最近シマンテックは、暗号化ファイルシステム(EFS)を悪用する脅威(Backdoor.Tranwos として検出されます)を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。
この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。
図 1. フォルダを作成して暗号化
セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。
この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。
図 2. wow.dll ファイルのパス
この脅威が実行されると、暗号化されたフォルダとファイルはエクスプローラで緑色で表示されます。
この脅威には、開いたバックドアを通じてリモートの攻撃者から受信されるコマンドに応じてコマンド & コントロールサーバーを変える機能があります。また、追加のマルウェアを侵入先のコンピュータにダウンロードする機能もあります。シマンテックはこの脅威の監視を続け、新たに何か判明し次第報告する予定です。
このような脅威から保護するために、ウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。