日本では最近、電子メールにショートカット(.lnk)ファイルを添付する攻撃活動が確認されています。ショートカットファイルを使った脅威については以前のブログでもお伝えしましたが、この種の攻撃がいまだに活動を続けています。
ショートカットは、リンク先がテキストファイルであるかのように偽装されているため、欺かれたユーザーはこれを開いてしまいますが、実際はテキストファイルが開くわけではないことに気がつきません。
図 1.テキストファイルにリンクしているように偽装されたショートカットファイルのプロパティ
慎重に調べるために、リンク先のテキストボックスを左にスクロールしてみると、このショートカットを開いたとき実際に実行される悪質なスクリプトを確認できます。
図 2.ショートカットファイルの真のリンク先
つまり、ショートカットファイルは、実際のリンク先を必ず確認してから開く必要があるということです。
ショートカットファイルを開くと一連のイベントが起動し、各種のスクリプトファイルもダウンロードされて実行されます。このプロセスの締めくくりとして、偽のエラーメッセージが表示され、リモートのコマンド & コントロール(C&C)サーバーのためにバックドアが開かれます。これで、リモートの攻撃者は侵入先のコンピュータ上でさまざまな活動を実行できるようになります。
図 3.攻撃の手順
この攻撃の最大のポイントは、次のような検出回避の手法を利用していることです。
- バックドアも含めたすべての攻撃コンポーネントは、スクリプトコードで構成されています。このコードは、機能を変えることなく簡単に形態だけ変えることができるため、新しい亜種を作成するのも容易です。
- ダウンロードされるスクリプトの一部はメモリにのみ格納されるため、一般的なウイルス対策ソフトウェアで採用されているディスクスキャンのメカニズムをすり抜けることができます。
- バックドアスクリプトは AES(強力な暗号化アルゴリズム)を使って、C&C サーバーとの通信や C&C サーバーへの URL パスを暗号化します。
この脅威は、暗号化サービスの実装に Windows 標準の暗号化 API を使っておらず、Google Codeから正規のコードライブラリをダウンロードして AES 暗号化サービスを実行します。
図 4. Google Code の正規の暗号化コードライブラリを要求するコードスニペット
今までにも何度となく見てきたように、マルウェアの作成者とセキュリティベンダーは、終わりのないイタチごっこを繰り広げています。マルウェアの作成者は、ユーザーを欺いてマルウェアを実行させようとする手口や、セキュリティベンダーによる検出をかいくぐろうとする策略を日々休むことなく考えているのです。
シマンテックは、悪質なショートカットファイルを含めた一連の脅威を Downloader.Dashikutおよび Backdoor.Dashikutとして検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。