PR
Symantec Security Response Weblog
DirectShow Exploit In the Wild」より
June 17,2009 Posted by Liam O Murchu

 当ブログ記事では,最近その存在が明らかになったWindows用マルチメディア処理アプリケーション・インタフェース「DirectShow」のセキュリティ・ホールを悪用する過程について,全体の概要を紹介する(関連記事:「DirectX」にぜい弱性,QuickTime再生で遠隔コード実行の恐れ)。特に,実際のエクスプロイトがどのように使われているかを説明しよう。このDirectShowのセキュリティ・ホールはさまざまな点で興味深い。こうした特徴を一つずつ詳しく見ていくため,最初に悪用の全体的な流れを示し,それから各項目を詳細に解説していく。

 このセキュリティ・ホールを狙うエクスプロイトを使うページの中には,フィッシング・ページにリンクされているものがあった。フィッシング・ページは,ユーザーのログイン情報などを盗もうとするだけでなく,DirectShowのセキュリティ・ホール日本語版情報CVE-2009-1537)用エクスプロイトをホスティングしているWebページにユーザーをリダイレクトした。リダイレクト先のWebページは,このセキュリティ・ホールを突く細工済みの「.avi」ファイルと,さらに悪質な「.dll」ファイルを複数ロードし,パソコンに対する攻撃を確実に成功させようとする(DLLファイルについては,後で詳しく述べる)。

 これらのDLLは首尾良くロードされると,エンコードされた「.exe」形式のペイロードをダウンロードする。この場合は,最終的にトロイの木馬「Trojan.Cipevas」をダウンロードする。するとTrojan.Cipevasは,パソコンから攻撃者のWebページにアクセスし(アクセス先は最初のリダイレクト先Webページと同じ),ほんの少しだけユーザーの情報を攻撃者に送り,攻撃者の指示を待つ。

 Trojan.Cipevasは感染したパソコンの上で,ファイルの追加ダウンロード,ファイルとレジストリ値の追加/削除,サービスとプロセスの停止/開始,ユーザー情報の収集,攻撃者から今後の命令を受信するポートのオープン,といった処理を実行できる(余談だが,Trojan.Cipevasは,最初に接続する攻撃者のWebページ「http://[攻撃者のIPアドレス]/savepic.asp」を逆さにして名付けられた)。

フィッシング

 今回の事例で調べたフィッシング・ページは,著名なWebメール・サービスのログイン・ページをかたっていた(下図参照)。攻撃者は自身のサーバーに偽のログイン・ページを設けていたため,Webブラウザのアドレスバーに表示されるURLは,ユーザーが想定する本物のURLとは全く異なるものが表示されていた。

 このフィッシング・ページのソースコードを調べてみると,偽ログイン・ページの主目的はユーザーのログイン情報を盗むことだった。ただ,DirectShow対応エクスプロイト用のWebページへのリダイレクトを図るiframeも仕込まれていた。この手の攻撃の例にならって,このiframeも高さと幅がゼロに設定され,ユーザーから見えないようになっている。

エクスプロイトとトロイの木馬

 このエクスプロイトには,いくつか興味深い点がある。一つは,典型的なバッファ・オーバーフローとヒープ改変(コラプション)に関するセキュリティ・ホールではない点だ。このセキュリティ・ホールを悪用しても,メモリーに上書きできるデータは1バイトしかない。つまりエクスプロイト・コードの作者は,このセキュリティ・ホールを悪用するための画期的な方法を編み出す必要がある。そして,これが2点めの特徴につながる。このエクスプロイトで使われた手口は,Alex Sotirov氏とMark Dowd氏が書いた論文「Bypassing Browser Memory Protections.」(Webブラウザのメモリー保護機構を迂回)にあるもの。我々は,それが実際に使われているのを初めて確認した。この手口を使うと,エクスプロイト・ページでよく目にする普通のヒープ・スプレイ用コードが予備的な手段になる。そして,このことが三つ目の特徴につながる。なぜ今回のエクスプロイト・ページは,必要のないヒープ・スプレイを使っているのだろうか。

 このエクスプロイトとTrojan.Cipevasについては,次のブログ記事で詳しく説明する。当社(米シマンテック)は,「DeepSight」ポータルで顧客向けに詳細な技術レポートを提供している。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「DirectShow Exploit In the Wild」でお読みいただけます。