新たに出現したパラサイトHTTP、常に進化するサイバー攻撃者

パラサイトHTTP（Parasite HTTP）という、バックドア型のトロイの木馬（Remote Administration Tool、RATとも呼ばれます）が新たに発見されました。今回発見されたRATは、機能だけではなくサンドボックス探知、および迂回、アンチデバッギング、アンチエミュレーションなど、多くの機能を搭載しています。

現在、このマルウェアはダークウェブを通じて活発に取り引き、宣伝されています。その上、既に実際の攻撃に使用され始めています。パラサイトHTTPはモジュール構造で作成されている為、新たな機能を追加、分離することが可能です。ターゲットのシステムへ一度侵入すれば、そこから様々な攻撃が可能になることを意味します。

最近、パラサイトHTTPを購入したサイバー攻撃者は、比較的小規模のEメール攻撃を実施している動きが見られます。主に情報技術分野、医療分野、卸売分野などがターゲットになっています。EメールにはMicrosoft Wordの文書ファイルが添付されており、このファイルに悪性マクロが含まれています。ファイルを開くとリモートサイトよりパラサイトHTTPをダウンロードします。

パラサイトHTTPはCドライブに保存され、ファイルの容量は49KBと非常に少なく、プラグイン機能も持っています。パラサイトHTTPの販売者によれば、動的呼び出し機能との互換性、ファイアウォールの迂回機能、暗号化通信なども搭載されていると言います。

パラサイトHTTPの販売者が集中的に宣伝しているのはプラグイン互換性、すなわちモジュール構造の部分です。この販売者は既に数種類のモジュールを準備していますが、ユーザー管理、ブラウザパスワード復旧、FTPパスワード復旧、インスタントメッセンジャーパスワード復旧、Eメールパスワード復旧、Windowsライセンスキー復旧、Hidden VNC、Reverse Socks5 proxyなどがあります。

パラサイトHTTPは非常にレベルの高い難読化技術で保護されており、サンドボックスなどの分析のための環境を回避する技術も複数含まれています。文字列難読化の技術のみでなく、「スリープモード」も搭載しており、実行時間を延期した後にサンドボックスやエミュレーションを確認したりします。

このような過程でサンドボックスが検知された場合には、パラサイトHTTPはエラーを起こす他、分析とエラーの原因把握を困難にします。サンドボックス検知機能は、公共リポジトリを通じて公開されたコードで構築されています。

Windows7、またはそれ以前のバージョンにおいて、パラサイトHTTPはレジストリの値を生成する為、重要なAPIを分解します。また、プロセスを挿入する機能を活用したりしますが、その他のマルウェアでは中々見られない技術を使用しています。パラサイトHTTPは複数のDLLにあるフック（hook）を削除します。そして最初の5バイトを元に戻します。サンドボックスが6バイトの間接ジャンプ（indirect jump）を使用すれば、エラーが発生するようになっているのです。

サイバー攻撃者達は常に「変化」しており、自ら新たな方法を探り革新を続けています。これはサイバーセキュリティ業界において、最も大きな脅威だと言えるでしょう。様々な方法で攻撃の成功率を上げ、侵入しようとするサイバー攻撃者達の努力は、現代社会においても放置することのできない脅威です。マルウェア分析が可能な専門家なら、パラサイトHTTPのサンプルを一度見れば、その技術の高さがわかることでしょう。

マルウェアとサイバーセキュリティソリューション、この2つの攻防は熾烈になっています。この攻防の中で一部のマルウェアが商品化され、誰でもお金さえ支払えば使えるようになるという部分も大きな問題です。

サイバーセキュリティが強力になればなるほど、それに対応するかのようにマルウェアを始めとしたサイバー攻撃も巧妙になってきています。進化を続けるサイバー攻撃者に対応する為には、私達も常に意識を高く持ち、サイバーセキュリティ対策を怠らない姿勢を持つ必要があります。