Minervaはこのほど、「Beepin' Out of the Sandbox: Analyzing a New, Extremely Evasive Malware」において、「Beep」と呼ばれる新種のマルウェアを発見したと伝えた。このマルウェアには多くの回避技術が採用されており、名前の由来となったBeep API関数の使用による実行遅延が確認されている。

  • Beepin' Out of the Sandbox: Analyzing a New、Extremely Evasive Malware

    Beepin' Out of the Sandbox: Analyzing a New, Extremely Evasive Malware

Beepは3つのコンポーネントで構成されている。そのうちの1つであるドロッパーは新たなWindowsレジストリキーを作成し、Base64でエンコードされたPowerShellスクリプトを実行するよう設計されている。 このスクリプトはリモートサーバに接続してデバッグされていないことや仮想マシン内で起動されていないことを確認し、プロセスホローイングと呼ばれるインジェクション攻撃によりペイロードを起動させることが判明している。

起動されるペイロードは感染したシステムから情報を流出させるインフォスティーラ型マルウェアとみられている。このマルウェアはC&Cサーバに接続し、DLLファイルやEXEファイルを実行する機能を備えている。

  • Beep malware scheme

    Beep malware scheme

Beepの最大の脅威として、膨大な数の検知回避方法を採用していることが挙げられている。ステルス性に重点が置かれ、解析に耐えサンドボックスを回避し、実行を遅らせるためにあらゆる回避技術をしていることが明らかにされている。

検知を回避するための工夫が他のマルウェアとは一線を画していると評されており、いったんシステムへの侵入に成功するとランサムウェアを含むさまざまな悪意のあるツールを簡単に拡散する非常に危険なマルウェアだと注意が促されている。