NanoCore: Another RAT tries to make it out of the gutter
The road to success is never straightforward. This is a tale of a RAT developer’s persistence in the face of endless setbacks.
Read More
The road to success is never straightforward. This is a tale of a RAT developer’s persistence in the face of endless setbacks.
Read More
ラップトップコンピュータの Web カメラに目隠しを貼っている人がいます。皆さんも案外そうかもしれません。果たして、それは用心しすぎ、被害妄想、あるいはちょっと変わった行為なのでしょうか。それとも、そこまでする理由があるのでしょうか。自分のコンピュータで行動を見張られていた、あるいは Web カメラがいつの間にか侵入を受け、恥ずかしい映像や違法な動画を盗み出されて恐喝のネタにされたという話を聞いたことのある人も多いでしょう。そうした体験談は本当なのか、そして被害妄想と思えるくらい用心するのも無理もないことなのかと問われれば、残念ながら答えはイエスです。こうした行為に対する警戒は必要であり、この手の悪質な行為やもっと悪質な活動に利用できるプログラムは無数に出回っています。リモートアクセス型のトロイの木馬(RAT)は、被害者の知らないうちにインストールされるプログラムで、これにより攻撃者は侵入先のコンピュータにリモートからアクセスして、制御することができます。最近では、いつの間にか忍び寄る(Creep)その性質からクリープウェア(Creepware)とも呼ばれています。
今回のブログでは、このクリープウェアについて解説します。クリープウェアの実態と機能、これまでの被害の実状や今後、そして被害者と加害者について解明するとともに、アンダーグラウンド市場でのソフトウェアの流通から被害者の売買まで、クリープウェアの経済的側面にも検証します。最後に、クリープウェアの拡散方法と自衛手段についてもお伝えします。
詳しい説明を進める前に、まずはこちらの動画(英語)をご覧ください。この動画では、深刻化するクリープウェアの問題について知っておかねばならない内容をご紹介しています。
図 1. この画像をクリックしてクリープウェアに関する動画を見る
クリープウェアとは
RAT とは、リモートからコンピュータを制御できるソフトウェアを総称するときによく使われる頭字語です。次のいずれの用語を表すときにも使われます。
「リモートアクセス型のトロイの木馬」は、ユーザーの知らないうちにインストールされて悪質な目的に利用されるという点で「リモートアクセスツール」とは異なります。リモートアクセスツールには多くの種類があり、テクニカルサポートや、旅行先から自宅または職場のコンピュータへの接続といった正規の用途で利用されています。ところが、リモートアクセスツールが備えている便利な機能そのものが、皮肉なことに悪質な行為にも利用できるため、そのような機能を想定した大量のマルウェアが設計されることになってしまいました。そうしたプログラムを「リモートアクセス型のトロイの木馬」と呼びます。攻撃者は、トロイの木馬がインストールされたコンピュータをほぼ完全に制御できるようになります。トロイの木馬の存在はなかなか気付かれることがなく、実際にコンピュータの前に座っているのとほとんど同じ操作が可能なので、Web カメラで映像を録画するのも簡単です。このように悪質で「いつの間にか忍び寄る」性質の活動が最近の事件で注目を集めたことから、リモートアクセス型のトロイの木馬を指して「クリープウェア」という名前が使われ始めました。
クリープウェアはクライアントサーバーモデルを採用していますが、クライアントサーバーシステムの設定を論じるときに想定する通常のモデルとは大きく異なっています。クリープウェアはこのプロセスを反転して、被害者のコンピュータをサーバーに、攻撃者のコンピュータをクライアントにします。被害者のコンピュータがクリープウェアに感染すると、攻撃者はそのコンピュータに要求を送ってファイルを取得したり、その他のさまざまな悪質な行為を実行したりできるようになります。
以前はクリープウェアもまだそれほど使われていませんでしたが、残念ながら現在では珍しくもなくなりました。クリープウェアのユーザーは、脅迫や詐欺で金儲けを狙うものから、無害な娯楽やいたずら程度にしか考えていないものまでさまざまです。両者の行為はまったく別物のように思えるかもしれませんが、どちらもコンピュータに不正にアクセスするという点では、倫理的に間違っているだけでなく、重大犯罪であることに変わりはありません。
特に懸念されるのは、クリープウェアのユーザーにモラルの欠如が感じられることです。クリープウェア専用のセクションが設けられた多数のオンラインフォーラムをざっと見れば、その傾向が如実に表れています。
図 2. 「シャレでやっているだけ」
図 3. 被害者に対する脅迫
こうしたフォーラムには、そもそもモラルなど持ち合わせていないユーザーが多いようですが、一部には物事の善悪についてひどく歪んだ考え方をするものもいます。あるスレッドには、クリープウェアによる RAT 行為を正当化するユーザーも存在し、信頼できない場所からプログラムをダウンロードしたりインストールしたりするほうが悪いと言って憚りません。
図 4. 被害者に対する暴言
また別のフォーラムには、何も気付いていない被害者をただ眺めているだけなら実害はないだろうと考えているユーザーもいます。
図 5. プライバシーの侵害を正当化
クリープウェア(リモートアクセス型のトロイの木馬)に関連する無数の投稿を見ていると、ソフトウェアをセットアップして RAT 行為を始めるための助言を求めるユーザーが果てしなく湧いて出てくるように思えます。自分たちの行為に多少なりとも罪悪感を抱いているものは少数派であり、圧倒的多数は他人のプライバシーに立ち入ることが悪いとは微塵も思っていません。それどころか、RAT 行為によって金銭を得ることさえ悪事だとは見なしていないようです。「Morals of messing with people(いたずらのモラル)」というスレッドには、自分たちの行為が正しいのか仲間の意見を求めているユーザーがいました。
図 6. モラルをめぐる悩み
寄せられた回答は、予想どおりの内容でした。
図 7. 「モラルなんて知るものか」
嘆かわしいことですが、クリープウェアのユーザーは被害者の受ける痛みがわからないか、あるいは気にもしていないようです。何も知らずにクリープウェアの犠牲になる人は多く、心に深い傷を負ったり、もっとひどい目に遭った人もいます。覗き行為を元に代償を求める手段のひとつが性的脅迫行為(Sextortion)で、これは身体的危害を加えない脅迫手段によって、被害者に性的な行為を強要するものです。
2013 年 8 月には、ミスティーン USA に選ばれた 19 歳のキャシディ・ウルフ(Cassidy Wolf)さんがクリープウェアの被害を受ける事件が発生しました。犯人は高校の同窓生で、彼女が寝室で着替えているところをクリープウェアを使って盗撮したのです。犯人は、その画像をインターネット上に公開すると脅して、もっと露骨な写真の撮影を強要しようとしましたが、彼女が警察に通報したことで、この高校生は逮捕され、他の国も含めて二十数人の女性たちをハッキングしていたことを認めました。
クリープウェアを使って、被害者のコンピュータ画面に「Web カメラの内部センサーのクリーニングが必要」だという警告メッセージを表示させる手口も大きく報道されました。この事件の場合、被害者は、Web カメラの内部センサーをクリーニングするにはコンピュータに蒸気を当てる必要があると指示され、何人かの女性はコンピュータを浴室に持ち込んだため、シャワーを浴びている映像を盗撮されてしまいました。
あいにく、こうした事件も、クリープウェアが実際の被害をもたらした事例のうち氷山の一角に過ぎません。被害者の多くはこの手の犯罪被害を届け出ることがなく、犯人が法の網に掛からないためです。攻撃者は盗み出したコンテンツや盗撮した画像をオンラインに公開すると言って被害者を脅迫するので、もしそうなったら一生噂がつきまとう可能性があります。一般に、このような嫌がらせやネットいじめは持続性があり、被害者が自殺に追い込まれることさえありえます。クリープウェアは、サイバーいじめにとっては理想的なツールと言えるようです。
クリープウェアと RAT は今や世界的な問題であり、世界中で悪質な目的に利用されています。
図 8. 過去 6 カ月間に RAT の活動が確認された上位 5 カ国
では実際、クリープウェアを使って何ができるのでしょうか。アンダーグラウンド市場にはクリープウェアプログラムが溢れています。いくつか名前を挙げるだけでも、Blackshades(W32.Shadesrat)、DarkComet(Backdoor.Breut)、Poison Ivy(Backdoor.Darkmoon)、jRAT(Backdoor.Jeetrat)などがあり、その多くは同様の機能セットを中核に備えています。ここでは、その中から Pandora RAT(シマンテック製品では Trojan.Pandorat として検出されます)を詳しく取り上げます。
Pandora RAT を使うと、攻撃者は侵入先のコンピュータで以下のものにアクセスすることができます。
加えて、攻撃者は以下のような活動を実行することも可能です。
使いやすさと美しいグラフィカルユーザーインターフェース(GUI)は、デザイン重視の現在では重要な要素ですが、クリープウェアでもそれは例外ではありません。Pandora RAT は、他の RAT と同じく、専門家だけでなく初心者でもすぐにマスターできる、使いやすい GUI を採用しています。かつては凄腕のハッカーしか使えなかったクリープウェアが、今やスクリプトキディからまったくの素人まで誰にでも手が出せるツールになってきたのです。
図 9. Pandora RAT のわかりやすいユーザーインターフェース
クリープウェアの使用目的は多種多様です。
アンダーグラウンド経済においてクリープウェアは大きな市場であり、ソフトウェア販売を中心に急成長を遂げています。クリープウェア自体は、開発者自身の Web サイトや、ハッキング関連フォーラムに掲載されている広告から購入できます。そうしたフォーラムでは、FUD クリプターや JDB ジェネレータ、あるいはスレーブの広告がいくらでも見つかります。ここで挙げている用語を見慣れていない方は、定義を以下にまとめましたのでご覧ください。
難しそうに見えるかもしれませんが、クリープウェアをセットアップしたいと思ったら誰でも、作業代行を引き受ける「専門家」を見つけ出せば、それで済みます。サービスによって価格は大きく異なります。無料のクリープウェアや RAT も見つかりますが、有償版でも上限は 250 ドルほどで、FUD 暗号化やセットアップ費用といった追加コストが 20 ドルから 50 ドルです。しかし昨今のご多分に漏れず、オンラインで質問すれば無償で助言や説明を入手することができます。クリープウェアに関連するツールやヒント、手口などについて自分の知識を他人に伝えたいと考えているユーザーはたくさんいます。
コンピュータをクリープウェアに感染させるには、以下の手法が考えられます。
クリープウェアから保護するために、シマンテックは以下のことを推奨します。
現在、コンピュータは生活の中で大きな役割を占めています。これほど普及しているツールが、攻撃者の道具となって私たちのプライバシーを脅かすというのは、考えるだけでも恐ろしいことです。クリープウェアには確かに甚大な被害を及ぼす機能がありますが、しかるべき対策を講じることで自衛することが可能です。セキュリティソフトを常に最新の状態に保ち、基本的なセキュリティ対策に従っていれば、コンピュータにクリープウェアが忍び寄る心配はありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Some people stick a piece of tape over the webcam on their laptop, maybe you even do it yourself. Are they over cautious, paranoid, a little strange? Are you? Or is there reason behind this madness? Many of us have heard the stories about people being spied on using their own computer or people being blackmailed using embarrassing or incriminating video footage unknowingly recorded from compromised webcams. But are these stories true and are some people’s seemingly paranoid precautions justified? Unfortunately the answer is yes, precaution against this type of activity is necessary and there are a multitude of programs out there that can be used for this type of malicious activity…and more. Remote access Trojans (RATs), or what we are calling creepware, are programs that are installed without the victim’s knowledge and allow an attacker to have access and control of the compromised computer from a remote location.
This blog will aim to give a general overview of creepware; describing what these threats are and what can, and is, done with them and what the implications are or both the victims and the users of creepware. The blog will also look at the economy of creepware, examining the underground market dealing in everything from the sale of software to the sale and trade of victims. Finally, we will look at how creepware is spread and how to protect against it.
Before we get into the details, here’s a video that will tell you what you need to know about the growing problem of creepware:
Figure 1. Click this image to view Symantec’s creepware video
What exactly is creepware?
The acronym RAT is one that is often used when talking about a piece of software that allows someone to control a computer from a remote location. RAT can be an abbreviation for any of the following:
The one difference between remote access tools and remote access Trojans is that the latter is installed surreptitiously and used for malicious purposes. There are many remote access tools, which are used for legitimate reasons such as technical support or connecting to a home or work computer while travelling etc. Unfortunately the same useful features found in remote access tools can be used for malicious activity and a great deal of malware has been designed with this in mind; these programs are called remote access Trojans. Once these Trojans are installed on a victim’s computer they can allow an attacker to gain almost complete control of it. Presence of the Trojan is indiscernible and an attacker can do almost anything that someone physically sitting at the computer can do, including recording footage using the webcam. Recent high-profile cases of this unsavory and creepy behavior have prompted the name creepware to be used when describing remote access Trojans.
Creepware uses a client-server model but switches the usual dynamic we think of when discussing client-server system setups. Creepware flips this process and makes the victim’s computer the server and the attacker’s computer becomes the client. Once the victim’s computer is compromised with creepware an attacker can send requests to it to retrieve files and perform a whole host of other nasty actions.
While there was a time when the use of creepware was relatively rare it is now unfortunately becoming more common. Users of creepware can range from those who make money from extortion and fraud to those using the software for what they see as harmless fun or pranking, otherwise known as trolling. While these two activities may seem to some as very different, they both involve unauthorized access to computers, which is not only morally wrong but is also a serious crime.
Worryingly, morals do not seem to be high up on the list of characteristics when it comes to creepware users, a fact that is blatantly obvious when perusing the many online forums with sections dedicated to creepware.
Figure 2. Doing it for the lulz
Figure 3. Blackmailing victims
While many users on these forums seem to have no moral compass whatsoever, others have an extremely skewed view of what is right and wrong. In one thread a user justifies RATing (using creepware) people by saying it’s their own fault for downloading and installing programs from untrusted sources.
Figure 4. Blaming the victims
Another forum user thinks that if all you do is watch your victims, without them knowing, then it’s fine.
Figure 5. Justifying invasion of privacy
Trawling through the countless posts on creepware/remote access Trojans there seems to be a never-ending supply of users looking for help to set up their software and begin RATing. While there are a few who feel (mildly) guilty about doing what they do, the overwhelming majority see no harm in invading their victims’ privacy and in some cases making money from RATing. In a thread named “Morals of messing with people” one user asks fellow hackers their opinion on whether what they do is right.
Figure 6. Moral dilemma
The replies speak for themselves.
Figure 7. Moral bull****
Unfortunately, creepware users may not see, or care about, the damage that can be caused by creepware. There are plenty of cases where innocent people have fallen prey to creepware and have been left traumatized or worse by their attackers. One way in which creepware users monetize their activities is sextortion. Sextortion is a form of exploitation that employs non-physical forms of coercion to extort sexual favors from the victim.
In August 2013, Miss Teen USA, 19-year-old Cassidy Wolf became a victim of creepware. Miss Wolf was hacked by a fellow high-school student who used creepware to take pictures of her undressing in her bedroom. The hacker then attempted to blackmail his victim by threatening to publish the pictures online if she didn’t take more explicit photos but Miss Wolf went to the police. The hacker was eventually caught and pleaded guilty to hacking at least two dozen women in a number of countries.
Another well-publicized case involved an attacker using creepware to display a warning message box on his victims’ computers telling them that their webcam’s internal sensor needed to be cleaned. To do this, they were told to place the computer close to steam. Several of the women were subsequently recorded taking a shower when they had brought the computer into the bathroom.
Sadly, these cases are only the tip of the iceberg when it comes to creepware and the impact it can have on victims. Because many victims do not report this type of crime perpetrators often escape justice. Attackers can threaten to post stolen or recorded content online, and if this threat is carried out the victim’s reputation can be permanently damaged. The effects of this type of harassment and cyberbullying in general are long lasting and can even lead to suicide. Creepware, it would seem, is a cyberbully’s ideal tool.
Creepware and RATs are a global problem; they are used throughout the world, usually for all the wrong reasons.
Figure 8. Top five countries for RAT activity in past six months
So what exactly can creepware do? There are an abundance of creepware programs on the market, such as Blackshades (W32.Shadesrat), DarkComet (Backdoor.Breut), Poison Ivy (Backdoor.Darkmoon), and jRAT (Backdoor.Jeetrat) to name but a few, many of these programs share the same core set of functionality. We’ll take a closer look at one in particular, the Pandora RAT detected by Symantec as Trojan.Pandorat.
Pandora RAT allows an attacker to gain access to the following items on a compromised computer:
If all that isn’t enough, Pandora can also allow an attacker to:
Ease of use and a slick graphical user interface (GUI) are very important factors in today’s design-focused world, and creepware is no exception. Pandora, as is common with other RATs, sports an easy-to-use GUI that can be mastered almost instantly by experts and novices alike. If the use of creepware was once reserved for hardened blackhat hackers it is now most definitely accessible to everyone from script kiddies to total noobs.
Figure 9. User friendly human computer interface of Pandora RAT
Creepware has many different uses including:
Creepware is big business in the underground economy with a thriving market revolving around the sale of the software. The creepware itself can be purchased from the developers’ own websites or from people advertising on hacking forums. Advertisements for the sale of FUD crypters, JDB generators, and slaves among other things can be found in said forums. If you find this terminology a little bewildering, here are some useful definitions:
If all that sounds a little too much like hard work, anyone interested in getting their own creepware setup can pay any number of willing “experts” to do all the leg work for them. Prices vary for different services. Creepware/RATs can be found for free but the ones that are for sale can cost anything up to $250. Add-on services, such as FUD crypting and setup cost between $20 and $50. As with most things these days, free advice and instructions can easily be found online with plenty of users eager to pass on their knowledge about the best tools, tricks, and methods concerning creepware.
The following methods may be used to infect computers with creepware:
To stay protected against creepware, Symantec recommends users to:
In today’s world, computers play an important role in our lives and the idea that such a ubiquitous tool could be used by an attacker to invade our privacy is a scary thought. While creepware is capable of causing a great deal of damage, taking appropriate defensive steps can keep you protected. By having good up-to-date security software and following some basic best practices we can all keep the creeps out of our computers.