最新の状態でないオペレーティング システムを狙う BlackHole Exploit Kit


By Mike Johnson

何週間か前のこと、実際に稼動している BlackHole Exploit Kit 1.2 のコントロール パネルのいくつかの画面を目にする機会がありました。

これまで私が現場で目撃してきた他のツールキットと同じように、BlackHole も極悪なツールの特徴をすべて備えています。開発者たちはわざわざ手間をかけて、使い方がとても簡単なツールキットを作り上げ、有償で提供しているのです。外交的なしがらみの少ない国の、いささか非道徳的な Web ホスティングを利用して、悪事に乗り出しています。

ツールキットの設定にはロシア語と英語の両方が使えるようです。おかげで、素性がわかりにくくなっています。

このツールキットに付随する URL をじっくりと追跡してみたところ、多くが未検出となっているマルウェアを大量に放出する様子を確認できました。たとえば次のようなマルウェアです。

情報盗難やオンライン バンキングを狙うトロイの木馬:

SpyEye
Zeus
Carberp
Mebroot Rootkit

もう 1 つ、ウェブルートのリアルタイム監視で非常によく目にする一般的なルートキットとして、vSirefef.B/Zero-Access もあります。

BlackHole のツールキットがユーザーのマシン上で悪用するものは、次の 2 つに集約できます。

1) 修正プログラムを適用していないオペレーティング システムの脆弱性
2) Web ブラウザー、アドイン、およびプラグインの脆弱性 (Adobe や Java ソフトウェアなど)

このツールキットが標的のマシンで悪用する可能性がある既知の脆弱性には、次のようなものがあります。

Windows オペレーティング システム:

CVE-2010-1885: HCP の脆弱性 (Windows XP および Windows Server 2003 に含まれる Microsoft Windows のヘルプとサポート センターの脆弱性)

http://technet.microsoft.com/ja-jp/security/bulletin/MS10-042

CVE-2006-0003: IE MDAC の脆弱性

http://technet.microsoft.com/ja-jp/security/bulletin/ms06-014

Adobe のソフトウェア:

CVE-2008-2992: Adobe Reader の util.printf の脆弱性
CVE-2009-0927: Adobe Reader の Collab GetIcon の脆弱性
CVE-2007-5659: Adobe Reader の CollectEmailInfo の脆弱性

Java のソフトウェア:

CVE-2009-1671: Java の deploytk.dll に存在する Deployment Toolkit ActiveX コントロールのバッファー オーバーフロー
CVE-2010-0840: Java の信頼できるメソッド チェーンに存在するリモート コード実行の脆弱性
CVE-2010-0842: Java の JRE MixerSequencer の無効な配列インデックスによるリモート コード実行の脆弱性
CVE-2010-0886: Java の Oracle Java SE の Java Deployment Toolkit に存在する不特定の脆弱性
CVE-2010-1423: Java の NPAPI プラグインの URI ハンドラーに存在する引数インジェクションの脆弱性

ボットのコントローラーの基本的なビューには統計情報のページがあります。これを見ると、このツールキットが悪用する脆弱性を、上で示した理由がわかると思います。比較的新しいキットとして当然のことながら、Adobe と Java の両ソフトウェアが、他のソフトウェアに比べてはるかに悪用されていることが確認できます。

自分が使っているブラウザーは Internet Explorer ではないから安全だ、と思う方もきっといると思いますが、この画面で見る限り、このツールキットが接触した 3 種類のブラウザー間で、動作状況にあまり差はないようです。

このツールキットは、操作が簡単であるだけでなく、バイナリがウイルスとして検出される率を抑えやすくなるように、ウイルス対策のスキャン サービスを利用できる機能も備えています。このスキャン サービスが収集したバイナリの情報は、ウイルス対策製品の開発企業には伝わりません。

統計情報のページは閲覧性が高く、現在のボットの稼動状況を簡単に把握できます。たとえば、感染したオペレーティング システムの数とその種類や、どの国で感染したかがわかります。

次に示す画面は設定ページです。ツールキットの配信方法やウイルス スキャンのバイナリの状態を、コントロール パネルのユーザーがすばやく変更できます。

以下の画面では、配信ポイントですぐに検出されるのを防ぐためのルールを設定したり、特定の時点でファイルをすばやく置き換えたりできるようになっており、何らかの形で攻撃を長引かせることを開発者が念頭に置いているのがよくわかります。

Blackhole は、検出を回避しやすくなるように、独自のファイル暗号化を利用しています。しかし奇妙なことに、攻撃対象のマシンに実際に置かれるファイルには、特定の決まったファイル名を使っています。

私がこれまでに目にしたことがあるのは以下の 5 つだけです。

contact.exe
readme.exe
info.exe
about.exe
calc.exe

ここまで見てきたことからわかるように、Blackhole のツールキットは、最新の状態でないオペレーティング システムやソフトウェアを利用して、効率よく生き延びています。

wordpress blog stats