Symantec Security Response Weblog

MPack: Getting More Dangerous」より
August 16,2007 Posted by Parveen Vashishtha

 以前このブログの記事で,攻撃ツール「MPack」の仕組みを説明した。同記事で取り上げたMPackのバージョンは「v0.84」だったが,既にアップデート版「v0.91」が登場している。今回は両者を比べてみよう。

  1. v0.91にはv0.84と同じエクスプロイトが含まれている。記事の最後にエクスプロイトの一覧を掲載しておく。

  2. 管理/レポート用インタフェースに若干の変更があった。新たに「admin.php」というファイルが追加され,逆に「stats.php」というファイルがなくなった。このadmin.phpは,MPackを安全にインストール,設定できるようにするために用意されたものだ。MPackの利用者は,settings.phpを使ってユーザー名/パスワード保護を設定できる。ユーザー・インタフェースにも変更があった。表示画面の見栄えがよくなり,著作権のロゴが「(c) 2007 DreamCoders -- Logo」となった。また,MPackのv0.91には以下のように免責事項を記した法的な宣言文も付属する。
    「MPackは,テスト目的専用に開発されました。各地域および国の法律に違反する状況での使用を禁じます。当ソフトウエアの使用で直接的または間接的に生じたいかなる損害に対しても,作者は一切責任を負いません」

  3. 認証を確実に行うために,インストール処理で使うファイルが追加された。代表的なものが,「Logincheck.php」と「Notfound.php」である。それぞれ役割は次の通り。
    「Logincheck.php」:admin.phpに対する認証を確認する。クエリーを確認してPOST→問題がなければl&pを確認してGET→クッキー確認と認証ページ送信の両方または一方を行うという手順である。
    「Notfound.php」:ログインの確認に失敗した際に「not found」というメッセージを表示する。

  4. さらにv9.1ではMPackの検出を難しくするため,新たな暗号化と難読化を施してある。これは「Crypt2.php」および「UrlWorks.php」という二つのファイルで実現している。UrlWorks.phpはURLのエンコードとデコードを行う。一方のCrypt2.phpは以下の仕組みを持っている。
    1. 新しいエンコーディング・スキーム
    2. エンコーディング用JavaScriptコード「* $text」と,「* $isJS」エンコーディング用パス「* $passed」を確認する
    3. テキスト,JavaScriptコード,変数をパックすることができるようになった
    4. より多くのランダム化処理
    5. function p4ck3r_getRandomFuncOrVarName() { $charsAlpha = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"; return substr(str_shuffle($charsAlpha),0,2+rand() % 2); }

  5. MPackの読み込みページ(Index.php)にいくつか変更があった。
    1. MPackの利用者が感染を狙う国の一覧をあらかじめ指定することで,特定地域に対する攻撃が可能となった。国の一覧は $CountryList ="RU US UA"(2文字の国コードのみ指定可能) のように指定できる。settings.phpには,変数「$CountryList」が設けられた。
    2. Webブラウザの使用状況と感染状況に関する統計レポートが増えた。これにより統計レポートは攻撃対象の国に加え,感染したブラウザの種類に関する情報を更新するようになった。

  6. MPack v0.91では「Vml_dbg.php」というファイルがなくなった。このファイルは「リモートからのコード実行が可能になるVector Markup Languageのぜい弱性(MS06-055)」を持つファイルを作り出すものだ。

  7. v0.91が対象とするエクスプロイトは以下の通り。
    1. Microsoft Data Access Components(MDAC)の機能のぜい弱性(MS06-014)
    2. Windows Media Playerプラグインのぜい弱性(MS06-006)
    3. Microsoft管理コンソール(MMC)のぜい弱性(MS06-044)
    4. Windows XPとWindows Server 2003のXMLに関するバッファ・オーバフロー
    5. WindowsのActiveXコントロール「WebViewFolderIcon(webvw.dll)」に関するバッファ・オーバフロー
    6. 圧縮/展開ソフトウエア「WinZip」のActiveXコントロールに関するバッファ・オーバフロー
    7. メディア・プレーヤ「QuickTime」に関するバッファ・オーバフロー
    8. アニメーション・カーソル(.aniファイル)に関するバッファ・オーバフロー


Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,MPack: Getting More Dangerousでお読みいただけます。