LNKエクスプロイトに関するその後の分析

LNKショートカットファイルを使用する新たなゼロデイエクスプロイトがSCADAシステムを狙っている。SCADAのセキュリティが話題となりそうだ。

[sean sullivan，エフセキュア]

　Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

　われわれは同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1Kバイトだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリーとして検出される。

　われわれは昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

　同ルートキットコンポーネントは、デジタル署名されており、われわれは有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

　いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

　有効なデジタル署名を用いた悪意あるソフトウェアについては、F-Secureのヤルノ・ニエメラが先ごろ、「Caro 2010 Workshop」のプレゼンテーション（署名されているのだからクリーンでしょう？）で予測していた。

　標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザーが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組み合わせを使用しているようだ。

　従って、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている。

　われわれは今後も同ケースについて進展があり次第、詳細を報告する予定だ。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

セキュリティの最前線はエフセキュアブログで

原文へのリンク