「BKDR_RARSTONE」:新たなRATに注意

トレンドマイクロは、2012年9月19日、「Remote Access Tool(RAT)」の一種である「PlugX」について報告しました。この PlugX は、注目を集めた特定の持続的標的型攻撃のキャンペーンで利用されていました。また、復号化や実際の「実行可能ファイル」を作成することなくメモリ上で直接バックドア型不正プログラムの「実行可能ファイル」を読み込むことで不正なコードを隠ぺいするといった機能を含む、その注意すべき一部の技術についても注目していました。

そして、弊社は、2013年2月25日、同様の技術を利用する RAT を確認。この「BKDR_RARSTONE.A」として検出される新たな検体は、PlugX ではありませんが PlugX に類似しており、バックドア型不正プログラムの「ファイル」を作成することなくメモリ上で直接読み込みます。しかし、弊社は、解析を進める過程で「BKDR_RARSTONE」が独自の手口を備えていることを確認しました。

トレンドマイクロは、特別な細工が施された DOCファイル(「TROJ_ARTIEF.NTZ」として検出)の検体を入手しました。このトロイの木馬型不正プログラムは、標的型メールに含まれていました。この不正プログラムは、「BKDR_RARSTONE.A」を作成し、実行します。そして、「BKDR_RARSTONE.A」は、次々に以下のファイルを作成します。

  • <Windowsシステムフォルダ>\ ymsgr_tray.exe – 「BKDR_RARSTONE.A」のコピー
  • <Application Data>\ profile.dat – 不正プログラムの活動を含む BLOBファイル
  • その後、「BKDR_RARSTONE.A」は、作成したコピー “ymsgr_tray.exe” を実行します。このバックドア型不正プログラムは、”profile.dat” に含まれるコードを Internet Explorer(IE)のプロセスに組み込み、非表示で開きます。

    PlugX と同様に、組み込まれたコードは、メモリ上で自身を復号化します。コマンド&コントロール(C&C)サーバから「ダウンロードする」 DLLファイルを復号化すると、再びメモリ領域で IE が非表示で読み込みます。この「ダウンロードされた」ファイルは、実際はコンピュータ内に作成されたわけではなく、メモリ上で直接読み込まれ、ファイルベースの検出を無効にします。

    典型的なバックドア型不正プログラムである「BKDR_RARSTONE.A」は、特定の Webサイトにアクセスし、さまざまな活動を展開することが可能です。これらの活動には、ファイルやディレクトリの列挙、ファイルのダウンロードや実行、ファイルのアップロード、自身または環境設定ファイルの更新といったものが含まれています。

    そのバックドア活動の中でも注目すべきは、レジストリキー「Uninstall」の値から Installer プロパティを得る機能を備えていることです。これは、感染コンピュータ内にインストールされたアプリケーションについての情報を入手するために行われます。また、特定のアプリケーションをアンイストールする方法を知るという理由もあります。この機能は、バックドア活動を妨げるセキュリティソフトなどのアプリケーションを密かにアンイストールする際に利用される可能性があります。

    このバックドア型不正プログラムにおける注目すべきもう 1つの特徴は、通信方法として特に SSL を利用する点です。SSL を利用することは、一石二鳥の価値があります。それは、C&C と感染コンピュータとの間の通信が暗号化されていることを保証し、それと同時に通常のトラフィックと混合するからです。

    トレンドマイクロは、「2012年間セキュリティラウンドアップ:『ポストPC』時代に進化する脅威」内で、情報漏えいや他の標的型攻撃において、PlugX を含むさまざまなツールが、密かに目的達成のために 2012年から利用されだしたと言及しています。この隠ぺい行為が、攻撃者が身を隠した状態のままにしたり、標的とするネットワーク内で活動を続けることを可能にさせるのです。「BKDR_RARSTONE」のような RAT の出現は、攻撃者がこれらツールの更新や改善を続けるということを表しています。

    一般ユーザや組織は、これらの攻撃から自身を防御するために、まずは攻撃者が特定の有利性を持っていることを認知しなければなりません。Forward-looking Threat Research チームのディレクターである Martin Roesler は、こうした事実を受け入れることが、適切に問題を対処し、「インサイド・アウト」の対処を講じることを可能にすると述べています。

    トレンドマイクロのユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、この脅威に関連する Eメールがブロックされ、「Webレピュテーション」技術により、上述の C&C へのアクセスがブロックされます。また、「ファイルレピュテーション」技術により、「BKDR_RARSTONE」を検出し、削除します。

    トレンドマイクロでは、今後も「BKDR_RARSTONE」の進展を監視し、その背後でどのようなキャンペーンが行われているかを調査していきます。

  • 関連記事:
     ・2012年、日本国内の持続的標的型攻撃を分析 ~自組織に有効な対策を行うには~
      /archives/6717
  • 参考記事:

  • BKDR_RARSTONE: New RAT to Watch Out For
     by Abraham Camba (Threat Researcher)
  •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)