トロイの木馬 SpyEye の管理コンソールを検証する


By Michael Johnson

ウェブルートでは、2010 年 4 月に初めて発見した SpyEye の進化について、調査と記録をその後も続けてきました。SpyEye は、トロイの木馬 Zeus の後継にあたる、悪質なトロイの木馬です。Zeus の作者が闇市場を離れ、そのソースコードを SpyEye の開発チームに譲渡したことで、有償で入手可能なルートキットの主流の座が SpyEye に移りました。
ウェブルートのリアルタイム検出技術で見ても、また私自身が暇を見付けては熱心に進めているマルウェア退治の取り組みから見ても、SpyEye の感染は半年ほど前から急激に増加していることがわかります。

私は先週、パスワードで保護されたあるサイトの URL に偶然遭遇しました。最初は、たいしたサイトではないだろうと思っていたのですが、実際にログインしてみたところ、何と開いたのは SpyEye の操作パネルの管理者ページでした。しかも、フルアクセスが可能な状態のようなのです。管理パネルの操作はとても簡単で、高学年の小学生でもいじれそうなほどでした。

一見したところ、その時点でボットの数は約 3,000 で、アクティブな状態にあるのはおよそ 600 でした。そのサイトは 4 日後には移動されましたが、その時点でボットの数は早くも 10,000 に達する勢いでした。

それだけ急速に広まる理由も、現在では徐々に明らかになりつつあります。SpyEye の開発者たちは、ツールを非常に操作しやすいものに仕立て上げたうえで、問題が発生したときにはサポートも迅速に提供しているようです。開発側のセールスポイントは絶大な効果を発揮し、今や大勢の悪党連中が、ツールキットと指揮管理サーバーをわずかな金額で手に入れられる状況にあります。

スクリーンショットは、どこをどう見ても、あまり気持ちのいいものではありません。

さまざまな項目がぱっと目に飛び込んできます。まず気付くのは、virtest.org を利用してウイルス スキャンをすばやく実行できる機能があることです。virtest.org の運営者がマルウェアのサンプルをウイルス対策製品の開発元に提供することはないと、SpyEye の開発者たちが信頼しているからこそです。

このウイルス スキャン機能では、コントロール パネルの運営者が作成したバイナリを VirusTotal のような形のサービスで随時スキャンできます。そして、ある程度の数のウイルス対策製品で検出されるようになったら、検出を逃れられる新しいバイナリを生成すれば済みます。

もう 1 つ目を引かれたのが、最近明らかになったマイクロソフトの RDP (リモート デスクトップ プロトコル) の脆弱性「マイクロソフト セキュリティ情報 MS11-065」を利用した機能です。

この機能では、標的のマシンとの間でリモート デスクトップ接続を秘密裏に確立して、スクリーンショットを取得したり、指定した時間に動作するレコーダーをセットしたりできます。つまり、攻撃側がコントロール パネルにログインしていなくても、標的のユーザーが行った操作の一部始終を記録できるということです。その内容は保存しておいて、後でゆっくり参照できます。

SpyEye の開発者は、コントロール パネルをできるだけ簡単かつ効果的に利用できるよう、かなり細かい所まで作り込んでいます。次に示す画面は、RDP の脆弱性を利用して感染したマシンの一覧です。

アクティブ状態と非アクティブ状態のボットの数も、国別の一覧ですぐに確認できるようになっています。点灯状態と消灯状態のかわいらしい電球の絵は、それぞれオンライン状態とオフライン状態のボットを表します。

オペレーティング システムの情報も、グラフで見やすく表示できます。

注目に値するのは、感染したマシンのうちで、最近の Windows ではなく旧式のオペレーティング システムを利用している割合です。

次の画面は、設定とプラグインのページです。こちらも、ボットの機能の確認や調整をすっきりと行えるようになっています。

このように扱いやすい管理コンソールなら、タスクを作成する作業にも何ら難しいところはありません。次に示す画像では、配布用のバイナリや設定ファイルの新規作成といったタスクを攻撃者が作成できます。作成したタスクの監視も非常に簡単で、統計情報やグラフをわかりやすいレイアウトで表示できます。

DNS のパッシブ レプリケーションの結果、私がこのパネルを調査していた時点で、いくつかのアクティブなドメインが明らかになりました。

http://www.zolotayribka.com
teenstubegoldb.com
mapingcreating.com
tkt-mail.com
tmt-mail.com
registrationstables.com
atlanticafilms.com
http://www.atlanticafilms.com

Robtex から取得した IP グラフ

wordpress blog stats