“遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」


 いわゆる“遠隔操作ウイルス”として10月に世間を騒がせたマルウェアに関しては、「iesys.exe」という名前の実行ファイルがインストールされることは新聞はじめ各種メディアの報道でも広く知られている通りだ。一方で、無料のユーティリティ系ソフトを装ってダウンロード配布されていたとされる際のファイル名や、いわば“表の顔”であるソフトの名称に関しては、ニュース報道ではあまりはっきりとしたことは伝えてないようだ。

 そこで今回、“遠隔操作ウイルス”の検体の1つを解析した株式会社ラックの中津留勇氏(同社サイバーセキュリティ研究所)に、同ウイルスの挙動について詳細を聞いた。

※本記事は、10月28日に開催された私的勉強会(10月29日付関連記事を参照)で中津留氏が行ったプレゼンテーションをベースに、同氏に後日追加取材してまとめたものです。

テキストエディターソフトとして公開されていた「chikan.zip」の挙動

 “遠隔操作ウイルス”はいくつかの無料ソフトを装って配布されていた模様だが、中津留氏が解析したのは、文字列の置換を目的としたテキストエディターソフトを装い、「chikan.zip」というZIPファイルに固められてDropboxに蔵置されていたとみられる検体だ。インターネット掲示板上に記載されたリンクによって、被害者がこのZIPファイルをダウンロードさせるよう誘導されていた。

 このZIPファイルを解凍すると、解凍先のフォルダーに「Chikan.exe」と「data」という2つのファイルが現れる。ダウンロードした被害者は「Chikan.exe」をテキストエディターソフトと思って実行するわけだが、実は“遠隔操作ウイルス”のドロッパーであり、「iesys.exe」と「cfg.dat」という2つのファイルをアプリケーションデータフォルダーなど(Windowsのバージョンによって異なる)にインストールするとともに、Windows起動時に「iesys.exe」が自動実行されるようにレジストリエントリを書き加える。

 同時に、解凍先のフォルダーには「del.bat」というファイルを生成。これがドロッパーの「Chikan.exe」を削除する一方で、「data」のファイル名を「Chikan.exe」に変更。ドロッパーとは別のテキストエディターソフトとしての「Chikan.exe」が現れる。

「Chikan.exe」の挙動。図にある「Chikan.exe」は、ドロッパーのほうの「Chikan.exe」。「iesys.exe」などを投下した後にこれは削除される。一方で、「data」が「Chikan.exe」にリネームされ、テストエディターとしての“本物”の「Chikan.exe」が残る。図右側にあるサーバーは、いちばん上が「chikan.zip」を蔵置していたDropbox、中が「iesys.exe」のC&Cサーバーにあたる「したらば掲示板」、下がスクリーンショットのアップロード先となる無料ホスティングサーバーを示す(中津留氏のプレゼンテーション資料より)

 以降、「Chikan.exe」は、「置換君」の語呂合わせと思われる「痴漢君」という名称のソフトとして起動し、テキストエディターソフトとして機能するため、ユーザーは「ダウンロードしたソフトの機能の乏しさを実感するかもしれないが、感染したことに気付かない」(中津留氏)。さらに、攻撃者がマルウェア本体の「iesys.exe」などのファイルを削除して痕跡を消した後も、「Chikan.exe」はそのまま残り、テキストエディターソフトとして利用できる。

テキストエディターソフト「置換君」(中津留氏のプレゼンテーション資料より)

 なお、中津留氏はダウンロード配布されていた「chikan.zip」そのものを入手できていたわけではないという。調査を開始した段階ですでにDropbox上からZIPファイルは削除されており、実際に入手したのは解凍後の「Chikan.exe」と「data」という2つのファイルのセットだ。「chikan.zip」を入手したという人がネット掲示板で公開していた「Chikan.exe」と「data」のハッシュ値と、中津留氏が入手した「Chikan.exe」と「data」のハッシュ値が同じだったことから、それらの検体が「chikan.zip」として配布されていたものと判断した。

 “遠隔操作ウイルス”としてはこのほかにも、タイマーソフトやExif情報編集ソフトなどを装って配布されていたものがあると言われているが、中津留氏が実際に検体を入手して解析したのは「Chikan.exe」版のみだ。「timer.zip」として出回っていたことなども確認されているものの、それを解凍してできる実行ファイルの名前や、タイマーソフトと推測される具体的なソフト名まで判明するには至っていないとしている。

 ちなみに「iesys」という名称の意味するところについては、中津留氏が調査してみたものの、情報は得られていないという。過去にマルウェアのファイル名として存在していたことが指摘されているが、“遠隔操作ウイルス”との関連性などは不明

“遠隔操作ウイルス”の本体「iesys.exe」の機能と遠隔操作方法

 “遠隔操作ウイルス”の本体である「iesys.exe」は、「したらば掲示板」の指定された板に投稿された攻撃者からのコマンドを読みに行くことで、バックドアプログラムとして動作する。これを操るC&C(Command & Control)サーバーとして、掲示板を悪用していたかたちだ。同掲示板では、通信経路を匿名化するツール「Tor」 が規制されておらず、スレの削除が可能なことなどもあり、“遠隔操作ウイルス”に悪用されたのではないかとみられている。

 「iesys.exe」が読みに行く板のカテゴリーや板のIDは、環境設定ファイルの「cfg.dat」に平文で記述されていた。中津留氏が入手した検体では、「学問/人文/科学」(study)カテゴリーの板や、感染したPCから窃取した情報のアップロード先として.meドメインの無料ホスティングサービスが設定されていた。このほかにも、「旅行/地域」(travel)カテゴリーの板が設定された「cfg.dat」ファイルの存在も確認されているとしており、侵入したPCごとにそれぞれC&C掲示板を使い分けたり、「cfg.dat」を更新することでC&C掲示板を切り替えていたことも考えられる。

 これらのカテゴリーを使った理由について中津留氏は、「iesys.exe」のコマンドを書き込むスレッドを立ててもあまり目立たないよう、ページビューの多いカテゴリーを選んだのか、あるいは逆にあまりページビューのないカテゴリーを選んだのか不明だとしている。また、判明しているC&C掲示板の板・スレッドも、現在は板ごと削除されているため、これまでにどれだけの数の「iesys.exe」向けC&C掲示板が開設されたのかについても、掲示板サービス運営者以外の外部から調査することはできなくなっているとしている。

 「iesys.exe」が受信して実行可能な主なコマンドとしては、現在のステータスを送信する「stat」、任意のブラウザーの操作を行う「wb*」(ディスプレイにブラウザーのウィンドウを表示しないために、PCの所有者には見えない状態で行われる)、ブラウザーまたは画面のスクリーンショット(モノクロ)を送信する「wbcap」「scrcap」、キーロガーのオン/オフ「klon」「kloff」、任意のファイル操作を行う「send」「del」「run」、バーストモードのオン/オフ「bm」「nm」、自身の更新「update」、自身を終了または再起動する「fsuspend」「restart」、自身のアンインストール「suica」などがある。

 PCへの潜入に成功したiesys.exeは、指定された板へアクセスしてスレッドを作成、そのレスとして遠隔の攻撃者からのコマンドを受信する仕組み。レスの読み込みは初回が10秒で、以降は5分ごと。ただし、前述のバーストモードをオンにすると10秒間隔と頻繁に読み込みにいくようになる。コマンドを受けて実行した結果は、同じスレッドに「iesys.exe」がレスとして書き込み、これを攻撃者がチェックする流れだ。このほか、キーロガーのログ情報は、15分ごとに書き込むようになっていた。また、これらの通信では、コマンドやコマンドの実行結果をAESで暗号化してやりとりする機能も実装されていたという。

「iesys.exe」と、C&Cサーバー機能に悪用された「したらば掲示板」とのボット通信の流れ(中津留氏のプレゼンテーション資料より)

 今回の“遠隔操作ウイルス”による冤罪事件では、侵入したPCの所有者になりすまして犯行予告のメール送信や掲示板への書き込みが行われたわけだが、ブラウザーを遠隔操作するコマンドによって、ウェブメールの作成・送信やウェブ入力フォームへの入力が行われていたとみられる。

 後述する遠隔操作ツール「PoisonIvy」がリモートデスクトップのような攻撃者向け管理画面を持つのに対して、“遠隔操作ウイルス”でメールや投稿のなりすまし操作を行うためには、掲示板経由でコマンドをやり取りすることになる。かなりまどろっこしい印象を受けるが、中津留氏は、実際に試してみたわけでなく、想像だとした上で、「投稿する当該ウェブページを調査した上で、コマンドをまとめて命令したのではないか。特定のフォームのパラメーターを調べ、それをコマンドにするというだけであれば、そう難しくはないと思う」としている。

遠隔操作ツール「PoisonIvy」との比較から見る「iesys.exe」の特徴

 中津留氏は、実験環境で「iesys.exe」の遠隔操作なども実際にやってみた結果から、“遠隔操作ウイルス”は「実行ハードルが高い」と指摘する。

 ドロッパーの「Chikan.exe」および「iesys.exe」を実行するには、.Net Framework 3.5以上が必要で、実行できない場合は「アプリケーションを正しく初期化できませんでした」といったアプリケーションエラーのアラートが表示される。さらにテキストエディターソフトのほうの「Chikan.exe」(data)は、.Net Framework 4.0以上が必要で、実行できない場合はその旨を伝えるアラートが表示された。

 このほか、「iesys.exe」が「したらば掲示板」との通信を確立できなかった場合などには、「問題が発生したため、iesysを終了します。ご不便をおかけして申し訳ありません。」といったウィンドウが表示されてしまうため、プログラムとしてはエラー処理などが「雑」だという。

 また、すでに報道などでも伝えられているように、「iesys.exe」は開発言語としてVisual C#(開発ツールは「Visual Studio 2010」)を用いていたことが判明している。これに対して、標的型攻撃によく使用される「PoisonIvy」という遠隔操作ツールでは、開発言語はC++となっており、対照的だという。

 マルウェアをリバースエンジニアリングして挙動を解析する研究者からすれば、C++で開発されたプログラムは逆アセンブルした後に元のソースコードを読み解くのが難しいという。一方で、Visual C#/Visual Basic .NET系の言語は元のソースコードを復元しやすいため、「iesys.exe」の解析は「割と簡単」としている。

 「iesys.exe」は実行形態が実行ファイルであるのに対して「PoisonIvy」はシステムへの侵入、通信方式が「iesys.exe」は掲示板経由であるのに対して「PoisonIvy」は独自プロトコルといった点でも対照的だった。また、「PoisonIvy」では攻撃者の管理者画面からリモートデスクトップソフトのように感染PCを遠隔操作できるため「何でも可能」なのに対して、「iesys.exe」は機能が限定的であることも指摘している。

 なお、このように「iesys.exe」と「PoisonIvy」では機能的に大きな差があるものの、これは特に開発言語に依存しているわけではなく、C#でもC++でも、開発するプログラムの機能自体に何か差異や制限が発生するわけではないという。どちらを使用するかは、プログラム開発者(今回の場合はマルウェア作成者)の「慣れの問題」ではないかとしている。

“遠隔操作ウイルス”があらためて突きつけた、情報セキュリティの心掛け

 中津留氏がこの検体を入手したのは、“冤罪”報道が流れた後の10月10日ごろ。ようやくトレンドマイクロやシマンテックが検出に対応した直後だった。“遠隔操作ウイルス”によるもとのされているなりすまし犯行が発生したタイミングから考えると、1~2カ月にわたって検出されないまま出回っていたことになる。

 特に今回の場合は、未知・既知の脆弱性を突いて侵入するようなタイプでもなかった。中津留氏は、パーソナルファイアウォールを適切に使用していれば、「iesys.exe」の初回実行時に同プログラムによる通信を許可するかどうかのダイアログが表示されたはずだと説明するが、すべてのPCユーザーがそれを的確に判断できるとは限らず、むしろ、よく分からないまま許可してしまうユーザーのほうが多いのではないかと懸念を示す。

 “遠隔操作ウイルス”は、セキュリティ対策ソフトの導入や各種ソフトのアップデートなどによる技術面で対応可能な対策に加え、不審なファイルをダウンロードして実行しないという、ユーザー側のリテラシーの重要性を示すかたちとなった。

 なお、独立行政法人情報処理推進機構(IPA)が11月1日付で情報セキュリティに関する「今月の呼び掛け」を発表しており、“遠隔操作ウイルス”について取り上げている。「Chikan.exe」などの挙動を図で解説するとともに、「濡れ衣を着せられないよう自己防衛を」というキャッチフレーズを掲げ、基本的な対策とともに、「出所不明のファイルをダウンロードしたり、ファイルを開いたりしない」「安易にURLリンクをクリックしない」という「心掛け」が重要と説明している。

「Chikan.zip」の挙動のイメージ図(IPAのプレスリリースより)




関連情報


(永沢 茂)

2012/11/9 13:41