難読化ではなく誤った指図を行うトロイの木馬が発生


By アンドリュー・ブラント / Andrew Brandt

トロイの木馬に、ルートキットのような動作をする、普通とは異なる系統が発生しました。どうやら、これは中国が発信元で、その目的は感染したシステム上でマルウェアの存在を隠蔽することではなく、感染したコンピューター上で技術担当者がシステム分析ツールを使用する際に誤った方向に導いたり、混乱させたりすることのようです。

この種のトロイの木馬はすべて、中国にある無料の Web ホストで稼働しているサーバーが発信元で、我々がテストした各サンプルでは、感染したシステムに関するプロファイリング データが、同じく中国にある別の無料の Web ホスト上の指揮管理サーバーに送信されました。他のコンポーネントをダウンロードする命令を受け取る機能もあるようです。システムをスキャンして、Qihoo 360 (中国内最大のウイルス対策会社) の製品を含め、中国で一般に利用されているウイルス対策製品を探します。

しかし、このトロイの木馬の最も興味深い面は、実行中のプログラムの監視を目的とする無償ツールの大半を騙してしまったことでした。このトロイの木馬はアクティブなプログラムのリストに表示されますが、このリストに実行中の実行可能プログラムの絶対パスが含まれていると、このパスは実際には存在しないファイルを参照します。このファイルは別の場所にあることになっています。

ファイルは .rar 拡張子の圧縮ファイルで、実行が可能です。ファイルを正しい拡張子に変更すると,、マルウェア アプリケーション特有のアイコン (3 つの連結した立方体) が表示されます。

このマルウェアは Windows サービスとしてインストールされ、再起動後に確実に実行されます。擬似乱数のサービス名になり、サービスの説明にも擬似乱数が使われます。また、この擬似乱数の手法が独特です。名前、説明の両方とも同じルートのフレーズを使用しますが、マルウェアによってランダムな文字や数字が名前と説明の間に挿入されるのです。名前を例に挙げると、常に DHCP Service (実際は DHCP Client という名前の DHCP を処理する Windows サービス) というフレーズで始まりますが、この場合、名前に DHCP service fo2344r という擬似乱数が挿入されました。また別のサービス名にも、DHCP servrtrt465466565ice for と擬似乱数が挿入されました。これと同様に、説明にもそれぞれ、Network address tran4442slation for virtualNetwork address translatio565n for virtual と擬似乱数が挿入されました。マルウェアを作るのに英語力が必要ないことは明らかですね。

マルウェアのプロパティ画面の説明の欄にトロイの木馬は OpenSSL Shared Library (OpenSSL 共有ライブラリ) でそのバージョンは 0.9.8.7 と記されています。ただ、共有ライブラリは通常実行可能な形式ではありません。正規の OpenSSL 共有ライブラリは通常、ssleay32.dll または libeay32.dll のファイル名で Windows のユーザーに配布されます。上のスクリーンショットは、両方のプロパティ画面を比較するために並べたものです。OpenSSL は一般的で広く使用されており、別の場所にあるサーバーとセキュアな通信を行う必要がある多くのアプリケーションにインストールされています。このマルウェアは、本来の OpenSSL ライブラリのプロパティに表示されるパイプ文字まで模倣しています (意図的ではない可能性がありますが)。これらのすべてはソーシャル エンジニアにとっては一般的な手法です。

上のスクリーンショットを見ると、このマルウェアは Program Files のディレクトリの直下にコピーされているのが分かります。ここにトリックがあります。Process Explorer で見ると違うパスが表示され、マルウェアが c:\windows\system32\exphost.exe から実行していると表示されます。私のテスト環境にファイルは存在しないのです。

マルウェアが何かを始めるまで時間がかかりました。テスト環境では、トロイの木馬は数時間アイドル状態で、定期的に指揮管理サーバーを確認し、継続的に複数の Web サーバーから何かをダウンロードしようとし始めました。ただ、私の知る限り、それらのサーバーはオフラインでした。

その後、マルウェアは IPv6 の「ping」パケットを送信し始めました。自身の存在を主張するかのように、1 秒あたり 2975 回の ping 率で、IP アドレス 59.34.197.232 に送られました。その IP アドレスは中国電信のネットワークでホスティングされている指揮管理サーバーで、マルウェアのサンプルの 1 つが同じセットから使用されていました。(また、スパムや他のウイルスのソースからも使用されていました。この IP アドレスはスパム ソースのブラックリストの情報を提供する複数のプロバイダーがブラックリストに上げていたのです。) 当然、ローカル ネットワークのブラックリストに登録するべき IP アドレスです。

この急速な ping により、しばらくしてから NetworkMiner のような無償ツールがクラッシュします。ただ、使用している内部ネットワークの監視ツールには影響を及ぼさないのです。結局のところ、単純に、「ping 要求または ping 応答のパケットを許可しない」と設定すると不要なネットワーク トラフィックは取り除かれ、残りのネットワーク トラフィックを監視すればよくなり、不要なデータの洪水からは解放されます。

他にも、IP アドレスが 183.60.132.157 の指揮管理サーバーがあります (この IP アドレスはマルウェアのソース URL、vip.hyaiwl.name に登録されています)。マルウェアはこのアドレスに 10 秒に 1 回の間隔でアクセスします。このマルウェアは IP アドレス 112.91.169.232 に SYN フラッドを送信します。これは中国聯合通信のアドレスで、不正行為の結果からブラックリストに複数上げられています。

残念ながら、このマルウェアの作成者のお粗末なコーディングは他の問題をもたらします。Windows が「メモリ不足」のエラーを認識するまで、マルウェアはシステムリソースのメモリをゆっくりと使用し続けるのです。ping をそのまま続けさせていると問題は悪化します。あるテスト環境で、マルウェアを一晩中実行しました。翌朝、たった 50 MB の RAM を使用していたのが、システムメモリを 485 MB 以上使用するところまで膨れ上がりました。マルウェアも困ったものです。

wordpress blog stats