HACKER MEDICINE

Shylock は、オンラインバンキングを狙うきわめて高度なトロイの木馬であり（以前の記事を参照）、今も金融詐欺の脅威の分野では無視できない存在です。2011 年に控え目に登場して以来、その感染数は英国、イタリア、米国で増え続けていますが、標的となる金融機関の数も同様に増加しています。現在は、英国を中心として 60 以上の金融機関が標的となっています。

Shylock の主な目的は、標的となる金融機関の Web サイトのリストを作成して、MITB(Man-in-the-Browser）攻撃を仕掛けることです。この攻撃を利用してユーザーの個人情報を盗み出し、ソーシャルエンジニアリング手法によってユーザーを誘導して、狙った金融機関で不正な取引を実行させます。

追加モジュール
最近この Shylock が、機能を拡張するために追加のモジュールをダウンロードし、実行するようになりました。以下のモジュールが開発され、Shylock によってダウンロードされています。

• Archiver（録画されたビデオファイルをリモートサーバーにアップロードする前に圧縮する）
• BackSocks（侵入先のコンピュータをプロキシサーバーとして機能させる）
• DiskSpread（接続されたリムーバブルドライブを介して Shylock を拡散する）
• Ftpgrabber（さまざまなアプリケーションから保存されたパスワードの収集を可能にする）
• MsgSpread（Shylock を Skype のインスタントメッセージ経由で拡散させる）
• VNC（攻撃者が侵入先コンピュータにリモートデスクトップ接続できるようにする）

インフラ
Shylock は堅ろうなインフラを採用しています。トラフィック量の多い時間帯の冗長化と負荷分散が有効になっているので、サーバーは着信接続の数に応じて侵入先のコンピュータを別のサーバーにリダイレクトします。

Shylock で利用されている最初のレベルのサーバーは特定されており、次の 3 つのグループに分類されます。

1. 中央のコマンド & コントロール（C&C）サーバー（ボットネットの制御と保守に使われる）
2. VNC と BackSocks のサーバー（トランザクション中のリモート制御を可能にする）
3. JavaScript サーバー（MITB 攻撃でリモートの Web インジェクションを実行する）

図 1. Shylock のインフラで使われているサーバーのグループ

これらは、メインコンポーネントの制御に利用されているプロキシサーバーです。これらのサーバーの主な目的は、更新した以下の設定ファイルやモジュールを侵入先のコンピュータに提供して、Shylock の感染数を維持することにあります。

• バイナリファイル
• hijackcfg モジュール
• httpinject モジュール

侵入先のコンピュータで、新たに追加されたモジュールが実行されると、レポートログが C&C サーバーに送信されます。ログは暗号化通信を使って適切なサーバーにリダイレクトされ、サーバーは相互に Secure Socket Layer（SSL）として機能します。各サーバーは、相互の通信に以下のプロトコルを利用します。

• 「Debian 6」（”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”）としてフィンガープリントが設定されている SSH
• CentOS（”Server: Apache/2.2.15 (CentOS)”）を含む HTTPS 応答

現在は、5 つの中央 C&C サーバーが Shylock ボットネットを制御しています。これらのサーバーは、ドイツと米国の複数のホスティングプロバイダに置かれています。

標的変化を示すグラフ
Shylock は当初、英国内のコンピュータを主な標的としていましたが、今では他の国や地域にも広がっています。その一方、なかには標的として狙われなくなってきた金融機関もあります。セキュリティ対策が向上したため、あるいは高価値の業務用顧客を持っていないためと考えられ、Shylock はもっと見返りの大きそうな金融機関に的を絞り直しつつあります。

図 2. Shylock に感染したコンピュータ数（2011 年～ 2013 年）

図 3. 標的となる業種

Shylock の新しい攻撃は今後も続くものと予測され、シマンテックは Shylock の活動を引き続き監視していきます。

シマンテックの保護対策

• Trojan.Shylock
• Trojan.Shylock!gen1
• Trojan.Shylock!gen2
• Trojan.Shylock!gen3
• Trojan.Shylock.B
• Trojan.Shylock.B!gen1
• Trojan.Shylock.B!gen2

いつものことですが、基本的なセキュリティ対策（ベストプラクティス）に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Shylock (a.k.a. The Merchant of Malice) is one of the most sophisticated banking Trojan horse programs presently occupying the financial fraud threat landscape. From its humble beginnings in 2011, it has seen increased infections in the United Kingdom, Italy, and the United States. This is consistent with the increased number of targeted financial institutions over that time period. Shylock is currently targeting over 60 financial institutions with the majority of them operating in the United Kingdom.

The main purpose of Shylock is to perform a man-in-the-browser (MITB) attack against a configured list of target organization websites. The attack is used to steal user credentials and apply social engineering tactics in order to convince the user to perform fraudulent transactions at the target institution.

Additional modules
Recently, Shylock has begun downloading and executing complementary modules in order to beef up its functionality. The following modules have been developed and are being downloaded by the threat.

• Archiver (compresses recorded video files before uploading them to remote servers)
• BackSocks (enables the compromised computer to act as a proxy server)
• DiskSpread (enables Shylock to spread over attached, non-fixed, drives)
• Ftpgrabber (enables the collection of saved passwords from a variety of applications)
• MsgSpread (enables Shylock to spread through Skype instant messages)
• VNC (provides the attacker with a remote desktop connection to the compromised computer)

Infrastructure
The Trojan employs a robust infrastructure that allows for redundancy and load-balancing during periods of high traffic, whereby servers will redirect compromised computers to another server depending on the number of incoming connections.

The first level of servers belonging to this threat has been identified and can be categorized into the following three groups:

1. Central command-and-control (C&C) servers (responsible for botnet control and maintenance)
2. VNC and Backsocks servers (enable remote control during transactions)
3. JavaScript servers (allow remote Webinjects during MITB attacks)

Figure 1. Groups of servers utilized in Shylock’s infrastructure

These are proxy servers that are used to control the main component. The main purpose of these servers is to maintain the Shylock infection base by providing the following updated configuration files and modules to compromised computers:

• Binary files
• A hijackcfg module
• A httpinject module

When a compromised computer performs one of the new, additional modules, it sends a report log to the C&C server. These logs are then redirected to the appropriate server using encrypted communication—the servers act as a secure socket layer (SSL) to each other. The servers use the following protocols when communicating with each other:

• SSH is fingerprinted as ”Debian 6” (”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”)
• HTTPS response includes ”CentOS” (”Server: Apache/2.2.15 (CentOS)”)

Five central C&C servers are currently controlling the Shylock botnet. These servers are situated in Germany and the United States at various hosting providers.

Evidence of a strain migration
At first, Shylock was specifically targeting computers located in the United Kingdom but it is now spreading to other countries. Also, as some financial institutions become less desirable as targets, either due to increased security measures or a lack of high-value business accounts, Shylock is refocusing its attacks on those offering potentially larger returns.

Figure 2. Computers infected with Shylock between 2011 and 2013

Figure 3. Targeted sectors

We expect to see new iterations of this threat in the wild and are continuing to monitor the threat landscape.

Symantec Protection

• Trojan.Shylock
• Trojan.Shylock!gen1
• Trojan.Shylock!gen2
• Trojan.Shylock!gen3
• Trojan.Shylock.B
• Trojan.Shylock.B!gen1
• Trojan.Shylock.B!gen2

As always, we recommend that you follow best security practices and ensure that you have the most up-to-date software patches in place, and that you use the latest Symantec technologies and virus definitions to ensure that you have the best protection against threats.