見慣れないXLLファイル(Excelアドイン)を使う攻撃に要注意!
~サンドボックスやアンチウイルスをすり抜けるExcelアドインとは?~
情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、まだ注意喚起がほとんど行われていないXLLファイル(Excelアドイン)を使う攻撃についてのセキュリティレポートを公開したことを発表いたします。昨今、見慣れないXLLファイル(Excelアドイン)を使う攻撃が増えています。弊社が入手した不審なXLLファイルをもとに、どのようにマルウェアに感染するのか検証しました。また、XLLファイルの懸念点として、サンドボックスで挙動を再現できず、アンチウイルス製品での検知率が低いことが判明しました。
見慣れないXLLファイル(Excelアドイン)を使う攻撃が増加中
2021年9月2日、日本医師会を騙る不審なメールがばらまかれているとして、日本医師会の公式サイトにて注意喚起が発出されました。
【注意喚起】日本医師会を騙る不審メールの流通について
https://www.med.or.jp/nichiionline/article/010228.html
右:日本医師会を騙る不審メールの例(注:報告情報をもとに弊社で再現)
メールに記載のリンクをクリックすると、インターネット上からExcelファイルのダウンロードがされたとのことです。デジタルアーツでは、この不審なExcelファイルを入手しました。XLLファイルを使用した攻撃は海外では観測されているものの、国内ではあまり観測されておらず、また注意喚起もほとんど行われていません。
メールから誘導される不審なファイルはExcelのアドインファイル
ファイル名の末尾にはあまり見慣れない「.xll」という拡張子がありますが、これはMicrosoft Excelのアドインファイルです。
XLLファイルは「Warzone RAT」というマルウェアに感染するものでした。RAT(Remote Administration Tool または Remote Access Trojan)とは、遠隔操作型マルウェアです。「乗っ取り」の手法で、端末内の情報を盗む、もしくは端末に対して不正な操作を指示することにより、さらに攻撃の範囲を広げることなどが想定されます。今回の日本医師会を騙ったメールは、文章が日本語で記述され、おとりのファイルも日本語で作成されていました。明らかに日本をターゲットにしたものと想定されます。XLLファイルを用いた攻撃について、サイバーリスク情報を無償で提供する弊社「Dアラート」でも何度か発出しております。
▼
・08/27から発生していたマルウェア(Warzone RAT)に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=146
・08/12から発生していたマルウェア(Vidar)に感染させると考えられるメールの受信・URLアクセスを検知
https://www.daj.jp/bs/d-alert/bref/?bid=144
サンドボックスやアンチウイルスをすり抜けるExcelアドイン
・サンドボックスで挙動を再現できない場合がある
サンドボックス製品でインストールされているExcelが古いバージョンの場合、アドインを動かすことができず悪性の挙動を検知できません。また、一部のサンドボックス製品においては新しいバージョンのExcelを使っていても、XLLファイルをExcelで開くように処理ができておらず、アドインの悪性の挙動を検知できていないものがありました。
・アンチウイルス製品での検知率が低い
オンラインマルチスキャンサービスを使って確認したところ、アンチウイルス65製品中2製品しか検知していなかったものもありました。もちろん確認する時間によって異なりますし、時間が経てば各アンチウイルス製品にシグネチャ(マルウェアや不正アクセスといった攻撃の特徴的なパターン)が登録されるため検知できる製品数は増えていきます。しかし、アンチウイルス製品に登録される前の、メールがばらまかれた当時にはアンチウイルスの検知をすり抜けているということが考えられます。
▶セキュリティ対策の新定番!「ホワイト運用」を実現
情報システム部門の運用負荷を削減でき、安全にアクセスできる情報のみ触れることができる「ホワイト運用」で、受信したすべてのメールを開け、アクセスしたいWebをクリックできるセキュアな世界を実現しませんか。「m-FILTER」Ver.5では、メールにXLLファイルが添付されている場合には偽装メール対策「添付ファイル偽装判定」により、添付ファイルを"実行形式ファイル"および"禁止拡張子"として危険性のあるファイルと判定するため、メールの受信を防ぐことが可能です。「i-FILTER」Ver.10では、「ダウンロードフィルター」機能によりWebからのXLLファイルやその他の危険なファイルのダウンロードを防ぐことが可能です。
▶添付ファイル偽装判定 https://www.daj.jp/bs/mf/#mf_func02
▶ダウンロードフィルター https://www.daj.jp/bs/i-filter/#if_02_f01
▶デジタルアーツの「ホワイト運用」https://www.daj.jp/bs/ifmf/
▶見慣れないXLLファイル(Excelアドイン)を使う攻撃についてのレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート https://www.daj.jp/security_reports/211005_1/