エフセキュアブログ

2011年11月

FPの「Top 100 Global Thinkers」

  Foreign Policy誌は毎年「Top 100 Global Thinkers」(世界の思想家トップ100)のリストを発表している。昨年はカール・ビルト、アンゲラ・メルケル、劉暁波、タルヤ・ハロネンといった人々がリストに入っていた。

  2011年のリストが今日発表されたが、そこにはバラク・オバマ、ビル&メリンダ・ゲイツ、ビル&ヒラリー・クリントン、イェンス・ストルテンベルグ(ノルウェー首相)などが含まれている。

  そして… 我らがチーフ・リサーチ・オフィサー、ミッコ・ヒッポネンも選出されている。

  Foreign Policyは、国際政治を論じる、世界で最も名声ある出版物の一つだ。

The FP Top 100 Global Thinkers

The FP Top 100 Global Thinkers, 2011

  おめでとう、ミッコ。

ミッコ@TEDxBrussels

  ミッコが今週、TEDxBrusselsに参加した。

TEDxBrussels

  ビデオはここでご覧頂ける:



  その他のビデオとインタビューはエフセキュアのYouTubeチャネルにある。

「コンピュータ専門家」の皆さん、感謝祭おめでとう

  昨日、CIOのConstantine von Hoffmanが「感謝すべきITセキュリティ・ニュース・ソース」というタイトルの記事を掲載したが、我々に関する非常に愉快な言及に感謝したい。

Unlike other industries I’ve covered (cough, cough banking cough, cough) security company blogs tend to be reliable and hugely informative. F-Secure is just one of many great examples of this. They put a premium on sharing code ? so this is a site for alpha geeks and not just casual readers. Irrelevant side note: F-Secure is a Finnish company ? don’t worry, the site is fluent in English ? and Finnish is one of the strangest languages in the world. My son just took an intro to it and told me, ''It has 16 cases (Google Grammatic Cases if you don't know what I'm talking about). One of those is the Partitive ''OHGODWHY'' case which changes a word based on when the word entered the language.''

  Constantine、我々は息子さんのフィンランド語の勉強(#OHGODWHY)が上手く行くよう願っているし、「コンピュータ専門家と関心の深い読者のための」サイトと呼んでもらったことを誇りに思っている。

  このような称賛に接するのは、本当に大きな励みとなる!

P.S. アメリカにお住まいの専門家の皆さんで、この週末の休暇中、コンピュータにうといご家族にセキュリティ関係のブログを薦めたいと考えている方は、エフセキュアの「Safe and Savvy」ブログをチェックして頂きたい。同ブログはより関心の薄い読者のためのもので — 難しくないことをお約束する。

ラップトップ・ステッカー 2011/2012

  新たなラップトップ・ステッカーコンテストの時間だ! 過去の例はここここここここここそしてここを見て欲しい。

  我々は2週間ほど前、F-Secure CommunityページとTwitterで、提案の収集を開始した。11月末まで、「News from the Lab」読者もご参加頂きたい。

  これが上記のコミュニティスレッドへのリンクだ。

Laptop Stickers Contest 2011/2012

  Twitterアカウントをお持ちなら、ハッシュタグに「#FSLS」を使用して欲しい。

  コンテストに参加せず、提案を行いたいだけなら、この記事にコメントして頂いても良い。

  12月にプレゼントを贈るファイナリストを選出する。では!

「Spitmo」の新たな親類:SymbOS/ConBot

  Threat Researchチームのアナリストが先頃、「Spitmo」と共通のコードを持つプレミアム料金SMS型トロイの木馬「OpFake」を発見した。そして今週、我々のオートメーションが新たなサンプルを警告した。アナリスト達は分析を完了したが、我々はまた新たな「Spitmoの親類」を発見したようだ。ただしこのトロイの木馬は、Operaアップデートのふりはしない。

  また:「SymbOS/ConBot」はボットの特徴を有している。

  アナリストの覚書は以下の通り:

  「Trojan:SymbOS/ConBot.A」は「Spitmo」のソースコードに基づいている。「ConBot.A」で唯一既知のサンプルは、「[removed].ru/mms.sis」からダウンロードされた。

  「ConBot.A」は「SystemService」というパッケージを含んでおり、こちらは「AppBoot」という組込型パッケージを含んでいる。

  「SystemService」パッケージのコンテンツは:

  •  c:\Private\EE1DCDAA\first
  •  c:\Private\EE1DCDAA\start.xml
  •  c:\sys\bin\SystemService.exe
  •  c:\System\AppBoot\SystemService.boot

  組込型パッケージ「AppBoot」

  •  c:\sys\bin\AppBoot.exe
  •  c:\private\101f875a\import\[2005A60D].rsc

  「OpFake」とは異なり、「ConBot」はアプリケーションメニューにアイコンを追加しない。インストールが完了すると、どのような形であれ、ユーザに自身の存在を通知することは無い。(おそらく、「Spitmo」のように「セキュリティ証明書アップデート」としてプロモートされる。)

  「OpFake.A」のように、「ConBot.A」は「Acme」の「JoeBloggs」による証明書で自己署名されているが、証明書自身は「OpFake」で使用されているものとは異なる。

  「AppBoot.exe」は「[2005A60D].rsc」のため、電話がスタートするたびに自動的に開始される。「AppBoot.exe」は次に、「SystemService.boot」ファイルを解読する。

  解読アルゴリズムは、「Trojan:SymbOS/OpFake.A」がそのコンフィギュレーションファイル(sms.xml)を解読するために使用するものと同一だ。解読された「SystemService.boot」のコンテンツは、「c:\sys\bin\SystemService.exe」へのパスであることが分かっている。「AppBoot.exe」は、解読された.bootファイルが示すどんなファイルでも実行する。

  「SystemService.exe」は「ConBot」の実際にペイロードを含む。

  初めて「SystemService.exe」が実行されると、電話に保存されている連絡先から、携帯電話番号が収集され、一時的に「c:\Private\EE1DCDAA\contacts.xml」に保存される。同トロイの木馬は「[removed].ru/connect.php」にコンタクトし、「contacts.xml」と電話のIMEIをリモートサーバに送信する。IMEI、時刻、日付およびオペレーティングシステムのバージョン(Symbian9にハードコードされた)とともに、定期的な接続が同じサーバに対して行われる。リプライとして、同トロイの木馬はSMSメッセージをどこにおくるべきかに関するインストラクションを含む、XMLファイルを受けとらなければならない。トロイの木馬にハードコードされた別のURLもあるが([removed].ru/connect.php)、start.xmlからのアドレスによりオーバーライドされる。

  「ConBot.A」も、アウトボックスから送信済みフォルダに移動されたメッセージのほか、新たに受信SMSメッセージもモニタする。特定の条件が満たされれば、トロイの木馬は傍受したSMSメッセージを削除する。新たに作成されたメッセージを通知するメッセージ送信イベントを取り扱う機能も、「Spitmo.A」および「OpFake.A」の機能とほぼ同一だ。これはこれら3種のコードにおける、唯一の同一部分ではない。

C&Cのアップデート:

  SMSモニタリングの興味深い特徴は、このトロイの木馬がテキストメッセージを介して、C&CサーバURLをアップデートすることができる点だ。「ConBot.A」が「zlhd[removed]」で始まる受信SMSメッセージに気づくと、残りのメッセージを抜き出し、古いURLに替わる「settings.dat」に保存する。作者は明らかに、単にC&Cサーバを停止させることで、モバイルボットネットが機能しなくなることは望んでいないようだ。

ConBot code

フルインストーラのSHA1:83fc407f77ee56ab7269d8bea4a290714c65bbe1

「DevilRobber」のアップデート版が登場

  我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。

  このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。

Pixel_mator

  同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。

DevilRobber v3

  「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。

  我々が分析した「DevilRobberV3」サンプル(1c49632744b19d581af3d8e86dabe9de12924d3c)は、FTP Serverサービスプロバイダからバックドア・インストーラ・パッケージをダウンロードするFTPダウンローダだ。

  インストーラを取得するのに、同マルウェアはハードコードされたユーザ名とパスワードを持つ3つのFTP URLを生成するが、これらはプログラムそのものにコード化されている。パッケージは「bin.cop」という名で、FTPサーバーのルートフォルダに保存される。

DevilRobberV3 downloader

  配布方法が変更されていることに加え、「DevilRobberV3」では情報収集スクリプトに以下の変更がある:

  •  以前のようにスクリーンショットをとらない
  •  以前のようにLittleSnitch(ファイアウォールアプリケーション)の存在をチェックしない
  •  異なるローンチポイント名を用いる
  •  シェルコマンド履歴を収集する
  •  1パスワードコンテンツを収集する(AgileBitsのパスワードマネージャ)
  •  今回はシステムログファイルも収集する

  しかし今回もBitcoinワレットコンテンツを取得しようとする。

Threat Solutions post by — Wayne

政府の署名鍵で署名されたマルウェア

  証明書とCAは今もホットな話題だ(Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい)。

  我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。

  こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書(およびパスフレーズ)を盗むことで、別人としてコードに署名可能にする。

  我々は先頃、盗まれた証明書で署名されたサンプルを発見した。ファイルプロパティは以下の通り:

Publisher: Adobe Systems Incorporated
Copyright: Copyright (C) 2010
Product: Adobe Systems Apps
File version: 8, 0, 12, 78
Comments: Product of Adobe Systems

  そして署名情報は:

Signer: anjungnet.mardi.gov.my
Digisign Server ID (Enrich)
GTE CyberTrust Global Root
Signing date: 5:36 24/08/2011

  「mardi.gov.my」はマレーシア政府の一部であることが分かった。マレーシア農業研究開発研究所だ。マレーシア当局から受けとった情報によれば、この証明書は「かなり以前に」盗まれたものだ。

mardi-cert

  このマルウェア自体は、「Adobe Reader 8」を悪用した後にドロップを行う、悪意あるPDFファイルを介して拡散されている。マルウェアは「worldnewsmagazines.org」という名のサーバから更に悪意あるコンポーネントを追加ダウンロードする。今度は「www.esupplychain.com.tw」という組織によってではあるが、これらコンポーネントのいくつかも署名されている。

  マルウェアの署名付きコピーが発見されるのは、それほど良くあることではない。政府に属する公式鍵で署名されているケースは更に珍しい。

  この特定のマルウェアはもはや、署名からそれほど利益を得ていない。「mardi.gov.my」証明書は9月末に期限切れになったためだ。

  マレーシア政府は、同ケースについて報告を受けている。

  我々はこのマルウェアを「Trojan-Downloader:W32/Agent.DTIW」として検出している。MD5ハッシュは「e9f89d406e32ca88c32ac22852c25841」だ。

FBI:Ghost Click作戦

  米連邦裁判所が、7人の男性(エストニア人1名、ロシア人1名)を、連邦捜査局のGhost Click作戦の一環として起訴した。6名はエストニア当局が逮捕したが、ロシア人の被告は現在も逃走中だ。

  News from the Labブログの以前からの読者は、被告の1人Vladimir Tsastsin(別名「SCR」)を、2008年頃のEstDomains事件でご記憶だろう。

  Ghost Click作戦は、クライムウェアとの戦いにおける、かなりの成功例だと言ってよい。

  Rove Digital(ギャングのダミー会社)は非常に革新的なDNSChangerクリック詐欺を行ったが、これは400万台以上のコンピュータに影響を与え、広告ベースの収益で1400万ドル以上を得たという。オペレーションが非常な成功を収めたため、彼らはMacマルウェアにも手を出した。

  以下はFBIの「コンピュータが不正なDNSを使用しているかどうかチェックする」からのスクリーンショットだ。

FBI, Apple, DNSChanger

FBI, Apple, DNSChanger

  ギャングのマルウェアの中には、ルータを標的とするものまである!

  詳細についてはKrebs on Securityをチェックして欲しい。

「Windows Server 2008」を使用している? ならばパッチを。

  今月のMicrosoft Updateには、興味深い脆弱性が含まれている:

MS11-083
マイクロソフト セキュリティ情報 MS11-083

  「このセキュリティ更新プログラムは非公開で報告されたMicrosoft Windowsに存在する1件の脆弱性を解決します。この脆弱性により、攻撃者が対象システムの閉じられたポートに特別な細工をしたUDPパケットの連続フローを送信した場合、リモートでコードが実行される可能性があります。」

  UDPパケットの連続フロー? なるほどリモートでのコード実行だ。

  これはWindows Vista、Windows 7およびWindows Server 2008に影響を与える。幸い、大部分のVistaと7は、同社の自動アップデートにより、すぐに修正されるだろう。しかしServer 2008は? サーバ管理者は、リスタートが必要なアップデートを予定に入れる必要がある。このアップデートはなるべく早く行った方が良い。

  Microsoftは「不安定なエクスプロイトコードの可能性」のみを予測している。しかしこの脆弱性の重大な性質を鑑み、適用のプライオリティをトップにするよう忠告している。詳細は便利な表を見て欲しい。

  「このセキュリティ更新プログラムは非公開で報告された脆弱性を…」

  これはおそらく、Microsoftのバグ報奨金プログラムのことを行っているのだろう。この情報をブラックマーケットではなく、Microsoftに報告した正義の味方に称賛を。

—————

  UDPジョークの一番良いところは、相手が受けとろうが、受けとるまいが、こちらはどうでもいい、ということだ。

大忙しの「Anonymous」

  「Anonymous」として知られるインターネット集団は、忙しい「ガイ・フォークス・ウイークエンド」を過ごした。

  以下に、彼らの最近の活動に関し、2、3の目立った例を挙げる。

  メキシコ:OpCartelは拒否されている。非常に危険なメキシコの麻薬カルテル「Zetas」が、もし名前がリークされれば、大勢が殺されるだろいうというメッセージと共に、誘拐された彼らのメンバーを解放したと、「Anonymous」は主張している。

Anonymous November Ops

USA:「Anonymous」ビデオが公開され、「アイオワ州デモインの大統領選の選挙事務所」を12月に占領するよう訴えた。アイオワは2012年の選挙シーズンにおける、最初の大統領選挙戦が行われる場所だ。

Anonymous November Ops

イスラエル:イスラエルがガザ行きの小艦隊を妨害したことに対し、「Anonymous」は同国の国家安全保障サイトを攻撃した。

Anonymous November Ops

フィンランド:「Anonymous Finland」の代表であると主張する何者かが、16,000人のフィンランド人に関するデータを公表した。

Anonymous November Ops

  AnonFinlandは、これが「Operation #AntiSec」の一部として行われたと主張しているが、彼らの付随的メッセージは実際、非常に政治的だった。フィンランド警察のWebサイトが現在オフラインとなっているが、これに関連する攻撃かもしれない。

追記:poliisi.fiのオフラインステータスは「攻撃」によって引き起こされたものではなかった。

  フィンランドの国家捜査局(NBI)が、今回のデータ侵害の影響を受けた人々の名前と生年月日を含むPDFファイルを公開したが、フィンランド人たちが自分の名前について調べようとしたため、同局のサーバは(作為的でないDDoSの)負荷を処理することができなかった。同Webサイトは現在もかなり表示が遅く、PDFのファイルをチェックしようと考えている人は、yle.fiからの方が容易に入手できるだろう。

—————

  あなたは「Anonymous」の成長を、共同体の成長として理解しようとしているだろうか? どのように「Anonymous」が「Occupy Wall Street」を支援したかに関するこの記事が、同集団に対する2つの異なる見方に関し、鋭い洞察を行っている。すなわちモラルと笑いだ。

ミッコ・ヒッポネンが来日 @PacSecJP

  最近TEDGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。

  先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。

  アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか? 


  ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。

続きを読む

バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

Duqu:質問と回答

  その複雑さから、「Duqu」の事例を理解するのは難しい。助けになればと、以下にいくつかのQ & Aを掲載する。

Q: Duquとは何か?
A: Duquをとりまくニュースや進展のため、これは実際、非常に幅広い質問だ。狭義で言うなら、Duquはごく限られた国のごく限られた組織を対象とした高度な標的型攻撃の一部として用いられているWindowsボット(ワームでは無い)だ。

Q: Duquはどのように拡散するのか?
A: Duquはそれ自体では拡散しない。ある既知のケースでは、Duquは電子メールメッセージを介して受信された添付ファイルによりインストールされた。

Q:それはRSAがハッキングされたのと同じ手法ではないのか?
A: そうだ。多くの標的型攻撃が、この手法を用いている。RSAのケースでは、Excelドキュメント添付ファイルは、Poison Ivyという名のバックドア/リモート・アクセス・ツール(RAT)をインストールするため、Adobe Flash Playerにあるゼロデイ脆弱性を悪用したFlashオブジェクトを使用した。

Q:では、Duquのエクスプロイトの何がそれほど特別なのか?
A: Duquのインストーラが使用するゼロデイは、Windowsカーネルの脆弱性を悪用する。

アップデート:Microsoftが「Security Advisory (2639658)」を公開した。

Q: Flash PlayerエクスプロイトよりもWindowsカーネルエクスプロイトの方が、どのくらい高度なのか?
A:え、何?

Q:いや、真面目な話、どれくらい?
A:相当に。サードパーティ・アプリケーションに対して使用されたものと比べ、たとえそれがFlash Playerとして広くインストールされているにしても、Windowsカーネル脆弱性/エクスプロイトは、はるかに価値がある。

Q: この脆弱性に対してシステムにパッチを当てることはできるのか?
A: いや、できない。

Q:では、このWindowsカーネル脆弱性を修正できないなら、どうすればいいのか?
A:待つことだ。現在、Microsoft Security Responseが同脆弱性を調査しており、ソリューションの準備をしている。幸い、同エクスプロイトドキュメントが広まっている範囲は非常に限定されており、NDA下にある。

Q:何故、ドキュメントにNDAがあるのか?
A: 高度な標的型攻撃であるため、ドキュメント自身、標的のアイデンティティを明らかにする可能性が高い。ドキュメントの共有は、カスタマの機密の侵害となる可能性があり、そのためCrySyS Lab(Duquの発見者)は、彼らのカスタマのプライバシーが保護されない限り、同ドキュメントを公開することができないのだ。

Q: ではDuquのインストーラは「イン・ザ・ワイルド」ではないのか?
A:一般的には違う。他に発見されていない亜種がある可能性はあるが。

Q:ではDuquは私にとって脅威なのか?
A:あなたが誰なのか次第だ。しかし一般的にはノーだ。しかし、Duquは最終的には大きな問題を引き起こすだろう。

Q: Duquはどんな問題を引き起こすのか?
A:MicrosoftがWindowsカーネル脆弱性を修正すれば、野放しの犯罪者たちはリバースエンジニアリングを行うことができ、脆弱性を発見することになる。その時点で、最新の状態にないWindowsコンピュータはすべて、非常に深刻なエクスプロイトであることになりそうなDuquに対して、より脆弱となるだろう。

Q: しかし今はまだ?
A:その通り。

Q:Duquに関して他にも何か興味深い事はあるのだろうか?
A: そう、確かに。既知のあるケースでは、Duquにより用いられたドライバは、台湾のハードウェア会社C-Mediaに発行され、盗まれた証明書を使用して署名されていた。

Q:何故Duquは署名付きのドライバを使用したのか?
A: 署名付きドライバは、署名のないドライバに注意を促し、インストールを拒否するセキュリティポリシーを回避することができる。セキュリティポリシーは本質的に、署名のないドライバを信用しないよう設定されるものだ。ドライバが既知のベンダにより署名されていれば、信用レベルは高い。

Q: では、何故Duquはそれほど重大なのか? ゼロデイや署名付きドライバのためなのか?
A:そのほか、DuquはStuxnetと「関連がある」ためだ。

Q: どのような関連か?
A: 「Duqu」のコンポーネントは「Stuxnet」のコンポーネントとほぼ同じもので、両者は共通のソースコードにアクセスできる何者かにより書かれているようなのだ。

Q:「Duqu」と「Stuxnet」には他にも関連があるのか?
A:「Duqu」により使用されるドライバは、台湾のハードウェア会社JMicronからのものだとしている。StuxnetはJMicronから盗まれた証明書で署名されたドライバを使用していた。

Q: 証明書はどのように盗まれたのか?
A:不明だ。

Q: どれくらい盗まれたのか?
A:台湾の3つのハードウェアベンダC-Media、JMicron、Realtekのケースが判明している。

Q:何故「Duqu」は台湾に関係しているのか?
A:不明だ。

Q:何故カッコ付きなのか? 「Duqu」は他にも何か?
A:広義では、Duquは民族国家により展開されている(あるいは公認されている)「組織的行動」もしくは「ミッション」だ。

Q:「組織的行動」というのはどういう意味か?
A:「Duqu」は、何らかのスパイ活動もしくは偵察任務であるように見えるのだ。たとえば実世界で、この種の偵察任務はアメリカ海兵隊武装偵察部隊(FORECON)チームが「グリーン作戦」と呼ぶものと見なすことが可能だ。

Q:では「Duqu」は単なる悪意あるコードではないのか?
A:ソフトウェアコンポーネントは、我々がDuquと呼ぶものの一部にすぎない。こんな風に考えてみて欲しい。Duquソフトウェアがあり、そしてオペレーションDuquも存在する、と。

Q: それでは「Stuxnet」は? Stuxnetワームはどうなのか?
A:オペレーションStuxnetで使用されているインストーラは、高度なUSBワームだ。このワームは拡散を容易にするため、ゼロデイWindows脆弱性を用いる。

Q:オペレーションDuquとオペレーションStuxnetのミッションは同一なのか?
A:いや。オペレーションStuxnetは、むしろ直接行動を含むミッションである「ブラック・オペレーション」に近い。Stuxnetのケースでは、イランの原子力施設の操業を中断させるという行動がなされた。

Q:Stuxnetは原子力発電所の操業を中断させたのか?
A: そうだ。オペレーションStuxnetは非常に複雑で、巧妙でもあった。Stuxnetワームと付随的なコンポーネントは、地理的にかなりの距離を移動する必要があった。また、インターネットに接続していない閉ざされた標的に、オートパイロットで、コールホームすることなく、侵入する必要があった。

Q:ではStuxnetがインストーラ/感染ベクタとしてUSBワームを使用したのはそのためか?
A:そうだ。困難な緩和要素のため、Stuxnetは外部資源無しに自身を拡散する必要があった。そしてそれ故、多数のゼロデイエクスプロイトを備えていたのだ。Stuxnetの感染力は過剰であるように見えるが、そのミッションは成功しているようであり、Stuxnetの背後にいる連中はおそらく過剰とは考えていないのだろう。

Q: Duquはどのように異なっているのか?
A:Duquは高度だが、自立的に行動するように作成されてはいない。インストーラが標的を感染させれば、Duquはコマンド&コントロール(C&C)サーバにコールホームする。現在分かっているサーバは2つある。1つはインドに、もう1つはベルギーにあった。これらのIPアドレスは、現在はアクティブではない。

Q: C&Cによりどんな活動が行われたのか?
A:既知のあるケースでは、Duquは標的からデータを収集するため、Infostealerをダウンロードした。そのInfostealerは実のところ、盗まれたデータに関連するログファイルに「DQ」をプリペンドすることから、Duquの名称のもととなったコンポーネントだ。

Q:C&Cは他に何をすることができるのか?
A:たとえば共有ネットワークリソースを介して、それ自身を標的ネットワークで拡散するようDuquに命じることができる。

Q:Duquは収集したデータをどのようにC&Cに送信するのか?
A:データを暗号化し、それをJPG画像に追加する。

Q: 何? JPG画像? 何故?
A: 誰かがネットワークトラフィックをモニタしていても、機密資料ではなく、無害に見える画像ファイルが見えるだけだからだ。詳細はここを参照して欲しい。

Q: わあ。Duquは他に何かコソコソするのか?
A: そうだ。30日後、C&Cから命じられない限り、Duquは自身を消去して侵害の痕跡を制限する。

Q:Duquの背後にいるのは誰か?
A: 不明だ。

Q:推測して欲しい:Duquの背後にいるのは誰か? — 11月4日に追加した質問
A:様々な要素から見て、民族国家だろう。

Q: 何を探しているのか?そして理由は?
A: 不明だ。

Q: Duquに関して、断定できることは?
A:「オペレーションDuqu」のソフトウェアコンポーネントは、非常に熟練した開発者とエクスプロイトアナリストのチームにより作成されたということだ。

Q: Duquの目的に関して想像はつくのか?
A: それが何であれ、糸を引く民族国家の関係者が利益を得るためには、非常に重要なことに違いない。この件の関係者にとって、Windowsカーネル脆弱性を開示するリスクは、その利益を上回ったのだろう。部外秘の情報を知る者以外、Duquの本当の目的を明確にすることはできない。識別可能な直接行動が起きるまでは。

Q:では、Duquの背後には政府機関がいると考えているのか?
A:そうだ。

Q: 政府関係者がDuquのようなマルウェアを使用するべきなのか?
A:採決はされていないようだ。

Q: ドイツのR2D2トロイの木馬はどうなのか?
A: R2D2は警察の監視のために作成されたトロイの木馬だ。ゼロデイエクスプロイトや正当なハードウェアベンダから盗まれた証明書により署名されたドライバは使用していなかった。R2D2は通常の警察業務のため、ドイツ当局により制作を依頼されたものだ。

Q:でも警察のトロイの木馬は良く無いのでは?
A:そう、マルウェアはしばしばコントロールを逃れる方法を見つける。我々には決して良い考えとは思えない。

Q:R2D2はどの程度悪いのか?
A:R2D2は、ドイツの法律により許可された範囲を遙かに超えているように見える。これはドイツで法的、政治的混乱を引き起こしたが、技術的にはそれほどでもなかった。我々のシステムオートメーションは、人間のアナリストが気づくよりずっと以前に、R2D2は信頼されるべきではないと判定した。警察にとってR2D2を価値あるものにしたのは限られた導入基盤だ。それは実際、犯罪者に採用され得る方法では革新的とは言えなかった。

Q: Stuxnet/Duquは革新的なのか?
A:そう、非常に。脆弱性が明らかになれば、我々(および他の人々)はこの新たなエクスプロイトのため強力なジェネリック検出を作成するため、膨大な仕事をする必要があるだろう。ラボの他のメンバーは、収集したファイルの再スキャンと結果の処理を行うべく、C-Mediaにより署名されたソフトウェアのためファイルのデータマイニングを行う必要があるだろう。Duquは技術的な頭痛の種となり、得た教訓は犯罪者により、どこかの時点で採用されるだろう。

Q:DuquはStuxnetとは関係無いという人々はどうなのか?
A:2つのオペレーションの類似点を比較してみよう。

  •  インストーラはゼロデイWindowsカーネル脆弱性を利用する。
  •  盗まれた証明書で署名されたコンポーネントがある。
  •  高度な諜報活動を示唆する方法で標的が定められている。

  Duquのインフラをコード化し、構築した技術開発チームは、Stuxnetの開発を行ったチームとは部分的に異なるかもしれない。攻撃が高度に標的を定めているところから、かなりの人的情報収集作業が行われているものと考えられる。この諜報活動は、同じ、もしくは異なるアナリストにより行われたかもしれないが、それはあまり重要ではない。チームの構成がどうであれ、これらオペレーションの類似点は、糸を引いている民族国家関係者が共通であることを示唆している。

Q: 我々がこの民族国家の正体を知ることはあるのか?
A: そうなるとは思えない… 少なくとも近い将来にはないだろう。Duquが引き起こした状況から、どのような種類の開示も阻止されている。

Q: この民族国家の関係者は他のオペレーションを進行中なのか?
A: 不明だ。しかしそうだとしても、あまり驚きはしない。

Q: 最後の(今のところ)質問:オペレーションDuquは電子メールの添付ファイルを使用した。それは誰もが用心すべきものではないだろうか。どうしてそのようなベーシックな攻撃方法を使用するのか?
A: 上手く行くからだ。

http://covers.dummies.com/share.php?id=13154

  その他のリソースへのリンクについては、昨日の記事を参照して欲しい。

「Duqu」攻撃のインストーラを発見

  ハンガリーのセキュリティ会社「CrySyS Lab」が、悪名高い「Stuxnet」との関係で今や良く知られている、「Duqu」のインストーラを発見した。同インストーラは、電子メールを介してドキュメントとして入手されたもので、ゼロデイWindowsカーネル脆弱性に対するエクスプロイトをローンチする。非常にヘビーな代物だ…

  Symantecは分析用に同インストーラを入手しており、ホワイトペーパーをアップデートしている。

  かなり多くの詳細が追加されている:

Duqu comparisons

  ホワイトペーパーを読む前にいくつかアドバイスを:Symantecのテクニカル分析は素晴らしいが、攻撃者のモチベーションに関する推測は無視すべきだ。Symantecのホワイトペーパーの最初のバージョンでは、「Duqu」はStuxnet「ワーム」と同一であると述べていたが、しかし全く異なっていた(これらは異なるペイロードを有している)。

  新たなテキストはより明快だ——しかし、元々の推測の一部が残っている。

  以下のように考えると良い:「Duqu攻撃」は「Stuxnet攻撃」で使用されたのと同じ「コンポーネント」が使用されている。しかしそれは攻撃が同じという意味ではない。実際、攻撃そのものはそれほど似ていない。そして「Stuxnetワーム」は「Duquバックドア」と同じ物ではない。

  実際、「Duqu」攻撃は、少々類いまれなほどに普通の標的型攻撃だ。つまり、標的型攻撃の手順は非常に一般的(添付ファイル付きの電子メール)だが、攻撃に使用されるツールは非常に高度なもの(添付書類にすごいエクスプロイト…)なのだ。

Q:では、「Duqu」攻撃の動機は何なのか?
A:攻撃者たち自身に聞く必要がある。本当のところは彼らにしか分からない。

Backdoor:OSX/Tsunami.A

Backdoor:OSX/Tsunami.A」に関する説明を公開した。「Tsunami」はボット機能を持つMac OS Xバックドアだ。

Backdoor:OSX/Tsunami.A

  このボットはDDoS攻撃に関与することができ、実際、亜種の一つが「anonops」に関連してIRCサーバに接続しようと試みている。(インターネット集団)「Anonymous Ops」などでだ。

  Tsunamiには明白な感染ベクタは存在しないため、一部のアナリストはOSX/Tsunamiがまだ未完成なのではないかと推測している。またサーバのリモートハッキングが、ベクタの一つである可能性を指摘しているアナリストもいる。OSX/Tsunamiが、インストールするためにPHP脆弱性を長く使ってきたLinuxボットに基づくとすれば、かなり高い可能性だ。

  我々は、「Anonymous」によって行われるDDoS活動に、人々が自分達のコンピュータをボランティア的に差し出すため、このバックドアを自分でインストールしたのかもしれないと示唆する記事さえ読んだことがある。

  自分のコンピュータを望んで差し出す? 我々にはばかげて聞こえる。

  特に「Anonymous」のメンバーが、「ボランティア」Macを潜在的に他にいくらでも利用できることを考えれば。

site_edu_mac_lab

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード