Video Screencast Help

IE の新しいゼロデイ脆弱性を利用した標的型攻撃

Created: 04 Nov 2010 04:23:10 GMT • Translations available: English
Vikram Thakur's picture
0 0 Votes
Login to vote

この数週間というもの、セキュリティレスポンスの周辺では目まぐるしい日々が続いています。未知の脆弱性やパッチの適用されていない脆弱性の悪用が、驚異的な件数にのぼっているためです。

そのうちの 1 つは数日前に始まったばかりですが、以前のバージョンの Internet Explorer を標的とした悪用の可能性が報告されています。標的となった組織の特定グループ宛てに電子メールが送信され、その電子メールに特定のページへのリンクが記載されていました。このページがホストとして利用しているのは正当な Web サイトです。ハッカーは、所有者に気づかれることなく、この Web サイトのアカウントにアクセスしてコンテンツをアップロードしていたのです。以下に、この電子メールの例を挙げます。

リンク先のページには、アクセスに使われたブラウザのバージョンやオペレーティングシステムを探ろうとするスクリプトが埋め込まれていました。実際の悪用ページは、Internet Explorer 6 または 7 を使っている場合にしか動作しないため、このスクリプトによりユーザーが悪用ページに転送されるのは、この条件が満たされている場合に限られます。それ以外の場合には、空白の Web ページが表示されるだけです。

悪用ページが表示されても、ユーザーはそのことに気づかず、何のメッセージもプロンプトもないままコンピュータにマルウェアがダウンロードされ、実行されてしまいます。脆弱性によって、任意のリモートプログラムが、エンドユーザーに気づかれることなく実行できるようになっているのです。感染してしまうと、マルウェアは自身をコンピュータのスタートアップに設定し、「NetWare Workstation」という名前のサービスと共に開始されるようにします。このマルウェアがコンピュータにバックドアを開いてリモートサーバーに接続し、「.gif」拡張子の付いた小さなファイルを探そうとします。接続が試みられるのは、ポーランドにある特定のサーバーでした。サイズの小さなこれらのファイルは、実際には暗号化されており、トロイの木馬に後続の処理を指示するコマンドを含んでいます。マルウェアは、リモートサーバー上の以下の各フォルダから、暗号化されたこれらの小さなファイルをダウンロードできるようにプログラムされていました。

  • images
  • pic
  • image
  • binary
  • news
  • index
  • picture
  • bbs

シマンテックでは、コマンドを含むこのような大量の特定「.gif」ファイルのネットワークトラフィックをキャプチャすることができました。攻撃者が侵入先のコンピュータ上で実行した内容の一部を以下に示します。

一連のコマンドを確認すると、何者かがリモートコンピュータからこれらのコマンドを手動で入力していることは明らかです。

攻撃者によってダウンロードされるファイルは、同じように攻撃を受けたさらに別の Web サイトでホストされていました。このサーバーの所有者も、自分たちのコンピュータが悪質なプログラムをホストすることに利用されていたことに気づいていませんでした。

実際、元の悪用ページとマルウェアが存在したサーバーの所有者に連絡をとったところ、悪質なコンテンツはすぐに削除されました。悪用されていたサーバーのログファイルを調べると、マルウェアの作成者が数多くの組織を標的にしていたことがわかります。このサーバー上のファイルには、世界中にあるさまざまな業種の企業のユーザーから多数のアクセスがありましたが、ペイロードファイルにはほとんどアクセスがなかったようなので、大部分のユーザーは脆弱性のないブラウザや攻撃対象ではないブラウザを使っていたと考えられます。

シマンテックは、この脆弱性を確認後すぐマイクロソフト社に報告しており、マイクロソフト社でもその検証内容を確認しました。また、マイクロソフト社では併せて、この脆弱性が IE 6、7、および 8 に限定したものであることを確認し、すでにこの件に関するアドバイザリを公開しています。シマンテックでは、この IE の脆弱性を Downloader として適切に検出します。この悪用でインストールされるマルウェアの検出名は、当初 Downloader および Trojan Horse となっていましたが、現在は Backdoor.Pirpi に変更されています。

このブログでは、コンピュータの安全な使い方についての注意で最後を締めくくるのが慣例となっています。まだこの記事をお読みいただいているようですので、インターネットに接続しているサーバーを管理しているみなさんに、ぜひお伝えしておきます。サーバーの管理者には、管理しているコンピュータに対する責任があります。自分が管理しているコンピュータから送信されている内容を常に把握し、パッチの適用やファイアウォールのインストールと適切な設定、定期的なパスワード変更を忘れないでください。特に、自分のサーバーの動作が確認できない場合は、Web からの接続を受け入れないようにすることが重要です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。