検体解析やインシデント対応の中で、あるテクニックがオペレーションの多くの場面で使われているのを観測する事があります。 最近の標的型攻撃では、APT10 ANEL[1] やBlackTech TSCOOKIE[2]などエンコード・暗号化されたコードを実行時にデコード・復号し、メモリ上でPE形式のコードを実行するタイプ(ここでは、ローダーと呼称します)が多く観測されています。 攻撃者グループが使うエンコード・暗号方式も違いがあり、上述のバックドア型のマルウェアだけでなくMimikatzのようなツールも検出を回避するのにローダーが使われる事があります。 今回は、弊社で観測したOceanLotus/APT32 の検出回避テクニックについて解説します。 OceanLotus/APT32は、ベトナムに拠点を置くと見られるグループで東南アジア圏で活発な活動が観測されています。FireEye社は、彼らの観