LNKエクスプロイトに関するその後の分析
LNKショートカットファイルを使用する新たなゼロデイエクスプロイトがSCADAシステムを狙っている。SCADAのセキュリティが話題となりそうだ。
Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。
われわれは同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1Kバイトだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリーとして検出される。
われわれは昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。
同ルートキットコンポーネントは、デジタル署名されており、われわれは有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。
いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。
有効なデジタル署名を用いた悪意あるソフトウェアについては、F-Secureのヤルノ・ニエメラが先ごろ、「Caro 2010 Workshop」のプレゼンテーション(署名されているのだからクリーンでしょう?)で予測していた。
標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザーが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組み合わせを使用しているようだ。
従って、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている。
われわれは今後も同ケースについて進展があり次第、詳細を報告する予定だ。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
- 未解決のWindowsの脆弱性を突く攻撃コード出現、SANSが警戒レベルを引き上げ
Windowsのショートカット処理の脆弱性を悪用した攻撃コードやワームが出現し、攻撃の拡大が予想されている。 - Windowsに新たな脆弱性、標的型攻撃の発生も
ショートカットファイルの処理に起因する脆弱性が見つかり、コードを実行させようとする攻撃が発生しているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.