マルウェア
ローダ
別称: マルウェアローダ, ステージ 1 ローダ
定義
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
ローダは、リフレクティブ DLL インジェクション、プロセスハロウィング、シェルコード実行などの手法を用いて、追加マルウェアをメモリ上に取得・復号・実行する専門の初期ステージコンポーネントである。次の段階に制御を渡す前に、ホストのプロファイリング、防御の無効化、永続化の設定などを行うことが多い。ローダは現代の MaaS(マルウェアサービス化)エコシステムの中核となり、アクセスブローカーがランサムウェア提携者や情報窃取マルウェア運営者に感染端末を販売する役割を担う。対策としては、注入手法をふるまいで検知できる EDR/XDR、AMSI、PowerShell の Constrained Language Mode、アプリケーション許可リスト、IcedID・Smoke Loader・Bumblebee など著名なローダ系列に関する脅威インテリジェンスが有効である。
例
- Cobalt Strike やランサムウェアの配布が観測されたローダ Bumblebee。
- 長期にわたり活動する従量課金型ローダ Smoke Loader / Dofoil。
関連用語
ドロッパー
標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。
ダウンローダ
リモートサーバから追加の悪意あるペイロードを取得して実行することを主目的とする軽量マルウェア。
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
ペイロード
エクスプロイト、マルウェア、攻撃のうち、ファイル暗号化、バックドア設置、データ窃取など実際の悪意ある動作を担う部分。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。