先週末17日前後に日本の圧縮解凍ツール「Lhaz」のセキュリティホールを狙ったゼロデイアタックが確認されました。日本の圧縮解凍ツールが狙われたケースとしては6月末に起こった「+Lhaca」へのゼロデイアタックに続く攻撃であり、今回もターゲット攻撃として限られたユーザの元に届いているようです。広い範囲で被害が出ているものではありませんが「Lhaz」を使用している方はご注意ください。
トレンドマイクロで入手した今回の攻撃ファイルは「.tgz」という一般的に tar+gzip の圧縮を示す拡張子のファイルであり、第二次世界大戦年表の情報を謳うファイルでした。これは8月15日が終戦記念日だったことからその関連でユーザに興味を持たそうとしたものと考えられます。
Lhaz でこのファイルを解凍すると表面上は別のファイル名の無いtgz圧縮ファイルが解凍されたように見えます。一般的な攻撃の手法から推測すれば、このファイル名の無い圧縮ファイルは元ファイルと同じファイル名にしたかったものがうまくいかなかったものではないかと考えられます。
この新たに出現したファイルの中には実際に第二次世界大戦年表の内容のリッチテキストファイルとパワーポイントファイルが入っています。この年表はインターネット上のコンテンツを丸写ししたものであるようです。
この解凍の裏ではセキュリティホールによりドロッパーファイルが実行されており、外部サーバに通信を行った後、バックドアプログラムである “wuausrv.dll” がWindowsのシステムフォルダにインストールされます。
※システムフォルダ内に作成されるファイル:
このファイル名はWindowsのシステムファイルである “wuauserv.dll” と混同することを狙ったファイル名とみられ、プロパティのバージョン情報でも Microsoft 製のファイルであることを主張しています。しかし、比べると © や ® のマークが欠けているところが違っていました。
※ファイルのプロパティ例: 今回の攻撃で使用された “wuausrv.dll”はマイクロソフトのファイルを騙っているものの © や ® のマークが欠けている:
圧縮解凍ツールには大きく分けて、一般的な圧縮解凍用DLLを利用するタイプと、自前で圧縮解凍処理を行うタイプがあります。前回狙われた「+Lhaca」も今回の「Lhaz」も後者のタイプでした。このタイプは扱いが容易なためか会社や団体で一括して使用されることが多いようです。今回の攻撃もそこを狙ったものと考えられます。
トレンドマイクロではセキュリティホールを攻撃する圧縮ファイルを「TROJ_LZDROPPER.A」、バックドアプログラムを「BKDR_PROTUX.AK」として検出対応します。