「Whitehole Exploit Kit」の出現

トレンドマイクロの CTO である Raimund Genes は、「2013年におけるセキュリティ予測」のなかで、既存の攻撃ツールの改良に焦点が当てられ、新たな攻撃ツールが確認されることを予測しています。その予測通り、「Whitehole Exploit Kit(WHEK)」と呼ばれる新たに台頭しつつあるエクスプロイトキットが確認されています。Whitehole Exploit kit という名称は、「Blackhole Exploit Kit(BHEK)」と区別するために無作為につけられたものです。WHEK は、BHEK と類似したコードを利用しますが、BHEK は、”plugindetect.js” の利用を隠ぺいするために JavaScript を利用する一方で、WHEK は、そういったことを行ないません。WHEK は、隠ぺいすることなく直接 “plugindetect.js” を利用します。

「TrendLabs(トレンドラボ)」は、関連する検体を解析。この中には、脆弱性を利用する不正プログラム(エクスプロイト)で特定のレポートで報告されているようなものも含まれています。「JAVA_EXPLOYT.NTW」として検出される不正プログラムは、以下の脆弱性を利用し、感染コンピュータに不正なファイルをダウンロードします。

  • CVE-2012-5076
  • CVE-2011-3544
  • CVE-2012-4681
  • CVE-2012-1723
  • CVE-2013-0422
  • なかでも注目すべきは、脆弱性「CVE-2013-0422」です。この脆弱性は、2013年1月上旬に確認されたゼロデイ脆弱性に関連しており、「身代金要求型不正プログラム(ランサムウェア)」として知られる「REVETON」の亜種を拡散し、また BHEK や「Cool Exploit Kit(CEK)」のようなツールキットにおいて利用されていました。この深刻なセキュリティに及ぼす影響のため、Oracle は、すぐにこの問題を対処し、ソフトウェアの更新版を公開しました(ただし、この更新版は、不完全なものであったことが確認されました)。

    ■警察を装うランサムウェア:驚異的な速度で進化
    ダウンロードされるファイルは、それぞれ「BKDR_ZACCESS.NTW」および「TROJ_RANSOM.NTW」として検出されます。「ZACCESS」の亜種は、「マスター・ブート・レコード(MBR)」に感染するルートキット型の不正プログラムとして知られており、他の不正プログラムをダウンロードし、偽のアプリケーションを侵入させます。ある「ZACCESS」の亜種は、特定のWebサイトへアクセスし、情報を送受信をしたり、特定のプロセスを終了するものもあります。また、既に感染しているコンピュータ上に更なる不正なファイルをダウンロードします。

    一方ランサムウェアは、通常、ユーザが特定の支払い方法で全額を支払うまで、コンピュータをロックします。Senior threat researcher の David Sancho は、自身のリサーチペーパー「Police Ransomware Update」において、この脅威がどのように急速に進化しているかを報告しています。

    WHEK は、まだ開発途上であり、「テスト段階」の状態にあるようです。しかし、この背後に潜む人物は、200~1800米ドル(2013年2月7日現在、およそ1万9千~16万8千円)といった金額で既にこのキットや、そしてコマンドまでも販売しています。またこの新たなツールキットにおける他の注目される機能は、ウイルス検出の回避や Googleの「セーフ ブラウジング」によるブロックの妨害、一度に最大20個のファイルの読み込みなどといったものが含まれています。

    トレンドラボは、WHEK の現状から、これから数カ月先、エクスプロイトキットにおける注意を要する変化を確認することとなるでしょう。そのため私たちは、引き続きあらゆる進展を目指すこの脅威を監視していきます。

    トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、Javaファイルやダウンロードされたファイルを検出し、また関連するすべてのWebサイトをブロックすることによって、この脅威からユーザを保護します。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、フィルタ「1004711 – Identified Malicious Java JAR Files」を適用することにより、関連の脆弱性を利用した攻撃から保護されています。「ウイルスバスター クラウド」、「ウイルスバスター ビジネスセキュリティ」および「ウイルスバスター コーポレートエディション」は、ここで取り上げられている脆弱性を利用した攻撃からユーザを保護します。

    ユーザは、必ずベンダから提供される最新のソフトウェアの更新版を適応し、リンクを含む疑わしいEメールを開かないように心掛けてください。

    ※協力執筆者:Michael Cabel (Threat response engineer)

    参考記事:

  • WhiteHole Exploit Kit Emerges
     by Jonh Paul Chua (Threat Response Engineer)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)