Underconstruction by Taiyo このページをアンテナに追加 RSSフィード

9th. April. 2004

初のMac OS X用トロイの木馬

MP3ファイルのID3タグに偽装されたトロイの木馬が発見された。

このトロイの木馬を用いることによって以下のような機能を有する可能性がある。

  • ユーザーのファイルを削除する
  • 自分自身のコピーをメールする
  • 他のMP3/JPEGGIFQuickTimeファイルに感染する。
    • てこたぁ、怪しいのはMP3ファイルだけじゃないってことだ。

予想通りと言うか……Mac OS X用のmalwareを作るのは、技術的にそれほど困難ではない。こんなヌルい方法じゃなくてもっと爆発的にマックコミュニティにダメージを与える方法もある……というわけで、キディを防ぐためだろうが技術的な情報はほとんど書かれていない。

アプリケーションが通常のファイルに偽装する手段をとっている、ということだろう。いずれにせよ、ついにきた、ということである。

しかし、この情報、他でどこかであがってないかしら?

詳細超訳

トロイの木馬はMP3ファイルのID3タグに埋め込まれており、全てのバージョンのMac OS Xで動作するアプリケーションを隠し持っている。

Mac OS Xは.mp3拡張子のあるファイルにMP3ファイルのアイコンをつけ、アプリケーションであると表示しないため、ユーザはファイルをダブルクリックすれば音楽が聞こえると誘導される。しかし、ダブルクリックを行うと隠されたコードが起動し、Mac OS Xが動作するコンピュータへダメージを与えることになる。iTunesでこのトロイの木馬に含まれるMP3を聞くことができるため、ユーザは音楽ファイルだと信じてしまうだろう。

このトロイの木馬は始まりに過ぎない。この技術を用いてよりシリアスな脅威を導くことが可能だ。

我々が同定したトロイの木馬の最初のバージョンは安全なものであった。だが、この技術を用いてよりシリアスな脅威を導くことが可能である。

考察

「ユーザのファイルを削除する」から得られる情報として、これはユーザ権限で動作するトロイの木馬である、ということが、まず安心の種といえる。つまり、多々ある権限昇格技法を用いるような凝ったモノじゃないってことだ。

次に、Double clickで起動する、という性格から考えるに、アプリケーション/スクリプトのたぐいであろうことも予想できる。HTMLやQuickTimeからのコード実行であれば、Safari脆弱性であったりQuickTime Playerの脆弱性という形で現れるだろうからだ。

さらに、ダブルクリックでなくiTunesで聞くことができる、という情報からは、データフォークではなくリソースフォークに実行ファイルが潜んでいる可能性がある。とともに、アプリケーションがファイルに偽装している可能性がある

Appleへこの際提案したい

/Applications、~/Applicationsや/bin,/usr/local/binなど、決められた位置以外からのプログラム起動の拒否。

リソースフォークの撤廃。

以上二点、Mac OSから引きずった仕様が、我々ユーザを今後苦しめるであろう。この際、これらの機能を削ってしまえ。

本家情報vmタソサンクス

このコンセプトファイルは、Carbon/CFMアプリケーションだ。ファイルタイプはAPPL。れっきとしたアプリケーションであるし、ファインダーのプレビュー欄でも「アプリケーション」と見える。

ちなみに、Mac OS 9以下でも動作するらしい。

PPCコードの断片がID3ファイルに入れてあるとのことである。

たのむからこういうデリケートなファイルを糞.sitで固めないでくれ(TTこいつ、QuickTime自動実行脆弱性知らんのか?

ココへリンクする人へお願い

ウチへのリンクなんざどーでもいいから、一次情報http://www.intego.com/news/pr40.htmlをヨロ。

あ、ITmediaにもMP3のID3タグに潜むMac OS Xウイルスが見つかるがあがってたのか。こっちでもいいね。

Mac OS Xの根源的な脆弱性

このトロイの木馬はMac OS Xの脆弱性を利用している、とあちこちで書かれている。

じゃあ、その脆弱性ってどういうことなのよ。という解説が、実はほとんどないね。

まず今回のトロイの木馬に関して言えば、特定の拡張子を持ったアプリケーションがファイルに偽装されてしまうという脆弱性がある。がご存知の通り、アイコンを書き換えちゃえばいくらでもユーザを騙すことができるんで、回避のしようがないと考えられる。

で、私はMac OS Xにある別の脆弱性が、このトロイの木馬や今後出てくるMac OS X用のMalwareに利用されるであろうと予測する。

それは、どこに置いたアプリケーションでも実行できてしまう、という脆弱性だ。ダウンロードフォルダにダウンロードしただけのアプリケーションであっても即実行可能。ファイルの振りをしたアプリケーションでも実行可能、ファイルパスさえ判ればブラウザなどからリモートでも実行可能。ダウンロード>マウントしたディスクイメージからでも実行可能だ(QuickTime自動実行脆弱性を用いるとマウントした瞬間に自動的に実行できる。あの脆弱性も、ここに起因している訳だ)

だからこそ、/Applicationsや~/Applicationsに入れるなり「実行属性」をつけるなり、ユーザが自分の意志で「これはアプリケーション」としなければアプリケーションとして振る舞えない仕組みを導入するべきなんだ。

UNIX的な知識や経験はほとんどないけど、/binや/usr/local/binなど「pathの通った」場所でなければアプリケーションが実行できないというのは、こういう脆弱性を持たないために必要で一般的な措置なんだよね。Mac OS Xが登場したときに古マクユーザの声など聞かず、アプリケーションの実行パスは縛っておけばよかったのにね

現状での対処

[harden-mac:0630] Re: First Mac OS X Trojan Horsrでおしかりを受けました。

最悪のシナリオを想定してアナウンスなどを行うべきとのこと。全く恥じ入るばかりです。

INTEGOがどのようなトロイの木馬を見つけたのかが公開されていない以上は「出所不明のファイルを開かない」という対処を行う必要があります。

また、実行ファイルとなるトロイの木馬が登場したことで、この件に限らずSafariの環境設定>ダウンロード後「安全」なファイルを開くチェックボックスはオフにしておくことをお勧めします。

広告

Symantec Corp. said they were aware of the Trojan, but noted that the virus has not been found in the "wild." "Symantec Security Response is aware of the MP3Virus.Gen Trojan," a spokesperson from Symantec Security Response, told MacCentral. "It is a proof of concept Trojan that does affect the Mac platform, however it is currently not present in the wild. Symantec Security Response will continue to closely monitor this and any other potential threats to the Mac OS X platform."

MacCentral

いずれにせよ「出所不明のファイルは開かない」「安全なファイルを開くをオフ」だけど……実際のところどうなんだろね。

あと、しろやまさんの対処にも後ほど言及予定。

可能性の問題

INTEGOの各所のコメントを読み、注意深く読みなおすと「可能性」についての言及であることがわかりました。つまり、現時点ではいまだ実在する悪意のトロイの木馬は出回っていない「可能性」が大きいということです。

いい教訓になりました。可能性だけの話であるならば……やめとこ……先にAppleに報告だぁな。

「アプリケーションパスの限定」あるいは「実行属性の付与」については、今回のトロイの木馬のようなもの、また管理者権限で使うユーザが多いMac OS Xが持つ潜在的な脆弱性を根源的に遮断できる一つの考え方だと思うんで、いろいろ実験してみます。

今回の反省

次回があれば、もっと慎重に発言しなければならないですね。もっとシンプルに問題に向き合っていれば、よりよい情報が発信できたはずと反省しています。2年前のQuickTime自動実行脆弱性の暴露以来頭の片隅を占めていた「Mac OS Xで安全なアプリケーションのありかたとは?」というテーマ(妄想ですか)が、余計な情報を紛れ込ませ、読んでいる方々に間違っていたり誇張されていたり、このときこの場で読んでも意味がない情報をいくつか紛れ込ませました。

今日の日記は後日メンテナンスする予定ですが、それまでは、騒いでしまった反省のため残しておくことにします。

やっと出ましたね

otsuneotsune 2004/04/09 15:27 うーん。既存の黒いテクニックを幾つか組み合わせて、自社製品の宣伝のためにセンセーショナルな事をしている気がする…

t_tracet_trace 2004/04/09 15:38 私も、そう思い始めました。

vm_convertervm_converter 2004/04/09 16:43 .....orz

たまちゃんたまちゃん 2004/04/09 18:02 Intego の警告の「benign」という言葉がすべてを物語っていると思います。まったく人騒がせです。

たまちゃんたまちゃん 2004/04/09 18:04 すみませんでした。

t_tracet_trace 2004/04/09 18:25 あ、う。ミススペルだとばっかり……(滝汗>超訳参照してる人〜、後で直しますね。

vm_convertervm_converter 2004/04/09 18:33 「良性(の)」ですか...。

shiroshiro 2004/04/09 18:55 LaunchService を経由してのアプリの起動に関しては、いくつかのパスだけを信用する原則になってます( http://developer.apple.com/documentation/Carbon/Conceptual/LaunchServicesConcepts/LSCConcepts/chapter_2_section_5.html ) 。ただし、これも「Finder でアクセスしたフォルダにあったアプリケーションはリストに入れてしまう」のですが...。この挙動は古マカーの為にあります。てか、古マコスはもっとひどくてデスクトップの再構築をすると全ての領域にあるアプリが対象となり、かつどこが優先されるか未だによく分かりません。参考のために NeXTの WorkspaceManager の挙動を申し上げますと「Dockに登録されたアプリ」が最優先で、あとは各所の Appsフォルダ以下をチェック、それ以外のアプリは対象外でした。ええ、そういう意味では確かにFinder は退化してますが、古マコスよりは「進化」しているといえます。

t_tracet_trace 2004/04/09 20:38 なんかすごい事書いてる人がいるし(汗 ぷぷぷれっしぁーですか?

taiyofj. Get yours at bighugelabs.com/flickr