検索:
ホーム   »   不正プログラム   »   “Evernote” に続き、正規サービスを C&C サーバとして悪用するバックドア型不正プログラムを確認

“Evernote” に続き、正規サービスを C&C サーバとして悪用するバックドア型不正プログラムを確認

  • 投稿日:2013年4月26日
  • 脅威カテゴリ:不正プログラム, TrendLabs Report, Webからの脅威, 攻撃手法
  • 執筆:Threat Response Engineer - Nikko Tamaña
0

サイバー犯罪者は、セキュリティ対策の検出回避を、常に目標としています。そのため不正な活動を隠ぺいするために、正規のサイトやサービスを悪用することをためらいません。その一例が2013年3月28日のブログ記事で取り上げた「BKDR_VERNOT.A」でしょう。この不正プログラムは、クラウド上の “Evernote” サービスを利用し、自身の不正活動を隠ぺいしようとしました。そして2013年4月中旬、このバックドア型不正プログラムの亜種が確認されました。この不正プログラムは、自身のコマンド&コントロール(C&C)サーバとして日本のブログプラットフォームを利用し、このブログサイトへのログインに成功していました。

図:「BKDR_VERNOT.B」のネットワーク上での不正活動のログ
図:「BKDR_VERNOT.B」のネットワーク上での不正活動のログ

今回確認された亜種は、トレンドマイクロの製品では「BKDR_VERNOT.B」として検出され、このバックドア型不正プログラムは、そのブログサイトにログインすると、ブログの下書きを作成します。その際、ブログのタイトルとして、感染コンピュータのコンピュータ名を利用します。そして作成された下書きへ「$_$Today is a very important day for me.$」という本文や、この不正プログラムが実行された日時を追加します。

この不正プログラムは、収集した情報を記録するための場所、およびバックドアコマンドを取得するための C&C サーバとして、この下書きを利用するようです。なおこの不正プログラムが収集する情報の中には、コンピュータのオペレーティングシステム(OS)の情報やタイム ゾーン、ユーザ名などが含まれています。

この不正プログラムは、そのブログアカウントからコマンドを取得すると、以下のようなバックドアコマンドを実行します。

  • ファイルのダウンロード
  • ファイルの実行
  • ファイル名の改称
  • アーカイブファイルの解凍
  • 「BKDR_VERNOT.B」は、コマンドを実行するたびに、問題のブログの下書きに以下の文字列を追加することによって編集します。

  • ファイルのダウンロードが失敗した場合:file create failed
  • ファイルのダウンロードが成功した場合:download file succeed
  • ファイルの実行が失敗した場合:Run failed
  • ファイルの実行が成功した場合:Run succeed
  • 実行ファイル(拡張子EXE)が確認できなかった場合:Exe file not found
  • アーカイブファイルの解凍が失敗した場合:Unzip failed
  • アーカイブファイルの解凍が成功した場合:Unzip succeed
  • アーカイブファイルが確認できなかった場合:Unzip file not found
  • ファイル名の改称が失敗した場合:rename file failed
  • ファイル名の改称が成功した場合:rename file succeed
  • スクリプトファイル(拡張子SRC)が確認できなかった場合:src file not found
  • サイバー犯罪者によるこのような正規サービスの悪用は、ネットワーク監視の目を免れる狙いがあるものと考えられます。これまでに確認された正規サービスの悪用事例としてEvernote や “Google ドキュメント“、”Sendspace” を挙げることができます。正規サービスへの通信は「不正な挙動」として機械的には判定できないため、管理者は、自身のネットワーク内でどのような正規サービスが使用されているかをしっかりと把握した上で、ネットワーク監視を行う必要があります。

    なおトレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

    参考記事:

  • 「Evasive Maneuvers: Another BKDR_VERNOT Malware Spotted」
     by Nikko Tamaña (Threat Response Engineer)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Facebookユーザを狙う攻撃、相次いで確認される!
    2. Macユーザを狙う不正プログラム、次々と確認される
    3. Android端末を狙う偽アプリ再び確認 Adobe Flash Player を装う
    4. Mac OS X を狙う不正プログラム「MORCUT」を確認:この脅威に留意する理由とは?


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.