Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

分割したマルウェアを利用する標的型攻撃

Created: 02 Sep 2013 08:47:33 GMT • Updated: 02 Sep 2013 08:49:00 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

最近、標的型攻撃でマルウェアを企業に送りつける手段として、ショートカットファイルがよく使われるようになってきました。シマンテックは、ネットワークに侵入するためにショートカットファイルが使われるさまざまな手法を確認しており、その一例を以前のブログでもお伝えしました。最近も、セキュリティ製品による検出をすり抜け、電子メールの受信者を欺いて添付ファイルを実行させるためにショートカットファイルが使われている別の例が見つかっています。この亜種では、分割したマルウェアと、それを再結合するためのショートカットファイルを添付した電子メールが送信されます。

この攻撃に使われる電子メールには、ショートカットファイルを含むアーカイブファイルが添付されています。ショートカットにはフォルダのアイコンが使われていますが、それとは別に実際のフォルダもあり、そこに Microsoft 文書ファイルと、.dat 拡張子の付いた 2 つの隠しファイルが含まれています。

Fig1_3.png

図 1. 添付されているアーカイブファイルの内容

Fig2_1.png

図 2. Summit-Report1 フォルダの内容

エクスプローラをデフォルト設定で使っている一般的なユーザーであれば、アーカイブファイルには 2 つのフォルダだけが含まれているように見えるでしょう。2 つのフォルダのどちらかをクリックすると、文書ファイルを含むフォルダに移動しますが、実際にはショートカットファイルであるフォルダを開こうとすると、copy コマンドが実行され、2 つの .dat ファイルが結合されて 1 つの悪質なファイルが生成されます。こうしてコンピュータはマルウェアに感染してしまいます。添付されているアーカイブファイルの構造はさまざまですが、複数に分割されたファイルとショートカットファイルが含まれている点は変わりません。

Fig3_1.png

図 3. ショートカットファイルのプロパティに、.dat ファイルの結合に使われるスクリプトの一部が表示される

Fig4.png

図 4. ~$1.dat の中のバイナリデータ

Fig5.png

図 5. ~$2.dat の中のバイナリデータ

Fig6.png

図 6. 結合後の実行可能ファイルのバイナリデータ

攻撃の前にマルウェアを分割しておき、被害者のコンピュータ上で再結合するという手口が使われている理由は、いくつか考えられます。最大の理由は、悪質なファイルが検出されるのを防ぐためでしょう。ファイルがいくつかの部分に分割されていれば、セキュリティ製品が悪質なファイルと判定するのは困難だからです。さらに、ゲートウェイセキュリティ製品によって実行可能ファイルが削除されるのを防ぐという理由も考えられます。一般的なゲートウェイ製品には、ファイルタイプを基準にファイルをフィルタ処理する機能があります。電子メールに実行可能ファイルが添付されている場合にそれを削除するように設定できるので、IT 部門ではたいていそのようなフィルタ処理を実施しています。

ショートカットファイルはごく単純で、費用も掛かりません。脆弱性を利用する必要がないので、リソース負荷が高くなることもなく、被害者のコンピュータが脆弱になっている必要もありません。アイコンをフォルダや文書ファイルのように見せかけるのも簡単です。悪質なファイルを準備したら、後は 1 行スクリプトを作成するだけで攻撃態勢が整います。

このような手口の攻撃に備えるには、どうすればよいでしょうか。一般的な状況であれば、電子メールにショートカットファイルを添付する合理的な理由はありません。電子メールの添付ファイルとしてショートカットファイルは不要だと判断できれば、ネットワークのゲートウェイでフィルタ機能を使ってショートカットファイルを除外することを検討できます。

シマンテックは、このブログで説明したマルウェアを Trojan Horse として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。