Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Response

Backdoor.Korplug の新事例、盗まれた証明書を使って署名

Created: 10 Aug 2012 09:27:36 GMT • Translations available: English
Ke Zhang's picture
0 0 Votes
Login to vote

シマンテックで最近入手した Backdoor.Korplug の新しい事例では、盗んだ証明書を使い自分自身に対して署名を行います。また、以前は正規のソフトウェアを使っていましたが、今回は以前のブログエントリで暴いたものとはようすが少し異なっています。

図 1. ロードの順序

シマンテックの調査データから判断したところによると、攻撃者は元の実行可能ファイルから署名を削除し、彼ら独自の署名に置き換えています。

図 2. 正規のプログラム(コンパイルは 2011 年だが、署名は 2012 年)

ファイル NvSmart.exe と、元のファイルを比較した結果、それらが同一の実行可能ファイルであることを確認することができました。

図 3. ほとんど同一時刻に(わずか 3 分差で)署名された NvSmart.exe と NvSmartMax.dll

DLL が正規のものではなく、悪質であることを示す証拠があります。まず、正規の NvSmart.exe ファイルでは、NvSmartMax.dll から関数を 3 つインポートしています。

図 4. NvSmartMax.dll からインポートされた関数

NvSmartMax.dll ファイルを見ると、図 4 のように関数を 3 つエクスポートしていることがわかります。しかし、それら 3 つの関数は、同一のアドレスにリンクされており、何も実行していません。

図 5. NvSmartMax.dll によってエクスポートされた「何も実行しない」関数

さらに、NvSmartMax.dll ファイルは NvSmart.dat から取得した悪質な実行可能ファイルと作業パスが同じですが、正規の NvSmart.exe ファイルはそうではありません。

図 6. Backdoor.Korplug と同じ作業パス

また、NvSmartMax.dll ファイルは、Backdoor.Korplug によって明示的に使用されている %UserProfile%\SXS\bug.log ファイルにアクセスしています。

図 7. %UserProfile%\SXS\bug.log にアクセスする NvSmartMax.dll

 

前述の情報はすべて、当該 DLL に悪意のある目的しかない、つまり Backdoor.Korplug 用のローダーであることを示しています。

攻撃者はまず、正規の NvSmart.exe ファイルを選択した後、偽造の NvSmartMax.dll ファイルを作成し、正規のファイルと交換しました。次に、これら 2 つのファイルが悪質な NvSmart.dat ファイルとともに配信されるよう、盗まれた証明書を使って署名しています。

シマンテックでは、この盗まれた証明書を失効するよう要求しました。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。