PCのTLS/SSL通信から機密情報を盗み出すトロイの木馬が出現 - SecureWorks

藤原雅巳  [2007/03/26]

米SecureWorksによると、PCのTLS/SSL通信から機密情報を盗み出すトロイの木馬が出現したという。

同社によると2007年1月に、あるユーザが使用していた仕事/プライベートのアカウントが無断で使用されていることが発覚。そのユーザのPCを調査したところ、これまでになかったマルウェアの検体を見つけだすことができたとしている。この検体は2月4日の時点で、各ウイルス対策ソフトベンダのパターンによって検出可能となっていたとされ、それぞれの検知名称等は以下の通りとなっている。

  • Agent.AAV (AntiVir, Sunbelt) またはAgent.BB (Microsoft)
  • Pinch.B (BitDefender)
  • Small.BS (VBA32, TheHacker, Ewido, eSafe, Fortinet, Kaspersky)
  • SMALLの亜種 (ウイルスバスター, UNA)
  • Ursnif.AG (eTrust VET)

これら以外でも、米Symantecは"Downloader"、英Sophosは"Mal/Packer"、アイスランドのFRISK Software Internationalのウイルス対策ソフトF-Protでは"generic"といった名称を使用し、「疑わしいファイル」もしくは「GENERIC」(いわゆる「ヒューリスティック検出」)として検知・駆除されるという。

調査の結果、このウイルスはInternet Explorerの脆弱性を悪用して感染するものであると確認され、感染するとユニークなIDを生成するとされる。このユニークなIDは特定のサーバにHTTPで通知されると共に、感染後に起動されるProxyのポート番号も同時に通知され、そしてこれらの通知はHTTPのGETリクエストで実施されるという。

特定サーバへ感染PCを通知する通信のダンプ
出典: SecureWorks - Gozi Trojan

加えて、感染PCにインストールされている電子証明書を盗み出し、特定サーバに送信する。その上で、Winsock2のSPI(Service Provider Interface)を使用したLSP(Layered Service Provider)を登録する。これらはWindowsに標準的に搭載された機能を使用することで、TLS/SSLによる暗号化が施される前に、IEから送信される通信の内容を盗み出すのだという。また、JavaScriptエンジンをフックすることで、AjaxなどによるXMLHTTPオブジェクトを使用した通信の内容さえも盗み出すとされる。そして、これらの盗み出した情報は即座に特定サーバへと送信されるのだという。

特定サーバへ盗み出したSSL/TLS通信の内容を送信する様子
出典: SecureWorks - Gozi Trojan

同社は最終的に、IRCなどを使用することでアンダーグラウンド経済への接触を試み、こうしたマルウェアが一式1,000ドルから2,000ドルで購入できることを確認したという。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

ジョイゾー、kintone拡張「レコード一括更新プラグイン」を提供開始
[03:10 5/28] 企業IT
【レポート】GeForce GTX 1080が深夜販売 - 価格は税込10万円前後で初回入荷分はあっという間に完売
[01:19 5/28] パソコン
V6森田剛&三宅健の絆伝わるエピソードに感動の声「剛健尊い」「涙出た」
[00:40 5/28] エンタメ
TVアニメ『テラフォーマーズ リベンジ』、第9話のあらすじ&場面カット紹介
[00:14 5/28] ホビー
『ジョジョ』第4部、第9話の先行場面カット&あらすじを公開ッ!
[00:01 5/28] ホビー

特別企画 PR

求人情報