前回のブログ記事で、Internet Explorer の新しいゼロデイ脆弱性が頻繁に悪用されていることをご報告しました。Microsoft 社はその後、セキュリティアドバイザリ 2794220 を公開し、Microsoft Internet Explorer の 'CDwnBindInfo' の解放後使用によるリモートコード実行の脆弱性(CVE-2012-4792)がゼロデイ脆弱性であり、Internet Explorer 6、Internet Explorer 7、Internet Explorer 8 がその影響を受けることを確認しました。
以下の Q&A では、「水飲み場」型攻撃の概略、Internet Explorer のゼロデイ脆弱性、そしてシマンテックが提供している保護対策について説明します。
「水飲み場」型攻撃とは何か
「水飲み場型」攻撃とは、対象とする標的がアクセスする可能性の高いサイトを狙う手法です。攻撃者は目的のサイトに侵入して、標的のユーザーを別の悪質なコードに誘導する JavaScript や HTML をインジェクトします。侵入先のサイトは、ユーザーがアクセスしてくるのを待ち、ドライブバイダウンロードによってユーザーに感染します。
図 1. 「水飲み場」型攻撃
シマンテックは、「水飲み場」型攻撃に関する調査結果を公開しており(「The Elderwood Project(英語)」)、その標的、増加している傾向、2009 年以来確認されている攻撃プラットフォームなどを詳しくまとめています。
今回の「水飲み場」型攻撃のしくみ
Internet Explorer に対する今回のゼロデイ攻撃は、米国に拠点を置くシンクタンクの Web サイトに侵入していました。標的のユーザーがサイトにアクセスすると JavaScript が実行され、多数のチェックを実行した後にブラウザが悪用されます。
まず、ページにアクセスしているブラウザが Internet Explorer 8 かどうかを確認します。次に、Flash がインストールされているかどうかを確認し、最後にシステムの言語を調べます(具体的には、中国語、台湾中国語、米国英語、ロシア語、日本語、韓国語を探します)。このチェックのいずれかに該当しない場合、被害者は空のページにリダイレクトされます。上記のチェックすべてに該当する場合には攻撃が次に進み、システムに侵入したことを示すために cookie がロードされます。侵入してから 7 日以内に被害者がこのページに再度アクセスすると、空のページにリダイレクトされます。
次に、インストールされている Java のバージョンを確認するために、追加のチェックが実行されます。Java バージョン 6 を探し、見つかった場合には CLSID を使って Flash オブジェクトをロードします。ここでロードされる悪質な Shockwave Flash ファイル(today.swf)には、ヒープスプレーを実行する機能があります。news.html というページにリンクする iFrame も作成され、これに Internet Explorer 8 用の悪用コードが含まれています。
この悪用コードは、Windows 7 と Windows XP を使用しているユーザーを標的としています。Flash オブジェクトには ActionScript コードが含まれ、このコードを利用してオペレーティングシステムのバージョンとインストールされている言語パックに基づいてシェルコードが作成されます。ActionScript は、検出した Windows のバージョンに基づいて特定のシェルコードを作成します。Windows 7 の場合は Return-Oriented Programming(ROP チェーン)を使ってシェルコードを作成します。
図 2. 「水飲み場」型攻撃の手順
news.html の iFrame を介してブラウザを悪用する一方、侵入先の元のページからは、xsainfo.jpg ファイルをダウンロードして Internet Explorer の Temporary Internet Files フォルダに保存する GET 要求が実行されます。このファイルはエンコードされた DLL バイナリであり、これが攻撃のペイロードに当たります。
ロードされた Flash オブジェクトは、ヒープスプレーを実行してシェルコードをインジェクトし、そのシェルコードを使って xsainfo.jpg ファイルを検索、デコードして、%Temp%/flowertep.jpg ファイルに保存します。
次に robots.txt ファイルに対する要求が送信され、このファイルの不明瞭化を解除したうえで悪質なペイロード(flowertep.jpg)をロードします。このとき用いられるのが、Windows 7 上で DEP と ASLR をすり抜ける手法です。
ペイロードの配信に使われる方法は、悪用の発生より前にペイロードをダウンロードするという点で特殊です。これがドライブバイキャッシュ攻撃として知られている手口であり、先にマルウェアをダウンロードしておき、悪質なペイロードはダウンロードするのではなくシェルコードを使ってロードします。
今回のゼロデイ脆弱性の特徴
Microsoft 社によると、メモリ内のオブジェクトが削除された場合や、適切に割り当てられなかった場合に、Internet Explorer がそのオブジェクトにアクセスする方法に脆弱性が存在します。これが原因でメモリ破損が起きると、攻撃者に任意のコードの実行を許してしまいます。これは、解放後使用の脆弱性として知られています。
現時点でシマンテックには、問題の脆弱性に関連してこれ以上公開できる情報はありません。Microsoft 社は現在、完全なセキュリティ更新プログラムの公開に向けて、全力で取り組んでいるところです。
最終的なペイロード
前述したように、xsainfo.jpg ファイルには暗号化された最終的なペイロードが含まれ、flowertep.jpg ファイルには復号された悪質な DLL が含まれています。
図 3. 最終的なペイロード
flowertep.jpg ファイルが実行されると、まず悪質な最終ペイロードが一時的に %Temp%\shiape.exe ファイルに投下されます。そこから、このファイルが %CommonProgramFiles%\DirectDB.exe ファイルとして最終的な場所に移動されます。また、ファイルの末尾にはランダムなジャンクデータが追加されます。これは、ファイルのハッシュ値を毎回変化させるためですが、最初の 0xe000 バイトは常に同じです。
両方のファイルを比較してみると、ドロッパーである flowertep.jpg ファイルには Portable Executable のタイムスタンプがあり、このファイルのコンパイル日時が "Wed Dec 12 11:06:04 2012" であることが示されています。最終的なペイロードである DirectDB.exe ファイルはこれよりさらに古く、"Thu Mar 01 00:29:20 2012" まで遡ります。
ドロッパーである flowertep.jpg ファイルも、DirectDB.exe ファイルも、Backdoor.Bifrose.N として検出されます。
Backdoor.Bifrose は 2004 年に初めて発見された脅威のグループであり、それ以来数多くの進化が確認されています。最新の亜種である Backdoor.Bifrose.N は、Backdoor.Bifrose.M と似ていますが、シマンテックの以前のブログで説明されているようにネットワーク通信に TOR を使用しない点が異なります。この脅威は、ファイルのアップロード、ダウンロード、実行など一般的なバックドア機能を実装しています。
今回の攻撃の流行度
今回のゼロデイ攻撃に関するシマンテックの初期の遠隔測定から、影響を受けるコンピュータの数は今のところ限定的と考えられます。この攻撃の被害者は、北米に集中しているようです。侵入を受けてゼロデイ攻撃のホストとして使われた Web サイトの所在地と属性により、この傾向は、ゼロデイ脆弱性を「水飲み場」型の標的型攻撃として使うという発想に合致しています。
図 4. 今回の「水飲み場」型ゼロデイ攻撃に関連したシマンテックの検出分布図
今回の攻撃に対する回避策と緩和策
Microsoft 社は、今回の脆弱性に関する Technet ブログを公開し、コードの実行を防ぐ方法(英語)を示しています。対策リストの最上位に挙げられているのは、脆弱なコードを含まない Internet Explorer 9 または 10 へのアップグレードです。
シマンテック製品をお使いのお客様は、以下の検出定義によりこの攻撃から保護されます。
ウイルス対策
侵入防止シグネチャ
まとめ
標的型攻撃でゼロデイ脆弱性を悪用する手口は、特に目新しいものではありません。Hydraq(別名 Aurora)、Stuxnet、Duqu などの注目を集めた事案でも、ゼロデイ脆弱性を悪用して目的を達成していました。シマンテックのホワイトペーパー「The Elderwood Project」(英語)でも詳しく解説しているように、こうした攻撃ではゼロデイ脆弱性の悪用が増加する傾向にあります。ほとんどの攻撃者は依然として、一般的に入手が容易な手法で攻撃を実行しているのが現状ですが、ゼロデイ脆弱性を利用した今回の事例では、月並みなハッカーの技量を超えたリソースやスキルを必要とする巧妙さが見られます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。