Advanced URL Filtering
要約
ここ数か月、Windows ユーザーに感染するIE (Internet Explorer) ブラウザ用の高度なスクリプト系マルウェアが検知されています。今回はこれらスクリプトを調査し、その主たる機能を特定することで、攻撃者がスクリプト系マルウェアを好んで利用していることや、それが今後注意を要するトレンドにつながる可能性があることについて取り上げていきたいと思います。
攻撃者がスクリプト言語を使用する利点は、複数の機能を持たせられること、フレキシブルで使いやすいツールで、簡単に難読化された高度なマルウェアを作れることにあります。その実証をするのに、Windows ユーザーの感染に使用されるスクリプト系マルウェアのサンプルとして、今回はマルウェアを2つ検証しました。これらのサンプルは2つの異なるソースで発見されてはいますが、同じIEブラウザのエクスプロイトCVE-2019-0752脆弱性から派生しています。1つ目のサンプルはJScriptによるリモートアクセス型トロイの木馬(RAT)で、標的システムで永続性を確保してからエンコードしたネットワーク接続を使い攻撃者側のシステムに接続します。その後は標的マシン上で任意のコマンドを実行することで潜在的には同マシンを完全に自身の制御下におけるようになります。2つ目のサンプルはAutoITダウンローダーで、ネットワーク接続とスクリプト関数を使用してマルウェアをダウンロード・実行します。これにより、ランサムウェアやスパイウェアなどのマルウェアで標的システムを感染させることができます。
最後に、スクリプトベースのマルウェアで使用されているスクリプト言語をさらに詳しく紹介するために、攻撃者がブラウザエクスプロイトのペイロードとして、通常の実行ファイルの代わりにスクリプトを選択する理由について考察します。
安全なWebブラウジングのためのセキュリティのベストプラクティスに従って最新Windowsホストを使用している組