Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Response

Zlob.P - 身近に存在する DNS ポイズニングの脅威

Created: 21 Jul 2010 08:24:19 GMT • Translations available: English
Fred Gutierrez's picture
0 0 Votes
Login to vote

DNS 設定を変更する脅威は過去にいくつか確認されていますが、この Zlob の亜種は、それ以上の被害をもたらします。一般的な検索エンジンを利用し、広告やアフィリエイトを利用して金儲けを行うのです。この亜種は、悪事を働くために有効な 3 つの段階を踏みます。第 1 段階では、トロイの木馬である Zlob がコンピュータに感染し、自身をインストールします。このとき、Windows がインストールされたときの巡回冗長検査(CRC)の値が利用されます。第 2 段階では、ネットワークトポロジを検出し、設定を再構成します。ルーターにアクセス可能な場合は、ルーターへのログインも試みます。第 3 段階では、ブラウザのトラフィックを操ります。また、このトロイの木馬は中間者攻撃を実行し、それに応じてユーザーの表示内容や操作方法を変更します。それでは、この 3 つの段階を詳しく見て、分析したいと思います。

1 段階: インストール

Trojan.Zlob.P は、各コンピュータで重複してインストールされないようにするために、Windows のインストール日付を使用して自分自身の名前を算出します。実際には、Trojan.Zlob.P はインストール日付の CRC の値を計算し、自身のコピー先となる実行可能ファイルの名前として使用するほか、新しく作成するサービスの名前、自身の一意の ID/名前の一部として使用します。この処理は、次の図に示されたレジストリの場所から Windows のインストール日付を取得することによって行われます。

何らかの理由でこのレジストリキーにアクセスできない場合は、デフォルトの名前が使用されます。また、Windows Vista、Windows 7、Windows 2008 が稼働していることを検出すると、スパイウェアからコンピュータを保護する WinDefend サービスを停止します。次に、関連プロセス MSASCui.exe を終了して、HKLM\Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware の関連する値をレジストリで設定します。
この段階までくると、Trojan.Zlob.P は自分自身を別の名前でシステムディレクトリにコピーします。デフォルトの Windows XP 環境では、この場所は「C:\Windows\System32\[算出された CRC 文字列].exe」になります。このトロイの木馬の次のステップでは、以下の特徴を持つサービスが作成されます。

スタートアップの種類: 自動
イメージのパス: %System%\%crc%.exe
表示名: MSWU-%crc%

Trojan.Zlob.P で一貫しているのは、「MSWU-」という文字列がサービスの表示名に含まれることだけです。それ以外は、いずれもシステムディレクトリの場所やインストール日付などの属性によって決まります。

2 段階: ネットワーク検出とルーター攻撃

第 1 段階が終わると、第 2 段階に移行します。この段階では、DNS が悪用され、さらに注目すべき事態に発展します。マルウェア Trojan.Zlob.P は、ネットワーク接続を準備し、「家に電話する」と言えるような動作を実行します。SSDP(Simple Server Discovery Protocol)を使用してローカルネットワークの UPnP(ユニバーサルプラグアンドプレイ)デバイスを検出するのです。

この例では、Zlob.P はルーターの情報を標的にしています。SOAP(Simple Object Access Protocol)要求を使用して、外部 IP アドレス、製造元、モデル名、モデル番号のほか、UPnP デバイスのコントロール URL といった情報をルーターから収集しようとします。

これで準備作業は終わり、さらに悪事を働くことが可能になります。このトロイの木馬は、以下のページに接続することによってルーターの管理インターフェイスにアクセスしようとします。

-    Index.asp
-    Dlink/hwiz.html
-    Home.asp
-    Wizard.htm
-    Login.asp

接続に成功すると、Zlob.P は SOAP 要求を発行し、ポートを開いてルーターの設定に入り口を作ろうとします。

このすべての処理は、ルーターの管理パネルがパスワードで保護されていないことを前提に行われることに注意してください。それでは、ルーターにログイン保護が施されていた場合はどうなるのでしょうか。Trojan.Zlob.P には、万が一に備えて、この状況への対策がなされていることが判明しています。つまり、Internet Explorer および explorer.exe を利用し、基本認証を用いてルーターと通信しようとします。ルーターに接続した Zlob.P は以下の組み合わせを用いてログインを試みます。

ユーザー名: admin、<空白>、root、Admin、1234

パスワード: [製造元のデフォルトのパスワードで構成される長いリスト]

ログインに失敗しても、このトロイの木馬には、ログインするための最後の秘策が 1 つ用意されています。ユーザーによっては、ログインするたびにその情報を手動で入力しなくても済むようにパスワードを保存している場合があります。Zlob.P は、このようなユーザーの習性を利用して、保存されている Internet Explorer の資格情報にアクセスし、見つかったものを手当たり次第に使用してログインしようとします。

Zlob.P は、ルーターでポートを開くことができたかどうかを確認し、その情報を攻撃者に知らせますが、うまくいかなかったときには「upnperror」というメッセージを送信します。これで、新しく開いたポートを使用してバックドアが作成されたことになり、攻撃者はバックドアに接続し、内部ネットワークにアクセスすることができます。データは Base64 で暗号化されて攻撃者に送信されます。ドメインおよび IP アドレスの一覧については、付録 A を参照してください。

これ以降、ネットワークの問題はさらに悪化します。以下のように、Zlob.P は攻撃者の制御下にある DNS サーバーをポイントするようにネットワーク設定を変更します。

2 つの DNS サーバーのアドレスを見ても、通常の大多数のユーザーは、この意味が分からないうえ、この時点でも普段と変わらずにインターネットにアクセスできるので、これらのアドレスが正しいものだと思い込んでしまいます。しかし、これは DNS クエリーが攻撃者の手に渡り、ユーザーに気づかれずに中間者攻撃の手筈がうまく整っていることを意味しています。また、ここでアドレスを修正しても、このトロイの木馬がこれまでのプロセスを順調に進めている場合は、ルーターのさまざまな設定も変更されている可能性があります。

感染したコンピュータの DNS 設定が攻撃者の支配下に置かれた場合は、Microsoft の認定パートナーにもなっている paretologic.com といった特定のサイトにアクセスできなくなります。このほか、NOD32 Antivirus などのマルウェア対策製品のメーカーのサイトである eset.com にもアクセスできなくなります。また、奇妙なことに、デンマークで設立された欧州の Web ホスティングサービスである one.com のサイトにも影響が及んでいます。このトロイの木馬に感染すると、one.com は中国に置かれたマルウェアの配布元に関連する IP アドレスをポイントすることもあります。

それ以外にも、出会い系サイトなど、特定のテーマに則ったサイトにも影響が及びます。実際のサイトにアクセスできることもありますが、Google や Bing といった検索エンジンにリダイレクトされることもあります。いずれの場合も、ネットワークトラフィックが監視されている可能性があります。よく知られたサイトで影響が及ぶところは、passion.com、penthouse.com、friendfinder.com、outpersonals.com などです。付録 B には、これらのサイト以外にも DNS レコードを改ざんされたサイトが示されています(この一覧は完全なものではありません)。

一部の開発者によると、これらのサイトは、ドイツに拠点を置くリファラースパムのボットネットワークに関連付けられている IP アドレスである 62.141.57.61(Keymachine.de に属しています)をポイントするということです。この開発者たちは、以前、提携したポルノサイトやオンラインドラッグストアの Web サイトにトラフィックを誘導するなどの活動を行っていました。

悪質な DNS アドレス自体は、UkrTeleGroup(Cernel)に属しています。このアドレスは、これまで Russian Business Network(RBN)にリンクされ、サイバー犯罪者に Web ホスティングサービスを提供してきました。例として、数年前から Atrivo/Intercage のレポートに関連付けられていたことが挙げられます。

この亜種では、Keymachine.de で対象になっていた一般的なサイトは、最初は出会い系のサイトでした。それに対して、iNeting.net/Internet Path グループには明確な対象がありません。iNeting.net が標的にしているドメインの多くは性質が異なります。予想はしていましたが、一部のポルノサイトでは DNS レコードが改ざんされています。ただし、boxtorrents.com や failblog.com などの流行のサイトにも影響が及んでいます。それに加えて、この亜種はユーザーがタイプミスした URI(facebbock.com、imbd.com、blospot.com、yotube.comなど)も捕捉しようとします。タイプミスが発生すると、ユーザーは広告付きのページにリダイレクトされるか、メインのサイトに進みます。実際のサイトが送信されているか、何らかの方法で改ざんされているかどうかは分かりません。影響が及ぶドメインの一部を掲載した一覧については、付録 C を参照してください。

第 1 段階ではコンピュータへのインストールと感染が主な目的でしたが、第 2 段階ではそれよりもネットワーク機能に的が絞られています。ユーザーとインターネットの間に居座り、ルーターのポートを開いて内部ネットワークへの入り口を作り出すほか、特定のドメインへのアクセス設定が改ざんされます。

3 段階: ブラウザに仕掛けられる罠

この段階では、Web ブラウザ(特に、Internet Explorer、Firefox、Safari)の動作が監視されます。Zlob.P はユーザーがアクセスする可能性がある以下の検索エンジンサイトを監視します。

-    Google.com
-    Search.yahoo.
-    Search.msn
-    Search.live
-    Altavista.com
-    Ask.com
-    Search.aol
-    Search.icq
-    Alltheweb.com
-    Bing.com
-    Yandex.ru
-    Rambler.ru
-    Go.mail.ru
-    Sm.aport.ru

Zlob.P は、検索結果を改ざんして、10 秒後に JavaScript ファイルをロードさせることが可能な別のサイトにユーザーを自動的にリダイレクトすることができます。以下のスクリーンショットは、Google で任意の単語を検索したときのものです。

スクリーンショットの下部では、Blossoms のリンクにマウスのカーソルを置いたときに現れるアドレスを確認できます。このアドレスを見ると、このリンクが results5.google.com にリダイレクトされていることがわかります。なお、results5.google.com はユーザーに送り付けられる有害な DNS エントリの 1 つで、iNeting.net/Internet Path が所有する別の IP アドレスである 67.210.15.3 から提供されています。今回の例では、このリンクをクリックすると、最初にクリックした Blossoms のページではなく、search5.info.com にリダイレクトされます。

一番上のリンクをクリックすると、s.info.com、googleadservices.com、OrientalTrading.com の順にリダイレクトされます。事実上、Blossoms のリンクは回避されてしまいます。

ブラウザに見られる最後の奇妙な動作には、「directory」という言葉が関わっています。たとえば、アドレスバーから edirectory.com にアクセスしようとすると、bing.com にリダイレクトされ、edirectory.com が検索結果のトップに表示されます。このとき、ユーザーは、このリンクをクリックすると、目的のサイトにアクセスできると思うかもしれません。しかし実際は、百科事典とリファレンスリソースのサイトである juggle.com のような別のサイトにリダイレクトされてしまいます。

以前のバージョの Zlob は銀行関連の情報を盗み出すことに的を絞っていましたが、この亜種ではいくつかの脅威が 1 つになっています。Backdoor.Trojan の機能と Trojan.Adclicker の機能を備えているほか、ホームユーザーを対象とした DNS チェンジャでもあります。そのうえ、ユーザーに見つからないように密かに実行されるため、Zlob.P を検出し、削除したとしても、DNS サーバーの設定は、ネットワークを手動で設定するか、ユーザーが引っ越しでもしない限り、そのままの状態で残ります。攻撃者は、ユーザーの Web トラフィックにアクセスできるほか、ユーザーとインターネットの中間に位置しているため、ブラウザの悪用などの悪質な行為に使用可能なソフトウェアをいつでもユーザーに送り付けることができます。

シマンテックでは、ネットワーク設定をこまめに確認することを強くお勧めします。

備考: この脅威の調査に協力してくれた Liam O Murchu 氏に感謝します。

付録 A: 盗まれたデータの収集に使用されるドメインおよび IP アドレスの一部のリスト

 

62.122.75.42
93.174.90.17
Dkanager.com
Dmanaver.com
Greenotify.com
Keynots.com
Keysmbol.com
Loadquery.com
Mnager.com
Qpostman.com

付録 B: 出会い系サイトの一部のリスト

adultmatchfirm.com
bigchurch.com
cams.com
danni.com
facebookofsex.com
friendfinder.com
hotmatch.com
passion.com
penthouse.com       
xmatch.com

付録 C: iNeting.net/Internet Path によって変更されるサイトの一部のリスト

alternative2punk.net
animezorro.com
beer.com
celebritynudevideos.net
downloadfile.org
ebookonline.net
failblog.com
watchmovies.net
wowserverslist.com
gmal.com
 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。