WikiLoader

WikiLoaderはマルウェアローダーです。
いくつもの攻撃キャンペーンで利用されていることが観測されています。
どういったものなのでしょうか。

• 入口
  基本的に現時点の入口はメールの添付ファイルです。
  WikiLoaderは変更が続いていますので、その亜種の作られたタイミングによって詳細は異なります。
  あるときはExcel文書、PDF文書だったこともあります。そしてOneNote文書だったこともあります。
  こういった形式の添付ファイルとして被害者の手元に届きます。
• 難読化
  最初の段階の機構の動作する部分から、高度な難読化が実施されています。
  いくつものbusyループを組み込み、解析行為を困難にする機構も搭載されています。
  IDA ProやGhidraなどの一般的な分析ツールでの解析は通常の方法では難しい内容になっています。
• 多段階に分割された機構
  WikiLoaderは多くの部分がShellCodeとして実装されていますが、その内容はいくつものフェーズに分解されています。
  現在の版では実に5段階のShellCodeに分解されています。
  それぞれの段階では異なる手法での難読化が施されています。
• 外部接続の確認
  このローダーは外部接続が可能であるかの確認も実行します。
  ローダーですから目的は別のマルウェアを送り込んで悪用することになるわけですが、その送り込むマルウェアの活動環境を確認しておこうというわけです。
  この外部接続の確認に使われていると思われるのが、Wikipediaサイトへのアクセスとなっています。
  Wikipediaのコンテンツを参照し、そこにあるはずの文字列が存在するかどうかという動作により、外部接続性を確認します。
  この通信は単独で見る限りなんの問題もありません。
  単にWikipediaを参照しているだけです。
  実装形式から考えてこの機構を別のWebサイトで実現することは容易でしょう。
  困ったものです。
  また、この外部通信の接続性確認機能は、自動分析機構などで解析されている状態での活動を回避する機能ともなっていると考えられます。
• 目的のマルウェアの送り込み
  現時点ではWikiLoaderの送り込むマルウェアはUrsnifです。
  Ursnifはバンキングトロイです。
  Ursnifは、クレジットカードや金融機関関連情報を窃取します。
  Goziという別名もあります。2007年くらいには既に存在が確認されていて、その後も何度も話題になっていました。

WikiLoaderは、発見や解析が困難な複雑な構造のマルウェアローダーです。
最終的に持ち込むマルウェアを変更して利用することも難しくないと考えられます。

なるべく入口の部分で防御したいものです。
「Shift Left」ということなのでしょうね。

参考記事（外部リンク）：Out of the Sandbox: WikiLoader Digs Sophisticated Evasion
www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion