C&C サーバーに Gmail を送信するリモートアクセス型トロイの木馬「Kedi」にご注意を

2017.09.26

本記事は SophosLabs の主席研究員Fraser Howard による研究に基づいています。

感染したシステムを盗聴して情報を盗み出し、セキュリティスキャナを迂回する「Kedi」と呼ばれる新たなリモートアクセス型トロイの木馬 (Remote-Access Trojan、RAT) が、セキュリティ研究者らによって発見されました。初めて発見されたのは先週のことで、 Kedi を使用した攻撃は拡散型ではなく標的型で、Kedi の動作は大半の RAT とよく似ています。しかし、C&C センターとの通信方法は、他の RAT よりも柔軟性に富んでいます。たとえば、指示の受信やデータの送信に Gmail を利用しています。



攻撃方法

ペイロードは 32 ビットの Mono/.Net の Windows 実行ファイルで、C# で書かれています。リソース (プロパティ) においても起動時に表示されるスプラッシュスクリーンでも、Citrix ユーティリティになりすまします。




ペイロードは、Adobe フォルダ内の %Appdata% に自身をインストールします。このとき、Adobe ファイルになりすまします。ペイロードには、ロックファイル (.lck) と、スクリーンショットの保存先らしきフォルダが付随しています。





構成によっては、以下のようにレジストリのスタートアップに対する細工が追加される場合があります。



HKCU\Software\Microsoft\Windows\CurrentVersion\Run “Adobe Updates” = c:\Users\<username>\AppData\Roaming\Adobe\reader_sl.exe



さらに、この RAT は以下のように、感染したエンドポイントにマシン名の MD5 を使用して識別子を作成し、レジストリに (バイナリデータとして) 保存します。



HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\DefaultVisualStyle “HR” = <md5 of machine name>



Kedi の機能

Kedi には、以下のようなセキュリティ研究者が思い浮かべる機能がすべて搭載されています。



  • ・VM 対策/サンドボックス対策機能
  • ・第 2 のペイロードを抽出し、実行する機能
  • ・ファイルのダウンロード/アップロードを行うバックドア
  • ・スクリーンショット撮影
  • ・キーロガー
  • ・ユーザー名、コンピュータ名、ドメインを抽出する機能


大半の機能はコマンド操作により実行されます。



暗号化/復号化のプロセス

感染したコンピュータで最初に活動を開始するときのために、Kedi はデフォルト構成のデータを保持しています。





トリミングと base64 デコードの後のデータは、次のように暗号化されているようです。





コードを分析したところ、Kedi は XOR ベースの単純な暗号ループを使用して、構成データを保護していることが明らかになりました。埋め込まれていた PDF の SHA256 は、復号ループの中で鍵文字列として使用されています (下図参照)。





Gmail を C&C に送信

ほぼすべての RAT の主な機能は、C&C サーバーと通信し、マシンと攻撃者の間でデータをやりとりすることです。Kedi は、この機能を実行するのにベーシック HTML 版の Gmail を使用している点で特徴的です。また、Kedi は DNS や HTTPS を使用しても、C&C と通信することができます。



Kedi は C&C からの指示を Gmail を使って受信するために、受信ボックスを巡回し、最新の未読メッセージを見つけ出し、メッセージ本文からコンテンツを取得し、コンテンツ内のコマンドを解析します。C&C に情報を返送するために、base64 はメッセージデータをエンコードし、受信されたメッセージに応答し、エンコードしたメッセージデータを追加して送信します。



セキュリティ研究者が簡単には検出、阻止することができない C&C との通信方法を攻撃者が次々に発明しようとしているのは興味深いと、Howard は述べています。



対策

上記のとおり、Kedi は拡散型の攻撃ではないようです。しかし、自分が標的になってしまった場合、そのような言葉は慰めにもなりません。いずれのタイプのマルウェアにも、下記の対策を実施しておくことをお勧めします。



  • ・OS とアプリケーションにはパッチを必ず適用する。攻撃者が最初に狙うのは、簡単に侵入できるマシンです。
  • ・ウイルス対策を常に有効にし、最新の状態に保っておく。攻撃者は常に新たな攻撃方法を繰り出してきます。


Kedi はスピアフィッシングの 1 種であるようなので、以下の方法で回避してください。



  • ・安易にクリックしない。
    電子メールのリンクをクリックして表示された Web サイトが個人情報の入力を求めてきても、入力してはいけません。ユーザー自身がブラウザにアドレスを入力して、その Web サイトにアクセスしてください。知らない人からその種のメールを受信した場合には、メール内のリンクはクリックしないでください。


  • ・アドレスバーに正しい URL が表示されていることを確認する。
    Web ブラウザのアドレスバーは、URL を使用して目的の Web サイトを探します。Web アドレスは通常、HTTP または HTTPS で始まり、その後にドメイン名が続きます。銀行の正規の Web サイトなどでは、TLS (Transport Layer Security) や HTTPS (Hyper Text Transfer Protocol Secure) と呼ばれる Web トラフィックを暗号化するセキュア接続が使用されています。利用している銀行のサイトがセキュア HTTPS 接続である場合は、個人情報を入力する前に URL が https:// で始まっていることを確認してください。ただし、TLS 証明書を取得するのは難しいことではありません。アクセス先の Web サイトの URL 全体をチェックして、「L」という文字の代わりに数字の「1」が使われていないかなど、偽の URL ではないことを確認してください。


  • Don’t fall for phishing and spear-phishing – stay #CyberAware! (フィッシングやスピアフィッシング攻撃の被害者にならないために) (リンク先: 英語) もお読みください。

引用元

おすすめの記事はこちら