Symantec Security Response Weblog
Trojan.Hydraq's Backdoor Capabilities」より
January 28,2010 Posted by Shunichi Imano

 「オーロラ攻撃」にかかわっているとされるマルウエア「Hydraq」には、難読化や感染したまま居座るといった機能があると判明した。Hydraqの背後にいる攻撃者は、一体どうやって感染パソコンを支配しているのだろうか(関連記事:「オーロラ攻撃」の詳細)。

バックドア機能

 セキュリティ関連ブログThreatExpertは、Hydraqのバックドア機能を網羅するような記事を掲載した。その内容を簡単にまとめておこう。

* トークンの権限を調整する
* コントロールとエンド・プロセス/サービスの状態を確認する
* 外部サーバーからダウンロードしたファイルを「%Temp%\mdm.exe」として保存し、実行する
* レジストリのサブキーを作成/変更/削除する
* 論理ドライブをリストアップする
* ファイルに対し読み取り/書き込み/実行/コピー/属性変更/削除する
* 感染パソコンをシャットダウン/再起動する
* レジストリのサブキー「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[ランダムな文字4個]」を削除し、自らアンインストールする
* 感染パソコンのイベント・ログをすべて消す
* 「%System%\acelpvc.dll」というDLLファイルがあるかどうか調べ、存在する場合は同DLLをロードし、そのエクスポート関数「EntryMain()」をコールする。パソコン遠隔操作機能「VNC」を使うための作業
* DLLファイル「%System%\VedioDriver.dll」の有無を調べる。VNCを使うための作業
* ファイル「%System%\drivers\etc\networks.ics」をオープン/読み込み/削除する
* レジストリ値「HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\"~MHz"」でプロセッサの動作周波数を調べる

 この一覧を読めば分かる通り、これだけの機能があれば感染パソコンをほぼ完全に制御できる。自分のパソコンがこのような状態になることを望むユーザーなどいないが、バックドアとしては珍しくない能力だ。それでは、報道メディアによく取り上げられる「Zeus」のバックドア機能と比べてみよう(関連記事:エクスプロイト・ツールキット「Fragus」,ビジネス・モデルを変更/トロイの木馬作成ツール「Zeus」,アングラ犯罪ソフト・ツールキット界の王者)。

HydraqとZeusの比較

 Zeusは上述したHydraqと同様の基本的な機能だけでなく、設定ファイルに記載されたコマンドを受け付ける機能も備えている。設定ファイルは制御用サーバーを介してアップデート可能で、コマンド自体もHydraqよりはるかに高度なものだ。

 Zenuには特定URLの監視やURLアクセスのリダイレクト、DNSエントリの改ざん、任意のWebサイトへのHTMLコード挿入といった機能があるが、それだけにとどまらない。例えば、「cmd.exe」セッションを開いて任意のコマンドを実行することが可能である。つまり感染パソコンを好きなように制御できる手段を持っているのだ。こうした機能により、Zeusは極めて危険で、銀行口座に関する個人情報を不正取得したり、最終的にはWebサイト経由で金を盗んだりする目的を着実に実現するバックドアとなっている。

 Hydraqはネットワークで送信するデータを隠して守る暗号化も行うが、Zeusに比べると大した機能ではない。Hydraqの暗号化はXOR演算による単純な難読化だ。簡単に解読して元のデータを得ることができる。これに対しZeusの採用しているネットワーク・データ保護手段は、バイナリ・コード内にあらかじめ入れておいた任意の対称鍵を使うRC4暗号であり、複雑かつ安全性が高いアルゴリズムだ。コードそのものにアクセスしない限り、解読は基本的に不可能である。

デスクトップのリモート・アクセス機能

 Hydraqのバックドアで最も特徴的なのは、攻撃者がVNCで感染パソコンのデスクトップにリアルタイム・アクセスできる点だ。この機能の詳細とアクセスのようすを捉えたビデオは、別のブログ記事に掲載した。

 感染パソコンのデスクトップにリモート・アクセスできるようになるため、深刻な事態に可能性がある。ただしそれほど心配する必要はない。Zeusなどのより高度なバックドアに比べ、Hydraqは機能が限定されているからだ。

 なお、当記事の執筆に協力してくれたNicolas Falliere氏とEric Chien氏に感謝する。

Copyrights (C) 2009-2010 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Trojan.Hydraq's Backdoor Capabilities」でお読みいただけます。