Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Shamoon 攻撃

Created: 17 Aug 2012 10:14:27 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

W32.Disttrack は、エネルギー業界の少なくとも 1 つの特定の組織を標的とする攻撃に使われている新しいマルウェアです。この破壊的なマルウェアは、コンピュータを使用不能にする目的で、侵入先のコンピュータ上のファイルを破壊し、MBR(マスターブートレコード)を上書きします。

W32.Disttrack は、以下のような複数のコンポーネントから構成されています。

  1. Dropper - メインコンポーネントであり、最初の感染源です。他の一連のモジュールを投下します。
  2. Wiper - マルウェアの破壊的な機能を担っています。
  3. Reporter - 感染情報を攻撃者に報告する役割を担っています。

Dropper コンポーネント

Dropper コンポーネントは、以下のアクションを実行します。

  • 自身を %System%\trksvr.exe にコピーする
  • リソースに埋め込まれている以下のファイルを投下する
    • 64 ビット版の Dropper コンポーネント: %System%\trksrv.exe("X509" リソースに含まれる)
    • Reporter コンポーネント: %System%\netinit.exe("PKCS7" リソースに含まれる)
    • Wiper コンポーネント: %System%\[リストから選択された名前].exe("PKCS12" リソースに含まれる)
      : コンポーネントの名前は、次のリストから選択されます。
      • caclsrv
      • certutl
      • clean
      • ctrl
      • dfrag
      • dnslookup
      • dvdquery
      • event
      • extract
      • findfile
      • fsutl
      • gpget
      • iissrv
      • ipsecure
      • msinit
      • ntx
      • ntdsutl
      • ntfrsutil
      • ntnw
      • power
      • rdsadmin
      • regsys
      • routeman
      • rrasrv
      • sacses
      • sfmsc
      • sigver
      • smbinit
      • wcscript
  • 自身を以下のネットワーク共有にコピーする
    • ADMIN$
    • C$\\WINDOWS
    • D$\\WINDOWS
    • E$\\WINDOWS
  • 自身を実行するタスクを作成する
  • Windows の起動時に自身を起動する以下のサービスを作成する
    • サービス名: TrkSvr
    • 表示名: Distributed Link Tracking Server
    • 実行ファイルのパス: %System%\trksvr.exe

 

Wiper コンポーネント

Wiper コンポーネントには以下の機能が含まれています。

  • 次の場所から既存のドライバを削除し、別の正規のドライバで上書きする
    • %System%\drivers\drdisk.sys
    • このデバイスドライバは感染していないディスクドライバであり、ユーザーモードのアプリケーションはこれにより、ディスクセクターの読み取りと書き込みが行えます。このドライバはコンピュータの MBR の上書きに使用されますが、正規の目的にも使用できます。
    • ファイルにはデジタル署名が付いています。
  • ファイル名を収集する以下のコマンドを実行する(該当するファイル名は上書きされ、f1.inf および f2.inf に書き込まれる)

  • f1.inf および f2.inf のファイルは、次に示す JPEG 画像によって上書きされる。そのため、上書きされたファイルは使用不能になる。

図 1. ファイルの上書きに使用される画像

  • 最後に、このコンポーネントは、侵入先のコンピュータが二度と起動できないように、MBR を上書きする

このマルウェアの Wiper コンポーネントには、デバッグシンボルの場所を示す次の文字列が残されていました。これを見ると、このコンポーネントが開発者のコンピュータ上のどこに保存されていたのかがわかります。
C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

Reporter コンポーネント

Reporter コンポーネントは、感染情報を攻撃者に返送する役割を担っています。情報は HTTP GET 要求として送信され、次のような構造になっています。
http://[DOMAIN]/ajax_modal/modal/data.asp?mydata=[MYDATA]&uid=[UID]&state=[STATE]

次のデータが、攻撃者に送信されます。

  • [DOMAIN] - ドメイン名
  • [MYDATA] - 上書きされたファイルの数を示す数値
  • [UID] - 侵入先のコンピュータの IP アドレス
  • [STATE] - 乱数

このような破壊的なペイロードを持つマルウェアは珍しく、標的型攻撃ではまれな存在です。シマンテックセキュリティレスポンスでは引き続きこのマルウェアを分析し、詳細がわかり次第お知らせいたします。シマンテック製品をお使いのお客様は、このマルウェアから保護されています。シマンテックのセキュリティ製品は、このマルウェアを W32.Disttrack として検出します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。