Video Screencast Help
Security Response

UAC のバイパス後に感染して署名された 64 ビット版システムドライバ

Created: 15 Mar 2012 08:50:21 GMT • Translations available: English
Mircea Ciubotariu's picture
0 0 Votes
Login to vote

少し前までただの理論にすぎなかったことが、Backdoor.Hackersdoor のような脅威で広く利用されるようになっていますが、その新しい亜種 Backdoor.Conpee が登場しました。

昨年の 12 月にシマンテックは、64 ビット版 Windows 7 上で感染した tdpipe.sys というシステムドライバを解析しました。この感染を構成するのは、ドライバのインポートテーブルに追加された余分なインポートでした。

DiscPart という名前の pipe.sys からのインポートが、システムドライバ tdpipe.sys と同時に悪質なファイル pipe.sys をロードしますが、何もせずにただ元の処理に戻るだけです。

これは、危殆化したコンピュータの起動時にマルウェアを実行させるためにマルウェア作成者が使う常套手段です。この方法を使うと、マルウェアは検出可能なロードポイントを(レジストリとしてもリンクとしても)残さず、またファイルも最小限しか変更されないため、特定が難しくなるという利点があるからです。

このドライバで特異だったのは、感染後に署名されていたという点です。

ドライバの署名は、64 ビット版の Windows Vista または Windows 7 オペレーティングシステムではデフォルトで必須になっているため、マルウェア作成者は署名プロセスをすり抜ける(たいていはブートキットを使う)か、感染したシステムドライバに再署名することが必要になり、今回は後者の方法が選ばれました。

再署名する方法があまり使われないのは、有効な証明書が必要になるからで、ほとんどの証明書は正規の所有者から盗み出されます。また、不正な利用が発覚したときには証明書が取り消されるため、署名付きの脅威が検出されずに存続できる期間は限られてしまうという理由もあります。しかも、まだ検出されていない複数の脅威に同じ証明書を使うと、いったん証明書が取り消されたときにはすべてが無効になってしまいます。

今回の脅威の場合、証明書が所有者によって取り消されたのは、利用されはじめてから 9 日後のことでした。

この例を考えると、攻撃者が検出の目を逃れていられる期間は予想より長いのかもしれません。オペレーティングシステムが証明書失効リスト(CRL)をチェックすることはほとんど、あるいはまったくないからです。

シマンテックは、感染したドライバを Backdoor.Hackersdr!inf として検出し、悪質なペイロード pipe.sys を Backdoor.Hackersdoor として検出しますが、ドロッパー、あるいは感染したドライバを生成するファイルインフェクタは見つかっていないため、この脅威が感染したドライバ自体に署名したのか、単にコンピュータに投下されただけなのかは断定できません。

最近シマンテックは、この脅威の新しい亜種である Backdoor.Conpee を発見しました。これは 32 ビット版と 64 ビット版両方の Windows オペレーティングシステムに感染しますが、ドライバではなくシステム DLL のみに感染し、同じインポート追加の手口を使っています。このマルウェアで注目に値するもうひとつの点は、Windows 7 上での実行に何の権限も必要としないことです。制限されたどんなプロセスの権限も、ユーザーの許可や操作を経ずに管理者レベルに昇格できるという概念証明の悪用(2009 年から一般に公開されています)を利用しているからです。最新パッチを完全に適用して更新したバージョンの Windows 7 でも、この悪用に対する脆弱性は解消されていません。作成者は、悪質な .dll ファイルからコメントを削除するという手間さえかけていませんでした。

皮肉にも、著作権表示にはこのように書かれています。「……all rights reserved. You are expressly forbidden from using this for malicious purposes.(悪質な目的に利用することは明示的にこれを禁ず)」

シマンテックで確認された実際の感染数は多くないことから考えると、感染した tdpipe.sys にデジタル署名するという今回の手口は、セキュリティの強化された 64 ビット版 Windows オペレーティングシステムに侵入するさまざまなアプローチをマルウェア作成者が試すためのテストケースだったと考えることもできます。そうだったとしても、マルウェア作成者は目的達成のためにはどんな苦労も惜しまないということが、またひとつ裏づけられたことには違いありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。