New Adobe Flash zero-day is being exploited in the wild
Patch due to be published this week for critical new Adobe Flash vulnerability CVE-2015-0313.Read More
Patch due to be published this week for critical new Adobe Flash vulnerability CVE-2015-0313.Read More
ジャストシステム社は、一太郎製品群(日本語オフィススイートソフトウェア)のゼロデイ脆弱性を修正するための更新を公開しました。この脆弱性は、日本の組織を標的とする攻撃で活発に悪用されています。
今回の攻撃では、悪質な一太郎文書ファイルが添付された電子メールが標的の組織に送信されます。シマンテック製品は、このファイルを Bloodhound.Exploit.557 として検出します。ペイロードには、Backdoor.Emdivi、Backdoor.Korplug、または Backdoor.ZXshell が含まれている可能性がありますが、これらはすべて、侵入先のコンピュータから機密情報を盗み取るためのものです。
電子メールの内容は標的となる組織の業務に応じて異なりますが、いずれも最近の日本における政治的な出来事に関するものです。悪質な添付ファイルを一太郎で開くと、ペイロードが投下されるとともに文書が表示されます。この手の攻撃では、多くの場合、文書ビューアをクラッシュさせてから再起動してクリーンな文書を開くことによって、正規の文書に見せかけようようとします。今回の攻撃では、一太郎をクラッシュさせることなく文書を開いてペイロードを投下するため、被害者は、バックグラウンドで実際に起こっていることに気が付きません。
CloudyOmega
以前にブログで取り上げたとおり、パッチ未適用の一太郎の脆弱性に対する攻撃は、今に始まったことではありません。しかし、調査の結果、今回のゼロデイ攻撃は、日本のさまざまな組織を標的とする継続的なサイバースパイ攻撃の一環であることがわかっています。シマンテックは、この攻撃を CloudyOmega と名付けました。ペイロードとしては Backdoor.Emdivi の亜種が常に利用されており、すべての攻撃において電子メールに添付されて標的のコンピュータに送り込まれます。多くの場合、添付ファイルは、偽のアイコンが表示された単純な実行可能ファイルですが、一部のファイルは各種ソフトウェアの脆弱性を悪用しています。今回の一太郎の脆弱性は、その 1 つにすぎません。攻撃グループの主な目的は、標的の組織から機密情報を盗み取ることです。ここでは、一連の攻撃活動の時系列、感染経路、マルウェアのペイロード、そして攻撃を実行しているグループについて考察します。
活動の時系列
最初の攻撃は少なくとも 2011 年まで遡ります。図 1 は、標的となった業種と攻撃件数を年別に示しています。攻撃は初期には非常に慎重に実行されていましたが、2014 年になってから本格化しました。これまでのところ、CloudyOmega 攻撃で最も多く狙われているのは公共部門です。このことが、攻撃グループの正体を探るための手掛かりになるでしょう。
図 1. 標的の業種と攻撃件数の内訳
攻撃経路
攻撃に利用されている主な感染経路は電子メールです。
図 2. 攻撃に使用された電子メールの例
図 2 は最近の攻撃で使用された電子メールの一例で、一太郎のゼロデイ脆弱性を悪用する攻撃の前段階となるものです。添付されている zip ファイルはパスワードで保護されており、中にはマルウェアが含まれています。皮肉なことに、セキュリティの基本対策(ベストプラクティス)に従って、パスワードは別の電子メールで送信すると記載されていますが、これは、正規の信頼できる送信元から届いたと信じこませようとしているにすぎません。本文には、添付ファイルに医療費の通知が含まれていることが簡潔に記載され、添付ファイルを Windows コンピュータで開くよう求めています。zip 内のファイルには Microsoft Word のアイコンが表示されていますが、Windows エクスプローラで確認できるように、実際には実行可能ファイルです。
図 3. 添付されている「文書」は実際には悪質な実行可能ファイル
ペイロード
ペイロードは Backdoor.Emdivi であり、侵入先のコンピュータでバックドアを開きます。このマルウェアは CloudyOmega による一連の攻撃でのみ利用されており、2011 年に日本の化学会社に対する攻撃で初めて確認されました。Emdivi を使うと、リモートの攻撃者は、HTTP を介してコマンドの実行結果をコマンド & コントロール(C&C)サーバーに送信することができます。
Emdivi の亜種にはそれぞれ一意のバージョン番号があり、タイプ S またはタイプ T のいずれかに属します。一意のバージョン番号があるのは、Emdivi が体系的に管理されている証拠です。さらに、バージョン番号に単語を追加したものをベースにハッシュ値が生成され、暗号化キーとして使用されています。
タイプ S とタイプ T では次の機能が共通しています。
CloudyOmega 攻撃で主に使用されているのは、タイプ T です。C++ プログラム言語で記述されており、2011 年に攻撃が開始されてから継続的に進化を重ねています。セキュリティ企業やネットワーク管理者から自身を保護するための技術を備え、接続先の C&C サーバーのアドレスや保護メカニズムなど、タイプ T の重要な部分は暗号化されています。また、次のような自動分析システムやデバッガの存在を検出します。
一方、タイプ S が一連の攻撃で使用されたのは 2 回だけです。タイプ S は同じソースコードに基づく .Net アプリケーションで、C&C インフラをタイプ T と共用しています。しかし、活動を継続するために不可欠な保護メカニズムや暗号化機能は備えていません。タイプ S について興味深いのは、インターネットからランダムに取得したとみられる日本語の文を使ってファイルのハッシュ値を変更する機能です。たとえば、図 4 のように、特殊相対性理論を説明する文が使用されています。
図 4. Emdivi のタイプ S の亜種で使用されている日本語の文
Emdivi の通信先
Emdivi は、感染すると、ハードコード化された C&C サーバーに HTTP プロトコルを介して接続します。
これまでに、58 種類の Emdivi の亜種から、重複を含まず合計 50 件のドメインが特定されています。C&C サーバーとして利用された Web サイトは、ほぼすべてが小規模企業が所有するサイトや個人ブログなど、侵害された日本の Web サイトです。50 件の Web サイトのうち、13 個の IP アドレスに分布する 40 件は、日本に拠点を置く単一のクラウドホスティングサービスでホストされています。
図 5. 侵害された複数の Web サイトが、単一の IP アドレスでホストされている
侵害されたサイトは、さまざまな Web サイトプラットフォーム上で Apache や Microsoft Internet Information Services(IIS)など各種の Web サーバーソフトウェアによってホストされています。このことから、単一のソフトウェア製品や Web サイトプラットフォームの脆弱性を突かれて侵害されたのではないことが分かります。攻撃者は何らかの手段でクラウドサービス自体を侵害して、複数の Web サイトを Backdoor.Emdivi の C&C サーバーとして改ざんしたのです。
侵害されたクラウドホスティング会社には通知済みですが、このブログの執筆時点ではまだ返答がありません。
シマンテックでは、感染したコンピュータと Emdivi の C&C サーバーとの間のネットワーク通信を検知して遮断するために、次の 2 つの IPS シグネチャを提供しています。
ゼロデイ脆弱性と他のサイバー犯罪グループとのつながり
調査を進めるなかで一連の攻撃に関連する複数のサンプルが特定されたことから、他の攻撃グループとのつながりが見えてきました。
2012 年 8 月、CloudyOmega の攻撃者は Adobe Flash Player と AIR に存在する copyRawDataTo() の整数オーバーフローの脆弱性(CVE-2012-5054)を悪用して、日本の有名な組織を標的とする攻撃を実行しています。攻撃者は、脆弱性を悪用するように細工された SWF ファイルを含む Microsoft Word ファイルを送信しました。脆弱性の悪用に成功すると Backdoor.Emdivi がインストールされます。CVE-2012-5054 は同月に公表されたものであり、この攻撃で利用された当時はゼロデイ脆弱性でした。
さらに興味深いことに、2012 年の Emdivi 攻撃で使用された Flash ファイルと 2013 年の LadyBoyle 攻撃で使用された Flash ファイルは、非常によく似ています。
図 6 は、Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)の悪用を試みる LadyBoyle() コードを実行する、不正な形式の SWF ファイルを示しています。この Flash ファイルは、CloudyOmega グループと同じフレームワークを使って作成されたと思われますが、別の悪用コードが組み込まれています。
図 6. 2013 年 2 月の LadyBoyle 攻撃で使用された不正な形式の SWF ファイル
両方の攻撃において、バックドアをインストールするための Adobe Flash のゼロデイ悪用コードを含む .doc ファイルが使用されています。2 つの攻撃を関連付ける証拠は他にはありませんが、Elderwood プラットフォームのブログで説明したとおり、単一の上位グループから複数のサブグループが派生して、それぞれが特定の業種を狙っている可能性が高いと考えられます。
一太郎の脆弱性を悪用する今回の攻撃では、収集された JTD ファイルのサンプル十数件はすべて、ペイロード以外はまったく同一のものでした。上位グループが複数のサブグループに、攻撃ツールキットの一部としてゼロデイ悪用コードを提供し、各グループがそれぞれマルウェアを選択して別々に攻撃を実行したものと思われます。今回のゼロデイ攻撃で Backdoor.Emdivi、Backdoor.Korplug、Backdoor.ZXshell という 3 つの異なるペイロードが確認されているのは、このためでしょう。
図 7. ゼロデイ悪用コードを共有する上位グループ
結論
CloudyOmega 攻撃を実行しているグループは、LadyBoyle の実行グループや HiddenLynx など、他の悪名高い攻撃グループと密接なつながりがあります。CloudyOmega 攻撃は 2011 年から確認されており、日本の組織を狙って執拗に活動を継続しています。今回、ゼロデイ脆弱性を悪用した攻撃が実行されたということは、攻撃グループは当面の間、活動を停止する気配がないということです。シマンテックセキュリティレスポンスは CloudyOmega グループに対して注意深く監視を続けていきます。
保護対策
一太郎製品をお使いのお客様は、できるだけ早くパッチを適用することを強くお勧めします。
シマンテック製品をお使いのお客様は、次の検出定義によって、CloudyOmega に関連する攻撃から保護されています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
JustSystems has issued an update to its Ichitaro product line (Japanese office suite software), plugging a zero-day vulnerability. This vulnerability is being actively exploited in the wild to specifically target Japanese organizations.
The exploit is sent to the targeted organizations through emails with a malicious Ichitaro document file attached, which Symantec products detect as Bloodhound.Exploit.557. Payloads from the exploit may include Backdoor.Emdivi, Backdoor.Korplug, and Backdoor.ZXshell; however, all payloads aim to steal confidential information from the compromised computer.
The content of the emails vary depending on the business interest of the targeted recipient’s organization; however, all are about recent political events associated with Japan. Opening the malicious attachment with Ichitaro will drop the payload and display the document. Often such exploitation attempts crash and then relaunch the document viewer to open a clean document in order to trick users into believing it is legitimate. In this particular attack, opening the document and dropping the payload are done without crashing Ichitaro and, as such, users have no visual indications as to what is really happening in the background.
CloudyOmega
As Security Response previously discussed, unpatched vulnerabilities being exploited is nothing new for Ichitaro. However, during our investigation of this Ichitaro zero-day attack, we discovered that the attack was in fact part of an ongoing cyberespionage campaign specifically targeting various Japanese organizations. Symantec has named this attack campaign CloudyOmega. In this campaign, variants of Backdoor.Emdivi are persistently used as a payload. All attacks arrive on the target computers as an attachment to email messages. Mostly the attachments are in a simple executable format with a fake icon. However, some of the files exploit software vulnerabilities, and the aforementioned vulnerability in Ichitaro software is only one of them. This group’s primary goal is to steal confidential information from targeted organizations. This blog provides insights into the history of the attack campaign, infection methods, malware payload, and the group carrying out the attacks.
Timeline
The first attack of the campaign can be traced back to at least 2011. Figure 1 shows the targeted sectors and the number of attacks carried out each year. The perpetrators were very cautious launching attacks in the early years with attacks beginning in earnest in 2014. By far, the public sector in Japan is the most targeted sector hit by Operation CloudyOmega. This provides some clue as to who the attack group is.
Figure 1. Targeted sectors and number of attacks
Attack vector
Email is the predominant infection vector used in this campaign.
Figure 2. Sample email used in attack campaign
Figure 2 is an example of an email used in recent attacks prior to those exploiting the Ichitaro zero-day vulnerability. The emails include password-protected .zip files containing the malware. Ironically, the attackers follow security best practices by indicating in the first email that the password will be sent to the recipient in a separate email. This is merely to trick the recipient into believing the email is from a legitimate and trustworthy source. The body of the email is very short and claims the attachment includes a medical receipt. The email also requests that the recipient open the attachment on a Windows computer. The file in the attachment has a Microsoft Word icon but, as indicated within Windows Explorer, it is an executable file.
Figure 3. Attached “document” is actually a malicious executable file
Payload
The malicious payload is Backdoor.Emdivi, a threat that opens a back door on the compromised computer. The malware is exclusively used in the CloudyOmega attack campaign and first appeared in 2011 when it was used in an attack against a Japanese chemical company. Emdivi allows the remote attacker executing the commands to send the results back to the command-and-control (C&C) server through HTTP.
Each Emdivi variant has a unique version number and belongs to one of two types: Type S and Type T. The unique version number is not only a clear sign that Emdivi is systematically managed, but it also acts as an encryption key. The malware adds extra words to the version number and then, based on this, generates a hash, which it uses as an encryption key.
Both Emdivi Type S and Type T share the following functionality:
Type T is primarily used in Operation CloudyOmega, has been in constant development since the campaign was first launched in 2011, and is written in the C++ programing language. Type T employs techniques to protect itself from security vendors or network administrators. Important parts of Type T, such as the C&C server address it contacts and its protection mechanisms, are encrypted. Type T also detects the presence of automatic analysis systems or debuggers, such as the following:
Type S, on the other hand, was used only twice in the attack campaign. Type S is a .NET application based on the same source code and shared C&C infrastructure as Type T. However, protection mechanisms and encryption, essential features for threat survival, are not present in Type S. One interesting trait of Type S is that it uses Japanese sentences that seem to be randomly taken from the internet to change the file hash. For instance, in the example shown in Figure 4, it uses a sentence talking about the special theory of relativity.
Figure 4. Japanese text used by Emdivi Type S variant
Who is Emdivi talking to?
Once infected, Emdivi connects to hardcoded C&C servers using the HTTP protocol.
So far, a total of 50 unique domains have been identified from 58 Emdivi variants. Almost all websites used as C&C servers are compromised Japanese websites ranging from sites belonging to small businesses to personal blogs. We discovered that 40 out of the 50 compromised websites, spread across 13 IP addresses, are hosted on a single cloud-hosting service based in Japan.
Figure 5. Single IP hosts multiple compromised websites
The compromised sites are hosted on various pieces of web server software, such as Apache and Microsoft Internet Information Services (IIS), and are on different website platforms. This indicates that the sites were not compromised through a vulnerability in a single software product or website platform. Instead, the attacker somehow penetrated the cloud service itself and turned the websites into C&C servers for Backdoor.Emdivi.
The compromised cloud hosting company has been notified but, at the time of writing, has not replied.
Symantec offers two IPS signatures that detect and block network communication between infected computers and the Emdivi C&C server:
Zero-day and links to other cybercriminal groups
During our research, multiple samples related to this attack campaign were identified and allowed us to connect the dots, as it were, when it came to CloudyOmega’s connections to other attack groups.
In August 2012, the CloudyOmega attackers exploited the zero-day Adobe Flash Player and AIR ‘copyRawDataTo()’ Integer Overflow Vulnerability (CVE-2012-5054) in an attack against a high-profile organization in Japan. The attackers sent a Microsoft Word file containing a maliciously crafted SWF file that exploited the vulnerability. Once successfully exploited, the file installed Backdoor.Emdivi. As CVE-2012-5054 was publicly disclosed in the same month, the attack utilized what was, at the time, a zero-day exploit.
Interestingly, the Flash file that was used in an Emdivi attack in 2012 and the one used in the LadyBoyle attack in 2013 look very similar.
Figure 6 shows the malformed SWF file executing LadyBoyle() code that attempts to exploit the Adobe Flash Player CVE-2013-0634 Remote Memory Corruption Vulnerability (CVE-2013-0634). The Flash file seems to have been created using the same framework used by the CloudyOmega group, but with a different exploit.
Figure 6. Malformed SWF file used in the LadyBoyle campaign in February 2013
Both attacks use a .doc file containing an Adobe Flash zero-day exploit that is used to install a back door. No other evidence connects these two different campaigns; however, as described previously in Symantec Security Response’s Elderwood blog, it is strongly believed that a single parent organization has broken into a number of subgroups that each target a particular industry.
In terms of the latest attack on Ichitaro, we collected a dozen samples of JTD files, all of which are exactly the same except for their payload. The parent organization, it would seem, supplied the zero-day exploit to the different subgroups as part of an attack toolkit and each group launched a separate attack using their chosen malware. This is why three different payloads (Backdoor.Emdivi, Backdoor.Korplug, and Backdoor.ZXshell) were observed in the latest zero-day attack.
Figure 7. Parent group sharing zero-day exploit
Conclusion
Operation CloudyOmega was launched by an attack group that has communication channels with other notorious attack groups including Hidden Lynx and the group responsible for LadyBoyle. CloudyOmega has been in operation since 2011 and is persistent in targeting Japanese organizations. With the latest attack employing a zero-day vulnerability, there is no indication that the group will stop their activities anytime soon. Symantec Security Response will be keeping a close eye on the CloudyOmega group.
Protection summary
It is highly recommended that customers using Ichitaro products apply any patches as soon as possible.
Symantec offers the following protection against attacks associated with Operation CloudyOmega:
AV
IPS
シマンテックは 2012 年、さまざまな業種に対するスピア型フィッシングや水飲み場型攻撃に利用された Elderwood プラットフォームについて調査しました。Elderwood プラットフォームは基本的に一連の悪用コードから構成されており、それらが「ユーザーフレンドリーな」形で作成されパッケージ化されているため、技術力の高くない攻撃者でも、標的に対して簡単にゼロデイ悪用コードを使うことができます。
軍需産業、軍事関係のサプライチェーン、製造業、IT、人権問題など幅広い分野に対して、Elderwood プラットフォームを使った攻撃が確認されています。特に注目すべきなのは、「Operation Aurora」として知られる攻撃活動で一連の悪用コードが使われたことです。
Elderwood プラットフォームが初めて確認されたのは 2012 年のことですが、それ以来、最新のゼロデイ悪用コードをいくつも取り入れながら更新が続けられています。2014 年に入ってから最初の 1 カ月だけでも、Elderwood プラットフォームは 3 件のゼロデイ脆弱性の悪用に利用されており、このプラットフォームが依然として手ごわい脅威であることが証明されました。
当初の調査では、Elderwood プラットフォームは単一の攻撃グループによって使われていると思われていましたが、最新の調査結果を踏まえると、複数のグループによって利用されていると考えられます。1 つの供給元がプラットフォームの販売に関与しているか、あるいは大きな 1 つの組織が、その内部の攻撃チームのために一連の悪用コードを開発しているかのいずれかであるという証拠もあります。どちらにしても、今なお活動している最大規模の攻撃グループが、これほど早くゼロデイ悪用コードを利用できる理由を解明する手掛かりになりそうです。
Elderwood を作成したのは誰か
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成については、いくつかの仮説が立てられていますが、シマンテックの調査ではさらに 2 つのシナリオも想定しています。
図 1. 複数のサブグループを束ねる上位グループを通じてゼロデイ悪用コードが配布される
図 2. 共通する 1 つの供給元から複数のグループにゼロデイ悪用コードが配布される
シマンテックがつかんだ証拠(後述)から、何者かが 1 つの仲介組織に、または複数のグループに直接、Internet Explorer や Adobe Flash のさまざまなゼロデイ悪用コードを供給している可能性が高いと考えられます。これだけでも、攻撃者が確保しているリソースのレベルの大きさがうかがえます。
悪用コードがサードパーティの供給元を通じて販売されている場合、購入するグループはそれを支払えるだけの潤沢な財源を持っていることになります。悪用コードが組織の内部で開発されている場合、グループは技術力の高い個人を何人も雇っていることになります。こうした技術者は、相当額の報酬を受け取っているか、あるいは何か別の理由があって自分自身では公開市場で悪用コードを販売できないかのいずれかです。
Elderwood による顕著な悪用例
2012 年には、Internet Explorer と Adobe Flash に対する複数の悪用コードが Elderwood プラットフォームによって利用されました。以下の脆弱性を含め、数多くの脆弱性が悪用されています。
最近も、以下の脆弱性に対する新しいゼロデイ悪用コードが利用されていることを確認していますが、その多くは以前に利用された悪用コードと類似しています。
Elderwood プラットフォームで利用されている悪用コードはこれらに限りませんが、後述するように、これこそ Elderwood 攻撃活動間のつながりを示す証拠なのです。それでは、過去数年間にわたって Elderwood プラットフォームを使ってきた代表的な攻撃グループについて見てみましょう。
Elderwood プラットフォームを使ってきたのは誰か
最近確認された、Elderwood プラットフォームを使う目立った攻撃活動を時系列に並べてみます。
図 3. 最近ゼロデイ脆弱性の悪用が確認された活動の時系列
以下の攻撃グループの多くは、Elderwood プラットフォームだけを使っているわけではありませんが、この数年間の主な活動では一貫して Elderwood を使っていることが確認されています。Elderwood プラットフォームで利用されていることが判明している脆弱性を悪用しているだけでなく、「Microsoft Internet Explorer の ‘CDwnBindInfo’ に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2012-4792)や 「Microsoft Internet Explorer に存在するリモートコード実行の脆弱性」(CVE-2014-1776)など、その他の欠陥も悪用しています。
攻撃グループ | 標的 | 関連する攻撃活動 | 悪用されている脆弱性 | 使われているマルウェア |
Hidden Lynx | 軍需産業 | Operation Snowman | CVE-2014-0322(Internet Explorer) | Backdoor.ZXshell |
Vidgrab |
日本のユーザー ウイグルの反体制派 |
CVE-2014-0322(Internet Explorer) CVE-2014-0502(Adobe Flash) |
||
Linfo/Icefog | 製造業 | Icefog |
CVE-2012-0779(Adobe Flash) CVE-2014-0324(Internet Explorer) |
|
Sakurel | 航空エンジンメーカー |
CVE-2014-0322(Internet Explorer) CVE-2012-4792(Internet Explorer) CVE-2014-0502(Adobe Flash) CVE-2014-1776(Internet Explorer) |
Trojan.Sakurel |
表 1. Elderwood プラットフォームを使っている攻撃グループ
Elderwood との関連性
攻撃グループがその活動を通じてこれらの脆弱性を悪用していたことに加え、悪用コードのインフラにも関連性があるようです。
最近確認された Internet Explorer の脆弱性、CVE-2014-0322 と CVE-2014-0324 に対する 2 つのゼロデイ悪用コードは多くの機能を共有しており、シェルコードもそのひとつです。どちらも、イメージから取得したマルウェアを復号し、%Temp% フォルダ内の .txt 拡張子のファイルに復号後のマルウェアを書き込むことができます。
そのほか、CVE-2014-0502 と CVE-2014-0322 に対する悪用コードは、同じサイトをホストとして利用していました。さらに、CVE-2014-0324 に対する悪用コードが Backdoor.Linfo の投下に使われていたことを示唆する痕跡もあります。同じマルウェアは、2012 年に CVE-2012-0779 に対する悪用コードによって投下されていました。
これらの攻撃グループが Elderwood プラットフォームを利用している状況の全体像を以下の図に示します。
図 4. 過去と現在におけるゼロデイ悪用コードの相関図
結論
ゼロデイ悪用コードの使用と、中心的な 1 つのグループまたは組織との関係を断定することはできません。ひとたび攻撃に利用されたゼロデイ悪用コードは、リバースエンジニアリングもコピーも、他の攻撃への転用も可能だからです。Elderwood プラットフォームは、悪用コードがコンパクトにパッケージ化され、ペイロードと分離されているため、リバースエンジニアリングが特に容易です。Elderwood の悪用コード実装は、攻撃者が使いやすいように、意図的にこのような手法で作成されたものかもしれません。
とは言え、最近確認された攻撃活動では、Internet Explorer や Flash のゼロデイ悪用コードを利用して同じマルウェアファミリーを拡散するという、攻撃グループの共通パターンが繰り返されています。それだけでなく、これらの悪用コードは実装方法にも多くの類似点が見られます。こうした証拠から、悪用コードが単にリバースエンジニアリングされているだけの場合と比べて、はるかに緊密なコミュニケーションが攻撃グループ間で交わされているものと考えられます。
Elderwood を作成しているのがサードパーティの供給元であるにせよ、自前のチームを抱えた大きな組織であるにせよ、Elderwood のゼロデイ悪用コードを利用している各グループは潤沢なリソースと十分な動機を持っています。標的となりうる企業や組織にとって深刻な脅威であることは間違いありません。
シマンテック製品をお使いのお客様は、ウイルス対策、侵入防止システム、振る舞い検知やレピュテーション(評価)技術によって、今回のブログで取り上げたさまざまなマルウェアファミリーから保護されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
지난 2012년, 시만텍은 Elderwood 플랫폼에 주목한 바 있습니다. 당시 이 플랫폼은 각종 산업 분야를 노리는 스피어피싱 및 워터링홀 공격에 사용되고 있었습니다. Elderwood 플랫폼은 “소비자 친화적”으로 설계되고 패키지화된 다양한 익스플로잇의 모음입니다. 따라서 기술적 배경이 없는 공격자도 편리하게 이 플랫폼을 이용하여 원하는 표적을 대상으로 제로데이 익스플로잇을 구사할 수 있습니다.
시만텍은 국방, 군수품 제조, IT, 인권 운동 등 다양한 분야가 Elderwood 플랫폼 기반 공격의 대상이 되고 있음을 확인했습니다. 특히 Operation Aurora와 같이 이목이 집중된 공격 작전에서 이러한 익스플로잇 모음이 사용된 바 있습니다.
Elderwood 플랫폼은 대략 2012년부터 문서화되기 시작했지만, 그 이후에도 꾸준히 업데이트되면서 최신 제로데이 익스플로잇이 추가되었습니다. Elderwood 플랫폼은 2014년이 시작된 지 채 한 달도 지나지 않아 3건의 제로데이 취약점에 대한 익스플로잇 공격에 사용되면서 건재함을 과시했습니다.
시만텍의 조사에 따르면, 원래 Elderwood 플랫폼은 단일 공격 그룹에서 사용되었습니다. 하지만 최근 조사 결과는 여러 그룹에서 이 플랫폼을 사용하고 있을 가능성을 시사합니다. 증거를 검토한 바로는, 단일 유포자가 플랫폼 판매를 담당하거나 한 주요 조직에서 자체 공격 팀들을 위해 해당 익스플로잇 모음을 개발한 것으로 보입니다. 이 두 시나리오 모두 현재 활동 중인 최대 규모의 공격 집단들이 일찍부터 제로데이 익스플로잇을 사용하게 된 경위를 밝히는 데 중요한 단서가 될 수 있습니다.
누가 Elderwood를 개발했을까?
Elderwood 플랫폼의 제로데이 익스플로잇을 활용하는 공격자의 실체에 대해서는 몇 가지 이론이 있습니다. 시만텍이 분석한 결과, 그중 개연성이 높은 두 가지 시나리오는 아래와 같습니다.
그림 1. 여러 팀으로 구성된 단일 조직 전반에 배포되는 제로데이 익스플로잇
그림 2. 단일 공급자가 여러 그룹에 배포하는 제로데이 익스플로잇
이 블로그에서 자세히 살펴보겠지만, 시만텍이 수집한 증거로 미루어볼 때 누군가 중개 조직을 통해 혹은 여러 집단에 직접적으로 다양한 Internet Explorer 및 Adobe Flash 제로데이 익스플로잇을 공급하는 것으로 보입니다. 이것만으로도 이러한 공격자들의 가용 자원 수준을 가늠해볼 수 있습니다.
또한 외부 배포자로부터 익스플로잇을 구매할 수 있다면 해당 구매 조직은 그러한 비용을 지불할 만한 상당한 자금력을 보유하고 있을 것입니다. 만약 자체적으로 익스플로잇을 개발했다면 해당 조직에 뛰어난 기술력을 갖춘 인력이 있음을 의미합니다. 이들은 이미 넉넉한 보수를 받고 있거나 아니면 다른 동기 요인이 있어 직접 공개 시장에 나서서 익스플로잇을 판매하지 않는 것으로 보입니다.
Elderwood의 대표적인 익스플로잇
2012년에는 Elderwood 플랫폼에 여러 Internet Explorer 및 Adobe Flash 익스플로잇이 포함되었는데, 이들은 아래와 같은 버그를 비롯하여 각종 취약점을 이용했습니다.
최근 시만텍은 이 플랫폼에서 아래와 같은 취약점을 노리는 새로운 제로데이 익스플로잇이 등장했음을 확인했습니다. 그중 상당수는 기존의 익스플로잇과 유사합니다.
이러한 잇스플로잇은 Elderwood 플랫폼에서 사용될 뿐 아니라 여러 Elderwood 캠페인 간의 연관성을 보여주는 단서이기도 합니다. 이에 대해서는 좀더 자세히 설명하겠습니다. 이제 지난 몇 년 동안 등장했던 Elderwood 플랫폼을 사용한 몇몇 주요 공격 집단에 대해 알아보겠습니다.
누가 Elderwood 플랫폼을 사용해 왔는가?
아래 도표는 최근 Elderwood 플랫폼이 사용되었던 유명 사례를 시간순으로 정리한 것입니다.
그림 3. 최근 대표적인 제로데이 익스플로잇 공격의 타임라인
다음 공격 집단 중 상당수는 Elderwood 플랫폼에만 의존하지는 않지만 오랫동안 대부분의 주요 작전에서 광범위하게 이 플랫폼을 활용해 온 것으로 드러났습니다. 공격자들은 Elderwood 플랫폼에서 공략하는 것으로 알려진 취약점과 함께 Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free 원격 코드 실행 취약점(CVE-2012-4792), Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)과 같은 허점도 이용했습니다.
공격 집단 | 대상 | 관련 작전명 |
익스플로잇의 표적이 된 취약점 |
사용된 악성 코드 |
Hidden Lynx | 방위 산업체 |
Operation Snowman | CVE-2014-0322 (Internet Explorer) | Backdoor.ZXshell |
Vidgrab |
일본의 위구르 |
CVE-2014-0322 (Internet Explorer) CVE-2014-0502 (Adobe Flash) |
||
Linfo/Icefog | 제조업체 | Icefog |
CVE-2012-0779 (Adobe Flash) CVE-2014-0324 (Internet Explorer) |
|
Sakurel | 항공 엔진 제조업체 |
CVE-2014-0322 (Internet Explorer) CVE-2012-4792 (Internet Explorer) CVE-2014-0502 (Adobe Flash) CVE-2014-1776 (Internet Explorer) |
Trojan.Sakurel |
표 1. Elderwood 플랫폼을 사용하는 공격 집단
Elderwood의 연결성
위와 같은 공격 집단의 작전에 Elderwood가 사용될 뿐 아니라 해당 익스플로잇 인프라스트럭처도 서로 연결되어 있는 것으로 보입니다.
최근 Internet Explorer의 CVE-2014-0322 및 CVE-2014-0324 취약점을 노렸던 두 익스플로잇 공격은 동일한 셸 코드를 비롯하여 많은 공통점을 가지고 있습니다. 또한 둘 다 이미지에서 가져온 악성 코드를 해독한 다음 해독한 악성 코드를 %Temp% 폴더 경로에 “.txt” 확장자 파일 형태로 기록할 수 있습니다.
뿐만 아니라 CVE-2014-0502 및 CVE-2014-0322 취약점에 대한 익스플로잇 모두 동일한 사이트에서 호스팅되었습니다. 그리고 CVE-2014-0324 익스플로잇이 Backdoor.Linfo 유포에 사용된 징후가 있습니다. 이 악성 코드는 2012년에도 CVE-2012-0779 익스플로잇을 통해 유포된 적이 있습니다.
아래 이미지는 이러한 공격 집단의 Elderwood 플랫폼 사용 연관성을 종합적으로 정리한 것입니다.
그림 4. 최근 및 과거 제로데이 익스플로잇에서 나타난 몇 가지 연관성
결론
제로데이 익스플로잇 사용이 특정 핵심 집단 또는 조직과 연결된다고 단정짓기는 어렵습니다. 제로데이 익스플로잇이 공격에 사용되었다면 이를 리버스 엔지니어링하고 복사하여 다른 공격에 재활용하는 것이 가능합니다. 특히 Elderwood 플랫폼은 익스플로잇이 깔끔하게 패키지화되고 페이로드와 분리되어 있기 때문에 손쉽게 리버스 엔지니어링할 수 있습니다. Elderwood 익스플로잇은 고객의 사용 편의성을 높이기 위해 의도적으로 그와 같이 구현되었을 가능성이 있습니다.
하지만 관찰된 공격 작전에서 확인된 것처럼, 공격 집단들이 Internet Explorer 및 Flash 제로데이 익스플로잇을 구사하면서 동일한 악성 코드군을 배포하는 패턴이 반복적으로 나타납니다. 그뿐 아니라 이러한 익스플로잇은 구현 측면에서도 유사한 점이 많습니다. 증거에 따르면, 공격 집단들 간에 단순한 익스플로잇 리버스 엔지니어링에 국한되지 않은 보다 적극적인 수준의 교감이 이루어지는 것으로 보입니다.
Elderwood 개발자가 제3의 공급자이든지 자체 팀을 운영하는 대형 조직이든지 상관없이 ‘Elderwood’의 제로데이 익스플로잇을 이용하는 여러 집단은 확실한 자원과 동기를 보유하고 있습니다. 이들은 잠재적 표적에게 심각한 위협이 됩니다.
시만텍은 안티바이러스, IPS, 행동 및 평판 기술을 활용하여 이 블로그에 언급된 다양한 악성 코드군으로부터 고객을 보호하고 있습니다.
Back in 2012, Symantec researched the Elderwood platform, which was used in spear-phishing and watering-hole attacks against a wide variety of industries. The Elderwood platform essentially consists of a set of exploits that have been engineered and packaged in a “consumer-friendly” way. This allows non-technical attackers to easily use zero-day exploits against their targets.
We observed attackers using the Elderwood platform against a large number of sectors, including defense, defense supply chain manufacturing, IT, and human rights. Most notably, attackers used this set of exploits in a high-profile campaign known as Operation Aurora.
The Elderwood platform may have first been documented in 2012, but it has continuously been updated with some of the latest zero-day exploits. Within just one month at the start of 2014, the Elderwood platform was used to exploit three zero-day vulnerabilities, proving that this exploit set is still a formidable threat.
Initially, our research suggested that the Elderwood platform was being used by a single attack group. Our latest research leads us to believe that several groups could be using this platform. The evidence suggests that either one distributor is responsible for selling the platform or one major organization developed the exploit set for its in-house attack teams. Either scenario could shed light on how some of the biggest attack groups in action today get such early access to zero-day exploits.
Who could have created Elderwood?
There are several theories which may describe the makeup of the attackers utilizing the Elderwood platform’s zero-day exploits. Our research suggests that there are two more probable scenarios.
Figure 1. Zero-day exploits distributed throughout an organization consisting of multiple teams
Figure 2. Zero-day exploits distributed to different groups but by a common supplier
Based on our evidence, which we will discuss in this blog, it seems likely that someone is supplying various Internet Explorer and Adobe Flash zero-day exploits to an intermediate organization or directly to the various groups. This alone is a sign of the level of resources available to these attackers.
If the exploits are being purchased from a third party distributor, the purchasing organization must have substantial financial resources to pay for the exploits. If the exploits are developed in-house, this would indicate that the organization has hired several highly technical individuals to do so. These employees are either being well compensated for their work or have some other motivating factor that prevents them from selling exploits on the open market themselves.
Elderwood’s notable exploits
In 2012, several Internet Explorer and Adobe Flash exploits were part of the Elderwood platform, which took advantage of a number of vulnerabilities, including the following bugs.
Recently, we have seen the platform use new zero-day exploits against the following vulnerabilities, many of which are similar to the previously used exploits.
These exploits are not the only ones used in the platform, but as we will discuss, they show a connection between Elderwood campaigns. Let’s take a look at some of the major attack groups who have used the Elderwood platform over the past few years.
Who has been using the Elderwood platform?
The following is a timeline of the most recent high-profile use of the Elderwood platform.
Figure 3. Timeline of known activities of recent zero-day exploits
While many of the following attack groups do not use the Elderwood platform exclusively, they have been observed using it throughout many of their major campaigns over a number of years. Along with taking advantage of vulnerabilities that are known to be covered in the Elderwood platform, the attackers also exploited other flaws, such as the Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792) and the Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).
Attack group | Targets | Associated operation names | Exploited vulnerabilities | Malware used |
Hidden Lynx | Defense industry | Operation Snowman | CVE-2014-0322 (Internet Explorer) | Backdoor.ZXshell |
Vidgrab |
Japanese users Uyghur dissidents |
CVE-2014-0322 (Internet Explorer) CVE-2014-0502 (Adobe Flash) |
||
Linfo/Icefog | Manufacturing firms | Icefog |
CVE-2012-0779 (Adobe Flash) CVE-2014-0324 (Internet Explorer) |
|
Sakurel | Aerospace engine manufacturers |
CVE-2014-0322 (Internet Explorer) CVE-2012-4792 (Internet Explorer) CVE-2014-0502 (Adobe Flash) CVE-2014-1776 (Internet Explorer) |
Trojan.Sakurel |
Table 1. The attack groups using the Elderwood platform
The Elderwood connection
Along with the attack groups’ use of these exploits through their campaigns, the exploits’ infrastructure also appear to be linked.
The two recent Internet Explorer zero-day exploits for CVE-2014-0322 and CVE-2014-0324 share a number of features, including common shellcode. They both can also decrypt malware retrieved from images and write the decrypted malware to a file with a “.txt” extension in the %Temp% folder.
Along with this, exploits for both CVE-2014-0502 and CVE-2014-0322 were hosted on the same site. Finally, there are indications that suggest that a CVE-2014-0324 exploit was used to drop Backdoor.Linfo. The same malware was dropped in 2012 with the CVE-2012-0779 exploit.
The following image gives an overall look at how these attack groups’ use of the Elderwood platform are connected.
Figure 4. Some of the connections between recent and previous zero-day exploits
Conclusion
It’s difficult to definitively link the use of zero-day exploits back to one central group or organization. Once a zero-day exploit has been deployed in an attack, it can be reverse-engineered, copied and re-purposed for other attackers to use. The Elderwood platform is particularly easy to reverse-engineer, as its exploits are neatly packaged and separated from the payload. Elderwood’s exploit implementations may have been purposely created in this manner to make it easier for its customers to use.
However, in these observed attack campaigns, there is a repeating pattern of attack groups using Internet Explorer and Flash zero-day exploits to deliver the same malware families. Not only that, but these exploits share many similarities in their implementation. This evidence indicates that there is a greater level of communication between attack groups than if the exploits were simply being reverse-engineered.
Whether Elderwood’s creator is a third-party supplier or a major organization equipping its own teams, the various groups using ‘Elderwood’ zero-day exploits are well resourced and motivated. They present a serious threat to potential targets.
Symantec protects customers from the various malware families listed in this blog through our antivirus, IPS, behavioral and reputation technologies.
A Symantec está ciente dos relatórios de vulnerabilidade de Dia Zero, Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), que afeta todas as versões do Internet Explorer.
A Microsoft publicou um aviso de segurança sobre a vulnerabilidade no Internet Explorer, que está sendo utilizada em limitados ataques dirigidos. Atualmente não existe nenhum patch disponível para esta vulnerabilidade e a Microsoft, até o momento em que este texto foi escrito, não ofereceu uma data de divulgação desta correção.
Nossos testes confirmaram que a vulnerabilidade afeta o Internet Explorer do Windows XP. Esta é a primeira vulnerabilidade de Dia-Zero que não será corrigida para os usuários do Windows XP, pois a Microsoft encerrou o suporte deste sistema operacional em 8 de abril de 2014. No entanto, a Microsoft afirmou que o seu avançado kit de ferramentas de Mitigação (EMET) 4.1 e acima poderá mitigar essa vulnerabilidade do Internet Explorer que é suportado pelo Windows XP. Além de usar o EMET, a Symantec incentiva os usuários a mudarem temporariamente para um navegador da Web diferente até que uma correção seja disponibilizada pelo fornecedor.
Symantec protege os clientes contra este ataque, com as seguintes detecções:
Nós vamos atualizar este blog com mais informações assim que estiverem disponíveis.
Atualização – 28 de Abril
Com a finalidade de reduzir a Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776) , a Symantec ofrece as seguintes recomendações
A Microsoft declarou que versões do avançado kit de ferramentas de Mitigação (EMET) 4.1 e superiores podem atenuar essa vulnerabilidade no Internet Explorer. O kit de ferramentas está disponível para usuários do Windows XP também. Se a utilização do EMET não for uma opção, os usuários podem considerar como forma de reduzir o problema anulando o registro de um arquivo DLL chamado VGX.DLL. Este arquivo provê suporte para VML (Vector Markup Language) no navegador. Essa ação não é necessária para a maioria dos usuários. No entanto, ao anular o registro da Library qualquer aplicação que utilize DLL não funcionará de maneira apropriada. Igualmente, algumas aplicações potencialmente instaladas no sistema podem se registrar no DLL. Com isso em mente, a seguinte linha de instruções pode ser executada para tornar imune o sistema de ataques que tentem explorar esta vulnerabilidade. Esta linha de recomendações pode ser usada para todos os sistemas operativos afetados.
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
Nós também desenvolvemos um arquivo de lote que pode ser utilizado para executar a tarefa para aqueles que necessitem administrar grandes infra-estruturas de TI.
Nota: Os usuários terão de renomear o arquivo usando uma extensão .bat
O arquivo de lote tem a capacidade de verificar o estado atual do arquivo DLL e cancelar o registro da DLL, conforme necessário. O roteiro descrito no arquivo de lote é muito simples e pode ser usado como uma base para customizar o código para atender às necessidades de certos ambientes de sistema.
Apesar de nenhuma ferramenta especial ser necessária para atenuar essa vulnerabilidade, por favor note que as recomendações, como as fornecidas aqui, podem não ser as mesmas possíveis para vulnerabilidades futuras. Recomendamos que os sistemas operacionais não suportados, como o Windows XP, sejam substituídos por versões atualizadas, logo que possível.
Symantec está al tanto de los reportes de la vulnerabilidad de Día Cero, Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer, que afecta todas las versiones de Internet Explorer.
Microsoft dio a conocer un aviso de seguridad referente a una vulnerabilidad en Internet Explorer que está siendo empleada en limitados ataques dirigidos. Actualmente no existe un parche disponible para esta vulnerabilidad y Microsoft, hasta el momento que este texto fue escrito, no ha proporcionado una fecha de lanzamiento para uno.
Nuestras pruebas confirman que la vulnerabilidad afectó Internet Explorer en Windows XP. Ésta es la primera vulnerabilidad de Día Cero que no será arreglada para los usuarios de Windows XP, pues Microsoft concluyó el soporte para este sistema operativo el pasado 8 de abril de 2014. Sin embargo, Microsoft informó que su Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá mitigar esta vulnerabilidad de Internet Explorer y es compatible con Windows XP.
Symantec Security Response recomienda a los usuarios, adicionalmente al uso de EMET, cambiar temporalmente por un navegador diferente hasta que el parche se encuentre disponible por parte del proveedor. Symantec protege a sus clientes contra este ataque con las siguientes detecciones:
Mantendremos actualizado este blog con información adicional tan pronto esté disponible.
Actualización – 28 de abril de 2014
Con la finalidad de reducir la Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), Symantec brinda las siguientes recomendaciones.
Microsoft declaró que las versiones del Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá disminuir esta vulnerabilidad de Internet Explorer. El kit de herramientas también está disponible para los usuarios de Windows XP. Si el uso de EMET no es una alternativa, los usuarios pueden considerar reducir el problema anulando el registro a un archivo DLL llamado VGX.DLL. Este archivo provee soporte para VML (Vector Markup Language) en el navegador. Esto no es necesario para la mayoría de los usuarios. No obstante al anular el registro del library cualquier aplicación que utilice DLL no funcionará apropiadamente. Igualmente, algunas aplicaciones instaladas en el sistema potencialmente pueden regresar el registro al DLL. Con esto en mente, la siguiente línea de instrucciones puede ser ejecutada para volver inmune al sistema de ataques que intenten explotar la vulnerabilidad. Esta línea de instrucciones puede ser usada para todos los sistemas operativos afectados:
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
También hemos desarrollado un archivo de lote que puede ser usado para llevar a cabo la tarea de aquellos que requieran administrar infraestructuras de TI más grandes.
Nota: Los usuarios necesitarán renombrar el archivo usando una extensión .bat
El archivo de lotes tiene la habilidad de verificar el estado actual del archivo DLL y de remover el registro de DLL como se requiere. La secuencia de comandos descrita en el lote de archivos es muy simple y se puede utilizar como base para personalizar el código y adaptarse a las necesidades de ciertos entornos de sistema.
Aunque no son necesarias herramientas especiales en particular para mitigar esta vulnerabilidad, por favor tome en cuenta que las recomendaciones, como las proporcionadas aquí, pueden que no sean útiles para futuras vulnerabilidades. Recomendamos que los sistemas operativos sin soporte, como Windows XP, sean reemplazados por versiones con soporte tan pronto sea posible.
시만텍은 모든 버전의 Internet Explorer에 영향을 미치는 제로데이 취약점인 Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)이 보고되고 있음을 확인했습니다.
Microsoft는 일부 표적 공격에 이용되고 있는 Internet Explorer의 취약점에 대한 보안 권고를 발표했습니다. 현재 이 취약점에 대한 패치는 없으며, 이 글의 작성 시점에는 Microsoft에서 패치 발표일을 밝히지 않은 상태입니다.
시만텍의 테스트에 따르면, 이 취약점은 Windows XP의 Internet Explorer에서 문제를 일으킵니다. Microsoft에서 2014년 4월 8일 자로 이 운영 체제에 대한 지원을 종료한 가운데 이번 취약점은 Windows XP 사용자에게 패치가 제공되지 않은 최초의 제로데이 취약점입니다. Microsoft는 자사의 EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상으로 이 Internet Explorer 취약점을 완화할 수 있으며 해당 툴킷이 Windows XP에서 지원된다고 밝힌 바 있습니다. 시만텍 보안 연구소는 사용자에게 EMET를 사용하면서 벤더가 패치를 제공할 때까지 임시로 다른 웹 브라우저를 사용할 것을 권장합니다.
시만텍은 아래와 같은 탐지 활동을 통해 이 공격으로부터 고객을 보호합니다.
추가 정보가 입수되는 대로 이 블로그를 통해 게시하겠습니다.
업데이트 – 2014년 4월 28일:
Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)을 완화하기 위한 시만텍 권장 사항은 아래와 같습니다.
Microsoft에 따르면, EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상 버전을 사용하여 이 Internet Explorer의 취약점을 완화할 수 있습니다. 이 툴킷은 Windows XP 사용자도 이용 가능합니다. EMET를 사용하기 어려운 경우 VGX.DLL이라는 DLL 파일을 등록 취소하는 방법으로 이 문제를 완화할 수 있습니다. 이 파일은 해당 브라우저에서 VML(Vector Markup Language)을 지원합니다. 대부분의 사용자는 이 방법을 사용할 필요가 없습니다. 하지만 라이브러리의 등록을 취소할 경우 이 DLL을 사용하는 애플리케이션이 더 이상 정상적으로 작동하지 않을 수 있습니다. 또한 시스템에 설치된 일부 애플리케이션에서 이 DLL을 다시 등록할 가능성도 있습니다. 이러한 사항을 고려하여 이 취약점을 노리는 공격으로부터 시스템을 보호하기 위해 아래의 한 줄짜리 명령어를 실행할 수 있습니다. 이 명령어는 해당 취약점의 영향을 받는 모든 운영 체제에서 사용할 수 있습니다.
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
시만텍은 대규모 IT 인프라스트럭처를 관리해야 하는 고객을 위해 배치 파일을 개발했습니다.
참고: 사용자는 .bat 확장자를 사용하여 파일 이름을 변경해야 합니다.
이 배치 파일은 DLL 파일의 현재 상태를 확인하고 필요한 경우 DLL을 등록 취소하는 기능을 수행합니다. 배치 파일의 스크립트는 매우 간단하며 이를 바탕으로 특정 시스템 환경의 요구 사항에 맞게 코드를 커스터마이즈할 수 있습니다.
이 취약점을 완화하는 데 특별한 툴이 필요한 것은 아니지만, 향후 발견될 취약점에 대해서는 여기서 소개한 것과 같은 권장 사항의 적용이 불가능할 수 있습니다. 따라서 Windows XP와 같이 지원되지 않는 운영 체제는 가급적 빨리 지원되는 버전으로 대체하는 것이 좋습니다.
Update – May 02, 2014:
Microsoft has released an out-of-band security update to address this vulnerability. For more information, see the following Microsoft security advisory:
Out-of-Band Release to Address Microsoft Security Advisory 2963983
Microsoft 社は 3 月 25 日、Microsoft Word に影響するパッチ未公開の脆弱性が新たに見つかったというセキュリティアドバイザリを公開しました。攻撃者は、Microsoft Word に存在するメモリ破損の脆弱性(CVE-2014-1761)を悪用して、標的となるコンピュータにリモートでアクセスできるようになります。アドバイザリでは、この脆弱性は限定的な標的型攻撃で悪用されていたと報告されています。
不明な RTF 文書を開かないように注意するだけでなく、このようなファイルを Outlook でプレビューすることも避けてください。攻撃者にこの脆弱性を悪用される恐れがあります。Outlook の一部のバージョンでは、電子メールに添付されている RTF 文書のデフォルトビューアが Microsoft Word に設定されていることに注意してください。
まだパッチは公開されていませんが、悪用のリスクを最小限に抑えるためにいくつかの回避策があります。Microsoft 社は、Microsoft Word で RTF コンテンツを開けないようにする Fix it 修正ソリューションを提供しています。また、Outlook で電子メール表示をプレーンテキストに限定するように設定して、この問題の影響を軽減することもできます。
Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)を使えばこの悪用を適切に遮断できるとしていますが、これは他の回避策を適用できない場合の代替策と考えてください。
Microsoft 社からパッチが公開されたら、できるだけ速やかに適用することをお勧めします。
シマンテックセキュリティレスポンスは、CVE-2014-1761 の悪用からお客様を保護するために、以下の検出定義を提供しています。
ウイルス対策
侵入防止システム
シマンテックは現在、追加の確認に取り組んでおり、詳しいことがわかり次第このブログでお伝えする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。