脆弱性を利用した 新たなる脅威の 監視 分析による調査 年 7 月

Transcription

1 脆弱性を利用した 新たなる脅威の 監視 分析による調査 年 7 月

2 もくじ もくじ 2 1. 背景 目的 背景 目的 3 2. マルウェアを取り巻く環境 マルウェア売買のビジネスモデル 過去の攻撃事例 IPA セキュリティセンターを騙った なりすましメール CSS からの CFP を装った なりすましメール ツールを利用したマルウェアの生成 配布 PDF マルウェア作成ツール Microsoft Server サービスの脆弱性を狙った攻撃ツール 多機能マルウェア作成ツール WEIS2008 の発表論文で紹介されたツール マルウェアの詳細解析 概要 動作の全体像 マルウェアの動作概要 explorer.exe にインジェクトされたコード プロセスにインジェクトされたコード マルウェアとリモートサーバー間での通信の監視 通信の監視結果 IPA を騙った なりすましメール 調査における通信の監視結果 検知 対策に関する調査および報告 まとめ 20-2

3 1. 背景 目的 1.1. 背景 近年 マルウェアによる被害が増加しており その背景には組織による犯行が挙げられる マルウェアを作成するプログラマや悪意のサイトを構築するエンジニアなどを金銭で雇い 犯行の分業化が行われている また マルウェアによる犯行の目的も 2004 年以降 不特定多数を狙った愉快犯的な犯行から 金銭や情報搾取といった目的へ変化し 特定の個人や企業を狙った標的型攻撃が深刻な問題となっている 標的型攻撃は 巧みに人を騙すソーシャルエンジニアリングを利用した攻撃や修正パッチや情報が公開されていないセキュリティ脆弱性 (0-day セキュリティ脆弱性 ) を利用した攻撃と併用されることが多く 従来のパターンファイルを用いたアンチウィルスソフトウェアでは 対応することが難しくなってきている また 近年のマルウェアには解析を困難にする耐解析技術や 攻撃者のサーバーと通信を行い マルウェアをダウンロードして実行するシーケンシャルマルウェアなどの高度な技術が用いられている そのため マルウェアに対して 十分な対策ができていない状況である 1.2. 目的 近年のマルウェアの動向について 文献や検体の解析結果から調査を行い マルウェアに使用 されている手法の傾向 分析結果の情報共有を行う また 今後の標的型攻撃などの新たな脅威 に向けた対策方法を検討することを目的とする - 3

4 2. マルウェアを取り巻く環境 組織化による犯行の事例として 中国のマルウェア売買に関連したアンダーグラウンドビジネスを紹介する 中国では 他の国と同様に金銭目的のサイバー犯罪が増加しており さまざまな取引をする犯罪者とともに地下組織が成長している 標的型攻撃による過去の攻撃事例として 独立行政法人情報処理推進機構 ( 以降 IPA と記載 ) セキュリティセンターおよび コンピュータセキュリティシンポジウム 1 ( 以降 CSS と記載 ) を騙った なりすましメール について紹介する 近年では ソーシャルエンジニアリングを利用した巧みな攻撃により メールの送信元や内容からはマルウェアの存在を特定することが難しいケースが増えている また 上記の 2つの事例では 攻撃に PDF ファイルの脆弱性が利用されている この章の最後に PDF ファイルへマルウェアを容易に埋め込むことができるツールを紹介する 2.1. マルウェア売買のビジネスモデル WEIS において中国国内の Web サイトについての調査結果および アンダーグラウンドの闇市場についての報告がされている この報告では マルウェア作成者 ウエブサイトクラッカー ユーザ名やパスワード窃盗者 仮想資産窃盗者 仮想資産販売者 利用者から構成される闇市場のビジネスモデルが示されている モデルとなっている闇市場は中国に実際に存在し オンラインゲームユーザをターゲットに仮想資産 ( ゲームアイテムなど ) の不正売買を行っている 1 ( 社 ) 情報処理学会コンピュータセキュリティ研究会が主催しているコンピュータセキュリティに関する研究会 2 Workshop on the Economics of Information Security の略 情報セキュリティを経済学の視点で考えるワークショップ - 4

5 図 2-1 闇市場のビジネスモデル (WEIS 発表資料から引用 ) マルウェア作成者が作成したマルウェアやマルウェア作成用のツールは数十元から数千元で取引されており (2009 年 2 月時点では 1 元 = 約 13 円 ) より高度な機能を持つツールになると数万元で取引されているため マルウェア開発者はマルウェア開発に投資した時間や知識に対して金銭面で 十分な見返りを得ているといえる また 組織内での評判を上げるため 機能が限定されているツールを無料で公開することもある そのため MS の脆弱性が公開された当時は 中国の検索サイト 百度 などで MS の脆弱性を利用したトロイの木馬を容易に見つけることが可能であった これらのツールはプログラミングの知識がなくても 容易にマルウェアを作成することができるようになっている この闇市場では マルウェアの他に 悪意のサイトへ誘導したユーザのトラフィック マルウェアから搾取したユーザのアカウントやパスワードなどの情報 不正に得たアカウントからログインを行って取得した オンライン上の仮想資産などが 売買の対象となっている 現在の法制度では 不正なアカウントを使用した仮想資産の盗用などを取り締まることができないため 闇市場は魅力的なマーケットとなっている

6 2.2. 過去の攻撃事例 IPA セキュリティセンターを騙った なりすましメール 2008 年 4 月に IPA セキュリティセンターを騙った なりすましメール の存在が確認されている メール本文には 当機構が注意喚起している情報セキュリティに関する調査報告の記載があり マルウェアが仕掛けられた悪意の PDF が添付されている この PDF ファイルは 米 Adobe Systems 社のソフトウェア製品 AdobeReader( 以降 AdobeReader と記載 ) のセキュリティ脆弱性 (CVE ) を利用する 本攻撃は AdobeReader のプロセスメモリに展開された悪意の JavaScript コードが攻撃コードを指定してセキュリティ脆弱性の存在する関数を呼び出す その関数内でバッファオーバーフローが発生し 攻撃コードが実行される 次に 偽の PDF ファイルを生成し AdobeReader を使用して 生成したファイルを開く これにより ユーザは何の問題もなく PDF ファイルが表示されたように見える その裏では ファイル中に含まれるマルウェアが自動的に実行されており ファイルを閲覧したユーザのコンピュータにマルウェアを感染させる仕掛けとなっている このマルウェアは 実行されるとインターネット上に存在するマルウェア制御サーバーと通信を行い サーバーからコマンドを受信し 対応する処理を行うことを可能とする また マルウェアによって悪意のコードが注入された正常プロセスにより マルウェアの動作を監視され マルウェアの動作が終了した場合 自動的に再起動される 本攻撃内で生成される偽の PDF ファイルは IPA によって 2008 年 3 月に実施された 近年の標的型攻撃に関する調査研究 のプレスリリース用 PDF ファイル 4 と同一のものである メール本文においても情報セキュリティに対する注意喚起が記載されているため メールの受信者が裏で実行されているマルウェアの存在を推測することは困難であると考えられる 4 htp:// - 6

7 図 2-2 IPA セキュリティセンターを騙った なりすましメール CSS からの CFP を装った なりすましメール また IPA の件に酷似した事例が 2008 年 6 月に CSS2008 において確認されている この事例は CSS からの CFP 5 を装ったメールにマルウェアが仕掛けられた悪意の PDF が添付されている この PDF ファイルは IPA の件と同様のセキュリティ脆弱性 (CVE ) が利用されている 攻撃を偽装するために利用した情報は なりすましメール が発見される約 1ヶ月前に公開されている情報であり かつ PDF ファイルを開くと 正常な文章が記載されたダミーファイルが表示されるため メールの受信者が裏で実行されているマルウェアの存在を推測することは困難であると考えられる これらの手口は 巧みなソーシャルエンジニアリング攻撃を利用した標的型攻撃であるといえる また 攻撃には AdobeReader のセキュリティ脆弱性 (CVE ) を利用した 悪意の PDF ファイルが使用されている 5 Call For Paper の略 論文募集のこと - 7

8 2.3. ツールを利用したマルウェアの生成 配布 PDF マルウェア作成ツール 2008 年 6 月に フィンランドのセキュリティ企業であるエフ セキュアから PDF マルウェア作成ツールが発見されている 6 このツールは ダミーとなる PDF ファイルとそのファイルに埋め込む実行形式ファイル 攻撃対象の OS と AdobeReader のバージョンを指定するだけで 簡単に攻撃対象の環境に対する悪意の PDF ファイルを作成することができる 図 2-3 PDF マルウェア作成ツール ( エフ セキュアの情報から引用 ) MicrosoftServer サービスの脆弱性を狙った攻撃ツール米 Microsoft 社が 深刻度 : 緊急 でリリースを行った MS の脆弱性を利用した攻撃ツールが発見されている 7 このツールは 脆弱性の存在するコンピュータを検索し 脆弱性を悪用することで指定した URL からマルウェアをダウンロード 実行させることが可能である

9 図 2-4 MS の脆弱性を狙った攻撃ツール ( トレンドマイクロの情報より引用 ) 多機能マルウェア作成ツール 2008 年 12 月にスペインのセキュリティ企業であるパンダセキュリティにより 実装したい機能を選択するだけで 複数の機能を持ったマルウェアを作成することができるツールが発見されている 8 マルウェアに組み込める機能は 50 種類以上存在し Windows ファイアウォールや自動更新機能の無効化 特定のソフトウェアを起動防止機能等が用意されている ツールの利用者は マルウェアに実装したい機能にチェックボックスを入れ CreateVirus ボタンをクリックするだけでマルウェアを作成することができる

10 図 2-5 多機能マルウェア作成ツール ( パンダセキュリティの情報から引用 ) WEIS2008 の発表論文で紹介されたツールまた 2.1. マルウェア売買のビジネスモデル で紹介した WEIS2008 においても Huigezi Lab と呼ばれるハッカー集団により 開発 メンテナンスされている HuigeziTool というマルウェア作成ツールの存在が報告されている このツールはネットワーク経由でリモートコンピュータを操作し ボットネットを構築する機能 ファイルのアップロード ダウンロード機能 キーロガー機能 リモートコンピュータのモニタリング機能等が実装されている 以上のことから マルウェア作成ツールは GUI 操作による様々な機能をサポートしており プログラミングスキルがなくても簡単にマルウェアを作成することが可能だと言える こうしたツールを使用することで 特定の個人や企業を狙ったマルウェアが大量に作成されていると考えられ また それらのツールをアンダーグラウンドで売買するビジネスモデルが定着しつつあり 利益を求めて多くの犯罪者がサイバー犯罪に関わっている状況だと言える - 10

11 3. マルウェアの詳細解析 3.1. 概要 本章では IPA 設置の 不審メール 110 番 9 に 2008 年第 4 四半期に届けられた標的型攻撃の詳細解析結果について記載する 本攻撃は 前述の IPA を騙った標的型攻撃同様 電子メールに悪意の PDF ファイルが添付されており 当該 PDF ファイルを脆弱性の存在するソフトウェアで閲覧することで PDF ファイルに含まれているマルウェアが実行されるというものである この攻撃も IPA および CSS のケースと同様に AdobeReader の脆弱性が利用されており 脆弱性の攻略 悪用によるマルウェア実行の仕組みが共通している その結果 実行されるマルウェアが異なっており 前述の PDF マルウェア作成ツールにより生成された可能性が高いと考えられる 以降 マルウェアの動作について記載する 尚 マルウェアの詳細な解析結果については別冊の 詳細解析報告編 に記載する 3.2. 動作の全体像 マルウェアは難読化されており 実行時に自動的に復号処理が実行される 復号した後 explorer.exe にコードをインジェクトし このインジェクトされたコードによって マルウェアのコピーがシステムフォルダに作成される また レジストリの値を変更し マルウェアがログオン時に自動的に登録されるよう設定する マルウェアによって explorer.exe にインジェクトされたコードは 2 つのスレッドを作成し 一方はキーロガーの役割 他方は後述のリモートサーバーとの通信プロセスが起動しているかをチェックする役割を担っている explorer.exe にインジェクトされたコードは更に InternetExplorer 等のプロセスに対してコードをインジェクトする 当該コードは 1 分に 1 回 リモートサーバーに接続を試み 暗号化された接続を介してコードブロックの受信 実行を行う

12 図 3-1 マルウェアの全体像 3.3. マルウェアの動作概要 1 難読化されたマルウェアの復号を行う マルウェアはアドレス 0x から 8729 バイト分 難読化されている 難読化のロジックは 0x00 と 0xBE および 0xFF と 0x15 が入れ替わっており 復号処理では これらの入れ替えを行う 2 リモートサーバーへのアクセス時に使用する乱数の種を作成する この乱数発生器は線形合同法を使用おり 乱数の種には RDTSC 命令から取得したプロセッサのクロックサイクル数を使用する 3 プロセス環境ブロックから kernel32.dl のイメージベースを取得した後 kernel32.dl user32.dl - 12

13 ntdl.dl advapi.dl から動作に必要とする関数のアドレスを取得し 関数テーブルを作成する 4 IsNTAdmin API を使用し 自身が管理者権限で実行されているか確認する 5 )!VqoqA.I4, という名称のミューテックスオブジェクトを作成する 作成に失敗した場合は 既に自身の他のインスタンスが実行されていると判断し 実行を終了する 6 CreateToolhelp32SnapshotAPI で explorer.exe のプロセス ID を探索する 7 explorer.exe に対してコードをインジェクトする 3.4.explorer.exe にインジェクトされたコード explorer.exe にインジェクトされたコードの主な動作を以下に記載する 1 自身のコピーをシステムフォルダ内に winsys.exe という名称で作成する 管理者権限がない場合は下記のフォルダ内に作成する C: DocumentsandSetings ユーザ名 ApplicationData 2 HKEY_LOCAL_MACHINE Software Microsoft ActiveSetup InstaledComponents 下にレジストリキーを作成し 自身のコピーがログオン時に実行されるように設定する 3 キーロガースレッドを起動する キーロガースレッドはアクティブウィンドウのタイトル名とウィンドウが切り替わるまでの時間 ユーザのキー入力を取得し 取得した情報を %SYSTEMPATH% winsys に保存する 4 プロセス監視スレッドを作成する 当該スレッドは 5 秒毎に5で作成されるプロセスが動作しているか確認し 動作していない場合はプロセスの再実行を行う 5 HKEY_LOCAL_MACHINE SOFTWARE Classes HTTP open command の値 ( デフォルトでは iexplorer.exe) を取得し 登録されているプロセスを起動する このときプロセスはサスペンド状態 かつウィンドウ非表示状態で実行される 6 5で実行されたプロセスにコードをインジェクトする - 13

14 3.5. プロセスにインジェクトされたコード プロセスにインジェクトされたコードの主な動作を以下に記載する 1 WSAStartupAPI を呼び idudesex.sexidude.com または trapyour.yourtrap.com のいずれかのサーバーに接続する 接続に失敗した場合は もう一方のサーバーに接続する 2 接続に成功すると チャレンジ レスポンス方式 10 でサーバーと認証を行う 認証に必要とな 256 バイトのランダムな値を作成する 11 3 admin をキーとしてカメリアブロック暗号方式で 生成したランダムな値を暗号化する 4 サーバーからのレスポンスを待ち 暗号化した 256 バイトのランダムな値とサーバーから送信されたレスポンスの開始 64 バイトを比較し 異なっている場合は接続を切断する 5 レスポンスとして返ってきた 4バイトを読み込み 記述されているサーバーから送信されるデータサイズ分 メモリ領域を確保する 6 サーバーからダウンロードしたデータを復号し 5で確保したメモリ領域に格納する 7 6でメモリ領域上に格納したデータを コードとしてメモリ上で直接実行する 8 7から処理が戻った後 確保したメモリを開放する その後スレッドは 1000ms スリープし 同様の処理を繰り返し行う 10 クライアント-サーバー間でのユーザ認証の方式 サーバーから送られてくるランダムな数字 ( チャレンジ ) とクライアント側でチャレンジと特定のアルゴリズムから作成した数字 ( レスポンス ) を用いて認証を行う bit ブロック暗号アルゴリズム オープンソースとして公開されており 様々な製品やサービスで使用されている - 14

15 図 3-2 サーバーとの通信の仕組み - 15

16 4. マルウェアとリモートサーバー間での通信の監視 前述のマルウェアは インターネット上に存在するリモートサーバーと通信を行い サーバーか ら送信されるコードブロックを受信 実行する機能を備えている そこで 当該マルウェアとリモート サーバー間での通信の監視を行った 4.1. 通信の監視結果 本マルウェアは dudesex.sexidude.com trapyour.yourtrap.com のドメイン名に対応するサーバーと通信を行う これは マルウェアを閉鎖環境で実行した際に 両ドメインに対する名前解決のリクエストが発生すること また詳細解析の結果からも明らかである しかしながら 本マルウェアは解析実施時点においてサーバーが閉鎖されており マルウェア およびサーバー間での通信を監視することはできなかった 4.2.IPA を騙った なりすましメール 調査における通信の監視結果 別冊の 中間報告書 記載の IPA を騙った なりすましメール によって生成 実行されるマルウ ェアについても継続して通信の監視を行った 監視環境を以下に示す 図 4-1 通信の監視環境 - 16

17 別冊の 中間報告書 にも記載した通り マルウェアは 実行直後に haiyo.sunsharp.net または haiyo.livecheck.org の FQDN に対応するサーバーに対して 2つの HTTP リクエストを送信し 以降 2 分毎に GET リクエストを送信する仕組みになっている 監視を開始した 2008 年 10 月 22 日時点では 上記の 2つの FQDN に対応する DNS レコードにはどちらも NXDOMAIN が割り当てられており サーバーと通信することが不可能な状態であった その後 2008 年 10 月 26 日 18:00 付近に haiyo.sunsharp.net に の IP アドレスがアサインされ マルウェアとサーバー間で定期的に POST リクエストによるデータの送受信が行われている 図 年 10 月 22 日から 2009 年 1 月 31 日までの監視結果 その後 2009 年 1 月 31 日まで継続して監視を行った結果 通信データの変化はなく 繰り返 し 2 分毎に同様の POST リクエストによる同様のデータの送受信が行われている これより通信データの変化こそ認められないものの FQDN に対応する IP アドレスの変更が 1 度観測されており 当該サーバーが攻撃発生後も活動していることが分かる - 17

18 5. 検知 対策に関する調査および報告 以下に前述のマルウェアの検知 および対策方法を記載する 最新版ソフトウェアの利用攻撃に利用されている AdobeReader の脆弱性は 2008 年 2 月に報告されたものであり 既にベンダーから脆弱性の修正されたバージョンが公開されている そのため ソフトウェアを常に最新版にアップデートし 利用することで脆弱性を利用した攻撃による脅威を低減することが可能である 最新版の AdobeReader は 以下の URL より入手することが可能 htp://get.adobe.com/jp/reader/ ハードウェア DEP の利用 MicrosoftWindowsXPSP2 以降では ハードウェア DEP と呼ばれるセキュリティ機構が OS に搭載されており ハードウェア DEP を利用するためには OS およびコンピュータに搭載されているプロセッサの両方がこれに対応している必要がある ハードウェア DEP が利用可能な環境では これを利用することで 本攻撃において利用されたメモリ破壊に起因する脆弱性によるコード実行の多くを防止すること可能である ハードウェア DEP の詳細については 以下の URL を参照 htp://support.microsoft.com/kb/884515/ja システムフォルダ内の怪しいファイルの確認本攻撃において キーロガーの結果を保存するファイルがシステムフォルダに作成される マルウェアによっては システムフォルダに情報を格納するファイルを作成する場合があるため 定期的にシステムフォルダを確認することにより マルウェアに感染の有無を確認できることがある 今回のケースの場合では システムフォルダに winsys および winsys.exe が存在するか確認することで 感染の有無を特定できる - 18

19 不要な機能の無効化本攻撃は AdobeReader の JavaScript エンジンに実装されている特定の関数の脆弱性を利用しており そのため AdobeReader において JavaScript サポートが必要ない場合は 設定からこれを無効化することで攻撃を防止することが可能である ( 図 5-1) 図 5-1 Adobe Reader における JavaScript エンジンの無効化 レジストリの確認本マルウェアは レジストリを変更することで 自身をログオン時に自動起動するよう設定する そのため 当該レジストリの有無を確認することで 感染の有無を特定することができる 管理者権限がある場合は HKEY_LOCAL_MACHINE Software Microsoft ActiveSetup Instaled Components 配下のいずれかに "StubPath=C: WINDOWS system32 winsys.exe" が設定される 管理者権限がない場合は HKEY_CURRENT_USER Software Microsoft Windows CurentVersion Run 配下のいずれかに作成される - 19

20 6. まとめ 本調査では 中間報告 および本最終調査報告の 2 回に分けて脆弱性を利用した新たなる脅威の監視 および分析を行った 中間報告においては 2008 年 4 月に発生した IPA を騙った なりすましメール による攻撃の詳細を明らかにした 当該攻撃は 脆弱性の利用は勿論 ソーシャルエンジニアリングを用いて巧みにユーザを罠に落とす攻撃の実態を明らかにした また 当該攻撃により生成 実行されるマルウェアとリモートサーバーの通信間での通信を継続して監視した結果 サーバーの FQDN に対応する IP アドレスの変化が確認された これより 攻撃発生後においても 当該サーバーが攻撃者によって制御されていることが判明した 本最終調査報告においては IPA 設置の窓口 2008 年第 4 四半期に不審メール 110 番へ届けられたマルウェアの解析を行った 当該マルウェアは 感染に利用するソフトウェア ソフトウェアの脆弱性 脆弱性の攻略手法が中間報告において解析を行ったマルウェアと一致しており 結果的に生成 実行されるマルウェア本体のみが異なっていた 調査の結果 当該ソフトウェアの脆弱性を悪用する悪意の PDF ファイルを自動的に生成するツールの存在が確認された これらの攻撃の裏側にはこうしたツール およびツールを売買するアンダーグラウンドでのビジネスが存在すると考えられる また 当該マルウェアは リモートサーバーから受信したコードブロックをメモリ上で実行するバックドア機能が搭載されており 実質的に任意のコマンドを実行可能だと言える しかしながら 当該機能とは別にキーロガーとしての機能も備えているため キー入力情報の収集を主眼に置いていることが推察される また リモートサーバーとの通信においてもチャレンジ レスポンス方式による認証 カメリア暗号方式を用いた送受信データの暗号化が行われており ソフトウェア上のセキュリティ機能を備えている これは マルウェアが検出を困難にし 更に解析されることを想定した上での対策であると考えられる 上記より 現在マルウェアを利用した攻撃を行う環境が整備されており またマルウェア自体もより高機能 高品質なものに進化していると言える そのため こうした状況を継続して調査 監視していく必要があると考えられる - 20