エフセキュアブログ

マルウェア を含む記事

エフセキュア 法人向け製品でWindows Server 2003のサポートを延長

エフセキュア株式会社は、法人向け製品でWindows Server 2003のサポート終了後も一定期間サポートを継続いたします。

日本マイクロソフト社のオペレーティングシステム Windows Server 2003のサポートが2015年7月14日に終了します。開発元がサポートを終了したオペレーティングシステムを継続して利用することは、セキュリティやコンプライアンスの観点からみて大きな危険性があります。サポート終了後は、新たにオペレーティングシステムの脆弱性が発見されたとしても、セキュリティパッチが提供されることがないため、エクスプロイトを利用したハッカーやマルウェアの侵入、またそれに伴う情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。しかしながら、Windows Server 2003は多くの企業で業務の基幹システムなどにも採用されており、サポート終了日の2015年7月14日までに全てを最新のオペレーティングシステムに移行させることは困難な状況です。

エフセキュアはこの状況を認識し、日本マイクロソフト社のサポート終了後も、Windows Server 2003にインストールされている法人向け製品に対し、延長サポートを提供することで、Windows Server 2003から最新のオペレーションシステムへのアップグレードの支援をいたします。なおこの延長サポートは、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。


Windows Server 2003向け延長サポート対象製品情報



  • サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。
  • セキュリティパッチが提供されず、脆弱性が修正されないままのオペレーティングシステムでは、エンドポイントセキュリティ対策製品でエクスプロイトから保護することが出来ない可能性があります。
  • サポート終了時点で、最新のサービスパックおよびパッチが適用されているオペレーティングシステムがサポート対象となります。
  • オペレーティングシステム自体に起因する不具合に対しては、弊社ではサポート対応できない場合がございます。

明らかになりつつあるリーガルマルウェアの実態

最近、世界各国でHackingTeamFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。(元々は、WikiLeaksが発端だったと記憶しています。)
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

FinSpy Mobile リリースノート抜粋


以前から捜査目的でのマルウェア(ポリスウェアなど)の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。(フォレンジック目的のようです)
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT(Remote Access Trojan)と同様です。解析結果を見れば、その内容は把握できるでしょう。(解析結果例
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

FF Solutions
参考:https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf


ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

(1)録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

Audio Recording

(2)SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。(参考
    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk
Tencent(中国)とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
#訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。(既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。)
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね(笑)
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

GameOver Zeusが戻ってきた

この5月、GameOver Zeusのボットネットが、司法当局に摘発された最大のボットネットとして、歴史に名を刻んで終了した。
しかし残念ながら戻ってきてしまった。

BankInfo SecurityのMathew J.Schwartz氏はこのように説明する。

FBI、ヨーロッパ、そして英国国家犯罪対策庁が 'Operation Tovar'を開始して、GameOver Zeusを拡散するために使用されていたボットネットを破壊してからおよそ3ヶ月、このマルウェアは世界的に息を吹き返しつつある。

GameOver Zeusは、感染したPCから銀行口座や個人情報を盗むために設計された「トロイの木馬」だ。5月に司法当局が摘発した時点で、FBIは世界で50万から100万台のPCが感染しており、そのうちの4分の1が米国で、1億ドル以上が詐取されたと推計している。

エフセキュアのセキュリティ・アドバイザー、ショーン・サリバンは「GameOver Zeusの新しい亜種が溢れているわけではない」と述べている。エフセキュア・ラボでは最近の脅威を観察し、その起源について結論つけている。



GameOver Zeusに詳しい我々のアナリストが、最新のサンプルを分析した。彼の評決:明らかにSlavikの仕業だ。

どう思われるだろうか? 弊社のオンライン・スキャナーは新旧のGameOver Zeusを検出する。今、無償でPCをチェックいただきたい

では、

ジェイスン

Pitou Q&A

Pitouって何?
 最近特定されたスパムボット型のマルウェアで、悪評の高いカーネルモードのスパムボットSrizbiとの類似点を数多く持つ。当社ではさらに詳細な分析を行い、これはSrizbiの復活であることを確認した。我々はこの最新のマルウェアをPitouと名付けた。徹底的な分析の後、いくつかの興味深い技術的な特徴を見つけた。これについてはホワイトペーパーに記述した。

なぜPitouと呼ぶのか?
 Pitouという名前は、同業者が付けた既存の検出名から取った。混乱を避けるために、このファミリー名を使うことを決めた。このスパムボットには(Srizbiという名前を継続して使うより)新しい名前がふさわしい。我々がこのように考えたもう1つの理由は、マルウェアのコードがより堅牢な機能を持たせて完全に書き換えられているからだ。今やbootkitの実装も含む。

最初にどこで発見されたのか?
 顧客のマシン上で、当社の自動分析システムに疑わしいシステムドライバファイルが報告されたのが最初のこの脅威との遭遇だ。手作業で分析した後、これは悪意があるもので、VM(Virtual Machine)のコードにより高度に難読化されて保護されたペイロードを含むことが分かった。これは、マルウェアが研究者から何かを隠そうとしていることを意味する。したがって当然ながら、当社は徹底分析をすることを決めた。

最初に見つけたのはいつか?
 当社のサンプル収集システムの日付に基づくと、この脅威は2014年4月に初めて見つかった。ただしそれより前に、世の中には存在していたかもしれない。ホワイトペーパーではタイムラインで情報を提供している。

この脅威が懸念される人は?
 この脅威は、企業のユーザにも家庭のユーザにも混乱や不便を引き起こし得る。当該スパムボットは感染したマシンを用いて、スパムメールを拡散する。これにより、スパムを送るIPアドレスがISP(Internet Service Provider)によってRBL(Realtime Black List)のブラックリストとして登録され得る。ブラックリストにIPアドレスが登録されると、大半の企業のメールサーバで一般に設定されている、標準のSMTP(Simple Mail Transfer Protocol)でのメール送信がブロックされる。同時に通常の家庭ユーザについては、非Webベースのメールクライアント、たとえばMicrosoft Outlookを使っていても、結局はISPによって自身のIPアドレスがブラックリストに登録される。

PitouのIOC(indicators of compromise、侵入の痕跡)にはどういうものがあるか?
 他の最近のrootkitと比べて、この脅威は特に隠密的というわけではない。ドキュメントにはいくつかIOCを挙げた。これは、マシンがPitouに感染しているかを早急に特定することに関心のある人(もちろん技術的な専門家)のためだ。

Pitouのホワイトペーパーはどこで入手できるか?
 以下の画像をクリックするか、当社のラボのサイトのTechnical papersセクションに行く。

pitou_whitepaper_cover (96k image)


Post by - Wayne

----------
追記:ホワイトペーパーを更新し、参照先を少々訂正した。また、この記事の執筆にあたって支援してくれたKarminaに、帽子を取って感謝する。

エフセキュア、イーセクターとアンチ・マルウェア製品展開で戦略的パートナーシップ締結

エフセキュア株式会社は、株式会社イーセクターと仮想環境向けアンチ・マルウェア製品を中心とするビジネス展開で戦略的なパートナーシップを締結いたしました。

現在、企業の規模を問わず、情報システムのインフラのクラウド化や仮想化が急速に進んでいます。一方、仮想化基盤は各社ごとに異なるユーティリティ機能が存在するため、アンチ・マルウェア製品の導入設定を行う際にはそれら仮想化基盤固有の機能に関するノウハウが重要となります。

エフセキュアは仮想化やVDI環境下でのセキュリティソリューション「エフセキュア 仮想スキャンサーバ」をご提供しておりますが、更に仮想環境へのスムーズな移行を促進することを目的に、イーセクターと戦略的なパートナーシップを締結いたしました。イーセクターは、専任の技術者を配備し、「エフセキュア 仮想スキャンサーバ」のみならず、物理環境と仮想環境、およびサーバとクライアントの混在環境上のアンチ・マルウェア製品の設計や構築の支援並びに保守サービスを、パートナーおよびユーザーへ提供します。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「イーセクターの、卓越したセキュリティソフトウェアの販売・サポート力と、最新システム基盤に対するノウハウが、仮想化やクラウド化の促進のためのメニューとして提供開始されたことに、深く賛同申し上げます。エフセキュアはイーセクターの先進的な取り組みの戦略的パートナーとして選ばれたことを誇りに思い、今後も優れたセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はMicrosoft Hyper-V、VMware vSphere、Citrix XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

ランサムウェア・レース(パート5):守られないSynoLockerの約束

 決してオンライン犯罪者に身代金を支払ってはならないと、我々は考えている。その理由は極めて単純だ。ファイルを暗号化するランサムウェアは、支払いが為されるまで被害者の個人的なファイルを「人質」にとる。この陰謀がうまくいくには、耳をそろえて払うことで救われると被害者が信じる必要がある。しかしながら、犯罪者たちに支払った結果として確実なのは、彼らの悪意に満ちた行為を続けさせるように促すことだけだ。代表例は、一般にSynoLockerとして知られる最近のランサムウェアファミリーだ。

SynoLockerはシノロジー社製のNAS(network attached storage)デバイスを標的にしている。デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されたファイルの暗号化を始める。さらに、ファイルを復号する見返りに身代金の支払いを要求するメッセージを被害者に提示する。しかしながら、SynoLockerの背後にいる犯罪者らはうその約束をしているのだ。 当社で観察した数多くのケースにて、復号プロセスは実際には動作しなかったり、犯罪者らが提供した復号キーが間違っていたりした。

 犯罪者たちに騙されたとしても、望みが完全に潰えたわけではない。正しい復号キーを被害者が入手することができれば、ファイル群はまだ復号できる。この目的のために、当社は本日、小さなツールをリリースする。Pythonのスクリプトで、当社で書いたものだ。正しい復号キーが提供されている限り、このツールを使って安全にSynoLockerで暗号化されたファイルを復号できる。このツールは、決してSynoLockerで作成されたファイルの暗号を破るものではない。また、復号キーを総当たりで探すことはしない。復号キーが既知の場合にのみ動作する。

Screenshot of encrypted and decrypted file headers
SynoLockerで暗号化されたファイルの先頭部分(左)と復号された同じファイルの先頭部分(右)

 当社の復号ツールのもう1つの使用場面は、ユーザが身代金を払ったが、感染したデバイスからマルウェアSynoLockerを削除済みだったために、復号キーが使えなくなった状況だ。デバイスを当該マルウェアに再感染させる(これは悪い考えだ)代わりに、当社のスクリプトをキーと共に使って、ファイルを復号できる。

 このツールを一般社会に公開することにより、こうした犯罪者によって引き起こされる害悪を解消するのに貢献できることを願っている。

 当社はどなたにも身代金の支払いを一切お勧めすることはない。

 当社の復号ツール、インストールおよび使用マニュアルはこちらから

 Post by Artturi (@lehtior2)

さくらインターネットとエフセキュア、レンタルサーバのウイルス対策で提携

エフセキュア株式会社は、さくらインターネット株式会社の「さくらのレンタルサーバ」をはじめとするサービスに、ゲートウェイでのウイルス対策ソリューションの提供を開始しました。

企業や組織の情報システムのクラウド化が進む中、レンタルサーバやハウジングの活用が改めて注目されています。このようなサービス形態においては、サーバやエンドポイントのクライアントのマルウェア対策に加え、ゲートウェイレベルでのセキュリティの確保による多層的な防御が必要となります。この度、レンタルサーバの大手であるさくらインターネットは、「さくらのレンタルサーバ」をはじめとする様々なサービスでのスキャンエンジンとして、「エフセキュア アンチウイルス Linux ゲートウェイ」の採用を決定いたしました。今後2014年8月31日までに、「さくらのレンタルサーバ」「さくらのマネージドサーバ」「さくらのメールボックス」などのサービスのウイルスチェックおよびウイルススキャンの機能が「エフセキュア アンチウイルス Linux ゲートウェイ」へ切り替えられます。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「レンタルサーバで著名なさくらインターネットの多くのサービスで、弊社のゲートウェイ対策ソリューションが採用されたことを誇りに思います。高いパフォーマンスと検知率を同時にご提供することにより、さくらインターネットのユーザの皆様にもご満足いただけるものと確信しております。」と述べています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。メールについてはスパム検査も可能です。高いパフォーマンスと検知率を兼ね備え、中小企業からエンタープライズのお客様まで幅広くご利用頂いております。


ランサムウェア・レース(パート4):アダルトコンテンツ、Browlockの持続力

 当社では最近ランサムウェアファミリーの隆盛に目を光らせている。CryptoWall、CTB-LockerSynolockerについてのこれまでの記事にあるように、悪い奴らがこの種のマルウェアファミリーを絶えず開発中であることは歴然としている。これらのファミリーに加えて、ややシンプルなタイプのランサムウェアBrowlockも観察している。ただし、Browlockはかなり活動的で、最初に遭遇した2013年から非常に活発である。

 他のランサムウェアファミリーと対照的に、Browlockは被害者のファイルを暗号化しないし、被害者のマシン上にファイルを追加したり起動したりしない。Browlockはブラウザを「ロック」して、警察や当局からだと主張して警告を表示する。そこには児童ポルノのWebサイトの閲覧、あるいは海賊版のソフトウェアのダウンロードという犯罪をその被害者が犯した、と述べられている。ユーザがブラウザを閉じるのは妨げられるが、たとえばタスク マネージャーを通じてブラウザのプロセスを終了すると、問題は解決する。

 以下は当社のテレメトリーのBrowlockの攻撃から取得した6月以降の統計情報だ。

HitCount2 (51k image)


 当社の統計によると、標的となった被害者は、アダルトサイトを訪れているユーザだった。半数以上がアダルト関連のWebサイトに行った後、Browlockのページにリダイレクトされた。他には広告ネットワークを通じて、リダイレクトされた。当社のデータにて突出しているアダルトサイトは認知していないが、広告ネットワークの割合では、おおよそ60%がtrafficbroker.com単独からのものだった。

referer (63k image)


 Browlockのランディングページは、その時々で異なるIPやURLを持つ。これについてさらに観察したものが、malekalのWebサイトで確認できる。URLはランダムに見えるが、目立ったパターンがある。以下はサンプルの一部だ。


 •   http:// alert. policecoin. info/ FI/cls.php
 •   http:// alert. porschepolice. net/ FI/cls.php
 •   http:// alert. xraypolice. com/ FI/cls.php

 •   http:// alert-police. barbrastreisandagent. com/
 •   http:// alert-police. estateagentsolutions. net/

 •   http:// attention.starpolice. biz/FI/cls.php
 •   http:// attention.starpolice. co/FI/cls.php

 •   http:// police. grantscards. com/
 •   http:// police. redunderground. com/

 •   http:// security-scan-nuqbqakx. in/
 •   http:// security-scan-jdytiujg. in/

 •   http:// system-check-abevbrye. in/
 •   http:// system-check-ipxmjdry. in/

 •   http:// security-akechksv-check. in/

 •   http:// security-zxqkcohl-chk. in/

 •   http:// law-enforcement-tqvrlbqb. in/
 •   http:// law-enforcement-icgkjyrr. in/

 6月から、当社のアップストリーム内でもっとも多く報告が上がった以下のURLの監視をした。ホスト先の対応するIPアドレスも掲載する。

IPtable3 (62k image)


 以下のグラフは、該当するURLのパターンが、当社のアップストリーム内で活発に報告された時期を示している。Browlockは平均して約2週間から1ヶ月の間、ランディングページのURLのパターン1つを維持できるようだ。

ip_graph2 (92k image)


 また当社では、米国、イギリス、欧州各国がもっとも影響を受けていることにも気付いた。

top5countries (8k image)


 この非常にシンプルなメカニズムで、悪い奴らが実際に金を得ているのかを疑問に思い、しばらくの間このオペレーションの進行を見てきた。ひどのくらいの数の被害者が偽の警告メッセージに応じて身代金を支払ってしまったのか、確かなことは分かっていない。ただ我々が確信しているのは、このランサムウェアファミリーが活動的なのが見られる間、当社の顧客をこの脅威から保護し続けるために油断せずに見守ることだ。

ランサムウェア・レース(パート3):SynoLockerの中身

 先週、シノロジー社製のNAS(network attached storage)デバイスを標的にした、SynoLockerと呼ばれる新たなランサムウェアファミリーについての記事を我々は執筆した。SynoLockerについてと思われる初期のうわさでは、悪名高いCryptoLockerと関係している可能性があるとされていたので、さらに深く掘り下げることにした。

 表面上、SynoLockerとCryptoLockerには多くの類似点がある。その最たるものは、似通った名前と、暗号アルゴリズムの選定や被害者から金を巻き上げるアイデアの類似性だ。しかしながら表面下では、類似性は急速に失われる。SynoLockerに感染すると、まずは被害者ごとにユニークなRSAのキーペアが生成される。秘密鍵はマルウェアのオペレータの元を離れることはないが、公開鍵は被害者のデバイス上に格納される。この公開鍵はデータの暗号化に使われるが、復号は対応する秘密鍵でのみ可能だ。マルウェアのオペレータが秘密鍵を掌握している限り、被害者が暗号化されたファイルへアクセスするのを妨げることができる。

 被害者のファイルの、実際のコンテンツを暗号化するにあたって、SynoLockerはAESを用いている。最初に、暗号化するファイルの大きさと名前からIV(initialization vector)を生成する。このIVは後の暗号化アルゴリズムでも使われるが、さらにランダムに生成された文字列と連結し、実際の暗号キーを生成するためにも使用している。続いて、オリジナルのファイルのコンテンツを暗号化する。同時に、いわゆるHMAC(keyed-hash message authentication code)も暗号化されていないデータから生成する。HMACは、一般にはデータの完全性の検証に用いられるものだ。最後にキーの生成に用いられたランダム文字列を、RSAの公開鍵で暗号化する。これにより、データを復号するための鍵を再生成するには、最初にRSAの秘密鍵を用いてランダムな文字列を復号することが唯一の方法となることが保証される。

Diagram of the encryption process and resulting file
暗号化プロセスと得られるファイルの図

 ファイルの暗号化が終了すると、SynoLockerはオリジナルのファイルを新しいファイルに置き換える。その新しいファイルには、まずRSAで暗号化したランダム文字列を書き込む。続いて「THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337」(Xは40個)というマーカー文字列を書き込む。これは暗号化されたファイルであることを確認するために用いる。マーカーの後ろに、暗号化プロセスで使用されたIVを書き込む。次に、オリジナルファイルのコンテンツの暗号化バージョンを書き込む。最後に、暗号化プロセスの最中に生成されたHMACを新しいファイルの末尾に書き込む。プロセスの途中いずれかの時点で何かが失敗したり悪い方向にいったとしても、オリジナルのデータが失われることがないような方法で、以上のすべての処理が行われる。すべて完了したときにのみ、SynoLockerはオリジナルのファイルを新しいファイルに置き換えるのだ。復旧がより困難になるよう、ランダムなデータでオリジナルのファイルを上書きすることも試みる。

File encrypted by SynoLocker, as viewed in a hex editor
SynoLockerで暗号化されたファイル。hex editorで表示(矢印はマーカー文字列の先頭を示す)

 ファイルの復号を行うには、必然的に上記のプロセスの逆になる。まず最初に、SynoLockerはランダム文字列を被害者のRSAの秘密鍵で復号して手に入れる。次に、暗号化されたファイルから取得したIVとともにランダム文字列を用いて、実際のAESキーを生成する。最後にこのキーを使用してファイルデータを復号する。同時に、SynoLockerは復号したデータから新しいHMACを生成する。最終的にオリジナルデータのHMACと新たに生成されたHMACを比較し、一致した場合にのみ、復号プロセスが成功したものと判定される。繰り返すが、これにより、プロセスの途中で何か悪い方向にいった場合であっても、存在するデータが失われることはないことが保証されるのだ。

 SynoLockerで使われている暗号化手法に加え、当社では感染の媒介物についてももっと見つけ出したいと思っていた。最善を尽くしたが、これまでのところ、SynoLockerが使用する媒介物について正確に特定できないでいる。ただ、SynoLockerはたったひとつの悪意のあるバイナリというよりも、むしろファイル群であって、感染の媒介物を通じてデバイスにアップロードされる。これらのファイルにはすべて特定の目的があり、また完全に機能させるために多くは互いに依存しあっている。この投稿の最後に、SynoLocker関連のファイル一覧を挙げる。

 SynoLockerのバイナリの分析中、オペレーションの別の側面の監視も継続していたが、マルウェアのオペレータが活動しているのを目にしている。支払いの指示のために被害者が閲覧するように指示されるWebサイトが、最近更新された。このページには現在「This website is closing soon...(このWebサイトはまもなくクローズする)」という注記が記載されている。オペレータらは、5500個を超える秘密鍵を保有しているが、一括で200 BTCで販売する意思があることを示している。

Recent screenshot of SynoLocker website
SynoLockerの最近のWebサイトのスクリーンショット

 オペレータが計画を成就するか、またそれが被害者に何をもたらすのか、継続して監視する。

 SynoLocker関連のファイル一覧
 /etc/synolock/server
 /etc/synolock/synosync
 /etc/synolock/synolock
 /etc/synolock/crypted.log
 /etc/synolock/decrytped.log (SynoLockerのスペルミス)
 /etc/synolock/RSA_PUBLIC_KEY
 /etc/synolock/RSA_PRIVATE_KEY
 /etc/synolock/.restore
 /etc/synolock/.decrypt
 /etc/synolock/watch.sh
 /etc/synolock/uninstall.sh
 /etc/synolock/watchdogtest.sh
 /usr/syno/synoman/crypted.log
 /usr/syno/synoman/decrypted.log
 /usr/syno/synoman/index.html
 /usr/syno/synoman/redirect.html
 /usr/syno/synoman/lock.png
 /usr/syno/synoman/style.css
 /usr/syno/synoman/synolockcode.txt
 /tmp/.SYNO_ENCRYPT_LOCK
 /tmp/.SYNO_DECRYPT_LOCK
 /tmp/.SYNO_SERVER_LOCK
 /tmp/.server
 /usr/syno/etc.defaults/rc.d/S99boot.sh
 /usr/syno/etc.defaults/rc.d/S99check.sh

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d (server)
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4 (synosync)

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

スーパーハッカーの祭典、Black Hat USAにおいてエフセキュアの専門家が注目しているテーマ

Black Hatカンファレンスは、「ベンダーの宣伝文句を聞かされることなく、ネットワークセキュリティの最前線にいる人々と直接顔を合わせる」ことのできる機会です。言い換えれば、マーケティング活動を排した最新の業界情報だけが集まる場なのです。
 
ラスベガスで8月2日(土)から始まるBlack Hat USAには、エフセキュアから2人が参加します。
 
エフセキュアのミッコ・ヒッポネンは、NSAのときとは違い、今年のBlack Hatで講演します。ミッコの講演「Governments as Malware Authors: The Next Generation」(マルウェア作成者としての政府:ネクストジェネレーション)は、世界各国の諜報機関にとって興味深い内容となるでしょう。
 
講演の概要には、次のように記載されています。「抗議の意味を込めてRSAでの講演をキャンセルした後、ヒッポネン氏は代わりにTrustyConにてGovernments as Malware Authors(マルウェア作成者としての政府)について講演を行いました。それに続く今回の講演では、その後の変化と、マルウェアを作成する政府に関する新たな情報に注目します。」
 
ティモ・ヒルヴォネンは、今回初めてBlack Hatで講演を行います。講演のタイトルは、「Dynamic Flash Instrumentation for Fun and Profit(楽しさと利益のための動的なFlashの編成法)」です。

ティモは、長年にわたってディープガードテクノロジの開発に取り組んできました。彼は、JavaファイルやPDFといった最も感染の危険性が高い種類のファイルを分析する専門家です。今回の講演では、「悪意のあるFlashファイルの動的分析を可能にする初めてのツール」を紹介し、デモンストレーションを行う予定です。
 
また、出席するかどうかにかかわらず、エフセキュアの専門家たちは各講演からピックアップした情報の評価を行っています。
 
セキュリティ・レスポンス担当ディレクターのアンティ・ティッカネンは、もし今回ラスベガスで開催されるカンファレンスに参加するとしたら出席するであろう講演のリストを提供してくれました。
 
- A SURVEY OF REMOTE AUTOMOTIVE ATTACK SURFACES(自動車への遠隔攻撃対象領域に関する調査):先日テスラ車でニュースにもなった自動車ハッキングについての講演です。
 – COMPUTRACE BACKDOOR REVISITED(Computraceバックドア:改訂版):「我々は、個人用または企業用コンピュータ上のAbsolute Computrace盗難対策ソフトウェアが不正に有効化されていることの証拠を複数発見しました。さらに、このソフトウェアが削除困難なBIOSベースの高度なバックドアとして使用可能であることが判明しました。」
 – DISSECTING SNAKE – A FEDERAL ESPIONAGE TOOLKIT(Snakeの分析−政府によるスパイ活動のツールキット):ミッコの講演につながるテーマです。
 
さて、ミッコが注目しているは何でしょうか?
 
彼は次のように語ってくれました。「BadUSBに関する講演は、興味深いものになるでしょう。そして、毎回私が楽しみにしているのはPwnie賞です。」

ではまた。
Sandra



>>原文へのリンク

ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

ランサムウェア・レース(パート1):CryptoWallが要求水準を釣り上げる

 この夏、ファイルを暗号化するWindowsランサムウェアの市場に、新たに2つの強力なマルウェアファミリーが登場した。CryptoWallCTB-Lockerである。この2つのうち、CTB-Lockerのほうがより高度なファミリーで、ファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを利用している。一方、CryptoWallはファイルの暗号化にRSAとAES、C&C通信にHTTPと、従来からの組み合わせを用いている。

 しかし、先月の終わりに、新しいバージョンのCryptoWallが世に出現した。この最新版は、機能面ではそれまでのバージョンとほぼ一致するが、重要な違いが1つある。C&Cサーバとの通信において、CryptoWallもいまやTorを使うようになったのだ。CTB-Lockerと同様にCryptoWallも、正規のTorの実行ファイルをプロジェクトのオフィシャルWebサイトから入手して使うような、従来からの簡単な方法は取っていない。代わりに自前の難読化したバージョンのTorを用いている。

Disassembly of CryptoWall with Tor functionality Disassembly of CryptoWall without Tor functionality
Torの機能を持ったCryptoWall(左)とTorの機能を持たないCryptoWall(右)。f_setupTorCommunication()へのcallを除いて両コードが同一であることに注意

 CryptoWallが使っている方法が興味深い。最初に、多数のハードコーディングされたURLへHTTPで接続を試みる。それらのURLから、RC4で暗号化されたファイルをダウンロードしようとする。ダウンロードしたファイルは、最初は使用している暗号キーの長さ、続いてキーそのもの、という構成になっている。次に、実際のペイロードの長さと、最後にペイロードそのものが格納されている。マルウェアがペイロードのダウンロードと復号に成功すると、新たに割り当てられたメモリセグメントにペイロードをコピーし、新しいスレッドを作成してペイロードを実行する。

Screenshot of payload in a hexeditor
ペイロードのダウンロードの開始時をhexeditorで表示

 ペイロード自体はTorのカスタム版で、難読化した2つのレイヤに覆われている。両レイヤが実行を終了すると、メモリ上に最終的なコードが展開され、ペイロードはTorネットワークへの接続の確立を試みる。接続が確立すると、ペイロードスレッドと元のCryptoWallのスレッドの双方が共有する、グローバルメモリのバッファに、ペイロードがフラグ値をセットする。また、ペイロードは同じバッファ内に、ペイロードのファンクションの1つを指すポインタもセットする。これが実際にデータの送受信の役割を持つファンクションだ。

 オリジナルのCryptoWallスレッドは、グローバルフラグがセットされていることを確認すると、実行を継続する。Torネットワーク上の3つのC&Cサーバのアドレスは、ペイロードではなく、元のCryptoWallのバイナリにハードコーディングされている。C&C通信の実際のメッセージのコンテンツも、元のバイナリにあるコードが処理している。ペイロードはTor接続の取り扱いとデータの送受信にのみ責任を負う。

 おそらく、ランサムウェアのオペレータは、CryptoWallからCTB-Lockerへ移行していたのだろう。あるいは、CryptoWallの作者は単に2番手では嫌だったのかもしれない。いずれにせよ、ランサムウェアの悪巧み競争はまだまだ続いている!

 Torの機能を持つCryptoWallのサンプルは以下。

 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3

 Post by Artturi (@lehtior2)

Backdoor.Gates:Windowsでも動作可能

 Backdoor.Gatesとして知られているLinuxマルウェアについての報告を受け取った。

 分析により、このマルウェアは以下の特徴を持つことがわかった。

 •   Sのバージョンやハードディスクのサイズといった、侵害したシステムの情報を収集する
 •   さらなる情報を得るためにC&Cサーバに接続する。C&CサーバのアドレスおよびポートはRSAで暗号化されている
 •   さまざまなDDoS攻撃のホストとなり得る
   •   TCP-SYNフラッド
   •   UDPフラッド
   •   DNSフラッド
   •   ICMPフラッド
   •   HTTPフラッド
   •   DNSアンプ

 特記すべきは、このバックドアはインストールに以下のファイルを使う点だ。

  /etc/init.d/DbSecuritySpt

 興味深いことに、「DbSecuritySpt」という文字列は、別のWindowsマルウェアでも使われているサービス名だ。より詳細に見てみると、当初考えていたよりも両者が似通っていることを発見した。

 メインのファイルおよびドロップされるコンポーネントに、双方とも同一の名前を用いている。たとえば、メインコンポーネントはLinux版では「gates」、Windows版では「Gates.exe」と名付けられている。攻撃ツールはLinux版では「bill」、Windows版では「Bill.exe」だ。DNS Ampライブラリは「libamplify.so」と「libamplify.dll」などなどだ。これでは偶然の一致が多すぎだ。つまり、両者は実際には同一のマルウェアを再コンパイルした移植版であることが、即座に判明した。

 このマルウェアはC++で書かれており、一見したところではコンパイルされたコードはまったく違っているように見える。しかし詳細に調査すると、あるコードベースを共有しているに違いないことが明らかになる。コードには、スレッドのハンドリングやサービスのインストール(Windowsでは「DbSecuritySpt」というサービスとしてインストールし、一方Linuxでは/etc/init.d/DbSecuritySptという起動スクリプトになる)など、OSを中心とした部分がある。しかし、他に似ている部分がある。何よりfopen()とfread()を使う単純なファイル操作などだ。Windowsプログラマの間では、これらの標準C関数を使うことは、まったく一般的でない。両バリアントは、プラットフォームに応じた#ifdefを大量に使って、同一のコードベースからコンパイルされた可能性がもっとも高い

Windowsコードのスクリーンショット

windows (139k image)

Linuxコードのスクリーンショット

linux (141k image)

 Backdoor.Gatesのようなマルチプラットフォームのマルウェアが、どのようにインストールされるのかを見出すのは、常に興味深い。これについては、我々はまだ完全に把握しているわけではない。初期の分析に基づくと、マルウェアには自動拡散やエクスプロイトの機能は無いように見受けられる。我々が受け取った報告書では、少なくともLinux環境ではSSHサーバの脆弱なパスワードを使ってマルウェアがインストールされたことを示している。

 Backdoor.GatesのLinux部分に関する詳細な分析は、カスペルスキー社DrWeb社から公開されている。


-- Post by Jarkko

Mayhemに首を突っ込む

 ここ1年で、Linuxサーバを標的にしたマルウェアが大きなニュースとなることが増えてきた。本記事では、LinuxとFreeBSDのサーバを標的とした、高度かつ多目的なあるマルウェアの動作について、調査報告を行う。当社ではこの動作の核となるマルウェアファミリーをGalacticMayhemと命名した。この名前は一部のC&CサーバのURLをもとにしている。Yandexの研究者チームによって報告されたものと同じマルウェアファミリーである。

概要

 サーバへのMayhemの感染は、PHPのドロッパースクリプトから始まる。このスクリプトの役割は、悪意のあるELF共有オブジェクトファイルをドロップし実行することだ。ドロップされたバイナリの名前の多くはlibworker.soだ。しかし我々の調査では、当該バイナリがatom-aggregator.soまたはrss-aggr.soとなっているような該当しないケースもあった。ドロッパースクリプトは常に32ビットと64ビットの両バージョンのマルウェアを含む。この2つは同一の機能と設定を持つ。

 ドロッパースクリプトはまず、実行中の/usr/bin/hostプロセスをすべてkillする。続いてホストが32ビットか64ビットか、またLinuxかFreeBSDかを判定する。スクリプトはさらにホストのアーキテクチャに合ったバイナリを選び、OSを考慮してELFヘッダを調整し、最後にバイナリをディスクに書き込む。ドロッパーはまた、1.shという名前のシェルスクリプトもディスクに書き込む。このシェルスクリプトは、クリーンアップおよびマルウェアを実行する役割を持っている。マルウェアの実行は、いわゆる「LD_PRELOAD」テクニックを使って実現する。ドロップされたバイナリへのパスを環境変数「LD_PRELOAD」に設定するのだ。次に、実行ファイル/usr/bin/hostを実行する。最終的に/usr/bin/hostによって呼び出されるexitファンクションをフックすることで、OSのローダーは悪意のあるバイナリをロードするようになっている。/usr/bin/hostがいったんexitを呼び出すと、実行が悪意のあるバイナリへと移る。

 我々の調査では、これまでのところ47通りの異なるMayhemのサンプルが明らかになった。こうしたサンプル群のうち最初期のものは少なくとも半年は前のもので、最新のものは1週間以内の可能性がある。サンプルの分析から、Mayhemは開発の最中に3段階の主要なイテレーションを経てきたことは明らかだ。イテレーションごとにマルウェアは次第に複雑さと洗練度を増してきた。加えて、より細かいインクリメンタルな更新が観測されている。これはマルウェアファミリーMayhemが活発に開発中であることを示す。以降の記事では、Mayhemの最新かつもっとも機能が豊富なイテレーションに焦点を合わせる。

 マルウェアMayhemは、高度にモジュール化した設計になっている。Mayhemは1つのメインコンポーネントと複数の任意に読み込まれるモジュールから構成される。メインコンポーネントは、モジュールのロードおよびアンロードや実行はもちろん、C&Cサーバとの通信も担っている。また、モジュール自身やモジュールが使用する他のファイルを格納するために、暗号化した隠しファイルシステムを用いている。このファイルシステムはディスク上に保存される。マルウェアの設定データの1つがそのファイル名を指定している。大半のケースではファイルの名前は.sd0となっている。しかしながら、当社が最近観測したところでは、マルウェアの作者はファイル名を.cachesに変更している。おそらく、隠しファイルシステムのファイル名が複数の情報源により公表され、感染したシステムを検索するために利用されるようになったことに対応したのだろう。重ねて言うが、当該マルウェアが活発に開発中なのは明らかだ。注目すべきは、隠しファイルシステムのファイルサイズもマルウェアの設定データで指定されており、我々が観測したすべてのケースでちょうど12MBになっている点だ。

 マルウェアMayhemは、特別に作られたHTTP postリクエストを用いてC&Cサーバと通信する。このリクエストのヘッダは非常に独特で、「Host」「Pragma」「Content-Length」という特定の3つのフィールドしか含まれていない。この中の「Pragma」フィールドの値は常に「1337」である。加えて、HTTPのバージョンは常に1.0を指定している。マルウェアからC&Cサーバへのリクエストの例を以下に挙げる。

Packet capture of malware communicating with C&C

 以上のように、実際のリクエストのボディは、コマンドやメッセージを指定する1行以上の行から構成される。これらの行は常にメッセージの種別を示す単一の文字で始まっており、カンマ区切りのパラメータのリストが続く。メッセージの種別により、ファイルの送受信、ジョブの開始や終了、モジュールのロードや更新、C&Cサーバへのマルウェアの状況の通知といったことを可能にする。

 感染と設定が終わると、マルウェアは設定データ内にハードコーディングされているC&Cサーバに対し、リクエストを送信しようと試みる。このリクエストには、マルウェアが動作しているホストのシステムや環境についての情報が含まれている。マルウェアはC&Cサーバから条件を満たすリプライをひとたび受け取ると、現在のステータスを報告するC&Cサーバに対し、定期的にリクエストを送信するように戻る。もしそのC&Cサーバが現在これといったアクティビティに参加していない場合、スリープして後でpingするような指示をマルウェアに応答する。

 C&Cサーバは、新たなジョブをマルウェアに応答することもある。今回のケースでは、C&Cサーバは最初にマルウェアに対しロードするモジュールを指示する。同様に、ロードするモジュールのためのルールファイルやパスワードリストのような、追加のファイルも任意に指示する。この場合、マルウェアはまずは隠しファイルシステムを検索して、指定されたモジュールを探す。見つかったら、モジュールのCRC-32チェックサムをC&Cサーバに返す。次にC&Cサーバは、見つかったモジュールが最新版かどうか、あるいはマルウェアはC&Cサーバ上の新たなバージョンを要求すべきなのかをマルウェアに通知する。見つかったモジュールが古いバージョンであったり、モジュールが見つからなかった場合、マルウェアはC&Cサーバにモジュールを要求する。モジュールはHTTPレスポンス中にbase64エンコードされたデータとして返される。

 モジュールを取得したら、マルウェアのメインコンポーネントはモジュールを読み込み、エントリーポイントファンクションを呼び出す。このエントリーポイントファンクションはさらに設定を行い、おそらく隠しファイルシステムやC&Cサーバにある追加のファイルを要求する。また、このファンクションは特定の状況下でメインコンポーネントによって呼び出される1~4つのコールバックファンクションを登録する。これこそ、モジュールの主機能が実行される仕組みだ。

 モジュールの読み込みが成功した後、C&Cサーバはメインコンポーネントに対し新たなジョブを開始するように指示することがある。このジョブの結果、メインコンポーネントはオペレーターが指定した数のスレッドを作成する。各スレッドは、それぞれ読み込まれたモジュールの機能を実行する。最後にC&Cサーバはマルウェアに対し、実行するモジュールへの引数になる文字列を送信し始める。こうした引数の文字列の内容はロードしたモジュールによって異なるが、通常は少なくとも悪意のあるアクティビティの標的となるドメインやURLが含まれる。

モジュール群

 当社の研究の最中に、現実の環境で、マルウェアMayhemによって使用される11個の異なるモジュールに遭遇した。これらの大半において、複数の異なるバージョンを観測した。これは明らかに、モジュールもまた活発に開発中であることを示している。

 遭遇したモジュールは以下の通り。


  • bruteforce.so - WordPressとJoomlaのサイトのログイン情報を総当たりで見つけるために使用する
  • bruteforceng.so - 上と同様だが、HTTPSと正規表現をサポートしており、高度な設定ができる
  • cmsurls.so - WordPressのログインページを特定するために使用する
  • crawler.so - WordPressとJoomlaのサイトを見つけるためWebサイトをクロールするのに使用する
  • crawlerng.so - 上記の改良バージョン。HTTPSと正規表現をサポートし、任意の正規表現にマッチするWebページを発見できる
  • crawlerip.so - 上記と同様だが、ドメインの代わりに標的のIPアドレスリストを受け取る
  • ftpbrute.so - FTPサーバのログイン情報を総当たりで見つけるために使用する
  • rfiscan.so - RFIの脆弱性を持つWebサイトの検索に使用する
  • wpenum.so - WordPressのサイトのユーザを列挙するために使用する
  • opendns.so - 公開されている再帰的なDNSリゾルバを検索するために使用する
  • heartbleed.so - Heartbleedという脆弱性(CVE-2014-0160)を露呈しているサーバを特定するために使用する


 このポストでは個々のモジュールについて非常に詳細なところまで掘り下げることはしないが、分かったことのうち興味深いものを一部挙げる。

bruteforce.so

 bruteforce.soモジュールは、現在飛び抜けて活発に使用されているモジュールである(これについては後ほど詳細に述べる)。機能面では非常にシンプルだ。WordPressまたはJoomlaのサイトのログインページを指し示す標的となるURL、ユーザ名を並べたファイル、パスワードを並べたファイルを取得する。続いて、ユーザ名とパスワードの可能な組み合わせをすべて用いてログインを試みる。

bruteforceng.so

 このモジュールはbruteforce.soモジュールの進化したバージョンで、HTTPSと正規表現のサポートが加えられている。入力として、標的のURL、ユーザ名のファイル、パスワードのファイルを取得するのに加えて、ルールファイルも必要とする。ルールファイルは、標的のログインインターフェイスを指定するために使われる。したがって、このモジュールを使用すれば、どのWebベースのインターフェイスのログイン情報でも総当たりで見つけることができる。このモジュールは主にWordPressとJoomlaのサイトのログイン情報を総当たりするために使われているのを我々は観測してきた。しかし、たとえばcPanel Web Host Managerのサイトなど、他の種類のサイトに対しても使われていると信じるに足る理由がある。

 興味深いことには、bruteforce.soおよびbruteforceng.soの両モジュールの新バージョンを最近になって我々は発見した。古いバージョンでは、ユーザ名のファイル内の全ユーザ名をすべての標的に対して試していたが、新しいバージョンでは使用すべき1つのユーザ名をC&Cサーバが指定できるようになっている。C&Cサーバが標的のURLを指定するために使うコマンドの文字列は、「Q,target」(targetはURL)である。しかし新しいバージョンのコマンドは、「Q,target;username」という、より長いコマンド文字列をサポートしている。セミコロンと別のパラメータが追加されたことに注意してほしい。この追加されたパラメータはユーザ名を1つ指定でき、パスワードファイル内にあるすべてのパスワードと結びつけられる。しかしながら、ユーザ名の文字列が「no_matches」だったり、2番目のパラメータが指定されていない場合には、モジュールは独立したユーザ名のファイル内の全パスワードを試すという古い方法へフォールバックする。

crawlerng.so

 crawlerng.soはWebサイトをクロールするのに使われるモジュールだ。引数として、正規表現を含むファイルを取る。次に当該モジュールは、こうした正規表現にマッチするコンテンツを求めて、標的のドメインを検索する。これは主に、WordPressおよびJoomlaのログインページを特定するために使われているようだ。ただ、正規表現で指定するということから、モジュールは本質的に任意の種類のページを特定するように指示できる。例として、当社はPhpMyAdmin、DirectAdmin、Drupalのログインページを特定するために使われるcrawlerng.soモジュールを観測した。一部のケースでは、モジュールは特定のキーワード、たとえば薬局に関連するキーワードにマッチするコンテンツを提供するWebサイトを見つけるために使われていた。我々が観測したケースでは、マルウェアのオペレーターが工夫をこらし、crawlerng.soモジュールでローカルファイルインクルードの脆弱性を探すものさえあった。観測したルールセットでもっとも多かったのは、別のHTTP、HTTPS、FTPサイトへ移動するリンクも検索するようにモジュールに指示するものだ。このやり方で、モジュールが新しい標的を見つけてクロールを続けるようになる。

Screencapture of LFI rule file
ローカルファイルインクルードの脆弱性を探すために使われるルールの一部

opendns.so

 このモジュールは、DNS amp攻撃で使われ得る、公開されている再帰的なDNSリゾルバを検索するために使用される。引数としてIPアドレスレンジと、サイズのしきい値を取る。レンジ内の全IPを1つずつ繰り返し、53番ポートへの接続を試みる。53番ポートへの接続が成功すると、拡張的なDNSの「DNSSEC OK」ビットをセットして、「ripe.net」ドメインのANYレコードを問い合わせる再帰的なDNSリクエストを送信する。標的がオープンかつ再帰的なDNSリゾルバを起動していたら、大きなDNSの応答を返すことになる。リプライのサイズが、事前にセットしたサイズのしきい値と比較して大きかったら、C&CサーバにIPアドレスが報告される。

Packet capture of the DNS request
当該モジュールによって送信されるDNSリクエストのパケットキャプチャ

heartbleed.so

 このモジュールは標的のドメインがHeartbleed脆弱性に対して脆弱かどうかを特定しようとする。これは標的に初めて接続するときに行なわれ、TLSv1.1のClientHelloパケットを送信し、さらにペイロードサイズが64KB(0xFFFFバイト)だが実際のペイロードは3バイトのハートビートリクエストを送る。

TLSv1.1 ClientHello packet
Malicious heartbeat request
ClientHelloパケットのペイロード(上)と悪意あるハートビートリクエスト

 最後に、サーバのリプライのペイロードのサイズが確認される。これが3バイトよりも長いなら、サーバはおそらく脆弱で、そのことがC&Cサーバに報告される。

Code that checks the server reply
サーバの応答を確認するコード

現在の活動

 当社の調査により、マルウェアファミリーMayhemによって使われているC&Cドメインが19個明らかになった。そのうち7つは現在もアクティブである。現在の活動の大半はWordPressおよびJoomlaのログイン情報を総当たりで取得することに関連している。ただ、FTPのログイン情報も総当たりで見つけることや、同様にWordPressとJoomlaのログインページを検索しながらドメインをクロールすることも観測している。我々は別のモジュールがある時点で現実に使われた証拠も持っている。

 総当たりの活動を観測したためだが、これは非常に日和見的に見える。マルウェアのオペレーターはボリュームに焦点を合わせているようだ。共通かつ脆弱な認証情報を使っているサイトが十分に存在することをあてにしている。アクティブなC&Cサーバ群から標的になったURLを1週間分記録したところ、我々は35万超のユニークな標的を特定した。このサーバ群のなかの1台のC&Cサーバが、21万を超えるユニークな標的に関与していた。これはマルウェアの単一のインスタンスに与えられる標的に過ぎず、全体的な数はおそらくずっと大きいものになることに注目すべきだ。

 標的のドメインに関する分析に基づくと、マルウェアのオペレーターは誰かあるいは何かを特別に標的としているとは思えない。むしろ、単純に低い位置にあるWebの果実を探しているだけのように感じる。以下のような、標的のドメインの地理的な分布によって、これはさらに支持される。上位10か国に中国がいないのは注目に値するが、マルウェアのオペレーター側が意図的に選定したというより、例外的なものと思う。

Piechart showing geographic distribution of target domains

結論

 マルウェアのオペレーターはMayhemを主に偵察ツールとして使い、簡単に侵害できるサーバへアクセスできるようにして、後にもっと洗練された攻撃のベースとして使えるようにしていると、当社では考えている。たとえばオペレーターは、最初にWordPressのサイトを見つけるためにcrawlerng.soモジュールを用い、続いてwpenum.soモジュールを使ってこうしたサイトから潜在的な被害者のユーザ名を列挙しているかもしれない。ユーザ名のリストを持っていれば、オペレーターはこうしたサイトへのアクセスを得ようとしてbruteforce.soモジュールに取り掛かることができる。オペレーターがアクセスできるようになれば、サイトをMayhemで感染させてボットネットを拡大したり、あるいは他の操作を組み込むために利用することもできる。

 マルウェアファミリーMayhemは、LinuxおよびFreeBSDのサーバ上で動作する、高度で非常に汎用的な脅威である。明らかに活発に開発がなされており、オペレーターは研究者やサーバ管理者の尽力を盛んに無効にしようとしている。また感染するホストが、低速のADSLの背後にあるごく普通の家庭用PCではなく、大容量、広帯域のサーバであることを考慮すると、運用の規模も重要である。

サンプルのハッシュ

 バージョン1

  • 0f1c66c3bc54c45b1d492565970d51a3c83a582d
  • 5ddebe39bdd26cf2aee202bd91d826979595784a
  • 6c17115f8a68eb89650a4defd101663cacb997a1


 バージョン2

  • 7204fff9953d95e600eaa2c15e39cda460953496
  • 772eb8512d054355d675917aed30ceb41f45fba9


 バージョン3(最新)

  • 1bc66930597a169a240deed9c07fe01d1faec0ff
  • 4f48391fc98a493906c41da40fe708f39969d7b7
  • 6405e0093e5942eed98ec6bbcee917af2b9dbc45
  • 6992ed4a10da4f4b0eae066d07e45492f355f242
  • 71c603c3dbf2b283ab2ee2ae1f95dcaf335b3fce
  • 7b89f0615970d2a43b11fd7158ee36a5df93abc8
  • 90ffb5d131f6db224f41508db04dc0de7affda88
  • 9c7472b3774e0ec60d7b5a417e753882ab566f8d
  • a17cb6bbe3c8474c10fdbe8ddfb29efe9c5942c8
  • ab8f3e01451f31796f378b9581e629d0916ac5a5
  • c0b32efc8f7e1af66086b2adfff07e8cc5dd1a62
  • c5d3ea21967bbe6892ceb7f1c3f57d59576e8ee6
  • cb7a758fe2680a6082d14c8f9d93ab8c9d6d30b0
  • e7ff524f5ae35a16dcbbc8fcf078949fcf8d45b0
  • f73981df40e732a682b2d2ccdcb92b07185a9f47
  • fa2763b3bd5592976f259baf0ddb98c722c07656
  • fd8d1519078d263cce056f16b4929d62e0da992a


 当社ではこれらをBackdoor:Linux/GalacticMayhem.Aとして検知する。

 調査執筆:Artturi Lehtio(@lehtior2

筆者注記

 筆者はフィンランドのヘルシンキにあるアールト大学の、情報科学の学生である。今春、同大で提供され、エフセキュアが運営したマルウェア分析の講義に出席した後、幸運なことに同社の夏季インターンシップに参加した。1か月前、私は新たなタスク「Linuxマルウェアについて興味深く見える事項を見つけて、それについてブログの記事を書くことをゴールとする」を与えられた。この記事とそれを裏付ける調査は、Linuxマルウェアの謎めいた世界への私の冒険の結果である。

SNSとデジタル通貨を悪用したマルウェア ’Lecpetex’

Facebook、Twitter、Skypeなどのソーシャル・ネットワーク・プラットフォームを悪用したマルウェアは目新しいものではありません。より深刻なのは、マルウェアがワームとして自らを拡散し、感染したユーザのマシンからのデータ収集に重点を置くようになったことです。一方、ビットコインマイニングは、ユーザが自分のマシンで現金を生み出す方法として人気になっており、また犯罪者にもしばしば悪用されるようになっています。このため、ソーシャルネットワーキングとデジタル通貨という2つの傾向を結びつけたマルウェアが出現することは、避けられない事態でした。感染したマシンはボットネットとして悪用されます。エフセキュアではFacebookとの共同による取り組みで発見したマルウェアLecpetexについて、注意を喚起するホワイトペーパーをリリースしました。

Lecpetexは、ソーシャルエンジニアリングの手法で拡散されます。これは、Facebookのメッセンジャーサービス経由で送信されるメッセージに添付されたZIPファイル形式の実行可能プログラムとして配布されるということです。ユーザが添付ファイルをクリックしやすくするよう、メッセージには「lol」、「hahaha」、「OMG」など、古典的な仕掛けのテキストが使用されます。

メッセージに添付されたZIPファイルをクリックすると、Java実行可能ファイル(JAR)プログラムが解凍されます。JARファイルを起動すると、事前定義されたDropboxファイル共有リンクからfbgen.datという名前のダイナミックリンクライブラリ(DLL)ファイルを探し、ダウンロードします。このプロセスの間、何らかのアクションが発生したことをユーザに示す兆候はありません。JARファイルをクリックした後、すべてがバックグラウンドにおいてサイレントモードで実行されます。



ファイルが見つかりダウンロードが完了すると、JARファイルは実行中にダイアログボックスが表示されないよう「/s」キーを使用してDLLのサイレント登録を指定し、「regsvr32.exe」を実行します。マルウェアはその起動場所を隠すため、レジストリエディタで無視される255文字を超えるキー名を使って偽のレジストリエントリを追加します。次にDLLは、explorer.exeインスタンスに、ビットコインマイニングのアクティビティを書き込ます。

Lecpetexは、ユーザのファイルの内容に対する好奇心を悪用して、マルウェア自体をダウンロードおよびインストールさせる、古典的なソーシャルエンジニアリング攻撃手法を使用して拡散されます。このため、ユーザ行動の標準的な予防措置が効果的です。

  • 知らない相手から送信された添付ファイルはクリックしない。
  • メッセージは一見すると友人から送付されたように見えるが、その内容が普段と違うように感じる場合、添付ファイルをクリックしない。他の手段を使ってその友人に連絡を取り、アカウントが侵害されている可能性があることを伝える。
  • 添付ファイルをクリックすると実行可能ファイルが表示される場合、これを実行する前に、信頼できるアンチウイルスプログラムを使用してスキャンする。

エフセキュアのセキュリティ製品は、以下を検出することでマルウェアのさまざまなコンポーネントを特定します。

  • Trojan-Downloader:Java/Lecpetex.C
  • Trojan.Win32/Lecpetex.A!Mem

ホワイトペーパーの詳細はこちらでご覧いただけます(英語):
http://www.f-secure.com/static/doc/labs_global/Whitepapers/lecpetex_whitepaper.pdf

Dragonflyが日本を飛び回る?

制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。

ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)

CrowdStrike Report
引用元:CrowdStrike_Global_Threat_Report_2013

日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。

感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。

7z
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll

その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。

winrar
マルウェアDLLを実行するためのコード

感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。

ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。

germany
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬

belgium
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬

switzerland
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬

サイバー戦争をめぐる3つの疑問

エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンが最近私にこう言いました。「私たちにはサイバー戦争をイメージする想像力が足りない。この戦争は爆発的なものではなく、クライムウェアのビジネスが枯渇した誰かが新しいビジネスを探している、といったものではないだろうか」
 
この1週間、エフセキュアのセキュリティ研究所は、エネルギー業界をねらうハッキンググループ「Energetic Bear」やHavexからの攻撃に目を光らせてきました。今はウクライナやポーランド、トルコ、ロシアを標的とするCosmicDukeに注目しています。
 
こうした攻撃の最終目的はスパイ活動、つまり買い手(もしかすると、どこかの政府)のための情報収集にあるようです。しかし、その手法は、イランの核戦力を低下させるために開発されたStuxnetのように多大な工数を投じた緻密なものではありません。
 
ショーンはこう言います。「これらはもっともらしい反証に頼っており、利用しているリソースはサイバー攻撃専用ではないようだ。これは、従来のクライムウェアで用いられるモジュール手法に匹敵する」
 
エフセキュアのシニアリサーチャーで、以前にCosmicDukeの分析についての記事を投稿したことがあるティモ・ヒルボネンはこう話します。「一つの要素だけ見れば、まるでクライムウェアのようだが、違う角度から見れば、『こんな標的をねらったものは今まで見たことがない』と言うだろうね」
 
「サイバー戦争に関わるものは何でもピカピカで真新しい、というのがこれまでの常識だった」とショーンは言います。けれども、今回の攻撃は「セミプロ」の仕事のようです。
 
こうした攻撃をきっかけに、ショーンは以下の3つの疑問について考えています。
 
国が支援しているというのはどういう意味か?
 
ショーンは言います。「サイバー戦争は現実の縮図だ。トップダウンで機能する大規模なサイバー情報インフラを整備している国もあれば、既存のクライムウェアに基づく既存のテクノロジーを取り入れて、草の根レベルの方法をとっているような国もある」
 
国家中心のキャンペーンでは、必ずしも国の支援を受けていないマルウェアを利用しているのではないか、とショーンは考えています。「黒い覆面をして記章を外した部隊を半島に送り込むような国は、同じようなことをオンラインでもやるかもしれない」
 
機会を逃さない実際的な政府は、人々にお金を払って、国際スパイ用のテクノロジーを取り入れているかもしれません。
 
こうした攻撃の最終目的は孫子が『兵法』で述べた名言、「敵を知れ」に通じるのではないかとショーンは言います。

情報で武装した国は、ソフトパワーを駆使して同盟国同士を対立させ、経済制裁のような報復を制止することができます。
 
APT(Advanced Persistent Threat)攻撃とは何か?

 
APT攻撃はStuxnetほど複雑なやり方ではありません。複雑である必要がないのです。
 
CosmicDuke(2001年から存在しているマルウェアの変種)は標的をだまして、エクスプロイトを含むPDFファイル、もしくは文書ファイルや画像ファイルのようなファイル名を付けたWindowsの実行ファイルを開かせ、感染させる仕組みです。
 
標的がこうした悪質なファイルを開くと、CosmicDukeがシステムに侵入し、キーロガーやクリップボードスチーラー、スクリーンキャプチャ、パスワードスチーラーでさまざまなチャットやメール、Webブラウザの情報を収集し始めます。またCosmicDukeには、システム上のファイル情報を収集し、暗号化証明書やその秘密鍵をエクスポートする機能もあります。収集した情報はFTPでリモートサーバに送信されます。CosmicDukeはシステムの情報を盗むだけでなく、攻撃者が他のマルウェアをシステム上にダウンロードし、実行できるようにします。ごくありふれたものです。
 
クライムウェアとの闘いは犯罪者をサイバースパイに駆り立てているのでしょうか?サイバー犯罪との闘いは逆効果なのでしょうか?
 
「なかには、政府のため、自分のために働いている奴らがいるのかもしれない」とショーンは言います。
 
サイバー犯罪の国際戦争で勝利の波に乗れば、犯罪者たちを支援する新たな買い手が現れるかもしれません。
 
ショーンは続けます。「このような人材はおのずと育つ。いまや、国外の人材を活用する政府もある。警察はクライムウェアを追っているが、クライムウェアはなくならない。これは金になるビジネスで、金を求める人材は後を絶たない」
 
このような攻撃はあらゆる人を標的にしていると、ショーンは確信しています。
 
「システム管理者を追うのはNSA(国家安全保障局)だけではなく、重要なシステムに何らかのアクセス権限を持つ人なら、誰もが標的になりえる。落ち着いて、守りを固めなければならない」
 
予防はどんなときも最善策です。企業各社はこのことを認識してくれるだろう、とショーンは期待しています。
 
「ITマネージャの皆さん、必要なセキュリティ予算を要求し、勝ち取りましょう。コスト優先のセキュリティ対策が間違った経営判断であるという証拠が次々に明らかになっているのです」
 
各国の政府が日和見的なマルウェア作成者と手を組めば、リスクは急激に増大するでしょう。
 
ショーンは次のように問いかけています。「現在はクライムウェアのボットネット、将来は国家安全保障が悪夢?こんな奴らが脱獄したらどうなるでしょう?彼らはこんな人材を放っておかないでしょう」
 
Sandra

>>原文へのリンク

Trojan:W32/Lecpetex:Facebookメッセージで拡散するBitcoinマイナー

 今年の3月初旬、Facebookのマルウェアを除去するための社内の取り組みの一環として、さまざまな脅威を調査した、その際、メッセージに添付されたzipファイルを介して拡散する、興味深いマルウェアに行き当った。

 メッセージそのものはソーシャルエンジニアリングの古典的な仕掛けとなっており、ユーザが添付ファイル内の実行ファイルをインストールするように仕向けるものだ。これは結局のところBitcoinのマイナーで、当社ではTrojan:W32/Lecpetexと識別する。

 当社のLecpetexのホワイトペーパーには、興味深い分析結果がさらに掲載されている。

lecpetex_cover (66k image)

 フェイスブック自身によるLecpetexに関する調査は、ボットネットの停止作戦に結び付いた。同社による停止させるための取り組みや、並行して行った当該マルウェアの分析の結果は、ここから入手できる。

 Post by — Mangesh

 フェイスブックのボットネット停止に関する投稿について詳細とリンクを追記した。

CosmicDuke:MiniDukeのひねりを効かせたCosmu

 「MiniDuke」というバックドアは、NATOや欧州の政府機関に対する一連の攻撃の中で発見され、2013年2月に特定された。我々が2014年4月に行ったMiniDukeの分析中、MiniDukeの第3段階で用いられているローダーと同じものを別のマルウェアファミリーが使用していたことを突き止めた。そのマルウェアとは、情報窃盗を行うCusmuファミリーの一部であり、何年か前から存在する。

 何がMiniDukeへと結びつけたのだろうか。この点は興味深いが、コンパイル時のタイムスタンプによれば、共通のローダーを先に使っていたのはMiniDukeではなくCosmuなのだ。さらに、このローダーはある時点でアップデートされたことを確認したが、両マルウェアファミリーともアップデートされたローダーを採用していたのだ。CosmuはMiniDukeとコードを共有することが分かった初めてのマルウェアなので、MiniDuke由来のローダーとCosmu由来のペイロードが融合したことを示すサンプルに、我々はCosmicDukeと名付けることにした。.

Duke on the Craters Edge, GPN-2000-001132
 (写真NASAアポロ16号月着陸船パイロットCharles M. Duke

 CosmicDukeの攻撃ファイルで犠牲者を誘い込むために使われているファイル名やコンテンツには、ウクライナ、ポーランド、トルコ、ロシアといった国々を示唆するものが含まれている。一般には言語を使用していたり、または行事や団体を明に暗に示している。選ばれたファイル名やコンテンツは標的の興味に合わせているように見受けられる。もっとも、我々はその犠牲者のアイデンティティや場所について、いまだに他の情報は持ち合わせていないのだが。

 CosmicDukeの感染は、標的を騙して、エクスプロイトを含むPDFファイルを開かせるところから始まる。もしくはドキュメントファイルか画像ファイルのように見えるように操作されたファイル名を持つ、Windowsの実行ファイルだ。ユーザに囮ドキュメントを表示するサンプルもある。以下のファイルにはUkraine-Gas-Pipelines-Security-Report-March-2014.pdfという名前が付けられている。

CosmicDuke decoy

 少々変わったタイプの囮を以下に示す。ロシアの領収書だ。この画像ファイルの興味深い点は、EXIFのメタデータを持つところだ。写真がいつ撮影されたのかや、写真を撮るために使用された携帯電話のモデルが含まれている。

CosmicDuke decoy

 標的がこの悪意のあるファイルを開くと、CosmicDukeはシステム上に存在するようになり、情報の収集を始める。データ収集コンポーネントには、キーロガー、クリップボード・スチーラー、スクリーンキャプチャ、そして各種の人気チャット・メール・Webブラウザのパスワード・スチーラーが挙げられる。またCosmicDukeはシステム上のファイルに関する情報も収集し、暗号用の証明書と関連する秘密鍵をエクスポートする機能も持つ。

 いったん情報が収集されると、FTPでリモートサーバに送出される。CosmicDukeはシステムから情報を盗み出すのに加えて、攻撃者がシステムに別のマルウェアをダウンロードして実行できるようにもする。

 エフセキュアは既知のCosmicDukeのサンプルで使われている、さまざまな悪意のあるコンポーネントをすべて検出する。

 技術的な詳細について知りたい場合には、当社のCosmicDukeの分析レポートを参照してほしい。


 Post by — Timo

FIRST2014で感じた”Information Sharing”の難しさ

CSIRT関連のコミュニティで知られるFIRSTカンファレンスへ参加してきました。
今年のキーワードの1つは「Information Sharing」でした。
昨今のサイバー攻撃の大規模化、および巧妙化が進んでいる状況を踏まえ、改めて注目を浴び始めているように思います。
興味深かったのは「Information Sharing」を情報共有というよりは、如何に鮮度の良い情報を出していくか、といったところに主眼が置かれていた点です。まずはインシデント情報をどんどん出していこう、といった意味合いでです。
これは何故かというと、ひとつのインシデントが一組織だけで解決しなくなってきた為です。
例えば、下図のように攻撃が複数組織に跨いで行われている場合、多くはそれぞれの被害組織毎に調査が行われるのが一般的です。しかし、サイバー攻撃の全容を知る為には各々の調査結果を合わせて分析が行われなければなりません。
しかし、残念ながら全容が解明されるケースは少ないのが現状です。理由は言うまでもありませんね。

インシデントの流れ

では、各々の組織がインシデント情報をシェアする際にどのような情報があれば良いのでしょうか。
例えば、すぐに思いつくものでも次のものがあります。

     (1)攻撃元
     (2)CnCサーバ(IP / Location)
     (3)悪用された脆弱性
     (4)マルウェア
     (5)悪用されたメール(表題 / 本文 / 送信元)
     (6)被害内容
     (7)被害組織(業種)
     (8)攻撃者像
     (9)侵入後に利用された不正プログラム
     (10)タイムライン
などなど。

(1)-(4)までの情報は比較的シェアされるようになってきました。(5)は一部のコミュニティ間ではシェアされています。
しかし、それ以上の情報は素のままでは難しい場合があります。
そこで、現在様々な取り組みが世界中で行われています。例えば、マルウェアの検体そのものの提供が難しい場合はYaraによるシグネチャを作成し配布する。マルウェア感染後はIOC(Indicator Of Compromise)を用いるなどが代表的です。
また、(6)-(10)に関してはストーリー化することで機微情報をぼかしてシェアするなどの方法を取っているところもあるようです。但し、やはり情報が荒くなってしまいますため詳細な分析結果を得ることは難しいのが現状です。
インシデント情報のシェアはまだまだ試行段階ですが、必要性の高いジャンルだと思います。
ちなみに、カンファレンス参加者とインシデント情報を交換した際に言われましたのは、日本を狙った攻撃の一部は世界からみると特殊だとのことです。そういった意味でも国内においてもインシデント情報をシェアするためのフレームワークが必要な時期が来たように思います。
Information Sharingを必要に迫られている組織、個人が徐々にコミュニティが立ち上げつつありますので、その際は是非参加してみてください!





バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード