セキュリティベンダーFireEyeの研究者らは、マウスクリックの監視など複数の検出回避技術を使用して、感染したコンピュータと人間のアクティブなやり取りを判断する新たな高度な持続的脅威(APT)を発見した。
Trojan.APT.BaneChantと呼ばれるこのマルウェアは、標的型メール攻撃の際にエクスプロイトを仕込んだWord文書を介して拡散されます。文書名は「Islamic Jihad.doc」と翻訳されます。
「この兵器化された文書は中東と中央アジアの政府を標的にするために使われたと疑っている」とファイア・アイの研究員チョン・ロン・ファ氏は月曜日のブログ投稿で述べた。
多段階攻撃
この攻撃は複数の段階で実行されます。悪意のあるドキュメントは、マウス操作の有無を待機することで、オペレーティング環境が仮想環境(ウイルス対策サンドボックスや自動マルウェア分析システムなど)であるかどうかを判断しようとするコンポーネントをダウンロードして実行し、第2段階の攻撃を開始します。
マウスクリックの監視は新しい検出回避手法ではないが、過去にこの手法を用いたマルウェアは、一般的にマウスクリック1回のみをチェックしていたとロン・ファ氏は述べた。BaneChantは、URLを復号し、.JPG画像ファイルを装ったバックドアプログラムをダウンロードする前に、少なくとも3回のマウスクリックを待つとロン・ファ氏は述べた。
このマルウェアは、他の検出回避手法も用いています。例えば、攻撃の第一段階では、悪意のあるドキュメントがow.ly URLからドロッパーコンポーネントをダウンロードします。ow.lyは悪意のあるドメインではありませんが、URL短縮サービスです。
このサービスを利用する理由は、標的のコンピュータまたはそのネットワーク上で有効なURLブラックリストサービスを回避するためだとロン・ファ氏は述べた。(「スパマーが在宅ワーク詐欺で.govのURL短縮サービスを悪用」も参照)
同様に、攻撃の第 2 段階では、No-IP 動的ドメイン ネーム システム (DNS) サービスで生成された URL から悪意のある .JPG ファイルがダウンロードされます。
最初のコンポーネントによって読み込まれた後、.JPGファイルは「C:\ProgramData\Google2」フォルダにGoogleUpdate.exeという自身のコピーをドロップします。また、コンピュータの再起動ごとに実行されるよう、ユーザーのスタートアップフォルダにこのファイルへのリンクを作成します。
これは、ユーザーを騙して、このファイルが Google アップデート サービスの一部であると信じ込ませようとする試みだ。Google アップデート サービスは通常、「C:\Program Files\Google\Update」以下にインストールされる正規のプログラムだ、と Rong Hwa 氏は述べた。
このバックドアプログラムは、システム情報を収集し、コマンド&コントロールサーバーにアップロードします。また、感染したコンピューターに追加ファイルをダウンロードして実行するコマンドなど、複数のコマンドをサポートしています。
防御技術の進歩に伴い、マルウェアも進化しているとロン・ファ氏は述べた。今回のマルウェアは、人間の行動を検知することでサンドボックス分析を回避したり、実行ファイルのマルチバイトXOR暗号化によってネットワークレベルのバイナリ抽出技術を回避したり、正規のプロセスを装ったり、ファイルレスで悪意のあるコードをメモリに直接ロードすることでフォレンジック分析を回避したり、URL短縮やダイナミックDNSサービスによるリダイレクトを利用して自動ドメインブラックリスト化を回避したりするなど、様々なトリックを用いていたとロン・ファ氏は述べた。
