Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Mac と Windows を同時に狙うマルウェア

Created: 24 Apr 2012 05:23:43 GMT • Translations available: English
Takashi Katsuki's picture
0 0 Votes
Login to vote

OSX.Flashback マルウェアの登場と、Apple がその対策として最近公開したパッチについては、シマンテックセキュリティレスポンスからも他のセキュリティベンダーからも相次いで報告がありましたが、600,000 台を超えるコンピュータが感染したという報告に驚かれた方も多いことでしょう。

新たな段階として、今度は Java アプレットマルウェアが確認されています。このマルウェアでは、Oracle Java SE のリモートランタイム環境に存在するサービス拒否の脆弱性(CVE-2012-0507)を利用してペイロードがダウンロードされます。攻撃経路は今までと同じですが、今回は Java アプレットが実行環境の OS をチェックし、その OS に適したマルウェアをダウンロードするという特徴があります。これを詳しく示したのが次の図です。
 


 

この Java アプレットマルウェアをロードすると、CVE-2012-0507 の脆弱性を利用して Java アプレットのサンドボックスが破られます。この脆弱性は、Mac と Windows どちらのオペレーティングシステムに対しても有効です。この脅威が Mac オペレーティングシステムで実行される場合には、Python で書かれたドロッパー型のマルウェアがダウンロードされ、Windows オペレーティングシステムで実行される場合には、Windows 標準の実行可能ファイル形式のドロッパーがダウンロードされます。どちらのドロッパーもトロイの木馬を投下し、感染したコンピュータでバックドアを開きます。

次に示す Java コードは、この Java アプレットマルウェアが実行環境の OS をチェックし、ドロッパーをダウンロードして実行する部分です。
 


 

このコードでは、オペレーティングシステムが Windows かどうかをチェックするだけで、Mac かどうかは、ダウンロードされる Python ドロッパーによって後でチェックされます。Linux やその他のオペレーティングシステムで実行された場合、脅威の影響は何もありません。Python はマルウェアの作成に広く使われている言語ではありませんが、Mac にデフォルトでインストールされているため、Mac オペレーティングシステムで実行するには適しています。

最後に、2 つのバックドア型トロイの木馬のうち、いずれかがコンピュータに投下されます。2 つのトロイの木馬は同じサーバーからダウンロードされますが、わずかな違いがあります。

Mac オペレーティングシステム用として Python で記述されたバックドア型トロイの木馬は、ポーリング時間、つまり一定の間隔でサーバーからコマンドが取得される頻度を制御できます。作成者がこの機能を実装したのは、ネットワーク通信を減らして、侵入検知システム(IDS)や侵入防止システム(IPS)による検出を回避するためです。ネットワーク接続も、RC4 によって暗号化、または Zlib によって圧縮されます。

現在このマルウェアの主な機能は、Python スクリプトを取得して実行することだけです。以下の機能も備えていますが、現時点では無効になっています。

  • ファイルをダウンロードする
  • ファイルとフォルダのリストを表示する
  • リモートシェルを開く
  • スリープする
  • ファイルをアップロードする

一方、Windows オペレーティングシステム用のバックドア型トロイの木馬は、C++ で記述されています。このトロイの木馬は、リモートの攻撃者に次の情報を返信します。

  • CPU の詳細
  • ディスクの詳細
  • メモリの使用率
  • OS のバージョン
  • ユーザー名

ファイルのダウンロードと実行、またはシェルのオープンとコマンドの受信も行われる場合があります。

最近、OSX.FlashbackOSX.Sabpab のように Mac コンピュータを標的とするマルウェアが増えています。この傾向は、マルウェア作成者が従来の Windows プラットフォームに加えて、新たな戦場として Mac コンピュータにも目を向けるようになった何よりの証拠です。いよいよ、Mac コンピュータも優れたセキュリティ製品で保護すべき時代が到来しました。

シマンテックでは、この Java アプレットマルウェアを Trojan.Maljava として、ドロッパーを Trojan.Dropper として、バックドア型トロイの木馬を Backdoor.Trojan としてそれぞれ検出します。シマンテックは、お客様を守るために Mac と Windows どちらのマルウェアに対しても監視を続けていきます。

安全性を確保するために、システムには最新のパッチを適用し、ウイルス対策定義を最新の状態に保つようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。