通常のネットワークトラフィックを利用して検出を回避する手法を明らかに（トレンドマイクロ）

トレンドマイクロは、脅威が通常のネットワークトラフィックに紛れ込むことで、どのように検出を回避するかについて、リサーチペーパー「Network Detection Evasion Methods（英語情報）」の内容をブログで紹介している。

脆弱性と脅威脅威動向

2013.12.13 Fri 15:56

トレンドマイクロ株式会社は12月12日、脅威が通常のネットワークトラフィックに紛れ込むことで、どのように検出を回避するかについて、リサーチペーパー「Network Detection Evasion Methods（英語情報）」の内容をブログで紹介している。通常のネットワークトラフィックとは、GoogleやMicrosoft Updateへの接続、Yahoo!メッセンジャーのような人気のインスタントメッセンジャーから生じるトラフィックを含む。「Remote Access Tool（RAT）」の一部が、このことを利用して検出を回避する手法が同社によって確認されている。

たとえば「FAKEM」は、通常スピアフィッシングメールで確認され、Windows Liveメッセンジャー、Yahoo!メッセンジャーのトラフィックや、HTMLトラフィックのように自身のネットワーク通信を見せかけて偽装することが判明している。また、スパムボット「Stealrat」と関与していると報告されている「Mutator（別名：Rodecap）」は、Stealratのモジュールあるいはコンポーネントをダウンロードし、場合によっては、通常のトラフィックに紛れ込むために「google.com」を利用してHTTPヘッダを偽装することがある。

RATは特に種類が多いわけでもなく、手法も単純である一方、サイバー犯罪者が自身の技術を適応させ性能を高めていることが、同リサーチペーパーで明らかにされている。特に、サイバー犯罪者がいかに絶え間なく手法と戦略を向上させ、ネットワークセキュリティを回避しているかを強調している。そしてPCを乗っ取り、セキュリティ関係者の監視の目をかいくぐろうと画策している。

《吉澤亨史（ Kouji Yoshizawa ）》