トレンドマイクロは、2013年8月19日、「MEVADE」と呼ばれる不正プログラムが発端となり、匿名通信システム「Tor」への接続ユーザ数が急増したことについて、ブログ上で報告しました。今回、「TrendLabs(トレンドラボ)」では、「MEVADE」の活動、およびその侵入方法についての調査結果を報告します。
弊社が収集した最初の「MEVADE」の検体(「BKDR_MEVADE.A」として検出)は、「FlashPlayerUpdateService.exe」というファイル名の不正なファイルによってダウンロードされ、ユーザ環境に侵入したケースが確認されています。この不正な「FlashPlayerUpdateService.exe」ファイルは、トレンドマイクロの製品では「TROJ_DLOADE.FBV」として検出されます。正規の ”Adobe Flash Player” の更新プログラムと同じファイル名を利用していますが、正規のプログラムと「TROJ_DLOADE.FBV」は、ファイルのプロパティを参照することで、見分けることができます。正規のものには署名がされており、不正なものにはされていません。さらに、バージョンの数値が異なります。
 |
|
|
 |
|
|
 |
|
|
偽の “Flash Player” の更新プログラム「TROJ_DLOADE.FBV」は、以下の URLパスのパターンで自身のコマンド&コントロール(C&C)サーバに接続することをトレンドラボでは確認しています。
- http://<不正なドメイン>/updater/<32文字のランダムな 16進数の文字列>/<1桁の数字>
「TROJ_DLOADE.FBV」が接続する C&Cサーバをホストする IPアドレスは、ロシア国内に位置します。
「TROJ_DLOADE.FBV」によってダウンロードされる「BKDR_MEVADE.A」は、HTTP を経由して C&Cサーバと通信し、コマンドを受け取ります。このコマンドにより、自身のコピーを更新し、また、「Secure Shell(SSH)」を利用して自身の通信を保護して特定の場所に接続します。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によるフィードバックから、「TROJ_DLOADE.FBV」は、複数の国々で確認されました。日本および米国がもっとも影響を受けた国となっています。
| 国名 | 割合 |
| 日本 | 25% |
| 米国 | 19% |
| インド | 14% |
| フランス | 4% |
| ブラジル | 4% |
| その他 | 34% |
しかし、「BKDR_MEVADE.A」は、異なった感染状況であることが以下のように判明しました。つまり「TROJ_DLOADE.FBV」は、「MEVADE」を拡散させるためだけに利用されたわけではないことを表しています。
| 国名 | 割合 |
| 米国 | 95% |
| カナダ | 3% |
| ハンガリー | 2% |
弊社では、不正プログラム「Mevade」そのものに加え、「ADW_BPROTECT」も感染 PC上にダウンロードされていたことを確認しました。弊社が前回の記事でも指摘したように、これはサイバー犯罪者たちによるアドウェアの拡散に関連するもので、「MEVADE」に関して予想されていたことでもあります。このアドウェアのダウンロードと、「MEVADE」で構成されるボットネットは、おそらく不正プログラムやツールバーのインストールを介して金銭を獲得しているという弊社の調査結果と一致します。この拡散方法は、他の不正プログラムをダウンロードする従来型の「ダウンローダ」とより似通っています。
| 国名 | 割合 |
| 日本 | 28% |
| 米国 | 12% |
| インド | 8% |
| フランス | 7% |
| 英国 | 6% |
「BKDR_MEVADE.B」および「BKDR_MEVADE.C」として検出される新たな亜種の「MEVADE」は、SSHを利用しません。その代わりに Torのネットワークを利用し、自らのネットワークトラフィックを隠ぺいします。これは、オンライン上での不正プログラムの活動を隠すことに役立ちます。なお、それ以外の活動や拡散方法は以前のものと変わりません。
| 国名 | 割合 |
| 日本 | 52% |
| 米国 | 9% |
| フランス | 7% |
| インド | 6% |
| 台湾 | 3% |
| その他 | 23% |
「BKDR_MEVADE.B」および「BKDR_MEVADE.C」の侵入経路に関しては依然調査中です。さらなる情報を確認次第、改めて本ブログ上で報告します。ユーザは、安全な PCの使い方を心がける必要があります。例えば、安全性が確認されていない Webサイトや Eメール、SNSなどのリンクへの接続やファイルのダウンロードを避けてください。そして、常に最新のセキュリティパッチを適用したソフトウェアがインストールされた PCを更新してください。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※協力執筆者:Eduardo Altares、Alvin Bacani および Marvin Cruz
参考記事:
by Roddell Santos (Threats Analyst)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)