膨大な数の回避技術を採用、他のマルウェアとは一線を画す「Beep」とは

Minervaはこのほど、「Beepin' Out of the Sandbox: Analyzing a New, Extremely Evasive Malware」において、「Beep」と呼ばれる新種のマルウェアを発見したと伝えた。このマルウェアには多くの回避技術が採用されており、名前の由来となったBeep API関数の使用による実行遅延が確認されている。

Beepは3つのコンポーネントで構成されている。そのうちの1つであるドロッパーは新たなWindowsレジストリキーを作成し、Base64でエンコードされたPowerShellスクリプトを実行するよう設計されている。 このスクリプトはリモートサーバに接続してデバッグされていないことや仮想マシン内で起動されていないことを確認し、プロセスホローイングと呼ばれるインジェクション攻撃によりペイロードを起動させることが判明している。