NERV Security Blog

マクロ技術が不要な新マルウェアが流通

  • 2018年07月20日

ビジネス関連にて、最も一般的で効果的な感染経路の一つは、悪意を持ったオフィスドキュメントの使用です。今年だけで、Flash と VBSスクリプトエンジンを使用した2つのゼロデイ攻撃を確認しました。オフィスドキュメントへ埋め込まれ、ウェブエクスプロイトキットにて幅広く採用されています。

 

攻撃者は、ソフトウェアの脆弱性を活用するだけでなく、マクロやDDE(Dynamic Data Exchange)などの一般的なOffice機能や、エクスプロイトと混在するOLE(Object Linking and Embedding)攻撃を定期的に悪用しています。システム管理者は、特定の機能を無効にすることでエンドポイントを強化することができます。例えば、悪意のあるマクロを有効にしようとユーザを騙す特定のソーシャルエンジニアリングスキームを失敗させることができます。最近のオフィスバージョンでは、Microsoftがグループポリシーを利用しカスタマイズ可能な拡張子のリストを基に、リスクの高いオブジェクトのアクティブ化をブロックすることが可能です。

 

しかし、最近セキュリティ調査Matt Nelsonによる発見では、Microsoftの“Attack Surface Reduction”技術までも回避する方法があります。オフィスドキュメントに特別な方法で埋め込むことによって、攻撃者はユーザが警告や通知なしでユーザは悪質なコードを実行させることが可能となります。

 

 

SettingContent.msというWindows10固有のファイルは、コントロールパネルへのショートカットを作成するために使用されるXMLコードです。この機能は、DeepLinkがパラメータを持つソフトウェア(bainary)の実行することができるために、悪用される可能性があります。攻撃者が必要とすることは所有しているPowershell.exeまたは、Cmd.exeのコマンドを付け加えることです。残りはこれまでの履歴です。

 

 

Nick Carr氏が発見した新しいスクリプトは、REMCOS RAT (VT report)をダウンロードし、実行するためにPowerShellが起動された箇所の攻撃を示しています。Matt Nelson氏はこの新しい技術を発見したが、マイクロソフトは少なくとも当分の間、当技術を修正する意向はないと発言しています。

 

マルウェアバイト社は自社のラボで当サンプルをテストして、マルウェアバイトユーザは既に保護されていると報告しています。

 

 

過去数年間、ウェブエクスプロイトキットの開発はほとんど見られませんでしたが、Microsoft Word Intruder (MWI) or Threadkitなどのドキュメントエクスプロイトキットの活発な動きが多く見られてきました。攻撃者のターゲットにスピアーフィッシングを仕掛けたり、より規模の大きいスパムキャンペーンによりファイルを送るよりはむしろこうしたツールキットにより攻撃者がマルウェアの脅威を容易にしたり、他の選択肢としてエクスプロイトを埋め込むことを可能にしています。同様に、これまでのソーシャルエンジニアリング攻撃はすぐに結果が出るものではなく、人間的な要素を利用し続けないといけません。

 

エンドユーザと企業にとって、ドキュメントはマルウェアの脅威を広げる効果的な方法であるということを認識することと攻撃を回避するための適切な保護とトレーニングが必要であるということを肝に銘じておかなければいけません。

 

              MalwarebytesLABS、New macro-less technique to distribute malware:より引用

Malwarebytes  マルウェアバイト

取扱製品

Safend Data Protection Suite
Safend Protector
ポート・デバイスの制御を実施し、記憶媒体の暗号化も実施します。 詳しくはこちら
Safend Encryptor
内蔵HDDを暗号化し、盗難・紛失からの情報漏えいを防止します。 詳しくはこちら
Safend Inspector
社内の機密情報をプリンター、メール、FTPなどの経路から流出しないよう制限をかけ、情報流出を防ぎます。 詳しくはこちら
その他
セキュリティポリシーを検討を補佐するオプションもご用意しています。
Safend Auditor-デバイスの監査
Safend Repoter-ログの可視化
Safend Discover-クライアント内のデータ監査
詳しくはこちら
Malwarebytes
Endpoint Security
高度なマルウェアの発見と修正、悪意のあるウェブサイトへブロック 詳しくはこちら
Endpoint Protection
業界最高レベルの情報収集技術を持った次世代マルウェア対策ソフトウェア 詳しくはこちら
Gate Scanner
Gate Scanner
CDR技術を利用し、組織内へランサムウェア、ゼロデイ、そして従来のウイルスの侵入を防止します 詳しくはこちら