RATツールも雨後の筍のように出てくる。PlugXってツールらしい。

標的型攻撃に利用される「Remote Access Tool（RAT）」の1つである「PlugX」。この RAT は、自身の活動を隠ぺいすることで知られています。今回、この PlugX が、検出を回避するために複数の正規アプリケーションを利用することを確認しました。その中でも、特に、Microsoft、Lenovo、および McAfee に関連するファイルが利用されていました。
「PLUGX」の亜種は、通常のアプリケーションを利用し、不正な DLL コンポーネントを読み込ませることで知られています。この DLL ファイルを乗っ取る手法は、新しいものではなく、2010年7月に米国のセキュリティ企業である Mandiant によって初めて取り上げられたものです。「PLUGX」は、このDLLファイル乗っ取りのためにあらゆる実行ファイルを利用することが可能ですが、検出回避のため特に著名なアプリケーションを利用するようになってきています。またこの不正プログラムは、DLL ファイルが読み込まれるときに実行ファイルで確認される特定の脆弱性を利用します。具体的に言うと、実行ファイルが、特定のフォルダ内でどのような DLL ファイルを最初に読み込むかという DLL ファイルの検索優先順位を悪用するものです。
そして多くのアプリケーションは、古いものや新しいものであっても、まだこの脆弱性を含んでいます。
この DLL ファイルを乗っ取る手法を利用するとして最初に確認された「PLUGX」の亜種が、「BKDR_PLUGX.SME」です。この不正プログラムは、NVIDIA の “NvSmart.exe” という名の正規ファイル「NVIDIA Smart Maximise Helper Host」を利用しました。この “NvSmart.exe” は、この不正プログラムの DLL ファイルの関数をインポートします。この事例以降、「PLUGX」の亜種は、ウイルス検出から自身の痕跡を隠ぺいするために他のアプリケーションを利用し続くけてきました。

正規のアプリケーションを狙う「PLUGX」の新たな亜種を確認 | トレンドマイクロ セキュリティブログ