The Hacker Newsは7月4日(米国時間)、「Some Worms Use Their Powers for Good」においてサイバーセキュリティ企業が善良なワーム型マルウェアを開発したと伝えた。「Hopper」と名付けられたこのワームは悪意のあるワームとは異なり、有益なワームとして開発されているという。

  • Some Worms Use Their Powers for Good

    Some Worms Use Their Powers for Good

Hopperは、Cymulateによって開発されたワーム。コマンド&コントロール、ビルトインの権限昇格など通常のワームと同じ狡猾な機能が備わっている。しかしながら、通常のワームがサイバー犯罪者の攻撃に使われるのに対し、Hopperはホワイトハット(ホワイトハッカー)に使われるところに大きな違いがある。ホワイトハットにネットワークへの侵入に成功した場所と方法を知らせ、どこまで侵入できたか、途中で何を見つけたか、どのように防御を改善するかを報告するという。

Cymulateの開発チームは、Hopperを一般的なマルウェアステージャをベースに開発したと説明。柔軟性を最大化するために異なる初期実行方法、追加の通信方法、ファーストステージのペイロードをフェッチするさまざまな方法、異なるインジェクション方法などが追加されている。

Hopperに追加された主な機能は次のとおり。

  • 初期ペイロードの設定 - 実行ファイル、ライブラリ、Pythonスクリプト、シェルコード、PowerShellスクリプトなど、実行方法を設定可能
  • ファーストステージのペイロード設定 - カスタマイズ可能なパッケージ取得方法とパッケージ注入方法
  • セカンドステージのビーコン設定 - 通信チャンネル、キープアライブタイミングとタイムアウト、ジッターをカスタマイズ可能
  • API - 通信方法、拡散方法、エクスプロイトなど、将来の機能拡張を容易にするための新機能の追加が可能

Cymulateは、ワーム攻撃を未然に防ぐには、ホワイトハットワームのようなHopperは理想的なソリューションと述べている。Hopperの視点からネットワークを見ることでワームの最大のアドバンテージを防御側の最大のアドバンテージに変えられるとコメントしている。