エフセキュアブログ : 最近気になる Remote Administration Tool（RAT）

何かと話題の「遠隔操作ウイルス」事件により、ようやく RAT（いわゆるトロイの木馬）が一般的に認知されました。
RAT 自体は10年以上前から存在しますし、世界中で開発されていますので、日本もその例に漏れず、といったところでしょう。
RAT 開発者の職業もここ数年で非常に幅広くなったように思います。2年前にとあるアンダーグラウンド・マーケットで RAT の開発者にインタビューしたところ、その開発者は高校生でした。4、5年前は、職業プログラマの開発者しか（ネット上で）会えなかったことを考えると、時代は変わったなぁ、とつくづく感じます。
SYSIE の作者が何者かは分かりませんが、学生から職業プログラマ、国家機関など誰がマルウェアを開発していても不思議ではない状況下ですので、犯人像の特定は今後ますます難しくなっていくように思います。

さて、そんな誰もがマルウェアを開発できる環境が整いつつあるなか、ここ数年間注目しているのは Java で開発された RAT です。

理由は幾つかあるのですが、例えば、
①マルチプラットフォーム対応なので標的となる OS が幅広く、近い将来に流行するかもしれない

②実行ファイル（EXE や DLL）ではなく JAR ファイルが利用
（防御レベルが少々手薄）

③一般のJavaプログラムの実行と区別が付きづらい

などが挙げられます。マルチプラットフォーム対応のマルウェアは、Java RAT の他には今年8月にW32.Crisis、OSX.Crisis が報告されています。マルウェア開発の流れは、マルチプラットフォームへと動いていることは、間違いなさそうです。そういった観点からも、Java RAT が近い将来に普及し始めるのではないか、と考えています。
（とはいえ、Windows 実行ファイルの RAT が主流であることには変わらないと思いますが・・・）

これらの脅威に対し、新たな対策があるわけではありませんが、あえて補足しておくとすれば、検体が抽出しやすい環境を整えておくことを推奨します。

・OS等のバックアップ機能を利用
・ネットワーク・トラフィックからファイル抽出
・怪しいと思ったら証拠保全（フォレンジック）
※ウェブレピュテーション機能がアラートを挙げる、覚えの無いソフトウェアのフォルダが作成されている（空のWinRARフォルダなどあったら即保全）等

などがあります。RAT の検体が抽出困難な場合でも、状況によっては感染事実を推測することは出来ます。しかし、駆除や被害範囲の特定、対策面の検討等を考慮しますと、検体の入手は非常に重要になってきます。 RAT の場合は、その特性から攻撃者の目的が明確である場合が多いです。そのため、単に検体を駆除するだけではなく、その背後関係まで考えて対策を実施する必要があると思います。
今後、マルウェア対策を行ううえで、その辺りも踏まえて考えるとサイバー・セキュリティの重要性が改めて感じられるのではないでしょうか。

タグ：: rat

最近気になる Remote Administration Tool（RAT）

カテゴリなしの他の記事

トラックバックURL