マルウェア
ドロッパー
別称: マルウェア投下ツール, 投下型インストーラ
定義
標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。
ドロッパーは、自身の内部に 1 つ以上のペイロードを抱え込んだ配送用コンポーネントであり、実行されるとそれらをディスクやメモリに書き出す。ダウンローダと異なり、次段ペイロードのためにインターネット接続を必要としない。マクロ付き文書、ISO/IMG コンテナ、署名済みインストーラ、改造済みユーティリティの形で配布されることが多く、最終的なマルウェア(情報窃取マルウェア、ランサムウェア、RAT など)を起動する前に、アンチ解析チェック、デコイ文書の表示、永続化設定、プロセスインジェクションなどを行う。対策としては、メール/Web フィルタリング、添付ファイルのサンドボックス化、アプリケーション許可リスト、ふるまい型 EDR、マクロの自動実行と ISO の自動マウントの無効化などが挙げられる。
例
- Trickbot や Cobalt Strike をドロップする Emotet の悪意ある文書。
- Mark-of-the-Web を回避するために Qakbot が用いる ISO/LNK ドロッパー。
関連用語
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
ダウンローダ
リモートサーバから追加の悪意あるペイロードを取得して実行することを主目的とする軽量マルウェア。
トロイの木馬
正規プログラムを装って利用者に実行させ、内部に潜ませた悪意のあるペイロードを発動させるマルウェア。
ペイロード
エクスプロイト、マルウェア、攻撃のうち、ファイル暗号化、バックドア設置、データ窃取など実際の悪意ある動作を担う部分。
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。