ここ数日間シマンテックは、少なくとも過去 2 年間ひっそりと活動を続けている新しい脅威を解析してきました。この脅威について独自の解析結果を発表している CrySyS からも連絡を受けています(CrySyS はこの脅威を「Skywiper」と呼んでいます)。W32.Flamer は、イランの National CERT が最近報告した脅威とも同じものである兆候があります。手に入れたサンプルを解析したところ、複数のコンポーネントを利用する複雑なコードが見つかりました。実行可能ファイルは、一見すると問題ないように見えますが、詳しく調べると悪質な機能が巧妙に隠されています。
この脅威の内部コードの複雑さは、今までに解析してきたマルウェアの中でもトップクラスの複雑さを持つと言える Stuxnet や Duqu のコードにも匹敵します。この 2 つと同様、W32.Flamer のコードも個人が書いたものではなく、組織化され資金力も高い集団が明確な方向性をもって作業したものと考えられます。この脅威に関連する特定のファイル名は、イラン石油省が狙われた攻撃のときに登場した名前と同じです。
シマンテックでの解析はまだ続いていますが、この脅威の主な機能は情報とデータの収集です。初期段階の遠隔測定によると、この脅威の標的は東ヨーロッパと中東に集中しています。業種や狙われた個人の関連性は今のところ判明していませんが、犠牲者が狙われた理由はすべて同じとは限らないことは、初期段階の証拠で示されています。多くは、勤務先の企業ではなく個々人の私的な活動が狙われているようです。シマンテックは、この脅威を W32.Flamer として検出します。
脅威の活動
メインコンポーネントとその設定ファイルに関する感染報告を精査することで、W32.Flamer の標的と部分的なタイムラインを特定できました。ただし、さらに多くの感染報告が明らかになるにつれて、タイムラインや標的にも変化がある可能性があります。特定されたコンポーネントファイルの一部は、以下のとおりです。
- advnetcfg.ocx
- ccalc32.sys
- mssecmgr.sys
- msglu32.ocx
- boot32drv.sys
- nteps32.ocx
advnetcfg.ocx ファイルについては 2 つの亜種が確認されています。1 つ目の亜種は 2010 年 9 月までさかのぼり、2 つ目は 2011 年 2 月に出現しました。設定ファイル ccalc32.sys にも 2 つの亜種がありますが、どちらも出現時期は advnetcfg.ocx ファイルと同じ頃と見られます。
図 1. W32.Flamer の活動のタイムライン
シマンテックが初期段階に行った遠隔測定のほか、未確認ながら 2007 年にまでさかのぼる感染報告もあります。この報告に関しては数日中に確認がとれる見込みです。
図 2: W32.Flamer の拡散状況
感染したコンピュータ数に基づくと、W32.Flamer の標的は主にパレスチナ西岸、ハンガリー、イラン、レバノンといった地域です。オーストリア、ロシア、香港、アラブ首長国連邦からも報告は届いていますが、これらは標的となったコンピュータが他の地域に一時的に持ち出されたことを意味している可能性もあります。たとえば、ラップトップコンピュータなどの場合です。興味深いのは、特定の組織が狙われただけでなく、感染したコンピュータの多くが自宅のインターネット環境で使われている個人のコンピュータだという点です。
脅威の詳細
シマンテックでは、W32.Flamer の多数のコンポーネントを取得し、現在解析中です。コンポーネントの一部は、明らかに悪質とは見えないように書かれており、高エントロピーなデータや明らかに疑わしい文字列もありません。コード自体は複雑であり、それが解析を阻んでいます。全体の機能としては、文書を盗み出す、ユーザーのデスクトップのスクリーンショットを撮る、リムーバブルドライブを介して拡散する、セキュリティ製品を無効化するといったことができます。また状況によっては、現在はパッチが公開されている Microsoft Windows の既知の脆弱性を利用して、ネットワーク上で拡散できる場合もあります。
図 3 は、これまでに特定された W32.Flamer の各コンポーネントの相互関係を示しています。他の感染ではファイル名が異なることもあります。
図 3. W32.Flamer のコンポーネント
advnetcfg.ocx ファイルは、ccalc32.sys というファイルから設定データをロードして復号します。ccalc32.sys ファイルは、128 ビットの鍵で RC4 暗号化されています。ccalc32.sys ファイルが作成されるとき、そのタイムスタンプは Windows のシステムファイルである kernel32.dll と同じ時刻になるように時間を逆行して変更されます。これも、ユーザーがファイルの存在に気づかないようにすることが目的です。advnetcfg.ocx ファイルには、第 3 のコンポーネントによって発行されるコマンドを処理する役割もあります。他のコンポーネントの解析でも、advnetcfg.ocx と通信するコンポーネントがどれかは、まだ特定できていません。
このファイルは、複雑な手法を使って winlogon.exe ファイルやセキュリティ製品のプロセス、あるいは選択した他のプロセスに自身をインジェクトします。インジェクトされるのは複数のコードブロックで、必要に応じて呼び出されます。また、hell32.dll(正常な Windows システム DLL)をロードする場合もありますが、いったんロードされると、メモリ内の DLL が悪質な DLL に置き換えられます。advnetcfg.ocx ファイルには、スクリーンショットを撮る機能や、特定のデバッグ対策の手口を実行する機能もあります。
mssecmgr.ocx ファイルは大きく、図 4 に示すように多くの機能を持っています。
図 4. mssecmgr.ocx で特定されたコンポーネント
LUA インタープリタ、SSH コード、SQL などの機能があります。LUA インタープリタを実装していることから、このコンポーネントは柔軟性と設定の自由度が高くなっており、攻撃者は更新したコマンドや機能を、ごく短時間で効率的に配備できます。このファイルは、次のレジストリで参照されている場合もあります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages" = "mssecmgr.ocx"
上の図に示したように、mssecmgr.ocx にはほかにもモジュールがいくつか追加されています。
mssecmgr.ocx ファイルで特に注目すべきなのは、~DEB93D.tmp というファイルを参照する機能があることです。~DEB93D.tmp ファイルは、イランの一部の石油ターミナルをインターネットから切断した原因である 'wiper' ウイルスに関係していることが、第三者研究機関によって正式に確認されています。'wiper'(ワイパー)ウイルスは、ハードディスクから情報を消去すると報告されていることからその名前が付きました。
nteps32.ocx ファイルは、主としてスクリーンショットを撮る機能を持ち、boot32drv.sys から設定情報を取得します。0xFF で暗号化されたこの設定データには、たとえばスクリーンショットを撮る頻度の指定など、機能の実行方法が定義されています。
msglu32.sys ファイルには、各種の文書、画像、GPS データ付き画像、プレゼンテーション、プロジェクトファイル、技術図面などを開いてそのデータを盗み出すためのコードが含まれています。mssecmgr.sys と同様、SQL 機能もあります。興味深いことに、このモジュールには 'JIMMY' という文字列が何度も登場し、たとえば「Jimmy Notice: failed to convert error string to unicode(Jimmy の注意事項: エラー文字列を Unicode に変換できず)」などというメッセージが含まれています。Jimmy というのは、このモジュールのコード名なのかもしれません。
これまでに解析してきたコードには、'FLAME' という文字列もたびたび使われています。これはコードの各部分が実行する特定の攻撃(インジェクション、悪用、その他)を意味しているいるようでもあり、このマルウェアの開発プロジェクト名を示しているのかもしれません。マルウェアの発生源を特定する手がかりとなるような事実は、まだ発見されていません。
モジュール性を備えていることから、長期間にわたってプロジェクトを保守するという目的で開発者の集団がこのマルウェアを作成しているとも考えられます。このマルウェアを利用する別の集団と連携している可能性も高いでしょう。W32.Flamer で採用されているアーキテクチャでは、コンポーネントを作り直す必要も、あるいはマルウェアコントローラによって使われている他のモジュールについて知る必要もなく、1 つのコンポーネントの機能や動作を変更することができます。機能のアップグレードや修正、または単にセキュリティ製品をすり抜ける目的で変更を導入できます。
各コンポーネントの解析と調査は現在も継続中ですが、技術的な詳細と攻撃に関する情報についてはまもなく公開される予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。