Video Screencast Help
Security Response

Flamer: Bluetooth 機能の詳細

Created: 01 Jun 2012 09:12:34 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

W32.Flamer は、シマンテックでこれまで確認した限り、Bluetooth を使用する Windows ベースの唯一の脅威かもしれません。この事実は、W32.Flamer がただ高度な脅威であるだけでなく、包括的な情報収集スパイツールであることも示唆しています。W32.Flamer が持つ Bluetooth 機能の技術的な詳細については、CrySyS Lab. からすでに報告されていますが、Flamer に狙われた被害者にとって、これは実際には何を意味しているのでしょうか。Bluetooth を使って、攻撃者は何を実行できるのでしょうか。

Flamer の Bluetooth 機能は、「BeetleJuice」と呼ばれるモジュールにエンコードされています。このモジュールは、攻撃者が設定した構成値にしたがって起動され、次の 2 つの主要なアクションを実行します。

  1. まず、射程内にあるすべての Bluetooth デバイスをスキャンします。デバイスが検出されると、そのステータスがチェックされ、そのデバイスの詳細情報(ID など)が記録されます(ある時点で攻撃者にアップロードされるものと思われます)。
     
  2. 次に、自身を Bluetooth ビーコンとして設定します。つまり、W32.Flamer に感染したコンピュータは、別の Bluetooth デバイスがローカルエリアをスキャンしたときに姿を現すわけです。また、Flamer は、Bluetooth ビーコンを有効にするだけでなく、侵入先のコンピュータの詳細情報をエンコード(図 1 を参照)し、それらの詳細情報を特殊な「description」フィールドに保存します。この description フィールドは、Bluetooth 対応のデバイスが別のデバイスによってスキャンされると表示されます。

以上は、Flamer が Bluetooth をどのように使用するのかを示していますが、それでは、このような機能を使って、攻撃者は何を実行できるのでしょうか。考えられるシナリオは、いくつかあります。
 

シナリオ 1 – 被害者の社会的なつながりの特定

W32.Flamer に感染したコンピュータの射程内にある Bluetooth デバイスを絶えず監視すれば、攻撃者は終日にわたって検出された各種デバイスのプロファイルを作成できます。感染したコンピュータがラップトップである場合、これは特に有効です。なぜなら、被害者がいろいろな場所に持ち歩く可能性が高いためです。時間の経過に伴い、被害者が仲間や友人に会う過程で、検出されたデバイス(おそらくほとんどは携帯電話でしょう)がカタログに記録されます。攻撃者はこのようにして、さまざまな人々とのやり取りをマッピングし、被害者の社会的または仕事上のつながりを特定することができます。
 

シナリオ 2 – 被害者の物理的位置の特定

被害者のコンピュータに侵入する時点で、攻撃者は該当する被害者とその位置を最優先の標的として定めています。被害者が住んでいるビルは特定できますが、職場を特定することはできません。しかし、Bluetooth を使用すれば、侵入先のデバイスの位置を特定できます。

Bluetooth は、電波を介して動作します。電波信号の強度を測定すれば、攻撃者は自分が特定のデバイスに近づきつつあるのか、遠ざかりつつあるのかを把握することができます。Bluetooth ビーコンを有効にし、侵入先のデバイスの詳細情報を description フィールドに表示しておけば、W32.Flamer に感染したコンピュータやデバイスの物理的な位置を難なく特定することができます。

また、侵入先のコンピュータを特定するのではなく、被害者の携帯電話を特定するという方法もあります。「BeetleJuice」モジュールは、侵入先のコンピュータの近くにある全デバイスの ID リストを取得済みであるため、攻撃者は被害者が所有するデバイスを把握しています。被害者が常に持ち歩いているデバイスが携帯電話である可能性は高いでしょう。このような場合、デバイスに何かをインストールしたり、改変したりすることなく、被害者を受動的に監視することができます。Bluetooth 監視デバイスを空港や駅などの交通拠点に設置して、取得済みのデバイスの ID 値を傍受することができます。一部の攻撃では、1 マイル(約 1.6 km)以上離れた Bluetooth デバイスさえ特定されています。さらに悪質なのは、この受動的な傍受により、攻撃者が被害者をピンポイントで特定できる点です。そのため、それ以降さらに簡単に被害者を追跡できてしまいます。
 

シナリオ 3 – 高度な情報収集
 

前回のブログに記述したように、Flamer の機能の本質的な部分は Lua スクリプト、つまり FLAME「アプリリポジトリ」からダウンロードされる「アプリ」に実装されています。侵入先のデバイスにダウンロードするために、悪質な新しい Bluetooth Lua アプリを FLAME ストアに簡単にアップロードすることができます。射程内の各種 Bluetooth デバイスを把握している攻撃者は、この拡張機能により、次のような数多くの攻撃を仕掛けることができます。

  • アドレス帳に登録されている連絡先情報、SMS メッセージ、画像などを盗む。
  • デバイスを使用して盗聴する。侵入先のコンピュータを近くのデバイスに接続し、ハンズフリー通信を有効にする。目的のデバイスが会議室に持ち込まれたとき、または電話を掛けるのに使用されたときに盗聴する。
  • 盗んだデータを付くにあるデバイスのデータ接続を使って外部に渡す。これにより、ファイアウォールやネットワーク制御がすべて回避される。このとき、標的から 1 マイル(約 1.6 km)離れた攻撃者は、自分の Bluetooth 対応デバイスを使用することもできる。

W32.Flamer の中に未解明のコードが、このような目的のいくつかをすでに達成している可能性もあります。たとえば、「beacon」コードの付近にネットワークコードは発見されていませんが、感染したコンピュータが Bluetooth を使って別のコンピュータに接続できる可能性もあります。2 番目のコンピュータがセキュリティで保護されているネットワークを使用しており、USB 接続を介して感染した場合、利用可能な唯一のネットワークは、最初に感染したコンピュータに対する Bluetooth 接続と思われます。これを実現するためのコードが、FLAME 内にすでに存在しているかもしれません。

ここに挙げたシナリオは、すべて実践的な攻撃であり、スキルの高い攻撃者であれば簡単に実装できます。W32.Flamer が持つ高度な機能を鑑みると、攻撃者が技術的に高いスキルを備えており、このような攻撃は十分に実現可能だと思われます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。