脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度における脆弱性を狙った脅威の一例を分析し対策をまと

Size: px

Start display at page:

Download "脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度における脆弱性を狙った脅威の一例を分析し対策をまと"

あおしまつかた
5 years ago
Views:

1 脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度における脆弱性を狙った脅威の一例を分析し対策をまとめました同じ攻撃手法で異なる攻撃内容攻撃者はマルウェア作成にツールを利用 ~ 不審メール 110 番に届けられた標的型攻撃の分析対策について ~ 1. はじめに IPA は最近増加している情報詐取を目的として特定の組織に送られる不審なメールに対して情報を収集し対策方法を提供するために不審メール 110 番 1 を設置しています不審メール 110 番に 2008 年第 4 四半期に届けられたマルウェアの解析を行った結果前回脆弱性を狙った脅威の分析と対策について Vol.1 で報告した IPA セキュリティセンターを騙ったなりすましメールおよび CSS からの CFP を装ったなりすましメールに使用されていたマルウェアと攻撃に利用している脆弱性および攻撃に至るまでの処理が共通しており生成実行されるマルウェアのみ異なっていることがわかりましたまた PDF にマルウェアを埋め込み自動的に悪意のあるファイルを作成するツールの存在が確認されておりこのツールによりマルウェアが自動的に作成された可能性も考えられますさらにアンダーグラウンドビジネスにおいてこのようなマルウェア作成ツールが売買されていることも考えられるため今後マルウェア作成ツールが流通することでマルウェア開発や攻撃手法に関する知識がなくても高機能なマルウェアが容易に作成される脅威が存在しています被害を最小限に止めるためにも今回の事例から近年の標的型攻撃による脅威と対策を確認しておきましょう 1

2 2. マルウェアの解析結果 2.1. 概要 2008 年第 4 四半期に解析した不審メール 110 番に届け出られた標的型攻撃の詳細について記載します本攻撃は前回報告を行った IPA を騙った標的型攻撃同様電子メールに悪意の PDF ファイルが添付されており当該 PDF ファイルを脆弱性の存在するソフトウェアで閲覧することで PDF ファイルに含まれているマルウェアが実行されるという仕組みになっていますこの攻撃も IPA および CSS のケースと同様に Adobe Reader の脆弱性が利用されており脆弱性の攻略悪用によるマルウェア実行の仕組みが共通していますしかし実行されるマルウェアが異なっており後述する PDF マルウェア作成ツールにより生成された可能性が高いと考えられます以降マルウェアの動作について記載します 2.2. マルウェアの全体像図 1 攻撃の全体像悪意の PDF ファイル内には Zlib 圧縮された悪意の JavaScript コードが含まれていますこの Zlib 圧縮された悪意の JavaScript コードは Adobe Reader の実行時に自動的にメモリ上に展開され Adobe Reader に存在する CVE (JVNDB ) の脆弱性を利用し攻撃コードを実行しますこれにより悪意の PDF ファイル内に含まれるマルウェアがファイルシステム上に生成され実行されます 2.3. 本マルウェアの特徴生成されたマルウェアはレジストリの値を変更しログオン時に自動的に実行されるように設定しますその後 2 つのスレッドを作成しそれらはそれぞれキーロガーの

役割リモートサーバーとの通信を監視する役割を担っていますまたこのマルウェアは Internet Explorer 等のプロセスにコードをインジェクトしますこのインジェクトされたコードはリモートサーバーと通信を行い受信したコードブロックをメモリ上で実行することができるバックドア機能をもっていますまたリモートサーバーとの通信においてチャレンジレスポンス方式による認証

3 役割リモートサーバーとの通信を監視する役割を担っていますまたこのマルウェアは Internet Explorer 等のプロセスにコードをインジェクトしますこのインジェクトされたコードはリモートサーバーと通信を行い受信したコードブロックをメモリ上で実行することができるバックドア機能をもっていますまたリモートサーバーとの通信においてチャレンジレスポンス方式による認証カメリア暗号方式 2を用いた送受信データの暗号化が行われておりマルウェア検知および解析に対する対策が施されていると考えられます 3. 攻撃者によるツールの利用過去に発見されたマルウェア作成ツールを紹介しますこれらのツールは洗練されたユーザインターフェースによりプログラミングに精通していない攻撃者であっても容易に様々な機能を持つマルウェアを作成することができます図 2 にツールの利用による前述の悪意の PDF ファイルの作成イメージを示します図 2 ツールの利用による悪意の PDF ファイルの作成アンダーグラウンドビジネスとしてこのようなマルウェア作成ツールが売買されていることも確認されているためツールが犯罪組織などに流通することにより前回の調査結果により得られた様なソーシャルエンジニアリングを使った攻撃が早期に可能になると考えられます 3.1. PDF マルウェア作成ツール 2008 年 6 月にフィンランドのセキュリティ企業であるエフセキュアから PDF マル 2 NTT と三菱電機が共同で開発した共通鍵暗号方式の一種

4 ウェア作成ツールが発見されています 3 このツールはダミーとなる PDF ファイルとそのファイルに埋め込む実行形式ファイル攻撃対象の OS と Adobe Reader のバージョンを指定するだけで簡単に攻撃対象の環境に対する悪意の PDF ファイルを作成することができます図 3 PDF マルウェア作成ツール ( エフセキュアの情報から引用 ) 3.2. Microsoft Server サービス脆弱性を狙ったツール米 Microsoft 社が深刻度 : 緊急でリリースを行った MS の脆弱性を利用した攻撃ツールが発見されています 4 このツールは脆弱性の存在するコンピュータを検索し脆弱性を悪用することで指定した URL からマルウェアをダウンロード実行させることが可能です

図 4 MS08-067 の脆弱性のあるコンピュータに対し任意プログラムのダウンロード攻撃を仕掛けるツール 3.

5 図 4 MS の脆弱性のあるコンピュータに対し任意プログラムのダウンロード攻撃を仕掛けるツール 3.3. 複数の機能を持つマルウェア作成ツール 2008 年 12 月にスペインのセキュリティ企業であるパンダセキュリティにより実装したい機能を選択するだけで複数の機能を持ったマルウェアを作成することができるツールが発見されています 5 マルウェアに組み込める機能は 50 種類以上存在し Windows ファイアウォールや自動更新機能の無効化特定のソフトウェアの起動防止機能等が用意されていますツールの利用者はマルウェアに実装したい機能にチェックボックスを入れ CreateVirus ボタンをクリックするだけでマルウェアを作成することが可能です 5 E00_again.aspx

図 5 複数の機能を持つマルウェア作成ツール ( パンダセキュリティの情報から引用 ) 発見されているツールは氷山の一角であり上記のツールより高い機能を持つツールが存在する可能性は大いに考えられますこれらのツールは脆弱性に対する攻撃のアプローチを広げ機能を追加することで攻撃の幅を広げますツールにより作成されたマルウェアによる被害を最小限にとどめるためにも日々の対策が重要になります

6 図 5 複数の機能を持つマルウェア作成ツール ( パンダセキュリティの情報から引用 ) 発見されているツールは氷山の一角であり上記のツールより高い機能を持つツールが存在する可能性は大いに考えられますこれらのツールは脆弱性に対する攻撃のアプローチを広げ機能を追加することで攻撃の幅を広げますツールにより作成されたマルウェアによる被害を最小限にとどめるためにも日々の対策が重要になります次に対策方法を紹介します 4. 事前対策最新版ソフトウェアの利用攻撃に利用されている Adobe Reader の脆弱性は 2008 年 2 月に報告されたものであり既にベンダーから脆弱性の修正されたバージョンが公開されていますそのためソフトウェアを常に最新版にアップデートし利用することで脆弱性を利用した攻撃による脅威を低減することが可能です最新版の Adobe Reader は以下の URL より入手することができます

ハードウェア DEP の利用 Microsoft Windows XP SP2 以降ではハードウェア DEP と呼ばれるセキュリティ機構が OS に搭載されておりハードウェア DEP を利用するためには OS およびコンピュータに搭載されているプロセッサの両方がこれに対応している必要がありますハードウェア DEP が利用可能な環境ではこれを利用することで

7 ハードウェア DEP の利用 Microsoft Windows XP SP2 以降ではハードウェア DEP と呼ばれるセキュリティ機構が OS に搭載されておりハードウェア DEP を利用するためには OS およびコンピュータに搭載されているプロセッサの両方がこれに対応している必要がありますハードウェア DEP が利用可能な環境ではこれを利用することで本攻撃において利用されたメモリ破壊に起因する脆弱性によるコード実行の多くを防止することが可能ですハードウェア DEP の詳細については以下の URL を参照不要な機能の無効化本攻撃は Adobe Reader の JavaScript エンジンに実装されている特定の関数の脆弱性を利用しておりそのため Adobe Reader において JavaScript サポートが必要ない場合は設定からこれを無効化することで攻撃を防止することが可能です ( 図 6) 図 6 Adobe Reader における JavaScript エンジンの無効化

8 5. 事後対策レジストリ値の確認レジストリを変更することで自身をログオン時に自動起動するよう設定します当該レジストリの有無を確認することで感染の有無を特定することができます管理者権限がある場合は HKEY_LOCAL_MACHINE Software Microsoft Active Setup Installed Components 配下のいずれかに "StubPath = C: WINDOWS system32 winsys.exe" が設定されます管理者権限がない場合は HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run 配下のいずれかに作成されますシステムディレクトリにある怪しいファイルの確認本攻撃においてキーロガーの結果を保存するファイルがシステムディレクトリに作成されますマルウェアによってはシステムディレクトリに情報を格納するファイルを作成する場合があるため定期的にシステムディレクトリを確認することによりマルウェアに感染の有無を確認できることがあります今回のケースの場合ではシステムディレクトリに winsys ファイルが存在するか確認することで感染の有無を特定することができます 6. さいごにマルウェア作成にツールを利用することで 1つの脆弱性を利用して様々な個人組織を標的にし搾取する情報に応じたマルウェアを選択することが可能となりますまたツールを利用することでプログラミングやネットワークなどコンピュータに精通していなくても容易に高機能をもつマルウェアの作成や利用が可能になることは大きな脅威になりますこのような脅威による被害を防ぐためにも公開された修正パッチの適用を迅速に行うとともに定期的にセキュリティの動向や対策について確認をしておくことが重要となります当機構では今後の新たな脅威についても調査分析を実施し対策を発表します

脆弱性を利用した新たなる脅威の監視分析による調査年 7 月

脆弱性を利用した新たなる脅威の監視分析による調査年 7 月脆弱性を利用した新たなる脅威の監視分析による調査 2 0 0 9 年 7 月もくじもくじ 2 1. 背景目的 3 1.1. 背景 3 1.2. 目的 3 2. マルウェアを取り巻く環境 4 2.1. マルウェア売買のビジネスモデル 4 2.2. 過去の攻撃事例 6 2.2.1. IPA セキュリティセンターを騙ったなりすましメール 6 2.2.2. CSS からの CFP を装ったなりすましメール