エフセキュアブログ

解析 を含む記事

不可解なJavaエクスプロイト

  先週、Kahu SecurityがJava攻撃の拡大に関する記事をブログに掲載した。Kahuの記事は、2つのJavaエクスプロイトを分析している。

Kahu Security, Java Attacks

  第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。

  最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。

  さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。

  土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。

Kahu Security, Mihi

  私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。

  Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。

  Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp

  私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa

  「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。

—————

では
Timo

新年の願いごと - データ収集付き

  2011年が終わろうとしている。先日クリスマスが過ぎ、新年が近付きつつあるため、当然、多くのお見舞いの言葉や季節の挨拶などが送られている。何者かが(少し遅れて)参加しようと決め、同時にちょっとしたデータ収集も行おうと決意したようだ。

  「Spyware:Android/AdBoo.A」は、気のきいた/優しい/面白いメッセージを知人に送れるようにするプログラムの一つだ。実行すると、同プログラムは新年の願いごとや友情、愛情、ジョークといった様々なカテゴリに分類されたテキストメッセージのリストを表示する:

AdBoo text

  ユーザがこれらメッセージの一つを選択すると、同アプリはユーザに連絡先、編集、キャンセルという次の行動を選ぶよう求めるダイアログボックスを表示する:

AdBoo message

  連絡先オプションを選択すると、アプリは保存されている連絡先データを読み込もうとする。おそらく同アプリはメッセージを誰に送るのかを知る必要があるのだろう:

AdBoo choices

  初期解析中、我々のテスト用携帯電話には連絡先が保存されていなかったため、同アプリはこの時点で何も回収しなかった。

  しかし、(偽の)連絡先を使用して再テストすると、テキストメッセージも送られず、ユーザは「送信失敗」というメッセージというダイアログボックスが出るだけだった:

AdBoo sending fail

  我々はしかし、同アプリが何か別のことをしているのに気づいた。連絡先オプションを選択すると、同アプリは以下の情報をこっそりと端末から取得するのだ:

1)端末のモデル
2)Androidのバージョン
3)電話番号
4)国際移動体装置識別番号(IMEI)

  収集された情報は次にリモートサーバに送信される。

  ちなみに、我々の手元にあるAdbooサンプルの証明書を見ると、「Trojan:Android/Zsone.A」と同じ開発者のものであるようだ:

AdBoo:

AdBoo SHA1

Zsone:

Zsone SHA1

Threat Solutions post by — Irene

「Trojan:Android/FakeNotify」がアップデート

  今月はじめに我々は有料課金型のSMSトロイの木馬に関する記事を掲載した。「Trojan:Android/FakeNotify.A」として検出したものだ。現在、同トロイの木馬がアップデートされ、分析と検出をより厄介にする変更が加えられていることが分かっている。

  署名証明書から分かるように、新バージョンは同じ開発者が作成したものだ。トロイの木馬の全体的なふるまいに変更は無いが、コーディングアプローチはかなり変わっており、静的解析ツールなどを失敗させるのに十分だ。

  例えば分析中、私はオリジナルと現行バージョン双方からのSMS送信ルーチンを比較したが、以前のよりシンプルなコーディングアプローチがよりダイナミックになっていることに気づいた。

  「FakeNotify」のオリジナルバージョンでは、ルーチンはそれが何であるか、非常に簡単に「読む」ことができる単純な方法で実装されていた:

FakeNotify, original send
FakeNotify.A

  しかし新バージョンは、アナリストがコードを「読む」ことをより難しくするとともに、同じ目標を達成するためにJava言語のReflection/Dynamic Invocation機能を利用している。

  開発者たちは、自身のエンコーディング/デコーディングアルゴリズムを使用して、ストリング引数を混乱させることによりさらに歩を進めている(これはシンプルな換字式的な暗号に過ぎないが)。以下でコード化されたフォームを見ることができる:

FakeNotify, update encoded
FakeNotify.B, SHA1: df866cf4312cf9c929a9a7dc384eebb19d2b2c2d

  コーディングアプローチの変更は、大部分の静的解析ツールを容易に無効化することができる。

覚書:分析中、私は突然、Windows LoadLibraryとGetProcAddress combo API関数およびJava Reflectionのいくつかの機能との類似点に気づいた。他のAPI関数アドレス(Windows)およびクラス、もしくはObject handleのメソッド(Java)に関しては、双方とも開発者が最近獲得した方法もしくは関数をコールするか、実行することを可能にする。

  いずれにせよ、Androidの世界に戻ろう。新たなFakeNotifyバージョンの分析を容易にするため、私はシンプルなPythonスクリプトを作成し、難読化されたストリングのインスタンスを、悪意あるアプリケーションでデコンパイルされているJavaソース全ての平文ものと入れ替えた。

  パッチングの後、SMS送信ルーチンはclass SmsManagerとそのgetDefault method/functionのハンドリングを獲得し、その後、SmsManager classのsendTextMessageファンクションを使用するため、起動/コールされるか、適切に初期化される必要がある:

FakeNotify, update decoded

  確かに、私がAndroidマルウェアによりJava Reflection機能が使用されるのを見たのは、これが初めてではないし、ストリングの難読化は複雑ではない。しかしこれはAndroidマルウェアの開発者が自分達の「製品」を最新にし、検出されないようにするため、その技術を次々と適応させ、アップグレードする方法のかなり明快な例と言える。

Threat Solutions post by — Jessie

2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳)

遅ればせながら、2011年11月29日にフィンランドの本社が発表したニュース "A Growing and Diverse Device Market Presents New Security Challenges in 2012" を翻訳してみました。(注: 一部超訳してあります)

20111213_blog


続きを読む

「Trojan:Android/SMStado.A」と「Trojan:Android/FakeNotify.A」

  今日我々は、二つのAndroid向け課金型SMSトロイの木馬に遭遇した。偶然にも、どちらもロシアのユーザを標的にしたものだ。

  最初に、「Trojan:Android/SMStado.A(SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087)」について。

  通常通り、その性質に関する最初のヒントとなるのは、リクエストされるパーミッションだ:

trojan_android_smstado_a_permission_1 (80k image) trojan_android_smstado_a_permission_2 (64k image)

  実行すると、同トロイの木馬はhttp://[...]6.antiddos.bizに対して以下の詳細をリークする:

  •  国際移動体装置識別番号(IMEI)
  •  パッケージ名
  •  電話番号
  •  端末モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image) trojan_android_smstado_a_run_2 (58k image)

  これらの詳細は、アプリ・パッケージのres\rawフォルダにも保存される。

  さらに、同アプリが実行される際、ユーザがスクリーン下部のボタンをクリックすると、SMSメッセージが指定された課金型の電話番号に送信される。これまでのところ、すべての番号がロシアの国別コード(特にモスクワエリアのものが多い)を使用している。SMSメッセージにはすべて、以下のテキスト文字列が含まれている:

  •  hm78929201647+1188+51+0+1+b92be

  このトロイの木馬はリモートサイトから、「love_position_v1.5.0.apk」という名のパッケージもダウンロードする:
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

  我々のテストでは、解析エラーのため、ダウンロードされた電話上ではサンプルが動作しなかった:

trojan_android_smstado_a_download_error (22k image)

  しかし、ダウンロード・パッケージを別の、クリーンなテスト用電話機で独立して分析したところ、こちらは起動の際、バックグラウンドで悪意あるサービスも開始するという違いはあるが、「Trojan:Android/SMStado.A」とほとんど同じふるまいをすることが分かった:

trojan_android_smstado_a_service (96k image)

  次のマルウェアは「Trojan:Android/FakeNotify.A」だ。

  これはアップデート通知アプリケーションを装う。以下はアプリが使用するパーミッションと、端末にインストールされる際の様子だ:

trojan_android_fakenotify_permissions (83k image) trojan_android_fakenotify_downloaded (114k image)

メモ:「Stados.A」「FakeNotify.A」のどちらも同じ名前(установка)だが、Google Translateによれば、これは「インストール」という意味だ。アプリを名付けるのに、これらマルウェアの亜種間の関係を示すよりも、一般的な言葉が用いられたということが示されているのだろう。

  いったんインストールされ、実行されると、ユーザの興味をひくために人気のあるモバイルゲームの名を使用して、アプリケーションのダウンロードにユーザの許可を得るメッセージが表示される:

trojan_android_fakenotify_download_ui (36k image)

  「next」ボタンをクリックすると、バックグラウンドでFakeNotifyが直ちに3組のSMSメッセージを送信する。メッセージは、ロシアの課金型の電話番号に送信され、以下のフォーマットのテキスト文字列を含んでいる:

  •  [24 digit string].1/316623

  使用されたSMSの詳細は、アプリケーションから埋め込まれたデータベースファイルに由来する。

  他方でユーザが、アプリケーションのダウンロードを見ることは無い。その代わり、別のスクリーンが表示され、悪意あるものである可能性のある、もっと多くのアプリを提供するWebサイトに導く:

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ:

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

ミッコ・ヒッポネンが来日 @PacSecJP

  最近TEDGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。

  先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。

  アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか? 


  ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。

続きを読む

我々が「RSA」のハッキングで使用されたファイルを発見した方法

  3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。

  現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラマンに侵入し、軍事機密を盗みたかったというものだ。しかし、目的は達成されなかった。両社がネットワーク認証にRSA SecurIDトークンを使用していたためだ。そのためハッカーたちは、標的型の電子メール攻撃でRSAに侵入した。彼らはバックドアを設置し、最終的にSecurID情報にアクセスし、もともとの標的に戻って、侵入することに成功した。この攻撃の結果、RSAは世界中の顧客のため、SecurIDトークンを交換することを余儀なくされた。

RSA / EMC hack

  我々は4月には既に、同攻撃がEMCの従業員たち(EMCがRSAを所有している)への標的型電子メールにより開始されたこと、そしてそのメールには「2011 Recruitment plan.xls」という添付ファイルが含まれていたことを知っていた。RSAはこの情報を、彼らのブログの記事で明らかにした。問題は、我々がそのファイルを持っていなかったということだ。持っている人はいないようで、アンチウイルスリサーチャのメーリングリストは、どこでそのファイルが入手できるかという議論で持ちきりだった。誰もファイルを入手できず、結局、議論は終息した。

  このことがTimo Hirvonenを悩ませた。Timoは我々のラボのアナリストで、このファイルを見つけられると確信していた。4月以来2、3週間ごとに、Timoは我々が持つ何千万ものマルウェアファイルのコレクションをチェックし、このファイル一つを見つけるべく吟味し続けたが、幸運には恵まれなかった。

  TimoはFlashオブジェクト用のサンプルを分析するデータ解析ツールを書いた。我々は問題のXLSファイルが、システムを乗っ取るのにFlashオブジェクトを使用していることを知っていた。新ツールはいくつかの関連サンプルを探し出した。しかし、その中の一つはExcelファイルではなかった。それはOutlookメッセージファイル(MSG)だった。それを開いた時、Timoは思い当たることがあった。このメッセージファイルは、3月3日にRSAに送られたオリジナルのメールで、添付書類「2011 Recruitment plan.xls」を備えていることが分かった。

  5カ月後、我々はついにファイルを手に入れた。

  そしてそれだけでなく、オリジナルのメールも手に入れた。誰かが(おそらくはEMC/RSAの従業員)が3月19日に、Virustotalオンラインスキャニングサービスに電子メールと添付書類をアップロードしていたことが分かった。そしてVirustotalの規約にある通り、アップロードされたファイルはアンチマルウェアやセキュリティ業界の関係者に共有される。それゆえ、我々は皆、既にこのファイルを持っていたのだ。我々はそうとは知らず、何百万ものサンプルの中からそれを見つけることができなかった。

RSA / EMC hack
このサンプルは「file-1994209_msg」として、3月19日にアップロードされた。

  では、このメールはどのようなものだったのか? これはリクルートサイト「Beyond.com」から送られたように見える、なりすましメールだった。サブジェクトは「2011 Recruitment plan」で、「検討のためこのファイルを送ります。開いて見て下さい。」という1行が本文だ。
  このメッセージは1人のEMC職員宛てに、3名に対してCcされて送信された。

RSA / EMC hack

  以下はXLS添付ファイルを開いた時の様子だ:

RSA / EMC hack

  以下はこの悪意あるExcelファイルを開くと、何が起こるかを見せるYouTubeビデオだ。



  このビデオでは、我々がこのメールをOutlookで開き、添付ファイルを実行しているところが見られる。組込型Flashオブジェクトは、スプレッドシートでは[X]マークで示されている。FlashオブジェクトはExcelにより実行される(一体どうしてExcelが組込型Flashをサポートしているのかは全く疑問だ。)Flashオブジェクトは次に「CVE-2011-0609」脆弱性を利用し、コードを実行してシステムにPoison Ivyバックドアをドロップする。このエクスプロイトコードは次にExcelを閉じ、感染が終了する。

  その後、Poison Ivyが「good.mincesur.com」のサーバに接続する。「good.mincesur.com」というドメインは、長期間にわたって似たようなスパイ攻撃で使用されている。

RSA / EMC hack

  いったん接続されると、攻撃者は感染したワークステーションに完全なリモートアクセスが可能になる。さらに悪いことに、ユーザがアクセスできるネットワークドライブにもフルアクセスが可能だ。どうやら攻撃者たちは、探しているSecurIDデータにアクセスできるまで、このベクタを利用することができる。

  攻撃電子メールはそれほど複雑には見えない。実際、非常にシンプルだ。しかし、Excel内のエクスプロイトはその時点でゼロデイで、RSAはシステムにパッチを当てて保護することができなかった。

  では、これは高度な攻撃だったのだろうか? 同メールは高度ではない。ドロップされたバックドアは高度ではない。しかしエクスプロイトは高度なものだ。そして攻撃者の最終的な標的も高度だ。何者かがセキュリティベンダの顧客のシステムにアクセスするため、ベンダをハッキングするなら、間のステップにそれほど複雑でない部分があったとしても、我々はその攻撃を高度なものと言いたい。

  Timoは10月に実施される「T2 Data Security」カンファレンスで、このトピックに関するリサーチについて、「RSAはいかにして侵入されたか」というタイトルで講演を行う。

t2.fi

PS. 現在もサンプルを探している方へ:
MD5 of the MSG file: 1e9777dc70a8c6674342f1796f5f1c49
MD5 of the XLS file: 4031049fe402e8ba587583c08a25221a


インターポールサイバーセキュリティトレーニング

今年はウィーンで行われたFIRSTカンファレンスに初めて参加してきました。
毎年参加されている方に話を伺ったところ昨年まではあまり耳にすることがなかったそうですが、今年は非常に多くのセッションで繰り返し出てくる単語がありました。

「インターポール」

このことは最近のサイバー犯罪が国際化しており、一国の警察機関だけでは対応することが難しいということを如実に物語っています。また、手をこまねいているだけではなく、少しずつではありますがインターポールを中心として国際的なサイバー犯罪の検挙に動き出していることの現れでもあるでしょう。

そんな中、7月6、7日にシンガポールにて第1回インターポールサイバーセキュリティトレーニングワークショップが開催されました。インターポール関係者の知識、スキル向上を目的として約20カ国から警察関係者が集まりました。

interpolTraining

私が所属するサイバーディフェンス研究所ではそのうち1日半の時間を頂き、ネットワークセキュリティ、Webセキュリティ、インシデントレスポンス、マルウェア解析、フォレンジックなどのトレーニングを行いました。

トレーニングの理解度を確かめるためのチェックはCTF形式のハンズオン(問題を解くと得点が加算され、ランキングが表示される形式)で行いました。皆さんとても熱心に取り組んでおり休憩時間返上で課題に挑戦する姿も多く見られました。

今後もサイバー犯罪に対処していく上で、インターポールの重要性がますます高くなることは間違いありません。インターポールの活躍を心より期待しています。

関連記事:Tackling cyber security threats focus of INTERPOL workshop
http://www.interpol.int/Public/ICPO/PressReleases/PR2011/News20110707.asp

eEye Digital Security & SCS & FFR

鵜飼です。

日本に帰国して早4年経ちました。
長かったのか短かったのかよく分かりませんが、やはり今となってはアメリカに住んでいた頃が遠い昔のようです。

アメリカではeEye Digital Securityに4年ほど勤め、脆弱性スキャナRetinaの開発やセキュリティ脆弱性関連の研究に従事していました。当時の仲間とは今でも時々連絡を取り合っていたのですが、このたび、eEye Digital Securityと、Retinaの国内展開でご一緒させて頂いていた住商情報システム様と共同で、セミナーを開催する事になりました。私としてはとても懐かしく思うと同時に、この4年間でそれぞれ色々な新しい動きがある中での共同企画は、とても新鮮な気がしています。

本セミナーでは、eEye RetinaとFFR yaraiの連携ソリューションを発表予定です。脆弱性マネージメントにかかるコストを削減しつつ、安全な環境を作るための仕組みを実現するためのものなのですが、今回、本ソリューション発表に加えて、eEye Digital SecurityのCTO、Marc Maiffretから「ワールドワイドでのハッキングトレンド最前線」と題して講演が行われます。また、弊社からは私と村上による「Inside Android Security 〜 内部構造から探るAndroidの脆弱性攻撃とマルウエア脅威」と題してAndroidセキュリティに関する研究成果を発表します。今回発表させて頂く研究成果は脆弱性マネージメントに直接関係する話題ではありませんが、Android端末を解析して分かったセキュリティに関する状況や対策等についてお話する予定であり、Android端末の利用において知っておくべき事実やポイントをいくつかご説明致します。

もしご興味ございましたら、是非、以下よりお申込み頂ければと思います。

http://www.scs.co.jp/event/2011/0726_648_hacking_measures/

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※

震災情報を装ったウイルスメールの犯人を追う

東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。
攻撃の流れはだいたい以下のようになっています。

outline

添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。
この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。

痕跡1: WORDファイルのフォント
マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていました。

simsun

痕跡2: 攻撃コードファイルのプロパティ
プロパティには日本語ではない漢字が使われていました。

property2

痕跡3: 攻撃コードファイルの言語情報
言語情報は英語でも日本語でもありませんでした。

property1

痕跡4: 実行ファイルの証明書情報
実行ファイルに偽物の証明書がついていましたが、署名者名はKingsoftとなっていました。

cert1

痕跡5 : 検知するアンチウイルスソフトの種類
アンチウイルスソフトが動作しているかをチェックしていますが、以下がチェックするアンチウイルスソフトの種類です。いくつかのメジャーなアンチウイルスソフトが抜けている代わりに、聞いたことのないものがいくつか入っています。明らかに偏りがあるのがわかります。

country

痕跡6: データ収集用サーバのOS
キーロガーなどを使って盗んだ情報を送信する先のサーバのOSは以下のようになっていました。

os

すでにお分かりのとおり、共通点は「中国」です。
このキーワードは本ブログでも何度も登場しており、特にAurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど、今最も注目されているキーワードでしょう。

CDI-CIRTとして今回のマルウェアを作成した犯人がいると思われる国と情報収集用サーバをホスティングしている国のCERT機関に連絡、技術提供を行い事件解決に努めています。

「MBRファイルシステムインフェクタ」の分析

  Portable Executable(PE)ファイルインフェクタウイルスを見かけることは非常に良くあることだ。RAWファイルシステムを経由したファイルインフェクタ、このケースでは「Master Boot Record(MBR)ファイルシステムインフェクタ」は、もう少し珍しい。

  これには、PEインフェクタの方が作成の厄介さが少なく、そしてより強固で、開発やコントロールがより容易だからという理由もある。対照的にMBRインフェクタはより複雑で、サイズは62セクタ(7C00H)に限定されている。またエラーの余地も少ない。すなわち、MBRファイルシステムインフェクタでの小さなミスやバグは、システムを起動不能にするのだ。

  よって、いくつかの無料ファイル共有ネットワークによって配布されているらしい「Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)」のようなMBRファイルシステムインフェクタは、一つのPortable Executableシステムファイルを標的にしているだけであっても、そしてその感染が一般のウイルスファイルインフェクタと比較して単純であっても、迅速に分析することは価値があると思われる。

  「Smitnyl.A」は最初に、RAWディスクアクセスを介してMBRを感染させる。次にそれを、ファイルインフェクタルーチンを含む悪意あるMBRで置き換える(セクター32に保存される)。

画像1&2:オリジナルのMBRを上書き。パート1(上)とパート2(下)
1: Overwriting original MBR

2: Overwriting original MBR

  なぜMBRファイルシステムインフェクタなのか? おそらくは、それがWindows File Protection(WFP)をバイパスすることができるからだろう。WFPはプロテクトモードで動作しているので、もし置き換えられれば、すべてのWFP保護ファイルは即座にリストアされる。

  インフェクタペイロードがサイズA00Hでセクタ39から開始される一方で、オリジナルのMBRはセクタ5に保存される。このペイロードは、Windowsのクリティカルシステムファイル「userinit.exe」に上書きされる。

画像3&4:16進法による感染したMBR(左)とオリジナルのMBR(下)
3: Hex view of infected MBR

4: Hex view of original MBR

画像5:16進法によるMBRファイルシステムインフェクタルーチン
5: Hex View MBR File System Infector Routine

画像6:16進法によるUserinitインフェクタペイロード
6: Hex View Userinit Infector Payload

  なぜ「Userinit」なのか? おそらくは、システムがスタートすると自動的にローンチされるプロセスの一つであり、システムスタート時にマルウェアが自動的に実行可能になるためだろう。

  「Smitnyl」はブートシーケンスの最初のステージから、Userinitを感染させる。これはMBRが0x7C00にロードされる際、パーティションテーブル、さらにはブートセクタのstarting offsetからアクティブパーティションを測定する。

  次にマシンのファイルシステムタイプをチェックする:

画像7:ブートセクタタイプの測定
7: Determine Boot Sector Type

  NTFSファイルシステムが見つかれば、マスタファイルテーブル(MFT)を解析し、(MFTが正しく解析されると仮定して)ディスク内の「Userinit」の生データを確定するため、$ROOT (.)ファイルレコードの属性を読んで$INDEX_ALLOCATION属性を探す。「Smitnyl」は、userinit.exeが置かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

画像8&9:Userinit.exeの位置を特定する。パート1
8: Locate Userinit.exe, Part 1

9: Locate Userinit.exe, Part 1

  このマルウェアは、userinit.exeファイルを見つけるのに「get_userinit_data_content_addr」ルーチンを使用し、次にExtended Write Function(ファンクションナンバー ah = 43H)を使用して、セクタ39でインフェクタペイロードを書き込む。userinit.exe感染ルーチンの間、同マルウェアはoffset 0x28で感染マーカの存在も(後からより詳しく)チェックする。

画像10&11:Userinit.exeの位置を特定する。パート2
10: Locate Userinit.exe, Part 2

11: Locate Userinit.exe, Part 2

  マシンが感染したMBRとともに、うまくブートされると、userinit.exeは感染され、自動的にローンチされるはずだ。感染したuserinit.exeを確認する一つの方法は、ファイルプロパティのチェックだ:

画像12&13:userinit.exeプロパティ。オリジナルと感染したもの
userinit.exe Properties, original userinit.exe Properties, infected

  幸いなことに、違いはかなり明白だ。

  16進表示で、感染したファイルを見てみよう:

画像14:感染したUserinit
14: Infected Userinit

  インフェクタルーチンが、感染させる前に感染マーカ0x55AAをチェックすると指摘したことを思い出されるだろうか? ではこれが実行される際、何をしようとするのだろうか? 主要なペイロードはセクタ45にある、エンコードされた実行ファイルをローンチすることだ:

画像15:セクタ45のエンコードされた実行ファイル
15: Encoded Executable File at Sector 45

  これはデコードを開始し、最終ペイロードをローンチする前に、いくつかの準備を行う:

  •  360safeアンチウイルスの存在をチェックする。もし見つかれば、360safe IEブラウザプロテクションが無効にされる。

画像16:360safe IEプロテクション・レジストリキーチェック
16: 360safe IE Protection Registry Key Checking

  •  仮フォルダに偽のexplorer.exeを作成する。これは、デコードされた実行ファイルだ。

画像17:デコードされた実行ファイルによる偽Explorer
17: Fake Explorer with Decoded Executable

画像18:デコードされた実行ファイルによる偽Explorer
18: Fake Explorer with Decoded Executable

  •  デコーディング後、ShellExecuteを使用して「%temp%\explorer.exe」がローンチされる。これは感染を隠すデコイとして用いられる。同時に、「Winexec」を使用して本物の「explorer.exe」が実行される。

偽の「explorer.exe」を実行し、オリジナルの「explorer.exe」をローンチ
19: Execute fake explorer.exe and launch original explorer.exe

  準備が終了すると、ペイロードがローンチされる。

画像20:最終ダウンローダペイロード
20: Final Downloader Payload

  幸いにも、この最終ペイロードには何ら特別なところは無い。単なるダウンローダだ。感染した「userinit.exe」は、360safeのIEブラウザ保護を無効にし、それによりダウンローダがリモートサーバー「http://[...]」からファイルを取り出すことが可能になる。

投稿はLow Chin Yickによる。

A HAPPY NEW YEAR 2011

新年あけましておめでとうございます!本年も何卒よろしくお願い申し上げます。続きを読む

ついに・・・

発売になります。マルウェア解析本。

00


12月22日の発売を前に『アナライジング・マルウェア』出版記念トークイベントを開催します。
こちらでイベントの参加登録ができます。著者陣の講演に加え、展示即売会がありますので、
発売前に入手できます。ご興味ある方は是非ご参加ください。どうぞよろしくお願いします。

FIRSTカンファレンス - キーワードはAPT、DNSSEC、クラウド

今回のカンファレンスのキーワードは、次の3つでした。

Advanced Persistent Threat (APT)
・DNSSEC
・クラウド・セキュリティ

昨年とは異なり、ハンズオンによるトレーニングは全く無いもので、インシデントの分析結果の共有やアイデアの発表などがメインでした。特にカンファレンス前半はAPTの話題で盛り上がったように思います。

「ソーシャル・エンジニアリング」や「マルウェア」等の脅威は依然増すばかりであり、その対策は急務とのことですが、簡単にはいかないようです。検出のために、組織内のネットワーク・モニタリングが重要になってくるということ。聞いている限りでは、ある程度の作り込みが必要かなぁ・・・と感じました。

次にDNSSECはDNSを狙った攻撃事例や今後考えられる脅威の再認識と、それらに対する対策案が示されました。「中国」というキーワードは、世界のどこへいっても注目の的です。(笑)

3つ目にクラウド・セキュリティに関してですが、中でも興味深かったのは、クラウド環境でのインシデントレスポンス(IR)、フォレンジックに関するものです。仮想環境を構築し、数万台のPCを運用することを前提にした場合、そのハードディスクの容量は膨大なものとなります。同様にメモリも数十GByte、64Bitシステムが基本となります。このような環境下で、注目されてくるのがネットワークトラフィックとメモリダンプです。

実はクラウド以外でも、海外のIR製品を見ていますと、HDDと揮発性情報の双方を解析する手法は以前より随分定着してきているように感じました。しかし、まだまだ課題は多いのが現状のようで、技術面、法律面等含め時間がかかりそうです。


もしかしたら、「ガンブラーはどうした?」という方もいらっしゃるかと思いましたので、他国の参加者に聞いてみました。残念ながら誰も知らず、お隣韓国のウイルスベンダーの方も初めて聞いたと言っていました。日本固有の問題と言われても仕方ないようですね・・・

地域毎に問題視されているセキュリティ事情は随分異なります。これらの話が聞けるのが海外カンファレンスの特徴かと思います。特にFIRSTカンファレンスは、一般的に非公開な情報が聞けることが特徴です。

インシデント・ハンドリングされる方には興味深いものかと思います。近くで開催される際には、参加されてみては如何でしょうか。

ちなみに、来年は遠い(オーストリア)です・・・。

FIRSTカンファレンス in MIAMI(前日編)

休日らしい、まったりした投稿をしたいと思います。

6月〜8月はセキュリティ関連のカンファレンスが多く開催される季節です。今回はFIRSTカンファレンスへの参加のため渡米しています。(催し物関連の書込みが続き申し訳ありません)

最近のFIRSTカンファレンスは組織的な話からマネジメント、テクニカルな話まで幅広いのが特徴です。テクニカルな面では、解析関連の話が多く取り上げられています。

今年は米国ということもありましたので、カンファレンスの前に、CSIRT仲間とNRIセキュアテクノロジーズ北米支店(San Mateo)へお邪魔しました。目的は情報交換会です。

CSIRT関連の情報交換会は、大体次のような内容が多いです。
・この間、こんなこと調べたら大変だったんだよ!
・お隣の国は色々動いているらしいぞ!
・最近、こんなインシデントがあったよ!
※詳細は残念ながら書けません。申し訳ありません。。。

これら最近のサイバー攻撃のトレンドを踏まえ、今まで以上に各CSIRTが密接な関係を構築していくことが重要課題であることを再認識して終わったと記憶しています。
(すみません。時差ぼけで記憶が一部とんでます。)

会議の様子はこんな感じでした。
nri_2010_1
居てはイケナイ人もいるかもしれませんので、一応目隠し付きです。(笑)

ちなみに、NRIセキュアテクノロジーズ北米支店の窓から見える景色はとってもキレイでした!
気持ちよく働けそうな環境でした。

nri_2010

次回はFIRSTカンファレンスの様子を投稿したいと思います。(多分)


リバースエンジニアリング本

オライリージャパン宮川様より「リバースエンジニアリング――Python によるバイナリ解析技法」を献本いただきました。本書はGray Hat Python(Justin Seitz著)の日本語版で、DebuggerやFuzzerなどの基本原理や構築方法がPythonのサンプルコードとともに解説されています。技術監修はラック社の中津留さんです。
本ブログの読者の方々、特にリバースエンジニアリングに少しでも興味のある方は、まさに本書の対象読者でしょう。以下目次です。いかがでしょう?ちょっと読みたくなってきませんか?

1章 開発環境のセットアップ
2章 デバッガの基本原理
3章 Windowsデバッガの構築
4章 PyDbg―ピュアPythonのWindowsデバッガ
5章 Immunity Debugger―両方の世界をまたにかけ
6章 フック
7章 DLLインジェクションとコードインジェクション
8章 ファジング
9章 Sulley
10章 Windowsドライバのファジング
11章 IDAPython―IDA Proでのスクリプティング
12章 PyEmu―スクリプティング対応のエミュレータ

本書は/ART/OF/REVERSINGシリーズ3部作の第一弾で、第二弾は来月2日発売予定の「デコンパイリングJava――逆解析技術とコードの難読化」です。そして第三弾は今秋発売予定の新井悠、岩村誠、川古谷裕平、青木一史、星澤裕二による「アナライジング・マルウェア――フリーツールを使った感染事案対処(仮)」です。そうです、筆者も執筆陣に加えていただいております。というわけで、ただ今鋭意執筆中。

鵜飼裕司さん:エフセキュアブログメンバーご紹介

高間さん星澤さん岩井さん福森さん、 そして片山さんにつづいて、 また、エフセキュアブログの新しいオフィシャルコメンテータをご紹介いたします。

セキュリティ研究者として活動されている鵜飼裕司さんに、本日から当ブログのオフィシャルコメンテータとしてご参加いただけることになりました。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、鵜飼さんのご紹介を申し上げたいと思います。

連休前の4月の初旬に、神楽坂の鵜飼さんのオフィスでお話をお聞きすることができました。

●鵜飼裕司さん

鵜飼 裕司(うかい ゆうじ)
株式会社フォティーンフォティ技術研究所 代表取締役社長



専門領域:
セキュリティ脆弱性、Exploiting、Malware解析手法、組み込みシステムセキュリティ

経歴:
2003年渡米。カリフォルニア州 eEye Digital Security社に入社。セキュリティ脆弱性分析や脆弱性診断技術、組み込みシステムのセキュリティ脅威分析等に関する研究開発に従事。2007年7月、セキュリティコア技術に関する研究、コンサルティングサービス、セキュリティ関連プロダクトの開発・販売を主事業とする株式会社フォティーンフォティ技術研究所を設立。代表取締役社長。

セキュリティの情報源としているブログ、Webサイト:
セキュリティホールmemo
cNotes
Handler's Diary
FFR Blog

フリーコメント:
セキュリティ技術のR&Dに特化した諸々の仕事をしています。日本発のセキュリティR&Dに関する情報をお届けしたいと思います。

趣味:
ゴルフ

GoogleのBuzz、悪い宣伝などというものは無い…

Google Buzz  どうしてプライバシー問題とGoogle Buzzに関して、非常に多くの誇大宣伝がなされているのか、どなたか説明して頂けないだろうか?

  Buzzは、より限定した広告で皆さんをターゲットとするため、皆さんのメッセージを読む(すなわち解析する)メールサービスを、Gmailに組み込むものですよね? Gmailが開始された時、この解析について出された異議を思い出す。皆、それを忘れてしまったのだろうか? 再び同じ事が繰り返されているのではないのだろうか?

  Googleがこんなにも攻撃的に、Buzzに自動共有機能を展開したことに、どなたか本当にそれだけ驚かれた方はいるだろうか?

  これは、どちらにころんでも有利な状況に思われる。Googleは最小限の異議を受けるだけでBuzzをローンチするか、あるいは、報道されたプライバシー問題を「修正」している間に、彼らが多くの無料広告を受け取るか、どちらかなのだから。GoogleによるBuzzのローンチは、間違いなくマスコミに顕著な騒ぎ(Buzz)を引き起こした。

  それはこの検索界の巨大企業にとって、究極的に重要なことだ。なぜなら、彼らが自分たちのサービスからのシェアを推奨しなければ、Facebookのようなプロバイダに将来の収益を奪われることになるからだ。

  実際、Facebookは既に、オンライン調査会社のHitwiseによれば世界最大のニュース・リーダーだ。最近のFacebookのトップページのアップデートで、検索フィールドがスクリーンの中央に移動されたことに言及しないわけにはいかないだろう。すべて関連しているのだ。

  「共有」は、将来の検索ビジネスの源であり、プレイヤーたちは戦闘を開始している。皆さんのプライバシーは、そのままにしておけば危険にさらされることになる。これはトレードオフの問題だ。皆さんが無料のサービスを利用して、完全なプライバシーを得ることは無い。自分の情報の一部を、強化されたサービスに対して提供するか、利用しないかのどちらかだ。

  覚えておいて欲しい。Googleは皆さんの友人ではない。ビジネスなのだ。

  皆さんが本当にプライバシーを必要とするなら、Gmail(そしてWebベースの他の無料ソリューション)の他に、何か別の物を使うことだ。電子メール・サービスのために料金を支払っている人もいる。年に20ドルくらいで、よりセキュアなサービスを利用できる。そしてプライバシーについて考えるなら、それは安いと言える。

間違いだらけのGumblar対策

Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか?
A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。
修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性もありますので、数年間はAdobeのJavaScriptは無効のままにしておいたほうがいいと思います。

Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A. 細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。

Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。

Q. FTPのパスワードを変更すれば大丈夫ですか?
A. 新しいパスワードでログインするときに再び盗まれます。まず、現在感染していないかを確認してください。

Q. プライベートアドレスを使っていれば、バックドアには入られませんか? または、ファイヤーウォールで内向きの通信を遮断しておけば大丈夫ですか?
A. 違います。バックドアへの命令は外向きの通信のレスポンスの中に書かれているものもありますので、インターネットにアクセスできる環境であればバックドアの脅威があります。

Q. バックドアで何をされるのですか?
A. 任意のコマンドを実行できるようになっていますので、被害者のコンピュータから情報を盗んだり、攻撃の踏み台に使われたりする可能性があります。

Q. 更新料のかかるウイルス対策ソフトを使っていれば大丈夫ですか?
A. 残念ながら違います。亜種が出てからウイルス対策ソフトが対応するまでに少し時間がかかりますので、その間を狙われます。

Q. 一度ウイルスを検知した気がしたのですが、もう一度アクセスすると検知しませんでした。最初のは気のせいですか?
A. 違います、一度目はウイルスを検知している可能性があります。Gumblarは解析されるのを防ぐため、一度ダウンロードされたIPアドレスからは二度とダウンロードできないようになります。最初のアクセスの時にウイルスがダウンロードされたので、二度目のアクセスの時にはダウンロードされなかったのだと思われます。ちなみにこのような耐解析機能を持つのはGumblarだけというわけではありません。

Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウンロードされてないのですから検知しないのは当然です。)しかし、Webページには変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソフトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者としては変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になっています。

Q. Webサイトが安全かどうかをチェックしてくれるサイトを使って調べれば大丈夫ですか?
A. これも上記の耐解析機能により、チェック元のIPアドレスからはすでにダウンロードできなくなっている可能性が高いです。つまり、ある環境から見て安全だったからといって、別の環境から見ても安全だとは限りません。

Q. ライセンスがGNU GPLからLGPLに変わったそうですが、具体的には何が変わるのですか?
A. 何も変わりませんので、無視してください。ただ、LGPLだと検知できないウイルス対策ソフトもあるみたいです。

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。
その後は、
・OSやインストールされているソフトウェアを最新版にする
・ゼロデイ情報に注意し、暫定対応を実施する
ということになります。

福森大喜さん:エフセキュアブログメンバーご紹介

高間さん星澤さん岩井さんにつづいて、Webアプリケーションセキュリティの専門家でいらっしゃる福森大喜さんに、先月から当ブログのオフィシャルコメンテータとしてご参加いただいております。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、福森さんのご紹介を申し上げたいと思います。

11月下旬、神田の福森さんのオフィスでお話をお聞きしました。

●福森大喜さん

福森 大喜(ふくもり だいき)
株式会社サイバーディフェンス研究所 上級分析官

大手セキュリティベンダーでIDS、IRT等に従事した後、Webアプリケーションのセキュリティ検査サービスを立ち上げる。その後、Webセキュリティベンチャーを設立。2009年よりサイバーディフェンス研究所に参加。


専門領域:
Webセキュリティ、ペネトレーションテスト、マルウェア解析

受賞:
2007年 第3回 IPA賞(情報セキュリティ部門)
2009年 グーグル Native Client セキュリティコンテスト 世界4位

寄稿記事:
ここが危ない!Web2.0セキュリティ」 (gihyo.jp)
セキュリティから読み解くWeb2.0」 (警察庁@police)
いざラスベガス、いざDEFCON CTF決勝へ」 (@IT)
など

講演実績:
2007年4月12日 セキュリティ・ソリューションフォーラム(「Web 2.0は危険がいっぱい」)
2007年4月26日 RSA CONFERENCE JAPAN(「Webセキュリティはなぜ破られるのか」)
2008年10月11日 AVTokyo 2008(「Flashを媒介したXSSワームの可能性」)
2007年11月15日 POC Korea 2007(「Attacking Web 2.0」)
2008年11月 Email Security Expo & Conference 2008(「SQLインジェクションの基本と応用」)
2009年4月22日 Shibuya Perl Mongers テクニカルトーク(「Native Client Hacks」)
など
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード