進化を続けるマルウエアの隠蔽能力 [セキュリティ]
ここ数年、ウイルスを含むマルウエアの目的は金銭や情報収集などに特化し、その手段として出来るだけ長期間目標となるコンピュータで動作を続け、情報収集などを行うように進化を続けている(ランサムウェア等活動を表面化する事で金銭を得るものを省く)。
このため、マルウエアの隠蔽は巧妙を極め、現在ではコンピュータ内にファイルとして存在する必要が無いものが増えているらしい。
コンピュータ内にファイルとして存在しないとなると、既存のセキュリティ対策ソフトで発見する事は極めて困難になる。
実際、今回私が駆除を依頼された「マルウエアに感染したパソコン」も、通常のファイル型ウイルスだけでなく、ルートキットとしても発見する事が出来なかった。
依頼を受けたパソコンは、幸か不幸かマルウエアとして目に見える形で感染を確認できた。
具体的にはWindows(Windowz7)のUIがクラシックのような外見になり、さらに一部のアイコンが上から薄灰色に塗りつぶされて、一見するとアイコンが消えてクリックできないように見える。
それ以外にはWindows updateが不明のエラーで実行できなくなったり、セキュリティ対策ソフトが動作しないか機能不全や強制終了されるようになっていた(有償無償問わず複数のソフトで検証)。
これらは発端として「Reimage Repair」という詐欺ソフトのインストールが確認された。挙動から他にもインストールされていたと予想されるが、少なくともコントロールパネルの「プログラムのアンインストール」からは確認出来なかった。
そこで私は「Reimage Repair」についての情報収集を行い、一般にこれらのアンインストールで行われる「プロセス強制終了の後に普通にアンインストール」を実行。これにより「Reimage Repair」は当該のパソコンから削除できたが、その後、先に挙げたような症状が残った。
このような場合、通常はタスクマネージャーなどを使って不正なプロセスなどが動作していないかを確認する。もちろんmsconfigやレジストリエディタなども使うし、イベントビュアーも使って確認する。これで原因が発見出来れば、該当するレジストリと実行ファイルを消してパソコンを再起動する事でマルウエアの駆除は終わるのだが、今回は私の知識とスキルではまったく歯が立たなかった。
他にはセキュリティソフトを販売する各社のツールを十数個、一通り使ってみるもまったく検出されず。
結局、Windowzの再インストールで対処する事になった。
さて。
今回のマルウエア、私がかつて経験した事の無い挙動を見せていたのだが、それは「インターネットに接続していないと症状が出ない」というもの。
スタンドアロンで電源を入れると、数時間動作させてまったく症状が出ない。
もちろんWindows updateは謎のエラーで動作しないが、バッチファイルで回復させる手段を使うとあっさり元通り。この状態でならば手動でアップデートできるので、約一年半もの間行われていなかったWindows updateを手動で行った。
その後インターネットに接続すると、数十秒間はWindows updateも正常動作して新しいアップデートファイルを見つけてくるのだが、しばらくするとデスクトップやアプリケーションを開いたウインドウがマルウエアによる改変でおかしくなり、それまで正常に動作していたセキュリティソフトも動作しなくなる。こうなると当然、Windows updateも不明なエラーでWindows update clientが停止する。
この症状はセーフモードやWindows起動前の検査でウイルスを探しても発見出来なかったため、最初はルートキットを疑いルートキットに特化したツールで駆除を試みたが、4社ほど(カスペルスキーやノートンなど)のツールを試して全滅。
その後なんとかセキュリティソフトを正常に動作させる事には成功し、二つほどなんらかのウイルスを削除したものの症状は変わらず。そしてさらに調べ、UIがおかしくなるのは不正なテーマが適用されている事を突き止め、テーマを手動で削除すると一旦は正常になるが、やはり再起動してインターネットに接続すると元に戻る。
せっかく正常動作に成功したセキュリティソフトも、この段階で強制終了や動作不良(常駐の監視やアップデートが不可能)になってしまう。
こうなると考えられるのは、「インターネットからウイルス本体をダウンロードするためにパソコンのディスク上にウイルスが存在しない」ということ。過去にそのような事例を見た記憶が無かったが、ネットで検索すると2014年にはすでに報告があった。
痕跡ゼロ? メモリ常駐で検出を妨害する「インメモリマルウェア」の脅威
http://techtarget.itmedia.co.jp/tt/news/1401/29/news06.html
「POWELIKS」:Windows レジストリに不正なコードを隠ぺいする不正プログラムを確認
http://blog.trendmicro.co.jp/archives/9595
インターネットからウイルス本体をダウンロードするとはいえ、そのための“仕掛け”が必要。一体どうやって?と思ったが、どうやらレジストリなどにスクリプトや暗号化されたデータとして保存し、これらをWindows起動時に実行させて必要なプログラムをダウンロードさせているようだ。
しかもこれはWindowsの標準機能なので、これ自体を不正な動作として検出する事は出来ないらしい。
さらにこれらはレジストリエディタなどで表示できない。表示できないのならば当然、該当するキーとデータなどをレジストリから消す事も出来ない。
という事で、今回は「目に見える症状」のおかげで隠されたマルウエアの存在は確認出来たが、それが何なのかもわからず、推測で「実行ファイルがローカルディスクに存在しない」という結論しか出せなかった。
今回はたまたま目に見える形で影響が確認できたが、近年の巧妙に隠蔽されたマルウエアは、多くのケースで感染してからパソコンを廃棄するまでの数年間ずっと動作し続け、情報を盗んだり次々と新しいウイルスに感染させてセキュリティ対策ソフトの目を欺き続けているのだと想像できる。
そのうち、世界中のほとんど全てのパソコンやスマートフォンが、マルウエアの感染に気付かず使われる時代が来るのかもしれない。
その他の情報:
LINEユーザーを標的にした高度なAndroidスパイウェア「Skygofree」
https://blogs.mcafee.jp/line-android-spyware-skygofee
「Operation Dragonfly」の分析:以前の攻撃との関連性を示唆
https://blogs.mcafee.jp/operation-dragonfly-analysis-suggests-links-to-earlier-attacks
コメント 0