シマンテックセキュリティレスポンスは、W32.Disstrack による感染について後続のレポートを引き続き調査しています。W32.Disttrack は Shamoon 攻撃で使われる破壊力の高い脅威です。侵入先のコンピュータでファイルとマスターブートレコード(MBR)を使用不能にし、最大級の被害をもたらします。
W32.Disttrack は、不特定の名前で .pnf 拡張子の付くファイルにハードコードされている「抹消日付」を読み込んで利用します。.pnf ファイルは W32.Disttrack がファイルシステム上に作成したものです。W32.Disttrack はこの日付を定期的に確認し、その日付を過ぎた場合には Wiper コンポーネントを投下して実行します。Wiper コンポーネントは、以下のものをこの順で抹消します。
- 優先度付けされたファイルのリスト
- マスターブートレコード
- アクティブなパーティション
優先度付けされたファイルのリストには、Wiper コンポーネント自体と、以下のフォルダにあるファイルも含まれます。
- C:\Documents and Settings
- C:\Users
- C:\Windows\System32\Config
特に標的となるのは、以下の名前が使われているサブフォルダのファイルです。
- download
- document
- picture
- music
- video
- desktop
新しい亜種はファイルを抹消するとき、ランダムに生成される 192KB のブロックを使ってファイルを上書きします。以前のバージョンでは、焼き捨てられた米国国旗の部分的な JPEG 画像が入った 192KB のブロックが使われていました。
最初の感染経路はまだ確定されていません。経路が組織ごとに異なる場合もありますが、ひとたび W32.Disttrack がネットワークに入り込むと、ネットワーク共有を介してローカルエリアネットワーク内の各コンピュータへ拡散しようとします。Shamoon はコンピュータ間の既存のクレデンシャルに便乗することもありますが、Shamoon の攻撃者はドメインのクレデンシャルとドメインコントローラ自体へのアクセス権を取得し、それによってローカルドメインのすべてのコンピュータにアクセスするのが一般的です。
標的が見つかると、W32.Disttrack はアクセス権があることを確かめるために、以下のファイルを開いて閉じます。
- \\[標的の IP アドレス]\ADMIN$\system32\csrss.exe
- \\[標的の IP アドレス]\C$\WINDOWS\system32\csrss.exe
- \\[標的の IP アドレス]\D$\WINDOWS\system32\csrss.exe
- \\[標的の IP アドレス]\E$\WINDOWS\system32\csrss.exe
成功した場合は、リモートの system32 ディレクトリに自身をコピーし、psexec.exe を使って自身の実行を試みます。成功しない場合は、リモートサービスとして自身をロードしようとします。標的のすべてのコンピュータをループして処理に成功すると、自分自身を削除します。
削除と回復
この脅威に感染していることが懸念されるユーザーのために、シマンテックセキュリティレスポンスは以下の点を推奨しています。
感染の防止
- ネットワーク共有が安全であり、オープン共有を許可していないことを確認する。
- system32 ディレクトリの実行可能ファイルに対して書き込みアクセスを禁止する。
- psexec.exe が存在するかどうかを検出する。
- csrss.exe に対するネットワークベースのアクセスがあるかどうかを検出する。
- ドメインクレデンシャルの使用状況を監査し、ドメインコントローラに対するアクセスを監視する。
感染の識別
すべてのコンピュータで完全スキャンを実行してください。W32.Disttrack のコンポーネントは以下の名前で検出されます。
- W32.Disttrack
- W32.Disttrack!gen1
- W32.Disttrack!gen4
- W32.Disttrack!gen6
W32.Disttrack に感染しているかどうかは、以下の IPS シグネチャで検出されます。
System Infected: DistTrack Trojan Activity 2
コンピュータにシマンテックのセキュリティ製品がインストールされていない場合は、以下のファイルやサービスがあれば感染のおそれがあります。
- %System%\Drivers\ddr.sys(注意: これ自体は正常なファイルです)
- %System%\Drives\ddrisk.sys(注意: これ自体は正常なファイルです)
- “ddr” という名前のサービス
感染からの回復
感染しても Wiper の発動日より前にシャットダウンされたコンピュータは、ノートン ブータブルリカバリツールを使って回復できる可能性があります。注意: リカバリツールを実行するまで、コンピュータは起動しないでください。
W32.Disttrack は今のところ、ごく限られた標的型攻撃でしか確認されていません。そのため、最初の感染経路も現在は不明のままです。シマンテックセキュリティレスポンスはこの脅威の調査を現在も続けており、詳しいことが判明し次第、詳報をお伝えする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。