リージョナルトレンドラボは2月、マイクロソフト株式会社のMicrosoft Excelの脆弱性に対して攻撃を仕掛けるXLSファイル(Excelウイルス)「TROJ_MDROPPER.XR」の被害報告を受信いたしました。既に日本国内のお客様からも検体提供いただいております。
| 攻撃タイプ | ベンダ発表(発表日:2009/2/25) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 受動 | マイクロソフト株式会社 | 968272 | Microsoft Office Excel の脆弱性により、リモートでコードが実行される | CVE-2009-0238 | 9.3(危険) |
| トレンドマイクロ製品による脆弱性緩和策 | |||||
| ソリューション | バージョン | 検出名、検出別名(2009/2/25時点) | |||
 |
ウイルスパターンファイル | 5.861.00 | TROJ_MDROPPER.XR Exploit-MSExcel.r(McAfee) Trojan.Mdropper.AC(Symantec) |
||
今回の攻撃は日本国内の一部組織団体より被害報告を受けているものであり、現時点で広域に広がっている事例ではありません。よって標的型(ターゲット)攻撃に分類される脅威レベルと言えます。トレンドマイクロでは、公表された脆弱性を悪用した攻撃であり、アプリケーションの脆弱性が受動的(誘導型)攻撃に悪用される事例が経て続いていることから、広く一般に情報を公開するとともに、インストールされているアプリケーションのセキュリティ状態をご確認いただくことを推奨します。
国内より第一報を受信したのが2月19日、既にマイクロソフト社からも発表のとおり(該当記事:自動再生 (Autorun) & Excel 0-day)、アドバイザリ情報公開前に実施されたゼロデイ攻撃であったと言えます。
Excelウイルス実行によりバックドアと無害なXLSファイルをドロップ
Windows OS環境下において、影響下にあるMicrosoft Excel 2007を使いExcelウイルスを開くと、ファイルに仕込まれたプログラムが脆弱性を衝いて動き出し、2種類のファイルが生成され、実行されます。
生成される一つのファイル(d11host.exe)はバックドア「BKDR_AGENT.FAX」。バックドアは今後の活動を確実なものとするために、自身をサービスとして登録するとともに、正規プロセス(Iexplorer.exe、Explorer.exe、Services.exe)にインジェクションを行います。
|
キー:
値: |
|
キー:
値: |
また、バックドアのモジュールファイル(momodit.dll)をシステムファイル(Explorer.exe)と同一のタイムスタンプに書き換える振る舞いも見られます。この振る舞いはフォレンジック手法による検体採取を困難とするために仕組まれたものと推測されます。
同時に作成されるもう一つのファイルも隠蔽目的と推測されます。Excelウイルスと同じファイル名の無害なExcelファイルを生成します。Excelウイルスの実行によりこの無害なExcelファイルが開かれます。このため利用者は無害のExcelファイルが開いたように見え、異常に気付くことは困難になります。
バックドアの接続先は国内HTTPサーバ
ここで、バックドアの活動について詳しく見ていきます。バックドアは次のサイトに対し、接続を試みます。接続が確立すると感染コンピュータのコンピュータ名とIPアドレスを暗号化して送信します。
|
|
なお、このHTTPサーバはIPアドレスから地理情報の取得を試みた結果、日本国内に設置されたサーバであることを特定しています。
攻撃者は感染コンピュータのコンピュータ名、IPアドレス情報を得た上で、リモートから任意のコマンド実行が可能となります。これにより、次のような脅威が想定されます。
- ファイルの削除、ダウンロード、実行
- 自身の更新
- 特定プロセスの終了
- すべてのシェルコマンドの実行
- 指定した時刻間プロセス停止
- 存在するドライブとそのドライブ種類の列挙
パッチなくとも事前の対策は可能
2月26日時点でマイクロソフト社では今回の脆弱性を調査中と発表しています。セキュリティ更新プログラムのリリースなき現状で利用者/管理者が可能な事前対策を考案する必要があります。有限責任中間法人JPCERT コーディネーションセンターでは、事前対策を検討する上で有益な情報を公開しています。2008年8月7日に発表した資料「標的型攻撃対策手法に関する調査報告書(PDF)」にて、標的型攻撃に対する技術的な対策および緩和方策として次の3つの側面を紹介しています。
- 攻撃を察知するのを助ける技術的対策
- 被害を最小範囲に留める仕組み
- ユーザ教育
今回私が注目したのは、「攻撃を察知するのを助ける技術的対策」。管理者がインターネットと組織との境界線において実施できる対策として、送信元に注目することを提案します。これまで、標的型攻撃では、信頼されない発信元から攻撃データが送信されることが多いです。このため、信頼されない発信元からの情報を排除する技術的対策を導入することが有効と言えます。トレンドマイクロではスパムメールなどの不正な電子メールとウェブの不正サイト、コンピュータ上にある不正プログラムを対象とした3つのレピュテーション技術を組み合わせ、「Trend Micro Smart Protection Network」を提供しています。レピュテーション技術は標的型攻撃を防ぐという観点からもその有効性を期待することができます。
利用者側で検討できる対策として、データ実行防止(DEP:Data Execute Prevention)機能と「Microsoft Office Isolated Conversion Environment(MOICE)」の利用検討を紹介します。
DEPは「Windows XP SP2」より実装されたセキュリティ強化機能です。ハードウェアによるサポートを必要とし、その利用検証にあたって技術的に難度の高い解説を理解する必要があるため、機能は知っていても利用されていない方も多いかと思われます。DEPはバッファオーバーフロー/バッファオーバーランと呼ばれる脆弱性に対して高い効果を発揮します。このため、これら脆弱性を悪用してウイルスをドロップしている文書ファイル系ウイルスに対して高い予防効果を発揮します。今回のウイルスにおいても防止効果が有効であることを確認しています。
MOICEはバイナリ形式のExcelファイルをOpen XML形式に変換するツールです。Excelウイルスは、バイナリ形式(Excel 2003以前のファイル形式)に限られています。このため、Open XML形式のファイルに変換することで脆弱性のリスクを軽減することが期待できます。
- レピュテーション技術の活用
- 総合セキュリティソフトの利用とアップデートによる最新状態の維持
- OSのみならず、アプリケーションの脆弱性に対する速やかな修正
- 不審なファイルは開かない
- データ実行防止(DEP:Data Execute Prevention)機能の利用検討
- 「Microsoft Office Isolated Conversion Environment(MOICE)」を使用したファイル変換
* 参考情報. マイクロソフト サポート技術情報:884515「Windows XP SP2 のデータ実行防止機能について」
* 参考情報. マイクロソフト セキュリティ アドバイザリ (937696)「Microsoft Office Isolated Conversion Environment (MOICE) および Microsoft Office 向けファイル ブロック機能の公開」
このように、セキュリティ対策製品を上手く活用し、リスク回避を検討してみてはいかがでしょうか。最後に、日頃からのセキュリティ基本対策を怠るべきではないこと。特に「信頼できないファイルは開かない」とのセオリーを徹底することの重要性を注意喚起としてお伝えします。