遠隔操作ツール(RAT)PlugX/BKDR_RARSTONE.A
PlugX
過去には独自のHTTPヘッダを使用していたが、使わないようになったり、文字列が難読化されたりのようだ。
感染は標的型メールなどのファイルから。そのフローは以下の1、2、3の順。
1.正規ファイル
2.正規ファイルにより読み込まれる不正なDLLファイル
3.2)の不正な DLLファイルが読み込む不正なコードを含むバイナリファイル
(Adobe Acrobat Reader” や Microsoft Office(特に脆弱性「CVE-2010-3333」)に存在する脆弱性を利用)
http://blog.trendmicro.co.jp/archives/6026
http://blog.trendmicro.co.jp/archives/9748
BKDR_RARSTONE.A
組み込まれたコードは自身をメモリー上で復号化
ダウンロードされたファイルは、システム上に作成されるのではなく、直接メモリーに読み込まれるのでファイル検出機能は役に立たない。
「Uninstall」レジストリーキーのエントリーの情報からインストールされたアプリケーションの情報なども搾取。
C&CサーバへはSSLを使用する点もポイント。
(参考)
http://tech.nikkeibp.co.jp/it/article/COLUMN/20130310/462081/
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/bkdr_rarstone.a