エフセキュアブログ

ダウンロード を含む記事

ネットワークレピュテーションの現状はどうなっているか

ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキットだ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。

全文はBusiness Security Insider 日本語版で。 

スキャンエンジンの現状はどうなってる?

 当社のスキャンエンジンはいかに動作するのか。シグニチャエンジンや他の種類のスキャンエンジンとの違いは何か。人々(技術ジャーナリストや製品レビューを行う人など)が頻繁にこのような質問を我々に投げかける。実際に、そうした質問を先週尋ねられたばかりだ。それなら、この話題について、深く掘り下げようではないか…。

 シグニチャベースのスキャンとは、対象のファイルを判定すべく、ファイル全体のハッシュやファイルの一部のハッシュ群をリストやデータベースに照らし合わせる動作を指す。1980年代、アンチウィルスはおおよそここから始まった。1990年代初頭に多様なマルウェアが出現し、シグニチャベースの手法からより複雑なファイルスキャンエンジンへの進化に拍車をかける触媒となった。

Brain. On a floppy.
1980年代における、新たなサンプルを受け取る方法

 エンドポイントの保護ソリューションには、ファイルスキャンエンジンが含まれる。しかし実際にはファイルのスキャンだけを行っているわけではない。メモリの断片やネットワークストリームといった、あらゆる種類の入力バッファがあればスキャンする。

 ファイルスキャンエンジンは非常に洗練されてきている。アーカイブをトラバースする仕組みを持ち、複数のファイルフォーマットを解析し、静的および動的な解凍や逆アセンブリを行い、スクリプトと実行形式のファイルの双方の実行をエミュレートする。現在の検知は実際のところでは複雑なコンピュータプログラムに過ぎず、クライアント上で直接的に複雑なサンプルの分析を行うように設計されている。最近の検知では、数千の、いや数十万のサンプルを捕捉するように設計されている。かつての日々の、サンプルごとにハッシュ1件というアプローチとは程遠い。

 ご想像のとおり、洗練された検知を構築するには時間を要する。最終的に顧客にリリースするまでに、アナリストはサンプルを収集して精査し、コードを書き、テストを行わなければならない。一方で、かなりシンプルなシグニチャベースの検知は、自動的に簡単に生成することが可能だ。新たなサンプルがやってくると、一連の静的および動的な分析ツールやルールエンジンにかけられる。判定をすばやく配信するためだ。

 それゆえに、新たな脅威が出現した場合、アナリストが適切な検知コードを書く作業を行っている間に、バックエンドの自動ツールが作動し、早期にサンプルをカバーする。今日ではソフトウェアが迅速かつ簡単にインターネット経由でハッシュを参照できるため、こうしたシンプルな検知はローカルのデータベースの更新の一部として配信されることさえない。このクラウド参照メカニズムは、脅威がいつ出現するかに関わらず、出現した脅威から非常に迅速に顧客を保護できるようなるという点でメリットがある。

しかし話はこれで終わらない

 最近のすべてのエンドポイント保護ソリューションでは、複数のメカニズムを用いて、顧客を継続的に保護する。今日のエンドポイント保護がどのように作用するかについて、以下に非常に簡単な概観を示す。

  1. URLのブロック。エクスプロイトキットや他の悪意あるコンテンツを保有するサイトにユーザが晒されないようにすれば、さらなる保護手段の必要性がなくなる。当社では、この大部分をURLおよびIPのレピュテーションクラウドへの問い合わせで実現している。スパムメールのブロックや、メールフィルタリングもここで行われている。
  2. エクスプロイトの検知。エクスプロイトキットを保有するサイトにユーザがどうにかして訪れた上に、脆弱性のあるソフトウェアを実行しているのなら、脆弱なソフトウェアを悪用しようとする試みは、当社のビヘイビア監視エンジンによってブロックされる。
  3. ネットワークスキャンとアクセス時のスキャン。ユーザがメール経由またはダウンロードで悪意あるファイルを受け取ったら、ネットワーク上で、またはディスク書き込み時にスキャンが行われる。ファイルに悪意があることが判明すると、ユーザのシステムから削除される(瞬時に、隔離するために)。
  4. ビヘイビアベースのブロック。仮にそうした悪意あるオブジェクトに対するファイルベースの検知が存在しないとしたら、ユーザは悪意あるドキュメントやスクリプトやプログラムを、開いたり実行するかもしれない。この時点で、悪意ある振る舞いは当社のビヘイビアエンジンによってブロックされ、またもやファイルが削除される。結局のところ、マルウェア配信メカニズムの大半はビヘイビアに基づき簡単にブロックされるのだ。ほとんどの場合、当社が新たな脅威を見つけたときには、それが用いているメカニズムに対応するロジックをすでに大昔に追加している。

 ディスクを研磨するかのように予定されたスキャンを夜実行する昔のアンチウィルスソフトウェアが、現在使われている最新世代のエンドポイント保護へと進化してきた。最新の脅威に対し、エンドポイントを保護する最善の方法の1つは、そもそも被害者と脅威が出会うのを回避することだ。これに失敗しても、複数方面からのアプローチを用いて攻撃の媒介をブロックすることで、その場で攻撃を阻止するための複数の機会があることになる。

 ファイルスキャンとは、「アンチウィルスベンダー」がエンドポイントの保護に用いている多数のメカニズムの中の1つに過ぎない。エクスプロイトの検知およびビヘイビアによるブロックの双方により、実際にあった攻撃の媒介からたびたび守ることができているため、わざわざ(たとえば静的なシグニチャなど)ファイルベースの検知を追加しないことも多い。そして覚えておいて頂きたい。1日の終わりに、常に我々は現実世界の脅威に対して当社の保護コンポーネントの試験を行っている。製品の個別の部分だけでなく、製品全体を用いてだ。

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

PowerShellを悪用したマルウェアが徐々に増加の予感!?

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。

shortcut with powershell

その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル(.ps1拡張子)の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

Anglerを送りつけるSkype経由のマルバタイジング

 最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。

 広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。

Skype Ad

Skype Call Ad
Skypeの広告

 昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。

Spike

URLs

 当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。

http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com
    led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php
http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com
    led to http://staraly1savage.bendovr.com/forums/viewtopic.php

 ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムセキュリティニュースでSkypeのシナリオについて報告がなされている。

 今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。

 もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。

  • ユーザがebay.itを訪れる
  • ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
  • doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
  • adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
  • Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする

 TeslaCryptに感染したマシンには、以下のメッセージが表示される。

TeslaCrypt

 adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.comgsn.comzam.comwikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。

 今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

論文:C&C-As-A-Service

 当社のスレットインテリジェンスチームの研究員であるアーチュリ・リーティオ(Artturi Lehtio)は、C&Cの経路としてサードパーティのWebサービスを悪用する件についての論文を先日のVB2015で発表した。

C&C-As-A-Service: Abusing Third-Party Web Services As C&C Channels

 以下が、その要約である。

 モダンなマルウェアの運用には、セキュアで信頼性があり、検知されない手段でマルウェアの制御や通信(C&C)を行うことが不可欠だ。しかし、通信インフラを自前で設計、実装、維持することは容易ではない。セキュアで信頼性のある通信に関心があるのは、偶然にもマルウェア運用者だけではない。人気のWebサービスもまた、セキュアで信頼性のあるサービスを顧客に提供したいと考えている。加えて、人気のWebサービスは大量の特定困難なWebトラフィックを生み出すという現実がある。そうしたWebサービスは、非常に魅力的に映り始めるだろう。その結果として意外なことでもないが、近年、TwitterやFacebook、GmailといったサードパーティのWebサービスをC&Cサーバとして悪用することが、マルウェア運用者の間で流行りつつあることが見て取れる。

 モダンなマルウェアがサードパーティのWebサーバをC&Cの経路として悪用する方法について、この論文では多数調査している。一般的なサイバー犯罪に始まり標的型の国家のスパイ行為に至るまで実在した例を用い、マルウェアに採用された方式ともっとも頻繁に悪用されたWebサービスの双方について、概観を包括的に示している。この論文ではさらに、マルウェアの運用者がサードバーティのWebサービスをC&Cの経路として悪用した場合にもたらされるメリットおよびデメリットを分析している。最後に、こうした方法がマルウェアの検知や回避に及ぼす課題について検証する。

 アーチュリの講演のスライドは、Virus Bulletinでダウンロードできる。

 また、論文「C&C-As-A-Service」はここにある[PDF]。

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

エフセキュアのFreedome、2015年「Meffy Award」Consumer Trust部門を受賞

英国に本部を置くMobile Ecosystem Forum(モバイル・エコシステム・フォーラム:MEF)が19日夜にロンドンで開催した「Meffy Award」授賞式において、インターネットに対する消費者の信頼を強化するエフセキュアの取り組みが評価されました。エフセキュアのVPNソリューションFreedomeが2015年 Meffy awardのConsumer Trust部門を受賞し、オンライン・プライバシーのソリューションを提供するFreedomeの実力が証明されました。

最近行われた複数の調査から、インターネットサービスの信頼性に関して消費者が常に懸念を抱いていることが明らかになっています。欧州連合の世論調査Eurobarometer(ユーロバロメーター)の調査では、個人情報保護に関して、回答者の63%がインターネットサービス会社を信頼していないと答えています*。米調査機関PEW Research Center(ピュー・リサーチ・センター)が米国で実施した調査でも「さまざまな企業・組織の中で、個人情報保護について最も信頼性が低いのはインターネットサービス会社」であったことが明らかになり、66%から79%の回答者が、インターネット接続業者が収集したネット上でのユーザの行動履歴がきちんと保護されているか、確信が持てないと答えています**。

Mobile Ecosystem Forum CEOであるリマ・ペレルミューター氏は次のように述べています。「Mobile Ecosystem Forumは長年にわたり、消費者の信頼強化に貢献するベストプラクティスを推進してきました。今年の『Meffy Award』Consumer Trust部門を受賞したエフセキュアは、モバイルエコシステムで重要な役割を果たしており、モバイルアプリやサービスの利用に対する消費者の信頼強化に貢献する取り組みが高く評価されました」

プライバシー・セキュリティ対策アプリFreedomeは、通信の暗号化、インターネットのトラッキングや悪意のあるウェブサイトのブロック、ジオブロック(地域制限)のあるウェブサイトやストリーミングサービスにアクセスするための仮想ロケーションの変更などを可能にします。Freedomeの保護機能を利用すれば、インターネット上のプライバシー保護をユーザ自身がコントロールできるようになります。Freedomeはデジタルサービスの利用に対するユーザの信頼強化に寄与すると同時に、ユーザが安心して利用できるデジタルエコシステムの発展に重要な役割を果たしています。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「今回Freedomeが『Meffy Award』Consumer Trust部門を受賞したことを大変喜ばしく思います。エフセキュアは安全なインターネット環境の創出において、消費者の信頼と個人情報保護を戦略の中核に据えています。今回の受賞は、デジタルの自由を提供するエフセキュアに大きな成果をもたらすとともに、プライバシー保護に貢献するFreedomeの優れた実力が証明されました」

「Meffy Award」のConsumer Trust部門は2012年に新設され、モバイル機器ユーザにとって信頼性の高い環境・サービスづくりに取り組む企業・組織に与えられます。受賞者の選定にあたっては、業界ベストプラクティスの遵守やプロセスの透明性のほか、使いやすさや管理のしやすさに基づいた審査が行われ、信頼性の向上がモバイルサービスの理解促進にどのように貢献したかも評価されます。

Freedomeに興味のある方は、Windows PC、AppleのOS X、Android、iOS、Fire対応のバージョンが、現在14日間無料の試用版ダウンロードでお試しいただけます。

*出典:http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf
**出典:http://www.pewinternet.org/2015/05/20/americans-attitudes-about-privacy-security-and-surveillance/

詳細情報:  
エフセキュアFreedome 
モバイル・エコシステム・フォーラム「Meffy Award」Consumer Trust部門

SLocker v.s. Marshmallow

 AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な(そして下劣な)やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか?

 手始めに、SLocker v.s. Lollipopを確認してみよう。

 マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid(ポルノドロイド)」と呼ばれるアプリをダウンロードさせる(まあ、たぶん男性(men)ばかりだが)。

Porn Droid app

 典型的には、よくありがちな過剰なパーミッションが要求される。

PornPro app permissions

 そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

PornPro permissions continued

 もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

This app contains a virus

 しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

Disguised request for admin permissions
Update patch installation

 この「Continue」ボタンは?これは、デバイスの管理者権限の要求を分かりにくくしている(もちろん、非常に重大な欠陥だ)。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

 以下はFBIをテーマにしたランサムウェアだ。

Slocker's FBI Warning

Slocker's FBI Warning

Slocker's FBI Warning

 一見したところでは、FBIが罰金(fine)ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

PayPal My Cash

 SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

 以下の例では、Zimryの席の上の天井に向いている。

Slocker tries to take a picture.

 そして、おまけにPRISM(訳注:NSAの通信監視プログラム)のロゴが付いている。

FBI Mission: PRISM

 この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

 コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

 比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

 しかし、現在は…。

 Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか?

 良いニュースがある!SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

Activate Device Administrator

 しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

 ハッシュ:

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

 

 Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


ロボットメールが届きました

 今朝、通勤途中に、BBC World ServiceのClickのポッドキャストを聞き、Posti(フィンランドの郵便事業者)がドローンによる配達の試験を行っていることを知った。


http://www.posti.fi/lennot/
情報源:Posti

 PostiのYouTubeチャンネルには「robottikopteri」の動画がある。

 偶然にも昨晩、徒歩で家に帰るとき、我が家の近所を飛び回るクワッドコプターの音を聞いた。時代の表れだろうか?頭上のドローンというUAVに、我々全員慣れる必要が出てくるのだろうか?

 ドローンやUAVの技術によって生じる多々の可能性や賛否両論について、より詳しい議論はClickのこちらのエピソードで確認できる。

 @5ean5ullivan



これは罠だ!

 身の回りに気を付けよう。単純な餌は、しばしば最大の効果を発揮する…。

 ここに最新のスパムメールの例を挙げる。次のような名前で添付されたExcelファイルだ。

Payment instruction & Swift.xls
Payment instruction & Swift.xls
マクロベースのマルウェアが添付された「Payment」マルウェア

 このExcelの添付ファイルには悪意のあるマクロプログラムが含まれており、DarkComet RATのダウンロードおよびインストールを試みる。エフセキュアではこの添付ファイル(および類似のもの)をW97M.Downloader.Cとして検知する。

 ひどい代物だ。

 この餌についてだが…、スパムメッセージは私の「Bulk」フォルダに行きつく。なぜか?直接私に宛てられていないメッセージは、そちらへ追い払うルールを適用しているからだ。攻撃未遂者はBcc:フィールドを使用しているため、もっとも信頼度の低いフォルダにこうしたメッセージが行き着くことを確実にしているのだ。読者の皆さんや、もっと重要なのは皆さんの所属する組織の支払担当の人については、どうだろう?この罠を開いて実行しやしないだろうか?そうかもしれない。人間なのだから。

 ヒューマンエラーの機会を減らそう。Officeファイル中のマクロを無効にするのだ。

 @5ean5ullivan



iOS 8.4.1のセキュリティの中身について

 iOSのバージョンが新しくなると、いつも私はセキュリティアップデートについてもっと知りたくなる。

 アップルのサポートでは、「Apple security updates」という中心的なページを用意している。ここでiOS 8.4.1のアップデート情報が得られる。それによると71件の脆弱性に対応している。

iOS 8.4.1 security
iOS 8.4.1で対応した71件のCVE(Common Vulnerabilities and Exposures)のうちの4件

 今回のアップデートはファイルサイズとしてはたいして大きいわけではないが、iOS 9が近日提供されるとしても、当該アップデートを適用する価値はあるだろう。

 このアップデートはiOSデバイス上で「設定>一般>ソフトウェア・アップデート」と辿るとダウンロードできる。

 @5ean5ullivan



APT攻撃を行うDukeグループの最新のツール:クラウドサービスとLinuxサポート

 ここ数週間で、Dukeグループのツールセットに2つの補強メンバーが登場したことが判明した。SeaDukeとCloudDukeだ。これらのうちSeaDukeはシンプルなトロイの木馬で、Pythonで書かれている点が興味深い。さらに不思議なことに、SeaDukeはWindowsとLinuxの両方を同時にサポートしている。我々が観察してきたDukeグループによるマルウェアとしては、初のクロスプラットフォームのマルウェアである。SeaDukeはクロスプラットフォームであるにも関わらず、単一のトロイの木馬だ。一方、CloudDukeはマルウェアコンポーネントの完全なツールセットのように見える。あるいは、Dukeグループが呼ぶように「ソリューション」なのだろう。これらのコンポーネントには、独自のローダーやダウンローダ、1つではなく2つの異なるトロイの木馬型のコンポーネントが含まれている。C&Cおよび盗んだデータを抜き出すための経路として、Dukeグループはクラウドストレージサービス、とりわけマイクロソフトのOneDriveを使用しているということをCloudDukeが雄弁に物語っている。最後に、CloudDukeの最近のスピアフィッシングキャンペーンの一部は、1年前からのCozyDukeのスピアフィッシングキャンペーンと酷似している。

クロスプラットフォームのマルウェアSeaDukeにLinuxサポートが追加

 先週、シマンテックおよびパロアルトネットワークスの両社はSeaDukeに関する研究内容を公開した。SeaDukeは、Dukeグループが使用するトロイの木馬の武器庫に新たに追加されたものである。これまでのDukeグループによるマルウェアは、常にCおよびC++言語の組み合わせだけでなくアセンブリ言語によっても書かれていた。一方、SeaDukeは珍しくPythonで書かれており、複数のレイヤに渡って難読化がなされている。こうしたPythonのコードは通常、py2exeやpyinstallerを用いてWindowsの実行形式にコンパイルする。しかし今回のPythonのコードは、WindowsとLinuxの双方で動作するように設計されている。それ故、我々が推測するところでは、DukeグループはLinuxユーザの標的に対しても同一のSeaDukeのPythonコードを使っている。DukeグループがLinuxプラットフォームを標的にしたマルウェアを採用したのを我々が目にしたのは、このときが初めてだ。

seaduke_crossplatform (39k image)
SeaDukeで見つかった、クロスプラットフォームサポートの例

マルウェアツールセットCloudDukeにおける新たなソリューション群

 先週、パロアルトネットワークス社およびカスペルスキー社は、各社がMiniDionisおよびCloudLookと呼んでいるマルウェアのコンポーネントについて、研究内容を公表した。MiniDionisおよびCloudLookは、ともに当社がCloudDukeと称するより大きなマルウェアツールセットのコンポーネントだ。このツールセットは、多岐に渡る機能を提供するマルウェアのコンポーネント群から構成される。さらに、共有コードフレームワークに部分的に依存し、常に同じローダーを用いている。当該サンプルの中で見つかったPDB文字列に基づくと、マルウェアの作者はCloudDukeのコンポーネントを「DropperSolution」「BastionSolution」「OneDriveSolution」などと「ソリューション(solution)」と呼んでいた。我々が観察したPDB文字列の一覧を以下に示す。

C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
c:\BastionSolution\Shells\Projects\miniDionis2\miniDionis\obj\Release\miniDionis.pdb
c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

 我々が最初に観察したCloudDukeのコンポーネントは、内部的に「DropperSolution」と呼ばれているダウンローダである。ダウンローダの目的は、被害者のシステムにさらなるマルウェアをダウンロードして実行することだ。もっとも多く観察されたケースでは、当該ダウンローダは侵害されたWebサイトへの接続を試み、暗号化された悪意あるペイロードをダウンロードして、復号と実行を行う。ダウンローダの構成されていた状況によるが、一部の例ではまず手始めにマイクロソフトのクラウドストレージサービスOneDriveへログインし、そこからペイロードを取得することを試みる。OneDriveでペイロードが得られなければ、ダウンローダは侵害されたWebサイトからダウンロードするという、先に述べた方法へ逆戻りする。

 また、CloudDukeツールセット中に、2つの異なるトロイの木馬のコンポーネントが観察された。1つ目は内部的に「BastionSolution」と呼ばれており、パロアルトネットワークス社が同社の研究において「MiniDionis」としているトロイの木馬である。興味深いことに、BastionSolutionは機能的にはSeaDukeの完全なコピーのように見える。唯一の実質的な違いは、プログラミング言語の選択だけだ。BastionSolutionはまた、内部的に「Z」と呼ばれているらしいコードフレームワークをかなり使っている。このフレームワークは、暗号化、圧縮、ランダム化、ネットワーク通信などの機能を持つクラスを提供している。

bastion_z (12k image)
トロイの木馬BastionSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 暗号化やランダム化のクラスのように、同じ「Z」フレームワークに由来するクラスは、CloudDukeツールセットのもう1つのトロイの木馬型のコンポーネントでも使用されている。この2番目のコンポーネントは内部的には「OneDriveSolution」と呼ばれている。C&Cの経路としてマイクロソフト社のクラウドストレージサービスOneDriveに依存しているため、とりわけ興味深い。これを実現するため、OneDriveSolutionは事前に設定されたユーザ名とパスワードでOneDriveにログインを試みる。成功すると、続いて被害者のコンピュータからOneDriveのアカウントへデータのコピーを始める。また同時に、マルウェアが実行すべきコマンドが格納されたファイルをこのOneDriveのアカウントから探す。

onedrive_z (7k image)
トロイの木馬OneDriveSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 すべてのCloudDukeの「Solution」は同一のローダーを用いている。このローダーはあるコードの一部分となっているが、それは埋め込まれて暗号化された「Solution」を復号したり、メモリに読み込んで実行することが主目的であるコードだ。Dukeグループは自身のマルウェアのためにローダーをたびたび利用するが、以前彼らが使っていたローダーと異なり、CloudDukeのローダーはずっと融通が利く。最終的なペイロードの読み込みおよび実行に複数の方式をサポートしており、また追加的なマルウェアコンポーネントをディスクに書き込んで実行する機能があるのだ。

CloudDukeのスピアフィッシングキャンペーンと、CozyDukeにおける類似性

 CloudDukeはこのところスピアフィッシングメール経由で広がりを見せている。報告されているところでは、米国防衛省のような組織などが標的にされている。こうしたスピアフィッシングメールには侵害されたWebサイトへのリンクが含まれており、サイト上にはCloudDukeの実行ファイル群を含むzipファイルが置かれている。大半の場合、このような実行ファイルを実行することで、被害者のハードディスクに2つの新しいファイルが書き込まれることになる。両ファイルのうち1つ目は、音声ファイルやPDFファイルのような囮だ。一方でもう1つのファイルは、いわゆる「DropperSolution」というCloudDukeのダウンローダが埋め込まれた、CloudDukeのローダーである。こうしたケースでは、被害者には囮ファイルが提示され、バックグラウンドではダウンローダがCloudDukeのトロイの木馬である、「OneDriveSolution」または「BastionSolution」のいずれかのダウンロードへと進む。

decoy_ndi_small (63k image)
CloudDukeのスピアフィッシングキャンペーンで採用された囮ドキュメントの例。攻撃者がここからコピーしているのは明らかだ

 だが興味深いことに、当社でこの7月に観察した、CloudDukeの別のスピアフィッシングキャンペーンの一部は、2014年7月初めという、ほぼ1年前に見られたCozyDukeのスピアフィッシングキャンペーンに驚くほど似ている。これら双方のスピアフィッシングキャンペーンでは、囮のドキュメントはまったく同一のPDFファイル「US letter fax test page」である(28d29c702fdf3c16f27b33f3e32687dd82185e8b)。同様に、悪意のあるファイルが置かれたURLは、双方のキャンペーンにおいて、eFaxと関連があるようなものになっている。また興味深いことに、CozyDukeに触発されたCloudDukeのスピアフィッシングキャンペーンでは、メール内でリンクが張られた悪意のあるアーカイブのダウンロードと実行を行うと、CloudDukeのダウンローダの実行につながるわけではなく、「BastionSolution」が実行されるのだ。つまり、その他のCloudDukeスピアフィッシングキャンペーンのために記述された処理が、1ステップ飛ばされる。

decoy_fax (72k image)
CloudDukeおよびCozyDukeの双方のスピアフィッシングキャンペーンで採用された囮の「US letter fax test page」

検出回避のために、クラウドサービスがますます使用される

 Dukeグループが彼らの作戦の一部として、クラウドサービス全般やMicrosoft OneDriveを使ったのを、我々が目にしたのはCloudDukeが初めてというわけではない。今年の春頃、当社はCozyDukeの研究結果を公開 し、そこで次の点を述べた。すなわちCozyDukeは、盗んだデータをこっそり運び出すために時にOneDriveアカウントを直接的に用いたり、あるいはまた時には同じOneDriveアカウントから追加のコマンドを含むファイルを取得する。

 こうした以前のケースにおいて、Dukeグループは補助的なコミュニケーション手段としてOneDriveを使用するだけであり、依然として、動作の大半においてC&Cの経路を従来のものに頼っていた。そのため、実際のトロイの木馬をダウンロードしてコマンドを渡すところから、盗んだデータを最終的に持ち出すところまで、作戦の各ステップにおいてCloudDukeが本当にOneDriveのみに依存するようになったことは、興味深い。

 C&Cの経路としてOneDriveのようなサードパーティのWebサービスにのみ依存することによって、Dukeグループはよりうまく検出をかいくぐろうとしたのだと我々は考える。組織のネットワークから、未知のWebサーバへ大量のデータが転送されたら、いともたやすく疑いが生じる。しかし、人気のあるクラウドストレージサービスへデータを転送するのは普通のことだ。攻撃者が大量の盗んだデータを秘密裏に転送するのにより適した方法とは、人々が正規の理由で同じデータを日々転送するのと同じ方法である(たまたまだが、サードパーティのWebサービスがC&Cの経路として使用されることの影響を題材にした講演が、VirusBulletin 2015カンファレンスで行われる予定だ)。

限りある資源を、検出を回避し防衛側に先んじることへ回す

 多目的なマルウェアツールセットを1つ開発するのですら、細かいことを置いてくとして、時間と資源を要するものだ。したがって、異なるツールセット間でフレームワークをサポートするなど、コードの再利用を試みることは理に適っているように思える。しかしながら、SeaDukeとCloudDukeのコンポーネントBastionSolutionにおいて複数のプログラミング言語で同じコードを書き直したことによって、Dukeグループはさらにもう1歩進んだようだ。内部は似通ってはいるが、外部ではまったく違うように見える2つのマルウェアツールセットを提供することにより、時間と資源を節約できる明白な利点がある。これで一方のツールセットが発見されても、2つ目のツールセットの発見にただちに結び付くことはない。

 Dukeグループはロシアと結びつきあることが長い間疑われているが、異常に長い期間、また特に最近は異常な厚かましさで諜報活動を行っている。最近のCloudDukeやSeaDukeのキャンペーンは、Dukeグループが近いうちに活動終了するつもりはないという、明確な兆候のように見える。

 Research and post by Artturi (@lehtior2)

 エフセキュアはCloudDukeをTrojan:W32/CloudDuke.BまたはTrojan:W64/CloudDuke.Bとして検知する。

サンプル:

04299c0b549d4a46154e0a754dda2bc9e43dff76
2f53bfcd2016d506674d0a05852318f9e8188ee1
317bde14307d8777d613280546f47dd0ce54f95b
476099ea132bf16fa96a5f618cb44f87446e3b02
4800d67ea326e6d037198abd3d95f4ed59449313
52d44e936388b77a0afdb21b099cf83ed6cbaa6f
6a3c2ad9919ad09ef6cdffc80940286814a0aa2c
78fbdfa6ba2b1e3c8537be48d9efc0c47f417f3c
9f5b46ee0591d3f942ccaa9c950a8bff94aa7a0f
bfe26837da22f21451f0416aa9d241f98ff1c0f8
c16529dbc2987be3ac628b9b413106e5749999ed
cc15924d37e36060faa405e5fa8f6ca15a3cace2
dea6e89e36cf5a4a216e324983cc0b8f6c58eaa8
e33e6346da14931735e73f544949a57377c6b4a0
ed0cf362c0a9de96ce49c841aa55997b4777b326
f54f4e46f5f933a96650ca5123a4c41e115a9f61
f97c5e8d018207b1d546501fe2036adfbf774cfd

C&Cに使われている、侵害されたサーバ:

hxxps://cognimuse.cs.ntua.gr/search.php
hxxps://portal.sbn.co.th/rss.php
hxxps://97.75.120.45/news/archive.php
hxxps://portal.sbn.co.th/rss.php
hxxps://58.80.109.59/plugins/search.php

CloudDukeを置くために使われている、侵害されたWebサイト:

hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP
hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP
hxxp://files.counseling.org/eFax/incoming/150721/5442.ZIP

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード