Video Screencast Help
Security Response

Shady RAT、その真相

Created: 08 Aug 2011 10:38:31 GMT • Translations available: English
Hon Lau's picture
0 0 Votes
Login to vote

マカフィー社は昨日、同社が「Operation Shady RAT」と呼ぶ攻撃に関して興味深いレポートを発表しました。その中心となっているのは、Advanced Persistent Threat(APT)と呼ばれることもある一連の攻撃で、一部の筋では「これまでで最大級のサイバー攻撃のひとつ」とも称されるものでした。この攻撃で予想される規模については若干のデータが集まりましたが、その脅威と、攻撃のステージング方法に関する詳細は、まだ一部しか判明していませんでした。

このレポートとシマンテック独自の情報源から拾い集めた情報に基づいて、シマンテックは最初の攻撃経路と、使われている脅威、攻撃のステージング方法を特定しました。それだけでなく、攻撃の被害者に関して、マカフィー社がレポートの基礎資料として使ったのと同じ情報源と思われる内容も発見しました。この情報は、攻撃者のコマンド & コントロールサイトでそのまま公開されており、この種の攻撃が「advanced(高度な)」あるいは「sophisticated(巧妙な)」と称されることも多いことを考えると、奇妙な手抜かりであると言えます。

前置きはこれぐらいにして、これらの攻撃について詳しく説明し、その動作を最初から最後まで追ってみることにしましょう。この攻撃には主に 3 つの段階があるので、その順に解説していきます。

 

第 1 段階:
第 1 段階では、標的となる組織を選び、電子メールを作成して各組織の個人宛てに送信します。メールでは標的型攻撃の典型的な手口が用いられます。つまり、名簿や連絡先、予算案など、受信者の興味をひきそうな話題やトピックを載せるのです。メール本文では、添付ファイルで詳細を確認するよう促しており、これはソーシャルエンジニアリングの手口の一部です。シマンテックの調査でもこのようなメールが多数見つかり、そのトピックはあらゆる範囲にわたっていました。添付ファイルの内容はさまざまですが、Word 文書、Excel スプレッドシート、PowerPoint プレゼンテーションなどの Microsoft Office ファイルと、PDF 文書が一般的です。これらのファイルはエクスプロイトコードとともにロードされるので、ユーザーがファイルを開くとエクスプロイトコードが実行され、コンピュータが侵入を受けることになります。

添付ファイルの名前の例:

  • Participant_Contacts.xls
  • 2011 project budget.xls
  • Contact List -Update.xls
  • The budget justification.xls

Excel ファイルの場合は、「Microsoft Excel の 'FEATHEADER' レコードによりリモートコードが実行される脆弱性」Bloodhound.Exploit.306 により検出)が悪用されていることが確認されました。これは古いながらも依然として悪用が続いている脆弱性です。パッチが適用されていないコンピュータでファイルを開くと、ユーザーが疑いを持たないように Excel ファイルのクリーンコピーが投下され開かれます。このときトロイの木馬も投下されて実行されます。この悪用が明らかにわかる兆候のひとつとして、Excel が一瞬ハングしたように見えてから動作を再開することがあり、ときにはクラッシュしてから再起動する場合もあります。

 

第 2 段階:
トロイの木馬がインストールされると、トロイの木馬自体にハードコードされているリモートサイトへの接続が試みられます。最近使われた例の一部を以下に示します。

  • www.comto[削除済み].com/wak/mansher0.gif
  • www.kay[削除済み].net/images/btn_topsec.jpg
  • www.swim[削除済み].net/images/sleepyboo.jpg
  • www.comto[削除済み].com/Tech/Lesson15.htm

まず気が付くのは、URL が画像ファイルや HTML ファイルを示しているということです。一見すると、どれも疑わしい点はありません。これは、攻撃者がコマンドを隠すために用いる手段として注目に値します。ファイアウォールの多くは、HTTP トラフィックを通すために画像ファイルや HTML ファイルを許可するように設定されています。トロイの木馬のサンプルによって示されるコンテキストに基づいて綿密に調べない限り、このような画像や HTML は完全に正規のファイルであるように見えてしまいます。

コマンド& コントロールサーバーで見つかった、コマンドを隠すために使われている画像の例をいくつか示します。

ファイルと、トロイの木馬のコードを慎重に調べてみると、ステガノグラフィーという手法を利用して画像にコマンドが隠されていることがわかります。コマンドを表すビットは、画像を表すデータに数学的に組み込まれているため、このコマンドは人間の目にはまったく見えません。

HTML ファイルをダウンロードするバージョンのトロイの木馬の場合、コマンドは HTML のコメントとして隠されています。一見したところ意味不明ですが、実際には暗号化されたコマンドで、それがさらに base-64 エンコードに変換されます。

この HTML コードをテキストエディタで表示すれば、コマンドはユーザーの目にも見え、トロイの木馬によって侵入先のコンピュータ上で解析されない限り事実上は無害です。コマンドは、次のいずれかです。

run: {URL/ファイル名}
実行可能ファイルを %Temp% フォルダにダウンロードし、新しいプログラムを実行します。

sleep:{数}
指定された時間(分)だけスリープ状態になります。

{IP アドレス}:{ポート番号}
トロイの木馬が、指定したポートでリモート IP に接続します。このコマンドは、指定したポート番号を介して任意の IP アドレスに直接接続できるので、攻撃者の立場からすれば実に便利です。

{IP アドレス}:{ポート} コマンドを受け取ったトロイの木馬がリモート接続を確立すると、攻撃は次の段階に移行します。

 

第 3 段階:
トロイの木馬が {IP アドレス}:{ポート} コマンドを使ってリモートコンピュータに接続すると、そのコンピュータに対するリモートシェルが確立され、リモートサイトの攻撃者が直接シェルコマンドを発行して侵入先のコンピュータで実行できるようになります。もちろん、こうした動作はすべてエンドユーザーに気づかれません。シェルは秘匿され、ローテクかつ軽量な形でコンピュータにアクセスできるからです。

指定されたポート番号でリモート IP に接続したトロイの木馬は、アクティブなコマンドを受信するまで待機します。コマンドを受信すると、バックドアが以下の文字列を送信します。これは、トロイの木馬とコントローラの間で交わされる、一種のハンドシェークです。

"/*\n
@***@*@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@>>>>\*\n\r"

次にトロイの木馬はファイル %System%\cmd.exe(DOS シェル)を %Temp%\svchost.exe にコピーし、そのコピーを使って侵入先のコンピューティング上でリモートシェルを開きます。

そして、トロイの木馬は定期的に、リモートサーバーで以下のいずれかのコマンドが受信されたかどうかを確認します。

gf:{ファイル名} — リモートサーバーからファイルを取得する。
pf:{ファイル名}  — リモートサーバーにファイルをアップロードする。
http:{URL}.exe  — http で始まり .exe で終わるファイルをリモート URL から取得する。リモートファイルがダウンロードされて実行されます。
taxi: {コマンド} — リモートサーバーからコマンドを送信する。
slp:{結果}  — 上のコマンドを実行した結果をリモートサーバーに送信し、ステータスを報告する。

たったこれだけのコマンド群でも、攻撃者が狙った組織に対して完全な侵入を果たすには十分です。トロイの木馬自体で使えない機能があっても、侵入先のコンピュータに簡単にダウンロードし、思うままに実行させることが可能です。収集されたデータは、pf コマンドを使ってリモートの攻撃者に送り返されます。

 

攻撃の被害者
マカフィー社が指摘するように、世界中で多くの組織がこの一連の攻撃の影響を受けました。被害者に関する情報がそのまま公開されていたと述べたことを思い出してください。攻撃者はサーバーの保護が不十分だっただけでなく、各種の Web トラフィック解析ツールをサーバーにインストールしていたことまで判明しました。解析ツールは、攻撃者が攻撃の成否を確認するためには確かに有効ですが、逆にそのような攻撃を調べる側にとっても有利にはたらきます。たとえば、攻撃者が使っていたサイトのひとつでは、コマンド & コントロールサーバーに接続してコマンドファイルをダウンロードしたコンピュータについて、統計を閲覧できるようになっていました。この情報を利用すれば、この脅威の影響を受けた組織を特定することが、私たちにも可能でした。

パブリックドメインですでに報告されているように、被害者は政府各機関から民間企業まで広範囲にわたっています。今も判然としないのは、攻撃者が標的としている情報の種類です。影響を受ける組織や個人が多種多様なことから、明確な動機もわかっていません。この攻撃に、ある国家が関与しているという意見もありますが、具体的な国を名指しすることはできません。被害者の所在は全世界に広く分布していますが、攻撃に関与したサーバーの分布も同様です。

 

まとめ
影響が大きいのは確かですが、この攻撃も毎日発生している同様の攻撃のひとつにすぎません。こうしてブログを執筆している間にも、他のマルウェアグループが、さまざまな組織を標的として似たような手口で侵入を果たし、機密情報を詐取しようとしているからです。情報を求める需要があるところには必ず、進んでそれを提供する者がいます。このような攻撃の背後にいる攻撃者の正体や動機は常に判明するとは限りませんが、攻撃者が犯した失敗を逆手にとれば、攻撃者の挙動をより確実に把握できるようになり、摘発に向けてさらに一歩前進できることになります。

最初に挙げた疑問に戻りますが、Shady RAT で明らかになった攻撃は、はたして本当に APT と言えるのでしょうか。今回のケースではサーバーの構成にミスがあり、使われているマルウェアやテクニックもどちらかと言えば高度ではないことから考えると、APT ではないと私は考えています。攻撃者はたしかに執拗ですが、Zeus や Tidserv など、無数に存在する他のマルウェアグループでもその点は大差ありません。

 

保護と緩和の対策
Operation Shady RAT や同類の攻撃に対する保護対策には、以下の手順が効果的です。

ウイルス対策を最新の状態に保ち、有効にする
シマンテックでは、これらの脅威の古いバージョンを Backdoor.TrojanDownloaderTrojan Horse として検出してきましたが、最近のサンプル(2011 年 5 月時点)は、Trojan.Downbot として分類されています。シマンテックのレピュテーション(評価)ベースの検出技術を使えば、これらの攻撃で使われているファイルの多くに対してプロアクティブな保護も可能です。

IPS を有効にする
標準のウイルス検出に加えて、シマンテックでは攻撃に対する保護に有効な多数の IPS シグネチャも提供しています。シグネチャの一部はリモートの悪用、バックチャネル通信、ファイルダウンロードなどに特化しています。

電子メールフィルタを使う
Brightmail やメッセージラボなどの電子メールフィルタサービスを使えば、攻撃の芽を、その発芽より前に除外することができます。

オペレーティングシステムとソフトウェアのパッチ
一連の攻撃の多くは、悪用コードを含むファイルから始まります。多くの場合、悪用はすでにパッチが公開されている脆弱性を狙っているので、すべてのソフトウェアに最新のセキュリティパッチを適用しておくことが肝要です。

ユーザーの意識向上
ユーザー自身が最大の弱点であることも少なくありません。ソーシャルエンジニアリングが攻撃の常套手段になっているのも、まさにそれが理由です。教育と意識向上のプログラムは、攻撃のリスクを根絶しないまでも、軽減することには有効です。

 

Shady RAT の解析にご協力いただいた Cathal Mullaney 氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blog Entry Filed Under: