脅威に対する分析と検出の技術は進歩していますが、脅威もそれに対抗し、回避するために進化します。セキュリティ企業が技術を向上させれば、サイバー犯罪者はそれに応酬します。例えば、「Stuxnet(スタクスネット)」によって、他のファミリもショートカットファイル(拡張子LNK)の脆弱性を利用するようになりました。また、「DOWNAD(別名:Conficker)」は、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」の利用を広めました。この技術は現在、 「ZACCESS(または ZEROACCESS)」や「TDSS(別名:Allurion)」を含む、ほかの不正プログラムファミリでも利用されています。
こうした回避技術の目的は単純です。早期での検出を回避し、標的とした PC への足がかりを攻撃者が得るためです。
トレンドマイクロのリサーチペーパー「Network Detection Evasion Methods(英語情報)」では、脅威が通常のネットワークトラフィックに紛れ込むことで、どのように検出を回避するかについて述べています。通常のネットワークトラフィックとは、Google や Microsoft Update への接続、Yahoo!メッセンジャーのような人気のインスタントメッセンジャーから生じるトラフィックを含みます。以下は、検出を回避するためにこの手法を利用したことが弊社によって確認された「Remote Access Tool (RAT)」の一部です。
- FAKEM:この RAT は通常スピアフィッシングメールで確認され、Windows Liveメッセンジャー、Yahoo!メッセンジャーのトラフィックや、とりわけ HTMLトラフィックのように自身のネットワーク通信を見せかけて、偽装することが判明しています。
- Mutator(別名:Rodecap):スパムボット「Stealrat」と関与していると報告されています。Mutator は Stealrat のモジュールあるいはコンポーネントをダウンロードし、場合によっては、通常のトラフィックに紛れ込むために「google.com」を利用して HTTPヘッダを偽装することがあります。
RAT は特に種類が多いわけでもなく、手法も単純である一方、サイバー犯罪者が自身の技術を適応させ性能を高めていることが、本リサーチペーパーで明らかにされています。本リサーチペーパーが強調しているのは、サイバー犯罪者がいかに絶え間なく手法と戦略を向上させ、ネットワークセキュリティを回避しているかです。そして、PC を乗っ取り、セキュリティ関係者の監視の目をかいくぐろうと画策します。これらの脅威に関する情報、および不正なネットワークトラフィックを効果的に検出する方法については、「Network Detection Evasion Methods: Blending with Legitimate Traffic(英語情報)」をご参照下さい。
※協力執筆者:Jessa De La Torre
参考記事:
by Sabrina Sioting (Threat Response Engineer)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)