Deadglyph

Deadglyphはバックドア型マルウェアです。
このマルウェアは、これまでの他のバックドア型マルウェアとは様子が異なる部分があることがわかりました。

• 複数の言語
  Deadglyphは、いくつかのモジュールに分割して実装されているのですが、そのモジュールの実装に利用されているコンピュータ言語が複数の言語になっています。
  これまでのよくある複数のモジュールに分割されているマルウェアは、モジュールに分割はされていますが、1つのコンピュータ言語で実装されることが多かったと思われます。
  しかし、このDeadglyphは、ある部分はネイティブx64バイナリ、別の部分は.Netアセンブリ、というように、異なる実装形式となっていました。
  解析者の解析の効率を低下させる狙いがあるのかもしれません。

   

• コマンドが実装されていない
  よくあるこれまでのバックドア型マルウェアでは、マルウェアの内部にあらかじめコマンドが実装されていて、C2からそのコマンドを指定することでコマンドを実行し、その結果をC2に送信させるという形式となっています。
  しかし、Deadglyphは異なっています。
  Deadglyphのなかには、コマンドが実装されていません。
  代わりに、C2から動的に受信したモジュールがコマンドとして実行される動きをします。

   

• ファイル化された部分が少ない
  複数の部分に分割された構造なのですが、その一部しかファイルの状態で存在していない構造になっています。
  1つの部分はDLLファイルの形式で存在しています。
  それ以外の機器に存在している部分は、レジストリのなかのキーの値として保持されており、そのキーの値は暗号化されたバイナリとなっています。

   

• 自動消滅機能
  このマルウェアは定期的にC2と通信を行います。
  この通信が一定の期間以上実現できない場合に、自分自身をアンインストールする機能が実装されています。
  この期間は調整ができる構造になっていて、確認されている例では1時間に設定されていました。
  この機能により、意図した活動が実施できない状態となってしまったマルウェアが何度もC2への通信を試みてしまってその通信によってマルウェアの存在が露呈してしまうということを防ぐものとなっていると考えられます。

   

• タイマー機能
  C2への通信にも、解析を困難にする機能が含められています。
  このマルウェアにはC2に通信する機能があるのですが、この通信は一定の間隔では実施されません。
  基本的な間隔は5分などとして動作するのですが、その実行間隔にランダム性が実装されており、プラスマイナス20%の間隔となるように動作します。
  これにより、一定間隔でのC2への通信を行ってしまうことでその規則性からマルウェアの存在を知られてしまうことを回避しているものと考えられます。
  また、C2への通信の間隔がランダム化されるだけでなく、C2との通信のパケットにランダムな長さのパディングを実施する機能があるため、C2への通信のパケットサイズがランダム化されます。

   

• ネットワーク環境適合機能
  C2への通信にはHTTPSでのPOSTが利用されるのですが、その通信を環境に存在するプロキシを使用して実施するようにする機能も実装されています。
  そして、侵害環境にあるプロキシの情報を取得するためのメカニズムも実装されています。
  これにより、より多くの環境で動作することができるようになっていると考えられます。

このマルウェアは、どのようにして侵入してくるのかの詳細はまだ明らかになっていません。

Deadglyphには、いくつもの新しいアイデアの機能要素が含まれています。
このマルウェアそのものも脅威ですが、こういったアイデアが他のマルウェアの新たな機能の種となってしまうことが心配です。

参考記事（外部リンク）：Stealth Falcon preying over Middle Eastern skies with
Deadglyph
www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/