引きこもる近ごろのトロイの木馬、解析に手を焼くホワイトハット

EMCジャパン株式会社RSA事業本部マーケティング部の水村明博氏

　EMCジャパン株式会社のRSA事業本部は2日、フィッシング詐欺やオンライン犯罪の最新動向をまとめた月次レポート「Monthly AFCC NEWS Vol.60」を発表した。今月のレポートでは“ブラックハット”対“ホワイトハット”の攻防という観点から、トロイの木馬をめぐる技術動向をまとめている。

　ここで言うブラックハットとは、自らのプログラミングスキルを利用して不正なハッキング行為や犯罪を行う者を指し、極めて高度なスキルを持つマルウェア作者やボットネットの管理者が含まれる。一方、ホワイトハットは、オンライン詐欺やサイバースパイから企業や消費者を守る活動に従事する人で、セキュリティ企業のリサーチャーやセキュリティ専門家、警察などの捜査当局、情報セキュリティに関するNPOのメンバーなどが含まれる。

　ホワイトハットは、入手したトロイの木馬の検体を解析し、その挙動や通信先となっているサーバーを割り出すなどしてブラックハットの活動を阻止しようとする。しかし最近のトロイの木馬では、リサーチャーによる解析を拒む技術や、ホワイトハット（あるいは競合するブラックハット）などの敵対勢力によりサーバーへアクセスされるなど“境界線”を突破されるのを阻止する対抗策が講じられているという。

　RSAが今回指摘しているのは、以下の5つの技術だ。1）から3）までが解析を拒む技術、4）と5）が敵対勢力による境界線突破を阻止する技術にあたる。

1）仮想マシン上での実行回避
　リサーチャーは通常、マルウェアを解析する際、実際のシステムに影響が出ないよう、実環境ではなく隔離された仮想マシン上で実行する。これに対してトロイの木馬が、自ら感染した環境のテストを行い、その結果、仮想環境で実行されていると判定した場合、「冬眠モード（スリープモード）」で引きこもり、動かなくなるという。外部からのアクセスを拒絶して箱にこもるということで「梱包モード」とも。

2）リサーチツールの破壊
　リサーチャーが解析に用いるある種のツールのチェック機能をトロイの木馬内部に搭載。解析ツールの起動を検知すると、ツールをクラッシュさせ、トロイの木馬の通信パターンの解析に使えなくする。

3）トロイの木馬の内部文字列の暗号化
　感染したトロイの木馬はHDD上では常時暗号化された状態になっており、実行される時にだけメモリ上に復号化。実行後は、平文を取り出せないようすぐメモリ上から消去する。

4）トロイの木馬の設定ファイルに対するデジタル署名
　敵対勢力が設定ファイルの解読・作成ができないようにするため、トロイの木馬の設定ファイルにデジタル署名による署名を付与して暗号化するもの。偽の設定ファイルを読み込ませることで通信先サーバーを変更するなど、敵対勢力がトロイの木馬をだまして操ることが難しくなる。

5）部外者をブロックするためのブラックリスト
　ホワイトハットのラボなどのIPアドレスをリスト化し、そこからのアクセスに対してはトロイの木馬のダウンロードを拒否することで、解析のための検体を入手されるリスクを回避する。この“ブラックリスト”は、個々のボット管理者が自身のために作成しているだけでなく販売も始まっており、ホワイトハットのIPアドレスを700万件以上も収集したブラックリストベンダーもいるらしい。

　RSA事業本部マーケティング部の水村明博氏によると、こうした対抗技術の実装が昨年の第4四半期ごろから急速に進んでいるという。例えば、「Citadel」というトロイの木馬では、5つの技術をすべて実装しており、解析が難しくなっている。その元になった「Zeus」でも、5）のブラックリストを除く4技術を実装。このほか、「Shylock」「ICE IX」「Dofoil」「Qakbot」「iStealer」で1）と2）が、「Tatanga」で1）が、「SpyEye」で5）が使われている。

　水村氏はまた、こうした技術が“パブリックドメイン”になっていると表現し、「エリートマルウェアのためのプレミアム機能のコモディティ化」が進んでいると指摘した。