カスペルスキーは2016年12月7日、調査によって得られたサイバー攻撃の動向を紹介した。特定のパソコン環境でしか動作しないマルウエアを、二つの異なる犯罪グループの活動から発見したという。特定環境でしか動作しないと、ウイルス対策ベンダーが検体を入手しづらくなってしまうほか、ウイルス対策ソフトの検知リストから漏れやすくなってしまう。

特定環境下でしか動かないEmdiviは、Emdiviを実行するWindowsパソコンのセキュリティー識別子(SID)の情報を利用する
特定環境下でしか動かないEmdiviは、Emdiviを実行するWindowsパソコンのセキュリティー識別子(SID)の情報を利用する
(出所:カスペルスキー)
[画像のクリックで拡大表示]
特定環境下でしか動かないElirksは、Elirksを実行するフォルダーの場所の情報を利用する
特定環境下でしか動かないElirksは、Elirksを実行するフォルダーの場所の情報を利用する
(出所:カスペルスキー)
[画像のクリックで拡大表示]

 「あらかじめ登録済みのプログラムだけを実行するホワイトリスト型のウイルス対策があるように、犯罪者側からも特定の環境だけで動作するマルウエアが出てきた」。カスペルスキーの情報セキュリティラボでセキュリティリサーチャーを務める石丸傑氏は、特定環境下でしか動かないマルウエアをこう紹介する。

 「最初のマルウエアで標的のパソコン環境を調査し、標的のパソコン環境だけで動作する二次的、三次的なマルウエアを使って攻撃をしかける。このように、これまでよりも多くの攻撃コストが掛かっている」(石丸氏)。

 石丸氏は、マルウエア「Emdivi」を作ったブルーターマイトグループと、マルウエア「Elirks」を作ったグループの、二つの異なる二つの犯罪者グループから特定環境下でしか動かないマルウエアが別々に登場したことを報告した。EmdiviとElirksは、ともに標的型攻撃によく用いられるマルウエアである。

 同社は、ブルーターマイトグループによるマルウエアを全部で600個以上収集した。全体の26%がEmdiviであり、このうち全体の6%に当たる分が、特定環境下でしか動かないEmdiviだった。一方、Elirksを作成した犯罪者グループによるマルウエアは全部で200個以上を収集。全体の50%がElirksであり、このうち全体の3%に当たる分が、特定環境下でしか動かないElirksだった。

 特定環境下でしか動かないEmdiviは、Emdiviを実行するWindowsパソコンのセキュリティー識別子(SID)を利用していたという。Emdiviは動作のために必要な情報を暗号化しており、動作時に復号して動作するマルウエアである。SIDを基にして復号鍵を生成する仕組みとすることで、特定のパソコンでしか動作しないマルウエアを実現した。

 一方、特定環境下でしか動かないElirksは、Elirksを実行するフォルダーの場所を利用していたという。特定のフォルダーから実行しない限り、復号鍵が生成されないようになっている。

 なお、Elirksは、マルウエアが通信する外部サーバーであるC&C(司令塔)サーバーのアドレスを隠ぺいする手法を持つという。犯罪者が開設したブログにC&Cサーバーの情報を書き込んでおき、マルウエアからはこのブログの書き込みを参照する仕組みである。

カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸傑氏
カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸傑氏
[画像のクリックで拡大表示]