最近、安全なネットワーク接続である HTTPS などで特定のサービスにアクセスした際、奇妙な証明書が表示されたというユーザー報告が Opera フォーラムにありました。これは、オンラインバンキング、Web メールサービス、ソーシャルネットワークのサイトを使用しているときに発生しました。シマンテックでは調査を進めて、Trojan.Tatanarg.B という名前のトロイの木馬が HTTPS 接続を傍受していることを突き止めました。
Trojan.Tatanarg.B は、ブラウザにプロキシをインストールして動作し、ユーザーに固有の自己署名証明書を提供して HTTPS 接続を傍受することにより、ユーザーと安全なサービスの間の暗号化されたトラフィックをすべて暴露します。このトロイの木馬は、Firefox、Opera、Maxthon、Internet Explorer を具体的な標的にします。プロキシがインストールされると、攻撃者は重要な詳細情報を盗聴し、送受信中のトラフィックを変更できます。使用しているブラウザの種類によりますが、多くの場合、ユーザーにも表示されます。
図 1. Opera では、何かが進行中であることを明確に示すメッセージが表示される
感染経路
Trojan.Tatanarg.B はそれ自体をインストールするために 2 つの方法を使用することがわかっています。最初の方法は、悪用キットを使う方法です。シマンテックでは、悪用キットの 1 つとして BlackHole を特定しています。これは、ドライブバイダウンロードやスピア型フィッシング電子メールの一部として使用されます。
もう 1 つは、悪質なファイルを添付したメールを使う方法です。5 月 17 日にロシアのメールサーバーから送られたメールの例を次に示します。このメールには、Trojan.Tatanarg.B がダウンロードされるトロイの木馬が含まれていました。
図 2. 5 月 17 日に送られたメールの例
コンポーネント
Trojan.Tatanarg.B は、バックドアコンポーネントとプロキシコンポーネントの 2 つの主要なコンポーネントで構成されています。コンポーネントは、bzip2 形式で圧縮され、XOR を利用して暗号化され、ディスクに保存されます。
バックドアコンポーネント(CommuniFork.dll)には、次の機能があります。
- ボットネットモジュール(およびモジュール ID を使用するその他のモジュール)のインストール
- 自動実行スクリプトの設定と既存の自動実行スクリプトのクエリー
- 感染したコンピュータのファイルの参照
- システム情報の収集
- リモートロケーションへの接続
- 追加ファイルのダウンロードと実行
- ボット ID の取得
- モジュールのロード
- Web ブラウザのホームページの変更
- サーバーまたはクラアントのリモートからの停止と開始
- Web ブラウザの実行
- シェルコードの実行
- バックドアコンポーネントをサーバーまたはクライアントとして開始
- ボットから提供される URL のレジストリ保存
プロキシコンポーネント(CeptorFork.dll)は、自己署名証明書を使用して HTTP と HTTPS を経由するトラフィックを傍受し、HTTPS トラフィックを盗聴します。
分布
Tatanarg.B は、悪名高い Trojan.Zbot(Zeus)とは異なり、非常に多数のクライアントを標的にしています。これには、いくつかの理由が考えられます。1 つは、Zeus ソースコードは、どこを探すべきか知っていればだれでも入手して、設定し、配布できます。これに対して、Tatanarg.B は、1 つのソースで作成されていると推測されます。シマンテックでは、さまざまな .dll コンポーネント内で見つかったデバッグ文字列からこのことを特定しました。
図 3. 現在の Tatanarg.B の感染地域はスカンジナビア、ドイツ、オランダ、イタリア
| コンパイル時期 |
デバッグ文字列 |
| 2011 年 8 月 |
X:\fbi\x27\Work\prj\svnmain\Projects\mr.lyle2\CeptorFork\Release\CeptorFork.pdb |
| 2011 年 9 月 |
X:\fbi\x27\Work\prj\svnmain\Projects\mr.lyle\CommuniFork\Release\CommuniFork.pdb |
| 2011 年 11 月 |
C:\projects\astbase\mr.lyle2\CeptorFork\Release\CeptorFork.pdb |
| 2012 年 1 月 |
C:\projects\astbase\mr.lyle2\CommuniFork\Release\CommuniFork.pdb |
| 2012 年 4 月 |
C:\projects\astbase\Projects\HermesCore\Release\HermesCore.pdb |
デバッグ文字列を調査した結果、「svmmain」の文字列は、プロジェクトの開発が進行中であり、作成者がバージョン管理を使用していることを示しています。また、作成者は、主要な通信モジュールを CommuniFork から HermesCore に更新しました。
このトロイの木馬は、少なくとも 2011 年の始めから出回っています。最近の感染数の増加と感染期間が長いことから、作成者にとってずっとうまみがあり、今後も開発が続行され、ヨーロッパのユーザーが標的にされることを示しています。シマンテックでは、引き続き監視しますのでご安心ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。