XWorm RATはスプレッドシート内に隠され、暗号化されたシェルコードブロックが隠されていました。
ForcepointのアナリストはXORSearchとScdbgを用いてシェルコードの実行オフセットを特定し、エミュレートしました。
その結果、リソースセクションからビットマップまたはオブジェクトを標的デバイスのメモリに反射的にロードするAPI呼び出しが発見されました。
また、この攻撃では.NETコードが任意のファイルの取得と実行にも使用されていました。
各段階はメモリ内でロードまたは実行されるため、4日後に排除されたセキュリティチームによる検出作業の痕跡がデバイス上に残ることはほとんどありませんでした。
コメント