エフセキュアブログ

ゼロデイ を含む記事

ビヘイビアエンジンの現状はどうなってる?

 スキャンエンジンが1980年代の原始的なシグニチャベースの祖先から、どのようにして現在へと進化してきたかについて、つい先日記事を投稿した。マルウェアやエクスプロイトのような脅威からエンドポイントを保護するに至り、ファイルスキャン自体はパズルの小さなピースに過ぎなくなった。当該記事ではその背景に触れた。そして本日、私はビヘイビアエンジン、別名HIPS(host-based intrusion prevention system)に焦点を合わせる。

 平たく言うと、ビヘイビアエンジンは悪意がある可能性を有するアクションについて、システム上のプロセスの実行を監視することで機能する。もし1つまたは一連の、悪意のあるアクションを見つけたら、そのプロセスは停止される。これにより、悪意のあるペイロードが目的を達成することが絶対にないように徹底する。

F-Secure Internet Security 2007
ビヘイビアの監視。おおよそ10年前に導入

 ビヘイビアの監視ではマルウェアの実行ファイルをブロックするのに加えて、Webベースの弱点を突く試みを阻止し、OfficeのマクロやPDFのような非PE(Portable Excutable)形式のマルウェア感染ベクターをブロックするためにも使われ得る。これは、Webブラウザや、文書のビューワやエディタのような一般的なアプリケーションを監視することによって実現される。

 たとえば、もしユーザが悪意のあるサイトに訪れたとき、ビヘイビアの監視によりブラウザのプロセスそのものに弱点を突くような試みがあるという兆候を掴んだら、不正利用が始まる前に当該プロセスを停止する。蓋を開けてみると、これはゼロデイの攻撃を阻止するのにうってつけの方法であった。

 それで、なんでビヘイビアエンジンがこんなに便利なのか、って?真相はこうだ。悪意のあるペイロードの大多数が、システムを感染させるために、数は少ないながら一切合切同じトリック群を使っているのだ。Excelファイルが実行ファイルやシェルコードをディスクに書き込んだり、システム上の実行コードを起動したりしようとしたら、これは悪意があるのにまず間違いない、と考えられる。この種のビヘイビアは正当な文書ではまったくもって聞いたことがない。

 ビヘイビアに応じてブロックするということは、サンプルがどのように「見える」かを意識する必要がない点ですばらしい。シグニチャベースでスキャンするやり方を回避する目的で、新しいマルウェアが次々と公開される。しかし、このようにバージョンが異なる場合でも、依然として同一のアクションを実施する。ビヘイビアに基づき最初の1つを検知したら、以降のものも検知することになる。

 マルウェア作者がビヘイビア上のルールを回避できる手段は、新たなアクション群を携えて登場することだけだ。そして新たな感染ベクターが非常に高い頻度で出現することはない。その理由として、大半の場合、新たなマルウェアやエクスプロイトが表面化したときには、我々はすでに当社のビヘイビアエンジンでそれをカバーしている、ということが挙げられる。マルウェアの作者たちが一定期間使用を続けてきたトリックは、これからも継続して使われる可能性が高い。

 しかしながらクライアントサイドでのビヘイビアの監視は、警告抜きでは実施できない。監視するプロセスはいずれも、パフォーマンスに軽微な影響を与える。この理由により、監視する対象を制限することは重要である。これはいくつかの方法で実現できる。

 ホワイトリストはスキャンをすべてスキップできる簡単かつ迅速な方法である。それゆえにエンドポイント保護ソフトウェアでは、その他の分析ステップに先立って、ホワイトリストの確認を行うことは珍しくない。サンプルの暗号学的ハッシュのようなシンプルなメタデータや、あるいは署名付き証明書のようなより複雑なメタデータを基に、ファイルをホワイトリストに登録できる。

 スキャンエンジンは一般にビヘイビアエンジンよりも高速である。したがって、ファイルが実行される前に(たとえばファイルがディスクに書き込まれるときや、ネットワーク経由で到着したときなどに)悪意があるか否かを判定するためにスキャンエンジンが使えるのであれば、パフォーマンスの小幅な改善が得られる。

 人間に例えて、以上すべてがどのように動作するのかを明らかにしよう。

 ある企業の警備隊には、社屋の物理面での安全を監視する任務がある。大半の時間は、ずらりと並んだ監視カメラからの映像をモニターすることに費やしている。警備員の一部は交替で社屋を見回る。

 一日を通じて、社屋への出入りがある。従業員の大半は見えるようにIDカードを身に付けている。一部の従業員は警備員に知られてさえいる。この例えでは、こうしたIDを身に付けた従業員がホワイトリスト上のサンプルに相当する。警備員はこのような従業員にはたいして注意を払う必要はない。なぜなら「良い人」だと分かっているからだ。

 また訪問者も一日中、出たり入ったりする。新たにやって来る客たちについて、警備員は知らない。訪問者は受付で同伴者を待って、さらに奥へ行く前に一時的なIDカードを保持するように案内される。構内にいる間、訪問者には常に従業員が付き添っている必要がある。記名して一時的なIDを得るという、従業員と会うプロセスは、大まかに言ってスキャンエンジンにかけられるサンプルに例えられる。スキャンエンジンは「良い人」かどうかは判別が付かないが、たぶん悪意がないことは分かる。

 今回の仮定の状況において、午後のある時点で、手続きを踏まなかった人がやって来たとする。従業員が全員忘れずにIDカードを身に付けているとは限らないので、来たのは従業員なのかもしれない。しかし警備員の誰も、彼の顔に見覚えがない。到着後まもなく、この未知の訪問者は受付を通り過ぎ、ある従業員の背後にぴったりとついて本館へと達した。警備員は直ちにこの振る舞い(ビヘイビア)に気付き、監視カメラの映像を通じて彼を監視している。また見回り中の警備員の1人に連絡をして、未知の訪問者のいる場所へ向かわせた。このステップは、ビヘイビアの監視を始めることに例えられる。

 この訪問者の振る舞いを警備員が引き続き厳しく監視している中で、彼が社屋の廊下を歩き、ついに立ち止まってバックパックからバールを取り出し、会社のサーバルームの一室を開けようとしているのを観察した。この時点で、警備員が現場に現れ、サーバルームに接近するのを阻んだ。

 1つの行動によって、ある脅威が実際に悪意のあるものかどうかを判別するのに十分なときばかりではない。一連の行動、今回の場合には同伴者なしで本館へ通り抜け、施錠されている部屋へ押し入ろうとしたことが、最終的に行動を取るように導く、一連の指標となった。

 クライアントサイドでのビヘイビアの監視は、一般的なマルウェアやエクスプロイトからシステムを保護するのにもっとも効率的な方法の1つだが、バックエンドでのビヘイビア分析は、また別の強力なツールをもたらす。

 クラウドコンピューティングのインフラを用いると、計測器付きのサンドボックスを同時に数千起動できる。ファイルやURLがこうしたサンドボックスへ送り込まれて実行される。個々に起動して、実行中に発生したことに基づいてメタデータを生成する。こうしたメタデータには、サンプルが実行されているシステムに対する変更と、サンプルそのものを実行した痕跡の双方が含まれ得る。続いて、この得られたメタデータは、一連のルールエンジンによって疑わしいビヘイビアがないか分析される。サンプルはさらなる分析のためのフラグが立てられ、多くのケースでは、自動的にオンザフライで検知が生成される。

 バックエンドのサンドボックスを活用することで、1日当たり数十万件のファイルやURLを分析できる。手作業で行うのはほぼ不可能な件数だ。このプロセスにより、自動的な静的分析のプロセスと合わせて、サンプルのカテゴリー化やグループ化が容易に行えるようになる。

 クライアント自体あるいはバックエンドのいずれで用いられるにせよ、ビヘイビアの監視は悪意のある脅威からシステムを保護する強力なツールである。ビヘイビアの監視技術はある状況においてエンドポイントで実施されるに至る。この状況とは、システムがどのように脅威と遭遇したのかによる。これまで説明してきたとおりビヘイビアによるブロックは、悪意のあるサイトを訪れ、悪意のあるドキュメントを開いたり、悪意のある実行ファイルを起動したりしたときに(アクション!)始動する。この理由により、VirusTotalのスキャンレポートではこの種の結果を確認できない。ビヘイビアによるブロックが要因となり、当社製品が現実世界の状況下でどれくらいうまくいっているのかを確認したいのであれば、AV-ComparativesAV-Testでのテスト結果をチェックするとよい。

 当社のHIPS技術がどのように動作するかについて、より技術的な解説にご興味がおありなら、ホワイトペーパーを確認してほしい

#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは

  クリスマス直後の12月27日からドイツで Chaos Computer Congress (CCC) が開催された。ここでも「Wassenaarアレンジメント」についてのパネルディスカッションがあり、2015年夏以降の状況がアップデートされた。このCCCでのパネルでは衝撃的な話が出た。それは、昨年に自社内部メールの流出暴露で物議をかもしたイタリアの「Hacking Team」が、Wassenaarアレンジメントに基づいて輸出業者としての登録が認められたという話題だった。このパネルは以下URLでビデオを視ることができる。


  Wassenaarアレンジメント (経産省の表現では「ワッセナー・アレンジメント合意」)とは、41ヶ国が参加する国際武器輸出規制の枠組みだが、2013年にソフトウェア技術への規制として「Intrusion Software」と「Surveillance Systems」が追加され、この定義と取り扱いをめぐって2015年前半から大きな議論が巻き起こっているのだ。参加国の顔ぶれは以下で見ることができる。
  また、このサイトのWassenaarアレンジメントの輸出規制対象を示した「Control List」などの書類も、いくつか2015年12月3日付でアップデートされている。

  Wassenaarアレンジメントの「Intrusion Software」への規制に関して、日本語で記述されたものが今のところ著しく少ないが、日本ネットワークセキュリティ協会のこのページも参考になるひとつだろう。

  この件について私も7月に「#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは」のポストを書いた。
  このポストで書いたのは主にアメリカのセキュリティ業界の反応についてだったが、それはアメリカのセキュリティ企業の製品やサービスが世界的にかなりのシェアを取っていたり、業界をリードしている企業がアメリカに多いことから大きく聞こえて来たためとも云える。しかし実際は、Wassenaarアレンジメントへの「Intrusion Software」「Surveillance Systems」の追加はEU側から提案されたものであり、EUでの規制の進められ具合はアメリカと違っている。EUでは、Wassenaarアレンジメントの条文に基づいた内容の規制案が今後2年かけて用意されるようだ。

  さらに、Wassenaarアレンジメントとはその名のとおり「アレンジメント」なので、「条約 (Treaty, Convention)」のような国際法的拘束力はなく、そのため参加国政府は国内での規制措置を用意することになっているが、法律の制定までは行うことは求められていないので参加各国それぞれでの規制状況は必ずしも足並みが揃ろっているわけではないようだ。またWassenaarアレンジメントが「Intangible Technology Transfer (無形技術移転)」の制限という枠組みで規制しようとしているのは、攻撃型マルウェアのような「製品」そのものではなく、それらを製作するための「テクノロジー」という物質として存在しないモノだという点が話を複雑にしている。「テクノロジーの輸出」は果たして輸出入の法的規制の枠組みで対処できるものなのか?という疑問があるからだ。

  Wassenaarアレンジメントへ「Intrusion Software」と「Surveillance Systems」が追加された理由は、2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発した「FinFisher」などのサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、そのような「ソフトウェア兵器」にあたるものも輸出規制をするべきという機運が高まったためだ。2013年のWassenaarアレンジメントの改訂が紹介された理由などは以下の記者会見ビデオが詳しい。何も規制が無い状態よりもとにかく何か始めるべき、というのが提案者から何度か強調されている。
Controlling Surveillance: Export Controls as a Tool for Internet Freedom, Mar 25, 2014


  この記者会見にも参加しているが、Wassenaarアレンジメントへの「Intrusion Software」と「Surveillance Systems」の追加議論に関して初期から関わっていた Collin Anderson が詳細な検討の資料を作っている。
Considerations on WASSENAAR ARRANGEMENT CONTROL LIST ADDITIONS FOR SURVEILLANCE TECHNOLOGIES Authored by Collin Anderson
New white paper recommends targeted approach to controlling export of surveillance technologies

  ところが、CCCでのWassenaarアレンジメント・パネルで明らかになったように、スパイ用マルウェアなどの製作販売を行うイタリアのHacking TeamがWassenaarに準拠した輸出業者として認定されるという展開では、このアレンジメントによる「Intrusion Software」や「Surveillance System」の輸出規制の実効性には疑問を持たざるをえないと思える。この輸出規制は、その事業者の存在する国の政府や監視機関が積極的に行動しない限り実現しないし、もし政府方針が輸出に協力的ならば有名無実になりうるだろう。Hacking Teamは、2015年の始めからプレスリリースで「Wassenaarを遵守する」と言ってきた。しかしその時点でイタリア政府が輸出業者としての認定を出すかどうかの審査は果たして規制寄りだったのだろうか。

  また、スパイウェアFinFisherを独裁国家政府などへ製作販売していたイギリスのGamma社は、このソフトウェアの独裁政府による使用での人権侵害について追求していた英NGOのPrivacy Internationalが提訴するなどしたため、イギリスから他国へ本社を移動している。

  現状のWassenaarアレンジメントは、参加国から参加国あるいは参加国から非参加国への輸出を規制する仕組みであり、非参加国同士での移動は当然まったく規制から自由だし、非参加国から参加国への輸入についてどのような扱いなのかも疑問になる。例えば、Wassenaarアレンジメント参加国同士では、ウィルスの検体の移動すら規制対象に該当しうるという解釈のために悲鳴が上がっているのに、非参加国同士ならまったく制限がない。実際、多数のセキュリティ企業があるイスラエルや中国やインドは非参加国だし、アジア圏では日本と韓国しか参加していないので、レベルの高いハッカーコンファレンスが開催されているマレーシアやシンガポールや香港や台湾も非参加国だ。

  どうやらWassenaarアレンジメントの前提になっているのは、開発に高度な技術が要る兵器やソフトウェアはいわゆる「先進国」のみが作れるので、Wassenaarへそれら「先進国」を参加させることで規制できるという発想だが、その発想自体がすでに疑問なものといえる。

  さらに、現状のWassenaarアレンジメントでは、個人のセキュリティ研究者や小規模独立系セキュリティ企業が最大の影響を受けることが状況的に明らかになって来たことが、これが議論の俎上に上がっている理由のひとつだ。
  例えば、アメリカの法律に基づく解釈では「Deemed Export」という概念があり、これは口頭で伝えるだけでも輸出に該当してしまうという解釈になる。これでは、多数の国籍の従業員で構成されたセキュリティ企業で、Wassenaar非参加国の従業員が含まれていた場合、ウィルスに関しての技術情報を口頭で伝えるだけでWassenaarアレンジメント違反になってしまう。

  また、オープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればWassenaarアレンジメントの規制から除外されることになっているが、これも話は単純ではない。例えばMetasploitにはオープンソース版と商用版があるが、もしWassenaar非参加国でのペンテストの業務があるとして実施のためにスタッフがMetasploitをツールとして持って入国するには、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitを持って行くならば輸出業者として登録しなければならいない事になる。
  あるいは、どのようなオープンソース・ソフトウェアであっても実際にコードが書かれる前の、プログラマーの頭の中で考えている段階ではソースコードはまだ公開されていない。ということは、ソースコードが頭の中にあるプログラマーがWassenaar非参加国に入国すると、Wassenaarアレンジメント違反という解釈ができうる。これらの例は、CCCでのWassenaarパネルで実際に出た話題だ。

  アメリカの商務省でのWassenaarアレンジメント対応規制については、2015年7月のパプリックコメントを反映した新しいドラフトが今年出てくるであろう。EUでは今後2年間かけで対応する規制を作ると言われているので、すでにそれへ向けてセキュリティ協会から意見を注入しようとする動きがある。

  しかし、結局は「Wassenaarアレンジメント」の条文自体を修正しなければ問題はなくならないだろう。それに向けてのセキュリティ関係者の動きも起きている。
Overhaul Wassenaar or ruin next Heartbleed fix, top policy boffin says

  上記の Collin Anderson は、日本のセキュリティ業界からも意見を求めている。Wassenaarアレンジメントの対応への不安や興味のある方は、以下のURLのアンケートに英語だが無記名で良いので意見を送ってみて欲しい。
Questionnaire on Intrusion Software Export Regulations in Japan (English)

SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

ドキュメンタリー「ゼロデイ」

 ドイツの公共放送機関であるVPROが、ハッキングやゼロデイ脆弱性の取引に関する45分間のドキュメンタリーを制作した。このほど、その英語版がYoutubeで公開された。



 このドキュメンタリーには、Charlie Miller、Joshua Corman、Katie Moussouris、Ronald Prins、Dan Tentler、Eric Rabe(Hacking Team)、Felix Lindner、Rodrigo Branco、Ben Nagy、The Grugq、他大勢が出演している。

Hacking Team社のFlashのゼロデイが複数のエクスプロイトキットとともに押し寄せる

 Hacking Team社の侵害があってから、7月5日になって間もなく大量の情報が一般に暴露された。特記すべきは、同社の顧客情報と、同社が使用してきたAdobe Flash Playerのゼロデイ脆弱性だ。

 最初のゼロデイ脆弱性についての情報が自由に得られるようになって以降、攻撃者達が早速それを使うようになったことを当社では把握した。Kafeineの報告によると、案の定、FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれていた。

 当社のテレメトリによれば、6日から9日まで継続してFlashのエクスプロイトの増加が見られた。

overall_stats (11k image)


 以下は、エクスプロイトキットごとの統計だ。

ek_stats (27k image)


 CVE-2015-5119というゼロデイ脆弱性のセキュリティアドバイザリは7月7日に公開され、パッチは8日に適用できるようになった。そのためパッチ公開から約2日後には、ヒット数が下がり始めた。

 しかし人々がシステムのアップデートを始めたばかりのときに、AnglerのFlashエクスプロイトのヒット数のグラフにまた別の山があった。

weekend_wave_stats (22k image)


 見たところ、さらに2つのFlashの脆弱性、CVE-2015-5122およびCVE-2015-5123が発見されたようだ。これらの脆弱性にはまだパッチが用意されていない。Kafeineによると、この2つの脆弱性の一方がAnglerエクスプロイトキットに追加された。

 Anglerエクスプロイトキットに関して注記しておこう。2番目のグラフをよく見ると、AnglerとHanJuanで共通の統計になっている。これは、当社におけるAnglerのFlashエクスプロイトの検知では、HanJuanのFlashエクスプロイトもヒットするという事実に基づく。

 Anglerで検知されるURLのパターンに異なるものがあることを発見したのち、当社にてこの点を検証した。

angler_vs_hanjuan_urlpattern (9k image)


 当社で双方のキットで使用されているFlashのエクスプロイトを参照したところ、2者はまったく同じであった。

AnglerのFlashエクスプロイト:

anglerek_ht0d_3 (26k image)


HanJuanのFlashエクスプロイト:

hanjuanek_ht0d_3 (23k image)


 この2つのエクスプロイトキットの背後にいる人物の間に強いつながりがあるようだと、かねてから推測されている。たとえば両者は、「ファイルなし」でのペイロードの送信を採用し、暗号方式でさえも同様のものを用いている。おそらくある時点でHanJuanでもこの新しいFlashのゼロデイをサポートするのを目にするだろう。

 ところで、これら新しいエクスプロイトにはまだパッチがないが、当社のユーザはBrowsing Protectionを通じて当該エクスプロイトキットの影響から保護されている。また同時に以下の検出も行われている。

Exploit:SWF/AnglerEK.L
Exploit:SWF/NeutrinoEK.C
Exploit:SWF/NeutrinoEK.D
Exploit:SWF/NuclearEK.H
Exploit:SWF/NuclearEK.J
Exploit:SWF/Salama.H
Exploit:SWF/Salama.R
Exploit:JS/AnglerEK.D
Exploit:JS/NuclearEK.I
Exploit:JS/MagnitudeEK.A


ワッセナー・アレンジメントにおける定義の厄介さ

 (訳補:通常兵器や関連品の)輸出管理体制に関する多国間の申し合わせであるワッセナー・アレンジメントでは、「侵入ソフトウェア」の定義を、コンピュータやネットワーク機能のあるデバイス上で、監視ツールによる検知を回避したり防護手段を打破する目的で、特別に設計または修正されたソフトウェアのこととしている。侵入ソフトウェアは、次のような目的で使用される。データや情報の抽出、システムデータやユーザデータの変更、外部から与えられる命令を実行可能にするためのプログラムやプロセスの標準的な実行経路の変更などだ。

 ワッセナー・アレンジメントでは、監視ツールとはデバイス上で実行されているシステムの振る舞いやプロセスを監視するソフトウェアまたはハードウェア機器だと述べている。これにはアンチウィルス製品、エンドポイントセキュリティ製品、PSP(Personal Security Product)、IDS(Intrusion Detection System、侵入検知システム)、IPS(Intrusion Prevention System、侵入回避システム)、そしてファイアウォールが含まれる。

Wassenaar Arrangement definitions
ソース


 つまり…、当社エフセキュア(やアンチウィルス業界)で「マルウェア」と呼んでいるものは、ワッセナー・アレンジメントの侵入ソフトウェアの定義にぴたりと当てはまるようだ。

 このことが、なぜ興味深いのか?

 米国商務省の1機関である産業安全保障局は、侵入ソフトウェアの輸出について免許を要求するように、規則を更新する提議を行っている。

 また商務省によれば、「輸出品」とは米国から国外の目的地へ送付される「いかなる」品目も指すとのことだ。「品目」には何よりソフトウェアやテクノロジーが含まれる。

パラドックス

 となると…、もしマルウェアが侵入ソフトウェアであり、輸出品にいかなる品目も含まれるなら、米国を拠点とする顧客が欧州のアンチウィルスベンダーにマルウェアのサンプルを提供するには、具体的にどのようにしたらいいのだろうか?真面目な話、顧客はゼロデイ攻撃を行うマルウェアを当社にひっきりなしに送信してくる。世界中の信頼のおけるアンチウィルスベンダーと日常的に交換しているサンプルについても、言わずもがなだ。

予期せぬ結果

 産業安全保障局による提議の関連資料では、次のように記載されている。「ハッキング」ツールを制限しようとするもののうち、侵入ソフトウェアを用いるペネトレーションテスト製品は範囲に含まれる。だが、この範囲から除外されるものについては一切言及がない。つまり産業安全保障局は、顧客がマルウェアのサンプルをアンチウィルスベンダーにアップロードするのを制限することを意図していないのかもしれないが、この新しい規則が採用され、恣意的に適用された場合には、効力を持つ。あるいは、法的にあいまいなまま人々が運用せざるを得なくするだけかもしれない。これが我々が望んでいることだろうか?

 産業安全保障局は7月20日まで意見を募っている

手の届くところにぶらさがっている果実:Flash Player

 現在、Flash Playerバージョン16.0.0.296が公開されている

Flash Player Versions

 インストール済みのバージョンは、WindowsではFlashの設定マネージャーのアプレットで確認できる。

Settings Manager, Flash Player 16.0.0.296

 Adobe Security Bulletin APSA15-01によると、自動更新を有効にしているユーザの場合、1月24日から更新を受け取ることになる。手動でダウンロードする場合には、数日待つ必要がある。

Adobe Bulletin CVE-2015-0311

 手動でのダウンロードが遅れる理由については定かではないが、理由はどうあれ、自動更新を行うことを推奨する。

 それだけでなく、まだある。現時点では「クリックして再生」オプションを有効にすることを推奨する。以下はFirefoxの例で、「実行時に確認する(Ask to Activate)」に設定されている。

Firefox, Flash, Ask to Activate

 Google Chromeにも「詳細設定を表示(Show advanced settings)」の中にオプションがある。

 なぜ「クリックして再生」を推奨するのかって?Flash Playerは現在のところ、エクスプロイトキ 先週からの統計情報を以下に挙げる。Flash Playerのゼロデイの脆弱性を狙うAnglerがエクスプロイトキット市場を牽引していることが、ここから見て取れる。

 フィンランド:

Exploit Kits, January 2015 FI

 ドイツ:

Exploit Kits, January 2015 DE

 イギリス:

Exploit Kits, January 2015 UK

 そして他の地域でも、Anglerが第1位だ。

 なので、Flash Playerをアップデートし、自動更新するように設定し、「クリックして再生」を有効にするといい。

Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


エフセキュア、「クライアントセキュリティ」とFFRIのFFR yaraiの共存動作検証を完了

エフセキュア株式会社は、株式会社FFRIと共同で検証作業を実施し、法人向けセキュリティソリューション「エフセキュア クライアント セキュリティ」および「エフセキュアWindowsサーバ セキュリティ」が、FFRIの標的型攻撃対策ソリューション「FFR yarai」と共存動作が可能であることを確認いたしました。

昨今、特定の組織や企業にターゲットを当てた標的型攻撃が激化しており、組織の規模の大小に関わらず、その対策が急務となっています。

このたびの共存動作検証により、エフセキュアのクライアント向けおよびWindowsサーバ向けのセキュリティ・ソリューション「エフセキュア クライアント セキュリティ」と「エフセキュアWindowsサーバ セキュリティ」が、FFRIの標的型攻撃対策ソリューション「FFR yarai」と組み合わせて利用いただけることが確認されました。標的型攻撃で悪用される未知のウイルスや、ゼロデイ攻撃に対して、異なる検査ロジックを持つエフセキュアの「ディープガード」と「FFR yarai」のエンジンで多層的な防御が可能になり、標的型攻撃に対する対策能力が大きく上昇します。

「エフセキュア クライアント セキュリティ」と「エフセキュアWindowsサーバ セキュリティ」は、第三者評価機関の「AV Test Best Protection Award」を3年連続受賞した高い検知率を誇るウイルス対策ソフトウェアです。これらはPCやサーバのリソースを最小限に抑えて、未知のウイルス対策を行うことを可能にします。またエフセキュア独自のソフトウェア・アップデートの機能を利用することで、OSおよびアプリケーションのセキュリティ・パッチを常に最新に保ち、より強固なセキュリティを維持することができます。

なおエフセキュアは、8月1日(金) 14:00に予定されているFFRI主催のセミナー「レガシーOSを狙った標的型攻撃は多層防御で守る」に共催し、仮想環境でのセキュリティ対策の課題とそのソリューションを紹介をいたします。

セミナー詳細:
http://www.ffri.jp/seminar_all/houseSeminar_20140801.htm

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

DeepGuard 5 vs. Word RTFゼロデイ攻撃CVE-2014-1761

 Wordの最新のゼロデイエクスプロイト(CVE-2014-1761)のサンプルを入手したので、頻繁に尋ねられたある疑問にようやく答えられる。その疑問とは、エフセキュアはこの脅威から保護するか、というものだ。答えを見つけるために、F-Secure Internet Security 2014で保護されたシステム上で当該エクスプロイトを開いた。結果は次のとおり。

DeepGuard 5 blocking CVE-2014-1761 exploit

 当社のInternet Security 2014は、DeepGuardバージョン5に導入されたエクスプロイトの遮断機能を用いて、この脅威をブロックした。そして、もっとも優れているのは、我々がなんら追加や修正をする必要がなかった点だ。2013年6月のDeepGuard 5の最初のリリースですでに組み込まれていたものとまったく同じ検知機能によって、このゼロデイ攻撃がブロックされた。これは、次のことを意味する。つまり、我々がサンプルを手に入れるずっと前から、またマイクロソフトが攻撃について報告する数か月前から、当社のユーザはこの脅威から保護されていた。DeepGuard 5は何度も何度も)プロアクティブなビヘイビアベースの保護の威力を示している。

 マイクロソフトは、2014年4月8日ににこの脆弱性に対するパッチをリリースする予定だ。同時に、マイクロソフトが推奨するmitigations and workarounds(軽減策や回避策)を確認すべきだ。

 また当社は通常の検知にExploit:W32/CVE-2014-1761.Aを追加し、ドキュメントを開く前に当該エクスプロイトを検知するようにした。

 Exploit SHA1: 200f7930de8d44fc2b00516f79033408ca39d610

 Post by — Timo

 4月7日追記:

 以下は短い動画によるデモだ。



NSA:私たちは防衛に大きく偏っていた

 1月7日、Wired誌は「How the NSA Almost Killed the Internet(NSAがほとんどインターネットを殺した方法)」と題するSteven Levy氏の記事を掲載した。

 これは絶対に読む価値がある。

 何といっても、メディアへの情報漏えいに関するタスクフォースを率いるNSA幹部のRick Ledgett氏による以下の部分がある。

 「私たちは防衛に大きく偏っていた。」とLedgett氏は付け加えた。世界中のユーザに影響を与えてきた可能性のある、ある企業のソフトウェアの深刻な脆弱性をNSAが発見した事案について言及したときのことだ。「我々は数日間内部でこれについて議論し、米国政府全体また米国の大半にとって非常に重要な問題なので(当該企業の脆弱性を)開示することを決定した。広範な標的に対して、いつまでも続く好機ではあったのだが。」

Rick Ledgett

 えっ。NSAが責任を持って「ある1つの」深刻な脆弱性を開示した。えーと…。NSAに賞賛を!

 開示に関するこの事例の話は、数多くのゼロデイエクスプロイトや、(JMicron社とRealtek社の)盗まれた証明書で署名されたドライバー、MD5のハッシュ値の衝突、それにStuxnetDuquFlame経由で世界中に解き放たれたCPLINKの脆弱性をほとんど(かなり、どころではない)埋め合わせてしまうものだ。

 我々は防衛に大きく偏っていた?

 お願いだ。これは真面目くさった顔のテストを通らない、というだけのことではない。

サポート終了後の“Windows XP”をどう守るか?

Windows XPのサポート終了が2014年4月9日に迫っています。過去の例では、2010年7月13日にWindows XP SP2のサポートが終了した際には、そのわずか2日後にWindows XP SP2も影響を受ける「マイクロソフト セキュリティ アドバイザリ (2286198)」のゼロデイ攻撃を行うマルウェア“Stuxnet”が出現しています。

そこで、サポート終了後になるべく安全にWindows XPを使用するためにキーマンズネット'Key Conductors'にてポイントを紹介させていただきました。

【1】  脆弱性攻撃がPCに届かないように、ゲートウェイレイヤでウイルス対策をする
【2】  URLフィルタなどを使い、危険なWebサイトへの接続を防ぐ
【3】  脆弱性攻撃を防ぐソフトを導入する
【4】  接続可能な社内サーバなどを制限する





詳細はぜひこちらをご覧ください。
http://www.keyman.or.jp/kc/sec/antivirus/30006602/

本格的に日本を襲い始めたAPT

本日、2013年11月のWindows Updateで一つのゼロデイの脆弱性(MS13-090)が修正されました。

MS13-090
マイクロソフト セキュリティ情報 MS13-090 - 緊急 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

これは実際に日本の組織を狙った攻撃の中で使用されていたものです。

先月のWindows Updateで修正されたゼロデイ(CVE-2013-3893)も日本を狙った攻撃で使用されていました。(エフセキュアブログ : いかにWindows XPが攻撃しやすいか)
「ゼロデイを使って日本を攻撃」というのが立て続けに起こっています。

CVE-2013-3893を使って日本を狙ったキャンペーンはOperation DeputyDogと名付けられ、攻撃元のグループは2012年に米国のセキュリティ企業であるBit9を攻撃していたグループと同一だと言われています。
そして今回MS13-090(CVE-2013-3918)を悪用して日本を攻撃していたグループも同一の攻撃グループであると私は睨んでいます。
今まで日本でAPT(Advanced Persistent Threat)だと騒がれていた攻撃のほとんどは、技術的にAdvancedなものでは無かったのですが、このグループの攻撃は技術的にかなりAdvancedです。

特に政府機関の方や重要な情報を大量に扱う業務の方は、適切にアップデートを行うのはもちろんのこと、その上でEMETを導入してゼロデイ攻撃への対策(緩和策)をしておくことをおすすめします。

2013/11/28追記:
攻撃が練習だったという見方の記事が出ていますが、違うと思います。実際に被害が出ていますし、今さら練習が必要なほどスキルの低いグループではありません。
IEを狙ったゼロデイ攻撃は「練習」?

DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906

 水曜日、我々はマイクロソフトのグラフィックコンポーネントにおけるゼロデイの脆弱性について取り上げた。この脆弱性は、Wordドキュメントを用いた標的型攻撃で活発に悪用されている。

 かいつまんでいうと、このエクスプロイトが当社のInternet Securityに敗北する動画が以下にある。


DeepGuard 5 vs. Microsoft Graphic Component Zero-Day Exploit CVE-2013-3906

 動画内のWordドキュメントは実際の攻撃で使われてきたもので、McAfeeAlien Vaultが分析したエクスプロイトの1つだ。分離された試験用ネットワーク上で、64ビット版Windows 7でOffice 2007を実行する脆弱なシステムを用いて、攻撃を再生成した。動画で実演している通り、DeepGuard 5(当社のビヘイビア・エンジン)のエクスプロイトを捕捉する機能によって、システムを感染から防いでいる。

 さらにDeepGuardは、マイクロソフトのアドバイザリよりも前に、誰も最初のサンプルを目にしたことがなくても、先手を打ってこのゼロデイエクスプロイトから顧客を保護していた。

 その上、DeepGuardの検知機能に何ら追加や修正は必要なかった。約1か月前の、先のマイクロソフトのゼロデイ用と同じ検知ルールセットで、今回のゼロデイがブロックされた。

 これがビヘイビアベースのプロアクティブなエクスプロイト検知の力だ。

 Post by — Timo*

 * 編集メモ:ティモは上級研究員で、(正当に言って)当社が誇るDeepGuardサービスの責任者だ。あっぱれ、ティモ!

マイクロソフトのセキュリティアドバイザリ(2896666) #APT

 月曜日、やる気のある攻撃者に関して書いた。そして昨日、マイクロソフトは「大半が中東と南アジアにて」悪用されている脆弱性について、セキュリティアドバイザリを発行した。

Microsoft Security Advisory (2896666)

 マイクロソフトのサポートではFix itツール(Microsoft Fix it 51004)を提供している。

 以下は、影響があるソフトウェアの一覧だ。

Affected Software

 しかしこの一覧について、疑義が生じているようだ。

 InfoWorldの記事をお勧めする。

  •  Deciphering Microsoft Security Advisory 2896666 on Word zero-day exploit(Wordゼロデイ・エクスプロイトに対するマイクロソフトのセキュリティアドバイザリ2896666の解読)

やる気のある攻撃者が望むものをたびたび手に入れるのはなぜか

 組織外の人から見て経済的な価値を持つ可能性がある情報を保持する企業に、あなたはお勤めだろうか?あるいは、共有ネットワークドライブに保存しているドキュメントへのアクセスを得ると、もしかすると外国で役に立つだろうか?イエス?それなら、おめでとう。あなたは既に、しつこくてやる気のある攻撃者(ときに、ただし稀にだが高度な技術を持つ)の標的になっているかもしれない。

 フィンランドCERTのこちらのプレゼンテーションによれば、フィンランドでさえこうした攻撃が10年近く見られる。昨今では、至る所にある。

 標的型攻撃の好例は、2011年にRSAに対して行われたもので、当社ではティモ・ヒルヴォネンが分析を行った。RSAのネットワークでの感染に関して、ティモがオリジナルのソースを探し、最終的に見つけるまでの話は、この投稿にすべて記載されている。

RSA 2011 email

 RSAは、ある従業員宛てのメールの添付として送付されたドキュメントにより侵害された。このドキュメントには従業員のコンピュータに感染したエクスプロイトが埋め込まれており、攻撃者が侵入するのに不可欠な足がかりとなっている。当該コンピュータから、ネットワーク上の残りのコンピュータを侵害するために移動していくのだ。

 Virustotal経由で我々が受け取ったファイルの中から、ティモはドキュメントを見つけた。Virustotalとは、投稿したファイルをいくつかのアンチウイルス・エンジンでスキャンできるオンライン・サービスだ。ユーザはスキャン結果、つまり悪意がある可能性を確認することができ、またファイルはさらに分析するためにアンチウイルス企業に送付される。Virustotalでは日々数十万のファイルが投稿される様子が見られる。

 悪意あるものを検知するかを確認したいので、我々はVirustotalから送付されるファイルの分析に多大な努力を費やしている。日常的なマルウェアに加えて、不審なユーザがスキャンするために投稿するエクスプロイト・ドキュメントも分析している。

APT animation

 上のすべてのドキュメントにはエクスプロイト・コードが含まれ、脆弱性のあるドキュメント・リーダーでこれらのドキュメントを開くと、ユーザのコンピュータにマルウェアが自動的にインストールされる。ドキュメントからは標的について垣間見ることもできる。このような添付ファイルを受け取ることが予期されるのは、どのような人なのだろうか?

 当社の最新の脅威レポートにて、Jarno Niemelaはこうしたドキュメント一式を取り上げ、そこから文章をすべて抜き出して、用語のクラウドを構築した。

Word clouds

 左側の用語クラウドは、テーマが政治的だと当社で分類したドキュメントからだ。右側のものは、企業をテーマにしていると感じたドキュメントによる。これらのクラウドから、攻撃者の興味を引いているのがどういった分野の類なのか、ヒントが得られる。

 しかしながら、同じトリックが永遠に使えるわけではない。エクスプロイトを添付して十分な数のメールを送ったら、標的は学習、適応する。それだからこそ、「水飲み場型攻撃」という形の新たなトリックを我々は目にしてきた。水飲み場型攻撃は次のように機能する。攻撃者は、標的が訪れると思しきWebサイトを探し出す。Twitterや、Facebook、Appleのようなソフトウェア企業を標的にしたいなら、おそらくモバイル開発用のWebサイトを選択するだろう。政府機関を追っているのなら、アメリカの労働省のWebサイトにIE8用のゼロデイエクスプロイトを仕掛けるかもしれない。その後は単に標的が当該サイトを訪れて、感染するのを待つだけだ。

 そしてまたUSBドライブを使った、古くて優れたトリックがある。

Russia USB G20

 G20首脳に提供されたUSBドライブに実際にマルウェアが含まれていたというニュースを裏付ける情報を、我々は持ち合わせていない。もし真実であるなら、少なくとも攻撃者を楽観性が欠けていると責めることはできない。

 つまり防御はシンプルなのだ。同僚からのメール添付を開かず、インターネットでWeb閲覧をせず、USBドライブを利用しなければよい。もちろん実際には、その他のことも数多く念頭に置いておく必要がある。やる気のある攻撃者から守ることは、非常に非常に困難だ。日々、すべての物事を適切にしておかなければならない。攻撃者はあなたが犯す過ちをたった1つ見つけるだけでよいのだ。悪者たちがそれを得るのは簡単すぎる。そして世の中でこれほど多くの組織が攻撃下に置かれているのは、これが理由だ。

 追伸。こうした攻撃から身を守るためのヒントについて、Jarno Niemelaが今秋のVirus Bulletinにて示したプレゼンテーションを参照するとよい。

DeepGuard 5 vs. IEのゼロデイエクスプロイトCVE-2013-3893

 ネタバレ注意:DeepGuardが勝利。

 今日はPatch Tuesdayで、この後マイクロソフトが月例のセキュリティアップデートをリリースする。

 このアップデートは、直ちにインストールすることを強くお勧めする。なぜならパッチが当てられるInternet Explorerの脆弱性の1つCVE-2013-3893は、すでに現実に悪用されているからだ。CVE-2013-3893を悪用するMetasploitモジュールもリリース済みだ。しかし今日がカギになる。悪い奴らが、他の脆弱性に対するエクスプロイトを開発する目的で、このパッチをリバースエンジニアリングするのはほぼ確実だ。

 ある脆弱性に特化した防御策を1つずつ施して、エクスプロイトから保護し続けるのは、本当の意味で可能なわけではない。より先を見越した防御は、悪用する技術に焦点を合わせることで実現できる。これを念頭に、当社のビヘイビア技術DeepGuardのバージョン5では、主要な機能としてビヘイビアベースのエクスプロイトの遮断が導入された。Webブラウザのようなよく侵害されるソフトウェアのビヘイビアを監視することで、ゼロデイエクスプロイトを含め、まだ目にしたことのない脅威からユーザを保護することができる。

 CVE-2013-3893の脆弱性に基づくエクスプロイト経由でシステムが侵害されるのを、DeepGuardが防ぐ短い動画を以下に掲載する。システムに今日のアップデートがインストールされていないなど、動画中のIEのバージョンは脆弱である。動画内のエクスプロイトは実際の攻撃で使われてきており、FireEye社やDell社で言及されていたもの、つまり0x95というXORキーで暗号化されたrunrun.exeのペイロードに非常に似通っている。なお、この攻撃は分離した試験用ネットワーク上のWebサーバから実施した。

 エクスプロイトはcookieをセットして確認することで、同一システムを2度侵害するのを回避している。一度DeepGuardがエクスプロイトをブロックし、強制的にタブを閉じると、IEはタブを再度開くように試みる。cookieがセット済みのため、JavaScriptコードは当該エクスプロイトを飛ばして、単純にユーザをnaver.comへリダイレクトする。


YouTube: DeepGuard 5 vs. IE Zero-Day Exploit CVE-2013-3893

 言い換えると…、当社の技術により、顧客に卓越した防御機能を提供できる。第0日目に。

 このホワイトペーパー(日本語)で、当社のDeepGuard技術についてさらに詳細に確認できる。今日のアップデートをインストールする間に、読んで楽しんでほしい。

 Post by — Timo

いかにWindows XPが攻撃しやすいか

先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。

cve-2013-3893_onXP
[Windows XPでIE8の脆弱性を悪用し電卓を起動したところ]

攻撃が簡単な理由は、Windows 7ではASLRといってメモリアドレスをランダムに配置する機能が備わっているのに対して、Windows XPではそのような機能が無いため攻撃に利用可能な場所がそこらじゅうにあるからです。

noaslrOnXP
[Windows XPではASLRが有効ではない]

Windows 7ではASLRのおかげで攻撃に利用可能な場所はほとんどありません。

noaslrOn7withoutOffice
[Windows 7インストール直後のIEにはASLRが無効になっているDLLは無い]

しかし、「ほとんどありません」ということは、「少しはある」ということを意味します。例えば、Officeがインストールされている状態でms-help://にアクセスすると、次のように攻撃に利用可能なDLLがロードされます。

noaslrOn7withOffice
[Windows 7でIEにms-help://を読み込ませた際に、ASLRが無効になっているDLLリスト]

CVE-2013-3893で悪用された手口で、Windows 7を攻撃するのにOfficeがインストールされている必要があったのはこのDLLを強制的にロードさせて攻撃に利用するためです。この手口は2012年から報告され、実際に悪用されたこともあったのですが、残念ながらまだ修正されていません。ただ、これだけ毎回悪用されると修正されるのも時間の問題かと思います。

このようにWindows 7では脆弱性発見から攻撃成功にいたるまでは
[脆弱性発見] -> [攻撃に利用可能な場所を調査] -> [攻撃成功]
というステップを踏む必要があるのに対して、Windows XPでは
[脆弱性発見] -> [攻撃成功]
というステップだけですので、攻撃を成功させるのが容易なわけです。

2014年4月にはサポートも切れることですし、XPとのお別れの時期もいよいよ目前に迫ってきましたね。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード