Video Screencast Help
Security Response

プロキシを利用してオンラインバンキングを操作する Trojan.Tatanarg

Created: 03 Mar 2011 05:28:33 GMT • Translations available: English
Hon Lau's picture
0 0 Votes
Login to vote

オンラインバンキングを狙うトロイの木馬は新しいものではなく、2003 年に初めて検出された Infostealer.Bancos グループのように、かなり以前から出回っています。オンラインバンキングを利用する人が増えるにつれ、犯罪予備軍が悪用しやすい巨大で儲けの大きい標的になってきたからです。

これまで、オンラインバンキングを狙ったトロイの木馬は一般的に、利用客とオンラインバンキング Web サイトの間で交わされるデータトラフィックを捕捉するだけでした。捕捉された認証データなどの情報は、トロイの木馬によって収集されて攻撃者に送信され、攻撃者自身によって利用されるか、収益源として他者に売却されます。オンラインバンキングを狙うトロイの木馬が出現してきた歴史を見ると、銀行と攻撃者が相手の動向に対応してお互いを妨害し合うという、追いつ追われつの繰り返しでした。さらに巧妙化した種類になると、MITB(Man In The Browser)と呼ばれる手法を採用し、SSL 暗号化や多要素認証などの防御を破ろうとします。MITB は、ユーザーのブラウザ操作をリアルタイムで監視し、傍受することで実現されます。ブラウザのコンテキストで HTML コンテンツを変更して、偽の情報を表示したり、ユーザーから銀行に送信される取引情報を操作したりできるようになります。

最近シマンテックが注視しているのは、Trojan.Tatanarg という種類です。Trojan.Tatanarg は、オンラインバンキングを狙うトロイの木馬として予想されるすべての機能を備えているほか、さらに多くの機能も持っています。Trojan.Tatanarg はコンポーネントベースなので、最初のインストーラがさまざまな機能を持つ複数のコンポーネントをダウンロードします。たとえば、以下のような機能があります。

  • トロイの木馬「Zeus」など他の脅威を停止する。Trojan.Spyeye にも Zeus を停止する機能があったことが連想されるかもしれません。Zeus は間違いなく、ウイルス対策ソフトウェアだけでなく、他のマルウェアからも攻撃されているのです。
  • セキュリティソフトウェアを妨害する。これは多くのマルウェアに比較的よく見られる機能です。
  • ブラウザの HTML を書き換える。たとえば、ログイン時の認証フォームに新たなフィールドを挿入するなどの目的が考えられます。
  • Windows のリモートアクセスを有効にする。

情報を盗み出すだけでなく、Trojan.Tatanarg にはバックドアを開く機能があり、リモートの攻撃者がさまざまなコマンドを発行して侵入先のコンピュータを制御することが可能になります。コンピュータで実行されているプロセスのリストを取得して終了させるコマンドや、ブラウザの cookie を消去するコマンド、あるいは任意のプログラムを実行するコマンド、コンピュータを再起動するコマンドなどがあります。

Trojan.Tatanarg で注目に値する機能のひとつは、ブラウザと銀行の間で SSL/TLS 接続を乗っ取るという点です。SSL 接続が確立されると、銀行は利用客に証明書と、その証明書によって署名された公開キーを送信します。交換される情報はこれを使って暗号化されます。Trojan.Tatanarg は、銀行のサーバーとブラウザの間に自身をインジェクトし、プロキシサービスを設定します。そして、このプロキシの銀行側では、銀行から提供される詳細情報を利用してアウトバウンドトラフィックを暗号化し、ブラウザ側ではブラウザプロセスにおける証明書の検証を無効にしたうえで自己署名の証明書を挿入し、接続が安全であるとユーザーに信じ込ませようとします。URL には https スキームが使われているうえに、誰もが見慣れた安全証明の記号である、施錠された鍵マークも表示されるので、ユーザーはこのサイトが安全だと信じてしまう可能性があります。

ユーザーがブラウザで送信した情報は、Trojan.Tatanarg が持つ情報によって暗号化され、Trojan.Tatanarg によって傍受、復号されます。この後には銀行側の情報を使って再度暗号化され、銀行に転送されて処理されるのですが、その前に要求された操作があればそれも実行されます。

シマンテックの調査によると、Trojan.Tatanarg は 2010 年の秋に、W32.Spamuzle のコードベースから開発されたようです(したがって、W32.Spamuzle として検出されます)。2010 年 10 月以降のサンプルになると、SSL 接続のプロキシ機能が導入され始め、その他の高度な機能も追加されて方向性に大きな変化が見られるようになります。Spamuzle の作成者は、単にスパムメールを送信するより、オンラインバンキングの情報を盗み出すほうが稼ぎが大きいと判断したのかもしれません。

シマンテックでは、標準のウイルス対策シグネチャに加えて、チャネル通信を遮断する IPS シグネチャ「HTTP Trojan Tatanarg Activity」も作成しました。必ずこれらの IPS 保護を更新し、有効にしてください。

このブログの情報提供者である Piotr Krysiuk 氏と Peter Coogan 氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。