仕事でバタバタしすぎて風邪をひいてしまったので、
書けずにいた、ランサムウェアに何故感染するのか書いてみる。

話が遡ること半年、2016/7に情報処理推進機構(IPA)が発表したウイルスや不正プログラムが添付されたメールの検出数が、2016/1～3から2016/4～6にかけて約8倍に増加しています。当然、この不審なメールに添付されたファイルは絶対に開いてはいけません。

今どきのウィルスもスパイウエアもアクセスと同時に本体をダウンロードということは、まずありません。まず、そのランサムウェアを自動的にダウンロードさせるために用意されたものが、圧縮して難読化された.jsファイルで、それをメールに添付してきます。

それを私たちは、トロイの木馬型ダウンローダーと呼んでいます。一番有名なものとしては「JS/Danger.ScriptAttachment」で、ESETやAVGなど日々パターンファイルを更新するウィルス対策でも50%以上で検出されていて、ランサムウェアに感染する恐れのあるメールを、メールを利用するほぼ全ての方が受信している可能性が高いです。

基本的にウィルス対策は、対策という名からも後手に回る対策です。かといって常に最新ソリューションの導入は、とても機器が高額になりますし(200万以上から[ラウンドロビン]など)、現実としては、「やれることからやる」ことが重要です。



また、他の側面もあります。プログラムを制作する側は、トロイの木馬系の一部を利用すると、難しい関数を利用することなく簡単にアプリのツールが開発できます。省力として無毒化して使うのでしょうが、ウィルス対策ソフトは似た動きを全部除去する対応をしないと抜けられてしまいます。またウィルス本体は、ほぼバイナリ化しています。バイナリ化したウィルスをどうやって無毒化するのか聞きたいです。

特に、バックドア型、クリッカー型、ダウンローダ型、ドロッパー型は、企業総務系のソフトによく搭載されています。国内産ウィルスソフトには事前通知でエスケープしておけば検出されませんが、海外産ウィルスソフトからみると「そのDLL/SYS」が何をしているのかよく見えます。また、ほぼオートマチックリモート操作ができるアプリケーションには搭載されています。リモート操作は手動で[id/password]を伝えるタイプじゃないとダメです。




昨年日本の大企業で一番被害が大きかったのは、Korplug(PlugX)です。このマルウェアは、RATでバックドアを開け遠隔操作をします。また被害数が低いものは、ウィルス対策ソフトでも気づかれにくい仕様を持ちます。

また、2015年に見つかったKorplug亜種は、最初に正規のプログラム(ras.exe/svchost.exe)を実行し、そのプログラムからマルウェア本体を実行させる設計、さらに攻撃コードがメモリ上に展開すると、インストール済みの正規のサービスプログラムやインストールプログラムに対してインジェクション攻撃をします。



以下がKorplugの出来ること一覧です。
1、画面ロック・ログオフ・Windowsの再起動・Windowsのシャットダウン・メッセージボックスの表示・ドライブのデバイス名取得・ファイルの検索・ファイルの読込・ファイルの書込・ファイル新規作成・マウス操作・画面キャプチャー・キーボード操作・メッセージ送信

2、プロセス起動・プロセス情報取得・プロセス終了・サービス一覧取得・サービス設定変更・サービスの開始・サービスの停止・サービスの停止・CMD実行・TELNET実行・レジストリー全ての操作・ネットワークリソース検索・共有フォルダ接続・MicrosoftSQLの全ての操作・TCP/IP/UDP操作

これだけの機能があるので、遠隔操作できるスパイウエアの埋め込みに成功すれば、もはやパソコンの前で操作しているのと同じ、何でもできますし、どんなデータでも見つけられます。「なぜ簡単に新入され」「なぜ特定のデータを見つけられるか」わかるかと思います。



本来、パソコン萬晩報で扱いたかったものですが。
次回は未定ですが、急速に進出している格安スマホについて扱います。