ブログ解説3/29「失われた魂の探索:SoulSearcherマルウェアの進化を解明する」
フォーティネットジャパンが不定期に公開している「抄訳ブログ」というコンテンツがあります。これは、本社エンジニアやマーケティングから提供される英文の記事を翻訳したもので、トレンドを追う上で有用なものながら、若干日本語にクセがあるため一読し理解するには慣れが必要な書きっぷりです。
それらの内容を人に説明したくなる「ブログ解説マガジン」を始めます。(テスト運用 ∩ 飽きるまで)
今回はドラマティックな名前のマルウェアのご紹介。
失われた魂の探索:SoulSearcherマルウェアの進化を解明する
一言で言うと
SoulSearcherという秘匿性の高いマルウェアがやたらに進歩しているので、EDRを導入しましょう
Windowsを攻撃するファイルレス-マルウェア「SoulSearcher」が使用するモジュールは、正常なオブジェクトに偽装されレジストリに保存されるため、非常に発見し難いという特性があります。本編では本マルウェアの進化の軌跡を機能ごとに詳細に解説しています。
キーワード説明
マルウェア
悪意を持って作成されたソフトウェアやコードのこと。コンピュータウイルス、トロイの木馬、スパイウェアなどの総称。
ファイルレス
ディスクにインストールされず、メモリ上にのみ展開するタイプのマルウェア(あるいはその攻撃)のこと。ファイルレスマルウェアは、ディスク装置をスキャンしても検出できず、OSに備わっている機能やライブラリを利用して活動します。
ローダー
ダウンローダーのことで、マルウェア自身が他のマルウェアをダウンロードするのに使用します。本ウイルスでは2段階のローダーが確認されています。
RAT
Remote Access Trojanの略で遠隔操作ウイルスのこと。マルウェア製作者が攻撃対象のPCの遠隔操作を可能にします。本ウイルスにもRATが含まれています。
人に話す時はこんな風に
日本ではあまり聞かないけど、東南アジアでメジャーなSoulSearcherっていうマルウェアがこの4年でそうとう強化されててやばいんだって。ソウルってのは使ってるモジュール名で、ファイルレスだからいわゆるセキュリティソフトで見つからないこともあるみたい。FortiEDRなら活動初期から検知するんだって。
最後に
マルウェアの名前が個人的に刺さったんでご紹介です。本編はかなり詳細にコードの進化を追っているので、難解です。笑
おしまい。
この記事が気に入ったらサポートをしてみませんか?