今回は、攻撃の新しい手法や観点に関するブログを3つ紹介する。まずは、遠隔操作を可能にするリモートアクセス型トロイの木馬(RAT)について。トレンドマイクロが、「BKDR_RARSTONE.A」として検出するRATを確認したとしてブログで報告した。

 同社は2012年、大きな話題になったAPT(Advanced Persistent Threat)攻撃に使われていたRAT「PlugX」について報告した。その際、PlugXの、実際の実行ファイルを投下するのではなく、直接バックドア型実行ファイルをメモリーに読み込むことで、不正コードを隠して検出に引っかからないようにする機能に言及した。BKDR_RARSTONE.Aはこれと同様の機能を持つうえ、独自の手口を備えているという。

 トレンドマイクロは、特別に細工されたDOCファイル(「TROJ_ARTIEF.NTZ」として検出)を含むスピアフィッシングメールからサンプルを入手した。このトロイの木馬がBKDR_RARSTONE.Aを投下して実行し、BKDR_RARSTONE.Aが以下のファイルを作成する。

・%System%\ymsgr_tray.exe(BKDR_RARSTONE.Aのコピー)
・%Application Data%\profile.dat(マルウエアの行動を含むBLOBファイル)

 BKDR_RARSTONE.Aはコピーの「ymsgr_tray.exe」を実行し、隠れたInternet Explorer(IE)プロセスを開く。IEプロセスには「profile.dat」に含まれているコードを組み込む。

 PlugXと同様に、組み込まれたコードは自身をメモリー上で復号化する。復号化されるとマルウエア制御(C&C)サーバーからDLLファイルをダウンロードし、再度隠れたIEプロセスのメモリー領域に読み込む。ダウンロードされたファイルは、システム上に作成されるのではなく、直接メモリーに読み込まれるのでファイル検出機能は役に立たない。

 典型的なバックドアによく見られるように、BKDR_RARSTONE.Aは特定のサイトにつながり、複数の活動を展開する。ファイルとディレクトリーの列挙、ファイルのダウンロードや実行およびアップロード、自身および環境設定のアップデートといったルーチンが含まれる。

 これら活動の中で特筆すべきは、「Uninstall」レジストリーキーのエントリーからインストーラープロパティーを取得する能力だ。これは被害システムにインストールされたアプリケーションに関する情報を手に入れるための行動で、特定のアプリケーションをアンインストールする方法を知るためでもある。この機能は、バックドア活動を妨害するマルウエア対策ソフトなど一部アプリケーションを密かにアンインストールするために使われる可能性がある。

 もう1つの興味深い機能は通信手段としてSSLを使うことだ。SSLの使用は、C&Cと感染システム間の暗号化通信を保証し、同時に通常のトラフィックにこれを紛れ込ませるという2重の利点がある、

 この手口により、攻撃者はターゲットのネットワーク内で見つからないように活動を続けられる。BKDR_RARSTONEのようなRATの出現は、攻撃者が継続的にツールの変更や改良を行っていることを示している。

 こうした攻撃から身を守るために、ユーザーや企業は攻撃者の方が特定の優位性を持つことを認識する必要がある。この事実を受け入れることで適切な対策を用意し、措置を講じることができる。