マカフィー株式会社 公式ブログ

McAfee Labs] 2010年6月17日 更新

パキスタン空軍名を騙った標的型攻撃

 

ソーシャルエンジニアリングを使用して受信者の注意を引き付け、マルウェアを仕込むのは、小説の中だけのことではありません。人気セレブの話題や災害など、注目度の高いニュースを巧みに使用するのが、現在のマルウェア拡散方法における主流の手口です。このような脅威は、マルウェアを呼び込むメールや有害な検索エンジンの結果として届けられます。2009年は、マイケル・ジャクソン(Michael Jackson)の死去ベナジル・ブット(Benazir Bhutto)パキスタン元首相の暗殺のような出来事が、マルウェア拡散の際のトピックとして使用されました。最近では、注目度の高いさまざまなユーザーに対する標的型攻撃用のOLEファイルの数が増えていることが分かっています。今回はその一例として、パワーポイントを使用した標的型攻撃を紹介しましょう。

このソーシャルエンジニアリングを使用した手口では、まずメールがユーザーに届きます。メールは、パキスタン空軍に関する情報を含むと書かれており、パワーポイントが添付されて送られていきます。脆弱なバージョンのパワーポイントを使用しているユーザーがこの添付文書を開くと、脆弱性が利用され、悪意のあるペイロードが実行されます。

この脆弱性は、パワーポイント内の不正な形式の記録とともに存在し、これが利用されると悪性コードを実行する可能性があります。シェルコードは、PEB(プロセス環境ブロック)アプローチを利用して、下記のスクリーンショットのようにkernel32.dllベースのアドレスを決定します。

パワーポイントの脆弱なバージョンでファイルを実行すると、シェルコードそのものが解読され、悪意のあるバイナリが実行されます。

悪意のあるPPTファイルは、ms06-028セキュリティ情報でマイクロソフト社がパッチを公開した古い脆弱性を悪用します。現在のウイルス定義ファイルで、この攻撃はExploit-PPT.hとして検出され、作成された悪意のある実行ファイルは、BackDoor-EFBとして検出されます。怪しいメールに添付されているファイルはできる限り開かないように気を付けて戴くと同時に、パッチの適用状況について必ずご確認ください。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Blast from the past: Fresh wave of targeted attacks using PowerPoint

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/japan/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.