今回は、最近の攻撃・マルウエアの動向や傾向をまとめたブログを紹介する。まず、銀行関連の情報を盗むマルウエア「Shylock」が備える新たな機能について。米トラスティアが、ブログで注意を呼びかけている。
同社が2011年に検出したShylockは、新しい検知技術をすり抜けるよう、進化し続けている。最近のShylockドロッパーを分析したところ、一般的に研究者がマルウエア分析の際に設定するリモートデスクトップ環境を識別する機能を備えていたという。
分析のために収集された不審なマルウエアサンプルは、たいてい研究所の孤立したマシン上に置かれる。研究者は大抵、オフィスからリモートデスクトップにアクセスしてマルウエアを調べる。Shylockはこうした人間の弱みにつけ込む。
トラスティアが分析したShylockドロッパーは、無効なデータを一定のルーチンに組み込み、返ってくるエラーコードを見てリモートデスクトップ環境を識別する。返されたコードによって通常のデスクトップと研究環境とを見分け、リモートデスクトップのセッションで実行されたと判断すると、インストールを行わない。この方法を使って、他の既知またはプロプライエタリーの仮想環境やサンドボックス環境を見分けることも可能だ。
詳しく説明すると、ドロッパーは動的に「Winscard.dll」を読み込んで、関数「SCardForgetReaderGroupA(0, 0)」をコールする。マルウエアは返された値が「0x80100011 (SCARD_E_INVALID_VALUE)」または「0x2 (ERROR_FILE_NOT_FOUND)」の場合のみ、予定どおり行動する。トラスティアは、ドロッパーがローカルで実行されると返される値は「0x80100011」、リモートデスクトップのセッションで実行されると「0x80100004 (SCARD_E_INVALID_PARAMETER)」であることを確認した。
アセンブリ言語のソースコード
トラスティアは、別の方法で特定の実行環境を認識して状況に応じた回避行動をとるマルウエアも多数検出しているという。
