マルウェアのコードを作る所から話しましょう、基本的にマルウェアのコードがそんなに増えていませんが、上手くサイクルをさせている状況です。マルウェアの研究者が毎日発見されたマルウェアコードを見たかぎりでは、殆どのロジックは同じと見えます。それで、何故沢山種類が出たのか?問題は、マルウェアのソースコードが沢山交換されているので、簡単に元のコードの変更と追加が出来ます。マルウェアコードの作成チュートリアル迄オンラインで検索したら沢山発見した(例えば下記の画像)。マルウェアのコーディングの作り方はそれだけです。マイナーですけど、新しいマルウェアの技術も出てくるけれどもペースは早くないですね。
Build/コンパイルの件、standaloneプログラムの形はマルウェアプログラムの特徴です。Borland C++/Delphiコンパイラーはこの機能で簡単に作れますので、このコンパイラーで作られたマルウェアが多いですね。色んなマルウェア作りサイトにもコンパイル手順も書いてあります、例えば下記の画像↓
次は出来たマルウェアが、どうやってばら撒くのかによって、バイナリーの再作りが必要かと思われます。詰り、ボットネットで使うなら、メール添付になると、出来たままのバイナリーが直ぐにAV製品に検知されるので、色々形のファイルを考えなきゃ行け無いみたいですね。例えば、MS Officeのファイル形式になり、又はPDFなど。その時に下記の似たようなツールを使われている↓
↑このツールはAV製品のスキャンバイパスされるように暗号化技術を持っています、するとどんなファイル形式にもばっちり変更が出来ます。好きなアイコンも作られますので、OneClickソリューションですね(- -);
問題なのは、似たようなツールが沢山発見されています、下記のリンクをクリックすると色んなハッカーツールを見えます↓
http://0day.jp/hacker-tools-monitor/
↑上記の作る仕組みを使っているメールマルウェアが多いのはZeusボットネットのマルウェアです↓
ウェブマルウェアは?ウェブに乗せる為にマルウェアバイナリーを隠す必要がそんなに無いみたいので、代わりに直接ダウンロードされないように感染されたウェブサーバに入れるみたいです。
このマルウェアプログラムがトロイダウンローダー又はトロイドロッパー経由でクライアントのPCに感染してしまいます。ウェブ感染のポイントはURLダウンロードですので、ユーザが気づかずにクリックしてしまう仕方が考えてくれたみたいですね。
一つのウェブマルウェアの感染ルートは↓
↑この仕組みもウェブ経由SNSにも使えるみたいですね(Twitter, Facebookなど)
インスタントメッセージ(IM)経由は?チャットの環境ですとP2Pのファイルトランスファーが多くて上記に書いたCrypterソフトで、ファイルを隠してからあちこちに送るみたいですね。どうやって送りますか?
色々調べたら分かった事があって、IM経由のマルウェアを送る時に殆ど特別なツールを使われます、例えば下記のツールですね↓
↑似たようなツールを使ってIMに繋がって色んなIMアカウントに送るみたいですね。それぞれのIM対応できるツールも沢山発見しました。上記のツールはイランのセキュリティサイトで発見されたツールです。
次は、マルウェアメーカは出来たの物をあるボットネットのルートにばら撒くだけです(取引仕組みがあるだろう)、例えば下記のルート↓
どうやってばら撒くかというというと、その件は別途内容になります、殆どボットネットマスターがやっていましたので、もっと大きいピクチャー「マルウェア・メカニズム」となります。
結論↓
1. マルウェア作りには、プログラミングができない人でも簡単に作れます。作る時に現時点ではオートメーションのツールで作られますので、この原因でマルウェアの種類がたくさん増えてしまう訳ですね。
2. マルウェア対策の為のサンプル登録の手続きがもっと速く出来たらもっとたくさんのマルウェアに対応出来る筈です。たとえばウェブやメールフィルター製品で発見された疑わしい物をオートーメーションでマルウェア対策ソフトメーカー社に登録する。そのような仕組みが必要だと思います。
3. マルウェアの問題は我々の問題ですね、早い対応が出来るように皆様の協力も必要ですので、もし疑わしい物が発見したら、管理者やセキュリティ会社に直ぐに送って頂けるともっと早い対応が出来ます。自分からも手続きが出来ると思います、こちらのリンクには登録手順が明確に書いてありますので、ぜひ見てみて下さい。
2. マルウェア対策の為のサンプル登録の手続きがもっと速く出来たらもっとたくさんのマルウェアに対応出来る筈です。たとえばウェブやメールフィルター製品で発見された疑わしい物をオートーメーションでマルウェア対策ソフトメーカー社に登録する。そのような仕組みが必要だと思います。
3. マルウェアの問題は我々の問題ですね、早い対応が出来るように皆様の協力も必要ですので、もし疑わしい物が発見したら、管理者やセキュリティ会社に直ぐに送って頂けるともっと早い対応が出来ます。自分からも手続きが出来ると思います、こちらのリンクには登録手順が明確に書いてありますので、ぜひ見てみて下さい。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿