IEの新たな脆弱性、一部標的型攻撃での使用を確認

　米シマンテックは、米マイクロソフトが「Internet Explorer（IE）」ブラウザーの新たなゼロデイ脆弱性「Microsoft Internet Explorer Memory Corruption Vulnerability（CVE-2013-3893）」についてセキュリティアドバイザリーを公開したことを受け、保護対策を取るようブログでユーザーに呼びかけている。

　マイクロソフトのセキュリティアドバイザリーによると、この脆弱性はメモリー破損を引き起こす場合があり、これを悪用することで攻撃者は任意のコードを実行できてしまう。攻撃は、IEの脆弱性を突くよう特別に細工されたWebサイトにユーザーを誘導することによって実行される。マイクロソフトは、セキュリティアドバイザリー公開時、同脆弱性の使用が確認されているのは限られた数の標的型攻撃のみだとしている。

　マイクロソフトは当記事執筆時点でパッチを公開していないが、セキュリティアップデートが利用可能になるまでの暫定的な回避策「Fix it」を提供している。

　シマンテックは、同脆弱性の悪用を試みるファイルを「Bloodhound.Exploit.513」として検出しているほか、侵入防止システムに攻撃シグネチャ「Web Attack: Microsoft Internet Explorer CVE-2013-3893」「Web Attack: MSIE Memory Corruption CVE-2013-3893 3」として追加している。

BLOBを利用する新たなバックドアファミリー「BLYPT」

　トレンドマイクロは、同社が「BLYPT」と呼ぶ新たなバックドア型マルウエアファミリーについてブログで注意を促した。BLYPTという名前は、同マルウエアがレジストリー内に保存されているバイナリラージオブジェクト（BLOB）と暗号化（ENCRYPT）を使用することに由来する。

　現時点で、BLYPTはJava攻撃コードを使ってインストールされる。ドライブバイダウンロードあるいは悪意あるWebサイトを通じて、攻撃コードがユーザーのシステムに送り込まれる。トレンドマイクロの調査によると、攻撃用のサーバーはルーマニアとトルコを中心に設置されている。主な攻撃対象は米国で、企業ではなく消費者が最も影響を受けている。

　ある事例では、Java脆弱性「CVE-2013-1493」がマルウエア拡散に使われた。トレンドマイクロは同脆弱性を悪用する攻撃プログラムを「JAVA_EXPLOYT.HI」として検出している。なお、同脆弱性を修正するパッチは2013年3月に公開されている。

　JAVA_EXPLOYT.HIはインストーラーをダウンロードするのに使用される。インストーラーはシステムで稼働しているWindowsが32ビットあるいは64ビットかによって「logo32.png」または「logo64.png」と名付けられる。3秒ごとに3つのサーバーに接続し、BLYPTのメインコンポーネントをインストールする。インストールに成功するまで最大32回接続を繰り返し、インストールできなければ断念する。

　トレンドマイクロは、既に2つのBLYPT亜種を確認している。一つはメインコンポーネントを保存する際にファイル名「NTCRYPT{ランダム値}.TPL」を使用し、もう一つは「CERTV{ランダム値}.TPL」を使用する。それぞれ32ビットバージョンと64ビットバージョンがあるが、振る舞いはほとんど変わらない。いずれも「%App Data%\Microsoft\Crypto\RSA」ディレクトリーに保存される。トレンドマイクロはこれらを「BKDR_BLYPT.A」「BKDR_BLYPT.B」などとして検出している。

BKDR_BLYPTの感染過程

　2つの亜種は、マルウエア制御（C＆C）サーバーに関する情報を異なる場所に格納している。ファイル名にNTCRYPT{ランダム値}.TPLを使用する亜種は、自身では情報を持たず、インストーラーがレジストリーに保存したC＆C情報を利用する。一方の亜種は、自身にC＆C情報を組み込んでいる。いずれの場合も、C＆C情報の保存場所は「HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates\
5A82739996ED9EBA18F1BBCDCCA62D2C1D670C\Blob」レジストリーキーで指定される。

　C＆C情報のレジストリーキーは同一でも、データフォーマットは異なる。前者の亜種は情報がプレーンテキストで、後者の亜種はバイナリーフォーマットで記述されている。両亜種とも暗号化にarc4アルゴリズムを使用していると見られ、暗号解除キーとして「http://microsoft.com」を用いる。

　インストーラーに関してはもう一つ注目すべき点があり、C＆Cサーバー上のURLにアクセスして、速やかにインストール状況を報告する。

　またトレンドマイクロは、マルウエアが使用する構成ファイルをデコードすることで、攻撃に使われるC&Cサーバーの場所を特定した。

BLYPTのC＆Cサーバーの場所

　そのほかの振る舞いとして、BLYPTはC＆C情報に加え、さまざまな情報を組み込みBlob形式でレジストリーに保存する。

BLYPTが使用する組み込みBlob

　攻撃者はBLYPTに感染したシステムにコマンドを送信し、更新済みDLLのダウンロード、更新済み構成ファイルのダウンロード、パブリックIPアドレス情報の収集などを実行する。