ウイルス対策ソフトを巧妙な手口で回避するマイナーマルウェア「GhostMiner」が見つかる!

イスラエルを拠点とするセキュリティベンダーのMinerva Labsは22日(現地時間)、ウイルス対策ソフトを巧妙な手口で回避するWindowsを対象とするマイナーマルウェア(暗号通貨を勝手にマイニングする「マルウェア」を指す)「GhostMiner」を発見したと報告しています。

感染すると勝手にマイニングされてしまうということで、こういったマイナーマルウェアはまさに暗号通貨の光と闇の闇の部分に当たる分野となり、暗号通貨の匿名性の高さからよく悪用されています。

特に今回見つかったGhostMinerは、ファイルレスなマイナーマルウェアということで、ぱっと見ただけでは感染しているかどうか判別が付きにくく、かつウイルス対策アプリでは対策がしにくくなっています。

そのため、被害内容によっては非常に脅威的となりうるので、何とか一般のウイルス対策アプリでも対応できるようになって欲しいところですが、どうなるでしょうか。

mask-1150221_1280

今回のGhostMinerは特定の感染源となるファイルがない“ファイルレス“なマルウェアに分類される代物で、それが原因でMinerva Labsではウイルス対策アプリで検知しづらくなっていると紹介しています。

ファイルレスマルウェアとは、従来のマルウェアのように感染した製品にマルウェアをインストールさせる必要がなく、Windowsに元々組み込まれている「PowerShell」や「Windows Management Instrumentation(WMI)」などをハイジャックして不正なコードをメモリー上で動作させるマルウェアのことを指します。

PowerShellやWMIは正規のプログラムであるがためにウイルス対策アプリでは検知しづらいのです。さらにGhostMinerは、ペネトレーションテスト(侵入テスト)でよく利用されるPowerSploitというフレームワークを悪用しているということです。

ghost-miner-01

GhostMinerの実行プロセスは上記の通りで、メモリー上でDLLを動作させる「Out-CompressedDll」と、PowerShellのプロセスでDLLやEXEを動作させる「Invoke-ReflectivePEInjection」を用いることでメモリー上でGhostMinerを動作させています。

ghost-miner-02

その威力は強烈で、今回の手法を利用したマルウェアは現時点では一般のウイルス対策アプリに検知されません。一方で同じ仕組みをWindows実行ファイル(EXE)としてコンパイルした場合には複数のウイルス対策アプリで検知されていることが分かります。


そんな巧妙な手口を利用したGhostMinerですが、従来のマルウェアと同じく感染拡大機能も実装されています。GhostMinerは、Oracle WebLogicやMicrosoft SQL Server、phpMyAdminが動作しているサーバーがいないかどうかをランダムなIPアドレス宛にTCP通信を行って検索します。もし、GhostMinerが動作するような脆弱なサーバーが見つかった場合は、そのサーバーへGhostMinerを感染させて拡大していくということです。

もちろんGhostMinerのメイン機能である暗号通貨のマイニングもメモリー上で行われており、オープンソースの「Monero」をマイニングする「XMRig」を少し改変したものが動作しています。

ghost-miner-03


記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
GhostMiner: Cryptomining Malware Goes Fileless
GitHub - PowerShellMafia/PowerSploit: PowerSploit - A PowerShell Post-Exploitation Framework