寄稿: Val S.
最近シマンテックは、すべて Java で記述されたバックドアリモートアクセスツール(RAT)のサンプルを確認しました。RAT はアンダーグラウンドフォーラムで無料配布されており、フォーラムに登録すれば誰でも自由にダウンロードすることができます。このツールは Frutas という名前で、これはスペイン語で「フルーツ」を意味します。
図 1. Frutas のロゴ
Frutas RAT を使うと、攻撃者はコネクトバッククライアント JAR ファイルを作成して、侵入先のコンピュータ上で実行できるようになります。JAR ファイルは実行されると、埋め込まれた設定ファイルを解析して、接続先サーバーの IP アドレスとポートを検索します。バックドアビルダーに簡易的な不明瞭化機能があるので、攻撃者は埋め込みのバックドア機能の一部にカスタム暗号化キーを使うことができます。
図 2. バックドアクライアントが作成される
バックドア接続が確立すると、RAT サーバーから攻撃者に通知され、攻撃者は侵入先のコンピュータ上で以下のような各種のバックドア機能を実行できるようになります。
- システムプロセスをクエリーして強制終了させる。
- ファイルシステムを参照する。
- 任意のファイルをダウンロードして実行する。
- ポップアップメッセージを送信する。
- 指定した Web サイトをブラウザで開く。
- 指定した IP アドレスに対してサービス拒否攻撃を実行する。
図 3. バックドア機能
図 4.ユーザーに送信されるポップアップメッセージの例
バックドア Java ファイルで使われるカスタムのクラスローダーは、RAT コントローラサーバーからコマンドを受信し、暗号化されたクラスファイル(Opcion[1-14])をロードします。ストリーム暗号として DES を利用してクラスファイルを暗号化する際には、バックドアの作成時に攻撃者が指定した暗号化キーが使われます。
図 5. バックドア Java の逆コンパイル
Frutas はリモートアクセスツールとしてそれほど普及率が高くはなく、スペインのハッカーベースを標的としていますが、それに限定されません。これは検出率が低いことにも表れています。シマンテックは、このバックドアコントローラとビルダーを Hacktoolとして、バックドアを Backdoor.Trojanとしてそれぞれ検出します。
図 6.現在の検出状況
このリモートアクセスツールによる被害から身を守るためには、最新の更新プログラムとウイルス定義を適用して、コンピュータを最新の状態に保つことが必要です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。