進化するダウンローダー、シンクホール検知でサンドボックスを回避か

 

マカフィーは2月1日、セキュリティブログにおいて、最新のRovnixダウンローダーにコントロールサーバーのシンクホールのチェック機能が搭載されていると明かした。これにより、ふるまい検知システムを利用したマルウェアの検知が難しくなるという。

Rovnixは、VBR(IBM PC互換機で導入されたブートセクタ)やNTLDR (Windows NT系の標準ブートローダ)に感染するマルウェアで、2011年から確認されている。端末が感染した場合は、ブラウザに保存されていた銀行情報を盗まれたり、さまざまなパスワードを盗まれたりする恐れがある。

シンクホールは、マルウェアによるコントロールサーバへのDNSリクエストを偽造アドレスによって防ぐセキュリティ対策の手法。トロイの木馬、ボットネット、ランサムウェアなどの攻撃をブロックできる。具体的には、以下のような防御機能を搭載する。

  • 標的のシステム上で実行するコマンドをダウンロード
  • 標的のシステム上で実行する新しいモジュールやマルウェアをダウンロード
  • 標的のシステムから盗んだデータを外部へ持ち出し
  • 自身のステータスをコントロールサーバへ提供
  • システム統計値(システムのタイプ、マルウェア対策のインストール状況など)をコントロールサーバへ送信
  • コントロールサーバから暗号化キーをダウンロード。これによって、標的とするファイルの暗号化を防止

新たに見つかったRovnixは、シンクホールを検知する機能を搭載する。これにより、コントロールサーバがシンクホールされていた場合、発見されるのを回避するために悪意のあるコードを実行せずに潜伏する。また、攻撃実行の適切なタイミングを測るためのチェック機能も搭載する。

ブログでは、Rovnixがシンクホールを回避する際の具体的な挙動を解説している。まずRovnixは、これから侵入を試みるコントロールサーバのDNSネームサーバレコードを入手(フェッチ)する。

DNSネームサーバを入手(フェッチ)するためのDNSQueryコール

次に、入手したネームサーバの値を、コントロールサーバのDNSネームサーバレコードがシンクホールされたことを示すキーワードのリストと照合し、特定のキーワードが含まれているかどうかをチェックする。キーワードは、control、sink、hole、dynadot、block、trojan、abuse、virus、malw、hack、black、spam、anti、googlがある。

DNSネームサーバの値と文字列を照合

チェックによってDNSネームサーバに問題がないと判明した場合、Rovnixは情報を盗み出すための準備をするため、モジュールをダウンロードする。この時、リストの最初のドメインにコンタクトを試みて、最初のサーバにコンタクトできない場合は、次々と別のモジュールへコンタクトを実行する。ドメインのリストには次のようなものがある。

  • transliteraturniefabriki.com:通信と追加のプラグインのダウンロードのための最初のコントロールサーバ
  • tornishineynarkkek2.org:バックアップ用のサーバ
  • upmisterfliremsnk.net:バックアップ用のサーバ
  • itnhi4vg6cktylw2.onion:他のコントロールサーバにアクセスできない場合、onionアドレスで接続を確立するためのサーバ

時間チェック機能は、標準のNetwork Time Protocol(NTP)サーバを使用して時刻をチェックし、攻撃を実行するかを判断する。このチェックによって、コントロールサーバから受信した時刻と公開タイムサーバから受信した時刻を比較し、経過時間が特定のしきい値を超えた場合は、スリープ状態で一定の時間を過ごしてからもう一度時刻をチェックする。

マカフィーは、公開NTPサーバを使用した時刻チェックは比較的新しい機能であり、多くの動的なマルウェア検知システムで使用されているローカルシステムの時刻の偽装に対抗するものだと説明している。

Rovnixダウンローダー感染の地理的分布

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

富士重工業、来年4月から「株式会社SUBARU」へ - 社名変更の正式決定を発表
[20:28 6/28] ホビー
藤ヶ谷太輔、窪田正孝&横尾渉と三角関係? 誕生日も実家に横尾
[20:14 6/28] エンタメ
【特別企画】グラドル吉田早希も参戦! 「Overwatch」体験イベント開催
[20:12 6/28] パソコン
スバル「レヴォーグ STI Sport」7/21発売へ - 代官山で特別展示イベントも
[20:07 6/28] ホビー
【特別企画】恋愛、受験、就活、スポーツ……大学生に聞いた、「応援」で力をもらった感動エピソード8選
[20:03 6/28] エンタメ

求人情報