トロイの木馬を簡単に生み出してしまうツール「SharK」

　マルウエア作者たちは，攻撃を仕掛けるマシンの制御について，常に新たな改良した方法を編み出してきた。そんな中で，リモート・アクセス型のトロイの木馬（RAT）は長きにわたって利用されている。最も悪名高いRATの一つは「Back Orifice」だ。

　“マルウエア自作キット”が普及したことで，どこにでもいるような若者が，気まぐれに第三者のコンピュータに侵入する術（すべ）を身につけた。そして，時間の経過とともに，これら自作キットの使いやすさはさらに高まったし，身を隠すためのステルス技術も進歩した。「SharK」はまさにこれに当てはまるRATキットで，攻撃者は同キットに搭載された機能を使い，トロイの木馬を自由にカスタマイズできる。

図1　SharKバージョン2（SharK2）のサーバー設定オプション

　簡単に説明すると，SharKで作成されたサーバーは通常は以下の処理を実行できるよう設定される。

• レジストリに記述されたActiveXキーを利用して，起動のたびにトロイの木馬を読み込む
  
• ソーシャル・エンジニアリング的な手口で，被害者に「メモ帳」のような正規の実行ファイルを開いていると思い込ませる
  
• その他の正規ファイルとバインドする
  
• アンチウイルス・ソフトを無効化するレトロウイルスのような動作を行う。さらに，オプションを利用すると，感染したマシン上にあるセキュリティ・ツールや分析ツールのブラックリスト化と無効化が行える
  
• また，実行時だけのサーバー・ソフト解凍，ファイル属性の改変，サーバーのファイル作成時間の改変，インターネット接続時のみポートを開くなど，さまざまなステルス・オプションを備える
  
• ヘッダーを暗号化し，独自のスタブを使用する

　SharKの最もユニークな点はサンドボックスを識別する機能を持つことだ。サンドボックスへの対処方法は幅広く議論されてきたが，同キットは恐らく，この機能を実装した数少ない例の一つだろう。サンドボックスの識別機能とアンチデバッキング機能，VMware検出機能が組み合わせられていて，同キットで作成したトロイの木馬を分析しづらいものにしている。

図2　Webダウンローダのコンポーネント

　いったん感染すると，攻撃を仕掛けられたマシンは特定のアドレスとポートに接続する。

• 大半のトロイの木馬と同様に，RC4暗号を利用して通信データを暗号化する
  
• WH_KEYBOARD_LLフックでキーロガーが作動する
  
• 対話式のDOSシェルを使う
  
• 実行中のプロセス，ウィンドウ，サービスをリモート・コンソールで操作する
  
• 対話式のプロセス・ブラックリスト化処理により，攻撃を仕掛けるマシンにブラックリスト上のプロセスが存在していた場合は，対処を促す（図3参照）
  
• Internet Explorerの隠しウインドウにコードを注入し，ファイアウオールの回避を試みる
  
• Webダウンローダ機能を利用し，攻撃対象マシンにファイルをダウンロード，実行させる（図2参照）
  
• 被害者をいろいろなフィッシング・サイトにリダイレクトすることが可能

図3　ブラックリストを対話式に処理

　SharKキットは継続的に更新され，新たな機能が取り入れられている。漏えいしたと見られるソースコードがあちこちのフォーラムで販売目的で公開されており，今後も新たなバージョンが登場してくるだろう。我々が手に入れたサンプルのコレクションを見ても，ハッカーたちが同キットに既に触手を伸ばしていることがうかがい知れる。

　McAfee Anti-Virus Emergency Response Team（AVERT：米マカフィーのウイルス対策技術研究機関）では，新たな脅威に対して常に警戒を払っている。最新のウイルス定義ファイル（DAT）では，今回の設定モジュールを「BackDoor-DKG.cfg」，サーバーを「BackDoor-DKG」として検出する。

---

Copyrights (C) 2007 McAfee, Inc. All rights reserved.
本記事の内容執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。

◆この記事は，マカフィーの許可を得て，米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は，「SharK2: Trojan Creation Made Easy!」でお読みいただけます。