2018年1月24日

株式会社Doctor Web Pacific

2017年7月、Doctor WebのスペシャリストはCleverence Mobile SMARTS Serverアプリケーションに含まれたゼロデイ脆弱性を検出しました。この脆弱性を修正するためのアップデートがプログラム開発者によってリリースされたにもかかわらず、サイバー犯罪者は仮想通貨をマイニングする目的で依然としてこの脆弱性を利用しています。

Cleverence Mobile SMARTS Serverシリーズのアプリケーションは、店舗や倉庫、様々な施設や生産を自動化するためのもので、Microsoft Windows搭載のコンピューター上で動作するよう設計されています。2017年7月、Cleverence Mobile SMARTS Serverコンポーネントの1つに重大な脆弱性が含まれていることが、Doctor Webのスペシャリストによって発見されました。サイバー犯罪者はこの脆弱性を利用してサーバーに不正アクセスし、それらのサーバー上に仮想通貨をマイニングするTrojan.BtcMineファミリーに属するトロイの木馬をインストールしていました。Doctor Webは、この脆弱性について直ちにソフトウェアデベロッパーに報告を行いました。

サイバー犯罪者は、Dr.Webによって Trojan.BtcMine.1324、 Trojan.BtcMine.1369、 Trojan.BtcMine.1404 として検出される複数のバージョンのマイニング型トロイの木馬を使用していました。Cleverence Mobile SMARTS Serverソフトウェアが動作しているサーバーに対して特別なリクエストが送信され、その結果として、そのリクエストに含まれているコマンドが実行されます。サイバー犯罪者はこのコマンドを使用することで、管理者権限を持った新規ユーザーをシステム内で作成し、このユーザーアカウントを使用してプロトコル経由でサーバーに不正アクセスします。また、Process Hackerツールを使用して、サーバー上で動作しているアンチウイルスのプロセスをシャットダウンさせるケースも確認されています。アクセスを取得したサイバー犯罪者によって、システムにマイニング型トロイの木馬がインストールされます。

このトロイの木馬はダイナミックライブラリで、一時フォルダに保存された後、実行されます。この悪意のあるプログラムは、いくつかのパラメータによって「被害者」を選択することで正規のWindowsシステムサービスの1つを置き換え、元のサービスファイルを削除します。次に、この悪意のあるサービスは複数のシステム権限を取得し、そのプロセスにクリティカルなフラグを設定します。続けて、トロイの木馬はその動作に必要なファイルをディスク上に保存し、感染させたサーバーのハードウェアを使用して仮想通貨のマイニングを開始します。

Cleverence Mobile SMARTS Serverの開発者によって、ソフトウェアの脆弱性を修正するためのアップデートが適時にリリースされましたが、サーバー管理者の多くはそれを直ちにインストールせず、それがサイバー犯罪者に利用される結果となりました。サイバー犯罪者はハッキングしたサーバー上へのマイニング型トロイの木馬のインストールをやめることなく、それらは継続的に改良され続けています。そして2017年11月の後半を境に、今日まで改良され続けてきた、まったく新しいトロイの木馬が使用されるようになりました。 Trojan.BtcMine.1978 と名付けられたそのトロイの木馬は仮想通貨 Monero(XMR) とAeonをマイニングするよう設計されています。

このマイニング型トロイの木馬は「Plug-and-Play Service」という名前で表示されるクリティカルなシステムプロセスとして起動します。ユーザーがこのプロセスをシャットダウンしようとすると、Windowsによって緊急シャットダウンが実行され、「ブルースクリーン・オブ・デス(BSOD)」が表示されます。起動されると、 Trojan.BtcMine.1978 はDr.Webアンチウイルス、 Windows Live OneCare、カスペルスキーアンチウイルス、 ESET Nod32、 Emsisoft Anti-Malware、 Avira、360 Total Security、 Windows Defenderのサービスを削除しようと試みます。次に、コンピューター上で起動されたアンチウイルスプログラムを探します。見つかった場合は、それらのプロセスを閉じるために使用するドライバを復号化し、ディスクに保存したうえで起動させます。Dr.Webアンチウイルスは Trojan.BtcMine.1978 によって使用されるProcess Hackerドライバを検出し、ブロックします。このドライバはハッキングツールとしてDr.Webウイルスデータベースに追加されています。

Trojan.BtcMine.1978 は自身の設定ファイルからポートのリストを受け取ると、ネットワーク内でルーターを検索します。そして、UPnPプロトコルを使用してルーターのTCPポートをリスト上にあるポートにリダイレクトし、それらに接続してHTTPプロトコル経由での接続を待ちます。このトロイの木馬はその正常な動作に必要な設定をWindowsシステムレジストリに保存します。

Trojan.BtcMine.1978 の本体にはC&CサーバーのIPアドレスのリストが含まれています。トロイの木馬はそのリストをチェックし、アクティブなアドレスを見つけます。続けて、感染させたシステム上で、仮想通貨のマイニングに使用するプロキシサーバーを設定します。また、 Trojan.BtcMine.1978 はサイバー犯罪者のコマンドに従ってPowerShellを起動させ、その入出力を、感染したホストに接続したリモートユーザーにリダイレクトします。これにより、サイバー犯罪者は感染させたサーバー上で様々なコマンドを実行することが可能になります。

これらのアクションを実行した後、トロイの木馬は実行中のすべてのプロセスに、仮想通貨をマイニングするよう設計されたモジュールを埋め込みます。これが、 Monero(XMR) とAeonのマイニングに使用されるモジュール動作の最初のプロセスです。

Trojan.BtcMine.1978 にはアンチウイルスのプロセスを強制的にシャットダウンさせる機能が備わっていますが、Dr.Webのユーザーは安全に保護されています。Dr.Webアンチウイルスのセルフプロテクション機能によって、トロイの木馬は重要なコンポーネントの動作を妨害することができません。Cleverence Mobile SMARTS Serverを使用するサーバー管理者の方には、デベロッパーによってリリースされたすべてのセキュリティアップデートをインストールことをお勧めします。