最近発見された「Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability (BID 40586)」(Adobe Flash Player、Adobe Reader、Adobe Acrobat の 'authplay.dll' にリモートでコードが実行される脆弱性)に関連するマルウェアとシェルコードを調べていたところ、2010 年 3 月以降に発生している「Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability (BID 38615)」(Microsoft Internet Explorer の 'iepeers.dll' にリモートでコードが実行される脆弱性)に対する標的型攻撃で使われたマルウェアとシェルコードの中に、興味深い類似性を発見しました。
第 1 の類似点:シェルコード
次の画像は、2010 年 3 月に発見された「Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability」に対する標的型攻撃で使われた、関数をフックするシェルコードです。
次に、6 月初旬以降に「Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability」に対する標的型攻撃で使われた、関数をフックするシェルコードを示します。
コードの中の関数名は異なりますが、その内容は同じです。実際に
PatchDiff2 ツールを使って 2 つのシェルコードを比較したところ、関数全体がほぼ同じであることがわかりました。2 から 3 個所の改良点を除くと違いはほとんどありません。これは次の表で確認できます。繰り返しになりますが、関数名は、アナリストがアセンブリコードをリバースエンジニアリングしたときに追加しているために異なります。
どちらのシェルコードも UnhandledExceptionFilter、MessageBeep、LdrShutdownThread 関数をフックし、かなり高度な技術を使用しています。今回のシェルコード作成者の目的は、ゼロデイ脆弱性を覆って被害者から攻撃を隠すことのようです。このシェルコードは、2008 年に、「
Protecting Zero-Day」(ゼロデイ脆弱性を覆い隠す)というタイトルで公開されたブログの記事にも登場します。このシェルコードは、「Microsoft Internet Explorer XML Handling Remote Code Execution Vulnerability (
BID 32721)」(Microsoft Internet Explorer に XML 処理によりリモートでコードが実行される脆弱性)に対する標的型攻撃で使用されました。この非公開のシェルコードは、2 年間にわたり、ゼロデイ脆弱性を標的とした 3 つの攻撃で使われたことになります。一般的に、多くの攻撃は過去に使用されたシェルコードを利用します。そのため、改めて両方の攻撃で使用されるマルウェアの類似性についても検証を始めました。
第 2 の類似点:投下されるマルウェア
次の図は、この攻撃で投下される最初のマルウェアに含まれる 1 つの関数と、IEPeers 攻撃の悪質なコードによって投下される 1 つの関数を PatchDiff2 を使って比較したものです。これらの関数はほぼ同じです。
そこで、6 月以降の Adobe Flash ゼロデイ攻撃の 1 つに埋め込まれたマルウェアと、今年の 3 月以降の IEPeers を標的にした攻撃で使われたマルウェアを比較しました。第一段階のマルウェアでは、主な関数のすべてが同じです。
どちらのマルウェアにも、次のパラメータを受け取る第一段階のバイナリが含まれます。
installkys
removekys
両方の攻撃のマルウェアは共にバイナリのリソース部分から DLL を抽出して Windows の %TEMP% ディレクトリに置き、次のプロセスを探します。
• iexplore.exe (Microsoft Internet Explorer)
• firefox.exe (Mozilla Firefox)
• outlook.exe (Microsoft Outlook)
上記のプロセスが見つかると、そのプロセスに DLL を挿入します。これは両方の攻撃で行われます。次の画像は、実際に IEPeers 攻撃から採取したマルウェアの分析作業で得た画面ショットの 1 枚です。「wshipl.dll」という悪質な DLL が iexplore.exe のプロセスに挿入されているのがわかります。
また、IEPeers 攻撃で使われた DLL ファイル名「wshipl.dll」と、最近の攻撃で使われた DLL ファイル名「wshipm.dll」を見てみると、「l」から「m」にバージョンアップしていることがわかります。これは非常に興味深いことです。このような類似性が見つかることから、これらの攻撃で用いられる手口やツールにはつながりがあると考えられます。
確証はありませんが、6 月の「Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability」に対する標的型攻撃への参加者は、2010 年 3 月以降の IEPeers 攻撃にも参加し、さらには 2008 年の「Microsoft Internet Explorer XML Handling Remote Code Execution Vulnerability」に対する標的型攻撃にも参加した可能性があると思われます。最近、Advanced Persistent Threat (APT) という、高度で持続性のある脅威を意味する用語がもてはやされています(わたしたちはその使用には否定的です)が、これほど長期間にわたってゼロデイ脆弱性を悪用して被害者を狙う攻撃者は、この APT に該当する攻撃者といえそうです。これはインフラや資産の保護を職務とする方にとっては懸案事項になります。
このような攻撃に対して、弊社では、ベンダーが提供するパッチや製品アップデートを適用して、常に最新の状態にしておくことをお勧めします。ゼロデイ脆弱性の場合のようにソフトウェアのパッチを利用できない場合は、ベンダーのセキュリティ情報で対応策や回避策が入手可能になり次第、迅速に対応するように努めてください。