認証プロキシに対応したPoisonIvy(2015-07-08) - JPCERT/CC EyesPoisonIvyと呼ばれるマルウエアが存在します。このマルウエアは、2013年頃まで標的型攻撃で多く使われていました。それ以降は、使われる例が減少してきており、機能拡張のような変化も最近まで見られませんでした。しかし、通信機能の拡張がされたPoisonIvyを、最近、複数の攻撃事例において確認しました。 今回は、PoisonIvyにおける通信機能の拡張について紹介します。 従来のPoisonIvyの通信機能 これまでのPoisonIvyは、独自のプロトコルでC&Cサーバと通信していました。また、プロキシが設置された組織内では、プロキシサーバ情報があらかじめPoisonIvyに設定されているか、Internet Explorerからプロキシ情報を取得する設定が有効になっていれば、CONNECTメソッドまたはSOCKS(バージョン4)を使用して、プロキシ経由でC&Cサーバにデータの送信を試み
