これまで知られていなかった Strider(ストライダー)というグループが、ロシア、中国、スウェーデン、ベルギーの特定の標的に対して、サイバースパイ型の攻撃を実行しています。Strider グループが攻撃に使っているのは、Remsec という高機能なマルウェア(Backdoor.Remsec)です。Remsec はステルス機能を持つツールで、主にスパイ活動を目的として設計されているようです。Remsec のコードには、ファンタジー小説『指輪物語』に登場し、あらゆるものを見通す不倶戴天の敵 Sauron(サウロン)の名前が出てきます。
Strider の攻撃は、以前から知られている Flamer というグループと不確かながら関係があります。Lua モジュール(後述)を利用するのは、以前 Flamer によって使われていたテクニックだからです。Strider の標的のひとつは、以前 Regin によって感染したこともありました。
背景
Strider は、少なくとも 2011 年 10 月から活動しています。これまで目立たずに存続し、国家の諜報機関が興味を示しそうな組織や個人を主として標的にしてきました。シマンテックは、このグループで使われている Remsec マルウェアがビヘイビア分析エンジンで検出されたのを受けて、ある顧客からそのサンプルを入手しました。
Remsec の設計目標は、主として標的に対するスパイ活動です。侵入したコンピュータでバックドアを開き、キーストロークを記録したり、ファイルを盗み出したりする機能があります。
標的
Strider は、標的の選定がきわめて限定的であり、現在までにシマンテックが感染の証拠を確認したのは、7 つの組織にわたる 36 台のコンピュータだけです。ロシア国内の多数の組織と個人、中国の航空会社 1 社、スウェーデンの 1 組織、ベルギーの 1 大使館などが標的になってきました。
図 1. Strider の影響を受けたのは、4 カ国でごく少数の組織のみ
ステルス機能を持つバックドア
Strider グループが使う Remsec マルウェアは、設計がモジュール式です。感染したコンピュータを攻撃者が完全に制御できるフレームワークとして、各モジュールが連携するため、攻撃者はネットワーク間を移動しながらデータを抜き出し、必要に応じてカスタムモジュールを配備できます。
Remsec には、多くのステルス機能があり、容易に検出をすり抜けられます。コンポーネントの一部は実行可能な BLOB(バイナリラージオブジェクト)の形になっているため、従来のウイルス対策ソフトウェアではますます検出が困難です。そのうえ、Remsec の機能の多くはネットワーク上で配備されます。コンピュータのメモリ上にしか存在せず、ディスク上に格納されることはないということで、検出はその分さらに困難になります。こうしたことから、Strider は高度な技術力を備えた攻撃グループであると考えられます。
シマンテックがこれまでに確認した Remsec のモジュールは、次のとおりです。
- ローダー: MSAOSSPC.DLL という名前で、ディスクからファイルをロードして実行するモジュールです。ディスク上のファイルには、実行可能な BLOB 形式のペイロードが含まれています。ローダーのもうひとつの機能が、データログの記録です。実行可能な BLOB とデータの暗号化と復号には、0xBAADF00D というキーの反復が使われます。ローダーは、偽のセキュリティサポートプロバイダーとして実装されることで、永続性も確保します。
- Lua モジュール: Remsec のいくつかの例では、プログラミング言語 Lua で書かれたモジュールが使われています。Remsec が Lua インタープリタを使って Lua モジュールを実行し、Lua モジュールが各機能を実行するという仕組みです。Lua モジュールも、ローダーと同じく実行可能な BLOB 形式で格納されています。Lua モジュールには、以下の機能があります。
- ネットワークローダー - ネットワーク上で実行可能ファイルをロードし、実行します。RSA/RC6 暗号化を使う場合があります。
- ホストローダー - 他の Lua モジュールを少なくとも 3 つ、復号して実行中のプロセスにロードします。このとき参照するのが、ilpsend、updater(この 2 つは現在までにまだ発見されていない)、kblog(後述するキーロガーモジュールと思われる)という名前付きの 3 つのモジュールです。
- キーロガー - キーストロークを記録してそのデータを抜き出し、攻撃者が管理するサーバーに送ります。これが、コード中に「Sauron」という文字列のあるモジュールです。その機能から考えると、攻撃者は『指輪物語』に登場する千里眼の魔王にちなんで、このモジュールのニックネームにした可能性があります。
図 2. Remsec のキーロガーモジュールで、Sauron の名が登場する文字列
- ネットワークリスナー: Remsec の多くが、特定タイプのトラフィックの監視に基づいてネットワーク接続を開くとき、異なる技術を実装しています。トラフィックのタイプには、ICMP、PCAP、RAW ネットワークソケットなどがあります。
- 基本パイプのバックドア: 最小限のバックドアモジュールで、名前付きパイプによって制御されます。実行可能な BLOB 形式のデータ、または標準の実行可能ファイル形式のデータを実行できます。
- 高度なパイプのバックドア: 実行可能 BLOBの送信、ファイルのリスト、ファイルの読み取り/書き込み/削除など、基本パイプの場合より多くのコマンドを利用できます。
- HTTP バックドア: このモジュールには、コマンド & コントロール(C&C)サーバーの URL が複数含まれています。
Strider は、カスタムマルウェアツールを作成する機能があり、少なくとも 5 年間はレーダー網をかいくぐりながら動作を続けてきました。Remsec に備わっているサイバースパイ機能と、確認された標的の性質とをあわせて考えると、Strider は国家レベルの攻撃グループという可能性も浮上してきます。シマンテックは、Strider に関する情報を蓄え、お客様を確実に保護できるように、Remsec モジュールと標的の探索を今後も続けていく予定です。
保護対策
シマンテック製品とノートン製品は、この脅威を Backdoor.Remsec として検出します。
侵害の兆候
シマンテックは、侵害の兆候に関する文書もまとめました。これには、お使いの環境に侵入された場合に脅威を特定できるように、詳しい情報が記載されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】