Trojan.Badlib について: マルウェア拡散ネットワーク

技術解析: Poul Jensen、図解: Ben Nahorney

今日見られる悪質なマルウェアの多くが追加のソフトウェアコンポーネントをダウンロードして、さまざまな活動をしかけるというのは、周知の事実です。マルウェアが面白半分から利益目的へと変化するとともに、コンピュータ利用者の常時接続が当たり前になったことから、マルウェアが侵入先のコンピュータに別のファイルをダウンロードすることは珍しくなくなっています。同じようにソフトウェアダウンロードの手法を使って機能強化を図る APT（Advanced Persistent Threat）については最近、世間で盛んに議論されていますが、それ以外に産業スパイや国家の安全保障問題とはあまり関係しないマルウェアも出回っています。おそらくこれは、Trojan.Badlib の同類が必ずしもそのような価値の高い情報を標的にするとは限らず、むしろそのような情報にはあまり興味を示さないためでしょう。とはいえ、Badlib グループがそれ自体で注目に値するという事実は変わりません。

基本的に、Trojan.Badlib はマルウェア拡散ネットワークとして機能します。目的は、一連のマルウェアをおあつらえ向きのコンピュータに拡散し、一定のタスクを実行することです。コンピュータに最初にインストールされた時点で、そのコンピュータがインターネットに接続されているかどうかを確認し、接続されている場合には、このトロイの木馬にあらかじめハードコードされているアドレスのリストからコントロールサーバーに接続します。Badlib の接続先としては、以下のドメインが確認されています。

• newdrivers-win7.com
• drivers-z2012.com
• free-pac.net
• drivers-z2012.com
• driver-portal-x86.com
• supercarsinfo.net
• free-dns-server1.com
• li.ru
• hh-99.ru
• bmp-forwindows.com
• hh-99.ru
• v-baza.ru

これらのアドレスに接続できない場合のために、Badlib には接続を試行するデフォルトの IP のリストも用意されています。最初の接続時に、リモートサーバーはこの感染を登録し、追加のソフトウェアをダウンロードしてインストールすべき場所について詳しい情報を返します。このときの応答は、次のような内容です。

 1|http://free-pac.net /loader20_lite.exe|5736774043355154445315117528586244028140129869149580292800496
 943763799653127456287406420816614138608268600797370579065744143954205

この応答を詳しく見ると、以下のようになっています。

1. ダウンロードするファイルの数。
2. ファイルをダウンロードする際の URL。
3. ファイルのデジタル署名アルゴリズム（DSA）。これはソフトウェアの実行前に検証されます。Badlib コンポーネントは最初に署名を確認するので、ボットネットが乗っ取られるのを防ぐ効果があります。

このマルウェアグループによる危殆化から生じる悪質なソフトウェア群としては現在 Trojan.Badfaker、Trojan.Badminer、Infostealer.Badface があります。これら 3 つの亜種には、それぞれ異なる機能があるので、それを以下に詳しく説明することにします。

最初に 3 つの亜種のどれに感染するかは問題ではありません。時間が経過すれば、どれもが同じように他のコンポーネントをダウンロードし、最終的には 3 つがすべて揃うことになるからです。

偽のウイルス対策だが、今までとは違う
ダウンロードされるソフトウェアの 1 つが Trojan.Badfaker です。Badfaker はセキュリティソフトウェアの無効化を試みたうえに、無効化したという事実を秘匿しようとします。これを最初に確認した時点では、虚偽の脅威を報告し、それを削除するためと称して金銭を要求する従来型の偽ウイルス対策と同じものと考えられました。しかし、さらに詳しく調べてみると、この脅威の本当の目的はアクティブなセキュリティソフトウェアを無効化したうえに、そのセキュリティソフトウェアがまだ有効であるかのように見せかけるという動作を実行することだったのです。そうすることで、Badfaker も、それに続いてコンピュータにダウンロードされる他の悪質なコンポーネントも生き延びる確率が高くなります。

そのために Badfaker は、セキュリティソフトウェアがコンピュータ上で実行されている場合にその種類を特定するためのスキャンを実行し、セキュリティソフトウェアに関連して実行されているプロセスを検索します。また、Windows のコントロールパネル機能を使って、インストールされているセキュリティソフトウェアに関する詳しい情報も収集しようとします。インストールされているソフトウェアの種類を特定すると、次の起動時にセーフモードで起動するように Windows を変更します。セーフモードで起動されると、Badfaker は再起動前に検出したセキュリティソフトウェアに属するファイルとフォルダを削除しようとします。セキュリティソフトウェアを削除する際には、削除対象を記録しておき、削除の前にその実行可能ファイルからアイコンを抽出します。そして、このアイコンをシステムトレーに表示すれば、削除されたセキュリティソフトウェアが引き続き実行中であるかのように見せかけられるというわけです。

また Badfaker は、ファイアウォールが有効になっていない場合や、ウイルス対策ソフトウェアが実行されていない場合の警告が表示されないように、Windows のファイアウォールと、Microsoft Windows セキュリティセンターからの警告も無効にします。しかも、稚拙な商標の入ったダイアログボックスで、セキュリティ上の脅威に関する偽の警告まで表示し、インストールされていたウイルス対策ソフトウェアが今もなお脅威を検出できるかのように見せかけます。Trojan.Badfaker には、多様なセキュリティ製品ベンダーを標的にしたビットマップ画像もひととおり用意されており、その画像がすでに無効化されているセキュリティソフトウェアを装う目的で使われています。

Trojan.Badfaker で使われる、稚拙な商標の入ったダイアログボックスの例

GPU を制御して利益を得る攻撃者
コンピュータにダウンロードされる次のマルウェアは、シマンテックが Trojan.Badminer として検出しているものです。Badminer は、Bitcoin マイニングのために GPU を利用することが確認された初めてのマルウェアという、ありがたくない名誉を担っています。Bitcoin マイニングに GPU を使うとなぜマルウェア作成者に有利かというと、Bitcoin マイニングで大量の利益を上げるという点では最新の GPU の処理能力が CPU を上回っているからです。Bitcoin マイニングに GPU を使うと、どのくらい高速に利益を得られる可能性があるかという点については、Poul Jensen 氏による以前のブログ記事に説明があります。

この種の Bitcoin マイニングを行うトロイの木馬が Badlib ネットワークによって拡散されているという事実は、このマルウェアグループの背後にいる攻撃者の動機を知る手がかりになります。Bitcoin を生み出すというのは、営利追求の試みとしては興味深い選択肢です。いわば、現実の金銭ではなく被害者のハードウェア能力を盗んでいるようなものと言えます。

データ漏えいの現状
Badlib によって拡散されるもうひとつのマルウェアが、Infostealer.Badface です。Badface の目的は、利用者の多いソーシャルネットワークサイトから詳しいユーザーアカウント情報を盗み出すことにあります。これには、ロシアに拠点を置く複数のサイトも含まれており、この脅威に狙われているソーシャルネットワークサイトの利用者は、ユーザーベースで 9 億ユーザーを超えています [1] [2]。言い換えれば、影響を受ける可能性があるユーザーベースは、南北両アメリカの人口にも匹敵します。Infostealer.Badface は、侵入先のコンピュータにローカルのパススルー Web サーバーをインストールしたうえで、ホストファイルを変更してソーシャルネットワークサイトのアドレスの長大なリストを、ローカルホストの IP にリダイレクトします。つまり、影響を受けるアドレスへの要求はすべて、Badface がインストールしたローカルの Web サーバーに転送されるということです。

 127.0.0.1 facebook.com
 127.0.0.1 fa-ir.facebook.com
 127.0.0.1 fb-lt.facebook.com
 127.0.0.1 fi-fi.facebook.com
 127.0.0.1 fo-fo.facebook.com 

Infostealer.Badface によって作成されるホストファイルエントリの一部

このローカル Web サーバーはプロキシとして機能するため、ブラウザからの要求を受信し、必要な情報をすべて抽出してから、その要求を本来の宛先サーバーに送信します。この方法を使えば、攻撃者はユーザー自身から送信された個人情報を傍受できることになります。

Facebook.com に localhost から要求が送信されている。データは両方に送信されるので、プロセスはエンドユーザーに対して透過的

この手法で利益を得るという点については、各種のソーシャルネットワークサイトで有効な確認済みのユーザーアカウントは、市場で需要が高いという現状があります。BBC が昨年報じた記事によれば、最も著名なソーシャルネットワークサイトの 150 万件のアカウントが、あるロシアのフォーラムで 1,000 件当たり 45 ドルという価格で販売されていたと言われています。販売広告やアカウント請求の多くは、世界中のさまざまなフォーラムやフリーランス事業用の Web サイトで行われています。取り引きされる一般の商品と同様に、アカウントも品質を基準に格付けされています。何度も所有者が変わったアカウントほど品質が低く、電話による確認も済んだアクティブなアカウントは品質が高いとされます。

たとえば、あるフォーラムに 2011 年の初めに寄せられた投稿では、人気のあるソーシャルネットワークの電話確認済みアカウントに、1 件当たり 1.50 ドルという値段が付けられていました。ソーシャルネットワークのアカウントを調達したいと考えている者がいれば、そこで必要とされる各種のツールやサービスを提供する者がいる。そういうエコシステムが出来あがっているわけです。買い取ったアカウントは、広告やアンケートスパム、ペイパーインストールのマルウェアの拡散など、いろいろな営利目的に利用できます。

各種 Web サイトのアカウントを売りに出しているフォーラムの投稿

こうしたソーシャルネットワークサイトで狙われる可能性があるユーザーベースのうち、わずか何分の 1 かが、Badlib の背後にいるグループによって個人情報を盗まれ売買されたと仮定した場合でも、相当額の現金を手に入れられる計算になります。

900,000,000 × 0.001 = 900,000 ユーザー

1,000 件当たり 45 ドルという、BBC の報道どおりの金額で売買されたとすれば、その売上総額は、「(900,000 ÷ 1000) x 45 = 40,500 ドル」にも達します。もちろん、アカウントの品質が高ければ、この額はさらに多くなるでしょう。

バイリンガルマルウェア
2 カ国語のマルウェアも今では目新しいものではありません。過去、多くのワームが数カ国の言語で書かれたメールを送信しています。たとえば、W32.Yimfoca.B はインスタントメッセージを多言語で送信します。二カ国語で書かれていることも、Trojan.Badlib の特徴です。シマンテックが確認した内容からすると、Badlib のコンポーネントは英語とロシア語の 2 カ国語をサポートしているようです。Badfaker によってポップアップ表示されるメッセージは、コンピュータがロシアのロケールを使っているかどうかによって異なります。ロケールがロシアでなければ、英語のメッセージが表示されます。

発信源
使われているドメイン、2 カ国語の性質を持つこと、情報盗用活動の標的、そしてコマンド & コントロールのトラフィックで指定されているコンピュータの場所を考えあわせると、このマルウェアの発信源はロシアか東ヨーロッパであろうと推測されます。IP アドレスのサンプルから、その大部分はロシアとウクライナに、ごく一部がその他の国に所在すると考えられています。

今後の展開
以上に述べたように、Trojan.Badlib とその多様な亜種には共通点があります。現在の Badlib は Bitcoin マイニングを行い、またソーシャルネットワークの個人情報を盗み出しますが、これが今後どのように変化していくかは予測できません。すでに指摘したように、Badlib はマルウェア拡散ネットワークです。こうしたマルウェアの背後にいる攻撃者は、何であれ利益につながる標的を狙うことがほとんどです。つまり、新しい金儲けの方法が見つかれば、ダウンロードされる内容もそのたびに変わるということになります。そうなったときには、また新たな亜種が新しい機能を携えて仮想世界に登場することになるでしょう。そのときの狙いが何であっても、シマンテックはユーザーを保護するために監視の目を光らせ続けています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。