Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用

正規のコード署名を含む悪意あるライブラリファイルを用いた攻撃「SigLoader」が確認された。標的型攻撃に用いられたもので、セキュリティ製品で検知できないおそれがあり、警戒が必要だ。

正規の実行ファイルから、悪意あるライブラリファイルを読み込ませるいわゆる「DLLサイドローディング」による攻撃だが、攻撃の過程で利用された悪意ある複数のライブラリファイルには、マイクロソフトのコード署名が含まれていた。

ラックが「SSL-VPN」製品の脆弱性を悪用した侵害事故を調査する過程で発見。2020年7月ごろより悪用が見られるという。「Signature」が付与されたファイルを読み込んで悪用することや、検体内に文字列「Sig」がハードコードされていたことから、同社では今回の攻撃を「SigLoader」と命名した。

通常、コード署名によってファイルの改ざんを検知することが可能。しかし今回の攻撃では、Windowsにおいてハッシュ値の計算時に対象範囲外とされる「証明書テーブル(Certificate Table)」のサイズを拡張し、テーブル内のデータを変更することでファイルの改ざんを行っていた。コード署名による検証が回避され、セキュリティ対策製品でも検知できない可能性がある。

(Security NEXT - 2020/12/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

J-CSIP、2023年4Qは脅威情報15件を共有 - 巧妙なフィッシングの報告も
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
画像管理サーバがランサム被害、救急や一般外来受入に影響 - 国分生協病院
2月修正のWindows脆弱性、北朝鮮グループがゼロデイ攻撃に悪用
発覚2カ月前にもマルウェア実行の痕跡、情報流出は否定 - こころネット
高校教諭がサポート詐欺被害、私用PC内に個人情報 - 広島県
ランサムウェア「ALPHV」、医療分野中心に被害拡大
県立高教諭が「偽警告」被害、第三者が業務用端末を遠隔操作 - 長野県
サポート詐欺でPC遠隔操作、個人情報流出の可能性 - 堺市体育館
「ClamAV」にアップデート - 脆弱性2件を解消