Kaspersky の研究所が先週、Windows エクスプロイトとして機能する可能性のある新たなマルウェアを発見し、Microtik のルータ本体の Winbox Loader ソフトウェアによってダウンロードされたコンポーネント経由で拡散していた例もあることがわかりました。「Slingshot」と命名されたこのマルウェアについては、少なくとも 100 件の被害が確認され、6 年間にわたって標的を感染させてきた可能性があります。このマルウェアは、不審なキーロガーを分析していた研究者によって発見されましたが、収集された最も古いサンプルは、2012 年のものでした。

このマルウェアはどのように動作するのか

ソフトウェアのこれまでの分析で、このマルウェアはあらゆる機能を備えており、キーストロークの記録、ネットワークトラフィックの収集、クリップボードへのアクセスが可能であることがわかりました。このマルウェアが非常に危険であるのは、カーネルにまで達する能力があるためです。カーネルは、システムプロセスを実行し、ハードウェアやソフトウェアの割り込みを処理する、いわば、オペレーティングシステムとハードウェアの間のレイヤです。Slingshot は、カーネルとその特権を利用して、標的システムを完全に制御し、必要とするあらゆるデータにアクセスします。

どのようにPCに感染するのか

Slingshot は、いくつかの段階を経てカーネルにアクセスします。ユーザが Winbox Loader ソフトウェアのインストールを実行すると、このソフトウェアがルータに接触して、必要な DLL（ダイナミックリンクライブラリ）をダウンロードします。DLL は、マシンにインストールされるコードとデータのライブラリであり、プログラムがそれらのライブラリを呼び出すことで、それぞれの関数が実行されます。自動車修理工場の道具箱にたとえて、技術者（アプリケーション）が、必要な道具（関数）に手を入れ、実際の作業を始めると考えれば、わかりやすいでしょう。

攻撃者は、ipv4.dll という DLL をルータに追加していました。ip4.dll は、不正ダウンローダであり、ルータに接続して、追加の不正コンポーネント（scesrv.dll と spoolsv.exe という 2 つのインスタンス）をダウンロードします。

オペレーティングシステムの最近のバージョンのほとんどに、署名付きドライバであることを検証する保護機能が組み込まれていますが、Slingshot は、脆弱性が存在する署名付きドライバをロードして悪用することで、カーネルレベルのアクセスを可能にします。Slingshot はこれらの方法で、カーネルモードのペイロード「Cahnadr」を実行し、この「メインオーケストレータ」であるとみられるペイロードによって、他のモジュールの効率的な動作が保証されます。また、「Cahnadr」へのメインリンクとして「GollumApp」というユーザモードのペイロードが存在します。ユーザモードとは、オペレーティングシステムがユーザのアプリケーションやプロセスを実行する場所であり、GollumApp は、この場所に他のペイロードをインジェクションし、データ収集に使用します。これらの 2 つの領域が連携し、レイヤ間で通信できるようにすることで、必要なあらゆるデータを収集することができます。

誰が作成したのか

Kaspersky によるこれまでの分析によれば、このマルウェアの作成者が誰で、背後にどのような組織が存在するのかについては明らかになっていませんが、このマルウェアの詳細と使われているスキルを考慮すれば、国家主導の集団である可能性も排除できません。

このマルウェアの分析結果と関連リンクについては、こちらのテクニカルペーパー(英文)を参照してください。

–Ryan Hayes