シマンテックは最近、Dream Loader と呼ばれる新しい C&C(コマンド & コントロール)エンジンのサンプルを検出しました。シマンテック製品では Trojan.Karagany として識別され、その存在が確認されています。このエンジンのパックには、独自のボットプログラムをビルドするビルダーと、Web 経由でコマンドを送信して自作のボットをすべて制御する Web インターフェースが付属しています。
起源と普及
11 月に初めて検出されたこのパックは、現在バージョン 0.3 と比較的新しく、起源はロシアにあると考えられています。モジュール式で、プラグインをロードするように設計されています。Zeusbot のような最先端のパックではないものの、高度な機能をいくつか備えています。このパックは 550 ドルで販売されていましたが、これはバックドア自体(ビルダーではない)と Web インターフェースの価格で、バックドア設定の更新(C&C サーバーに使う新しい URL など)ごとに追加で 30 ドルが必要になります。残念ながら、「盗人に仁義なし」という掟はここでも例外ではないようで、このパックもすでにさまざまなフォーラムに流出しており、誰でも無料で使えるようになっています。
ビルダー
パックには独自のバックドアコンポーネントが付属しており、最小限のインターフェースを持つビルダーで設定が可能です。
図 1: バックドアの設定
C&C サーバーを指定すると、自動的にバックドアがカスタマイズされます。これだけで、Web サイトを介してマルウェアの配布と管理が可能になるのです。
Web インターフェース
C&C サーバーは PHP と SQL で実装されており、目新しい点はありません。主なコンポーネントは「gate」と「stats」の 2 つです。「gate」は、新しいコマンドへの応答を準備するバックドアによって定期的に要求されるページ、「stats」は管理者がログインしてボットの制御や新しいコマンドの配信などを行うページです。
図 2: ボットへのコマンド送信
このインターフェースでは特定のボットにコマンドを送信できるほか、コマンドの使用状況を追跡する機能も備えています。
ボットのリストを一覧し、稼働時間や感染源の国に関する情報を表示する機能も当然ながら用意されています。
図 3: バックドアで制御されるすべてのアクティブなボットのリスト
図 4: アクティブなボットの感染源の国に関する統計
動作と機能
バックドアが持つ機能はごく単純で、主に他のコンポーネントをロードするだけです。ユーザーにその存在を気づかせないように、感染したコンピュータで自身を隠蔽するという常套手段も利用します。
バックドアに送信される主なコマンドは、実行可能プログラムのダウンロードと実行、プラグインのダウンロードとインストール、ボット自体の更新、コンピュータの再起動、ボットのアンインストールなどです。このバックドアの主な目的は、攻撃者がマルウェアをダウンロードしてインストールできるようにゲートウェイを確保することです。
パックの作成者からは、ボットの今後のアップグレードでは、DDoS やキーロガー、SOCKS5 と FTP への対応などの新機能が追加される予定であるとも告知されています。
詳しい分析
このボットは、既知の手法を使ってセキュリティ製品をすり抜け、感染したコンピュータでその存在を隠蔽しようとしますが、最終的には典型的な実行可能ファイル(.exe ファイル)の形を取っているため、検出も削除も容易です。
ボットは、自身のファイルに関係のあるファイル名を隠蔽するために、FindNextFile API をフックします。このフックは ring3 でしか実行されないため、セキュリティ製品が欺かれることはありません。
また、NtQueueApcThread API を使って他のプロセス(explorer や svchost)にコードをインジェクトし、印刷プロバイダ機能を使ってスプーラプロセスに自身をインジェクトします。
図 5: Tidserv から借用した手口
この手口に見覚えはありませんか。そうです、代表的なのは Tidserv/TDSS ですが、他のマルウェアでも見られる手口です。
実際のボットは、explorer.exe プロセスをクラッシュさせることがあるという点に注目してください。C&C サーバーとの通信にバグがあり、通信に失敗した場合や予想外のデータを受信した場合には、バックドアコードが通信データを正しく処理できず、explorer.exe プロセスを繰り返してクラッシュさせ、コンピュータを使用不能にしてしまうことがあります。
このバックドアはそれほど拡散していませんが、今後さらに悪質な脅威に変化する可能性があります。お使いのソフトウェアやセキュリティ製品を更新し、マルウェアを回避するための常識的な手段を講じることをお勧めします。
このブログの寄稿者である Peter Coogan 氏と末長政樹氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。