マルウェア
人気ゲームランチャーの偽装など、巧妙な検出回避を行う「LokiBot」
今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー(Game Launcher)」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、C#コードのファイルをドロップしてコンパイルする手法も使用されていました。
パスワードや暗号通貨の情報など、機密データを収集する機能を備えた「LokiBot(ロキボット)」の開発者は、このマルウェアにさらに資金を投じ更新を加えているようです。過去、トレンドマイクロは、リモートコード実行の脆弱性を突きWindows Installerを実行してLokiBotを配信する攻撃や、ISOイメージファイルを利用して配信されるLokibotの亜種、ステガノグラフィを利用し活動を持続化させる仕組みを更新した亜種を確認してきました。そして今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー(Game Launcher)」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、C#コードのファイルをドロップしてコンパイルする手法も使用されていました。この珍しいLokiBotの亜種は、配信後にコンパイルして検出を回避する手法を利用していましたが、トレンドマイクロの機械学習型検索によって「Troj.Win32.TRX.XXPE50FFF034」として予測検出されました。現在は、「Trojan.Win32.LOKI」ファミリとして検出対応しています。
■LokiBotの解析
感染は「Epic Gamesストア」のインストーラであるとされるファイルから始まります。この偽のインストーラは、Windowsインストーラ作成ツールである「NSIS(Nullsoft Scriptable Install System)」を使用して作成されていました。今回確認された攻撃では、不正なNSIS Windowsインストーラが、人気オンラインゲーム「フォートナイト(Fortnite)」などの開発会社である「Epic Games」のロゴを使用し、ユーザに正規のインストーラだと思わせていました。
図1:ゲームランチャーのインストーラを偽装したLokiBotのインストーラファイルのアイコン
マルウェアのインストーラは、実行されると2つのファイルをドロップします。1つはプログラム言語である「C#」で書かれたソースコードのファイル、もう1つは.NET Frameworkの実行ファイルを、感染コンピュータの「%AppData%ディレクトリ」下に作成します。
図2:インストーラのスクリプト
.NETの実行ファイルをさらに解析した結果、リバースエンジニアリングを困難にさせるためのジャンクコードを大量に含む、重度に難読化されたファイルが確認されました。
図3:ドロップされた.NETの実行ファイルの主な機能
次に.NETの実行ファイルは、感染コンピュータ内で、インストーラがドロップしたC#コードファイルを読み取り、コンパイルします。このC#コードのファイル名は「MAPZNNsaEaUXrxeKm」です。
図4:バイナリに確認できるジャンクコードの一部(上部)と、ドロップされたC#コードファイルの読み取り方法とコンパイル方法を示すコード(下部)
C#コードファイルをコンパイルした後、バイナリはInvokeMemberメソッドを使用してC#コードファイルに存在するEventLevel関数を呼び出します。呼び出された関数は、埋め込まれている暗号化されたアセンブリコードを解読してロードします。
図5:EventLevel() 関数を呼び出すバイナリのコード
図6:どのようにアセンブリコードが解読されるかを示すコード
このLokiBotのインストールには、検出を回避するために2つの手法が組み合わせられていました。まず、C#ソースコードを利用して、実行可能バイナリのみを検出対象とする防御メカニズムを回避します。さらに、C#コードファイルに埋め込まれている暗号化されたアセンブリコードの形式で難読化されたファイルを使用しています。
感染の最終段階で、LokiBotの本体が実行されます。LokiBotは常に、最も活発な情報窃取型マルウェアの中に数えられています。上述のインストール方式や難読化のために施された調整を見ても、今後も攻撃の手を緩める様子はないと言えるでしょう。
■被害に遭わないためには
正規ソフトウェアに偽装してマルウェアを頒布する手法は常套手段となっています。特に、有料のソフトウェアを無料で入手可能としているような場合は、そもそもライセンス違反であり、マルウェアが混入している可能性が高いものと言えます。
■トレンドマイクロの対策
トレンドマイクロ製品では、本記事で取り上げたマルウェアについて「ファイルレピュテーション(FRS)」技術で検出し実行をブロックします。マルウェアの感染経路について、「マルウェアスパム」のようなメール経由の攻撃は「E-mailレピュテーション(ERS)」技術で受信前にブロックします。不正プログラム拡散目的の不正サイトについては「Webレピュテーション(WRS)」技術でアクセスをブロックします。
個人向け総合セキュリティ対策製品「ウイルスバスタークラウド」では各技術により利用者を総合的に保護します。
「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などの法人向けエンドポイント製品ではFRS、WRSの各技術により利用者を総合的に保護します。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
【更新情報】
| 2020/3/11 15:00 | 「トレンドマイクロの対策」を一部修正いたしました。 |
参考記事:
- 「 LokiBot Impersonates Popular Game Launcher and Drops Compiled C# Code File 」
by Augusto Remillano II, Mohammed Malubay, and Arvin Roi Macaraeg, Threat Analysts
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)