Palm84 某所の日記

有為のクマにかくれり~

Exploit(エクスプロイト)について - 10/10更新

10/9 【ByteCode Verifier】機能が...【Download.Ject】について追記しました。

Part.2はこちらへ

Exploit とは一般的にはセキュリティホールをついて不正なコードを実行させることを指します。ウイルスやスパイウェアなどを勝手に植え付けたりします。つまりは不正プログラムの「送り込み役」と言ったらわかりやすいかも。

Windows Updateを実行して修正されたものについては、たとえファイルを読み込んでしまったとしても不正な実行はされません。また、未修正のものについてもウイルス対策ソフトが検出(防御)できる場合が多いです。ソフトによってはリアルタイムでは検出せず手動スキャン時に検出する場合がありますが、修正済のものなら単純にファイルを削除すればいいだけです。

換言すると、Windows Updateをしていなかった・ウイルス対策ソフトを入れていなかった場合は検出できないような不正プログラムを送り込まれてしまうことも多々あるようです。ということです。要するにセキュリティ対策で最も優先すべきことは「何にもしてないのに感染しちゃったよ〜」にならないようにソフトウェアの脆弱性を埋める=修正パッチを必ず当てておく or アップデートを怠らない、ってことですね。

Trojan.Downloaderとか Bloodhound などの名前で検出

ちょっとややこしいです。俗にいう「Trojan」(トロイの木馬)とは意味合いがかなり違うように思います。不正なコード実行とともにトロイ活動を始めるものも中にはあるんでしょうけど、マカフィーのように単純に「Exploitなんとか」「Downloaderなんとか」の名前の方がわかりやすいと思う。

えーと、つまりこれらは「不正実行させるためのコード」「送り込み役」「運搬手段」であってウイルスなどの不正プログラム本体ではないということです。WindowsUpdateをきちんとすませてウイルス対策ソフトのアップデートをちゃんとしてたらファイルがみつかってもそれほど心配する事無いと思います。

でもそうじゃない方は、とんでもないプレゼントをもらっている可能性が「大・大・大」です。最近は「後の祭り」「後悔、先に立たず」「注意1秒・怪我一生」事例がほとんどですよー。ご注意下さいー。

追記:海外のアダルト系サイトなどの場合、このExploitを実行させて直接レジストリを書き換えたりするとのことです。IEのスタートページ改変とか、信頼済みサイトに勝手に登録するとか。う〜ん、ってことだとExploitコードを直接見ないとナニをされたのか不明ってことですね。

ほんでもってですね、「スタートページ改変+信頼済みサイトに登録」攻撃受けちゃったらこうなるわけですね。
IEを起動するとホームに設定されたサイトにつながる→「信頼済みサイト」に設定されているのでスクリプト有効、ActiveXは確認なしで自動実行される=スパイウェア入れ放題状態になると。

なーるほどです。非常にスマートな攻撃方法かと。やられた方は気付かないでしょうね。Windows起動と同時にレジストリ改変するトリガーをしかけておけばそのトリガーをすべて除去しないことには何度も復活しちゃうわけですね。

そう言えば、かなり以前になりますが友人が「Soap」(だったと思う)に感染しました。しっかりアンインストーラーもあって実行したけど、何度リセットしてもスタートページが「エロ」になるとのことで見てみましたら、スタートアップフォルダにレジストリファイルへのショートカットが置かれてました。再起動する度に書き換えられてたわけでした。

【2006.04.12追記】2chなどの掲示板の「スレッドを開いただけ」で検出された場合は、殆どの場合過剰検知(誤検知)なので心配ありません。ノートントラップとかよくありますね。特定の文字列に反応しちゃうわけです。(本来スクリプトやHTML要素として書くものなどテキストでそのまま貼り付ける)。

ただし、2ch内ではなくリンク先の不審なサイト、または掲示板でもHTMLタグが利用可能な場合は注意が必要です。検出したものだけじゃないかもしれないですから。※まぁ、ブラウザの設定でJavaScript(IEならアクティブ スクリプト)を無効にしていればある程度危険は避けれるかと。あっと、それだけで完全ってわけじゃないですけど。

※ここに書いてるものについては、Windows Update をされていれば影響はありません。※

てなかんじで、有名なものをまとめてみたんです。

まずは、ホームページ見ただけでやられちゃうタイプ。

【ByteCode Verifier】機能が不正なコードを適切にチェックしない脆弱性 10/10更新

▼ 概要

う〜ん、これって1年前に修正済のセキュリティホールなんですけどトレンドマイクロのオンラインスキャンではベスト10にまだ入っているんです。(ま、これ使う人って対策してない人が殆どだからだけどね)

10/9追記:Java関連のファイルは圧縮された状態でダウンロードされるからなのか(多分ですよ!)、リアルタイムでは検出されず、手動スキャン時にJavaのキャッシュフォルダや Temporary Internet Files から検出されることが多いようです。ソフトで駆除(削除)できない場合はインターネットオプションから削除、コントロールパネルのJavaのメニューからキャッシュを削除すればいいと思います。(もちろんWindowsUpdateはやってる前提で)

ノートン・マカフィー・ウイルスバスターの最新版だとリアルタイムで検出(ブロック)可能みたいです。ただ、これが置かれてるサイトってかなり危険ですので、スパイウェア関連の確認はしとくべきかと。。

▼ Exploit検出名
▼ これを利用するウイルス

(ウイルスじゃないけど)スパイウェアが多数です。【CoolWebSearch】とか有名です。

Download.Ject 10/9更新

▼ 概要

今もっとも「」です。「マイコンピュータゾーン」でスクリプトが実行されてしまうってかんじらしいです。(つまり危険なものでも一切警告とか出ないわけです。)

10/9追記:実はよくわかってませんでした(汗。

そして2004/07/05 マイクロソフト、IEの脆弱性を回避する設定変更用パッチをリリース
つまり新しいセキュリティホールがあったことを認め回避策は出しましたがただしこれはセキュリティホールの解消ではなくセキュリティホールのある機能を止めてしまうレジストリ変更ツールで、即座にDownload.Ject問題の根はIEの「セキュリティモデル設計」にある と突っ込まれます。
ちゃんとセキュリティホールを塞ぐパッチが出たのは2004.7.31 のInternet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025) です。月例ではなく緊急パッチとして出されました。ただしこのセキュリティホールはWindowsXP SP2には最初からありません。私は6月段階でSP2のRC(テストリリース版)で実証コードを動かし確認しました。

これは特定のExploitを指すのではないわけですね。

  • まず、MS04-011の脆弱性のあるサーバーが感染
  • IEでアクセスしたクライアントに対し、(下記にも書いてる)MS04-013の脆弱性を突いてファイルを強制実行させる
  • その際、MS04-025の脆弱性を利用し(セキュリティ設定の甘い)ローカルゾーンの設定で警告画面など出さずに自動実行させる。

こういう一連の手法を使う「グループ」を指すというかんじなのかな(ちょっと違うかも、あんまり自身ないです...。)。「Ject」とか「Scob」って聞いて、なんか「マフィア」みたいなもんを連想してしまうのはわたしだけでしょうか?

IISサーバーに感染する方は、TROJ_SCOB.AJS.Scob.Trojanと呼ばれているようです。

ちなみにMS04-025のパッチってかなりの種類のものが含まれてたんですね。よく知りませんでした。

▼ Exploit検出名
▼ これを利用するウイルス

かなり危険なものが多いです。スパイウェア・アドウェアだけでなく「キーロガー」やリモートアクセス型「トロイの木馬」など。

MHTML URL のプロセスの脆弱性(MHTML の脆弱性により、ファイルが強制実行される)

▼ 概要

未だに2chのリンクにいっぱい貼られてます。カスタマイズされたファイル全削除系トロイ(この辺はウイルス対策ソフトで検出できない)みたいなのをしこまれちゃった人多いみたいな。

▼ Exploit検出名
▼ これを利用するウイルス

2chでリンクをクリックしまくればウイルステンコモリでいただけるそうな。
海外サイトとかだとこれもスパイウェアが多いみたいです。3-5月頃大流行してました。

8.27追記:未確認ですけど、これもそうみたいです。水曜日または日曜日の11:45 PMにCドライブのファイル(フォルダ)を全削除します。

Exploit.IFrame.FileDownload

▼ 概要

これはもう3年前のセキュリティホールです。WindowsXPにはありません。また、IE6 IE5.5SP2以上(IE5.01SP2)では修正済です。

WEBサイトにアクセス、またはHTMLメールを開いた際に、普通ならダウンロードの確認画面が出るのですが、パッチ未適用PCでは自動実行されてしまうというものです。

▼ Exploit検出名

ご注意:手動でウイルススキャンをした時にメールフォルダから上記の「Exploit」が検出されることがありますが、慌てる必要はありません。

ウイルス対策ソフトのメールスキャナーは添付ファイルは削除しますがHTMLメール内のコードは除去しないことが殆どだからです。呼び出されるべきプログラムが除去されていたなら問題はありません。該当メールを「ゴミ箱へポイッ」すればいいだけです。 (メールBOXファイル丸ごと削除しちゃだめだよ〜ん)

▼ これを利用するウイルス

余談:2001年9月にこれを利用したNIMDAが発生して大騒ぎとなったことはまだ記憶に新しい人も多いかと。感染力としては「史上最大級」だったと思います。WEBサイトにアクセスしただけで感染しちゃうというのも衝撃的でしたが、なんと「MSN」のサイトに仕掛けられちゃったんです。IEの初期設定のホーム画面は...。ありゃりゃー。 MSさんは「パッチは半年前に出てたから」と苦し紛れの言い訳主張されてましたが。(IE5.5SP2は確か1ヵ月ほど前に出てました)業務上ウンタラじゃなかった?

Local Security Authority Subsystem Service (LSASS) の脆弱性

ここから下はインターネットに接続するだけでほんの数分でほぼ99%感染するものです(Windows NT/2000/XP)。ルーター、またはパーソナルファイアウォールの使用すれば攻撃そのものを防御(無視)できます。リカバリ後などは要注意です。

▼ 概要

今年のGW頃にこれをねらったワームが大発生しました。【LSASS.exe】がエラーで終了します。「LSA Shell (Export Version)はエラーが発生し閉じられる必要がありました。」てな画面が出ます。

▼ Exploit検出名
▼ これを利用するウイルス

大量メール送信ワームからバックドア型トロイの木馬など多種多様。ほっといたら大変なことになります。

「RPC DCOM バッファーオーバーフロー」

▼ 概要

昨年のお盆頃に大発生。【svchost.exe】がエラーで終了してWindowsが再起動されちゃうやつです。

ソフトはウィルスバスター2004なのですが、RPC_DCOM_BUFFER_OVERFLOWというネットワークウィルスが頻繁に検出されるようになりました。
対処法を教えていただけませんでしょうか?

こういう相談がよくあるみたいです。

▼ Exploit検出名
▼ これを利用するウイルス

上とよく似ていて複数のセキュリティホールを狙うものがまだまだ 増えています。機能も複合型が多いです。

いっぱいありすぎてつかれましたんでこのへんで...。