エフセキュアブログ

by:スレットリサーチチーム

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

CFRのサイトを狙ったゼロデイ攻撃

 クリスマスの翌日、ゆっくり過ごすのではなく、悪さをして過ごした人がいるようだ。 FreeBeaconの報告によると、2012年12月26日、米国の外交関連組織CFR(Council on Foreign Relations、外交問題評議会)のサイトが侵害された。

 攻撃にはHTMLのエクスプロイト・ファイルが使用された模様で、このファイルから判断すると、特定の国のユーザがターゲットになった。攻撃者は、Windowsシステムの言語のうち以下を用いるようにブラウザが設定されているか、着目しているのだ。

  •  中国語(台湾)
  •  中国語(中国)
  •  英語

 この侵害されたサイトは攻撃検知後速やかに修復されたと、自身で報告している。しかしながら、我々は他のオンライン攻撃でさらに広範に当該エクスプロイトが用いられると予測しており、今やこのエクスプロイトはMetasploit Frameworkに追加された。

 当該エクスプロイトはInternet Explorerのバージョン8以下に影響を及ぼす。したがって、影響を受けるユーザには、Internet Explorerのバージョンを9または10に上げるか、他のブラウザに乗り換えることを勧める。

 同時に、マイクロソフト社は詳細情報を示したセキュリティアドバイザリと、被害を受けたユーザのためのワークアラウンドを発表した。

—————

2013年1月2日更新:標的になった特定の言語を強調するために細部を編集

Post by — Wayn

Gameover ZeuS

  エフセキュアの「Threat Report H1 2012」から抜粋:

  昨年、version 2.0.8.9のソースコードが流出した後、ZeuSは別途開発された複数のクライムウェアファミリに別れた。興味深い開発はピア・ツー・ピアバージョンで、「Gameover」と呼ばれている。

  このGameoverピア・ツー・ピア(P2P)バージョンは、イン・ザ・ワイルドで現れたZeuSの第2の派生物で、ピア・ツー・ピア・ネットワークを使用して、感染したコンピュータからコンフィギュレーションファイルとアップデートを取り出す。この派生物に組み込まれた広範な変更は、ほとんどがもっぱらコンフィギュレーションファイルに集中しており、回復や分析を妨害することを目的としているようだ。変更の多くは、2008年(バージョン1.2)以来変わっていなかったバイナリ構造や圧縮方法など、長年変更の無かったコードセクションに加えられている。

  このバージョンが一般にリリースされた日付は、そのDomain Generation Algorithm(DGA)により作成されたドメインの登録データから推定することができる。このトロイの木馬は、P2Pネットワーク上で他のマシンに接続できない場合は、これらのドメインを「バックアップ・サーバ」として使用する。最初のドメイン登録が2011年9月5日に行われているので、同トロイの木馬はこの日付近くに解き放たれた可能性が高い。これらのバックアップ・サーバは、同トロイの木馬が実際のコンフィギュレーションファイルを読み出すことのできる感染したマシンの、別のリストをホスティングしているのみだ。このバックアップシステムは、コンフィギュレーションファイルが外部のWebサーバには保存されていないが、完全にボットネット自身の内部で取り扱われていることを意味している。

  分析されたすべてのP2Pサンプルには、着信するファイルのデジタル署名チェックに用いられる、同一のRSAパブリックキーが含まれていた。

  他のボットネットに特有な暗号化キーも同様だ。したがって、このP2Pバージョンはプライベートなものであり、これらトロイの木馬を作成するのに使用されたキットは、それ以上再販されなかった、というのが我々の結論だ。このことは、これらトロイの木馬のすべてが同一のボットネットにつながっており、一つの団体によりコントロールされていることを意味している。広範囲な変更が加えられたことと、ソースコードがリークした後にこのバージョンが現れるのに比較的短期間しか掛からなかったことから、このP2Pバージョンは漏洩したコードから作業をした部外者により作成されたものではないと見られる。ZeuSコードの論理的で、慎重に作成された進化形であり、おそらく「ZeuS 3」と呼ぶことも可能だろう。その作者を特定する方法は無いが、オリジナルの「ZeuS 2」の背後にいる人物であるということは、大いにあり得る。

ZeuS Distribution, April - May2012

  完全な脅威レポートはここからダウンロードできる。








ZeroAccessの自己削除法

  我々は通常、長年にわたってマルウェアが発展、進化するのを見ている。我々がフォローしてきたマルウェアにはZeroAccessがあるが、これは2010年後半に初めて検出して以来、常に改良されている。代表的なのは、最新のサンプルで、自己削除ルーチンが変化している点だろう。

  これは実行後、ユーザから自身の存在のあらゆる痕跡も隠すための、手早くシンプルな方法として、ZeroAccessが自身を削除するのに使用されるシンプルなWindowsバッチファイルだ(クリックすると拡大):

zeroaccess_selfdelete (11k image)

  他の多くのマルウェアが、このバッチファイル自己削除メソッドを使用している。しかし最近、ZeroAccessは変貌しようとしており、アナリストの作業がより複雑になっているようだ。そのため、以下のコードが使用されている(コメント無しで表示):

zeroaccess_selfdelete_nocomments (20k image)

  現在、ZeroAccessは他のプロセスのコンテクストで、ひねりをきかせてコードを実行するため、Win32 EXEのダイナミックフォーキングを使用する。Win32 EXEを他のプロセスのメモリスペースにロードする代わりに、ZeroAccessは基本的に、カスタマイズしたスタックを準備して、それを他のプロセスのコンテクストに挿入し、そこでスタックスタックのシーケンスに従って実行される。

  以下のコメント付きコードは、ZeroAccessが使用する方法と従来の方法との違いを示している:

zeroaccess_selfdelete_commented (40k image)

  これが上手くいくには、ZeroAccessはWindowsのネイティブAPI「ZwWaitForSingleObject」を示すよう、命令ポインタレジスタの修正も行う。修正とカスタマイズしたスタックが整うと、同マルウェアは悪事を働きはじめ、消え去る。

  ResumeThreadがコールされ、リモートプロセスが実行されると、最初に修正された命令ポインタレジスタにより示されたZwWaitForSingleObjectを実行する。

  このファンクションは、コーラプロセスが停止するまで待たれ、リモートプロセスで実行を再開する。それは停止したプロセスハンドルを閉じるため、スタックのトップで次のインストラクションを実行し、スタックが増大すると次のファンクションを実行する。

  最終的にこれはZwSetInformationFileにFileDispositionInformationパラメータを用いて、自身を削除するファンクションを実行する。以下の図はカスタムスタックのオペレーションをまとめたものだ(クリックすると拡大):

zeroaccess_selfdelete_customized_stack (64k image)

  ちなみに最新のZeroAccessは以前のルートキット対応亜種と互換性を持つ。我々はどちらにも類似したコードを見つけており、これはルートキットデバイスオブジェクト「\??\ACPI#PNP0303#2&da1a3ff&0」をチェックする:

zeroaccess_selfdelete_check_existence (21k image)

  ZeroAccessルートキットがインストールされたマシンでは、特別に作成された値「STATUS_VALIDATE_CONTINUE」が返される。そうでない場合は「STATUS_OBJECT_NAME_NOT_FOUND」が返される。このチェックにより、マシンが既に以前のルートキット対応の亜種に感染していることを発見した場合、最新の亜種はルーチンの一部をスキップすることが可能になる。

  最後に、我々のカスタマはさまざまなシグネチャ、ヒューリステックおよびクラウドベースの検出により、新旧双方のZeroAccess亜種から保護されている。



Post by — Wayne



新しいZsoneが開発中か? #Android

  Androidマルウェアのニュース:Zsoneが発見されて1年経ったが、我々は新しい亜種に遭遇した。あるいは少なくとも、新たな亜種が開発中なのだろうかと、我々に疑問を持たせたサンプルに。この新しいZsoneは、SMS送信ルーチンにネイティブコンポーネントを使用している。

  以下は、SMS送信用バイナリコンポーネントのコードの一部だ。

Zsone

  しかし、「10086」もしくは「1066185829」から来るメッセージの伝播を防止するためのSMS妨害ルーチンは実装されていないか、ネイティブライブラリの一部ではない。

Zsone

  最初の亜種「Trojan:Android/Zsone.A」は、公式のAndroidマーケットに存在することが知られていた。

  うまく行けば、この新たな亜種はGoogle Playまでたどり着かないだろう。この開発のモチベーションが何か、不思議に思う人がいるだろう。我々には同マルウェアがこの新たなテクニックを利用できた方法について、いくつかの可能性が見えている。おそらくGoogleのBouncerを破るため?

  エフセキュアのモバイルセキュリティはこれを「Trojan:Android/Zsone.C」として検出する。

SHA1: a251bc753405d44f2902aca3f470006f77bf9e79

—————

Analysis by — Zimry

ZeuSランサムウェア機能:win_unlock

  今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。

  この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。

  システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。

  受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

ZeuS, ransom feature

  したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:

  1. セーフモードでシステムを起動
  2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
  3. syscheckキーの下に新しいDWORD値を作成
  4. 新しいDWORD値の名称をCheckedに設定
  5. Checked値のデータを1に設定
  6. 再起動

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko

タイタニックAPT

ジェームズ・キャメロン監督の先頃のダイビングで収集された情報にもとづいた、タイタニック号に関するニュース速報がある。

Titanic APT

  新たな調査結果は、海底から引き上げられた遺物に基づくものだ。

  以下は、タイタニック号のブリッジからの画像で、謎の物体がクローズアップされている。

Titanic APT

  似たような物体が、船長のキャビンで見つかった。

Titanic APT

  以下は海上に引き上げられた後、謎の物体をクローズアップしたもの。

Titanic APT

  この物体には片側にスライドがある。さびているが、このスライドは現在も使用可能だ。

Titanic APT

  以下はスライドを押してみた画像。ご覧の通り、コネクタは現代のUSBプラグに若干似ている。

Titanic APT

  エフセキュアのフォレンジック&ピンポンラボは現在、同USBスティックのコンテンツを分析している。

  このUSBドライブは、タイタニック号の蒸気エンジンのコントロールユニットを標的とするPLCマルウェアをドロップする、ゼロデイ・エクスプロイトを含んでいるようだ。

  我々はまもなく、おそらくは4月1日の終業時までに、本件の詳細が判明するものと考えている。

  ジェームズ・キャメロン、Cerrious Designおよびナショナル・ジオグラフィックに感謝する。

あなたの銀行はSpyEyeのトップ40リストに掲載されているか?

  SpyEyeトロイの木馬の亜種が、「webinject.txt」と呼ばれるプラグインを使用する銀行を標的としている。我々はバックエンドで、SpyEye TrackerのRSS Feedからマッチする1318サンプルを収集した。内部を見ると、これらのサンプルに632種類の銀行ドメインが含まれており、「commerzbank.com」が最も標的となった銀行ドメインであることが分かった。

  以下はSpyEyeが標的とするトップ40行のグラフだ:

SpyEye's Top 40 Banks
クリックして拡大。

  Y軸は、サンプル内での銀行ごとの事例の数を表している。

  そして以下の表は同じ内容だ:

List of SpyEye's Top 40 Banks

  あなたの銀行はこのリストにあるだろうか? 心配しないで… もしSpyEyeがあなたの銀行を標的にしていなくても、たぶんZeuSに狙われている

  ここから、上記データのExcelファイルがダウンロードできる。

Analysis by — M. Hyykoski








ZeuS:いつか素晴らしいフィンランド語話す

  二、三ヶ月前、ここ、フィンランドであまりにも礼儀正しいZeuSの亜種が出回った。フィンランド語のローカライゼーションはかなり良かったのだが—エラーメッセージ内に「Suo anteeksi」を使用しており…これはソフトウェアではあまりお目に掛からないものだった。

  我々はZeuS亜種内で(フィンランド語だけでなく)適切なローカライゼーションを確認し続けている。あきらかに、悪党連中の一部は、我々が以前は予想していたローカライゼーションレベルであるGoogle Translateから進化している。

  しかし悪党はまだ基本的な間違いをおかしている。ZeuSのある亜種(現在出回っている)には、ローカライズ版でフィンランド人の名前が含まれている。「Welcome Bank Customer」と述べるのではなく、このトロイの木馬は「Welcome 誰それ」と、人名を表示しているのだ。

  以下は、標的とされている銀行の一部だ。

zeus configuration, bank list

  Javaアプリケーションを使用する銀行向けに、このZeuSは入れ替えを試み、アプローチを模倣しているように見える。(我々の分析は進行中だ)

  コンフィギュレーションファイル(スクリーンショットはそこからとられた)をホスティングしているサーバはオフラインとなっているため、この亜種は感染可能だが、そのCommand & Controlサーバの位置をダウンロードすることはできない。残念ながら、先週感染したコンピュータはみな、多くの重複したサーバ名を含むコンフィギュレーションファイルをダウンロードする。

  しかし幸いなことに…過去に我々が協力した銀行の大部分が、バックエンドシステム上で広範なトランザクション制御を行っている。よって、ZeuSトロイの木馬が感染したコンピュータで誰かのアカウントから資金を移動するのは、それほど単純なことではない。

  最良のアドバイス:感染を避けるため、コンピュータソフトウェアをアップデートすること。また、無計画にWeb検索を行わないことだ。ネット上には、障害が起きたサイトが数多くあり、何かを検索する際に罠に落ちる可能性が高い。

  感染してしまった人への最良のアドバイス:パニックを起こしてはいけない。オンラインバンクアカウントに、何かいつもと違ったところがあったら、悪党をブロックするのに遅くはない。銀行のカスタマサポートに電話すれば、手を貸してくれるだろう。








Macマルウェア・サマリー2011(Q2/Q3/Q4)

  Threat Researchチームの研究者Brodは、新興のMacベースの脅威を監視してきた。Microsoft Excelは、彼が亜種を記録するためのツールの一つだ。2011年の4月から12月まで、Macの新しい脅威は数ダース登場した。

  さて、Windowsのマルウェアと比較すると大した事は無い。しかし、2011年以前に見られたMacの脅威の数と比べれば、確かにちょっとした事だ。

  「新しい」という言葉で我々が言及しているのは、固有の亜種であって、我々が目撃した固有の亜種の個数ではないことを心に留めておいて欲しい。我々はマルウェアを数える際、より保守的なアプローチを好んでいる。包括的かつファミリーベースであるほど良い。

  以下は概要だ:

Mac Malware Summary 2011

  もっと良く見たい? それならばBrodのスプレッドシートをダウンロードして欲しい:Mac Threats 2011

  我々が5月、正確に予測したように(YouTubeビデオ)、Macマルウェアはマーケットシェアが増加したために継続的に増えているのではなく、むしろ時々思い出したように新たな脅威を生み出す、ご都合主義的な「バブル経済」の結果なのだ。

  2012年も同じことがさらに続くと、我々は考えている。

「Spitmo」の新たな親類:SymbOS/ConBot

  Threat Researchチームのアナリストが先頃、「Spitmo」と共通のコードを持つプレミアム料金SMS型トロイの木馬「OpFake」を発見した。そして今週、我々のオートメーションが新たなサンプルを警告した。アナリスト達は分析を完了したが、我々はまた新たな「Spitmoの親類」を発見したようだ。ただしこのトロイの木馬は、Operaアップデートのふりはしない。

  また:「SymbOS/ConBot」はボットの特徴を有している。

  アナリストの覚書は以下の通り:

  「Trojan:SymbOS/ConBot.A」は「Spitmo」のソースコードに基づいている。「ConBot.A」で唯一既知のサンプルは、「[removed].ru/mms.sis」からダウンロードされた。

  「ConBot.A」は「SystemService」というパッケージを含んでおり、こちらは「AppBoot」という組込型パッケージを含んでいる。

  「SystemService」パッケージのコンテンツは:

  •  c:\Private\EE1DCDAA\first
  •  c:\Private\EE1DCDAA\start.xml
  •  c:\sys\bin\SystemService.exe
  •  c:\System\AppBoot\SystemService.boot

  組込型パッケージ「AppBoot」

  •  c:\sys\bin\AppBoot.exe
  •  c:\private\101f875a\import\[2005A60D].rsc

  「OpFake」とは異なり、「ConBot」はアプリケーションメニューにアイコンを追加しない。インストールが完了すると、どのような形であれ、ユーザに自身の存在を通知することは無い。(おそらく、「Spitmo」のように「セキュリティ証明書アップデート」としてプロモートされる。)

  「OpFake.A」のように、「ConBot.A」は「Acme」の「JoeBloggs」による証明書で自己署名されているが、証明書自身は「OpFake」で使用されているものとは異なる。

  「AppBoot.exe」は「[2005A60D].rsc」のため、電話がスタートするたびに自動的に開始される。「AppBoot.exe」は次に、「SystemService.boot」ファイルを解読する。

  解読アルゴリズムは、「Trojan:SymbOS/OpFake.A」がそのコンフィギュレーションファイル(sms.xml)を解読するために使用するものと同一だ。解読された「SystemService.boot」のコンテンツは、「c:\sys\bin\SystemService.exe」へのパスであることが分かっている。「AppBoot.exe」は、解読された.bootファイルが示すどんなファイルでも実行する。

  「SystemService.exe」は「ConBot」の実際にペイロードを含む。

  初めて「SystemService.exe」が実行されると、電話に保存されている連絡先から、携帯電話番号が収集され、一時的に「c:\Private\EE1DCDAA\contacts.xml」に保存される。同トロイの木馬は「[removed].ru/connect.php」にコンタクトし、「contacts.xml」と電話のIMEIをリモートサーバに送信する。IMEI、時刻、日付およびオペレーティングシステムのバージョン(Symbian9にハードコードされた)とともに、定期的な接続が同じサーバに対して行われる。リプライとして、同トロイの木馬はSMSメッセージをどこにおくるべきかに関するインストラクションを含む、XMLファイルを受けとらなければならない。トロイの木馬にハードコードされた別のURLもあるが([removed].ru/connect.php)、start.xmlからのアドレスによりオーバーライドされる。

  「ConBot.A」も、アウトボックスから送信済みフォルダに移動されたメッセージのほか、新たに受信SMSメッセージもモニタする。特定の条件が満たされれば、トロイの木馬は傍受したSMSメッセージを削除する。新たに作成されたメッセージを通知するメッセージ送信イベントを取り扱う機能も、「Spitmo.A」および「OpFake.A」の機能とほぼ同一だ。これはこれら3種のコードにおける、唯一の同一部分ではない。

C&Cのアップデート:

  SMSモニタリングの興味深い特徴は、このトロイの木馬がテキストメッセージを介して、C&CサーバURLをアップデートすることができる点だ。「ConBot.A」が「zlhd[removed]」で始まる受信SMSメッセージに気づくと、残りのメッセージを抜き出し、古いURLに替わる「settings.dat」に保存する。作者は明らかに、単にC&Cサーバを停止させることで、モバイルボットネットが機能しなくなることは望んでいないようだ。

ConBot code

フルインストーラのSHA1:83fc407f77ee56ab7269d8bea4a290714c65bbe1

Trojan:SymbOS/OpFake.A

以下は「Trojan:SymbOS/OpFake.A」に関する昨日の記事に関連したテクニカル分析だ。

  「OpFake.A」は、「OperaUpdater.sisx」および「Update6.1.sisx」などのファイル名を使用する、Opera Miniアップデータと思われるファイルとして到着した。このマルウェアインストーラは、アプリケーションメニューにOperaアイコンを追加する。実行すると、メニューおよび偽のダウンロードプログレスバーを表示する。

Opera Updater 56%
  プログレスバーの表示… このインストーラはファラデールームの内部で実行されたのに。

  同マルウェアは表示可能な「ライセンス」も有している。トロイの木馬が開始され、被害者がメニューのどれかを通じて先へ進む以前に、このトロイの木馬はロシアのプレミアム料金を課すナンバーに、テキストメッセージを送信している。ナンバーとメッセージのコンテンツは、暗号化されたコンフィギュレーションファイル(sms.xml)から来ている。

  「OpFake.A」のSymbianバージョンは、それがアクティブでいる短時間に、SMSメッセージのモニタも行い、受信メッセージを削除し、メッセージは電話番号とメッセージのコンテンツにもとづき、送信メッセージフォルダに移動される。到着するSMSメッセージの妨害を処理するコードは、「Trojan:SymbOS/Spitmo.A」にものとほとんど同じだ。「OpFAke.A」のその部分は、明らかに「Spitmo.A」とソースコードを共有している。

  「OpFake.A」は、以前それが実行されたかどうかを追跡し、初めて実行される場合以外は何もしない。

  「OpFake」トロイの木馬は攻撃者自身が作成した証明書を使用して自己署名されている。証明書の所有者はJoeBloggsで、同社はacmeだ。これらの名前は、証明書を作成するためのWebサイトに例として使用されたため、同じ所有者名、企業名を持つ証明書で署名された、悪意あるファイルではないものも存在する。

  「OpFake」ホストサーバの異なるパスに、異なるファイル名(OperaUpdater.sisx、Update6.1.sisx、jimm.sisx)を使用した、多数の亜種が存在する。パスの一例は [IP Address]/builder/build/gen48BF.tmp/OperaUpdater.sisx だ。「gen」と「.tmp」の間の4文字はパスの変動部分だ。

  同じサーバ上の異なるパスに、同マルウェアのWindows Mobileバージョンもある。たとえば:[IP Address]/wm/build/gen7E38.tmp/setup.CAB だ。こちらも、ランダムなパスのもと、様々なバージョンが存在する。現在、「wm/build」以下にランダムな名称を持つ5000以上のフォルダがある。

  以下は、解読されたコンフィギュレーションファイルの例2種。最初のものはSymbianの亜種で、2番目はWindows Mobileの亜種だ。「ナンバー」と「テキスト」によるエントリは、メッセージが送信される電話番号と、メッセージのコンテンツを表している。

OpFake configguration files

SHA-1: 2518a8bb0419bd28499b41fad2089dd7555e50c8

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード