バックドアという、多機能なマルウェア
さて今回は、RAT(Remot Access Trojan/Remote Administration Tool)またはバックドア(Backdoor)と呼ばれるマルウェアについてお話しします。これらは文字通り、感染したコンピュータを遠隔操作するためのマルウェアで、遠隔操作型(Remote Access/Remote Control)のマルウェアと呼ばれることもあります。様々な呼称がありますが、本稿ではバックドアと呼びます。
10年以上も前になりますが、バックドアに感染させたコンピュータから犯罪予告を行っていた人物が逮捕されたことがありました。当時大きく報道されたため記憶されている方も多くいることと思います。このタイプのマルウェアは様々な犯罪に使われてきました。またバックドアは、国家の機密情報や企業の知的財産の窃取を目的に、中国など国家からの標的型攻撃やAPT攻撃にも頻繁に利用されています。このように幅広く悪用の使途があるのがバックドアの特徴です。
バックドアは、非常に多機能なマルウェアの一つです。命令の方法や実行できるコマンド、通信の方法など様々な手口があります。千差万別なこのマルウェアの特徴をすべて網羅することはとてもできませんが、本稿では体表的なバックドアを取り上げ、機能の説明をしたいと思います。
まず大抵のバックドアは、遠隔操作に必要な基本的な機能を備えています。ファイルのダウンロード・アップロード、プログラムの実行・終了、ファイルやフォルダ情報の取得、プロセス情報の取得、コマンドプロンプト、スクリーンショット機能などがあります。
一度バックドアに感染させることができれば、攻撃者は追加のマルウェアの感染、攻撃の踏み台、機密情報のあるファイルの窃取などが可能です。また、高度な機能を有するバックドアも存在しており、SOCKS通信機能、SMTPサーバ機能、メールボックスへのアクセス、パスワードなどの認証情報の窃取などもあります。特にSOCKS機能は、感染したコンピュータを次への攻撃の踏み台にするために利用され、SMTP機能はスパム、フィッシング、不正メールなどの配信に悪用されます。
次に、命令を受け取るC&C通信機能について説明しましょう。感染したコンピュータから攻撃者のサーバに通信して命令を受け取ったり命令の結果を送信したりするわけですが、この場合は企業のコンピュータから外部通信可能な、ポート80とポート443が利用されます。通信内容が暗号化されていないとセキュリティのフィルタリング機能によりブロックされてしまうので、たいていのバックドア通信にはTLSが使われます。また、不審な通信先の場合も同様にブロックされる可能性があるので、Githubやgoogle docsなど通常利用している宛先を悪用して命令をやり取りする場合もあります。
執筆段階(2024年1月下旬)で流行しているコモディティのバックドアに、以下のようなものがあります。これらはオープンソースのバックドアで誰でも入手可能なため、亜種も多数発見されています。また、これらのRATには感染したコンピュータを操作するためのGUIのサーバ機能がそれぞれ付随しています。
- AsyncRAT
- QuasarRAT
- DarkComet
- Orcus RAT
- njRAT
これらは、それぞれ別の攻撃者に使われることもありますが、南米諸国を攻撃していたAPT-C-36/Blind Eagleといった攻撃者グループのようにAsyncRAT、QuasarRAT、njRATなど複数のバックドアを使うアクターもいます。
