エフセキュアブログ

by:レスポンスチーム

ソーシャルエンジニアリングが失敗?

  我々はこの2日ほど、スパムメールを介して配布されたマルウェアが実行されているのを目撃している。

  この電子メールメッセージおよびマルウェアは、特に目新しいものではない。メッセージは偽で、デリバリサービスに関連しているよう見せかけている。これに添付されているのが、Trojanダウンローダを含む偽装ZIPファイルだ。

  このZIPファイルが実行されると、ユーザは以下のような画面を見ることになる:

DHL Express Services

  「うーん、DHLからの小包が届いているのか。トラッキングナンバーをチェックするのに、添付書類を確認した方がいいな。ちょっと待てよ。FedExからだったか?」

  ユーザは感染するだけでなく、混乱してしまう。

Threat Solutions post by — Broderick

「CVE-2011-0609」を使用した攻撃

  標的に悪意あるファイルを開かせようと、攻撃者たちが日本の状況を利用している。これらのケースは、Flashエクスプロイトを伴うExcel添付ファイルを使用したものだ。

  以下は、そうした電子メールのスクリーンショットで、Contagioから提供された。

jnr

  関連するXLSサンプルは以下のハッシュを持つ:

  •  4bb64c1da2f73da11f331a96d55d63e2
  •  4031049fe402e8ba587583c08a25221a
  •  d8aefd8e3c96a56123cd5f07192b7369
  •  7ca4ab177f480503653702b33366111f

  我々はこれらを「Exploit.CVE-2011-0609.A」および「Exploit:W32/XcelDrop.F」として検出している。

  我々が目にした他のサンプル(md5:20ee090487ce1a670c192f9ac18c9d18)は、既知の脆弱性(CVE-2011-0609)を利用する埋め込みFlashオブジェクトを含むExcelファイルだ。XLSファイルが開かれると、これは空のExcelスプレッドシートを表示し、Flashオブジェクトを介してエクスプロイトコードを開始する。

  このFlashオブジェクトは、以下のシェルコードを含むヒープスプレーを実行することからスタートする:

heapspray

  第一のシェルコードはExcelファイルに埋め込まれた第二のシェルコードに、実行をロードしパスするだけだ:

shellcode

  第二のシェルコードは、EXEファイル(Excelファイルに埋め込まれてもいる)の解読、実行の役割を果たす:

second shellcode

hiew

  一方、Flashオブジェクトは、第二のFlashオブジェクトをランタイムで作成し、ロードする:

Flash

  この第二のFlashオブジェクトが、同マルウェアの主要なエクスプロイトで、「CVE-2011-0609」を利用してヒープでシェルコードを実行する。我々は一般的に同Flashオブジェクトを「Exploit.CVE-2011-0609.A」として検出している。

  余談として:この主要なエクスプロイトは、検出されるのを避けようとして、このような形で配布されたようだ。メモリでロードされるため、アンチウイルスエンジンがスキャンに利用できる物理ファイルが存在しない。Excelファイルに主要なエクスプロイトをロードするFlashオブジェクトを埋め込むことは、さらに攻撃を隠そうとする試みかもしれない。

  幸いなことに、悪意のあるExcelファイルとその組込EXEファイルは、「Exploit.D-Encrypted.Gen」および「Trojan.Agent.ARKJ」として検出されている。

  しかし、Adobeが既にこの脆弱性に対するパッチを公開しているので、ユーザはFlashプレイヤーをアップデートすべきだ。詳細については、「CVE-2011-0609」に関するAdobeのセキュリティアドバイザリを見てほしい。

Threat Solutions post by — Broderick

クラウドに多数のフィッシング

  我々は新たなフィッシングの試みに遭遇した。今回は、Maybank(マレーシアの主力銀行の一つ)の「ラッキーな」カスタマが標的とされた。用いられているのは典型的な手法だ。すなわち他の誰かの権限をよそおい、次にカスタマに自分のアカウントを確認するよう要請し、「Transaction Authorisation Code」も必要であることを思い出させることさえする。

maybankphishing (48k image)

  さらなる調査により、この電子メールはスパムサーバに由来することが分かっているが、我々に分かったのはそれだけだ。その他のトラックはすべて、慎重に隠蔽されている。

  フィッシングの試みには何ら新しいところは無いが、開発途上国周辺でのフィッシングの動きは、最近増加しているようだ。初期のアクティビティの張本人であるグループは、フォーカスを新しい市場に移したのだろうか? おそらく彼らは、ローカライズされれば、怪しげなリンクも検出をくぐり抜け、逃れるチャンスが高まると考えたのだろう。同地域のカスタマが、おそらくオンラインバンキングを最近知ったばかりであるという事実を考えても、高度なソーシャルエンジニアリング手法に容易に引っかかる可能性は高い。

  理由がなんであれ、これらの詐欺師たちが意図することは一つだ。すなわち、金を稼ぐために利用できる価値ある情報を手に入れる、ということだ。「Browsing Protection」のようなツールは、ユーザを危険なサイトへのアクセスから保護する助けとなるが、最も良い方法は自分の安全に自ら責任を負うことだ。ユーザが罠に落ちることを避けるには、悪意ある連中により通常実行されるトリックを知っておく必要がある。

(管理人註:この記事のタイトルは原文の「Plenty of Phish in the Cloud」に基づきました)

「Trojan:Android/BgServ.A」

  Googleが、ここ数日間に起きた「Trojan:Android/DroidDream.A」による混乱に対処するセキュリティソリューションを公開した。

  同ツールのトロイの木馬化されたバージョンも出現している(我々はこれを「Trojan:Android/Bgserv.A」として検出している)。同トロイの木馬の興味深い予備分析が、Symantecのブログで公開されている。

  本物対トロイの木馬バージョンの違いは、アプリケーション情報をチェックすることで確認できる:

「Android Market Security Tool」:

android_market_security_tool_installation (121k image)

「Trojan:Android/Bgserv.A」:

trojan_android_bgserv_a_installation (129k image)

  コンテンツ/パッケージのスクリーンショット:

trojan_android_bgserv_a_comparison (114k image)

  いったんインストールされると、「Trojan:Android/Bgserv.A」はIMEIや電話番号など、ユーザの電話情報を獲得する。この情報は「hxxp:// www. youlubg. com: 81 /Coop/request3.php」にアップロードされる。

  今回も、このマルウェアは中国本土のネットワークに特化されているようだ。(China Mobile Netに関連するナンバー10086にコンタクトを取り、「cmnet」という名称をAPNリストに挿入し、新たなAPNを使用しているのだ。

  このマルウェアは、感染したデバイスで大量のデータ使用を引き起こし、ユーザに高額な電話料金を課す可能性がある。

  興味深い点:この悪意あるコードは、「Android Market Security Tool」にのみ制限されているわけではないようだ。AegisLabのブログによれば、同様のふるまいが他のAndroidアプリケーションでも現れるそうだ。


では。
Zimry

Android版トロイの木馬アラート

  「Android Market」で発見されたトロイの木馬化されたアプリケーションに関する最近のレポートが、我々の目に留まった。(Androidpolice.comおよびRedditを介して)

  これらの悪意あるアプリケーションは、様々なデベロッパ名を使用してアップロードされた。関連アプリケーションの完全なリストは以下にある:http://pastebin.com/Ue8TfLgE

  「androidpolice.com」のレポートによれば、悪意あるアプリケーションの一つをチェックしたところ、ルートアクセスを獲得するため、既知のエクスプロイト「rageagainstthecage」を含んでいることが分かった。このエクスプロイトは、「Android 2.2」およびそれ以前のバージョンで動作することが知られている。

  「androidpolice.com」のオリジナルのレポートは、これら悪意あるアプリケーションが「Android Market」から既に削除されたことを表明している。これは、同マルウェアをまだうっかりダウンロードしていないユーザにとって、素晴らしいニュースだ。

  既にダウンロードしてしまったユーザは、Googleがリモートでこれらアプリを削除するのを待つ必要があるだろう。あるいは、手動で削除するか、だ。

  我々は状況をモニタし続ける予定だ。また更なる分析のため、我々はこれらトロイの木馬化されたアプリケーションのサンプルも探している。もし悪意あるサンプルをお持ちなら、我々の「Sample Analysis System」に送ることを検討して頂ければ幸いだ。


では。
Zimry

追記:「pastebin」のリンクはすでに有効ではない。Mashableおよび他のニュースサイトがリストを発表している。

新たなPjapps亜種

  先頃、悪意あるルーチンでリパッケージされたAndroid用Steamy Windowsアプリケーションの中国語版が発見された。(Symantecが良い記事を掲載している。)

  新たな亜種を既に作成しているところを見ると、このマルウェアの作者(たち)は、このアプリケーションを好んでいるようだ。これは「Trojan:Android/Pjapps.B」として検出されている。

  同亜種をざっと見たところ、SMSの送信、アプリケーションのインストール、ブックマークの追加、C&Cサーバからのコマンドの受け取りなど、悪意ある機能はほぼ変わっていない。

  以下に、「Trojan:Android/Pjapps.A」と「Trojan:Android/Pjapps.B」を比較したスクリーンショットを何枚か挙げる:

Trojan:Android/Pjapps.A

pjapps_a_installation (154k image)

Trojan:Android/Pjapps.B

pjapps_b_installation (143k image)

  そして以下が両亜種のコードの一部だが、明らかに「Pjapps.A」(左)がオリジナルバージョンであり、「Pjapps.B」(右)が「バージョン2」であることが分かる:

pjapps_info (158k image)

  おそらく、最も分かりやすい変更は、新バージョンが「自動的にブートでスタートする」ということだろう。

  これは我々が見たAndroidアプリケーションの中で、初めてトロイの木馬化されたものではない(Trojan:Android/Adrd.A)。しかし、Androidマルウェアが増加していること、そしてたぶん、それほど驚くべき事ではないのだろうが、その中心は中国であるらしいという、もう一つの兆候ではある。

  我々のAndroid製品は、最新のデータベースアップデートにより、これら二つの亜種を検出している。


- 分析はZimryによる。

「MBRファイルシステムインフェクタ」の分析

  Portable Executable(PE)ファイルインフェクタウイルスを見かけることは非常に良くあることだ。RAWファイルシステムを経由したファイルインフェクタ、このケースでは「Master Boot Record(MBR)ファイルシステムインフェクタ」は、もう少し珍しい。

  これには、PEインフェクタの方が作成の厄介さが少なく、そしてより強固で、開発やコントロールがより容易だからという理由もある。対照的にMBRインフェクタはより複雑で、サイズは62セクタ(7C00H)に限定されている。またエラーの余地も少ない。すなわち、MBRファイルシステムインフェクタでの小さなミスやバグは、システムを起動不能にするのだ。

  よって、いくつかの無料ファイル共有ネットワークによって配布されているらしい「Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)」のようなMBRファイルシステムインフェクタは、一つのPortable Executableシステムファイルを標的にしているだけであっても、そしてその感染が一般のウイルスファイルインフェクタと比較して単純であっても、迅速に分析することは価値があると思われる。

  「Smitnyl.A」は最初に、RAWディスクアクセスを介してMBRを感染させる。次にそれを、ファイルインフェクタルーチンを含む悪意あるMBRで置き換える(セクター32に保存される)。

画像1&2:オリジナルのMBRを上書き。パート1(上)とパート2(下)
1: Overwriting original MBR

2: Overwriting original MBR

  なぜMBRファイルシステムインフェクタなのか? おそらくは、それがWindows File Protection(WFP)をバイパスすることができるからだろう。WFPはプロテクトモードで動作しているので、もし置き換えられれば、すべてのWFP保護ファイルは即座にリストアされる。

  インフェクタペイロードがサイズA00Hでセクタ39から開始される一方で、オリジナルのMBRはセクタ5に保存される。このペイロードは、Windowsのクリティカルシステムファイル「userinit.exe」に上書きされる。

画像3&4:16進法による感染したMBR(左)とオリジナルのMBR(下)
3: Hex view of infected MBR

4: Hex view of original MBR

画像5:16進法によるMBRファイルシステムインフェクタルーチン
5: Hex View MBR File System Infector Routine

画像6:16進法によるUserinitインフェクタペイロード
6: Hex View Userinit Infector Payload

  なぜ「Userinit」なのか? おそらくは、システムがスタートすると自動的にローンチされるプロセスの一つであり、システムスタート時にマルウェアが自動的に実行可能になるためだろう。

  「Smitnyl」はブートシーケンスの最初のステージから、Userinitを感染させる。これはMBRが0x7C00にロードされる際、パーティションテーブル、さらにはブートセクタのstarting offsetからアクティブパーティションを測定する。

  次にマシンのファイルシステムタイプをチェックする:

画像7:ブートセクタタイプの測定
7: Determine Boot Sector Type

  NTFSファイルシステムが見つかれば、マスタファイルテーブル(MFT)を解析し、(MFTが正しく解析されると仮定して)ディスク内の「Userinit」の生データを確定するため、$ROOT (.)ファイルレコードの属性を読んで$INDEX_ALLOCATION属性を探す。「Smitnyl」は、userinit.exeが置かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

画像8&9:Userinit.exeの位置を特定する。パート1
8: Locate Userinit.exe, Part 1

9: Locate Userinit.exe, Part 1

  このマルウェアは、userinit.exeファイルを見つけるのに「get_userinit_data_content_addr」ルーチンを使用し、次にExtended Write Function(ファンクションナンバー ah = 43H)を使用して、セクタ39でインフェクタペイロードを書き込む。userinit.exe感染ルーチンの間、同マルウェアはoffset 0x28で感染マーカの存在も(後からより詳しく)チェックする。

画像10&11:Userinit.exeの位置を特定する。パート2
10: Locate Userinit.exe, Part 2

11: Locate Userinit.exe, Part 2

  マシンが感染したMBRとともに、うまくブートされると、userinit.exeは感染され、自動的にローンチされるはずだ。感染したuserinit.exeを確認する一つの方法は、ファイルプロパティのチェックだ:

画像12&13:userinit.exeプロパティ。オリジナルと感染したもの
userinit.exe Properties, original userinit.exe Properties, infected

  幸いなことに、違いはかなり明白だ。

  16進表示で、感染したファイルを見てみよう:

画像14:感染したUserinit
14: Infected Userinit

  インフェクタルーチンが、感染させる前に感染マーカ0x55AAをチェックすると指摘したことを思い出されるだろうか? ではこれが実行される際、何をしようとするのだろうか? 主要なペイロードはセクタ45にある、エンコードされた実行ファイルをローンチすることだ:

画像15:セクタ45のエンコードされた実行ファイル
15: Encoded Executable File at Sector 45

  これはデコードを開始し、最終ペイロードをローンチする前に、いくつかの準備を行う:

  •  360safeアンチウイルスの存在をチェックする。もし見つかれば、360safe IEブラウザプロテクションが無効にされる。

画像16:360safe IEプロテクション・レジストリキーチェック
16: 360safe IE Protection Registry Key Checking

  •  仮フォルダに偽のexplorer.exeを作成する。これは、デコードされた実行ファイルだ。

画像17:デコードされた実行ファイルによる偽Explorer
17: Fake Explorer with Decoded Executable

画像18:デコードされた実行ファイルによる偽Explorer
18: Fake Explorer with Decoded Executable

  •  デコーディング後、ShellExecuteを使用して「%temp%\explorer.exe」がローンチされる。これは感染を隠すデコイとして用いられる。同時に、「Winexec」を使用して本物の「explorer.exe」が実行される。

偽の「explorer.exe」を実行し、オリジナルの「explorer.exe」をローンチ
19: Execute fake explorer.exe and launch original explorer.exe

  準備が終了すると、ペイロードがローンチされる。

画像20:最終ダウンローダペイロード
20: Final Downloader Payload

  幸いにも、この最終ペイロードには何ら特別なところは無い。単なるダウンローダだ。感染した「userinit.exe」は、360safeのIEブラウザ保護を無効にし、それによりダウンローダがリモートサーバー「http://[...]」からファイルを取り出すことが可能になる。

投稿はLow Chin Yickによる。

Trojan:Android/Adrd.A

  2、3日前、ミッコが「ADRD」という名の新しいAndroid trojan(我々はこれを「Trojan:Android/Adrd.A」として検出している)についてツイートした。

  「Adrd」は、大部分が中国のサードパーティアプリケーションプロバイダによる、いくつかのアプリケーションにトロイの木馬が仕込まれてリパッケージされている状態で発見された。これまでのところ、感染したアプリケーションの大部分は、ウオールペーパー関連のものだ。

  以下は、感染したアプリケーションの例だ:



  インストールされた「Adrd」が感染したアプリケーションは、以下のようなパーミッションを示すかもしれない:



  これらのパーミッションは、端末のスタートアップ中に「Adrd」がそのルーチンを開始することを可能にし、ネットワークデータアクセスの許可/禁止といったデータ接続の変更を行う。パーミッションの中には、SDカード、端末、Access Point Name(APN)設定へのアクセスも含まれる可能性がある。

  「Adrd」の機能には、以下のようなリモートホストへの更新が含まれるようだ。

- adrd.tax[..].net
- adrd.xiax[..].com

そして、端末の情報、特に国際移動体装置識別番号(IMEI)と、移動加入者識別番号(IMSI)を送信する。送信されるデータは、DESで暗号化されている。

  リモートホストはリンクのリストでリプライする。そのうちの一つを「Adrd」がランダムにセレクトし、内蔵するシンプルな乱数ジェネレータを使用して接続する。選択されたリンクが交信を受けると、定義済みのサーチ文字列を返し、「Adrd」がこれを処理し、バックグラウンドで検索を実行する。

例:
1. 「Adrd」の乱数ジェネレータは、リモートホストから得られるリストの配列を示す数を生成する。例えば http: //59.[...].12.105 /g /g.[...]?w=959a_w1 といったものだ。
2. このリンクは実際、「Adrd」が使用する検索基準を含んでおり、例は以下の様になる:

http://wap.baidu.com/s?word=%e5%[...]e5%89%a7%e7%85%a7 &vit=uni&from=979a

「Adrd」はこれをバックグラウンドで処理し、実行する。

  もう一つの機能は、「myupdate.apk」という名のAPKをダウンロードすることで、これは/sdcard/uc /フォルダに保存される。これはおそらく、アップデートコンポーネント用だ。

  「Adrd」のネットワークアクセスは、高速データ使用に繋がり、これは結局、高額料金へと結びつく可能性がある。我々は「Adrd」が「cmnet」、「cmwap」(China Mobile Net)、「uniwap」、「uninet」(China Unicom)に接続しているのを確認しており、「Adrd」は中国のマーケットにのみ配布されているようで、中国のネットワークにのみ特有なものである可能性がある。


- 分析はZimry Ongによる。

有名なら責任も重い?

  ユーザがアンチウイルスプログラム名から、偽物か本物かを見分けることに長けてきているため、ローグウェアの作者は現在、より大胆な方向に向かっている。真っ当なプログラムのアイデンティティを盗み、自分たちの偽の製品でそれを使用しているのだ。最近あるローグが、ユーザが勘違いしてその偽AVを購入するようしむけるべく、AVGのロゴと信頼性の高い名称とを使用しているのが発見された。

  その偽製品は、他のローグウェアで使用されている典型的なメソッドを実装していた。すなわち、システムをスキャンするふりをし、複数の悪意あるファイルを発見したと主張するのだ。無料版は機能が制限されているため、それらのファイルを削除するためには、ユーザはフルバージョン(偽の)にアップグレードしなければならない。

  AVGのロゴを除けば、そのローグのインタフェースには、正規の「AVG Anti-Virus Free Edition 2011」と似ている所は無い。

偽物
Fake AVG

vs.

本物
AVG

  しかし、同製品をよく知らないユーザは、この違いに気づかず、本物の製品を入手していると考える可能性もある。

  ちょっとしたアドバイスを一つ。提供元に気をつけること。たいていのアンチウイルス企業は、製品の無料版/トライアル版をサイトで直接提供している。よって、信頼できないチャネルはスキップし、直接AVベンダから入手することだ。

モバイルセキュリティ・ティップス

  「CES 2011」が、モバイルコンピューティングの未来に関するプレビューで今年の幕を開けた。おそらくNVIDIA Tegra 2などのデュアルコアCPUを搭載した、ハイスペックのスマートフォンやタブレットがさらに多くリリースされることが期待される。我々の中には、「LG Optimus 2X」や「Motorola Atrix 4G」といった端末のSneak Peekに魅了されている者もおり、これらが今四半期リリースされることを間違いなく楽しみにしている。

  データ料金がより安価に、モバイル・コンピューティングのテクノロジがよりパワフルになることで、モバイル機器は小型のパソコンにより近づいて行く。さらに、ユーザが簡単に銀行の取引やオンラインショッピング、フライトの予約、普段のウェブブラウジングなどを行うのを手助けするアプリケーションが手に入りやすくなることで、ユーザのスマートフォンへの依存が加速される。

  モバイル・コンピューティング人気の高まりは、悪意ある攻撃に新たな扉を開いている。これは比較的新しい領域であるため、待ち受けているリスクに気づいておらず、身を守る方法がよくわからない人もいるだろう。そこで手始めとして、以下にいくつか役立つティップスを挙げておこう:

  1. システムを常にアップデートする
      これを当然と思わないことだ。モバイル・オペレーティングシステムをアップデートしておくことで、ユーザは最新の機能を享受できるだけでなく、セキュリティを守る助けともなる。パソコンと同様に、システムを最新にすることは、修正されていないセキュリティホールや脆弱性を利用する悪意ある攻撃への防御となる。

  2. 端末にセキュリティ・アプリケーションをインストールする
      モバイル機器はミニコンピュータ並みの機能を有しているため、攻撃や窃盗の魅力的な標的となる。そしてこうした状況は、フィジカルデバイスと含まれるデータを保護する必要を生む。たとえばエフセキュアの「Mobile Security」アプリケーションは、データを保護し、脅威から防御し、紛失した、もしくは盗難にあった端末を見つける助けとなる機能を提供している。

  3. クリックし到着する場所に気を付ける
      個人情報やクレジットカード情報を獲得するスキャムやフィッシングは、モバイルユーザに対するもっともアクティブな攻撃となることが予期される。ソーシャルエンジニアリングの手法は、ユーザに悪意あるリンクをクリックさせたり、有益な情報を提供させたりするために用いられる。よって、ウェブサイトが「https」で始まっていることを、機密情報を入力する前に確認することだ。

  4. パブリックネットワークでの商取引を控える
      パブリックネットワークは有益で、データ料金を節約する助けとなる。しかし、自分の電話が接続しているパブリックWi-Fiは、セキュアではないかもしれないことを心にとめておく必要がある。安全を期するため、活動はブラウジングに制限し、商取引を行うのは避けることだ。

  5. アプリケーションのインストール、獲得は信用できるソースから行う
      スマートフォンを所有することの楽しみ(そして便利さ)には、様々なことができる多彩なアプリケーションが活用できるということがある。多くのアプリケーションが存在し、独立した、モニターされていないチャネルを通じて提供されている。自分がインストールしたものに注意し、そのソースに注意することだ。ソースの中には、悪意あるコンテンツを含むリパッケージされたアプリケーションを含むものもあるかもしれない。

  6. 端末上での各アプリケーションのデータアクセスのチェックを習慣化する
      アプリケーションの中には、ユーザのデータや個人情報にアクセスするものもある。アプリケーションの範囲外、目的外のアクセスに用心すること。たとえば、SMS(読み書きおよび送信)やコール、電話帳エントリ、システムファイルにアクセスするゲームアプリケーションは、なぜそんなアクセスが必要なのかと疑問を感じる必要があるだろう。アプリケーションに対して何らかの疑いがあるなら、インストールしてはいけない。


  今年、我々はモバイルの脅威に新たに起きる動向を、さらに調査して行く予定だ。モバイルセキュリティに関する最新の調査結果やニュースに注目して欲しい。


--Zimry Ongの投稿による。

遅いCPUはマルウェア防御に等しい?

  ラボでは毎日、何万もの疑わしいバイナリを扱っている。人間の研究者の比較的小さなグループが、このような量を取り扱える唯一の方法は、もちろんオートメーション化だ。我々のマルウェアサンプル管理システムにインポートされたサンプルはスキャンされ、分類され、仮想環境で実行される。記録が作成され、我々人間が分析する。

  マルウェア作者は、アンチウイルスのベンダが最新の亜種のライフスパンを攻撃するため、オートメーション化と仮想化を使用する事を知っている。(それが、彼らが毎日多数の亜種を作成する理由だ。)量が多いことに加えて、多くのマルウェアの亜種は、我々のリサーチを妨げ、可能な限り長く検出されないようにするため、バーチャルマシン検出とアンチデバッギングコードも含んでいる。

  時には、彼らのアンチデバッギングはあまりに攻撃的で、逆効果寸前ということもある。

  先週、私はデバッガの存在を検出するため、複数のメソッドを使用しているZbot(別名ZeuS)の亜種を分析していた。デバッガが検出されると、ExitProcessが即座に呼びだし、悪意あるコードは実行されない。このアンチデバッグトリックは長らく知られているものだが、その一つには面白い副作用がある。

  以下がアセンブリコードだ:

IDA

  最初に、RDTSC(Read Time-Stamp Counter)インストラクションが実行される。タイムスタンプカウンタは、各クロックサイクル上で値が増加する。カウンタの高位の32ビットはEDXにロードされ、スタック上にプッシュされる。次に、2秒間実行を停止するSleep(0x7D0)が呼び出される。最後にRDTSCが再び実行され、好意の32ビットはスタックに保存された値と比較される。値が等しければ、すなわちRDTSCが実行される実行されるたびに、EDXが同じ値を受けとるなら、サンプルはデバッガが存在しているに違いないと判断する。これは、少なくとも2秒間に2^32クロックサイクルが起き、EDXの値が増加しなければならないという仮定に基づいている。

  これは、サンプルはCPUが2GHz以上で動作すると想定していることを意味している。言い換えれば、2GHz以下のCPUでは、サンプルはデバッグされているかのように振る舞い、実行を中止し、システムに感染しないということだ。私はこのサンプルをIBM T42(1.86GHz)ノート上でテストしたが、同システムはスピードが遅かったため、感染を避けることができた。

  Zbotのアンチデバッギング防御のもう一つ別の面白い副作用は、同サンプルが感染させることの出来るどんなコンピュータも、ボットの高価なコレクションに終わるということだ。もしかしたら、Zbotをばらまいている連中には、特異な趣味があるのだろうか?

  この記事はレスポンスチームのTimoによる。

報告された攻撃サイト! - セキュリティツールの最新のトリック

  攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

  今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

Reported Attack Page

  しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ!

Reported Attack Page

  素晴らしいでしょう? それで、不用心なユーザは「ff_secure_upd.exe」をダウンロードし、不正なAVをインストールすることになるかもしれない。

  実際は…スクリプトがブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザに不正なAVをオファーするのだ:

Reported Attack Page

  そして「Cancel」をクリックしても、それを拒否する。

Reported Attack Page

  結局、ユーザはFirefoxをアップデートすべき、ということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

  皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

  新たな素晴らしいトリックだがかなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページはユーザに、何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ:

Reported Attack Page

  どこかアラニス・モリセットの歌の一つを思い出させる…

追記:最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

Malware Detected!

  今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。

  最後に、別のサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

  (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik! :))

  投稿はChristineおよびMinaによる。

この画像が変なのがわかりますか?

SpotTheOdd (107k image)

  おめでとう、ICICI BankのページとそのURLが合っていないのに気づきましたね! もう一点、お気づきになったかもしれないのは、Step 1の間違いだ。実際のログインページでは、ユーザは正しいURLであるかどうか確かめるよう促されるからだ。これら2つの違いを除けば、両方のページは同じものに見える。

  すべては、税金還付の資格があると通知する、インドの所得税局からの電子メールで始まった。より信頼感を増すため、「From」アドレスはなりすまされていた。それからどうなるかご存知だろう。リンクをクリックし、認証情報を入力すると、悪党連中が突然、あなたの銀行口座にアクセスする。

  どのような公共機関も、電子メールを介して機密性の高い行動をとったり、機密データを明らかにするよう促したりはしないことは、常に心に留めておきたい。このケースでは、納税申告をする際に必要とされる情報がすべて収集されている。インドの所得税局のサイトでは、このフィッシングの試みについて警告しており、ユーザにこのようなメールを無視するようにアドバイスしている。

  インドの読者には、(もしまだならば)所得税の申告を忘れないよう申し上げる。

  この情報を寄せてくれたKandruとVenuに感謝する。


フィッシング未遂のアラート!

  何者かが再び、我々になりすまそうとしており、以下のような電子メールを送信している:


From: Account Support
Date: Saturday, August 28, 2010 4:33 AM
To: none
Subject: Account Alert!!!

An HTK4S virus has been detected in your Email Account, and your email account has to be upgraded immediately to our new F-Secure HTK4S anti-virus/anti-Spam version 2010 to prevent damage to the email and important files in your email account. You are therefore required fill the columns below to enable us verify your email account or your email account will be suspended temporarily from our services.

Username:
Password:
Date of Birth:
Telephone Number:

Copyright© Customer Care Center 2010 All Rights Reserved.



  こうしたメールは無視し、要求されている詳細に応じないで欲しい。「F-Secure HTK4S anti-virus/anti-Spam」という名の製品は存在していないし、我々が顧客に対して、このようなひどい文面のメールを送るようなことは無い。

無料iPadへの2ステップから遠ざかる

  正直なところ、リンクをクリックすることで無料の何かを獲得したことが何回あるだろうか? いや…スパムやトロイの木馬、スパイウェアは、無料の何かとはカウントしない。

  我々は先頃、アプリケーションテスタに、無料でiPadをプレゼントするという詐欺を発見した。明らかにこのサイトは、iPadアプリケーションテストプログラムに参加するよう人々を誘い込み、同サイトのオーナーがSMS料金のチャージとアフィリエートプログラムから利益を得るという仕組みだ。同プログラムに参加するには、「テスタ」は2つのステップを完了することが要求される。

iPad scam website

ステップ1:Twitterコネクト。「テスタ」は自分のTwitterアカウントにログインし、「Keep it to hend」という名のアプリケーションが、自分の情報にアクセスできるようにすることが求められる。

iPad scam Twitter

  すると、テスタの友人は「iPadAppsTesting」Webサイトへのリンクを含んだつぶやきを受けとり、「Jennt0kvqt」という新しいフォロワーが、友人達をフォローすることになる。

iPad scam, Twitter spam

iPad scam, Twitter Jenny

  ではJennとは誰なのか? 彼女のページを見ても大した事は分からない。彼女の写真へのリンク(サイトに参加するよう誰かを取り次いだ人に報酬を与えるアダルトサイトにアクセスさせる)と、若干のありふれたつぶやきがあるのみだ。

ステップ2:ボタンをクリックして登録を完了し、テスタは他のサイトに誘導される。

  iPadを獲得するための質問に回答すると、次に携帯電話の番号を入力し、1週間に2つのSMSを受けとることに同意するよう求められる。SMSは1本につき8マレーシアリンギットかかる。

iPad scam SMS

  結局のところ、約束されたiPadはまだ確認されておらず、テスタはTwitterスパムとバカバカしいSMSメッセージの料金で途方に暮れることになる。

  投稿はChoon Hongによる。

Firefox/Flashアップデートを装うローグAV

  不正な販売者たちは、ローグウェアをユーザのシステムに押し込む際の使い古されたトリックに、飽きてしまったようだ。これまでのトリックは、警告、そして次に偽のAVへと至る、偽スキャンページだったのだが。

  現在、それはFirefoxの「Just Updated」ページとなっている。Firefoxブラウザをアップデートすると、すぐに表示されるこのページを知っているだろうか? そして、最初にFirefoxをオープンした時に? そんな具合だ。しかし、もちろん落とし穴がある。Firefoxがアップデートされたとしても、Adobe Flash Playerはアップデートされていないと、ユーザに告げるメッセージがあるのだ。そのため、まだアップデートの必要があるという。実に役に立つ…

Firefox Update

  そしてユーザは何もクリックする必要がない。ページがロードされるとすぐに、ダウンロードダイアログボックスが現れるからだ…

Binary

  ユーザがファイルを実行すると… お馴染みの悪しきローグAVが…

Security Tool

  どういうわけか、不正な連中はFirefoxかFlash Playerかを決められなかったようだ… そのため両者を少々ということになったのだろう。

注:この悪意あるサイトは既にブロックされており、同ローグはエフセキュアの最新データベースアップデートで検出されている。

  投稿はレスポンスチームMina & Christineによる。

WoWアカウントフィッシング

  「World of Warcraft」のアカウントは、プレイヤーのレベルに応じて、フィッシャーにとって金のなる木となり得る。ゲーム内アイテムには需要があり、実際のキャッシュで売買されることが可能なため、WoWアカウントは人気のあるフィッシングターゲットとなっている。

  エフセキュアのResponse Labのアナリストが先頃、Blizzard(WoWのクリエイター)から、アカウント確認をするようにという電子メールを受けとった。一見、そのメールは、本物のソースから来たメールのようだった。「From」アドレスを見て欲しい。疑わしいところは何も無い。

WoW Phishing, Normal View

  電子メールの内容をさらに読むと(上の画像をクリックすると拡大画像がご覧頂ける)、何かおかしい感じがする。このアカウントの確認は、Blizzardと関連のない外部サイトで行わねばならないのだ。メールには顕著な文法ミスが多い。

  さらに調べてみると、同メールは個人のメールアカウントから送信されていることが分かった。フィッシャはSMTPリレー攻撃を使用して、「From」アドレスのなりすましを行っているため、同メールはBlizzardからのものに見えるのだ(下の画像をクリックすると拡大画像がご覧頂ける):

WoW Phishing, Full headers

  Blizzardのゲーム、特にWoW、Starcraft IIおよびDiablo IIIのアカウントは現在、Battle.netにより扱われている。アカウントの変更には、完全な確認プロセスが必要とされ、その際、有効なIDが提示される必要があることに注意して欲しい。

Battlenet TOC

  フィッシャーはますます賢くなっており、彼らのソーシャルエンジニアリングは、より巧妙になり検出が難しくなっている。さらに注意し、やみくもに全てのソースを信頼しないことはユーザの責任だ。

チャック・ノリス・スパムデキシング

  この週末、我々のラボはスパムデキシングを通じ、チャック・ノリスの人気を利用して特定サイトの検索エンジン・ランキングを挙げようとするスパムボット・アプリケーションを見つけた。これは検索結果を汚染するのに利用され、検索エンジンをだまして、検索結果のリストの上位にサイトをランキングさせるものだ。

  このスパムボット・インストーラは「Application:W32/Spambot.A」として検出されており、PEファイルをインストールに落とし、次にspambot.plとしてリストされたウェブサイトに接続しようとする。このサイトは、PHPボード・フラッド、チャット・フラッド用の様々なプログラムを販売し、そのアプリケーションを「あなたのサイトを検索結果で高位にランキングさせる最高のアプリケーション」と宣伝している。

ChuckNorris (10k image)

  「チャック・ノリス」というストリングは、ユーザがエントリー・サーチを実行する際、結果ページのハイライトで定義される多くのストリング(大部分はポーランド語)の一つだ。キーワードのハイライトに加え、同アプリケーションは電子メール・アドレスの収集や、クリックの自動化、特定のサイトにトラフィックを導くためのサイト上のクロールなどにも使用される可能性がある。

「エフセキュア インターネット セキュリティ 2011 ベータ」を公開

  エフセキュアの「インターネット セキュリティ 2011 ベータ」がダウンロード可能になった。

Internet Security 2011 Beta

  ベータ・テスタは、6カ月間、同ソフトウェアを利用でき、ファイナル・リリースに向け意見を述べる機会が得られる。

  新機能のうち、ラボの見解で最大のものと考えられているのは「ディープガード 3」テクノロジで、これはクラウド・ベースのレピュテーション・システム、普及率、ソース、年齢などを利用している。

  その結果、我々が知らないか、信用しないものは、害をなす以前にブロックされることになる。

  以下は「評価が定められていない」サイトから、「レアな」ファイルがブロックされている様子を示すスクリーンショットの一例だ。これは、まだ新しく、評価が定められていないサイトが、しばしば作成されるレアなインストール・ファイルを使用するという、お馴染みのマルウェア/スケアウェアのシナリオだ。

Internet Security 2011 Beta

  ぜひベータ版を試用して欲しい。ダウンロードページには、リリース・ノートとフィードバック・フォームへのリンクも掲載されている。よろしく。

ビデオ - 2010年5月セキュリティ概要

  ラボのショーンとミッコが先頃、今年1月から4月までに起こったセキュリティ・トレンドについて、話し合う機会を持った。

  その様子を収めた3本のビデオを、F-Secure LabのYouTubeチャンネルかF-Secure Newsのどちらかでご覧頂ける。

May 2010: Security Summary

  •  携帯電話のセキュリティ
  •  犯罪と刑罰
  •  標的型攻撃とオーロラ作戦

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード