シマンテックは、活発なバックドア型のトロイの木馬(Backdoor.Duuzer として検出されます)による攻撃が韓国で発生していることを確認しました。Duuzer の攻撃は、この地域だけに集中しているわけではありませんが、韓国の製造業界が集中して狙われています。Duuzer は巧妙に設計された脅威で、攻撃者は侵入したコンピュータにリモートでアクセスし、別のファイルをダウンロードしたうえで、データを盗み出すことができます。腕のいい攻撃者が関与し、重要な情報を取得しようとしていることは明らかです。
また、Duuzer を悪用する犯人たちが、さらに 2 つの脅威を拡散しており(それぞれ W32.Brambul、Backdoor.Joanap として検出されます)、韓国でさらに多くの組織を標的にしているらしいことを示す証拠も見つかっています。Brambul と Joanap は、追加のペイロードをダウンロードし、感染したコンピュータ上で偵察活動を行うために使われるようです。
Duuzer: 高度なバックドア型の脅威
Duuzer は現在も活動中の脅威で、標的型攻撃によって拡散しています。拡散の方法は正確にはわかっていませんが、スピア型フィッシングメール、または水飲み場型攻撃を介して拡散しているようです。
トロイの木馬 Duuzer は、32 ビットと 64 ビットどちらのコンピュータでも動作するように設計されています。侵入したコンピュータが Virtual Box または VMWare を使って作成された仮想マシンかどうかも検出し、仮想マシンの場合は実行を停止します。この仕組みを利用して Duuzer は、仮想マシンを実行しているセキュリティ研究者によって検出されるのを避けようとしています。仮想マシンは、解析の目的で意図的にマルウェアに感染させる前提で設計されているからです。
コンピュータに感染すると、Duuzer がバックドアを開き、攻撃者はほぼ何にでもアクセスできるようになります。攻撃者は、Duuzer を介して侵入先のコンピュータに安全に接続し、以下のような操作を実行します。
- システムとドライブの情報を収集
- プロセスを作成、列挙、終了
- ファイルへアクセス、ファイルを変更、削除
- ファイルをアップロード、ダウンロード
- ファイルの時間属性を変更
- コマンドを実行
Duuzer を使う攻撃者は、侵入したコンピュータ上で Duuzer を偽装しようとすることが確認されています。偽装するには、どんなソフトウェアがインストールされており、起動時に実行されるのかを突き止めます。そのうえでマルウェアの名前を、実際に存在する正規のプログラムに似た名前に変えます。
シマンテックによる解析の結果を見ると、Duuzer の背後に潜む攻撃者はスキルが高く、セキュリティ研究者の解析テクニックも熟知していることがうかがえます。動機は、標的としたコンピュータから重要な情報を盗み出すことにあると見られています。
攻撃者は、侵入したコンピュータ上でバックドアを通じて手動でコマンドを実行しているようです。自分たちが使うマルウェアの偽装バージョンを作成したケースもあれば、Symantec Endpoint Protection(SEP)を無効にしようと試みて失敗しているケースもありました。
偽装した Duuzer
攻撃者は、まずレジストリの Run キーをクエリーし、出力を一時ファイルにリダイレクトしていました。
- cmd.exe /c "reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" > C:\Windows\TEMP\BP25B4.tmp" 2>&1
次に、クエリー結果を特定ユーザーの Run キーに絞り込みます。
- cmd.exe /c "reg query "HKEY_USERS\[REMOVED]\Software\Microsoft\Windows\CurrentVersion\Run" > C:\Windows\TEMP\BP6380.tmp" 2>&1
攻撃者は、侵入先のコンピュータに特定のプログラムがインストールされていることを確認し、そのソフトウェアに偽装しようとします。特定したアプリケーションと同じ名前で、ただし場所は変えて新しいフォルダを作成し、そのフォルダにマルウェアをコピーするという方法でした。
- cmd.exe /c "md C:\USER_PROFILE\AppData\Local\[REMOVED]"
次に、偽装しようとするファイルの属性をリストアップし、その属性に一致するように悪質なファイルの属性を変更します。
- cmd.exe /c "dir /a "C:\Program Files (x86)\[REMOVED]\[REMOVED] AGENT\[REMOVED].exe" > C:\Windows\TEMP\BPD0B6.tmp" 2>&1
最後に攻撃者は、Run サブキーに新しいレジストリエントリを作成し、マルウェアをロードします。ここでも、正規のアプリに似た名前を使って偽装しています。
- cmd.exe /c "reg add "HKEY_USERS\[REMOVED]\Software\Microsoft\Windows\CurrentVersion\Run" /v "[REMOVED]Agent" /t REG_SZ /d "\"C:\USER_PROFILE\AppData\Local\[REMOVED]\[REMOVED].exe\"" /f > C:\Windows\TEMP\BPA62F.tmp" 2>&1
攻撃者はマルウェアの偽装バージョンを起動し、古いインスタンスプロセスを終了して、マルウェアの最初のインスタンスを削除します。ここまで来たら、被害者のコンピュータのプロセスにまぎれ込むことができたので、攻撃者は標準のネットワーク列挙ツールを使ってローカルネットワークを調べ始めます。
Symantec Endpoint Protection の無効化に失敗
別のコンピュータでは、ネットワークマッピングの実行中に、攻撃者は SEP による検出をすり抜けることができず、SEP を無効化しようと試みました。そのために、セキュリティアプリケーションと Windows とのインターフェースを調べてそのアプリケーションを無効化しようと、API をフックするツールをインストールしています。しかし、SEP の監視機能を停止することはできませんでした。
Brambul や Joanap との関係
調査を進める過程で、シマンテックは Brambul というワームと、Joanap というバックドア型のトロイの木馬をコンピュータに感染させるドロッパーを発見しました。このドロッパーの拡散方法は明らかではありませんが、悪質な電子メールが利用されている可能性があります。Duuzer を詳しく解析したところ、Duuzer には Brambul と Joanap の両方が関係していることが判明しています。Brambul に感染したコンピュータは、Duuzer のためのコマンド & コントロール(C&C)サーバーとして利用されており、Duuzer による侵入も受けていました。
Brambul ワームは、総当たり攻撃を利用して拡散します。ユーザー名とパスワードがハードコードされているリストを使い、サーバーメッセージブロック(SMB)プロトコルを通じてランダムな IP アドレスに接続します。このとき試されるのは、よく使われるパスワードや容易に推測できるパスワード、たとえば 123123、abc123、computer、iloveyou、login、password などです。
コンピュータに侵入すると、Brambul はネット共有を作成し、攻撃者がシステムドライブ(通常は C: ドライブ)にアクセスできるように、そのコンピュータの詳細とログイン情報をメッセージで送信します。宛て先は、ハードコードされたメールアドレスです。Brambul の亜種が、他の脅威をドロップできる可能性もあります。
Joanap は Brambul とともにドロップされ、「SmartCard Protector」という表示名で自身をサービスとして登録します。Joanap はバックドアを開き、特定のファイルを攻撃者に送信します。あるいは、ファイルを保存または削除する、実行可能ファイルをダウンロードして実行する、プロセスを起動または終了することもあります。
また Joanap は、同じように感染した他のコンピュータへ、RC4 暗号化された接続を介してコマンドと設定データも送信します。このときのコマンドには、プロセスの実行または終了、ファイルの移動や削除、C&C サーバーの詳細の更新などが含まれる可能性があります。
対処方法
Duuzer、Brambul、Joanap は、韓国で発生している多くの脅威のごく一部にすぎません。韓国では、過去数年にわたって目立った標的型攻撃の影響が続いています。韓国の政府統合電算センター(NCIA)によると、2011 年から 2015 年現在までの間で、政府機関を標的とした攻撃は 11 万 4,035 件を超えているということです。同国で悪質な攻撃活動がこれほど続いているのは、攻撃者にとって韓国が依然として魅力的な標的であることの裏付けです。
ユーザーと企業は、コンピュータが Duuzer に感染しないように、以下のベストプラクティスに従うようにしてください。
- ユーザー名とパスワードはデフォルトから変更する。
- よくあるパスワードや推測しやすいパスワードは使わない。強力なパスワードを選ぶ方法については、ノートン セキュリティセンターにアドバイスが掲載されています。
- 既知の脆弱性が悪用されないように、オペレーティングシステムとソフトウェアを定期的に更新する。
- 疑わしいメールは開かない。たいていは、悪質なリンクや添付ファイルを通じてマルウェアを拡散するメッセージです。
- セキュリティソフトウェアを最新の定義ファイルで最新の状態に保つ。
保護対策
ノートン セキュリティ、Symantec Endpoint Protection をはじめとするシマンテックのセキュリティ製品をお使いであれば、今回の記事で紹介した攻撃からは以下の検出定義で保護されます。
ウイルス対策
侵入防止システム
Duuzer、Brambul、Joanap の侵入については、以下のインジケータも用意しています。
Backdoor.Duuzer 侵入のインジケータ
MD5
- 1205c4bd5d02782cc4e66dfa3fef749c
- 92d618db54690c6ae193f07a31d92098
- 3e6be312a28b2633c8849d3e95e487b5
- 41a6d7c944bd84329bd31bb07f83150a
- 7343f81a0e42ebf283415da7b3da253f
- 73471f41319468ab207b8d5b33b0b4be
- 84a3f8941bb4bf15ba28090f8bc0faec
- b04fabf3a7a710aafe5bc2d899c0fc2b
- e04792e8e0959e66499bfacb2a76802b
- 3a963e1de08c9920c1dfe923bd4594ff
- 51b3e2c7a8ad29f296365972c8452621
- 5f05a8f1e545457dbd42fe1329f79452
- 91e5a64826f75f74a5ae123abdf7cef5
- 9749a4b538022e2602945523192964ad
- 9ca7ec51a98c2b16fd7d9a985877a4ba
- bb6cbebd4ffd642d437afc605c32eca0
- fb4caaaf1ac1df378d05111d810a833e
- 4b2d221deb0c8042780376cb565532f8
- cd7a72be9c16c2ece1140bc461d6226d
- f032712aa20da98a1bbad7ae5d998767
- f940a21971820a2fcf8433c28be1e967
- 71cdcc903f94f56c758121d0b442690f
- 0f844300318446a70c022f9487475490
SHA256
- fd5a7e54cfdd3b3f32b44d8fdd845e62d6b86c0ddb550c544d659588d06ceaee
- 89b25f9a454240a3f52de9bf6f9a829d2b4af04a7d9e9f4136f920f7e372909b
- a01bd92c02c9ef7c4785d8bf61ecff734e990b255bba8e22d4513f35f370fd14
- c327de2239034b6f6978884b33582ce97761bcc224239c955f62feebd01e5946
- c7024cf43d285ec9671e8dc1eae87281a6ee6f28e92d69d94474efc2521f03ed
- 5a69bce8196b048f8b98f48c8f4950c8b059c43577e35d4af5f26c624140377c
- 477ca3e7353938f75032d04e232eb2c298f06f95328bca1a34fce1d8c9d12023
- d57d772eefa6086b5c249efff01189cf4869c2b73007af63affc353474eaafcb
- 4efeea9eeae3d668897206eeccb1444d542ea537ca5c2787f13dd5dadd0e6aaa
- a0a6d0e3af6e76264db1e0d4a4ad5745fff15eb2790938718b2c0988b9415b2b
- 5b28c86d7e581e52328942b35ece0d0875585fbb4e29378666d1af5be7f56b46
- 47181c973a8a69740b710a420ea8f6bf82ce8a613134a8b080b64ce26bb5db93
- fb6d81f4165b41febc739358aeba0fe15048e1d445296e8df9104875be30f9a7
- 4a6aba1c182dd8304bac91cc9e1fc39291d78044995f559c1d3bce05afd19982
- 7099093177094ea5cc3380b42c2556ed6e8dd06a2f537fa6dd275e5cc1df9c9a
- 90d8643e7e52f095ed59ed739167421e45958984c4c9186c4a025e2fd2be668b
- 66df7660ddae300b1fcf1098b698868dd6f52db5fcf679fc37a396d28613e66b
- 37f652e2060066a1c2c317195573a334416f5a9b9933cfb1ece55bea8048d80f
- 6b71465e59eb1e266d47efeaecc256a186d3e08f570bffcfd5ac55e635c67c2a
- d2e03115ef1525f82d70fc691f0360e318ade176a3789cf36969630d9af6901a
- 912905ec9d839ca8dfd6771ff5c17aec3516f9ad159a9d627b81261055095fbf
- 4cf3a7e17dc4628725dd34b8e98238ed0a2df2dc83189db98d85a38f73706fa5
W32.Brambul 侵入のインジケータ
MD5
- 1c532fad2c60636654d4c778cfe10408
- 1db2dced6dfa04ed75b246ff2784046a
- 3844ec6ec70347913bd1156f8cd159b8
- 40878869de3fc5f23e14bc3f76541263
- 95a5f91931723a65dcd4a3937546da34
- 99d9f156c73bd69d5df1a1fe1b08c544
- a1ad82988af5d5b2c4003c42a81dda17
- ca4c2009bf7ff17d556cc095a4ce06dd
- f273d1283364625f986050bdf7dec8bb
SHA256
- c029ae20c314d7a0a2618f38ced03bac99e2ff78a85fe8c8f8de8555a8d153ab
- 1da344e5e55bef4307e257edd6f1e14835bdae17538a74afa5fc12c276666112
- 9c3e13e93f68970f2844fb8f1f87506f4aa6e87918449e75a63c1126a240c70e
- 230c2727e26467e16b5cf3ca37ecb8436ee5df41bfc4cd04062396642f9de352
- d558bb63ed9f613d51badd8fea7e8ea5921a9e31925cd163ec0412e0d999df58
- cbb174815739c679f694e16484a65aa087019272f94bcbf086a92817b4e4154b
- 61f46b86741c95336cdac3f07f42b7df3e84695968534be193e98ea76d1070d1
- 1dea57b33a48c79743481371a19e17f68ae768a26abc352f21560308698c786f
- 8df658cba8f8cf0e2b85007f57d79286eec6309e7a0955dd48bcd15c583a9650
Backdoor.Joanap 侵入のインジケータ
MD5
- fd59af723b7a4044ab41f1b2a33350d6
- 4613f51087f01715bf9132c704aea2c2
- 074dc6c0fa12cadbc016b8b5b5b7b7c5
- 27a3498690d6e86f45229acd2ebc0510
- 7a83c6cd46984a84c40d77e9acff28bc
- 1d8f0e2375f6bc1e045fa2f25cd4f7e0
- 304cea78b53d8baaa2748c7b0bce5dd0
- a1ad82988af5d5b2c4003c42a81dda17
SHA256
- 9a179e1ca07c1f16c4c1c4ee517322d390cbab34b5d123a876b38d08da1face4
- a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
- 7650d8c0874aa7d1f2a5a7d255112976e9f38ffad8b7cdda76d0baa8f4729203
- 5b10cfb236d56a0f3ddaa5e9463ebf307b1d2e0624b0f1c6ece19213804b6826
- 0622481f1c1e246289014e9fe3497e69f06ed8b3a327eda86e4442a46790dd2e
- 4c5b8c3e0369eb738686c8a111dfe460e26eb3700837c941ea2e9afd3255981e
- cbf5f579ff16206b17f039c2dc0fa35704ec01ede4ba18ecb1fc2c7b8217e54f
- 61f46b86741c95336cdac3f07f42b7df3e84695968534be193e98ea76d1070d1
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】