ジャストシステムの一太郎を標的にするマルウェア攻撃が活動か

はじめに

FortiGuard Labsは、世界中のフィッシング詐欺やスパム攻撃を継続的に追跡しています。実行可能ファイル(exe、dll、MachOなど)を含むOffice文書といった世界共通の攻撃経路だけでなく、各地域の市場とその地域に特有の攻撃経路も追跡しています。これまでにも、Hancom Officeジャストシステムの一太郎などの特定の地域で利用されているツールを悪用する攻撃についての調査を実施し、お客様向けに警告を発表してきました。

最近、ジャストシステムの一太郎で使用されるファイル形式であるjtd形式の興味深いサンプルがいくつか発見されました。日本市場に馴染みのない方向けに、このソフトウェアについて簡単にご紹介します。

一太郎は、日本で最も人気のあるワープロソフトの1つです。ジャストシステムの一太郎のエクスプロイトはこれまでにも数多く見つかっていますが、今回の最新サンプルには、いくつかの注目すべき点があります。ところで、詳細分析に入る前に、現在進行形で新しい詳細情報が次々と明らかになっているという事実をお知らせしておかなければなりません(事実、このマルウェアのドメインの1つは、11月1日に発見されたばかりのものです)。しかしながら、このマルウェア攻撃の緊急性を考慮し、この未知の脅威ベクトルの警告を初期段階で提供する必要があると我々は判断しました。したがって、我々がレポートで提供する情報が結果として不完全なものになったり、短期間で状況が変わったりする可能性があることを予めお知らせしておきます。


一太郎の基礎知識

ジャストシステムの一太郎は、jtd形式を使用していますが、簡単に言えば、これはOLE2複合ファイル形式です。このブログ記事の本題から少し外れますが、いくつかの要点を簡単に説明しておくことにしましょう。jtd形式は、CFB(Compound File Binary)、あるいはOLE(Object Linking and Embedding)とも呼ばれるものの1つです。CFBファイルは、基本的にはファイル内のファイルシステム(FATと関連性のあるもの)を含むものであり、このファイルシステムにストレージ(一般的なファイルシステムのディレクトリのようなもの)が格納され、さらにそこに他のストレージやストリーム(ファイルのようなもの)が格納されます。そして、データがセクター(一般的には512バイト長)に格納されて、セクターのチェーン構造がファイルアロケーションテーブル(FAT)に格納されます。図1に、jtdファイルを示します(詳細分析でも、このファイルを重点的に調査することになりました)。


図1. jtdファイル

この図のディレクトリ構造を見れば、ストリームのサイズは明らかです。このサンプルで疑問だったのは、サイズの合計が12,229バイトであるにもかかわらず、実際のファイルサイズがはるかに大きかったこと(613,376バイト)であり、これはすなわち、ファイルに何か別のものが埋め込まれていることを意味します。


図2

この点に注目した我々は、同様のサンプルを探すことにし、この記事の執筆日現在で10件のサンプルが見つかりました(今後はさらに件数が増えるものと予想されます)。

最初に知りたかったのは、テスト環境でサンプルが活動するとどうなるかということでした。これらのサンプルが一太郎の脆弱性(ゼロデイ)のエクスプロイトであるという仮説を立てましたが、それは、同様の試みが過去に見つかったことがあるためです。ところが、驚いたことに何も起こらず、空白の枠が表示されるだけでした。


図3. 空白の枠

詳しく調べたところ、この空白の枠のリンク先がbmp画像であり、そのローカルパス(I:\Documents and Settings\Administrator\ƒfƒXƒNƒgƒbƒv\PROBLEM\Prairie Wind.bmp)が我々のマシンには存在しないことがわかりました。

現在までのすべての実験結果から判断すると、これらの脆弱性は一太郎の最新バージョンで修正されているものと思われます。そこで、この仮説を検証するために一太郎の旧バージョンを入手しようとしましたが、残念ながら、ジャストシステムが提供しているのは最新バージョンだけであることがわかりました。


図4. 更新日が2017.10.24の最新バージョン


解読による詳細分析

我々はさらに調査を継続し、詳細分析を試みることにしました。キルチェーンと活動の全過程を観察できなかったため、総当たり方式で鍵を推測し、ペイロードを解読することにしました。我々の分析によれば、この脅威の作成者はそれほど大きな手間をかけることなく、過去の多くの脅威と同様にxorや類似する方法での安易な暗号化スキームを使用し、妥当な時間内に総当たり方式で突破する方法を選択したようであり、AESやBlowfishなどの高度な暗号化方式は使われていないようです。

我々はそこで、実証済みのツールであるCryptamドキュメントスキャナを使ってみることにしました。そして、このツールによって鍵長が明らかになり、そこから、鍵そのもののxorの値である0xD6といくつかの暗号化パラメータが明らかになりました。

Zero space not replaced: yes
Bitwise not: yes


図5. 鍵長の視覚化(1バイト)

図5と図6に示すような、興味深い結果が得られました。暗号解読の詳しい解説は省略しますが、このグラフの読み方の簡単なヒントとして、上の図(1バイト)と暗号鍵が長い下の図(32バイト)での列同士の間隔に注目します。この2つの図を見ると、この暗号化方式の周期性をはっきりと確認できます。


図6. 鍵長の視覚化(32バイト)

我々が実施した、これらの疑わしい文書の暗号解読の概要をまとめると、次のようになります。


図7. 暗号解読の概要

我々はすべてのペイロードの抽出と解読に成功しましたが、さまざまな理由によって、そのほとんどに活動は確認されませんでした。最終的に、有効な実行可能ペイロードが取得されたjtd文書は2つだけあり、どちらのペイロードも同じファイルであることがわかりました。次のセクションでは、そのペイロードの分析結果を解説します。


図8. 解読されたペイロード


ペイロードの詳細分析

ペイロードのロジックのリバースエンジニアリングによって、次のようないくつもの有害性の指標が見つかりました。

  • 常駐化の試行
  • 追加ペイロードのインターネットからの取得と起動


図9. 全体の制御フロー


図10. 常駐化の試行


図11. 常駐化の達成


コールホーム

マルウェアは、ハードコーディングされたドメインへの接続も試行しました。アルゴリズムを以下に示します。


図12

コードの構造から判断すると、独自に開発されたコードである可能性が極めて高いと思われます。


図13

このドメイン(usjj.wwwcrazy.com)の活動開始がごく最近(2017年11月1日)であることがわかりました。


図14

このマルウェアは次に、追加ペイロードをインターネットから取得して起動しようとしますが、(存在するとすれば)そのペイロードは暗号化されています。そのため、暗号化されたペイロードのデコーダーがmtr_Launch() 関数に含まれていますが、これも独自の暗号化方式です。


図15. デコーダー

フラグに基づき、3つのデコーダーのいずれかが使用されますが、いずれのデコーダーも、次のような、ルックアップテーブルを使用するxorベースのアルゴリズムです。


図16


図17. ルックアップテーブル


図18

我々はドメインと通信の監視を続けてきましたが、注目すべき動きは現段階では確認されていません。有効なペイロードがない場合のこのマルウェアの活動と言えば、常駐化を継続しつつ、外部への接続の試行を繰り返すことだけです。


対策

  1. FortiGuard Antivirusサービスは、以下のサンプルを検知します。
    • 1363623174d369a06314a9e21358a23d W32/Small.CNK!tr.bdr
    • 0e244d9b3b06a60dce6f986e56a766a4 W32/Ichitaro_Tarodrop.I!tr
    • 4df28492ee6cfd3d24fc74f1a025e0d3 W32/Ichitaro_Tarodrop.I!tr
  2. FortiGuard Webfilterサービスは、ダウンロードされたすべてのURLをブロックし、悪意あるものとしてタグ付けします。
  3. ジャストシステムの一太郎をお使いの方には、速やかにパッチを適用して最新バージョンにし、エクスプロイトをブロックできるようにすることをお勧めします。

結論

現段階では、我々が発見し、検証したサンプルに有害性は確認されていませんが、不正ペイロードが開発される可能性があるため、注意が必要です。我々は、そういったペイロードが発見された段階で、コード再利用の手法を使用し、このマルウェアによる新しいペイロードのデコードの仕組みを解明したいと考えています。そうすることで、この進行中のマルウェア攻撃に関するさらに詳しい実用的インテリジェンスが得られるためです。

FortiGuard Labsは今後も継続して、このような新たな脅威に注目し、最新情報をお伝えする予定です。

この原稿は、Kadena Teamの協力を得て作成しました。この場を借りて深く感謝いたします。
-= FortiGuard Lion Team =-


IOC

サンプル:

1363623174d369a06314a9e21358a23d W32/Small.CNK!tr.bdr
0e244d9b3b06a60dce6f986e56a766a4 W32/Ichitaro_Tarodrop.I!tr
4df28492ee6cfd3d24fc74f1a025e0d3 W32/Ichitaro_Tarodrop.I!tre

URL:
usjj.wwwcrazy.com

毎週お届けするFortiGuardインテリジェンス概要、またはフォーティネットのFortiGuard脅威インテリジェンスサービスのオープンベータ版にご登録ください。