ドロッパー【dropper】ドロッパー型マルウェア
概要
トロイの木馬に分類されるマルウェアの一種で、“dropper” の語はファイルをシステムに「落とす」(drop)動作に由来する。ドロッパーはできるだけセキュリティソフトによる検出を回避するため、単体では目立った悪意ある挙動を示さないことが多い。自身の中に本体となるマルウェアのコードを暗号化あるいはデータ圧縮した状態で内包しており、標的システム上での実行時に初めて展開・投下する。
投下するマルウェアの種類としては、ランサムウェア、トロイの木馬、スパイウェア、RAT(リモートアクセスツール)、ルートキットなどが多いとされる。攻撃の成功率を高めるために様々な隠蔽技術を利用し、内蔵するマルウェアの内容を暗号化してパターン照合や静的解析を無効化したり、投下後にドロッパー自身を削除して感染経路の追跡を困難にする事例が知られている。
感染経路としては、メールの添付ファイル、不正なマクロを含むOffice文書、改竄されたWebサイトからのドライブバイダウンロード、トロイの木馬化されたアプリケーションソフトのインストーラなどがよく知られる。近年では、「LotL」(Living off the Land)手法と組み合わせ、Windows PowerShellやWMI(Windows Management Instrumentation)などOS標準のツールを悪用し、ファイルを残さず動作するファイルレス型ドロッパーも増加しており、ファイルの内容とマルウェアのパターンを照合するシグネチャベースの検出が困難になっている。
なお、類似する概念に「ダウンローダー」(downloaderがあるが、ドロッパーがマルウェアを自身の内部に保持しているのに対し、ダウンローダーは外部のサーバから別のマルウェアを取得する点で区別される。自身が積極的に悪意のある活動を行わない点は共通している。
共有ボタンをタップ