Destover: ???????????????????????????
summary
FBI は先週、Backdoor.Destover という破壊的なマルウェアに対する緊急警告を発表しました。Destover には、韓国を標的とした過去の攻撃といくつか共通点が見られます。Destover のいくつかのサンプルで使われているコマンド & コントロール(C&C)サーバーは、韓国内の標的を攻撃するために作成された、Trojan.Volgmer のあるバージョンで使われていたものと同じです。C&C サーバーが共用されていることで、この 2 つの攻撃の背後に同じグループが存在する可能性が浮上します。
Volgmer は標的型のマルウェアです。おそらく単一のグループが第 1 段階の偵察ツールとして限定的な攻撃に使用していると思われ、システム情報を収集し、さらに別のファイルをダウンロードして実行することができます。重要なのは、Destover と C&C サーバーを共用するバージョンの Volgmer は、特に韓国の標的を攻撃するよう設定されていて、韓国語版のコンピュータ上でのみ実行されることです。
また、Destover では、2013 年に発生した韓国に対する Jokra 攻撃と同じ手口やコンポーネント名も使われています。しかし、現時点では、これらの攻撃のつながりを示す確かな証拠は見つかっておらず、模倣犯である可能性も捨てきれません。さらには、Shamoon 攻撃との共通点も見られ、どちらの攻撃でも市場で入手可能な同一のドライバが利用されています。しかし、両者の背後に同一のグループが存在する可能性はきわめて低く、むしろ Destover 攻撃が Shamoon 攻撃の手口を真似たのでしょう。
Destover の活動
Destover は、特に大きな破壊力を備えたマルウェアであり、感染先のコンピュータの内容を完全に消去することが可能です。FBI の緊急警告でもこのことに触れられており、ある目立った攻撃において、少なくとも 1 つの Destover の亜種が利用されたと考えられています。
Destover に関する FBI の報告書には、いくつかの悪質なファイルが記載されています。
- diskpartmg16.exe
- net_ver.dat
- igfxtrayex.exe
- iissvr.exe
感染したコンピュータで最初に作成されるファイルが diskpartmg16.exe で、このファイルが実行されると、net_ver.dat および igfxtrayex.exe が作成されます。
「diskpartmg16.exe」は、実行されると、ある IP アドレス範囲内で特定の多数の IP アドレスに接続するとともに、「USSDIX[コンピュータ名]」という形式のコンピュータ名に接続します。つまり、この Destover の亜種は無差別な攻撃を意図したものではなく、特定の組織に所属するコンピュータのみを攻撃するよう設定されているのです。
Destover の破壊的なペイロードは igfxtrayex.exe によって配信され、igfxtrayex.exe は、実行されると、次のような操作を実行する場合があります。
- 固定ドライブおよびリモートドライブ上のすべてのファイルを削除する
- パーティションテーブルを改ざんする
- 追加モジュール(iissvr.exe)をインストールする
- ポート 8080 と 8000 で多数の IP アドレスに接続する
一方、Iissvr.exe は、ポート 80 で待機するバックドアです。攻撃者が侵入先のコンピュータに接続したときに、次のメッセージを表示します。
“We’ve already warned you, and this is just a beginning.
We continue till our request be met.
We’ve obtained all your internal data including your secrets and top secrets.
If you don’t obey us, we’ll release data shown below to the world.
Determine what will you do till November the 24th, 11:00 PM(GMT).
Post an email address and the following sentence on your twitter and facebook, and we’ll contact the email address.
Thanks a lot to God’sApstls [sic] contributing your great effort to peace of the world.
And even if you just try to seek out who we are, all of your data will be released at once.”
(今まで警告してきたが、これは始まりに過ぎない。
要求が叶えられるまで攻撃を継続する。
機密情報や極秘情報など、あらゆる内部データを入手済みだ。
要求に従わない場合、以下のデータを全世界に公開する。
11 月 24 日午後 11 時(GMT)までに、どうするか決めろ。
電子メールアドレスと次の文章を Twitter と Facebook に投稿すれば、こちらからメールで連絡する。
世界平和のために多大な貢献をした God’sApstls(原文ママ)に深く感謝する。
我々の身元を詮索しようとしただけでも、全データをただちに公開する)
Volgmer とのつながり
Destover のいくつかのサンプルは、過去に Trojan.Volgmer の複数の亜種によって使われた C&C サーバーに接続します。シマンテックは数カ月にわたって Trojan.Volgmer を追跡してきました。Volgmer は、感染先のコンピュータでバックドアを開く機能を備えているため、C&C サーバーと通信して、システム情報の取得、コマンドの実行、ファイルのアップロード、ファイルのダウンロードと実行などの操作を行うことができます。
興味深いことに、Destover と C&C サーバーを共用する Volgmer の亜種は、侵入先のコンピュータの地域設定が「韓国」でない場合には実行を停止するよう設定されています。
Jokra とのつながり
Destover の攻撃者が使用しているファイル名などのコンポーネントや手口は、2013 年に発生した韓国に対する Jokra 攻撃と類似しています。Jokra 攻撃では韓国の銀行や放送局などのサーバーが停止したほか、通信会社の Web サイトが改ざんされました。
Jokra 攻撃で使われたマルウェアに含まれているコードは、指定した期間が経過するまではハードディスクドライブの消去を開始しません。Destover もまた、時間を置いてデータ消去を実行するよう設定されています。さらに、韓国での報道によると、2 つの攻撃で類似する多数のファイル名が利用されているようです(リンク先は韓国語)。
Shamoon 攻撃との類似点
また、Destover には、Shamoon 攻撃との共通点もいくつか見られ、Destover と Shamoon の攻撃者によって使われているマルウェア(W32.Disttrack)は、一部のドライバを共用しています。これらは悪質なファイルではなく、市場で入手可能なドライバです。Destover と Disttrack はどちらも破壊的なマルウェアですが、両者の背後に同一のグループが存在することを示す証拠はありません。
シマンテックの保護対策
シマンテック製品およびノートン製品は、この脅威を Backdoor.Destover として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。