エフセキュアブログ

ランサムウェア を含む記事

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

Anglerを送りつけるSkype経由のマルバタイジング

 最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。

 広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。

Skype Ad

Skype Call Ad
Skypeの広告

 昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。

Spike

URLs

 当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。

http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com
    led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php
http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com
    led to http://staraly1savage.bendovr.com/forums/viewtopic.php

 ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムセキュリティニュースでSkypeのシナリオについて報告がなされている。

 今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。

 もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。

  • ユーザがebay.itを訪れる
  • ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
  • doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
  • adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
  • Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする

 TeslaCryptに感染したマシンには、以下のメッセージが表示される。

TeslaCrypt

 adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.comgsn.comzam.comwikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。

 今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。

ワイデン上院議員による暗号化ランサムウェアについての質問

 12月15日、ロン・ワイデン米国上院議員はジェームズ・コミーFBI長官に対し、暗号化ランサムウェアに関する書簡を送った。報告があったコストは、非常に驚くべきものだ。

Victims of ransomware attacks are reporting payments between $200 and $10,000 to get their personal or business-related data back.

 1万ドルだって?私の推測では、これは全部で1台ではなく複数台のコンピュータが攻撃されたためだ。

 以下はワイデン議員の質問だ。

Wyden's questions to the FBI.

 FBIがすぐにでも詳細な回答を行うことを望む。

Linux.Encoder.1:Bitcoinでの支払いのみ受け付けます

 現在、実際のLinuxベースのシステムを標的とした、新たな暗号化ランサムウェアのたくらみがある。これはDr.Webの人々から「Linux.Encoder.1」と呼ばれている。基本的にLinux.Encoder.1による脅迫者は、脆弱なWebサーバ上でフィッシングサイトやエクスプロイトキットへのリダイレクトを設定する代わりに、コンテンツを暗号化してWebサーバの所有者を直接標的にする。

 その結果、数々の被害がGoogleにインデックスされている。

 (訳注:「Linux.Encoder.1というトロイの木馬による被害を受けた運用中のWebサイトを、Googleがたくさん発見している」という意味)

 以下はGoogleのキャッシュにある脅迫文のコピーだ。

README_FOR_DECRYPT.txt

 すばらしいFAQだ。

We are accept only Bitcoins. - http://memegenerator.net/instance2/2810855

 「Can I pay another currency?(Bitcoin以外の支払い方法はありますか?)」

 「No.(いいえ)」

 Linux.Encoder.1の被害者がバックアップを取っているといいのだが。さもないと、Bitcoinを入手させられることになる。脅迫者たちが支払いの対価として、本当の復号キーを渡すかどうかはまだ不明だ。そして、彼らのTorで隠ぺいされたサービスが現在オフラインなのだ。これは前途多難だ。

 追記:

 当社のスレットインテリジェンスチームの研究員Daavid Hentunenは、脅迫者たちは1ヶ月で11,934ユーロを稼いだと見積もっている。

SLocker v.s. Marshmallow

 AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な(そして下劣な)やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか?

 手始めに、SLocker v.s. Lollipopを確認してみよう。

 マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid(ポルノドロイド)」と呼ばれるアプリをダウンロードさせる(まあ、たぶん男性(men)ばかりだが)。

Porn Droid app

 典型的には、よくありがちな過剰なパーミッションが要求される。

PornPro app permissions

 そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

PornPro permissions continued

 もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

This app contains a virus

 しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

Disguised request for admin permissions
Update patch installation

 この「Continue」ボタンは?これは、デバイスの管理者権限の要求を分かりにくくしている(もちろん、非常に重大な欠陥だ)。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

 以下はFBIをテーマにしたランサムウェアだ。

Slocker's FBI Warning

Slocker's FBI Warning

Slocker's FBI Warning

 一見したところでは、FBIが罰金(fine)ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

PayPal My Cash

 SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

 以下の例では、Zimryの席の上の天井に向いている。

Slocker tries to take a picture.

 そして、おまけにPRISM(訳注:NSAの通信監視プログラム)のロゴが付いている。

FBI Mission: PRISM

 この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

 コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

 比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

 しかし、現在は…。

 Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか?

 良いニュースがある!SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

Activate Device Administrator

 しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

 ハッシュ:

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

 

 Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

ランサムウェアの密かな流行の背景

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例1)
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

ransomeware_custom

例2)
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額(米国ドル)や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。(src拡張子)
マルウェア自体はCryptoLockerとよく似た動作(標的端末上のファイルの暗号化)をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
#F-Secure での検出は確認しています。

tox


これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
#例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス(ちゃんと動作します)を利用しない
(機微情報を含む業務ファイル等を提供することになるため)
などなど教えてあげてくださいね。



スパムメール型のランサムウェアがイタリアとスペインのユーザを標的に

 ここ数日の間、当社はイタリアとスペインの顧客から、いくつかの事例を受け取った。CryptowallCryptolockerといったランサムウェアへと導く、悪意のあるスパムメールに関するものだ。

 このスパムメールは、配送待ちの小包について宅配サービスや郵送サービスから連絡が来たように見せかけている。メールにはオンラインでその小包を追跡するためのリンクが提示されている。

crypt_email (104k image)

 当社の標準のテストシステムでメールの初期調査を行ったところ、このリンクはGoogleにリダイレクトされた。

crypt_email_redirect_italy (187k image)

 では、悪意のある振る舞いはしなかったということだろうか?うーん、我々は最初の2つのURLはPHPだという点が気になった。PHPのコードは、クライアントサイドでローカルに実行されるわけではなく、サーバサイドで実行される。そのため、事前に設定した条件に基づいてユーザをGoogleにリダイレクトするか、あるいは悪意のあるコンテンツを提供するのかをサーバが「決定」できるのだ。

 この特定のスパムメールはイタリア語で書かれている。もしや、イタリアを拠点とする顧客のみが、悪意のあるペイロードを目撃することができるのだろうか?幸運にも我々にはFreedomeがある。実験するために少しの間だけイタリアへ旅行できるのだ。

 そこでFreedomeを起動し、ロケーションをミランに設定して、メール上のリンクを再度クリックした。

crypt_email_mal_italy (302k image)

 このときは、嫌なものを見た。もしユーザがイタリアにいる(ように見える)場合、サーバはクラウドのストレージサーバ上に置かれた悪意のあるファイルへリダイレクトするのだ。

 スペインのユーザに送付されたスパムメールも同様だが、こちらの場合はサイトがより本物っぽく見えるようにCAPTCHAを試すようになっている。スペイン国外にいるユーザがメール内のリンクをクリックした場合、こちらもGoogleに行きつく。

crypt_email_redirect_spain (74k image)

 逆にスペインのIPアドレスからサイトに訪れた場合には、CAPTCHA画面が表示される。

crypt_email_target_spain (57k image)

 そして続いてマルウェアそのものだ。

crypt_email_mal_spain (313k image)

 このスパムキャンペーンでは(今までのところ)エクスプロイトは使っておらず、古風なソーシャルエンジニアリング手法だけを用いている。感染が起きるのは、悪意あるURLで提示されたファイルをユーザが手動でダウンロード、実行したときだけだ。当社の顧客については、URLはブロックされ、ファイルは検知される。

 (今回のマルウェアのSHA1:483be8273333c83d904bfa30165ef396fde99bf2、295042c167b278733b10b8f7ba1cb939bff3cb38)

 Post by — Victor

エフセキュア、新しい調査レポートで恐喝型マルウェアの拡大を警告

サイバーセキュリティ企業であるエフセキュアは、新しい調査レポートを公開し、無防備な携帯電話ユーザやPCユーザから金銭を恐喝するマルウェアが増加していることを指摘しています。新しい脅威レポートによると、トロイの木馬やランサムウェアを送信するプレミアムSMSメッセージなどのマルウェアは拡大を続けており、今日、デジタルの脅威の状況において注意を要する存在となっています。

合計574個あるSmsSendファミリーの既知の亜種のうち、259種が2014年の下半期に確認され、SmsSendは最も急速に拡大したモバイルマルウェアのファミリーとなりました。SmsSendは、プレミアム料金の番号にSMSメッセージを送信するトロイの木馬にAndroidデバイスを感染させることで、犯罪者に利益をもたらします。またランサムウェアも、引き続きモバイルユーザに被害を与えました。中でもKolerおよびSlockerファミリーのランサムウェアは、Androidデバイスに対する上位の脅威の1つとして確認されました。

「ランサムウェアは、暗号化やその他のメカニズムを利用してデバイスをロックし、ユーザを閉め出します。」とエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンは述べています。「犯罪者は、身代金を支払わなければユーザ自身のデバイスをロックして閉め出してしまうという手口で、ランサムウェアを使ってユーザを恐喝します。仮想通貨の普及によって、犯罪者がランサムウェアを使うのは非常に容易になってきており、ランサムウェアが犯罪者にもたらす利益と利便性はより大きくなっています。エンドユーザにとって、ランサムウェアは今日最も注意すべきデジタルの脅威です。」

PC上でも、ランサムウェアの検出件数は増加しており、今回のレポートで確認された上位10個の脅威にBrowlockランサムウェアファミリーが加わりました。この他に目立った上位10個の脅威には、Conficker/Downadupワーム、Salityウイルス、さまざまな種類のRamnitウイルスなどが挙げられます。これらの3つのファミリーは、上位10個の脅威の全検出数のうち、合計で55%を占めます。

また、上位10個に新たに加わった脅威で目立っているのは、Kilimファミリーと呼ばれる悪意のあるブラウザ拡張です。この拡張はFacebookアカウントを狙って利用し、意図しないコンテンツを投稿したり、情報を盗んだりします。今回のレポートでも、上位10個の脅威のうち、11%を占めています。エフセキュアによるKilimマルウェアの検出件数が増加した大きな理由に、Facebookからの協力が挙げられます。両社の協力は、昨年5月に発表されており、Facebookユーザが安全にインターネットを利用し続けられるよう支援しています*。

ヒッポネンは、サイバーセキュリティで、攻撃者の動機を理解することが極めて重要になってきていると指摘しています。それを理解することによって、特定の攻撃に決まった組み合わせのマルウェアと手口が使われる理由が明らかになります。「攻撃者の属性を知ることは、組織が自らを守るためにできる最も重要な行動の1つであると考えています。攻撃者が誰であるかを知らずに自らを守ることはできません。」

エフセキュアのWebサイトでは、脅威レポートの全内容の公開を開始しました。このレポートには、2014年下半期におけるデジタルの脅威の状況について、新しい進展、地域別の脅威、および詳細について、より詳しい情報が記載されています。

*出典:https://www.facebook.com/notes/facebook-security/making-malware-cleanup-easier/10152050305685766

詳細情報:2014年下半期脅威レポート
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014

ビデオゲームのファイルを標的としたランサムウェアのバリアント

 「Free Decryption(無料の復号化)」しかし最初に身代金を支払わねばならない。

Free Decryption

 上の画像は、(数あるファイルの中でも)ビデオゲームのファイルを標的にするランサムウェアの企てで使われるWebインターフェイスだ。

 詳細はここここにある。

 ヒント:重要なものはすべてバックアップを取る。

ランサムウェア・レポート:BandarChorの台頭

 今週になり、さらに別のランサムウェアであるBandarChorについて、当社では多数の報告を受けた。

 厳密には、このランサムウェアは新しいものというわけではない。このファミリーに関連して最初に感染に気付いたのは、去年11月までさかのぼる。

November

 BandarChorは、メール経由で拡散しているという報告を受け取ったほか、エクスプロイトキットで配信されている可能性が示唆されている。

 実行すると、当該マルウェアは自身のコピーと共に、身代金について指示する画像をスタートアップディレクトリにドロップする。

filenames

 次に、doc、xls、jpgのような各種のファイル拡張子を持つファイルの暗号化を試みる。

fileext

 暗号化の後、ファイル名を[filename].id-[ID]_fud@india.comにリネームする。

files

 さらにHTTP POSTにより、ユーザのコンピュータの名前とIDをあるリモートサーバに報告する。

network

 身代金メッセージについては、以下に掲載する。

fud@india.com

 以下は、今回の脅威に関連して、当社で目にしたその他のドメインの一覧だ。

   •  martyanovdrweb.com
   •  www.fuck-isil.com
   •  www.ahalaymahalay.com
   •  kapustakapaet.com
   •  www.decryptindia.com
   •  www.enibeniraba.com
   •  www.netupite.com
   •  89025840.com
   •  xsmailsos.com
   •  sosxsmaillockedwriteonxsmailindia.com
   •  baitforany.com
   •  euvalues.com

 この脅威は当社ではTrojan:W32/BandarChorとして検知する。

 ハッシュ:

   •  31aa8ec187e1241a94127336996f9cb38719eb9b
   •  4b356b88fb3a3dce1f009e4e92cd4a59383e0764
   •  5f71be645e8ac995555a891087b46ed357386dbe
   •  afd4216e93a82feebafd3a68e9308ca4b0b54372
   •  b4362fcd75fd071fc8237c543c56df5736b8e177
   •  ba8909eef5ee280ae43b935cf4ae38ccf21bde56
   •  de7ced27456a1e4581d6a4bf126f56061b7f9859

誘拐から身を守れ!CTB Lockerのようなランサムウェアを回避するには



エフセキュア セキュリティ研究所では、CTB Lockerというランサムウェアによる新たな感染の検出が急激に増えています。この種のマルウェアは、文字通りファイルを人質に取り、指定期日内に身代金(ransom)を支払うよう要求するものです。

ランサムウェアは、650ドル、または575ユーロを要求するスパムメールを介して拡散しています。

エフセキュア セキュリティ研究所のArtturiは次のように述べています。「CTB Lockerによって使用される暗号化キーを解読する方法はまだ分かっていません。そのため、被害者がファイルを取り戻すには、バックアップを取っていなければ、マルウェアのオペレーターから解読キーを受けとるしかありません。しかし、マルウェアオペレーターの犯罪行為に資金提供することになるので、身代金は決して支払うべきではありません!また、身代金を支払ったとしてもファイルを実際に取り戻せる保証はありません。それは完全に犯人の信頼性によるのです。」

この最後の言葉の微妙さにお気づきになりましたか?

「...犯人の信頼性」。あなたが頼りにしなければならないのは犯罪者なのです。リーアム・ニーソンになって犯人を追いつめることはできません。

違法者のなすがままになりたくないなら、今まずやるべきことは次の3つです。

  1. 最新のアンチウイルスソリューションを確実に導入しておく。エフセキュア セキュリティ研究所は、この脅威とこれを広めた添付ファイルをすでに検出しています。
  2. 電子メールの添付ファイルで受け取った実行可能ファイルを開かないようにする(そうです、2015年になった今でも、このことを知らない人がいるため、私たちはこの点について繰り返し注意を促しています)。
  3. データのバックアップを定期的に取る。これが最も重要です。

CTB Lockerについて詳しく知りたい方、またはネットワークの管理者の方は、セキュリティ研究所の記事全文をお読みください。

>>原文へのリンク

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


CryptoWallが2.0にアップデート

 この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。

 ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。

 現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された

Screenshot of CryptoWall 2.0 ransom page
CryptoWall 2.0の身代金ページ

 CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。

CryptoWall 1.0 CryptoWall 2.0
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)

 おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。

侵害された、Torコンポーネントのダウンロードサイトの一覧:

 hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
 hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
 hxxp://www.ar[編集]er.cz/o515ujx2f
 hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
 hxxp://www.cu[編集]n.de/z6lub76lz295x
 hxxp://www.ho[編集]t.com/5gr4hl2tvv
 hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
 hxxp://ep[編集]n.ca/blog/eo7ycomyy
 hxxp://www.pr[編集]al.com.br/site/hr38xc4
 hxxp://www.ji[編集]e.be/s5eroewr
 hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
 hxxp://www.dr[編集]en.de/wordpress/3uh2e
 hxxp://www.ye[編集]ak.com/kf4bv
 hxxp://www.ro[編集]es.com/l449jbc0
 hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
 hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
 hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
 hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
 hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin

.onionドメインのC&Cサーバ一覧:

 crptarv4hcu24ijv.onion
 crptbfoi5i54ubez.onion
 crptcj7wd4oaafdl.onion
 crptdtykhkmux333.onion
 crpterfqptggpp7o.onion

CryptoWall 2.0のサンプルのハッシュ:

 e6325fc7f7168936aa9331ac707b4c3cc186b46e

Tor化されたCryptoWall 1.0のサンプルのハッシュ:

 00e0960099ec6381aa9bf1f11b536e3e32ffa635
 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3
 672d6b7e31fe8f6250c6831d139012b87440274c
 f21c073e57ad8a5b73139fbd4361c8985a83c9c9

 Post by Artturi Lehtio (@lehtior2)

GameOver Zeus:コンピュータには望ましくないタイプのゲーム

『Team Fortress 2』と『Doom』は空前の人気を誇るPC用ゲームですが、GameOver Zeusはオンラインで購入できるゲームでもなければ、みなさんが進んでコンピュータにダウンロードするようなゲームでもありません。
 
GameOver Zeusとは?
 
以前、インターネットバンキングを狙う「トロイの木馬」について述べましたが、2012年に最初の感染が確認されたGameOver Zeus、すなわち「トロイの木馬」型のGOZほど、ユーザにとって有害なものはありません。GameOver Zeusは、感染したコンピュータからインターネットバンキングの認証情報を盗み出すように設計されており、海外にある犯罪者の口座へ電子送金します。伝えられるところによると、このプログラムはロシアのハッカー、エフゲニー・ボガチェフが作成したもので、世界中のコンピュータに植えつけられました。そして感染したコンピュータのネットワークすなわちボットを構築し、彼の犯罪組織がどこからでも制御できるようにしたのです。
 
GOZは主にスパムメールやフィッシングメールを通じて拡散します。これまで、人々から何億ドルも騙し取ったとみられ、さらに被害は拡大する見込みです。
 
話はそれだけにとどまりません。GameOver Zeusは異種のトロイの木馬を取り込むために、ハッカーが書き換えることもできるのです。その1つがCryptoLockerと呼ばれるランサムウェアで、ユーザがハッカーに身代金を支払うまで、すべてのファイルを暗号化して重要なファイルのほとんどを利用不能にする、大変な被害をもたらすマルウェアです。
 
2014年6月、FBI、欧州刑事警察機構(Europol)、英国国家犯罪対策庁(NCA)は、世界中の様々なセキュリティ企業や学術研究者らと緊密に連携して、「Operation Tovar」というプログラムのもと、対策に取り組んでいることを明らかにしました。この取り組みは、トロイの木馬を拡散しコンピュータに感染させるシステムを一時的に破壊し、その間、他のコンピュータが感染しないようにするものです。しかし、すでに感染したコンピュータには依然としてリスクが残っており、危険にさらされたままです。
 
次に起こる事は何でしょうか。
 
GameOver Zeusボットネットの破壊は、様々な意味で大きな成功となりましたが、これで終わったわけではありません。当社のセキュリティ・アドバイザーを務めるショーン・サリバンは、この一時的な破壊は完全に撲滅したというわけではないため、危険が実際には取り払われていないと懸念を表しています。
 
「ボガチェフが逮捕されていない現在、GameOver Zeusはいまだに大きな脅威で、さらに危険なものへと進化していくでしょう。ハッカーは、トロイの木馬の新しいバージョンのプログラムを簡単に作成して、身代金が支払われなかったり、当局が介入を試みたりした場合に、コンピュータ上のすべてのファイルを破壊するような『自己破壊』コマンドを起動させることができるのです。」
 
私たちがデジタルフリーダムを守るためにできることは何でしょうか。
  • 悪意のあるスパムメールやフィッシングを警戒 ― 特に何か要求した場合を除いて、Eメールの添付ファイルを決して開かない。
  • Eメールの添付ファイルを注意深く確認し、自動的に実行されるようなファイル(一般的にはファイル名の終わりが「.exe」)は、決して開かない。
  • インターネット セキュリティ ソリューションの環境を整え、常に最新の状態に維持する。
  • Windowsのオペレーティングシステムとインターネットブラウザのプラグインを常に最新版に維持する。
  • すべての個人用ファイルを定期的にバックアップする。
  • トロイの木馬GameOver Zeusに感染していないか確認するためにコンピュータを必ずチェックする。
 
この強力なトロイの木馬の仕組みや拡散方法の詳細については、この動画をご覧下さい。




>>原文へのリンク

新しいエフセキュアの脅威レポート:Androidでも増加するランサムウェア

エフセキュアラボが、PC、Macおよびモバイル環境に対する脅威について、最新の詳細情報を明らかにした脅威レポートの新版を公開。




2014年の前半は、ユーザのデータをロックしてアクセスを制限し、身代金を要求するオンライン攻撃が増加しました。この事例は、モバイルデバイスでも発生しています。エフセキュアラボが公開した最新の2014年上半期脅威レポートによると、ランサムウェアと呼ばれる悪意のあるソフトウェアによる攻撃が増加しており、家庭、企業および政府のユーザにとってデータに対するセキュリティが重要であることが浮き彫りになっています。ランサムウェアとは、ユーザのファイルのロックを解除するのと引き換えに、身代金の支払いを要求する悪意のあるソフトウェアです。

モバイル環境では、2014年の第2四半期に、295個の新しい脅威のファミリーと亜種が発見されました。このうち、294個がAndroidを、1個がiOSを標的にしていました。この数は、第1四半期から上昇しています。第1四半期に検出された脅威は277個で、そのうち275個がAndroidを標的にしていました。第2四半期で最も多かったAndroidに対する脅威はトロイの木馬で、プレミアム番号にSMSメッセージを送信するか、デバイスからデータを収集しリモートサーバに転送するかのいずれかの挙動を示していました。6月には正規のアプリを装うSlockerマルウェアが報告されています。このマルウェアは、モバイルプラットフォームで発見された最初のランサムウェアです。

PCに対する脅威では、上位10個の検出中、最も割合が多かった(31%)のは、発生後6年が経過したDownadup/Conficker(ダウンアドアップ/コンフィカー)ワームです。このワームは、200を超える国で何百万台ものコンピュータに感染してきました。このワームの寿命が長いのは、古いソフトウェアを実行するコンピュータがあることが大きな理由となっています。このことは、コンピュータのソフトウェアを最新の状態に保ち、古いセキュリティの欠陥を修正することの重要性を示しています。

また、新しいMacマルウェアが発生し続けています。2014年上半期には、Macに対する脅威の亜種が25個発見され、一部は組織を狙った標的型攻撃に利用されました。検出数は、18個だった昨年の7〜12月から上昇していますが、33個だった昨年上半期と比べると減少しています。

エフセキュアセキュリティラボの主席研究員であるミッコ・ヒッポネンとセキュリティ・アドバイザーであるショーン・サリバンは、金曜日のウェビナーで今年上半期の出来事について説明しました。また、6月にエフセキュアの研究者が発見した、産業制御システムを標的とするトロイの木馬Havexについても議論しました。

サリバンは次のように述べています。「犯罪を目的としたマルウェアがスパイウェアに進化する興味深い過程が、今年初めに詳しくわかるようになりました。今日、悪意を持った人は、クレジットカードだけでなく、はるかに多くのものを標的にしています。ありとあらゆるものが興味の対象となっていて、企業データを購入する人が相当数存在すると考えられます。」

Androidマルウェアの発生件数が上位の国、最も安全なモバイルアプリのオンラインマーケット、さらにはPC、Macおよびモバイル環境に対するすべての脅威の詳細については、2014年上半期脅威レポートの完全版をご覧ください。

なお、ミッコ・ヒッポネンとショーン・サリバンによる解説をご覧いただけます(英語)。





詳細情報: 2014年上半期脅威レポート

ランサムウェア・レース(パート5):守られないSynoLockerの約束

 決してオンライン犯罪者に身代金を支払ってはならないと、我々は考えている。その理由は極めて単純だ。ファイルを暗号化するランサムウェアは、支払いが為されるまで被害者の個人的なファイルを「人質」にとる。この陰謀がうまくいくには、耳をそろえて払うことで救われると被害者が信じる必要がある。しかしながら、犯罪者たちに支払った結果として確実なのは、彼らの悪意に満ちた行為を続けさせるように促すことだけだ。代表例は、一般にSynoLockerとして知られる最近のランサムウェアファミリーだ。

SynoLockerはシノロジー社製のNAS(network attached storage)デバイスを標的にしている。デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されたファイルの暗号化を始める。さらに、ファイルを復号する見返りに身代金の支払いを要求するメッセージを被害者に提示する。しかしながら、SynoLockerの背後にいる犯罪者らはうその約束をしているのだ。 当社で観察した数多くのケースにて、復号プロセスは実際には動作しなかったり、犯罪者らが提供した復号キーが間違っていたりした。

 犯罪者たちに騙されたとしても、望みが完全に潰えたわけではない。正しい復号キーを被害者が入手することができれば、ファイル群はまだ復号できる。この目的のために、当社は本日、小さなツールをリリースする。Pythonのスクリプトで、当社で書いたものだ。正しい復号キーが提供されている限り、このツールを使って安全にSynoLockerで暗号化されたファイルを復号できる。このツールは、決してSynoLockerで作成されたファイルの暗号を破るものではない。また、復号キーを総当たりで探すことはしない。復号キーが既知の場合にのみ動作する。

Screenshot of encrypted and decrypted file headers
SynoLockerで暗号化されたファイルの先頭部分(左)と復号された同じファイルの先頭部分(右)

 当社の復号ツールのもう1つの使用場面は、ユーザが身代金を払ったが、感染したデバイスからマルウェアSynoLockerを削除済みだったために、復号キーが使えなくなった状況だ。デバイスを当該マルウェアに再感染させる(これは悪い考えだ)代わりに、当社のスクリプトをキーと共に使って、ファイルを復号できる。

 このツールを一般社会に公開することにより、こうした犯罪者によって引き起こされる害悪を解消するのに貢献できることを願っている。

 当社はどなたにも身代金の支払いを一切お勧めすることはない。

 当社の復号ツール、インストールおよび使用マニュアルはこちらから

 Post by Artturi (@lehtior2)

ランサムウェア・レース(パート4):アダルトコンテンツ、Browlockの持続力

 当社では最近ランサムウェアファミリーの隆盛に目を光らせている。CryptoWall、CTB-LockerSynolockerについてのこれまでの記事にあるように、悪い奴らがこの種のマルウェアファミリーを絶えず開発中であることは歴然としている。これらのファミリーに加えて、ややシンプルなタイプのランサムウェアBrowlockも観察している。ただし、Browlockはかなり活動的で、最初に遭遇した2013年から非常に活発である。

 他のランサムウェアファミリーと対照的に、Browlockは被害者のファイルを暗号化しないし、被害者のマシン上にファイルを追加したり起動したりしない。Browlockはブラウザを「ロック」して、警察や当局からだと主張して警告を表示する。そこには児童ポルノのWebサイトの閲覧、あるいは海賊版のソフトウェアのダウンロードという犯罪をその被害者が犯した、と述べられている。ユーザがブラウザを閉じるのは妨げられるが、たとえばタスク マネージャーを通じてブラウザのプロセスを終了すると、問題は解決する。

 以下は当社のテレメトリーのBrowlockの攻撃から取得した6月以降の統計情報だ。

HitCount2 (51k image)


 当社の統計によると、標的となった被害者は、アダルトサイトを訪れているユーザだった。半数以上がアダルト関連のWebサイトに行った後、Browlockのページにリダイレクトされた。他には広告ネットワークを通じて、リダイレクトされた。当社のデータにて突出しているアダルトサイトは認知していないが、広告ネットワークの割合では、おおよそ60%がtrafficbroker.com単独からのものだった。

referer (63k image)


 Browlockのランディングページは、その時々で異なるIPやURLを持つ。これについてさらに観察したものが、malekalのWebサイトで確認できる。URLはランダムに見えるが、目立ったパターンがある。以下はサンプルの一部だ。


 •   http:// alert. policecoin. info/ FI/cls.php
 •   http:// alert. porschepolice. net/ FI/cls.php
 •   http:// alert. xraypolice. com/ FI/cls.php

 •   http:// alert-police. barbrastreisandagent. com/
 •   http:// alert-police. estateagentsolutions. net/

 •   http:// attention.starpolice. biz/FI/cls.php
 •   http:// attention.starpolice. co/FI/cls.php

 •   http:// police. grantscards. com/
 •   http:// police. redunderground. com/

 •   http:// security-scan-nuqbqakx. in/
 •   http:// security-scan-jdytiujg. in/

 •   http:// system-check-abevbrye. in/
 •   http:// system-check-ipxmjdry. in/

 •   http:// security-akechksv-check. in/

 •   http:// security-zxqkcohl-chk. in/

 •   http:// law-enforcement-tqvrlbqb. in/
 •   http:// law-enforcement-icgkjyrr. in/

 6月から、当社のアップストリーム内でもっとも多く報告が上がった以下のURLの監視をした。ホスト先の対応するIPアドレスも掲載する。

IPtable3 (62k image)


 以下のグラフは、該当するURLのパターンが、当社のアップストリーム内で活発に報告された時期を示している。Browlockは平均して約2週間から1ヶ月の間、ランディングページのURLのパターン1つを維持できるようだ。

ip_graph2 (92k image)


 また当社では、米国、イギリス、欧州各国がもっとも影響を受けていることにも気付いた。

top5countries (8k image)


 この非常にシンプルなメカニズムで、悪い奴らが実際に金を得ているのかを疑問に思い、しばらくの間このオペレーションの進行を見てきた。ひどのくらいの数の被害者が偽の警告メッセージに応じて身代金を支払ってしまったのか、確かなことは分かっていない。ただ我々が確信しているのは、このランサムウェアファミリーが活動的なのが見られる間、当社の顧客をこの脅威から保護し続けるために油断せずに見守ることだ。

ランサムウェア・レース(パート3):SynoLockerの中身

 先週、シノロジー社製のNAS(network attached storage)デバイスを標的にした、SynoLockerと呼ばれる新たなランサムウェアファミリーについての記事を我々は執筆した。SynoLockerについてと思われる初期のうわさでは、悪名高いCryptoLockerと関係している可能性があるとされていたので、さらに深く掘り下げることにした。

 表面上、SynoLockerとCryptoLockerには多くの類似点がある。その最たるものは、似通った名前と、暗号アルゴリズムの選定や被害者から金を巻き上げるアイデアの類似性だ。しかしながら表面下では、類似性は急速に失われる。SynoLockerに感染すると、まずは被害者ごとにユニークなRSAのキーペアが生成される。秘密鍵はマルウェアのオペレータの元を離れることはないが、公開鍵は被害者のデバイス上に格納される。この公開鍵はデータの暗号化に使われるが、復号は対応する秘密鍵でのみ可能だ。マルウェアのオペレータが秘密鍵を掌握している限り、被害者が暗号化されたファイルへアクセスするのを妨げることができる。

 被害者のファイルの、実際のコンテンツを暗号化するにあたって、SynoLockerはAESを用いている。最初に、暗号化するファイルの大きさと名前からIV(initialization vector)を生成する。このIVは後の暗号化アルゴリズムでも使われるが、さらにランダムに生成された文字列と連結し、実際の暗号キーを生成するためにも使用している。続いて、オリジナルのファイルのコンテンツを暗号化する。同時に、いわゆるHMAC(keyed-hash message authentication code)も暗号化されていないデータから生成する。HMACは、一般にはデータの完全性の検証に用いられるものだ。最後にキーの生成に用いられたランダム文字列を、RSAの公開鍵で暗号化する。これにより、データを復号するための鍵を再生成するには、最初にRSAの秘密鍵を用いてランダムな文字列を復号することが唯一の方法となることが保証される。

Diagram of the encryption process and resulting file
暗号化プロセスと得られるファイルの図

 ファイルの暗号化が終了すると、SynoLockerはオリジナルのファイルを新しいファイルに置き換える。その新しいファイルには、まずRSAで暗号化したランダム文字列を書き込む。続いて「THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337」(Xは40個)というマーカー文字列を書き込む。これは暗号化されたファイルであることを確認するために用いる。マーカーの後ろに、暗号化プロセスで使用されたIVを書き込む。次に、オリジナルファイルのコンテンツの暗号化バージョンを書き込む。最後に、暗号化プロセスの最中に生成されたHMACを新しいファイルの末尾に書き込む。プロセスの途中いずれかの時点で何かが失敗したり悪い方向にいったとしても、オリジナルのデータが失われることがないような方法で、以上のすべての処理が行われる。すべて完了したときにのみ、SynoLockerはオリジナルのファイルを新しいファイルに置き換えるのだ。復旧がより困難になるよう、ランダムなデータでオリジナルのファイルを上書きすることも試みる。

File encrypted by SynoLocker, as viewed in a hex editor
SynoLockerで暗号化されたファイル。hex editorで表示(矢印はマーカー文字列の先頭を示す)

 ファイルの復号を行うには、必然的に上記のプロセスの逆になる。まず最初に、SynoLockerはランダム文字列を被害者のRSAの秘密鍵で復号して手に入れる。次に、暗号化されたファイルから取得したIVとともにランダム文字列を用いて、実際のAESキーを生成する。最後にこのキーを使用してファイルデータを復号する。同時に、SynoLockerは復号したデータから新しいHMACを生成する。最終的にオリジナルデータのHMACと新たに生成されたHMACを比較し、一致した場合にのみ、復号プロセスが成功したものと判定される。繰り返すが、これにより、プロセスの途中で何か悪い方向にいった場合であっても、存在するデータが失われることはないことが保証されるのだ。

 SynoLockerで使われている暗号化手法に加え、当社では感染の媒介物についてももっと見つけ出したいと思っていた。最善を尽くしたが、これまでのところ、SynoLockerが使用する媒介物について正確に特定できないでいる。ただ、SynoLockerはたったひとつの悪意のあるバイナリというよりも、むしろファイル群であって、感染の媒介物を通じてデバイスにアップロードされる。これらのファイルにはすべて特定の目的があり、また完全に機能させるために多くは互いに依存しあっている。この投稿の最後に、SynoLocker関連のファイル一覧を挙げる。

 SynoLockerのバイナリの分析中、オペレーションの別の側面の監視も継続していたが、マルウェアのオペレータが活動しているのを目にしている。支払いの指示のために被害者が閲覧するように指示されるWebサイトが、最近更新された。このページには現在「This website is closing soon...(このWebサイトはまもなくクローズする)」という注記が記載されている。オペレータらは、5500個を超える秘密鍵を保有しているが、一括で200 BTCで販売する意思があることを示している。

Recent screenshot of SynoLocker website
SynoLockerの最近のWebサイトのスクリーンショット

 オペレータが計画を成就するか、またそれが被害者に何をもたらすのか、継続して監視する。

 SynoLocker関連のファイル一覧
 /etc/synolock/server
 /etc/synolock/synosync
 /etc/synolock/synolock
 /etc/synolock/crypted.log
 /etc/synolock/decrytped.log (SynoLockerのスペルミス)
 /etc/synolock/RSA_PUBLIC_KEY
 /etc/synolock/RSA_PRIVATE_KEY
 /etc/synolock/.restore
 /etc/synolock/.decrypt
 /etc/synolock/watch.sh
 /etc/synolock/uninstall.sh
 /etc/synolock/watchdogtest.sh
 /usr/syno/synoman/crypted.log
 /usr/syno/synoman/decrypted.log
 /usr/syno/synoman/index.html
 /usr/syno/synoman/redirect.html
 /usr/syno/synoman/lock.png
 /usr/syno/synoman/style.css
 /usr/syno/synoman/synolockcode.txt
 /tmp/.SYNO_ENCRYPT_LOCK
 /tmp/.SYNO_DECRYPT_LOCK
 /tmp/.SYNO_SERVER_LOCK
 /tmp/.server
 /usr/syno/etc.defaults/rc.d/S99boot.sh
 /usr/syno/etc.defaults/rc.d/S99check.sh

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d (server)
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4 (synosync)

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード