被害者のコンピュータ上でFTPネットワークを作成するRamnitマルウェア

Ramnitワームが登場したのは2010年のことです。1年もしないうちに世界中で800万台以上のPCがこのワームに感染しました。当初、このマルウェアは、リムーバブルドライブによって拡散するファイル感染型ウイルスに過ぎませんでしたが、その後、銀行やゲームユーザーを標的として、ブラウザインジェクションを介してユーザーデータを盗むことで良く知られるようになりました。

最近このマルウェアを調査したところ、アクティブなドメインを持つ新たなサンプルを発見しました。

Ramnitは、今でもなお普及しており、古いドメインが定期的にアップデートされています。こうしたドメインの一部は、他のセキュリティ研究者らによって、既に「シンクホール化」(不正なサーバーではなく、制御されたサーバーのみと通信するようにリダイレクト)されています。

.exe/htmlファイルに感染し、Internet Explorerのプロセスをフックするという一般的なマルウェアの特徴に加えて、Ramnitは被害者のマシン上でFTPサーバーを構成します。このFTPサーバーは、RMNetwork FTPの一部となります。

このFTPサーバーは、以下のコマンドをサポートしています。
USER、PASS、CWD、CDUP、QUIT、PORT、PASV、TYPE、MODE、RETR、STOR、APPE、REST、RNFR、RNTO、ABOR、DELE、RMD、MKD、LIST、NLST、SYST、STAT、HELP、NOOP、SIZE、EXEC、PWD。

攻撃者は、これらのコマンドを使用することで、被害者のマシンをリモートで制御し、機密ファイルを盗み、悪意のあるファイルを実行することが可能となります。ファイアウォールやネットワークアドレス変換が設定されている感染マシンは、RMNetwork FTPへの「参加」はできませんが、カスタム暗号化有りのTCPポート443また447を使用して、このコントロールサーバーとの通信が可能になります。

このマルウェアのドメイン名を調べると、ドメイン名はドメイン生成アルゴリズムで作成されているように見えます。ただし、こうしたアクティブなドメインは、バイナリ内でハードコード化されています。これは、このマルウェアのビルダーツールによって新しいバイナリが作成されて、他のマルウェアやフィッシング詐欺によって拡散することを意味します。こうしたドメインは、サンプルごとに異なる鍵を使用するXORアルゴリズムを用いて暗号化されています。

マカフィー製品を使用しているお客様は、この脅威から既に保護されています。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Ramnit Malware Creates FTP Network From Victims’ Computers

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。