セキュリティ研究者で元NSAハッカーのパトリック・ウォードル氏は、政府が作成したMacマルウェアを改変し、政府サーバーからのペイロードではなく独自のコードを実行する方法を実証した。

マルウェアの高度化により、他の政府機関を含む他の攻撃者にとって、マルウェアの再利用が魅力的になっています…

ArsTechnica は、ウォードル氏がカンファレンスのプレゼンテーション中にこの主張を展開したと報じている。

「3文字の機関には、信じられないほど資金とリソースが豊富で、非常に意欲的なハッカー集団がおり、完全な機能を備え、十分にテストされた驚くべきマルウェアを作成しています」とウォードル氏は「再利用マルウェア：リサイクルのダークサイド」と題した講演で述べた。

「この考え方は、各機関のグループにマルウェアを作成させて、ハッカーであればそれを自らの任務のために再利用すればいい、というものだ」と彼は語った。

高度なマルウェアは、macOS に組み込まれた保護機能を無効にすることができます。

Wardle氏は、再利用したコードに更なる改良を加えることで、macOSに組み込まれたマルウェア対策を回避できるようにした。例えば、Xprotectマルウェアスキャナーはファイル署名に基づいているため、再利用されたコードを1バイト変更するだけで、検出を完全に回避できる。また、Apple発行の署名証明書が失効している場合、ソフトウェアの署名を解除し、新しい証明書で署名するのは容易だ。さらに、ユーザーがコードを実行しようとしたり、インターネットからダウンロードしたアプリをインストールしようとしたりする際に表示される警告を削除するには、警告を表示するプログラミングフラグを削除するだけで済む。

この種のマルウェアは、取得したデータをマルウェアを作成した政府所有のサーバーにアップロードし、そこから追加のマルウェアをダウンロードするという仕組みです。ウォードル氏は、使用されている暗号を解読し、マルウェアを自身のサーバーに誘導することに成功しました。

この再利用により、マルウェアは開発者が指定したサーバーではなく、Wardle所有のコマンドサーバーに報告するようになりました。そこからWardleは再利用されたマルウェアを完全に制御することができました。この巧妙な操作により、Wardleは高度に開発され、フル機能を備えたアプリケーションを使用して独自の悪意のあるペイロードをインストールし、侵入したMacからスクリーンショットなどの機密データを取得し、マルウェアに書き込まれたその他の不正な動作を実行することができました。

同氏は、他のハッカーが同様の行為を行うリスクに加え、他政府が自国のマルウェアを使用せずに他政府のマルウェアをハイジャックすることがある理由は 2 つあると述べた。

これにより、攻撃者、特に国家支援を受けたグループの攻撃者は、既に感染し他の悪意のあるソフトウェア攻撃者の監視下にある高リスク環境を感染させる可能性があります。このような状況では、多くの国家主導のハッキンググループは、独自の戦術、手法、手順を秘密に保つために、最重要マルウェアの展開を控えるでしょう。

このようなシナリオでは、他者のマルウェアを再利用することが適切な代替手段となる可能性があります。
マルウェア感染が検出され、フォレンジック分析が行われた場合、研究者が攻撃をマルウェアを再利用した者ではなく、元のハッカーに帰属させる可能性が高くなります。

彼によると、これは既に起こっているという。例えば、NSAが開発したマルウェアが中国、北朝鮮、ロシア連邦で使用されているという証拠がある。米国政府がAppleに対し、米国の法執行機関が使用するためにiOSの侵害版を作成するよう要請している際には、この点を念頭に置くべきだ。

Wardle 氏のプレゼンテーションは以下から視聴でき、スライドはここで参照できます。また、  ArsTechnica の完全版レポートでは Wardle 氏がハイジャックをどのように実行したかの詳しい説明を読むことができます。

Wardle 氏が述べているのは、事実上無制限のリソースを通じて国家が作成した Mac マルウェアである点に留意すべきである。出回っている Mac マルウェアのほとんどは、脅威というより迷惑なものである。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。