Black Hat のコンファレンスで見た印象的なマルウェア


By アンドリュー・ブラント / Andrew Brandt

今週は Black Hat Briefings に来ています。コンピューター セキュリティ界の精鋭たちの話を聞ける毎年恒例のコンファレンスです。マルウェアやデータ盗難の最新の傾向や手口を知ることができます。今日は、2 人のセキュリティ研究者による印象的なデモを通じて、特定の標的を狙い撃ちにした 4 つのマルウェアの挙動を深く掘り下げて知ることができました。

発表者は、Trustwave の Nicholas Percoco 氏と Jibran Ilyas 氏です。重要情報を盗み出して犯罪者にこっそり引き渡す機能を持った、4 つのトロイの木馬のデモが行われました。このうち 3 つは、小売業者のサーバーにインストールされていたもので、クレジット カード情報を盗みます。POS (販売時点管理) デバイス (たとえば店のレジ) で記録される磁気ストライプのデータも被害に遭います。残る 1 つは、大手の軍事関連企業のコンピューターで見つかったもので、[マイ ドキュメント] フォルダーのファイルや、システムに保存されたパスワードを盗み出します。

目を引くのは、これらのトロイの木馬が標的を絞り込んでいることです。たとえば、軍事関連企業の事例では、敵は明らかに攻撃の下調べを行っています。上層部の複数の幹部を標的にしているからです。デモを行った 2 人によると、攻撃の第 1 歩は、悪質な細工を加えた Adobe PDF ファイルです。標的の幹部たちのみに対し、同社の CEO からに見せかけたメールで送られてきました。その CEO のメール署名をも模倣するという手の込んだ偽メールで、本文の文面も、いかにもその人が使いそうな言い回しでした。

この 4 つのトロイの木馬で特にポイントとなったのは、かなり長期にわたってまんまと検出を逃れることができたため、悪事を働く時間的余裕があったということです。4 つのうち、ルートキット ドライバーを使用した 1 つは、テスト機で “ブルー スクリーン” を出すことがよくありました。しかし被害者は、たとえクラッシュが起きても、自分のコンピューターが感染しているという疑念は抱きませんでした。Windows はさまざまな原因でクラッシュするので、1 回クラッシュしたからと言って、必ずしもマルウェアに感染しているせいとは限らないのです。
wordpress blog stats