活動は沈静化していましたが、Trojan.Hydraq の背後にいる攻撃者が姿を消していなかったことをシマンテックは確認しました。1 月以来、攻撃の証拠も見つかっていることから、攻撃者は活動を再開しているようです。今回は、実際にあった攻撃の例について報告します。
Adobe の致命的なゼロデイ脆弱性を悪用した PDF マルウェアサンプルによる攻撃が、数日前に報告されました。この投稿では、脆弱性自体ではなく、すでに攻撃に利用されているこのマルウェアとその攻撃内容について説明します。
攻撃が確認されたこの PDF マルウェアに関する公式な報告書にはソーシャルエンジニアリングを目的とした電子メールが紹介されています。この電子メールには以下のような特徴がありました。
件名: David Leadbetter’s One Point Lesson(David Leadbetter のワンポイントレッスン)
送信日: Monday, September 06, 2010 8:01 AM(2010 年 9 月 6 日(月)、午前 8:01)
添付ファイル: Golf Clinic.pdf(Md5: 9c5cd8f4a5988acae6c2e2dce563446a)
電子メールに添付された PDF ファイルは、Adobe Reader 'CoolType.dll' TTF Font Remote Code Execution Vulnerability(Adobe Reader の 'CoolType.dll' TTF フォントにリモートでコードが実行される脆弱性)(BID 43057)を悪用します。これは ROP(return-oriented programming)として知られる技術を利用し、icucnv36.dll モジュールのコードを使ってデータ実行防止(DEP)を回避します。このモジュールは、ASLR(Address Space Layout Randomization)と互換性がないため、Adobe Reader で呼び出されるたびに同じ仮想アドレス空間にロードされます。DEP と ASLR は、悪用を防ぐ緩和戦略としてオペレーティングシステムに備わっている機能です。
悪用に成功すると、このマルウェアは hlp.cpl というファイル名で DLL ダウンローダコンポーネントを %Temp% フォルダに紛れ込ませ、このファイルがさらにマルウェアをダウンロードします。hlp.cpl ファイルには 5 種類のエクスポート関数があり、それぞれ次のように名前どおりの機能を持っています。
- DeleteMySelf
- DownloadFile
- IsAdmin
- MakeAndShowEgg
- Startup
このファイルには有効なデジタル証明書も含まれており、次の画像に示すように、盗用されたデジタル証明書によって署名されています。
証明書の有効期限は 2009 年 10 月 25 日から 2010 年 10 月 26 日までで、署名時刻はありませんでした。
注目すべき特徴のひとつは、悪用に成功したこのマルウェアで開かれるおとりの PDF が、この実行可能ファイルの添付データに存在するという点です。この特徴から、またマルウェアの DLL エクスポート関数の命名のしかたからも、これが PDF の悪用を前提としたものであって汎用ダウンローダとして署名されたものでないことは明らかです。ただし、署名があったからといって、この脆弱性が既知であるとは限りません。次の電子メール中のソーシャルエンジニアリングのコンテンツは、最初に報告された上記のサンプルに似ていますが、若干の違いがあります。
以下の電子メールはさらに前の 2010 年 9 月 1 日に送信されたもので、件名もさまざまです。
上記の電子メールに見覚えがあるとすれば、それは Hydraq(オーロラ)攻撃に使われる電子メールにスタイルが非常によく似ているからです。また、PDF に存在するゼロデイ脆弱性を利用している点や、実行可能ファイルをシステムに紛れ込ませるという方法も、すべて Hydraq の手法と一致します。さらに、まだどこでも確認されていない独自バージョンの PDF が大量に検出されており、これは中国山東省にあるたった 1 台のコンピュータから送信されています。このコンピュータは、Hydraq 攻撃の追跡調査が最終的に行き着いた 1 台なのです。
こうした類似点がすべて偶然である可能性もないとは言えませんが、これらの攻撃は同じ犯罪者グループが行っていると思われます。上記の電子メールに添付されている PDF はすべて、Adobe の同じゼロデイ脆弱性を悪用し、よく似たダウンローダコンポーネントを紛れ込ませます。異なるのはおとりの PDF だけです。異なる URL で別のマルウェアがダウンロードされる場合もありました。
以上のことから、少なくとも 2010 年 9 月 1 日には実際に悪用が行われていると考えられます。シマンテックは、このマルウェアコンポーネントと、悪用される PDF をすべて検出しています。悪意のある電子メールは正しく遮断され、シマンテックホステッドサービス(メッセージラボ)によってスパムとマークされました。悪用される PDF は、Bloodhound.PDF!gen1 または Bloodhound.Exploit.357 として検出されます。ウイルス対策ソフトウェア、IPS、IDS のシグネチャを常に最新の状態に保ち、PDF ファイルの取り扱い(実際には、あらゆる電子メールの取り扱い)には慎重を期すことが必要です。可能であれば、PDF リーダーの JavaScript 機能を無効にしておくことを推奨します。