W32.Flamer は高機能なサイバースパイツールです。主に中東を標的にしていますが、その存在が初めて報じられたのは 2012 年初めのことでした。シマンテックは、今年の前半に W32.Flamer によって使われていた 2 つのコマンド & コントロール(C&C)サーバーについて、詳しい解析調査を進めてきました。
2 つのサーバーの設置日は、それぞれ 2012 年 3 月 25 日と 2012 年 5 月 8 日です。どちらの場合も、サーバーの設置後わずか数時間のうちに、Flamer に感染したコンピュータとの最初の通信が記録されています。それ以降の数週間にわたり、2 つのサーバーは、少なくとも数百台の感染コンピュータをコントロールし続けました。
解析したサーバーは、同じコントロールフレームワークを持っていますが、その使用目的は大きく異なります。2012 年 3 月に設置されたサーバーでは、わずか 1 週間のうちに、感染したコンピュータから約 6 GBのデータを収集した証拠が見つかっています。一方、2012 年 5 月に設置されたサーバーは、データを 75 MB しか収集しておらず、もっぱら感染したコンピュータに 1 つのコマンドモジュールを配信するために使われていました。
コマンド & コントロールの実行には、Newsforyou という Web アプリケーションが使われています。このアプリケーションは、W32.Flamer クライアントの動作を処理し、簡単なコントロールパネルを提供します。攻撃者がこのコントロールパネルを使うと、コードのパッケージのアップロード、感染したコンピュータへの配信、盗み出したクライアントデータを含むパッケージのダウンロードが可能になります。このアプリケーションは、どうやら Flamer だけが独占的に使っているのではないようです。アプリケーションの機能からすると、異なるプロトコルを利用している複数のマルウェア ID に感染したコンピュータと通信できるからです。次の表は、各種のマルウェア ID と、サポートされている各プロトコルの関係を示したものです。
上の表からわかるように、このフレームワークでサポートされている脅威のいくつかについては、まだ正体がわかっていません。Flamer の未知の亜種とも考えられますが、まったく別種のマルウェアである可能性も否定できません。
サーバーは、検出された場合に備えて、最小限の情報しか記録しないように設定されていました。システムは、不必要なログイベントを無効化するように設定され、データベースのエントリは一定の間隔で削除されます。既存のログファイルも、定期的にサーバーから削除されていました。これらは、万一サーバーが第三者の手に渡った場合に、調査を妨害するための対策です。
ところが、攻撃者は徹底を欠いており、サーバーのセットアップ履歴がすべてわかるファイルが残っていました。また、一部だけですが、データベース内の暗号化されたレコードから、感染したコンピュータが中東から接続していたことも判明しました。さらに、4 人の作成者のニックネームも回収できました。D***、H*****、O******、R*** という名前の 4 人が、コードの各段階や、プロジェクトのさまざまな側面に関与しており、その記述は 2006 年までさかのぼると思われます。
このフレームワークの設定から、攻撃者の側に明確な役割分担があったことがうかがえます。つまり、サーバーを設定する担当者(管理者)、コントロールパネルを介してパッケージをアップロードし、盗み出したデータをダウンロードする担当者(オペレータ)、秘密鍵を所有し、盗み出したデータを暗号化する担当者(攻撃者)という分担です。データセキュリティをコンパートメント化しているその手口から判断すると、オペレータ自身も実際には、盗み出したデータの内容を完全には把握していなかった可能性があります。このような構造を使っていることから、このグループは組織力が強く資金も潤沢であることが察せられます。
サーバーが第三者に渡った場合に情報が漏れないようにする工夫もありますが、2012 年 5 月に設置されたサーバーでは、Flamer に対して、ある指示を出すモジュールを配信していたことがわかっています。同年 5 月の終わりには Flamer の機能を停止して自身を削除するという指示です。これは、感染したハニーポットで確認できた動作です。
また、コントロールパネルへのアクセスにはパスワードが必要でしたが、このパスワードはハッシュ化されて格納されています。このハッシュ値を平文に戻す総当たりを試みましたが、パスワードの特定には至りませんでした。
パスワードのハッシュ値: 27934e96d90d06818674b98bec7230fa
この C&C サーバーの解析は、シマンテック、CERT-Bund/BSI、IMPACT、カスペルスキーの共同で進められました。シマンテックによる C&C サーバーの解析の全容をお読みになりたい場合は、こちらを参照(英語)してください。サーバーのセットアップや、2006 年以来少なくとも 4 人の作成者によって開発された Web アプリケーション、オペレータが使うコントロールパネル、アプリケーションの運用に使われたデータベースなどについて詳しく報告しています。
更新: 2012 年 9 月 17 日(太平洋夏時間 07:30)
パスワードハッシュの平文は 900gage!@# であることが判明しました。情報をご提供くださった Dmitry Bestuzhev 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。