標的型攻撃を仕掛ける攻撃者が攻撃される可能性

攻撃ツール「Poison Ivy」に脆弱性、NTTデータ先端技術がレポート公開

2012/07/25

 NTTデータ先端技術は7月25日、Remote Administration Tool(RAT)の「Poison Ivy」のC&Cサーバに存在する、バッファオーバーフローの脆弱性に関する検証レポートを公開した。

 Poison Ivyはバックドアやトロイの木馬に分類されることもある攻撃ツールだ。被害者のPCにインストールされる「クライアント」(いわゆるボット)と、それを制御する攻撃者の「C&Cサーバ」で構成されており、リモートから侵入先のPCを制御したり、情報を盗み取ったりする。2011年に相次いで発生した標的型攻撃に使われていたことでも有名だ。

 レポートによると、Poison Ivy 2.3.2には脆弱性があり、C&Cサーバに細工したパケットを送信することにより、任意のコードを実行させ、その制御を奪い取ることが可能だ。この結果、Poison Ivyを利用している悪意あるユーザーが、さらに悪意あるユーザーによって攻撃される可能性がある(さらにいえば、攻撃を受けたPCからの報復措置を可能にするとも言える)。

poisonivy01.jpg 細工したパケットを送信することで、悪意あるユーザーが悪意あるユーザーのシステムを乗っ取ることが可能になる(NTTデータ先端技術のレポートより)

 このとき、C&Cサーバ/クライアント間にあらかじめ設定されたパスワードを知っている必要があるが、同社によるとこれも、総当たり攻撃によってかなり高い確率で割り出し、攻撃できてしまうという。さらに、この脆弱性について報告したイスラエルのセキュリティ研究者によれば、Windows 7のセキュリティ機構であるDEPやASLRもバイパスされるという。

 同社はこの検証を踏まえ、最も確実な対策は「そもそもこのようなプログラムは使用しないこと」であると述べている。なお、Poison Ivyの作者からこの脆弱性に関するアナウンスはなされていない。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH