エフセキュアブログ

クリプト を含む記事

スキャンエンジンの現状はどうなってる?

 当社のスキャンエンジンはいかに動作するのか。シグニチャエンジンや他の種類のスキャンエンジンとの違いは何か。人々(技術ジャーナリストや製品レビューを行う人など)が頻繁にこのような質問を我々に投げかける。実際に、そうした質問を先週尋ねられたばかりだ。それなら、この話題について、深く掘り下げようではないか…。

 シグニチャベースのスキャンとは、対象のファイルを判定すべく、ファイル全体のハッシュやファイルの一部のハッシュ群をリストやデータベースに照らし合わせる動作を指す。1980年代、アンチウィルスはおおよそここから始まった。1990年代初頭に多様なマルウェアが出現し、シグニチャベースの手法からより複雑なファイルスキャンエンジンへの進化に拍車をかける触媒となった。

Brain. On a floppy.
1980年代における、新たなサンプルを受け取る方法

 エンドポイントの保護ソリューションには、ファイルスキャンエンジンが含まれる。しかし実際にはファイルのスキャンだけを行っているわけではない。メモリの断片やネットワークストリームといった、あらゆる種類の入力バッファがあればスキャンする。

 ファイルスキャンエンジンは非常に洗練されてきている。アーカイブをトラバースする仕組みを持ち、複数のファイルフォーマットを解析し、静的および動的な解凍や逆アセンブリを行い、スクリプトと実行形式のファイルの双方の実行をエミュレートする。現在の検知は実際のところでは複雑なコンピュータプログラムに過ぎず、クライアント上で直接的に複雑なサンプルの分析を行うように設計されている。最近の検知では、数千の、いや数十万のサンプルを捕捉するように設計されている。かつての日々の、サンプルごとにハッシュ1件というアプローチとは程遠い。

 ご想像のとおり、洗練された検知を構築するには時間を要する。最終的に顧客にリリースするまでに、アナリストはサンプルを収集して精査し、コードを書き、テストを行わなければならない。一方で、かなりシンプルなシグニチャベースの検知は、自動的に簡単に生成することが可能だ。新たなサンプルがやってくると、一連の静的および動的な分析ツールやルールエンジンにかけられる。判定をすばやく配信するためだ。

 それゆえに、新たな脅威が出現した場合、アナリストが適切な検知コードを書く作業を行っている間に、バックエンドの自動ツールが作動し、早期にサンプルをカバーする。今日ではソフトウェアが迅速かつ簡単にインターネット経由でハッシュを参照できるため、こうしたシンプルな検知はローカルのデータベースの更新の一部として配信されることさえない。このクラウド参照メカニズムは、脅威がいつ出現するかに関わらず、出現した脅威から非常に迅速に顧客を保護できるようなるという点でメリットがある。

しかし話はこれで終わらない

 最近のすべてのエンドポイント保護ソリューションでは、複数のメカニズムを用いて、顧客を継続的に保護する。今日のエンドポイント保護がどのように作用するかについて、以下に非常に簡単な概観を示す。

  1. URLのブロック。エクスプロイトキットや他の悪意あるコンテンツを保有するサイトにユーザが晒されないようにすれば、さらなる保護手段の必要性がなくなる。当社では、この大部分をURLおよびIPのレピュテーションクラウドへの問い合わせで実現している。スパムメールのブロックや、メールフィルタリングもここで行われている。
  2. エクスプロイトの検知。エクスプロイトキットを保有するサイトにユーザがどうにかして訪れた上に、脆弱性のあるソフトウェアを実行しているのなら、脆弱なソフトウェアを悪用しようとする試みは、当社のビヘイビア監視エンジンによってブロックされる。
  3. ネットワークスキャンとアクセス時のスキャン。ユーザがメール経由またはダウンロードで悪意あるファイルを受け取ったら、ネットワーク上で、またはディスク書き込み時にスキャンが行われる。ファイルに悪意があることが判明すると、ユーザのシステムから削除される(瞬時に、隔離するために)。
  4. ビヘイビアベースのブロック。仮にそうした悪意あるオブジェクトに対するファイルベースの検知が存在しないとしたら、ユーザは悪意あるドキュメントやスクリプトやプログラムを、開いたり実行するかもしれない。この時点で、悪意ある振る舞いは当社のビヘイビアエンジンによってブロックされ、またもやファイルが削除される。結局のところ、マルウェア配信メカニズムの大半はビヘイビアに基づき簡単にブロックされるのだ。ほとんどの場合、当社が新たな脅威を見つけたときには、それが用いているメカニズムに対応するロジックをすでに大昔に追加している。

 ディスクを研磨するかのように予定されたスキャンを夜実行する昔のアンチウィルスソフトウェアが、現在使われている最新世代のエンドポイント保護へと進化してきた。最新の脅威に対し、エンドポイントを保護する最善の方法の1つは、そもそも被害者と脅威が出会うのを回避することだ。これに失敗しても、複数方面からのアプローチを用いて攻撃の媒介をブロックすることで、その場で攻撃を阻止するための複数の機会があることになる。

 ファイルスキャンとは、「アンチウィルスベンダー」がエンドポイントの保護に用いている多数のメカニズムの中の1つに過ぎない。エクスプロイトの検知およびビヘイビアによるブロックの双方により、実際にあった攻撃の媒介からたびたび守ることができているため、わざわざ(たとえば静的なシグニチャなど)ファイルベースの検知を追加しないことも多い。そして覚えておいて頂きたい。1日の終わりに、常に我々は現実世界の脅威に対して当社の保護コンポーネントの試験を行っている。製品の個別の部分だけでなく、製品全体を用いてだ。

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

PowerShellを悪用したマルウェアが徐々に増加の予感!?

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。

shortcut with powershell

その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル(.ps1拡張子)の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


ブルートフォースパスワード攻撃を発端としたFlashリダイレクタの事例

 「Flashリダイレクタ」の検知件数のグラフにおいて、10月に異常な山があることに気付いた。この原因は侵害されたWebサイト群だ。

RedirectorHits
図1:Flashリダイレクタの検知件数

 侵害されたWebサイトにはコードが挿入されている。このコードは、ユーザをエクスプロイトキットのAnglerへリダイレクトしようとする、悪意あるFlashオブジェクトを読み込む。

InjectedCode
図2:挿入されたコード

 このFlashリダイレクタは新しいものではない。これについては1年前にMalwareBytesに記事が掲載されている。しかしながら、10月中に観測した急増は我々の関心を引き、もう少し詳しく眺めてみることになった。

 URL短縮ツールus.toの使用を確認できなかった点を除いて、MalwareBytesが確認したものとURLのパターンに大差ないことを発見したのには、興味深いものがあった。攻撃の背後にいる人物は、フリードメインや一般的でないトップレベルドメインを巧みに利用している。

RedirectorURLs2014
図3:2014年のFlashリダイレクタのURL
RedirectorURLs2015
図4:2015年のFlashリダイレクタのURL

 Webサイトがどのように侵害されたかを調査するうち、そうしたサイトすべてがWordPressを使って構築されていることに気付いた。我々は当初、当該Webサイトは脆弱なプラグイン経由で攻撃されたと考えていた。

 侵害されたサーバについてさらに調査を行うと、単純なブルートフォースでのパスワード攻撃が、攻撃者の戦略の1つであったことが明らかになった。攻撃者は以下のようなURLにアクセスすることで、WordPressのユーザ名を列挙しようとした。

http://www.samplewebsite.com/?author=1
http://www.samplewebsite.com/?author=2
http://www.samplewebsite.com/?author=3

 以下は、authorをスキャンしたことを示すアクセスログの一部だ。

accesslog1

 ユーザ名を獲得したなら、攻撃者が特定しなければならないのはパスワードだけだ。攻撃者が使用したツールは、ログインに成功するまでにおおよそ1200件のパスワードを試していた。

accesslog2

 管理者アカウントへアクセスできるようになったら、攻撃者は悪意のあるスクリプトをサーバにアップロードし始める。こうしたスクリプトには、バックドアやさらにはスパマーのコンポーネントが含まれる。

accesslog3

 サイバー犯罪者にとって、マルウェアを配布するのにもっとも効率的な方法の1つは、Webサイトを侵害することだ。ユーザは習慣のとりことなっており、一般に自分のマシンが感染しているかもしれないなどと考えることなくお気に入りのWebサイトを訪れる。そのため、こうしたWebサイトの所有者がこの脅威が広がらないようにするのに重要な役割を持つ。前々からアドバイスされていることの1つは、あなたのサーバで実行される全ツールを最新にして、脆弱性を突いて攻撃される可能性を低減することだ。しかしながら、他ならぬこの攻撃の場合については、ユーザ名の保護および強力でユニークなパスワードを使用することの重要性をいくら強調してもし足りない。さらに、この種のWordPressの攻撃から身を守るためには、何を公開するにせよWordPressの管理者アカウントを使用すべきではない。また.htaccessに以下のコードを追記すると、autherを列挙しようとする試みをブロックできる。

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

 より詳細については「Block WordPress User Enumeration, Secure WordPress Against Hacking」で確認できる。

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

新ブログ:labsblog.f-secure.com

 このブログ「News from the Lab」(訳補:https://www.f-secure.com/weblog/)は、4,232日前に、Mydoomワームによるsco.comへのDDoS攻撃を監視する件から始まった。

 これが11年2か月とちょっと前のことだった…。そして我々は今、新たなサイトへブログの引っ越しを行った。

 https://labsblog.f-secure.com

labsblog.f-secure.com

 RSSフィード経由でNews from the Labをフォローする場合は、好みのリーダーでここを指定しよう(近々、301リダイレクトを設定する)。

 またTwitterで@FSLabsを「フォロー」することもできる。Twitterでは記事へのリンクやその他のことをつぶやく。

 では、f-secure.com/weblogのコンテンツに起きたことは、何だろうか?今のところは、ここにちゃんと置かれている。ここからアーカイブを見られるし、Bingで検索することもできる。なぜBingかって?というのも、Googleは2012年10月頃、検閲を始めた大々的にこのブログのインデックス登録を停止したからだ。我々の伝統的な方法でのRSS全文配信における何かが、Googleの「Penguin」アルゴリズムと衝突した(世界中の情報をまとめるなんてことは、もはやこれでおしまいだ)。結局、検索エンジン企業の事業利益を拡大することがなければ、検索エンジンに記憶される権利はないのだ。公平を期して言うと、当時Googleはコンテンツファームとの戦いに大きな問題を抱えており、当社はそれに巻き込まれただけなのだ。コンテンツファームは、意のままに当社の全文配信を取り上げて、再発信できる。そして、無用なものといっしょに必要なものまで捨てられた。

 おそらく、これからもさらにそうなるだろう。

 最終的な考えはこうだ。このブログが当初2007年7月4日にリリースされたバージョンのプラットフォーム上で動作しながら、いかにセキュアであり続けるか?答えはシンプルだ。このプラットフォームはもはやWeb「上」にはない。このGreymatterのブログは内部サーバ上で稼働しており、我々はスクリプトを利用して、Webベースのフォルダにコンテンツをコピーしている。そのため、あなたがたった今読んでいるものは、コピーに過ぎないのだ。

 もはや何か違うことを試みるときが来た。そちらで皆さんに見えることを楽しみにしている。

 では!

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

ランサムウェア・レース(パート5):守られないSynoLockerの約束

 決してオンライン犯罪者に身代金を支払ってはならないと、我々は考えている。その理由は極めて単純だ。ファイルを暗号化するランサムウェアは、支払いが為されるまで被害者の個人的なファイルを「人質」にとる。この陰謀がうまくいくには、耳をそろえて払うことで救われると被害者が信じる必要がある。しかしながら、犯罪者たちに支払った結果として確実なのは、彼らの悪意に満ちた行為を続けさせるように促すことだけだ。代表例は、一般にSynoLockerとして知られる最近のランサムウェアファミリーだ。

SynoLockerはシノロジー社製のNAS(network attached storage)デバイスを標的にしている。デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されたファイルの暗号化を始める。さらに、ファイルを復号する見返りに身代金の支払いを要求するメッセージを被害者に提示する。しかしながら、SynoLockerの背後にいる犯罪者らはうその約束をしているのだ。 当社で観察した数多くのケースにて、復号プロセスは実際には動作しなかったり、犯罪者らが提供した復号キーが間違っていたりした。

 犯罪者たちに騙されたとしても、望みが完全に潰えたわけではない。正しい復号キーを被害者が入手することができれば、ファイル群はまだ復号できる。この目的のために、当社は本日、小さなツールをリリースする。Pythonのスクリプトで、当社で書いたものだ。正しい復号キーが提供されている限り、このツールを使って安全にSynoLockerで暗号化されたファイルを復号できる。このツールは、決してSynoLockerで作成されたファイルの暗号を破るものではない。また、復号キーを総当たりで探すことはしない。復号キーが既知の場合にのみ動作する。

Screenshot of encrypted and decrypted file headers
SynoLockerで暗号化されたファイルの先頭部分(左)と復号された同じファイルの先頭部分(右)

 当社の復号ツールのもう1つの使用場面は、ユーザが身代金を払ったが、感染したデバイスからマルウェアSynoLockerを削除済みだったために、復号キーが使えなくなった状況だ。デバイスを当該マルウェアに再感染させる(これは悪い考えだ)代わりに、当社のスクリプトをキーと共に使って、ファイルを復号できる。

 このツールを一般社会に公開することにより、こうした犯罪者によって引き起こされる害悪を解消するのに貢献できることを願っている。

 当社はどなたにも身代金の支払いを一切お勧めすることはない。

 当社の復号ツール、インストールおよび使用マニュアルはこちらから

 Post by Artturi (@lehtior2)

盗まれた12億人分のパスワード・・・私たちへの影響は?

報道されているとおり、ロシアのハッカー集団が、およそ42万のサイトから12億人分ものユーザIDやパスワードを盗んでいたことが分かりました。この大量のパスワードの中に皆さんのパスワードが含まれていても不思議ではありません。しかし、実際のところ何が起こっているのでしょうか。なぜこれが私たちにとってリスクとなるのでしょうか。そして、個人としてはどう対応すべきなのでしょうか。その内容を少し詳しく見ていきましょう。
 
まず、webシステムでは毎日システムへの侵入が行われており、パスワードが盗まれています。盗まれたパスワードは、闇市場で取引され、さまざまな目的に悪用されています。これは今に始まったことではありません。このニュースの本質は、その規模にあります。ロシアのハッカー集団は、ネット上で脆弱性のあるシステムを探し出すために強力なスクリプトを使って自動的にハッキングし、その結果、この極めて大量のパスワードが盗まれることとなったのです。しかし、この事件を記事にしたり、話題にすることは今もなお有益です。というのも、この事件は、個人のパスワードに関する習慣がなぜ重要であるかを再認識させてくれるからです。
 
ではまず、一般的なインターネットユーザがどのような過ちを犯すのか検証していきましょう。ここにアリスというインターネットユーザがいます。

 1. アリスはGoogleでメールアカウントを作成します。運よく、alice@gmail.comは誰にも使用されていませんでした。彼女は安全とされるパスワードの基本条件を知っており、大文字、小文字、数字、特殊文字を含んだパスワードを設定しました。

 2. アリスは、頻繁にネットを利用し、FacebookなどのSNSやディスカッションフォーラムを利用しています。その多くで、alice@gmail.comをユーザIDとして使用しており、パスワードも同じものを使用することは非常に合理的です。パスワードはメールアドレスとセットのようなもので、複数のパスワードを覚えたい人などいないでしょう。

 3. そこへ悪意のあるハッカーが登場し、脆弱なシステムを見つけ出すためネット上でスキャンを開始します。Gmailは適切に保護されているため、この攻撃の影響を受けることはありません。しかし、小規模組織の多くは趣味レベルでサイトを運営し、サイトをしっかり保護するスキルやリソースを持っていません。アリスがよく利用するサッカークラブのサイトもそうしたサイトの1つです。ハッカーはこのサイトのユーザデータベースへアクセスし、それをすべてダウンロードします。ここでハッカーはこのサイトでのalice@gmail.comのパスワードを知ることになります。皆さんは、「それで?」と思うかもしれません。ハッカーが、アリスがよく参加するゲームを知っているだけでは、特に実害はありません。しかしちょっと待ってください。これがすべてではないのです。

 4. alice@gmail.comがGmailユーザであることは明らかです。そこで、ハッカーはアリスのパスワードをgmail.comで試してみます。見事に一致しました。この結果、ハッカーはアリスのメールアドレスのみならず、彼女がGoogleのサイト上で管理するその他のデータをすべて入手します。

 5. ハッカーは、Facebookなど、多くの人が利用しているインターネットサイトをスキャンします。またも一致しました。これでハッカーはアリスのFacebookアカウント、それからおそらくその他いくつかのサイトのアカウントも手に入れます。

 6. ハッカーは、入手したアカウントを使い始めます。情報、メールの内容、その他の連絡先情報、eメール、文書、クレジットカード番号などありとあらゆるものを入手するためにアリスのアカウントを利用します。また、いくつか例を挙げるならば、ハッカーは彼女のアカウントやIDを使いスパムを送信したり、なりすまし詐欺を行うこともできます。
 
では、この話の教訓とは何でしょうか。アリスは安全とされるパスワードを使用していますが、この場合においては安全ではありません。彼女の犯した間違いは、そのパスワードを多くのサイトで利用したことにあります。規模の大きなサイトであれば通常少なくとも妥当なレベルのセキュリティが適用されています。しかし、同じパスワードを複数のサイトで使用してしまうと、パスワードの保護能力は同じパスワードを使用しているサイトの中でセキュリティレベルが最も低いサイトのレベルになってしまうのです。そのため、自分のメインのメールパスワードを、特に規模が小さく怪しげなサイトに利用することは絶対にしてはいけないことなのです。
 
しかし、強力なパスワードを複数使用することは非常に不便だと、皆さんはそうお考えかもしれません。しかし、そんなことはありません。もし、皆さんが体系的に、正しいツールを使用すれば複数のパスワードを所有することができます。まず、すべてのパスワードに共通する部分を決めます。この部分にはセキュリティの面で効果的な大文字、小文字、数字、特殊文字を含めます。それからサイトごとにそれぞれ異なる短い文字列を加えます。こうすることで、異なるパスワードを設定しながらも、簡単に覚えることができます。
 
それでも自分の記憶に自信が持てない方もいるかもしれません。大丈夫です。エフセキュアでは、便利なツールを用意しています。それが、パスワードマネージャのF-Secure Keyです。
 
ところで、最初の質問の解答は何でしょうか。ロシアのハッカー集団による攻撃は、私たちに影響するのでしょうか。個人としてどう対応したらよいのでしょうか。(この執筆時点では)どのサイトに影響が及んでいるのかがわからないため、誰に影響が及んでいるのかはわかりません。しかし、盗まれたパスワードの数が膨大であることから、皆さんのパスワードがそこに含まれている危険性は実際に存在します。とにかく、自分にアリスと共通する点があると思ったら、すぐにパスワードを変更することをお勧めします。今回のロシアのハッカー集団の被害者ではないにしても、遅かれ早かれ被害者となる日がきます。そうなる前に自分のデジタルIDは安全に保護してください。
 
すでに利用しているすべてのサイトで覚えやすい異なるパスワードを設定している場合は、慌てる必要はありません。被害を受けたサイトがわからないうちに、パスワードをすべて変更する必要はないでしょう。しかし、もしこの42万のサイト一覧が公開され、自分がそのいずれかのサイトのユーザである場合は、該当するサイトのパスワードを変更することは重要です。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

Backdoor.Gates:Windowsでも動作可能

 Backdoor.Gatesとして知られているLinuxマルウェアについての報告を受け取った。

 分析により、このマルウェアは以下の特徴を持つことがわかった。

 •   Sのバージョンやハードディスクのサイズといった、侵害したシステムの情報を収集する
 •   さらなる情報を得るためにC&Cサーバに接続する。C&CサーバのアドレスおよびポートはRSAで暗号化されている
 •   さまざまなDDoS攻撃のホストとなり得る
   •   TCP-SYNフラッド
   •   UDPフラッド
   •   DNSフラッド
   •   ICMPフラッド
   •   HTTPフラッド
   •   DNSアンプ

 特記すべきは、このバックドアはインストールに以下のファイルを使う点だ。

  /etc/init.d/DbSecuritySpt

 興味深いことに、「DbSecuritySpt」という文字列は、別のWindowsマルウェアでも使われているサービス名だ。より詳細に見てみると、当初考えていたよりも両者が似通っていることを発見した。

 メインのファイルおよびドロップされるコンポーネントに、双方とも同一の名前を用いている。たとえば、メインコンポーネントはLinux版では「gates」、Windows版では「Gates.exe」と名付けられている。攻撃ツールはLinux版では「bill」、Windows版では「Bill.exe」だ。DNS Ampライブラリは「libamplify.so」と「libamplify.dll」などなどだ。これでは偶然の一致が多すぎだ。つまり、両者は実際には同一のマルウェアを再コンパイルした移植版であることが、即座に判明した。

 このマルウェアはC++で書かれており、一見したところではコンパイルされたコードはまったく違っているように見える。しかし詳細に調査すると、あるコードベースを共有しているに違いないことが明らかになる。コードには、スレッドのハンドリングやサービスのインストール(Windowsでは「DbSecuritySpt」というサービスとしてインストールし、一方Linuxでは/etc/init.d/DbSecuritySptという起動スクリプトになる)など、OSを中心とした部分がある。しかし、他に似ている部分がある。何よりfopen()とfread()を使う単純なファイル操作などだ。Windowsプログラマの間では、これらの標準C関数を使うことは、まったく一般的でない。両バリアントは、プラットフォームに応じた#ifdefを大量に使って、同一のコードベースからコンパイルされた可能性がもっとも高い

Windowsコードのスクリーンショット

windows (139k image)

Linuxコードのスクリーンショット

linux (141k image)

 Backdoor.Gatesのようなマルチプラットフォームのマルウェアが、どのようにインストールされるのかを見出すのは、常に興味深い。これについては、我々はまだ完全に把握しているわけではない。初期の分析に基づくと、マルウェアには自動拡散やエクスプロイトの機能は無いように見受けられる。我々が受け取った報告書では、少なくともLinux環境ではSSHサーバの脆弱なパスワードを使ってマルウェアがインストールされたことを示している。

 Backdoor.GatesのLinux部分に関する詳細な分析は、カスペルスキー社DrWeb社から公開されている。


-- Post by Jarkko

Mayhemに首を突っ込む

 ここ1年で、Linuxサーバを標的にしたマルウェアが大きなニュースとなることが増えてきた。本記事では、LinuxとFreeBSDのサーバを標的とした、高度かつ多目的なあるマルウェアの動作について、調査報告を行う。当社ではこの動作の核となるマルウェアファミリーをGalacticMayhemと命名した。この名前は一部のC&CサーバのURLをもとにしている。Yandexの研究者チームによって報告されたものと同じマルウェアファミリーである。

概要

 サーバへのMayhemの感染は、PHPのドロッパースクリプトから始まる。このスクリプトの役割は、悪意のあるELF共有オブジェクトファイルをドロップし実行することだ。ドロップされたバイナリの名前の多くはlibworker.soだ。しかし我々の調査では、当該バイナリがatom-aggregator.soまたはrss-aggr.soとなっているような該当しないケースもあった。ドロッパースクリプトは常に32ビットと64ビットの両バージョンのマルウェアを含む。この2つは同一の機能と設定を持つ。

 ドロッパースクリプトはまず、実行中の/usr/bin/hostプロセスをすべてkillする。続いてホストが32ビットか64ビットか、またLinuxかFreeBSDかを判定する。スクリプトはさらにホストのアーキテクチャに合ったバイナリを選び、OSを考慮してELFヘッダを調整し、最後にバイナリをディスクに書き込む。ドロッパーはまた、1.shという名前のシェルスクリプトもディスクに書き込む。このシェルスクリプトは、クリーンアップおよびマルウェアを実行する役割を持っている。マルウェアの実行は、いわゆる「LD_PRELOAD」テクニックを使って実現する。ドロップされたバイナリへのパスを環境変数「LD_PRELOAD」に設定するのだ。次に、実行ファイル/usr/bin/hostを実行する。最終的に/usr/bin/hostによって呼び出されるexitファンクションをフックすることで、OSのローダーは悪意のあるバイナリをロードするようになっている。/usr/bin/hostがいったんexitを呼び出すと、実行が悪意のあるバイナリへと移る。

 我々の調査では、これまでのところ47通りの異なるMayhemのサンプルが明らかになった。こうしたサンプル群のうち最初期のものは少なくとも半年は前のもので、最新のものは1週間以内の可能性がある。サンプルの分析から、Mayhemは開発の最中に3段階の主要なイテレーションを経てきたことは明らかだ。イテレーションごとにマルウェアは次第に複雑さと洗練度を増してきた。加えて、より細かいインクリメンタルな更新が観測されている。これはマルウェアファミリーMayhemが活発に開発中であることを示す。以降の記事では、Mayhemの最新かつもっとも機能が豊富なイテレーションに焦点を合わせる。

 マルウェアMayhemは、高度にモジュール化した設計になっている。Mayhemは1つのメインコンポーネントと複数の任意に読み込まれるモジュールから構成される。メインコンポーネントは、モジュールのロードおよびアンロードや実行はもちろん、C&Cサーバとの通信も担っている。また、モジュール自身やモジュールが使用する他のファイルを格納するために、暗号化した隠しファイルシステムを用いている。このファイルシステムはディスク上に保存される。マルウェアの設定データの1つがそのファイル名を指定している。大半のケースではファイルの名前は.sd0となっている。しかしながら、当社が最近観測したところでは、マルウェアの作者はファイル名を.cachesに変更している。おそらく、隠しファイルシステムのファイル名が複数の情報源により公表され、感染したシステムを検索するために利用されるようになったことに対応したのだろう。重ねて言うが、当該マルウェアが活発に開発中なのは明らかだ。注目すべきは、隠しファイルシステムのファイルサイズもマルウェアの設定データで指定されており、我々が観測したすべてのケースでちょうど12MBになっている点だ。

 マルウェアMayhemは、特別に作られたHTTP postリクエストを用いてC&Cサーバと通信する。このリクエストのヘッダは非常に独特で、「Host」「Pragma」「Content-Length」という特定の3つのフィールドしか含まれていない。この中の「Pragma」フィールドの値は常に「1337」である。加えて、HTTPのバージョンは常に1.0を指定している。マルウェアからC&Cサーバへのリクエストの例を以下に挙げる。

Packet capture of malware communicating with C&C

 以上のように、実際のリクエストのボディは、コマンドやメッセージを指定する1行以上の行から構成される。これらの行は常にメッセージの種別を示す単一の文字で始まっており、カンマ区切りのパラメータのリストが続く。メッセージの種別により、ファイルの送受信、ジョブの開始や終了、モジュールのロードや更新、C&Cサーバへのマルウェアの状況の通知といったことを可能にする。

 感染と設定が終わると、マルウェアは設定データ内にハードコーディングされているC&Cサーバに対し、リクエストを送信しようと試みる。このリクエストには、マルウェアが動作しているホストのシステムや環境についての情報が含まれている。マルウェアはC&Cサーバから条件を満たすリプライをひとたび受け取ると、現在のステータスを報告するC&Cサーバに対し、定期的にリクエストを送信するように戻る。もしそのC&Cサーバが現在これといったアクティビティに参加していない場合、スリープして後でpingするような指示をマルウェアに応答する。

 C&Cサーバは、新たなジョブをマルウェアに応答することもある。今回のケースでは、C&Cサーバは最初にマルウェアに対しロードするモジュールを指示する。同様に、ロードするモジュールのためのルールファイルやパスワードリストのような、追加のファイルも任意に指示する。この場合、マルウェアはまずは隠しファイルシステムを検索して、指定されたモジュールを探す。見つかったら、モジュールのCRC-32チェックサムをC&Cサーバに返す。次にC&Cサーバは、見つかったモジュールが最新版かどうか、あるいはマルウェアはC&Cサーバ上の新たなバージョンを要求すべきなのかをマルウェアに通知する。見つかったモジュールが古いバージョンであったり、モジュールが見つからなかった場合、マルウェアはC&Cサーバにモジュールを要求する。モジュールはHTTPレスポンス中にbase64エンコードされたデータとして返される。

 モジュールを取得したら、マルウェアのメインコンポーネントはモジュールを読み込み、エントリーポイントファンクションを呼び出す。このエントリーポイントファンクションはさらに設定を行い、おそらく隠しファイルシステムやC&Cサーバにある追加のファイルを要求する。また、このファンクションは特定の状況下でメインコンポーネントによって呼び出される1~4つのコールバックファンクションを登録する。これこそ、モジュールの主機能が実行される仕組みだ。

 モジュールの読み込みが成功した後、C&Cサーバはメインコンポーネントに対し新たなジョブを開始するように指示することがある。このジョブの結果、メインコンポーネントはオペレーターが指定した数のスレッドを作成する。各スレッドは、それぞれ読み込まれたモジュールの機能を実行する。最後にC&Cサーバはマルウェアに対し、実行するモジュールへの引数になる文字列を送信し始める。こうした引数の文字列の内容はロードしたモジュールによって異なるが、通常は少なくとも悪意のあるアクティビティの標的となるドメインやURLが含まれる。

モジュール群

 当社の研究の最中に、現実の環境で、マルウェアMayhemによって使用される11個の異なるモジュールに遭遇した。これらの大半において、複数の異なるバージョンを観測した。これは明らかに、モジュールもまた活発に開発中であることを示している。

 遭遇したモジュールは以下の通り。


  • bruteforce.so - WordPressとJoomlaのサイトのログイン情報を総当たりで見つけるために使用する
  • bruteforceng.so - 上と同様だが、HTTPSと正規表現をサポートしており、高度な設定ができる
  • cmsurls.so - WordPressのログインページを特定するために使用する
  • crawler.so - WordPressとJoomlaのサイトを見つけるためWebサイトをクロールするのに使用する
  • crawlerng.so - 上記の改良バージョン。HTTPSと正規表現をサポートし、任意の正規表現にマッチするWebページを発見できる
  • crawlerip.so - 上記と同様だが、ドメインの代わりに標的のIPアドレスリストを受け取る
  • ftpbrute.so - FTPサーバのログイン情報を総当たりで見つけるために使用する
  • rfiscan.so - RFIの脆弱性を持つWebサイトの検索に使用する
  • wpenum.so - WordPressのサイトのユーザを列挙するために使用する
  • opendns.so - 公開されている再帰的なDNSリゾルバを検索するために使用する
  • heartbleed.so - Heartbleedという脆弱性(CVE-2014-0160)を露呈しているサーバを特定するために使用する


 このポストでは個々のモジュールについて非常に詳細なところまで掘り下げることはしないが、分かったことのうち興味深いものを一部挙げる。

bruteforce.so

 bruteforce.soモジュールは、現在飛び抜けて活発に使用されているモジュールである(これについては後ほど詳細に述べる)。機能面では非常にシンプルだ。WordPressまたはJoomlaのサイトのログインページを指し示す標的となるURL、ユーザ名を並べたファイル、パスワードを並べたファイルを取得する。続いて、ユーザ名とパスワードの可能な組み合わせをすべて用いてログインを試みる。

bruteforceng.so

 このモジュールはbruteforce.soモジュールの進化したバージョンで、HTTPSと正規表現のサポートが加えられている。入力として、標的のURL、ユーザ名のファイル、パスワードのファイルを取得するのに加えて、ルールファイルも必要とする。ルールファイルは、標的のログインインターフェイスを指定するために使われる。したがって、このモジュールを使用すれば、どのWebベースのインターフェイスのログイン情報でも総当たりで見つけることができる。このモジュールは主にWordPressとJoomlaのサイトのログイン情報を総当たりするために使われているのを我々は観測してきた。しかし、たとえばcPanel Web Host Managerのサイトなど、他の種類のサイトに対しても使われていると信じるに足る理由がある。

 興味深いことには、bruteforce.soおよびbruteforceng.soの両モジュールの新バージョンを最近になって我々は発見した。古いバージョンでは、ユーザ名のファイル内の全ユーザ名をすべての標的に対して試していたが、新しいバージョンでは使用すべき1つのユーザ名をC&Cサーバが指定できるようになっている。C&Cサーバが標的のURLを指定するために使うコマンドの文字列は、「Q,target」(targetはURL)である。しかし新しいバージョンのコマンドは、「Q,target;username」という、より長いコマンド文字列をサポートしている。セミコロンと別のパラメータが追加されたことに注意してほしい。この追加されたパラメータはユーザ名を1つ指定でき、パスワードファイル内にあるすべてのパスワードと結びつけられる。しかしながら、ユーザ名の文字列が「no_matches」だったり、2番目のパラメータが指定されていない場合には、モジュールは独立したユーザ名のファイル内の全パスワードを試すという古い方法へフォールバックする。

crawlerng.so

 crawlerng.soはWebサイトをクロールするのに使われるモジュールだ。引数として、正規表現を含むファイルを取る。次に当該モジュールは、こうした正規表現にマッチするコンテンツを求めて、標的のドメインを検索する。これは主に、WordPressおよびJoomlaのログインページを特定するために使われているようだ。ただ、正規表現で指定するということから、モジュールは本質的に任意の種類のページを特定するように指示できる。例として、当社はPhpMyAdmin、DirectAdmin、Drupalのログインページを特定するために使われるcrawlerng.soモジュールを観測した。一部のケースでは、モジュールは特定のキーワード、たとえば薬局に関連するキーワードにマッチするコンテンツを提供するWebサイトを見つけるために使われていた。我々が観測したケースでは、マルウェアのオペレーターが工夫をこらし、crawlerng.soモジュールでローカルファイルインクルードの脆弱性を探すものさえあった。観測したルールセットでもっとも多かったのは、別のHTTP、HTTPS、FTPサイトへ移動するリンクも検索するようにモジュールに指示するものだ。このやり方で、モジュールが新しい標的を見つけてクロールを続けるようになる。

Screencapture of LFI rule file
ローカルファイルインクルードの脆弱性を探すために使われるルールの一部

opendns.so

 このモジュールは、DNS amp攻撃で使われ得る、公開されている再帰的なDNSリゾルバを検索するために使用される。引数としてIPアドレスレンジと、サイズのしきい値を取る。レンジ内の全IPを1つずつ繰り返し、53番ポートへの接続を試みる。53番ポートへの接続が成功すると、拡張的なDNSの「DNSSEC OK」ビットをセットして、「ripe.net」ドメインのANYレコードを問い合わせる再帰的なDNSリクエストを送信する。標的がオープンかつ再帰的なDNSリゾルバを起動していたら、大きなDNSの応答を返すことになる。リプライのサイズが、事前にセットしたサイズのしきい値と比較して大きかったら、C&CサーバにIPアドレスが報告される。

Packet capture of the DNS request
当該モジュールによって送信されるDNSリクエストのパケットキャプチャ

heartbleed.so

 このモジュールは標的のドメインがHeartbleed脆弱性に対して脆弱かどうかを特定しようとする。これは標的に初めて接続するときに行なわれ、TLSv1.1のClientHelloパケットを送信し、さらにペイロードサイズが64KB(0xFFFFバイト)だが実際のペイロードは3バイトのハートビートリクエストを送る。

TLSv1.1 ClientHello packet
Malicious heartbeat request
ClientHelloパケットのペイロード(上)と悪意あるハートビートリクエスト

 最後に、サーバのリプライのペイロードのサイズが確認される。これが3バイトよりも長いなら、サーバはおそらく脆弱で、そのことがC&Cサーバに報告される。

Code that checks the server reply
サーバの応答を確認するコード

現在の活動

 当社の調査により、マルウェアファミリーMayhemによって使われているC&Cドメインが19個明らかになった。そのうち7つは現在もアクティブである。現在の活動の大半はWordPressおよびJoomlaのログイン情報を総当たりで取得することに関連している。ただ、FTPのログイン情報も総当たりで見つけることや、同様にWordPressとJoomlaのログインページを検索しながらドメインをクロールすることも観測している。我々は別のモジュールがある時点で現実に使われた証拠も持っている。

 総当たりの活動を観測したためだが、これは非常に日和見的に見える。マルウェアのオペレーターはボリュームに焦点を合わせているようだ。共通かつ脆弱な認証情報を使っているサイトが十分に存在することをあてにしている。アクティブなC&Cサーバ群から標的になったURLを1週間分記録したところ、我々は35万超のユニークな標的を特定した。このサーバ群のなかの1台のC&Cサーバが、21万を超えるユニークな標的に関与していた。これはマルウェアの単一のインスタンスに与えられる標的に過ぎず、全体的な数はおそらくずっと大きいものになることに注目すべきだ。

 標的のドメインに関する分析に基づくと、マルウェアのオペレーターは誰かあるいは何かを特別に標的としているとは思えない。むしろ、単純に低い位置にあるWebの果実を探しているだけのように感じる。以下のような、標的のドメインの地理的な分布によって、これはさらに支持される。上位10か国に中国がいないのは注目に値するが、マルウェアのオペレーター側が意図的に選定したというより、例外的なものと思う。

Piechart showing geographic distribution of target domains

結論

 マルウェアのオペレーターはMayhemを主に偵察ツールとして使い、簡単に侵害できるサーバへアクセスできるようにして、後にもっと洗練された攻撃のベースとして使えるようにしていると、当社では考えている。たとえばオペレーターは、最初にWordPressのサイトを見つけるためにcrawlerng.soモジュールを用い、続いてwpenum.soモジュールを使ってこうしたサイトから潜在的な被害者のユーザ名を列挙しているかもしれない。ユーザ名のリストを持っていれば、オペレーターはこうしたサイトへのアクセスを得ようとしてbruteforce.soモジュールに取り掛かることができる。オペレーターがアクセスできるようになれば、サイトをMayhemで感染させてボットネットを拡大したり、あるいは他の操作を組み込むために利用することもできる。

 マルウェアファミリーMayhemは、LinuxおよびFreeBSDのサーバ上で動作する、高度で非常に汎用的な脅威である。明らかに活発に開発がなされており、オペレーターは研究者やサーバ管理者の尽力を盛んに無効にしようとしている。また感染するホストが、低速のADSLの背後にあるごく普通の家庭用PCではなく、大容量、広帯域のサーバであることを考慮すると、運用の規模も重要である。

サンプルのハッシュ

 バージョン1

  • 0f1c66c3bc54c45b1d492565970d51a3c83a582d
  • 5ddebe39bdd26cf2aee202bd91d826979595784a
  • 6c17115f8a68eb89650a4defd101663cacb997a1


 バージョン2

  • 7204fff9953d95e600eaa2c15e39cda460953496
  • 772eb8512d054355d675917aed30ceb41f45fba9


 バージョン3(最新)

  • 1bc66930597a169a240deed9c07fe01d1faec0ff
  • 4f48391fc98a493906c41da40fe708f39969d7b7
  • 6405e0093e5942eed98ec6bbcee917af2b9dbc45
  • 6992ed4a10da4f4b0eae066d07e45492f355f242
  • 71c603c3dbf2b283ab2ee2ae1f95dcaf335b3fce
  • 7b89f0615970d2a43b11fd7158ee36a5df93abc8
  • 90ffb5d131f6db224f41508db04dc0de7affda88
  • 9c7472b3774e0ec60d7b5a417e753882ab566f8d
  • a17cb6bbe3c8474c10fdbe8ddfb29efe9c5942c8
  • ab8f3e01451f31796f378b9581e629d0916ac5a5
  • c0b32efc8f7e1af66086b2adfff07e8cc5dd1a62
  • c5d3ea21967bbe6892ceb7f1c3f57d59576e8ee6
  • cb7a758fe2680a6082d14c8f9d93ab8c9d6d30b0
  • e7ff524f5ae35a16dcbbc8fcf078949fcf8d45b0
  • f73981df40e732a682b2d2ccdcb92b07185a9f47
  • fa2763b3bd5592976f259baf0ddb98c722c07656
  • fd8d1519078d263cce056f16b4929d62e0da992a


 当社ではこれらをBackdoor:Linux/GalacticMayhem.Aとして検知する。

 調査執筆:Artturi Lehtio(@lehtior2

筆者注記

 筆者はフィンランドのヘルシンキにあるアールト大学の、情報科学の学生である。今春、同大で提供され、エフセキュアが運営したマルウェア分析の講義に出席した後、幸運なことに同社の夏季インターンシップに参加した。1か月前、私は新たなタスク「Linuxマルウェアについて興味深く見える事項を見つけて、それについてブログの記事を書くことをゴールとする」を与えられた。この記事とそれを裏付ける調査は、Linuxマルウェアの謎めいた世界への私の冒険の結果である。

Android ‐ 依然として最多のホスト攻撃

2014年第1四半期の新たなモバイル脅威の大半はAndroidユーザをターゲットとし、サイバー犯罪者は、これまでにないAndroidプラットフォームでの数々の脅威によってその現状を「刷新」しました。

エフセキュアの最新版モバイル脅威レポートによれば、2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威の99%以上がAndroidユーザを標的にしていました。検出された新種の脅威ファミリーとその亜種277件のうち、275件がAndroidを標的にし、iPhoneとSymbianはそれぞれ1件ずつでした。前年同期を見てみると、新種の脅威ファミリーとその亜種は149件で、Androidを標的としていたのは、その91%でした。

2014年第1四半期ではこれまでにはなかったAndroidマルウェアが多数検出されています。これは、モバイル環境における脅威が精巧さと複雑さの面で進化し続けていることを示しています。当概四半期には、Litecoinなどの仮想通貨を採掘するためにデバイスをハイジャックする、暗号通貨(クリプトカレンシー)のマイナー(採掘者)が初めて確認されました。またブートキットも初めて見つかっています。これはデバイスの起動ルーチンの最初期段階で打撃を与える、検出や駆除が極めて困難なものです。さらにTorトロイの木馬や、Windowsでのインターネットバンキングを狙うトロイの木馬も初めて確認されています。

エフセキュアラボで主席研究員を務めるミッコ・ヒッポネンは次のように述べています。「こうした進化はマルウェアの作成者が目指す方向に同調している兆候を示しています。今後数カ月のうちにもっと多くのことが判明するはずですが、たとえば、携帯電話がますます高度になることで、サイバー犯罪者がこれらを利用し、暗号通貨を採掘して利益を手にすることが可能になっているのです。」

エフセキュアが第1四半期に評価した中で、英国が最も多くのモバイルマルウェアに遭遇し、ユーザ1万人当たり15〜20ファイル(500人当たり1ファイル)のマルウェアファイルがブロックされました。米国、インド、ドイツでは、それぞれ1万人につき5〜10のマルウェアがブロックされ、サウジアラビアとオランダでは、1万人につき2〜5のマルウェアがブロックされています。

悪質な作為

デバイスに感染するとモバイル脅威はどのような悪意ある行為を行うでしょうか。本レポートでは、モバイルを狙うトロイの木馬の83%がプレミアム課金用の番号、またはSMSベースの購読サービスにSMSメッセージを送信しており、これが悪質なアクティビティの中で最も一般的であることがわかっています。

以下、モバイルを標的とするトロイの木馬による一般的なアクティビティの一覧です。

  • SMSメッセージをプレミアム課金用の番号に送信する
  • 要求していないファイルまたはアプリケーションをデバイスにダウンロードまたはインストールする
  • デバイスの位置またはオーディオ/ビデオを密かにトラッキングし、ユーザを監視する
  • 実際には役立つ機能がないモバイルAVソリューションになりすます
  • ウェブサイトに密かに接続してそのサイトのアクセス数を水増しする
  • バンキング関連のSMSメッセージを密かに監視して詐欺に流用する
  • ファイル、契約書、写真その他の私的データなどの個人情報を盗用する
  • 通常は無料の正規アプリケーションを利用、更新またはインストールするときに「料金」を請求する

iPhoneおよびSymbianの詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。
オンラインバンキングやオンライン閲覧に関する最高のAndroidセキュリティのほか、ペアレンタルコントロール、アプリケーションスキャニング、盗難防止などの機能については、30日間無料のエフセキュア モバイル セキュリティをお試しください。Google Playでも入手可能です。

Coremexが検索エンジンハイジャックを取り入れる

 検索エンジンの結果を標的にするマルウェアは、なにも新しいものではない。悪意あるブラウザ拡張もおなじみだ(一般にFacebook詐欺のキャンペーンのようなものに使われる)。しかしごく最近、その双方を試みる、特筆すべきマルウェアファミリーを識別した。我々はCoremexと名付けた。これはブラウザが提供するプラグイン機能を悪用し、GoogleやYahooといった巨大オンライン広告企業を相手に、様々な検索エンジンの結果をハイジャックする。

 Coremexは単独のNullsoftInstaller実行ファイルとして提供され、ドロッパーもしくはダウンローダのいずれとしても動作する。当該実行ファイルの実行時に、ダウンローダは感染したマシンから基本的な情報の収集を始める。たとえば、ユーザ名、感染したワークステーションの名前、プロセッサ、メモリなどだ。情報はC&C(command-and-control)サーバのアドレス178.86.17.32に送付される。これは、バイナリにハードコーディングされている。情報は「2AJQ8NA4」というキーを用いてRC4で暗号化され、最終結果はBase64でエンコードされる。

 ブラウザ拡張スクリプトなどのメインペイロードをC&Cサーバからダウンロードするのを妨げるサンドボックスに対抗する機能が、Coremexにいくつか実装されている。これらの機能は、ブラックリスト化されたプロセスの名前を確認し、感染したマシン上でWMI(Windows Management Instrumentation)を使って「VMware」といった文字列のような、よく知られたサンドボックスのフィンガープリントを検索する。

図1:ハッシュ内のブラックリスト化されたプロセスの名前

Coremex_Blacklisted_ProcessName_By_Hash

図2:ハッシュ内の対サンドボックスの名前

Coremex_AntiSandbox_By_Hash

 対サンドボックスのコンポーネントが非常警報を上げなかったら、Coremexは次にC&Cサーバからペイロードを追加ダウンロードする段階に進む。ただし、マルウェア作者はペイロードのダウンロードに別のC&Cサーバを用いている(少なくとも当社の分析時には)。

 C&Cサーバのアドレスは以下だ。

  •  178.250.245.198
  •  174.127.82.213
  •  192.154.94.253

 以降被害者がChromeやFirefoxを開くと、常にブラウザプロセス内に当該エクステンションが存在するようになる。

 CoremexのJavaScriptは、分析を困難にするため、3階層の高度な難読化がなされている。同スクリプトは水面下でブラウザから提供されるAPIを用いていくつかのイベントを登録し、イベントの発生を待つ。

図3:悪意のあるブラウザ拡張が複数のイベントリスナーを登録

Coremex_Scripts_Event_Listener

 イベントリスナーの1つは1時間に1回起動される。callbackファンクションイベントの実行時に、以下のインチキな検索エンジンのWebサイトへの接続を開始する。

  •  onlinetrack.org
  •  zvtracker.com

 一方、他のイベントリスナーは、感染したブラウザが訪問しようとするURLを解析する役割を持つ。これらのイベントリスナーのcallbackファンクションは、以下の検索エンジンプラットフォームに入力された検索クエリを探す。

  •  Google
  •  Bing
  •  Yahoo
  •  ASK
  •  AOL
  •  AVG
  •  MyWebSearch
  •  Search-Results
  •  Comcast
  •  Delta-Search

図4:Coremexが標的とする検索エンジンプラットフォームの一覧

Coremex_Search_Engine_Hijack

 狙っている検索エンジンプラットフォームが見つかり、URLから検索クエリの解析が成功すると、Coremexは最初に犠牲者が入力した検索クエリをJSON形式に変換する。

Coremex_yoursearchquery

 続いて「http」というキーを用いてJSONオブジェクトがRC4アルゴリズムで暗号化され、結果がBase64でエンコードされる。Base64でエンコードした文字列は、おそらくマルウェア作者が制御する検索エンジンプラットフォームへ送られる。

Coremex_RC4

 サーバからの応答の中には、接続先のWebサイトのリストが入っている暗号化されたJSONオブジェクトが含まれている。これらWebサイトは広告っぽいURLを持つWebページがどこへリダイレクトされるかを規定する。GoogleアドワーズのURLの例では、以下のように見えるだろう。

Google Adwords URL

図5:GoogleアドワーズのURLのパターンを解析する役割を持つコード

Coremex_Google_Ads_URL_Hijacked

 復号したJSONオブジェクトは、以下のような感じだ。
 
decrypted JSON objet

 以下の画面キャプチャは、犠牲者が広告のURLをクリックしたときに動作するCoremexのスクリプトを示している。クリックすると、ハイジャックされた広告のページに導かれ、マルウェア作者が意図した接続先のWebサイトへリダイレクトされる。

図6:GoogleアドワーズのURLがハイジャックされている

Coremex_Google_Ads_Url_Car_For_Sale_768x335
画像クリックで拡大

図7:GoogleアドワーズのページがIFRAMEでハイジャックされている

Coremex_Google_Ads_Page_Hijacking_With_IFrame_768x333
画像クリックで拡大

 ハイジャックされた広告のページへ挿入されたIFRAMEに関して言うと、分析中はサーバが接続先のWebサイトについて応答することはなかった。したがって、ハイジャックされた広告のリダイレクト先の例について、我々はまだ目にしていない。しかし、人気のあるオンライン広告サービスを悪用しようとする、マルウェア作者の意図は明確だ。

SHA1: 62b5427b10f70aeac835a20e71ab0d22dd313e71

—————

Post by — Wayne

エフセキュア Linuxセキュリティ フル エディション / コマンドライン エディションの新メジャーバージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けセキュリティ対策の「エフセキュア Linuxセキュリティ フル エディション」および「エフセキュア Linuxセキュリティ コマンドライン エディション」の新しいメジャーバージョンとなる、Ver10.00をリリース致しました。Redhat Enterprise Linux6.5やCentOS6.5、Debian7.0、Ubuntu12.04などの最新のOSへ対応を行いました。

Linuxの利用は、WindowsやUnixの代替というだけでなく、クラウドの基盤としても増え続けています。Linuxの利用の増加で、そこを標的にするマルウェアや侵入などの攻撃が今後拡大することが懸念されます。Linuxのセキュリティ対策がOSの新しいバージョンに対応することで、新しいOS利用の一助となり、OS自身の最新のセキュリティ機能との相乗効果となることが期待されます。
なお本年後半には、新しい検査エンジンを搭載し、パフォーマンスと検知率の更なる向上を図った新バージョンのリリースも予定しています。

2種類のエディション

エフセキュアでは、用途に応じ2種類のLinuxサーバ保護ソリューションを提供します。いずれも、Linuxサーバへの不正侵入を防ぎます。

「エフセキュア Linuxセキュリティ フル エディション」は、Linuxへのマルウェア感染やLinuxを踏み台にしたマルウェアの拡散を防ぐだけではなく、外部からの改ざんを防ぐ機能を提供し、Linuxを総合的に保護します。ポリシーマネージャを利用した集中管理にも対応し、多くのサーバを少ないコストでしっかりと管理できます。

「エフセキュア Linuxセキュリティ コマンドライン エディション」は、Linux OSの管理者が親しみやすいコマンドベースのインターフェースを備えたアンチウイルス製品です。コマンドライン上で全ての操作を完了できるので、他のプログラムやシェルスクリプトから呼び出して使うことができ、ソフトウェア組み込みに最適です。

製品の詳細はこちらをご覧ください。

侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる

 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。

1_wmap (106k image)


 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。

 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。

2_spike (9k image)


 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。

4_script (12k image)

 あるいは次のようなcookieの使用を含めるために、多少長くなっている。

3_code (132k image)

 リダイレクトに成功すると、以下の画面と同じような見た目の、偽のflashのダウンロードサイトへと飛ばされる。

5_flash1 (64k image)

6_flash2 (32k image)

6_main_page_after_clicking_download (40k image)


 ユーザが手動でDownload Nowというリンクをクリックすると、あるSkyDriveアカウントからflashplayer.exeと呼ばれるファイルがダウンロードされる。

 この悪意あるflashplayer.exeが実行されると、次のメッセージがユーザに表示される。

7_dialog (1k image)


 バックグラウンドでは、同じSkyDriveアカウントに再度接続して、別のマルウェアをダウンロードしている。

8_skydrive (21k image)

 最初の分析では、サンプルは以下の場所に接続していることが判明している。


9_post (59k image)


SHA1のハッシュ:
804d61d9d363d2ad412272043744701096e4b7f8
b9af02020389459d01911c7c4f4853bf3b5eafe4



—————


Post by — Karmina and Christine

AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

Windows版のJanicabマルウェア

 先週、Macユーザを標的にしたスクリプトベースのマルウェアについて書いた。昨日になって、avast!の人がWindows版を明らかにした。

tweet from Jindrich Kubec

 Windows版とOS X版の違いを以下に要約する。

Summary table

 当社のWindowsユーザは、クラウド技術によって、すでに保護されている。

無料のBitcoinは誰に当たった?

 1週間前に述べたとおり、私のTwitterの5万人目のフォロワーに対してBitcoinの物理コインを差し上げるという競争を開催していた。

 そして、昨晩、その時が来た。私の5万人目のフォロワーは、WantBTCというアカウントだった。

WantBTC

 WantBTCは実際にはボットで、Eric Bauersachsが実行している。

e4ch

 Ericは16個のTwitterボットで、5万人目のフォロワーの地位を競うスクリプトを実行していた。大変な努力は報われ、Ericが勝ち取った。

wantbtc_bot

 EricにはBitcoinとThomas Ridの近刊本Cyber War Will Not Take Placeが贈られる。おめでとう!

 しかし、私のフォロワーの中からランダムに選んだ方1名にも、Bitcoinと書籍を約束していた。どなたが当たったのだろうか?あなただろうか?以下のビデオを見てご確認を。



 みなさん、ありがとう。
 @Mikko

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード