「Scanbox」が日本を偵察中

去年8月に米国AlienVault社のブログ(*1)で報告されたScanboxという偵察ツールがあります。これは、JavaScriptだけで書かれた偵察ツールで、Webサイトへ訪問しただけで、OS、ブラウザ、ウイルス対策ソフトを含む各種ソフトウェアの種別やバージョン情報が収集されてしまうものですが、弊社では、去年の秋くらいから、このツールが日本でも使われたことを数件確認しています。

この悪意あるJavaScriptを訪問者のブラウザで実行させるための流れは図1の通りです。

Scanbox01_4

       図1 Scanboxを使った偵察行為の流れ

よくあるWeb改ざんを使ったマルウェア感染の手法と同様に、scriptタグを正規サイトへ埋め込み、Scanboxを設置したサーバへ誘導します。(図2) このリンクを埋め込まれた正規サイトは、弊社の確認する限り、最先端技術を取り扱う民間企業や学術機関のWebサイトでした。

Scanbox02

       図2 攻撃者が正規サイトに埋め込んだリンク

Scanboxは、まず訪問者のIPアドレス、Referer、User-Agent、Charset、解像度、OSの言語設定などをPOSTで送ります。(図3)

Scanbox03

       図3 Scanboxロード直後に最初に発生するPOSTリクエスト

次に、Scanboxは、PCにインストールされた様々なソフトウェアの存在確認を行います。(図4)コードを確認すると、ウイルス対策製品だけでなく、iTunesやWinZipなどの存在確認も行っています。

Scanbox04

       図4 インストールされたソフトウェアの存在確認(Scanboxのコードから抜粋)

ソフトウェアの存在確認方法は、AlienVault社のブログにも詳細が記載されていますが、IEで使用できるresスキーム(res://)を使って、存在確認したいソフトウェアのPEファイルのリソースを参照する方法(図5)と、XML DOMの脆弱性を利用する方法があります。

Scanbox05

       図5 resスキーム(res://)でPEファイルのリソースを参照したところ

このScanboxの特徴は、前述したように、JavaScriptだけで書かれており、RATなどの実行ファイル形式のマルウェアが一切使われないということです。偵察行為だけを目的としており、組織への侵入は行わないのです。おそらくは、偵察した結果をもとに、本当の標的を絞り込み、近い将来に実行する攻撃手法を設計するのだろう、という見解が、AlienVault社などのブログに掲載されています。他国が欲しがる最先端技術を取り扱う企業や学術機関のWebサイトへ訪問した人や組織の中には、その技術を様々な分野に活用するであろう組織が含まれており、その中から、本当の標的が選定され、近い将来に標的型攻撃を受ける可能性を示唆しています。これは、「水飲み場攻撃」ならぬ「水飲み場偵察」と言っても良いでしょう。また、米国CrowdStrike社(*2)によると、DEEP PANDAと呼ばれる攻撃者グループがScanboxを使ったという事例が報告されています。DEEP PANDAは、過去に日本の組織を標的とした水飲み場攻撃を実行した疑いをもたれているグループです。

最後に宣伝で恐縮ですが、海外からの偵察行為に特化した内容を、5月に開催される情報セキュリィテEXPOのセミナーで話します。もしよろしければご来場ください。

セミナーのご案内:
海外から狙われる企業秘密を守れ! ~サイバー空間におけるスパイ活動とは~
http://www.ist-expo.jp/ja/Technical-Conference/#IST-3

*1
https://www.alienvault.com/open-threat-exchange/blog/scanbox-a-reconnaissance-framework-used-on-watering-hole-attacks

*2
http://blog.crowdstrike.com/ironman-deep-panda-uses-sakula-malware-target-organizations-multiple-sectors/

前へ

マルウェア解析奮闘記 ~難読化JScriptを解析せよ~

次へ

Emdiviを使う攻撃者の素性