RSS Feed  Twitter  
|
Articles - Malware

Macintosh向けのマルウェアといえば、最近では、OSX/OpinionSpyが話題になっているが、ここでは、Macintosh向けのトロイの木馬(リモートアドミンツール)について簡単に紹介する。
「Macは安全、アンチウイルスソフトは入れていない」というMacintoshユーザーをたまに見かけるが、そんなことはもちろん無い。
たとえば、Macintosh系のアンダーグラウンドツールを長きに渡って作成している「Underground Mac Programming Team」がリリースしている「HellRaiser」は、Macintoshユーザーの情報を採取することを目的としたRAT(リモートアドミンツール,トロイの木馬)で、感染したMacのスクリーンキャプチャ、クリップボード情報ファイル操作、シェル、検索、プログラムの起動、システム操作(リブート、シャットダウン等)などを可能にする。
ただし、HellRaiserの接続形式はダイレクトコネクトのみで、Windows向けのRATなどでは一般的な「FWB(ファイヤーウォールバイパス機能)」は備わっていない。また、一昔前のRATともいえる構成で、クライアントとサーバー設定エディタの2つが備わり、編集済みのサーバー(マルウェア)をターゲットで実行させる。
このため、現在の一般的なインターネット接続環境(ルーターを介した接続)を考えると、ターゲットとなるユーザーは限定的であり、全てのMacユーザーをターゲットにできるわけではないが、Macだからといってマルウェアに無防備にならないよう注意したい。
 
■サーバー設定画面。ダイレクトコネクトを行うポート番号などを指定
HellRaiser1
 
■HellRaiserの構成。サーバー、クライアントが別々で、サーバーエディタでサーバーを編集する。
HellRaiser2
 
■起動時のスクリーンスプラッシュ
HellRaiser3
 
■感染したMacintoshのハードディスク内のファイルを操作している例。
ハードディスク上のファイルの取得、リネーム、移動、削除など、あらゆる操作が可能。
HellRaiser4
HellRaiser5
 
■システム操作(シャットダウンやリブート)、クリップボートの取得、
ボリュームやCDトレイ開閉といった遊びの機能も備わる。
HellRaiser6 
 
■ハードディスク内のファイルを検索して表示することもできる
HellRaiser7
 
■感染したMacintoshのスクリーンキャプチャ画面の取得例
HellRaiser8

|