GootloaderからGootBot

Gootloaderは名前の示すようにローダー型マルウェアです。
Gootloaderは新しい脅威ではなく、2021年1月にはすでに活動が観測されていました。
これまで多くの変更を経てきており、次々に新しい戦略で検出の回避を試みます。
そんなGootloaderに、また新たな変更が確認されています。

• 独自のペイロードを利用
  これまでのGootloaderは、いろいろなペイロードを持ち込む動きをしていました。
  次の段階のローダーとしてFONELAUNCHを、攻撃エミュレーションとしてCobalt Strikeを、IcedIDを持ってくる道具としてSNOWCONEを、といった具合に、いくつもの種類のペイロードを展開してきました。
  従来のペイロードは既存のツールの選択でした。
  しかし、最近の活動では、独自のペイロードの利用が確認されています。
  独自のペイロードは、GootBotです。
• GootBotの形式
  GootBotは、C2とコマンドのやり取りが可能な暗号化されたPowerShellスクリプトです。
  復号化してしまえば、その構造は複雑ではありませんが、観測されている個体によっていくつもの別々のC2がハードコードされています。
  ここで見られるC2は、いずれも侵害されたどこかの組織のWordPressサイトです。
  C2が固定ではありませんので、このC2の情報を使って検出するという試みは簡単ではなさそうです。
  GootBotはPowerShellスクリプトとして実装されているのですが、環境変数を使ってコマンド自体のサイズを小さくする手法や、PowerShellスクリプトの引数を偽装する手法なども実装されています。
• GootBotの用途
  GootBotは侵入後の横展開のためのツールとして使用されます。
  侵害された組織の環境で広く横展開が実施できた後どうなるのでしょう。
  ランサムウェアの被害へと繋がっていくことになります。

Gootloaderは、時間とともに次々に変化してきています。
検出の回避を目的にした変更活動が継続されています。
この脅威にはC2などの情報を単純なキーワードマッチによって検出するというような手法では対策しきれそうにありません。
根本的に方向性の異なる対策が必要になってきていると感じます。

参考記事（外部リンク）：GootBot – Gootloader’s new approach to post-exploitation
securityintelligence.com/x-force/gootbot-gootloaders-new-approach-to-post-exploitation/