Internet Security - Trend Micro

Microsoftが11月27日(米国時間)に発表した、Windows XPおよびWindows Server 2003のゼロデイ脆弱性。これは不正なPDFファイルを利用しバックドア型の不正プログラムを仕込むといったものだが、トレンドマイクロのセキュリティブログ記事「Windows XPのゼロデイ脆弱性利用により作成されるバックドア型不正プログラム、複数の解析回避手法を利用」が、このゼロデイ脆弱性を利用してインストールされるバッグドア型不正プログラムの動作を解説している。複数の方式を組み合わせて巧みに動作すると説明がある。

このゼロデイ脆弱性を利用して送り込まれるバックドアは、自分自身が不正プログラムであると検出されることを避けるために、まず解析プログラムが動作している間には処理を実施しない仕組みになっている。デバッグ情報の送信を禁止するために新しいスレッドを生成して特定の値を設定するというリモートデバッグにおいて利用が想定されている機能を利用するという処理も実施。また、システムのセキュリティ脆弱性を利用してシェルコードの実施も行う。

IEなどのブラウザへ復号化のためのコードをインジェクトし、PEヘッダを持たないデータを抽出。処理がこの読み込まれたコードに移る前にセクション前処理とテーブルの準備などを実施して不正処理の準備を整える。システムから情報を収集した後、改ざんされたと見られるWebサーバへデータを送信するという処理を実施すると説明がある。バックドアの動作が巧妙であり、ソフトウェア的な発見を困難にする工夫が凝らされていることがわかる。このようにゼロデイ脆弱性と検出回避技術が組み合わせて利用されることは希であるとしており、従来よりも攻撃がより巧みになっていることがわかる。

Windows XPのサポートは2014年4月に終了し、Windows Server 2003はさらに1年ほど先となる2015年7月にはサポートが終了する見通しになっている。しかしNet Applicationsの報告によるとデスクトップオペレーティングシステムとしてのWindows XPのシェアは30%を超えており、セキュリティサポート終了後のWindows XPが不正利用の温床になる可能性があり注意が必要といえる。