相次ぐ文書ファイルを狙った攻撃、今度の標的は国産ワープロソフト「一太郎」

 リージョナルトレンドラボは3月11日、株式会社ジャストシステムのワープロソフト「一太郎」に存在する未知の脆弱性に対してゼロデイ攻撃(修正プログラム未公開のセキュリティホール:脆弱性を悪用する攻撃)を仕掛けるトロイの木馬「TROJ_TARODROP.BA」の報告を受信いたしました。

※2009年3月16日にジャストシステム社から第一報、同日に修正プログラムが公開されました。
※修正プログラムは同社サイトを通じて入手可能です。

攻撃タイプ ベンダ発表(発表日:2009/3/16) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 株式会社ジャストシステム JS09001 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について N/A 9.3(危険)
トレンドマイクロ製品による脆弱性緩和策
  ソリューション バージョン 検出名、検出別名(2009/3/15時点)
ウイルスパターンファイル 5.893.00 TROJ_TARODROP.BA
Exploit-TaroDrop.g(McAfee)
Trojan.Tarodrop.H(Symantec)

 今回発見された「TROJ_TARODROP.BA」は、電子メールや悪意のあるWebサイトを介して侵入したものと推測されます。攻撃ファイルの名前は「{日本語の文字列}.jtd」です。

回を増すごとに洗練している攻撃手法

 一太郎の脆弱性を狙った攻撃が初観測されたのは2006年8月の「TROJ_MDROPPER.BL」でした。それ以後、新たな脆弱性が探し出される度に攻撃は仕掛けられ、その内容を洗練させてきています。

 これまでの攻撃において攻撃者は実質的な不正活動を行うプログラムをドロップ/自動実行させるために文書アプリケーションの脆弱性を衝いてきています。「TROJ_TARODROP.BA」の攻撃シナリオも例外ではありません。攻撃シナリオを追ってみたいと思います。

 影響下にある一太郎を使い、一太郎ウイルス(脆弱性を衝く攻撃ファイル、JTDファイル)を開くと、「<ランダムな文字列>.tmp」を生成します。トレンドマイクロでは同ファイルを「TROJ_DROPPER.PAO」の検出名にて対応しています。同ファイルは実質的な不正活動を行う「TROJ_AGENT.KLQW」(beer80.exe)のドロップと偽装工作を担当します。

 攻撃者にとって、攻撃成立から被害発覚までより長時間確保することが大きなモチベーションとなっています。これはすなわち、被害者たる利用者に異変を気づかせないということです。文書ファイルを狙った攻撃において定番となっている偽装工作が無害なファイルでウイルスを上書きすることです。「TROJ_DROPPER.PAO」が行う偽装工作もこの手法を採っています。

 「TROJ_DROPPER.PAO」は自身のファイル内に「TROJ_TARODROP.BA」(一太郎ウイルス)のファイル名とファイルパスを書き込みます。そして、自身のファイル内にある正常な形式の一太郎文章ファイルのデータに一太郎ウイルスと同じファイル名を与え、「TROJ_TARODROP.BA」を上書きした上で開きます。このため利用者には意図した動作が行われているように見え、主観的な症状によるウイルス感染の事実に気づくことがありません。

図1 「TROJ_TARODROP.BA」の動作フロー
図1 「TROJ_TARODROP.BA」の動作フロー

ドロップされたウイルスは複数モジュールが協調して不正活動

 次に「TROJ_TARODROP.BA」がドロップするトロイの木馬「TROJ_AGENT.KLQW」の振る舞いを追ってみたいと思います。

 「TROJ_AGENT.KLQW」は複数のモジュールが協調して不正活動を行うタイプのウイルスです。「TROJ_TARODROP.BA」によりドロップされた「TROJ_AGENT.KLQW」(beer80.exe)は次のモジュールを生成します。

%system%WudfSvc.exe(beer80.exeの複製)
%system%fixmapi.dll
%system%MSIMM.dll

 このとき、モジュールのタイムスタンプが正常なシステムファイルである「winipsec.dll」との同期がはかられている点も注目です。この振る舞いはフォレンジック手法による検体採取を困難とするために仕組まれたものと推測されます。なお、トレンドマイクロでは、いずれのモジュール(beer80.exe、WudfSvc.exe、fixmapi.dll、MSIMM.dll)も「TROJ_AGENT.KLQW」の検出名にて対応しています。

 「TROJ_AGENT.KLQW」(beer80.exe)は今後の活動を確実なものとするために、正規プロセス(svchost.exe)に「MSIMM.dll」をインジェクションさせ、「fixmapi.dll」を読み込み実行させます。

 また、Windows起動時に自動実行されるよう、次のレジストリ値を作成します。

キー:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionpoliciesExplorerRun

値:
WudfSvc ="%system%WudfSvc.exe"

 以降、インジェクションにより乗っ取られた正規プロセス(svchost.exe)により不正活動が行われます。外部への情報漏洩活動が可能であることを確認するために、インターネット接続性の確認が行われます。確認のために接続するのはWindowsUpdateサイトです。

download.windowsupdate.com

接続確立後の活動

 接続が確立すると、感染コンピュータから次の情報収集が行われます。

  • コンピュータ名
  • IPアドレス
  • 乗っ取った正規プロセス(svchost.exe)のプロセスID
  • OSバージョン
  • ロケール情報
  • 存在するドライブとそのドライブの種類の情報

 本格的な攻撃を行うため偵察行為を実施し、新たな不正プログラムの呼び込みを計画していると推測されます。

 収集した情報は「TROJ_AGENT.KLQW」によってURLクエリストリング形式で外部送信が行われます。

http://b{BLOCKED}.com:80/index.html?SerchXS=<収集した情報>

 接続先ドメインのIPアドレスは頻繁に変更されており、3月12日時点ではアメリカに位置するサーバでしたが、15日現在、韓国に位置するサーバへと変化がみられます。これも攻撃検出を逃れるための戦略の一つといえます。

 なお、収集した情報の送信後は他の不正プログラムをダウンロードするルーチンへ移行します。ただし、15日現在、その接続は不能状態です。

メールでの添付ファイル習慣は見直すべき段階

 2009年に入り文書ファイルを狙った新規攻撃は今回で3件目(PDFウイルス(参考情報1.)、Excelウイルス(参考情報2.)、一太郎ウイルス)となります。この攻撃のリスクに対応するには、どのようなアプローチをとるのか考えることが一つのカギであるといえます。

 Excelウイルスの記事でも紹介させていただいた、JPCERT/CC「標的型攻撃対策手法に関する調査報告書(PDF)」では、送信ドメイン認証(SPF/Sender ID、DKIM)、メッセージ署名(S/MIME、PGP)によりメールのセキュリティを確保し、安全に添付ファイルの交換を実現する手段が提案されています。「なりすまし」のリスクを「認証/署名」という手段をとって「リスク低減」を図ったアプローチといえます。

 対して、メールでのファイル交換は一切禁止する。代わりにオンラインストレージなどのサーバを用意したデータ交換を許可するという方針を打ち出している場合もあるかと思います。「模倣容易」なメールという通信手段のリスクを「模倣困難な別の手続きを用意する」という手段をとって「リスク回避」を図ったアプローチといえるのではないでしょうか。

 いずれのアプローチにも共通していえることとして、ビジネス環境やセキュリティ動向の変化に柔軟に対応することができれば、新規攻撃に立ち向かっていくことは可能であるといえるのではないでしょうか。この機会にファイル交換手段について再考してみてはいかがでしょうか。

 

【訂正と追記】

2009/03/17 22:07 Symantecの検出別名を追加いたしました。
2009/03/17 11:38 McAfeeの検出別名を追加いたしました。