SmokeLoaderバックドアは、攻撃者があなたのPCへのリモートアクセスを狙う悪意のあるアプリケーションです。このバックドアの場合、そのアクセスの一般的な目的はさまざまな他のマルウェアをダウンロードすることです。非常に古いですが、それでも強力であり、さまざまなプロファイルの攻撃で依然として活発で人気です。SmokeLoaderがその名声のある年齢にもかかわらずなぜ強力なのか、見てみましょう。
バックドアマルウェアとは何ですか?
SmokeLoaderの分析に入る前に、まずバックドアとは何かを見てみましょう。この種のマルウェアは長く曲がりくねった歴史を持ち、今日では重要な存在となっています。バックドアマルウェアの主な目標は、サイバー犯罪者がターゲットのPCにリモートで接続し、可能なあらゆるアクションを実行する手段を作成することです。そのため、彼らはターゲットシステムの脆弱性を利用したり、トロイの木馬としてシステムに注入することをいとわないのです。
バックドアに感染したコンピュータの主な用途はボットネットへの参加です。DDoS攻撃を実行したり、スパムメールを送信したり、他の悪意のある活動を行う巨大なゾンビシステムのネットワークは、過去10年間でよく知られています。そのため、悪党たちは自動的に動作するバックドアを使用します。これらのバックドアは、コマンドアンドコントロールサーバから最小限のコマンドを必要とし、独自で実行することができます。バックドアのもう1つの応用は、データの窃取とマルウェアの実装です。後者の場合、バックドアは悪意のあるペイロードのための機関車として機能するため、時にはワームとして分類されることもあります。
SmokeLoaderマルウェアの説明
SmokeLoaderバックドアは2014年に初めて登場しました – まさにランサムウェアの時代の最初です。その後8年間もの間、起動後も活動し続けることができる他のマルウェアはほとんどありません。このバックドアには、古くなっても現在のままでいられる多くの特徴があります。まず第一に、非常に小さいです – ペイロードはわずか30キロバイト程度です。通常、その種のマルウェアは少なくとも100 KB以上のファイルサイズを持ち、通常は150〜200キロバイト程度です。そのため、保護されたシステムでの処理が非常に容易になります。なぜなら、一部のマルウェア検出に使用されるYARAルールはファイルサイズに注目するからです。
ダークネットのフォーラムでSmokeLoaderの購入を申し出る
他のバックドアとは異なる特徴として、このバックドアはC言語とアセンブリ言語で書かれているということが挙げられます。どちらの言語も低レベルであり、システムの深層部まで掘り下げる能力を持っていることを示しています。このバックドアの正確なコードは非常に難読化されています。これはかつては対抗マルウェアプログラムに対する効果的な手段でしたが、現在では検出されたいかなる難読化も危険視されています。現在では、これによりこのマルウェアのリバースエンジニアリングがはるかに困難になります。
このバックドアの主な特徴は、そのローダー機能に囲まれています。おそらくその名前から推測できるように、SmokeLoaderは感染したシステムに他のマルウェアを配信するために使用されることがほとんどです。しかし、これはこのマルウェアの唯一の目的ではありません。継続的な開発により、盗聴ツールとして使用する能力も備えています。また、ボットネットの展開にも適していますが、そのような使用例はわずかです。毎年アップデートが行われており、将来的には機能が拡張される可能性があります。
SmokeLoaderの技術解析
SmokeLoaderマルウェアの最初のパッケージには、感染したPCへのリモート接続機能のみが含まれています。データの収集、プロセスの監視、DDoSモジュールなどは、その後にインストールされる必要があります。全体的に、逆アセンブリによって、SmokeLoaderが同時に処理できる9つの異なるモジュールがあることがわかっています。
| モジュール名 | 機能性 |
| フォームグラバー | 資格情報を取得するために、開いているウィンドウでフォームを監視する。 |
| パスワードスニファ | インターネットの送受信パッケージを監視し、認証情報を盗み見る。 |
| フェイクDNS | DNSリクエストの偽造を行うモジュール。必要なサイトへのトラフィックリダイレクションを導く |
| キーロガー | 感染した環境でのすべてのキー入力をログに残す |
| Procmon | プロセス監視モジュール、システムで実行されているプロセスを記録する |
| ファイル検索 | ファイル検索ツール |
| メールグラバー | Microsoft Outlookのアドレス帳を取得する |
| リモートPC | リモートアクセスユーティリティ(TeamViewerなど)と同様のリモートコントロールを確立する機能 |
| DDoS(ディーディーオーエス | 感染したPCを指定されたサーバーへのDDoS攻撃に参加させる。 |
このマルウェアのペイロードは、常にユニークな方法でパックされています。1つのサンプルは、そのユーザーの小さなグループによって使用されるため、実際の世界で同じサンプルに出会うことはそれほど簡単ではありません。ただし、この技術は新しいものではありません。ほとんどのマルウェアは同じことを行い、一部は攻撃ごとにユニークなパックされたサンプルを生成することさえあります。さらに、初期のパッキングに加えて、配布業者からは注入前に追加の圧縮または暗号化が必要とされています。これは、正確には検出回避のための別の対策です。
ターゲット システムは完全にパックされた SmokeLoader サンプルを受け取ります。これはディスク上にあるものです。 以降のすべての段階はシステム メモリで実行されるため、従来のマルウェア対策ソフトウェアを使用したスキャンは、 密集したサンプルのみを検出します。 SmokeLoader 実行の第 1 段階には、必須の重要な検査 (攻撃されたシステムの場所) が含まれます。 このマルウェアは、インジェクション前の設定に関係なく、独立国家共同体では実行できません。 その他の検査には、仮想マシンのスキャンとサンドボックスの検出が含まれます。 すべてが合格すると、マルウェアは完全に解凍され、通常の方法で起動します。
実行中、SmokeLoader は独自の難読化技術を適用します。 実行期間全体にわたって暗号化されたコードのほぼ 80% を保持します。 別の関数を使用する必要がある場合は、以前に使用した要素を暗号化しながら解読します。 YARA ルールは、従来のリバース エンジニアリングと同様に、このようなトリックに対してほとんど役に立たないようにレンダリングされます。 32 ビットと 64 ビットのペイロードがあり、初期段階から最終実行までのチェック中に、対応するアーキテクチャを使用してシステムにロードされます。
SmokeLoaderのコード暗号化について
SmokeLoaderが実行中にメモリに保持される正確なファイルは、PEヘッダーがないため、有効な実行可能ファイルではありません。実際に、バックドアのコードはシェルコードとして表現されます。したがって、手動で実行される方法を見つける必要があります。一般的に、SmokeLoaderによって実行されるルーチンコマンド(C&Cへの呼び出しやダウンロードなど)は、DLLインジェクションを介して行われます。明らかに、これはステルス性を維持するために必要です。最も一般的には、このステップにはDLLインジェクションまたは別のプログラム名から行われるコンソール呼び出しが含まれます。SmokeLoaderを管理するハッカーは、インストールしたいマルウェアの.exeファイルを送信し、バックドアがこのファイルを取得できるURLを指定する場合があります。
SmokeLoader .exeファイルのヘッダーがありません – 有効な実行ファイルではありません。
SmokeLoader IoC
| Indicator | Value |
| С2 URL Addresses | azarehanelle19[.]top quericeriant20[.]top xpowebs[.]ga venis[.]ml paishancho17[.]top mizangs[.]tw mbologwuholing[.]co[.]ug Quadoil[.]ru ydiannetter18[.]top tootoo[.]ga eyecosl[.]ga host-file-host6[.]com host-host-file8[.]com fiskahlilian16[.]top bullions[.]tk |
| IP addresses | 216.128.137.31 8.209.71.53 |
| SHA-256 Hashes | 5318751b75d8c6152d90bbbf2864558626783f497443d4be1a003b64bc2acbc2 79ae89733257378139cf3bdce3a30802818ca1a12bb2343e0b9d0f51f8af1f10 Ebdebba349aba676e9739df18c503ab8c16c7fa1b853fd183f0a005c0e4f68ae Ee8f0ff6b0ee6072a30d45c135228108d4c032807810006ec77f2bf72856e04a D618d086cdfc61b69e6d93a13cea06e98ac2ad7d846f044990f2ce8305fe8d1b 6b48d5999d04db6b4c7f91fa311bfff6caee938dd50095a7a5fb7f222987efa3 B961d6795d7ceb3ea3cd00e037460958776a39747c8f03783d458b38daec8025 F92523fa104575e0605f90ce4a75a95204bc8af656c27a04aa26782cb64d938d 02083f46860f1ad11e62b2b5f601a86406f7ee3c456e6699ee2912c5d1d89cb9 059d615ce6dee655959d7feae7b70f3b7c806f3986deb1826d01a07aec5a39cf |
広く普及しているSmokeLoaderの亜種一覧
SmokeLoaderマルウェアの配布
SmokeLoaderの主な拡散方法は、電子メールのスパム、違法コピーのソフトウェア、およびキージェネレーターに依存しています。前者は一般的であり、簡単でかなり効果的です。この場合、マルウェアは添付ファイル内に隠れています-通常はMS WordまたはMS Excelファイルです。そのファイルにはマクロが含まれており、要求されたようにマクロの実行を許可すると、コマンドサーバーに接続し、ペイロード(実際にはSmokeBotのみ)を受信します。ただし、分析者によると、SmokeLoaderはこのようなメッセージに添付された悪意のあるリンクを介してより頻繁に現れると言われています。そのリンク先のサイトには、クロスサイトスクリプティングの技術を含むエクスプロイトが存在する場合があります。
メールスパム例。ファイルには悪意のあるマクロが含まれています
クラックされたアプリケーションやキージェネレーター/ハックツールにマルウェアを隠すはやや困難ですが、より広範な潜在的な被害をもたらします。非ライセンスのソフトウェアの使用はまだ広く行われているため、多くの人々が危険にさらされる可能性があります。すべてのクラックされたアプリにマルウェアが含まれているわけではありませんが、使用者と制作者の両方にとって違法です。使用すると、著作権侵害で訴訟に直面する可能性があります。そして、その場合にマルウェアに感染するとさらに不快です。
マルウェア感染に関しては、SmokeLoaderの出現は通常、さまざまな他の悪意のあるアプリのインストールにつながります。ボットネットを作成した詐欺師は、他のマルウェアディストリビューターに対してこれらのコンピュータを任意のマルウェアで感染させることを提案します。それには広告ウェア、ブラウザハイジャッカー、スパイウェア、ランサムウェアなどが含まれます- 制限はほとんどありません。巨大なウイルスの山の背後に、サイバーセキュリティの専門家はしばしばこの混乱の起源を見逃してしまい、それによってSmokeLoaderは検出されずに残ります。
SmokeLoaderはフォーラムでマルウェア配信ツールとして提供されている
別の拡散のケースでは、SmokeLoaderが前段階ではなく、STOP/Djvuランサムウェアと組み合わされる場合があります。具体的には、デバイスに配信されるマルウェアのバンドルには、RedLineとVidarスティーラーが含まれています。前者はバンキングの資格情報を狙い、後者は暗号ウォレットの情報を狙います。このようないずれかの方法で、DjvuはSmokeLoaderの普及において重要なシェアを占めています。なぜなら、それはそのクラスで最も広まっているランサムウェアの1つだからです。
Djvuランサムウェアの説明
STOP/Djvuランサムウェアは、個人ユーザーを狙うランサムウェアの長年のリーダーです。このランサムウェアは、できるだけ多くのユーザーをカバーするための戦術を採用し、その結果、提出された総数の約75%を占めるようになりました。しかし、2022年の後半にはその活動が減少したため、開発者たちはペイロードの効率性でその減少を補うために取り組みました。SmokeLoaderは、VidarとRedLineの2つのスティーラーとともに、追加の収益源の役割を果たします。これらは感染したユーザーの資格情報を抽出し、詐欺師はそのデータをダークネットのマーケットプレイスで販売することができます。
STOP/Djvuランサムウェア(BOWD亜種)によって暗号化されたファイル
バックドアマルウェアからの保護
バックドアは非常に狡猾で隠れており、最も注意深いユーザーでさえ、独自に見つけることはありません。そしてそれは最小限の言葉です – バックドアは基本的な対マルウェアツールですら簡単に回避できることがわかりました。そのため、ここでのポイントは、バックドアの一般的な拡散方法から距離を置くことです。まったくチャンスを与えないことの方がはるかに良いです。システムに侵入した後で効果を低下させる方法を探すよりも。
メールスパムは最も一般的な攻撃方法です。幸いにも、それは簡単に認識することができます – スパムは常に元のメールと異なる特徴を持っています。一般的なスパムメールには通常、誤字、文法の誤り、極めて奇妙なトピック、不快なデザインがあります。より洗練されたスパムメッセージは非常に説得力があるかもしれませんが、常に偽造の兆候があります。たとえば、詐欺師は企業のメールアドレスを使用することはできませんので、代わりに類似のアドレスやランダムなメールボックスを使用しようとします。さらに、メッセージ中のリンクはおそらく外部リソースにつながるでしょう – 会社を装ったものとは関係のないものです。
クラックされたソフトウェア、キージェン、および類似の違法なものは、避けるべきものです。これらを使用することは、ほとんどの場合で違法とされており、マルウェアの導入の可能性はさらに悪化させます。このようなものの作者は通常、自分の仕事を収益化する方法を探しており、そして結局のところ、同じような違法行為しか目にしません。したがって、彼らがクラックしたプログラムにマルウェアを追加する以外の選択肢はありません。このプログラムが信頼できるかどうかということに関しては、注意が必要です。バックドアの場合、その存在に長い時間気づかないかもしれません。無料のチーズはネズミ捕りにしかないという簡単なルールを覚えておいてください。
適切なアンチマルウェアソフトを使用してください。最も不快なことは、武器のない敵と対峙することです。予防策は良い効果をもたらすことがありますが、マルウェアは時には予期しない方向からやって来ることもあります。その場合、最新かつ複雑な脅威を検出する能力を持つ高度なプログラムであるアンチマルウェア保護を使用する必要があります。GridinSoft Anti-Malwareはその目的に最適です。これは3つの独立した部分からなる検出メカニズムを備えた複雑なアプリであり、リソース消費が少なく、サイズも小さいため、PCの保護に理想的です。
User Review
( votes) 
英語 
ドイツ語 
スペイン語 
ポルトガル語(ブラジル) 
フランス語 
トルコ語 
繁体中国語 
韓国語 
インドネシア語 
ヒンディー語 
イタリア語
