新たなRATツール。。。。

トレンドマイクロは、2012年9月19日、「Remote Access Tool（RAT）」の一種である「PlugX」について報告しました。この PlugX は、注目を集めた特定の持続的標的型攻撃のキャンペーンで利用されていました。また、復号化や実際の「実行可能ファイル」を作成することなくメモリ上で直接バックドア型不正プログラムの「実行可能ファイル」を読み込むことで不正なコードを隠ぺいするといった機能を含む、その注意すべき一部の技術についても注目していました。 そして、弊社は、2013年2月25日、同様の技術を利用する RAT を確認。この「BKDR_RARSTONE.A」として検出される新たな検体は、PlugX ではありませんが PlugX に類似しており、バックドア型不正プログラムの「ファイル」を作成することなくメモリ上で直接読み込みます。しかし、弊社は、解析を進める過程で「BKDR_RARSTONE」が独自の手口を備えていることを確認しました。 トレンドマイクロは、特別な細工が施された DOCファイル（「TROJ_ARTIEF.NTZ」として検出）の検体を入手しました。このトロイの木馬型不正プログラムは、標的型メールに含まれていました。この不正プログラムは、「BKDR_RARSTONE.A」を作成し、実行します。そして、「BKDR_RARSTONE.A」は、次々に以下のファイルを作成します。 ＜Windowsシステムフォルダ＞\ ymsgr_tray.exe – 「BKDR_RARSTONE.A」のコピー ＜Application Data＞\ profile.dat – 不正プログラムの活動を含む BLOBファイル その後、「BKDR_RARSTONE.A」は、作成したコピー “ymsgr_tray.exe” を実行します。このバックドア型不正プログラムは、”profile.dat” に含まれるコードを Internet Explorer（IE）のプロセスに組み込み、非表示で開きます。 PlugX と同様に、組み込まれたコードは、メモリ上で自身を復号化します。コマンド＆コントロール（C&C）サーバから「ダウンロードする」 DLLファイルを復号化すると、再びメモリ領域で IE が非表示で読み込みます。この「ダウンロードされた」ファイルは、実際はコンピュータ内に作成されたわけではなく、メモリ上で直接読み込まれ、ファイルベースの検出を無効にします。

「BKDR_RARSTONE」：新たなRATに注意 | トレンドマイクロ セキュリティブログ