RDP を悪用できるワームとして最近発見された W32.Morto については、いろいろと報道されていますが、このワームの挙動で特に注目すべき点が見過ごされているようです。最近確認されたマルウェアのほとんどは、リモートのコマンド & コントロール(C&C)サーバーとの通信手段を何らかの形で持っていますが、通信に使われる実際の経路は脅威によって変わる傾向があります。たとえば、W32.IRCBot はインターネットリレーチャットのチャネルを利用しますが、しばらく前に大きく注目を集めた Trojan.Downbot には HTML ページや画像ファイルに埋め込まれたコマンドを読み取る機能があります。W32.Morto は、DNS(Domain Name System)のレコードを通じてリモートコマンドを指定しており、これも C&C との通信経路としては新しい手法です。
DNS は主として、人間が読み取れる形の URL(Symantec.com など)を数値によるネットワーク識別子(216.12.145.20 など)に変換するために使われます。インターネット上の URL はどれも、このシステムを使って最終的には対応する IP アドレスに解決されますが、このとき使われるのが IPv4 の場合には DNS A レコードです。A レコードとは、DNS のことを論じるとき一般的に思い浮かべるものです。A レコードはドメイン名を対応する IP アドレスにマッピングし、そのとき IP からホストへの逆引きの際に使う PTR レコードも指定します。しかし、DNS のタイプはこれだけではありません。システムの変化に対処するために、過去数年間にいくつもの RFC で数多くのレコードタイプが定義されています。W32.Morto が通信プロトコルに使うレコードタイプは、TXT レコードです。
DNS TXT レコードタイプは本来、人間が読み取れるテキストを DNS レコードに格納する目的で使われ、その後コンピュータが使えるデータを格納するように進化しました。これを実験するために、Microsoft の nslookup.exe ツールを使ってみます。Symantec.com の TXT レコードタイプをクエリーすると、ドメインに対応する SPF 情報を取得できます。
W32.Morto を調べているとき、W32.Morto はバイナリにハードコードされている多数の URL の DNS レコードを要求しようとすることがわかりました。これ自体は異常でも特異なことでもありませんが、その URL を調べてみると、私たちが使った独自のDNS 要求からは対応する DNS A レコードが返されないことが判明したのです。さらに調査を進めると、このマルウェアがクエリーするのは実際には DNS TXT レコードであり、IP ルックアップのためのドメインではなく、返された値もまったく予想外のものであることが突きとめられました。
W32.Morto は引き続き、返された TXT レコードの検証と復号を行うので、このタイプの応答を想定していたことは明らかです。復号されたレコードからは、慣用的なバイナリ署名と IP アドレスが生成され、そこにファイル(通常は別のマルウェア)がダウンロードされて実行されます。
[悪質なアドレス]/160.rar
ダウンロードが済むと、W32.Morto はただちにその脅威を実行し、指定されたタイムアウトを待ってから、さらに次の TXT レコードを要求します。
このコマンド伝播方法で興味をひくのは、これらのドメインの A レコードがなかったこと、つまりそのドメインはコマンドを W32.Morto ワームに提供することを主目的として存在していたということです。このワームには他の多くのドメインもハードコードされており、そのすべてが DNS としては異常な特徴を示します。
W32.Morto には注目に値する特徴がいろいろあり、最近の報道でも注目されたように RDP で伝播されること、暗号化したペイロードコードをシステムレジストリに保存すること、一部の目立たないシステム DLL を独自のペイロードコードに置き換えることなどが挙げられます。このワームのように DNS TXT レコードを使うのは、C&C の経路を隠したまま、リモートの脅威にコマンドを発行する方法として珍しいケースです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。