改良され続ける脅威:ランサムウェア「CryptoLocker」およびバックドア型不正プログラム「SHOTODOR」を確認

トレンドマイクロは、「2013年におけるセキュリティ予測」において、サイバー犯罪者たちが新たに脅威を作り出すのではなく、既存のツールの改良を重点的に取り組むだろうと予測しました。2013年 10月上旬、既知の脅威を改良したと考えられる 2つの事例が確認され、この予測が証明されることとなりました。

■最新版「身代金要求型不正プログラム(ランサムウェア)」:「CryptoLocker」
サイバー犯罪者たちは、無料の景品や懸賞、有名ブランドのなりすましを利用するほか、これらと同じように有効なソーシャルエンジニアリングのさまざまな手法を駆使しています。またはあからさまに脅すなどして、偽商品の購入または情報や金銭の損失を巧妙に促すものも含まれます。こういった手法により、偽セキュリティソフト「FAKEAV」や、そして今では「身代金要求型不正プログラム(ランサムウェア)」といった脅威が登場してきました。

最近のランサムウェアは、以前のブログ記事「警察を装うランサムウェア」で紹介したような新しい手口をとってきました。これらの不正プログラムは、通常、PC へのアクセスをブロックし、地元警察からを装いユーザに警告を表示します。そして被害者がインターネット上で何か法に触れることを行い、その上罰金を支払う必要があることを訴えます。

しかし、「CryptoLocker」として知られるランサムウェアの最新版の亜種は、PC を動作不能にすることに加え、ファイルを暗号化します。これは、不正プログラム自体が検出・削除された場合であっても、ユーザに必ず金銭を支払わせるためです。最近確認された「CryptoLocker」(「TROJ_CRILOCK.AE」として検出)もまた、ユーザへの警告文が記された壁紙をデスクトップに表示します。この警告文には、ユーザがたとえ PC からこの不正プログラムを削除しても、暗号化されたファイルにはアクセスできない状態であると表示されています。

暗号化されたファイルを復号化するように見せかけた秘密鍵は、ユーザが 300米ドル(2013年10月14日現在、約2万9500円)または 300ユーロ(約4万円)で購入しない場合、削除されてしまいます。この不正プログラムは、こうした不正活動以外は、報告されている「CryptoLocker」の他の亜種と類似した活動をします。

■バックドア型不正プログラム「SHOTODOR」の人目をはばかる方法とは
攻撃を成功させる別の方法は、ユーザ、そしてセキュリティ対策ソフトにさえも察知されない状態を維持することです。この手法を利用する不正プログラムとして「TrendLabs(トレンドラボ)」は、「BKDR_SHOTODOR.A」を確認しました。この不正プログラムは解析を困難にさせるため、判読不能なコードやランダムなファイル名を利用してこれまで以上に巧妙な難読化を用いていました。

感染経路は、現時点では、まだ解明されていません。トレンドラボの解析から、この脅威は、複数のファイルを感染 PC に作成する「ドロッパー」が発端となることが判明しています。作成された複数のファイルを詳しく解析すると、ファイルの多くには無害なデータが含まれていました。実は、これらの無害なデータは、不正コードを隠ぺいするためのものでした。また、不正コードは難読化されたプログラミング言語「AutoIt」で記述されていました。

疑問点は、どのようにしてこの不正なコードは実行されるのか、です。作成されるファイルの 1つが、AutoIt で書かれたスクリプトを実行するためののインタプリタを含んでおり、このインタプリタが、前述の難読化されたスクリプトを読み込みます。読み込まれたスクリプトが作成された他のファイル内の情報を収集し、それにより残りの不正なコードを形成します。その際、このコードは、メモリ内で実行ファイルを作成し、通常のプロセスに組み込みます。そしてこの不正な実行ファイルは、コマンド&コントロール(C&C)サーバとの通信や不正なコマンドの実行などといったバックドア活動を実行します。

サイバー犯罪者たちは、この不正なコードを「分散」させ、そしてその後不正な実行ファイルを作成するためにそれらを形成する手段を選択することによって、検出を回避し、身を隠し続けようとしているのは明らかです。なお関連するすべてのファイルは、弊社製品で「BKDR_SHOTODOR.A」として検出されます。

これらの脅威は、犯罪者たちが、完全に新種の脅威を作り出す代わりに、いまだ効果的な既存の脅威を改良することを選んでいることを浮き彫りにしています。これらは、まったく「新しい」脅威ではありませんが、今もユーザにとって深刻な脅威となります。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Alvin Bacani および Lenart Bermejo

参考記事:

  • Threat Refinement Ensues with Crypto Locker, SHOTODOR Backdoor
     by Joselito Dela Cruz (Senior Threat Response Engineer)

    •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Facebook上でバレンタインに便乗した攻撃、Chromeが標的か
    2. 改ざんされたWordPress使用のサイト、「Blackhole Exploit Kit」に誘導
    3. Facebookの個人宛メッセージやIMを介して感染活動を行うワームにご注意!
    4. 狙われ続ける「Facebook」ユーザ、パスワード取得目的のハッキングツールを確認