ラック、Microsoft社のデジタル署名ファイルを悪用した「SigLoader」による標的型攻撃を緊急レポート

株式会社ラック（本社：東京都千代田区、代表取締役社長：西本 逸郎、以下ラック）は、Microsoft社のデジタル署名ファイルを悪用した「SigLoader」による標的型攻撃をレポートにまとめ、2020年12月1日に公開しました。

【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認
https://www.lac.co.jp/lacwatch/report/20201201_002363.html

2020年7月ごろから、Microsoft社のデジタル署名（コードサイニング証明書）されたDLLファイルを悪用するマルウェア「SigLoader」が使われた標的型攻撃を、24時間365日体制でサイバー事故対応をする「サイバー救急センター」で複数確認しています。攻撃者によって、正規のデジタル署名されたファイルを攻撃に悪用された場合、セキュリティ対策製品による検知をすり抜け、広範囲にわたる攻撃活動を容易に実行される恐れがあります。

Microsoft社のデジタル署名されたファイルを悪用するSigLoaderの特徴を、レポートの中でご紹介します。

本レポートの構成
・デジタル署名されたファイルの改ざん手法
・SigLoaderを使用した攻撃手口の概要
・SigLoaderが読み込むファイル
・SigLoaderが利用する暗号化方法
・シェルコードによる2段目のSigloader（2nd）作成
・SigLoader（2nd）が読み込むファイルと暗号化方法
・シェルコードによる最後のペイロード作成
・最終的に実行されるペイロード（DelfsCake）
・まとめ

本レポートが、企業や団体のシステムを管理する関係者に広く活用されるとともに、近年のサイバー攻撃への備えの一助となることを期待しています。

【株式会社ラックについて】　（https://www.lac.co.jp/）
ラックは、1986年にシステム開発事業で創業、多くの実績を誇る「金融系の基盤システム開発」など、社会の基盤システムの開発を行っています。1995年にはいち早く情報セキュリティ事業を開始し、現在ではサイバーセキュリティ分野のリーディングカンパニーとして、企業・官公庁・団体等のお客様に業界屈指のセキュリティ技術を駆使した、先端のITトータルソリューションサービスを提供しています。

＊ ラック、LACは、株式会社ラックの国内およびその他の国における登録商標または商標です。
＊ その他、記載している会社名・団体名、製品名などは、各社の登録商標または商標です。