編集部からのお知らせ
RPA導入、もう1つのポイント
「ニューノーマルとIT」新着記事一覧

新しい万能Windowsハッキングツール「L0rdix」、アンダーグラウンドで出回る

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2018-11-27 06:30

 アンダーグラウンドの掲示板に、Windows PCを狙う攻撃者のための新しい万能ハッキングツールが出回っている。

 このソフトウェアは「L0rdix」と呼ばれている。enSiloのサイバーセキュリティ研究者によれば、L0rdixは「Windowsベースのマシンへの感染を目的としたもので、情報の窃盗と仮想通貨マイニングを組み合わせて使用でき、マルウェア分析ツールを回避する能力を持っている」という。

 enSiloの研究者Ben Hunter氏は、米国時間11月20日に投稿されたブログ記事で、このツールは比較的新しく、金銭で購入可能だと述べている。このマルウェアにはすでにさまざまな機能が多数盛り込まれているが、今でも開発が続けられていることをうかがわせる点があるという。

 L0rdixは.NETで書かれており、ステルス性を重視して開発されている。プログラムは一般によく利用されている難読化ツールである「ConfuserEx」を使って難読化されているが、一部のサンプルには、より高度な難読化ツールである「.NETGuard」が使用されている。

 L0rdixの開発者は、マルウェア研究者がリバースエンジニアリングやマルウェアの分析に使用している仮想環境やサンドボックスへの対応にかなりの力を入れているようだ。

 このマルウェアは、それらの環境を検知するためによく使われるスキャン手段を数多く使用しているだけでなく、WMIクエリやレジストリキーを使用して、サンドボックス製品が使われていることを示す文字列を探すなどの独自の工夫も行っている。

 「L0rdixは、一部のサンドボックス製品が使用しているsbiedll.dllをロードしているプロセスを調べるなど、あまり一般的ではないチェック手法を使用し、単純な無料の仮想環境ツール内で実行されることを回避する可能性を高めようとしている」とHunter氏は付け加えている。

 L0rdixは販売することを念頭に作られており、5つのコアモジュールが設定を自動アップデートできる機能を持っているほか、将来簡単にモジュールを導入できる構造になっている。

 L0rdixがマシンに感染すると、まずOSのバージョン、デバイスID、CPUのモデル、インストールされているアンチウイルス製品、現在のユーザーの特権などの情報を収集する。その後、この情報が暗号化され、マシンのスクリーンショットと共に指令サーバに送信される。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]