月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。
その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。
![Social-Engineering Toolkit (SET) attack files](http://www.f-secure.com/weblog/archives/TES_1.png)
まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。
ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。
Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:
![Windows payload in shellcode form](http://www.f-secure.com/weblog/archives/TES_2.png)
シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。
これらのファイルは以下のように検出されている:
Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)
バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。
その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。
![Social-Engineering Toolkit (SET) attack files](http://www.f-secure.com/weblog/archives/TES_1.png)
まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。
ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。
Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:
![Windows payload in shellcode form](http://www.f-secure.com/weblog/archives/TES_2.png)
シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。
これらのファイルは以下のように検出されている:
Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)
バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。