Entry № 402
ドロッパー
ドロッパー とは何ですか?
ドロッパー標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。
ドロッパーは、自身の内部に 1 つ以上のペイロードを抱え込んだ配送用コンポーネントであり、実行されるとそれらをディスクやメモリに書き出す。ダウンローダと異なり、次段ペイロードのためにインターネット接続を必要としない。マクロ付き文書、ISO/IMG コンテナ、署名済みインストーラ、改造済みユーティリティの形で配布されることが多く、最終的なマルウェア(情報窃取マルウェア、ランサムウェア、RAT など)を起動する前に、アンチ解析チェック、デコイ文書の表示、永続化設定、プロセスインジェクションなどを行う。対策としては、メール/Web フィルタリング、添付ファイルのサンドボックス化、アプリケーション許可リスト、ふるまい型 EDR、マクロの自動実行と ISO の自動マウントの無効化などが挙げられる。
● 例
- 01
Trickbot や Cobalt Strike をドロップする Emotet の悪意ある文書。
- 02
Mark-of-the-Web を回避するために Qakbot が用いる ISO/LNK ドロッパー。
● よくある質問
ドロッパー とは何ですか?
標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。 サイバーセキュリティの マルウェア カテゴリに属します。
ドロッパー とはどういう意味ですか?
標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。
ドロッパー からどのように防御しますか?
ドロッパー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ドロッパー の別名は何ですか?
一般的な別名: マルウェア投下ツール, 投下型インストーラ。