オンラインバンキングを狙う Trojan.Shylock で確認された新しい機能から、この脅威が今も進化しつつあることが浮き彫りになっています。Shylock(シャイロック)は、2011 年 9 月に Trusteer 社によって初めて確認された脅威です。オリジナルのバイナリコードに、シェイクスピアの戯曲『ベニスの商人』からの引用が使われていたことから、その登場人物であるシャイロックにちなんで命名されました。シマンテックは、この脅威の新しいバージョンによる被害が出ていることを確認しています。新しいバージョンの Shylock はソーシャルエンジニアリングの手法で拡散し、しかもポリモーフィックパッカーによってダウンロードのたびに変化して検出の目をすり抜けようとします。今回進化した Shylock は、インターネットフォーラムのユーザーに関係する隠しファイルに対して数多くの問題を引き起こすと報告されています。
問題の攻撃は、すべて Java の脆弱性に端を発しています。悪用されているのは、Java に関係する以下の 2 つの脆弱性です。
この攻撃で使われる悪質な .jar ファイルは、シマンテックの IPS シグネチャ Web Attack: Malicious Jar Download 10 で検出されます。悪用が実行されると、「Loader」という実行可能ファイルがダウンロードされます。これは、ランダムな接頭辞の後に y7f76.exe という固定の文字列が続くファイルです。次にそのファイルがコマンド & コントロール(C&C)サーバーに接続し、「Hijacker」という実行可能ファイルを取得します。このファイルの名前は 2Atmp.exe などです。どちらのファイルタイプも、シマンテックでは当初 Trojan.Shylock!gen7 として検出されていましたが、その後は Trojan.Shylock.B と Trojan.Shylock.B!gen1 に再分類されています。
「Hijacker」は、侵入先のコンピュータに関する情報を収集して C&C サーバーに送信するメインのコンポーネントであり、自身を svchost.exe プロセスにインジェクトし、C&C サーバーからコマンドを受信します。この脅威は、侵入先のコンピュータで以下のコマンドを実行できます。
- ファイルの実行
- Cookie の取得
- Web サイトへの HTTP のインジェクト
- VNC の設定
- リムーバブルドライブでの拡散
- 自己のアンインストール
- C&C サーバーリストの更新
- ファイルのアップロード
上に挙げたコマンドのいくつを実行するために、「Hijacker」ファイルは他のコンポーネントもダウンロードする必要があります。以前にも説明しましたが、コンピュータに感染し、Java の悪用を経て追加のコンポーネントをダウンロードするまでの Shylock の動作を示したのが、次の図です。
図 1. ショートカットが悪用される図式
「Loader」ファイルによってダウンロードされるコンポーネントとして特に珍しいのは、「DiskSpread」で、これは、リムーバブルドライブとネットワーク共有を介して Shylock を拡散するコンポーネントです。以前のブログ記事で取り上げた標的型攻撃では、ユーザーを欺いてファイルを実行させるソーシャルネットワークの手口が使われましたが、このとき利用されたのはチベットの抗議運動の画像に見せかけたファイルでした。実際には、これがショートカットファイル(.lnk という拡張子が付きます)であり、元の画像ファイルを呼び出す一方、thumbs.dbh という悪質なファイルも実行するものでした。今回の新しい Shylock も、侵入先のコンピュータ内部で拡散するときに類似の方法を使っているようです。
Shylock は、リムーバブルドライブとネットワーク共有にある各種の文書ファイルを悪質な実行可能ファイルへのリンクに置き換えるという方法をとりますが、このときリムーバブルドライブとネットワーク共有を識別し、以下のタイプのファイルを検索するのが DiskSpread コンポーネントです。
- .acc[ランダムな文字]
- .ad[ランダムな文字]
- .bat
- .com
- .doc
- .docx
- .exe
- .lnk
- .ma[ランダムな文字]
- .md[ランダムな文字]
- .one
- .pps
- .ppsx
- .ppt
- .pptx
- .vdx
- .vsd
- .vss
- .vst
- .vsx
- .vtx
- .xls
- .xlsx
標的となるファイルタイプが見つかると、以下のプロセスが進行します。
- 元のファイルの名前を「Copy of [元のファイル名].[拡張子]」に変更し、属性を[隠しファイル]と[システム]に変更します。これでファイルはユーザーから見えなくなります。
- 「Loader」コンポーネントの隠しコピーを同じフォルダに作成し、thumbs.dbh という名前を付けます。
- 元の文書の代わりとして「[元のファイル名].lnk」というファイルが作成され、ユーザーにクリックさせるためのワナになります。.lnk ファイルには、以下の画像でもわかるように、隠しファイル thumbs.dbh を実行し、ユーザーから見えなくなっている元の文書を開くコマンドが含まれています。こうしてユーザーは、悪質な .lnk ファイルを実行することによって隠しファイルを開くことしかできなくなります。リムーバブルドライブを介してこの脅威が拡散するか、あるいはネットワーク共有にアクセスすると、新しいコンピュータは感染してしまいます。
図 2. Shylock の .lnk ファイル
このように、Shylock が拡散に用いる手口は悪質ですが、修復は簡単です。元のファイルは非表示になっているだけであり、文書は感染も削除もされていないので、次のような Windows コマンドを使ってファイルの属性を変更すれば元に戻すことができます。
Attrib –h –s [ドライブ名:] [パス] *.*
Shylock の進化は、マルウェアの作成者が今もこの脅威の開発を続けており、独創的なソーシャルエンジニアリング攻撃手法の開拓に意欲的であることを物語っています。Shylock の新しい進化による被害が出るのも今回が最後とは考えにくく、シマンテックは Shylock の進展を今後も監視する予定です。
いつものように、一般的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。最新のソフトウェアパッチを適用し、シマンテックの最新技術とウイルス定義を使って脅威に対する保護を万全に整えてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。