Shylockは、オンラインバンキングを狙うきわめて高度なトロイの木馬であり(以前の記事を参照)、今も金融詐欺の脅威の分野では無視できない存在です。2011 年に控え目に登場して以来、その感染数は英国、イタリア、米国で増え続けていますが、標的となる金融機関の数も同様に増加しています。現在は、英国を中心として 60 以上の金融機関が標的となっています。
Shylock の主な目的は、標的となる金融機関の Web サイトのリストを作成して、MITB(Man-in-the-Browser)攻撃を仕掛けることです。この攻撃を利用してユーザーの個人情報を盗み出し、ソーシャルエンジニアリング手法によってユーザーを誘導して、狙った金融機関で不正な取引を実行させます。
追加モジュール
最近この Shylock が、機能を拡張するために追加のモジュールをダウンロードし、実行するようになりました。以下のモジュールが開発され、Shylock によってダウンロードされています。
- Archiver(録画されたビデオファイルをリモートサーバーにアップロードする前に圧縮する)
- BackSocks(侵入先のコンピュータをプロキシサーバーとして機能させる)
- DiskSpread(接続されたリムーバブルドライブを介して Shylock を拡散する)
- Ftpgrabber(さまざまなアプリケーションから保存されたパスワードの収集を可能にする)
- MsgSpread(Shylock を Skype のインスタントメッセージ経由で拡散させる)
- VNC(攻撃者が侵入先コンピュータにリモートデスクトップ接続できるようにする)
インフラ
Shylock は堅ろうなインフラを採用しています。トラフィック量の多い時間帯の冗長化と負荷分散が有効になっているので、サーバーは着信接続の数に応じて侵入先のコンピュータを別のサーバーにリダイレクトします。
Shylock で利用されている最初のレベルのサーバーは特定されており、次の 3 つのグループに分類されます。
- 中央のコマンド & コントロール(C&C)サーバー(ボットネットの制御と保守に使われる)
- VNC と BackSocks のサーバー(トランザクション中のリモート制御を可能にする)
- JavaScript サーバー(MITB 攻撃でリモートの Web インジェクションを実行する)
図 1. Shylock のインフラで使われているサーバーのグループ
これらは、メインコンポーネントの制御に利用されているプロキシサーバーです。これらのサーバーの主な目的は、更新した以下の設定ファイルやモジュールを侵入先のコンピュータに提供して、Shylock の感染数を維持することにあります。
- バイナリファイル
- hijackcfg モジュール
- httpinject モジュール
侵入先のコンピュータで、新たに追加されたモジュールが実行されると、レポートログが C&C サーバーに送信されます。ログは暗号化通信を使って適切なサーバーにリダイレクトされ、サーバーは相互に Secure Socket Layer(SSL)として機能します。各サーバーは、相互の通信に以下のプロトコルを利用します。
- 「Debian 6」("OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)")としてフィンガープリントが設定されている SSH
- CentOS("Server: Apache/2.2.15 (CentOS)")を含む HTTPS 応答
現在は、5 つの中央 C&C サーバーが Shylock ボットネットを制御しています。これらのサーバーは、ドイツと米国の複数のホスティングプロバイダに置かれています。
標的変化を示すグラフ
Shylock は当初、英国内のコンピュータを主な標的としていましたが、今では他の国や地域にも広がっています。その一方、なかには標的として狙われなくなってきた金融機関もあります。セキュリティ対策が向上したため、あるいは高価値の業務用顧客を持っていないためと考えられ、Shylock はもっと見返りの大きそうな金融機関に的を絞り直しつつあります。
図 2. Shylock に感染したコンピュータ数(2011 年~ 2013 年)
図 3.標的となる業種
Shylock の新しい攻撃は今後も続くものと予測され、シマンテックは Shylock の活動を引き続き監視していきます。
シマンテックの保護対策
- Trojan.Shylock
- Trojan.Shylock!gen1
- Trojan.Shylock!gen2
- Trojan.Shylock!gen3
- Trojan.Shylock.B
- Trojan.Shylock.B!gen1
- Trojan.Shylock.B!gen2
いつものことですが、基本的なセキュリティ対策(ベストプラクティス)に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。