UNAPIMONの作戦

UNAPIMONは、攻撃者の補助を行うマルウェアです。
いろいろな作戦のマルウェアがありますが、この作戦も強力です。
内容を見てみましょう。

• 情報収集する
  まずは手始めに、環境の情報収集が実施されるところから始まります。

   

• バックドアを開始する
  存在しないWindowsのサービスを起動しようとするスケジュールを使用するなどして、バックドアを開始します。
  この際には特権昇格も行われます。

   

• フックを解除する
  動作を開始したマルウェアは、Windowsを構成する基本的なDLLの調査を開始します。
  ntdll.dll、user32.dll、kernel32.dll、msvcrt.dll、ole32.dllなどのDLLです。
  そして、これらに設置されたフックを解除します。

これだけなのです。
何が起こるのでしょうか。

マルウェアなどのアプリケーションの動作が存在することはどのように検出されるのでしょうか。
手法はいくつかあるのですが、代表的なものにAPIのフックがあります。
マルウェアが環境にあるAPIの機能を呼び出した際に、その特定のAPIが呼び出されたことをセキュリティ機構が検出するのです。
これがセキュリティ機構によるフックの設置です。

このフックが作用するために、マルウェアの活動は検出されてしまいます。
ならば、フックされている状態を解除してしまおう、という作戦です。
これがUNAPIMONの注目点でした。

フックを解除した状態であれば、システムのAPIを呼び出す機構を持つマルウェアを動作させても検出される可能性が下がります。
このような回避手法を搭載したのでした。

実に巧妙な作戦です。

参考記事（外部リンク）：Earth Freybug Uses UNAPIMON for Unhooking Critical APIs
www.trendmicro.com/en_us/research/24/d/earth-freybug.html