マルウェア作成者にとっては、コンピュータに侵入を果たしたマルウェアと、自分たちが運用するサーバーとの間でネットワーク接続を確保することが重要です。マルウェアがコマンドを受信したり、マルウェアを更新したりするために必要だからです。しかし、マルウェアとマルウェアサーバーとの間の通信は、ゲートウェイやローカルファイアウォールによってフィルタ処理される場合もあれば、侵入防止システム(IPS)で遮断される場合もあります。そこで、マルウェア作成者はマルウェアとサーバーの間で通信方法の安全性を高くしようと努めることになります。たとえば、昨年 11 月に掲載したブログでは、Backdoor.Makadocs が Google Docs のビューア機能をプロキシとして利用し、マルウェアとサーバーの間で確実な接続を確保していることについて詳しく解説しました。ごく最近には、SPF(Sender Policy Framework)を使うトロイの木馬が発見されています。SPF はスパムメールを防止するために設計された電子メール検証システムですが、今回のトロイの木馬は確実な接続を確保するために SPF を使用しています。
基本的に、SPF はドメインネームサーバー(DNS)の要求とレスポンスで構成されています。送信者の DNS サーバーが SPF を使うように設定されている場合、DNS レスポンスにはテキスト(TXT)レコードで SPF が含まれます。
図 1. SPF の仕組み
以下の表に、主な正規サイトの SPF の例を示します。
表 1. 主な正規サイトの SPF の例
マルウェア作成者にとって重要なのは、SPF 内のドメインまたは IP アドレスを DNS 要求から取得できるかどうか、そしてこの DNS 要求をコンピュータから直接要求しなくて済むかどうかということです。通例、ローカル DNS サーバーが DNS キャッシュサーバーとして使われ、DNS キャッシュサーバーはコンピュータに代わって要求を送信できます。
SPF を利用するトロイの木馬の発見
最近、SPF を利用するトロイの木馬が発見されました(シマンテック製品はこれを Trojan.Spachanel として検出します)。原理としては、Web ブラウザを乗っ取り、各 HTML ページに悪質なコンテンツをインジェクトします。このマルウェアが攻撃を実行する過程を以下の図に示します。
図 2. Trojan.Spachanel が攻撃を実行する過程
次に示すのは、攻撃者の DNS サーバーから取得した SPF レコードです。
図 3. 悪質な SPF レコード
HTML タグの最後には、以下の例のような JavaScript が挿入されています。以下の画像で隠されている URL は、図 3 で隠されている URL と同じです。
図 4. HTML タグの後に挿入されている JavaScript の例
なぜ攻撃者は、悪質なドメインや IP アドレスの取得に SPF を使ったのでしょうか。私の推測では、攻撃者は正規の DNS 要求の中に通信を隠蔽しようとしているのかもしれません。このマルウェアが、独自のプロトコルを使って大きなポート番号で攻撃者のサーバーに接続した場合は、ゲートウェイやローカルファイアウォールによってフィルタ処理されたり、侵入防止システム(IPS)で遮断されたりする可能性があります。場合によっては、特定のドメインがローカル DNS サーバーによって遮断されますが、このマルウェアで生成されるドメインはほとんどフィルタ処理されません。また、DNS 要求は直接送信されないのが一般的です。通常、ネットワークや ISP ネットワークには DNS キャッシュサーバーがあるため、ファイアウォールがそれをフィルタ処理することは困難です。したがってこれは、マルウェアと攻撃者のサーバーとの間で確実な接続を確保する目的であると考えられます。
感染するとどうなるか
挿入されている JavaScript タグによって悪質なコンテンツがロードされると、ブラウザの左下隅にポップアップウィンドウが重ねて表示されます。正規のサイト自体が感染しているわけではなく、ポップアップのコンテンツもまったく接続はしていません(図 5 は、シマンテックのホームページを題材に、このポップアップの表示を示した例です)。この JavaScript は感染したコンピュータのブラウザに挿入されるだけで、Web サーバーには影響しません。したがって、このマルウェアに感染していないコンピュータでは、このポップアップも表示されません。
図 5. 悪質なコンテンツを表示しているように見える正規のサイト
これまでに確認されているポップアップウィンドウは、以下の 4 種類です。
図 6. 4 種類の悪質なポップアップウィンドウ
現在までに確認されているところでは、「PC Speed Test(PC のスピードテスト)」または「PC Performer Test(PC のパフォーマンステスト)」というポップアップウィンドウでボタンをクリックした場合に、ブラウザがセキュリティリスクのダウンロードサイトにリダイレクトされます。「how fast can you build your muscle mass?(肉体改造にかかる時間はどれくらい?)」というポップアップウィンドウは広告のように見えますが、このブログの執筆時点では、ボタンをクリックしても何も起きません。あるポップアップウィンドウでは「CAPTCHA」が表示されるだけですが、その機能はまだ解析されていません。
これらの攻撃の目的が、セキュリティリスクの販売と広告のクリックによって金銭を得ることにあるのは明らかです。
安全を確保するために、コンピュータには最新のソフトウェアパッチをインストールし、ウイルス対策定義も常に最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。