マルウェアには様々な形や大きさがあります。また、マルウェアの精巧さは年々著しく向上しています。攻撃者は、マルウェアパッケージの側面を単一のペイロードに統合しようとすることは、必ずしも最も効果的なアプローチではないことに気付いています。

時間が経つにつれて、マルウェアはモジュール化されてきました。つまり、マルウェアの亜種によっては、ターゲットシステムへの影響を変えるために、異なるモジュールを使用することができるということです。では、モジュール型マルウェアとはどのようなもので、どのような仕組みになっているのでしょうか。

モジュール型マルウェアは何ですか？

モジュール型マルウェアは、さまざまな段階でシステムを攻撃する高度な脅威です。モジュール型マルウェアは、玄関から吹き出すのではなく、もっと巧妙なアプローチをとります。

これは、必要なコンポーネントを最初にインストールするだけで、実現できるのです。そして、最初のモジュールは、騒ぎを起こしてユーザーにその存在を知らせる代わりに、システムやネットワークのセキュリティを検索します。誰が責任を負うのか、どんな保護機能が実行されているのか、マルウェアはどこに脆弱性を見つけるのか、どんな攻撃が成功しやすいのか、などなど。

ローカル環境の範囲を決定することに成功した後、第一レベルのマルウェアモジュールは、コマンド＆コントロール（C2）サーバにダイヤルバックすることができます。そして、コマンド・アンド・コントロール・システムは、マルウェアが実行されている特定の環境を悪用するために、他のマルウェアモジュールと同様に追加のコマンドを送り返すことができます。

モジュール型マルウェアは、すべての機能を単一のロードにパックしたマルウェアと比較して、いくつかの利点があります。

• マルウェアの作者は、アンチウイルスやその他のセキュリティプログラムを回避するために、マルウェアのシグネチャを素早く変更することができます。
• モジュール式マルウェアにより、様々な環境に対応した幅広い機能を実現。この場合、作者は特定のターゲットに反応したり、特定の環境に特定のモジュールを指定することができます。
• 初期モジュールは小さく、比較的混乱しやすい。
• 複数のマルウェアモジュールを組み合わせることで、セキュリティ研究者は次に何が起こるかを推測することができます。

モジュール型マルウェアは、突発的に発生する新しい脅威ではありません。マルウェア開発者は、長い間、モジュラー型マルウェア・プログラムを効果的に利用してきました。この違いは、セキュリティ研究者が、より広い範囲において、より多くのモジュール型マルウェアに遭遇していることです。また、研究者は、モジュラー型マルウェアのペイロードを配布している巨大なNecursボットネット（DridexおよびLockyランサムウェアの亜種の配布で悪名高い）を発見しています。(ボットネットとは一体何なのか）。

モジュール型マルウェアの例

モジュール型マルウェアには、非常に興味深い例がいくつかあります。

VPNフィルター

VPNFilterは、ルーターやIoT（Internet of Things）機器を攻撃するマルウェアの最新亜種です。このマルウェアは3つの段階で動作します。

フェーズ1のマルウェアは、フェーズ2のモジュールをダウンロードするために、コマンド＆コントロールサーバーに連絡します。第2段階のモジュールは、データを収集し、コマンドを実行し、デバイス管理を妨害する可能性があります（ルーター、IoTまたはNASデバイスを「ブリック」する能力を含む）。Phase 2は、Phase 2のプラグインのように動作するPhase 3モジュールをダウンロードすることもできます。Phase3のモジュールには、SCADA通信用のパケットスニッファ、パケットインジェクションモジュール、Phase2のマルウェアがTorネットワークを利用して通信するためのモジュールが含まれます。

VPNFilterについて、その由来や入手方法など、詳しくはこちらをご覧ください。

モデルt9000

Palo Alto Networksのセキュリティ研究者は、T9000マルウェアを発見しました（ターミネーターやスカイネットとは関係ない...のか!）.

T9000は、インストールされると、攻撃者が「暗号化されたデータをキャプチャし、特定のアプリケーションのスクリーンショットを取り、特にSkypeユーザーをターゲットにする」ことができる諜報およびデータ収集ツールであり、Microsoft Office製品ファイルにも対応します。最大24種類のセキュリティ製品を回避できるように設計されており、設置方法も潜伏するように変更されています。

ダナーボット

DanaBotは多段階のバンキング型トロイの木馬で、作者はその機能を拡張するためにさまざまなプラグインを使用します。(リモートアクセス型トロイの木馬に迅速かつ効果的に対処する方法）例えば、2018年5月には、オーストラリアの銀行に対する一連の攻撃にDanaBotが関与していることが判明しています。当時、研究者は、パケットスニッフィングとインジェクションプラグイン、VNCリモート閲覧プラグイン、データ収集プラグイン、安全な通信を可能にするTorプラグインを発見しました。

「DanaBotは銀行向けのトロイの木馬であるため、地理的にはやや離れています」とProofpoint社のDanaBotブログは記しています。しかし、米国のキャンペーンで見られたように、多数の参加者による採用は、積極的な悪用、地理的拡大、脅威の継続を示しますマルウェアに対する参加者の関心マルウェア自体には多くのアンチ解析機能が含まれており、またステガノグラフィーやリモートコントロールのモジュールも更新されているため、脅威行為者にとって魅力と有用性がさらに増しています。"

マラップ、アドバイザ**オト、コビント

Proofpoint社の優秀なセキュリティ研究者が発見した3つのモジュール型マルウェアの亜種を1つのセクションにまとめました。モジュール型マルウェアの亜種は、類似性がありますが、用途が異なります。また、CobIntは、銀行や金融のサイバー犯罪に長く関わる犯罪組織であるCobalt Groupの活動の一部となっています。

MarapとAdvisorsBotの両方が、防御とネットワークマッピングのためにターゲットシステムの範囲を決定し、マルウェアが全負荷をダウンロードするかどうかを決定することが判明しました。ターゲットとなるシステムが十分に興味深いものである場合（例えば、価値のあるもの）、マルウェアは攻撃の第二段階を開始します。

他のモジュール型マルウェアの亜種と同様に、Marap、AdvisorsBot、CobIntは、3つのステップを踏んでいます。最初の段階は、通常、最初のエクスプロイトを搭載した感染した添付ファイルを持つ電子メールです。攻撃が実行された場合、マルウェアは直ちに第2フェーズを要求する。第2段階は偵察モジュールで、ターゲットシステムのセキュリティ対策やネットワーク環境を評価するために使用されます。マルウェアがすべて適切と判断した場合、メインロードを含む3つ目の最終モジュールがダウンロードされます。

根拠を分析する。

• マラプロップ
• AdvisorBot（とPoshAdvisor）
• コービン

混乱

Mayhemは、2014年に初めて明るみに出たモジュール型マルウェアの少し古い亜種です。しかし、Mayhemは依然としてモジュール型マルウェアの好例です。Yandex社のセキュリティ研究者が発見したこのマルウェアは、LinuxとUnixのウェブサーバを標的としています。悪意のあるPHPスクリプトを経由してインストールされます。

インストールされると、スクリプトは複数のプラグインを呼び出して、マルウェアの最終的な用途を定義することができます。

これらのプラグインには、FTP、WordPress、Joomlaのアカウントを狙う強力なパスワードクラッカー、他の脆弱なサーバーを検索するウェブクローラー、Heartbleed OpenSLL脆弱性を悪用するツールなどが含まれます。

ガラガラヘビ

最後のモジュール型マルウェアの亜種は、最も完全なものであり、いくつかの理由から、これは最も心配な問題の1つです。

理由1：DiamondFoxはモジュラー型のボットネットで、さまざまな地下フォーラム**で使用することができます。潜在的なサイバー犯罪者は、DiamondFoxモジュール式ボットネットパッケージを購入することで、幅広い高度な攻撃機能を利用できるようになります。このツールは定期的に更新され、他の優れたオンラインサービス同様、個人向けのカスタマーサポートが用意されています。(変更履歴もあります!)

理由2：DiamondFoxモジュラー型ボットネットは、様々なプラグインを搭載しています。これらはダッシュボードからオン・オフが可能で、スマートホームのアプリケーションとして違和感がない。プラグインには、カスタマイズされたスパイツール、認証情報窃盗ツール、DDoSツール、キーロガー、スパマー、さらにはRAMスクレイパーなどが含まれます。

警告：以下のビデオには、あなたが好むかもしれない、または好まないかもしれない音楽が含まれています。

モジュール型マルウェアの攻撃を阻止する方法

現在のところ、特定のモジュール型マルウェアの亜種を防ぐための具体的なツールはありません。また、モジュール型マルウェアの亜種には、地理的な範囲が限定されているものもあります。例えば、Marap、AdvisorsBot、CobIntは、主にロシアやCIS諸国で見られる。

とはいえ、プルーフポイントの研究者は、現在は地域が限定されているものの、このような確立した犯罪組織がモジュール型マルウェアを使用しているのを見れば、他の犯罪者も必ず追随するだろうと指摘しています。

モジュール型マルウェアがどのようにシステムに到達するかを理解することが重要です。多くは、感染した電子メールの添付ファイルを使用し、通常、悪意のあるVBAスクリプトを含むMicrosoft Officeドキュメントが含まれています。攻撃者は、何百万人もの潜在的なターゲットに感染した電子メールを簡単に送ることができるため、この方法を使用します。さらに、最初の悪用は小さく、Office文書として簡単に偽装できます。

いつものように、システムを最新の状態に保ち、Malwarebytes Premiumへの投資を検討してください。