検索:
ホーム   »   不正プログラム   »   偽装ヘッダ、不正プログラムとの通信を隠ぺい

偽装ヘッダ、不正プログラムとの通信を隠ぺい

  • 投稿日:2013年7月30日
  • 脅威カテゴリ:不正プログラム, ボットウイルス, TrendLabs Report, Webからの脅威, 攻撃手法
  • 執筆:Threats Analyst - Roddell Santos
0

DNS、正規の Eメール通知、IP、アドレスバーといった形態にかかわらず、これらの偽装は、Webの一般的な脅威の1つとなっています。トレンドマイクロでは、これらの幾度にも渡って繰り返す脅威を過去に確認していますが、2013年 7月中旬、従来とは異なる方法で検出を逃れる「偽装ヘッダ」という手法を確認しました。

偽装ヘッダは、特定のドメインに関連していそうな URL を表示しますが、実際は異なるドメインへ接続されており、多くの場合は不正なドメインが使われています。他の偽装の手法とは異なり、偽装ヘッダは、コンピュータやファイルの変更をせずにネットワークパケットを変更して偽装されます。つまり、不正プログラムがサーバに接続しデータを送信する直前に、リクエストされるヘッダにドメインが新たに追加されます。この挙動については、Jessa dela Torre のリサーチ・レポート「StealRat botnet(英語情報)」において言及されています。

この挙動を実行する興味深い不正プログラムに、不正プログラム「TROJ_RODECAP.SM」があります。下図は、リンク「http://www.google.com/d/conh11.jpg」への「GETコマンド」とダウンロードされたファイルのヘッダを示しています。

「GETコマンド」とダウンロードされたファイルのヘッダ

ネットワークトラフィックの解析から、ドメイン「<省略>.104.93」から応答していることが判明しました。このドメインは、ロシアに拠点を置いており、Google にはまったく接続されていません。そのため要求されたと思われるリンクは、正規のドメインでかつ単に画像ファイルへと誘導するだけのものであるため、ネットワーク管理者は、見逃してしまったり無害なものだと考えてしまうかもしれません。この偽装は、不正プログラムとリモートサーバ間の通信をうまくカモフラージュする方法を備えています。そして、エンドユーザに正体を隠しつつ、最終的に表立ったあらゆる疑いを回避します。

上述のとおり、この手法は、独自の新しい方法でスパムメールを送信するボットネット「StealRat」により利用されます。これらの事象は、どのようにして攻撃者が新たなツールとセキュリティベンダによる検出を回避する手法と共に出現するかを表しています。

参考記事:

  • 「Header Spoofing Hides Malware Communication」
     by Roddell Santos (Threats Analyst)
  •  翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2010年を振り返る - 1)注目すべき不正プログラム「Top10」
    2. Skype経由で拡散するワーム「WORM_DORKBOT」
    3. CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには?
    4. オンライン銀行詐欺ツール「ZBOT」、画像に環境設定ファイルを隠ぺい


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.