New XLoader botnet uses probability theory to hide its servers
2022/05/31 BleepingComputer — 脅威アナリストたちが明らかにしたのは、ボットネット・マルウェア XLoader の新バージョンでは、確率論を用いた Command and Control (C2) サーバー隠蔽機能が実装され、マルウェアの対策が困難になるという点である。それにより、マルウェアの運営者は、特定された IP アドレスのブロックによりノードを失うというリスクを負うことなく、同じインフラを使い続けることが可能となり、また、追跡/特定のリスクも低減されるという。
Formbook をベースにした XLoader は、Windows/macOS を標的とする情報窃取型マルウェアであり、2021年1月ことから活発に動き始めている。このマルウェアの進化を追ってきた Check Point の研究者たちは、XLoader の最新バージョン 2.5/2.6 をサンプリング/分析し、以前のバージョンと比較して、いくつかの重大な相違点が発見されたと述べている。
大量発生の法則
XLoader の Ver 2.3 では、63個のデコイにより実際のドメイン名を隠すという手法が取られ、その Command and Control (C2) サーバーの所在がカモフラージュされてきた。

しかし、このマルウェアの最新バージョンでは、通信を試みるたびに、設定リストに含まれる 64個のドメインからランダムに選ばれた、8個のドメインを新しい値で上書きしていることに、Check Point のアナリストは気づいた。

Check Point は、「本当の C2 ドメインがリストの2番目に表示されている場合には、約80~90秒に1回というサイクルでアクセスされる。しかし、リストの最初の部分に表示された場合は、別のランダムなドメイン名で上書きされる。リストの最初の部分に上書きされる 8個のドメインはランダムに選ばれ、本当の C2 メインは、そのうちの1つになる可能性がある。この場合、次のサイクルで本物の C2 サーバーがアクセスされる確率は、偽 c2 ドメインの位置に応じて、7/64 または 1/8 の確率になる」と述べている。
この仕組は、マルウェアの運用への影響を最小限に抑えながら、本物の C2 サーバーを偽装し、セキュリティ・アナリストを欺くのに役立つ。C2 アクセスの成功は、十分な試行回数があれば、期待通りの結果が得られる確率が高くなる大数の法則によるものだ。Check Point は以下の表を用いて、脅威アクターが実際の C2 アドレスを導き出すには、長時間のエミュレーションを実行する必要があると述べている。

さらに言うなら、XLoader のオペレーターが、感染から1時間以内に本物の C2 アドレスにコンタクトしないことはあり得ないことだ。Check Point は、XLoader Ver 2.6 の 64 Bit 版のペイロードからは、この機能が削除しされ、本物の C2 ドメインに毎回コンタクトするようになったことに注目している。しかし、脅威アナリストたちが使用する、仮想マシンホスト型サンドボックスで捕捉される 32 Bit 版では、この新しい C2 難読化テクノロジーが維持されている。
マルウェアにとって、ランサムウェアにとって、イニシャル・アクセスに成功した後の活動を支える、Command and Control (C2) サーバーとの連携は隘路であり、その通信を検知されずに偵察や攻撃を行う必要があります。当然のこととして、防御側も C2 サーバー検知には労力を費やすわけで、ここも攻防の主戦場の一つとなります。攻撃側は、C2 サーバーの所在を隠すためにデコイなどを使うようですが、それをさらに進化させ、確率論を組み合わせることで、スティルス性を高めようとしている、という話です。なお、これまでに XLoader が登場した記事としては、2022年1月7日の「Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに」と、2月8日の「Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中」があります。よろしければ、ご参照ください。