最近のマルウェアは非常に巧妙でディスク上、通信などからの発
見は一苦労です。そのため、マルウェア感染の早期発見が、今ま
で以上に重要視されています。
とはいえ、マルウェアの通信に決まったパターンがあるわけでは
ありませんので、簡単には見つからないのが現状ではないで
しょうか。

そこで、今回は少しでも参考になればと思い、最近度々見かける
マルウェア通信のログを紹介してみたいと思います。
ProxyログなどからHTTP/HTTPSへのリクエストログを漁れば、
もしかすると、類似のログが発見できるかもしれません。

今回は、画像ファイルのPOSTのように見せかけ、マルウェアの
感染端末のリモート操作や窃取した情報のアップロードなどの
操作を行っているパターンです。
例えば、次のPOSTリクエスト(抜粋)は最近よく見かけるもの
のひとつです。

post1

中央付近のContent-Disposition以下を参照しますと、画像ファイ
ルらしきファイル(GIF)がPOSTされています。
ところが、よくログを見てみると、画像ファイルにも関わらず
Content-Typeが、"text/plain" となっておりバイナリではありま
せん。
# 一般的には image/gif が利用されます。

実は、このファイルの正体はDOSコマンドの出力結果をXORで
符号化したもので、テキストファイルです。
そのため、Content-Typeには "text/plain" となっています。
# 但し、いろいろ細工はできますので必ずこのようになるとは限
# りません。

つまり、この手口を用いているマルウェアに関して言えば、POST
しているにも関わらず、Content-Typeが矛盾しているものを探せ
ば、見つけられそうです。
Proxyのログ出力の設定などにより探せない場合は、代替となるロ
グから探してみてください。ログが何も無い場合は、ログ収集から
始めるしかありませんが・・・。

尚、高度なステガノグラフィを用いたものや、銀河系の衝突
記事で解説されているようなレベルのものは、残念ながら今回の
簡易的な方法では、すぐに見つかりません。もう一工夫必要です。

ということで、今回は比較的容易に見つけられそうなものを紹介し
てみました。参考になれば幸いです。

では、良いお年を!