Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

OSX.Macontrol の新しい亜種が登場

Created: 04 Jul 2012 10:37:38 GMT • Translations available: English
Val S's picture
0 0 Votes
Login to vote

寄稿: Joseph Bingham

Mac ユーザーと Windows ユーザーの割合を比べてみると、Windows のユーザー規模は以前として Mac のユーザー規模をはるかにしのいでいます。このブログ記事の執筆時点でも、ある統計の Web サイトに掲載された集計報告によれば、Windows のシェアが全体の 84.13 パーセントに達する一方で、Macintosh のシェアは 14.8 パーセントにとどまっています。とは言え、統計はリサーチ会社によってばらつきがあるうえに、ここで挙げたデータは対象が米国内に限定されています。

ではいったい、こうしたデータはマルウェアとどのような関係があるのでしょうか。端的に言えば、Windows 以外のオペレーティングシステムがマルウェア感染に対して安全であるという理論はもう成立しなくなっています。マルウェア作成者の立場から見ると、大量のユーザー規模を悪用できるということが、さまざまな理由で大量のインストール規模に直結していると言えます。Mac プラットフォームの人気が高まっている一方で、Apple のセキュリティへの取り組みが未成熟であるという現状から、Mac は狙いやすい標的に変わってきました。その点を突いて、Mac プラットフォームに対する攻撃は以前より増えてきているのです。

14.8 パーセントのシェアという数字について少し考えてみましょう。米国の人口は現在、およそ 3 億 900 万人です。米国民の全員が 1 台のコンピュータを保有していると仮定すると、およそ 4,300 万人のユーザーがその被害者になりうると計算されます。

2012 年の前半、Mac ベースの脅威の件数が増加したことが確認されています。この半年だけでも、4 月に OSX.Flashback の新しい亜種が登場し(最初の出現は 2011 年)、まったく新しい脅威として OSX.Sabpab も発見されました(最初の出現は 2012 年 4 月)。

ごく最近では、OSX.Macontrol の新しい亜種が確認されています(最初の出現は 2012 年 3 月)。この最新の亜種は、標的型の電子メールを介して拡散していると考えられ、分布率はごくわずかです。バイナリ [md5 - e88027e4bfc69b9d29caef6bae0238e8] のサイズは小さく(75KB)、リモートホスト(61.178.77.16x)へのバックドアを開ける以外には機能もほとんどありません。Web サーバーはカスタムの HTTP コマンド & コントロールサーバーとして、システム設定の収集と変更ができるようです。HTTP コマンド & コントロールサーバーを使って、正常な Web トラフィックのように見えるコマンドを送信することにより、攻撃者は検出をすり抜けることができます。

OSX.Macontrol の機能は、以下のとおりです。

  • リモートサーバーへの接続を閉じて脅威を終了する。
  • 侵入先のコンピュータに関する情報を収集し、リモートサーバーに送信する。
  • 侵入先のコンピュータのプロセスリストをリモートサーバーに送信する。
  • プロセスを終了する。
  • 実行中のプロセスを分岐させる。
  • トロイの木馬のインストールパスを取得する。
  • ファイルを削除する。
  • ファイルを実行する。
  • リモートサーバーにファイルを送信する。
  • ユーザーのステータスと情報をリモートサーバーに送信する。
  • 現在のユーザーをログアウトさせる。
  • 侵入先のコンピュータをスリープさせる。
  • 侵入先のコンピュータを再起動する。
  • 侵入先のコンピュータをシャットダウンする。

シェルを開く機能もあります。
 


 

暗号化された GET 要求を送信し、以下のような通信を受け取ります。

/h.gif?pid =113&v=130586214568 HTTP/1.
Accept-Language: en-us
Pragma: no-cache
User-Agent: Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1)
Connection: Keep-Alive
 


 

図 1: 侵入先のシステムに関するデータを取得するために使われる各種の呼び出し
 

調査の過程で、61.178.77.16x というアドレスからの活動は 2012 年 2 月頃から始まっており、この IP アドレス範囲から重複しない複数のバージョンのマルウェアが送り出されたことが判明しました。また、この IP アドレス範囲は Mac 用マルウェアだけでなく、Windows 用のマルウェアにも使われていることが、入手したデータから確認できます。

お使いの環境を保護するために、ウイルス定義は最新の状態に保つようにしてください。また、見覚えがない送信者から届いた添付ファイルをダウンロードしたり開いたりしないようにしてください。

: 本件については、すでに Apple に連絡して、このバージョンの Macontrol に対処できるよう OS X のマルウェア定義が最近更新されたという報告を受けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。