当社の脅威レポート(PDF)の最新版が先ほど公開された。このレポートでは、2015年に目にしたもっとも蔓延したサイバーセキュリティ上の脅威から、傾向を論じている。エクスプロイトキットやランサムウェアなどと共に、CoC(Chain of Compromise)についても紹介している。
このレポートその他はf-secure.com/labsから入手できる。
当社の脅威レポート(PDF)の最新版が先ほど公開された。このレポートでは、2015年に目にしたもっとも蔓延したサイバーセキュリティ上の脅威から、傾向を論じている。エクスプロイトキットやランサムウェアなどと共に、CoC(Chain of Compromise)についても紹介している。
このレポートその他はf-secure.com/labsから入手できる。
アドビ社は、Flash Playerのまた異なる脆弱性CVE-2016-1019に対する緊急アップデートを公開した。これは20.0.0.306以前のバージョンのFlash Playerに影響を及ぼすものだ。まず4月5日にアドビはセキュリティアドバイザリを公開し、Flashバージョン21.0.0.182に含まれる脆弱性のさらなる悪用を回避する緩和策を強調した。そして緊急アップデートが公開されたのは4月7日だった。
ご存じのとおり、エクスプロイトキットの作者は、パッチがまだ利用できないときにこそ脆弱性につけ込む。最初にアドバイザリが公開された時点で、我々は当社のテレメトリでMagnitude EK(Exploit Kit)のヒット数が増大したのに気付いた。
Magnitude EKはCVE-2016-1019の欠陥に対応するエクスプロイトを盛り込むように更新されたが、当社ではすでに既存のFlashエクスプロイトの検知でブロックしている。
1か月前、ユーザをMagnitude EKへと押しやるマルバタイジング・キャンペーンについて記事を投稿した。今回の最新のキャンペーンでも同様の広告プラットフォームが使用されていることだけでなく、ユーザをランディングページへと導く新たなリダイレクタやゲートといった注目に値する追加部分も観察している。当社ではこうしたリダイレクタやゲートもMagnitude EKの検知の一部に含めている。
さらに、一部はアダルトサイトや無料動画サイトからヒットしていることも観察している。
Magnitude EKは現在、暗号化ランサムウェアCerber(SHA1:1f6f5c03d89a80a725cdff5568fc7b98bd2481b8)を配信している。
このキャンペーンの影響をもっとも受けている国は、フランス、ベルギー、ドイツ、フィンランド、オランダである。
当社のユーザは以下の検知により、CerberというランサムウェアやMagnitude EK(リダイレクタや使用する最新のFlashのエクスプロイトを含む)から保護されている。
当社のユーザには、最新版のFlash Playerにアップデートすることをお勧めする。
上級研究員のヤルコ・ツルクレイネンが、暗号化ランサムウェアPetyaに関する彼の分析を継続している。今回は、2本の動画という形だ。
Debugging Petya bootloader with IDA – 「この動画では、x86リアルモードのような珍しいプラットフォームをデバッグする強力な技術を示している。」
(訳注:動画は原文の記事へ)
Petya ECDH key exchange – 「今度は滑らかなボサノバに乗せて、楕円曲線暗号を楽しく体験できる!」
(訳注:動画は原文の記事へ)
4月3日更新。暗号化スキームについてより詳しく追記した。
Petyaは邪悪なひねりが加えられている新しいランサムウェアだ。ディスク上のファイルを暗号化する代わりに、ディスク全体をロックしてほとんど使い物にならない状態にする。具体的には、ファイルシステムのMFT(master file table)を暗号化する。つまりOSからファイルの位置が特定できなくなることを意味する。Petyaは、ブートキットと同様に自身をディスクのMBR(master boot record)にインストールする。ただし、秘密裏に活動するのではなく、赤い画面上にシステムを復旧する方法についての説明を表示する。
MFTを狙うと素早く攻撃できる。データファイルを暗号化するより極めて短時間で済むのだ。それでも全体的な結果としては暗号化と同じ、すなわちデータにアクセスできなくなる。
Petyaは2段階で実行する。第1段階はメインのドロッパーで、以下を実行する。
Petyaは非対称キーによる暗号化と搬送のために、楕円曲線暗号スキームを用いている。192ビットの公開鍵とsecp192k1曲線パラメータは、ドロッパーのバイナリにハードコーディングされて配信される。Petyaはサーバの公開鍵を取得し、ECDH(Elliptic Curve Diffie-Hellman)アルゴリズムを用いて共有の秘密鍵を構築する。この共有秘密鍵を用いて16バイトのディスク暗号キーをAES暗号化する。共有秘密鍵はこのマルウェアとサーバしか使用できない。バイナリをASCIIにエンコーディングするBase58により、このマルウェアの楕円曲線の公開鍵といっしょにディスク暗号キーをパッケージする。ここで得られるパッケージが、後に赤いスクリーン上で提示される「復号コード」である。
感染後、マシンはMBRのコードでブートする。これは以下のようになる。
楕円曲線アルゴリズムを用いて暗号キーを復号できるのは、もはやサーバしかない。これはマルウェアによってキーが破棄されたためだ。また、たとえ破棄されていなかったとしても、マシンがロックされて使えないままだ。リカバリディスクでMBRを復旧したとしても役には立たないだろう。なぜならMFTがいまだ暗号化されているからだ。理論上は共有秘密鍵を復旧して、リカバリディスクでディスク暗号化キーを復号して戻すことは可能だ。しかしそのためには、元々の楕円曲線暗号のキーペアを入手しなければならないのだが、必要な楕円曲線のデータはすべてドロッパーが破棄してしまっている。これはまるで家に入るための鍵が2つあって、意図的に片方を無くしたようなものだ。
サーバ側では、復号コードのデコードが逆の順番で行われることが想定される。
一例として、当社のラボのマシン上の復号コードの1つは次のように見える(ハイフンと先頭の2文字は削除。サーバはこれをデコードに使用しない)。
Q5rL1YMqnJPCsCgji4KcDv5XnQrtqttBQ7tfbAq7QStmTXNQ6Voepeaiem8uzaQxYq3LwpvMCXBvMx2Mmqkdt8Fi
このコードを標準のBase58アルゴリズムを用いてデコードすると、以下のデータが生成される(説明のために、マルウェアが生成する公開鍵を緑で、ディスクを暗号化するキーを赤で示す)。
サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない。
トリビア:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。(中略)
- Trojan-Dropper:W32/Agent.D!DeepGuard
- Trojan:W32/Pietso.A!DeepGuard
- Trojan:W32/TeslaCrypt.PE!DeepGuard
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。
2016/2/16 | 2016/3/24 | |
エフセキュア | 検知せず | Trojan.GenericKD.3048336 |
カスペルスキー | 検知せず | Trojan-Ransom.Win32.Locky.d |
マイクロソフト | 検知せず | Ransom:Win32/Locky!rfn |
シマンテック | Suspicious.Cloud.5 | Trojan.Cryptolocker.AF |
トレンドマイクロ | 検知せず | Ransom_LOCKY.A |
2016/3/23 | 2016/3/28 | |
エフセキュア |
Trojan-Downloader:JS/Dridex.W | Trojan-Downloader:JS/Dridex.W |
カスペルスキー |
HEUR:Trojan-Downloader.Script.Generic | Trojan-Downloader.JS.Agent.jkb |
マイクロソフト | 検知せず | 検知せず |
シマンテック | 検知せず | 検知せず |
トレンドマイクロ | 検知せず | JS_LOCKY.KB |
2015年12月、ロン・ワイデン米国上院議員はFBIに対し、暗号化ランサムウェアに関する情報を求める書簡を送った。これについては、この記事で書いた。その後、何週間か前に私は検索したのだが、FBIの回答内容を見つけ出せたのは、politico.comのペイウォール(paywall、支払いの壁)の向こう側だけだった。
そんなわけで私は、このことをワイデン上院議員のTwitterアカウントにつぶやいた…。すると同氏の広報担当者が、FBIの書簡へのリンクと共に返答をくれた!(Twitterはこのようなことに長けている)
ワイデン上院議員の質問のうちもっとも重要なものの1つは、FBIは「ただ身代金を支払うように(just to pay the ransom)」と人々にアドバイスしているか、というものだ。
公式回答は、FBIは支払うべきか否かをアドバイスしていない、だ。しかし被害者が予防措置を取っていなかったら…、ファイルを復旧するために残された選択肢は支払いをすることだけだ。
以下に全6ページの回答がある。
ワイデン上院議員宛てのFBIの書簡 [PDF]
「Maktub Locker」と自称する、新たな暗号化ランサムウェアファミリーが出現した。Maktubとは「書いてある」という意味のアラビア語だ。
セキュリティ研究者のYonathan Klijnsmaが、本日これまでに当該ランサムウェアについてツイートした。
(訳注:「『MAKTUB LOCKER』という新手のランサムウェアが、現在メール経由で拡散されている。暗号化する際にC&Cと通信しない」という意味)
私はMaktubの支払い用の入り口のグラフィックデザインをちょっと見たのだが…、残りも見ずにはいられなかった。
以下はステップ4で表示されるものだ。
普通じゃない。
不満を持ったグラフィックデザイナーなのか?
残りの画像を以下に挙げる。
ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。