悪意のあるバックドア Pikabot はモジュール式であり、ローダーと、ほとんどの機能を実装するコア コンポーネントを備えています。 多くの分析防止技術が採用されているため、悪意のあるアクティビティの検出が困難になります。
分析では、配布モード、キャンペーン、マルウェアの動作の点で Qakbot との類似性が判明しましたが、これらが同じマルウェア作成者であるかどうかは示されていませんでした。 コマンド アンド コントロール サーバーからコマンドを受信でき、シェルコード、DLL、または実行可能ファイルを挿入できます。
悪意のある機能
ローダーによる最初の感染後、コア モジュールは悪意のある機能を実装します。これには、任意のコマンドを実行し、実際のペイロードを挿入する機能が含まれます。 コアモジュールを復号化するコードインジェクターを使用します。 彼らは、実行を遅らせるための Windows API 関数 Beep、Windows API 関数 CheckRemoteDebuggerPresent、またはサンドボックスを検出するための偽のライブラリの再ロードなど、多くの分析防止手法を使用します。 さらに、メモリやプロセッサの数などのシステム情報が照会されます。 さらに、マルウェアの重要な文字列を難読化するために、公開ツール ADVobfuscator が使用されます。 分析防止テストが失敗すると、Pikabot は実行を停止します。
コア モジュールをリロードするとき、Pikabot は次のように処理を進めます。 まず、リソース領域に保存されている一連の PNG 画像がロードされます。 これらはビット単位の XOR 演算によってデコードされます。 各イメージには、コア モジュールの暗号化された部分が含まれています。 32 バイトのキーを使用して AES (CBC モード) 経由でコードを復号化し、暗号化されたデータの最初の 16 バイトが初期化ベクトルとして使用されます。 メイン ペイロードを復号化した後、Pikabot インジェクターは、WerFault などのデータ パス上にプロセスを作成し、コア モジュールを挿入します。
実行の遅れ
インジェクターと同様に、コア モジュールも実行を遅らせる「スリープ機能」などの追加の分析防止チェックに依存します。 これには API 関数 NtC が含まれますontinue 起動用のタイマー付き。 これらのテストに加えて、感染したシステムの言語が記録されます。 グルジア語、カザフ語、ウズベク語、タジク語、ロシア語、ウクライナ語、ベラルーシ語、スロベニア語のいずれかの言語が発見された場合、さらなる処刑は中止されます。 このようなアプローチは、訴追を避けるために CIS 諸国の攻撃者の間でよく見られます。 読み込みプロセスが完了すると、Pikabot は収集したシステム情報を使用して、侵害されたホストをコマンド&コントロール サーバーに登録します。 他のボットネットと同様に、一意の識別子が作成されます。 登録が完了すると、Pikabot はサーバーへのクエリを実行してアクティビティを開始します。
詳細は Zscaler.com をご覧ください
ゼットスケーラーについて Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。