エンジニアが知っておくべき”iWorm”

4260620-iWorm

おはようございます、せーのです。 先日のイベントでは久しぶりに新たなガジェット「iWatch」が発表され、最近では近々新型のiPadが出るとか、攻めの姿勢で突っ走るAppleですが人生山あり谷あり、いいことばかりではありません。

先日よりmacが対象となっている新しいマルウェア、その名も「iWorm」が猛威を振るっております。 私の部屋もmacだらけですのできちんとチェックすると共に、エンジニアとしてそもそもiWormって何なのよ、というところを押さえておきたいと思います。

経緯

最初にこのマルウェアを発見したのはロシアのセキュリティ企業Dr. Webでした。Dr. Webはサイトにて声明を発表しましたがこの時点で既に17,000台ものmacが感染された後でした。マルウェアの正式名称は「Mac.BackDoor.iWorm」、C++とLUAを使って書かれており、感染源は不明(後述)と発表されました。

iworm_en

感染の内訳も発表されました。上から順にアメリカ、カナダ、イギリスと続いていまして、日本はそうでもないようですね。
不幸中の幸いだったのはまだ実害が出ていない時点での発見、発表だったことです。これは本当に良かったです。
次にこのマルウェアの特徴を見てみましょう。

特徴

iworm.jpg.001

ポートの開放

「マルウェア」であり「ウィルス」とは呼ばれていないことからもわかるように、このiWorm自体には他PCへの感染力はありません
iWormに感染するとバックグラウンドでポートを開放し始めます。これにより悪意のあるアプリやファイルをインストールする「道筋」をつけるわけです。

掲示板からC&Cサーバーリストを取得

次にiWormは掲示板「Reddit.com」にアクセスし「現在日時(UTC)のシリアル値(※1)をMD5でハッシュ化したものの頭から8バイト分」を検索条件に検索をかけます
そうするとReddit.comの「minecraftサーバーリスト」というカテゴリ内にあるスレッドのコメント欄からC&C(コマンド&コントロール)サーバーのリストをダウンロードします。
※1 : 1990年1月1日からの日数値

感染しているmacをC&Cサーバーに接続

最後にiWormは自分がいるmacを取得したC&Cサーバーに接続しにいきます。そしていかなるLUAスクリプトも受け入れるようにOSXのセキュリティを弱めて待機します。

以上がiWormの主な動きになります。コントロールサーバーがどこなのかを隠すために掲示板のコメント欄を利用するあたり、日本の遠隔操作ウィルス「iesys.exe」を思い出しますね。

対処

対処としましてはiWorm関係のファイルを見つけ出して削除するだけでOKです。
iWormのファイルは

/Library/Application Support/JavaW/JavaW
/Library/LaunchDaemons/com.JavaW.plist

の2つです。
JavaWがiWormの本体でcom.JavaW.plistはJavaWが定期的にbackgroundで仕事が出来るようにJavaWプロセスをrunさせる役割を持ちます。
2つ削除してrestartをかけてください。その後一応念の為に最寄りのApple Storeに行っておいたほうがいいかと思います。また心配な方はTime Machineで復元するか、OSXを再インストールするとより確実です。

2014/10/05時点での最新情報

Reddit.comは対策済み

まずC&Cサーバーリストが書かれている掲示板「Reddit.com」ですが、該当のスレッド及びコメントを削除、コメントを書き込んだアカウントを停止処理致しました。
私も先程試してみましたが、以前は返ってきていたサーバーリストが返ってこなくなっておりました。
かと言ってこの手のものは色々な所に移り変わっていくものですから、そのうち別な掲示板twitterなんかで発見されることになるんじゃないかと思っています。

感染する手順の一つが判明

こちらは結構大きなニュースで、今まで「不明」とされていた感染源、感染方法の一つが判明しました。やっぱり、というかなんというか、感染源は海賊版ソフトのサイトでした。

現在判明している感染方法を記します。

  • ユーザが「PirateBay」という海賊版ソフトのサイトにアクセスします。
  • "aceprog"というユーザがアップしたAdobe Photoshop, Adobe Illustrator, Microsoft Office, Parallelsあたりをダウンロードします
  • ダウンロードしようすると広告サイト等にリダイレクトがかかったり色々たらい回しに逢いますが、結果としてtorrentを通してダウンロードに成功します。今回は例えばAdobe Photoshopを落としたとします。
  • ダウンロードしたファイルを解凍し開くとAdobeのインストール画面が出ます。が、これはフェイクです
  • 実際はコンテンツとして[0][1][install]という3つの実行ファイルがパッケージングされて隠されています
  • またcodesign -vvにて署名を確認するとAdobe製にも関わらず未署名であることがわかりますが、クリックアクションで開くと警告は出てきません。そして途中でAdministratorのパスワードも聴かれます。答えてしまうとプロセス内にその情報は保管されます(ここで答えないとiWormは入りません)。
  • Administratorパスを使い、OSX10.8から追加された機能「Gatekeeper(開発元が未確認なアプリをダウンロードした際にインストール時に警告を出す機能)」の制限を変更します。
  • インストール作業を終了すると[0]の実行ファイルが
    /Library/Application Support/JavaW/JavaW
/Library/LaunchDaemons/com.JavaW.plist
    という2つのファイルを作ります。こいつらが悪さを始めます。



以上がiWorm感染までの一例となります。ちなみにiWormの入っているファイルは「JavaW」という名前が含まれていますがJavaの脆弱性とは何の関係もありません

まとめ

いかがでしたでしょうか。日本では感染例としては少ないと言われています(上記のようなサイトが原因ならば英語のできない人が多い日本人の感染例が少ないのも納得できます)。
今のうちにきちんとした情報を頭に入れておいて、いざという時に困らないようにしましょう!

参考資料