セキュリティ

Python製のマルウェアが台頭してきているという指摘


インターネットの普及とともにコンピューターやスマートフォンは日常生活に欠かせないものとなりましたが、そうしたデバイスに保存された機密データを標的としたマルウェアの脅威も大きなものになっています。そのマルウェアのプログラミングに使用される言語として「Python」が台頭してきていると、アメリカサイバー軍に使役した経験のあるオースティン・ジャクソン氏が語っています。

Python Malware On The Rise | Cyborg Security
https://www.cyborgsecurity.com/python-malware-on-the-rise//


過去30年にわたり、マルウェアの開発環境はC言語やC++、Delphiなどのコンパイラ型言語が主でしたが、近年はPythonなどのインタプリタ型言語によるマルウェアが増加しているとのこと。特にPythonはプログラミング初心者に優しく、簡単に開発でき、ライブラリが充実していることから、マルウェア開発者の注目を集めているとジャクソン氏は語っています。

コンパイル型言語によるマルウェアとは異なり、Pythonのコードを実行するためには実行環境をOSにインストールする必要があります。しかし、PyInstallerpy2exeNuitkaといったツールを用いれば、Pythonを実行ファイルに変換することが可能。また、C言語によるマルウェアよりも、Pythonによるマルウェアの方がプログラムのサイズやリソース消費量が大きくなりがちですが、インターネット回線の高速化やコンピュータースペックの進化などにより、近年はプログラムサイズが障壁になりにくくなっているそうです。

マルウェア開発でよく利用されるライブラリとして、pyminifierpyarmorがあるとのこと。こうしたライブラリを使えば、人間が理解しにくいように加工された難読化コードにコードを変換することができます。


他にもスクリーンショットを撮影できるPython MSSを使って機密データを抜き出したり、ウェブリクエストを行えるライブラリを使用してC2サーバーにデータを送信したりすることが可能。また、文字列をPythonコードとして実行できるeval関数も、マルウェアをプログラミングするという目的においては非常に強力だとジャクソン氏は語っています。

Pythonで書かれたマルウェアとして有名なものが「SeaDuke」であるとジャクソン氏。SeaDukeはサイバースパイ組織「The Dukes」によるPython製マルウェアで、パロアルトネットワークスの対サイバー脅威組織「Unit 42」によって逆コンパイルなどの分析が行われました。分析の結果、SeaDukeはPyInstallerを使用してコードをWindowsの実行ファイルに変換後、UPXによって圧縮が行われていたとのこと。ソースコードは難読化されており、WindowsのみならずLinuxでも動作するクロスプラットフォームのマルウェアでした。


デバイスのファイルを暗号化して身代金を要求する「ランサムウェア」にもPython製のプログラムが存在します。「PyLocky」は、アンチサンドボックス機能や3DESによるファイルの暗号化機能を搭載しており、トレンドマイクロによって分析結果が報告されています。他にも主に欧州で観測されたPWOBotやアゼルバイジャンの企業や公的機関を標的にしたPoetRAT、またGitHubにソースコードが公開されているPupyStitchといったオープンソースのPython製マルウェアも存在します。

こうしたPython製マルウェアを分析するためのツールも存在します。uncompyle6python-exe-unpackerなどのツールを使えば、コンパイルされたバイナリコードをPythonのソースコードに逆コンパイルすることが可能とのこと。


ジャクソン氏は「コンピュータシステムが高速化し、操作が簡単になっていく中で、マルウェアのトレンドが変化していくのを観察するのはとても興味深いものです。また、セキュリティ業界としては、Python製のマルウェアに目を光らせておく必要があります」と語っています。

この記事のタイトルとURLをコピーする

・関連記事
ロシア政府の影がちらつく大規模サイバースパイ組織「The Dukes」とは? - GIGAZINE

スーパーコンピューターで暗号資産マイニングをもくろむサイバー攻撃が発生 - GIGAZINE

ホンダが「技術的問題」で一部業務停止、ランサムウェアによるサイバー攻撃の可能性 - GIGAZINE

サイバー攻撃レポートで明らかになったロシアのサイバー攻撃体制とは? - GIGAZINE

諜報機関のハッキングツールが敵のハッカーに分析され「再利用」されていたと判明 - GIGAZINE

中国はマルウェアによるウイグル族の監視活動を数年にわたって行っていたと判明 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1n_yi

You can read the machine translated English article here.