Python製のマルウェアが台頭してきているという指摘

インターネットの普及とともにコンピューターやスマートフォンは日常生活に欠かせないものとなりましたが、そうしたデバイスに保存された機密データを標的としたマルウェアの脅威も大きなものになっています。そのマルウェアのプログラミングに使用される言語として「Python」が台頭してきていると、アメリカサイバー軍に使役した経験のあるオースティン・ジャクソン氏が語っています。

Python Malware On The Rise | Cyborg Security
https://www.cyborgsecurity.com/python-malware-on-the-rise//

過去30年にわたり、マルウェアの開発環境はC言語やC++、Delphiなどのコンパイラ型言語が主でしたが、近年はPythonなどのインタプリタ型言語によるマルウェアが増加しているとのこと。特にPythonはプログラミング初心者に優しく、簡単に開発でき、ライブラリが充実していることから、マルウェア開発者の注目を集めているとジャクソン氏は語っています。

コンパイル型言語によるマルウェアとは異なり、Pythonのコードを実行するためには実行環境をOSにインストールする必要があります。しかし、PyInstallerやpy2exe、Nuitkaといったツールを用いれば、Pythonを実行ファイルに変換することが可能。また、C言語によるマルウェアよりも、Pythonによるマルウェアの方がプログラムのサイズやリソース消費量が大きくなりがちですが、インターネット回線の高速化やコンピュータースペックの進化などにより、近年はプログラムサイズが障壁になりにくくなっているそうです。

マルウェア開発でよく利用されるライブラリとして、pyminifierやpyarmorがあるとのこと。こうしたライブラリを使えば、人間が理解しにくいように加工された難読化コードにコードを変換することができます。

他にもスクリーンショットを撮影できるPython MSSを使って機密データを抜き出したり、ウェブリクエストを行えるライブラリを使用してC2サーバーにデータを送信したりすることが可能。また、文字列をPythonコードとして実行できるeval関数も、マルウェアをプログラミングするという目的においては非常に強力だとジャクソン氏は語っています。

Pythonで書かれたマルウェアとして有名なものが「SeaDuke」であるとジャクソン氏。SeaDukeはサイバースパイ組織「The Dukes」によるPython製マルウェアで、パロアルトネットワークスの対サイバー脅威組織「Unit 42」によって逆コンパイルなどの分析が行われました。分析の結果、SeaDukeはPyInstallerを使用してコードをWindowsの実行ファイルに変換後、UPXによって圧縮が行われていたとのこと。ソースコードは難読化されており、WindowsのみならずLinuxでも動作するクロスプラットフォームのマルウェアでした。

デバイスのファイルを暗号化して身代金を要求する「ランサムウェア」にもPython製のプログラムが存在します。「PyLocky」は、アンチサンドボックス機能や3DESによるファイルの暗号化機能を搭載しており、トレンドマイクロによって分析結果が報告されています。他にも主に欧州で観測されたPWOBotやアゼルバイジャンの企業や公的機関を標的にしたPoetRAT、またGitHubにソースコードが公開されているPupyやStitchといったオープンソースのPython製マルウェアも存在します。

こうしたPython製マルウェアを分析するためのツールも存在します。uncompyle6やpython-exe-unpackerなどのツールを使えば、コンパイルされたバイナリコードをPythonのソースコードに逆コンパイルすることが可能とのこと。

ジャクソン氏は「コンピュータシステムが高速化し、操作が簡単になっていく中で、マルウェアのトレンドが変化していくのを観察するのはとても興味深いものです。また、セキュリティ業界としては、Python製のマルウェアに目を光らせておく必要があります」と語っています。