« 健康保険組合になりすました不審なメールについて | メイン | 医療費通知に偽装した攻撃(Backdoor.Emdivi) その後 »

2014年12月26日 (金)

脆弱性を突かないエクスプロイト-マクロウィルス再び-

最近のOSやアプリケーションは脆弱性を悪用しにくい仕組み(DEP、ASLR、サンドボックスなど)を実装しており、それらの機能を回避して脆弱性を突くことはどんどんと難しくなっています。そのため、攻撃者は脆弱性を突かずに、いろいろと工夫をしはじめております。

アイコン擬装、拡張子擬装、ショートカット攻撃など様々な攻撃が編み出されていますが今回は「マクロ」を利用した攻撃について解説します。

マクロウィルスというと死語と思われる方もいるかもしれませんが、最近になっても標的型攻撃で使われるケースが見られたりしています。

■警告画面の無視によるマクロ発動

インターネットやメールから入手したOffice文書を開くと、非マクロファイルも含めて、警告が出るようになったため、警告を無視してマクロを有効にしてしまうことが増えています。

通常、メールの添付ファイルやインターネットからダウンロードしたファイルは以下の警告が表示されます。

Warning1_2

上記のWordファイルのように、画像が表示されていなかったりすると、条件反射的に「編集を有効にする」を押してしまう方が多いのではないでしょうか。

マクロを含むファイルの場合は以下の「セキュリティの警告」が表示されます。

Warning2_2

「コンテンツの有効化」ボタンの色や形状が似ているため、「編集モードを有効にする」ボタンと勘違いし、同様に無意識に押してしまうリクスがあります。このボタンを押してしまうと、マクロが実行されます。

マクロはVBAで書かれており、マルウェアのダウンロード&実行、WindowsAPIの実行など、攻撃者がエクスプロイトフェーズで実行するようなことは一通りのことはできるため、悪用がしやすいという特徴があります。

■実際の事例

FireEye社がリリースしたFIN4と呼ばれている攻撃者のレポートでは、マクロでOutlookの偽の認証画面を表示し、入力したOffice365のアカウント情報を盗む手法が記載されていました。

■テスト用のマクロ付きWordファイル

マクロを実行してしまうユーザがいるかどうか、テストをしていただくためのマクロ付きWordファイルを作成しましたので、自社内で試していただくのもよいかもしれません。

マクロ付きWordファイルをダウンロード

・マクロの中身

警告のメッセージを表示するだけですので、無害なものとなっています。


Sub AutoOpen()

  MsgBox "このメッセージが表示されている方はマクロウィルスに感染する可能性が高いです。" & vbNewLine & "安易にマクロを有効にするのは危険です。", vbOKOnly, "★★★ 注意 ★★★"

End Sub


※AutoOpenはファイルを開いたときに自動実行される関数です。

■最後に

年初は年賀状が飛び交う時期ですので、マクロ付きのOffice文書にはくれぐれもご注意ください。それではよいお年を。

« 健康保険組合になりすました不審なメールについて | メイン | 医療費通知に偽装した攻撃(Backdoor.Emdivi) その後 »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat