エフセキュアブログ

2012年07月

標的型攻撃が私生活を狙うとき

  現在のところ標的型サイバー攻撃は企業や政府機関に対するものが多数ニュースになっています。しかし、もし私生活も狙われるとしたらどうなるでしょうか? 企業や政府ならば内部ネットワークにそれなりのセキュリティ対策が施されていたとしても、自宅ネット接続ではインターネットルーターのファイアーウォールとマシンに入れたウィルス対策ソフトくらいしか防御手段がないのではないでしょうか。そして最近話題の出口対策はほとんど初めから考慮されていません。企業や政府の中でターゲットにされた個人の私生活から収集した情報を基にして、さらに組織への標的型攻撃を仕掛ける事は十分ありうるでしょう。

  標的型攻撃の初期段階でFacebookやLinkedInなどのソーシャルネットワークで事前情報の収集が行われていることは指摘されています。その次の段階になると、ソーシャルネットワークの情報を基にターゲットの私生活を狙った盗聴・盗撮などでの情報収集が行われる可能性があるでしょう。そして現在のPC・携帯電話・スマートフォンなどにはほぼすべてカメラとマイクロフォンが搭載されていますが、これらは監視カメラにもなりえるわけです。実際にPC内蔵カメラを外部から制御して画像を送信させるスパイウェアがあり、アメリカでこれを悪用したコンピューター修理ショップの技術者が逮捕された例が最近ありました。

  この犯人の21歳の技術者は、ショッフにPCを持ち込んで来た特に女性客を狙ってCamCaptureというスパイウェアを仕込んで修理し、外部からインターネット経由で覗きをしていました。また、被害者の女性数人にはカメラの前で服を脱ぐように指示する脅迫メールを送りつけていたそうです。しかし、その店舗に修理を依頼した姉妹が、修理後からカメラ動作ランプが不可解な点灯をするようになったのに気がついて他の修理ショップに持ち込んだことから、スパイウェアが仕込まれた事が判明して逮捕に至ったということです。この犯人の場合は被害者のコンピューターを直接触って仕込んでいましたが、このようなスパイウェアを感染させるように設定したウェブサイトにフィッシングで被害者を誘導する手段もありうるので、大量のPCを監視カメラ化することが可能になります。

  これと同様の発想のスパイウェアはスマートフォン向けに登場してくるでしょう。実際スパイウェア以前に、Lady Gagaやスカーレット・ヨハンソンの携帯電話から自写ヌード画像などがハッキングで流出する事件が既に起き、日本でもユーザーの意図しない内に個人情報をマーケティング目的で収集する機能を持ったアプリが出回った例がいくつもあるわけです。特にAndroidスマートフォンの場合はユーザーによるアプリ購入は基本的に自己責任方式であり、Google以外が提供するアプリマーケットからもダウンロードできるため、マルウェア混入のアプリがすでに何度も登場しています。その中で、外部からコントロールしてスマートフォンを監視盗聴デバイス化するマルウェアが出てくる可能性がありうるわけです。高性能のCPUを搭載してGPSや様々なセンサーを持つスマートフォンは、ターゲットした相手が常に持ち歩くわけで、標的型スパイ攻撃にとって理想的なデバイスです。と、書いていた間にAndroidのリモートアクセス・トロージャンと思われるマルウェアが中国で登場の話題が出ていました。
  さらに中国のNetQinの調査によると今年前半でのスマートフォンのマルウェア感染は1280万台(Android 78%、Symbian 19%、17,676種のマルウェア)という推計も出ています。
  PCのウィルス対策ソフトはかなり普及して現在はスマートフォン向けの普及の必要性が叫ばれていますが、ここでも外部へ出て行く情報の制御など、ウィルス対策ソフト・レベルでの対策の組込みは急ぐべき課題ではないでしょうか。

1992年

  ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ

Poison Ivyにみるマルウェアの隠し場所


最近、「マルウェア感染したと思うのだが、アンチウイルスソフトや不正プログラム抽出ツール等を試したが何も見つからない」といった話をよく耳にします。
その多くは、IDS/IPSやURLフィルタなどにより不正通信を検出しているのですが、いざPCを調べると何も見つからない、といったものです。
#当然、マルウェア作成側も念入りにアンチウイルスソフト等では検出されないように設計していますので、そう簡単には見つからないです。

そこで、今回は検出されずらいマルウェア隠し場所とその検出方法の一例を紹介してみたいと思います。少しでもお役に立てて頂ければ幸いです。

今年に入ってから、ときどき見かけるものとして、古典的な手法ですが、ADS(NTFS代替データストリーム)を利用してマルウェアの本体を隠す手口です。
この手口を悪用するものとして、例えば最近人気(?)のPoison Ivy(トロイの木馬)などがあります。
Poison Ivyの機能に取り込まれたのは、比較的最近のバージョン(2.3.0〜)からですので、攻撃者から見ればそれなりに効果が期待できるということなのでしょう。

Poison Ivyの場合、ファイルを隠すために利用されるフォルダは、Windowsフォルダとsystemフォルダに限定されています。
ディスクエディタ等で確認すると、下図のhkcmds.exe(C:¥Windows¥system32:hkcmds.exe)のような状態となります。
#ADSにより隠されたファイルは、通常のWindowsのエクスプローラー等の操作では見えません。

ads

この隠されたマルウェアに対し(1)〜(3)の操作により検出および抽出を試みます。
(1)Windowsのファイル検索
(2)アンチウイルスソフトによるフルスキャン
(3)ADSファイル検索ツール

これらの操作の結果は、
(1)では見つけられません。恐らく、Windows APIを利用している資産管理ツール等でも見つからないと思います。(未確認)
(2)は5つのソフトウェアをテストしたところ、2つが検出されました。いまいち確実性に乏しいです。
(3)は確実に抽出することが可能です。ADSを検出することに特化してますので当然ですね。

他にレジストリを確認することで検討をつけることは可能ですが、この作業はなかなか骨が折れます。
ちなみに、上の例ですとレジストリは次のような内容が書き加えられていました。

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Value Name: HotKeyscmd
 New Value: “C:\WINDOWS\system32:hkcmds.exe”


#感染日時がある程度目星がついており、感染端末の保全状況が良いと比較的容易に見つけられるかもしれません。

今年に入ってから、本ケースのような事例は少なくありません。もしアンチウイルスソフト等では何も検出されていないが、不審な通信を行っている、などの挙動がありましたら一応ADSもチェックしておくと良いかもしれません。
また、何か興味深い事例等ありましたら投稿したいと思います。
ではでは。

イランからのメール

  この週末、私はイランから一連の電子メールを受けとった。イラン原子力庁(AEOI)に勤務する科学者から送られたものだ。

aeoi

  この科学者は、さらに別のサイバー攻撃を受けているイランの原子力システムに関する情報を知らせるために連絡をくれた。

  彼は次のように書いている;


  我々の原子力プログラムに再び障害が起き、NatanzのオートメーションネットワークとQom近郊のFordoの施設を閉鎖させたエクスプロイトを含む、新たなワームの攻撃を受けていることをお知らせするべく、このメールを書いています。

  我々のサイバー専門家が私のチームに送信したメールによれば、彼らはハッカーツールMetasploitが使用されたと考えているそうです。ハッカーたちは我々のVPNにアクセスしました。オートメーションネットワークとSiemensのハードウェアが攻撃され、停止しました。私は科学者であってコンピュータの専門家ではないので、これらサイバーな問題についてほんのわずかのことしか分かりません。

  ワークステーションのいくつかが、夜中に最大の音量で、ランダムに音楽を鳴らすというできごともありました。AC/DCの「Thunderstruck」だったようです。



  この件について、どう考えるべきか良く分からない。我々には詳細の確認が行えない。しかし、研究者がAEOI内からメールを送受信していたことは確かだ。

ミッコ


APTFC

「APT」は、中国の脅威主体を表すため、米空軍が作成した用語だ。

  APTという語が使用されるもっとも一般的なケースは、標的型攻撃だ。ほとんどが、なりすましメールを介して行われる。またほとんどが、ブービートラップを仕掛けた添付書類を含んでいる。被害者をだまして、その文書が実際役に立つものであると信じさせるため、ほとんどが犠牲者に若干のコンテンツを表示する。

  こうした文書をチェックするのが興味深いのは、これらが非常にしばしば、攻撃者や犠牲者について多くを語ることがあるためだ。

  以下は、APT攻撃で使用された悪意ある文書ファイルの例だ。これらはすべて、サンプル・フィードとスキャナアグリゲーショナーを介して、匿名で受けとったものなので、誰が実際の標的であったのか、我々には分からない。

Targeted attack APT

Targeted attack APT

Targeted attack APT

Targeted attack APT

Targeted attack APT

Targeted attack APT

  上記の文書ファイルはすべて、エクスプロイトを含んでおり、閲覧されるとバックドアをドロップする。

  これらのファイルは「エフセキュア アンチウイルス」によりブロックされる。

  以下はこれらのサンプルのSHA1ハッシュだ:
babce866503fbe880cdcf38f39b890ac612e6722
0b13c003b80cff5090d98dad229ba1659be3b361
486b01914ff0ce3b7274dcf5023972b1d8341ce1
040073498337e7212068c2a8e95b2f43415d0e04
ce2637890e1be18e4cbcf833626c0c0a29f79364
e812d3f464b7ded8b5580ea2e55497046882b684

世界のCTFから

DEFCON CTFに向けて鍛錬を続ける日々ですが、トレーニングも兼ねて私が所属するチームsutegoma2は世界各地で行われるCTFにも参加しています。その中で予選を突破し、決勝に進むことができたCTFの中から、決勝戦の様子を紹介します。

CODEGATE YUT
韓国で開催されているCTFであり、韓国の伝統的なゲームであるユンノリをベースに試合が行われます。ユンノリは日本でいうとスゴロクのようなものです。単に問題を解くだけでなく、何マス進めるかといった戦略や、運が試合を左右することもあります。韓国の伝統文化を世界に紹介するよい機会になっていると思います。DEFCON CTFと違い、CTF中の食事や交通費の補助が提供されており、世界中から優秀なチームを集めるんだという意思を感じます。

codegate

Nuit du Hack
フランスで行われたCTFで、主催者曰く、「現実に近い形式にこだわっている」そうで、攻防戦形式で行われ、DoSも可という珍しいルールです。実際に、試合の途中で問題を解くことよりもDoSの応酬合戦が激しくなり、結局主催者側のサーバがダウンしました。さらに運営側に問題があり、ダウンしたサーバが復旧不可能という事態に陥り、終了予定時間を待たずして試合続行不可能となり、そのまま終了しました。なんともお粗末なCTFでしたが、サーバをダウンさせるだけなら簡単であり、クラウドの脆弱さを証明したCTFでもありました。

ndh

SECUINSIDE
こちらも韓国で行われたCTFです。過去には攻防戦形式で行われたこともあるそうですが、2012年の決勝はクイズ形式で行われました。特徴は得点の加算方式にあります。一般的なCTFでは問題の難易度を主催者側が検討し、難易度に応じて得点が決められています。それに対して、SECUINSIDEでは問題を解いたチームの数が多いと各問題の得点が下がるようになっています。つまり、問題の難易度は解答チーム数によって決まるので、合理的とも言えます。しかしその一方で試合が終了するまで順位がわからないという欠点もあります。試合終了後に集計が行われて最終順位が決定するので、意外な大逆転というのが起こります。今回、sutegoma2は試合終了3分前に解答し、5位で試合を終えましたが、集計が終わってみると3位という大逆転を起こしました。

secuinside

他にも世界中で様々なCTFが開催されており、CTFの広がりを実感するのと同時に各国とも情報セキュリティに力を入れていることを肌で感じます。そんな中、やはり強い国はアメリカとロシアです。最近のCTF業界ではこの2カ国がずば抜けています。現実に起こっているサイバー戦争の力関係を表した縮図のような状況です。

さて、7月末からはいよいよDEFCON CTFの決勝が開催されます。今年はDEFCONが第20回の記念大会ということで、世界各国のCTF優勝チームが集められ、合計20チームでの戦いとなります。
sutegoma2は去年に引き続き決勝の舞台に立つ切符は手に入れていますが、今年は一体どんな戦いになるのでしょうか。このまま苦汁を舐めさせられ続けるわけにはいきません。

サイバー軍備

  過去25年間、我々の情報に関する考え方が大きく変貌を遂げるのを見てきた。

  1980年代には、情報はまだ、ほとんどがアナログだった。紙に、バインダーに、棚に、そして金庫に保存された。

  今日ではもちろん、ほとんど全ての情報がデジタルだ。情報はコンピュータで作成され、保存され、コンピュータネットワークを介して送信される。

  セキュリティの観点から見ると、これは現在、世界中のどこからでも機密情報に到達できる可能性があるということを意味している。もはや物理的に、情報のある場所にいる必要が無いのだ。

  このことは、諜報活動もまた、デジタルになったことを意味している。そして我々はバックドアやトロイの木馬によって行われた、国家の諜報活動をいくつか目にしているが、マルウェアを使用してサイバー破壊活動を行っている国家レベルの事例で確認されいるのは一つしかない。それはStuxnetの事例だ。

  この業界に身を置いている間に、私はこれまで数々の謎を見てきたが、Stuxnetの事例ほど興味深いものはほとんど無かった。

  F-Secure Labsでは、Stuxnetを開発するには10マンイヤー以上の時間が必要であると概算している。DuquやFlameのような関連の攻撃は、さらに時間が掛かっているかもしれない。

  Stuxnetには2012年6月24日という「停止日」が設定されていたが、これは同ワームが現在では拡散を停止していることを意味している。しかしそのことに大した重要性は無い。オペレーションは既に長い間アクティブであり、2010年までにはほとんどの標的に到達しているからだ。

  Stuxnetは、こうした新種の攻撃的な攻撃の背景にある考えの好例だ。すなわち、もし外国の秘密の原子力プログラムを混乱させたい場合、何ができるか、ということだ。

  さて、あなたには二、三の選択肢がある。国際的な圧力やボイコットを試みることができる。しかしそれが上手くいかなかったら、次は何をするだろうか? 従来型の軍事攻撃を試みたり、彼らの施設を爆撃することができるだろう。しかし、攻撃者が誰かが特定されることが問題だ。そして、既知の施設しか攻撃できないという事実も。

  Stuxnetのようなデジタル攻撃の使用にはいくつかの利点がある。特に、否認権があることが大きい。

  Stuxnetは明らかに形勢を一変させるものだ。しかし、長い目で見るとそれは何を意味するのだろう? 我々は今、新たな軍備拡張競争の一番最初のステップを目撃しているのだと思う。すなわちサイバー軍拡競争だ。

  現代のハイテク調査が過去50年間にわたって軍事行動に革命的変化をもたらしたように、我々は情報オペレーションとサイバー戦争に関し、新たな革命を目撃しつつある。この大変革は進行中であり、今この瞬間に起きていることだ。

  もちろん我々はまだ、本当のオンライン戦争を目撃してはいない。これは我々が最近、ありがたいことに技術的先進国間の戦争に遭遇していないためだ。しかし将来のあらゆる危機には、サイバー要素も含まれる可能性がある。

  サイバー戦争は必ずしもインターネットと関係があるわけではない、ということを理解するのは重要だ。最も重要なネットワークは、公衆網には接続していないため、より破壊的なサイバー攻撃の多くは、遠隔的に開始することはできない。

  到達不能と考えられたシステムに到達することができるよう、光ファイバー・ケーブルを掘り起こすため、同行するギークたちとともに適地に侵入する特殊部隊ユニットについて考えてみれば良い。

  あらゆる軍備拡張戦争の主要なポイントは、敵が戦いを開始することを考えることさえしないよう、敵に自分たちの能力について知らせることだ。我々はこの段階ではサイバー軍拡競争中ではない。この領域での開発はほとんどすべて、公表されておらず、機密扱いなのだ。

  しかし最終的には、他の防衛技術と同程度、公のものになるだろう。もしかしたら我々はいつか、国が自分たちの攻撃能力を誇示する公のサイバー軍事演習を目撃するかもしれない。いつかサイバー軍縮プログラムを目の当たりにするかもしれない。

  軍事力マルウェアに対する防御は、コンピュータセキュリティ業界にとって真の難題だ。

  さらに、セキュリティ業界はグローバルではない。少数の国にしか集中していないのだ。その他の地域は、自分たちの日常的なデジタルセキュリティを得るのに、外国のセキュリティラボに依存している。たとえば、ヨーロッパには、約10のウイルスラボしか存在せず、大多数の国は自国にラボが無い。

  インターネット上では、国境には大した問題ではない。しかし危機が起きれば、状況は変わるのだ。

ミッコ・ヒッポネン
このコラムは当初BBCに掲載された。


Intel OS Xバイナリを持つマルチプラットフォームバックドア

  月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。

  その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。

Social-Engineering Toolkit (SET) attack files

  まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。

  ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。

  Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:

Windows payload in shellcode form

  シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。

  これらのファイルは以下のように検出されている:

Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)

  バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。

「キッチンのゴキブリが1匹だった試しはない。」

  マルウェアをPlayに侵入させることで「仕事をしていない」とGoogleを批判した昨日の記事に、反応があった。

  いや。

  我々はGoogleが防止問題に対応していないと言っているわけではない。同社のレスポンスに関することなのだ。

  我々がDropdialerの代替バージョンをプッシュするために使用された、第2のダミーアカウントを見つけるのには、文字通り、10秒も掛からなかった。GoogleのAndroid Securityチームは、6時間以上早く最初の2種の脅威を除去していた。何故「Vahtang Maliev」アカウントが、まだオンラインだったのだろうか?

  「Android Security」は、Google Searchの利用法を知らないのだろうか?

  では、Dropdialerの別の例を探してみよう:

Google Search: GTA 3

  「GTA 3」と説明、「site:play.google.com」を使用すると、第6の結果が得られた。

  (発見するのに30秒も掛からなかった。)

Google Search result: GTA 3

  そして我々は現在も、Google Cacheから同アプリのページを取り出すことができるが、これは削除されたのが最近であることを意味している:

Vitaliy Orlov, GTA 3 Stone City

  このダミーアカウントは「Vitaliy Orlov」氏のもので、上の画像から分かる様に、他の2つのアカウントと似たようなエサが使用された。GTA 3やSuper Mario、Angry Birds、Cut the Ropeだ。

  うーん。Cut the Rope? そう、以前見たことがある。昨年の12月に — 何度も

  Android Securityは「キッチンのゴキブリが1匹だった試しはない」という教訓を得なかったのではないだろうか。

  新たな脅威が特定されたら — さらに探すためサーチを開始すべきだ。

  Googleの「Bouncer」は、マルウェア脅威がPlayに侵入するのを防ぐことを目的としている。

  よってGoogleはおそらく、Androidのセキュリティをシリアスに受け止め、「レスポンス」システムに投資すれば良いのだ。

  まじめな話、Googleのバックエンドの大きなパワーを考えれば…脅威が特定された際、Android Securityが詐欺の別のバージョンを捕らえ、停止させるのに6時間以上かかるべきではない。

  我々はより良い対応を期待しているのだ。

Google PlayがSuper Marioマルウェアをすべて除去するのに失敗

  Symantecの@Irfan_Asrarによるこの記事によれば、Google Playでまたマルウェアが発見された。

  Android.Dropdialerは「Wallpaper」アプリのふりをするが、有料のSMSを送信する別のアプリもインストールする。

  Asrarは、エサとしてテレビゲームを使用する、Playで見つかった2つのバージョンを分析した。良い知らせ:Android Securityは、Asrarが特定したアプリを削除した。悪いニュース:現在Google Playにはもっと多くのマルウェアアプリがある。一度何かが上手くいくと、悪党たちはまた同じことをしようとする。

  その点を念頭に置き、我々はGoogle Searchを利用してさらに多くの例を(10秒未満で)発見した。

Google Play, Search

  以下は、他のバージョンの「Super Mario Bros.」アプリだ:

Vahtang Maliev, Super Mario Bros.

GTA 3: Las Vegas (Asrarはモスクワ市バージョンを発見した):

Vahtang Maliev, GTA3 Las Vegas

Instagram After Effects:

Vahtang Maliev, Instagram

FIFA 11 Russian Edition:

Vahtang Maliev, FIFA 11

Odnoklassniki Life:

Vahtang Maliev, Odnoklassniki

  かなり賢い点は…

  有料課金型のSMSナンバーは、特定の国でのみ動作する。よって、このマルウェアは利益になるネットワークの外部では「非互換」だ。

This app is incompatible with all of your devices.

  これはマルウェアを標的グループに制限するため、アンチウイルス研究者がサンプルを集めるのがより困難になる。

  この脅威を特定したAsrarは素晴らしい。次回は「Android Security」にさらなる幸運を。

追記

  以下はSuper Mario Bros. DropdialerのVahtang Malievバージョンのビデオデモンストレーションだ:


YouTube: Dropdialer: Super Mario Bros. Version

サイバー刑法ができるまで

日本におけるサイバー刑法ができるまでを記述した記事について好評をいただいております。
是非こちらのリンクにてごらんいただければと存じます。

ウイルス作者を取り締まるサイバー刑法ができるまで

コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








いつもとは違うSkypeダウンロード

  我々は最近、Androidデバイス向けにSkypeアプリを提供するとおぼしきWebサイトを発見した。

  Androidデバイスから同サイトにアクセスすると、ダウンロード用にAPKファイル(skype52_installer.apk)が表示される:

skype_apk (25k image)

  しかし、iOSデバイスを使用して同サイトにアクセスすると、以下のスクリーンショットが示すような表示が現れる:

skype_iphone (24k image)

翻訳:
この新アプリは確認され、展開されている:skype.ipa
iphone_free_spaceをチェック


  その後、ユーザにインストールが「完了」したことが知らされる:

skype_iphone_confirm (25k image)

翻訳:
インストール完了!
新アプリskypeをいつでもインストールできる!
このアプリを違法使用から保護するため、あなたの電話番号を入力し、SMSメッセージのインストラクションに従って下さい。


  この時点で、デバイスにインストールされた新しいアプリケーションはまだ無い。案の定、電話番号を入力しても、何も起こらない。

skype_iphone_sms (47k image)

翻訳:
インストール完了!
確認のリクエストを含む無料SMSメッセージが送信されました。


  AndroidやiOS以外のデバイスから訪問すると、JARファイル(skype52_installer.jar)のプロンプトが表示される:

skype_jar (216k image)

  翻訳してくれたDmitriyに感謝する!








DNSChangerの結末

  バイバイ、FBI。DNS Changer Working Groupの「クリーンなDNSサーバ」がオフラインとなった。

  人気のある戦略は、少なくとも先週行ったアンケートの結果によれば以下の通りだ:

DNSChanger poll results
ソース:DNSChanger:F.B.I.は7月9日以降も継続するよう再認可されるべきか?

  しかし、うろたえる必要は無い。報道によれば、多くの主要インターネット・サービス・プロバイダが自身の代替DNSサーバーを設定し、問題に対応し続けているのだ。

  FBIは退場したが — IPSが参入した。全般的に、このようなケースにしては、ものごとは順調に運んでいる。感染の総数は、サポート電話が大混乱することもなく、減少し続けている。(我々は顧客から2、3の連絡しか受けていない。)

  以下はIP感染数の上位20カ国の週末のデータだ:

DNSChanger IP count
ソース:@mikko

  つまり、まだするべき事はあるということだ…

  FBIとDCWGの貢献を讃えたい。

P.S. Pinterestにあるミッコの「Case DNS Changer」コレクションに興味深いスクリーンショットがある。チェックして欲しい。

Facebookページを収益化する方法

  最近、Cost Per Action(CPA)マーケティングフォーラムで、面白いポストを見つけた。

  「Facebookページの購入法と収益化の方法。」

  どういうことだろう?

  以下が主要なポイントだ:

How to buy Facebook pages and Monetize them

  購入するためページを検索…

How to buy Facebook pages and Monetize them

  ページはいくらで売られるのか?

How to buy Facebook pages and Monetize them

  適所を見つける。

How to buy Facebook pages and Monetize them

  基本的に、CPAアフィリエイトマーケティングネットワークに参加し、広告を見つけ、その広告(別名「適所」)に関連するキーワードを使用して、その次に…「スペシャルオファー」でそのページに「いいね!」をした人々にスパムを送信する。

  人々はオファーをクリックするが、これは結局、電話番号(支払い請求のため)などの情報を求めるものだ。

  そして利益を得る。

  あなたは「適所」を探している寄生虫が全て、実際社会に何らかの貢献をする役割を見つけたら良いと思ったことはないだろうか?

  そう、我々もそう思う。

iPhone "5"

  Appleの「世界を変える」iPhoneが6月29日金曜、5回目の誕生日を迎えた。

  ミッコの考え:

twitter.com/mikko/status/218329213420322817

  ミッコにフィードバックしたい? TwitterFacebookあるいはNews from the Labの記事のコメント欄からどうぞ。

  ところで話は変わるが:



YouTube:フリーザーの中のiPhone(2007年7月27日頃)

FBIはDNSChangerサーバの継続で再認可されるべきか?

  DNSChangerの最新のデッドラインである7月9日が、急速に近付きつつある。(前回のデッドラインは3月8日だった。)あとたったの1週間だ!

  DNSChangerとは何か?

  DNSChangerは、F.B.I.とエストニア当局が昨年後半、「Operation Ghost Click」で壊滅させた広告詐欺ボットネットだ。

  「Operation Ghost Click」?

  「Click」はクリック詐欺を意味している。DNSサーバの設定を変更することで、ギャングたちは中間者広告インジェクションを実行することが可能になった。

  中間者広告インジェクションとは? 悪党たちはそれでどのように利益を得たのか?

  そう、2006年頃には、広告詐欺では「クリックボット」が使用され、この問題がメディアの注目を集め始めると…広告主はGoogleがクリック詐欺防止のため、十分な手を打っていないと文句を言い始めた。そして彼らは、クリック単価の損害について訴訟を起こすと威嚇した。

  そこでGoogleは、この問題に技術者を投入し、現在では、事前に準備したクリックボットは、かなりのアンチ詐欺防御に直面している。Googleの自動化の方が、詐欺師よりもはるかに優れているのだ。さよなら、クリックボット。

  すると賢い広告詐欺師たちは、「オフスクリプト」に向かう必要を感じ、人間を関わらせることになった。すなわち広告インジェクションだ。人間の「被害者」は、広告を見た際、クリックを強要されないため、ある意味では、それはGoogleが自動化した防衛によって予測可能な「広告詐欺」とは言えない。そんなわけで、マン・マシンボット(サイボーグと呼ぶべき?)の組み合わせが金儲けに使用された。

  非常に賢い。

  そう。そしてそれがおそらく、F.B.I.の関心を引いた理由の一つだろう。感染したコンピュータの数は、ある時点で50万台以上を数えた。

  うわー、それはたくさんだ。現在も感染しているコンピュータは何台あるのだろうか?

  6月11日現在、30万以上のIPアドレスが「仮の」DNSサーバに登録されている。

  以下は、トップ25カ国の内訳だ:

Unique DNSChanger IPs, June 11
ソース:国ごとのDNS Changer上位感染ランキング

  すると7月9日のデッドラインはどういうことになるのだろう?

  3月、ニューヨーク南部地区の米連邦地裁が、代用のクリーンな「一時的」DNSサーバの認可を延長した。この認可が再度延長されなければ、DNSサーバをシャットダウンする必要がある。

  すると何が起きるのか?

  その時点で、影響を受けたコンピュータはすべて、DNSサーバから切断される。コンピュータはそれでもインターネットに接続しているが、インターネットリソースを探すのに必要な「アドレス帳」により設定されることは無い。

  アドレス帳?

  DNSサーバは、google.comのようなURLを、173.194.32.7といったIPアドレスに変換する。

  DNSが無ければ、数字のアドレスを知っている必要がある?

  その通り。

  代用サーバが打ち切られたら、とんでもない混乱が起きそうだ。法廷は再認可を与えるだろうか?

  イエス。しかし…そうすべきだろうか?

  そうすべきでは無いのか?

  6カ月で、感染したコンピュータの半数以下が修正された。F.B.I.がこれらのゾンビコンピュータを使用可能にするのに、あとどのくらいかけるべきだろうか? 確かに、DNSサーバの切断は若干の混乱を引き起こすだろうが、現時点では、残りの感染を解決する最も速い方法かもしれない。そして率直に言えば、早ければ早いほど良い。これらのコンピュータはボットのままでいる限り、他の感染にも脆弱だからだ。

  このアンケートに参加して欲しい:F.B.I.は7月9日以降も継続するよう再認可されるべきか?




  コンピュータのチェックは以下で行える:http://www.dcwg.org/detect/

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード