古いマルウェアの復活:なぜマルウェアが再利用されるのか
過去 5 年間のマルウェアの急増を見ると、新たなマルウェアがインターネット上に溢れかえっているように思えるかもしれません。しかしながら、実際にはそのようなことはまったくありません。もちろん、驚くほど多くのマルウェアが存在しますが、実際には、既存のマルウェアや、一般公開されている脆弱性あるいはツールを寄せ集めて作成された、復活版のマルウェアがほとんどです。ウォッチガードの脅威アナリストの一人である Marc Laliberte が、Help Net Security に最近寄稿したコラムで、ハッカーがこのようにマルウェアの「リサイクル」に熱心である理由を説明しています。
ハッカーがマルウェアのコードを再利用するのは、時間を節約して、マルウェアを高度化する、コードの難読化や検知の回避などの他の方法に集中するためだと、Marc は説明しています。スピアフィッシングや不正マクロなどの多くの攻撃方法も再利用されていますが、それは、こういった方法が今でも有効であるためです。マルウェアをリサイクルしたり古いマルウェアを参考にしたりする例は、有名なものだけでも数多く存在しますが、Marc の記事から、その一例である Reaper ボットネットに関する説明を抜粋し、以下にご紹介します。
(Reaperの)基本コードは、極めて大きな成果を上げた Mirai ボットネットから借用されたものです。Reaper の作成者はどうやら、エクスプロイトと攻撃の開始のどちらにおいても極めて効率的な方法が組み込まれている Mirai をプラットフォームとして使用しているようです。Reaper は、IoT 既知の脆弱性のエクスプロイトを Mirai のソースコードに追加しており、LUA プログラミング言語を使用することで、単純な DDoS ではなく、高度な攻撃を可能にしています。
ハッカーは、エクスプロイトコードも組み込んでから、実際の攻撃でマルウェアを使用します。ハッカー集団「Shadow Brokers」による、NSA から流出した情報のいくつかのエクスプロイトが、1 ヵ月後には、ランサムワームの NotPetya や WannaCry で使用されました。また、セキュリティ研究者向けの一般公開されているコード(EDA2 や Hidden-Tear ランサムウェアなど)や Mimikatz や Metasploit などのセキュリティ侵入テストツールは、ハッキングでもよく使われています。
Help Net Security に掲載された Marc の記事全文(英文)と Secplicity のこちらの記事で、マルウェアの再利用に関する詳細をご確認ください。