Sykipot 攻撃についての考察

数カ月前から執拗に続く Sykipot による攻撃は、さまざまな業種を標的としていますが、その大部分は軍需産業です。どの攻撃も、何文字かのアルファベットに日付が続く一意の ID がトロイの木馬本体にハードコードされているという特徴があります。数字の前のキーワードが、利用されている Web サーバーのサブドメインのフォルダ名になっている場合もあります。これまでの攻撃で見つかったサンプルを以下に示します。

• alt20111215
• auto20110413
• auto20110420
• be20111010
• chk20111219
• chksrv20111122
• easy20110720w
• easy20110926n
• good20110627
• help20110908
• help20110926
• info20111025
• info20111028
• info20111031G
• insight20111122
• pretty20111101
• pretty20111122
• pub2011124x
• server20111212
• webmail20111122
• world20111205

攻撃者はこの一意の ID を目印にして、業種別、組織別に攻撃を関連付けられるようになっています。

これ以外にも、狙ったユーザーに新しいバイナリを送信する前に使われる、テスト用のステージングサーバーと思しきものを考察する手がかりが残されていました。また、このサーバーは、一定期間コマンド & コントロール（C&C）サーバーとしても使われていたことが確認されています。サーバーは中国の北京地域に置かれ、中国の大手 ISP 上で稼働していましたが、攻撃者のひとりが浙江省から接続していたケースもあります。このサーバーでは、過去数カ月間で 100 を超える悪質なファイルがホストされ、その多くが Sykipot による攻撃に使われていました。

このサーバー上で見つかったファイル名の例を以下に示します。

• 12-holiday-tips-usagov.pdf
• 12-holiday-tips-usagov.pdf
• be20111010.exe
• fedgovtbenefits.pdf
• fy12 military pay chart scanned copy.scr
• fy12-military-pay-chart.pdf
• happy20111025.exe
• info20111025.exe
• inmarsat-financial-info.pdf
• inmarsatpricing.doc
• inmarsatpricing.pdf
• insight20111122.exe
• nui-comisaf coin guidance.pdf
• nwc spouse newsletter.pdf
• oem7f7.exe
• president's message inside.pdf
• scanned copy.scr
• webmail20111122.exe
• webmail20111205.exe
• world20111205.exe
• world20111205z.exe

各ファイルは、カスタマイズされた Sykipot のバイナリ PDF ファイルで構成され、その中に Skyipot を投下する悪用コードが含まれています。それが大部分を占めますが、ほかにも、パスワードハッシュをコンピュータからダンプするときに使われる 'gsecdump' など、侵入に成功した後で動作するツールも発見されました。Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性（BID 44652）を利用するためのテンプレートも見つかっています。これらのファイルの多くは、システム上で直接生成されるのではなく、別の場所で作成されてシステムにコピーされるようです。FTP 経由でコンピュータにダウンロードされたファイルや、リムーバブルドライブから転送されたファイルがあることも確認されました。

アジアで広く普及しているインスタントメッセージクライアントを使って特定の連絡先から受信され、コンピュータに保存されるファイルもありましたが、この連絡先番号をたどって特定の人物を突き止めるには至りませんでした。

同じグループに属すると思われる別のコンピュータを突き止めることができたことも重要です。このコンピュータでは、検出をくぐり抜けるためにファイルを自動的に変更するツールが利用されていました。以下に、ファイル名の例を示します。

• \pdf-miansha\2011-12-13-cve-2011-2462-pdfbundletool\2011-12-13-cve-2011-2462-pdfbundletool\fenxi\int3-1.pdf
• \pdf-miansha\2011-12-13-cve-2011-2462-pdfbundletool\2011-12-13-cve-2011-2462-pdfbundletoolms-77393-req.pdf
• miansha\00000eb0_0000005e.bin
• miansha\00000f6c_0000005e.bin
• miansha\00000fca_0000005e.bin
• miansha\000012ba_0000005e.bin
• miansha\00001f36_0000005e.bin
• miansha\000020ae_0000005e.bin
• miansha\000022e2_0000005e.bin

ここで注目すべき点は 2 つあります。1 つ目は、悪質なPDF ファイルの作成に使うツールがすでに広く流通しているということ、2 つ目は、パス名に 'miansha' という文字列が含まれていることです。大ざっぱに訳すと「ベール」という意味で、これは検出をくぐり抜ける目的でファイルを変更することを表すときにハッカーが使う隠語です。'fenxi' という語も見られますが、これは「解析」という意味の中国語です。

こうしたツールが出回っている以上、CVE-2011-2462 の脆弱性を悪用する攻撃がこれからも続くことは間違いありません。

最後になりましたが、前回のブログで挙げたリストに加えて、以下のドメインが Sykipot 攻撃に関与していることが判明しています。

• altchksrv.hostdefence.net
• data.wilsoncallcenter.com
• help.newcarstyle.com
• info.capestonecounty.com
• info.facebook-support.org
• info.wilsoncallcenter.com
• live.tech-att.com
• mail.sixnationtalk.com
• service.1inkedin.net
• bodyshowworld.com
• capestonecounty.com
• welldone123.net
• yahoo-security-center.vicp.net

これらのドメインのなかには、侵入を受けて攻撃に利用されていたものもありますが、ほとんどは Sykipot 攻撃ネットワークの一部として機能することだけを目的として登録されていました。上述の C&C ドメインをホストしている同じサーバーから悪質な電子メールが送信されているケースも少なからずあったので、ネットワーク管理者の方は、この情報を利用して攻撃とデータ漏えいに目を光らせておく必要があります。

Sykipot による攻撃は、複数の業種を対象として長期化しています。今回の考察から、攻撃者は中国語に詳しく、中国の国内にあるコンピュータリソースを利用しているものと考えられます。新たな脆弱性を利用し、セキュリティ製品さえくぐり抜けるために自らの「作品」を常に改良し続けていることから、攻撃者が集団であることは明らかであり、Sykipot による攻撃は今後も続くとシマンテックは予測しています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。