「DirectShow」を狙うエクスプロイト（パート1）

2009.07.09

Symantec Security Response Weblog

「DirectShow Exploit In the Wild」より
June 17，2009　Posted by Liam O Murchu

　当ブログ記事では，最近その存在が明らかになったWindows用マルチメディア処理アプリケーション・インタフェース「DirectShow」のセキュリティ・ホールを悪用する過程について，全体の概要を紹介する（関連記事：「DirectX」にぜい弱性，QuickTime再生で遠隔コード実行の恐れ）。特に，実際のエクスプロイトがどのように使われているかを説明しよう。このDirectShowのセキュリティ・ホールはさまざまな点で興味深い。こうした特徴を一つずつ詳しく見ていくため，最初に悪用の全体的な流れを示し，それから各項目を詳細に解説していく。

　このセキュリティ・ホールを狙うエクスプロイトを使うページの中には，フィッシング・ページにリンクされているものがあった。フィッシング・ページは，ユーザーのログイン情報などを盗もうとするだけでなく，DirectShowのセキュリティ・ホール（日本語版情報，CVE-2009-1537）用エクスプロイトをホスティングしているWebページにユーザーをリダイレクトした。リダイレクト先のWebページは，このセキュリティ・ホールを突く細工済みの「.avi」ファイルと，さらに悪質な「.dll」ファイルを複数ロードし，パソコンに対する攻撃を確実に成功させようとする（DLLファイルについては，後で詳しく述べる）。

　これらのDLLは首尾良くロードされると，エンコードされた「.exe」形式のペイロードをダウンロードする。この場合は，最終的にトロイの木馬「Trojan.Cipevas」をダウンロードする。するとTrojan.Cipevasは，パソコンから攻撃者のWebページにアクセスし（アクセス先は最初のリダイレクト先Webページと同じ），ほんの少しだけユーザーの情報を攻撃者に送り，攻撃者の指示を待つ。

　Trojan.Cipevasは感染したパソコンの上で，ファイルの追加ダウンロード，ファイルとレジストリ値の追加/削除，サービスとプロセスの停止/開始，ユーザー情報の収集，攻撃者から今後の命令を受信するポートのオープン，といった処理を実行できる（余談だが，Trojan.Cipevasは，最初に接続する攻撃者のWebページ「http://[攻撃者のIPアドレス]/savepic.asp」を逆さにして名付けられた）。

フィッシング

　今回の事例で調べたフィッシング・ページは，著名なWebメール・サービスのログイン・ページをかたっていた（下図参照）。攻撃者は自身のサーバーに偽のログイン・ページを設けていたため，Webブラウザのアドレスバーに表示されるURLは，ユーザーが想定する本物のURLとは全く異なるものが表示されていた。

　このフィッシング・ページのソースコードを調べてみると，偽ログイン・ページの主目的はユーザーのログイン情報を盗むことだった。ただ，DirectShow対応エクスプロイト用のWebページへのリダイレクトを図るiframeも仕込まれていた。この手の攻撃の例にならって，このiframeも高さと幅がゼロに設定され，ユーザーから見えないようになっている。

エクスプロイトとトロイの木馬

　このエクスプロイトには，いくつか興味深い点がある。一つは，典型的なバッファ・オーバーフローとヒープ改変（コラプション）に関するセキュリティ・ホールではない点だ。このセキュリティ・ホールを悪用しても，メモリーに上書きできるデータは1バイトしかない。つまりエクスプロイト・コードの作者は，このセキュリティ・ホールを悪用するための画期的な方法を編み出す必要がある。そして，これが2点めの特徴につながる。このエクスプロイトで使われた手口は，Alex Sotirov氏とMark Dowd氏が書いた論文「Bypassing Browser Memory Protections.」（Webブラウザのメモリー保護機構を迂回）にあるもの。我々は，それが実際に使われているのを初めて確認した。この手口を使うと，エクスプロイト・ページでよく目にする普通のヒープ・スプレイ用コードが予備的な手段になる。そして，このことが三つ目の特徴につながる。なぜ今回のエクスプロイト・ページは，必要のないヒープ・スプレイを使っているのだろうか。

　このエクスプロイトとTrojan.Cipevasについては，次のブログ記事で詳しく説明する。当社（米シマンテック）は，「DeepSight」ポータルで顧客向けに詳細な技術レポートを提供している。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「DirectShow Exploit In the Wild」でお読みいただけます。