Video Screencast Help

Duqu 更新情報: ゼロデイ脆弱性を悪用したインストーラの発見

Created: 02 Nov 2011 01:49:36 GMT • Translations available: English
Vikram Thakur's picture
0 0 Votes
Login to vote

最初の Duqu バイナリを発見した CrySyS が、続いて Duqu のインストーラを発見しました。これまで、この脅威のインストーラが復元されたことはなかったため、Duqu が最初にどのようにしてシステムに感染するのかは判明していませんでした。幸い、CrySyS チームの多大なるご尽力によって、このインストーラがついに復元されたのです。

インストーラファイルは Microsoft Word 文書(.doc)で、これまで知られていなかったカーネルの脆弱性を悪用することによってコードの実行が可能になります。この脆弱性については Microsoft 社に連絡済みであり、同社もパッチとアドバイザリを公開するように鋭意対応中です。このファイルを開くと悪質なコードが実行され、メインの Duqu バイナリがインストールされます。以下の図は、Word 文書に含まれる脆弱性の悪用により最終的に Duqu がインストールされるまでの過程を示します。

 

1: Duqu の感染プロセス

Word 文書は、意図した送信先の組織のみを限定的に標的とするように作成されています。また、8 月中の 8 日間だけ Duqu がインストールされるようにシェルコードが使われていました。このインストーラは、この記事の執筆時点で復元されている唯一のものであり、他の組織に対する感染には別の方法が使われた可能性もあるという点に注意してください。残念ながら、現時点では、送信者の不明な文書は開かずに別のソフトウェアを使用するなどの一般的なベストプラクティスに従う以外、確実な回避方法はありません。ただし、幸いなことに、ほとんどのセキュリティベンダーはすでに Duqu のメインファイルを検出して遮断し、この攻撃を防いでいます。

ゼロデイ脆弱性を利用して Duqu が組織に足場を確保すると、攻撃者は他のコンピュータへの拡散を Duqu に指示します。ある組織の例では、SMB 共有を介して Duqu を拡散するように命令されている証拠が見つかりました。ところが興味深いことに、新たに感染したコンピュータの一部は、インターネットに接続する機能を持っていなかったため、コマンド & コントロール(C&C)サーバーにはアクセスしていませんでした。このようなコンピュータ上の Duqu 設定ファイルは、直接 C&C サーバーと通信するのではなく、ファイル共有の C&C プロトコルを使って、C&C サーバーに接続する機能を持つ他の感染コンピュータと通信するように書き換えられていたのです。その結果、Duqu がネットワーク内部のサーバーと C&C サーバーとの間にブリッジを構築し、攻撃者は安全ゾーンの外にあるコンピュータをプロキシとして利用して、安全ゾーン内の Duqu 感染先にアクセスできるようになります。

Duqu の感染が確認された件数はまだ限られていますが、上記の手法で Duqu が複数の国に広がっていることを確認しています。この記事の執筆時点で、Duqu の感染は 8 カ国で確認され、対象は 6 つの組織であると考えられています。

可能性のある 6 つの組織と、確認された所在国は次のとおりです。

•    組織 A - フランス、オランダ、スイス、ウクライナ
•    組織 B - インド
•    組織 C - イラン
•    組織 D - イラン
•    組織 E - スーダン
•    組織 F - ベトナム

ISP までしかトレースできない組織もあるので、6 つの組織といっても重複がある可能性は残っています。さらに、IP アドレスごとのグループ化もあるため、組織を確実に特定することはできません。

他のセキュリティベンダーからは、以下の各国での感染が報告されています。

•    オーストリア
•    ハンガリー
•    インドネシア
•    英国
•    イラン - シマンテックで確認された感染とは別

 


 
2: Duqu の感染が報告されている国と地域。赤は感染を確認済み、オレンジは未確認の報告を表す

そして、復元されたすべてのサンプルがきわめて類似している一方、別の C&C サーバーと通信するサンプルも最近見つかっています。以前解析したサンプルはすべて、インド国内に置かれたサーバーと通信するように設定されていましたが、今回見つかった Duqu ファイルは、ベルギーにあるサーバー(IP アドレスは 77.241.93.160)と通信するように設定されていました。このサーバーは、その後オフラインになっています。連絡後ただちに切断という処置に踏み切ってくださった、このホスティングプロバイダのご協力に感謝します。

各ベンダーが適切な保護を提供できるように、シマンテックはこの情報とサンプルを他のセキュリティベンダーとも共有しています。

シマンテックのホワイトペーパーで更新された主な点は、次のとおりです。

•    Microsoft Word 文書を介して未修正のゼロデイ脆弱性が悪用され、Duqu がインストールされる。
•    攻撃者は、ピアツーピアの C&C プロトコルを利用して、安全ゾーンのコンピュータにも Duqu を拡散できる。
•    8 カ国で感染が確認され、組織は 6 つにのぼる可能性がある。
•    ベルギー国内のホストを利用した新しい C&C サーバー(77.241.93.160)が発見されたが、現在は停止されている。

CrySyS のたゆまぬご協力と研究に、感謝の意を表したいと思います。

シマンテックの更新版ホワイトペーパー(バージョン 1.3)(英語)は、こちらからお読みいただけます。詳しい技術情報のほか、「Diagnostics(診断)」というシステム管理者向けの付録が追加され、感染した可能性を示すトレース情報が掲載されています。

備考: 更新版ホワイトペーパーの公開は、複製に時間がかかる場合があります。バージョン 1.3 をダウンロードできない場合には、しばらく経ってからもう一度お試しください。

Duqu については、引き続き解析を進めていますので、今後の更新をお待ちください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。