Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Webからの注意喚起:未だ危険なTrojan.Dyre

2016年2月8日

株式会社Doctor Web Pacific


2015年に悪名を轟かせた Trojan.Dyre を拡散する犯罪組織を逮捕するための、法執行機関による大規模なオペレーションから2カ月が過ぎた今、このトロイの木馬が再び注目を集めています。今回、マスメディアは2014年の夏から世界中の金融機関を脅かしてきたこの悪意のあるプログラムが根絶されたと主張しています。しかしながら、法執行機関はオペレーションの成功について口をつぐんでいます。

Doctor Webでは Trojan.Dyre の拡散状況と、そのインフラストラクチャについて監視を続けてきました。この悪意のあるプログラムは CaaS (crime-as-a-service:犯罪関連ソフトウェアのサービス群)モデルがどのように展開されるかを示す「典型的な」例であるという点は特筆に値します。「サービスのクライアント」はトロイの木馬のサンプルを作成するための材料を受け取ります。そのため、その署名は頻繁に変更することができ、アンチウイルスソフトウェアによる検出をほとんど不可能にしています。このトロイの木馬は、感染したデバイス上に保存された情報を収集し、それらを全てC&Cサーバーへ送信します。送信された情報は処理され、料金を払った「ユーザー」がアクセス可能な管理パネル上に置かれます。パネルのグループは複数あり、さらに各パネルはボットネット管理やログベース管理など複数のパートに分かれています。受信するデータはサイバー犯罪者の求める情報(ログインやパスワードなど)に応じてフィルタリングされます。

Doctor Webスペシャリストによると、 Trojan.Dyre のインフラストラクチャは金融機関を狙った他の悪意のあるプログラムと比べて遥かに複雑であるという点で、比較的ユニークなものとなっています。多くの場合、感染したシステム上で収集された情報はボットのコントロールパネルが置かれたサーバーへ送信されます。一方、 Trojan.Dyre には様々なテクノロジーが導入されており、犯罪組織の持つ財政的および人的資源の豊富さを物語っています。例えば、このトロイの木馬ではボットから受け取った情報を処理するサーバーは.Netで書かれ、ボットネットの管理パネルはphpフレームワーク Kohana を使用して作成されています。世界中のあらゆる場所から受け取る一連のデータの保存・処理には PostgreSQL および MySQL データベース、 Sphinx 全文検索サーバーが使用されます。受信する全ての情報は、サイバー犯罪者が関心のある情報(ログイン、パスワード、銀行カード番号、ユーザーの個人情報など)を素早く見つけることができるよう、特別なフィルターによってフィルタリングされます。また、サーバーの検出を困難にするため、 OpenVPN を使用して組み合わせたTorサーバーとプロキシサーバーが使用されています。 Trojan.Dyre を用いた攻撃の主な特徴として、このトロイの木馬はハッキングされルーティングテーブルの改変されたルーター上のプロキシの最初の層に置かれるという点が挙げられます。 Wi-fi ルーターはブルートフォース攻撃でパスワードを解読することによってハッキングされています。これは、ユーザーの多くがルーターのデフォルト設定を変更せず、システムの感染経路にルーターが使用されるなどということは想像もしていないという事実を悪用したものです。

Doctor Webアナリストは、 Trojan.Dyre の使用するC&Cサーバーの複数のアドレスを特定することに成功しました。また、 Trojan.Dyre のインフラストラクチャのエレメントを明らかにし、感染したシステムから受信する接続の一部を傍受することで、欧州にあるいくつかの銀行および一部の国の法執行機関に対して重要な情報をタイムリーに提供しています。

メディアで報道されている情報とは異なり、Doctor Webでは Trojan.Dyre は未だ脅威であると考えています。このトロイの木馬のサンプルを含んだスパムメールが定期的に確認されており、このことはインフラストラクチャの一部のサーバーが未だ活動を続けていることを意味しています。したがって、 Trojan.Dyre の物語は今後も「To be continued (続く)」と言ったほうがよいでしょう。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F