エフセキュアブログ

ダウンローダ を含む記事

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


APT攻撃を行うDukeグループの最新のツール:クラウドサービスとLinuxサポート

 ここ数週間で、Dukeグループのツールセットに2つの補強メンバーが登場したことが判明した。SeaDukeとCloudDukeだ。これらのうちSeaDukeはシンプルなトロイの木馬で、Pythonで書かれている点が興味深い。さらに不思議なことに、SeaDukeはWindowsとLinuxの両方を同時にサポートしている。我々が観察してきたDukeグループによるマルウェアとしては、初のクロスプラットフォームのマルウェアである。SeaDukeはクロスプラットフォームであるにも関わらず、単一のトロイの木馬だ。一方、CloudDukeはマルウェアコンポーネントの完全なツールセットのように見える。あるいは、Dukeグループが呼ぶように「ソリューション」なのだろう。これらのコンポーネントには、独自のローダーやダウンローダ、1つではなく2つの異なるトロイの木馬型のコンポーネントが含まれている。C&Cおよび盗んだデータを抜き出すための経路として、Dukeグループはクラウドストレージサービス、とりわけマイクロソフトのOneDriveを使用しているということをCloudDukeが雄弁に物語っている。最後に、CloudDukeの最近のスピアフィッシングキャンペーンの一部は、1年前からのCozyDukeのスピアフィッシングキャンペーンと酷似している。

クロスプラットフォームのマルウェアSeaDukeにLinuxサポートが追加

 先週、シマンテックおよびパロアルトネットワークスの両社はSeaDukeに関する研究内容を公開した。SeaDukeは、Dukeグループが使用するトロイの木馬の武器庫に新たに追加されたものである。これまでのDukeグループによるマルウェアは、常にCおよびC++言語の組み合わせだけでなくアセンブリ言語によっても書かれていた。一方、SeaDukeは珍しくPythonで書かれており、複数のレイヤに渡って難読化がなされている。こうしたPythonのコードは通常、py2exeやpyinstallerを用いてWindowsの実行形式にコンパイルする。しかし今回のPythonのコードは、WindowsとLinuxの双方で動作するように設計されている。それ故、我々が推測するところでは、DukeグループはLinuxユーザの標的に対しても同一のSeaDukeのPythonコードを使っている。DukeグループがLinuxプラットフォームを標的にしたマルウェアを採用したのを我々が目にしたのは、このときが初めてだ。

seaduke_crossplatform (39k image)
SeaDukeで見つかった、クロスプラットフォームサポートの例

マルウェアツールセットCloudDukeにおける新たなソリューション群

 先週、パロアルトネットワークス社およびカスペルスキー社は、各社がMiniDionisおよびCloudLookと呼んでいるマルウェアのコンポーネントについて、研究内容を公表した。MiniDionisおよびCloudLookは、ともに当社がCloudDukeと称するより大きなマルウェアツールセットのコンポーネントだ。このツールセットは、多岐に渡る機能を提供するマルウェアのコンポーネント群から構成される。さらに、共有コードフレームワークに部分的に依存し、常に同じローダーを用いている。当該サンプルの中で見つかったPDB文字列に基づくと、マルウェアの作者はCloudDukeのコンポーネントを「DropperSolution」「BastionSolution」「OneDriveSolution」などと「ソリューション(solution)」と呼んでいた。我々が観察したPDB文字列の一覧を以下に示す。

C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
c:\BastionSolution\Shells\Projects\miniDionis2\miniDionis\obj\Release\miniDionis.pdb
c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

 我々が最初に観察したCloudDukeのコンポーネントは、内部的に「DropperSolution」と呼ばれているダウンローダである。ダウンローダの目的は、被害者のシステムにさらなるマルウェアをダウンロードして実行することだ。もっとも多く観察されたケースでは、当該ダウンローダは侵害されたWebサイトへの接続を試み、暗号化された悪意あるペイロードをダウンロードして、復号と実行を行う。ダウンローダの構成されていた状況によるが、一部の例ではまず手始めにマイクロソフトのクラウドストレージサービスOneDriveへログインし、そこからペイロードを取得することを試みる。OneDriveでペイロードが得られなければ、ダウンローダは侵害されたWebサイトからダウンロードするという、先に述べた方法へ逆戻りする。

 また、CloudDukeツールセット中に、2つの異なるトロイの木馬のコンポーネントが観察された。1つ目は内部的に「BastionSolution」と呼ばれており、パロアルトネットワークス社が同社の研究において「MiniDionis」としているトロイの木馬である。興味深いことに、BastionSolutionは機能的にはSeaDukeの完全なコピーのように見える。唯一の実質的な違いは、プログラミング言語の選択だけだ。BastionSolutionはまた、内部的に「Z」と呼ばれているらしいコードフレームワークをかなり使っている。このフレームワークは、暗号化、圧縮、ランダム化、ネットワーク通信などの機能を持つクラスを提供している。

bastion_z (12k image)
トロイの木馬BastionSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 暗号化やランダム化のクラスのように、同じ「Z」フレームワークに由来するクラスは、CloudDukeツールセットのもう1つのトロイの木馬型のコンポーネントでも使用されている。この2番目のコンポーネントは内部的には「OneDriveSolution」と呼ばれている。C&Cの経路としてマイクロソフト社のクラウドストレージサービスOneDriveに依存しているため、とりわけ興味深い。これを実現するため、OneDriveSolutionは事前に設定されたユーザ名とパスワードでOneDriveにログインを試みる。成功すると、続いて被害者のコンピュータからOneDriveのアカウントへデータのコピーを始める。また同時に、マルウェアが実行すべきコマンドが格納されたファイルをこのOneDriveのアカウントから探す。

onedrive_z (7k image)
トロイの木馬OneDriveSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 すべてのCloudDukeの「Solution」は同一のローダーを用いている。このローダーはあるコードの一部分となっているが、それは埋め込まれて暗号化された「Solution」を復号したり、メモリに読み込んで実行することが主目的であるコードだ。Dukeグループは自身のマルウェアのためにローダーをたびたび利用するが、以前彼らが使っていたローダーと異なり、CloudDukeのローダーはずっと融通が利く。最終的なペイロードの読み込みおよび実行に複数の方式をサポートしており、また追加的なマルウェアコンポーネントをディスクに書き込んで実行する機能があるのだ。

CloudDukeのスピアフィッシングキャンペーンと、CozyDukeにおける類似性

 CloudDukeはこのところスピアフィッシングメール経由で広がりを見せている。報告されているところでは、米国防衛省のような組織などが標的にされている。こうしたスピアフィッシングメールには侵害されたWebサイトへのリンクが含まれており、サイト上にはCloudDukeの実行ファイル群を含むzipファイルが置かれている。大半の場合、このような実行ファイルを実行することで、被害者のハードディスクに2つの新しいファイルが書き込まれることになる。両ファイルのうち1つ目は、音声ファイルやPDFファイルのような囮だ。一方でもう1つのファイルは、いわゆる「DropperSolution」というCloudDukeのダウンローダが埋め込まれた、CloudDukeのローダーである。こうしたケースでは、被害者には囮ファイルが提示され、バックグラウンドではダウンローダがCloudDukeのトロイの木馬である、「OneDriveSolution」または「BastionSolution」のいずれかのダウンロードへと進む。

decoy_ndi_small (63k image)
CloudDukeのスピアフィッシングキャンペーンで採用された囮ドキュメントの例。攻撃者がここからコピーしているのは明らかだ

 だが興味深いことに、当社でこの7月に観察した、CloudDukeの別のスピアフィッシングキャンペーンの一部は、2014年7月初めという、ほぼ1年前に見られたCozyDukeのスピアフィッシングキャンペーンに驚くほど似ている。これら双方のスピアフィッシングキャンペーンでは、囮のドキュメントはまったく同一のPDFファイル「US letter fax test page」である(28d29c702fdf3c16f27b33f3e32687dd82185e8b)。同様に、悪意のあるファイルが置かれたURLは、双方のキャンペーンにおいて、eFaxと関連があるようなものになっている。また興味深いことに、CozyDukeに触発されたCloudDukeのスピアフィッシングキャンペーンでは、メール内でリンクが張られた悪意のあるアーカイブのダウンロードと実行を行うと、CloudDukeのダウンローダの実行につながるわけではなく、「BastionSolution」が実行されるのだ。つまり、その他のCloudDukeスピアフィッシングキャンペーンのために記述された処理が、1ステップ飛ばされる。

decoy_fax (72k image)
CloudDukeおよびCozyDukeの双方のスピアフィッシングキャンペーンで採用された囮の「US letter fax test page」

検出回避のために、クラウドサービスがますます使用される

 Dukeグループが彼らの作戦の一部として、クラウドサービス全般やMicrosoft OneDriveを使ったのを、我々が目にしたのはCloudDukeが初めてというわけではない。今年の春頃、当社はCozyDukeの研究結果を公開 し、そこで次の点を述べた。すなわちCozyDukeは、盗んだデータをこっそり運び出すために時にOneDriveアカウントを直接的に用いたり、あるいはまた時には同じOneDriveアカウントから追加のコマンドを含むファイルを取得する。

 こうした以前のケースにおいて、Dukeグループは補助的なコミュニケーション手段としてOneDriveを使用するだけであり、依然として、動作の大半においてC&Cの経路を従来のものに頼っていた。そのため、実際のトロイの木馬をダウンロードしてコマンドを渡すところから、盗んだデータを最終的に持ち出すところまで、作戦の各ステップにおいてCloudDukeが本当にOneDriveのみに依存するようになったことは、興味深い。

 C&Cの経路としてOneDriveのようなサードパーティのWebサービスにのみ依存することによって、Dukeグループはよりうまく検出をかいくぐろうとしたのだと我々は考える。組織のネットワークから、未知のWebサーバへ大量のデータが転送されたら、いともたやすく疑いが生じる。しかし、人気のあるクラウドストレージサービスへデータを転送するのは普通のことだ。攻撃者が大量の盗んだデータを秘密裏に転送するのにより適した方法とは、人々が正規の理由で同じデータを日々転送するのと同じ方法である(たまたまだが、サードパーティのWebサービスがC&Cの経路として使用されることの影響を題材にした講演が、VirusBulletin 2015カンファレンスで行われる予定だ)。

限りある資源を、検出を回避し防衛側に先んじることへ回す

 多目的なマルウェアツールセットを1つ開発するのですら、細かいことを置いてくとして、時間と資源を要するものだ。したがって、異なるツールセット間でフレームワークをサポートするなど、コードの再利用を試みることは理に適っているように思える。しかしながら、SeaDukeとCloudDukeのコンポーネントBastionSolutionにおいて複数のプログラミング言語で同じコードを書き直したことによって、Dukeグループはさらにもう1歩進んだようだ。内部は似通ってはいるが、外部ではまったく違うように見える2つのマルウェアツールセットを提供することにより、時間と資源を節約できる明白な利点がある。これで一方のツールセットが発見されても、2つ目のツールセットの発見にただちに結び付くことはない。

 Dukeグループはロシアと結びつきあることが長い間疑われているが、異常に長い期間、また特に最近は異常な厚かましさで諜報活動を行っている。最近のCloudDukeやSeaDukeのキャンペーンは、Dukeグループが近いうちに活動終了するつもりはないという、明確な兆候のように見える。

 Research and post by Artturi (@lehtior2)

 エフセキュアはCloudDukeをTrojan:W32/CloudDuke.BまたはTrojan:W64/CloudDuke.Bとして検知する。

サンプル:

04299c0b549d4a46154e0a754dda2bc9e43dff76
2f53bfcd2016d506674d0a05852318f9e8188ee1
317bde14307d8777d613280546f47dd0ce54f95b
476099ea132bf16fa96a5f618cb44f87446e3b02
4800d67ea326e6d037198abd3d95f4ed59449313
52d44e936388b77a0afdb21b099cf83ed6cbaa6f
6a3c2ad9919ad09ef6cdffc80940286814a0aa2c
78fbdfa6ba2b1e3c8537be48d9efc0c47f417f3c
9f5b46ee0591d3f942ccaa9c950a8bff94aa7a0f
bfe26837da22f21451f0416aa9d241f98ff1c0f8
c16529dbc2987be3ac628b9b413106e5749999ed
cc15924d37e36060faa405e5fa8f6ca15a3cace2
dea6e89e36cf5a4a216e324983cc0b8f6c58eaa8
e33e6346da14931735e73f544949a57377c6b4a0
ed0cf362c0a9de96ce49c841aa55997b4777b326
f54f4e46f5f933a96650ca5123a4c41e115a9f61
f97c5e8d018207b1d546501fe2036adfbf774cfd

C&Cに使われている、侵害されたサーバ:

hxxps://cognimuse.cs.ntua.gr/search.php
hxxps://portal.sbn.co.th/rss.php
hxxps://97.75.120.45/news/archive.php
hxxps://portal.sbn.co.th/rss.php
hxxps://58.80.109.59/plugins/search.php

CloudDukeを置くために使われている、侵害されたWebサイト:

hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP
hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP
hxxp://files.counseling.org/eFax/incoming/150721/5442.ZIP

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

悪意あるDNSサーバがFareitを配信する

 昨年、当ブログにて、Fareitが大量のスパムメールで送られていることについて書いた

 2か月後、感染系統に別の手段が追加された。悪意あるDNSサーバを経由させるものだ。

 そのDNSサーバではFareitが使用する悪意あるサーバを指すように設定が書き換えられていて、無防備なユーザが一般的なWebサイトを訪れようとすると警告を出す。曰く「
WARNING! Your Flash Player may be out of date. Please update to continue.(警告。このFlash Playerは古い可能性があります。先に進むには更新してください)」だ。

_flash_update_chrome (2k image)

 「Flash Player Pro」のダウンロードページは、ユーザが訪れようとしていたWebサイトが提供しているように装っている。

_setupimg (90k image)

 「setup.exe」ファイルをダウンロードしても、実際にGoogleから何かバイナリを持ってくることはない。その代わり、ユーザは悪意のあるIPアドレスからFareitのコピーを得ることになる。Fareitはダウンローダ型のトロイの木馬で、情報を盗む。

_urls_1 (72k image)

 当社で把握している最近のサンプルでは、以下に接続してダウンロードする。
 • angryflo.ru
 • reggpower.su
 • 192.163.227.127

 悪意あるDNSサーバを経由したFareitへの感染は、主にポーランドからのものを当社では目にしている。

_map (91k image)

 今年の初めから、ユーザが次のIPアドレスにリダイレクトされるのを観察してきた。
 • 31.192.211.50
 • 85.25.213.208
 • 109.235.51.213
 • 108.62.115.162
 • 188.138.41.85

 一方、以下は悪意あるDNSサーバとして報告されたものの一部である。
 • 184.107.242.162
 • 184.107.232.162
 • 168.144.134.129

 あなたのDNSサーバの現在の設定について詳細を知りたいのであれば、ここで提供されている当社のベータツールを試してみることができる。

 もしあなたのDNSサーバの設定が侵害されていたら、以下の手順を試すことをお勧めする。
 • インターネットからルータを切断して、再設定をする
 • ルータ上のパスワードを変更する。とりわけ、デフォルトのパスワードのままの場合
 • ルータのリモート管理を無効にする
 • ルータを確認、更新して、最新のファームウェアを用いるようにする
 • デスクトップ機をリブートして、DNSキャッシュをクリアする
 • 信用できる最新のアンチウィルスプログラムでデスクトップ機をスキャンする

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

多言語サポート:ありふれたスパムではない

 我々は今年の頭頃、Fareitスパムの急増に遭遇した。Fareitとは、ZeusやCryptowallの配送に使われるダウンローダである。

 最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。

 ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス&サービスセンターから送信されたように装っている。

klm_eticket_ready

 しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。

 たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。

dotpay_blurred_ready

 おまけにこのメールはポーランドの有名ISPを使っている。

nowy_kontrakt_listopad_ready

 そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。

lomake_ready

 文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。

 より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。

 これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。

 以下にWauchosの最近のファイル名を挙げる。

attachments_ready

 2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。

 以下のネットワーク接続を行う。

• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php

 また以下からトロイの木馬を追加的にダウンロードする。

• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe

 これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。

 当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。

Necurs - 有償のルートキット

 Necursとは、マルウェアの検知と除去の試みを妨害するためのカーネルモードドライバで、現時点で最も有名なものだ。GOZ(Gameover Zeus)で使われている。すでにPeter Ferrieによる記事で、Necursドライバの技術的な詳細は網羅的に取り上げられているが、我々は分析中にある興味深い点に気付いた。Nucursは「売り出し中のクライムウェア」モジュールとして段階的に取り込まれているのだ。

 我々がNecursドライバの最古のバージョンを見たのは2011年5月で、スタンドアロン型のマルウェアとしてだった。2012年初頭に、あるトロイの木馬型のダウンローダによってドロップされるのを観測した時点までは、他のマルウェアとの関連はなかった。この時はユーザモードのコンポーネントでしかなかったが、ドライバとしてNecursと呼ばれるようになった。

 GOZに当該ドライバが同梱されているのを目にしたのは、2014年の2月に過ぎない。これで著しく注目度が高まった。GOZボットネットの感染端末は何十万に達するものと推定されており、主にオンラインバンキングによる窃盗に用いられている。

 GOZはNecursが組み込まれる前は、関連するドライバ無しで動作していた。米FBI(Federal Bureau of Investigations)が遮断作戦を開始する約2か月半前に、このボットネットにNecursが加えられたのはかなり好奇心をそそる。

 Necursドライバの設計で興味深いのは、サードパーティが利用する際、作者による修正が一切必要ないところだ。Necursドライバの生成とインストールに使われているドロッパーのコードは、Necursのトロイの木馬型のダウンローダとGOZの双方で同じものだ。つまり作者は、ドライバを利用可能にするために必要なものをすべて提供しているのだ。

 ドロッパーのコードはシェルコードの様式で記述されていてそのまま実行可能であり、このドライバを使ったマルウェアが最終的にどんなものであれ、簡単にソースコードに含めることができるようになっている。

 Necursの顧客にソースコードを渡す必要はなく、単にサービスキーの値を適切に設定するだけで、任意の実行ファイルを保護するようにドライバを簡単に設定できる。保護すべきファイルの名称は、ドライバのサービスキーDisplayNameの値から取得される。

 実際のファミリーが何であれ、ユーザモードのコンポーネントからドライバへ命令を与えられるようにする制御用インターフェイスもNecursに組み込まれている。制御はIRP_MJ_DEVICE_CONTROLというリクエストで実行される。これはDeviceIoControlというユーザモードのAPIを通じて送信できる。

 ユーザモードのコンポーネントが最初に送信しなければならない制御コードは0x220000である。Necursドライバはこれを受信すると、ドライバを制御できるプロセスとして、リクエストを送付するプロセスのハンドルを保存する。このコマンドはブートアップごとに1度しか受け付けない。

 制御プロセスとして保存されるには、当該リクエスト用のIRP.AssociatedIrp.SystemBufferが12バイト長で、なおかつ以下の2つのチェックを通る必要がある。

   •  first_dword ^ 0xdeadc0de == second_dword
   •  first_dword ^ third_dword == リクエストを送信したプロセスのpid

 さらにチェックがあり、制御コードを送信するプロセスの名称はNecursのサービスキーのDisplayNameフィールドと同一でなければならない。これにより、Necursが保護するファイル名に対してアクセスしようとコマンドを送信する、望まぬプロセスを回避している。

 Necursは以下を含め、合計15の別々のIoControlCodeをリッスンする。

   •  0x220000 Necursマスターとしてプロセスを登録
   •  0x22000c Necursドライバのパスを取得
   •  0x220010 Necursのサービスキーの名称を取得
   •  0x220018 Necursドライバを更新(ドライバファイルの中身が、IRP.AssociatedIrp.SystemBuffer内のデータに置き換えられる)
   •  0x22001c Necursドライバをアンイストール
   •  0x220028 pidによりプロセスを終了
   •  0x22002c 名前によりプロセスを終了

 各コマンドを呼ぶコードは、ドライバのインストールも行うドロッパーのコード内に含まれている。

Necurs

 こういった特徴は本質的に、Necursドライバを再販およびサードパーティによる使用にうまく適合させている。これはGOZのトロイの木馬で用いられていることから明白である。ボットネットを遮断する現在の試みは、Necursの最大の「顧客」の運営の妨げになっているようだが、少なくともしばらくの間だけだろう。

 当社はNecursドライバのバリアントをRootkit.Necursとして検知する。

 —————

 Post by — Mikko S

Coremexが検索エンジンハイジャックを取り入れる

 検索エンジンの結果を標的にするマルウェアは、なにも新しいものではない。悪意あるブラウザ拡張もおなじみだ(一般にFacebook詐欺のキャンペーンのようなものに使われる)。しかしごく最近、その双方を試みる、特筆すべきマルウェアファミリーを識別した。我々はCoremexと名付けた。これはブラウザが提供するプラグイン機能を悪用し、GoogleやYahooといった巨大オンライン広告企業を相手に、様々な検索エンジンの結果をハイジャックする。

 Coremexは単独のNullsoftInstaller実行ファイルとして提供され、ドロッパーもしくはダウンローダのいずれとしても動作する。当該実行ファイルの実行時に、ダウンローダは感染したマシンから基本的な情報の収集を始める。たとえば、ユーザ名、感染したワークステーションの名前、プロセッサ、メモリなどだ。情報はC&C(command-and-control)サーバのアドレス178.86.17.32に送付される。これは、バイナリにハードコーディングされている。情報は「2AJQ8NA4」というキーを用いてRC4で暗号化され、最終結果はBase64でエンコードされる。

 ブラウザ拡張スクリプトなどのメインペイロードをC&Cサーバからダウンロードするのを妨げるサンドボックスに対抗する機能が、Coremexにいくつか実装されている。これらの機能は、ブラックリスト化されたプロセスの名前を確認し、感染したマシン上でWMI(Windows Management Instrumentation)を使って「VMware」といった文字列のような、よく知られたサンドボックスのフィンガープリントを検索する。

図1:ハッシュ内のブラックリスト化されたプロセスの名前

Coremex_Blacklisted_ProcessName_By_Hash

図2:ハッシュ内の対サンドボックスの名前

Coremex_AntiSandbox_By_Hash

 対サンドボックスのコンポーネントが非常警報を上げなかったら、Coremexは次にC&Cサーバからペイロードを追加ダウンロードする段階に進む。ただし、マルウェア作者はペイロードのダウンロードに別のC&Cサーバを用いている(少なくとも当社の分析時には)。

 C&Cサーバのアドレスは以下だ。

  •  178.250.245.198
  •  174.127.82.213
  •  192.154.94.253

 以降被害者がChromeやFirefoxを開くと、常にブラウザプロセス内に当該エクステンションが存在するようになる。

 CoremexのJavaScriptは、分析を困難にするため、3階層の高度な難読化がなされている。同スクリプトは水面下でブラウザから提供されるAPIを用いていくつかのイベントを登録し、イベントの発生を待つ。

図3:悪意のあるブラウザ拡張が複数のイベントリスナーを登録

Coremex_Scripts_Event_Listener

 イベントリスナーの1つは1時間に1回起動される。callbackファンクションイベントの実行時に、以下のインチキな検索エンジンのWebサイトへの接続を開始する。

  •  onlinetrack.org
  •  zvtracker.com

 一方、他のイベントリスナーは、感染したブラウザが訪問しようとするURLを解析する役割を持つ。これらのイベントリスナーのcallbackファンクションは、以下の検索エンジンプラットフォームに入力された検索クエリを探す。

  •  Google
  •  Bing
  •  Yahoo
  •  ASK
  •  AOL
  •  AVG
  •  MyWebSearch
  •  Search-Results
  •  Comcast
  •  Delta-Search

図4:Coremexが標的とする検索エンジンプラットフォームの一覧

Coremex_Search_Engine_Hijack

 狙っている検索エンジンプラットフォームが見つかり、URLから検索クエリの解析が成功すると、Coremexは最初に犠牲者が入力した検索クエリをJSON形式に変換する。

Coremex_yoursearchquery

 続いて「http」というキーを用いてJSONオブジェクトがRC4アルゴリズムで暗号化され、結果がBase64でエンコードされる。Base64でエンコードした文字列は、おそらくマルウェア作者が制御する検索エンジンプラットフォームへ送られる。

Coremex_RC4

 サーバからの応答の中には、接続先のWebサイトのリストが入っている暗号化されたJSONオブジェクトが含まれている。これらWebサイトは広告っぽいURLを持つWebページがどこへリダイレクトされるかを規定する。GoogleアドワーズのURLの例では、以下のように見えるだろう。

Google Adwords URL

図5:GoogleアドワーズのURLのパターンを解析する役割を持つコード

Coremex_Google_Ads_URL_Hijacked

 復号したJSONオブジェクトは、以下のような感じだ。
 
decrypted JSON objet

 以下の画面キャプチャは、犠牲者が広告のURLをクリックしたときに動作するCoremexのスクリプトを示している。クリックすると、ハイジャックされた広告のページに導かれ、マルウェア作者が意図した接続先のWebサイトへリダイレクトされる。

図6:GoogleアドワーズのURLがハイジャックされている

Coremex_Google_Ads_Url_Car_For_Sale_768x335
画像クリックで拡大

図7:GoogleアドワーズのページがIFRAMEでハイジャックされている

Coremex_Google_Ads_Page_Hijacking_With_IFrame_768x333
画像クリックで拡大

 ハイジャックされた広告のページへ挿入されたIFRAMEに関して言うと、分析中はサーバが接続先のWebサイトについて応答することはなかった。したがって、ハイジャックされた広告のリダイレクト先の例について、我々はまだ目にしていない。しかし、人気のあるオンライン広告サービスを悪用しようとする、マルウェア作者の意図は明確だ。

SHA1: 62b5427b10f70aeac835a20e71ab0d22dd313e71

—————

Post by — Wayne

AndroidマルウェアがFlash Playerの代金を請求

 Android用の偽の(悪意ある)Flash Playerアプリは何も目新しいものではない。非常に典型的な囮だ。

 しかし最近、計り知れないほど厚かましい「Flash Installer」に遭遇した。

 このインストーラなるものは、別のAndroidマルウェアによってドロップされ、以下のような見た目である。

So-called Flash Player installers
(SHA1: 1398b8369e16a632dae67f3382bc7bcea748749a)

 このアプリが開かれると、ユーザは5ドル支払うように促される。

Instant Download PayPal

 それで、支払ったとして何が得られるのか?adobe.comにあるAdobe Flash Player 11.1.115.81のダウンロード用のリンクだ。その通り。5ドル払うと、本物のソースへのダウンロードリンクを受け取るんだ。

 過去、最悪の、ぼったくりだ。

 他にもYouTube MP3のダウンローダや、Flappy Birdへのダウンロードリンクに対する支払いもある。

Flash, YouTube, Flappy Bird

 買い物をするときは用心を。

—————

Markoが分析を実施

ZeroAccessの防御を破る

2010年に初めて報告されたZeroAccessルートキットを使用することで、リモート攻撃者がユーザのコンピュータをハイジャックし、クリック詐欺とBitcoinマイニングを実行するボットネットにユーザを追加することができます。現在、ZeroAccessはユーザ環境で最も頻繁に検出されているマルウェアの1つです。

ZeroAccessの伝播戦略は、基本的にボットネットオペレータが、地下フォーラムでリクルートした「アフィリエイトパートナー」に配布をアウトソーシングするという驚くべきものです。アフィリエイトは、エクスプロイトキット経由、ファイル共有サービス上、スパム電子メールの添付ファイル形式、トロイの木馬ダウンローダのペイロードなど、複数の戦略をマルウェアの拡散に使用しています。配布方式の多様化により、ボットネットの地理的範囲を効果的に広げ、ユーザがZeroAccessマルウェアとの遭遇を回避することが難しくなっただけでなく、配布に使用されるチャネルが多岐に渡るため、マルウェアの拡散を抑制する取り組みが複雑になりました。

Google Earthで見るZeroAccessボットネットの地図


また、ZeroAccess開発者は長年にわたってルートキットを積極的に変更して分析と検出を混乱させ、アンチエミュレーションとアンチデバッギング、暗号化などの機能を組み込んできました。また、ボットネットオペレータと感染したコンピュータ間の通信をブロックできないように、高度なピア ツー ピア(P2P)コマンドと制御構造も導入されました。ZeroAccessの継続的な開発は否応なしに、マルウェアのエンジニアとアンチウイルス研究者の軍拡競争のようなものになっています。

ZeroAccessファイルが侵入してしまった場合(さらに初めて見つかった場合)、エフセキュアのディープガード・テクノロジの動作分析機能の出番です。マルウェアは技術的に洗練されているものの、どうしても無防備で脆弱性を伴う基本的な側面が1つあります。それは、マルウェアがコンピュータ上で実行する、悪質なアクションです。ディープガードは、ZeroAccessのルーチンに関する広範な研究結果に基づく検出ロジックを使用して、皮肉にも、マルウェアが自らを検出されないようとする試みを見分けることで、マルウェアを認識してブロックすることができます。

ZeroAccess亜種のケースで、ディープガードのプロアクティブな保護が実際に機能している様子を確認することができます。2013年1月22日の深夜にユーザ環境で発生した亜種を、サンプル1と呼びます。下記の図は、亜種が最初に発生したコンピュータによって報告された検出統計情報ですが、これからわかるように、ディープガードは製品において感染の試みを認識してブロックした最初のスキャンエンジンでした。その後まもなく、この特定のサンプルに関連した詳細情報でセキュリティクラウドがアップデートされ、続いて感染の試みを数件ブロックしました。それから24時間以内に、シグネチャ検出のアップデートがリリースされ、エフセキュア セキュリティ製品がシグネチャスキャンエンジンを使用してサンプル1を識別およびブロックしました。

ZeroAccessサンプル1の検出件数 2012年1月23〜25日


ディープガードの技術の詳細について、ホワイトペーパーをご用意しました。
ぜひこちらでご覧ください。

「DevilRobber」のアップデート版が登場

  我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。

  このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。

Pixel_mator

  同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。

DevilRobber v3

  「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。

  我々が分析した「DevilRobberV3」サンプル(1c49632744b19d581af3d8e86dabe9de12924d3c)は、FTP Serverサービスプロバイダからバックドア・インストーラ・パッケージをダウンロードするFTPダウンローダだ。

  インストーラを取得するのに、同マルウェアはハードコードされたユーザ名とパスワードを持つ3つのFTP URLを生成するが、これらはプログラムそのものにコード化されている。パッケージは「bin.cop」という名で、FTPサーバーのルートフォルダに保存される。

DevilRobberV3 downloader

  配布方法が変更されていることに加え、「DevilRobberV3」では情報収集スクリプトに以下の変更がある:

  •  以前のようにスクリーンショットをとらない
  •  以前のようにLittleSnitch(ファイアウォールアプリケーション)の存在をチェックしない
  •  異なるローンチポイント名を用いる
  •  シェルコマンド履歴を収集する
  •  1パスワードコンテンツを収集する(AgileBitsのパスワードマネージャ)
  •  今回はシステムログファイルも収集する

  しかし今回もBitcoinワレットコンテンツを取得しようとする。

Threat Solutions post by — Wayne

あなたが探しているDroidアップデートは存在しない

エフセキュアのThreat Solutionsチームが今日、Android向けの新しい「感染ベクタ」を使用した興味深い脅威を発見した。

  この7月、彼らは「Spyware:Android/SndApps」を分析したが、これはアップデート後、様々な個人情報にアクセス可能になった。アップデート前は、「インターネット」パーミッションを要求するのみだ。ユーザは自分のスマートフォンに既にインストールされているアプリケーションをアップデートする際、パーミッションをあまり注意深くチェックしないのではないかと思う。

  したがって、アップデート方式を介したこのパーミッションのエスカレーションを念頭に置き、同チームは同じトリックを試みる悪意あるアプリケーションのモニタリングを行ってきた。そして今日…彼らは一つ見つけた。

  分析は現在進行中だ。

  我々が現時点で言えることは、オリジナルのアプリケーション(サードパーティのマーケットからダウンロードされた)に、悪意あるコードはないということだ。いったんインストールされると、同アプリケーションはすぐに、アップデートが入手可能であるとユーザに知らせる。そしてその「アップデート」が、「Trojan:Android/DroidKungFu」の亜種をインストールするのだ。

  さらに、オリジナルのアプリケーションの開発者は、自分達のアプリケーションがDroidKungFuダウンローダとして使用されることを意図していたのかどうか、という問題もある。おそらく、開発者のバックエンドが改ざんされたのだろう。

  我々は同アプリケーションを「Trojan-Downloader:Android/DroidKungFu.E」および「Trojan:Android/DroidKungFu.C」として検出している。

SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54

  我々は技術的な詳細を追加するほか、次回の記事で、この「アップデート攻撃」に関するスクリーンショットを掲載する予定だ。

Mac OS Xマルウェアが本格化

  1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。

  その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。

  新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。

  時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。

  先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたGoogle Image Searchリンクを介してばらまかれたトロイの木馬だ。

  こうしたトロイの木馬は、ユーザを騙し、自分のMacが、実際はクリーンなのだが、感染していると思わせる。問題があると信じさせれば、そのユーザは「MacDefender」「MacSecurity」「MacProtector」「MacGuard」という偽のセキュリティ製品をダウンロードし、購入することになる。

  このトリックは実際、かなり説得力がある。ユーザはWebページのようにはまったく見えないWebページにリダイレクトされる。それはMacのFinderのように見えるのだ:

Mac OS X fake
  不格好だが、これはFinderっぽく見えるようにデザインされたWebページだ。

  以下にGoogle Imageサーチが、どのようにユーザをおどかそうとするページに導くかを示す、短い動画がある。



  ユーザは依然として、提供されている偽のセキュリティ製品をインストールしなければならない。同マルウェアの最新バージョンは、ルートパスワードのプロンプトを出すことなく、このトロイの木馬をインストールできる独立したダウンローダを使用している:

Mac Guard installer

Mac Guard installer

  以下は、この不正なアプリケーションがインストールされる際の様子だ:

Mac Security

  ユーザが不正な製品をインストールすると、このアプリケーションは更に、何かに感染しているとユーザに信じさせようとする。これはランダムに開くポルノサイトにより行われる。

Mac Porn

  頑固なユーザでも、自分のシステム上でランダムなポルノサイトが2、3分ごとに次々とポップアップすれば、問題が生じたと思うだろう。

  これらが偽のセキュリティ製品であると気づくことが重要だ。これらはどんな形であれ、システムを保護しはしない。単に理由もなく、ユーザをだまして購入させようとするだけだ。

  これはよくある詐欺であり、実際の感染に関する多くの報告がある。

  Macユーザはどのようにして身を守ればよいのだろう?

  これまで、エフセキュアのMac製品は、我々のオペレータパートナーを通じてのみ利用可能だった。

  しかし本日、我々は「F-Secure Anti-Virus for Mac」のコンシューマバージョンをリリースした。

F-Secure Anti-Virus for Mac

  一定の期間、無料で試用することができる! ライセンスキー「AVMAGL」を使用して欲しい。製品の詳細はここにある。

  「エフセキュア アンチウイルス」は、Mac Trojanを「Rogue:OSX/FakeMacDef」および「Trojan-Downloader: OSX/FakeMacDef」の亜種としてブロックする。

自身をブロックするウイルス

  「Virus:W32/Ramnit」は、2010年に感染が確認されており、多くのマルウェアアナリスト/リサーチャーによく知られている。

  この興味深いウイルスのテクニカルな詳細については、他のマルウェアリサーチャーたちがブログに記事を書いている(たとえばここここにある)。しかし若干の注目すべき技術と、そして「イースターエッグ」が、発見されるのを待っている。

  その興味深い技術の一つは、「Ramnit」が使用するインジェクションメソッドだ。従来の方法とは異なり、ウイルスが停止したスレッドを作成し、メモリ書き込みWindows API機能を使用し、コードの注入を行い、インジェクション完了後、停止したスレッドを再開する。

  このケースで、「Ramnit」を独特の物にしているのは、デフォルトのWebブラウザプロセス、もしくは「svchost.exe」として知られるGeneric Host Process for Win32 Servicesという新しいプロセスを生み出すのに、これがWindows API機能をコールすることだ。この新たに生み出されたプロセスにインジェクトすることで、コードはユーザに不可視となり、ファイアウォールをバイパスすることができる。

  しかし、それ以前に、「Ramnit」は「Ntdll!ZwWriteVirtualMemory」と呼ばれる、マニュアルに記載されていないWindowsネイティブシステムサービスに、インラインフックをインストールする。以下の画像は、このインジェクションの仕組みを示したものだ:

ramnit infection

  フックされたWindowsネイティブシステムサービスは、コードインジェクションルーチンを実行するため、コード実行フローをコーラプロセスに定められたモジュールにリダイレクトする。新しいプロセスでインジェクトされたコードは、バックドアおよびダウンローダ機能のほか、ファイル感染力(Windows実行ファイルとHTMLファイル)を含んでいる。

  「Ramnit」でもう一つ注目すべき点は、上記のプロセスにインジェクトされるDLL内に見られる「イースターエッグ」だ。以下に挙げた同コードのスナップショットが、すべてを説明するだろう:

antidot

  基本的にこのイースターエッグは、レジストリキーにナビゲートし、「WASAntidot」を探す:

antidot

  我々がテストマシンで「WASAntidot」レジストリキーを作成しようとすると、以下のような画面を見ることになった:

antidot activate

  ほら! マシンは「Ramnit」の感染から安全だ!

Threat Solutions post by — Wayne

ソーシャルエンジニアリングが失敗?

  我々はこの2日ほど、スパムメールを介して配布されたマルウェアが実行されているのを目撃している。

  この電子メールメッセージおよびマルウェアは、特に目新しいものではない。メッセージは偽で、デリバリサービスに関連しているよう見せかけている。これに添付されているのが、Trojanダウンローダを含む偽装ZIPファイルだ。

  このZIPファイルが実行されると、ユーザは以下のような画面を見ることになる:

DHL Express Services

  「うーん、DHLからの小包が届いているのか。トラッキングナンバーをチェックするのに、添付書類を確認した方がいいな。ちょっと待てよ。FedExからだったか?」

  ユーザは感染するだけでなく、混乱してしまう。

Threat Solutions post by — Broderick

偽の訴訟通知攻撃

  数日前、悪意あるRTFが添付されたメールに遭遇した。架空の訴訟通知メッセージが含まれているものだ。

  同メールは会社名には言及しておらず、標的型というよりは、無差別型の手法をとっている。

  今日、あるセキュリティ・ブロガーが我々(そして他の人達に)、彼の所に来た以下のメールを転送してくれた:

To Whom It May Concern: On the link bellow is a copy of the lawsuit that we filed against you in<br />court on March 15, 2010. Currently the Pretrail Conference is scheduled for April 15th,<br />2010 at 10:00 A.M. in courtroom #12. The case number is 3478254. The reason the lawsuit was filed<br />was due to a completely inadequate response from your company for copyright infrigement that our client<br />Danilison Inc is a victim of. www.marcuslawcenter.com

  現時点で、この添付書類はMarcus Law Center(以下MLC)へのリンクに置き換えられているようだ。

  MLCサイトに障害が起きているのか、単に完全な偽物なのか、見極めることは難しい。同サイトの企業情報ページのテキストは、あるニューヨークの弁護士サイトの内容を大幅に流用しているが、「良心的な」盗用である可能性もある。

  いずれにせよ、エフセキュアのブラウザ保護機能が、安全のため、悪意あるファイルをホスティングしているサブ・ディレクトリをブロックしている。

  このRTFファイルは、トロイの木馬型ドロッパ(Trojan-Dropper:W32/Agent.DIOY)として作用する埋め込みオブジェクトを含んでおり、これはダウンローダ(Trojan-Downloader:W32/Lapurd.D)をドロップし、次に中国南部に位置するサーバへと接続しようとする。

  我々が確認した以前の添付ファイルも、中国のサーバに接続しようとしていた。

  追記:SANS Diaryによれば、いくつかの.eduサイトが、似たようなメッセージを受けとっているそうだ。

  そのドメイン「touchstoneadvisorsonline.com」は、同じRTF(.doc)ファイルをホスティングしている。

PDFベースの標的型攻撃が増加

  Microsoftは第2火曜日にセキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。

  もしまだなら、そのアップデートをすぐに適用すべきだ。

  何故か?

  何故ならば現在、この脆弱性(CVE-2010-0188)が標的型攻撃で悪用されているからだ(Microsoftも同様)。

  我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20(20カ国財務大臣・中央銀行総裁会議の参加国)へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。

  このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。

  我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。

  2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。

  そして2010年の最初の2カ月はどうだろう?

  そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。

  Adobe Readerを標的とする割合は増え続けている。

  以下は、標的型(スパイ)攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ:

Targeted attacks 2008, 2009, 2010 (Jan/Feb)

  追記:何人かの読者が、グラフ内の2009年のパーセンテージが若干間違っていることに気づき、知らせてくれた。既に修正している。

SEOポイズニングにより60以上のサイトで障害

  60以上のWebサイトが、SEOポイズニングの温床となっていることが分かった。これらのドメインは、検索キーに対する何百もの候補をホストしている。

  また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能性がある。カバーされるトピックは、冬季オリンピックのリュージュの事故から、アレキサンダー・マックィーンの死、全米自動車競争協会のスケジュールにさえ至る。

  不用心なユーザがたまたま、これら障害の起きたサイトが提供しているものに合致する検索キーを入力した場合、検索結果には悪意あるリンクが山のように現れることになる。さらに、結果に不正なリンクがわずかしか含まれなかった頃とは違い、今回は60以上もあり、その多くはトップ10に入っている。この戦略では、ユーザがクリックする可能性が高まる。

search results

  ユーザがリンクをクリックした後、ページが開き、ユーザのシステムをスキャンするように見せかける。その後、偽のシステム感染を表示し、「ソリューション」を提供する…

scanning

  もしそれを実行すれば、システム上に不正なダウンローダを招き入れることになる…

downloading

  そしてその後、その不正物自身が…

security antivirus

  このようなディストリビューションは、ナンバーズ・ゲームをしているかのようだ。より多くのWebサイトを危険にさらし、より多くの検索キーが用いられれば、Scamwareをユーザのシステムに仕込む際に、より多くのユーザが引っかかる可能性があるのだ。これは非常に不正な行いであり、上手くいっているようだ。

  エフセキュア ブラウザ保護は既に、ユーザがこれら障害が起きたドメインを訪問し、そしてその先にある悪意あるサイトにリダイレクトされぬよう保護している。

投稿はChristineとMinaによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード