脆弱性を狙った脅威の分析と対策について Vol.2 2009 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまとめました 同じ攻撃手法で異なる攻撃内容 攻撃者はマルウェア作成にツールを利用 ~ 不審メール 110 番 に届けられた標的型攻撃の分析 対策について ~ 1. はじめに IPA は最近増加している 情報詐取を目的として特定の組織に送られる不審なメール に対して 情報を収集し 対策方法を提供するために 不審メール 110 番 1 を設置しています 不審メール 110 番 に 2008 年第 4 四半期に届けられたマルウェアの解析を行った結果 前回 脆弱性を狙った脅威の分析と対策について Vol.1 で報告した IPA セキュリティセンターを騙ったなりすましメール および CSS からの CFP を装ったなりすましメール に使用されていたマルウェアと攻撃に利用している脆弱性 および攻撃に至るまでの処理が共通しており 生成 実行されるマルウェアのみ異なっていることがわかりました また PDF にマルウェアを埋め込み 自動的に悪意のあるファイルを作成するツールの存在が確認されており このツールにより マルウェアが自動的に作成された可能性も考えられます さらに アンダーグラウンドビジネスにおいて このようなマルウェア作成ツールが売買されていることも考えられるため 今後 マルウェア作成ツールが流通することで マルウェア開発や攻撃手法に関する知識がなくても 高機能なマルウェアが容易に作成される脅威が存在しています 被害を最小限に止めるためにも 今回の事例から 近年の標的型攻撃による脅威と対策を確認しておきましょう 1 http://www.ipa.go.jp/security/virus/fushin110.html
2. マルウェアの解析結果 2.1. 概要 2008 年第 4 四半期に解析した 不審メール 110 番 に届け出られた標的型攻撃の詳細について記載します 本攻撃は 前回報告を行った IPA を騙った標的型攻撃同様 電子メールに悪意の PDF ファイルが添付されており 当該 PDF ファイルを脆弱性の存在するソフトウェアで閲覧することで PDF ファイルに含まれているマルウェアが実行されるという仕組みになっています この攻撃も IPA および CSS のケースと同様に Adobe Reader の脆弱性が利用されており 脆弱性の攻略 悪用によるマルウェア実行の仕組みが共通しています しかし 実行されるマルウェアが異なっており 後述する PDF マルウェア作成ツールにより生成された可能性が高いと考えられます 以降 マルウェアの動作について記載します 2.2. マルウェアの全体像 図 1 攻撃の全体像 悪意の PDF ファイル内には Zlib 圧縮された悪意の JavaScript コードが含まれています この Zlib 圧縮された悪意の JavaScript コードは Adobe Reader の実行時に自動的にメモリ上に展開され Adobe Reader に存在する CVE-2007-5659(JVNDB-2008-001095) の脆弱性を利用し 攻撃コードを実行します これにより 悪意の PDF ファイル内に含まれるマルウェアがファイルシステム上に生成され 実行されます 2.3. 本マルウェアの特徴 生成されたマルウェアは レジストリの値を変更し ログオン時に自動的に実行される ように設定します その後 2 つのスレッドを作成し それらは それぞれキーロガーの
役割 リモートサーバーとの通信を監視する役割を担っています また このマルウェアは Internet Explorer 等のプロセスにコードをインジェクトします このインジェクトされたコードは リモートサーバーと通信を行い 受信したコードブロックをメモリ上で実行することができるバックドア機能をもっています また リモートサーバーとの通信において チャレンジ レスポンス方式による認証 カメリア暗号方式 2を用いた送受信データの暗号化が行われており マルウェア検知および 解析に対する対策が施されていると考えられます 3. 攻撃者によるツールの利用 過去に発見されたマルウェア作成ツールを紹介します これらのツールは洗練されたユーザインターフェースにより プログラミングに精通していない攻撃者であっても 容易に様々な機能を持つマルウェアを作成することができます 図 2 にツールの利用による前述の悪意の PDF ファイルの作成イメージを示します 図 2 ツールの利用による悪意の PDF ファイルの作成 アンダーグラウンドビジネスとして このようなマルウェア作成ツールが売買されていることも確認されているため ツールが犯罪組織などに流通することにより 前回の調査結果により得られた様なソーシャルエンジニアリングを使った攻撃が早期に可能になると考えられます 3.1. PDF マルウェア作成ツール 2008 年 6 月に フィンランドのセキュリティ企業であるエフ セキュアから PDF マル 2 NTT と三菱電機が共同で開発した共通鍵暗号方式の一種
ウェア作成ツールが発見されています 3 このツールは ダミーとなる PDF ファイルとそのファイルに埋め込む実行形式ファイル 攻撃対象の OS と Adobe Reader のバージョンを指定するだけで 簡単に攻撃対象の環境に対する悪意の PDF ファイルを作成することができます 図 3 PDF マルウェア作成ツール ( エフ セキュアの情報から引用 ) 3.2. Microsoft Server サービス脆弱性を狙ったツール米 Microsoft 社が 深刻度 : 緊急 でリリースを行った MS08-067 の脆弱性を利用した攻撃ツールが発見されています 4 このツールは 脆弱性の存在するコンピュータを検索し 脆弱性を悪用することで指定した URL からマルウェアをダウンロード 実行させることが可能です 3 http://www.f-secure.com/weblog/archives/archive-062008.html#00001450 4 http://blog.trendmicro.co.jp/archives/2115
図 4 MS08-067 の脆弱性のあるコンピュータに対し 任意プログラムのダウンロード攻撃 を仕掛けるツール 3.3. 複数の機能を持つマルウェア作成ツール 2008 年 12 月にスペインのセキュリティ企業であるパンダセキュリティにより 実装したい機能を選択するだけで 複数の機能を持ったマルウェアを作成することができるツールが発見されています 5 マルウェアに組み込める機能は 50 種類以上存在し Windows ファイアウォールや自動更新機能の無効化 特定のソフトウェアの起動防止機能等が用意されています ツールの利用者は マルウェアに実装したい機能にチェックボックスを入れ CreateVirus ボタンをクリックするだけでマルウェアを作成することが可能です 5 http://pandalabs.pandasecurity.com/archive/_2200_constructing_2200_-bad-things_2e002e002 E00_again.aspx
図 5 複数の機能を持つマルウェア作成ツール ( パンダセキュリティの情報から引用 ) 発見されているツールは氷山の一角であり 上記のツールより高い機能を持つツールが存在する可能性は大いに考えられます これらのツールは脆弱性に対する攻撃のアプローチを広げ 機能を追加することで 攻撃の幅を広げます ツールにより作成されたマルウェアによる被害を最小限にとどめるためにも日々の対策が重要になります 次に対策方法を紹介します 4. 事前対策 最新版ソフトウェアの利用攻撃に利用されている Adobe Reader の脆弱性は 2008 年 2 月に報告されたものであり 既にベンダーから脆弱性の修正されたバージョンが公開されています そのため ソフトウェアを常に最新版にアップデートし 利用することで脆弱性を利用した攻撃による脅威を低減することが可能です 最新版の Adobe Reader は 以下の URL より入手することができます http://get.adobe.com/jp/reader/
ハードウェア DEP の利用 Microsoft Windows XP SP2 以降では ハードウェア DEP と呼ばれるセキュリティ機構が OS に搭載されており ハードウェア DEP を利用するためには OS およびコンピュータに搭載されているプロセッサの両方がこれに対応している必要があります ハードウェア DEP が利用可能な環境では これを利用することで 本攻撃において利用されたメモリ破壊に起因する脆弱性によるコード実行の多くを防止することが可能です ハードウェア DEP の詳細については 以下の URL を参照 http://support.microsoft.com/kb/884515/ja 不要な機能の無効化本攻撃は Adobe Reader の JavaScript エンジンに実装されている特定の関数の脆弱性を利用しており そのため Adobe Reader において JavaScript サポートが必要ない場合は 設定からこれを無効化することで攻撃を防止することが可能です ( 図 6) 図 6 Adobe Reader における JavaScript エンジンの無効化
5. 事後対策 レジストリ値の確認レジストリを変更することで 自身をログオン時に自動起動するよう設定します 当該レジストリの有無を確認することで 感染の有無を特定することができます 管理者権限がある場合は HKEY_LOCAL_MACHINE Software Microsoft Active Setup Installed Components 配下のいずれかに "StubPath = C: WINDOWS system32 winsys.exe" が設定されます 管理者権限がない場合は HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run 配下のいずれかに作成されます システムディレクトリにある怪しいファイルの確認本攻撃において キーロガーの結果を保存するファイルがシステムディレクトリに作成されます マルウェアによっては システムディレクトリに情報を格納するファイルを作成する場合があるため 定期的にシステムディレクトリを確認することにより マルウェアに感染の有無を確認できることがあります 今回のケースの場合では システムディレクトリに winsys ファイルが存在するか確認することで 感染の有無を特定することができます 6. さいごに マルウェア作成にツールを利用することで 1つの脆弱性を利用して 様々な個人 組織を標的にし 搾取する情報に応じたマルウェアを選択することが可能となります また ツールを利用することで プログラミングやネットワークなどコンピュータに精通していなくても 容易に高機能をもつマルウェアの作成や利用が可能になることは 大きな脅威になります このような脅威による被害を防ぐためにも 公開された修正パッチの適用を迅速に行うとともに 定期的にセキュリティの動向や対策について 確認をしておくことが重要となります 当機構では 今後の新たな脅威についても 調査 分析を実施し 対策を発表します