ResokerRATがTelegram APIを悪用し感染Windows PCを遠隔操作
冒頭文
ResokerRATと名付けられた新たなWindows向けマルウェアが、従来の攻撃者管理サーバーを使わずにTelegramのBot APIをコマンド&コントロール(C2)チャネルとして悪用する手口で確認された。本稿ではResokerRATの動作原理、検出と対策、被害を最小化するための対応手順を技術的に整理し、組織/個人が取るべき具体的対処法を示す。
- 概要と特徴
- 技術的な動作詳細
- 代表的なコマンドと機能
- 検出の難しさとネットワーク上の見つけ方
- 被害対応手順(インシデントレスポンス)
- 予防と防御策
- 具体的なログ監視項目と調査の優先度
- まとめと推奨アクション
概要と特徴
ResokerRATはTelegram経由でテキストベースのコマンドを受け取り、感染したWindows端末上で各種の監視・制御機能を実行するリモートアクセス型のマルウェアである。Telegramの通信は暗号化され、正規トラフィックと混在するため、ネットワーク検知が困難になりやすい点が最大の特徴だ。実行時には単一インスタンス保証のためのグローバルミューテックス("Global\ResokerSystemMutex")を作成し、デバッガ検出、自己昇格の試行、プロセス列挙と監視ツールの強制終了、キーボードフックによる特定キー操作の無効化など、多層的な回避技術を備えている。
技術的な動作詳細
ResokerRATは起動後、まずCreateMutexW APIを呼び出して同一実行の重複を防ぐ。次にIsDebuggerPresentを用いたデバッガ検出を行い、検出時には独自例外処理で解析を混乱させる挙動を示す。権限昇格を試みる際はShellExecuteExの「runas」オプションを使ってプロセスを再起動し、失敗するとエラーをC2へ報告する。
プロセス監視の回避として、Process32NextWで動作中プロセスを列挙し、Taskmgr.exe、Procexp.exe、ProcessHacker.exe等の既知の解析・監視ツールを検出するとOpenProcessとTerminateProcessで強制終了させる。またグローバルなキーボードフック(SetWindowsHookExW, WH_KEYBOARD_LL)を仕掛け、ALT+TAB、ALT+F4、CTRL+SHIFT+ESC、CTRL+ALT+DEL、Windowsキー等のショートカットをブロックしてユーザや解析者による操作介入を困難にする。これにより画面の切替やタスクマネージャ起動などが妨げられ、追跡や隔離が遅延する。
C2としてTelegram Bot APIを利用する点は重要で、攻撃者はTelegramボットを介して標準的なテキストコマンドを送信するだけで多様な機能を遠隔実行できる。コマンドは平文のテキストでマッピングされており、スクリーンショット撮影、タスクマネージャ無効化・復帰、永続化設定、ファイル操作、シェルコマンド実行などが含まれるケースが確認されている。
代表的なコマンドと機能
下表は観測されたコマンドとその主な動作を整理したものである。
| コマンド | 主な機能・説明 |
|---|---|
| /screenshot | 実行フォルダに「Screenshots」フォルダを作成し、PowerShellを隠蔽実行してSystem.Windows.Forms と System.Drawing を利用し画面全体をキャプチャしてPNGで保存。 |
| /block_taskmgr | レジストリの DisableTaskMgr 値を 1 に設定しタスクマネージャ起動を抑止する。 |
| /unblock_taskmgr | DisableTaskMgr を 0 に戻し、タスクマネージャの機能を復帰させる。 |
| /startup | 永続化処理を実行(自動起動登録やスタートアップロケーションへのコピー等)。 |
| /exec(任意のコマンド) | シェルコマンドやPowerShellコードを実行し、結果や出力をC2経由で送信する。 |
上表は観測例であり、実際にはさらに細かな引数や追加機能を持つ場合がある。Telegram経由で送られる単純な文字列が、即座に端末上の権限的に危険な操作へ繋がる点に注意が必要だ。
検出の難しさとネットワーク上の見つけ方
ResokerRATの通信はTelegramの正規クライアントと同様にTLSで保護されるため、パケット内容自体の解析は困難である。だが検出のヒントは存在する。まず端末側の異常なプロセス挙動や不審な起動パターン、短時間に生成される大量のスクリーンショットファイル、レジストリのDisableTaskMgr変更、既知の監視ツールの強制終了ログなどは端末検出の主要な手がかりだ。ネットワーク側では特定のTelegramボットへの継続的な接続や、業務で通常使用しない時間帯の外部APIアクセス、頻繁なTLSセッション確立と断続的な小容量送受信が観測されるケースがある。
エンドポイント検出のためにはホスト側のプロセスリスト監査、不正なキーボードフックの有無チェック、ファイル監査(Screenshotsフォルダや新規PNGファイルの作成)、レジストリの自動監視が有効である。SIEMを活用し、上記の兆候を相関させることで早期発見の確率を高められる。
被害対応手順(インシデントレスポンス)
感染が疑われる場合の初動対応は以下の考え方で行う。まずは被害拡大防止のために当該ホストのネットワーク接続を切断し、重要なログやメモリダンプを確保する。物理的に隔離する前に必要な証拠収集(プロセスリスト、レジストリの現状、スケジュールタスク、スタートアップレジストリ、ネットワーク接続履歴、作成されたファイル一覧)を行い、後続の解析に備える。
隔離後はクリーンな環境でマルウェアサンプルの静的・動的解析を実施し、外部C2情報(TelegramボットIDなど)やIOCs(ファイル名、ハッシュ、レジストリキー、生成ファイルパス)を抽出する。復旧に当たってはOSの再イメージ化を推奨し、単純なアンチウイルス除去やプロセス強制終了だけでは潜在的なバックドアや永続化設定が残る危険があるため、完全な再インストールが安全性の高い方法である。
予防と防御策
組織的に取るべき防御策として、最小権限の原則に基づくユーザ権限管理、ソフトウェアのホワイトリスティング、アプリケーション制御、挙動検知の導入が重要だ。特に外部通信の許可ポリシーは見直すべきで、業務で不要な外部チャットサービスの通信を管理するか、用途別に分離したネットワークセグメントを設定することで被害の拡大を抑制できる。エンドポイント保護では未知のプロセスがキーボードフックを仕掛けたり、レジストリを書き換えたりする挙動を検出するルールを整備する。
ユーザ教育も有効で、Telegramやその他のメッセージングサービスを通じた不審なリンクやボットとのやり取りを行わない、外部ソフトウェアの実行権限を不用意に与えない、異常を感じた際はIT部門へ速やかに報告する文化を醸成することが必要だ。
具体的なログ監視項目と調査の優先度
調査に着手する際は以下の観点を優先してログを確認する。プロセス作成・終了ログにおいて不審なプロセス名や急な終了の記録、レジストリ変更ログでDisableTaskMgrやスタートアップ関連キーの変更、ファイル作成ログでScreenshotsフォルダや短時間に大量生成されたPNGファイルの有無、ネットワークログで外部のTelegram APIエンドポイントへの不審な接続履歴、そしてユーザ操作を妨害するためのキーボードフックの痕跡である。これらをSIEMで相関させることで優先的に対応すべき端末を特定できる。
まとめと推奨アクション
ResokerRATは既存のチャネル(Telegram)を悪用することで検出を難しくしているが、端末上の異常な振る舞いは確実に残る。組織はネットワーク分離、エンドポイント検出の強化、ログの継続的監視、ユーザ教育を組み合わせることで被害の発生確率と影響範囲を縮小できる。万が一感染が確認された場合は速やかに当該ホストを隔離し、証拠を保全した上で専門家による解析とシステムの再イメージ化を行うことを推奨する。上述の検出項目を監視ルールとして実装し、Telegramなどの一般的メッセージングプラットフォーム経由のC2を想定した対応訓練を定期的に実施することが、同様の脅威に対する備えとなる。
