引き続き、Duquについて解説したブログが目立っている。米シマンテックは、新たな脅威「Duqu」の感染手口についてブログで説明した。これまで誰もインストーラーを復元できなかったので、Duquがどのように感染するか明らかになっていなかったが、Duquの最初のバイナリーを見つけたハンガリーのCrySySが、インストーラーを検出した。

 インストーラーファイルはMicrosoft Word文書(.doc)で、任意のコードを実行させてしまう可能性のある、それまで知られていなかったカーネルの脆弱性を突く。ファイルを開くと不正なコードが実行され、Duquの主要バイナリーをインストールする。以下に、WordファイルがDuquをインストールするプロセスを図解した。

Duquインストールのプロセス

 Wordファイルは狙った組織を限定的に標的にするように作成されている。さらに、Duquは8月の8日間のみインストールされるようシェルコードを用いる。なお、このインストーラーは、ブログ執筆時点で見つかっている唯一のインストーラーであり、攻撃者は異なるターゲットには別の感染方法を使用している可能性がある。現時点で確実な回避策は、送信者不明の文書を開かないというベストプラクティスに従う以外にない。

 Duquがゼロデイ攻撃を通じて足がかりをつかむと、攻撃者は他のコンピュータにも感染するよう命令を出す。ある組織では、攻撃者がDuquにSMB共有を介して拡散するよう命令している形跡が見つかった。興味深いことに、新たに感染したコンピュータの一部は、インターネットに接続してマルウエア制御(C&C)サーバーとやりとりする機能を備えていなかった。これらコンピュータ上のDuquの設定ファイルは、直接C&Cサーバーと接続するのではなく、ファイル共有のプロトコルを使って、C&Cサーバーに接続できる他の感染コンピュータとやり取りするよう記述されていた。このようにして、Duquはネットワーク内のサーバーとC&Cサーバーの架け橋を構築した。これにより攻撃者は、安全ゾーンの外にあるコンピュータをプロキシーとして利用し、安全ゾーンの中にあるDuquの感染先にアクセスすることができる。

 確認されたDuquの感染事例はまだ限定的だが、こうした手法を用いてDuquが複数の国に広がっているのをシマンテックは認識している。執筆時点で、Duquは以下の8カ国の6組織に感染したことが確認されている。

・組織A:フランス、オランダ、スイス、ウクライナ
・組織B:インド
・組織C:イラン
・組織D:イラン
・組織E:スーダン
・組織F:ベトナム

 一部組織はISPまでしかたどれないため、6組織に重複がある可能性がある。また、IPアドレスによるグループ化のため、各組織は特定できていない。

 他のセキュリティベンダーも、オーストラリア、ハンガリー、インドネシア、英国での感染や、シマンテックが確認したのとは別のイランでの感染を報告している。

Duqu感染が報告されている国(赤は感染を確認済み、オレンジは未確認の報告)

 検出されたすべてのサンプルは密に連携しているが、シマンテックは最近、異なるC&Cサーバーと通信するサンプルを見つけた。これまで分析したサンプルはすべて、インドでホスティングされているサーバーとつながるよう設定されていたが、新しいサンプルは、ベルギーにあるIPアドレス77.241.93.160のサーバーとやりとりするよう設定されていた。

 Duquについては、ほかのセキュリティベンダーも調査・考察している。例えば英ソフォスも、Duquの感染手口に関する考察をブログで公開した。同社は、CrySySが入手したインストーラーファイルについて、悪用された脆弱性がWordそのものの欠陥ではないことを指摘。この脆弱性は他の手口でも悪用される可能性があるとしている。

 シマンテックとソフォスはともにこの脆弱性について米マイクロソフトに連絡した。マイクロソフトは既にアドバイザリーと回避策をサポートサイトで公開している。

 これらターゲット型攻撃の性質と、Duquマルウエアがワームやウイルスではないという事実から、このバグを悪用するための情報を持っているのは、マルウエア作成者と同マルウエアを分析した研究者だけとなる。

 産業制御システムを狙ったマルウエア「Stuxnet」が作成者の意図するターゲット以外にも広がったことを考えると、Duquがトロイの木馬として設計されたのは、Stuxnetでのミスを繰り返さないよう意図されたものと思われる。

 Stuxnetは四つのゼロデイ脆弱性を利用し、Duquは現時点で少なくとも一つを利用していることが分かっている。もし、別のDuqu感染にかかわった新たなインストーラーが見つかれば、異なる脆弱性が判明する可能性がある。

 ロシアのカスペルスキーラボも、ブログでDuquに関する報告を続けている。カスペルスキーラボは、インストーラーの検出によって新たに明らかになった事実と、これまで判明している詳細情報から、StuxnetとDuquが同じグループによって作成されたとの仮説に自信を深めている。