エフセキュアブログ

ファミリー を含む記事

暗号化ランサムウェアのマネタイズ

 ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。そしてその状況から現れたのが、暗号化ランサムウェアというけだものだ。

 暗号化ランサムウェアが毎日のように報じられるのには理由がある。ここ何年かの間に目にした他のどの脅威と比べても、独特のものだからだ。暗号化ランサムウェアは被害者に実際にサービスを提供する。身代金を支払えば、ファイルを取り戻せるのだ。また派手な事例を見聞きすることも増えている。これぞ、人々がまさに行っていることなのだ。ある病院がインフラを復旧させるためにBitcoinで大枚をはたいたという最近の事例について、思い出させるには及ばないだろう。暗号化ランサムウェア業界は、毎年1億ユーロ相当の収益を得ているとの見積もりがある

 犯罪者にとって、暗号化ランサムウェアは引き続き実入りの良い金儲けの手段であり、時間の経過とともに、バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている。あらゆるビジネスと同様に、モデルの投資利益率の最適化や改善に焦点がシフトするのは必然的なことだ。我々は今日のランサムウェア・キャンペーンのビジネスモデルを、インターネット時代の幕開け期のものになぞらえている。つまり、いまだに本質的に非常にシンプルで、大方は目を向けていないのだ。結論としては、まだまだたっぷりと創造性とイノベーションの余地が残されている。暗号化ランサムウェアの背後にあるビジネスモデルは、徐々に成熟しており、我々が最近になって気付いた、あるイノベーションの試みがある。

 厳選した暗号化ランサムウェア・キャンペーンでは、とりわけ米国、英国、オーストラリア、カナダといった「第1階層」の国を標的にする。このような標的を選定したことは、支出に見合う価値という観点で理にかなっている。ランサムウェア自体をローカライズする必要はないし、標的の人口動態は相対的に裕福で、一部の研究ではこの地域の被害者は実際に身代金を支払う意思があることが示されている。

 フィッシング詐欺のキャンペーンでは、別の芸当を目にした。地域に特化して注意深く調整を行い、時にはカレンダー上の行事に合わせているのだ。当社が観察した、スウェーデンで実施されたスパムキャンペーンを例に挙げると、被害者は地元の郵便局からの到着した荷物についての、説得力のあるメッセージを受け取っていた。この種の標的型の地域限定のスパムキャンペーンは目新しいものではないが、搾取率を高める目的でキャンペーンを調整したマルウェアの担い手もいる。

 一部の暗号化ランサムウェア・ファミリーでは、被害者が支払いを行いやすくなることを期待して、サポートのインターフェイスの向上に取り組んできた。サポートサイトはより直感的に理解できるようになり、(PadCryptなど)ライブチャットのインターフェイスを持つケースもある。Bitcoinの入手方法、Tor経由でサポートサイトへ接続する方法、ファイルを取り戻す方法についての説明が、より明確になり、またより適切に提示されるようになっている。驚くようなことではないが、暗号化ランサムウェアのサポートサービスは、多くの場合において、合法的な企業が運営するものよりも優れている。余談だが興味深いことに、被害者のファイル群の復号を手助けする目的で、顧客のためにBitcoinのブローカービジネスを始める、独立系のITサポート要員も確認している。

 TrueCrypterファミリーはAmazonギフト券での支払いに対応している。またiTunes Cardでの支払いを受け付けている暗号化ランサムウェア・ファミリーも見聞きしている。これは犯罪者にとってはリスキーな手立てだと考える人もいるだろう。AmazonやAppleが、これらのカードを使った人物を簡単に追跡できるであろうからだ。判明したところでは、犯罪者たちはただちにギフト券をeBayのようなサイトに流す傾向にある。これの購入者が、帰結する結果に対処するように仕向けるのだ。米国のiTunes Storeに豪華なコンテンツ・セットがあれば、ヨーロッパで米国ベースのiTunes Cardへの要求があるだろう。

 もう1つの驚くべき方向性として、ある暗号化ランサムウェア・ファミリーが、被害者に圧力をかけて強制的に支払わせようとしていることをつかんだ。我々は最近Jigsawファミリーに遭遇したのだが、これは身代金が支払われない限り、1時間おきに消し去るファイルの数を増やしていく。全ファイルが削除される締め切りまでに、被害者には72時間が与えられる。機器を再起動したり、強制的にエージェントを殺すと、直ちに1000個のファイルが削除される。こうした戦略は、テレビや映画で見てきたような人質の状況と変わりない。残念なことに、特定の戦略によって人々の支払いが増すのか減るのかを判定できるようなデータを、我々は現時点で提供できない。

Jigsaw ransomware
身代金をお支払いくださいますか?

 これまでに挙げた例では、暗号化ランサムウェアの背後にいる人物らが、いかにさまざまなビジネスモデルを試して、投資利益率を向上させようと取り組んでいるかを示している。犯罪者たちは、大規模なランサムウェア・キャンペーンでは、気付かれてしまい、やられることを学習している。少なくとも、CryptoLockerの裏にいる人物たちは数年前に学んだ。そのため彼らは最近では、すべてより小規模にキャンペーンを実施している。しかし小規模のキャンペーンというのは、巨大な法執行機関のレーダーをかいくぐるためだけに重要なわけではない。個々の感染したコンピュータや、個々の送付されたスパムメッセージのために支払いを行わなければならない世界において、利益を最大化することにとっても重要なのだ。

 当社では最近、もし暗号化ランサムウェアの被害者になってしまったら、ファイルの復号にいくら払う意思があるかをユーザに尋ねるアンケートを実施した。

 (訳注:「 このアンケートに基づくと…、暗号化ランサムウェアが1 BTCではなく0.5 BTCを請求した場合、ほぼ3倍以上になる。」という意味)

 ショーンがこのアンケートを実施した時点で、数多くの身代金は約1 BTC、つまりちょうど400ドルであった。単純な計算を行えば、上の結論に達する。半額にすれば、収益を約3倍にできる。上述の調査を行って結論を導き出すのには、過大な負荷はかからなかった。実装するのにたいしたプログラムの行数さえ必要なかった。これらのツイートで一部のマルウェアの作者に情報を与えてしまったかは定かでないが、最近、身代金が低価格化している傾向をつかんでいる。

 ただ、この情報を手に入れたランサムウェアの作者ばかりではなかったようだ。ほんの数日前、新たな種族の暗号化ランサムウェアが出現した。これは身代金を義援金だとうたっている。しかしながら、5 BTC、つまり記事を書いている時点で約2,200ドルなのだ。だいたいの人はそんなに気前よくない、と我々は思う。

 この先いつの日か暗号化ランサムウェアで用いられる価格体系に、より高度で洗練されたものが適用されているのを見ることになると予期している。現時点では、当該ソフトウェアはかなり知力を欠いていて、すべての感染したマシンで身代金を固定額で設定している。我々はある時点で変動価格体系がお目見えすると予想している。おそらく暗号化されるファイルの数や種類に基づくなり、マシンが個人所有のコンピュータかサラリーマンが使っているものかをソフトウェアが検知するなりするのだろう。1 BTCという身代金は大半の個人にとってはちょっと高額だが、多くの企業にとっては微々たる金額だ。

 数多くの暗号化ランサムウェア・ファミリーはすでにネットワーク共有にも感染させるように試みているが、インテリジェントな方法で行っているものはない。理論上、被害者は1回支払えば、ネットワーク共有のファイルも含め、全ファイルを取り戻せる。この理由から、開発者たちがソフトウェアに知能を組み込んで、より効率的にネットワーク中に伝播させるのを、我々は目撃することになると予期している。感染させるマシンの数を増やし、再度触れるが、環境に応じて身代金の額を決めるのだ。

 クライムウェアのアフィリエイト・ネットワークやマルウェア・キャンペーンの裏にいる人物たちは、すでにビジネス的な判断力の旺盛さを示している。こうした人達がもうけ、つまり投資利益率を最大化する仕事を与えられたとき、価格体系や、使いやすさ、ネットワークでの伝播、あるいはスマートな標的選定に基づき、ソフトウェアやプロセスのモデルをより創造的に考案することは、想像に難くない。近い将来、暗号化ランサムウェアで使われるビジネスモデルとマネタイズモデルの双方で、洗練度が増すのを見る羽目になるのを我々は十分に予想している。

TeslaCryptの要約

 2年前、ランサムウェアについての一連のブログ記事を公開した折には、活発なランサムウェア・ファミリーは一握りしかなかった。しかしながら今年は、ランサムウェアがサイバー犯罪者達を熱狂させる最新の流行マルウェアとなった。

 そのため、我々は当社の若きTET(訳注:後述)の生徒Miroに、ランサムウェアの歴史、とりわけTeslaCryptの歴史についての短いレッスンを受けさせようと考えた。なぜならTeslaCryptは、いまだに流行っている、比較的「古い」ランサムウェアの1つだからだ。

 以下は、その彼の研究結果だ。


 TeslaCryptはランサムウェア・ファミリーに分類される。ランサムウェアが被害者のコンピュータに侵入すると、被害者のファイルを暗号化する。サイバー犯罪者たちが求めるもの、つまり金を得るまでは、暗号化したファイルはそのままだ。

 TeslaCryptは支払い方法としてBitcoinに加え、初めてPayPal My Cash Cardを追加したものの1つだ。

 TeslaCryptは通常のドキュメントや画像のファイルを暗号化するだけでなく、ビデオゲーム関連のファイルも標的にすることで知られるようになった。とりわけCall of Duty、Minecraft、League of Legends、Steamに関連付けられたファイルだ。

 これまでのところ、TeslaCryptには4つのバージョンがある。2015年2月に最初に発見され、最新のものは2016年3月に特定された。

 最初のバージョンでは、RSA-2048を用いていると称していたが、実際には暗号化方式としてAESを使用していた。暗号化されたファイルの名前には、.ECCという拡張子が付けられた。

Your presonal files are encrypted!

What happened to your files?

 TeslaCryptの2つ目のバージョン、つまりTeslaCrypt 2.0は、2015年7月辺りに出現した。同バージョンでもやはりAESを用いているのにも関わらず、RSA-2048のアルゴリズムを採用していると主張していた。暗号化されたファイルの拡張子は変更され、たとえば.VVVや.ABCといったものになった。身代金の要求も変わった。HTMLページ、テキストファイル、壁紙またはフォトギャラリー中の画像の3つの異なるフォーマットで提示される。この2つのバージョン間の違いは、文章だけでなく脅迫メッセージの外観に見て取れる。読みやすくするために、タイトルと章が追加された。新たな身代金の要求では、支払いまでの残り時間のカウントダウンも削除された。

TeslaCrypt 2 - What happened to your files?

 TeslaCrypt 3.0は2016年1月に発見された。TeslaCrypt 3.0では暗号化にRSA-4096を用いていると主張しているが、やはり依然としてAESを使用している。しかしながら、このバージョンでは暗号キー交換アルゴリズムは異なるものを使用しており、暗号を破るのが一層困難になっている。このバージョンでのもう1つの違いは、暗号化されたファイルの拡張子に.MP3、.XXX、.TTT、.MICROが使用される点だ。HTMLの脅迫メッセージはTeslaCrypt 2.0と同じだが、テキストファイルのフォーマットが以下のように多少変更になった。バージョン3.0ではGoogle Translateへのリンクが含まれており、「What does this mean」という行が削除された。

TeslaCrypt 3 - What happened to your files?

 TeslaCrypt 4.0はTeslaCryptランサムウェア・ファミリーの最新版だ。これは2016年3月前後に初お目見えした。同バージョンとそれ以前のバージョンとの最大の違いの1つは、4.0では暗号化されたファイルの拡張子に.VVVや.MP3といったものを使わないことだ。また、以前のバージョンでは、4GBを超えるファイルを暗号化する際に破損してしまうというバグがあった。最新バージョンではこのバクは修正されている。被害者のコンピュータに関するさらなる情報を探ろうと試み、犯罪者のネットワークへ情報を送信することもする。

 TeslaCrypt 4.0もやはり暗号化にRSA-4096を用いていると主張しているが、依然としてAESを使用している。身代金の要求の外観には変化はないが、TeslaCrypt 4.0と3.0で中に書かれた文章には相当な数の違いがある。たとえば3.0では「What happened to your files」と書かれているが、4.0では「What’s the matter with your file」だ。TeslaCrypt 4.0ではまた、バージョン2.0から「What does this mean」という行を戻している。

TeslaCrypt 4 - What's the matter with your files?

その他の情報源:


記述および調査:Miro Ikaheimonen


 著者によるメモ:私はフィンランドのヘルシンキにいる中学生で14歳です。エフセキュア社で5日間のTET(Tyoelamaan tutustuminen、訳注:フィンランドのインターンシップ制度)プログラムを行っている最中です。なぜ、エフセキュアを選択したのでしょうか?通信技術に興味があったのと、学校のプロジェクトでミッコ・ヒッポネンにインタビューする機会もあり、エフセキュアのマルウェアとの戦いに興味を抱くようになったためです。ここでは楽しい時間を持ち、マルウェアについての新しい内容をたくさん、特にランサムウェアとそれと戦うことについて学びました。

Miro

Windows Script Hostを無効にする方法

 幾多のスパムキャンペーンで、添付されたzipファイルを経由でさまざまな暗号化ランサムウェアファミリー(とバックドア)が送り込まれている。そして典型的には、このようなzipファイルにはあるJScriptファイル(jsまたはjse)が含まれている。もしこれをクリックすると、Windows Script Host経由で実行される。

 よろしいだろうか。Windowsのレポジトリを編集して、Windows Script Hostを無効にしよう。

 レポジトリキー(フォルダ)は以下だ。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

 「Enabled」という名前で新たなDWORDの値を作成し、値のデータを「0」にセットする。

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

 その後jsファイルをクリックすると、以下を目にすることになる。

Windows Script Host access is disabled on this machine. Contact your administrator for details.

 脅迫文を見るよりもマシだ。


2016年4月20日更新:代わりにHKEY_CURRENT_USERを使うのでも良い。

ランサムウェア「Maktub Locker」のグラフィックデザイン

 「Maktub Locker」と自称する、新たな暗号化ランサムウェアファミリーが出現した。Maktubとは「書いてある」という意味のアラビア語だ。

Maktub Locker

 セキュリティ研究者のYonathan Klijnsmaが、本日これまでに当該ランサムウェアについてツイートした。

 (訳注:「『MAKTUB LOCKER』という新手のランサムウェアが、現在メール経由で拡散されている。暗号化する際にC&Cと通信しない」という意味)

 私はMaktubの支払い用の入り口のグラフィックデザインをちょっと見たのだが…、残りも見ずにはいられなかった。

 以下はステップ4で表示されるものだ。

Maktub Locker - Step 4 - Where do I pay?

 普通じゃない。

 不満を持ったグラフィックデザイナーなのか?

 残りの画像を以下に挙げる。

HELLO!
こんにちは!

WE ARE NOT LYING!
我々は本気だ!

HOW MUCH DOES IT COST?
いくらかかるか?

WHERE DO I PAY?
どのように支払うか?

BITCOIN PURCHASE
ビットコインの購入

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


エフセキュア、「2014年下半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。

日本での脅威の傾向

2014年下半期にエフセキュア製品のユーザから当社監視システムに報告された、日本での脅威の統計は次のような順になりました。

  1. Worm:W32/Downadup
  2. Trojan:W32/Autorun
  3. Exploit:JS/NuclearEK
  4. X97M.Laroux
  5. Exploit:JS/AnglerEK
  6. Exploit:SWF/Salama
  7. Exploit:Java/Majava
  8. Trojan:HTML/Kilim
  9. Trojan-Downloader:W32/Dalexis
  10. Trojan:JS/Fbook

Downadup:WindowsのMS08-067の脆弱性を悪用するワームで、インターネット、リムーバブルメディア、およびネットワーク共有を介して拡散します。過去7年間、常に世界全体に蔓延しています。

Autorun:多くの場合、感染したリムーバブルメディアとハードドライブを介して感染が拡大するワームのファミリーです。データを盗む、バックドアをインストールするなどの有害な操作を実行することができます。

2014年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
http://news.f-secure.com/ThreatReport2014H2

エフセキュア、新しい調査レポートで恐喝型マルウェアの拡大を警告

サイバーセキュリティ企業であるエフセキュアは、新しい調査レポートを公開し、無防備な携帯電話ユーザやPCユーザから金銭を恐喝するマルウェアが増加していることを指摘しています。新しい脅威レポートによると、トロイの木馬やランサムウェアを送信するプレミアムSMSメッセージなどのマルウェアは拡大を続けており、今日、デジタルの脅威の状況において注意を要する存在となっています。

合計574個あるSmsSendファミリーの既知の亜種のうち、259種が2014年の下半期に確認され、SmsSendは最も急速に拡大したモバイルマルウェアのファミリーとなりました。SmsSendは、プレミアム料金の番号にSMSメッセージを送信するトロイの木馬にAndroidデバイスを感染させることで、犯罪者に利益をもたらします。またランサムウェアも、引き続きモバイルユーザに被害を与えました。中でもKolerおよびSlockerファミリーのランサムウェアは、Androidデバイスに対する上位の脅威の1つとして確認されました。

「ランサムウェアは、暗号化やその他のメカニズムを利用してデバイスをロックし、ユーザを閉め出します。」とエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンは述べています。「犯罪者は、身代金を支払わなければユーザ自身のデバイスをロックして閉め出してしまうという手口で、ランサムウェアを使ってユーザを恐喝します。仮想通貨の普及によって、犯罪者がランサムウェアを使うのは非常に容易になってきており、ランサムウェアが犯罪者にもたらす利益と利便性はより大きくなっています。エンドユーザにとって、ランサムウェアは今日最も注意すべきデジタルの脅威です。」

PC上でも、ランサムウェアの検出件数は増加しており、今回のレポートで確認された上位10個の脅威にBrowlockランサムウェアファミリーが加わりました。この他に目立った上位10個の脅威には、Conficker/Downadupワーム、Salityウイルス、さまざまな種類のRamnitウイルスなどが挙げられます。これらの3つのファミリーは、上位10個の脅威の全検出数のうち、合計で55%を占めます。

また、上位10個に新たに加わった脅威で目立っているのは、Kilimファミリーと呼ばれる悪意のあるブラウザ拡張です。この拡張はFacebookアカウントを狙って利用し、意図しないコンテンツを投稿したり、情報を盗んだりします。今回のレポートでも、上位10個の脅威のうち、11%を占めています。エフセキュアによるKilimマルウェアの検出件数が増加した大きな理由に、Facebookからの協力が挙げられます。両社の協力は、昨年5月に発表されており、Facebookユーザが安全にインターネットを利用し続けられるよう支援しています*。

ヒッポネンは、サイバーセキュリティで、攻撃者の動機を理解することが極めて重要になってきていると指摘しています。それを理解することによって、特定の攻撃に決まった組み合わせのマルウェアと手口が使われる理由が明らかになります。「攻撃者の属性を知ることは、組織が自らを守るためにできる最も重要な行動の1つであると考えています。攻撃者が誰であるかを知らずに自らを守ることはできません。」

エフセキュアのWebサイトでは、脅威レポートの全内容の公開を開始しました。このレポートには、2014年下半期におけるデジタルの脅威の状況について、新しい進展、地域別の脅威、および詳細について、より詳しい情報が記載されています。

*出典:https://www.facebook.com/notes/facebook-security/making-malware-cleanup-easier/10152050305685766

詳細情報:2014年下半期脅威レポート
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014

ランサムウェア・レポート:BandarChorの台頭

 今週になり、さらに別のランサムウェアであるBandarChorについて、当社では多数の報告を受けた。

 厳密には、このランサムウェアは新しいものというわけではない。このファミリーに関連して最初に感染に気付いたのは、去年11月までさかのぼる。

November

 BandarChorは、メール経由で拡散しているという報告を受け取ったほか、エクスプロイトキットで配信されている可能性が示唆されている。

 実行すると、当該マルウェアは自身のコピーと共に、身代金について指示する画像をスタートアップディレクトリにドロップする。

filenames

 次に、doc、xls、jpgのような各種のファイル拡張子を持つファイルの暗号化を試みる。

fileext

 暗号化の後、ファイル名を[filename].id-[ID]_fud@india.comにリネームする。

files

 さらにHTTP POSTにより、ユーザのコンピュータの名前とIDをあるリモートサーバに報告する。

network

 身代金メッセージについては、以下に掲載する。

fud@india.com

 以下は、今回の脅威に関連して、当社で目にしたその他のドメインの一覧だ。

   •  martyanovdrweb.com
   •  www.fuck-isil.com
   •  www.ahalaymahalay.com
   •  kapustakapaet.com
   •  www.decryptindia.com
   •  www.enibeniraba.com
   •  www.netupite.com
   •  89025840.com
   •  xsmailsos.com
   •  sosxsmaillockedwriteonxsmailindia.com
   •  baitforany.com
   •  euvalues.com

 この脅威は当社ではTrojan:W32/BandarChorとして検知する。

 ハッシュ:

   •  31aa8ec187e1241a94127336996f9cb38719eb9b
   •  4b356b88fb3a3dce1f009e4e92cd4a59383e0764
   •  5f71be645e8ac995555a891087b46ed357386dbe
   •  afd4216e93a82feebafd3a68e9308ca4b0b54372
   •  b4362fcd75fd071fc8237c543c56df5736b8e177
   •  ba8909eef5ee280ae43b935cf4ae38ccf21bde56
   •  de7ced27456a1e4581d6a4bf126f56061b7f9859

BabarはBunny?

Babar-cartoon-wallpaper
 この頃、Babarというマルウェアの奇妙な事件にまつわる研究や報道が相次いでいる。SNOWGLOBEと称される高度な諜報作戦の疑惑に関わりがあるマルウェアだ。

 フランスのルモンド紙がメディアとして初めてSNOWGLOBEを取り上げたのが約1年前だ。他でもないエドワード・スノーデンその人が漏えいした、SCECの極秘スライドについての記事を掲載した。一連のスライドの中には、内部的にBabarと自称する、フランス発祥のマルウェアに関して数々の主張がある。セキュリティコミュニティがBabarに似たサンプルを掘り下げるまでに、長い時間はかからなかった。[1] [2] [3]

 Bunnyや、BunnyとBabarとの繋がりについて、我々ははっきりとは説明できない。BunnyとEvilBunnyについては我々は多くの研究成果を得ており、すでにセキュリティコミュニティによく知られた存在だ。しかしBabarのこととなると、謎の多い極秘スライドのスクリーンショットしか持ち合わせていないのだ。しかしながら、SCECのスライドで述べられているとおり、BunnyとBabarには十分に相関関係があり、同じ諜報ツールファミリーに属している、と高い確度で言えるだろう。

事実1。 双方の作戦は、共に主として2010〜2011年に活発であったように見受けられる。これはBunny PEのヘッダのタイムスタンプと、CSECのスライドが2011年からである点より明白だ。

事実2。 前述のスライド内で記載されたUser-Agentのタイプミスと同じものが、一部のBunnyのサンプルに存在する(MSIEの代わりにMSIと記述。SCECのスライドのSNOWBALL Beaconsを参照のこと)。偶然の一致のようには見えない。

MSI (81k image)

事実3。 Bunnyとつながりのあるサンプルの1つがntrass.exeという名前のファイルをドロップするが、SCECのスライドでも当該ファイルに触れている。偶然の一致のようには見えない。

事実4。 Bunnyファミリーについての最新の知見では、内部プロジェクトの名称としてBabar64というものが明らかになった。[2] [3]偶然の一致のようには見えない。

事実5。 バニーも小象(訳注:Barbarは「ぞうのババール」という絵本の主人公)も、かわいくてフワフワな小さな動物だ。APTの世界では、まったく一般的でないが。

 また、このマルウェアはフランス発祥であると、高い確率で言うことができる。Bunnyのサンプルの一部では、HTTPヘッダでAccept-Language: frを用いている。また内部のネーミングで本当におかしな決定をしている。たとえば、タスクのスレッドを「hearer」としている点だ。 [1]英語でのソフトウェア開発の世界では、こうした種類のタスクにはたいてい「listener」や「monitor」といった名前が付けられる。「hearer」というのは、英語を話す開発者が必ずしも普通に使う単語というわけではない。英語のネイティブスピーカーでない人が、使い慣れた言語から文字面どおりに翻訳したような感じがする。一例を挙げると、フランス語の「auditeur」は「auditor」「listener」「hearer」のように訳される。

 しかし、この繋がりについて言えないこともある。最初に、スライド自体に、特定の当事者の名前は挙がっていない。つまりフランスの諜報機関という噂は、現時点で確固とした証拠に基づいているというわけではないのだ。Bunnyがプログラミング言語Luaを使用して機能を拡張しているという事実も、結局のところ混乱を生むことになる(Flameを覚えているか?)。さらに、この点には触れねばならない。帰属についての興味をそそる部分はすべてスライドにある。つまり、それについて一次証拠は何も手に入れていないのだ。またBunnyの複雑さの度合いについて、考慮すべき点もある。TurlaやEquationのような、際立った水準のAPTとはかけ離れているのだ。ただし、もちろんSNOWGLOBEの背後の関係者のレベルが低いことを意味するわけでない。この関係者達がなぜ、暗闇の中で光るクリスマスツリー並みに分かりやすいツールを作ったのか、不思議である。

 ハッシュ:

   •  2c678924a3d4307644208b199afd20940c058b62
   •  c923e15718926bb4a80a29017d5b35bb841bd246

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


Linux版Turlaの謎めいたバックドアがSolarisにも?

 APTファミリーTurlaに関連する、謎めいたLinuxのバックドアについて数々の報告がある。このマルウェアにはいくつかの大変興味深い機能があるが、もっとも興味深いのはネットワークインターフェイスをスニフィングする能力だ。さらに具体的に言うと、ネットワークトラフィックからC&Cサーバのアドレスを設定できるのだ。これにより、バックドアをネットワーク上に黙ったまま待機させて、攻撃者から送付される特別製のパケットで有効にすることができる。

 有効になると、バックドアは指定されたC&Cサーバへの接続を試みる。続いてC&Cサーバは、典型的なRAT機能を用いて、バックドアに対してダウンロード、アップロード、ファイル一覧表示、実行などの命令を行う。

 当初の調査では、このマルウェアはネットワークスニフィングを除いて、典型的なリモートアクセス型のトロイの木馬と同様に振る舞うことが示された。

 PATH=/bin:/usr/bin:/usr/local/bin:/usr/openwin/bin:/usr/ucb/bin:/usr/ccs/bin
 LD_LIBRARY_PATH=/usr/lib:/usr/local/lib:/usr/dt/lib

linux_solaris_turla2 (99k image)
一時ファイルの実行用の環境設定

 これはまったくもってLinux環境で一般的なものではない。実際のところ、これはSolaris環境の方にずっと適合するのだ。

 /usr/openwin - SolarisのOpenWindowsの場所
 /usr/ccs - Solaris StudioのC Compilation System
 /usr/ucb - BSDとの互換性のための、Solarisのディレクトリ
 /usr/dt - Solaris CDE(Common Desktop Environment)のインストール場所


 Post by — Jarkko

OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

多言語サポート:ありふれたスパムではない

 我々は今年の頭頃、Fareitスパムの急増に遭遇した。Fareitとは、ZeusやCryptowallの配送に使われるダウンローダである。

 最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。

 ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス&サービスセンターから送信されたように装っている。

klm_eticket_ready

 しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。

 たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。

dotpay_blurred_ready

 おまけにこのメールはポーランドの有名ISPを使っている。

nowy_kontrakt_listopad_ready

 そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。

lomake_ready

 文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。

 より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。

 これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。

 以下にWauchosの最近のファイル名を挙げる。

attachments_ready

 2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。

 以下のネットワーク接続を行う。

• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php

 また以下からトロイの木馬を追加的にダウンロードする。

• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe

 これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。

 当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。

Powerpointの2つの脆弱性のお話

 脆弱性CVE-2014-4114の発表がなされてからすでに1週間が経過し、これを悪用する人の数は増える一方だ。

 メタデータが相変わらず同じファイルさえ存在するが、これは次のことを如実に示している。つまりMirtecとCueisfryの事例(日本人に関連するAPT攻撃とつながりのあるトロイの木馬)で見られたものからコピーされているのだ。これらのマルウェアの背後にいる作者たちは、元々BlackEnergyが使っていたPowerPointのドキュメントを複製し、ペイロードとコンテンツをオンライン上にある正規のものに置き換えただけだ。

file_properties (110k image)
順にBlackEnergy、Mirtec、Cueisfryのドキュメントのメタデータ

 そう、もし別のグループで勝つための方程式がすでに機能しているなら、もう一度、車輪を発明するようなことをする必要はない。つまり、パッチが当てられるまでだが。そしてこれは、台湾におけるあるAPT攻撃の背後にあると思われているマルウェアファミリー、Taleretを思い起こさせる。CVE-2014-4114にパッチが当てられた後、即興でやる必要性があり、それはそういうものとして、今度はTaleretはクリーンなPowerPointを捕まえて、脆弱性CVE-2014-6352を通じて、ペイロードを埋め込んで実行させようとする。この脆弱性はCVE-2014-4114から取り残されたものだ。

file_properties_update (49k image)

 マイクロソフト社はCVE-2014-4114のパッチは公開したが、CVE-2014-6352はいまだパッチがない。

 ただしfix itツールが、こちらに用意されている。

 悪意のあるPowerPointドキュメントで使われるコンテンツの大半は、インターネット上にある教育機関や研究機関の資料から調達されている。つまり、それと分離して語ることは非常に困難だ。

 以下に、クリーンなドキュメントと、その悪意ある片割れの双方の例を示す。

clean_malware (145k image)

 2つ目の脆弱性にまだパッチが存在しないうちは、どのドキュメントがクリーンでどのドキュメントが悪意のあるものか分からないのであれば、正しい発信元から受け取ったドキュメントか確認するとよい。あるいは、アンチウィルスのシグニチャを更新して、検知されるかどうかを確認できる。

product_scan (60k image)

ハッシュ:
8f31ed3775af80cf458f9c9dd4879c62d3ec21e5 - Mirtec - C&C: 116.212.127.20
66addf1d47b51c04a1d1675b751fbbfa5993a0f0 - Cueisfry - C&C: ms.privacyserve.org
488861f8485703c97a0f665dd7503c70868d4272 - Taleret - C&C: 70.88.151.213
e9020a3cff098269a0c878a58e7abb81c9702691
02b9123088b552b6a566fc319faef385bec46250
98841ea573426883fdc2dad5e50caacfe08c8489
7d0cecfad6afbe9c0707bf82a68fff44541a2235


Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


CryptoWallが2.0にアップデート

 この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。

 ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。

 現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された

Screenshot of CryptoWall 2.0 ransom page
CryptoWall 2.0の身代金ページ

 CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。

CryptoWall 1.0 CryptoWall 2.0
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)

 おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。

侵害された、Torコンポーネントのダウンロードサイトの一覧:

 hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
 hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
 hxxp://www.ar[編集]er.cz/o515ujx2f
 hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
 hxxp://www.cu[編集]n.de/z6lub76lz295x
 hxxp://www.ho[編集]t.com/5gr4hl2tvv
 hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
 hxxp://ep[編集]n.ca/blog/eo7ycomyy
 hxxp://www.pr[編集]al.com.br/site/hr38xc4
 hxxp://www.ji[編集]e.be/s5eroewr
 hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
 hxxp://www.dr[編集]en.de/wordpress/3uh2e
 hxxp://www.ye[編集]ak.com/kf4bv
 hxxp://www.ro[編集]es.com/l449jbc0
 hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
 hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
 hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
 hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
 hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin

.onionドメインのC&Cサーバ一覧:

 crptarv4hcu24ijv.onion
 crptbfoi5i54ubez.onion
 crptcj7wd4oaafdl.onion
 crptdtykhkmux333.onion
 crpterfqptggpp7o.onion

CryptoWall 2.0のサンプルのハッシュ:

 e6325fc7f7168936aa9331ac707b4c3cc186b46e

Tor化されたCryptoWall 1.0のサンプルのハッシュ:

 00e0960099ec6381aa9bf1f11b536e3e32ffa635
 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3
 672d6b7e31fe8f6250c6831d139012b87440274c
 f21c073e57ad8a5b73139fbd4361c8985a83c9c9

 Post by Artturi Lehtio (@lehtior2)

Apple Watchが恐らくマルウェアに感染しない理由

アップルが最新のiPhoneのモデルと、待ち望まれていたウェアラブル技術の新製品を発表しました。Apple Watchです。

TechRadar誌はクパチーノ発の最新のイノベーションを「iPhoneと併せて楽しめるiOS8フレンドリーな時計」と評してします。

最新のエフセキュア・ラボによる「脅威レポート」はiOSのマルウェアに関するひとつの大きな誤解を払拭しています。存在するのです、極めて稀ではありますが。

Screen Shot 2014-09-09 at 4.43.06 PM

2014年の上半期に、295に及ぶモバイルのマルウェアの新しいファミリーや亜種が発見されました。294はAndroid、そしてひとつはiOSを狙ったものです。iPhoneユーザーはフィッシング詐欺やWi-Fi乗っ取りの被害に会う可能性があり、そのためにエフセキュアはFreeDome VPNを開発しましたが、iOSデバイス上の悪意あるアプリの脅威はほとんど存在しません。

「Androidと異なり、iOSでのマルウェアは現在のところ’脱獄’したデバイスに対してのみ有効であり、様々なハッカーによって作成された’脱獄’ツールは(そしてそれらは通常プラットフォーム上の未公開のバグによって作動します)、セキュリティ研究者の関心を引くところになっています」とレポートは解説しています。

Unflod Baby Pandaと呼ばれるiOSの脅威は今年初めに発見されました。これはデバイスのApple IDとパスワードの詳細を詐取するために、SSL接続を盗聴します。Apple IDとパスワードは最近ニュースで取り上げられているように、著名人のiCloudのアカウントを乗っ取る一連の作業の中で一部の役割を担っており、多くのプライベートな写真が公開されてしまう事件に繋がりました。

弊社のミッコ・ヒッポネンは最新のウェビナーにて次のように説明しています。「多くのユーザーは何年もの間これらのアカウントを使用し続けており、それは主にiTunesストアから買い物をするためですが、どれだけのデータが実際に保護されているのか気づいていません。」

しかしUnflod Baby Pandaは著名人のハッキングにはほとんど役割を果たしていません。デバイスの’脱獄’は極めて稀だからです。iOS App Storeの「クローズな空間」の手法による保護がハッキングを防いでいることを認識しているユーザーはほとんどいません。その手法はプラットフォームからマルウェアを排除することに成功しており、特にオープンなAndroidの世界と比較すると顕著です。悪意のあるアプリやアドウェア、スパムウェアが公式のPlayストアに潜入することもありました。一方iOS App Storeではほとんどありません。しかしAndroidの脅威の大多数は非公式のマーケットから感染するため、エフセキュア・ラボは非公式のマーケットを避けるよう勧めています。

iPhoneユーザーの大多数はマルウェアについて心配する必要はありませんでした。そしてApple Watchがアプリに対して厳重な制限をかけるのであれば、デバイスはセキュリティの心配は無用でしょう。
しかしスマートフォンに匹敵する能力をもつWatchを丸一日ほぼ24時間、体に装着するのであれば、従来考慮されていなかったプライバシーに関する問題を引き起こす可能性があります。

>>原文へのリンク

Pitou Q&A

Pitouって何?
 最近特定されたスパムボット型のマルウェアで、悪評の高いカーネルモードのスパムボットSrizbiとの類似点を数多く持つ。当社ではさらに詳細な分析を行い、これはSrizbiの復活であることを確認した。我々はこの最新のマルウェアをPitouと名付けた。徹底的な分析の後、いくつかの興味深い技術的な特徴を見つけた。これについてはホワイトペーパーに記述した。

なぜPitouと呼ぶのか?
 Pitouという名前は、同業者が付けた既存の検出名から取った。混乱を避けるために、このファミリー名を使うことを決めた。このスパムボットには(Srizbiという名前を継続して使うより)新しい名前がふさわしい。我々がこのように考えたもう1つの理由は、マルウェアのコードがより堅牢な機能を持たせて完全に書き換えられているからだ。今やbootkitの実装も含む。

最初にどこで発見されたのか?
 顧客のマシン上で、当社の自動分析システムに疑わしいシステムドライバファイルが報告されたのが最初のこの脅威との遭遇だ。手作業で分析した後、これは悪意があるもので、VM(Virtual Machine)のコードにより高度に難読化されて保護されたペイロードを含むことが分かった。これは、マルウェアが研究者から何かを隠そうとしていることを意味する。したがって当然ながら、当社は徹底分析をすることを決めた。

最初に見つけたのはいつか?
 当社のサンプル収集システムの日付に基づくと、この脅威は2014年4月に初めて見つかった。ただしそれより前に、世の中には存在していたかもしれない。ホワイトペーパーではタイムラインで情報を提供している。

この脅威が懸念される人は?
 この脅威は、企業のユーザにも家庭のユーザにも混乱や不便を引き起こし得る。当該スパムボットは感染したマシンを用いて、スパムメールを拡散する。これにより、スパムを送るIPアドレスがISP(Internet Service Provider)によってRBL(Realtime Black List)のブラックリストとして登録され得る。ブラックリストにIPアドレスが登録されると、大半の企業のメールサーバで一般に設定されている、標準のSMTP(Simple Mail Transfer Protocol)でのメール送信がブロックされる。同時に通常の家庭ユーザについては、非Webベースのメールクライアント、たとえばMicrosoft Outlookを使っていても、結局はISPによって自身のIPアドレスがブラックリストに登録される。

PitouのIOC(indicators of compromise、侵入の痕跡)にはどういうものがあるか?
 他の最近のrootkitと比べて、この脅威は特に隠密的というわけではない。ドキュメントにはいくつかIOCを挙げた。これは、マシンがPitouに感染しているかを早急に特定することに関心のある人(もちろん技術的な専門家)のためだ。

Pitouのホワイトペーパーはどこで入手できるか?
 以下の画像をクリックするか、当社のラボのサイトのTechnical papersセクションに行く。

pitou_whitepaper_cover (96k image)


Post by - Wayne

----------
追記:ホワイトペーパーを更新し、参照先を少々訂正した。また、この記事の執筆にあたって支援してくれたKarminaに、帽子を取って感謝する。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード