Trojan.Poweliks が初めて注目を集めたのは、2014 年、レジストリベースの脅威に姿を変えたときのことでした。レジストリベースというのは、侵入先のコンピュータ上にファイルとしては存在せず、Windows のレジストリにのみ潜在する脅威です。ファイルとしての実体がなくメモリ内にのみ潜む脅威というものは以前から存在しましたが、Poweliks の場合は再起動後にも侵入先のコンピュータに残り続けることができるという永続の仕組みが際立っています。
Poweliks の独自性は、この永続の仕組みだけではありません。Poweliks は、特殊な命名方法など、レジストリに関する他の手口も利用しているために検出が困難であり、また CLSID の乗っ取りを利用して侵入先のコンピュータ上で永続するという特徴もあります。Poweliks は、権限昇格のゼロデイ脆弱性を悪用して侵入先のコンピュータを制御する機能も持つうえ、そのコンピュータをクリック詐欺のボットネットに追加し、被害者が知らないうちに広告をダウンロードします。
シマンテックは Poweliks について徹底的な調査を行い、この脅威がこれまでにとげてきた進化の過程と、レジストリに潜んで検出をすり抜けようとする手口を探りました。
ファイルのない脅威
Poweliks はファイルとして存在しない脅威であり、複数のテクニックでレジストリ内にのみ永続します。次の図を見ると、その仕組みを理解できます。
図 1. レジストリ内の Poweliks
Poweliks は、正規の Windows rundll32.exe ファイル(上の図で青い囲み線)を使って、レジストリのサブキー自体に埋め込まれている JavaScript コード(赤い囲み線)を実行します。この JavaScript には、ペイロード(緑の囲み線)として機能する追加のデータをレジストリから読み込み、実行する命令があります。
このデータの一部はエンコードされており、それがデコードして実行されるとウォッチドッグと呼ばれるプロセスがインストールされます。ウォッチドッグプロセスは、侵入先のコンピュータで永続性を確保するために使われます。そのために、Poweliks がまだ実行されており、そのレジストリサブキーがまだ削除されていないことを確認します。この機能によって、脅威が削除されている場合にはレジストリサブキーが元どおりに復元されます。
Poweliks はレジストリの内部に存在するため、ウォッチドッグの機能がはたらき、アクセスを防ぐためにアクセス権を変更することによってサブキーを保護します。また、出力不能な文字を利用して、適切な権限がある場合でもレジストリツールがキーを見つけられないようにします。Poweliks 以降、こうしたテクニックと戦術は Trojan.Phase など他の脅威でも使われていることが確認されています。
次の図は、Poweliks が侵入先のコンピュータで永続する仕組みです。
図 2. Poweliks が永続性を確保するためにレジストリエントリを管理
CLSID の乗っ取り
レジストリで Run サブキーを書き換えて自身をロードする脅威は数多く存在しますが、Poweliks は CLSID の乗っ取りによって新しいロードポイントを利用します。CLSID エントリは、Windows を正常に稼働させるために Microsoft が必要とする一定の機能にリンクしています。Poweliks は、この CLSID サブキーにデータを追加し、独自の機能を補強します。具体的には、Poweliks が乗っ取るのは次の CLSID です。
- {FBEB8A05-BEEE-4442-804E-409D6C4515E9}
- {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}
- {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
これらの CLSID がすべて、Windows とともにロードされます。たとえば {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} は、LocalServer32 サブキーに含まれるファイルを、フォルダが開かれたときに実行します。この CLSID を乗っ取ることによって Poweliks は、たとえウォッチドッグプロセスが停止していても、ファイルが開かれたとき、または新しいサムネイルが作成されたときに、必ずそのレジストリエントリを実行することが可能になります。
レジストリエントリの保護
Poweliks は、これ以外にもまだ、侵入先のコンピュータでレジストリエントリを保護するテクニックを秘めています。Poweliks は、開いたり閲覧したりすることを禁じるメカニズムを備えたレジストリサブキーを作成するのです。このレジストリサブキーには、0x06 バイトと 0x08 バイトを使って作成されるエントリがあり、これは Unicode の出力可能な文字セットの範囲から外れています。そのため、LocalServer32 サブキー全体が、読み込むことも適切に削除することもできません。なかには、このサブキーを読み込めるレジストリツールもありますが、デフォルトの Windows レジストリエディター(regedit.exe)では読み込めず、この文字を読み込み、レジストリエントリを読み込んで削除するには特殊なツールが必要です。Poweliks は、自身をレジストリ内に配置してこの保護メカニズムを利用するため、除去が非常に困難になっています。
図 3. Poweliks をメモリ内で保護するために追加されるレジストリサブキー
Bedep 接続
Poweliks は、Microsoft Windows がリモートで特権昇格される脆弱性(CVE-2015-0016)を悪用して、侵入先のコンピュータの制御権を獲得します。シマンテックが発見したこの脆弱性は Microsoft に報告され、その後 1 月の月例パッチで MS15-004 として対応されました。Trojan.Bedep もこのゼロデイ脆弱性を使って侵入先のコンピュータを制御しますが、その時期は Poweliks による悪用と前後していました。このことから、シマンテックは Poweliks と Bedep の間に何らかの関連性があると考えています。
Bedep はダウンローダであり、それによって侵入先のコンピュータにダウンロードされる脅威のひとつが Poweliks なのです。
Poweliks からランサムウェアへ
Poweliks は、コンピュータに侵入して永続する仕組みこそ複雑であり独特ですが、とどのつまりは、攻撃者が広告を通じて金銭を稼ぐ目的で利用するワンクリック詐欺型のトロイの木馬にすぎません。キーワードに基づいて広告を要求し、選択したキーワードを被害者が正規に検索したように見せかけ、その広告ネットワークによって返される URL にアクセスさせます。その結果、攻撃者が報酬を受け取るという仕組みです。選択した広告は被害者には表示されないので、Poweliks は存在を気付かれないままになります。これだけでも被害者にとっては問題ですが、さらに深刻なのは、Poweliks が侵入先のコンピュータへ送信する広告の膨大な数です。
Poweliks は、侵入先のコンピュータで 1 日当たり 3,000 件もの広告を要求できます。これほど多くの広告を次々と要求し、しかもその送信元がどこかを関知しないとなると、侵入先のコンピュータには悪質な広告もダウンロードされかねません。そうなると、他のマルウェアがインストールされてしまう恐れもあります。事実、シマンテックは Poweliks に感染したコンピュータに Trojan.Cryptowall またはその亜種がインストールされたケースを確認しています。つまり、最初のうちは Poweliks が広告を表していることに気付かないだけですが、最終的にはコンピュータからロックアウトされて身代金の支払いを要求されてしまうかもしれないということです。
図 4. Trojan.Cryptowall のロック画面
対処方法
シマンテック製品とノートン製品は、Trojan.Poweliks を以下のように検出します。
AV
IPS
除去ツール
お使いのコンピュータが Trojan.Poweliks に感染したと考えられる場合には、次の除去ツールを実行してください。
参考資料
Poweliks が進化してきた経緯について詳しくは、シマンテックのホワイトペーパーをお読みください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】