Help Net Security(HNS)は、複数のオンラインフォーラムで販売されている「Pinch」と呼ばれるツールに関するレポートを公開しています。レポートによると、Pinchというその名の通り、サイバー犯罪者はこのツールを使って、生成された実行ファイルに実行させる一連の悪意あるアクションを定義できます。IT業界に長く携わっている人にとっては、これは…を彷彿とさせるでしょう。
Help Net Security(HNS)は、複数のオンラインフォーラムで販売されている「Pinch」と呼ばれるツールに関するレポートを公開しています。レポートによると、Pinchという名の通り、このツールを使うことで、サイバー犯罪者は生成された実行ファイルに実行させる一連の悪意あるアクションを定義することができます。
IT業界に長く携わっている人にとって、これは往年のカルト的人気を誇る「Back Orifice 2000」を彷彿とさせるでしょう。しかし、このツールの機能性は、機能面でも汎用性でも、全く別次元のようです。
HNS はこのツールのコピーを入手したようで、以下に機能に関する重要なポイントをリストします。
- PWD: トロイの木馬が盗むパスワードの種類(システム/アプリケーション)を選択できます。データは送信される前に暗号化されます。
- スパイ: キーロガー、自動スクリーンショット、ブラウザデータの盗難、または特定のファイルの検索。
- NET:感染したコンピュータを、さらなる不正活動のためのプロキシとして利用します。トロイの木馬は、侵入したコンピュータに他の実行ファイルをダウンロードするダウンローダーとして利用されることもあります。
- BD: 基本的には指定されたポートを開くバックドアです。
- その他: ルートキットを含むトロイの木馬のステルスを可能にします。
- WORM: タブでは、犯罪者が作成したプログラムにワームの機能を追加して、独自の手段で拡散したり、他のファイルに感染させたり、自分自身を電子メールで送信したりすることができます。
Pinchでは、盗んだデータの送信方法をユーザーが指定することもできます。サイバー犯罪者はSMTPやHTTP経由でデータを受信するか、あるいはトロイの木馬に盗んだデータを感染したコンピュータ上のファイルに残し、後でトロイの木馬自身が開いたポートから取得するよう指示するだけで済みます。
また、感染したコンピュータはゾンビネットワークに参加させられる可能性があり、トロイの木馬自体もシグネチャベースのウイルススキャナによる検出をはるかに困難にするように圧縮される可能性があります。もちろん、セキュリティプロセスの強制終了も通常の方法で行われます。
また、ツールのソースコードを入手した場合、それをカスタマイズして、市販の標準的なウイルス対策スキャナでは検出できない、完全にカスタマイズされたトロイの木馬を出力することが現実的に可能になります。(私の記事「主要ウイルス対策ベンダー:純粋なシグネチャベースのアプローチでは不十分」を参照)。
このようなトロイの木馬作成ツールの存在は心配ですか?
ポール・マー
ポール・マーはシンガポール在住のライター兼ブロガーで、長年にわたりIT業界で様々な役職を経験してきました。彼はテクノロジー系ガジェット、スマートフォン、ネットワーク機器をいじるのが好きです。
