寄稿者: Fred Gutierrez
サイバー犯罪者は何年もの間、検出システムをすり抜け、しかも狙ったユーザーの不審を買わないようにする方法に絶えず磨きをかけてきました。標的型攻撃の場合、ワナが重要な役割を果たします。サイバー犯罪者は確実に標的の関心を引きつけ、悪質な PDF や DOC ファイルを開くように仕向けなければならないからです。
最近シマンテックが監視している悪質な電子メールは、チベットの抗議運動と焼身自殺をワナに利用しています。メールには、抗議活動中に撮影されたと称する写真が RAR ファイル形式で添付されています。
標的となったユーザーがこの RAR ファイルをコンピュータ上に解凍すると、解凍したディレクトリにはファイルが 3 つしか入っていません。ファイル名には JPG と付いていますが、それは見せかけにすぎません。実際には、アイコンを見るとわかるとおり .lnk ファイル、つまりショートカットです。
図 1: RAR の解凍後に表示される LNK ファイル
ユーザーを欺いて JPG ファイルであると信じ込ませるために、ファイル名に細工がしてあったわけです。デフォルトでは拡張子は表示されないため、.lnk という実際の拡張子はユーザーの目に触れません。
図 2: 隠しファイルを表示すると、さらにファイルが表示される
拡張子が非表示になっているだけではなく、同じフォルダには隠しファイルもあります。隠しファイルの表示を有効にすると、本当の JPG ファイルが存在し、さらに thumbs.db ファイルもあることがわかります。thumbs.db は通常、Windows がディレクトリにある画像のサムネイルを保存するために使うファイルですが、この thumbs.db は Windows によって生成されたものではなく、攻撃者がこのアーカイブに意図的に含めた悪質なファイルです。
図 3: LINK ファイルが thumbs.db とそれに対応する JPG ファイルを実行することがわかる
フォルダの .lnk ファイルのひとつを調べてみると、その .lnk ファイルが Windows のコマンドプロンプトを呼び出し、start コマンドを実行することがわかります。このコマンドは、対応する画像(この場合は IMG_3915.jpg)を引数として thumbs.db ファイルに渡されます。したがって、.lnk ファイルをクリックすると確かにユーザーの期待どおり、チベットの抗議運動に関する実際の画像が表示されるのですが、thumbs.db のバイナリ(Trojan.Dropper として検出されます)も実行され、これにより侵入先のコンピュータに複数のファイルが投下されます。
投下されるファイルはさまざまです。あるファイルによって iexplore.exe という名前の実行可能ファイルが Application Data\Active フォルダに投下されます。さらに、同じファイルによって[スタートアップ]フォルダに .lnk ファイルが投下され、これは悪質な iexplore.exe(Trojan Horse として検出されます)にリンクされています。バックドアを開く .dll ファイル(Backdoor.Trojan として検出されます)も投下され、これは OS のバージョン、搭載 CPU、メモリ容量、ユーザー名などのコンピュータ情報を収集しようとします。
悪質な thumbs.db ファイルが他の標的型攻撃で使われている例は、まだ確認されていません。メールを使った攻撃の多くは、悪質な DOC や PDF ファイルを利用して脆弱性を悪用することを考えると、thumbs.db ファイルを使う攻撃は例外的です。
これは、サイバー犯罪者が新しいソーシャルエンジニアリングを常に模索していることを示す一例にすぎません。そして、今後も同様の例が続くと思われます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。