エフセキュアブログ

XLS ファイル経由のスパイ行為

 トロイの木馬によるスピア攻撃やスパイ行為を定期的に見かけるが、以下は典型的なケースだ。

 悪意あるExcel XLSファイル ( md5: 3c740451ef1ea89e9f943e3760b37d3b ) が、あるターゲット(どうやら一人だけ)にメールで送信された。

 メールを開いてみると、そのXLSは以下のようなものだった:

pc-officer

 しかし実際のところ、この悪意あるファイルは既にExcelを悪用し、ユーザーがこれを見る以前にコンピュータを乗っ取っている。

 同エクスプロイトコードは、SYSTEM32フォルダに2つの新しいDLLファイル(「apimgr.dll」と「netserv.dll」を作成し、実行する。

 これらのDLLファイルは以下のサイトを使用して、攻撃者に通信しようとするバックドアだ。

 ・ feng.pc-officer.com
 ・ ihe1979.3322.org

 今のところ、ホスト ihe1979.3322.org は、まったくリゾルブされておらず、feng.pc-officer.com はプレースホルダーIP(63.64.63.64となっている)にリゾルブされている。攻撃者は一時的にホスト名を本物のIPアドレスにリゾルブさせ、その上でそれを戻して、自分たちのトラックに隠すことが可能だ。

 pc-officer.comというドメイン名は奇妙なドメインだ。これは2006年には既に登録されており、以前、スピア攻撃に使用されたことがある。

 ISCブログの2007年9月のエントリー(英語)を見て欲しい。この時の攻撃はXLSではなくDOCファイルを介して行われている。そしてレポーティングサーバはfeng.pc-officer.comではなく、ding.pc-officer.comだった。

 もしまだ GhostNet について聞いたことがないなら、今回がチェックする良い機会だろう。

追記:この地図の画像がどの地域を示しているのか、我々には分からない。分かる人がいれば、コメントを残して欲しい。





4月7日(水)の追記:
 我々はホストfeng.pc-officer.comのモニタリングを続けている。予想した通り、昨日しばらくの間稼働した。
 我々のログは以下のようなものだ:
   Tue 7 Apr 2009 16:13:21    63.64.63.64
   Tue 7 Apr 2009 16:14:17    63.64.63.64
   Tue 7 Apr 2009 16:15:13    63.64.63.64
   Tue 7 Apr 2009 16:16:09    216.255.196.154
   Tue 7 Apr 2009 16:17:04    216.255.196.154
   Tue 7 Apr 2009 16:18:00    216.255.196.154
   Tue 7 Apr 2009 17:40:33    216.255.196.154
   Tue 7 Apr 2009 17:41:29    216.255.196.154
   Tue 7 Apr 2009 17:42:25    216.255.196.154
   Tue 7 Apr 2009 17:43:21    63.64.63.64
   Tue 7 Apr 2009 17:44:17    63.64.63.64
   Tue 7 Apr 2009 17:45:13    63.64.63.64
 IP 63.64.63.64はプレースホールダーに過ぎず、216.255.196.154が実際のコントロール・サーバだ。探知されるのを避けるため、散発的にしかオンラインになっていない。
 同IPはアメリカ合衆国スポーケンに位置している。
% whois 216.255.196.154
   
   OrgName: One Eighty Networks
   OrgID: OEN-1
   Address: 118 N Stevens
   City: Spokane
   StateProv: WA
   PostalCode: 99201
   Country: US
4月9日(木)の追記:
 再び変化があった。ホストfeng.pc-officer.comは現在、211.234.122.84を指している。
 同IPは韓国ソウルに位置している。
% whois 211.234.122.84
   
   [ IPv4ÁÖ¼Ò »ç¿ë ±â°ü Á¤º¸ ]
   ±â°ü°íÀ¯¹øÈ£ : ORG137200
   ±â°ü¸í : (ÁÖ)¿¤Áöµ¥ÀÌÄÞ
   ÁÖ¼Ò : °­³²±¸ ³íÇöµ¿
   »ó¼¼ÁÖ¼Ò : 261-1
   ¿ìÆí¹øÈ£ : 135-010


携帯電話ウィルスが感染するパターンを理解する

 サイエンス誌の最新号に、「携帯電話ウィルスの感染パターンについて(Understanding the Spreading Patterns of Mobile Phone Viruses)」というタイトルの研究報告が掲載されている。

 この報告書は、Pu Wang、C. Gonzalez、Cesar A. Hidalgo、およびAlbert-Laszlo Barabasiによるものだ。
Science

記事要約
 我々は携帯電話ウィルスの発生を特徴づけている基本的な感染パターンを研究するため、携帯電話ユーザーのモビリティをモデル化した。その結果、Bluetoothウィルスは、影響を受ける可能性のあるあらゆるハンドセットに到達することができるが、これらのウィルスは人間のモビリティに基づくため、ゆっくりと拡散し、アンチウィルスソフトを用意する十分な余裕があることが分かった。

 これに対して、マルチメディア・メッセージング・サービスを利用するウィルスは、数時間のうちにすべてのユーザーに感染する恐れがあるが、今のところ、根本的なコールグラフの相転移により、影響を受ける可能性のあるユーザーのうち、少数のみへの感染に留まっている。これらの結果は、これまで重大な携帯電話ウィルスがブレイクアウトしていない理由を説明しており、ひとたび携帯電話のオペレーティング・システム市場の市場占有率が相転移点に達したら、ウィルスはモバイル・コミュニケーションに対して深刻な脅威をもたらす事になるだろう。


 この報告書は多かれ少なかれ、最新のスマートフォン・オペレーティング・システムに組み込まれている、技術的安全装置を無視している。

 もう一つ奇妙な点:この報告書は、それほど多くの携帯電話ウィルスが発生しない理由として、十分に市場を占有しているスマートフォン・オペレーティング・システムが存在しないからだと述べている。そして次の段落では、Symbianは全スマートフォンのうち、何と、65パーセントのマーケットシェアを占めている、と言っているのだ。

 いずれにせよ、興味深い報告書だ。そして、たくさんの素敵な画像もある。

mobile phone spreading patterns

mobile phone spreading patterns

mobile phone spreading patterns

mobile phone spreading patterns

 添付資料(PDF)(英語)へのリンクはこちら

 Nick Fitzgeraldにリンクを感謝する。

エフセキュアブログ先週のまとめ [2009/04/04-04/05]

 先週のエフセキュアブログは、3月26日に掲載したConficker Q&Aにつづいて、4月1日後版Conficker Q&Aを掲載するなど、4月1日のConfickerの挙動にまつわる話題を多く取り上げました。続きを読む

Conficker騒動の陰でDNSサービスへのDDoSアタックも発生

 4月1日は、Confickerの話題がマスメディアを席巻していた陰で、いくつかの 大手DNSサービスがDDoSの被害にあっていたようです。

 DDoS攻撃を受けたのは Register.comUltraDNS.com ですが、UltraDNS はAmazon のクラウドサービスや SalesForce.com、IMDB.com などが利用している高可用性が売りのサービス。

 詳細についてはほとんど報道されていませんが、このようなDNSサービスを落とすほどのDDoSというと、かなりのボリュームのものと想像されます。

 今のところConfickerワームとこれらのDDoS攻撃との直接の関連は報道されて いません。

 しかしここで、やや別な見方をすると、Conficker の能力の一つは、すぐに特定の話題一色になってしまうマスメディア報道の特質を狙うマスなソーシャルエンジニアリングとも言えるのかもしれません。

Conficker 世界地図

 現在、Confickerに感染したマシンは世界のどこに分布しているのだろうか?

 ShadowserverおよびConficker Working Groupによれば以下の通りだ:

Conficker World Map


Conficker World Map


Conficker World Map

 その他のマップについては、Conficker Working Groupのサイトを参照して欲しい。

日本の Conficker 感染状況

この地図でも日本は真っ赤。
 
日本企業でも数千台規模の感染が確認されているが、いずれも Conficker.A と B ばかり。
ウェブ経由での感染も確認されているので、さらに感染被害は広がるかも。。。

4月1日後の Conficker Q&A

 4月1日に先立ってConficker Q&Aを掲載したが、その後のQ&Aも掲載するのが当然だろう。

Q:まず、感染したかどうか、どうしたら分かるのか?
A:Conficker Working Groupに、Joe Stewartが制作した非常にシンプルなテストがある。ここをクリックして試して欲しい。もしそれで感染していると出ても、同サイトにエフセキュアのものも含むたくさんの除去ツールがある。

Q:4月1日は過ぎたけれど、何か壊滅的な活動はあったのだろうか。インターネットは停止したのか?
A:答えはNoだ。もしそんな活動があったら、これを読めているはずがない。それに我々も、本当に何か起きるとは全く考えていなかった。

Q:それなら本当に起きたことは何なのか。すべての騒ぎは一体何だったのか?
A:自身にアップデートをダウンロードする目的で、4月1日にウェブサイトのリストを生成開始するよう、Conficker.Cがプログラムされている。

Q:それで実際に実行されたのか?
A:実行された。ワームのその部分は予定通り稼働した

Q:では重大なことが何も起きなかったのはどうしてなのか?
A:Confickerの背後にいる連中が、Confickerがコンタクトを取ろうとしたウェブサイトの最新情報を公開しなかったためだ。

Q:それは彼らの側のミスだったのか。彼らは4月1日という発動日を忘れたのか?
A:それはありそうにない。Conficker Working Groupが、ワームにより使用されるドメインが登録されることを完全に阻止した、というのが本当のところだ。業界内でこのようにグローバルな協力が行われたのは、これまで見たことが無いし、そのグループのメンバーであることを我々は誇りに思っている。それに、Confickerの背後の連中が何かするのではないかと誰もが期待している日に実際何かやったとしたら、かなりバカだろう。

Q:しかし、ワームがピア・ツー・ピア(P2P)技術を利用して、自身をアップデートすることもできるのではないか?
A:その通り、できる。そしてそれは4月1日以前にもできたことだ。

Q:4月1日にPCを立ち上げなかったから、大丈夫だよね?
A:もし貴方のコンピュータが感染しているなら、答えはNoだ。同ワームはまだそこにいて、マシンを起動した時点で、自身にアップデートをダウンロードしようとするだろう。

Q:Confickerに関連して、ベラルーシで2人逮捕されたと聞いたんだけど?
A:それはエイプリル・フールのジョークの一つだ。ここにもある。

Q:では今、何が起きているのか。Confickerのことは忘れて、他のことを心配して良いのか?
A:いや、そうとは言えない。4月1日は単に発動日だったに過ぎない。感染したコンピュータは、自身をアップデートする目的で、日に500のウェブサイトに接触しようとし続けるだろう。そしてP2P技術を忘れてはいけない。この技術を使用してのアップデートも可能なのだ。

Q:それでは、我々は長期に渡ってこの問題に対処する必要がある、ということか?
A:すべてのコンピュータからワームが除去されるまで、あるいはConfickerの背後の連中が、もうそれには価値がないと判断するまでは、その通りだ。だから我々は状況を監視し続ける予定だ。

Q:もっと質問がある場合どうしたら?
A:もしかしたら、以前のQ&Aが既に回答しているかもしれない。もし見あたらなければ、この投稿にコメントを付けて頂ければ回答する。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード