インターネットライフの安心・安全をサポートする セキュリティ・ウイルス総合情報サイト

遠隔操作ウイルスの感染と痕跡調査

daiki_fukumori
福森 大喜
株式会社サイバーディフェンス研究所

いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。
それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。

クローズドなネットワーク内で次のような環境を作成し検証を行いました。

demonetwork

一連の流れを記録した動画も作成しました。



大まかなタイムラインは次のようになっています。
0:00 - 0:51: 遠隔操作ウイルスに感染
0:52 - 2:00: 「画面キャプチャ」コマンドを実行
2:01 - 2:45: 「自己消去」コマンドを実行
2:48 - 3:21: 簡易フォレンジックソフトにて削除済ファイルを確認

左側にMac OSのFinderが表示されているのが攻撃者の情報収集用サーバで受信したファイルです。
「画面キャプチャ」命令のパラメータは5秒おきに5回実行するという設定にしましたので、左側のFinder内に5秒間隔でファイルが作成される様子を確認できます。デモとして「画面キャプチャ」命令を実行していますが、ここで任意のコマンドを実行することも可能です。

実際の業務で行うフォレンジックはもっと本格的なものですが、今回のように簡易的なフォレンジックでもファイルを復元することは十分可能です。

また、プログラム中に日本語がうんぬんという話があるようですが、起動されるダミーのアプリケーションを見ると明らかに日本語なのがわかります。ちなみにこの遠隔操作ウイルスはデバッグモードを備えており、デバッグモードで起動した場合には次のようなウインドウが表示されます。これもどう見たって日本語です。

iesys_debug

最後に、「遠隔操作ウイルス」という名前ですが、最近のウイルスはほとんど遠隔操作機能を備えていますので、今回のウイルスをわざわざ「遠隔操作ウイルス」と呼ぶのは度々混乱を招いて困ったものですね。

  • セキュリティニュース
  • エフセキュアブログ
業界最安値 \500 プロバイダ BB.excite
おすすめ