エフセキュアブログ

マルウェア を含む記事

Androidマーケットの詐欺アプリ

  マルウェアの作者が大胆にも、人気のアプリと類似したパッケージ名およびアイコンを使用し、このマルウェアを公式なAndroidマーケットで発表するというプラクティスが増えているようだ。正式なアプリの無料/ライト版であるかのような偽りの表示のもと、何も知らないユーザがこうしたマルウェアをダウンロードする可能性がある。

  Logastrod and Miriada Productionにより使用されたプラクティスと同様、Eldar Limitedが「Cut the Rope」と「Assassin's Creed」アプリの無料版を装うマルウェアを公開した。唯一の問題はAndroidマーケットでシンプルサーチを行っても、「Cut the Rope」無料版の結果は戻って来ないことだ。おそらく、Androidプラットフォームでは単に無料版は存在しないのだろうが、iOS用の無料「Cut the Rope Lite」は存在する。ここでユーザが混乱するかもしれず、こうした戦略の犠牲になる可能性がある。

Eldar Limited, Android Market

  Googleのアプリポリスはこの詐欺を発見し、Androidマーケットから素早く削除した。これらアプリはAppBrainとAndroidZoomにはまだ掲載されているが、リンク先はユーザを、すでにアプリが削除されている公式Androidマーケットに導く。

EldarLimited, AppBrain

EldarLimited, AndroidZoom

  ユーザには、アプリの有料版を検索し、開発者名に注目するというティップが役立つだろう。有料版と無料版の双方で名称が一致すれば、それは安全なアプリである確率が非常に高い。さもなければ、ダウンロードしてはいけない。

Duquが使用するゼロデイ脆弱性のパッチ

  パッチが公開される火曜日だ。Microsoftが、10月に発見されたDuquマルウェアが使用するゼロデイ脆弱性のパッチを公開した。

ms11-087

  同セキュリティ情報を引用すると:

同アップデートは何をするか?
  このアップデートは、WindowsカーネルモードドライバがTrueTypeフォントファイルを処理する方法を修正することで脆弱性に対処する。

このセキュリティ情報が公開された時、この脆弱性は一般に公開されていたのか?
  そう。この脆弱性は一般に公開されていた。Common Vulnerability and ExposureリストのナンバーはCVE-2011-3402が割り当てられている。

このセキュリティ情報が公開された時、Microsoftは同脆弱性が悪用されているという報告は受けていたのか?
  そうだ。Microsoftは同脆弱性を悪用しようとする、限定された標的型攻撃に気づいていた。しかし、このセキュリティ情報が発表された時、Microsoftは何らかのPOCコードの例が公開されていることを確認していない。

「Trojan:Android/SMStado.A」と「Trojan:Android/FakeNotify.A」

  今日我々は、二つのAndroid向け課金型SMSトロイの木馬に遭遇した。偶然にも、どちらもロシアのユーザを標的にしたものだ。

  最初に、「Trojan:Android/SMStado.A(SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087)」について。

  通常通り、その性質に関する最初のヒントとなるのは、リクエストされるパーミッションだ:

trojan_android_smstado_a_permission_1 (80k image) trojan_android_smstado_a_permission_2 (64k image)

  実行すると、同トロイの木馬はhttp://[...]6.antiddos.bizに対して以下の詳細をリークする:

  •  国際移動体装置識別番号(IMEI)
  •  パッケージ名
  •  電話番号
  •  端末モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image) trojan_android_smstado_a_run_2 (58k image)

  これらの詳細は、アプリ・パッケージのres\rawフォルダにも保存される。

  さらに、同アプリが実行される際、ユーザがスクリーン下部のボタンをクリックすると、SMSメッセージが指定された課金型の電話番号に送信される。これまでのところ、すべての番号がロシアの国別コード(特にモスクワエリアのものが多い)を使用している。SMSメッセージにはすべて、以下のテキスト文字列が含まれている:

  •  hm78929201647+1188+51+0+1+b92be

  このトロイの木馬はリモートサイトから、「love_position_v1.5.0.apk」という名のパッケージもダウンロードする:
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

  我々のテストでは、解析エラーのため、ダウンロードされた電話上ではサンプルが動作しなかった:

trojan_android_smstado_a_download_error (22k image)

  しかし、ダウンロード・パッケージを別の、クリーンなテスト用電話機で独立して分析したところ、こちらは起動の際、バックグラウンドで悪意あるサービスも開始するという違いはあるが、「Trojan:Android/SMStado.A」とほとんど同じふるまいをすることが分かった:

trojan_android_smstado_a_service (96k image)

  次のマルウェアは「Trojan:Android/FakeNotify.A」だ。

  これはアップデート通知アプリケーションを装う。以下はアプリが使用するパーミッションと、端末にインストールされる際の様子だ:

trojan_android_fakenotify_permissions (83k image) trojan_android_fakenotify_downloaded (114k image)

メモ:「Stados.A」「FakeNotify.A」のどちらも同じ名前(установка)だが、Google Translateによれば、これは「インストール」という意味だ。アプリを名付けるのに、これらマルウェアの亜種間の関係を示すよりも、一般的な言葉が用いられたということが示されているのだろう。

  いったんインストールされ、実行されると、ユーザの興味をひくために人気のあるモバイルゲームの名を使用して、アプリケーションのダウンロードにユーザの許可を得るメッセージが表示される:

trojan_android_fakenotify_download_ui (36k image)

  「next」ボタンをクリックすると、バックグラウンドでFakeNotifyが直ちに3組のSMSメッセージを送信する。メッセージは、ロシアの課金型の電話番号に送信され、以下のフォーマットのテキスト文字列を含んでいる:

  •  [24 digit string].1/316623

  使用されたSMSの詳細は、アプリケーションから埋め込まれたデータベースファイルに由来する。

  他方でユーザが、アプリケーションのダウンロードを見ることは無い。その代わり、別のスクリーンが表示され、悪意あるものである可能性のある、もっと多くのアプリを提供するWebサイトに導く:

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ:

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

「DevilRobber」のアップデート版が登場

  我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。

  このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。

Pixel_mator

  同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。

DevilRobber v3

  「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。

  我々が分析した「DevilRobberV3」サンプル(1c49632744b19d581af3d8e86dabe9de12924d3c)は、FTP Serverサービスプロバイダからバックドア・インストーラ・パッケージをダウンロードするFTPダウンローダだ。

  インストーラを取得するのに、同マルウェアはハードコードされたユーザ名とパスワードを持つ3つのFTP URLを生成するが、これらはプログラムそのものにコード化されている。パッケージは「bin.cop」という名で、FTPサーバーのルートフォルダに保存される。

DevilRobberV3 downloader

  配布方法が変更されていることに加え、「DevilRobberV3」では情報収集スクリプトに以下の変更がある:

  •  以前のようにスクリーンショットをとらない
  •  以前のようにLittleSnitch(ファイアウォールアプリケーション)の存在をチェックしない
  •  異なるローンチポイント名を用いる
  •  シェルコマンド履歴を収集する
  •  1パスワードコンテンツを収集する(AgileBitsのパスワードマネージャ)
  •  今回はシステムログファイルも収集する

  しかし今回もBitcoinワレットコンテンツを取得しようとする。

Threat Solutions post by — Wayne

政府の署名鍵で署名されたマルウェア

  証明書とCAは今もホットな話題だ(Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい)。

  我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。

  こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書(およびパスフレーズ)を盗むことで、別人としてコードに署名可能にする。

  我々は先頃、盗まれた証明書で署名されたサンプルを発見した。ファイルプロパティは以下の通り:

Publisher: Adobe Systems Incorporated
Copyright: Copyright (C) 2010
Product: Adobe Systems Apps
File version: 8, 0, 12, 78
Comments: Product of Adobe Systems

  そして署名情報は:

Signer: anjungnet.mardi.gov.my
Digisign Server ID (Enrich)
GTE CyberTrust Global Root
Signing date: 5:36 24/08/2011

  「mardi.gov.my」はマレーシア政府の一部であることが分かった。マレーシア農業研究開発研究所だ。マレーシア当局から受けとった情報によれば、この証明書は「かなり以前に」盗まれたものだ。

mardi-cert

  このマルウェア自体は、「Adobe Reader 8」を悪用した後にドロップを行う、悪意あるPDFファイルを介して拡散されている。マルウェアは「worldnewsmagazines.org」という名のサーバから更に悪意あるコンポーネントを追加ダウンロードする。今度は「www.esupplychain.com.tw」という組織によってではあるが、これらコンポーネントのいくつかも署名されている。

  マルウェアの署名付きコピーが発見されるのは、それほど良くあることではない。政府に属する公式鍵で署名されているケースは更に珍しい。

  この特定のマルウェアはもはや、署名からそれほど利益を得ていない。「mardi.gov.my」証明書は9月末に期限切れになったためだ。

  マレーシア政府は、同ケースについて報告を受けている。

  我々はこのマルウェアを「Trojan-Downloader:W32/Agent.DTIW」として検出している。MD5ハッシュは「e9f89d406e32ca88c32ac22852c25841」だ。

FBI:Ghost Click作戦

  米連邦裁判所が、7人の男性(エストニア人1名、ロシア人1名)を、連邦捜査局のGhost Click作戦の一環として起訴した。6名はエストニア当局が逮捕したが、ロシア人の被告は現在も逃走中だ。

  News from the Labブログの以前からの読者は、被告の1人Vladimir Tsastsin(別名「SCR」)を、2008年頃のEstDomains事件でご記憶だろう。

  Ghost Click作戦は、クライムウェアとの戦いにおける、かなりの成功例だと言ってよい。

  Rove Digital(ギャングのダミー会社)は非常に革新的なDNSChangerクリック詐欺を行ったが、これは400万台以上のコンピュータに影響を与え、広告ベースの収益で1400万ドル以上を得たという。オペレーションが非常な成功を収めたため、彼らはMacマルウェアにも手を出した。

  以下はFBIの「コンピュータが不正なDNSを使用しているかどうかチェックする」からのスクリーンショットだ。

FBI, Apple, DNSChanger

FBI, Apple, DNSChanger

  ギャングのマルウェアの中には、ルータを標的とするものまである!

  詳細についてはKrebs on Securityをチェックして欲しい。

ミッコ・ヒッポネンが来日 @PacSecJP

  最近TEDGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。

  先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。

  アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか? 


  ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。

続きを読む

バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

Trojan:SymbOS/OpFake.A

以下は「Trojan:SymbOS/OpFake.A」に関する昨日の記事に関連したテクニカル分析だ。

  「OpFake.A」は、「OperaUpdater.sisx」および「Update6.1.sisx」などのファイル名を使用する、Opera Miniアップデータと思われるファイルとして到着した。このマルウェアインストーラは、アプリケーションメニューにOperaアイコンを追加する。実行すると、メニューおよび偽のダウンロードプログレスバーを表示する。

Opera Updater 56%
  プログレスバーの表示… このインストーラはファラデールームの内部で実行されたのに。

  同マルウェアは表示可能な「ライセンス」も有している。トロイの木馬が開始され、被害者がメニューのどれかを通じて先へ進む以前に、このトロイの木馬はロシアのプレミアム料金を課すナンバーに、テキストメッセージを送信している。ナンバーとメッセージのコンテンツは、暗号化されたコンフィギュレーションファイル(sms.xml)から来ている。

  「OpFake.A」のSymbianバージョンは、それがアクティブでいる短時間に、SMSメッセージのモニタも行い、受信メッセージを削除し、メッセージは電話番号とメッセージのコンテンツにもとづき、送信メッセージフォルダに移動される。到着するSMSメッセージの妨害を処理するコードは、「Trojan:SymbOS/Spitmo.A」にものとほとんど同じだ。「OpFAke.A」のその部分は、明らかに「Spitmo.A」とソースコードを共有している。

  「OpFake.A」は、以前それが実行されたかどうかを追跡し、初めて実行される場合以外は何もしない。

  「OpFake」トロイの木馬は攻撃者自身が作成した証明書を使用して自己署名されている。証明書の所有者はJoeBloggsで、同社はacmeだ。これらの名前は、証明書を作成するためのWebサイトに例として使用されたため、同じ所有者名、企業名を持つ証明書で署名された、悪意あるファイルではないものも存在する。

  「OpFake」ホストサーバの異なるパスに、異なるファイル名(OperaUpdater.sisx、Update6.1.sisx、jimm.sisx)を使用した、多数の亜種が存在する。パスの一例は [IP Address]/builder/build/gen48BF.tmp/OperaUpdater.sisx だ。「gen」と「.tmp」の間の4文字はパスの変動部分だ。

  同じサーバ上の異なるパスに、同マルウェアのWindows Mobileバージョンもある。たとえば:[IP Address]/wm/build/gen7E38.tmp/setup.CAB だ。こちらも、ランダムなパスのもと、様々なバージョンが存在する。現在、「wm/build」以下にランダムな名称を持つ5000以上のフォルダがある。

  以下は、解読されたコンフィギュレーションファイルの例2種。最初のものはSymbianの亜種で、2番目はWindows Mobileの亜種だ。「ナンバー」と「テキスト」によるエントリは、メッセージが送信される電話番号と、メッセージのコンテンツを表している。

OpFake configguration files

SHA-1: 2518a8bb0419bd28499b41fad2089dd7555e50c8

「DroidKungFu」がアップデート攻撃を利用

  我々は昨日、新たな感染ベクタを使用するとおぼしき「DroidKungfu」サンプルに関する簡単な記事を投稿した。

  お約束通り、より技術的な詳細をご紹介する。

DroidKungFu, Chinese market

  我々が分析しているアプリケーションは「com.ps.keepaccount」という名で、そのコンテンツをざっとチェックしたところ、二、三のことが明らかになった。

  最初に見たところ、オリジナルのアプリケーション(SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54)に「DroidKungFu」の痕跡は無い。

DroidKungFu, Original install
  コンテンツとインストールのパーミッション

  いったんインストールされると、同アプリケーションはユーザにアップデートが入手可能だと知らせる。そしてユーザがこれをインストールすると、アップデートされたアプリケーションは、「DroidKungFu」マルウェアで発見されたのとよく似た追加機能を獲得する。

  以下のスクリーンショットは、アップデートプロセスで何が起きるかを示している:

droidkungfu_update1droidkungfu_update2droidkungfu_update3

droidkungfu_update4droidkungfu_update5

  オリジナルバージョンと比較して、アップデートされたアプリケーションは、SMSおよびMMSメッセージと、デバイスのロケーションにアクセスできるよう、さらに2つのパーミッションを要求した。

  パーミッションの違いは、アップデートが悪意あるものかどうかを見分ける最良の方法ではないかもしれないが、それでもアプリケーションのアップデートが、別のパーミッションを要求しているかどうか、注意し、疑ってみることは良い方法だ。

  さらに重要なのは、アップデートされたアプリケーションは、ルート権限を得るためにエクスプロイトを使用し、それによりさらに意図せぬ行為が遂行される可能性が生じることだ。

  最後のスクリーンショットで、同アプリケーションが突然停止したことが示されている。これはおそらく、この「DroidKungFu」の亜種がまだ「Android OS version 2.2」用のエクスプロイトを使用しており、テストした端末は「Android OS version 2.3」を使用しているためのエラーが原因だろう。

  以下は、アップデートされたアプリケーションのソースを示す、アップデートプロセス中のパケットキャプチャだ:

droidkungfu_packet_capture

  「SHA-1: 7cd1122966da7bc4adfabb28be6bfae24072c1c6」でアップデートされたアプリケーションのコンテンツのクイックビュー

droidkungfu_encrypted_apk

  この「init.db」ファイルは、実は「DroidKungFu」のスタンドアロンコピーで、データベースファイルではなく、ルート権限を獲得するとアプリケーションがインストールする暗号化されたAPKファイルだ。

  このアプリケーションが実際「DroidKungFu」であることを確認するため、コードを見てみよう:

droidkungfu_verify

  「WP」は、ASCII表示である解読のためのキーで、コンバートされると「Deta_C1*T#RuOPrs」になる。

  更に検証を行ったところ、このアプリケーションが実際に「DroidKungFu」の亜種であることが分かった。我々はこれを2011年8月18日から、「Trojan:Android/DroidKungFu.C」として検出している。

  サンプル(アップデートの前と後の両方)の検証カバレッジをVirusTotalでチェックしたところ、以下の結果が得られた。自身を「DroidKungFu」にアップデートするオリジナルのアプリケーション:

droidkungfu_old_vtscan

  そしてアップデートされたアプリケーション:

droidkungfu_updated_vtscan

Threat Solutions post by /mdash; Zimry, Irene and Yeh

—————

10月25日の追記:この記事は、スクリーンショットに関連する詳細を修正するため、編集された。すなわち、最初の数パラグラフは、このトピックが昨日の記事に関連していることをハッキリさせるため書き直され、リンクはスクリーンショット付きでVirusTotalのスキャンレポートに置き換えられた。

Macのトロイの木馬がXProtectアップデートを停止

  Macマルウェア開発に新たな何かが起きようとしている(またもや)。

  最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。

  まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する:

xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読

xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリのパスを解読

  同マルウェアは次に、「XProtectUpdater」デーモンをアンロードする:

unload1, Trojan-Downloader:OSX/Flashback.C

unload2, Trojan-Downloader:OSX/Flashback.C

  最後に同マルウェアは「XProtectUpdater」ファイルを" "キャラクタで上書きする:

wipe_xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルを上書き

wipe_xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリを上書き

  上述の処理は特定のファイルを消去し、「XProtect」が今後のアップデートを自動的に受けれないようにする。

  システムの防御手段を無効にしようとすることは、マルウェアでは非常に一般的な戦術だ。そしてビルトインの防御手段は当然、どのようなコンピューティングプラットフォームでも最初の標的となる。

Threat Solutions post by — Brod

Duqu - Stuxnet 2

  今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a








Macのトロイの木馬Flashback.B Checks for VM

  エフセキュアのアナリストの一人が、自身を「Adobe Flash Player」のアップデートだと勘違いさせようとするMac向けトロイの木馬「Flashback」の最新バージョンのデバッグ中に、興味深いものを発見した。

  「Flashback.A」と「Flashback.B」の違いを比較している時に、彼は以下のルーチンを見つけた:

vmcheck, Trojan-Downloader:OSX/Flashback.B

  「Flashback.B」は「vmcheck」を実行する。仮想化が検出されると、トロイの木馬は自身を停止するのだ。

  AppleはLionでユーザーが2つの仮想化環境を動作させることを可能にした。

  VMウェア・アウェア・マルウェア(早口で10回言ってみよう!)は、Windowsエコシステム内でよく使用されるアンチリサーチテクニックだが、Macではまだ一般的ではない。Macマルウェアの作者は、リサーチャが分析中に仮想環境を使い始めることを予測し、このような取り組みを阻止する対策を講じているようだ。

Threat Solutions post by — Brod

ドイツ当局によるバックドアに関する追加情報:Case R2D2

先週、ドイツ語ベースの「Chaos Computer Club」(CCC)が、ドイツの法律に反して当局が使用していると主張する、バックドア型トロイの木馬に関する詳細を発表した。

  そして、許可された範囲内でという但し書き付きで、ドイツのいくつかの州が「Backdoor:W32/R2D2.A」〔別名「0zapftis」)の使用を認めた

  1つのケースでは、ミュンヘン国際空港で税関・出入国管理を容疑者が通過する際、彼のラップトップにトロイの木馬がインストールされた。

  以下は、このバックドアに関するさらなる詳細だ。

  CCCのレポートには、同バックドアのDLLおよびカーネルドライバの分析が含まれている。CCCはインストーラを入手できなかったようだ。(それは容疑者のコンピュータ上に、ローカルでインストールされたのかもしれない。)

  我々はインストーラを入手している。

  以下は、エフセキュアのマルウェア格納システムからのスクリーンショットだ:

scuinst.exe

  このインストーラファイルは「scuinst.exe」という名称だ。最初に発見されたのは2010年12月9日。

  「scuinst.exe」というファイル名で重要なのは何だろう? これは「Skype Capture Unit Installer」の略語だ。「Skype Capture Unit」は、ドイツ、バイエルンのハイガー市にある「Digitask」という企業により開発された商用トロイの木馬の名称だ。Digitaskおよび「Skype Capture Unit」のバックグラウンドに関する詳細情報は、Wikileaksによるこれらのドキュメントを見て欲しい。そして以下は、ドイツの税関調査委員会が「Digitask」から2075256ユーロで監視サービスを購入したことを示している。200万ユーロだ。

digitask

  我々のシステム自動化は「scuinst.exe」が気に入らず、カスタマのコンピュータで自動的にブロックされるようセットした。「ヒューリスティック」カテゴリは、我々のオートメーションが、エフセキュアのアナリストが作成した規則に基づいて同ファイルを警告したことを示している。

  エフセキュアのカスタマで、「R2D2」にさらされた人はいるだろうか?

  いや。カスタマが一人としてこのバックドア(CCCの発表以前にインザワイルドだった)と遭遇していないことは、我々の統計に示されている。

  では、エフセキュアはどのようにしてインストーラのコピーを入手したのか?

  我々(そして他の多くのアンチウイルスベンダ)は、「virustotal.com」からファイルを受けとった。

  実際、このインストーラはVirustotalに何度か提出されている:

scuinst.exe

  では、多くのアンチウイルスベンダがインストーラを有しているのだろうか?

  そうだ。VirusTotalは、複数のアンチウイルスエンジンで疑わしいファイルを分析し、検出名のリストを提供するサービスだ。VirusTotalは協調的な取り組みで、参加者なら誰とでもサンプルのシェアを行う。

  検出が存在しなければ、プロテクションもないということなのか?

  いや。多くのアンチウイルス製品(たとえば「エフセキュア インターネット セキュリティ」)は、従来のシグネチャ検出に勝る、付加的なプロテクションのレイヤを有している。脅威がシグネチャ「検出」に対応していないからといって、プロテクションの他のレイヤによって「ブロック」されないということは意味しない。

  この場合、R2D2のインストーラは、従来のシグネチャデータベース検出が公開される前に、我々の「クラウド」レイヤによりブロックされていただろう。

  では、VirusTotalが誰とでもシェアするなら、バックドアを秘密にしておこうとしながら、そこにアップロードするのはバカげているのでは?

  そう。プロのマルウェア作者がブラックマーケットマルチスキャナを使用するのは、そうした理由による。

  では何故、R2D2の作者はそれを提供したのか?

  おそらく彼らがバックドアのインストーラを「テスト」するための方法として知っていた、唯一の方法だったのだろう。

  あるいは、バックドアのライフスパンと効果が減少しても、気にならなかったのかもしれない。

  あるいは、ドイツ政府(そしてバックドアを作成するのに雇われた企業)は、アンチウイルス業界が何をするか、そしてカスタマを保護するために、我々がどのように協力し合うかということを、よく理解していなかったのかもしれない。

  我々は全員参加しているのだ。

政府によるものとおぼしきバックドアを発見(「R2D2ケース」)

  ドイツの「Chaos Computer Club」が今夜、ドイツ政府により用いられたバックドア型トロイの木馬を発見したと発表した。

R2D2 backdoor trojan

  この発表は「ccc.de」で公表されたもので、同マルウェアの機能について20ページにわたる詳細な分析が行われている。PDFのレポートをダウンロード(ドイツ語)できる。

  問題のマルウェアは、DLLとカーネルドライバから成るWindowsバックドアだ。

  バックドアには、特定のアプリケーションを標的とするキーロガーが含まれている。対象となるアプリケーションは、Firefox、Skype、MSN Messenger、ICQなど。

  このバックドアは、スクリーンショットを撮り、Skypeの会話を含むオーディオ録音を目的としたコードも含んでいる。

  さらに、同バックドアは遠隔的にアップデートすることができる。接続するサーバには「83.236.140.90」や「207.158.22.134」がある。

  このバックドアを作ったのが誰なのか、そして何のために使用されたのかは分からない。

  CCCの調査結果を疑う理由は無いが、我々はこのトロイの木馬がドイツ政府により書かれたと言う事はできない。我々の知る限り、このことを確認できるのは、ドイツ政府自身以外にはない。

  政府によるバックドア、もしくは警察が「合法的な傍受」を行うトロイの木馬の検出に関するエフセキュアの包括的なポリシーについては、ここでお読み頂ける

  我々はこれまでに、政府によるバックドアであると思われるサンプルを分析したことは一度も無い。また、いかなる政府からも彼らのバックドアを検出しないよう要請されたこともない。

  とは言え、我々はこのバックドアを「Backdoor:W32/R2D2.A」として検出している。

  「R2D2」という名称は同トロイの木馬内のストリング「C3PO-r2d2-POE」に由来する。このストリングは、トロイの木馬がデータ伝送を開始するために内部で使用される。

R2D2 backdoor trojan

  我々はこれが大きなニュースになると考えている。ドイツ政府から正式な回答が出される可能性がある。

MD5 hashes:930712416770A8D5E6951F3E38548691 and D6791F5AA6239D143A22B2A15F627E72


さようなら、スティーブ・ジョブズ

  スティーブ・ジョブズが亡くなった。

  Googleはトップページを変更し、敬意を表している:

Google's Steve Jobs tribute

  「Steve Jobs」は、「apple.com」にリンクしている:

Apple

  そしてAppleによるジョブズの写真からは、このメッセージにリンクしている:

Apple remembers Steve Jobs

  非常に感動的な言葉だ。

  Google側のセキュリティ措置としても良いものだ。

  このニュースを耳にするやいなや、我々は慎重さに欠ける人々を対象に、最後にもう一度、ジョブズを利用しようとするマルウェアやスキャムなどの試みに注意を向け始めた。ニュース速報が出るたびに、こうしたことが起きる。今年3月に起きた日本の地震と津波が顕著な例だ。ニュースが発生すると、検索エンジン最適化詐欺が起きる。

  現在、「スティーブ・ジョブズ 葬式」と検索すると、結果の最初のページにスキャムが現れる。

Google Search results

  以下のサイト「stevejobsfuneral.com」は、15分の1の確率でMacbookが当たるというクジのため、電子メールアドレスを収集しようとするものだ。そして、リンク先のオンラインストアでは、購入することでジョブズに敬意を表することができるとして、Apple製品の販売を行っている。

  このサイトにとって都合の良いことに、このリンクにも、リンクを通して商品が購入されると利益が得られる、アフィリエイト広告情報が含まれている。

  「stevejobsfuneral.com」を避けるべきことは、おそらく言うまでもないことだろうが、このサイトは9月20日には既に登録されていた。ハゲワシはかなり前から旋回していたのだ。

stevejobsfuneral.com: scumbag website

  ニュースを検索する際には、常識だけでなく「news.google.com」も利用することだ。

  「Google Search」は悪意あるサイトをフィルタリングするという、非常に適切な仕事をしているが、最近、スパムと(広告に関連した)スキャムに関してヘマをしているようだ。あなたの国で利用できるなら、「Google News」を利用すること。

—————

スティーブ・ジョブズのご冥福をお祈りする。

「iPhone 5GS」に関するメールに注意

  アップルは明日、次のスマートフォンを発表するものと考えられている。

  詐欺師たちはこれを知っており、また、人々が来るべき発表を心待ちにしていることを知っている。そこで彼らは、以下のようなメッセージを含む悪意あるメールをばらまいている:

Fake iPhone 5GS

  これはおそらく、次期iPhoneとは似ていないだろう。しかし、興味を持ってリンクをクリックすれば、リダイレクトされ、ハッキングされたサーバ「comiali.com」でホスティングされた、「iphone5.gif.exe」というWindowsバイナリをダウンロードすることになる。

  ダウンロードされたファイルは以下のように見える:

Fake iPhone 5GS

  実行すると、同マルウェアは以下の画像を表示する:

Fake iPhone 5GS

  背後にあるのは、mIRCにもとづいたシンプルなIRCボットだ。これは94.125.182.255(ircu.atw.hu)のIRCサーバに接続する。

  感染したマシンは、このサーバを介してコントロール可能で、クレジットカード窃盗などにさらされる。実際、同マルウェアは内部に「I wanna be a billionaire so frickin bad!」というテキストを含んでいる。

  エフセキュア アンチウイルスはこれを、「IRC-Worm.Generic.2106」として検出している。MD5ハッシュは「2B60D3E71289D5F98C8E633A9D0C617D」だ。

PDFファイルを装うMacのトロイの木馬

  我々は、製作中のMacマルウェアに出くわしたかもしれない。同マルウェアは「Trojan-Dropper:OSX/Revir.A」として検出されており、PDFファイルを装い、ユーザをだましてペイロードをひきおこす。

  同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。



  ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。

  このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。

  同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。

  このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。


追記:サンプル用のMD5ハッシュ:

  •  Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
  •  Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
  •  Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d


Analysis by - Brod




我々に必要なもの

私はインターネットが大好きです。

  インターネットが我々に何をもたらしたか考えて下さい。我々が使うあらゆるサービス、コネクティビティ、エンターテイメント、ビジネス、コマースを。

  そしてこれら全ての変化は、たった今、起きているのです。私たちが生きている現在、です。

  何百年かして歴史の本が書かれた時、我々の世代はオンラインを獲得した世代として記憶されるであろうことに、私はかなりの確信があります。我々は真にグローバルなものを創造した世代として記憶されることでしょう。

  しかしインターネットには問題もあります。セキュリティとプライバシーに関する、非常に深刻な問題です。こうした問題と戦うことに、キャリアをかけてきた私には分かっています。

  では、全ての問題はどこからやって来るのでしょう? 問題の唯一最大の源は、組織犯罪ギャングたちです。彼らは攻撃で儲けるため、マルウェアをばらまき、Webサイトをハッキングします。彼らの多くは数百万を得るのです。

  コンピュータを感染させることで金儲けをするには、いくつかの異なる方法があります。たとえば、オンラインバンキングを行う際に、ユーザの口座から金を盗むBanking Trojan。また別の手法にキーロガーがあります。キーロガーはユーザのコンピュータにひそんで、タイプされた内容を全て記録します。ですから、皆さんがオンラインストアで買い物をし、名前やクレジットカード情報を入力すると、それらは犯罪者によって盗まれてしまいます。

  オンライン犯罪が生み出す金額はかなりのもので、それはオンライン犯罪者たちが実際、攻撃に投資できることを意味しています。そして彼らはインターネットのグローバルな性質を、有利に利用してもいます。以前は我々にリーチできなかった犯罪者たちが、現在は私たちに手を伸ばすことができるのです。

  ほとんどの場合、犯罪者たちは決して捕まりません。大多数のオンライン犯罪事件では、我々は攻撃者がどの大陸からやって来たかさえ知ることはありません。たとえオンライン犯罪者を見つけることができても、大抵成果が得られません。地元警察は役割を果たさないか、果たしたとしても、十分な証拠が無いか、何らかの理由で我々は犯罪者たちを倒すことができません。もっと簡単なら良いのにと思いますが、残念なことにそうではありません。

  既に述べた通り、私はインターネットが本当に好きです。私たちがオンラインで手にしているあらゆるサービスについて考えてみて下さい。もしそれらが奪われたら、ある日それらが無くなったらどうなるでしょう。

  私はインターネットの未来は素晴らしいものだと思っていますが、そうでは無くなる可能性を懸念しています。

  オンライン犯罪のせいで、我々が問題にぶつかることを、私は懸念しています。オンライン犯罪は私たちから様々な物を奪うかもしれないものです。

  私はネットを守ることに人生を費やして来ましたし、もしオンライン犯罪と戦わなければ、われわれは何もかも失う危険をおかすことになると感じています。私たちはグローバルにオンライン犯罪と戦わなければなりませんし、今すぐにそうすべきなのです。

  私たちに必要なのは、オンライン犯罪団を見つけるための、よりグローバルな国際的法執行機関です。こうした組織化された犯罪者たちは、攻撃により何百万もの金を手にしているのですから。我々は世界中であらゆるアンチウイルスを、あらゆるファイアウォールを実行することができますが、それで違いが生じるわけではないでしょう。犯罪者を捕まえれば、状況は変わります。

  さらに重要なのは、オンラインの世界の犯罪に取り込まれようとしている人々を見つけ出すことですが、これはまだなされていません。我々はスキルは持っているものの、それを活かす機会のない人々を見つけ、彼らがそのスキルを良いことのために使える機会を提供すべきなのです。

ミッコ・ヒッポネン

TEDトークからの抄録。トランスクリプションはAmerican RhetoricのDiane Wiegandによる。

エフセキュアでの20年

私は昨日、これを受けとった。

20 years

  エフセキュアで20年間、働いてきたのだ。

  1991年にこの会社に加わった時、私は21歳だった。当時はMacintosh LC IIと、MS-DOS 3.3およびWindows 3.0が動作する386PCで仕事をしていた。少し後になって、NeXTシステムも入手した。同システムはトークするなど、実にクールだった。

  1991年、我々は主にMacのウイルスと戦っていた。ご存知のように、1980年代後期と1990年代初期に、Appleは最も問題のあるウイルスプラットフォームだったのだ。PCでは当時、主にブートセクタウイルスとシンプルなCOMファイルインフェクタが問題だった。

  私は時々、コンピュータセキュリティ業界での自分のキャリアについて思い返すことがある。高校時代、親友の一人が建築技師になった。今では彼は子どもを連れまわり、自分の仕事を見せることができる。「見てご覧、お父さんがあの橋を造ったんだよ。そしてあの家を建てたんだよ」と。

  この20年、私は一生懸命にコンピュータセキュリティ業界で働いてきた。だが、私が見せられるものは何も無い。橋もない。家もない。私は何もなしてこなかったのだ。

  だが、コンピュータセキュリティで我々が行う仕事は、様々な点で、独自の方法で重要なのだということに気づいた。何故ならば、我々の仕事は他の人々を助けることなのだから。

  人々は我々のところにやってきて、助けを求める。最新のマルウェア、トロイの木馬、バックドア、そしてルートキットなどは、一般のユーザには複雑すぎて対処できない。彼らは我々の助けを必要としている。彼らは我々に、自分達のファイルを救ってくれと頼む。データベースを。写真を。メモリを、あるいは企業を。

  それが私たちの行っていることだ。我々は他を助けている。そして皆さん、それは立派なことだと思うのだ。

  だから、ありがとう。

--

  ご興味がおありなら、SC Magazine AustraliaのDarren Pauliがこの20年の間に私が遭遇したことの一部に関する記事を書いている。

  過去20年間、ともに働いた同僚達に感謝したい。光栄に思っている。次の20年に幸あれ!

ミッコ

Mikko


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード