...

Threat Emulation の実効性を解説:

by user

on
Category: Documents
11

views

Report

Comments

Transcript

Threat Emulation の実効性を解説:
2013 年 10 月 29 日
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Threat Emulation の実効性を解説:
トロイの木馬「ZBOT」の亜種をインストールするスピア・フィッシング
攻撃の検出
概要
未知の攻撃をクラウド上で検知、阻止するチェック・ポイントの ThreatCloud Emulation Service は、攻撃意図
を持った文書がエンドユーザに届く前に検出し、ブロックしました。この文書は、Microsoft Word に存在する
脆弱性(CVE 2012-0158)を悪用してマルウェア「ZBOT/Zeus」の亜種をインストールします。このマルウェア
は、侵入したコンピュータから情報を盗み出します。
経緯の詳細:
1. 組織のネットワークに送られてきた悪意のある文書の観察結果
10 月 22 日、あるメディア企業に 6 通の電子メールが届きました。
差出人: [email protected]
件名: UPS Delivery Notification
添付ファイル: invoiceBQW8OY.doc (MD5 ad0ef249b1524f4293e6c76a9d2ac10d)
この企業ではチェック・ポイントの ThreatCloud Emulation Service を使用しており、ネットワークに送られてき
た文書はいったん同サービスに送られ、サンドボックスで分析されます。エミュレーションを使用した分析中に、
以下の不自然な動作が確認されました。
­
Microsoft Word が異常終了して再起動し、空の文書が開かれる
­
HKCU¥Software¥bbbedafsacfsfdsf¥CurrentPath111 というレジストリ・キーが設定される
­
コンピュータ上で C:¥ProgramData¥bbbedafsacfsfdsf.exe という新しいプロセスが開始される
ThreatCloud Emulation Service は、このファイルを攻撃意図が組み込まれたファイルと判断しました。
Threat Emulation は、MTA(Message Transport Agent)の構成を使用することにより、疑わしい添付ファイ
ルが指定の宛先へ配信されることを防止できます。
2. 悪意のある文書の詳細分析
チェック・ポイントのセキュリティ・リサーチ・チームが詳細な分析を行った結果、6 通の電子メールに添付され
ていたファイルは同一内容であり、Microsoft Word に存在する CVE-2012-0158 の脆弱性を悪用する事実が
判明しました。この脆弱性は「MSCOMCTL.OCX RCE」として認識されており、リモートからのコード実行を可
能にします。この攻撃の影響を受ける Microsoft Office のバージョンは、2003~2010 です。
VirusTotal によると、問題の添付ファイルが送られてきた時点で同ファイルを検出できたアンチウイルス製品
は 2 種類だけでした。
セキュリティ・リサーチ・チームが行ったこの攻撃で使用されているペイロードの分析により、トロイの木馬
「ZBOT」の亜種であることも特定されました。このトロイの木馬は、「Man-in-the-Browser」攻撃、キー入力内
容の記録、フォーム入力内容の取得などの手段によって、侵入したコンピュータから情報を盗み出します。
この攻撃で使用されているペイロード(実行可能ファイル)の MD5 ハッシュは以下のとおりです。
62e25cc76291a3f348324172ff306ba0.
VirusTotal によると、このトロイの木馬が確認された時点で同マルウェアを検出できたアンチウイルス製品は 3
種類だけでした。
3. 攻撃キャンペーンの詳細分析
攻撃意図を持った文書のダウンロード元である複数の URL を分析した結果、感染源であるこれらのサーバへ
渡された特定パラメータのリストを発見しました。
調査を進めた結果、パラメータの実体は、標的とするユーザの識別子を base64 でエンコードした文字列です。
識別子にはそのユーザの電子メール・アドレスが含まれます。これら一意の URL は、この攻撃の標的である
国際的な大規模組織に所属するユーザの電子メール・アドレスを表しています。
攻撃の標的には、金融機関や自動車メーカー、通信事業者、米連邦政府機関、北米の教育機関や地方自治
体をはじめ、世界的な組織や企業が含まれていました。
以上の分析から、この攻撃は標的型攻撃であると推測されます。
4. 攻撃への対策
この攻撃は、Microsoft Office のバージョン 2003~2010 に存在する既知の脆弱性を悪用しています。組織内
で使用しているすべての Windows コンピュータに、最新のセキュリティ更新プログラムを適用する対策を推奨
します。
この攻撃は、貨物輸送会社 UPS からの連絡を装ったスピア・フィッシング・メールで始まります。このような電
子メールに警戒し、不審な添付ファイルを開かないよう注意喚起を行ってください。差出人のメール・アドレス
は [email protected] となっています(「replay」は「reply」の誤記と考えられます)。
Fly UP