リージョナルトレンドラボは3月11日、株式会社ジャストシステムのワープロソフト「一太郎」に存在する未知の脆弱性に対してゼロデイ攻撃(修正プログラム未公開のセキュリティホール:脆弱性を悪用する攻撃)を仕掛けるトロイの木馬「TROJ_TARODROP.BA」の報告を受信いたしました。
※2009年3月16日にジャストシステム社から第一報、同日に修正プログラムが公開されました。 ※修正プログラムは同社サイトを通じて入手可能です。
今回発見された「TROJ_TARODROP.BA」は、電子メールや悪意のあるWebサイトを介して侵入したものと推測されます。攻撃ファイルの名前は「{日本語の文字列}.jtd」です。
一太郎の脆弱性を狙った攻撃が初観測されたのは2006年8月の「TROJ_MDROPPER.BL」でした。それ以後、新たな脆弱性が探し出される度に攻撃は仕掛けられ、その内容を洗練させてきています。
これまでの攻撃において攻撃者は実質的な不正活動を行うプログラムをドロップ/自動実行させるために文書アプリケーションの脆弱性を衝いてきています。「TROJ_TARODROP.BA」の攻撃シナリオも例外ではありません。攻撃シナリオを追ってみたいと思います。
影響下にある一太郎を使い、一太郎ウイルス(脆弱性を衝く攻撃ファイル、JTDファイル)を開くと、「<ランダムな文字列>.tmp」を生成します。トレンドマイクロでは同ファイルを「TROJ_DROPPER.PAO」の検出名にて対応しています。同ファイルは実質的な不正活動を行う「TROJ_AGENT.KLQW」(beer80.exe)のドロップと偽装工作を担当します。
攻撃者にとって、攻撃成立から被害発覚までより長時間確保することが大きなモチベーションとなっています。これはすなわち、被害者たる利用者に異変を気づかせないということです。文書ファイルを狙った攻撃において定番となっている偽装工作が無害なファイルでウイルスを上書きすることです。「TROJ_DROPPER.PAO」が行う偽装工作もこの手法を採っています。
「TROJ_DROPPER.PAO」は自身のファイル内に「TROJ_TARODROP.BA」(一太郎ウイルス)のファイル名とファイルパスを書き込みます。そして、自身のファイル内にある正常な形式の一太郎文章ファイルのデータに一太郎ウイルスと同じファイル名を与え、「TROJ_TARODROP.BA」を上書きした上で開きます。このため利用者には意図した動作が行われているように見え、主観的な症状によるウイルス感染の事実に気づくことがありません。
次に「TROJ_TARODROP.BA」がドロップするトロイの木馬「TROJ_AGENT.KLQW」の振る舞いを追ってみたいと思います。
「TROJ_AGENT.KLQW」は複数のモジュールが協調して不正活動を行うタイプのウイルスです。「TROJ_TARODROP.BA」によりドロップされた「TROJ_AGENT.KLQW」(beer80.exe)は次のモジュールを生成します。
%system%WudfSvc.exe(beer80.exeの複製) %system%fixmapi.dll %system%MSIMM.dll
このとき、モジュールのタイムスタンプが正常なシステムファイルである「winipsec.dll」との同期がはかられている点も注目です。この振る舞いはフォレンジック手法による検体採取を困難とするために仕組まれたものと推測されます。なお、トレンドマイクロでは、いずれのモジュール(beer80.exe、WudfSvc.exe、fixmapi.dll、MSIMM.dll)も「TROJ_AGENT.KLQW」の検出名にて対応しています。
「TROJ_AGENT.KLQW」(beer80.exe)は今後の活動を確実なものとするために、正規プロセス(svchost.exe)に「MSIMM.dll」をインジェクションさせ、「fixmapi.dll」を読み込み実行させます。
また、Windows起動時に自動実行されるよう、次のレジストリ値を作成します。
キー: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionpoliciesExplorerRun
値: WudfSvc ="%system%WudfSvc.exe"
以降、インジェクションにより乗っ取られた正規プロセス(svchost.exe)により不正活動が行われます。外部への情報漏洩活動が可能であることを確認するために、インターネット接続性の確認が行われます。確認のために接続するのはWindowsUpdateサイトです。
download.windowsupdate.com
接続が確立すると、感染コンピュータから次の情報収集が行われます。
本格的な攻撃を行うため偵察行為を実施し、新たな不正プログラムの呼び込みを計画していると推測されます。
収集した情報は「TROJ_AGENT.KLQW」によってURLクエリストリング形式で外部送信が行われます。
http://b{BLOCKED}.com:80/index.html?SerchXS=<収集した情報>
接続先ドメインのIPアドレスは頻繁に変更されており、3月12日時点ではアメリカに位置するサーバでしたが、15日現在、韓国に位置するサーバへと変化がみられます。これも攻撃検出を逃れるための戦略の一つといえます。
なお、収集した情報の送信後は他の不正プログラムをダウンロードするルーチンへ移行します。ただし、15日現在、その接続は不能状態です。
2009年に入り文書ファイルを狙った新規攻撃は今回で3件目(PDFウイルス(参考情報1.)、Excelウイルス(参考情報2.)、一太郎ウイルス)となります。この攻撃のリスクに対応するには、どのようなアプローチをとるのか考えることが一つのカギであるといえます。
Excelウイルスの記事でも紹介させていただいた、JPCERT/CC「標的型攻撃対策手法に関する調査報告書(PDF)」では、送信ドメイン認証(SPF/Sender ID、DKIM)、メッセージ署名(S/MIME、PGP)によりメールのセキュリティを確保し、安全に添付ファイルの交換を実現する手段が提案されています。「なりすまし」のリスクを「認証/署名」という手段をとって「リスク低減」を図ったアプローチといえます。
対して、メールでのファイル交換は一切禁止する。代わりにオンラインストレージなどのサーバを用意したデータ交換を許可するという方針を打ち出している場合もあるかと思います。「模倣容易」なメールという通信手段のリスクを「模倣困難な別の手続きを用意する」という手段をとって「リスク回避」を図ったアプローチといえるのではないでしょうか。
いずれのアプローチにも共通していえることとして、ビジネス環境やセキュリティ動向の変化に柔軟に対応することができれば、新規攻撃に立ち向かっていくことは可能であるといえるのではないでしょうか。この機会にファイル交換手段について再考してみてはいかがでしょうか。
【訂正と追記】
This entry was posted on 月曜日, 3月 16th, 2009 at 2:12 pm and is filed under 不正プログラム, メール, 速報, Webからの脅威, 新種ウイルス, 日本発, 攻撃手法, 感染媒体 . Responses are closed, but you can trackback from your own site.
Comments are closed.
メールアドレスを入力:
(5 投票, 平均値/最大値: 3.40 / 5)
Loading ...
