Malware & MySQL - Believe it!」より
June 3,2008 posted by Elad Sharf & Joren McReynolds,Security Researcher

 マルウエアの大半は,盗み出したIDなどの情報を急ごしらえのテキスト・ファイルに保管した後,電子メールやその他のプロトコルを使って作者に送信する。ところが最近,マルウエアの世界で拡張性と堅牢性を備えた手法が注目されるようになってきた。具体的には,追加攻撃モジュールのダウンロード元を決める際に,遠隔地のテキスト・ファイルの内容に従うマルウエアが増えてきた。マルウエアの作者は従来のように,実行可能ファイルの場所をあらかじめコードに埋め込んでおく方法をとらずに済み,より柔軟な攻撃が可能になる。今回は,さらなる拡張性に配慮したマルウエアの事例を取り上げる。このマルウエアは,盗んだ情報の保管場所としてリモートにあるオープンソース・データベース「MySQL」を使い,そこから悪意のあるモジュールやスクリプト・コードを取得する。

MySQLデータベース

 このマルウエアはMySQLステートメント「INSERT INTO pakote.infect (tudo) VALUES ('PCNAME') 」を作る。同ステートメントが実行されると,コンピュータ名をテーブル「infect」に保存する。同ステートメントはリモートのMySQLデータベースから発行・実行されている。しかも,同データベースは「db4free」という名のホスティング・サービスで無償提供されているものだ。驚くには値しないが,このマルウエアがMySQLデータベースを呼び出すことができるのは,「Zeoslib」という名の既存ライブラリを使用しているためだ。Zeoslibはソフトウエア開発ツール「Delphi」のコンポーネントの一つで,MySQLのほか「Microsoft SQL」「Sybase」といったデータベースとの接続に利用できる。

動作の仕組み

 このマルウエアは,本格的な処理を行う前にリモート・サーバーからテキスト・ファイルを取得する。取得時に送るHTTP要求のスクリーンショットを以下に示す。

 上記画面の通り,このテキスト・ファイルは設定ファイルとして機能しており,MySQLデータベースのホスト名,さらには同データベースのアクセスや更新に必要なID情報が記載されている。これは非常に良くできた仕組みだ。マルウエアの作者はコード内に埋め込まれた一つのアカウントに縛られることなく,さまざまな無料データベース・プロバイダでアカウントを大量に作成できるからだ。つまり,あるホストがダウンしても,マルウエア作者はテキスト・ファイルのホスト名とID情報を別のものに変えるだけでよい。MySQL管理ユーティリティ「phpMyAdmin」を使ってこのデータベースに接続したところ,以下のような結果が得られた。

 図の下側に赤枠で示した通り,「infect」テーブルには感染した全コンピュータの名前が含まれている。図の左側に赤枠で示した別のテーブルは,特定の会社から盗み出したID情報を入れるためのものだ。「conf」テーブルの内容を見れば,同テーブルがマルウエアの設定ファイルとして使用され,標的型攻撃に必要な追加情報を保管していると分かるだろう。カラム(列)「modmsn」「modorkut」「modred」「modita」「modcci」「modccc」では,それぞれリモート実行可能ファイルの場所を示すURLが確認できる。これらの実行可能ファイルを分析した結果,カラム名は攻撃対象となるサービスを示していることが判明した。例えば,modcccはローカル・コンテンツへのインジェクション行為でブラジル系銀行,クレジット・カード・シティの利用者に攻撃を仕掛ける。moditaの攻撃対象は,ブラジルのイタウ銀行の利用者,といった具合だ。ローカル・コンテンツへのインジェクション攻撃については,暗号化文字列とコンテンツ・インジェクションに関して解説した過去のブログ記事を見てほしい。

 実行可能ファイルの中で興味深かったのが,WebブラウザにJavaScriptファイルを送り込むmodorkutだ。このファイルは米グーグルのソーシャル・ネットワーキング・サービス(SNS)「Orkut」のスクラップブック・メッセージに悪意のあるURLを複数投稿し,同じマルウエアをダウンロードさせようとする。スクラップブックに掲載されたURLはオープンなリダイレクタを使用しているため人目に付きにくいが,幸い現在は閉鎖されている。具体的な例(映画専門SNSの「Flixster」)を以下に示す。

結論

 今回のマルウエアは,盗み出したID情報の保存と攻撃用スクリプト/モジュールの取得にリモートMySQLデータベースを利用するという特徴を持つ,比較的ユニークなものだ。また,Orkutのローカル・コンテンツへのインジェクションなど,独特な感染手段を取り入れており,これまでのMSNのコンタクト情報を悪用するやり方とは対照的だ。

 我々が通知せずとも,オープンなリダイレクタを特定し,閉鎖したFlixsterを賞賛したい。これは今回のブログ記事で示した通り,ユーザーの安全を確保するために必要なセキュリティ対策である。


Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Malware & MySQL - Believe it!でお読みいただけます。