FFR Blog

金居です。

2 週間ほど前、SecureWorks から ZeuS ボットネットに関する興味深いレポートが公開されたので、まずはその一部を紹介したいと思います。

■ ZeuS Banking Trojan Report (SecureWorks)
http://www.secureworks.com/research/threats/zeus/

そもそも、ZeuS とはどういったものでしょうか？

レポートの中では、銀行向けのトロイの木馬型プログラムで、「crimeware」つまり犯罪プログラムとしても知られているとのことです。また、アンダーグラウンドで販売されているソフトウェアキットで $3000 ～ $4000 という価格がついているとも説明されています。「アンダーグランド」と書きましたが原文では「the criminal underground」となっており愉快犯や興味本位の技術者集団などではなく犯罪を目的とした社会組織としてのアンダーグランドの存在を示唆しています。

Wikipedia の説明でもやはり銀行をターゲットにしているとあり、キーロガーにより銀行の情報を盗むと説明されています。

■ Wikipedia: Zeus (Trojan horse)
http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29

SecureWorks のペーパーによると様々な機能があるようなのですが、驚くべきことにハードウェアベースのライセンス機能が搭載されているというのです。1ライセンスを購入すると、特定の1つのマシンでしか ZeuS Builder キットを実行できないようになっていると書かれています。皮肉なことですが、ZeuS が不正コピーの被害者になったことがあるのでしょう。

シェアウェアや商用ソフトウェアであればライセンスシステムを持っているのが通常ですが、今までこのようなプログラムがハードウェアベースのライセンス機能を持っているとは聞いたことがありません。ライセンス機能、特にハードウェアベースのある程度しっかりしているものを開発したのだとすると、今後も継続的にソフトウェア販売でビジネスを行うつもりがあってそれが可能だと開発側は思っているという事でしょう。

他にも、現在開発中の機能についても書かれています。どうやってインタビューしたのでしょうか。以下の機能を持つ次期バージョンが開発中で今ベータテスト中だということです。

1. Web Injects for Firefox
2. Polymorphic Encryption

2 の「Polymorphic Encryption」というのはセキュリティ製品対策の機能です。マルウェアの中には自分で自分を暗号化しているものがあります。これによりセキュリティ研究者による解析を困難にしたり、セキュリティ製品からの検出を困難にしたりしています。これが「Encryption」の部分の機能です。

ただし、セキュリティベンダーが検体を入手しさえすれば、いずれはパターンベースのエンジンで検出されるようになってしまいます。これは、自分自身を暗号化しても変わりません。一方でパターンベースの技術は基本的には一人目の被害者を救うことができないという原理上の難点があります。これは、乱暴な言い方をしてしまえば、誰かが感染して検体を入手するまでパターンが作れないことを意味しています。

そこで、最近のマルウェアのトレンドとしては、多くの種類のマルウェアが頻繁にリリースされるようになりました。これにより、パターンの配信がおいつかずパターンベースのエンジンがあまり有効に機能しなくなってきています。

「Polymorphic Encryption」という機能は、この攻撃側の考え方をさらに進化させたものと言えます。つまり、感染するパソコン毎に異なるマルウェアを作ってしまおうという機能のようです。どの程度の完成度なのか分かりませんが、PC 毎に完全に異なるマルウェアが生成できるのだとしたら、パターンベースのエンジンはまったく意味のないものになってしまうでしょう。

セキュリティベンダー各社が、こういった次世代マルウェアに対してどのようなソリューションで対応するのか注意して見守る必要がありそうです。ちなみに、弊社では「Polymorphic Encryption」に似た機能を持ったマルウェアを確認していました。別の機会に、どのように未知のマルウェアを検出しているのか説明できたらと思います。

---

このブログ中における株式会社フォティーンフォティ技術研究所（以下FFR）の社員による発言やコメントは、FFRの正式な見解またはコメントではありません。このブログは、FFRおよびココログの倫理規定に即して運営されており、倫理規定に反する内容のトラックバックは、事前のお知らせなしに削除させていただく場合があります。予めご了承ください。

初めまして「古今セキュリティ事情」のカテゴリ リーダーの金居です。

このカテゴリでは、技術よりの話もしたいと思っていますが、それ以外の様々な話題を取り上げられればと思っています。特に私は US のセキュリティベンチャーで働いた経験もありますので、そういった個人的な体験も少しづつ話していきたいと思います。

簡単に自己紹介をしますと、前職ではセキュリティ スキャナを開発していまして、エンタープライズ機能を中心に様々な部分を担当してました。当時は、P2Pの研究や NIC のファームウェアで動くバックドアの研究などもしていました。

「tigon nic kanai」あたりでググって頂ければ何か出てくるかと思います。前の会社では製品開発をしている人も積極的に研究を行っており、研究開発型のベンチャーは面白いなぁと思った記憶があります。

セキュリティ業界には敵がいるという点において、非常に特徴があると思っています。この特徴的なサイバー戦線の最前線で何が起こっているのか、どういう経緯でこのような状況になってしまったのか、お伝えできればと思っています。

---

このブログ中における株式会社フォティーンフォティ技術研究所（以下FFR）の社員による発言やコメントは、FFRの正式な見解またはコメントではありません。

このブログは、FFRおよびココログの倫理規定に即して運営されており、倫理規定に反する内容のトラックバックは、事前のお知らせなしに削除させていただく場合があります。予めご了承ください。