リムーバブルドライブを介して感染するワーム「DUNIHI」とは
サイバー犯罪者は、自分たちの技術や手口の向上に絶えず取り組んでいますが、従来からの技術や手口も、コンピュータを感染させる上では今なお効果を発揮します。その一例が、リムーバブルドライブを自身の感染経路として利用する「DUNIHI」ファミリの亜種です。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」によるフィードバックからも、「DUNIHI」ファミリによる感染が2013年9月下旬以降から増加し、その検出の大半が中南米やメキシコ、アジア太平洋の地域であることが確認されました。
「DUNIHI」とは何ですか。
従来のワームと同様、「DUNIHI」も自身のコピーを拡散させ、特にリムーバブルドライブを介して感染活動を行なう点が特徴的です。しかも「DUNIHI」の場合、ショートカットファイル(拡張子LNK)を作成し、リムーバブルドライブ内に存在する自身のコピーは、このLNKファイルのリンク先になります。
特に興味深い点は、リムーバブルドライブ内に存在するフォルダやファイルの名称を自身のファイル名に借用することです。その上で、本来のフォルダおよびファイルの属性を「隠し属性」および「システム属性」に設定し、自身のコピーをリンク先にしたLNKファイルをユーザにクリックさせます。このLNKファイルは、「LNK_DUNIHI」として検出対応しています。
「DUNIHI」は、どのようにしてユーザのコンピュータに侵入しますか。
「TrendLabs(トレンドラボ)」の解析によると、「DUNIHI」は、まずスパムメールの添付ファイルとしてコンピュータに侵入します。スパムメールには複数のタイプがあるようで、トレンドラボの調査でも、このワームを添付ファイルとするスパムメールとして、数種類のサンプルを確認しています。その中には、Microsoftからの通知を装ったスパムメールも確認しています。この偽装メールは、「添付ファイルを使用してオペレーションシステム(OS)の更新をユーザに促す」という手口を使用しています。
図1:Microsoftからの通知を装ったスパムメール
図2:ZIP形式のファイルが添付されたスパムメール
その他、トレンドラボでは、「ZIP形式のファイルが添付された見積もり価格通知メール」を装ったスパムメールも確認しています。この場合、添付ファイルを実行するには、ユーザは添付ファイルを解凍してから開く必要があります。また、インストーラがバンドルされたスパムメールもいくつか確認しています。そのうちの1つは、「VLCメディアプレイヤー」のインストーラがバンドルされ、以下のファイル共有サイトにアップロードされていました。さらにこのワームは、リムーバブルドライブを介してコンピュータに侵入する場合や、他のマルウェアに作成されるか、不正なURLからダウンロードされることでコンピュータに侵入する場合もあります。
- http://<省略>e.tt
「DUNIHI」ファミリの亜種は、どのようにして感染活動を行ないますか。
「DUNIHI」ファミリの亜種は、コンピュータに侵入後、そのコンピュータに接続されたすべてのリムーバブルドライブを検索し、検出したリムーバブルドライブのディレクトリ内に自身のコピーを「隠しファイル属性」で作成します。さらに、リムーバブルドライブ直下に存在するすべてのフォルダとファイルを検索し、それらを非表示にします。その上で、すでに作成された自身のコピーをリンク先とするLNKファイルを作成します。その際、非表示にしたフォルダやファイルそれぞれに対応するLNKファイルを作成し、これらフォルダやファイルに偽装するため、LNKファイルのショートカットには、これら非表示にされたフォルダやファイルと同じアイコンを使用します。
図3:感染後のリムーバブルドライブ
図4:隠しファイルで非表示にされた状態の感染後のリムーバブルドライブ
感染活動にリムーバブルドライブを利用したり、非表示にされたフォルダをマルウェアのショートカットに利用するような手法は、すでに古い手口といえますが、ユーザのコンピュータを感染させる上で今なお効果的であることが分かります。
「DUNIHI」に関して注意すべき点は、何ですか。
「DUNIHI」は、不正なLNKファイルを実在のフォルダやファイルだとユーザに思わせ、このような巧みなソーシャルエンジニアリングの手口を駆使して、あたかも実在のフォルダ内の正規ファイルを開いているかのようにユーザを誤解させます。こうしてLNKファイルを誤ってクリックすると、ユーザは、「DUNIHI」のコピーに誘導されます。なお、誘導先である自身のコピーも、リムーバブルドライブ内に存在し、ユーザが不審に思わないよう非表示に設定されています。
こうしたソーシャルエンジニアリングの手口のほか、「VBS_DUNIHI」として検出される「DUNIHI」の亜種は、不正なコマンド&コントロール(C&C)サーバに接続し、そこからコマンドを受信して実行します。以下は、受信され不正活動が実行されるコマンドの一部となります。
|
|
execute | C&Cサーバから受け取った任意のコードを実行する。 |
update | 自身のコピーの更新版のダウンロードおよび実行。 |
uninstall | コンピュータおよびリムーバブルドライブから自身のアンインストール。 |
send | C&Cサーバに指定されたURLからファイルをダウンロードして実行する。その際、C&Cサーバに指定されたURL内のファイルと同じファイル名を使用し、同じくC&Cサーバに指定されたディレクトリ内にそのファイルを保存する。ディレクトリが指定されていない場合は、自身の環境設定ファイル内のインストールディレクトリを使用する。 |
site-send | C&Cサーバに指定されたURLからファイルをダウンロードして実行する。その際、ダウンロードしたファイルは、C&Cサーバに指定されたファイル名を使用し、自身の環境設定ファイル内のインストールディレクトリに保存する。 |
recv | 特定のファイルをC&Cサーバにアップロードする。 |
enum-driver | すべてのドライブとドライブタイプのリストを送信する。 |
enum-faf | 特定のディレクトリ内に存在するすべてのサブフォルダおよびファイルを送信する。 |
enum-process | 実行中のプロセスを送信する。 |
cmd-shell | "cmd.exe /c <C&Cからのコマンド>"を実行し、その結果を送信する。 |
delete | 指定されたファイルの削除。 |
exit-process | 以下のシェルコマンドを使用して、特定のプロセスIDに対応するプロセスを終了する。 "taskkill /F /T /PID <プロセスID>" |
sleep | 感染したコンピュータを一定時間、スリープの状態にする。 |
ユーザはこの脅威により、どのような被害を受けますか。
「DUNIHI」のLNKファイルは、リムーバブルドライブ内に感染前から存在するフォルダ名やファイル名を借用するため、ユーザは、名称を借用したLNKファイル自体を正規ファイルと誤解してしまう可能性があります。さらに、「VBS_DUNIHI」の検体名の亜種は、特定のC&Cサーバに接続し、コマンドを受信して実行します。このため、感染したコンピュータは、さらなる不正プロセスの感染や情報漏えいの被害を受けやすい状態になります。
「DUNIHI」の亜種の主要な感染手段の1つは、リムーバブルドライブを介するものです。このため、職場でUSBを使用する社員は、潜在的に今回の脅威に加担して危険をもたらす可能性があります。
この脅威から身を守るためには、ユーザ自身は何ができるでしょうか。
ユーザは、Eメールを受信した際、添付ファイルを開いたりダウンロードする前に必ずそのEメールに不審な点がないかどうか再確認することです。可能であれば、送信者にそのEメールが正規なものかどうかを確認してください。Microsoftを装ったEメールに関しては、Microsoftの公式Webサイトで最新のソフトウェアの更新を確認することができます。通常、MicrosoftがEメールで直接ユーザに更新を送ることはありません。
攻撃者やサイバー犯罪がどのようにしてソーシャルエンジニアリングの手口を利用し、自分たちが仕掛けた「ワナ」にユーザをおびき寄せるのかを理解しておくことも有効です。また、この脅威に関連するワームやマルウェアは、リムーバブルドライブを介して感染活動を行なうことから、ユーザ側では、ご使用のコンピュータの自動実行機能を無効にすることを推奨します。
トレンドマイクロ製品は、この脅威を防ぐことができますか。
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により「脅威情報の収集」および「脅威の特定・分析」が行なわれており、その中の「E-mailレピュテーション」技術は、今回の脅威に関連する Eメールをブロックします。「ファイルレピュテーション」技術は、この脅威に関連したマルウェアやワームを検知して削除します。「Webレピュテーション」技術は、「DUNIHI」の亜種が接続するドメインへのアクセスをブロックします。 また、SPNを製品側で有効化することにより、常に最新に保たれているクラウドからリアルタイムでセキュリティを提供することによって、最新の脅威に最新のセキュティを提供します。SPN搭載製品については、こちらをご参考ください。
トレンドマイクロの専門家からのコメント
感染活動に加え、今回のワームやマルウェアは、不正リモートユーザからのコマンドを実行するバックドア機能も備えています。この機能は、ワームやマルウェアが自身のC&Cサーバへの接続に成功することで可能になります。このバックドア活動は、感染活動自体よりも注意すべき点だと考えています。バックドア機能は、感染コンピュータをより一層危機的な状況にさらすことになるからです。
- スレット・レスポンス・エンジニア:Jeffrey Bernardino