シマンテックではよく、ハニーポットを利用して新しいサンプルを入手し、巷で行われている攻撃を監視しています。ハニーポットで検出される脅威の多くは、ボットネットと関連しています。しかし、まれに標的型攻撃がハニーポットで検出されることがあります。その場合、攻撃者は特定の実在者(個人、企業、政府、あるいは同様のなんらかの団体)を狙っています。コンピュータがそのような脅威に侵されると、コマンド& コントロール(C&C)サーバーに接続してコマンドを待機するという、ボットと似たような動作をする場合があります。ただし、受け取るコマンドは通常、一般的なものではありません。攻撃者がなんらかの特定の情報をリアルタイムで探す、インタラクティブなものです。 シマンテックでは最近、そのような標的型攻撃の1 つを検出し、活動をログに記録しました。その攻撃はかなり直接的で、新しい技術は利用していませんでした。とはいえ、そのような攻撃者が使用するプロセスの良い例となります。この脅威は企業を標的とするもので、エクスプロイトが含まれるカスタマイズされた PDF ドキュメントを使用していました。そのエクスプロイトにより、PDF 内から実行可能ファイルが投下されて実行され、2 つ目の PDF がロードされます。この 2 つ目の PDF は悪質なものではなく、何も問題はないとユーザーに思わせるための見せかけにすぎません。 投下された実行可能ファイルにより、Run レジストリサブキーに自分自身用のエントリが作成され、この結果、Windows の起動時にその実行可能ファイルがロードされ、C&C サーバーに対してレポートの返送が試みられるようになります。HTTP GET 要求(おそらくマレーシアにある感染した Web サーバーに送信されたもの)には、追加のヘッダー値(図 1)が含まれています。この GET 要求には、コンピュータ名など、感染したコンピュータに関するデータが含まれていました。ただし、この GET 要求に応答はありませんでした。脅威は、同じ要求を連続して送信し続け、応答を待機しました。2 時間後、最終的に応答(20 バイトの暗号化データ)を受信し、リモート攻撃者が活動を開始しました。 図 1: C&C サーバーに送信された HTTP GET 要求 図 2 は、暗号化データを示しており、図 3 は対応する復号化されたテキストを示しています。応答は、ローカルコンピュータの IP 設定データを取得するコマンドでした。コマンドが実行され、その結果取得されたデータがエンコードされて、別の HTTP GET 要求でアップロードされます。そのとき、脅威が HTTP サーバーから新しいコマンドを定期的にポーリングしていたこと以外は、数分間活動がありませんでした。攻撃者が IP データを分析していたのは明らかです。 図 2: C&C サーバーからの暗号化された応答 図 3: プレーンテキストのコマンド 図 4 と図 5 に示すように、一連のコマンドが続きました。攻撃者は、感染したコンピュータに実行可能ファイルをアップロードし、それを c:\recycler\conime.exe という名前で保存しました。攻撃者は、ここでいくつかの情報を漏らしており、実行可能ファイルが攻撃者の Web サーバーのどこに保存されたかがわかります(Horse.exe はあまり賢くありません)。 図 4: 実行可能ファイルをアップロードするコマンド 図 5: conime.exe の実行 その後、2 番目のコマンドによりその実行可能ファイルが実行され、IP アドレスとポートがその実行可能ファイルに渡されました。conime.exe ファイルがその IP とポートに接続され、攻撃者用のリモートシェルが作成されました。そのリモート IP は、台湾の ISP ネットワークの DSL 接続に解決されます。そのような接続は通常、個人により使用されているので、攻撃者のパーソナルコンピュータか、攻撃者が接続をルーティングする経由地に使用していた別の感染コンピュータであった可能性もあります。多くの場合、攻撃者は自分の実際の IP アドレスを隠すために、標的に接続する経由地として多数の感染コンピュータを使用します。 どうやら、盗まれたIP 情報は、さらに調査しようという気を攻撃者に十分起こさせるものでした。HTTP C&C のインターフェースは扱いにくいため、リモートシェルを作成すると攻撃者は楽になります。攻撃者は、侵入したハニーポットに直接接続すると、探索を開始します。次のコマンドを実行します。 これは、実行している脅威を削除しようとするものでした。攻撃者は不審に思っており、ハニーポットに捕獲されたことに気が付いた可能性があります。実行可能ファイルが実行中であるため、削除コマンドは失敗します。サンプルを削除するため、攻撃者は次にすべてのプロセスをリストし、sample.exe を終了してから削除します。これには成功します。 これで脅威のサンプルは削除され、攻撃者はネットワークに関するさらに詳細な情報を入手しようとしました。 net サービスが有効でなかったため、コマンドは失敗し、攻撃者は先に進みます。攻撃者は、Documents and Settings フォルダに興味をそそるファイルがないかどうかを調査しました。 興味をそそるものは何もなかったようです。次に、D ドライブをチェックして、ドライブ上のファイルをリストしました。攻撃者は、いくつかのファイル名からこのコンピュータがハニーポットであると判断し、パニックになったようです。コンピュータ上のすべてのデータを破壊することで、痕跡を消そうとしました。 しかし、del コマンドは失敗しました。この結果に不満を持った攻撃者は、さらに攻撃的になります。C ドライブに戻り、D ドライブをフォーマットしようとしたのです。 このコマンドも失敗し、攻撃者は format コマンドのヘルプを調べて、問題を解決しようとしました。さまざまな形でコマンドが試されましたが、いずれも失敗に終わります。最後に、del コマンドが実行されましたが、効果がなかったため、攻撃者は出て行きました。 攻撃は非常に単純ですが、かなり効果的です。攻撃者は、PDF エクスプロイトを通してコンピュータへのアクセスを取得し、侵入したコンピュータをさらに調査するかどうかを決定するのに役立つ、基本情報をいくつか手に入れたわけです。簡単にアクセスできるようにリモートシェルを作成し、ハニーポットの特質に気が付いたときに痕跡を消そうとしました。使用された PDF ドキュメントは、Metasploit などのサイトから自由に入手できる情報を使用して作成された平凡なものである可能性があります。この事例に示されているように、攻撃者は熟練した技術を持っている必要はありません。もし攻撃者がもっと高度な知識を持っていたなら、コンピュータ上のデータを破壊できていたかもしれません。攻撃者にとっては不幸なことに、ハニーポットでトラフィックを記録しているシステムはすべてコンピュータの外部にあり、データの整合性が維持されています。 このような標的型攻撃を防ぐには、適切なファイアウォールルールを使用すること、アプリケーションを最新の状態に保ってパッチを適用すること、信頼できる IPS シグネチャを利用すること、およびウイルス定義を更新することが必要です。シマンテック製品では、悪用された PDF は Trojan.Pidief.J として検出されます。ドロップされた実行可能ファイルとリモートシェルの実行可能ファイルは、Backdoor.Trojan として検出されます。