 |
1. 国内防衛産業を狙った標的型攻撃とは 2011年9月、三菱重工業など日本の防衛産業メーカーに対し、標的型攻撃と思われるマルウエア感染が発生したと報道されています。標的型攻撃は一般的に、実在する組織名やメールアドレスを詐称している事があり、一見するとマルウエアと判別できない件名や本文が記載されています。報道によると、本攻撃は悪意のあるPDFファイルをメール添付ファイルとして送信し、Adobe FlashとAdobe Readerの脆弱性を利用してバックドアを対象に設置するという手法が取られていたとされています。標的型攻撃の被害に遭うと、機密文書や機密メールの漏えいなど、致命的な情報流出に発展する可能性があります。 弊社では、本攻撃に用いられた脆弱性攻撃「CVE-2011-0611」の解析を行いました。今回解析した脆弱性攻撃は、Metasploitにて再現を行いました。 2. 悪用された脆弱性と対策 今回の標的型攻撃で悪用された脆弱性は「CVE-2011-0611」に登録されており、以下の製品が攻撃の対象となります。 ・Adobe Flash Player 10.2.153.1 以前 (Windows, Macintosh, Linux, Solaris) ・Adobe Flash Player 10.2.154.25 以前 (Chrome) ・Adobe Flash Player 10.2.156.12 以前 (Android) ・Adobe AIR 2.6.19120 以前 (Windows, Macintosh and Linux) 本脆弱性は、細工されたWebサイトをWebブラウザにて閲覧する、あるいは、細工されたFlash(SWF)ファイルが埋め込まれた文書ファイル(.doc、.xls、.pdf等)を閲覧する事で攻撃可能となります。 本脆弱性の対策として、Adobe社は各アプリケーションプログラムのアップデートを推奨しています。Adobe Flash Playerのアップデートの詳細については、以下を参照してください。 http://www.adobe.com/support/security/bulletins/apsb11-07.html 3. CVE-2011-0611 vs. FFR yarai FFR yaraiでは当該マルウエアが悪用するCVE-2011-0611脆弱性を利用した攻撃を、yaraiのZDPエンジン(未知・既知の脆弱性攻撃を防御するエンジン)でパターンに依存する事なくブロックできています。図1に、FFR yaraiが動作する環境にてMetasploitによるCVE-2011-0611脆弱性攻撃が行われた際のスクリーンショットを示します。
4. 脆弱性の特徴 Metasploitにおける脆弱性攻撃を解析を実施した結果、シェルコード実行の環境依存性は低く、安定した攻撃コードの実行が可能な脆弱性である事が分かりました。Metasploitの攻撃コードはInternet Explorer経由で脆弱性攻撃を実施するものであり、脆弱性攻撃実行前にHeap Sprayを実施しています。脆弱性攻撃は、Flash10o.ocx内の以下のコードで発動します。
EAX=0x11111110となっており、0x0cでHeap Sprayする事により0x11111110付近は0x0cとなります。このため、0x100d01f6の命令"call dword ptr [eax+8]"にて、アドレス0x0c0c0c0cにジャンプします。0x0cは、IA32では"or al,0ch"であるためNOPとして機能します。
検証環境では0x0c0c0c0cはHeap Sprayされた領域と重なるため、0x0c0c0c0cにジャンプ後は命令0x0c(or al,0ch)を実行し続け、最終的にはHeap Sprayされた領域に混入されたshellcodeが実行されます。
|
