Tag Archives: Bloodhoud.HLP.1

WinHelp ????????????????

      No Comments on WinHelp ????????????????

昨年シマンテックは、Windows Help ファイル(.hlp)が標的型攻撃の攻撃経路として悪用されていることについて報告しました。シマンテックの遠隔測定によると、製造業や政府機関に対する標的型攻撃で、この攻撃経路が使われる件数が増えてきています。シマンテックは、この標的型攻撃で使われている不正な WinHelp ファイルを Bloodhoud.HLP.1 および Bloodhound.HLP.2 として検出します。
 

図 1. 悪質な .hlp ファイルが含まれている ZIP 形式の添付ファイル
 

攻撃経路として WinHelp ファイルを使う手口が増えている一因は、攻撃者が脆弱性を悪用せずにコンピュータに侵入できることにあります。攻撃者はソーシャルエンジニアリングを使って被害者を欺き、標的型の電子メールに添付した Windows ヘルプファイルを開かせようとします。Windows ヘルプファイルには Windows API を呼び出す機能があり、これを利用すればシェルコードの実行と悪質なペイロードファイルのインストールが可能になります。この機能は脆弱性の悪用ではなく、本来の仕様です。Microsoft 社はこの機能がセキュリティ上問題であることをすでに認識しており、2006 年からは WinHelp のサポートを段階的に廃止しています。しかし、こうした段階的な措置を経てもなお、WinHelp が攻撃者にとって有力な標的型攻撃の手段であることは変わっていません。
 

図 2. Bloodhound.HLP.1 と Bloodhound.HLP.2 の検出分布図
 

この攻撃経路による被害は今も増え続けていますが、この手法を使う主な 2 つの脅威を特定しました。Trojan.EcltysBackdoor.Barkiofork です。どちらも、製造業や政府機関に対する標的型攻撃に使用が限定されていることがわかっています。

いつものように、ウイルス定義を更新するとともに、この手の脅威に対する最適な保護を得るためにシマンテックの最新技術をお使いいただくことをお勧めします。前述のような脅威に感染した疑いがあり、さらにサポートが必要な場合には、シマンテックまでお問い合わせください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。