Entry № 696
ローダ
ローダ とは何ですか?
ローダ攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
ローダは、リフレクティブ DLL インジェクション、プロセスハロウィング、シェルコード実行などの手法を用いて、追加マルウェアをメモリ上に取得・復号・実行する専門の初期ステージコンポーネントである。次の段階に制御を渡す前に、ホストのプロファイリング、防御の無効化、永続化の設定などを行うことが多い。ローダは現代の MaaS(マルウェアサービス化)エコシステムの中核となり、アクセスブローカーがランサムウェア提携者や情報窃取マルウェア運営者に感染端末を販売する役割を担う。対策としては、注入手法をふるまいで検知できる EDR/XDR、AMSI、PowerShell の Constrained Language Mode、アプリケーション許可リスト、IcedID・Smoke Loader・Bumblebee など著名なローダ系列に関する脅威インテリジェンスが有効である。
● 例
- 01
Cobalt Strike やランサムウェアの配布が観測されたローダ Bumblebee。
- 02
長期にわたり活動する従量課金型ローダ Smoke Loader / Dofoil。
● よくある質問
ローダ とは何ですか?
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。
ローダ とはどういう意味ですか?
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
ローダ からどのように防御しますか?
ローダ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ローダ の別名は何ですか?
一般的な別名: マルウェアローダ, ステージ 1 ローダ。