2017年5月12日

株式会社Doctor Web Pacific

Doctor Webのセキュリティリサーチャーは、サイバー犯罪者から受け取ったコマンドを実行する、Macを標的とした新たなトロイの木馬を発見し、その調査を行いました。

Mac.BackDoor.Systemd.1 としてDr.Webウイルスデータベースに追加されたこのバックドア型トロイの木馬は、起動されるとミススペリングを含んだメッセージ「This file is corrupted and connot be opened」をコンソールに表示させ、systemdと呼ばれるデーモンとして自身を再起動させます。また、 Mac.BackDoor.Systemd.1 は該当するフラグをセットすることで自身のファイルを隠そうと試みます。次に、SHコマンドを使用してplistファイルを作成し、自動起動するよう自身を登録します。

このトロイの木馬の本体には暗号化された設定情報が保存されています。その情報に応じて、 Mac.BackDoor.Systemd.1 はC&Cサーバーとの接続を自身で確立するか、または接続リクエストを受信するのを待ちます。接続されると、バックドアは受け取ったコマンドを実行し、サイバー犯罪者に対して以下の情報を定期的に送信します：

• OSの名前とバージョン
• ユーザー名
• ルート権限を取得可能かどうか
• 使用可能な全てのネットワークインターフェースのMACアドレス
• 使用可能な全てのネットワークインターフェースのIPアドレス
• 外部IPアドレス
• CPUの種類
• RAM容量
• マルウェアのバージョンと設定に関するデータ

Mac.BackDoor.Systemd.1 は独自のファイルマネージャーを持っており、サイバー犯罪者は感染したコンピューター上にあるファイルやフォルダに対して様々な操作を行うことが可能です。このバックドアは以下のコマンドを実行することができます：

• 指定されたディレクトリのコンテンツ一覧を受け取る
• ファイルを読み込む
• ファイルに書き込む
• ファイルのコンテンツを取得する
• ファイルやフォルダを削除する
• ファイルやフォルダの名前を変更する
• ファイルやフォルダの権限を変更する（chmodコマンド）
• ファイルの所有者を変更する（chownコマンド）
• フォルダを作成する
• bashシェルでコマンドを実行する
• トロイの木馬をアップデートする
• トロイの木馬を再インストールする
• C&CサーバーのIPアドレスを変更する
• プラグインをインストールする

Mac.BackDoor.Systemd.1 はMac向けのDr.Web製品によって検出・削除されるため、Dr.Webユーザーに危害が及ぶことはありません。

Mac.BackDoor.Systemd.1の詳細