エフセキュアブログ

by:カルミナ・アキノ

TeslaCryptの要約

 2年前、ランサムウェアについての一連のブログ記事を公開した折には、活発なランサムウェア・ファミリーは一握りしかなかった。しかしながら今年は、ランサムウェアがサイバー犯罪者達を熱狂させる最新の流行マルウェアとなった。

 そのため、我々は当社の若きTET(訳注:後述)の生徒Miroに、ランサムウェアの歴史、とりわけTeslaCryptの歴史についての短いレッスンを受けさせようと考えた。なぜならTeslaCryptは、いまだに流行っている、比較的「古い」ランサムウェアの1つだからだ。

 以下は、その彼の研究結果だ。


 TeslaCryptはランサムウェア・ファミリーに分類される。ランサムウェアが被害者のコンピュータに侵入すると、被害者のファイルを暗号化する。サイバー犯罪者たちが求めるもの、つまり金を得るまでは、暗号化したファイルはそのままだ。

 TeslaCryptは支払い方法としてBitcoinに加え、初めてPayPal My Cash Cardを追加したものの1つだ。

 TeslaCryptは通常のドキュメントや画像のファイルを暗号化するだけでなく、ビデオゲーム関連のファイルも標的にすることで知られるようになった。とりわけCall of Duty、Minecraft、League of Legends、Steamに関連付けられたファイルだ。

 これまでのところ、TeslaCryptには4つのバージョンがある。2015年2月に最初に発見され、最新のものは2016年3月に特定された。

 最初のバージョンでは、RSA-2048を用いていると称していたが、実際には暗号化方式としてAESを使用していた。暗号化されたファイルの名前には、.ECCという拡張子が付けられた。

Your presonal files are encrypted!

What happened to your files?

 TeslaCryptの2つ目のバージョン、つまりTeslaCrypt 2.0は、2015年7月辺りに出現した。同バージョンでもやはりAESを用いているのにも関わらず、RSA-2048のアルゴリズムを採用していると主張していた。暗号化されたファイルの拡張子は変更され、たとえば.VVVや.ABCといったものになった。身代金の要求も変わった。HTMLページ、テキストファイル、壁紙またはフォトギャラリー中の画像の3つの異なるフォーマットで提示される。この2つのバージョン間の違いは、文章だけでなく脅迫メッセージの外観に見て取れる。読みやすくするために、タイトルと章が追加された。新たな身代金の要求では、支払いまでの残り時間のカウントダウンも削除された。

TeslaCrypt 2 - What happened to your files?

 TeslaCrypt 3.0は2016年1月に発見された。TeslaCrypt 3.0では暗号化にRSA-4096を用いていると主張しているが、やはり依然としてAESを使用している。しかしながら、このバージョンでは暗号キー交換アルゴリズムは異なるものを使用しており、暗号を破るのが一層困難になっている。このバージョンでのもう1つの違いは、暗号化されたファイルの拡張子に.MP3、.XXX、.TTT、.MICROが使用される点だ。HTMLの脅迫メッセージはTeslaCrypt 2.0と同じだが、テキストファイルのフォーマットが以下のように多少変更になった。バージョン3.0ではGoogle Translateへのリンクが含まれており、「What does this mean」という行が削除された。

TeslaCrypt 3 - What happened to your files?

 TeslaCrypt 4.0はTeslaCryptランサムウェア・ファミリーの最新版だ。これは2016年3月前後に初お目見えした。同バージョンとそれ以前のバージョンとの最大の違いの1つは、4.0では暗号化されたファイルの拡張子に.VVVや.MP3といったものを使わないことだ。また、以前のバージョンでは、4GBを超えるファイルを暗号化する際に破損してしまうというバグがあった。最新バージョンではこのバクは修正されている。被害者のコンピュータに関するさらなる情報を探ろうと試み、犯罪者のネットワークへ情報を送信することもする。

 TeslaCrypt 4.0もやはり暗号化にRSA-4096を用いていると主張しているが、依然としてAESを使用している。身代金の要求の外観には変化はないが、TeslaCrypt 4.0と3.0で中に書かれた文章には相当な数の違いがある。たとえば3.0では「What happened to your files」と書かれているが、4.0では「What’s the matter with your file」だ。TeslaCrypt 4.0ではまた、バージョン2.0から「What does this mean」という行を戻している。

TeslaCrypt 4 - What's the matter with your files?

その他の情報源:


記述および調査:Miro Ikaheimonen


 著者によるメモ:私はフィンランドのヘルシンキにいる中学生で14歳です。エフセキュア社で5日間のTET(Tyoelamaan tutustuminen、訳注:フィンランドのインターンシップ制度)プログラムを行っている最中です。なぜ、エフセキュアを選択したのでしょうか?通信技術に興味があったのと、学校のプロジェクトでミッコ・ヒッポネンにインタビューする機会もあり、エフセキュアのマルウェアとの戦いに興味を抱くようになったためです。ここでは楽しい時間を持ち、マルウェアについての新しい内容をたくさん、特にランサムウェアとそれと戦うことについて学びました。

Miro

Anglerを送りつけるSkype経由のマルバタイジング

 最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。

 広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。

Skype Ad

Skype Call Ad
Skypeの広告

 昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。

Spike

URLs

 当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。

http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com
    led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php
http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com
    led to http://staraly1savage.bendovr.com/forums/viewtopic.php

 ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムセキュリティニュースでSkypeのシナリオについて報告がなされている。

 今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。

 もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。

  • ユーザがebay.itを訪れる
  • ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
  • doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
  • adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
  • Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする

 TeslaCryptに感染したマシンには、以下のメッセージが表示される。

TeslaCrypt

 adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.comgsn.comzam.comwikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。

 今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

税金還付のフィッシングが観測される

 フィンランドで税金が還付される時期として必ずしもふさわしくはないが、しかしそれが気の短いフィッシャーの行為を思いとどまらせることはなかった。本日これまでに、Vero(フィンランド語で税の意。VERO SKATTは税務署)の還付を装ったメールが出回りつつあることについて、情報を受け取った。



 当該ページにあるリンク先を訪れると、以下のような見た目のページに行きつく。



 このページには入力フィールドがあり、もちろんユーザはすべて入力する必要がある。還付を受けるためではなく、クレジットカード番号や個人情報を渡すために。

 皆さん、このメールを削除しよう。これは税務署からではない。


-- Post by Christine

スパムの過剰摂取がFareit、Zeus、Cryptolockerを呼び込む

 ここ2日の間、忙しくしている人がいる…。我々はスパムトラップにて、同一のサブジェクトと添付ファイルがあるスパムが、大幅に急増しているのを目にしてきた。

emails (40k image)



emailstats (28k image)



 添付ファイルにはたいてい以下の名前が付けられている。

attachname (11k image)

 バイナリの添付ファイルは頻繁にFareitと見なされており脅威だ。FareitはインストールされているFTPクライアントや暗号通貨の財布から信用情報やアカウント情報を盗んだり、ブラウザに保管されたパスワードを盗むことで知られている。

 今回のスパムで送られた2つのサンプルでは、情報を送信するために以下に接続していることを確認した。
• networksecurityx.hopto.org
• 188.167.38.131
• 94.136.131.2
• 66.241.103.146
• 37.9.50.200

 データ窃盗に加え、これらのサンプルは以下からZeus P2Pなど他のマルウェアをダウンロードする。
• ip-97-*.net/zA6.exe
• 119*4/fF3krry.exe
• rot*.com/124Tzh.exe
• ww*ng.net/bpuMp.exe
• dev*.com/1mHifVu.exe
• surfa*.com/DJm.exe
• kl*.com/Q4EzT.exe

 システムにインストールされる他のマルウェアとして確認できたのは、Cryptolockerだ。

btc (182k image)



 スパムの過剰摂取が明らかにマルウェアの過剰摂取を招いている。

 当該サンプルはTrojan.Pws.TepferおよびTrojan.GenericKDのバリアントとして検出される。

最高に終わっているBlackhole

 インターネットユーザに対してエクスプロイトキットの影響を論じるとき、Blackholeエクスプロイトキットは常に好例であった。我々はかねてより、Blackholeがいかに迅速に新たな脆弱性をサポートするか、どのようにCoolと関連していたのか、そして当社のテレメトリデータの中で普及率が1位であったことをブログの記事で述べてきた。BlackholeとCoolについては、ほぼ常に当社の脅威レポートで特別に言及していた。したがって、これから述べる話題について、当社がどれほど緊密に追跡していたか、簡単に想像できるだろう。

 今週の早い段階でMaarten Boone氏が、BlackholeとCoolの背後にいる首謀者Paunchの結末について、画期的なニュースをツイートした。詳細については提示されていないが、Paunchがロシアで逮捕されたことが確認された。

 このニュースに伴い、我々はもう一度テレメトリーデータを参照することにした。以下のグラフでは、BlackholeやCoolがランキングのトップから、取るにならなくなるまで落ち込んでいることを示している。

ek_hits_2013 (91k image)



bh_cool_2013 (89k image)



bh_cool_oct (26k image)


 得られる限り劇的なグラフだ。Paunchの発案物Blackholeは、エクスプロイトキットのグラフで支配的だったところから、主人の逮捕と共に徐々にシェアを失っている。

 それで、将来はどのようになるのだろうか?世間の種々のエクスプロイトキットの中で、数的に廃れていくだろうか?別のエクスプロイトキットが持ち上がり、Blackholeの位置づけに取って替わるだろうか?あるいは新しいエクスプロイトキットが登場し、市場を奪うだろうか?我々は推測することしかできない。しかしそれでも我々が望みを持っていることが1つある。他のエクスプロイトキットの作者たちも、無敵な2〜3年間を楽しめるかもしれないが、遠くまで延びる法の手によって限界があることを感じ取るだろう。

FlashエクスプロイトがウイグルのWebサイトを標的に

 ウイグルに対する攻撃はまだ止んでいないようだ。我々は近頃、侵害されたウイグルのWebサイトに遭遇した。そこでは、CVE-2013-0634の脆弱性を突く悪意のあるFlashが再生される。

site (472k image)

 このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。

hiew (75k image)

 また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。

cert (116k image)

 MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。

 こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。


関連のあるサンプル:

  •  977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
  •  82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
  •  040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
  •  35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
  •  ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF

Post by — Karmina and @Timo







世の中でのエクスプロイト・キットの分布状況

 どのエクスプロイト・キットがもっとも普及しているか、疑問に思ったことはないだろうか?

 ここ数か月間、当社で特定したエクスプロイト・キットを追跡してきた。パイの1番大きなピースを何が占めるのか、興味がわく。

exploit_kit_chart (72k image)

 たった3つのエクスプロイト・キットBlackhole、Sweet Orange、Coolで56%をカバーしている。

 Blackholeはほぼ3年に渡って存在するキットで、いまだにエクスプロイト・キットの占有率として1番目の27%と、強力な存在感を示している。Sweet Orangeが18%、Coolが11%で後に続く。

Blackhole:パッチのスピードよりも高速

  ショーンが記事に書いた最近のゼロデイエクスプロイトに対し、Javaがパッチをリリースするより前に、Blackholeがアップデートでこの状況に入り込んだ。新たなゼロデイエクスプロイト(CVE-2012-4681)に関し、ユーザは最新のBHで利用できるエクスプロイトキットが入手できる。

  これが実際、Blackholeのセールスを加速させるのかどうかは分からない。

  作者たちはもはや、新しい名前を考える暇もない程急いでいるようだ:

code_comp (164k image)

code_comp2 (15k image)

  これに対する最新のパッチは無いため、唯一のソリューションはJavaを完全に停止することだ。これは最も上出来なエクスプロイトキット+ゼロデイであるため…嫌なことだ。あなたのコンピュータのため、ブラウザでJavaをオフにして欲しい。

  JarはExploit:W32/CVE-2012-4681.A(sha1: 15fde2d50fc5436aa73f3fd6b065f490259a30fd)として検出されている。

Post by:
Karmina and Timo



バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード