先日、このブログの別の担当者から、6 月のマイクロソフト月例パッチで公開された脆弱性のひとつが現在悪用され、被害が出ているという報告がありました。こうした場合の常として、シマンテックでは何が起きるかを観察するために、ハニーポットコンピュータでこの悪用による危殆化を再現してみることにしました。
この悪用について最初に注目したのは、調査のために転送されてきた、あるユーザー宛の電子メールメッセージです。このメッセージは利用者の多い Web メールサービス上にホストされているアカウントから送信され、送信者は中国の大学生と称していますが、文法は誤りだらけでした。メールは、特定の話題について助言を求める内容か、最近のプレゼンテーションについて受信者に謝意を述べたうえでそのプレゼンテーションについて質問するというものです。ある中華レストランへのリンクが掲載されていますが、リンク先のこの Web ページに、Internet Explorer 8 に伴う脆弱性の悪用が仕掛けられています。
図 1: cnzz へのリンクに加え、統計目的と思われる隠し iframe タグが確認できる
本件のシナリオは、いわゆる「標的型攻撃」と表現することもできますが、どの攻撃も程度の差こそあれ巧妙化してきているので、「標的型」かどうかという定義も、ケースに応じて変わりがちです。今回の場合、受信者が中国人ではなく、大学ともまったく無関係であり、まして助言を請われている話題にも、言及されているプレゼンテーションにもまったく心当たりがないことから考えると、なぜメール本文をもっと受信者に該当しそうな内容に直さなかったのか、という疑問が残ります。このメールが見つかった状況としては明らかに場違いであり、これが本当に標的型攻撃なのか、ランダムなフィッシング攻撃にすぎないのかも、疑問視されて当然です。
いずれにしても、今回の悪用は中華レストランが保有している Web ページ上にあった以上、ハニーポットコンピュータで強制的に危殆化を再現するには、脆弱性のあるバージョンの Internet Explorer を使ってその Web ページにアクセスするのが最も簡単です。感染への備えを十分に取ったうえで、いかにも何も知らないユーザーのようにマウスをクリックすると、攻撃が発動され、ハニーポットコンピュータは予定どおり危殆化しました。今回の実験に使ったコンピュータはごく基本的な設定状態でしたが、ダミーではなく正真正銘のユーザーが使っているコンピュータであるように見せる工夫がいくつか施されています。コンピュータにはワナになるようなファイルをいくつか仕掛けておきましたが、その多くが攻撃者によって閲覧され、一部はダウンロードされていました。もっと率直に言えば、要するに盗まれていました。
以前のブログで述べたように、この攻撃はシェルコードを使ってバックドアをダウンロードおよびインストールしたうえで、TCP ポート 80 で 323332.3322.org(動的 DNS サービスを提供する中国のドメイン)に接続し、次のコマンドを待ちます。この攻撃者が、公開直後の脆弱性を悪用してコンピュータに侵入していながら、リモートアクセスを確立するために使った手段は(シマンテックでは 2010 年 1 月以降に検出されている)昔ながらのバックドアだったという点は注目していいでしょう。
やがて、バックドアがインストールされてからわずか数分後に、攻撃者は侵入したコンピュータで検出を開始しました。このとき使われたコマンドの一部を次に示します。
図 2: 検出段階で攻撃者が使ったコマンドの一部
6 行目にタイプミスがあることにお気づきでしょうか。これは、相手が自動スクリプトやボットではなく生身の人間であるという紛れもない証拠です。攻撃者が探ろうとしていたのは、実行中のプロセス、アクティブな接続、標的となったコンピュータの特定の Windows 設定などであり、ネットワーク接続されているデバイスがあるかどうかも確認していたことがわかります。また、ネットワーク接続されているデバイスのひとつに、管理者アカウントを使って接続を試みていたことも読み取れますが、これは意図的に失敗していました。
この直後に、攻撃者はすべてのローカル固定ドライブについて、ファイルとフォルダの全リストをアップロードしました。次の行動として、ハニーポットコンピュータから .pdf ファイルがダウンロードされているところを見ると、ワナとして置いてあったファイルがいち早く攻撃者の興味を引いたと考えられます。その直後には、base-64 でエンコードされた実行可能ファイルがアップロードされ、感染したコンピュータ上で実行されました。これは別種のバックドアで、今度は今までに確認されたことのない種類です。このバックドアは第 2 の接続を確立し(接続先は honeywells.tk)、悪名高いリモート管理ツール(RAT)をダウンロードします。これは関係者の間で Gh0st Rat として知られているツールです。このリモートアクセスツールについては、シマンテックの別の担当者が 2009 年にブログ記事を書いており、攻撃者がこの種のリモートアクセスツールを使うとどのようなことが可能になるかを示す、非常にわかりやすいビデオも掲載されています。よくご存じでない場合には、このビデオをご覧になれば、実行できる内容に驚かれるかもしれません。
Gh0st Rat ツールがインストールされると、大部分のトラフィックは SSL を使って暗号化され、セッションは元のホスト(323332.3322.org)と第 2 のバックドアコマンド & コントロールサーバー(honeywells.tk)の間をジャンプします。
図 3: トラフィックは暗号化されるが、「Gh0st」という文字が確認できる
Outlook Express のメールボックスファイルや、デフォルトブラウザのブックマークもアップロードされることが確認されました。ハニーポットコンピュータをインターネットから切断するまでの短時間だけ、この攻撃を監視していたところ、活動が一時的に急増することはありましたが、大部分はハニーポットコンピュータが侵入を受けた直後に起きています。合計すると、今回のハニーポットコンピュータでは、攻撃者の 2 つのコンピュータから約 2.5 MB のトラフィックが送られ、攻撃者のコンピュータに約 9 MB のトラフィックが発信されたことになります。
以上のように、電子メール中の URL を次にクリックするときには十分注意が必要です。失うものは予想以上に大きいかもしれません。セキュリティソフトウェアは常に最新状態に保ち、マイクロソフトからこれらのパッチが公開されたら、ただちに適用してください。攻撃者は、ユーザーがそうした対策を取らないことを期待しています。
備考: 今回の記事に協力してくれた Henry Bell 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。