インテル セキュリティは本日、McAfee Labs脅威レポート: 2016年12月をリリースしました。このレポートの重要なトピックの3つ目として、正規のコードをトロイの木馬に感染させ、それを悪用して長期間潜伏し、検知を逃れるマルウェアがいかにして作られるかがまとめられています。著者であるMcAfee Labsのクレイグ・シュムガー (Craig Schumugar) は、この手の攻撃を防ぐためのポリシーや手順も紹介しています。下記は、シュムガーのトピックからの抜粋です。
今年の初め、死亡したテロリストが使っていたiPhoneのロック解除を求めるFBIの要請にAppleが応じるべきかどうかを巡る論争がネットを賑わせました。Appleのティム・クックCEOはこの捜査協力要請に対し、数千万の鍵を開けられるマスター キーを要求しているようなものと答えています。具体的な方法は明らかにされていませんが、FBIは最終的にロックの解除に成功し、この要請を取り下げています。バックドア アクセスは、マルウェアの作成者やスパイ、諜報機関で以前から使用されている攻撃手法です。バックドアを作成してリモートからアクセスするために、ソーシャル エンジニアリングでキーを盗み出したり、サプライチェーンのハードウェアに侵入したり、様々な攻撃が実行されています。この中で最もよく利用されているのがトロイの木馬です。
現在の不正なアプリケーションの大半は非常に悪質で、被害者を攻撃して攻撃者に利益をもたらしています。このような攻撃は、攻撃対象に侵入して潜伏し、長期間持続することを目的としています。標的に到達するため、攻撃者はソーシャル エンジニアリングで被害者を騙したり、エクスプロイトを使ってコンピューターの毎日の利用状況を確認します。いずれの場合も、不正なコードの存在を被害者に気づかせないことが重要です。
検出されない時間が長くなるほど、より大きな利益を得ることができます。攻撃者の手口は高度化し、より巧妙なものとなっています。本物かどうかがすぐに分からないようなコードも使用されています。不正なコードを複製せずに、正規のアプリケーションをトロイの木馬にする攻撃が増えている背景には、このような事情があります。
評判の良いアプリケーションを悪用することで、攻撃者は様々な恩恵を受けることができます。認知されたブランドを隠れ蓑にすることで、ユーザーに本物である印象を与え、簡単に騙すことができます。システムへの感染後も、見慣れたディレクトリ、ファイル、プロセス、レジストリ キーと属性を使用し続けます。セキュリティ スキャンやフォレンジック分析で、これらの要素は見慣れたプログラムのプロパティとして検出されます。
もう一つのメリットは持続性の維持(あるいは終了したコードの再起動)です。マルウェアが持続性を維持する方法は2つあります。1つは自己持続型で、再起動後もシステムに残るように起動用のフックをインストールします。もう1つは依存型で、すでに存在する起動用フックを使用して他のアプリケーションの実行前、実行中あるいは実行後に自動的に自身を読み込みます。不正コードがシステムに行った変更が感染の兆候となります。変更の数が少ないほど、検出の可能性は低くなります。正規のアプリケーションをトロイの木馬にすることで持続性を容易に維持することができます。ソフトウェアを通常どおり起動するだけで、不正なコードが読み込まれます。被害者がプログラムを定期的に実行することで、マルウェアの持続性が継続されてしまいます。
詳しくは、 www.mcafee.comから脅威レポートをご覧ください。
※本ページの内容は 2016年12月12日更新のMcAfee Blog の抄訳です。
原文: “Trojanization” of Legit Apps on the Rise
著者: Chris Palm
【関連記事】
McAfee Labs脅威レポート:2016年12月
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第8回:今だから学ぶ! セキュリティの頻出用語 : ソーシャルエンジニアリングとは?
第13回:今だから学ぶ! セキュリティの頻出用語 : フォレンジックとは?
第18回:今だから学ぶ! セキュリティの頻出用語 : トロイの木馬とは?
