この調査にご協力いただいた Peter Coogan 氏に感謝します。
Mandiant 社は先週のブログで、同社で感染の疑われるケースを調査中に見つかった新しい APT(Advanced Persistent Threat)について報告しました。シマンテックは問題の APT を Backdoor.Hikit として検出します。これは、攻撃者がリモートから侵入先のサーバーを制御できるようにするトロイの木馬です。
Backdoor.Hikit に関連するサンプルをシマンテックが最初に確認したのは 2011 年 10 月のことで、このとき脅威のコンポーネントに対する検出定義を Trojan.Ascesso として追加しました。それ以降もこの脅威の調査を続け、被害をもたらしている Backdoor.Hikit のサンプルをさらに特定しました。Backdoor.Hikit サンプルの PE ヘッダーのタイムスタンプ情報を見ると、この脅威の各コンポーネントがいつコンパイルされたかを示すタイムラインを推測することができます。
図 1. Backdoor.Hikit のタイムライン
上の図は、Hikit カーネルドライバのいくつかのコンポーネントを、2011 年 4 月まで遡って示したものです。2011 年 10 月(第 1 世代の 6 カ月後)には新しいドライバコンポーネントがコンパイルされたことも確認でき、この脅威の進化を示しています。
Backdoor.Hikit は 4 つのコンポーネントから構成されています。
- システムに侵入して悪質な DLL(ダイナミックリンクライブラリ)ファイルをインストールする、未知のドロッパー
- バックドア機能を実装し、カーネルドライバをインストールする DLL
- 攻撃者からの接続のためにネットワークトラフィックを監視するカーネルドライバ
- 攻撃者がバックドアへの接続に使用するクライアントツール
次の図は、各コンポーネントのつながりと、侵入先のコンピュータにインストールされる順序を示しています。未知のドロッパーによってバックドアファイル Oci.dll が侵入先のコンピュータにインストールされ、次にネットワークを監視する W7fw.sys カーネルドライバがインストールされます。
図 2. Backdoor.Hikit の概要
Windows オペレーティングシステムの新しいバージョンにカーネルドライバをインストールするには、ドライバにデジタル署名が必要です。DLL コンポーネント(Oci.dll)には、32 ビットと 64 ビットのドライバに署名するカタログとして使われる 2 つの証明書が付属していることに注目してください。一方の証明書は自己署名されています。
図 3. 生成された証明書
もう一方の証明書は、同じ時期に発生した他の攻撃に関係しています。これは盗み出された証明書で、現在は有効ではありません(2011 年 11 月 28 日に失効)。
図 4. 盗み出された証明書
インストール後に Backdoor.Hikit がコマンド & コントロール(C&C)サーバーや攻撃者に接続しないところも興味深い点です。代わりに、カーネルドライバは着信ネットワークトラフィックを監視し、バックドア通信チャネルを開く一定のパターン(特定の場所に対する HTTP GET 要求)が攻撃者から届くのを待ちます。侵入先のコンピュータは攻撃者と接点を持たないため、その運用機能は大幅に制限されています。ほとんどの環境で、内部ネットワークはルーターとファイアウォールの内側にあるため、感染したコンピュータをホストしている内部ネットワークに攻撃者がアクセスすることは難しく、結果的に攻撃者はネットワークの外部にとどめられています。
図 5. ほとんどの環境で、攻撃者はインターネットから内部ネットワークにアクセスできない
ところが、Mandiant 社の解析によると、Backdoor.Hikit は、インターネットに接続している DMZ に配置されたコンピュータに実際に侵入しているので、上記のような想定は成り立たないということです。DMZ はインターネットを介してサービスを公開し、ファイアウォールルールもやや緩い(ポート 80 と 443 で HTTP/HTTPS トラフィックを許可するなど)のが通常です。そのため、攻撃者は侵入先のコンピュータへの接続と通信が可能になります。
次の図は、Backdoor.Hikit で想定される攻撃の流れです。
図 6. Backdoor.Hikit が DMZ に侵入
シマンテックはこの脅威の調査を現在も続けており、詳しいことが判明し次第、詳報をお伝えする予定です。いつものことですが、シマンテックの最新技術と最新定義をお使いいただき、脅威に対抗できるよう備えてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。