Office RTF の脆弱性を悪用する
AKBuilder と Microsoft Word Intruder

2017.04.13

調査結果を提供してくれた SophosLabs の Gabor Szapannos に感謝します。


Microsoft は昨年 10 月、感染したコンピュータ上でマルウェアの実行が可能になる Office の脆弱性を修正するセキュリティ情報 MS16-121 をリリースしました。この脆弱性を悪用する新たな AKBuilderMicrosoft Word Intruder (MWI) が SophosLabs の研究者によって発見されましたので、パッチをまだ適用していない方は今すぐ適用してください。


具体的には、AKBuilder のコピーが地下フォーラムで販売されており、MWI の作成者が現在これを使って RTF の脆弱性を悪用する新たなエクスプロイトを作成しています。SophosLabs の主任研究員 GáborSzappanos は次のように述べています。


この脆弱性はすでに 2 つのエクスプロイト作成ツールによる攻撃の的になっています。わずか 2 週間で攻撃が可能になったのは、地下フォーラムの存在があったからです。


2 つのエクスプロイト作成ツール


AKBuilder は悪意のある Word ドキュメントをすべてリッチテキスト形式で生成します。このツールを購入した攻撃者は、不正なドキュメントにマルウェアサンプルを含めてパッケージ化し、スパムメールとして送信することができます。AKBuilder はエクスプロイトを使用して意図的にファイルを破壊し、Office の脆弱性や Windows 自体に存在している脆弱性をトリガーします。このツールは複数のケースが最近確認されています。


MWI は、最も有名な Office 用エクスプロイトの作成ツールの 1 つであり、サイバー犯罪グループから人気を集めています。SophosLabs は先日、Office 用ではないエクスプロイトを含んだ新しいバージョンを発見していますが、Office RTF の脆弱性をターゲットにしたエクスプロイトもこれまで通りのやり方で攻撃を続けています。


CVE-2016-7193 の脆弱性


SophosLabs が分析したサンプルは、CVE-2016-7193(リンク先:英語) に記載されている脆弱性を悪用します。これは、メモリ破損の脆弱性で、Office ソフトウェアによるリッチテキスト形式 (RTF) ファイルの処理で問題を発生させます。


この脆弱性を悪用するには、ダウンロードしたユーザーのコンピュータに感染する不正な RTF ドキュメントを作成します。そのユーザーが管理者権限でログオンしていれば、Microsoft のセキュリティ情報に書かれているように、攻撃者は「影響を受けるコンピューターを制御する可能性があります。その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります」。


最新の MWI ファイル


SophosLabs は、この脆弱性を悪用するように設計された 2 つの破損ファイルを捕捉し、分析しました。その後、Microsoft に連絡を取り、Microsoft はエクスプロイトを確認しました。


1 つ目のファイル SIMON WERNER GMBH – RFQ.doc は当初、3 月 20 日に香港および英国から VirusTotal マルウェアスキャナーに送信されました。このファイルは Dofoil ダウンローダーを %PROFILE%\AppData\Local\Temp\msvc.exe にドロップした後、リモートサイトから AMcr35.exe をダウンロードします。


2 つ目のファイル (Visa.doc、 выписка.doc、2017april.doc の「セキュリティ指示」) は、3 月 28 日にカザフスタン、ウクライナ、ロシアから VirusTotal に送信されました。このファイルのマルウェアは、%PROFILE%\AppData\Local\Temp\msvc.exe にダウンロードされ、Metasploit で生成されたリバースシェルを 92.63.111.201:443/ZVHd で開きます。


開かれると、次のようなおとりコンテンツが表示されます。



SophosLabs はさらに 3 月 8 日までさかのぼり、前述した最初の MWI のサンプルと同じ AKBuilder のサンプルを発見しました。結果、AKBuilder の実際のコピーが地下フォーラムで販売され、MWI の作成者によって使用されたという結論に達しました。


特徴


どちらのファイルにも CVE-2016-7193 のエクスプロイトが含まれおり、使用されているシェルコードは、Microsoft Word Intruder で生成されたサンプルで使用されるドロッパーコードと非常に似ています。SophosLabs では、MWI の新しいバージョンによって生成されたものだと推察しています。


どちらのドキュメントも同じアルゴリズムを使用してペイロードを復号化します。ペイロードは、ステップごとにインクリメントされる鍵を持った 1 バイトの XOR とスワップされた先頭の数百バイト、および Windows Management Instrumentation 機能を使用してペイロードを実行するシェルコードです。


オンラインフォーラムへの書き込みによれば、元の作成者によるエクスプロイト作成ツールは、AKBuilder と非常によく似た Python スクリプトとして配布されました。


AKBuilder と似てはいましたが、このツールで使用されていた暗号鍵および埋め込み型のエクスプロイトブロックは異なるものでした。


次の画像は、このツールで生成された最終的な RTF エクスプロイトです (1 つ目のファイルの場合、最近の AKBuilder バージョンで生成された RTF ファイルと非常によく似ています)。



MWI の作成者がこのスクリプトを購入し、それに基づいて最初のバージョンをリリースしたと考えられます。このスクリプトは後に、より MWI のスタイルに近づいていきました。


SophosLabs が実環境で最初のサンプルを確認したのは、地下フォーラムで最初に発表されてから 1 週間後のことでした。その後、このエクスプロイトは広く使用されるようになりました。


対策


前述したように、Microsoft は MS16-121 の脆弱性に対するパッチをすでに公開しています。また、Microsoft はセキュリティ情報の中で、「コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます」と記しています。

さしあたり、ユーザーは信頼できるソースからのファイルだけをダウンロードするようにしてください。

引用元

おすすめの記事はこちら