Uptycsはこのほど、「Quasar RAT's Dual DLL Sideloading Technique」において、オープンソースの遠隔操作ウイルス(RAT: Remote Administration Tool)の「Quasar(別名:CinaRAT、Yggdrasil)」を分析し、その技術的な詳細と脅威について伝えた。

  • Quasar RAT's Dual DLL Sideloading Technique

    Quasar RAT's Dual DLL Sideloading Technique

Uptycsによると、Quasar RATは2重のダイナミックリンクライブラリ(DLL: Dynamic Link Library)サイドローディング技術を使用して、気づかれないようにシステムに導入・実行させることができるという。

具体的には、最初に正規の「ctfmon.exe(CTFローダ)」のコピーをユーザーに実行させることで悪意のあるDLLをサイドローディングさせる。ロードされたDLLには暗号化されたプログラムが埋め込まれており、これを復号して正規の「regasm.exe」のインスタンスに埋め込む。埋め込んだプログラムにはアーカイブが埋め込まれており、これを展開することで正規の「calc.exe(電卓アプリ)」のコピーと悪意のある2つ目のDLLを保存する。

保存したcalc.exeを実行し、2つ目のDLLをサイドローディングさせる。2つ目のDLLには暗号化されたQuasar RATが埋め込まれており、これを復号して「regasm.exe」のインスタンスの中身とQuasar RATをプロセス・ホローイングにより差し替え、Quasar RATマルウェアを実行する。

  • Quasar RATをロードするまでのワークフロー - 提供:Uptycs

    Quasar RATをロードするまでのワークフロー 引用:Uptycs

Quasar RATにはこのような強力な検出回避の仕組みがあり、サイバー攻撃者によって広く使用されているという。Quasar RATの主な機能には、システムデータの収集、キーロギング、パスワードの窃取、スクリーンショットの窃取、リバースプロキシ、ファイルの転送、操作の監視、シェルコマンドの実行などがある。

Uptycsはこのような脅威からシステムを保護するため、次のような対策を推奨している。

  • ソフトウェアとオペレーティングシステムを常に最新の状態にする
  • 不審な電子メール、リンク、添付ファイルに注意する。個人情報を明らかにしたり、見慣れないリンクにアクセスしたりしない
  • 行動分析ツールを導入し、異常なアクティビティと潜在的な脅威を特定する
  • 見慣れないファイルの実行を避け、不審なアクティビティを認識できるように教育する
  • 組織内で強力なセキュリティポリシーを策定し、実施する
  • 高度なエンドポイント・セキュリティソリューションを導入し、デバイスレベルで不審な活動を検出してブロックする
  • サイバーセキュリティの専門家と協力し、業界やコミュニティ内で脅威情報を共有し、進化する脅威に関する最新情報を入手する

Quasar RATは正規のアプリケーションを使用して悪意のある処理を隠蔽し、従来のセキュリティソリューションの検出を回避できるという。このように高度化していく脅威からシステムを保護するために、システム管理者やサイバーセキュリティ専門家には、より高度な知識と検出技術の開発が期待されている。