ネットワークトラフィックの監視は、IT管理者がネットワーク内で標的型攻撃を受けているかを確認する手段の 1つです。「Remote Access Tool(RAT)」は、一般的に標的型攻撃キャンペーンで見られ、コマンド&コントロール(C&C)との通信を行うために利用されます。RAT のネットワークトラフィックの中でも、特に、「Gh0st」や「PoisonIvy」、「Hupigon」、「PlugX」といった RAT は、よく知られており、検出されています。しかし、攻撃者は、いまだにこれらの RAT を標的型攻撃で効果的に利用しています。
トレンドマイクロは、2014年5月、台湾の政府機関を狙った標的型攻撃を確認しました。攻撃者は、この標的型攻撃で RAT「PlugX」を利用し、オンラインストレージサービス「Dropbox」を悪用することで、自身の C&C設定をダウンロードしました。以前にも Dropbox にアップロードされた不正プログラムに誘導する攻撃が確認されており、Dropbox を悪用する攻撃自体は、新しいものとは言えません。しかし、これは、弊社が標的型攻撃に関連する解析をする中で、C&C設定を更新するために Dropbox を利用した最初の事例となりました。
トレンドマイクロは、2014年6月、「身代金要求型不正プログラム(ランサムウェア)」である「CryptoLocker」や「UPATRE」といった他の脅威が、Dropbox を利用し、不正活動を拡大させていることについて報告しました。今回の不正活動で弊社が入手した検体は、「BKDR_PLUGX.ZTBF-A」および「TROJ_PLUGX.ZTBF-A」として検出されます。
「BKDR_PLUGX.ZTBF-A」が実行されると、リモートユーザからのさまざまなコマンドを遂行します。このコマンドには、キー入力操作情報の記録や、ポートマッピングの実行、リモートシェルの実行などが含まれます。これらのコマンドが実行されることにより、標的型攻撃を次の段階へ進ませることになります。一般的に、攻撃者は、リモートシェルを実行することで、感染PC 上であらゆるコマンドを実行し、セキュリティを侵害することが可能になります。
「BKDR_PLUGX.ZTBF-A」も、特定の URL に接続し、自身の C&C設定をダウンロードします。Dropbox は、ファイルや文書を保存するための正規の Webサイトであるため、攻撃者は、Dropbox を利用することで、ネットワーク内の不正なトラフィックを隠ぺいすることができます。また、弊社は、このバックドア型不正プログラムには、2014年5月5日が発症日時として設定されていることを確認しています。つまり、この不正プログラムは、2014年5月5日以降に実行されます。おそらく、これは、PC 内でのあらゆる不正活動が、ユーザにすぐに気づかれないために行ったものだと考えられます。
この不正プログラムは、type I から新たな機能と変更を加えた PlugX の type II の亜種です。変更点の 1つとして、従来利用していたヘッダー「MZ/PE」の代わりに、ヘッダー「XV」を利用する点が挙げられます。この不正プログラムは、最初にヘッダー「XV」を読み込みます。ヘッダー「XV」がヘッダー「MZ/PE」に置き換えられない限りは、バイナリを実行しません。これは、フォレンジック調査に対抗するための技術である可能性があります。また、この不正プログラムは、攻撃者からの認証コードを備えています。今回の事例では、「20140513」です。しかし、PlugX の一般的な機能に、一般のアプリケーションが不正な DLLファイルを読み込む「DLLプリロード攻撃(別名:バイナリの植え付け)」という手法があります。この不正な DLLファイルは、その後、不正活動の中心となる暗号化されたコンポーネントを読み込みます。さらに、この不正プログラムは、特定のセキュリティ対策製品を悪用します。
■攻撃ツール:ネットワークの深層に侵入する
弊社が今回の攻撃に関連する C&Cサーバ「<省略>.<省略>.24.12」を解析したところ、米国のホスト会社「Krypt Technologies」が関係していることを確認しました。また、「<省略>.<省略>.206.172」は、「Zhou Pizhong」という人物が所有していると思われる「Wholesale Internet」に接続されます。「imm.heritageblog.org」の whois情報を確認したところ、メインドメインである「heritageblog.org」が「Whois Privacy Protection Service, Inc」に登録されていることが判明しました。これは、ドメインの登録情報を隠ぺいするために行われたものと考えられます。
Dropbox を悪用した攻撃と同様に、攻撃者は、ドメイン「firefox-sync.com」が、「FireFox Sync」と関連があることを暗示し、正規で無害なものと思わせました。また、このメインドメインである「firefox-sync」は、Gmail のアドレスに登録されています。パッシブDNS の情報により、「firefox-sync.com」は、IPアドレス「0.0.0.0」へのマッピングのレコードを保持していることが分かりました。IPアドレス「0.0.0.0」は、特別に確保されているアドレスで、通常、ローカルネットワーク内の未確認で該当のない対象に割り当てられます。攻撃者は、このアドレスを、機能させる必要があるときまで、収益を得る目的で広告を掲載したりする「パークドメイン」として利用している可能性があります。
一旦、C&C通信が行われると、攻撃者は、ネットワーク内で「情報探索」を行います。また、攻撃者は、追跡や検出から逃れるため、さまざまな不正なツールや正規のツールを利用します。今回の攻撃で、弊社が確認したツールは以下のとおりです。
- パスワード復旧ツール
- リモート管理ツール
- プロキシ
- ネットワーク・ユーティリティ・ツール
- ポートスキャナ
- 情報転送ツール「Htran」
パスワード復旧ツールは、ローカルドライブやレジストリ内に存在するアプリケーションまたはオペレーティングシステム(OS)のパスワードを抽出するツールです。攻撃者は、「Pass the Hash」と呼ばれる技法を利用し、管理者権限や高レベルのアクセス権を入手します。これにより、機密情報や企業の「最も貴重な情報」が存在するネットワーク内の特定の場所へアクセスすることが可能になります。
「Htran」は、TCPトラフィックをさまざまな国にわたって接続することで、攻撃者の接続元IP を隠ぺいします。これは、IT管理者が容易に攻撃者の接続元IP を追跡できないようにするために行われます。こうすることで、攻撃者は、ネットワーク内に長く留まることが出来ます。
■スレットインテリジェンスの重要性
弊社は、2012年に、特注された RAT「PlugX」について報告しました。この RAT は、2008年にはすでに、複数の標的型攻撃キャンペーンで利用されていました。弊社の調査で、PlugX の特定の亜種は、韓国の企業や米国の技術系企業を攻撃したことを報告しています。
PlugX に関連するさまざまなセキュリティに関する事例については、下記の投稿をご参照ください。
types I および types II の PlugX は、機能に違いがあるものの、特定の技術や「侵入の痕跡(Indicators of Compromise、IOC)」に類似性があるため、機密情報にもたらされる危険性を軽減することが可能です。PlugX を利用する標的型攻撃キャンペーンは、スレットインテリジェンスを介して検出することができます。IOC に関する情報は一般に入手可能なため、企業が標的型攻撃を受けたかを確認することができます。IOC は、セキュリティ対策製品に組み込むことが可能なため、標的型攻撃の最終段階となる「情報送出」に達する前に、攻撃の連鎖を断ち切ることができます。
トレンドマイクロでは、企業を標的型攻撃から保護するために、ネットワーク監視ソリューション製品「Trend Micro Deep Discovery」を提供し、不正プログラムや C&Cサーバとの通信、すべての攻撃段階にわたる不正活動を検出対応します。
弊社の調査において、Dropbox にはいかなる脆弱性も確認できませんでした。これは、他の類似するクラウドアプリケーションも Dropbox と同様に不正活動に利用される可能性があることを示しています。2014年6月25日現在、すでに Dropbox にはこの事例について報告をしています。
※協力執筆者:Rhena Inocencio および Marco Dela Vega
参考記事:
by Maersk Menrige (Threats Analyst)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)