いわゆる“遠隔操作ウイルス”として10月に世間を騒がせたマルウェアに関しては、「iesys.exe」という名前の実行ファイルがインストールされることは新聞はじめ各種メディアの報道でも広く知られている通りだ一方で、無料のユーティリティ系ソフトを装ってダウンロード配布されていたとされる際のファイル名や、いわば“表の顔”であるソフトの名称に関しては、ニュース報道ではあまりはっきりとしたことは伝えてないようだ
【拡大画像や他の画像】
そこで今回、“遠隔操作ウイルス”の検体の1つを解析した株式会社ラックの中津留勇氏(同社サイバーセキュリティ研究所)に、同ウイルスの挙動について詳細を聞いた
※本記事は、10月28日に開催された私的勉強会(10月29日付関連記事を参照)で中津留氏が行ったプレゼンテーションをベースに、同氏に後日追加取材してまとめたものです
● テキストエディターソフトとして公開されていた「chikan.zip」の挙動
“遠隔操作ウイルス”はいくつかの無料ソフトを装って配布されていた模様だが、中津留氏が解析したのは、文字列の置換を目的としたテキストエディターソフトを装い、「chikan.zip」というZIPファイルに固められてDropboxに蔵置されていたとみられる検体だインターネット掲示板上に記載されたリンクによって、被害者がこのZIPファイルをダウンロードさせるよう誘導されていた
このZIPファイルを解凍すると、解凍先のフォルダーに「Chikan.exe」と「data」という2つのファイルが現れるダウンロードした被害者は「Chikan.exe」をテキストエディターソフトと思って実行するわけだが、実は“遠隔操作ウイルス”のドロッパーであり、「iesys.exe」と「cfg.dat」という2つのファイルをアプリケーションデータフォルダーなど(Windowsのバージョンによって異なる)にインストールするとともに、Windows起動時に「iesys.exe」が自動実行されるようにレジストリエントリを書き加える
同時に、解凍先のフォルダーには「del.bat」というファイルを生成これがドロッパーの「Chikan.exe」を削除する一方で、「data」のファイル名を「Chikan.exe」に変更ドロッパーとは別のテキストエディターソフトとしての「Chikan.exe」が現れる
以降、「Chikan.exe」は、「置換君」の語呂合わせと思われる「痴漢君」という名称のソフトとして起動し、テキストエディターソフトとして機能するため、ユーザーは「ダウンロードしたソフトの機能の乏しさを実感するかもしれないが、感染したことに気付かない」(中津留氏)さらに、攻撃者がマルウェア本体の「iesys.exe」などのファイルを削除して痕跡を消した後も、「Chikan.exe」はそのまま残り、テキストエディターソフトとして利用できる
なお、中津留氏はダウンロード配布されていた「chikan.zip」そのものを入手できていたわけではないという調査を開始した段階ですでにDropbox上からZIPファイルは削除されており、実際に入手したのは解凍後の「Chikan.exe」と「data」という2つのファイルのセットだ「chikan.zip」を入手したという人がネット掲示板で公開していた「Chikan.exe」と「data」のハッシュ値と、中津留氏が入手した「Chikan.exe」と「data」のハッシュ値が同じだったことから、それらの検体が「chikan.zip」として配布されていたものと判断した
“遠隔操作ウイルス”としてはこのほかにも、タイマーソフトやExif情報編集ソフトなどを装って配布されていたものがあると言われているが、中津留氏が実際に検体を入手して解析したのは「Chikan.exe」版のみだ「timer.zip」として出回っていたことなども確認されているものの、それを解凍してできる実行ファイルの名前や、タイマーソフトと推測される具体的なソフト名まで判明するには至っていないとしている
ちなみに「iesys」という名称の意味するところについては、中津留氏が調査してみたものの、情報は得られていないという過去にマルウェアのファイル名として存在していたことが指摘されているが、“遠隔操作ウイルス”との関連性などは不明
● “遠隔操作ウイルス”の本体「iesys.exe」の機能と遠隔操作方法
“遠隔操作ウイルス”の本体である「iesys.exe」は、「したらば掲示板」の指定された板に投稿された攻撃者からのコマンドを読みに行くことで、バックドアプログラムとして動作するこれを操るC&C(Command & Control)サーバーとして、掲示板を悪用していたかたちだ同掲示板では、通信経路を匿名化するツール「Tor」 が規制されておらず、スレの削除が可能なことなどもあり、“遠隔操作ウイルス”に悪用されたのではないかとみられている
「iesys.exe」が読みに行く板のカテゴリーや板のIDは、環境設定ファイルの「cfg.dat」に平文で記述されていた中津留氏が入手した検体では、「学問/人文/科学」(study)カテゴリーの板や、感染したPCから窃取した情報のアップロード先として.meドメインの無料ホスティングサービスが設定されていたこのほかにも、「旅行/地域」(travel)カテゴリーの板が設定された「cfg.dat」ファイルの存在も確認されているとしており、侵入したPCごとにそれぞれC&C掲示板を使い分けたり、「cfg.dat」を更新することでC&C掲示板を切り替えていたことも考えられる
こえらのカテゴリーを使った理由について中津留氏は、「iesys.exe」のコマンドを書き込むスレッドを立ててもあまり目立たないよう、ページビューの多いカテゴリーを選んだのか、あるいは逆にあまりページビューのないカテゴリーを選んだのか不明だとしているまた、判明しているC&C掲示板の板・スレッドも、現在は板ごと削除されているため、これまでにどれだけの数の「iesys.exe」向けC&C掲示板が開設されたのかについても、掲示板サービス運営者以外の外部から調査することはできなくなっているとしている
「iesys.exe」が受信して実行可能な主なコマンドとしては、現在のステータスを送信する「stat」、任意のブラウザーの操作を行う「wb*」(ディスプレイにブラウザーのウィンドウを表示しないために、PCの所有者には見えない状態で行われる)、ブラウザーまたは画面のスクリーンショット(モノクロ)を送信する「wbcap」「scrcap」、キーロガーのオン/オフ「klon」「kloff」、任意のファイル操作を行う「send」「del」「run」、バーストモードのオン/オフ「bm」「nm」、自身の更新「update」、自身を終了または再起動する「fsuspend」「restart」、自身のアンインストール「suica」などがある
PCへの潜入に成功したiesys.exeは、指定された板へアクセスしてスレッドを作成、そのレスとして遠隔の攻撃者からのコマンドを受信する仕組みレスの読み込みは初回が10秒で、以降は5分ごとただし、前述のバーストモードをオンにすると10秒間隔と頻繁に読み込みにいくようになるコマンドを受けて実行した結果は、同じスレッドに「iesys.exe」がレスとして書き込み、これを攻撃者がチェックする流れだこのほか、キーロガーのログ情報は、15分ごとに書き込むようになっていたまた、これらの通信では、コマンドやコマンドの実行結果をAESで暗号化してやりとりする機能も実装されていたという
今回の“遠隔操作ウイルス”による冤罪事件では、侵入したPCの所有者になりすまして犯行予告のメール送信や掲示板への書き込みが行われたわけだが、ブラウザーを遠隔操作するコマンドによって、ウェブメールの作成・送信やウェブ入力フォームへの入力が行われていたとみられる
後述する遠隔操作ツール「PoisonIvy」がリモートデスクトップのような攻撃者向け管理画面を持つのに対して、“遠隔操作ウイルス”でメールや投稿のなりすまし操作を行うためには、掲示板経由でコマンドをやり取りすることになるかなりまどろっこしい印象を受けるが、中津留氏は、実際に試してみたわけでなく、想像だとした上で、「投稿する当該ウェブページを調査した上で、コマンドをまとめて命令したのではないか特定のフォームのパラメーターを調べ、それをコマンドにするというだけであれば、そう難しくはないと思う」としている
※本記事は、10月28日に開催された私的勉強会(10月29日付関連記事を参照)で中津留氏が行ったプレゼンテーションをベースに、同氏に後日追加取材してまとめたものです
ルイビトン 財布※本記事は、10月28日に開催された私的勉強会(10月29日付関連記事を参照)で中津留氏が行ったプレゼンテーションをベースに、同氏に後日追加取材してまとめたものです
時計 レディース※本記事は、10月28日に開催された私的勉強会(10月29日付関連記事を参照)で中津留氏が行ったプレゼンテーションをベースに、同氏に後日追加取材してまとめたものです
プラダ財布PR
