シマンテックは最近、Java の新しい脆弱性として、Oracle Java Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2013-1493)に関する情報を受け取りました。この攻撃の最終的なペイロードは DLL ファイルで構成され、これが IP アドレス 110.173.55.187 にあるコマンド & コントロール(C&C)サーバーに接続します。シマンテックはこの DLL ファイルを Trojan.Naidとして検出します。
注目すべきなのは、ある Trojan.Naid のサンプルも、危殆化した Bit9 の証明書で署名されていた点です。この証明書は、Bit9 のセキュリティ事案に関する更新情報で報告されているとおり、他の標的に対する攻撃にも使われていました。そのサンプルで裏の通信サーバーに使われていた IP アドレスも、110.173.55.187 だったのです。
Trojan.Naid の攻撃者は非常に執拗で、いくつもの攻撃で巧妙な手口を利用しています。その主な目的は、さまざまな業種に対する産業スパイ活動です。攻撃者は複数のゼロデイ脆弱性を悪用しており、2012 年に確認されたある例では、シマンテックが以前に報告したとおり、別のゼロデイ脆弱性を悪用した「水飲み場」型攻撃を仕掛けています。このときに悪用されたのは Microsoft Internet Explorer の Same ID プロパティに存在するリモートコード実行の脆弱性(CVE-2012-1875)でした。
Image may be NSFW.
Clik here to view.
図 1.最新の Java ゼロデイ攻撃の流れ
図 1 に示すように、この攻撃の初期段階は、感染したサイトに標的がアクセスするとことから始まります。このサイトには悪質な JAR ファイル(Trojan.Maljava.Bとして検出されます)がホストされています。JAR ファイルには CVE-2013-1493 を悪用する脅威が含まれており、侵入に成功すると svchost.jpg というファイルがダウンロードされます。これは実際には MZ 実行可能ファイルであり、Trojan.Dropperとして検出されます。この実行可能ファイルが、投下された appmgmt.dll ファイル(Trojan.Naid として検出されます)のローダーとして機能します。侵入検知(IPS)の更新は、まもなくリリースされる予定で、悪質な JAR ファイルについて以下の定義が含まれています。
Web Attack: Malicious Java Download 4
シマンテックは現在、このゼロデイ脆弱性に対する保護対策をさらに調査中であり、詳しいことがわかり次第このブログを更新する予定です。今後のゼロデイ攻撃から身を守るために、最新の STAR マルウェア対策技術を利用して、できるかぎりの保護対策を講じることをお勧めします。
この新しい Java ゼロデイ攻撃について詳しくは、FireEye 社のブログを参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。
