シマンテックは、トロイの木馬 Regin について調査を続けるなかで、サイバースパイ活動のツールに光を当て、この脅威を支えている幅広い機能と複雑なインフラストラクチャを明らかにしてきました。
Regin は昨年シマンテックによって発見されましたが、これまでに発見されたスパイツールのなかでも、いまだに特に高度なもののひとつです。Regin は 2008 年後半に出回り始め、政府機関、インフラ事業者、企業、研究者、個人一般など多岐にわたる標的に対して使われています。
新しいモジュール
Regin は 5 つのステージから成る脅威で、ステージごとに次のステージがロードされて復号されます。モジュラー構造になっているため、管理者は標的に応じて特定の機能を追加したり削除したりすることが可能です。ネットワークや、Regin の暗号化仮想ファイルシステム(EVFS)の処理など、マルウェアの基本的な機能を制御するモジュールもあれば、ペイロードとして機能し、Regin に感染したコンピュータごとに機能を指示するモジュールもあります。
最新版のテクニカルホワイトペーパー(英語)でも概説しているように、シマンテックは 49 個のモジュールを新たに発見しました。これで、合計 75 個の Regin モジュールが明らかになりましたが、これでも最終的なリストではありません。ほかにも多数の Regin ペイロードの存在が知られており、現に解析の進んだ一部のモジュールで参照されています。
コマンド & コントロール
シマンテックは、Regin の拡散をサポートする巨大なコマンド & コントロール(C&C)インフラストラクチャを発見しました。攻撃者は C&C サーバーと通信するために複雑なシステムを考案しており、トラフィックは Regin に感染したコンピュータのネットワークを通じてリレーされています。侵入を受けたコンピュータは、感染した他のコンピュータのプロキシとして機能し、ピアツーピア(P2P)通信が利用されています。Regin で使われているネットワークプロトコルは多様です。しかも、Regin に感染した 2 台のコンピュータ間で設定できるため、攻撃者は C&C 通信を細かいレベルで制御できます。
C&C 通信はすべて強力な暗号化を使い、2 段階プロトコルに従っています。攻撃者は感染したコンピュータに 1 つのチャネル上で接続し、別のチャネルで通信を開くように指示します。通信プロトコルの中核的な処理は 1 つの Regin モジュール(0009h)が担っており、個々のプロトコルにはそれぞれのモジュールが用意されています。これまでに特定されている転送プロトコルは、ICMP、UDP、TCP、HTTP Cookies、SSL、SMB の 6 種類です。
Regin の P2P 通信機能によって、感染した各コンピュータに仮想 IP アドレスが割り当てられ、感染したコンピュータの物理的なネットワークの上に、仮想プライベートネットワーク(VPN)が形成されます。この P2P 機能を使って、攻撃者は侵入先の組織の重要な資産に奥深くまでアクセスでき、グループに属するコアインフラストラクチャをマスクできるようになります。ノード間のトラフィックは、ネットワーク上の位置に基づいて想定されるプロトコルに一致するように設定できるので、通信の秘匿性はさらに高くなります。
リモートプロシージャコール(RPC)のメカニズム
Regin の作成者は、軽量なリモートプロシージャコール(RPC)のメカニズムを利用して、モジュール間の通信を実現しました。この RPC メカニズムは独自に作成されたもののようです。
RPC メカニズムを利用すると、ローカルでも、また Regin に感染したコンピュータのネットワーク全体でもプロシージャコールを実行できます。操作者は、任意のプロシージャを直接 Regin ネットワーク上でコールし、モジュールをリモートで制御、インストール、更新でき、EVFS ファイルを置き換えてモジュール設定を変更することも可能です。
Regin の影響
昨年その存在が暴露されたにもかかわらず、Regin を背後で操るグループが活動を停止する気配はありません。これまでの実績と十分なリソースから判断すると、このグループが新しい脅威を再装備する、あるいは検出をすり抜けようとして Regin をアップグレードすることは十分に考えられます。類似の機能をもつマルウェアフレームワークをゼロから開発する時間を考えれば、後者の可能性が特に高そうです。
技術的な手腕について、Regin は他のほとんどの脅威の数年は先を進んでいます。その影響は今でも続いているようで、これほど高度ではない他の脅威を使う攻撃者は、Regin から刺激を受けたり、Regin の機能をコピーして自らのツールを改良しようとしています。
参考資料
セキュリティ管理者が知っておくべき侵害の兆候や、詳しい技術情報は、テクニカルホワイトペーパー『Regin: Top-tier espionage tool enables stealthy surveillance(Regin: 人目に付かずに監視活動が可能な最悪のスパイツール)』(英語)の最新版を参照してください。
保護対策
シマンテック製品とノートン製品は、この脅威を Backdoor.Regin として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】