エフセキュアブログ

公衆無線Wi-Fiでのハッキング実験 日本語テロップ入り動画を公開



エフセキュアは、侵入テストを専門とするMandalorian Security ServicesとCyber Security Research Instituteの協力のもと、公衆無線Wi-FiのユーザーがSNSのパスワードなど重要なデータを簡単にハッキングされることを示す実証実験を、ロンドンにて行いました。テストは英国の3人の政治家、メアリー・ハニボール欧州議会議員デイヴィッド・デイヴィス下院議員ストラスバーガー上院議員の許可を得た上で実施されました。

メアリー・ハニボール欧州議会議員は、フェイスブックのユーザ名とパスワードが抜き取られました。デイヴィッド・デイヴィス下院議員の場合は、ペイパルとGmailで同じユーザ名とパスワードを使用していたため、Gmailへ侵入された後、ペイパルへの侵入も可能であることが明らかになりました。ストラスバーガー上院議員は、ボイス・オーバー・インターネットプロトコル(VoIP)の通話が傍受されました。

このように公衆無線Wi-Fiを使うことにはリスクが伴います。しかしエフセキュアのFREEDOMEのような仮想プライベートネットワーク(VPN)のソフトウェアを使用し、すべてのデータを暗号化すれば、ハッカーにデータを詐取されることは防止できます。

この公衆Wi-Fiでのハッキング実験の様子をご紹介する動画に日本語のテロップを追加し、YouTubeのF-Secure公式チャネルで公開を開始しました。

ポリティカル・ハック(ロング版)



ポリティカル・ハック(ショート版)



Freedome  https://www.f-secure.com/ja_JP/web/home_jp/freedome

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

気になるオールインワン・クライムウェア「DiamondFox」

情報窃取を目的としたボット”DiamondFox”が、クレジットカード情報を狙う犯罪者らの中で話題のようです。
(いろいろな意味で・・・)

webUI
 ※マニュアルより抜粋

元々、情報窃取を目的としたクライムウェアであることから、認証情報やクレジットカード番号等を窃取するための機能が非常に充実していることが特徴です。
  • Browser Password Stealer
  • Instant Messaging Grabber
  • KEYLOGGER
  • Point-Of-Sales Grabber(RAM Scraper)
  • EMAIL Grabber
  • FTP Password Stealer
中でも機能面で興味深いのは、
  • Bitcoin Wallet Stealer

を有していることで、顧客層を金融犯罪グループにターゲットを絞っていることが窺えます。


bitcoin stealer


また、DDoS機能(HTTP flood / UDP flood)もあり、脅迫用と推測されます。
DD4BCのケースのような利用を想定。

こういった金銭目的のクライムウェアは以前から存在していましたが、ここまで多機能なものは殆ど見かけたことはありませんでした。容易に予想される脅威は、一台の端末から認証情報の他に仮想通貨やカード情報など根刮ぎ窃取する手口が横行するかもしれない、ということです。

特にメモリに対しての機能を有している点においては、今後の行く末が恐ろしい限りです。
クライムウェアの悪用はこれからも増加するとみています。これらが日本国内のサービス等に、いつ対応してくるかが焦点になってくるのではないでしょうか。
何かUG市場に動きがありましたら続きを書きたいと思います。

ではでは。

アシュレイ・マディソンで不倫している人たちはだまされてもいい?(アンケート)



アシュレイ・マディソンの利用者情報がハッキングされました。何のサイトかご存知なくても、全然問題ありません。アシュレイ・マディソンは、不倫したい既婚者向けの出会い系サイトです。道徳的な理由でこのサイトを嫌っている人は数多くいますが、明らかに需要はあるようです。このカナダのサイトには、全世界で3700万人の利用者がいます!一部の利用者データが既に流出しているだけでなく、インパクト・チームと名乗るハッカーたちは、サイトを閉鎖しなければ残りのデータをリークすると脅しています。このハッキングは、数多くの離婚とたくさんの個人的問題を生み出すことになります!

「我々はすべての会員の性的嗜好、ヌード写真、会話内容とともに顧客記録、プロフィールをすべて公開し、クレジットカード利用履歴、実名、住所と一致させる。」

ザ・インパクト・チーム


これは多数発生しているハッキングの1つにすぎず、利用者データの漏洩が起きた初めてのサイトでも、最後のサイトでもありません。それでも、このサイトが高い機密性を求められるサービスを提供しているサイトであることを考えると、驚くべき事件です。考えてみてください。あなたは、どんな情報をウェブポータルに保存していて、そのデータが漏洩した場合、どんな悪いことが起きるでしょうか?浮気しているなら、おそらくそれが一番大切な秘密であるはずです。それが暴露されたら、結婚生活だけでなく、もしかすると人生のすべてに壊滅的な影響が及ぶ可能性があります。数百万人の利用者が、アシュレイ・マディソンを信頼して、この大切な秘密を預けていました。アシュレイ・マディソンは、意図的にデータを悪用していませんでしたが、適切にデータを保護していませんでした。ですから、不倫している人たちをだました、と言っても過言ではありません。

アシュレイ・マディソンのハッキングをさらに深刻にしているのは、同サイトが商業目的であることです。利用者は通常、自分の名義で発行されたクレジットカードで支払いを行います。利用者同士では匿名で表示されても、本当の身元はサイトの所有者に知られており、データベースに保存されています。ですから、漏洩した情報を現実の身元と確実に結びつけることができます。

残念なことは、情報が流出するかもしれないという考えが、3700万人の利用者の頭をよぎりもしなかったことです。これこそ、この出来事から学べる教訓です。データシステムに機密情報を保存する前に、よく考えてください。システムの運営者があなたのデータを悪用しないだけでなく、データを適切に保護するだけの技術、モチベーション、リソースを備えていることを信頼しなければなりません。そして、そのサイトがどの程度信頼できるかを実際に確認する能力が圧倒的に不足しています。これは簡単なことではありません!当然ながら、サイトの使用を控えることが究極の保護対策です。しかし、完全にインターネットの使用を止めることはできません。私たちは、ある程度のリスクを担う必要がありますが、少なくともよく考えて、サイトが侵害されたらどうなるか考えを巡らせてください。

このハッキングは、別の意味でも本当に興味深いものです。不倫は私たちの社会の伝統的な道徳規範に反するため、アシュレイ・マディソンは大きな議論を巻き起こしています。今回のハッキングは間違いなく犯罪行為ですが、それを称賛している人もいます。そのような人たちは、不倫している人たちは当然の報いを受けたと考えています。

あなたはどう思いますか?不道徳と戦うために私的制裁を加えることは正しいでしょうか?このような場合でも、法律に厳密に従うべきでしょうか?この違法なハッキングは、道徳的および倫理的理由から正当化できるでしょうか?




翻訳

下記のどちらの選択肢があなたの意見により近いですか?

このようなシステム侵入は犯罪行為であり、ハッカーは逮捕されて刑罰を受けるべきだ。不倫は道徳的ではないかもしれないが、犯罪ではない。

不倫する人たちには当然の報いだ。ハッカーは善い行いをした。このリークのために多くの人々が苦しむかもしれないが、不倫した人のせいであり、ハッカーのせいではない。

投票する                        結果を見る Polldaddy.com


ミッケ

>>原文へのリンク

エフセキュア、「Adobe Flash Player」プラグインの使用見直しの呼びかけに参加




エフセキュアラボは、「Adobe Flash Player」プラグインを標的としたエクスプロイトがこのところ急増していることを発見しました。Flash Playerの脆弱性を悪用したクライムウェアが継続的に確認されていることを踏まえ、エフセキュアは他のセキュリティ研究所とともに、アドビシステムズや他の企業に対し、広く普及している「Adobe Flash Player」プラグインの使用を見直すよう呼びかけました。

Adobe Flash Playerの脆弱性が注目を集めるようになったのは、監視ツールを提供するイタリアの企業Hacking Teamが最近ハッキング攻撃を受け、Adobe Flash Playerのゼロデイ脆弱性が流出した結果、ハッカーが使用するエクスプロイトキットでこのゼロデイ脆弱性を利用した攻撃が拡散しているためです。エフセキュアラボによると、このハッキング攻撃後数日間で、エクスプロイトキットからAdobe Flash Playerを狙ったエクスプロイトの検出が82%も増加しています*。 エフセキュアラボを始めとするセキュリティ研究関係者は、この増加の原因はハッキング攻撃で流出したゼロデイ脆弱性の利用、およびその後発見されたさらに2つのゼロデイ脆弱性であると考えています**。 この状況を受けて、セキュリティ研究関係者はAdobe Flash Playerのセキュリティ上の欠陥について批判を強めています***。

エフセキュアのシニア研究員ティモ・ヒルヴォネンは次のように述べています。「エクスプロイトキットを利用する犯罪者は、広く普及しているソフトウェアのうち、安全対策が万全でないものを標的にすることが大半です。少なくともこの7〜8か月間、 Adobe Flash Playerはハッカーの格好の標的となっています。最新技術が入手可能で、普及が進んでいることを考えると、安全性に優れた最新技術を迅速に導入し、『Adobe Flash Player』プラグインの使用を全面的に見直す取り組みを進めることには非常に価値があります」

Adobe Flash Player に関連したリスクに対し、企業に求められる対策強化

エクスプロイトキットは、ハッカーがクライムウェアの活動を引き起こすために利用するツールのセットで、ソフトウェアの脆弱性を悪用したマルウェアによって、コンピュータを感染させることを目的としているものがほとんどです。従来、エクスプロイトキットは、Java や旧バージョンの Microsoft Windowsの脆弱性を悪用することに長けているケースがほとんどでしたが、2015年にはAdobe Flash Player を標的としたエクスプロイトが顕著になってきています。

エフセキュアのセキュリティ・アドバイザー、ショーン・サリバンは、何気なく閲覧したWebサイトによって従業員がオンラインの脅威にどのようにさらされるかについて、企業はより注意を払う必要があると考え、さらに次のように述べています。「Adobe Flash Player は格好のターゲットと見られていますが、その理由は、機会攻撃に非常に狙われやすくなっているためです。企業は従業員をこの脅威から保護するために、事前対策を講じる必要があります。エフセキュアの提供するソフトウェアはこれらのエクスプロイトを検知し、Adobe Flash Player などのアプリケーションに新たに脆弱性が発見された場合には、『ソフトウェア アップデータ』などの製品が速やかなパッチ適用を実現します」

ソフトウェア アップデータはエフセキュアの企業向けセキュリティ製品であるビジネス スイートプロテクション サービス ビジネスが提供する機能です。F-Secure Boosterはホームユーザ向けの製品で、手持ちのWindows PCを常に最新のセキュリティパッチで更新しておくことによって、 エクスプロイトキットからの保護を実現します。

*出典:エフセキュアラボによる2015年6月25日〜7月14日の検知統計
**出典:http://blog.f-secure.jp/archives/50751405.html
***出典:http://www.scmagazineuk.com/updated-facebook-cso-calls-time-on-flash-after-hacking-team-breach/article/426224/

詳細情報:  
エフセキュア、サイバー犯罪者に悪用されるエクスプロイトの現状を分析
手の届くところにぶらさがっている果実:Flash Player

「iOSクラッシュレポート」について更新:Safariがブロック機能を追加

 求めなさい。そうすれば、与えられる。こともある。

 先週の金曜日、iOSを標的にしたコールセンター詐欺について取り上げた。そして本日、アップル社はこれについて役立つであろう新機能(ベータ版)をリリースした。

 以下は同社が公開したiOS 9 Public Beta 2だ。

iOS 9 Public Beta 2, Install

 Safariの新機能の1つにより、詐欺に重きをおいたJavaScriptをブロックできるようになった。

iOS 9 Public, Safari Block Alerts

 我々は詐欺サイトをテストした。JavaScriptのダイアログを数回消そうとしたところ、Safariは「Block Alerts」というボタンを提示するようになった。これで簡単にページを閉じることができる。

 アップルに賞賛を!一般向けのiOS 9のリリースにもこの機能がお目見えするのを待っている。

 Rosyna Kellerに帽子を取って深くお礼する。

APT攻撃を行うDukeグループの最新のツール:クラウドサービスとLinuxサポート

 ここ数週間で、Dukeグループのツールセットに2つの補強メンバーが登場したことが判明した。SeaDukeとCloudDukeだ。これらのうちSeaDukeはシンプルなトロイの木馬で、Pythonで書かれている点が興味深い。さらに不思議なことに、SeaDukeはWindowsとLinuxの両方を同時にサポートしている。我々が観察してきたDukeグループによるマルウェアとしては、初のクロスプラットフォームのマルウェアである。SeaDukeはクロスプラットフォームであるにも関わらず、単一のトロイの木馬だ。一方、CloudDukeはマルウェアコンポーネントの完全なツールセットのように見える。あるいは、Dukeグループが呼ぶように「ソリューション」なのだろう。これらのコンポーネントには、独自のローダーやダウンローダ、1つではなく2つの異なるトロイの木馬型のコンポーネントが含まれている。C&Cおよび盗んだデータを抜き出すための経路として、Dukeグループはクラウドストレージサービス、とりわけマイクロソフトのOneDriveを使用しているということをCloudDukeが雄弁に物語っている。最後に、CloudDukeの最近のスピアフィッシングキャンペーンの一部は、1年前からのCozyDukeのスピアフィッシングキャンペーンと酷似している。

クロスプラットフォームのマルウェアSeaDukeにLinuxサポートが追加

 先週、シマンテックおよびパロアルトネットワークスの両社はSeaDukeに関する研究内容を公開した。SeaDukeは、Dukeグループが使用するトロイの木馬の武器庫に新たに追加されたものである。これまでのDukeグループによるマルウェアは、常にCおよびC++言語の組み合わせだけでなくアセンブリ言語によっても書かれていた。一方、SeaDukeは珍しくPythonで書かれており、複数のレイヤに渡って難読化がなされている。こうしたPythonのコードは通常、py2exeやpyinstallerを用いてWindowsの実行形式にコンパイルする。しかし今回のPythonのコードは、WindowsとLinuxの双方で動作するように設計されている。それ故、我々が推測するところでは、DukeグループはLinuxユーザの標的に対しても同一のSeaDukeのPythonコードを使っている。DukeグループがLinuxプラットフォームを標的にしたマルウェアを採用したのを我々が目にしたのは、このときが初めてだ。

seaduke_crossplatform (39k image)
SeaDukeで見つかった、クロスプラットフォームサポートの例

マルウェアツールセットCloudDukeにおける新たなソリューション群

 先週、パロアルトネットワークス社およびカスペルスキー社は、各社がMiniDionisおよびCloudLookと呼んでいるマルウェアのコンポーネントについて、研究内容を公表した。MiniDionisおよびCloudLookは、ともに当社がCloudDukeと称するより大きなマルウェアツールセットのコンポーネントだ。このツールセットは、多岐に渡る機能を提供するマルウェアのコンポーネント群から構成される。さらに、共有コードフレームワークに部分的に依存し、常に同じローダーを用いている。当該サンプルの中で見つかったPDB文字列に基づくと、マルウェアの作者はCloudDukeのコンポーネントを「DropperSolution」「BastionSolution」「OneDriveSolution」などと「ソリューション(solution)」と呼んでいた。我々が観察したPDB文字列の一覧を以下に示す。

C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
c:\BastionSolution\Shells\Projects\miniDionis2\miniDionis\obj\Release\miniDionis.pdb
c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

 我々が最初に観察したCloudDukeのコンポーネントは、内部的に「DropperSolution」と呼ばれているダウンローダである。ダウンローダの目的は、被害者のシステムにさらなるマルウェアをダウンロードして実行することだ。もっとも多く観察されたケースでは、当該ダウンローダは侵害されたWebサイトへの接続を試み、暗号化された悪意あるペイロードをダウンロードして、復号と実行を行う。ダウンローダの構成されていた状況によるが、一部の例ではまず手始めにマイクロソフトのクラウドストレージサービスOneDriveへログインし、そこからペイロードを取得することを試みる。OneDriveでペイロードが得られなければ、ダウンローダは侵害されたWebサイトからダウンロードするという、先に述べた方法へ逆戻りする。

 また、CloudDukeツールセット中に、2つの異なるトロイの木馬のコンポーネントが観察された。1つ目は内部的に「BastionSolution」と呼ばれており、パロアルトネットワークス社が同社の研究において「MiniDionis」としているトロイの木馬である。興味深いことに、BastionSolutionは機能的にはSeaDukeの完全なコピーのように見える。唯一の実質的な違いは、プログラミング言語の選択だけだ。BastionSolutionはまた、内部的に「Z」と呼ばれているらしいコードフレームワークをかなり使っている。このフレームワークは、暗号化、圧縮、ランダム化、ネットワーク通信などの機能を持つクラスを提供している。

bastion_z (12k image)
トロイの木馬BastionSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 暗号化やランダム化のクラスのように、同じ「Z」フレームワークに由来するクラスは、CloudDukeツールセットのもう1つのトロイの木馬型のコンポーネントでも使用されている。この2番目のコンポーネントは内部的には「OneDriveSolution」と呼ばれている。C&Cの経路としてマイクロソフト社のクラウドストレージサービスOneDriveに依存しているため、とりわけ興味深い。これを実現するため、OneDriveSolutionは事前に設定されたユーザ名とパスワードでOneDriveにログインを試みる。成功すると、続いて被害者のコンピュータからOneDriveのアカウントへデータのコピーを始める。また同時に、マルウェアが実行すべきコマンドが格納されたファイルをこのOneDriveのアカウントから探す。

onedrive_z (7k image)
トロイの木馬OneDriveSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 すべてのCloudDukeの「Solution」は同一のローダーを用いている。このローダーはあるコードの一部分となっているが、それは埋め込まれて暗号化された「Solution」を復号したり、メモリに読み込んで実行することが主目的であるコードだ。Dukeグループは自身のマルウェアのためにローダーをたびたび利用するが、以前彼らが使っていたローダーと異なり、CloudDukeのローダーはずっと融通が利く。最終的なペイロードの読み込みおよび実行に複数の方式をサポートしており、また追加的なマルウェアコンポーネントをディスクに書き込んで実行する機能があるのだ。

CloudDukeのスピアフィッシングキャンペーンと、CozyDukeにおける類似性

 CloudDukeはこのところスピアフィッシングメール経由で広がりを見せている。報告されているところでは、米国防衛省のような組織などが標的にされている。こうしたスピアフィッシングメールには侵害されたWebサイトへのリンクが含まれており、サイト上にはCloudDukeの実行ファイル群を含むzipファイルが置かれている。大半の場合、このような実行ファイルを実行することで、被害者のハードディスクに2つの新しいファイルが書き込まれることになる。両ファイルのうち1つ目は、音声ファイルやPDFファイルのような囮だ。一方でもう1つのファイルは、いわゆる「DropperSolution」というCloudDukeのダウンローダが埋め込まれた、CloudDukeのローダーである。こうしたケースでは、被害者には囮ファイルが提示され、バックグラウンドではダウンローダがCloudDukeのトロイの木馬である、「OneDriveSolution」または「BastionSolution」のいずれかのダウンロードへと進む。

decoy_ndi_small (63k image)
CloudDukeのスピアフィッシングキャンペーンで採用された囮ドキュメントの例。攻撃者がここからコピーしているのは明らかだ

 だが興味深いことに、当社でこの7月に観察した、CloudDukeの別のスピアフィッシングキャンペーンの一部は、2014年7月初めという、ほぼ1年前に見られたCozyDukeのスピアフィッシングキャンペーンに驚くほど似ている。これら双方のスピアフィッシングキャンペーンでは、囮のドキュメントはまったく同一のPDFファイル「US letter fax test page」である(28d29c702fdf3c16f27b33f3e32687dd82185e8b)。同様に、悪意のあるファイルが置かれたURLは、双方のキャンペーンにおいて、eFaxと関連があるようなものになっている。また興味深いことに、CozyDukeに触発されたCloudDukeのスピアフィッシングキャンペーンでは、メール内でリンクが張られた悪意のあるアーカイブのダウンロードと実行を行うと、CloudDukeのダウンローダの実行につながるわけではなく、「BastionSolution」が実行されるのだ。つまり、その他のCloudDukeスピアフィッシングキャンペーンのために記述された処理が、1ステップ飛ばされる。

decoy_fax (72k image)
CloudDukeおよびCozyDukeの双方のスピアフィッシングキャンペーンで採用された囮の「US letter fax test page」

検出回避のために、クラウドサービスがますます使用される

 Dukeグループが彼らの作戦の一部として、クラウドサービス全般やMicrosoft OneDriveを使ったのを、我々が目にしたのはCloudDukeが初めてというわけではない。今年の春頃、当社はCozyDukeの研究結果を公開 し、そこで次の点を述べた。すなわちCozyDukeは、盗んだデータをこっそり運び出すために時にOneDriveアカウントを直接的に用いたり、あるいはまた時には同じOneDriveアカウントから追加のコマンドを含むファイルを取得する。

 こうした以前のケースにおいて、Dukeグループは補助的なコミュニケーション手段としてOneDriveを使用するだけであり、依然として、動作の大半においてC&Cの経路を従来のものに頼っていた。そのため、実際のトロイの木馬をダウンロードしてコマンドを渡すところから、盗んだデータを最終的に持ち出すところまで、作戦の各ステップにおいてCloudDukeが本当にOneDriveのみに依存するようになったことは、興味深い。

 C&Cの経路としてOneDriveのようなサードパーティのWebサービスにのみ依存することによって、Dukeグループはよりうまく検出をかいくぐろうとしたのだと我々は考える。組織のネットワークから、未知のWebサーバへ大量のデータが転送されたら、いともたやすく疑いが生じる。しかし、人気のあるクラウドストレージサービスへデータを転送するのは普通のことだ。攻撃者が大量の盗んだデータを秘密裏に転送するのにより適した方法とは、人々が正規の理由で同じデータを日々転送するのと同じ方法である(たまたまだが、サードパーティのWebサービスがC&Cの経路として使用されることの影響を題材にした講演が、VirusBulletin 2015カンファレンスで行われる予定だ)。

限りある資源を、検出を回避し防衛側に先んじることへ回す

 多目的なマルウェアツールセットを1つ開発するのですら、細かいことを置いてくとして、時間と資源を要するものだ。したがって、異なるツールセット間でフレームワークをサポートするなど、コードの再利用を試みることは理に適っているように思える。しかしながら、SeaDukeとCloudDukeのコンポーネントBastionSolutionにおいて複数のプログラミング言語で同じコードを書き直したことによって、Dukeグループはさらにもう1歩進んだようだ。内部は似通ってはいるが、外部ではまったく違うように見える2つのマルウェアツールセットを提供することにより、時間と資源を節約できる明白な利点がある。これで一方のツールセットが発見されても、2つ目のツールセットの発見にただちに結び付くことはない。

 Dukeグループはロシアと結びつきあることが長い間疑われているが、異常に長い期間、また特に最近は異常な厚かましさで諜報活動を行っている。最近のCloudDukeやSeaDukeのキャンペーンは、Dukeグループが近いうちに活動終了するつもりはないという、明確な兆候のように見える。

 Research and post by Artturi (@lehtior2)

 エフセキュアはCloudDukeをTrojan:W32/CloudDuke.BまたはTrojan:W64/CloudDuke.Bとして検知する。

サンプル:

04299c0b549d4a46154e0a754dda2bc9e43dff76
2f53bfcd2016d506674d0a05852318f9e8188ee1
317bde14307d8777d613280546f47dd0ce54f95b
476099ea132bf16fa96a5f618cb44f87446e3b02
4800d67ea326e6d037198abd3d95f4ed59449313
52d44e936388b77a0afdb21b099cf83ed6cbaa6f
6a3c2ad9919ad09ef6cdffc80940286814a0aa2c
78fbdfa6ba2b1e3c8537be48d9efc0c47f417f3c
9f5b46ee0591d3f942ccaa9c950a8bff94aa7a0f
bfe26837da22f21451f0416aa9d241f98ff1c0f8
c16529dbc2987be3ac628b9b413106e5749999ed
cc15924d37e36060faa405e5fa8f6ca15a3cace2
dea6e89e36cf5a4a216e324983cc0b8f6c58eaa8
e33e6346da14931735e73f544949a57377c6b4a0
ed0cf362c0a9de96ce49c841aa55997b4777b326
f54f4e46f5f933a96650ca5123a4c41e115a9f61
f97c5e8d018207b1d546501fe2036adfbf774cfd

C&Cに使われている、侵害されたサーバ:

hxxps://cognimuse.cs.ntua.gr/search.php
hxxps://portal.sbn.co.th/rss.php
hxxps://97.75.120.45/news/archive.php
hxxps://portal.sbn.co.th/rss.php
hxxps://58.80.109.59/plugins/search.php

CloudDukeを置くために使われている、侵害されたWebサイト:

hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP
hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP
hxxp://files.counseling.org/eFax/incoming/150721/5442.ZIP

バックナンバー
新着記事

セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード