文書ファイルや圧縮ファイルを添付してマルウェアを拡散させる不正なスパムメールによる攻撃手法は、過去から現在まで絶えず攻撃者が使用しているマルウェア拡散方法のひとつである。AhnLab ASEC 分析チームは、多数の顧客から収集したスパムメールを分析した結果、電子メールに添付された不正な文書ファイルからダウンロードされたファイルが主に Crypter 系の情報流出型マルウェア(HawkEye、Nanocore、FormBook、Lokibot、Remcos)であることを確認した。Crypter 系のマルウェアは、暗号アルゴリズムを使用して AV シグネチャ検知ができないように、ファイル内部にマルウェアを暗号化した状態で保存したものをいう。

スパムメールに添付された不正な文書ファイルは、以下の [図2] のようにユーザーのアクションが必要な場合と、そうでない場合に分けられる。

[図2] のような文書には、追加のマルウェアをダウンロードするマクロ機能を有効化するために、「Enable Editing」、「Enable Content」のような文句が文書内容に含まれている。
この場合、ユーザーが「コンテンツの有効化」ボタンをクリックしなければ追加のマルウェアはダウンロードされないが、問題はこれらマクロの形式ではなく、脆弱性を悪用した文書ファイルはユーザーのアクションがなくてもマルウェアをダウンロード、および実行する機能を持っていることである。そのため、文書自体を開かないようにする細心の注意が必要である。
ユーザーのアクションが不要であり、文書を開くだけでも追加のマルウェアがダウンロードされる恐れのある不正な文書ファイルは、主に RTF(Rich Text Format) 文書の脆弱性を利用している。RTF はマイクロソフトが開発した文書形式であり、フォーマット自体の互換性が容易なため、一部の RTF 文書ファイルは、アレアハングル(Hangul Word Processor)でも開くことができる。
攻撃者が使用するRTF文書の脆弱性の主な攻撃ベクトルは次の通りである。
OLE2Link 脆弱性 |
CVE-2017-8570 |
CVE-2017-0199 |
CVE-2017-8579 |
攻撃者は、RTF フォーマットの脆弱性以外にもRTF内部のストリームオブジェクトに MS Office の数式エディターの脆弱性を挿入し、追加のマルウェアをダウンロードするシェルコードを実行することもある。
MS Office 数式エディターの脆弱性 |
CVE-2017-11882 |
CVE-2018-0802 |
ユーザーが脆弱な RTF 文書ファイルを開いた場合、本文内容が以下の [図3] のように正常な場合もあるが、[図4] のように認識が困難な文字列の形式で本文内容を含んでいる場合もある。ユーザーは、添付ファイルを開くときにメール内容と関連性のない内容であったり、本文の内容が認識できない文字列の形式を持っていたりする場合、RTF の脆弱性を利用した文書である可能性を疑ってみる必要がある。


分析の結果、不正な RTF 文書によって最終的にシステムにダウンロードされるマルウェアは、HawkEye、Nanocore、FormBook、Lokibot、Remcos等、すでに広く知られている情報流出型マルウェアが大半であることを確認した。マルウェアの製作者は Nanocore のような既知のマルウェアに対するAVシグネチャ診断を難しくするために、VB 6.0、Delphi、AutoIt、.NETのような言語を使用して、そのマルウェアを内部に暗号化した状態で保存する。

Crypter 系のマルウェアが実行されると、ファイル内部の暗号化されたPEを復号した後、RunPE、ProcessHollowing のような手法を使用して他のプロセスにインジェクションして作動する。
結果的に情報流出型マルウェアがユーザーのPCで実行されると、FTP、Web ブラウザ、Outlook パスワード等、ユーザーのアカウント情報が流出する恐れがあり、攻撃者によって流出情報を利用した第2の攻撃を実行される恐れがあるため、出所が不明なスパムメールを開かないように特に注意が必要である。
また、ユーザーは MS Office プロダクトラインのセキュリティ更新プログラムを最新の状態に保ち、脆弱性にさらされないように注意しなければならない。
現在、AhnLab 製品ではRTFの脆弱性文書ファイルを次のように診断している。
[ファイルの診断]
– RTF/Exploit.Gen (2018.05.17.00)
– RTF/Cve-2017-0199.Gen (2017.07.12.00)
– RTF/Cve-2017-8759.Gen (2017.10.19.00)
– RTF/Malform-A.Gen (2018.07.04.00)
– RTF/Malform-B.Gen (2018.07.04.00)
– RTF/Malform-C.Gen (2018.07.04.00)
– RTF/Malform-D.Gen (2018.07.04.00)
– RTF/Malform-E.Gen (2018.07.04.00)
– RTF/Malform.Suspic (2018.07.04.00)
[行為の診断]
– Malware/MDP.Downloader.M1881
Categories:マルウェアの情報