|
脅威分析情報
2015年07月22日
ラック社内ネットワークより発せられたWeb Infection(Heur_Exploit.binary.MVX)を検知しました。
FireEye NXシリーズによる検知、Paloalto PAシリーズによる検知
「web-infection」は、web経由でのマルウェア感染行為が試行されたことを示すイベントです。web経由のマルウェア感染時には、webブラウザやJava、Adobe Acrobat ReaderやAdobe Flash Playerなどの脆弱性が悪用され、その後ユーザが気付かないうちにマルウェアのダウンロードと実行が行われます。本イベントはマルウェア本体を検知したイベントではありませんが、その前段階で行われる脆弱性悪用の可能性を検知したものです。この後、FireEyeでは何もイベントを検知していませんが、攻撃が進んでマルウェア本体がダウンロードされて感染してしまった可能性も考えられるので、実際確認を行います。
検知画面(FireEye)
本イベントの詳細を確認すると、今回のイベント発生原因となったContent-Typeが「application/x-shockwave-flash」を示す不正なURLを確認できます。続けてサンドボックス上の解析結果を見ると「Exploit Code detected」、「Exploit Code Activity」という悪質な要因があるとして判定されています。検知名と解析結果から、今回は、ヒューリスティックな判断から脆弱性を悪用するFlashコンテンツ(CWSファイル)を検知したように見受けられます。
イベントの詳細(FireEye)
結論から話すと、今回のイベントは誤検知ではありませんでした。Flashコンテンツは当時ゼロデイの脆弱性が悪用された疑いがあること、そしてマルウェア感染までには至っていない可能性が高いという判断に至りました。今回は次の4つの分析結果からこのような判断に至りました。
FireEye NXシリーズには、イベント発生時のパケットデータをキャプチャする機能が実装されています。実際の通信時の通信パケット「Orig.Traffic Capture」とサンドボックスでの動作時の通信パケット「VM Capture」の2種類のパケットデータを取得可能です。今回のイベントでは2種類のパケットが生成されており、それぞれの中身を比較すると、「VM Capture」のパケットデータの方にはダウンロードされたマルウェア本体が含まれていましたが、「Orig.Traffic Capture」のパケットデータにはマルウェア本体は含まれていませんでした。このことから、実際の通信ではマルウェアはダウンロードされていない可能性が考えられました。
「VM Capture」の通信内容(EXEがダウンロードされた時)
全社的に導入をしていたウイルス対策ソフトでは、検知アラートが対象端末で発生しておりマルウェア感染の直前で遮断された可能性が高い、という報告がスマートビジネスファクトリ(社内情報システム部門)からありました。①の内容から、検知したのは脆弱性悪用の行為かと思いましたが、その後のマルウェア本体を検知しているように見受けられました。
社内に導入しているプロキシサーバのログを見て当該通信前後のweb通信を追跡してみると、Flashコンテンツのダウンロード通信、およびマルウェアのダウンロード通信と思われる通信、更に他の脆弱性悪用を試みる特定の不正サイトへの通信が成功しているように見受けられます。
不正URLへの接続状況
また、この不正サイトへの通信ログをみてもリンク元を示すReferer情報には誘導元サイトの情報は空欄で示されていませんでしたが、通信ログを確認してみると、被害PCが不正サイトに接続する直前に訪問していたサイト(あるいは、そのサイトで表示されていた広告コンテンツ)の閲覧によって誘導された可能性が高いという判断をしました。
後の調査で、今回使われた脆弱性は、イタリアの企業「Hacking Team」が攻撃を受けて漏えいした複数のAdobe Flash Playerのゼロデイ脆弱性のうちの1つの脆弱性が今回使われたことが分かりました。このAdobe Flash Playerの脆弱性を含む修正パッチ(*2)は7/8(米国現地時間)に公開されたため、社内アナウンスは7/9の時点で行われ、インシデントが発覚した一日遅れで多くのユーザはパッチ適用に至りました。
(*1)Flashコンテンツはvirustotalで調べた結果、7/9時点で(7/55)でしたが、7/14時点で(25/55)となりました。
(*2)APSB15-16
https://helpx.adobe.com/jp/security/products/flash-player/apsb15-16.html
本インシデント以外にも、当社では直近においてAdobe Flash Playerの脆弱性に対応したExploit Kitによる攻撃を多く確認しています。いずれも情報漏えいや感染拡大などの深刻な状況には至っていませんが、一部のインシデントはマルウェア感染まで至っていました。このインシデントの被害PCのフォレンジック調査の結果では、同様に Adobe Flash Playerの脆弱性が成功し、不正プログラムのダウンロード機能を有するクリック詐欺(Click Fraud)マルウェアに感染、続けてZeus/Zbot系統のマルウェアと偽ウイルス対策ソフトのダウンロードが行われたものの、検体の動作不良やインストール行為が行われかったなどで幸いにも、致命傷までには至っていないとのことでした。
今回紹介したインシデントもゼロデイ脆弱性の悪用は成功したものの、マルウェア本体はウイルス対策ソフトで検知をして直前で防いだと考えられます。 このようにゼロデイ脆弱性を使った高度な攻撃が使われたとしても、今回のようにマルウェア感染の直前で攻撃を防げる場合があります。また、マルウェアに感染したとしてもその前後で発生する不正通信に気付き、インシデントに気づけることもあります。実際にフォレンジック調査を実施した被害PCは、JSOCのアナリストがPaloaltoのExploit Kitの攻撃検知イベントの分析を行い、発覚したインシデントです。1つの製品や分析結果に執着をせず、多方面から判断をする、さらには一連の攻撃過程のどこかで検知・防御をして、可能な限り迅速な対処を行うことがとても重要であることを今回の対応で再認識しました。
次世代ファイアウォール「Paloalto」の検知状況
なお、7/14(米国現地時間)には、更に新しいAdobe Flash Playerの脆弱性(*3)が公開されています。この脆弱性も既に悪用する攻撃活動を確認しているとの報告があるため、Adobe Flash Player をご利用中の方は引き続き攻撃を受ける可能性が高まると考えられます。バージョンテストのサイト(*4)などを活用し、最新バージョンを利用中かどうかについてご確認頂くことを推奨します。またAdobe Flash Playerの自動更新の設定(*5)や必要に応じてFlashを実行する設定(*6)など、Adobe Flashをセキュアに使う設定にすることもご検討ください。
(*3)APSB15-18
https://helpx.adobe.com/security/products/flash-player/apsb15-18.html
(*4)Adobe Flash Player のバージョンテスト
http://www.adobe.com/jp/software/flash/about/
(*5)IT管理:Flash Player 自動更新の設定
https://helpx.adobe.com/jp/flash-player/kb/228473.html
(*6)Adobe Flash を“クリックして実行”する設定にする(Firefox)
https://support.mozilla.org/ja/kb/set-adobe-flash-click-play-firefox
免責:本記載事項の利用については、全て自己責任でお願いいたします。本記載事項の記述を利用した結果生じる、いかなる損失においても株式会社ラックはその責任を負いかねます。本記載事項を引用して利用される際は、必ず出典元を明記してご利用下さい。LAC、ラックは、株式会社ラックの商標です。JSOC(ジェイソック)は株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。
サービスに関するお問い合わせ
受付時間:9:00~17:30