エフセキュアブログ

クアラルンプール発

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

信頼できるインターネット:監視ソフトウェア企業からスパイウェアを買う人を誰が統制するのか?

 秘密が暴露されるのは、ハッカーがハッキングされたときだ。イタリアを拠点とする監視技術の企業Hacking Team社が、7月5日にハッキングされた。ハッカーたちは内部資料、ソースコード、メールを含む400GBのtorrentファイルを一般に公開した。これには顧客のリストも60件近く含まれている。

 同社は圧政国家との取引を公式には否定しているが、このリストにはスーダン、カザフスタン、サウジアラビアといった国家も載っている。また漏えいした資料からは、東南アジア地域のシンガポール、タイ、マレーシアの政府当局が、RCS(Remote Control System)いう名前の最先端のスパイウェアを購入していたことが強く示唆された。

 Citizen Lab(訳注:カナダ、トロント大学内の研究所)の研究者によると、このスパイウェアは並外れて深く侵入する。モバイル端末上のマイクやカメラを起動し、Skypeやインスタントメッセージを傍受し、収集した情報からC&Cサーバへと追跡されるのを回避するために、プロキシサーバによる匿名化ネットワークを使用するのだ。

 Pastebinに投稿された顧客リストの画像に基づくと、このソフトウェアはマレーシアではマレーシア汚職防止委員会、MI(Malaysia Intelligence)、首相官邸で購入された。

hacking_team_client_list (86k image)

 medium.comに投稿された、漏えいした請求書の追加画像では、このスパイウェアがMiliserv Technologies (M) Sdb Bhdという社名の、現地のマレーシア企業(マレーシア財務省に登録)を通じて販売されたことが示されている。同社はデジタルフォレンジック、インテリジェントな収集、公安サービスの提供に特化している。

hacking_team_hack_1 (95k image)

hacking_team_hack_2 (72k image)

 首相官邸が監視ソフトウェアを必要とする理由は、謎のままだ。よく聞いてほしい。プロ仕様のスパイウェアは安くはない。ライセンスのアップグレードには40万マレーシア・リンギット(約1,300万円)かかるし、保守の更新には約16万マレーシア・リンギット(約500万円)を要する。

 マレーシアの非主流派のメディアによるこの事件の報道によれば、2013年の総選挙へ向けて(検出数が)急増する中でマルウェアFinFisherが検知されたが、マレーシアの政府機関はおそらくこの発見の前から当該スパイウェアを使っていたということだ。

 偶然にも、マレーシアは年次のISS World Asiaという見本市の開催地に頻繁になっている。ここでは、法執行機関や、通信会社、政府の担当者に対して、企業が「合法的な」監視ソフトウェアという武器をプロモーションしている。2014年の同イベントにHacking Team社は参加しており、共同で最大のスポンサーとなっていた。

 MiliServ Technologiesは現在のところ、クアラルンプールで次に開催される2015 ISS World Asiaに関与している。同イベントに参加するには招待が必要だ。Hacking Team社が今年も参加しているかを確認したいかもしれないが。


Post by – Su Gim

欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 この宇宙は「ブラックエネルギー」に満ちている。そしてサイバースペースも同様だ。我々がVirusTotal経由で発見したBlackEnergyファミリーについて書いたのは、それほど以前のことではない。伝えられているところでは、このファミリーは、2008年のグルジアへのサイバー攻撃で用いられたものと同一である。先週の金曜日、新手のバリアントがVirusTotalに投稿された。そして今回は、どのように配布されたかについて、より明確になった。それは、実行ファイルを含むzipファイルだった。今月すでにあったケースと同様、このサンプルはまたもやウクライナから投稿された

Zip file screenshot

 zipファイルの名前はキリル文字でつづられており、「パスワードリスト」という意味だ。実行ファイルのほうは、意味は同じだがラテン文字でつづられている。実行ファイルの拡張子が.docであることを注記しておく。犠牲者がこのサンプルをどのように起動し得るのかは、明確になっていない。我々の推測では、狙っているターゲットが使っているあるzipアプリケーションがあり、それが拡張子に関わらず本当のファイルの種類に基づいてサンプルを開く機能をサポートしている、とみている。もちろん攻撃者が単に間違いを犯した可能性もある。

 VirusTotal上の実行ファイルのサンプルを確認すると、わずか数分早くベルギーから投稿された。ウクライナの現在の状況や、ベルギーがEU政府の中心であること(およびNATO本部が置かれていること)を鑑みると、これらが関連しているという見解を無視することはできない。

 我々はこのサンプルは、特定のパスワードを避けるように警告するIT系の勧告を装ったスピアフィッシングメールの添付ファイルとして送付された可能性があると考えている。

 以前のバリアントと異なり、当該サンプルはもはやsvchost.exeに、ユーザモードのDLLを挿入するカーネルモードコンポーネントを使用してはいない。今回は、単純にユーザモードのドロッパーを用いて、rundll32.exe経由でDLLを読み込む。カーネルモードコンポーネントの排除は、最近のWindowsシステムで見られる、署名付きドライバを実施する保護を潜り抜けようとするためかもしれない。

 ユーザモードDLLは変更をサポートするために書き換えられてもいる(タイムスタンプは2014年6月26日)。今では設定フォーマットは異なるが、いまだ同じIPアドレス・ブロックに所属するC&Cサーバを用いている。

New BlackEnergy configuration

 またドロッパーは悪意のある行為を隠ぺいするために、囮ドキュメントまで開く。

Decoy document

 ソフトウェアの脆弱性やエクスプロイトとは一切関係がないことに注意が必要だ。囮ドキュメントはドロッパーによって、プログラムで生成・起動される。これはかつて目にした、つまりOS Xにおけるおそらく最初のドキュメントを用いたAPT攻撃の試みに似ている。しかしながらこのマルウェアはDEPからホストプロセス(rundll32.exe)を適用しなかった。これは将来侵害するために、攻撃側面を切り開いたのかもしれない。

Routine that disables DEP via registry

 結論:欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を。

BlackEnergy、ルートキットみたいなもの

 最近BlackEnergyファミリーのサンプルがウクライナからVirusTotalへアップロードされた。述べられているところでは、このファミリーは2008年のグルジアに対するサイバー攻撃で用いられたものと同一のマルウェアだ。攻撃者は、このマルウェアにより感染したホストへのアクセス権限をすべて手に入れる。当該ファミリーに関するさらに詳細な情報については、SecureWorksによる2010年来の詳細な分析を確認してほしい。

 この新たなサンプルは、もうファイルやレジストリを隠ぺいしない点において、もはやルートキットという感じではない。埋め込まれているXMLによれば、現在のビルドは「0D0B15aaa」である。

Embedded XML

 使用するわけではないが、このサンプルはまだプロセスを隠ぺいするルーチンを持っている。今回はDKOMを用いている。このため(さらにsvchost.exeが警告可能な状態かを確認するため)、当該マルウェアは、Windowsのさまざまなバージョンで使用されるカーネル構造内にハードコーディングされたオフセット一覧を持つ。興味深いのは、今回のサンプルはWindows 8を念頭に設計された点だ。

Offsets in Windows 8 kernel structures

 サンプルには署名されていないので、動作させるには、最近のWindowsにおける、ドライバへの署名の実施を無効にする必要がある。

2014年第1四半期モバイル脅威レポート

 当社の2014年第1四半期のモバイル脅威レポートが公開された!扱っている内容について、以下にいくつか取り上げる。

 新たに発見された脅威の圧倒的多数はAndroidに対するもので(これに驚きはない)、当該期間に目にした新しいマルウェア・ファミリー277件のうち275件を占める。iOSおよびSymbianの新しいマルウェアはそれぞれ1つに過ぎない。

 当社のMobile Security製品のユーザのほとんどが、第1四半期にトロイの木馬に見舞われたことが報告された。これは(主にFakeinstおよびSMSSendの両ファミリーによるもので)SMSを秘かに送信する形態を取る。Android OSの4.2への更新(プレミアムレートのSMSメッセージの送信時にユーザの確認が求められる)が、こうしたトロイの木馬にどのような影響をもたらすか、興味深く見守っている。

 今四半期はモバイルマルウェア開発が盛んで、数々の「初めて」が報告された。まずはC&Cサーバとの通信を隠ぺいする目的でTorが使われた初めてのモバイルマルウェア、Trojan:Android/Torsm.Aがある。初のブートキットTrojan:Android/Oldboot.Aや、電話機を暗号通貨の秘かなマイナーにしようとするトロイの木馬(Trojan:Android/CoinMiner.A)も報告された。

 さらにDendroidというツールキットが挙げられる。これは、いくつかのボタンをクリックするだけでAndroid用のトロイの木馬が作成できることを請け負っており、またどうやら永久保障であるようだ。かつてPCベースの脅威として、ウィルス構築キットやエクスプロイトキットがそうであったように、Dendroidは技術スキルのない人が自身でマルウェアを作成するのをぐっと身近にする。

 そしてこれはすべて2014年の最初の3ヶ月のことなのだ。


 詳細についてはモバイル脅威レポートにある。これはラボのサイトや以下の画像をクリックすると入手できる。2つのバージョンが用意されている。

   •  Web閲覧用(PDF)

2014Q1_MTR_web_small

   •  印刷用(PDF)

q12014_mtr_banner_print_small

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

ハッカーの攻撃対象者リスト上にAppleの開発者が?

 注意:このポストは、Digital New Asiaに寄稿した私の記事からの抜粋である。

 約2週間前、Apple社の、MacやiPhone、iPadアプリ開発者向けのWebサイトがオフラインになった。その後間もなくして、当該サイトへの不正侵入があった旨、Apple社より発表があった。

 その直後に、グレイハットでセキュリティ研究者でもある、ロンドン在住のトルコ人Ibrahim Balicが、自身のYouTubeチャンネルに投稿した動画のなかで、侵入についての犯行声明を出した。この動画にて、BalicはWebサイトへの攻撃に先立ち、バグレポートを送付したと主張している。

 Balicの主張に対してApple社からは何ら追加のコメントや声明はないが、Apple社はこの出来事を深刻に受け止めているように見受けられる。また現在のところ継続してWebサービスの復旧作業を進めている。

 今や問題なのは、次の点だ。なぜ開発者、特にiOS開発者が、かつてないほど標的になっているのだろうか? この開発者サイトへの不正侵入は、伝えられるところでは害意なく行われたものの、開発者アカウントを保護することの重要性や、そうしたアカウントが侵害され悪用された場合の潜在的な重要性について、一層の注意を喚起した。

 これに先立ち、iOSモバイル開発者たちの人気フォーラムであるiPhoneDevSDKに対して今年攻撃が行われ、Apple、Facebook、Twitterなど巨大技術企業からまんまと犠牲者が出た。今回は、この攻撃を踏まえている。

Notice from IPhoneDevSDK Admin

 これは教科書通りの水飲み場型攻撃だ。つまり、特定のユーザを攻撃したいハッカーは、まずは当該ユーザが訪れそうなサイトを侵害し、後で標的をさらに直接攻撃する際に使える情報やアクセス権を収集する。今回のケースでは、標的はこのサイトを訪れていた開発者たちだ。

 後に開発者アカウントを侵害するのに使えそうな、アプリケーション開発者の個人情報へアクセスできてしまうと、とりわけiOSプラットフォーム上では、その開発者の製品や評判を信頼するユーザには大きな害となる。

 マルウェアの作者にとっては、Google Playや、他のAndroidプラットフォーム用のアプリケーション販売サイトと異なり、Apple社のApp Storeに侵入して害のあるアプリケーションをアップロードすることは、長い間課題であった。とりわけApple社の厳しいレビューポリシーのおかげで、最初にiPhoneが登場して以来6年に渡って、大量の悪意あるアプリケーションの活動を阻止するのに成功してきたのだ。

 こうした障壁を迂回するために、今ではマルウェアの作者は開発者自体を狙っている。マルウェア作者の本当の目的は、App Store上の開発者のアカウントへアクセスすることだ。ここから、開発者の評価や製品をハイジャックして、マルウェア作者自身のアプリを押し付けることが本質的に可能になるのだ。

記事全文:Are Apple developers on the hacker hit list?Su Gim Goh

Windows版のJanicabマルウェア

 先週、Macユーザを標的にしたスクリプトベースのマルウェアについて書いた。昨日になって、avast!の人がWindows版を明らかにした。

tweet from Jindrich Kubec

 Windows版とOS X版の違いを以下に要約する。

Summary table

 当社のWindowsユーザは、クラウド技術によって、すでに保護されている。

RLOのトリックを使ったMacの署名済みマルウェア

 RLO(Right-to-left override)とは、双方向のテキストエンコードシステムで使われる特殊文字で、テキストを右から左への表示に切り替える場所を指示するものだ。実行可能ファイルの本当の拡張子を隠蔽する目的で、昨年来Bredolabや高度なトロイの木馬MahdiといったWindowsマルウェアで一般的に使われている。トリックの詳細については、Krebs on Securityのこの投稿を確認してほしい。

 我々はあるMac用のマルウェアがRLOのトリックを用いていることに気付いた。そして先週の金曜日にVirusTotalに投稿した。

RLO character

 ここでの目的は、Krebの投稿で触れられていたものほど複雑ではない。単純に本当の拡張子を隠蔽するだけだ。このマルウェアでは「Recent News.pdf.app」というファイル名を使えたはずだった。しかし、OS Xはすでにこの点を考慮しており、予防措置として実際の拡張子を表示している。

RLO trick in Finder
RLO trick in Terminal

 このマルウェアはPythonで記述され、配布にpy2appを使用している。Hackbackとまったく同様に、Apple社のDeveloper IDで署名されている。

Apple Developer ID

 しかし、OS X上の通常のファイル検疫時に示される通知が、RLO文字のせいでKrebの場合と同様に逆さまになっている。.

OS X file quarantine notification

 このマルウェアを実行するとデコイのドキュメントを置いて、開く。

Decoy document

 続いてマルウェアは起動のためのcronジョブを作成し、さらに感染したユーザのホームディレクトリに、コンポーネント群を格納するための隠しフォルダを作る。

Launch point and drop files

 マルウェアはC&Cサーバのアドレスを取得するため、以下のWebページへ接続する。

  •  http://www.youtube.com/watch?v=DZZ3tTTBiTs
  •  http://www.youtube.com/watch?v=ky4M9kxUM7Y
  •  http://hjdullink.nl/images/re.php

 「just something i made up for fun, check out my website at (address) bye bye(楽しみのためにあるものを作った。私の(アドレス)のWebサイトを確認してね。バイバイ)」という文字列を解析してアドレスを得る。

 YouTubeのページは以下のようになっている。

YouTube page

 この文字列をGoogleで検索すると、上で挙げたもの以外にも悪用しているサイトがあることが分かる。

Google search

 その後マルウェアは継続的にスクリーンショットを撮り、音声を録音し(SoXというサードパーティ製のソフトウェアを使用している)、それをC&Cサーバにアップロードする。また、C&Cサーバに対して、実行コマンドの継続的なポーリングも行っている。

 このマルウェアは、当社ではBackdoor:Python/Janicab.Aとして検出する。

 追記:

 C&Cサーバの場所を示すために使われているYouTubeの動画の1つの統計情報を以下に示す。

Python_Janicab_YouTube_stats

Python_Janicab_YouTube_stats_daily

 この動画の日付はJanicab.Aのバイナリの日付よりも少なくとも1ヶ月前にさかのぼる。統計情報に基づくと、実際にはもっと前からバリアントが存在したようだ。

マレーシアにおけるネット上での選挙活動

 マレーシアの今年の総選挙は、2013年5月5日の日曜日に予定されている。投票日に向け、同国の政党が選挙期間の最後にギアをトップに入れているので、現在、SNSサイトを含む全報道機関から政治ニュースが押し寄せてきている。

 報道機関の関心の高さが、マルウェア作者に対し、確立済みのソーシャルエンジニアリング技術を用いて新たな犠牲者を生み出す機会を提供することになる。そして今週、Citizen Labから報告書が発表された。案の定、監視マルウェアFinFisher(別名FinSpy)を洗練させたサンプルが、今回の選挙に特化して作成されたWordドキュメントにて検出されたことが示されている。

 このマルウェアは、「SENARAI CADANGAN CALON PRU KE-13 MENGIKUT NEGERI.doc(「州による第13回総選挙の候補者一覧」の意)という名前のマレー語のMicrosoft Wordドキュメントに仕掛けられ、配布された。

SENARAI CADANGAN CALON PRU KE-13 MENGIKUT NEGERI.doc

 報告書では、この攻撃ドキュメントは、同国の歴史の中で一番の接戦となっている選挙に関連した情報を探しているマレーシア人を標的にしている、と推測している。エフセキュアは問題のWordドキュメントをTrojan:W32/FinSpy.D.として検出する。

 FinfisherはGamma Groupという名前のヨーロッパ企業が開発した。過去の投稿で触れたとおり、この企業はマレーシアのクアラルンプールにて開催されたISS World 2011の集まりに参加した。このISS(Intelligence Support Systems)関連イベントは監視ソフトウェアの見本市の役割を果たす(参加には「招待」が必要で、「通信会社、政府、法執行機関」に属している人に限られる)。

ISS World Kuala Lumpur

 加えて、YouTube、Facebook、Malaysiakin(マレーシアの人気ニュースサイト)を含む複数のニュースサイトやSNSサイトが、改変、DoS攻撃、フィルタリングといったさまざまな形態の攻撃を受けてきた、と主張する報告が出てきている。

 エフセキュアラボでは状況を注視している。2013年4月の間、マレーシアではマルウェアの検出件数の増加を見た。しかしながら、この増加が選挙関連の活動なのか、別のものなのかは判別できていない。

Malaysia, detections

ウイグルのMacユーザを標的にした新たなWordドキュメント

 2月に遡るが、我々はウイグルに対するサイバー攻撃で使用されたWordドキュメントの新しいバリアントに気づいた。

 このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者(Author)としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。

Properties of poadasjkdasuodrr.doc

 ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。

 C&Cサーバとしては「alma.apple.cloudns.org」を用いている。

Command and control server name

 このバリアントは以下の自己コピーと自動起動の設定を作る。

~/Library/Application Support/.realPlayerUpdate
~/library/launchagents/realPlayerUpdate.plist

 あるいは、(2つのパラメータと共に実行した場合には)代わりに以下を作る可能性がある。

/Library/Application Support/.realPlayerUpdate
/library/LaunchDaemons/realPlayerUpdate.plist

 これは同じマルウェアのままで、2月以降、一般にBackdoor:OSX/CallMe.Aとして検知されている。

MD5: ee84c5d626bf8450782f24fd7d2f3ae6 - poadasjkdasuodrr.doc
MD5: 544539ea546e88ff462814ba96afef1a - .realPlayerUpdate

韓国のワイパー攻撃の背後にWhois?

 報道によれば、先週、韓国企業をワイパーマルウェアが襲った際に、韓国LGユープラス社のWebサイトも書き換えられていたとのことだ。

 以下はThe Registerからの引用だ。

The Register Report

 事件の関係者によれば、ワイパー攻撃の加害者として「Whois Team」に嫌疑がかけられている。ただしこれにはいまだ議論がある。

 Ars Technicaから以下を引用する。

Ars Technica Report

 我々が昨日、ワイパーのサンプル群を見て回ったところ、感染したシステム内のWebドキュメント(「.html」「.aspx」「.php」など)を検索するルーチンが含まれるバリアントを検出した。このマルウェアはこうしたドキュメントを、以下の動画とまったく同じように見えるドキュメントへ上書きする。



 このサンプルは、LGユープラス社のWebサイトの書き換えに用いられたものと明らかに関連があると考えている。

 当該サンプルには、他のワイパーのサンプルと同様のタイムスタンプがある。

 昨日の投稿にあったDLLワイパーのサンプルのタイムスタンプは次のようになっている。

DLL Wiper Timestamp

 書き換えを行ったワイパーのサンプルのタイムスタンプは以下だ。

Defacer-wiper Timestamp

 ただし、後者のバリアントではドライブの消去にまったく異なる方法を用いていた。こちらはMBR(Master Boot Record)に以下のコードを感染させ、次回起動した時にディスクを消去する。

Bootstrap Wiper

 また他のバリアントと異なり、このサンプルはファイルシステムを消去する際に「HASTATI」「PRINCIPES」といった文字列を用いていない。ファイルを「0」で上書きし、ランダムなファイル名に変更してから最終的にファイルを消去している。またWindowsとProgram Filesディレクトリ内で見つかったファイルは回避する。攻撃者は上書きしたページで感染したWebサーバを提供し続けたかったわけなので、これですべて意味が通る。

 では、攻撃同士が関連していると思われるか?関連しているというのが、もっともあり得る。これは別の攻撃メンバーによって実行されただけだ。

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

ハッカソン・マレーシア 2013

 24時間コーディングに熱狂する準備はいい?

hackathon2013 (62k image)

 あなたは24時間でキラーアプリケーションを開発する資質を備えているかだろうか?そしてイノベーションやコーディング、楽しむことなど、すべてが好きか?

 もしそうなら、Webアプリケーションの安全性を次の段階へと革新、推進する機会がある。マレーシアのエフセキュアにて再びハッカソンを開催する。このイベントでは開発者とそのチームメイトが24時間集中して、我々全員にとってWebがより安全な場所たらしめるアプリケーションを開発する。

 今年のテーマは「Web上のサービスを安全にすること」で、開発者には当社のクラウドネットワークからWebレピュテーションやリアルタイムのマルウェア検知といった詳細な関連情報を引き出せる各種APIが提供される。

 このイベントはBangsar Southにあるクアラルンプールオフィスで4月12〜13日に開催される。勝者には弊社専属のミッコ・ヒッポネンとのディナーという賞品が授与される。世界的に有名なマルウェア研究者の知恵を借りるすばらしい機会となるだろう。

 詳細情報や登録は、ハッカソン・マレーシアのキャンペーンサイトから。

ダウンロード:2012年下半期の脅威レポート

2012年下半期に、我々が注意を要したことは何だったろうか?この質問の答えは、当社の2012年下半期の脅威レポートの中にある。2012年7〜12月に目にした重要な事件は、ほぼすべてまとめられている。パスワードおよび企業諜報についての短い記事で興味を刺激し、続いて以下の分野のケーススタディに移っていく。

  •  ボット
  •  ZeroAccess
  •  Zeus
  •  エクスプロイト
  •  Web
  •  マルチプラットフォームの攻撃
  •  モバイル

 コピーはここからダウンロードできる。

訂正(2013年2月8日):2012年下半期の脅威レポートが更新され、ZeroAccessの記事の記述が次のように変更となった。「A successful installation in the United States will net the highest payout, with the gang willing to pay USD 500 to 1,000 per installation in that location.(訳注:米国内でインストールされるごとに500〜1,000米ドルを支払う用意があるギャングのおかげで、同国で首尾よくインストールされたことにより、最高の支払額を記録した。)」という文を「[...] to pay USD 500 per 1,000 installations in that location.(訳注:米国内で1,000ヶ所にインストールされるごとに500米ドルを支払う用意があるギャングのおかげで、〜)」のように訂正した。

Exploits

リバース・エンジニアリングおよびマルウェア分析についての大学の講義

 本日、フィンランドのアールト大学(Espooキャンパス)にて、リバース・エンジニアリング・マルウェア講座の、2013年春期の初めての講義が開催の運びとなる。

 この講座は、以前の講座と同様、ヘルシンキのセキュリティ研究所の研究員達が教鞭をとる。悪意のあるコードとは何か、どうすればそれを分析できるのか、WindowsとAndroidなど異なるプラットフォーム用の実行形式のコードをリバース・エンジニアリングするにはどのようにするか、について学生達に指導する。バイナリの難読化やエクスプロイトを含め、さまざまな題材について、学生達は探求することになるだろう。またこの講義では技術的なトピック以外にも、情報セキュリティに関連のある倫理的あるいは法的な問題などを取り上げる。

 当社の講座ではいつものことだが、学生達は非常に実習的な手法で学習していく。これには、当社の研究員が作成した、以下のようなリバース・エンジニアリングのパズルを解くことが含まれる。

homework

 地球の反対側のクアラルンプール(マレーシア)にも当社の別のセキュリティ研究所がある。ここでもモナシュ大学の情報技術学校(Sunwayキャンパス)の講師たちと協力して、同様の講座を立ち上げた。

monash

 Androidプラットフォームを狙ったマルウェアの分析に、もっと重点がおかれたシラバスとなっている。このようなマルウェア分析の講義が、学生に対して初めて提供される。

 この講座では、講義と実習に最新の題材を盛り込み、学生がこの分野についてより広角的な視野を持ち、マルウェア分析に必要な専門スキルを身につける一助となるようにする。講義や実習で取り上げる題材には、Androidのセキュリティ・フレームワークや、OS、ファイルシステム、さらにはマルウェアの静的あるいは動的な分析が含まれる。

CFRのサイトを狙ったゼロデイ攻撃

 クリスマスの翌日、ゆっくり過ごすのではなく、悪さをして過ごした人がいるようだ。 FreeBeaconの報告によると、2012年12月26日、米国の外交関連組織CFR(Council on Foreign Relations、外交問題評議会)のサイトが侵害された。

 攻撃にはHTMLのエクスプロイト・ファイルが使用された模様で、このファイルから判断すると、特定の国のユーザがターゲットになった。攻撃者は、Windowsシステムの言語のうち以下を用いるようにブラウザが設定されているか、着目しているのだ。

  •  中国語(台湾)
  •  中国語(中国)
  •  英語

 この侵害されたサイトは攻撃検知後速やかに修復されたと、自身で報告している。しかしながら、我々は他のオンライン攻撃でさらに広範に当該エクスプロイトが用いられると予測しており、今やこのエクスプロイトはMetasploit Frameworkに追加された。

 当該エクスプロイトはInternet Explorerのバージョン8以下に影響を及ぼす。したがって、影響を受けるユーザには、Internet Explorerのバージョンを9または10に上げるか、他のブラウザに乗り換えることを勧める。

 同時に、マイクロソフト社は詳細情報を示したセキュリティアドバイザリと、被害を受けたユーザのためのワークアラウンドを発表した。

—————

2013年1月2日更新:標的になった特定の言語を強調するために細部を編集

Post by — Wayn

Mac Revirに新亜種を発見

  Macマルウェアの亜種の報告がある。我々は同攻撃に気づいており、エフセキュアのカスタマはすでに保護されている。それはRevir.Cのマイナーな亜種だ。ペイロードについては、基本的に我々が9月に書いたImuler亜種と同一だ。おそらくは、検出を避ける目的で改変されたのだろう。例によって同攻撃は、チベットの人権活動家を標的にしている。

  できれば我々の名称で、皆さんが混乱していないと良いのだが。バックドアペイロードはImulerと呼ばれているが、我々はドロッパコンポーネントをRevirとして検出している。これは我々が昨年最初に同ファミリを発見した際、ドロッパは他のマルウェアをペイロードとするためにカスタマイズされるかもしれないと考えたためだ。しかしこれまでのところ、RevirとImulerは常に同時に使われている。

  我々は、新しい亜種を検出するため、昨日からデータベースをアップデートした。

  解説もオンラインに掲載されている。詳細はそちらをご覧頂きたい:

  •  Trojan-Dropper:OSX/Revir.D (MD5: 2d84bfbae1f1b7ab0fc1ca9dd372d35e)
  •  Backdoor:OSX/Imuler.B (MD5: 9ccc685f4d95403848ca24d9b8003b5b)

Q3 2012モバイル脅威報告を公開!

  2012年の第3四半期を通じて見つかったモバイル脅威をカバーする、エフセキュアのモバイル脅威報告を公開した。既存のファミリーの新しいファミリーと亜種が67種発見され、以前は平穏だった一部のプラットフォーム(たとえばiOS、Windows Mobile)が、現在、マルチプラットフォームFinSpyトロイの木馬のために、平和を乱されている。

Q3MTR chart

  詳細については、完全な報告書にある。コピーはここ[PDF]からダウンロードできる。

Q3MTR cover

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード