エフセキュアブログ

ウィルス を含む記事

ハッキングされたLockyホストからの公共広告ペイロード

 今月初め、 Avira社の研究者が暗号化ランサムウェアLockyの配布ネットワークを発見した。あるグレーハットのハッカーによりハッキングされていたものだ。あたかもLockyを邪魔するための行動のように、そのハッカーはペイロードを12バイトのテキストファイルに置き換えた。テキストの中身は「Stupid Locky」というメッセージだった。

 当社スレットインテリジェンスチームの研究員Paiviが本日、同様のグレーハットによるハッキングの証拠を発見したが…、メッセージが新しくなっていた。

Locky Payload Replaced - HTTP Capture

 PaiviがテストしたJScript(.js)の添付ファイルは、公共広告を試みる、このようなものを出現させた。

Locky Payload Replaced

 Emails attachment?このグレーハットは、英語を第2言語として用いているような感じがする。しかしこれはいい。公共広告における、初のまともな試みだ。ただ、これの関係者の方へ一言アドバイスを…。

 できたらバイオハザード記号をピースサインのような別のものへと置き換えられないだろうか。パニックは、長期的に人々を啓蒙する助けとはならない。バイオハザード記号を目にすると、ただ単に対象者の注意を引くというよりは、むしろパニックを誘発しそうだ。

 そして、いかに多くの人が「malicious file(悪意のあるファイル)」とは何かということを理解していないことに、あなた(訳注:前述の関係者)は驚くかもしれない。できれば次のような内容で検討してほしい。

 コンピュータウィルスをクリックしたために、あなたはこのメッセージを読むことになりました。しかし私(あるいは私たち?)がハッキングしたため、あなたがハッキングされることはありません。次回はこのように幸運ではないかもしれません。 今後はもっとお気を付けください。

スキャンエンジンの現状はどうなってる?

 当社のスキャンエンジンはいかに動作するのか。シグニチャエンジンや他の種類のスキャンエンジンとの違いは何か。人々(技術ジャーナリストや製品レビューを行う人など)が頻繁にこのような質問を我々に投げかける。実際に、そうした質問を先週尋ねられたばかりだ。それなら、この話題について、深く掘り下げようではないか…。

 シグニチャベースのスキャンとは、対象のファイルを判定すべく、ファイル全体のハッシュやファイルの一部のハッシュ群をリストやデータベースに照らし合わせる動作を指す。1980年代、アンチウィルスはおおよそここから始まった。1990年代初頭に多様なマルウェアが出現し、シグニチャベースの手法からより複雑なファイルスキャンエンジンへの進化に拍車をかける触媒となった。

Brain. On a floppy.
1980年代における、新たなサンプルを受け取る方法

 エンドポイントの保護ソリューションには、ファイルスキャンエンジンが含まれる。しかし実際にはファイルのスキャンだけを行っているわけではない。メモリの断片やネットワークストリームといった、あらゆる種類の入力バッファがあればスキャンする。

 ファイルスキャンエンジンは非常に洗練されてきている。アーカイブをトラバースする仕組みを持ち、複数のファイルフォーマットを解析し、静的および動的な解凍や逆アセンブリを行い、スクリプトと実行形式のファイルの双方の実行をエミュレートする。現在の検知は実際のところでは複雑なコンピュータプログラムに過ぎず、クライアント上で直接的に複雑なサンプルの分析を行うように設計されている。最近の検知では、数千の、いや数十万のサンプルを捕捉するように設計されている。かつての日々の、サンプルごとにハッシュ1件というアプローチとは程遠い。

 ご想像のとおり、洗練された検知を構築するには時間を要する。最終的に顧客にリリースするまでに、アナリストはサンプルを収集して精査し、コードを書き、テストを行わなければならない。一方で、かなりシンプルなシグニチャベースの検知は、自動的に簡単に生成することが可能だ。新たなサンプルがやってくると、一連の静的および動的な分析ツールやルールエンジンにかけられる。判定をすばやく配信するためだ。

 それゆえに、新たな脅威が出現した場合、アナリストが適切な検知コードを書く作業を行っている間に、バックエンドの自動ツールが作動し、早期にサンプルをカバーする。今日ではソフトウェアが迅速かつ簡単にインターネット経由でハッシュを参照できるため、こうしたシンプルな検知はローカルのデータベースの更新の一部として配信されることさえない。このクラウド参照メカニズムは、脅威がいつ出現するかに関わらず、出現した脅威から非常に迅速に顧客を保護できるようなるという点でメリットがある。

しかし話はこれで終わらない

 最近のすべてのエンドポイント保護ソリューションでは、複数のメカニズムを用いて、顧客を継続的に保護する。今日のエンドポイント保護がどのように作用するかについて、以下に非常に簡単な概観を示す。

  1. URLのブロック。エクスプロイトキットや他の悪意あるコンテンツを保有するサイトにユーザが晒されないようにすれば、さらなる保護手段の必要性がなくなる。当社では、この大部分をURLおよびIPのレピュテーションクラウドへの問い合わせで実現している。スパムメールのブロックや、メールフィルタリングもここで行われている。
  2. エクスプロイトの検知。エクスプロイトキットを保有するサイトにユーザがどうにかして訪れた上に、脆弱性のあるソフトウェアを実行しているのなら、脆弱なソフトウェアを悪用しようとする試みは、当社のビヘイビア監視エンジンによってブロックされる。
  3. ネットワークスキャンとアクセス時のスキャン。ユーザがメール経由またはダウンロードで悪意あるファイルを受け取ったら、ネットワーク上で、またはディスク書き込み時にスキャンが行われる。ファイルに悪意があることが判明すると、ユーザのシステムから削除される(瞬時に、隔離するために)。
  4. ビヘイビアベースのブロック。仮にそうした悪意あるオブジェクトに対するファイルベースの検知が存在しないとしたら、ユーザは悪意あるドキュメントやスクリプトやプログラムを、開いたり実行するかもしれない。この時点で、悪意ある振る舞いは当社のビヘイビアエンジンによってブロックされ、またもやファイルが削除される。結局のところ、マルウェア配信メカニズムの大半はビヘイビアに基づき簡単にブロックされるのだ。ほとんどの場合、当社が新たな脅威を見つけたときには、それが用いているメカニズムに対応するロジックをすでに大昔に追加している。

 ディスクを研磨するかのように予定されたスキャンを夜実行する昔のアンチウィルスソフトウェアが、現在使われている最新世代のエンドポイント保護へと進化してきた。最新の脅威に対し、エンドポイントを保護する最善の方法の1つは、そもそも被害者と脅威が出会うのを回避することだ。これに失敗しても、複数方面からのアプローチを用いて攻撃の媒介をブロックすることで、その場で攻撃を阻止するための複数の機会があることになる。

 ファイルスキャンとは、「アンチウィルスベンダー」がエンドポイントの保護に用いている多数のメカニズムの中の1つに過ぎない。エクスプロイトの検知およびビヘイビアによるブロックの双方により、実際にあった攻撃の媒介からたびたび守ることができているため、わざわざ(たとえば静的なシグニチャなど)ファイルベースの検知を追加しないことも多い。そして覚えておいて頂きたい。1日の終わりに、常に我々は現実世界の脅威に対して当社の保護コンポーネントの試験を行っている。製品の個別の部分だけでなく、製品全体を用いてだ。

パフォーマンス上のクリティカルパス

 人々が信じていることとは違って、我々はこのラボでリバースエンジニアリングとマルウェアの分析だけを行っているのではない。それどころか、おそらくはコードを分析する人よりも書く人のほうが多くいる職場だ。当社では今まで、作業についてはほとんどブログで取り上げてこなかったが、これを変えたいと思っている。この取り組みを開始するために、当社のWindows保護コンポーネントの開発者たちの生活をちらっとお見せしたいと思う。

 我々は、ある変更作業をちょうど終えたところだ。当社のソフトウェアを実行しているWindows 10システムの起動時間に改良を加え、また選択したWindowsアプリケーションの開始時間に良い影響を与えるものだ。これら改良点はローエンドのシステムで特に顕著になる。これを行う過程で、RAMがわずか1 GBしかない32ビットWindows 10機で、当社のSAFE製品が快適に動作するようにこぎつけた。スペックを考えると悪くない。

Low-end tablet
SAFEはこのちっぽけな機器でなかなか快適に動く

 あらゆるコードやロジックの変更、当社のコンポーネントに加える機能のすべてが当社製品のパフォーマンスに影響を与える可能性がある。したがって膨大なパフォーマンステストを実施していることは言うまでもない。顧客にリリースする前に、すべてのデータベースのパフォーマンスを確認している。社内に24時間毎日稼働する大掛かりな自動パフォーマンステストシステムを保有している。これは当社の全製品の内部・ベータ・プロダクションのそれぞれのビルドに対し、Windowsのさまざまなバージョンで使われるものだ。また外部のアンチウィルス製品のテスト企業によって発表されるパフォーマンス結果の情報も綿密に追っている。

 当社では、数多くのシナリオの下でソフトウェアをプロファイルする時間を頻繁に確保している。シナリオは自社で定義したものもあれば、Windows Assessment Kitで規定されたものもある。我々はテストを実施し、可能な限りすべてのメトリクスを収集してから、Windows Performance AnalyzerやWindbgで出力データの調査を行う。時折このデータをすべて掘り下げることで、除去することで最適化可能なボトルネックに到達する。

Jose's performance testing setup.
最先端の分析技術 + 古風な電話機 == 成功

 当社の振る舞い分析エンジンDeepGuardでは、最近の最適化を相当数見ることができる。我々が適用した大きな変更の1つは、ハッシュ計算を扱うために使用するコードのリファクタリングだ。Intel VTuneを用いて、我々は既存のハッシュアルゴリズムを分析し、CPUパイプライン内で失速する部分を探した。発見に基づき、こうした計算を実行するアセンブリコードの再調整を行い、使用されるCPUサイクル数の大幅な削減につながった。以下のスクリーンショットで確認できるとおり、今回の変更により我々は相当なパフォーマンス向上をなんとか絞り出した。

CPU benchmarking tool
アセンブリコードを書きたいなら、この仕事は気に入るだろう

 パフォーマンスの向上は、当社が繰り返し追及していることだ。当社で常に取り組んでいる点を、以下に挙げる。

ホワイトリストの改良

 クラウド内を検索したり、スキャンエンジンにかけたり、クライアントサイドの分析コンポーネントを通じて実行したりする必要がなければ、どのファイルもユーザエクスペリエンスの向上につながる。アプリケーションの起動が早まったり、ファイル操作が早まったり、ブラウジング体験が向上したり、だ。

古く重複する検知の除去

 当社の検知の大半は合理的であり、数千のサンプルにヒットするように設計されている。当社で新たにより良く検知するように開発する際に、より古い検知が持つのと同じサンプルを新バージョンで捕捉するのを発見することがある。このような場合には、古い検知を削除することで、パフォーマンスの小さな改善が得られる。OSとソフトウェアは古い攻撃に対するパッチが当てられているので、マルウェア作者は犠牲者を感染させるための新たな方法を探らねばならない。最終的には絶滅するマルウェアもある。このような場合には、それに応じて検知を削除する。

バグの発見と修正

 バグのないコードは無い。いつも変わらず、バグを見つけては修正している。かつては捉えられなかったバクを特定する新たな方法を定期的に発見しており、顧客ベース全体でのクラッシュについてうまく可視化するシステムを保有している。時折、パフォーマンスに打撃を与えるようなバクを発見し、修正することがある。この瞬間はいつでもお祝いだ。

クリティカルパスの最適化

 スキャンするロジックは複雑で、年がら年中ロジックを変更して、顧客の問題を解決したり、新製品の機能をサポートしたり、OSに対する変更をサポートしたり、あるいは使用されない機能を外したりしている。ほぼ常にスキャンのロジックについて作業している。その間、効率化する方法を模索している。

 エンジニアリングの面でラボにて起こっていることの小さな断片を覗くのが興味深いものであったら良いのだが。

 では。
 Andy

 (訳注:アンケートフォームは原文の記事へ)

The Malware Museum @ Internet Archive

 以下は、5.25インチフロッピーディスクの時代にウィルスのサンプルを提出した様子だ。

I sent you this diskette to give you infected or suspicious files for analyzing.
Constantine、ありがとう

 そして現在The Malware Museumにて、古典的なウィルスが動作するさまを確認することができる。

 (訳注:「ブラウザ上のMS-DOSの仮想マシンで、古いマルウェアのエミュレートしたいかも、って?いや、もちろんやるよね。」という意味)

 Jason Scottに賞賛を!

 以下はWalkerというウィルスだ。

 (訳注:「しまった!私のコンピュータがWalkerに感染したか?いやいや、The Malware Museumを訪れたのだ。」という意味)

 「ANY KEY TO PLAY」

 (訳注:「the Malware Museumでディスク破壊ゲームを楽しめる。」という意味)

25年間に及ぶウィルスとの戦いでミッコ・ヒッポネンが学んだ5つのこと



エフセキュアCRO(セキュリティ研究所主席研究員) ミッコ・ヒッポネン は、今週月曜日に、 Triangulationのホスト役を務める著名なテクノロジージャーナリストのレオ・ラポルテ氏とビデオチャットを行いました。

ラポルテ氏は20年以上前からミッコとエフセキュアの取り組みを高く評価していますが、IT業界の著名人同士が対談するのは今回が初めてのこととなります。今回のインタビューでは、ミッコの四半世紀近くに及ぶエフセキュアでの取り組みが取り上げられました。ミッコは1991年にプログラマーとして、エフセキュアの前身であるデータフェローズに入社しました。

インタビューは以下でご覧いただくか、 こちらから音声ファイルをダウンロードしていただけます。



お時間の許す方はインタビューを最後までご覧いただければ幸いですが、ミッコのエフセキュアでの四半世紀の足跡を簡単にご紹介するため、下記にデジタル時代のセキュリティ脅威との戦いからミッコが学んだ興味深い事柄を挙げていきます。

1. エフセキュア入社前のミッコは、フォークリフトの運転手でした。この仕事は、世界的に有名なウィルスハンターになるよりも、大きな利点が1つだけありました。

フォークリフトの運転手時代は、その日の仕事が終われば仕事のことは何も考えなくて済みました。インタビューでミッコは、何億台ものコンピュータを保護するエフセキュアのCRO(セキュリティ研究所主席研究員)になると、そのような贅沢は許されないと述べています。

2. 初期のマルウェア作成者は、その後興味深い仕事に就いています。

ミッコはラポルテ氏にパキスタンへの旅行について語っています。その旅行の目的は、25年以上前に最初のコンピュータウィルスを作成した2人の兄弟に会うことでした(詳細については以下でご覧いただけます)。パキスタン人兄弟バシト・F・アルビ(Basit Farooq Alvi)とアムジャド・F・アルビ(Amjad Farooq Alvi)がウィルスを作成した動機は、著作権侵害の防止という、2人にとって正当な目的のためでした。現在この兄弟は、もう1人の兄弟とともに 電気通信事業で成功を収めています。また、最初のコンピュータワームであるモリスワームの作成者ロバート・T・モリス(Robert Tappan Morris)は、現在マサチューセッツ工科大学(MIT)コンピュータサイエンス学部の教員を務め、ITベンチャーの育成支援で有名な Yコンビネーターのパートナーでもあります。




3. ミッコが考える最優先のセキュリティ対策は「バックアップ」。

「コンピュータ、iPad、そして携帯電話のバックアップをしておけば、どのような事態に見舞われてもアクセス可能です」とミッコは述べています。

4. マルウェア攻撃は桁違いに大規模。

エフセキュアラボは毎日約35万件のマルウェアサンプルを受け取っています。「エフセキュアでは、これらマルウェアサンプルに基づいて、1日につき1万件から多い時で2万件ものマルウェアを検知しています」

5. AndroidとiOSは制約が多いため、モバイル機器のマルウェア問題は中国以外では深刻化しない。

「これは、たとえプログラマーであっても、手持ちのiPadに勝手に自作プログラムを組み込むことができないためです」とミッコは述べています。Google PlayやApp Storeに自作アプリを出すには、それぞれGoogle社、Apple社の承認が必要です。このモデルはPlayStationやXboxのエコシステムと比較して、セキュリティの観点からは優れているものの、マイナス面もある点をミッコは指摘し、次のように述べています。「このような閉鎖的な環境では、ユーザがプログラム作成者から単なる消費者になってしまっていることが残念だと思います」

ミッコはインタビューの締めくくりに、エフセキュアのプライバシー・ポリシーについて述べています。「エフセキュアは、製品販売において従来からの方針を貫いており、エフセキュアの製品をご購入いただいたお客様の個人情報保護に努めています」

それでは。
サンドラ

追伸:今週ミッコはEstonian Information Technology College(エストニア情報技術大学)でも公開講演を行いましたので、興味のある方はこちらもご覧ください。




>>原文へのリンク

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

ワッセナー・アレンジメントにおける定義の厄介さ

 (訳補:通常兵器や関連品の)輸出管理体制に関する多国間の申し合わせであるワッセナー・アレンジメントでは、「侵入ソフトウェア」の定義を、コンピュータやネットワーク機能のあるデバイス上で、監視ツールによる検知を回避したり防護手段を打破する目的で、特別に設計または修正されたソフトウェアのこととしている。侵入ソフトウェアは、次のような目的で使用される。データや情報の抽出、システムデータやユーザデータの変更、外部から与えられる命令を実行可能にするためのプログラムやプロセスの標準的な実行経路の変更などだ。

 ワッセナー・アレンジメントでは、監視ツールとはデバイス上で実行されているシステムの振る舞いやプロセスを監視するソフトウェアまたはハードウェア機器だと述べている。これにはアンチウィルス製品、エンドポイントセキュリティ製品、PSP(Personal Security Product)、IDS(Intrusion Detection System、侵入検知システム)、IPS(Intrusion Prevention System、侵入回避システム)、そしてファイアウォールが含まれる。

Wassenaar Arrangement definitions
ソース


 つまり…、当社エフセキュア(やアンチウィルス業界)で「マルウェア」と呼んでいるものは、ワッセナー・アレンジメントの侵入ソフトウェアの定義にぴたりと当てはまるようだ。

 このことが、なぜ興味深いのか?

 米国商務省の1機関である産業安全保障局は、侵入ソフトウェアの輸出について免許を要求するように、規則を更新する提議を行っている。

 また商務省によれば、「輸出品」とは米国から国外の目的地へ送付される「いかなる」品目も指すとのことだ。「品目」には何よりソフトウェアやテクノロジーが含まれる。

パラドックス

 となると…、もしマルウェアが侵入ソフトウェアであり、輸出品にいかなる品目も含まれるなら、米国を拠点とする顧客が欧州のアンチウィルスベンダーにマルウェアのサンプルを提供するには、具体的にどのようにしたらいいのだろうか?真面目な話、顧客はゼロデイ攻撃を行うマルウェアを当社にひっきりなしに送信してくる。世界中の信頼のおけるアンチウィルスベンダーと日常的に交換しているサンプルについても、言わずもがなだ。

予期せぬ結果

 産業安全保障局による提議の関連資料では、次のように記載されている。「ハッキング」ツールを制限しようとするもののうち、侵入ソフトウェアを用いるペネトレーションテスト製品は範囲に含まれる。だが、この範囲から除外されるものについては一切言及がない。つまり産業安全保障局は、顧客がマルウェアのサンプルをアンチウィルスベンダーにアップロードするのを制限することを意図していないのかもしれないが、この新しい規則が採用され、恣意的に適用された場合には、効力を持つ。あるいは、法的にあいまいなまま人々が運用せざるを得なくするだけかもしれない。これが我々が望んでいることだろうか?

 産業安全保障局は7月20日まで意見を募っている

HackerStrip「Brain」

 「Hackerstrip is a comics website that publishes comics about hackers and their real life stories.(Hackerstripとは、ハッカーや彼らの実生活のストーリーについての漫画を公開するWebサイトだ)」

 Brain: Searching for the first PC virus in Pakistan(Brain:最初のPCウィルスを探し求めてパキスタンへ)

HackerStrip, Brain

 この話の続きはhackerstrip.comで読むことができる。元になった動画はここで視聴可能だ。

悪意あるDNSサーバがFareitを配信する

 昨年、当ブログにて、Fareitが大量のスパムメールで送られていることについて書いた

 2か月後、感染系統に別の手段が追加された。悪意あるDNSサーバを経由させるものだ。

 そのDNSサーバではFareitが使用する悪意あるサーバを指すように設定が書き換えられていて、無防備なユーザが一般的なWebサイトを訪れようとすると警告を出す。曰く「
WARNING! Your Flash Player may be out of date. Please update to continue.(警告。このFlash Playerは古い可能性があります。先に進むには更新してください)」だ。

_flash_update_chrome (2k image)

 「Flash Player Pro」のダウンロードページは、ユーザが訪れようとしていたWebサイトが提供しているように装っている。

_setupimg (90k image)

 「setup.exe」ファイルをダウンロードしても、実際にGoogleから何かバイナリを持ってくることはない。その代わり、ユーザは悪意のあるIPアドレスからFareitのコピーを得ることになる。Fareitはダウンローダ型のトロイの木馬で、情報を盗む。

_urls_1 (72k image)

 当社で把握している最近のサンプルでは、以下に接続してダウンロードする。
 • angryflo.ru
 • reggpower.su
 • 192.163.227.127

 悪意あるDNSサーバを経由したFareitへの感染は、主にポーランドからのものを当社では目にしている。

_map (91k image)

 今年の初めから、ユーザが次のIPアドレスにリダイレクトされるのを観察してきた。
 • 31.192.211.50
 • 85.25.213.208
 • 109.235.51.213
 • 108.62.115.162
 • 188.138.41.85

 一方、以下は悪意あるDNSサーバとして報告されたものの一部である。
 • 184.107.242.162
 • 184.107.232.162
 • 168.144.134.129

 あなたのDNSサーバの現在の設定について詳細を知りたいのであれば、ここで提供されている当社のベータツールを試してみることができる。

 もしあなたのDNSサーバの設定が侵害されていたら、以下の手順を試すことをお勧めする。
 • インターネットからルータを切断して、再設定をする
 • ルータ上のパスワードを変更する。とりわけ、デフォルトのパスワードのままの場合
 • ルータのリモート管理を無効にする
 • ルータを確認、更新して、最新のファームウェアを用いるようにする
 • デスクトップ機をリブートして、DNSキャッシュをクリアする
 • 信用できる最新のアンチウィルスプログラムでデスクトップ機をスキャンする

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

Powerpointの2つの脆弱性のお話

 脆弱性CVE-2014-4114の発表がなされてからすでに1週間が経過し、これを悪用する人の数は増える一方だ。

 メタデータが相変わらず同じファイルさえ存在するが、これは次のことを如実に示している。つまりMirtecとCueisfryの事例(日本人に関連するAPT攻撃とつながりのあるトロイの木馬)で見られたものからコピーされているのだ。これらのマルウェアの背後にいる作者たちは、元々BlackEnergyが使っていたPowerPointのドキュメントを複製し、ペイロードとコンテンツをオンライン上にある正規のものに置き換えただけだ。

file_properties (110k image)
順にBlackEnergy、Mirtec、Cueisfryのドキュメントのメタデータ

 そう、もし別のグループで勝つための方程式がすでに機能しているなら、もう一度、車輪を発明するようなことをする必要はない。つまり、パッチが当てられるまでだが。そしてこれは、台湾におけるあるAPT攻撃の背後にあると思われているマルウェアファミリー、Taleretを思い起こさせる。CVE-2014-4114にパッチが当てられた後、即興でやる必要性があり、それはそういうものとして、今度はTaleretはクリーンなPowerPointを捕まえて、脆弱性CVE-2014-6352を通じて、ペイロードを埋め込んで実行させようとする。この脆弱性はCVE-2014-4114から取り残されたものだ。

file_properties_update (49k image)

 マイクロソフト社はCVE-2014-4114のパッチは公開したが、CVE-2014-6352はいまだパッチがない。

 ただしfix itツールが、こちらに用意されている。

 悪意のあるPowerPointドキュメントで使われるコンテンツの大半は、インターネット上にある教育機関や研究機関の資料から調達されている。つまり、それと分離して語ることは非常に困難だ。

 以下に、クリーンなドキュメントと、その悪意ある片割れの双方の例を示す。

clean_malware (145k image)

 2つ目の脆弱性にまだパッチが存在しないうちは、どのドキュメントがクリーンでどのドキュメントが悪意のあるものか分からないのであれば、正しい発信元から受け取ったドキュメントか確認するとよい。あるいは、アンチウィルスのシグニチャを更新して、検知されるかどうかを確認できる。

product_scan (60k image)

ハッシュ:
8f31ed3775af80cf458f9c9dd4879c62d3ec21e5 - Mirtec - C&C: 116.212.127.20
66addf1d47b51c04a1d1675b751fbbfa5993a0f0 - Cueisfry - C&C: ms.privacyserve.org
488861f8485703c97a0f665dd7503c70868d4272 - Taleret - C&C: 70.88.151.213
e9020a3cff098269a0c878a58e7abb81c9702691
02b9123088b552b6a566fc319faef385bec46250
98841ea573426883fdc2dad5e50caacfe08c8489
7d0cecfad6afbe9c0707bf82a68fff44541a2235


Finnish Sprayerウィルス

 次のウィルスの分析は、Virus Bulletin誌上でちょうど20年前に発表したものだ。

Finnish Sprayer

Finnish Sprayer

 寛大にもVirus Bulletin Ltd.社から許可を頂き再掲する。

「ポリス・ランサムウェア」がAndroidのエコシステムに拡大

 クライムウェアでは、Windowsベースの技術がAndroidへと着実に移行している。フィッシング、偽のアンチウィルス詐欺、バンキング型トロイの木馬のコンポーネントと見てきたが、今では…ランサムウェアだ。

 そう。Android用の「ポリス・ランサムウェア」である。当社がこれに付けた名前はKolerだ。

main screen

 クライムウェアのエコシステムは、日常的に接触していたAndroidシステムを長い間、注目していた。ランサムウェアが飛躍を遂げようとしているのを目にするのは、実際のところ大きな驚きというわけではない。

 以下に当該ランサムウェアがどのように動作するのかを示す。

 ブービートラップが仕掛けられた(ポルノ)サイトをAndroid端末で訪れると、セキュリティ侵害が発生する。続いてマルウェアは動画プレイヤーを装って、インストールを求める。これは「enable unknown sources(未知のソース)」の設定がどのように指定されているかに依存する。

 インストールが完了すると、Kolerは電話機の個人情報をリモートサーバへ送信する。この後、不法なポルノサイトにアクセスしたことで電話機がロックされた旨を伝えるWebページをサーバが返す。ロックを解除するために、罰金を支払うように言われる(身代金)。

 Kolerはファイルを暗号化すると主張するが、実際には何も暗号化されない。

 以下のドメインは、Kolerのリモートサーバとしてハードコーディングされている。

  •  mobile-policeblock.com
  •  police-guard-mobile.com
  •  police-mobile-stop.com
  •  police-scan-mobile.com
  •  police-secure-mobile.com
  •  police-strong-mobile.com

 現時点で、Kolerのサーバ群はオフラインだ。Googleのキャッシュで1台のサーバのみ(職場閲覧注意の)コンテンツが見つかるが、マルウェアは削除されている。これらのサーバは米国にホストされている(いた)。whoisでは、電話番号などデンマークおよびロシアのコンタクト情報が出てくる。

 現在のところ、ローカライズした各国のバージョンが30か国以上で見つかっている。コンテンツはWindows版の「ポリス・ランサムウェア」から移植されており、モバイルブラウザ用に整形されている。

 Kolerを削除するには:

 このランサムウェアは戻るボタンを無効にしているが、ホームスクリーンボタンは有効だ。ユーザはたった数秒で、電話機の設定を削除したり、出荷時の設定に復旧したりできる。

 別の選択肢は、サービスメニューに戻り、そこからKolerを削除する方法だ。

 Kolerはまた、adb.exe経由でデバイスへアクセスするのを阻害する。シェルは起動できるが、ファイルの閲覧は許可されていない。

 詳細については、当社のTrojan:Android/Kolerの説明から得られる。

 Analysis by — Mikko Hyykoski

ユーザのプライバシーを保護しつつビッグデータの脅威分析を行う。

 アンチウィルス業界はここ4〜7年の間に大きく変化してきた。さかのぼること2008年辺りまでは当社も他の企業と同様に、シグニチャファイルやファイルのスキャンを非常に重視していた。そしてそれがスケールしないことが明らかになると、我々はより有用な攻撃パターンの検出へと移行した。さらに、攻撃が成功した結果ドロップされるファイルを検知しようとするよりも、最初の段階で感染を避けることに焦点を合わせ始めた。

 洗練された方法で物事を行うには、優れた可視化が必要だ。そのため、当社はビッグデータの取り扱いを開始しなければならない。重大な事実を述べなければなるまいが、どんな間抜けでも大量のデータを収集することはできるのだ。だから、ビッグデータを小さく理解可能な情報へ変換するところに技がある。しかしながら、データマイニングを行うため我々はユーザからデータを集めねばならず、これがプライバシーの観点から問題になり得る。当社がどのような種類のデータを収集し、どのように処理するのか、人々は尋ねるだろう。

 こうした疑問に答えるため、当社のInternet Security系列の製品が収集する情報について詳細に述べたホワイトペーパーを記した。ホワイトペーパーはここで読むことができる。

data_whitepaper (187k image)

 当社のデータ収集の基本原則は、必要なもののみ収集し、可能な限り早い段階で匿名化することだ。当社がシステムデータを入手できるよう、クライアント側でサニタイズ可能なすべてのデータは、あらかじめクライアント上で取り除いている。ユーザの個人データのように見えるものが当社のデータベースに残ることは一切ない。クライアントのIPアドレスなど、クライアント側でサニタイズ不可能なデータは、データを処理する最初のサーバ上で除かれる。インポート時にサニタイズを行う複数の階層を潜り抜けた、ユーザに関連するデータを削除する目的で、当社は顧客データに対し定期的なクリーンアップを実行する。

 当社は攻撃を食い止めるために必要なものをすべて認知する取り組みを続けていくが、同時にユーザについて何かを知るようにはならないことを確認している。

2014年第1四半期モバイル脅威レポート

 当社の2014年第1四半期のモバイル脅威レポートが公開された!扱っている内容について、以下にいくつか取り上げる。

 新たに発見された脅威の圧倒的多数はAndroidに対するもので(これに驚きはない)、当該期間に目にした新しいマルウェア・ファミリー277件のうち275件を占める。iOSおよびSymbianの新しいマルウェアはそれぞれ1つに過ぎない。

 当社のMobile Security製品のユーザのほとんどが、第1四半期にトロイの木馬に見舞われたことが報告された。これは(主にFakeinstおよびSMSSendの両ファミリーによるもので)SMSを秘かに送信する形態を取る。Android OSの4.2への更新(プレミアムレートのSMSメッセージの送信時にユーザの確認が求められる)が、こうしたトロイの木馬にどのような影響をもたらすか、興味深く見守っている。

 今四半期はモバイルマルウェア開発が盛んで、数々の「初めて」が報告された。まずはC&Cサーバとの通信を隠ぺいする目的でTorが使われた初めてのモバイルマルウェア、Trojan:Android/Torsm.Aがある。初のブートキットTrojan:Android/Oldboot.Aや、電話機を暗号通貨の秘かなマイナーにしようとするトロイの木馬(Trojan:Android/CoinMiner.A)も報告された。

 さらにDendroidというツールキットが挙げられる。これは、いくつかのボタンをクリックするだけでAndroid用のトロイの木馬が作成できることを請け負っており、またどうやら永久保障であるようだ。かつてPCベースの脅威として、ウィルス構築キットやエクスプロイトキットがそうであったように、Dendroidは技術スキルのない人が自身でマルウェアを作成するのをぐっと身近にする。

 そしてこれはすべて2014年の最初の3ヶ月のことなのだ。


 詳細についてはモバイル脅威レポートにある。これはラボのサイトや以下の画像をクリックすると入手できる。2つのバージョンが用意されている。

   •  Web閲覧用(PDF)

2014Q1_MTR_web_small

   •  印刷用(PDF)

q12014_mtr_banner_print_small

役立たずのAndroid「SEO」アプリがアンチウィルスソフトを標榜

 日曜日、Android Police(ニュースやレビューを掲載する人気のサイト)は「Virus Shield」について投稿を行った。このアプリはGoogle Playのランキングでトップになったが、完全に詐欺だった。追跡記事の中でDailyTechは何がしかを探り当て、テキサス在住の17歳によって当該アプリが書かれたと考えている。明らかに彼はSEOに長けている。

 彼が男性かどうかだが…、男性なら典型的な人物像と一致する。この優れたSEOのスキルを持つ若者は、かなり役立たずのアプリをプッシュした。

Virus Shield

 役立たずの「SEOアプリ」群はGoogle Play上で広く流行している。見てみたいなら、これらは簡単に見つかる。

 以下に例を挙げる。

  •  Best Antivirus Lite
  •  SAFE antivirus Limited
  •  Skulls Antivirus
  •  Shnarped Hockey antivirus lite

 BestとSAFEはある1人の「デベロッパー」と、またSkulllsとShnarped Hockeyのほうは別の1人の「デベロッパー」と関連している。

 2人の別々のデベロッパーがいるわけだが…、上記アプリは名前以外は同一である。これらアプリは1つのテンプレートをベースにしており(アプリのテンプレートの市場がある)、いわゆるデベロッパーが行わなければならないのは、独自のグラフィックを追加することのみだ。

 このAndroidアプリにデベロッパースキルは一切不要だ。

 それではこのアプリは何をするのか?

 えーと、「Anti Spyware」と題したSA画面を開く。

Shnarped Hockey antivirus lite

 ふむふむ、用語が変化した。これは警告マークであるべきだ。

 「Start Scan」をクリックすると、当該アプリはインストール済のアプリのパーミッションについて基本的なスキャンを行う。パーミッションの数が多いアプリ群はリスクがあると分類され、パーミッションの数が少ないものは安全とされる。そして詳細について確認したい場合は?うーん、そうすると「フル」バージョンのものを約1ドルで買わなければならない。控えめに意見を述べると、フルバージョンを購入した(1千人超の)方は、完全に金の無駄遣いだった。

 Google Playで買い物をするときは用心を。

 追伸。完全に無料で、パーミッションについて高度なスキャンを行い、秀逸な詳細情報を提示するアプリが欲しいなら…。

 F-Secure App Permissions for Androidのチェックを。

Google Play上のHacker (for Facebook)

 Google Playで入手できる数々の「Facebookのパスワードハッキング」アプリについて、最近問い合わせを受けている。当社では「Hacker (for Facebook)」と称する物を調べてみることにした。

Hacker (for Facebook)

 しょっぱなから嘘がある。「In order to work properly, you should rate the app with 5 stars!(適切に動作させるには、本アプリに5つ星の評価を与える必要があります!)」

Hacker (for Facebook) Hacker (for Facebook)

 アプリケーションをうまく動作させる目的で評価をするって?ばかばかしい。

 そして以下は、表示される広告の一例だ。

Hacker (for Facebook) Hacker (for Facebook)

 偽アンチウィルスの詐欺だ。すてきだ。

 ところで、Facebookにログインするように促されたら、あなたはこのアプリを信用するだろうか?

Hacker (for Facebook)

 以下はアプリの説明だ。

 「Hacker (for Facebook)(旧名Facebook Hacker)とは、任意のFacebookユーザのアカウントとデータへ自動的にアクセスし得る理想的なアプリケーションです。もし特定のユーザのパスワードをハッキングしたいなら、本アプリはあなたにとって理想的なものです。犠牲者のユーザ名もしくはメールを入力するのみという簡単な方法で、当社システムがパスワードを破り、あなたに示します。本アプリは非常に洗練された高度なアルゴリズムを用いて、ユーザアカウントからデータを入手します。ミスする可能性は皆無です。」

 機能は次のとおり。

  •  Facebookのパスワードのハッキング
  •  非常に直感的なインターフェイス
  •  簡単かつシンプルに実行可能

 そして免責事項は以下だ。

 「このアプリは悪ふざけに過ぎません。Facebookアカウントを許可なくハッキングする実際のアプリは、いずれも違法となるでしょう。」

 あぁ。悪ふざけね。免責事項を追加すれば、(少なくともGoogle Play上では)全部オーケーになる。5つ星の評価の必要性や詐欺的な広告にまつわる嘘は?もちろん、いいじゃないか。このアプリは「悪ふざけ」に過ぎないんだ。

 Google Play Appsは新たなZangoだ。

マルウェアと冬季オリンピック

 世界的なスポーツイベントがあると、我々はいつも「サイバー」の切り口からの質問を受ける。オリンピックのようなイベントは、マルウェアの流行や、ともするとDDoS攻撃のターゲットになり得るのだろうか?

 現実的なセキュリティ上の懸念点はいくつかあるが、オリンピック期間中のサイバー攻撃についての報道の大半は、結局は誤報か、あるいは単に誇大なものかで終わる。

 これは新しい現象ではない。20年前の記事を再掲させていただく。以下の分析はVirus Bulletin誌の1994年3月版にて最初に発表したものだ。お楽しみあれ!

—————

オリンピック大会
Virus Bulletin(1994年3月)
分析:ミッコ・ヒッポネン

 2月の頭からOlympic(またはOlympic Aids)という新しいウィルスが北ヨーロッパのテレビ、ラジオ、新聞上で派手に取り上げられている。報道的価値のある要素として、オリンピックをテーマにした起動ルーチンと、さらに1994年冬季リレハンメルオリンピックのコンピュータシステムに感染した疑いが挙げられる。幸いなことにこれは事実ではない。

 ノルウェーで一般に報じられているのとは異なり、Olympicはノルウェーが起源なのではなく、スウェーデンにて「Immortal Riot」と自称する新しいウィルスグループによって作成された。

アンダーグラウンドの中へ

 スウェーデンの土壌は、ウィルスグループを育てるための特別に肥沃な土地をもたらしているようだ。Beta Boys、Demoralized Youth、the Funky Pack of Cyber Punksといった一派が過去にスウェーデンで活動していた。ウィルス作者たちのグループで最新のImmortal Riotは、別名すなわち「ハンドル名」しか分かっていないが、4人のメンバーで構成されていると見られている。これまでのところ、このグループは約30個のウィルスを発表、配布してきたが、大半は既存の型の新しいバリアントだ。これまでに見つかったウィルスは技術的に優れた類のものではなく、むしろ正反対だ。大部分は単にコンピュータをクラッシュさせるか、他の露骨なやり方でその存在を示す。

 またImmortal Riotは電子マガジン「Insane Reality」を発行している。グループのメンバーや仲間による記事や、ウィルスのソースコード、ウィルスコミュニティの他のメンバーへの激励と中傷を取り上げている。このグループは、ウィルス作者になることは「クール」なことと考えているティーンエイジャー達の、独り善がりに過ぎないようだ。


olympic

ウィルスの動作

 Olympicは極めて一般的なCOMファイル感染ウィルスで、メモリ内には残らず、感染したファイルが実行された場合のみ拡散する。感染させるファイルを検索する方法は、特に効率的というわけではない。ハードディスク上の数多くのファイルが感染した時点で、新たな餌食を見つけるまでに30秒かかるかもしれない。このスローダウンのおかげでウィルスの目星がつけやすくなる。

 当該ウィルスは適切な感染候補のファイルを見つけると、まずそのファイルの大きさを確認する。感染したコードがCOMファイルの最大サイズ64Kバイトより大きくなるか確かめるのだ。そのファイルの1バイト目に、ウィルスが挿入したジャンプ命令があるかチェックする。見つかると、ウィルスはそのファイルはすでに感染しているとみなし、別の犠牲ファイルの検索に取り掛かる。この処理は、5つのファイルが感染するまで繰り返される。

 このウィルスは感染時に対象ファイルの内部構造を確認しない。したがって、拡張子をCOMにしたEXEファイルもこのウィルスに感染する。こうして破壊されたファイルが実行されると、ウィルスはマシン上の他のファイルにも感染するが、オリジナルのプログラムに制御を戻すことができない。大半の場合、マシンはクラッシュする。

 感染は、オリジナルのファイルの最初の3バイトをファイル末尾に保存し、ウィルスがファイル末尾に追加するセットアップルーチンへのジャンプ命令に置き換えるというプロセスから成っている。ファイル末尾にはウィルスコードの暗号化版が追加される。そして最後にウィルスはプレーンテキストの短いメモと復号ルーチンを加える。

 Olympicはコードの暗号化に、感染時間に基づいた単一の疑似ランダム値をキーにしている。このルーチンは復号ループでSIとDIレジスタのいずれかを作業レジスタとして用いる。これは感染するたびに入れ替わる。これにより、25バイトのみがウィルスの異なる世代間で一定になる。これらはウィルスの2つの異なる部分に位置している。暗号化方式はまったく多様なものではないので、アンチウィルスベンダーに問題を生じさせるとは考えにくい。

 OlympicはDOS上でリードオンリーとなっているファイルへも感染し得る。さらに感染したファイルのタイムスタンプを復元する。しかしファイルサイズが1440バイト大きくなり、これはディレクトリリストに現れる。ウィルスは常駐するわけではないので、ディレクトリをステルス化するルーチンは入っていない。

Olympicのトリガー

 このウィルスは1994年冬季オリンピックの開始日(2月12日)の翌日がトリガーになるようプログラムされており、この日以降、1割の確率で起動する。「サイコロ振り」は、システムタイマーの100分の1秒単位のフィールドが、10を下回るかを確認することでなされる。このウィルスは現在の年はチェックしない。トリガーの条件が満たされない場合、ウィルスは制御をホストファイルに戻す。

 起動時、ウィルスは画面上に五輪を描き、今回のオリンピックとそのマスコット、ハーコンとクリスティンについてのコメントを表示する。続いて、システムの最初のハードディスクの先頭256セクタを上書きする。確実に破壊するため、ウィルスは破壊ルーチンの中でCtrl-CおよびCtrl-Breakのチェックを無効にする。最終的にマシンはハングする。


olympic

 Olympicのコードの大半はVCLで生成されたウィルスのコードと共通点があり、それは標準的なVCLライクな注記にまで至っている。このウィルス末尾にあるショートメッセージは一切表示はされない。ウィルスの注記は「Olympic Aid(s) `94 (c) The Penetrator」と書かれている。このウィルスはおそらくVCLで作成したコードをベースにしており、ウィルススキャナによる検知を回避する目的で修正された。ディスクの上書きを開始する前に画像を表示するので、これに気付いたユーザは、データ領域が上書きされる機会の前に、マシンの電源をオフすることができるだろう。これにより復旧がずっと容易になる

olympic

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード