【コラム】

ITセキュリティのアライ出し

28 マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制

28/47

マルウェア作成キット"Pinch"

ロシアのカスペルスキーのblogエントリによると、昨年12月19日、ロシアの連邦保安局のトップであるNikolay Patrushev氏が、当年中のサイバー犯罪の取り締まり状況を発表したそうである。そして、この発表には「Pinch」と呼ばれるトロイの木馬を開発に関わっていたとみられる二人組を摘発したことが含まれているのだという。この二人組は、まさにマルウェア開発を悪の産業として成立せしめたといっていいだろう。

Pinchは元来、マルウェア作成キットである。また、このマルウェア作成キットを使用して作成されたマルウェア自体も"Pinch"という名称が与えられていることもある。本稿で"Pinch"と呼ぶ場合、オリジナルの意味を指していることに注意されたい。

Pinchの詳細な解説を行っているのは、スペインのウイルス対策ソフト会社であるPanda Securityの研究機関"PandaLabs"のブログエントリである。記述は2007年7月となっている。ちなみにフィンランドF-Secureはこれより早く5月のエントリで言及しているが、マルウェアとしてのPinchにのみ主眼を置いている。

話を戻そう。PandaLabsのブログエントリによると、Pinchによって作成できるマルウェアは、およそ以下のような機能をもつという。

  1. メーラ、メッセンジャー、FTPクライアント等で使用されているパスワードの窃取
  2. 特定のブラウザのオートコンプリート機能を使用して入力されたID/パスワードの窃取
  3. パーソナルファイアウォール設定の変更
  4. Internet Explorerを通じてフォームに入力したデータの窃取
  5. キーロガー
  6. 迷惑メール用Proxy
  7. 特定サイトからのファイルのダウンロードと実行
  8. 自動自己更新
  9. バックドア
  10. ウイルス対策ソフトの停止
  11. IRCを使用したボットネットの作成
  12. Packerならびに暗号を使用した難読化

このように、非常に多機能なマルウェアを作成することができるという。他方で、多くの機能をもつマルウェアはこれまでも多く発見されてきているため、これら機能は注目に値しないとも考えられる。そこで、実際にPinchを調査すると、わが国での使用がとみに認められているBecky!のパスワードなどを窃取するよう設定できるチェックボックスが存在していることがわかる。

Pinchの動作画面

マルウェア作成が一大産業に

Pinchにはさらにもう一点、言及しておくべき特徴がある。それは「窃取したデータ閲覧用GUI」の存在である。"Parser"と呼ばれるツールは、Pinchで作成したマルウェアで盗み出したデータ閲覧用GUIである。感染PCから窃取したデータには、たとえそれが誰かの手に渡ったとしても、その実態が何であるかを特定することが困難となるよう難読化が施される。これを解除し、かつ、グラフィカルな表示を行うことのできる専用のインタフェースである。また、Parserからは窃取したデータの検索やエクスポートも行うことができる。本稿の主題であるマルウェア開発キットとはやや離れるが、このような「データの窃取」という目的に限定したツールが存在することは、特筆に価するであろう。

Pinchで作成したマルウェアで盗み出したデータ閲覧用GUI(出典: PandaLabs Blog)

このように、マルウェア開発を悪の産業として成立せしめるに必要な基盤技術として、Pinchは十分にその役目を果たしていった。先のカスペルスキーのblogエントリによれば、ロシアのハッカーコミュニティの掲示板はPinchを使った「お客様専用のマルウェア」と「テクニカルサポート」を提供するサービスの広告が氾濫し、そして事実、Pinchの亜種は増え続けたのだという。そして現在、同社のパターンファイルには4,000種以上のPinchの亜種が登録されているという。

おわりに

クルニコワ・ウイルス以後、マルウェア開発キットは「スクリプトキディの使うおもちゃ」と非難され、そのまま消え去ってゆくかにみえた。しかし、実態はマルウェアの進化と共に粛々と犯罪の道具としての実力を高めてきているようにみえる。

また、もうひとつ重要なことに気づかされる。それは、マルウェア生産/運用の分業体制である。Pinchによるマルウェア生産体制では、その使用者、作成者が異なっている可能性が高い。また憶測も含むが、作成者は、誰かの作ったマルウェア作成キットを使っている可能性があり、その基盤技術の提供者もいるということが想定される。

最後に、先のBlogエントリの締めくくりにある一文を抄訳として紹介したい。

残念なことに、この検挙が即、Pinchの亜種が消え去ることにはならないだろう。なぜならば、Pinchのソースコードはすでに広くインターネットを通じて広まっており、そして、まだ検挙されていないウイルス作成者による「Pinchのリメイク」が生み出す亜種に、必ず私たちは遭遇することだろう。

28/47

インデックス

連載目次
第47回 今年で7回目の開催になる日本的なCTFを見学してみた
第46回 EAF出撃す
第45回 再会、EMET
第44回 世界のカンファレンスの景色から - RECON その6
第43回 世界のカンファレンスの景色から - RECON その5
第42回 世界のカンファレンスの景色から - RECON その4
第41回 世界のカンファレンスの景色から - RECON その3
第40回 世界のカンファレンスの景色から - RECON その2
第39回 世界のカンファレンスの景色から - RECON その1
第38回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する その2
第37回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する
第36回 続・EMET - メモリアドレスを攻撃者より先に確保せよ
第35回 久々登場! "アライ出し・再生"の一発目はWindowsセキュリティ
第34回 実在するマルウェアのホスティングサービス - 迷惑メールとマルウェア(3)
第33回 感染先の選り好みをするマルウェア - 迷惑メールとマルウェア(2)
第32回 難読化するマルウェア - 迷惑メールとマルウェア(1)
第31回 ボットネットの観測方法をさらに詳しく分析する(2) - Krakenの狙いとは
第30回 ボットネットの観測方法をさらに詳しく分析する(1) - Obfuscationの実際
第29回 Kraken騒動とボットネット観測方法への賛否両論
第28回 マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制
第27回 マルウェア作成キットの歴史~過去から現在へ(中) - Agobotが現れた!
第26回 マルウェア作成キットの歴史~過去から現在へ(上) - VCLからクルニコワまで
第25回 iPhoneの解析が進行中 - "Black Hat Japan 2007"見聞録
第24回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(2)
第23回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(1)
第22回 Windowsにおけるバッファオーバーフロー(6)
第21回 ウイルス分析合宿中につき…「世界のホシザワにしごかれるの巻」
第20回 Windowsにおけるバッファオーバーフロー(5)
第19回 2006年を振り返る
第18回 Windowsにおけるバッファオーバーフロー(4)
第17回 Windowsにおけるバッファオーバーフロー(3)
第16回 Windowsにおけるバッファオーバーフロー(2)
第15回 Windowsにおけるバッファオーバーフロー(1)
第14回 検索エンジンと情報セキュリティ(2)
第13回 検索エンジンと情報セキュリティ(1)
第12回 PoCの内側 - Heap Spray(2)
第11回 PoCの内側 - Heap Spray(1)
第10回 標的型攻撃に関する一考察(7) - 対策とまとめ
第9回 標的型攻撃に関する一考察(6) - 脆弱性発見手法の進化(後編)
第8回 標的型攻撃に関する一考察(5) - 脆弱性発見手法の進化(中編)
第7回 標的型攻撃に関する一考察(4) - 脆弱性発見手法の進化(前編)
第6回 標的型攻撃に関する一考察(3) - 関連資料から探る脅威の実像(後編)
第5回 標的型攻撃に関する一考察(2) - 関連資料から探る脅威の実像(前編)
第4回 標的型攻撃に関する一考察(1) - 0-day Exploit利用形の頻発
第3回 コンピュータウイルスの過去・現在・未来(2) ウイルスに寄生するウイルス
第2回 コンピュータウイルスの過去・現在・未来(1) ウイルスの捕食-被食関係
第1回 統計から読み取るRootkitとボットの関係

もっと見る

関連キーワード


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報