GuptiMiner

GuptiMinerはいろんな要素の詰まったマルウェアです。
名前の中にMinerが含まれていることからわかるように、暗号資産のマイニングの機能も搭載していますが、それだけではありません。

• 初期感染
  まず初めに、このマルウェアの感染は、eScanの悪用から始まります。
  eScanは各種PCのセキュリティ対策ソフトウェアです。
  Windows、macOS、Linuxをサポートしていて、マルウェア対策やフィッシング対策やエンドポイントセキュリティの機能を提供します。
  このeScanは定義ファイルを更新することで新しい脅威に対応する仕組みになっていますので、定期的に新しい定義ファイルを取り込む機構を搭載しています。
  この定義ファイルを取り込む通信に対し、中間者攻撃を行います。
  こうして、実際の定義ファイルのつもりで取り込んだ定義ファイルのパッケージは、攻撃者が用意した悪意ある実装の施されたDLLが含まれたものとして感染環境に展開されます。

   

• 悪意あるファイルの動作開始
  展開された悪意あるDLLは、新しい定義ファイルを反映させるために動作するeScanの正規の実行モジュールによって読み込まれます。
  いわゆるサイドローディングです。
  このDLLの読み込みによって、複数のshellcodeや次の段階となるローダーが展開されます。

   

• ごまかし行為や確認行為
  マルウェアはDNS通信を使用して活動を継続します。
  しかし、そのDNS通信を紛れ込ますためか、多くの通常のDNS通信を発生させます。
  また悪意あるファイルを持ち込む際に、画像ファイルであるPNGファイルを使用し、その中に埋め込んだマルウェアバイナリを取り出すことも行います。
  CPUのcoreが4個以上あるかをチェックし、Wiresharkなどの動作確認に使用されるツールが動作していないかを確認します。
  いくつかのセキュリティ対策製品が動作していた場合、これらを停止させる機能も持っています。

   

• 持ち込む悪意あるツール
  マルウェアはいくつかのツールを持ち込みます。
  Putty Linkの拡張バージョンとみられるバックドアを持ち込みます。
  このバックドアを使って侵害環境での横展開を開始します。
  もう一つ別のバックドアも持ち込みます。
  2つ目のバックドアはモジュール式です。
  これは感染環境に保持されている秘密鍵を取得したり、暗号資産ウォレットの情報を取得します。
  そして、XMRigも持ち込みます。
  これは、本当にこれによってマイニングで金銭化しようとしているのかどうか怪しいですが、おとりとして使うことを想定して持ち込んでいるのかもしれません。

このGuptiMinerは、PCのシャットダウン中にローダーが動作して攻撃に使用するバイナリを環境に設置している機能も搭載しています。
シャットダウン中はPCの保護機能を提供するソフトウェアも順次停止していきますので、この悪意あるバイナリの設置を防御できない可能性があります。
こういった機構は他のマルウェアでも実装されてくることを想定する必要があるかもしれません。

このマルウェアはeScanの機構の悪用で動作が成り立っていました。
しかし、すでにeScanは対策したものを提供開始しており、新しいeScanを使えばGuptiMinerに感染することはありません。
では、GuptiMinerの感染は収束していっているのでしょうか。
残念ながら、まだ感染発生が持続していることが観測されています。
eScanが新しいものを提供しても、それを自身の環境に適用しないと弱いままなのです。

あなたの環境は大丈夫ですか？
あなたの運用は大丈夫ですか？

参考記事（外部リンク）：GuptiMiner: Hijacking Antivirus Updates for Distributing
Backdoors and Casual Mining
decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/