【概要】
■概要
| 項目 | 内容 |
|---|---|
| 使用時期 | 2020年7月ごろから |
| 悪用方法 | Signatureが付与されたファイルを読み込んで悪用 |
| 特徴 | 検体内に文字列「Sig」がハードコード |
■攻撃手法
- Windowsにおいてハッシュ値の計算時に対象範囲外とされる「証明書テーブル(Certificate Table)」のサイズを拡張
- テーブル内のデータを変更
- VMwareの正規実行ファイルを起動すると「DLLサイドローディング」により、「SigLoader」である「vmtools.dll」がロードされる
- 悪意ある「wiaky002_CNC1755D.dll」を読み込む
(以上は、Security NEXTの情報、参照元は https://www.security-next.com/121275 )
【ニュース】
◆ラック、Microsoft社のデジタル署名ファイルを悪用した「SigLoader」による標的型攻撃を緊急レポート (DreamNews, 2020/12/01 15:00)
https://www.dreamnews.jp/press/0000227186/
⇒ https://malware-log.hatenablog.com/entry/2020/12/01/000000_2
◆正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用 (Security NEXT, 2020/12/03)
https://www.security-next.com/121275
⇒ https://malware-log.hatenablog.com/entry/2020/12/03/000000_5
◆先週のサイバー事件簿 - Microsoftの正規デジタル署名を悪用する「SigLoader」 (マイナビニュース, 2020/12/09 19:49)
https://news.mynavi.jp/article/20201209-security/
⇒ https://malware-log.hatenablog.com/entry/2020/12/09/000000_4
【公開情報】
◆【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認 (Lac, 2020/12/01)
https://www.lac.co.jp/lacwatch/report/20201201_002363.html
⇒ https://malware-log.hatenablog.com/entry/2020/12/01/000000_3
【図表】
「SigLoader」による攻撃の流れ
出典: https://www.security-next.com/121275/3
【関連まとめ記事】
◆標的型攻撃マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/APT_Malware
