エグゼクティブサマリー
- Trickbot は、マルウェア屈指の高度な技術があり、常に進化を続けるバンキング型トロイの木馬です。
- Trickbot は高度にモジュール化されているため、組み合わせを変えることで多様な環境に適応できます。
- 背後にいるハッカー集団は、ログイン情報を盗み出すだけでなく、マルウェアを APT グループに貸し出すなど、活動範囲を広げています。
概要
近年、モジュール式のバンキング型トロイの木馬「Trickbot」が最大級の脅威になりつつあります。2016 年に初めて確認されて以来、Windows 10 を狙い撃ちにした機能や POS システムを標的としたモジュールを追加するなど、さまざまな変更が加えられてきました。Trickbot は、スタンドアロン式のトロイの木馬として機能するだけでなく、ランサムウェア「Ryuk」といった他のマルウェアのドロッパとしても使用されています。さまざまな環境に適応できるため広範囲の用途で使用されているのです。
Trickbot は一般に、悪意のあるドキュメントや URL を含んだスパムメールによって配信されます。ほとんどの場合、電子メールの件名には、クレジットカードやデビットカードの問題など、受信者に警告を与えるような文言が含まれています。最近の例では、新型コロナウイルス感染症(COVID-19)への恐怖心に付け込んだものも見受けられます。いったんドキュメントが開封されると、マクロが実行され、感染プロセスの次の段階に使われるファイルがダウンロードされます。いくつかのケースでは、この感染の連鎖における第 2 段階で Emotet のようなローダーがダウンロードされ、その次に Trickbot がドロップされます。逆に、Trickbot によって他のマルウェアファミリがドロップされるケースも多く確認されています。
機能
トロイの木馬「Dyre」から派生した Trickbot は当初、侵入先のホストから機密情報を盗むことを目的としていました。ブラウザから Cookie を盗み出す、オンラインバンキングや暗号通貨の取引サイトで Webinject を実行する、などの手口を使っていたのです。その後数年を経て、当初の機能が拡張されただけでなく、他のマルウェアのドロッパとしての機能をはじめとする新機能も追加されました。Trickbot は高度にモジュール化されているため、標的環境に応じて攻撃者が構成を調節できます。しかも、幅広い機能を実現する多様なモジュールをリモートでインストールできます。次に、いくつかのモジュールの概要を示します。
最近追加されたモジュール機能が「rdpScanDll」です。ブルートフォース攻撃により Remote Desktop Protocol(RDP)のログイン情報を得るための機能です。Trickbot で使用できるモジュールの数は増加し続けています。金銭的利益を追求するモジュール作成者が、新たな手段を探し続けていることの表れだとも言えます。こうした背景から、Trickbot とそのモジュール機能は絶え間なく進化を続けています。Trickbot を重大な脅威とみなすべきであることは明らかです。
Trickbot は、難読化と検出回避のために複数の異なる手法を採用しています。TLS は、インストール用の各種モジュールをダウンロードする際のコマンド アンド コントロール(C2)通信に使用されます。C2 には通常、標準の TLS ポート 443 が使用されますが、ポート 449 が使用されるケースも確認されています。Trickbot で使用される暗号化形式は、TLS だけではありません。侵入先のホストから機密情報を盗み出し、さらなる難読化のためデータを暗号化する目的で、Microsoft CryptoAPI も使用されています。
Trickbot ではこれまで、プロセスの空洞化、Heaven’s Gate、カスタムの base64 エンコーディング、UAC のバイパスなど、難読化と分析回避の手口が複数使用されてきました。2020 年の初めに Microsoft 社が Windows 7 の延長サポートを終了した後、Trickbot には Windows 10 に特化した機能が追加されました。今年の初めには、Microsoft 認証済みのバイナリファイルである「WSReset.exe」(Windows ストアの設定をリセットするために使用される)を使用して、ファイルレスの UAC バイパスを可能にする新機能も追加されました。
Trickbot ギャング
Trickbot のハッカー集団は、一般に「Trickbot ギャング」と呼ばれています。グループの主な目的は金銭獲得です。マルウェア自体の進化とともに、グループの手口も進化してきました。この記事の執筆時点で、Trickbot ギャングは Trickbot に感染した Windows マシンを保有する被害者に対し、悪意のある Android アプリを転送しようと試みています。その目的は、ユーザを誘導して Android スマートフォンにアプリをインストールさせ、銀行が 2 要素認証の中で送信するワンタイムコードを盗むことです。現在のところ、この攻撃はドイツでしか確認されていませんが、グループが有効性を確認すれば使用範囲を広げるでしょう。
Trickbot ギャングは他にも、国家支援の APT グループに Trickbot の亜種を貸し出しています。しかも、マルウェアを販売するだけでなく、盗み出したアクセス権を各国組織に販売することまでしています。最近は国家支援のハッカー集団がサイバー犯罪組織と関わりを持つ傾向にあり、今回のケースも例外ではないと言えます。
Trickbot がもたらす最も壊滅的な脅威の 1 つは、Emotet によって Ryuk ランサムウェアが配信されることです。これは非常に危険かつ効果的な組み合わせであることが実証されています。2019 年だけで彼らは数百万ドルの利益を生み出しているからです。Emotet と Ryuk の組み合わせが使用される理由は、Ryuk を展開する前に Trickbot モジュールをネットワーク全体へと効率的に拡散できるためです。
Trickbot から身を守る方法
Trickbot から身を守るには、適切に整備された多層型のサイバーセキュリティ プログラムが不可欠です。
- 最初の感染ベクトルとなる電子メールとスパムのフィルタ処理が重要になります。
- Trickbot では、拡散方法として既知の Windows SMB エクスプロイトが使用されるため、最新のセキュリティ更新プログラムを適用することも大切です。
- 従業員に対しは、フィッシングに関するトレーニングや啓発プログラムを定期的に実施しましょう。
- 強力なパスワードポリシーを採用し、Duo などの多要素認証を使用します。
- シスコの AMP for Endpoints など、最新のエンドポイント セキュリティ ソフトウェアがネットワーク全体に展開されていることを確認します。
実用的なセキュリティ対策を講じることは、どのようなシナリオにおいても重要です。しかし Trickbot に対しては特にそうです。モジュール化された Trickbot の性質上、いったん侵入を許してしまうと、その後の挙動を予測することは不可能です。予防的なセキュリティ対策の重要性は計り知れません。
本稿は 2020年3月31日に Talos Group のブログに投稿された「Trickbot: A primer」の抄訳です。