ターゲット攻撃による不正プログラムの大規模拡散に対する対症療法

 「ターゲット攻撃により、不正プログラムの大規模拡散が発生したとき我々は指をくわえて見るしかないのか。」

 これは、あるお客様にてターゲット攻撃についての説明会を開催した際にいただいた問いかけです。

 実際にターゲット攻撃が発生したそのとき、企業のIT管理者ができることとは、いったい何なのでしょうか。

 セキュリティ意識の高いお客様は組織内にコンピュータセキュリティインシデントレスポンスチーム:CSIRTを構築されています。

 このお客様も、脅威にさらされた場合に、迅速な対応と情報発信を行うことを目的とした組織内CSIRTの構築を目指して活動しているとのことです。
 現時点では、活動の一環としてウイルスリスク発生時に対象端末に対する、カジュアル解析とレポート作成が行われているとのことでした。
 CSIRT要員が対象端末を分析し、物理的に隔離された小部屋(クリーンルーム)にて、次のポイントをリストアップしたレポートを作成しているとのことです。

  • 新たに追加または削除された実行ファイル、DLLファイル
  • 新たに追加または削除されたサービス
  • 新たに追加、変更または削除されたファイル
  • ベースラインから追加されたLSP(Layered Service Provider)のリスト
  • 新たに追加、変更または削除されたレジストリ
  • 実行ファイルの外部接続機能(IRC接続性、HTTP接続性)
  • 開いているネットワークポートのリストと対象プログラム

 こうして作られたレポートは非常に優れた内容でした。
 先の問いかけは、このレポートから得られる情報を利用者レベルで展開していきたいというものでした。

 すべてのCSIRT、管理者がこのようなレポートを作ることはできません。しかしながら、ウイルス被害を経験したことのあるエンジニアなら、ウイルスパターンファイルが配信される前のセキュリティ空白時間に何か対策を打ちたいと思うことはあると思います。

 そのような方々に紹介しているのが今回紹介する対症療法「Virtual Mutex:バーチャルミューテックス」です。
 これは筆者の造語であり正式な用語ではありません。その考え方を理解しておくことで、CSIRT要員や管理者が実施したカジュアル解析の結果を効果的に利用者へ展開することができます。

 本来ミューテックスとは、「MUTual EXclusive:相互排他」という単語の組み合わせ語です。あるプログラムが同一環境下においては、単一でしかその動作を許可しない排他制御を行う方法として知られています。

 こうして言葉にすると非常に難解です。さらに「バーチャル」が加わるということは、もう我々にはお手上げなのではと思われた方、そんなことはありません。

 今回紹介する「バーチャルミューテックス」とは、「ミューテックス」の排他制御という点に注目し、ある仕組みを使って特定のウイルスが侵入する前に排他制御の仕組みを使って侵入を阻止しようとする考え方です。
* 本来OSで使われているオブジェクトに対するミューテックスと区別するため、「バーチャル」をつけています。

 では、その「ある仕組み」とはなんでしょうか。
 それは、誰もが作り方を知っている「フォルダ」を作るということです。

 OSでは、同一フォルダ上に一意な名前のファイルしか存在させることができません。この仕組みをウイルス拡散の対症療法として活用したのが「バーチャルミューテックス」です。
 カジュアル解析によって、あるウイルスが特定のフォルダに特定のファイル名で自身のコピーや別のウイルスをドロップすることが判明しているとします。このとき、事前に作成されるファイル名でフォルダを作成してお
くことで、排他処理が働き、その端末上にウイルスをドロップすることができなくなるのです。

 このほか、「バーチャルミューテックス」は事前予防策としても使用できます。
 10月12日にこのTrend Micro Security Blogでも紹介させていただきました、「USBワーム」に対する危険性の緩和策としても使用できます。
 「USBワーム」ではその拡散の為に、リムーバブルドライブのルートドライブに「Autorun.inf」が必要であることを紹介させていただきました。
 このことを逆手にとって、リムーバブルドライブのルートドライブに「Autorun.inf」というフォルダを作っておけば、「USBワーム」の拡散に必要となるファイルの侵入を防ぐことが可能です。

 

「Autorun.inf」フォルダを含むリムーバブルドライブ
「Autorun.inf」フォルダを含むリムーバブルドライブへ「Autorun.inf」ファイルのコピーを行った結果、エラーが発生しています。

 このように「バーチャルミューテックス」を使えば、カジュアル解析の結果を、多くの利用者がわかりやすい方法で、セキュリティ空白時間における防御体制の構築につなげていくことが可能です。
 今後も、Trend Micro Security Blogでは、セキュリティ空白時間における対症療法となるテクニックを紹介していきたいと思います。