専修大学ネットワーク情報学部学籍番号NE21-0218のWebページです
専修大学ネットワーク情報学部学籍番号NE21-0218のWebページです
前のページでトロイの木馬のBuildと感染の実験を行いました。
しかしこのトロイの木馬は非常に有名でセキュリティソフトの殆どがウイルスとして検知するので感染する確率は低いと言えます。
では何故今現在でもPoison Ivyのような古いRATが使われてるのでしょうか。
もちろん安定性や洗練されたGUIというのも理由にあげられますが簡単に検知してしまうのであれば攻撃者側からすれば無価値です。
持っているトロイの木馬が検知されてしまうならば検知されないように改変すればいいのです。
このExe改変ツールの事をCrypterといいます。
Crypterはツールの総称なだけでRATと同じく種類は大量にあります。それはCrypterで改変したトロイの木馬でも時が経つにつれてセキュリティソフトに検知されてしまうので、また新たにCrypterが作られるからです。
CrypterにはPublic版とPrivate版の二つがあります。
Public版はクラッカーフォーラムなどで公開されていたりするもので、誰でも自由に使える反面、セキュリティソフトベンダーもチェックしているので大抵3日くらいで検知するベンダーが出てきます。
特にAvira,Kasperskyは検知力やスピードは高くこれらのアンチウイルスをバイパスすることはCrypter制作者の一種のステータスにもなっています。
Private版はCrypter作者が個人用に使ったり親しい友人に向けて渡したりしているものです。それいがいにもCrypter本体を販売しているクラッカーも多くいます。
だいたいCrypterは1個50US$で取引されています。これらのCrypterは仕様やサンプルなども公開されていないため長く検知されません。
長いものでは半年以上検知されないCrypterや、もし検知された場合、検知されないように公開したものを無償でUpdateしてくれるクラッカーもいます。
今回はPublic版のCrypterを使って実験してみます。
まずはPoison Ivyで作ったトロイの木馬を統合型オンラインスキャンサービスで検知してみます。
使用したサイトはNo Virus Thanks(http://scanner.novirusthanks.org/)を使いました。
File Info
この結果を見るとほとんどのアンチウイルス製品が対応しているのが分かります。
一つ気になるのはTrendMicroが検知していないところです。TrendMicroとは日本で有名なウイルスバスターというソフトなのですが(表中のVirusBusterは別ソフト)これだけ前からあるトロイの木馬を検知しないようなソフトが日本でのシェアが高いのはおかしい気もします。
そしてこのトロイの木馬をPublic版のCrypterを使ってCryptしてみます。
使用したのはuNkn0wn Crypter Publicです。
結果はこちら
File Info
Scan report generated by NoVirusThanks.org
結果としてはAVGのみが検知する結果となりました。Public版であるとの事とこのCrypterが2009年9月3日に公開されたことを考えると良い結果を出したと言えるでしょう。
完全にアンチウイルスソフトから検知されない状態をFUD(Fully Un Detected)といいこの状態はUD(Un detected)と呼ばれます。
AVGは無料で使えて日本語版もあるとはいえ、日本でのシェアならNorton、McAfee、TrendMicroの3社が大きく占めているので多くのPCにこのトロイの木馬を検知させず感染させることが可能です。
しばらくすれば他社も検知するとは思いますが個人情報などを盗み出すなら少しの間検知されなければいいだけなので無意味です。
このように既存のトロイの木馬でもツールを使うことによってセキュリティソフトの目をかいくぐる事が可能なのでセキュリティソフトの結果だけを信用しないことが大事で怪しいファイルは実行しないのが基本です。
この他のツールとして
Binder…2つ以上のプログラムを結合するツール。無害なフリーソフトなどのインストーラにトロイの木馬を組み合わせたり
複数のトロイの木馬を結合して効率的に個人情報を収集するなどに使われる
Cloner…他のプログラムの署名情報などをトロイの木馬にコピーするツール。署名などがシッカリしていると安心して実行
する人が増える
などのツールがあり毎日新しいモノが作られセキュリティソフトベンダーとのイタチゴッコとなっています。