最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne