rat

MS-SQL サーバーを攻撃する HiddenGh0st マルウェア

Gh0st RAT は中国の C. Rufus Security Team が開発した遠隔操作マルウェアである。ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にして様々な変種を開発しており、最近までも攻撃に使用され続けている。ソースコードが公開されているといっても、Gh0st RAT は主に中国を拠点とする攻撃者たちが使用することが特徴である。過去のブログでもデータベースサーバー(MS-SQL、MySQL サーバー)を対象に Gh0st…

ポケモンゲームに偽装した NetSupport RAT マルウェアが拡散中

NetSupport Manager は遠隔操作ツールであり、一般ユーザーや企業ユーザーが遠隔でシステムを操作する目的でインストールおよび使用される。しかし、外部から特定のシステムを制御できるといった機能が、多くの攻撃者によって悪用されている。 遠隔操作ツール(Remote Administration Tool)のほとんどは、コマンドラインベースのバックドアおよび RAT(Remote Access Trojan)マルウェアとは異なり、ユーザーの利便性が重要であるため、リモートデスクトップ、すなわち GUI 環境を提供していることが特徴である。悪意をもって開発されていなくても、感染先システムにインストールされると、攻撃者によりさらなるマルウェアのインストールや情報窃取のような悪意を持った目的で使われることがある。 バックドア型マルウェアとは異なり、ほとんどの遠隔操作ツールは多くのユーザーが使用しているものであるため、正常なプログラムとして認識しやすくなる。すなわち、攻撃者たちには正常なプログラムである遠隔操作ツールを利用して、セキュリティ製品の検知を回避し、同時に…

様々な遠隔操作ツールを悪用する攻撃者たち

概要 一般的に攻撃者たちはスピアフィッシングメールの添付ファイルやマルバタイジング、脆弱性、正規ソフトウェアに偽装してマルウェアを Web サイトにアップロードする等、様々な方式でマルウェアをインストールさせる。インストールされるマルウェアには、感染先システムの情報を窃取するためのインフォスティーラーや、ファイルを暗号化して金銭を要求するランサムウェア、DDoS 攻撃に使用するための DDoS Bot 等がある。この他にも、バックドアや RAT も、攻撃者たちが使用する代表的なマルウェアの一つである。バックドアは感染先のシステムにインストールされ、攻撃者からコマンドを受け取って不正な振る舞いを実行することができ、これにより攻撃者は感染先のシステムを掌握することが可能になる。このようなバックドア型のマルウェアは単独システムだけでなく、ラテラルムーブメントによってネットワークを掌握し、最終的には企業内の情報を窃取したり、掌握した内部システムを暗号化する攻撃の中間段階として使用されたりすることもある。 RAT マルウェアも機能的な面では、実質的にバックドアと同じであると言える。しかし、RAT…