リモートアドミンツールによる個人情報漏洩 1

アンチウイルスソフトの検出を回避する

今回のテストでは、ターゲットのコンピュータにアンチウイルス機能を含むセキュリティソフトがインストールされていると仮定して行っている。ファイヤーウォールの検出回避については前述した通りだが、アンチウイルスソフトに検出されてしまえば、当然ながらRATサーバへ感染させる前に削除されてしまう。そこでクラッカーは、使用するRATを下記のようなものから選択する。

既知のRATをアンチウイルスソフトで検出されないよう改変する。

使用時点でメジャーなアンチウイルスソフトに検出されないRATを選択する。

新たに作成する。有償版を購入する。検出回避サービスを利用する。他

RATやキーロガーなどのソースコードはインターネット上ではたやすく入手できるため、改変して新たなものを作成するといったことも難しくないが、一番手っ取り早いのは、既知のRATの改変か、アンチウイルスソフトに検出されていないRATを使用することだろう。

既知のマルウェア（RATサーバ）を改変する

ここでは、既知のRATの中から、2004年の9月にリリースされたBifrostというRATを選択した。Bifrostは、未だにクラッカー連中に人気のRATであり、ルートキットオプションなどは備わっていないものの、情報を採取するために必要な遠隔操作機能はほとんど備わっている。

しかし、BifrostでRATサーバを作成しても、アンチウイルスソフトでスキャンをかけると当然ながら検出されてしまう。そこで、検出されないよう改変を行うわけだが、これは、アンチウイルスソフトの検出を回避するためのCrypterを利用したり、デバッガで改変するなど、いくつかの方法が存在する。

ここでは、Crypterを使って改変を行い、セキュリティソフトで検出されないか、そして正常に動作するかをテストしている。改変を行った後のBifrostのサーバは、アンチウイルスソフトの検出も回避して、インストール後の動作も問題ないことを確認済みだ。

ちなみに、これらCrypterの作成者は、「オンラインのウイルススキャンを絶対に使用するな」と警告している。これは早期にアンチウイルスソフトの検出対象となってしまうことを嫌ってのことだ。
また、Crypterを使用して検出が回避できたとしても正常に動作しないことも少なくない。このため、単純にCrypterを利用すれば、どのマルウェアでもアンチウイルスソフトの検出を回避し、正常に動作するというわけではない。

リモートアドミンツールによる個人情報漏洩 2を読む