標的型攻撃でIoTデバイスを使用するSlingshotマルウェア

Kaspersky Labによって新しいAPTマルウェア攻撃が発見されました。Slingshotと呼ばれるマルウェアはハイジャック型システムDLLの1つで、危険なルートキットの原因となる高度な攻撃です。最終的にはCahnadrというルートキットにシステム処理の制御を乗っ取られ、キー入力、クリップボード、ネットワークトラフィックなどが監視されるようになります。

背景

最近、Kaspersky LabはSlingshotという高度なマルウェアについて分析しました。Kaspersky Labによって公開された資料では、Slingshotの動作の詳細と、マルウェアが2012年以降に発生したことが略述されています。Slingshotに関して特に興味深いのは、IoTデバイスに侵入し、それを使って、標的とする組織を感染させるという点です。

これまでのところ、侵入に使用されているのが、MikroTik製のルーターだけであることが確認されています。MikroTikはラトビアのリガに拠点を置いている会社で、ルーターとワイヤレスISPシステムを世界中のユーザーに販売しています。

マルウェアの詳細

攻撃者がMikroTik製のルーターに対するアクセスをどのように取得したのかは現時点で分かっていません。使用された可能性がある脆弱性がいくつかあります。こちらに 一部の例を記します。

調査によると、ルーターに対するアクセスが取得されたのち、悪用された興味深い脆弱性が見つかりました。CVE-2012-6050では、MikroTikルーターに関連する問題の一覧が報告されています。その中の1つは、MikroTik製ルーターに付属しているWinboxという管理ソフトウェアと関係があります。Winboxは起動すると、IoTデバイスから、管理機能に必要な一連のDLLを取り出します。問題となるのは、デバイスにローカルで配置されているDLLも転送されて、悪意のあるDLLも含めてロードされる点です。この欠陥は、分析済みの攻撃で使用され、ルーターにipv4.dllというDLLを配置するために使用されていました。このDLLが正当なユーザーによってダウンロードされ、攻撃者にシステムに対するアクセスが付与されてしまい、水平伝播などの別の攻撃の足掛かりとなったのです。

ipv4.dllがシステムに配置された後に攻撃者が最初に行うのは、Windows DLLをカスタムDLLで上書きして、システムプロセスを乗っ取ることです。攻撃のこの部分で使用されたDLLはさまざまですが、いくつかの例を示します。1つの例では、scesrv.dllが攻撃で使用されました。この背後で行われている詳細は興味深い点です。ファイルサイズがレプリケートされて、元のコードが圧縮されることにより、自身の存在を隠しますが、同時に、コード署名により感染が明らかになっているからです。 マイクロソフトから出てくるものには、「©Microsoft Corporation」の署名が必要です。有効な証明書での全著作権所有"およびシステム上のauthenticodeプロセスで検証。これには、この攻撃によってシステムに配置されるscesrv.dllなども含まれます。しかしVirus Totalレポートを見ても、署名なしと示されており、6歳児でも見つけられる攻撃になっています。

プラグイン108411、Malicious Process Detection:認証コードMicrosoft製造元

これ以降のレポートでは、既存のいくつかのドライバーに存在する脆弱性を使用して、ルートキットが x64ドライバー署名保護をバイパスしてアクセス権を取得する方法について言及しています：

5F9785E7535F8F602CB294A54962C9E7 SpeedFan.sys - CVE-2007-5633

9a237fa07ce3ed06ea924a9bed4a6b99 Sandra.sys - CVE-2010-1592

978CD6D9666627842340EF774FD9E2AC ElbyCDIO.sys - CVE-2009-0824

これは脆弱性をかなり絞り込んだリストです。ほとんどの人の目に留まることはないかもしれませんが、特権昇格の大きな脅威であることに変わりありません。このような的を絞った攻撃によって、目につかない些細な事柄が重大な結果に結びつくことがあります。マルウェアがドライバーを悪用してシステム特権を取得すると、その後ルートキットとユーザースペースモジュールを埋め込んで、存在を隠しながら操作できるようになります。

まとめ

最初の100件の感染が、次の国で確認されています:ケニア、イエメン、リビア、アフガニスタン、イラク、タンザニア、ヨルダン、モーリシャス、ソマリア、コンゴ民主共和国、トルコ、スーダン、アラブ首長国連邦。

この話で教訓となるのは、攻撃者はアタックサーフェス全体を標的にしていくこと、そしてIoTデバイスは徐々に攻撃者にとって人気のある道具となりつつあるということです。こうしたデバイスが攻撃にさらされる方法を理解することは、これまで以上に重要です。この特定の攻撃においては、MikroTik製ルーターが他よりも強い攻撃にさらされ、攻撃者は複数の脆弱性を利用して対処が難しいマルウェアを植えつけることができました。

緊急措置が必要

Kaspersky社は「MikroTik製ルーターを使用するユーザーは可能な限り早急に最新のソフトウェアバージョンにアップグレードし、既知の脆弱性に対する保護を確実に敷いてください。さらに、MikroTik Winboxは今後、ルーターからユーザーのコンピューターに一切何もダウンロードしません」と述べています。

影響を受けているシステムの特定

ネットワークにすでに存在するいくつかのプラグインを監視することによって、この感染を検出できます。たとえば、MikroTik RouterOS Winbox Detection（59731）とMikroTik Winbox < 5.17 File Download DoS（59732）の両方が、MikroTik製ルーターを使用するネットワーク上に存在しているかもしれません。

MikroTik プラグイン
59731 :MikroTik RouterOS Winbox Detection
59732 : MikroTik Winbox < 5.17 File Download DoS
108521 : MikroTik RouterOS < 6.41.3 SMB Buffer Overflow