エフセキュアブログ

by:SecResponse

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる

 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。

1_wmap (106k image)


 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。

 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。

2_spike (9k image)


 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。

4_script (12k image)

 あるいは次のようなcookieの使用を含めるために、多少長くなっている。

3_code (132k image)

 リダイレクトに成功すると、以下の画面と同じような見た目の、偽のflashのダウンロードサイトへと飛ばされる。

5_flash1 (64k image)

6_flash2 (32k image)

6_main_page_after_clicking_download (40k image)


 ユーザが手動でDownload Nowというリンクをクリックすると、あるSkyDriveアカウントからflashplayer.exeと呼ばれるファイルがダウンロードされる。

 この悪意あるflashplayer.exeが実行されると、次のメッセージがユーザに表示される。

7_dialog (1k image)


 バックグラウンドでは、同じSkyDriveアカウントに再度接続して、別のマルウェアをダウンロードしている。

8_skydrive (21k image)

 最初の分析では、サンプルは以下の場所に接続していることが判明している。


9_post (59k image)


SHA1のハッシュ:
804d61d9d363d2ad412272043744701096e4b7f8
b9af02020389459d01911c7c4f4853bf3b5eafe4



—————


Post by — Karmina and Christine

偽のMinecraftのAndroidアプリがSmalihookを使用

 先日、Minecraftの偽アプリを分析しているときに、その偽アプリがSmalihookと呼ばれるハッキングツールを使用していることに気付いた。そのためSmalihookついて調べてみた。

 このツールはJavaのファンクションをフックするためのもので、他のフックライブラリとまったく同様に動作する。ファンクションのトリガーをフックしたのち、呼び出し元に任意のものを返すことができる。今回のケースでは、以下のファンクションがフックされる。

  •  getInstallerPackageName(String packageName)
  •  getPackageInfo(String packageName, int flags)

 getInstallerPackageNameというファンクションは以下を行う。

  •  あるパッケージをインストールしたアプリケーションのパッケージ名を取得するこれにより、どのマーケットからパッケージがやってきたのかを識別する

 Smalihookはトリガーをフックすると、当該アプリがGoogle Play Storeからダウンロードされていなくても「com.google.android.feedback」という値を返す。そこから来たように見せかけたいだけだ。

 getPackageInfoというファンクションは以下を行う。

  • システムにインストールされたあるアプリケーションに関するすべての情報を取得する

smalihook (6k image)

 このフックは、2番目のパラメータが定数0x00000040 (64) GET_SIGNATURESを用いているかを監視し、dexファイル内にあるオリジナルのMojang社の証明書を返す(このトロイの木馬型のアプリ自体はデバッグ用の証明書で署名されている)。これは、ベースとしている正規のアプリケーションが認証用のルーチンを含むために行われる。この認証ルーチンは証明書の妥当性を確認し、正規の証明書が見つからなければ実行を中止する。特に、Mojang社のアプリは無料ではないのだから、開発用の証明書を使って署名されたパッケージのアプリケーションが広まることを明らかに望みはしないだろう。

 SmalihookはAntiLVLというクラッキングツール(Android License Verification Library Subversion)の一部のように見受けられる。こうしたツールの目的はライセンス保護システムを破ることで、一般的な種類の攻撃に対して自身が保護されているかをテストしたい開発者に狙いを定めている。

 このツールは公然と提供されており、以下のリンクからダウンロードできる。

  •  http://androidcracking.blogspot.fi/p/antilvl_01.html

 Smalihookも同じページから入手できる。

  •  http://androidcracking.blogspot.fi/2011/03/original-smalihook-java-source.html

 Smalihookの作者は「lohan」というタグを使っているようだ。作者の連絡先情報も同じページに記載されている。

 ちなみにこのサイトには以下の注意書きがある。

androidcracking (7k image)

 「For educational purposes only(教育目的に限る)」いや、待て…。


—————

Post by — Marko

Canada Gooseの季節がやってきた

 詐欺師たちは創造的になってきている。オンライン薬局や偽物時計、一般商品の販売は当たり前になっているので、今は詐欺師たちは季節商品を売り歩くように転換した。昨年の9月あたりから、怪しげなCanada Gooseの上着を販売するWebサイトが、雨後の竹の子のように続々と登録されている。北極・南極の周辺に住む人々は、このブランドを愛して止まない。Canada Gooseは、冬をほんの少し暖かく感じさせるダウンジャケットの生産を行っているメーカーの1つだ。そして同ブランドには忠実なファンがいる。詐欺師たちは今や明らかにこのことに気付いた。

 最近、こうしたサイトの広告が、フィンランドのFacebookユーザに提示されるようになった。当地フィンランドにおけるCanada Gooseのジャケットの価格を考えると、誰かの目玉が飛び出しかねないので、これはなかなか悲しいことだ。

fb3-blur (94k image)


fb-mobile (232k image)



広告をクリックすると、普通に見えるショッピングサイトへ到達する。何から何まですべてのオンラインショッピング機能が揃っている。

canada_goose (332k image)


 この広告にはいくつかのコメントが混ぜてあり、ジャケットをもう買おうとしている人に対して、あり得ないほどすばらしいと述べている。

 それで、なぜ我々はこのサイトが臭う、と考えるのか。
- Webサイトが1年しか有効ではない
- サイト登録者が販売先の国や大陸に限定されていない(現在は中国で登録されている)
- 商品を50〜70%引きで販売している(そんな価格のCanada Gooseを見たことがある?)
- ユーザが個人情報を入力する際、暗号化をしていない
- Canada Gooseの小売店オンライン検索ツールによれば、こうした店やサイトは正式な小売店ではない

arctic_parka3 (21k image)



 昨年はOakleyもこうした詐欺手法の被害者となったが、同社は強硬な手段をとって、サイトをダウンさせて、訪問者に情報提供を行った。

oakley_legal2 (188k image)



 本件について非常に用心深く対応したOakleyに賞賛を!

 こうした評判のブランドが偽のサイトを停止させるという強硬な手段を取っているにも関わらず、ブランドの実際のオーナーが偽サイトに遭遇する前に潜在的な購買者が見つけてしまうこともあり得る。そして、オンラインショッピングの際に一層の注意をというように、我々から十分に強調することはできない。詐欺サイトは至るところに顔を出し、誰かが欲しがる可能性のあるものを何でも販売している。そのWebサイトについて聞いたのが初めてだったり、評判が定かでなかったり、提示内容が非常に誘惑的であるなら、そこでの購入を控えるのが最善だろう。正規の製品か、あるいは何かほかの物でさえ引き換えに入手できる保証はまったくない。

 ブラウザ保護を有効にしているエフセキュアのユーザは、こうした疑わしいサイトから保護されている。

—————

 Post by — Karmina and Christine

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906

 水曜日、我々はマイクロソフトのグラフィックコンポーネントにおけるゼロデイの脆弱性について取り上げた。この脆弱性は、Wordドキュメントを用いた標的型攻撃で活発に悪用されている。

 かいつまんでいうと、このエクスプロイトが当社のInternet Securityに敗北する動画が以下にある。


DeepGuard 5 vs. Microsoft Graphic Component Zero-Day Exploit CVE-2013-3906

 動画内のWordドキュメントは実際の攻撃で使われてきたもので、McAfeeAlien Vaultが分析したエクスプロイトの1つだ。分離された試験用ネットワーク上で、64ビット版Windows 7でOffice 2007を実行する脆弱なシステムを用いて、攻撃を再生成した。動画で実演している通り、DeepGuard 5(当社のビヘイビア・エンジン)のエクスプロイトを捕捉する機能によって、システムを感染から防いでいる。

 さらにDeepGuardは、マイクロソフトのアドバイザリよりも前に、誰も最初のサンプルを目にしたことがなくても、先手を打ってこのゼロデイエクスプロイトから顧客を保護していた。

 その上、DeepGuardの検知機能に何ら追加や修正は必要なかった。約1か月前の、先のマイクロソフトのゼロデイ用と同じ検知ルールセットで、今回のゼロデイがブロックされた。

 これがビヘイビアベースのプロアクティブなエクスプロイト検知の力だ。

 Post by — Timo*

 * 編集メモ:ティモは上級研究員で、(正当に言って)当社が誇るDeepGuardサービスの責任者だ。あっぱれ、ティモ!

Neutrino:現行犯で逮捕

 先週我々は、エクスプロイトキットへと導くiframeインジェクションを提供する、ハッキングされたサイトについて、Kafeineからヒントを得た。我々は非常に興味深いと考え、感染したWebサイトの1つを監視して、以下のコード片が潜んでいるのを見つけた。

sitecode



 ぼかしていない方(deobfuscated)のコードは、挿入されたiframeのURLがどこから集められるのかを示している。また同時にリダイレクトを許可するcookieを使用していることが分かる。さらにIE、Opera、Firefoxからブラウズしたユーザのみを標的に感染させることを表している。

 そして現在、ソースサイトや感染したサイトからの、古いが良質な断片情報がある。

injected



 感染したWebサイトが首尾よくリダイレクトをすると、ユーザはNeutrinoエクスプロイトキットに行き着く。これはJavaエクスプロイトを提供するものだ。

redirections



 トロイの木馬のペイロードをまだ十分に解析していないが、最初に確認した際に、以下のIPアドレスにHTTPポストを行っていることが判明した。

mapp



 今週の初め、おそらくまだ完全に影響を受けていない頃、挿入されたURLはgoogle.comに向けられていた。しかしながら、昨日の夕方、完全なオペレーションが開始され、Javaエクスプロイトを提供するNeutrinoにリダイレクトし始めた。

first_instance



 この時系列に基づき、感染したサイトを訪れた各IPアドレスの地点を地図上にプロットした。これらのIPアドレスはこの脅威における潜在的な犠牲者だ。おおよそ8万個のIPアドレスが存在する。

visitor3



 我々はまた、これまでに感染したWebサイトもプロットした。この脅威の影響を受けたドメインは2万超に達する。感染したサイトは、WordPressもしくはJoomla CMSのいずれかを使用しているように見受けられる。

hacked



 なお、この脅威に関する別の情報が、Kafeineのブログに投稿されている。

 このポストに関連があるサンプルは、Trojan:HTML/SORedir.A、Exploit:Java/Majava.A、Trojan:W32/Agent.DUOHとして検知される。

 Post by — Karmina and @Daavid

DeepGuard 5 vs. IEのゼロデイエクスプロイトCVE-2013-3893

 ネタバレ注意:DeepGuardが勝利。

 今日はPatch Tuesdayで、この後マイクロソフトが月例のセキュリティアップデートをリリースする。

 このアップデートは、直ちにインストールすることを強くお勧めする。なぜならパッチが当てられるInternet Explorerの脆弱性の1つCVE-2013-3893は、すでに現実に悪用されているからだ。CVE-2013-3893を悪用するMetasploitモジュールもリリース済みだ。しかし今日がカギになる。悪い奴らが、他の脆弱性に対するエクスプロイトを開発する目的で、このパッチをリバースエンジニアリングするのはほぼ確実だ。

 ある脆弱性に特化した防御策を1つずつ施して、エクスプロイトから保護し続けるのは、本当の意味で可能なわけではない。より先を見越した防御は、悪用する技術に焦点を合わせることで実現できる。これを念頭に、当社のビヘイビア技術DeepGuardのバージョン5では、主要な機能としてビヘイビアベースのエクスプロイトの遮断が導入された。Webブラウザのようなよく侵害されるソフトウェアのビヘイビアを監視することで、ゼロデイエクスプロイトを含め、まだ目にしたことのない脅威からユーザを保護することができる。

 CVE-2013-3893の脆弱性に基づくエクスプロイト経由でシステムが侵害されるのを、DeepGuardが防ぐ短い動画を以下に掲載する。システムに今日のアップデートがインストールされていないなど、動画中のIEのバージョンは脆弱である。動画内のエクスプロイトは実際の攻撃で使われてきており、FireEye社やDell社で言及されていたもの、つまり0x95というXORキーで暗号化されたrunrun.exeのペイロードに非常に似通っている。なお、この攻撃は分離した試験用ネットワーク上のWebサーバから実施した。

 エクスプロイトはcookieをセットして確認することで、同一システムを2度侵害するのを回避している。一度DeepGuardがエクスプロイトをブロックし、強制的にタブを閉じると、IEはタブを再度開くように試みる。cookieがセット済みのため、JavaScriptコードは当該エクスプロイトを飛ばして、単純にユーザをnaver.comへリダイレクトする。


YouTube: DeepGuard 5 vs. IE Zero-Day Exploit CVE-2013-3893

 言い換えると…、当社の技術により、顧客に卓越した防御機能を提供できる。第0日目に。

 このホワイトペーパー(日本語)で、当社のDeepGuard技術についてさらに詳細に確認できる。今日のアップデートをインストールする間に、読んで楽しんでほしい。

 Post by — Timo

AndroidマルウェアがSMTPに向かう

 Androidマルウェアの世界では新しいことは何もない、と思う間もなく、小さなことだが、非常に興味深いと驚くことがあった。SMTPサーバに接続してメール送信するAndroidマルウェアだ。

 SMTPを使用すること以外、このマルウェアはまったくもってありきたりのものだ。インストールすると、モバイル機器上に永続的に留まるために、アプリケーションはデバイス管理をアクティベートするかどうかユーザに尋ねる。この脅威はアプリケーションメニュー内に重要なアイコンを何も追加しない。むしろユーザは、アプリケーションマネージャを確認しないと、「Google Service」と偽装しているアプリケーションがあることに気付かない。

mobile1 (138k image)

 インストール後、当該アプリケーションは電話番号や、送受信したSMS、録音された音声のような慎重に扱うべきユーザ情報を、あるメールアドレスに向けて収集する。続いて、SMTPサーバ、特定したところではsmtp.gmail.com、smtp.163.com、smtp.126.comを用いて、盗んだデータを送信する。以下には、非常に中国臭がするものを感じている…。

code (169k image)

 この脅威がSMTPサーバに接続しようと試みているところのスクリーンショットを次に示す。

smtp (161k image)

 この脅威は、大抵の場合サードパーティーのAndroid市場や悪意あるWebサイトからダウンロードされることがわかっている。我々は1ヶ月前に初めてこのマルウェアファミリを目にしたが、以来活発に活動している。当社では既にこの脅威をTrojan:Android/SMSAgentとして検知する。

msms_android (59k image)

Post by — Swee Lai

ランサムウェアBrowlockが新たな国々を標的に

 ここ数週間、当社は比較的新しい「警察ランサムウェア」ファミリを追っている。これは当社ではTrojan:HTML/Browlockと呼んでいる。このランサムウェアは非常に簡素で、被害者に偽の罰金の支払いを要求するロック画面を表示するためにブラウザを用いていて、そのブラウザのタブが閉じられてしまうのを避けるために策を弄しているだけだ。

 最初にアメリカ、カナダ、イギリスの人々を標的にするのを目撃したときから、新しい国々へと拡大していくことを予期していた。予期したとおり、現在ではその他の地域のユーザも、現地の法執行機関からのローカライズされたメッセージを目にしている。

 以下は、異なる国々で見られるBrowlockのロック画面だ。

Browlock in UK

Browlock in AU

Browlock in NL

Browlock in ES

 このランサムウェアファミリのほぼすべてについて、ロック画面を高品質でローカライズする翻訳者を見つけるのは、非常に難しかったように見受けられる。細心の注意を払って読めば(いや、おそらくどの程度の注意であっても十分だ)、ドイツ語のローカライズにいくつか細かな問題があることに気づく。

Browlock in DE

 カナダ人向けのロック画面のデザインも、概ね似通ったままだ。

Latest Browlock in CA

 気が付いたのだが、以下に挙げる以前のロック画面と見比べると、罰金が250カナダドルから150カナダドルへと下がっている。昨今の経済情勢の中で、ランサムウェアの犠牲者に対してさえ、このような高額の支払いを期待できないようだ。

Old Browlock in CA

 ドメイン名は変わるものの、現在ロック画面はすべてサンクトペテルブルクにある1台のサーバにホストされている。

Browlock Server

 当社はこのロック画面をTrojan:HTML/Browlock.Aとして検知する。

Post by — アンティおよびカルミナ

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

探していたモバイルアンチウイルスではない

 当社のあるアナリストがAndroid端末でMalaysiakini(マレーシアで人気のWebサイト)を閲覧しているとき、以下の広告に気づいた。

mkini_scam_ad

 この広告をクリックすると、外部サイトに飛び、以下が表示される。

mkini_scam_ad_download_screen

 Windowsシステム用の(時にはMacの)ローグウェアのWebページで、長年のあいだ目にしてきたテキストと同じ類のものを連想させる。

 「Download and Scan Now」ボタンをクリックすると、アンチウイルスアプリケーションのように見える画像が現れる。

mkini_scam_ad_download_screen_2

 さらにその画像をクリックすると、電話番号を要求し、興味深い文を掲載したページへと飛ばされる。

mkini_scam_ad_number_submission

 「This is an ongoing subscription service until you quit. You will receive 4 sms per week and chargeable at RM4 per message. Only [REMOVED] user will receives max 3 sms per week and chargeable at RM4 per message. Data charges are billed separately by mobile operators.(これは退会するまで利用継続するサービスです。1週間ごとに4通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。○○ユーザのみ毎週最大3通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。データ通信費は別途、携帯電話会社から請求されます。)」

 つまり、これはSMS購読サービスだ。電話番号を提供すると、ユーザはサービスへ登録するための説明が書かれたSMSメッセージを受け取る。

 一度登録すると、別のSMSが送付され、ダウンロード用のリンクが提示される。リンクをクリックしてみたところ、「Sorry, you have exceeded the allowed download limit.(申し訳ございませんが、ダウンロードの制限を超えています。)」というメッセージがあるだけだった。当該サイトのトップページは「under construction.」になっている。

 幸運なことに、登録方法が記載されたSMSには、サービスの停止方法の説明も含まれていた。

 我々は通常、モバイルアプリケーションのダウンロードを行う際に、要求されるパーミッションを読むようにユーザに勧めている。今回のケースでは、ダウンロードする前に説明文を読むことも、賢明だ。広告をクリックしたところで、これはおそらくユーザが探しているサービスではない。

 現在のところ当社のBrowsing Protection機能では、APKのダウンロードが想定されるサイトはSuspicious(疑わしい)と判定している。

追記

 Windowsベースのローグウェアと同様、この「Androidアンチウイルス」詐欺は他のOSも認識している。ただし、餌を微調整するのに失敗している。

iOS:

mkini_scam_iPod

Windows Phone:

mkini_scam_lumia620

Javaの脆弱性CVE-2013-2423に対するエクスプロイトが悪用される

 Oracleがクリティカルパッチをリリースした数日後に、CVE-2013-2423がすでに悪用されていることが分かった。履歴を確認すると、4月21日に悪用され始めたようで、数時間前まで継続して活発に発生していた。

url_list (122k image)

 もっとよく見てみるために、Metasploitモジュールで見つけたクラスと、実際に悪用されたサンプルに含まれているクラスを比較した画像を以下に挙げる。

Metasploit (95k image)

 興味深いことに、Metasploitモジュールは20日に公開されており、先に述べたように、その翌日にはこのエクスプロイトが実際に悪用されるようになった。

 PoC(概念実証、proof of concept)についての情報はここに掲載されている。

 ファイルはExploit:Java/Majava.B.として検知される。

サンプルのハッシュ:
1a3386cc00b9d3188aae69c1a0dfe6ef3aa27bfa
23acb0bee1efe17aae75f8138f885724ead1640f



Post by - Karmina および @Timo

Python™を商標登録する??

 「Python」という単語を「ソフトウェア、サーバ、サービスなどコンピュータ関連のことの大半」として商標登録しようとしているイギリスの企業のことで、Python Software Foundationに助けが必要なようだ。

 そこで、ここに我々の意見をはっきりと述べておく。

F-Secure Labs hearts Python

 エフセキュアにいる我々は、組織内部で広範にPythonを使用している。主にバックエンドや内部ツール用だが、当社の研究開発作業の中では随所で使われている。そして全開発者にPythonを採用するように推奨している(ありそうにないことだが、まだPython信者になっていないケースにおいて)。我々の知る限り、一般に当社は次のような点においてヨーロッパの技術産業を代表する企業である。非常に特化したニッチな企業を別にすれば、全員がPythonを使っており、またプログラミング言語Pythonの知的所有権の法的な所有者以外に、この商標登録を許諾するのはばかげた、 無法な、 正気を失った、 不当なことだと考えている。

 では。

NftL

「Red October」のような攻撃を防御する

 Red Octoberと呼ばれる標的型攻撃作戦は、企業セキュリティの前線で働く人々に興味深い問題を提起した。自身の組織に対するこうした攻撃は、どのように防御すべきだろうか?良い知らせがある。少なくともRed Octoberのような作戦に関しては、すでに長期間に渡って情報が得られている。

 技術的な観点からすると、Red Octoberを用いた標的型攻撃は、企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者に必要なのは、関心を持ちそうなドキュメントをユーザにクリックさせることと、そのときドキュメントの閲覧に使われるプログラムが、攻撃に対して脆弱であることだ。その後、ディスクに対するペイロードの書き込みをシステムが許し、さらにその後にペイロードがC&Cサーバと通信できる必要がある。

 したがって攻撃をくじくには、我々は防衛側として、いずれかの段階を阻止できなければならない。そうすれば、クリーンアップの必要はあるかもしれないが、データ窃盗の観点からは攻撃は失敗する。

 まず最初の、そして最も明らかな防護は、もちろんユーザ教育だ。全ユーザは外部の情報源からくるドキュメントに対しては、すべて疑いの目を持つように訓練されるべきだ。その相手がドキュメントを送付してくることを予期していないのなら、なおさらだ。しかし残念ながら、削除すべきものを開くには、一瞬の不注意があればいい。つまり教育単独では不十分だ。

 防護の第2階層は、もちろん企業のセキュリティ・ソフトウェアを更新し、適切に構成することだ。当社のエフセキュア クライアント セキュリティはRed Octoberのエクスプロイトのペイロードによって実行されるアクションについて警告をしてきただろう。だが忘れてはならない重要な点は、現代のセキュリティ・ソフトウェアにもっとも効率を発揮させるには、そのソフトウェアがバックエンドのサーバと対話できるようにしなければならないことだ。企業がブラウザのインターネット接続を許す一方で、ワークステーションのセキュリティ・ソフトウェアがリアルタイム防護ネットワークの一部になるように構成されていないというのは、非常によくある状況ではあるが、もどかしいものだ。

 防護の第3階層は、マイクロソフトのEMETを使うことだ。このアプリケーションはメモリ・ハンドリングを堅固にし、エクスプロイトを軽減するツールだ。我々はEMETが有効になり、推奨の設定値が用いられた環境で、Red Octoberに関連するエクスプロイト・ファイルを実行してみた。その結果、エクスプロイトは停止され、システムを乗っ取ることはできなかった。

EMET, Red October

 防護の第4階層はマイクロソフトのApplockerを使用して、署名がなされていないファイルや、あるいはシステム管理者に馴染みがなく信頼していないファイルの実行を阻止することだ。Applockerを用いると、Windows XPでは%programfiles%\Windows NT\svchost.exe、またWindows VistaやWindows 7では%appdata%\Microsoft\svchost.exeに放り込まれたペイロードは実行できなくなる。

 防護の第5階層は、DNSのホワイトリストを使うことだ。ユーザからの初回の問い合わせ時に、既知のドメイン名のみ、プロンプトなしでの名前解決を許可する。より望ましくはCAPTCHAも併用する。我々は企業への既知の諜報攻撃で使用されるC&Cのドメインを調査してきたが、エクスプロイトによるC&C通信を阻止する目的において、DNSのホワイトリストは最大99%の有効性がある。

 ここに挙げた方法をもっと知りたい場合や、当社の製品を用いることに加えて他にどういったことをお勧めしているかに興味がある場合には、マルウェアや標的型攻撃に対する、情報や企業のセキュリティ強化に関するプレゼンテーションのスライドを読むことを提案する。

 「Making Life Difficult for Malware (PPTX)」は元々2011年10月のt2 infosec conference(訳注:フィンランドで開催されている技術志向の情報セキュリティのカンファレンス)にて、また後に2012年5月のBlackhatにて発表された。これは標的型その他のエクスプロイト・ベースの攻撃に対して、OSやアプリケーションを技術的に強化する方法を扱っている。

 「Protecting against computerized corporate espionage (PPTX)」は最初は2012年のt2で発表され、標的型攻撃に対して組織内でもっと回復力を持たせて運用するには何をすべきかについて取り上げている。

@jarnomn

すべての月がRed October

 おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。

 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてしまう。

 とりあえず、使用されているエクスプロイトは高度なようには見えない。攻撃者は古くからある有名なWordやExcel、Javaのエクスプロイトを使っていた。これまでのところ、ゼロデイの脆弱性が用いられた兆候はない。

 当社のバックエンド・システムは自動的にドキュメント・エクスプロイトを分析している。Red Octoberの攻撃で使用されたエクスプロイトの一部について、スクリーンショットを掲載する。

Red October

Red October

Red October

Red October

 我々は毎月のように、このシステム上で数千の同様のドキュメントを目にする。Red Octoberの攻撃は、長期に及ぶ、単一の存在から行われていた大規模な諜報活動という点で興味深い。しかしながら、企業や政府は同様の攻撃を多くの異なる攻撃元から定常的に受けているというのが悲しい現実だ。その意味では、これは真実、インターネット上での日常生活に過ぎない。

 Red Octoberの攻撃で用いられている、既知のエクスプロイト・ドキュメントは、エフセキュアのアンチウイルス上では、Exploit:Java/Majava.A、Exploit.CVE-2012-0158.Gen、Exploit.CVE-2010-3333.Gen、Exploit.CVE-2009-3129.Genなど、さまざまな名称で検知される。

 追伸。もしあなたがシステム管理者として自身の環境に対する同様の攻撃を防ぐ方法ついて思案しているのなら、そうした読者のために近く上級研究員のJarno Niemelaが続報を投稿する。

アンチウイルスが役立たなくなることについて

 私はかねてより、アンチウィルス製品が役立たずで単に金の無駄遣いとなるかどうかという議論の進展を見守り、また参加もしている。この問題についての私の立場は、エフセキュアに雇われているからには、かなり明確だろう。しかしつまらない同じ議論を続けるより、ほとんどすべての議論で繰り返している、いくつかの共通のパターンと誤解に注意を向けたいと考えている。

パターン1:VirusTotalのスキャン結果を議論に持ち込もうとする人がいる。

 VirusTotalはある特定のサンプルについて、初期の情報を得るのに非常に有益なシステムだが、さまさまなアンチウイルス製品の性能について信頼に値する指摘を行うわけではない。VirusTotalの人自身もこれを認識しており、彼らのシステムが不適切な調査で誤用されることを望んでいない。実際、VirusTotalは当該WebサイトのAboutページで、この件についてすでに何年も明示している。「BAD IDEA: VirusTotal for antivirus/URL scanner testing」というセクションを読んでほしい。

 VirusTotalは次のように述べている。「At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being…(訳注:繰り返しお伝えするのに疲れたが、このサービスはアンチウイルスの比較分析を行うために設計されたツールではない。複数のアンチウイルス製品で疑わしいサンプルをチェックし、検知していないマルウェアについて情報提供することによってアンチウイルス研究所を助力するツールとして設計されたのだ。VirusTotalをアンチウイルスの比較分析に使用する方々は、その手法に多数の潜在的な誤りがあることを理解すべきだ。もっとも明白な誤りは〜)」(強調は私が行った)

 この理由は3つある。まず始めに、アンチウイルス・ベンダーがVirusTotalに提供しているエンジンは、現実世界の製品とまったく同じ構成にはなっておらず、また実際の製品に対するものと同じように手入れや注意をしているわけではない。もしVirusTotalの結果としてあるサンプルについて欠落していても、我々は有料顧客に対するものほど気にかけない。

 第2に、まともな考えを持つ組織であれば、最高の技術を比較システムに提供することはあり得ない。比較システムでは、攻撃者が新しく作成したものを気の赴くままにチェックし、十分な数のアンチウイルスを避けることができるまで好きなだけ試してしまう。

 3つ目にVirusTotalは、インストールされている実際の製品で対象ファイルを実行しようとはしない。つまり、実行時のヒューリスティック、振る舞いの監視、メモリスキャンは土俵に乗らないことを意味する。したがって、完全な製品と比較したとき、検知結果は少なくなる。しかし、VirusTotalがファイルを実行しない理由は理解できる。各エンジンごとに何もかも実行するには膨大なリソースが要求される上に、実際の感染のケースでは存在するコンポーネントが欠けているために、多数のサンプルではやはり失敗するのだ。

パターン2:テスターはあるコレクションの中からダウンロードを行い、(パスワード保護がかかっているアーカイブであれば)解凍して、もしマルウェア・ファイルが検知されなければ愚痴をこぼす。

 このようなファイルのコレクションやフォレンジック後のファイルをスキャンするために、実際の製品を使用するときでさえ、本当に想定どおりに製品を使用しているわけではない。スキャンとは最後から3番目の防衛ラインに過ぎないのだ。アンチウイルス業界は、何年も前から、ファイルをスキャンするだけでは十分に防護する手立てがないことに気づいている。我々は、不正なコンテンツがシステム内で実際に動いているときに検知しようとするのではなく、標的に到達しようとしているところから、不正なコンテンツを回避しようとすることに焦点を移した。

 一般的なアンチウイルス製品や、あるいはセキュリティ・スイートというべきものには、防護のための複数の階層が含まれる。ファイルのスキャンは、そのほんの一部分に過ぎない。何が用いられているかは、製品によって異なる。しかし典型的な製品には、少なくとも以下の階層がある。

1. URLおよびWebアクセスのフィルタリング

 ユーザが悪意のある攻撃サイトと、そもそも接点を持つのを回避する。

2. HTTPなどのプロトコル・スキャン

 悪意のあるコンテンツが、Webブラウザや他のクライアントに到達する前に捕捉する。

3. エクスプロイトの検知

 エクスプロイトがクライアントを乗っ取れるようになる手前で、エクスプロイトをブロックする。そして数多くの製品では、もしエクスプロイトが検知されなかったとしても、エクスプロイトが首尾よく実行されるのを回避する手段も持ち合わせている。

4. ネットワーク(クラウド)のレピュテーションの問い合わせ

 サーバのバックエンドから、ファイルやファイル・パターンのレピュテーションについて問い合わせを行う。これは、従来のアンチウイルスを置き換えるはずだと、多くの人が議論している部分だ。しかし実際には、我々の武器庫の中では、ツールの1つとしてすでに採用している。したがって、これは既存のアンチウイルスの置き換えとはならなかったが、むしろ拡張を行った。

5. サンドボックスとファイルベースのヒューリスティック

 エクスプロイトが実行される機会を得る前に、投下された新しいエクスプロイトやペイロードを捕捉する。

6. 従来型のファイル・スキャン

 これは、多くの人々が「アンチウイルス」を語る際に念頭に置いている部分だ。保護の観点では、おそらくこれは15〜20%ほどをカバーする。

7. メモリ・スキャン

 これはディスクには決して載らないマルウェアや、サンドボックス内や静的なアンパックでは操作できないような、パッカーを迂回するマルウェアを検知する。

8. 実行時のヒューリスティックとメモリ・スキャン

 現在の最終防衛ラインで、疑わしかったり悪意のある類の振る舞いを行うファイルを捕捉する。

 様々な技術の詳細を掘り下げていない点について謝罪する。しかしそうすると、なぜ各階層が必要なのか、またどのように動作するのかについて、詳細説明が長くなりすぎてしまう。だがとにかくポイントは、ある脅威がスキャナによって検知されなかったとしても、実際の攻撃のケースでブロックされないことを意味するわけではない。

 実際に動作しているセキュリティは、複数の防護階層に基づいている。そして我々を大いに楽しませてくれるのは、アンチウイルスは役立たずだと主張する人は、たいてい上に挙げた技術を新たなソリューションとして勧めてくることだ。いや、我々はすでにそれを行っているのだ。そして推奨されるものだけでは、完全なソリューションではないので、さらに他の階層も必要としているのだ。

パターン3:ブラックリストはアホだ。ホワイトリストを使うべきだ。

 ホワイトリストが実現可能な選択肢なら、我々がすでに活用していると、本当に考えなかったのだろうか?いや実際には、ホワイトリストを用いているのだが、パフォーマンスの向上と誤報の回避のみを目的としている。

 ホワイトリストの問題点は実行可能なファイルしか扱えない点で、そのため最初の段階でシステムが感染することを避けられず、また攻撃がメモリ内でのみ行われる場合には、ホワイトリストのチェック対象が存在しないのだ。さらに、クリーンなドキュメントやWebサイトのコンテンツについて1つ1つホワイトリストを構築することは不可能なので、ドキュメントやWebサイトのエイクスプロイトに対しては、ホワイトリストは機能しない。

パターン4:アンチウイルスはデスクトップではなくネット上に置かれるべきだ。

 すべてのセキュリティをどこかのサーバにオフロードし、アンチウイルスが占有するリソースについて気にしなくてよくなったら、どんなに良いかしれない。しかし残念ながら、コンピュータがモバイルであるという事実のために実現不可能なのだ。

 常にオフィス・ネットワーク以外のどこにも接続されない静的なデスクトップ機については、理論的にはネットワーク・レベルですべてのセキュリティをまかなうことができる。しかし現実には、大半のコンピュータはラップトップで、いつでもあちこちのネットワークへ接続され、不変のままなのはデバイスにインストールされたものだけだ。

 また、純粋なネットワーク・ベースのアンチウイルスは、USBや他のメディアによるマルウェアについて何の防護にもならない。

 クライアント側が非常に軽量な、純粋な「クラウド」アンチウイルスを使っている人ももちろんいる。しかし防護技術の一部を落としているので、より低い防護しか得られない。

パターン5:しかしサーバにこんなに大量のデータがあるのだが、マルウェアが通過していくのを見た。

 これには2つの理由がある。

 まず第1に、見たのは、一部の攻撃が通り過ぎるところだ。我々は100%の防護を行うと主張しておらず、またそうすべきではない。攻撃の大半を食い止めることができるだけだ。個々の製品がどれほど優れているかについては、実際の製品を用いた試験から確認できる。どれも100%の防護権を常に得てはいない。したがって、通過する攻撃は常に存在する。

 第2に、多数の企業は、ネットワーク・クエリをアンチウイルス・サーバに返すことを禁止することで、アンチウイルス製品を骨抜きにしてしまう。そして、これは企業が防護セット全体の中の第1〜4の階層をあきらめ、全ての技術の使用が許可されていたのならあったはずの防護より、低いものとなってしまうことを意味する。

パターン6:私が見たマルウェアうち、アンチウイルスは98〜100%を見逃した。

 おや、アンチウイルスが看過したマルウェアについて、そのアンチウイルスは100%見過ごす、というのは一種自明である。

 あなたが見たものは、あなたやあなたの顧客が用いている任意の製品による防護を潜り抜けてこれた部分だ。

 そして、もし我々に連絡をして、その攻撃について知っていることをすべて教えてくれたら、我々は深く感謝する。悪意のあるファイル単独では、ファイルのスキャンや振る舞いのヒューリスティックを開発するのに足る概念を抱くのに十分ではないのだ。

パターン7:アンチウイルスはAPT攻撃には無力だ。

 APT攻撃はブロックをするのが難しく、これまでに誰も完璧な解決策を得ていない。また持ち得る防護策に対して攻撃者は適応してくるので、今後も決して得られないだろう。アンチウイルスは高度な攻撃に対する重要な一階層ではあるが、単独では十分ではない。

 しかしまた一方で、アンチウイルスなしでは高度な攻撃と、現在保護されている残りの攻撃について心配をせざるを得なくなる。つまりアンチウイルスを使わなくすることを推奨し、攻撃面をさらに増やすことで、何の役に立つのだろうか?

 あなたの防護は完全ではないから、排除すべきだという人には、注意が必要だ。

では。
@jarnomn

ブラックホールよりクール?

 エクスプロイトキットはまだ広がり続けており、特に変わりはない。ただ、有名なBlackholeエクスプロイトキットに加えて、Coolエクスプロイトキットと呼ばれる新顔が現われた。 

 この2つが、実際にお互いどんな風にやって行くのかは、興味があるところだ。

 最近、Blackholeは最新のPluginDetectバージョン0.7.9に更新されたことがわかっているが、これはCoolでは既に使われている。

Blackhole plugin

 フォント脆弱性 (CVE-2011-3402) をBlackholeが攻撃していることも知られているが、これもCoolが攻撃してきた。

Blackhole font

 また、Blackholeは現在Java脆弱性 CVE-2012-5076も攻撃しているようだが、これもCoolにより攻撃されてきたものの1つだ。さらには、Blackholeはバージョン1でしたように、もう一度Flashエクスプロイトを提供している。

Blackhole vercheck

 もちろん、Coolも同じプラグインで似たようなチェックを実行しているし、同じ脆弱性を攻撃しているので、後れを取りたくないと思っているだろう。

Cool vercheck

 我々が思っているだけかもしれないが、この2つのキットのバージョンチェックは非常に似ている。我々がCoolのFlashエクスプロイトを調べたところ、Blackholeバージョン1に見られたものと同じFlashファイル名に気付かざるを得ず、どうやら偶然同じFlash脆弱性 (CVE-2011-0559, CVE-2011-2110, CVE-2011-0611) を攻撃するようだ。

Cool Flash

 それだけでは済まないらしく、ほかの機能も結構よく似ている。

Blackhole:
Blackhole getcn

Cool:
Cool getcn

 という訳で、Coolは本当により優れているのだろうか?これらの「違い」を全部考えても、CoolとBlackholeは少し関連があるというレベルではない。このことに気付いたのは我々だけではなく、@kafeineもその投稿の中で両方のキットの作者が同じである可能性は高いと言及している。

Post by — Karmina および @TimoHirvonen

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード