エフセキュアブログ

トロイの木馬 を含む記事

GameOver ZeuS用のワンクリックテストサイトを構築

 本日、あなたのコンピュータがGOZ(GameOver ZeuS)に感染しているかを確認する、新たな、そして迅速な方法を当社は発表した。先週、当社を含む業界のパートナーと共に、各国の法執行機関が協力してGOZのボットネットを遮断した。

 GOZは破壊されたわけではなく遮断された、という点を認識するのは非常に重要だ。ボットネットの管理者にとって、近い将来、制御を取り戻すことは技術的に不可能ではない。GOZには100万超台のコンピュータが感染した。時間が最も重要である。

 改善を支援するために本日開始したのが、単にwww.f-secure.com/gameoverzeusを訪れるだけで、あなたのブラウザにGOZへの感染の兆候があるかを確認できるサイトだ。素晴らしい点はソフトウェアを何もインストールする必要がなく、また数秒で終了するところだ。

GOZ detection page

 もっと技術寄りの本ブログ読者なら、どのようにチェックが動作するのか疑問に思っていることだろう。我々はかつてそうしたことを行ったことはないが、ここで詳細について述べるべきだと思う。結局のところ、マルウェア自体にちょっとしたいたずらを仕掛けたのだ。これはいつでもおもしろい。

 GOZは、あるいはもっと言えば他のWindows向けのバンキング型トロイの木馬は、ユーザ名やパスワード、その他の認証情報を盗む目的でブラウザに感染する。Amazon.comに訪れるとしよう。

Amazon login page

 GOZが興味を抱いているサイトに、あなたがログインしようとしていることに気付くと、GOZはブラウザ内部から直接的にあなたの認証情報を盗む。どのようにこれを行うのか?興味のあるアドレスをすべて挙げた設定ファイルを含めているのだ。以下はGOZが追跡しているアドレスのリストの一部だ。

Banks in GOZ config

 お気付きのとおり、当該リストには銀行などの金融機関のアドレスが多数含まれる。GOZは正規表現さえもサポートしており、新たなルールを柔軟に作成できる。正規表現を用いているアドレスは非常に攻撃的になる。

Entries in GOZ config

 「攻撃的」とはどういう意味だ?ええと、たとえば、https://www.f-secure.com/amazon.com/index.htmlというアドレスのサイトを訪れようとする。依然として正規表現がマッチするため、GOZはあなたが本当のAmazonを訪れるところだと考える。つまり我々はこれを用いてGOZのボットに「いたずら」をし、あなたのブラウザが感染しているかどうかをたやすく確認しているのだ。

 それではユーザがAmazon.comを訪れたとき、GOZは実際に何を行っているのだろうか?このマルウェアはブラウザ内部で起動しているので、ログインページに入力しているものを見るだけではなく、Webページをあなたが見る前に改ざんすることもできる。感染したブラウザでユーザがAmazonへ行くと、GOZはページ上に追加的なコンテンツを「挿入」する。以下は、挿入を行う部分のコード片だ。

GOZ code for Amazon

 この余分なコードはログインページに新しいフィールドを追加し、続いてその中身を攻撃者が制御するサーバへと送信する。強調した文字列(LoadInjectScript)は後ほど用いる。

 以上をすべてひっくるめて、我々はどのように当該マルウェアを素早くスキャンできるようにしたのか?

 当社の検知用のページwww.f-secure.com/gameoverzeusは、単に当社のサイト上のページなのだが、「amazon」という文字列を含むアドレスのWebページを読み込む。

iframe on GOZ page

 もし感染していれば、当社のこのページを訪れることで、GOZはあなたがAmazonを訪れると考える。たとえ実際はそうではなくても!続いてGOZは当該Webページに自身のコードを付け加える。我々の「偽の」Amazonページが読み込まれると、「セルフチェック」を行って単純にGOZが加えた変更がページ上にあるかを検索する。上で示した「LoadInjectScript」という文字列を検索するのだ(当社の文字列が見つかるという結果にならないように、分解していることに注意)。

goz_check function

 ページ上に当該文字列が見つかったら、GOZがあなたのブラウザに感染していることが分かる。

 いつもどおり、いくつかの制限はある。GOZがサポートしていないブラウザ(誰かLynx使ってる?あとはネイティブの64ビットブラウザ)を使用している場合、コンピュータは感染しているかもしれないが、ブラウザにはマルウェアの痕跡はない。そのような場合、確認するにはやはり当社の無料のオンライン スキャナを実行することをお勧めする。また、実際に感染しているなら、スキャナを用いて削除する必要がある。

 US-CERTのアラート(TA14-150A)も参照のこと。

 共有すべきリンクはhttp://www.f-secure.com/gameoverzeusまたはhttp://bit.ly/GOZCheckだ。

GameOver ZeuSが盗んだお金はいくら?

 FBIによる指名手配:Evgeniy Mikhailovich Bogachev。別名「slavik」。

Tovar, Bogachev


 ついに…顔と本名に、悪名高い偽名が結びついた。

 昨日FBIは、よく知られたバンキング型トロイの木馬GOZ(GameOver ZeuS)の運用者に対する、複数の国家による取り組みの成果を公表した

 我々はこれを待っていた。

Tovar, technical assistance provided by

 詳細はGameOver Zeus Botnet Disrupted(GameOver Zeusのボットネットが遮断される)にある。

 本日、我々は(はやる気持ちで)関連ドキュメントを読んだ。そして、GOZがらみの損害額は非常に衝撃的であった。

 以下はGOZの被害者の例だ。

Tovar, GOZ victims

 フロリダの銀行1行で「700万ドル」?えっ。

 また以下は、CryptoLocker(GOZによってドロップされるランサムウェア)の被害者の例だ。

Tovar, CryptoLocker victims

 フロリダのあるレストランでは、レシピが暗号化された?

 それこそ「秘密のソース」だ!

 3万ドルの損害とは、こうしたビジネスにとっては実に大きなコストだ。

 FBIからのこちらの画像によると、2013年9〜12月の間にCryptoLockerは3千万ドルの支払いを得た。

FBI, CryptoLocker Malware

 ではGOZについて挙げると…、これはピアツーピアのボットネットで、「テイクダウン」に対する耐性が高い。警察組織の活動により、現在のところ重要なC&Cインフラはブロックされているが、slavikが副次的な経路を通じて所有権を取り戻すのは時間の問題に過ぎないかもしれない。この間にも、取り戻す努力が行われている。GOZに関係するIPアドレス群は、除去ツールへと向けられている。

 当社の(無料の)オンライン スキャナはUS-CERTのアラート(TA14-150A)に挙げられている。

 当社のメトリックスによれば、実行されたスキャンの数はすでにかなり増加している。

 噂が広まり、運が良ければ、GameOverボットネットは崩壊する。

「ポリス・ランサムウェア」がAndroidのエコシステムに拡大

 クライムウェアでは、Windowsベースの技術がAndroidへと着実に移行している。フィッシング、偽のアンチウィルス詐欺、バンキング型トロイの木馬のコンポーネントと見てきたが、今では…ランサムウェアだ。

 そう。Android用の「ポリス・ランサムウェア」である。当社がこれに付けた名前はKolerだ。

main screen

 クライムウェアのエコシステムは、日常的に接触していたAndroidシステムを長い間、注目していた。ランサムウェアが飛躍を遂げようとしているのを目にするのは、実際のところ大きな驚きというわけではない。

 以下に当該ランサムウェアがどのように動作するのかを示す。

 ブービートラップが仕掛けられた(ポルノ)サイトをAndroid端末で訪れると、セキュリティ侵害が発生する。続いてマルウェアは動画プレイヤーを装って、インストールを求める。これは「enable unknown sources(未知のソース)」の設定がどのように指定されているかに依存する。

 インストールが完了すると、Kolerは電話機の個人情報をリモートサーバへ送信する。この後、不法なポルノサイトにアクセスしたことで電話機がロックされた旨を伝えるWebページをサーバが返す。ロックを解除するために、罰金を支払うように言われる(身代金)。

 Kolerはファイルを暗号化すると主張するが、実際には何も暗号化されない。

 以下のドメインは、Kolerのリモートサーバとしてハードコーディングされている。

  •  mobile-policeblock.com
  •  police-guard-mobile.com
  •  police-mobile-stop.com
  •  police-scan-mobile.com
  •  police-secure-mobile.com
  •  police-strong-mobile.com

 現時点で、Kolerのサーバ群はオフラインだ。Googleのキャッシュで1台のサーバのみ(職場閲覧注意の)コンテンツが見つかるが、マルウェアは削除されている。これらのサーバは米国にホストされている(いた)。whoisでは、電話番号などデンマークおよびロシアのコンタクト情報が出てくる。

 現在のところ、ローカライズした各国のバージョンが30か国以上で見つかっている。コンテンツはWindows版の「ポリス・ランサムウェア」から移植されており、モバイルブラウザ用に整形されている。

 Kolerを削除するには:

 このランサムウェアは戻るボタンを無効にしているが、ホームスクリーンボタンは有効だ。ユーザはたった数秒で、電話機の設定を削除したり、出荷時の設定に復旧したりできる。

 別の選択肢は、サービスメニューに戻り、そこからKolerを削除する方法だ。

 Kolerはまた、adb.exe経由でデバイスへアクセスするのを阻害する。シェルは起動できるが、ファイルの閲覧は許可されていない。

 詳細については、当社のTrojan:Android/Kolerの説明から得られる。

 Analysis by — Mikko Hyykoski

巧妙化するモバイル脅威

エフセキュアの最新版モバイル脅威レポートによると、モバイル脅威の大半が金銭詐取を目的としており、またボットネットやマルウェア開発ツールの存在が確認されるなど、脅威が巧妙化しています。

主目的は金銭詐取

2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威のファミリーもしくは亜種の88%が、不正なアプリのインストールによって有償のSMSを送信するなどの手段で、金銭的な詐取を目的としていることが判明しました。

モバイルのボットネットの広がり

新しい脅威のファミリーや亜種の19%は、秘かにリモートのC&C(コントロール・アンド・コモンド)サーバヘ接続します。不正なサーバに接続したモバイル・デバイスはボットネットを構成し、C&Cサーバをコントロールする攻撃者によって、不正な行為を実行する踏み台として悪用されます。このような不正な行為には、悪意あるプログラムのインストール、情報の収集、SMSの送付が含まれます。

ツールキットの登場

2014年第1四半期は、モバイル脅威の開発の転換期でもありました。そのひとつとして、モバイル脅威のツールキットDendroidの登場が挙げられます。DendroidはAndroid用のトロイの木馬の開発キットで、技術的なスキルを持たなくてもマルウェアの作成を容易にします。過去、PCプラットフォームの脅威の作成をエクスプロイトキットが容易にし拡散させたように、今後はAndroidを標的にした脅威が益々広がることが懸念されます。

モバイル脅威の最新の詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。

Android ‐ 依然として最多のホスト攻撃

2014年第1四半期の新たなモバイル脅威の大半はAndroidユーザをターゲットとし、サイバー犯罪者は、これまでにないAndroidプラットフォームでの数々の脅威によってその現状を「刷新」しました。

エフセキュアの最新版モバイル脅威レポートによれば、2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威の99%以上がAndroidユーザを標的にしていました。検出された新種の脅威ファミリーとその亜種277件のうち、275件がAndroidを標的にし、iPhoneとSymbianはそれぞれ1件ずつでした。前年同期を見てみると、新種の脅威ファミリーとその亜種は149件で、Androidを標的としていたのは、その91%でした。

2014年第1四半期ではこれまでにはなかったAndroidマルウェアが多数検出されています。これは、モバイル環境における脅威が精巧さと複雑さの面で進化し続けていることを示しています。当概四半期には、Litecoinなどの仮想通貨を採掘するためにデバイスをハイジャックする、暗号通貨(クリプトカレンシー)のマイナー(採掘者)が初めて確認されました。またブートキットも初めて見つかっています。これはデバイスの起動ルーチンの最初期段階で打撃を与える、検出や駆除が極めて困難なものです。さらにTorトロイの木馬や、Windowsでのインターネットバンキングを狙うトロイの木馬も初めて確認されています。

エフセキュアラボで主席研究員を務めるミッコ・ヒッポネンは次のように述べています。「こうした進化はマルウェアの作成者が目指す方向に同調している兆候を示しています。今後数カ月のうちにもっと多くのことが判明するはずですが、たとえば、携帯電話がますます高度になることで、サイバー犯罪者がこれらを利用し、暗号通貨を採掘して利益を手にすることが可能になっているのです。」

エフセキュアが第1四半期に評価した中で、英国が最も多くのモバイルマルウェアに遭遇し、ユーザ1万人当たり15〜20ファイル(500人当たり1ファイル)のマルウェアファイルがブロックされました。米国、インド、ドイツでは、それぞれ1万人につき5〜10のマルウェアがブロックされ、サウジアラビアとオランダでは、1万人につき2〜5のマルウェアがブロックされています。

悪質な作為

デバイスに感染するとモバイル脅威はどのような悪意ある行為を行うでしょうか。本レポートでは、モバイルを狙うトロイの木馬の83%がプレミアム課金用の番号、またはSMSベースの購読サービスにSMSメッセージを送信しており、これが悪質なアクティビティの中で最も一般的であることがわかっています。

以下、モバイルを標的とするトロイの木馬による一般的なアクティビティの一覧です。

  • SMSメッセージをプレミアム課金用の番号に送信する
  • 要求していないファイルまたはアプリケーションをデバイスにダウンロードまたはインストールする
  • デバイスの位置またはオーディオ/ビデオを密かにトラッキングし、ユーザを監視する
  • 実際には役立つ機能がないモバイルAVソリューションになりすます
  • ウェブサイトに密かに接続してそのサイトのアクセス数を水増しする
  • バンキング関連のSMSメッセージを密かに監視して詐欺に流用する
  • ファイル、契約書、写真その他の私的データなどの個人情報を盗用する
  • 通常は無料の正規アプリケーションを利用、更新またはインストールするときに「料金」を請求する

iPhoneおよびSymbianの詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。
オンラインバンキングやオンライン閲覧に関する最高のAndroidセキュリティのほか、ペアレンタルコントロール、アプリケーションスキャニング、盗難防止などの機能については、30日間無料のエフセキュア モバイル セキュリティをお試しください。Google Playでも入手可能です。

2014年第1四半期モバイル脅威レポート

 当社の2014年第1四半期のモバイル脅威レポートが公開された!扱っている内容について、以下にいくつか取り上げる。

 新たに発見された脅威の圧倒的多数はAndroidに対するもので(これに驚きはない)、当該期間に目にした新しいマルウェア・ファミリー277件のうち275件を占める。iOSおよびSymbianの新しいマルウェアはそれぞれ1つに過ぎない。

 当社のMobile Security製品のユーザのほとんどが、第1四半期にトロイの木馬に見舞われたことが報告された。これは(主にFakeinstおよびSMSSendの両ファミリーによるもので)SMSを秘かに送信する形態を取る。Android OSの4.2への更新(プレミアムレートのSMSメッセージの送信時にユーザの確認が求められる)が、こうしたトロイの木馬にどのような影響をもたらすか、興味深く見守っている。

 今四半期はモバイルマルウェア開発が盛んで、数々の「初めて」が報告された。まずはC&Cサーバとの通信を隠ぺいする目的でTorが使われた初めてのモバイルマルウェア、Trojan:Android/Torsm.Aがある。初のブートキットTrojan:Android/Oldboot.Aや、電話機を暗号通貨の秘かなマイナーにしようとするトロイの木馬(Trojan:Android/CoinMiner.A)も報告された。

 さらにDendroidというツールキットが挙げられる。これは、いくつかのボタンをクリックするだけでAndroid用のトロイの木馬が作成できることを請け負っており、またどうやら永久保障であるようだ。かつてPCベースの脅威として、ウィルス構築キットやエクスプロイトキットがそうであったように、Dendroidは技術スキルのない人が自身でマルウェアを作成するのをぐっと身近にする。

 そしてこれはすべて2014年の最初の3ヶ月のことなのだ。


 詳細についてはモバイル脅威レポートにある。これはラボのサイトや以下の画像をクリックすると入手できる。2つのバージョンが用意されている。

   •  Web閲覧用(PDF)

2014Q1_MTR_web_small

   •  印刷用(PDF)

q12014_mtr_banner_print_small

被害が集中するAndroid

エフセキュアが発刊している「脅威レポート」の2013年下半期版は、829件にのぼるモバイル脅威の新しいファミリーや亜種が発見されたことを報告しています。このうち97%に相当する804件がAndroidプラットフォームに対する脅威でした。また657件が金銭的な利益を動機としたもので79%を占めており、2012年の同時期の201件(60%)から大幅に増加しています。

脆弱性の現状

デスクトップを標的にしたマルウェアと異なり、2013年時点ではオペレーティングシステムにおける脆弱性を標的にするAndroidマルウェアは一部に限られています。概してAndroidを標的とした脅威は、ユーザとデバイスとの対話メカニズムを悪用した、悪意のあるアプリに集中しています。

悪意あるアプリまたは偽アプリ

マルウェアの犠牲者の数を最大化したいと考えている作成者は、人気のあるアプリ、特にゲームに対する興味を頻繁に悪用します。一般的な手口は、人気のあるクリーンなアプリケーションを再パッケージ化するか、またはトロイの木馬に変え、悪意のあるコードを挿入する方法です。
2013年12月中旬、Google Playストアに登録されている上位20の人気アプリについて、トロイの木馬化されている率を調査した際、最も人気がある20のPlayストアアプリのうち8つのアプリで、複数のトロイの木馬バージョンがサードパーティのマーケットに出回っていました。

マーケットプレイスでのマルウェア

昨今、サードパーティ製のAndroidマーケットは急速に成長していますが、これらがマルウェアの大きな供給源であることが裏付けらました。例えば、Google Playストアを除いた上位4ストアであるAnzhi、Mumayi、Baidu、eoeMarketではサンプルの10%が、悪意のあるマルウェアであることがわかりました。また、すべてのマーケットでマルウェアの割合が最も高いことが判明したのはAndroid159で、そのサンプルの33.3%がマルウェアに分類されました。幸いにも、収集されたサンプルのマルウェア率が最も低いのはGoogle Playで、その率は0.1%でした。



さらに詳細は、2013年下半期脅威レポートの日本語版でご覧いただけます。
http://www.f-secure.com/ja/web/business_jp

エフセキュアとデビッド・ハッセルホフ

 デビッド・ハッセルホフのことを最初に当ブログで言及したのは2011年のことだった(「エフセキュアに監視させてホフを悩ませるな!」参照)。

 2011年のケースでは、「David Hasselhoff Atach(原文ママ)」という機能を持った、リモートアクセス可能なトロイの木馬が関与していた。

David Hasselhoff

 そして現在、2014年に、デビット・ハッセルホフはエフセキュアのFreedome Ambassadorに就任した。

David Hasselhoff

 当社はベルリンで開催されるre:publica conferenceにおいて、デビッドと共にDigital Freedom Manifestoを発表する。本気だよ。

 詳細については、当社のDigital Freedomのサイトを参照してほしい。

偽のMinecraftのAndroidアプリがSmalihookを使用

 先日、Minecraftの偽アプリを分析しているときに、その偽アプリがSmalihookと呼ばれるハッキングツールを使用していることに気付いた。そのためSmalihookついて調べてみた。

 このツールはJavaのファンクションをフックするためのもので、他のフックライブラリとまったく同様に動作する。ファンクションのトリガーをフックしたのち、呼び出し元に任意のものを返すことができる。今回のケースでは、以下のファンクションがフックされる。

  •  getInstallerPackageName(String packageName)
  •  getPackageInfo(String packageName, int flags)

 getInstallerPackageNameというファンクションは以下を行う。

  •  あるパッケージをインストールしたアプリケーションのパッケージ名を取得するこれにより、どのマーケットからパッケージがやってきたのかを識別する

 Smalihookはトリガーをフックすると、当該アプリがGoogle Play Storeからダウンロードされていなくても「com.google.android.feedback」という値を返す。そこから来たように見せかけたいだけだ。

 getPackageInfoというファンクションは以下を行う。

  • システムにインストールされたあるアプリケーションに関するすべての情報を取得する

smalihook (6k image)

 このフックは、2番目のパラメータが定数0x00000040 (64) GET_SIGNATURESを用いているかを監視し、dexファイル内にあるオリジナルのMojang社の証明書を返す(このトロイの木馬型のアプリ自体はデバッグ用の証明書で署名されている)。これは、ベースとしている正規のアプリケーションが認証用のルーチンを含むために行われる。この認証ルーチンは証明書の妥当性を確認し、正規の証明書が見つからなければ実行を中止する。特に、Mojang社のアプリは無料ではないのだから、開発用の証明書を使って署名されたパッケージのアプリケーションが広まることを明らかに望みはしないだろう。

 SmalihookはAntiLVLというクラッキングツール(Android License Verification Library Subversion)の一部のように見受けられる。こうしたツールの目的はライセンス保護システムを破ることで、一般的な種類の攻撃に対して自身が保護されているかをテストしたい開発者に狙いを定めている。

 このツールは公然と提供されており、以下のリンクからダウンロードできる。

  •  http://androidcracking.blogspot.fi/p/antilvl_01.html

 Smalihookも同じページから入手できる。

  •  http://androidcracking.blogspot.fi/2011/03/original-smalihook-java-source.html

 Smalihookの作者は「lohan」というタグを使っているようだ。作者の連絡先情報も同じページに記載されている。

 ちなみにこのサイトには以下の注意書きがある。

androidcracking (7k image)

 「For educational purposes only(教育目的に限る)」いや、待て…。


—————

Post by — Marko

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

Androidを狙った「トロイの木馬」

エフセキュアが発表した201379月のモバイル脅威レポートでは、モバイルを狙った259種のマルウェアのうち88.0%が「トロイの木馬」型 (Trojan) であることが判明しています。




Androidでの「トロイの木馬」の典型的な一例が、FakeDefenderです。これはモバイル機器上に広告として表示されダウンロードへ誘導されます。FakeDefenderはPCでの偽アンチ・スパイウェア・ソフトと同様の、モバイル機器向けの偽アンチ・スパイウェア・プログラムです。広告で謳っているようなスキャニングやマルウェア除去の機能はありません。その代わりにユーザのデータを詐取するなどの動きをします。

モバイル脅威のカテゴリー

エフセキュアセキュリティラボではユーザーのデバイスやデータに与えるダメージに基づいて、モバイルの脅威を「マルウェア」と「潜在的迷惑アプリ(PUA : Potentially Unwanted Application)」の二つのカテゴリーに分類しています。
マルウェアはユーザーのシステムや情報に重大なセキュリティリスクを与えるモバイル・アプリケーションです。さらにマルウェアは、デバイスに不正なリモート操作を実行する「バックドア」、データを詐取したりデバイスのリソースを乗っ取る「トロイの木馬」、Bluetoothなどの接続を通じて他のデバイスへ自己増殖する「ワーム」に分類されます。
また潜在的迷惑アプリ(PUA)は、プライバシーやセキュリティの観点から望ましくない挙動を取るアプリケーションです。これらには、Webブラウジングの履歴などユーザーの行動を収集する「スパイウェア」、ユーザーやデバイスを特定し第三者に知らせる「トラックウェア」、広告の形を取りながらユーザーの位置情報などセキュリティやプライバシーにかかわる情報を抜き取る「アドウェア」が含まれます。




エフセキュアの最新の2013年7〜9月のモバイル脅威レポートによると、Androidに対する脅威のうち、6割がマルウェア、4割が潜在的迷惑アプリ(PUA)であることが判明しています。

Neutrino:現行犯で逮捕

 先週我々は、エクスプロイトキットへと導くiframeインジェクションを提供する、ハッキングされたサイトについて、Kafeineからヒントを得た。我々は非常に興味深いと考え、感染したWebサイトの1つを監視して、以下のコード片が潜んでいるのを見つけた。

sitecode



 ぼかしていない方(deobfuscated)のコードは、挿入されたiframeのURLがどこから集められるのかを示している。また同時にリダイレクトを許可するcookieを使用していることが分かる。さらにIE、Opera、Firefoxからブラウズしたユーザのみを標的に感染させることを表している。

 そして現在、ソースサイトや感染したサイトからの、古いが良質な断片情報がある。

injected



 感染したWebサイトが首尾よくリダイレクトをすると、ユーザはNeutrinoエクスプロイトキットに行き着く。これはJavaエクスプロイトを提供するものだ。

redirections



 トロイの木馬のペイロードをまだ十分に解析していないが、最初に確認した際に、以下のIPアドレスにHTTPポストを行っていることが判明した。

mapp



 今週の初め、おそらくまだ完全に影響を受けていない頃、挿入されたURLはgoogle.comに向けられていた。しかしながら、昨日の夕方、完全なオペレーションが開始され、Javaエクスプロイトを提供するNeutrinoにリダイレクトし始めた。

first_instance



 この時系列に基づき、感染したサイトを訪れた各IPアドレスの地点を地図上にプロットした。これらのIPアドレスはこの脅威における潜在的な犠牲者だ。おおよそ8万個のIPアドレスが存在する。

visitor3



 我々はまた、これまでに感染したWebサイトもプロットした。この脅威の影響を受けたドメインは2万超に達する。感染したサイトは、WordPressもしくはJoomla CMSのいずれかを使用しているように見受けられる。

hacked



 なお、この脅威に関する別の情報が、Kafeineのブログに投稿されている。

 このポストに関連があるサンプルは、Trojan:HTML/SORedir.A、Exploit:Java/Majava.A、Trojan:W32/Agent.DUOHとして検知される。

 Post by — Karmina and @Daavid

ZeroAccessの防御を破る

2010年に初めて報告されたZeroAccessルートキットを使用することで、リモート攻撃者がユーザのコンピュータをハイジャックし、クリック詐欺とBitcoinマイニングを実行するボットネットにユーザを追加することができます。現在、ZeroAccessはユーザ環境で最も頻繁に検出されているマルウェアの1つです。

ZeroAccessの伝播戦略は、基本的にボットネットオペレータが、地下フォーラムでリクルートした「アフィリエイトパートナー」に配布をアウトソーシングするという驚くべきものです。アフィリエイトは、エクスプロイトキット経由、ファイル共有サービス上、スパム電子メールの添付ファイル形式、トロイの木馬ダウンローダのペイロードなど、複数の戦略をマルウェアの拡散に使用しています。配布方式の多様化により、ボットネットの地理的範囲を効果的に広げ、ユーザがZeroAccessマルウェアとの遭遇を回避することが難しくなっただけでなく、配布に使用されるチャネルが多岐に渡るため、マルウェアの拡散を抑制する取り組みが複雑になりました。

Google Earthで見るZeroAccessボットネットの地図


また、ZeroAccess開発者は長年にわたってルートキットを積極的に変更して分析と検出を混乱させ、アンチエミュレーションとアンチデバッギング、暗号化などの機能を組み込んできました。また、ボットネットオペレータと感染したコンピュータ間の通信をブロックできないように、高度なピア ツー ピア(P2P)コマンドと制御構造も導入されました。ZeroAccessの継続的な開発は否応なしに、マルウェアのエンジニアとアンチウイルス研究者の軍拡競争のようなものになっています。

ZeroAccessファイルが侵入してしまった場合(さらに初めて見つかった場合)、エフセキュアのディープガード・テクノロジの動作分析機能の出番です。マルウェアは技術的に洗練されているものの、どうしても無防備で脆弱性を伴う基本的な側面が1つあります。それは、マルウェアがコンピュータ上で実行する、悪質なアクションです。ディープガードは、ZeroAccessのルーチンに関する広範な研究結果に基づく検出ロジックを使用して、皮肉にも、マルウェアが自らを検出されないようとする試みを見分けることで、マルウェアを認識してブロックすることができます。

ZeroAccess亜種のケースで、ディープガードのプロアクティブな保護が実際に機能している様子を確認することができます。2013年1月22日の深夜にユーザ環境で発生した亜種を、サンプル1と呼びます。下記の図は、亜種が最初に発生したコンピュータによって報告された検出統計情報ですが、これからわかるように、ディープガードは製品において感染の試みを認識してブロックした最初のスキャンエンジンでした。その後まもなく、この特定のサンプルに関連した詳細情報でセキュリティクラウドがアップデートされ、続いて感染の試みを数件ブロックしました。それから24時間以内に、シグネチャ検出のアップデートがリリースされ、エフセキュア セキュリティ製品がシグネチャスキャンエンジンを使用してサンプル1を識別およびブロックしました。

ZeroAccessサンプル1の検出件数 2012年1月23〜25日


ディープガードの技術の詳細について、ホワイトペーパーをご用意しました。
ぜひこちらでご覧ください。

お勧め:ポーランドCERTによるZeus P2Pのレポート

 銀行を狙ったトロイの木馬についての秀逸な分析に、ご興味をお持ちの方のために…。

 ポーランドCERTによる、ZeuSのGameover版(訳注:P2P版と同義)に関するレポート。

CERT Polska, ZeuS-P2P internals – understanding the mechanics: a technical report

ZeuS-P2P internals – understanding the mechanics: a technical report(ZeuS-P2Pの内部 - 構造を理解する:テクニカルレポート)

「FBI」の「ランサムウェア」とMacについて

 AppleのMac OS Xのユーザを狙った、FBIを騙った身代金詐欺について、月曜日、Malwarebytesの研究員Jerome Segura氏が秀逸な記事(と動画)を投稿した。

 主なポイントは次のとおり。
  • Segura氏はBing ImagesでTaylor Swiftについて検索をしていて詐欺を発見
  • 画像をホストする侵害されたサイトから、警察を騙ったランサムウェアのWebページへリンク
  • 通常の感覚では、トロイの木馬型のランサムウェアで、これ単独では真の「ウェア」ではない
  • 罰金とされるものを支払うように人を陥れようとする際に、この詐欺では巧妙で持続するタイプのJavaScriptを使用
 そしてこれから、我々は何点かの注意を追加することで貢献したいと思う。

 Segura氏はカナダにいて、FBIを模したWebページに飛ばされた。これはおそらくSegura氏のIPアドレスが北米のものだったか、あるいは米国にあるプロキシサーバを使っていたのだろう。

 ヨーロッパでは、Europolを騙ったものになった。 

Europol_Ransom_Scam_Mac

 そしてこの詐欺では、EuropolのようなURLを使用している。

Europol_Ransom_Scam_Mac_Locked

 また、Safe Macからのこのコメントが説明するところによると、こうした詐欺ではMacのみを標的にしているのではない。

TheSafeMac_FBI_Ransomware

 クライムウェアキットは常にすべてのものをターゲットにしている。Windows、Macなど各OSだ。

 しかし大半は…、マルウェアでMacを狙うための、都合のいいエクスプロイトのベクターが存在せず、そのため代わりに「スパム的な」ものへリダイレクトしている。たとえば、先ほどの身代金詐欺が明らかになったところなので、FBIやEuropolのURLから現状どこにリダイレクトしているかを以下に挙げる。

Find Your Adult Friend

 Find your Adult Friend:スクレイピングした画像を使っているサイトだ(避けるように)。

RLOのトリックを使ったMacの署名済みマルウェア

 RLO(Right-to-left override)とは、双方向のテキストエンコードシステムで使われる特殊文字で、テキストを右から左への表示に切り替える場所を指示するものだ。実行可能ファイルの本当の拡張子を隠蔽する目的で、昨年来Bredolabや高度なトロイの木馬MahdiといったWindowsマルウェアで一般的に使われている。トリックの詳細については、Krebs on Securityのこの投稿を確認してほしい。

 我々はあるMac用のマルウェアがRLOのトリックを用いていることに気付いた。そして先週の金曜日にVirusTotalに投稿した。

RLO character

 ここでの目的は、Krebの投稿で触れられていたものほど複雑ではない。単純に本当の拡張子を隠蔽するだけだ。このマルウェアでは「Recent News.pdf.app」というファイル名を使えたはずだった。しかし、OS Xはすでにこの点を考慮しており、予防措置として実際の拡張子を表示している。

RLO trick in Finder
RLO trick in Terminal

 このマルウェアはPythonで記述され、配布にpy2appを使用している。Hackbackとまったく同様に、Apple社のDeveloper IDで署名されている。

Apple Developer ID

 しかし、OS X上の通常のファイル検疫時に示される通知が、RLO文字のせいでKrebの場合と同様に逆さまになっている。.

OS X file quarantine notification

 このマルウェアを実行するとデコイのドキュメントを置いて、開く。

Decoy document

 続いてマルウェアは起動のためのcronジョブを作成し、さらに感染したユーザのホームディレクトリに、コンポーネント群を格納するための隠しフォルダを作る。

Launch point and drop files

 マルウェアはC&Cサーバのアドレスを取得するため、以下のWebページへ接続する。

  •  http://www.youtube.com/watch?v=DZZ3tTTBiTs
  •  http://www.youtube.com/watch?v=ky4M9kxUM7Y
  •  http://hjdullink.nl/images/re.php

 「just something i made up for fun, check out my website at (address) bye bye(楽しみのためにあるものを作った。私の(アドレス)のWebサイトを確認してね。バイバイ)」という文字列を解析してアドレスを得る。

 YouTubeのページは以下のようになっている。

YouTube page

 この文字列をGoogleで検索すると、上で挙げたもの以外にも悪用しているサイトがあることが分かる。

Google search

 その後マルウェアは継続的にスクリーンショットを撮り、音声を録音し(SoXというサードパーティ製のソフトウェアを使用している)、それをC&Cサーバにアップロードする。また、C&Cサーバに対して、実行コマンドの継続的なポーリングも行っている。

 このマルウェアは、当社ではBackdoor:Python/Janicab.Aとして検出する。

 追記:

 C&Cサーバの場所を示すために使われているYouTubeの動画の1つの統計情報を以下に示す。

Python_Janicab_YouTube_stats

Python_Janicab_YouTube_stats_daily

 この動画の日付はJanicab.Aのバイナリの日付よりも少なくとも1ヶ月前にさかのぼる。統計情報に基づくと、実際にはもっと前からバリアントが存在したようだ。

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

韓国とスターバックスとAndroid/Smsilence

 数週間前、マカフィーの研究者Michael Zhang氏が、韓国の電話機だけを標的としたAndroidのトロイの木馬を分析した。これはSmsilenceと呼ばれ、「スターバックスクーポン」アプリなどを餌にしている(例:starbug.apk)。

 以下は、電話番号をチェックして国コードが+82のものを探している部分だ。

Smsilence

 Zhang氏のポストに詳細は含まれていないが、SMSの転送先のURLやIPアドレスは香港と関連がある。

 そしてこの地域で進行中の政治的な緊張を考えると…韓国の電話機だけを特化して狙い、中国へと情報を転送するトロイの木馬とは…気がかりだ。

SHA1:04d58cbe352ba98d50510b661091bac5852fe7f4

Androidマルウェア:新天地の開拓と古いタブー

 先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード