今回は、最近の攻撃・マルウエアの動向や傾向をまとめたブログを紹介する。まず、銀行関連の情報を盗むマルウエア「Shylock」が備える新たな機能について。米トラスティアが、ブログで注意を呼びかけている。

 同社が2011年に検出したShylockは、新しい検知技術をすり抜けるよう、進化し続けている。最近のShylockドロッパーを分析したところ、一般的に研究者がマルウエア分析の際に設定するリモートデスクトップ環境を識別する機能を備えていたという。

 分析のために収集された不審なマルウエアサンプルは、たいてい研究所の孤立したマシン上に置かれる。研究者は大抵、オフィスからリモートデスクトップにアクセスしてマルウエアを調べる。Shylockはこうした人間の弱みにつけ込む。

 トラスティアが分析したShylockドロッパーは、無効なデータを一定のルーチンに組み込み、返ってくるエラーコードを見てリモートデスクトップ環境を識別する。返されたコードによって通常のデスクトップと研究環境とを見分け、リモートデスクトップのセッションで実行されたと判断すると、インストールを行わない。この方法を使って、他の既知またはプロプライエタリーの仮想環境やサンドボックス環境を見分けることも可能だ。

 詳しく説明すると、ドロッパーは動的に「Winscard.dll」を読み込んで、関数「SCardForgetReaderGroupA(0, 0)」をコールする。マルウエアは返された値が「0x80100011 (SCARD_E_INVALID_VALUE)」または「0x2 (ERROR_FILE_NOT_FOUND)」の場合のみ、予定どおり行動する。トラスティアは、ドロッパーがローカルで実行されると返される値は「0x80100011」、リモートデスクトップのセッションで実行されると「0x80100004 (SCARD_E_INVALID_PARAMETER)」であることを確認した。

アセンブリ言語のソースコード

 トラスティアは、別の方法で特定の実行環境を認識して状況に応じた回避行動をとるマルウエアも多数検出しているという。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら