標的型攻撃は、その性質上、検出や軽減が困難です。トレンドマイクロでは、2014年6月、日本の政府機関や企業を狙う標的型攻撃キャンペーン「ANTIFULAI」を確認しました。なお、「2H 2013 Targeted Attack Trends(英語情報)」で、弊社が解析した標的型攻撃に関連した事例のうち、80% が政府機関を狙ったものであることを報告しています。
多くの標的型攻撃と同じように、「ANTIFULAI」も、侵入経路として複数の Eメールを利用し、標的となるユーザを引きつけます。今回の事例では、検出された Eメールは、求人について問い合わせたメールを装っており、リッチテキスト形式(RTF)の日本語ワープロソフト「一太郎」のファイル(拡張子 jtd)が添付されていました。しかし、このファイルは、「一太郎」に存在する脆弱性「CVE-2013-5990」を利用する不正プログラムです(「TROJ_TARODROP.FU」として検出)。
この問題の脆弱性が利用されると、感染PC上で任意のコードが実行され、不正なファイルが作成されます。最終的な不正活動は、「BKDR_ FULAIRO.SM」として検出されるバックドア型不正プログラムです。この不正プログラムは、一度実行されると、実行中のプロセスのリストの収集や情報収集、ファイルのダウンロードおよび実行を行います。この不正プログラムに感染すると、以下のファイルが PC上で確認できます。
- <Startup>\AntiVir_Update.URL
- <Temp>\~Proc75c.DAT
通常の不正プログラムと異なる点は、この不正プログラムは、自身のコマンド&コントロール(C&C)サーバとの接続に利用する URL に、標的を隠ぺいすることです。攻撃者は、標的とする組織に侵入したかどうかを、URL を確認することで簡単に判断できます。以下は、弊社が確認した URL の形式の一例です。
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(info|index).php?secue=(false|[プロキシ名])&pro=[実行中プロセスのリスト]
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(info|index).php?fileindex=[A-Z]
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(info|index).php?filen=noexist
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(info|index).php?filewh=false
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(info|index).php?Re=[シェルコマンドの出力結果]
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(info|index).php?verify=[ファイル名]
- [C&Cサーバのドメイン名]/[標的組織の頭文字]/(com.php|update.html)
■「スレットインテリジェンス」の重要性
IT管理者は、管理するネットワークが標的型攻撃を受けたかをネットワークトラフィックで確認できます。「スレットインテリジェンス」を構築することが、企業や大規模な組織にとって重要となるのはそのためです。IT管理者は、企業が導入可能なセキュリティ対策を活用して、標的型攻撃の最終段階となる「情報送出」に達する前に、攻撃の連鎖を断ち切ることができます。
さらに、標的型攻撃を軽減させる手段として、企業はシステムやアプリケーションを定期的に更新すべきです。一般的に、古くからある脆弱性は、ネットワークに侵入する目的で利用されます。
トレンドマイクロでは、企業を標的型攻撃から保護するために、ネットワーク監視ソリューション製品「Trend Micro Deep Discovery」を提供し、不正プログラムや C&Cサーバとの通信、潜在化した攻撃を検出対応します。
参考記事:
by Maersk Menrige (Threats Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)