脆弱性を2つを繋げての攻撃

オフィス文書の脆弱性を組み合わせて攻撃する、悪性キャンペーンが発見されました。サイバー攻撃者が最終的に植え付けようとするペイロードは、フェリックスルート（FELIXROOT）というバックドアです。

このキャンペーンは、まず最初におとり用のRTF文書ファイルから始まります。環境保護と関連したセミナー情報が掲載されている文献に偽装されています。ユーザーがこの文書ファイルを受信、ファイルを開くと、CVE-2017-0199脆弱性がエクスプロイトされ、2番目のペイロードがダウンロードされます。2番目のペイロードは、CVE-2017-11882脆弱性をエクスプロイトします。

ここまで成功すれば、フェリックスルートのローダー部分が機器にダウンロードされます。この時、LNKファイル1つが一緒にダウンロードされますが、これは%system32%undll32.exeのショートカットファイルです。このLNKファイルは、一緒にダウンロードされたフェリックスルートのローダーを実行するコマンドを含んでおり、システムに定着した後にスタートプログラムフォルダにと移動します。

ローダーが実行されると、エンベッドされたバックドア要素が作動し始めます。バックドア要素はサイバー攻撃者が独自に作り上げたアルゴリズムで暗号化されており、ローダーが実行されることにより復号化され、すぐにメモリにロードされます。

バックドアがメモリにロードされた後は、10分間スリープモードを維持します。その次にRUNDLL32.exeが#1というパラメータを持って実行されているかを確認します。確認されれば、まず最初にシステムの把握、分類を行い、その次にC&Cネットワーク通信網を構築します。特定システムではレジストリ入力値も読み取り、権限の上昇やプロクシ情報の取得を準備したりもします。

その次からは、C&Cサーバから命令を受け、様々な事を実行します。感染させた機器を追跡し記録を行う、追加ファイルをダウンロードし実行させる、リモートシェルのを実行する、C&Cサーバとの接続を解除する、と内容は様々です。他にもバッチスクリプトをダウンロードし実行させたり、ファイルをC&Cサーバにアップロードすることも可能です。

サーバから受ける命令の他に、フェリックスルートには独自のコマンドも含まれています。その中でも一番重要なことは、自身の痕跡を消す、ということです。上で言及した（1）LNKファイルを削除し、（2）攻撃の為に生成したレジストリキーも削除し、（3）ドロッパーも全て削除する、という手順を踏み、自身の痕跡を消し去ります。

他にも、ウィンドウズの権限上昇に関する脆弱性と、Adobeリーダー内のリモートコード実行バグを同時にエクスプロイトする悪性PDFファイルが発見されたことがあります。2つともゼロデイ脆弱性です。

この悪性PDFファイルを発見したセキュリティ専門家によると、分析を行ったが最終ペイロードが含まれている様子は無かったと言います。マルウェア開発の初期段階に悪性PDFファイルが発見されたようだ、と結論付けました。

しかし、この悪性PDFファイルに対する警戒を解いてもいい訳ではありません。サイバー攻撃者の権限を最も高いものに変更し、思いのままにコードを実行できる為、強力な攻撃になり得ます。

被害者がこのPDFファイルを受信し開封すると、まず一番最初にJavaScriptコードをAdobeリーダー内へエンベッドさせます。このスクリプトはCVE-2018-4990と知られているフリーメモリーコラプション（free memory corruption）エラーをエクスプロイトします。（現在は既にパッチ済）エクスプロイトに成功すれば、サイバー攻撃者がメモリ内の読み取り、書き込み権限を持つようにします。そして、悪性PEファイル実行機能を持つシェルコードを実行出来るようになります。

しかし、この段階のみでは効果的な攻撃を行うのは困難です。攻撃力を高めるためには、Adobeリーダーのサンドボックス機能を回避し、コンピュータ全体を攻撃する必要があります。ここで利用されるのが、権限を上昇させるCVE-2018-8120のウィンドウズの脆弱性です。この脆弱性は、メモリ内オブジェクトを誤って扱ってしまう過程で発生します。エクスプロイトするのに成功すれば、サイバー攻撃者が任意のコードをカーネルモードで実行できるようになります。

既にパッチが発表されているのにも関わらず、サイバー攻撃者の間で攻撃実験が続いているという事は、ユーザーが常にパッチを適用していないという、セキュリティ意識の問題点を悪用しようしている、と言えるでしょう。最新パッチを当てるという、基本的な事からセキュリティ意識を高めていく必要があります。