Video Screencast Help
Security Response

スペイン語の RAT

Created: 05 Sep 2013 04:48:55 GMT • Updated: 05 Sep 2013 04:49:56 GMT • Translations available: English
Val S's picture
0 0 Votes
Login to vote

寄稿: Roberto Sponchioni

シマンテックセキュリティレスポンスは最近、Alusinus という新しいリモートアクセスツール(RAT)を発見しました(Backdoor.Alusins として検出されます)。これは、スペイン語圏のアンダーグラウンド向けのプログラムで、ビルダー自体はいくつかの標準機能を備えた単純なものですが、その中に興味深く、特筆に値する機能が 1 つあります。このビルダー機能により、Backdoor.Alusins は検出をすり抜けやすくするために、calc.exe、svchost.exe、notepad.exe といった正常なプロセスに自身をインジェクトすることができます。
 

Spanish RAT 1.png

図 1. Backdoor.Alusins のコントロールパネル - ユーザー名、コンピュータ名、ウイルス対策やファイアウォールの情報が攻撃者に報告される
 

リアルタイムのデスクトップ監視
攻撃者は、Backdoor.Alusins を使って、被害者のデスクトップを表示し、ユーザーの活動をリアルタイムで監視することができます。
 

Spanish RAT 2 edit.png

図 2. 侵入先のコンピュータのデスクトップ表示
 

Web カメラの監視
また、リアルタイムで Web カメラの動作の監視とキャプチャが可能です。
 

Spanish RAT 3.png

図 3. Web カメラのセッション
 

キーロガー機能
さらに、Backdoor.Alusins には、ログイン情報などを盗み出すために、侵入先のコンピュータ上のキーストロークをリアルタイムで監視する機能もあります。
 

Spanish RAT 4.png

図 4. キーロガー
 

迷惑行為
攻撃者は、この RAT を使って、システムエラーメッセージをカスタマイズして被害者に直接メッセージを送ることができます。このメッセージ送信機能によって、悪質ないたずらやリモートからの迷惑行為が引き起こされる恐れがあります。攻撃者はいつでも、被害者に煩わしいメッセージやポップアップを送信し、同時に Web カメラを通じて被害者の反応を観察できるからです。このツールの作成者は、対話型のオンライン詐欺を想定してこの機能を実装した可能性もあります。
 

Spanish RAT 5.png

図 5. 侵入先のコンピュータで任意のエラーメッセージを表示できる
 

加えて、Backdoor.Alusins を使えば攻撃者は侵入先のコンピュータで以下の処理を実行することも可能です。

  • プロセスを監視する
  • Web ページを開く
  • 光学ドライブを開閉する
  • セッションを終了する
  • インストールされているプログラムを表示する
  • すべてのサービスを表示する
  • ファイルをダウンロードして実行する
  • リモートホストに接続してコマンドを受信する
  • Windows レジストリを表示する
  • インストールされているファイアウォールのタイプとバージョンを取得する
  • インストールされているウイルス対策ソフトウェアのタイプとバージョンを取得する
  • コンピュータ名、ユーザー名、IP アドレス、オペレーティングシステムのバージョン、言語といったシステム情報を抽出する
  • プロセスのリスト(PID とそれに対応するプロセス名)を取得する
  • 指定したユーザー名とパスワードを使って電子メールを送信する
  • Pidgin や Filezilla のユーザー名とパスワードを盗み出す
  • システムプロセスを表示または終了する

Backdoor.Alusins はそれほど普及している RAT ではなく、スペイン語圏のハッカー層を対象としていますが、それに限定されるものではありません。シマンテックは、このバックドアビルダーとバックドアを Backdoor.Alusins として検出します。

この RAT やその他の脅威から保護するために、ウイルス対策定義、オペレーティングシステム、およびソフトウェアを常に最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。