TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導?

f:id:tanigawa:20160814110425j:plain
フィッシングメールのサンプル
出展: http://news.mynavi.jp/news/2015/07/03/626/

f:id:tanigawa:20160814111957j:plain
逆アセンブルリスト(一部)
出展: http://news.mynavi.jp/news/2015/07/03/626/


【概要】

■APT3/UPS

  • APT3は特に危険な標的型攻撃を行うグループ
  • APT3は、航空宇宙・防衛、建設・土木、ハイテク、通信、運輸といった業種を標的にしている

■攻撃手法

  • 今回URLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクト
  • Adobe Flash Playerの脆弱性「CVE-2015-3113」を使用


■アンチフォレンジック解析手法

  • 一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回
  • ROPを用いてデータ実行防止(DEP)機能を迂回
  • 一定のROP検知手法も回避
  • ペイロードはXORで暗号化
  • ペイロードは画像内に隠蔽
  • RC4パッカーでパック
  • RC4の鍵と暗号データは、BinaryDataブロブに格納
  • ActionScript3内で自らのクラスを定義


【ニュース】

◆Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導? (マイナビニュース, 2015/07/03)
http://news.mynavi.jp/news/2015/07/03/626/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019