マルウェア
ダウンローダ
別称: 悪意あるダウンローダ, トロイ型ダウンローダ
定義
リモートサーバから追加の悪意あるペイロードを取得して実行することを主目的とする軽量マルウェア。
ダウンローダは、実行されると攻撃者のインフラから追加マルウェアを取得する小さな初期ステージプログラムである。ドロッパーと異なり自前のペイロードはほぼ持たず、HTTP(S)、DNS、メッセージングアプリのチャネルを使って C2 と通信し、次段階を取得する。この分離により初期バイナリを小さく無害に見せられ、運用者は任意のペイロードに差し替えられる。マクロ/HTA スクリプト、JavaScript ダウンローダ、署名済みのトロイ化インストーラなどの形態がよく見られる。対策としては、外向き通信のフィルタリング、既知 C2 の DNS シンクホール化、「ダウンロード→実行」パターンを検知する EDR、メール/Web の隔離、不要なスクリプトホストの無効化などが挙げられる。
例
- 長期にわたって観測されている文書型ダウンローダ Hancitor(Chanitor)。
- クラウドストレージ事業者からペイロードを取得するダウンローダ GuLoader。
関連用語
ドロッパー
標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
トロイの木馬
正規プログラムを装って利用者に実行させ、内部に潜ませた悪意のあるペイロードを発動させるマルウェア。
ペイロード
エクスプロイト、マルウェア、攻撃のうち、ファイル暗号化、バックドア設置、データ窃取など実際の悪意ある動作を担う部分。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。