攻撃者は、マルウェアの機能を隠蔽するために、マルウェア本体をエンコードし、実行時だけデコードして動作させることがあります。そのような場合、エンコードされたマルウェア本体は、ローダーと呼ばれるプログラムにロードされて、実行されます。このように、マルウェアをローダーとエンコードされたマルウェア本体に分割することで、ローダーの機能を最小限にし、マルウェアの重要な機能を隠蔽することで、感染ホスト上で発見することが難しくなります。 今回は、このようなローダーの中で、2015年頃から使用されているHUI Loaderについて解説します。 HUI Loaderの概要 HUI Loaderについては、JSAC2022にて複数の攻撃グループによって使用されていることが指摘[1]されているローダーです。JPCERT/CCでも、HUI Loaderを使用した攻撃を2015年頃から確認しています。図1は、HUI
![HUI Loaderの分析 - JPCERT/CC Eyes](https://cdn-ak-scissors.b.st-hatena.com/image/square/dca54330f048fc4c1af34a7e06d53f259cbd1fdd/height=288;version=1;width=512/https%3A%2F%2Fblogs.jpcert.or.jp%2Fja%2F.assets%2Fthumbnail%2Fhui_loader-fig1-800wi.png)