エフセキュアブログ

RAT を含む記事

マルウェア作者:エフセキュアに監視させてホフを悩ませるな!

  この間、我々はマルウェア作者たちがチャック・ノリスが大のお気に入りらしいことに気づいた。当然だ。チャック・ノリスは強烈なのだ! 我々はこの状況を慎重にモニタリングし、ノリス氏に対するある種の興味、あるいは敬意を示すマルウェアをいくつか見つけた。

  我々は考え始めた。我々のオートメーションがチャック・ノリスに対する言及を探すことでマルウェアを検出することができるなら、我々は他に何をすることができるだろうか? そして我々は気づいた。デビッド・ハッセルホフへの言及を探す必要がある、と。よく考えれば明白だ!

The Hoff t-shirt
Picture (C) F-Secure Corporation

  確かに、「ホフ」に言及するマルウェアが存在する。

  リモート管理Trojan(RAT)で、クライアントとバックドアからなる「Backdoor:W32/IndSocket.A (a7de748dc32a8edda9e81a201e2a83da8f60bd42)」が一例だ。これは障害の起きたコンピュータ上で、攻撃者が特定のことをするのを可能にする。典型的なのは、プログラムの実行、キーストロークのロギング、ユーザのWindowsデスクトップの壁紙を変更するなどだ。しかし問題もある。攻撃者は、どの壁紙を使うか選べないのだ。攻撃者がリモートTrojanコントロールパネル上で「David Hasselhoff Atach」(原文ママ)ボタンをクリックすると、壁紙が自動的に、戦略的に2匹の子犬が配された「ナイトライダー」の有名な画像に変わる。

indsocket options
Picture (C) F-Secure Corporation

  したがって、あなた自身が壁紙を「ホフ」の写真に変えていないなら、何が起きたか分かるだろう。エフセキュアの「インターネット セキュリティ」には「Anti-Hassle Hoff Technology(TM)」が搭載されていることを知れば、我々のカスタマは安心するに違いない。

Roundhouse Kick Time

  チャック・ノリスは強烈だ。我々は皆、それを知っている。マルウェア作者も知っている。
roundhouse kick!
  実際、我々は以前からチャック・ノリスに言及するワームやトロイの木馬を複数見てきた。おそらく、一番の例は昨年来の「Chuck Norris Router Worm」だろう。

  次々にやってくるマルウェアをチェックしていて、我々はこれ(md5 66b06adc178d17a7b42301e845eed84d)に気づいた。コンピュータのコントロールを奪い、感染したシステムへの完全なリモートアクセスを可能にするボットネットクライアントだ。

  例によって、これは接続するサーバを必要とする。サーバの名前? 「chucknorris.zapto.org」だ。同ボットはレジストリ「hkcu\software\chuck norris」のもとに自身を登録している。我々はこれを「Backdoor:W32/Spyrat.D」として検出している。解説はここにある。

  これを少々じっくりチェックしたところ、「CyberGate」と呼ばれるツールで生成されていることが分かった。以下が「CyberGate」コントロールパネルの様子だ。

cybergate-rat.org




(管理人註 : Roundhouse kick(Wikipedia) )

Samsung Wave Autorun.inf

Samsung Wave  CD-ROMではなく、microSDカードにWindowsインストール・ファイルを格納して出荷される携帯電話がますます増えている。携帯電話をPCに同期させるためにすべきことは、携帯をリムーバブルなUSBドライブとして検出し、インストーラを動作させることだけだ。多くの携帯ベンダーが、このプロセスをアシストするため、autorun.infファイルも含めている。

  残念なことに、autorun.infファイルは製造工程で感染する可能性があり、microSDカードはリード・オンリーではない。

  少なくともLinuxベースの「iPhoneキラー」であるSamsungのWaveのドイツ・モデルの中には、感染したautorun.infとslmvsrv.exeという名のファイルと共に出荷されているものがあるとEngadgetが報告している

  同ファイルのMD5はbb9818d76fe60e68608e2a1e7bc6666bで、我々はこれを「Trojan.Generic.3932466」として検出している。これがイン・ザ・ワイルド(ただし非常に限られている)であることを示すテレメトリーが存在する。

  これは、みなさんのコンピュータにまで広がる、感染したデバイス新たなと言える。

トロイの木馬でリモート脆弱性を見つける

  多くの読者が「Poison Ivy」をご存じだろう。様々な攻撃、特に標的型のスパイ攻撃でよく使用されるリモート・アクセス型トロイの木馬(Remote Access Trojan:RAT)だ。このようなRATアプリケーションの詳細については、この記事を参照して欲しい。

  Poison Ivy RATは、「Shapeless」という名のスウェーデンのコーダにより開発された。

Shapeless

  我々はちょうど、Signal11のAndrzej Dereszowskiによる新たなレポートを読んだところだ。

Signal11

  Andrzejはある標的型攻撃を調査し、標的からデータを盗み出すのに「Poison Ivy」が使用されたことを発見した。このことから彼は、多くの研究者がInternet ExplorerやAdobe PDF Readerから脆弱性を発見しようとしている事実について考えることになった。何故、「Poison Ivy」から脆弱性を探そうとしないのだろう?

  そして彼はまさにこれを行った。「Poison Ivy」にリモート・コード実行の脆弱性を発見し、被害者が攻撃者に攻撃を仕返すことを可能にしたのだ。

Signal11

  素晴らしい仕事だ!

  完全なレポートはここにある。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード