エフセキュアブログ

by:ブロデリック・アキリノ

欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 この宇宙は「ブラックエネルギー」に満ちている。そしてサイバースペースも同様だ。我々がVirusTotal経由で発見したBlackEnergyファミリーについて書いたのは、それほど以前のことではない。伝えられているところでは、このファミリーは、2008年のグルジアへのサイバー攻撃で用いられたものと同一である。先週の金曜日、新手のバリアントがVirusTotalに投稿された。そして今回は、どのように配布されたかについて、より明確になった。それは、実行ファイルを含むzipファイルだった。今月すでにあったケースと同様、このサンプルはまたもやウクライナから投稿された

Zip file screenshot

 zipファイルの名前はキリル文字でつづられており、「パスワードリスト」という意味だ。実行ファイルのほうは、意味は同じだがラテン文字でつづられている。実行ファイルの拡張子が.docであることを注記しておく。犠牲者がこのサンプルをどのように起動し得るのかは、明確になっていない。我々の推測では、狙っているターゲットが使っているあるzipアプリケーションがあり、それが拡張子に関わらず本当のファイルの種類に基づいてサンプルを開く機能をサポートしている、とみている。もちろん攻撃者が単に間違いを犯した可能性もある。

 VirusTotal上の実行ファイルのサンプルを確認すると、わずか数分早くベルギーから投稿された。ウクライナの現在の状況や、ベルギーがEU政府の中心であること(およびNATO本部が置かれていること)を鑑みると、これらが関連しているという見解を無視することはできない。

 我々はこのサンプルは、特定のパスワードを避けるように警告するIT系の勧告を装ったスピアフィッシングメールの添付ファイルとして送付された可能性があると考えている。

 以前のバリアントと異なり、当該サンプルはもはやsvchost.exeに、ユーザモードのDLLを挿入するカーネルモードコンポーネントを使用してはいない。今回は、単純にユーザモードのドロッパーを用いて、rundll32.exe経由でDLLを読み込む。カーネルモードコンポーネントの排除は、最近のWindowsシステムで見られる、署名付きドライバを実施する保護を潜り抜けようとするためかもしれない。

 ユーザモードDLLは変更をサポートするために書き換えられてもいる(タイムスタンプは2014年6月26日)。今では設定フォーマットは異なるが、いまだ同じIPアドレス・ブロックに所属するC&Cサーバを用いている。

New BlackEnergy configuration

 またドロッパーは悪意のある行為を隠ぺいするために、囮ドキュメントまで開く。

Decoy document

 ソフトウェアの脆弱性やエクスプロイトとは一切関係がないことに注意が必要だ。囮ドキュメントはドロッパーによって、プログラムで生成・起動される。これはかつて目にした、つまりOS Xにおけるおそらく最初のドキュメントを用いたAPT攻撃の試みに似ている。しかしながらこのマルウェアはDEPからホストプロセス(rundll32.exe)を適用しなかった。これは将来侵害するために、攻撃側面を切り開いたのかもしれない。

Routine that disables DEP via registry

 結論:欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を。

BlackEnergy、ルートキットみたいなもの

 最近BlackEnergyファミリーのサンプルがウクライナからVirusTotalへアップロードされた。述べられているところでは、このファミリーは2008年のグルジアに対するサイバー攻撃で用いられたものと同一のマルウェアだ。攻撃者は、このマルウェアにより感染したホストへのアクセス権限をすべて手に入れる。当該ファミリーに関するさらに詳細な情報については、SecureWorksによる2010年来の詳細な分析を確認してほしい。

 この新たなサンプルは、もうファイルやレジストリを隠ぺいしない点において、もはやルートキットという感じではない。埋め込まれているXMLによれば、現在のビルドは「0D0B15aaa」である。

Embedded XML

 使用するわけではないが、このサンプルはまだプロセスを隠ぺいするルーチンを持っている。今回はDKOMを用いている。このため(さらにsvchost.exeが警告可能な状態かを確認するため)、当該マルウェアは、Windowsのさまざまなバージョンで使用されるカーネル構造内にハードコーディングされたオフセット一覧を持つ。興味深いのは、今回のサンプルはWindows 8を念頭に設計された点だ。

Offsets in Windows 8 kernel structures

 サンプルには署名されていないので、動作させるには、最近のWindowsにおける、ドライバへの署名の実施を無効にする必要がある。

Windows版のJanicabマルウェア

 先週、Macユーザを標的にしたスクリプトベースのマルウェアについて書いた。昨日になって、avast!の人がWindows版を明らかにした。

tweet from Jindrich Kubec

 Windows版とOS X版の違いを以下に要約する。

Summary table

 当社のWindowsユーザは、クラウド技術によって、すでに保護されている。

RLOのトリックを使ったMacの署名済みマルウェア

 RLO(Right-to-left override)とは、双方向のテキストエンコードシステムで使われる特殊文字で、テキストを右から左への表示に切り替える場所を指示するものだ。実行可能ファイルの本当の拡張子を隠蔽する目的で、昨年来Bredolabや高度なトロイの木馬MahdiといったWindowsマルウェアで一般的に使われている。トリックの詳細については、Krebs on Securityのこの投稿を確認してほしい。

 我々はあるMac用のマルウェアがRLOのトリックを用いていることに気付いた。そして先週の金曜日にVirusTotalに投稿した。

RLO character

 ここでの目的は、Krebの投稿で触れられていたものほど複雑ではない。単純に本当の拡張子を隠蔽するだけだ。このマルウェアでは「Recent News.pdf.app」というファイル名を使えたはずだった。しかし、OS Xはすでにこの点を考慮しており、予防措置として実際の拡張子を表示している。

RLO trick in Finder
RLO trick in Terminal

 このマルウェアはPythonで記述され、配布にpy2appを使用している。Hackbackとまったく同様に、Apple社のDeveloper IDで署名されている。

Apple Developer ID

 しかし、OS X上の通常のファイル検疫時に示される通知が、RLO文字のせいでKrebの場合と同様に逆さまになっている。.

OS X file quarantine notification

 このマルウェアを実行するとデコイのドキュメントを置いて、開く。

Decoy document

 続いてマルウェアは起動のためのcronジョブを作成し、さらに感染したユーザのホームディレクトリに、コンポーネント群を格納するための隠しフォルダを作る。

Launch point and drop files

 マルウェアはC&Cサーバのアドレスを取得するため、以下のWebページへ接続する。

  •  http://www.youtube.com/watch?v=DZZ3tTTBiTs
  •  http://www.youtube.com/watch?v=ky4M9kxUM7Y
  •  http://hjdullink.nl/images/re.php

 「just something i made up for fun, check out my website at (address) bye bye(楽しみのためにあるものを作った。私の(アドレス)のWebサイトを確認してね。バイバイ)」という文字列を解析してアドレスを得る。

 YouTubeのページは以下のようになっている。

YouTube page

 この文字列をGoogleで検索すると、上で挙げたもの以外にも悪用しているサイトがあることが分かる。

Google search

 その後マルウェアは継続的にスクリーンショットを撮り、音声を録音し(SoXというサードパーティ製のソフトウェアを使用している)、それをC&Cサーバにアップロードする。また、C&Cサーバに対して、実行コマンドの継続的なポーリングも行っている。

 このマルウェアは、当社ではBackdoor:Python/Janicab.Aとして検出する。

 追記:

 C&Cサーバの場所を示すために使われているYouTubeの動画の1つの統計情報を以下に示す。

Python_Janicab_YouTube_stats

Python_Janicab_YouTube_stats_daily

 この動画の日付はJanicab.Aのバイナリの日付よりも少なくとも1ヶ月前にさかのぼる。統計情報に基づくと、実際にはもっと前からバリアントが存在したようだ。

ウイグルのMacユーザを標的にした新たなWordドキュメント

 2月に遡るが、我々はウイグルに対するサイバー攻撃で使用されたWordドキュメントの新しいバリアントに気づいた。

 このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者(Author)としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。

Properties of poadasjkdasuodrr.doc

 ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。

 C&Cサーバとしては「alma.apple.cloudns.org」を用いている。

Command and control server name

 このバリアントは以下の自己コピーと自動起動の設定を作る。

~/Library/Application Support/.realPlayerUpdate
~/library/launchagents/realPlayerUpdate.plist

 あるいは、(2つのパラメータと共に実行した場合には)代わりに以下を作る可能性がある。

/Library/Application Support/.realPlayerUpdate
/library/LaunchDaemons/realPlayerUpdate.plist

 これは同じマルウェアのままで、2月以降、一般にBackdoor:OSX/CallMe.Aとして検知されている。

MD5: ee84c5d626bf8450782f24fd7d2f3ae6 - poadasjkdasuodrr.doc
MD5: 544539ea546e88ff462814ba96afef1a - .realPlayerUpdate

韓国のワイパー攻撃の背後にWhois?

 報道によれば、先週、韓国企業をワイパーマルウェアが襲った際に、韓国LGユープラス社のWebサイトも書き換えられていたとのことだ。

 以下はThe Registerからの引用だ。

The Register Report

 事件の関係者によれば、ワイパー攻撃の加害者として「Whois Team」に嫌疑がかけられている。ただしこれにはいまだ議論がある。

 Ars Technicaから以下を引用する。

Ars Technica Report

 我々が昨日、ワイパーのサンプル群を見て回ったところ、感染したシステム内のWebドキュメント(「.html」「.aspx」「.php」など)を検索するルーチンが含まれるバリアントを検出した。このマルウェアはこうしたドキュメントを、以下の動画とまったく同じように見えるドキュメントへ上書きする。



 このサンプルは、LGユープラス社のWebサイトの書き換えに用いられたものと明らかに関連があると考えている。

 当該サンプルには、他のワイパーのサンプルと同様のタイムスタンプがある。

 昨日の投稿にあったDLLワイパーのサンプルのタイムスタンプは次のようになっている。

DLL Wiper Timestamp

 書き換えを行ったワイパーのサンプルのタイムスタンプは以下だ。

Defacer-wiper Timestamp

 ただし、後者のバリアントではドライブの消去にまったく異なる方法を用いていた。こちらはMBR(Master Boot Record)に以下のコードを感染させ、次回起動した時にディスクを消去する。

Bootstrap Wiper

 また他のバリアントと異なり、このサンプルはファイルシステムを消去する際に「HASTATI」「PRINCIPES」といった文字列を用いていない。ファイルを「0」で上書きし、ランダムなファイル名に変更してから最終的にファイルを消去している。またWindowsとProgram Filesディレクトリ内で見つかったファイルは回避する。攻撃者は上書きしたページで感染したWebサーバを提供し続けたかったわけなので、これですべて意味が通る。

 では、攻撃同士が関連していると思われるか?関連しているというのが、もっともあり得る。これは別の攻撃メンバーによって実行されただけだ。

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード