成された動画の配信には、人気のあるYouTubeアカウントを使います。盗んだアカウントです。
  動画の到達性を高めるために、攻撃者は検索エンジン最適化 (SEO) タグを使用しますので、誘い込まれる人は多くなります。

• ローダーの目的
  今回観測されている例では、ローダーが取り込むマルウェアはAuroraインフォスティーラーです。

• ローダーの回避機構その1
  ローダーは検出の回避のため、環境のビデオカードの情報を確認します。
  検出されたビデオカードのベンダーIDを確認し、マルウェアがあらかじめ持っているリストにない場合、活動を中止します。
  dxgi.dllライブラリのCreateDXGIFactory関数を利用して実装された非常にシンプルな小さな機構です。
  ですがこれがサンドボックスでの検査の機構を回避することに使われます。

• ローダーの回避機構その2
  ローダーはC++のコンパイラーでコンパイルされた実行ファイルになっています。
  このコンパイルする環境に、Embarcadero RAD Studioという統合開発環境を選択しています。
  この統合開発環境では、C++コンパイラに対してさまざまなコンパイルオプションを設定することができるようになっています。
  そして他の開発環境で通常よく利用されるライブラリとは異なるものを使用するように構成されていることから、出来上がったバイナリは通常よくある動きとは異なる動きをするものが出来上がることになります。
  このことが、セキュリティベンダーが想定する疑わしいコードブロックを特定する機構などが意図した動きをすることの妨げになっています。

ローダーの回避機構その1そのものは別の攻撃でも使われる手法ですが、これらの複数の回避機構が合わせて使用されることで効果を向上させることができてしまっています。
現状ではVirusTotalでの検出率が非常に低い状態となっています。

これから各セキュリティ対策ベンダーの研究が進んでいくことになると思いますので検出率が改善されていくことを期待しますが、それまではそもそもの入口で引っかからないようにすることで対策することが必要だということになりそうです。
ソーシャルエンジニアリングキャンペーンを検出する方法を組織の従業員にトレーニングして怪しいリンクをクリックしないようにしようということです。
攻撃で生成されるコンテンツの精巧さは増してきていますので、どこまで怪しいと感じることができるかは不安な部分がありますが、せめて、不安があるレベルで怪しさが少ないと認識しておくことは必要かもしれません。

参考記事（外部リンク）：WHAT MAKES INVALID PRINTER LOADER SO STEALTHY?
blog.morphisec.com/in2al5d-p3in4er