10月23日、SANS Instituteが運営するインターネットストームセンター Handler’s
DiaryにAdobe Acrobat / Reader 8.1の脆弱性(CVE-2007-5020)を悪用したPDFファイルがターゲット攻撃として悪用されている情報が公開されました。
SANS Handler’s Diary : PDF mailto exploit documents in the wild
すでに日本のWebメディアなどにも翻訳記事が紹介されています。
今回は、これまでの経緯とトレンドマイクロの対応状況について紹介させていただきたいと思います。
| 日時(JST) | 内容 |
| 2007-07-27(米国時間) | US-CERT Microsoft Windows URI Protocol Handling Vulnerability にて、OS側の脆弱性として報告される。 |
| 2007-07-27 10:49(米国時間) | VU#403150 Microsoft Windows URI protocol handling vulnerability |
| 2007-09-20 01:23(米国時間) | BugTraq に 「0day: PDF pwns Windows」が投稿される。PDFファイルの脆弱性として報告される。 |
| 2007-09-20(米国時間) | SANS Internet Storm Center Alleged Acrobat Vulnerability |
| 2007-10-05(米国時間) | Adobe Systems Inc. APSA07-04 : Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat 公式見解としての発表 |
| 2007-10-05 | アドビ システムズ社 APSA07-04 : バージョン8.1、もしくはそれ以前のAdobe ReaderおよびAcrobatの脆弱性について 日本語による公式発表 |
| 2007-10-11 | マイクロソフト社 943521 : Windows Internet Explorer 7 がインストールされた Windows XP および Windows Server 2003 の URL の処理の脆弱性により、リモートでコードが実行される OS側の脆弱性としての公式発表 |
| 2007-10-16 21:00 | Full-disclosure に 「0-day PDF exploit」が投稿される。脆弱性の実証コードがアップロードされる。 |
| 2007-10-17 | Trend Micro Security Blog に 「Adobe Acrobat / Reader 8.1における実行ファイルの自動実行の危険性」を投稿 |
| 2007-10-18 08:11 | 実証コードの検出「EXPL_PIDIEF.A」に対応したコントロールパターンファイル 4.780.05をリリース |
| 2007-10-18 12:17 | オフィシャルパターンファイル 4.781.00をリリース |
| 2007-10-22 | Adobe Systems Inc. Adobe Reader 8.1.1 update – multiple languages 修正プログラムのリリース。 |
| 2007-10-23 09:18 | SANS Internet Storm Center PDF mailto exploit documents in the wild 実害あるコードの流通が報じられる。 |
| 2007-10-24 08:51 | EXPL_PIDIEF.Aの亜種「EXPL_PIDIEF.B」、亜種によってダウンロードされる「TSPY_PAPRAS.CF」に対応したコントロールパターンファイル 4.790.10をリリース |
| 2007-10-24 12:34 | オフィシャルパターンファイル 4.791.00をリリース |
現時点(2007年10月25日 12:00現在)で、日本国内における「EXPL_PIDIEF.A」または「EXPL_PIDIEF.B」の流通、被害報告はありません。
しかしながら、実証コードの流通から5日後にウイルスが流通している点。なにより、修正プログラムのリリースから1日の猶予しかなく実害コードが流通したという点は管理者にとって大きな脅威であったといえます。
読者の中にはいままさに、修正プログラムの適用作業に追われている方もいらっしゃるのではと推測されます。
今回、この記事では一体誰が実害コードを拡散したのかという点に注目し、TrendLabsによって分析された結果をご紹介させていただきたいと思います。
問題のPDFファイルはメールによる拡散が確認されています。企業内で実際に流通しているような会計書類を装っています。
- invoice(請求書、納品書)
- statement(リリース文、明細書)
- bill(為替手形)
PDFファイル名についても同様の意図が読み取れます。
- YOUR_BILL.PDF
- INVOICE.PDF
悪意あるPDFファイルはウイルスドロッパーとして動作します。ファイルを開き、脆弱性が悪用されることで、「ldr.exe」という「TSPY_PAPRAS.CF」トロイの木馬型スパイウェアがダウンロードされます。更に、Windows Firewallを無効にする周到な振る舞いを確認しています。
今回、我々が注目したのは「TSPY_PAPRAS.CF」がアップロードされているサーバです。
我々が8月末に確認した事例と同じサーバが攻撃に使用されていたのです。
TrendLabs Malware Blog : More Russian Uprising: New IFrames and n404 Web Threat Kit
今回のみならず、このサーバはRussian Business Networkに属し、脅威の形を変えて、たびたび被害を拡散しています。
先に紹介した、Vector Markup Language(VML)の脆弱性を狙ったゼロデイ攻撃。
CoolWebSearch、Snifula、UrSnifといったスパイウェアの拡散。
米国内においては、その脅威が一般紙であるワシントンポストのオンライン版(2007年10月13日付け)にも紹介されました。
washingtonpost.com : Shadowy Russian Firm Seen as Conduit for Cybercrime
ウイルス解析担当者はRussian Business Networkのようにウイルスの感染源となるWebサイトかどうかを複数の情報から判断しています。具体例としては、下記のような項目が挙げられます。
- ドメインの「登録年月日」が若い。
- ネームサーバやIPアドレスの変更頻度が高く「安定性」に欠ける。
- 特定のネームサーバが多くのドメインで使用されている。
- 正常なファイル形式で公開していない。
- サーバが不正な目的(スパム/フィッシング)で使用されている。
すべての利用者がこれらの情報を収集でき、そこから判断することができればWeb経由のウイルス感染を含め、脅威の低減が期待できます。しかしながら、利用者自身がこのような情報を収集・判断するためには、高い技術力と高度な解析装置が必要になってしまうのが現実です。
このため、セキュリティベンダーには透過的に「Webからの脅威」への対策を実現できる技術の提供が求められてきました。
その技術としてトレンドマイクロが提供しているのが、「Webレピュテーションサービス」です。
Webレピュテーションサービスとは、HTTP接続する際に、接続先サイト(ドメイン)のレピュテーション(評価)を参照し、接続を制御する技術です。
Russian Business Networkが信頼ならないという情報も過去の実績に基づき、PDFファイルアタックの前に反映されています。
今回のPDFファイルアタックでは、従来の静的なURLフィルタリングやパターンマッチングなどでは限界が見られる脅威であっても、多層的なソリューションによって防御力を維持できることを改めて認識させられる事例でした。