Power Loaderはボットビルダーであり、実際には他のマルウェアファミリのダウンローダーです。 このビルダーは、マルウェアの生成に使用されるモジュール方式の別の例でもあります。 2012年9月に、Power Loaderに基づくボットを発見しました
。ESETは、このビルダーを使用して組み立てられたドロッパーを変更しない
Win32 / Agent.UAWとして定義しています。 同僚の
Alexander Matrosovは独自の調査を実施し、
このビルダーが2012年10月からWin32 / Gapzドロッパーの開発に使用されていることを発見しました。 同時に、すでに
2012年11月以来、 Win32 / Redymsと呼ばれる悪意のあるコードは、独自のドロッパーでPower Loaderコンポーネントを使用していました 。 ロシアのサイバー犯罪市場でのPower Loaderのコストは、C&Cコントロールパネルを備えた1つのビルダーで約500ドルでした。
(上の
写真は、再販業者の1社が販売に使用したPower Loader製品のロゴです )
図 ビルドインターフェイス
Power Loaderの最初のバージョンは2012年9月上旬にコンパイルされました。PEヘッダーからのファイルのコンパイル日は以下に示されています。
Power Loaderは、C&C用に1つのメインURLと2つの予約済みURLを使用します。 すべての構成オーバーヘッドは、実行可能ファイルの.cfgセクションに保存されます。 このデータはテキスト形式で表示され、暗号化されません。
ボットID-ボットIDは、システムレジストリに格納される一意のMachineGuid値です。 このボット識別子は、システム内の悪意のあるコードの存在を知らせるミューテックスを作成するために使用されます。
Power Loaderを使用してコンパイルされたさまざまなドロッパーファミリは、元のドロッパー実行可能ファイルを解凍した後のエクスポートテーブルが異なります。 ビルダーの最初のバージョンで作成されたボットのエクスポートテーブルは次のようになります。
この形式では、Gapzで使用されているHIPSバイパス手法を使用して、悪意のあるコンテンツを他のプロセスに導入するコードを認識できません。 しかし、異なるバージョンのビルダーを使用して作成された悪意のあるコードの別の変更には、挿入されたコード用の特別なマーカーがあります。 この場合のエクスポートテーブルを以下に示します。
Win32 / Redymsの場合、エクスポートテーブルは次のようになります。
explorer.exeにコードを挿入するこの方法は、HIPSをバイパスするために使用され、信頼できるプロセスを使用する手法に基づいています。 これに関する詳細は、
この投稿で公開されています。
もう1つの興味深い事実は、Power LoaderがコードインジェクションにオープンソースのHacker Disassembler Engine(別名HDE)逆アセンブラーを使用していることです。 そして、このエンジンは、モジュール(シェルコード)の1つでWin32 / Gapzブートキットによって使用されます。 これは、Power LoaderとGapzの背後に1人の人物がいることを証明するものではありませんが、それにもかかわらず、これは興味深い発見です。 私たちは調査を続け、さらに興味深い情報をまもなく公開します。