GuLoader Malware

GuLoader は、2019 年 12 月に初めて発見されたトロイの木馬マルウェアの一種です。 これは通常、マルウェア感染の連鎖の最初の段階として機能し、ホストにアクセスすると他の種類のマルウェアをダウンロードしてインストールします。 このマルウェアは当初 Parallax RAT をダウンロードしていましたが、Netwire、FormBook、Agent Tesla などの幅広いランサムウェアやバンキング型トロイの木馬を配布するように進化し、分岐しました

GuLoader は、組織が直面するいくつかのトロイの木馬の脅威の 1 つです。 GuLoaderが際立っているのは、そのアンチ検出および回避機能です。 このマルウェアは、パッキング、暗号化、プロセスのハロウイング、コマンド アンド コントロール インフラストラクチャとしての正規のサイトの使用など、さまざまな手法を使用して検出を回避します。

Read the Security Report デモをリクエストする

GuLoaderはどのように機能しますか?

GuLoaderはリモートアクセス 型トロイの木馬 (RAT)であり、システムへの初期アクセスを取得するためにトリックと無害に見えることに依存しています。 一般的な GuLoader 感染ベクトルには、ドライブバイ ダウンロードやフィッシング キャンペーンが含まれます。

 

GuLoaderは、3段階の感染プロセスでも知られています。 最初の段階では、最初にアクセスを取得し、変更されたレジストリ キーを介して永続化を実現します。 ステージ 2 では、マルウェアはシェルコードをメモリに挿入する前に、環境に分析ツールの痕跡がないか検査します。 このインジェクションはプロセスの空洞化によって実現され、シェルコードは暗号化されてポリモーフィックであるため、検出と修復がより困難になります。 最終段階では、注入されたシェルコードを使用して、最終的な悪意のある実行可能ファイルをダウンロードして実行します。 GuLoader は他のさまざまなマルウェアの亜種をダウンロードして展開することもできるため、組織にもたらす潜在的な脅威が大幅に増加します。

GuLoader は、暗号化、パッキング、ポリモーフィック コードの使用など、さまざまなメカニズムを介して検出を回避します。 さらに、GuLoaderは正規のWebサイトから悪意のあるコードをダウンロードします。 実際、最新バージョンの GuLoader は、Google ドライブやその他のクラウド ストレージ システムから暗号化されたペイロードをダウンロードできます。 この暗号化により、マルウェアがクラウド プロバイダーのスキャナーをすり抜けることが可能になり、マルウェアの実効寿命が長くなります。

GuLoaderの用途

サイバー犯罪者にとってのGuLoaderの主なセールスポイントの1つは、高度にカスタマイズできることです。 マルウェアのオペレーターは、モジュール設計を利用し、クラウドでホストされているペイロードをダウンロードすることで、マルウェアの外観と動作を構成できます。

GuLoader は、他のマルウェア亜種をダウンロードして展開するように構成できるため、潜在的なアプリケーションはほぼ無限です。 実際、GuLoader は現在、次のような幅広いマルウェアを配布することが知られています。

  • FormBook
  • XLoader(クロスローダー)
  • Remcos
  • 404キーロガー
  • Lokibot
  • AgentTesla
  • Nanocore
  • ネットワイヤー

保護する方法

GuLoaderは適応性が高く、非常に効果的なトロイの木馬であり、3年以上の運用期間を経ても活発に開発されています。 ただし、組織は、このマルウェアの脅威から自社と従業員を保護するための措置を講じることができます。 GuLoader や類似のマルウェアの脅威から保護するためのベスト プラクティスは次のとおりです。

  • 従業員への教育: GuLoader はトロイの木馬マルウェアとして、策略と偽装に依存し、正規のファイルを装います。 フィッシング、不正、不正行為、およびドライブバイ ダウンロードを特定して回避するようにユーザーをトレーニングすることは、感染のリスクを軽減するのに役立ちます。
  • エンドポイント セキュリティ: GuLoaderはさまざまな回避手法を使用しますが、感染したシステム上でいくつかの疑わしい動作や悪意のある動作にも関与します。 エンドポイント セキュリティ ソリューションは、組織に重大な損害を与える前に、マルウェア感染を検出してブロックできる必要があります。
  • 電子メール セキュリティ:フィッシングメールは、GuLoader の主要な感染メカニズムです。 電子メール スキャナは、GuLoader マルウェアを運ぶ電子メールをユーザーの受信箱に到達する前に特定してブロックできる場合があります。
  • Webセキュリティ: GuLoaderは、ドライブバイダウンロードでも一般的に配布されます。 Web セキュリティ ソリューションは、悪意のある Web サイトの兆候を特定し、不審なダウンロードをブロックして、トロイの木馬マルウェアがエンド ユーザーのシステムに侵入するのを防ぎます。

GuLoader チェック・ポイントによるマルウェアの検出と保護

GuLoaderは、2019年から活発に運用されているトロイの木馬であり、新しい機能を追加するためにいくつかの更新が行われています。 その結果、これは非常に効果的なマルウェアの亜種となり、感染したシステム上での検出と削除が困難になる可能性があります。

ただし、GuLoader は企業が直面するいくつかのマルウェア脅威の 1 つにすぎません。 また、サイバー脅威の状況はマルウェアの脅威をはるかに超えており、企業はさまざまなサイバーセキュリティの課題に直面しています。 効果的なサイバーセキュリティ戦略とは、組織が直面する潜在的なサイバーリスクと脅威を完全に理解した上での戦略です。 また、現在のサイバー脅威の状況について詳しく知るには、Check Point の2023 年サイバーセキュリティ レポートを必ずチェックしてください。

チェック・ポイントは、GuLoader について徹底的な調査を実施しており、この調査からの洞察はチェック・ポイントのセキュリティ製品に組み込まれています。 チェック・ポイント Harmony Endpoint は、 GuLoader、GuLoader が提供するマルウェアの亜種、組織が直面するその他のマルウェアやエンドポイント セキュリティの脅威に対して強固な保護を提供します。 Harmony Endpoint と、組織のマルウェアおよびエンドポイントのセキュリティ戦略におけるその役割の詳細については、今すぐデモをお試しください

スタート

クラウドベースのマルウェア配信: GuLoader の進化

Harmony Endpoint Protection(SandBlast エージェント)

Check Point Infinityによる完全ゼロ トラスト セキュリティ

関連トピック

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK