IceRAT マルウェア検出：追いかけて見つけられるかな

IceRATは、その機能と前例のない回避戦術に関して独自の特徴を持ち、悪質な領域において比較的新しいツールです。注目すべきことに、この脅威は非常に低い検出率を誇り、標的マシンから機密データや財務資産を盗むことができるステルスマルウェアとして機能しています。

IceRATマルウェアとは何ですか？

その名前にもかかわらず、IceRATはリモートアクセス型トロイの木馬（RAT）というよりもバックドアです。その主な機能はチェーンインフェクションと追加のマルウェアダウンロードを目的としており、従来のRAT機能（例：コマンド実行）は欠けています。2020年1月に発見されてから、IceRATは情報窃取ツール、暗号マイナー、キー・ロガー、クリッパーといった広範なツールで被害者を成功裏に感染させてきました。特に、このマルウェアはスパムキャンペーンやトロイの木馬化された「クラック」ソフトウェアを介して主に配布されています。例えば、最初に検出されたIceRATバージョンは、CryptoTabブラウザのダウンロードがトロイの木馬化された悪意ある文書を介して被害者を感染させました。IceRATのホストとC2サーバーhxxp://malina1306.zzz(.)com.uaはキリル文字のウェブサイト上にあり、IceRATの開発者が東ヨーロッパやロシア出身である可能性を示唆しています。IceRATは標的デバイスに完全なリモートコントロールを提供することはできないが、重大なデバイス損害、財務やデータの損失、プライバシー問題、さらにはアイデンティティ窃盗を引き起こす可能性のある非常に危険なソフトウェアとして考慮されるべきです。

IceRATバックドア回避戦術

IceRATの詳細な 分析は、それがJPHPで書かれた初のマルウェアであり、Java VM上で動作するPHPの実装であることを明らかにしています。その結果、IceRATは従来のJavaの.classファイルではなく.phbファイルに依存しています。このような特異性により、一般的にAVエンジンがサポートしない.phpファイルを採用しているため、VirusTotalでの検出率を極端に低くすることができます。成功した回避に貢献するもう一つの非凡な特徴は、IceRATのアーキテクチャです。この実装は非常に断片化されており、全ての機能を1つのファイルにまとめることを避けています。特に、IceRATマルウェアは、各信号関数を個別に実行するようにタスクを分配した複数のファイルを使用しています。したがって、ダウンローダーコンポーネントが発見された場合、悪意のある内容が欠けているため、良性と見なされる可能性があります。 reveals it is the first-ever malware written in JPHP, a PHP implementation running on Java VM. Consequently, IceRAT relies on .phb files instead of traditional Java .class ones. Such a peculiarity allows the threat to reach an extremely low detection rate on VirusTotal since .php files are not generally supported by AV engines. Another uncommon feature that contributes to the successful evasion is IceRAT’s architecture. The implementation is highly fragmented and avoids putting all functionality in one file. Particularly, IceRAT malware uses multiple files tasked to execute each signal function separately. Therefore, in case the downloader component is discovered, it might be considered benign because the malicious content is missing.

IceRAT攻撃検出

IceRATマルウェアに適用された独自の回避技術は、悪意のある活動をタイムリーに検出することを困難にしています。当社のThreat Bountyプログラム開発者 Osman Demir は、積極的な防御を行うための脅威ハンティングルールを提供しました：

https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/

このルールは次のプラットフォームに対応しています：

SIEM：Azure Sentinel、 ArcSight、ELK Stack、QRadar、Splunk、Sumo Logic、Humio、Graylog、LogPoint、RSA NetWitness

MITRE ATT&CK：

戦術：Discovery、Persistence、Execution

技術：プロセス発見 (T1057)、レジストリ実行キー/スタートアップフォルダー (T1060)、Windows Management Instrumentation (T1047)

にサインアップ することで、より積極的な防御コンテンツにアクセスできます。脅威ハンティングの取り組みに貢献する準備はできていますか？ に参加 して、SOCコンテンツライブラリを豊かにし、Threat Detection Marketplaceのコミュニティと共有しましょう。 Threat Bountyプログラム