標的型攻撃のマルウェアを解析してわかる事実--FFR 鵜飼裕司氏

　鵜飼氏が解析したシーケンシャルマルウェアの1つであるMDropper系の攻撃シーケンスは、Wordファイルが開かれてWordが実行されると、脆弱性を悪用してDropperが実行され、Injectorが出力される。それがexplorer.exeにコードを埋め込んだ上で、Wordを無毒化する。無毒化されるので、次に同じWordファイルを開いても悪意のある動作はせず、ウイルス対策ソフトでも検知できなくなってしまう。ここまでがMDropperの動作だ。

　さらにコードが埋め込まれたExplorerはInternet Explorerを非表示モードで起動してコードをインジェクションし、外部サーバにアクセスしてコードをダウンロード。別に起動したキーロガーが取得したキーログファイルを読み込み、マシン情報を収集して外部サーバーに送信する、という動作だった。

　この外部サーバへのアクセスは、TCPポート80番・443番を利用していたそうだが、プロトコルはHTTP/HTTPSではなく独自プロトコルになっており、攻撃者はWebサーバではないサーバを用意していたそうだ。攻撃者のサーバと攻撃されたクライアントPCとの間は認証が行われており、ウイルス対策ソフトベンダーなどによる解析のための接続をブロックするような仕組みもあった。

　こうした動作をするマルウェアについて、あるウイルス対策ソフトベンダーは「コマンドを受信し盗み出した情報を送信する」と解説していたが、「実際に受信するのはコマンドではなくコードそのもの」（同）であり、攻撃者がダウンロードするコードを変えてしまう可能性もあり、自動解析ではこの違いを把握することが難しいという。

　また、Dropperの動作自体は「悪意のある行動」ではなく、問題はその後ダウンロードされる「第2次のマルウェア攻撃」（同）が問題なのだ。攻撃者が用意したサーバからダウンロードしたコードが情報の窃取などの役割を果たしており、しかも攻撃者がコードを変更すれば攻撃も変化するので、「Dropperを解析しても脅威が分からない」（同）。また、脅威を分析したあとにコードが変わればまた脅威が変化してしまう。

　「結局は詳細な解析をしないと脅威は分からない」と鵜飼氏。解析手法としては、ファイルシステム内のファイル生成をモニタリングして捕獲すれば、新たにダウンロードされるファイルの実行も阻止できる。ただし、インジェクトコードやダウンロードされたオンメモリ動作のコードは捕獲できないほか、通常のマルウェアの自動解析手法では正確な脅威分析ができないため、APIトレースを行い、攻撃者からのパケットを受信した時点で分析を切り分ける必要性を訴える。

　今回調査したマルウェアではパケット受信前のDropperの動作はそれほど脅威ではないため自動解析でも十分で、それ以降の動作に関しては網羅的に分析を行うことで「効率的かつ正確に分析できる」（同）。

　また、調査したMDropper系とPPDropper系のマルウェアは、ダウンロード要求を遮断することで脅威が発生しないことが分かったそうで、鵜飼氏は（1）不必要な外向きのTCPポートを閉じる、（2）TCPポート80番・443番はHTTP/HTTPS以外のプロトコルを遮断する、（3）Proxy経由でのみ外部アクセスを可能にする――という3点の対策を紹介する。Proxyに関しては認証をかけると「絶大な効果がある」（同）という。

　ちなみに、今回の調査で解析したマルウェアは、多重の難読化、独自APIの利用、多数のムダなコードの挿入、アンチデバッキング、アンチリバースエンジニアリング、マルチスレッド、コードの圧縮、他プロセスへのコードインジェクション、リモートからの部分コード受信などの技術が盛り込まれ、解析は「非常に大変だった」（同）らしい。