ウイルスメール実例document.zipからショートカットファイル? 標的型攻撃
 
{{{ 2016年10月 更新 }}}
 
イギリスのセキュリティ会社 Sophos(ソフォス) がWindowsの ショートカット(拡張子 .lnk) を悪用した攻撃手口を紹介してます。
 
この記事の中で 日本語で記載されてるウイルスメール の実例が掲載されていて何じゃこれなので文字起こししておきます。 <日本の大学関係者宛て?
件名 [~塗りつぶしで不明~]
添付ファイル document.zip
[~塗りつぶしで不明~]
学会では短い時間お話ししただけですが、ずっと尊敬に思っていた先生にお会いすることができてすごく嬉しかったです。
実は、僕が今研究してるプロゼックトに関して少しお伺いしたいことがありまして失礼ながらもメールをお送りします。
詳細な質問は添付いたします。
この分野に詳しい先生から僕のプロゼックトについてご意見を伺いできればこれからの研究に大きな力になると思います。
お忙しいなか、突然のメールで申し訳ございませんが、何卒よろしくお願いいたします。
Beware of ransomware hiding in shortcuts – Sophos Naked Security
https://nakedsecurity.sophos.com/2016/08/03/beware-of-ransomware-hiding-in-shortcuts/

メールの添付ファイルはショートカット

メールの添付ファイルは ”ドキュメント文書”  と思わせるZIP形式の圧縮アーカイブとなってて、この中身が 不正なショートカットファイル でした。 <よくある怪しい実行ファイルではない!
 
オンラインスキャンサイト VirusTotal にアップされてたファイルの情報です。
 
《2015年11月》
document.zip (16,088 バイト)
www.virustotal.com/ja/file/345928523be759511559028d8f763b6c6375b62264b9d15c41d0f271cfbdab62/analysis/1448413308/
 
└ index.html (15 バイト)
 
└ document.docx.lnk (19,083 バイト)
MD5 eca4a364021b7449bc2288d6779f3909
www.virustotal.com/ja/file/c2e99eedf555959721ef199bf5b0ac7c68ea8205d0dff6c208adf8813411a456/analysis/1454920356/

 
《2016年4月》
document.zip (15,141 バイト)
www.virustotal.com/ja/file/551421e1abbb1d0aea2ac752420366cb635482c58478225eb6fb3074dc22e328/analysis/1461027721/
 
└ index.html (15 バイト)
 
└ document.docx.lnk (18,129 バイト)
MD5 5ebfaf2316f6afd576d3c0cbaa5c9c1a
www.virustotal.com/ja/file/606e98df9a206537d35387858cff62eb763af20853ac3fa61aee8f3c280aaafe/analysis/1461031400/

 
このサイバー攻撃で富山大学は実害が発生したことを公表しており、複数の大学の関係者を狙って実施された模様です。
 
富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について|富山大学
https://www.u-toyama.ac.jp/news/2016/1011.html 

ショートカットウイルスの危険性

巷では 『怪しいファイルを開くな!』 と言われるけど、見抜くのがけっこう困難なショートカットファイルが採用されてます。
  • ショートカットは拡張子が必ず表示されない仕様があり、この攻撃ではWord文書ファイル(.docx)が送られてきたかのよう誤認せざるをえない
     
  • ショートカットはアイコン画像の偽装も可能で、この攻撃ではダミーとしてWord文書用アイコンが実際に反映されてた?
     
  • 広く一般ユーザーに行われるウイルスメール攻撃キャンペーンの定番手口は スクリプトファイルOfficeファイル+マクロ、実行ファイル なので、ショートカットを悪用する手口は必ずしも多くない
うっかり開いてしまうのを前提としたウイルス対策もあって、実行ファイル cmd.exe & powershell.exe をファイアウォールのアウトバウンド(送信側)で通信ブロックしておくと高確率で防止できます。
 
 
標的型攻撃であっても不正なファイルをユーザーにダブルクリックで開かせる手口なので、メールソフトのプレビュー機能でメッセージを開いて見ただけでウイルス感染を被るような手法は行われてません。
 
関連するブログ記事