エフセキュアブログ

拡張子 を含む記事

TeslaCryptの要約

 2年前、ランサムウェアについての一連のブログ記事を公開した折には、活発なランサムウェア・ファミリーは一握りしかなかった。しかしながら今年は、ランサムウェアがサイバー犯罪者達を熱狂させる最新の流行マルウェアとなった。

 そのため、我々は当社の若きTET(訳注:後述)の生徒Miroに、ランサムウェアの歴史、とりわけTeslaCryptの歴史についての短いレッスンを受けさせようと考えた。なぜならTeslaCryptは、いまだに流行っている、比較的「古い」ランサムウェアの1つだからだ。

 以下は、その彼の研究結果だ。


 TeslaCryptはランサムウェア・ファミリーに分類される。ランサムウェアが被害者のコンピュータに侵入すると、被害者のファイルを暗号化する。サイバー犯罪者たちが求めるもの、つまり金を得るまでは、暗号化したファイルはそのままだ。

 TeslaCryptは支払い方法としてBitcoinに加え、初めてPayPal My Cash Cardを追加したものの1つだ。

 TeslaCryptは通常のドキュメントや画像のファイルを暗号化するだけでなく、ビデオゲーム関連のファイルも標的にすることで知られるようになった。とりわけCall of Duty、Minecraft、League of Legends、Steamに関連付けられたファイルだ。

 これまでのところ、TeslaCryptには4つのバージョンがある。2015年2月に最初に発見され、最新のものは2016年3月に特定された。

 最初のバージョンでは、RSA-2048を用いていると称していたが、実際には暗号化方式としてAESを使用していた。暗号化されたファイルの名前には、.ECCという拡張子が付けられた。

Your presonal files are encrypted!

What happened to your files?

 TeslaCryptの2つ目のバージョン、つまりTeslaCrypt 2.0は、2015年7月辺りに出現した。同バージョンでもやはりAESを用いているのにも関わらず、RSA-2048のアルゴリズムを採用していると主張していた。暗号化されたファイルの拡張子は変更され、たとえば.VVVや.ABCといったものになった。身代金の要求も変わった。HTMLページ、テキストファイル、壁紙またはフォトギャラリー中の画像の3つの異なるフォーマットで提示される。この2つのバージョン間の違いは、文章だけでなく脅迫メッセージの外観に見て取れる。読みやすくするために、タイトルと章が追加された。新たな身代金の要求では、支払いまでの残り時間のカウントダウンも削除された。

TeslaCrypt 2 - What happened to your files?

 TeslaCrypt 3.0は2016年1月に発見された。TeslaCrypt 3.0では暗号化にRSA-4096を用いていると主張しているが、やはり依然としてAESを使用している。しかしながら、このバージョンでは暗号キー交換アルゴリズムは異なるものを使用しており、暗号を破るのが一層困難になっている。このバージョンでのもう1つの違いは、暗号化されたファイルの拡張子に.MP3、.XXX、.TTT、.MICROが使用される点だ。HTMLの脅迫メッセージはTeslaCrypt 2.0と同じだが、テキストファイルのフォーマットが以下のように多少変更になった。バージョン3.0ではGoogle Translateへのリンクが含まれており、「What does this mean」という行が削除された。

TeslaCrypt 3 - What happened to your files?

 TeslaCrypt 4.0はTeslaCryptランサムウェア・ファミリーの最新版だ。これは2016年3月前後に初お目見えした。同バージョンとそれ以前のバージョンとの最大の違いの1つは、4.0では暗号化されたファイルの拡張子に.VVVや.MP3といったものを使わないことだ。また、以前のバージョンでは、4GBを超えるファイルを暗号化する際に破損してしまうというバグがあった。最新バージョンではこのバクは修正されている。被害者のコンピュータに関するさらなる情報を探ろうと試み、犯罪者のネットワークへ情報を送信することもする。

 TeslaCrypt 4.0もやはり暗号化にRSA-4096を用いていると主張しているが、依然としてAESを使用している。身代金の要求の外観には変化はないが、TeslaCrypt 4.0と3.0で中に書かれた文章には相当な数の違いがある。たとえば3.0では「What happened to your files」と書かれているが、4.0では「What’s the matter with your file」だ。TeslaCrypt 4.0ではまた、バージョン2.0から「What does this mean」という行を戻している。

TeslaCrypt 4 - What's the matter with your files?

その他の情報源:


記述および調査:Miro Ikaheimonen


 著者によるメモ:私はフィンランドのヘルシンキにいる中学生で14歳です。エフセキュア社で5日間のTET(Tyoelamaan tutustuminen、訳注:フィンランドのインターンシップ制度)プログラムを行っている最中です。なぜ、エフセキュアを選択したのでしょうか?通信技術に興味があったのと、学校のプロジェクトでミッコ・ヒッポネンにインタビューする機会もあり、エフセキュアのマルウェアとの戦いに興味を抱くようになったためです。ここでは楽しい時間を持ち、マルウェアについての新しい内容をたくさん、特にランサムウェアとそれと戦うことについて学びました。

Miro

PowerShellを悪用したマルウェアが徐々に増加の予感!?

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。

shortcut with powershell

その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル(.ps1拡張子)の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

ランサムウェアの密かな流行の背景

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例1)
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

ransomeware_custom

例2)
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額(米国ドル)や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。(src拡張子)
マルウェア自体はCryptoLockerとよく似た動作(標的端末上のファイルの暗号化)をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
#F-Secure での検出は確認しています。

tox


これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
#例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス(ちゃんと動作します)を利用しない
(機微情報を含む業務ファイル等を提供することになるため)
などなど教えてあげてくださいね。



ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

ランサムウェア・レポート:BandarChorの台頭

 今週になり、さらに別のランサムウェアであるBandarChorについて、当社では多数の報告を受けた。

 厳密には、このランサムウェアは新しいものというわけではない。このファミリーに関連して最初に感染に気付いたのは、去年11月までさかのぼる。

November

 BandarChorは、メール経由で拡散しているという報告を受け取ったほか、エクスプロイトキットで配信されている可能性が示唆されている。

 実行すると、当該マルウェアは自身のコピーと共に、身代金について指示する画像をスタートアップディレクトリにドロップする。

filenames

 次に、doc、xls、jpgのような各種のファイル拡張子を持つファイルの暗号化を試みる。

fileext

 暗号化の後、ファイル名を[filename].id-[ID]_fud@india.comにリネームする。

files

 さらにHTTP POSTにより、ユーザのコンピュータの名前とIDをあるリモートサーバに報告する。

network

 身代金メッセージについては、以下に掲載する。

fud@india.com

 以下は、今回の脅威に関連して、当社で目にしたその他のドメインの一覧だ。

   •  martyanovdrweb.com
   •  www.fuck-isil.com
   •  www.ahalaymahalay.com
   •  kapustakapaet.com
   •  www.decryptindia.com
   •  www.enibeniraba.com
   •  www.netupite.com
   •  89025840.com
   •  xsmailsos.com
   •  sosxsmaillockedwriteonxsmailindia.com
   •  baitforany.com
   •  euvalues.com

 この脅威は当社ではTrojan:W32/BandarChorとして検知する。

 ハッシュ:

   •  31aa8ec187e1241a94127336996f9cb38719eb9b
   •  4b356b88fb3a3dce1f009e4e92cd4a59383e0764
   •  5f71be645e8ac995555a891087b46ed357386dbe
   •  afd4216e93a82feebafd3a68e9308ca4b0b54372
   •  b4362fcd75fd071fc8237c543c56df5736b8e177
   •  ba8909eef5ee280ae43b935cf4ae38ccf21bde56
   •  de7ced27456a1e4581d6a4bf126f56061b7f9859

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 この宇宙は「ブラックエネルギー」に満ちている。そしてサイバースペースも同様だ。我々がVirusTotal経由で発見したBlackEnergyファミリーについて書いたのは、それほど以前のことではない。伝えられているところでは、このファミリーは、2008年のグルジアへのサイバー攻撃で用いられたものと同一である。先週の金曜日、新手のバリアントがVirusTotalに投稿された。そして今回は、どのように配布されたかについて、より明確になった。それは、実行ファイルを含むzipファイルだった。今月すでにあったケースと同様、このサンプルはまたもやウクライナから投稿された

Zip file screenshot

 zipファイルの名前はキリル文字でつづられており、「パスワードリスト」という意味だ。実行ファイルのほうは、意味は同じだがラテン文字でつづられている。実行ファイルの拡張子が.docであることを注記しておく。犠牲者がこのサンプルをどのように起動し得るのかは、明確になっていない。我々の推測では、狙っているターゲットが使っているあるzipアプリケーションがあり、それが拡張子に関わらず本当のファイルの種類に基づいてサンプルを開く機能をサポートしている、とみている。もちろん攻撃者が単に間違いを犯した可能性もある。

 VirusTotal上の実行ファイルのサンプルを確認すると、わずか数分早くベルギーから投稿された。ウクライナの現在の状況や、ベルギーがEU政府の中心であること(およびNATO本部が置かれていること)を鑑みると、これらが関連しているという見解を無視することはできない。

 我々はこのサンプルは、特定のパスワードを避けるように警告するIT系の勧告を装ったスピアフィッシングメールの添付ファイルとして送付された可能性があると考えている。

 以前のバリアントと異なり、当該サンプルはもはやsvchost.exeに、ユーザモードのDLLを挿入するカーネルモードコンポーネントを使用してはいない。今回は、単純にユーザモードのドロッパーを用いて、rundll32.exe経由でDLLを読み込む。カーネルモードコンポーネントの排除は、最近のWindowsシステムで見られる、署名付きドライバを実施する保護を潜り抜けようとするためかもしれない。

 ユーザモードDLLは変更をサポートするために書き換えられてもいる(タイムスタンプは2014年6月26日)。今では設定フォーマットは異なるが、いまだ同じIPアドレス・ブロックに所属するC&Cサーバを用いている。

New BlackEnergy configuration

 またドロッパーは悪意のある行為を隠ぺいするために、囮ドキュメントまで開く。

Decoy document

 ソフトウェアの脆弱性やエクスプロイトとは一切関係がないことに注意が必要だ。囮ドキュメントはドロッパーによって、プログラムで生成・起動される。これはかつて目にした、つまりOS Xにおけるおそらく最初のドキュメントを用いたAPT攻撃の試みに似ている。しかしながらこのマルウェアはDEPからホストプロセス(rundll32.exe)を適用しなかった。これは将来侵害するために、攻撃側面を切り開いたのかもしれない。

Routine that disables DEP via registry

 結論:欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を。

マルウェアと冬季オリンピック

 世界的なスポーツイベントがあると、我々はいつも「サイバー」の切り口からの質問を受ける。オリンピックのようなイベントは、マルウェアの流行や、ともするとDDoS攻撃のターゲットになり得るのだろうか?

 現実的なセキュリティ上の懸念点はいくつかあるが、オリンピック期間中のサイバー攻撃についての報道の大半は、結局は誤報か、あるいは単に誇大なものかで終わる。

 これは新しい現象ではない。20年前の記事を再掲させていただく。以下の分析はVirus Bulletin誌の1994年3月版にて最初に発表したものだ。お楽しみあれ!

—————

オリンピック大会
Virus Bulletin(1994年3月)
分析:ミッコ・ヒッポネン

 2月の頭からOlympic(またはOlympic Aids)という新しいウィルスが北ヨーロッパのテレビ、ラジオ、新聞上で派手に取り上げられている。報道的価値のある要素として、オリンピックをテーマにした起動ルーチンと、さらに1994年冬季リレハンメルオリンピックのコンピュータシステムに感染した疑いが挙げられる。幸いなことにこれは事実ではない。

 ノルウェーで一般に報じられているのとは異なり、Olympicはノルウェーが起源なのではなく、スウェーデンにて「Immortal Riot」と自称する新しいウィルスグループによって作成された。

アンダーグラウンドの中へ

 スウェーデンの土壌は、ウィルスグループを育てるための特別に肥沃な土地をもたらしているようだ。Beta Boys、Demoralized Youth、the Funky Pack of Cyber Punksといった一派が過去にスウェーデンで活動していた。ウィルス作者たちのグループで最新のImmortal Riotは、別名すなわち「ハンドル名」しか分かっていないが、4人のメンバーで構成されていると見られている。これまでのところ、このグループは約30個のウィルスを発表、配布してきたが、大半は既存の型の新しいバリアントだ。これまでに見つかったウィルスは技術的に優れた類のものではなく、むしろ正反対だ。大部分は単にコンピュータをクラッシュさせるか、他の露骨なやり方でその存在を示す。

 またImmortal Riotは電子マガジン「Insane Reality」を発行している。グループのメンバーや仲間による記事や、ウィルスのソースコード、ウィルスコミュニティの他のメンバーへの激励と中傷を取り上げている。このグループは、ウィルス作者になることは「クール」なことと考えているティーンエイジャー達の、独り善がりに過ぎないようだ。


olympic

ウィルスの動作

 Olympicは極めて一般的なCOMファイル感染ウィルスで、メモリ内には残らず、感染したファイルが実行された場合のみ拡散する。感染させるファイルを検索する方法は、特に効率的というわけではない。ハードディスク上の数多くのファイルが感染した時点で、新たな餌食を見つけるまでに30秒かかるかもしれない。このスローダウンのおかげでウィルスの目星がつけやすくなる。

 当該ウィルスは適切な感染候補のファイルを見つけると、まずそのファイルの大きさを確認する。感染したコードがCOMファイルの最大サイズ64Kバイトより大きくなるか確かめるのだ。そのファイルの1バイト目に、ウィルスが挿入したジャンプ命令があるかチェックする。見つかると、ウィルスはそのファイルはすでに感染しているとみなし、別の犠牲ファイルの検索に取り掛かる。この処理は、5つのファイルが感染するまで繰り返される。

 このウィルスは感染時に対象ファイルの内部構造を確認しない。したがって、拡張子をCOMにしたEXEファイルもこのウィルスに感染する。こうして破壊されたファイルが実行されると、ウィルスはマシン上の他のファイルにも感染するが、オリジナルのプログラムに制御を戻すことができない。大半の場合、マシンはクラッシュする。

 感染は、オリジナルのファイルの最初の3バイトをファイル末尾に保存し、ウィルスがファイル末尾に追加するセットアップルーチンへのジャンプ命令に置き換えるというプロセスから成っている。ファイル末尾にはウィルスコードの暗号化版が追加される。そして最後にウィルスはプレーンテキストの短いメモと復号ルーチンを加える。

 Olympicはコードの暗号化に、感染時間に基づいた単一の疑似ランダム値をキーにしている。このルーチンは復号ループでSIとDIレジスタのいずれかを作業レジスタとして用いる。これは感染するたびに入れ替わる。これにより、25バイトのみがウィルスの異なる世代間で一定になる。これらはウィルスの2つの異なる部分に位置している。暗号化方式はまったく多様なものではないので、アンチウィルスベンダーに問題を生じさせるとは考えにくい。

 OlympicはDOS上でリードオンリーとなっているファイルへも感染し得る。さらに感染したファイルのタイムスタンプを復元する。しかしファイルサイズが1440バイト大きくなり、これはディレクトリリストに現れる。ウィルスは常駐するわけではないので、ディレクトリをステルス化するルーチンは入っていない。

Olympicのトリガー

 このウィルスは1994年冬季オリンピックの開始日(2月12日)の翌日がトリガーになるようプログラムされており、この日以降、1割の確率で起動する。「サイコロ振り」は、システムタイマーの100分の1秒単位のフィールドが、10を下回るかを確認することでなされる。このウィルスは現在の年はチェックしない。トリガーの条件が満たされない場合、ウィルスは制御をホストファイルに戻す。

 起動時、ウィルスは画面上に五輪を描き、今回のオリンピックとそのマスコット、ハーコンとクリスティンについてのコメントを表示する。続いて、システムの最初のハードディスクの先頭256セクタを上書きする。確実に破壊するため、ウィルスは破壊ルーチンの中でCtrl-CおよびCtrl-Breakのチェックを無効にする。最終的にマシンはハングする。


olympic

 Olympicのコードの大半はVCLで生成されたウィルスのコードと共通点があり、それは標準的なVCLライクな注記にまで至っている。このウィルス末尾にあるショートメッセージは一切表示はされない。ウィルスの注記は「Olympic Aid(s) `94 (c) The Penetrator」と書かれている。このウィルスはおそらくVCLで作成したコードをベースにしており、ウィルススキャナによる検知を回避する目的で修正された。ディスクの上書きを開始する前に画像を表示するので、これに気付いたユーザは、データ領域が上書きされる機会の前に、マシンの電源をオフすることができるだろう。これにより復旧がずっと容易になる

olympic

偽の「F-Secure Security Pack」という悪意あるブラウザ拡張について

 当社では、ある悪意あるブラウザ拡張を追っている。このブラウザ拡張には、さまざまな異なるソフトウェア企業の手によるものだと表示される。

 これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。

 このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。

Contents of malware installer

 上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。

 このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。

Certificate information

 現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。

 Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。

Foobar

 Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。

ff_ext

 この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。

extension_chrome_pack

plugin_drweb

plugin_kingsoft

 ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。

extension_spanish_text

 以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。

extension_spanish_text

 設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。

extension_spanish_text

 F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。

 SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2

RLOのトリックを使ったMacの署名済みマルウェア

 RLO(Right-to-left override)とは、双方向のテキストエンコードシステムで使われる特殊文字で、テキストを右から左への表示に切り替える場所を指示するものだ。実行可能ファイルの本当の拡張子を隠蔽する目的で、昨年来Bredolabや高度なトロイの木馬MahdiといったWindowsマルウェアで一般的に使われている。トリックの詳細については、Krebs on Securityのこの投稿を確認してほしい。

 我々はあるMac用のマルウェアがRLOのトリックを用いていることに気付いた。そして先週の金曜日にVirusTotalに投稿した。

RLO character

 ここでの目的は、Krebの投稿で触れられていたものほど複雑ではない。単純に本当の拡張子を隠蔽するだけだ。このマルウェアでは「Recent News.pdf.app」というファイル名を使えたはずだった。しかし、OS Xはすでにこの点を考慮しており、予防措置として実際の拡張子を表示している。

RLO trick in Finder
RLO trick in Terminal

 このマルウェアはPythonで記述され、配布にpy2appを使用している。Hackbackとまったく同様に、Apple社のDeveloper IDで署名されている。

Apple Developer ID

 しかし、OS X上の通常のファイル検疫時に示される通知が、RLO文字のせいでKrebの場合と同様に逆さまになっている。.

OS X file quarantine notification

 このマルウェアを実行するとデコイのドキュメントを置いて、開く。

Decoy document

 続いてマルウェアは起動のためのcronジョブを作成し、さらに感染したユーザのホームディレクトリに、コンポーネント群を格納するための隠しフォルダを作る。

Launch point and drop files

 マルウェアはC&Cサーバのアドレスを取得するため、以下のWebページへ接続する。

  •  http://www.youtube.com/watch?v=DZZ3tTTBiTs
  •  http://www.youtube.com/watch?v=ky4M9kxUM7Y
  •  http://hjdullink.nl/images/re.php

 「just something i made up for fun, check out my website at (address) bye bye(楽しみのためにあるものを作った。私の(アドレス)のWebサイトを確認してね。バイバイ)」という文字列を解析してアドレスを得る。

 YouTubeのページは以下のようになっている。

YouTube page

 この文字列をGoogleで検索すると、上で挙げたもの以外にも悪用しているサイトがあることが分かる。

Google search

 その後マルウェアは継続的にスクリーンショットを撮り、音声を録音し(SoXというサードパーティ製のソフトウェアを使用している)、それをC&Cサーバにアップロードする。また、C&Cサーバに対して、実行コマンドの継続的なポーリングも行っている。

 このマルウェアは、当社ではBackdoor:Python/Janicab.Aとして検出する。

 追記:

 C&Cサーバの場所を示すために使われているYouTubeの動画の1つの統計情報を以下に示す。

Python_Janicab_YouTube_stats

Python_Janicab_YouTube_stats_daily

 この動画の日付はJanicab.Aのバイナリの日付よりも少なくとも1ヶ月前にさかのぼる。統計情報に基づくと、実際にはもっと前からバリアントが存在したようだ。

韓国へのワイパー攻撃の歴史

2013年3月20日 14時、韓国の放送局や銀行に対してサイバー攻撃と思われる事態が発生し、約32000台のマシンが攻撃の被害に遭ったと言われています。今回の攻撃に使用されたマルウェアに感染するとハードディスクの内容が消去され、OSが起動不能になる仕組みになっていました。実は韓国では似たような事件が2009年と2011年にも起こっています。ただ、過去2回の事例はDDoS攻撃を行った後に、証拠隠滅を目的としてハードディスクを消去したのではないかと言われているのに対し、今回はDDoS攻撃のようなことは確認されておりませんので犯人の意図は不明です。

参考までに、ハードディスク消去の手口という観点から過去2回の事例との違いを紹介します。事例はWindows XPのものです。
攻撃を受けた後のハードディスクの状態を色分けして表示していまして、だいたい以下のように分類しています。

赤色:文字列等、表示可能なデータ
青色:制御文字
黒色:その他のデータ
白色:0(NULL文字)
黄色:攻撃によって上書きされたデータ

2009年の事例
ディスクの先頭から1MBが意味のない文字列で上書きされます。先頭には「Memory of the Independent Day」というメッセージ、そのあとは「U」が連続して書き込まれます。
特定の拡張子のファイルが消去されますが、ドキュメント系のファイルが主な消去対象ですので、画像や実行ファイル等は生き残ります。
ディスクの先頭(MBR+α)が上書きされますのでOSの起動はできませんが、データ部分は生きていますので一部のデータを復旧することは可能です。

wiper2009image

2011年の事例
ディスクが0で上書きされます。片っ端から上書きしていくので、途中でOS自身が実行不能となりブルースクリーンになります。ここまでされるとデータの復旧は困難です。

wiper2011image

wiperbod2011

2013年の事例
ディスクの先頭が「PRINCPES」という文字列で上書きされ、VBRとデータ領域が一定間隔で「PRINCIPES」という文字列で上書きされます。暗い黄色の部分がMBRとVBRです。OSの起動はできませんが、運良く上書きされなかったデータは生きていますので復旧することは可能です。

wiper2013image

過去2回の犯人と今回の犯人が同一であろうとなかろうと、ディスクを消去するという点において手口が酷似していることは間違いないことから、少なくとも2013年の犯人は過去2回の事例を認識した上で攻撃をしているはずです。完全に修復不能にしようと思えばできたのにも関わらずそうしなかった。その理由を今後も継続調査していきます。

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

PDFファイルを装うMacのトロイの木馬

  我々は、製作中のMacマルウェアに出くわしたかもしれない。同マルウェアは「Trojan-Dropper:OSX/Revir.A」として検出されており、PDFファイルを装い、ユーザをだましてペイロードをひきおこす。

  同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。



  ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。

  このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。

  同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。

  このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。


追記:サンプル用のMD5ハッシュ:

  •  Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
  •  Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
  •  Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d


Analysis by - Brod




アェウルマたし用使をedocinU edirrevO tfeL ot thgiR

  Commtouchの友人達によれば、Right to Left Override(RLO)Unicodeトリックを利用したマルウェアが、「先週、広範囲に再浮上した」そうだ。Unicodeキャラクタ(U+202E)は、右から左に読まれる言語用にテキストを「逆にする」もので、ファイル名を分かりにくくするのに使用することができる。

  我々は2、3日前、サンプルを調べた。

  以下はWindowsで見たアーカイブファイルだ:

log_08.12.2011_P61602.zip

  Windows圧縮フォルダ表示では、拡張子が「.exe」であり、ファイルタイプがアプリケーションであることが示されている:

Compressed Folder

  しかし解凍してみると、ファイルの拡張子は「.doc」のように見える。

  Windows Explorerは、このファイルをアプリケーションとして認識しているが、マルウェアはソーシャルエンジニアリングの策略として、Wordアイコンを使用している。

Changelog_08.12.2011_Prophylexe.doc

  好奇心に駆られて、サードパーティのアーカイブマネージャをいくつかテストしてみることにした。

  以下はWinZipで見た同マルウェアだ:

WinZip

  こちらはWinRAR:

WinRAR

  そしてこちらは7-Zip:

7-Zip

  驚くべきことに、7-Zipはタイプでソートしているにも関わらず、ファイルタイプを表示しなかった。

  いずれにせよ、RLOトリックに注意し、アーカイブされた添付ファイルを解凍、あるいはオープンする前に、慎重にチェックして欲しい。

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!

Q&A:Windows 7におけるファイル拡張子を隠す問題について

  Windows 7についてこのブログに掲載した記事に対し、好意的なコメントを多数頂いた。中にはMicrosoftのExplorer開発チームで働いている人たちからのフィードバックもあった。

  多くのコメントに、このトピックに関する質問が含まれていたので、以下にQ&Aをまとめた:

Q:一体これはどういうことなのか?
A:Windowsでは、デフォルトでEXEのようなファイル拡張子を隠す設定となっていることが問題になっている。ウィルスライターたちは二重拡張子(PICTURE.JPG.EXE)を持つ悪意あるファイルを作成することで、この問題を悪用する。このようなファイルでは、誤解を招くようなアイコンが使用されるているケースも非常に多い。

Q:Windows Explorerはいつから「既知のファイルタイプ」のファイル拡張子を表示していないのか?
A:Windows NTからだ。

Q:どうしてこのような仕様にしているのか?
A:我々には分からない。

Q:これは本当にリスクなのか? ユーザーがハードドライブにこのようなファイルを既に持っている場合、もう遅いのでは?
A:そうでもない。このファイルはインターネットやファイル共有、あるいはリムーバブル・ドライブにより侵入する可能性があり、ユーザーがそのファイルを実行しているとは限らないからだ。

Q:でも、もしそのファイルがインターネット経由で侵入したのなら、Explorerが「信頼できないゾーン」からのものだと警告するはずだ!
A:それはウェブをブラウズするのにInternet Explorerを、電子メールの添付書類をダウンロードするのにOutlookを使用している場合のみだ。しかしネットからファイルをダウンロードする方法は山のようにある:サードパーティのウェブおよび電子メールクライアント、BitTorrent、その他のP2Pクライアント、チャットプログラム等など。また、そのファイルがネットワークシェアもしくはUSBドライブ上にある場合は、そのような警告ダイアログをあてにすることはできない。

Sucks

Q:問題ない。あなた方のスクリーンショットでも、Explorerがファイルに「アプリケーション」と表示されている! だから誰もクリックしたりしないだろう。たとえファイルが、何とか.txtという名称でも。テキストファイルのアイコンだったとしても。
A:確かに…

Q:本物のワームは本当にそんなファイル名を使用しているのか?
A:もちろん。こうしたファイルは、リムーバブル・ドライブまたはネットワークシェア上のランダムなフォルダに、以下のようなファイル名で自身をコピーすることで広まるのが一般的だ:

    E:\PRESENTATION.PPT.exe
    E:\DOCUMENT.DOC.exe
    E:\PORNVIDEO.AVI.exe
    Etc.

  多くの人がこれらをクリックする可能性がある。特にファイルのアイコンがドキュメントアイコンの場合は──またWindowsがファイル名の「.exe」部分を隠している場合には。

Q:それでは、Explorerの設定で「既知のファイルタイプの拡張子を隠す」をオフにするのがソリューションなのか?
A:そうだ。

Windows 7 Folder Options

Q:そうすると、すべてのファイル拡張子が表示されるのか?
A:いや、そうではない。このオプションをオフにしても、まだ隠されたままの実行可能な拡張子もある。

Q:それは何?
A:たとえばPIFがそうだ。このファイルタイプは古いMS-DOSプログラムへのショートカットとなるよう意図されている。問題は、新しいWindows実行ファイルすべてを.PIFに名称変更することは誰でもでき、ダブルクリックすれば間違いなく実行されるということだ。

  たとえば、Scamoワームはまさにこのフローを利用して、以下のようなファイルを仕込む:

    HARRY POTTER 1-6 BOOK.TXT.pif
    ANTHRAX.DOC.pif
    RINGTONES.MP3.pif
    BRITNEY SPEARS FULL ALBUM.MP3.pif
    EMINEM BLOWJOB.JPG.pif
    VISTA REVIEW.DOC.pif
    OSAMA BIN LADEN.MPG.pif
    NOSTRADAMUS.DOC.pif

Q:それでは、PIFファイルを見えるようにするにはどうしたら良いのか?
A:「NeverShowExt」という名のレジストリキーを介してだ。Microsoft Knowledgebaseの記事にリンクしたかったのだが… 見つけることができなかった。だが、GeoCitiesのこのページに、2、3年前に愛好家によって作成された、このトピックに関する記載がある。おそらくこの件に関しては、これが最良の情報源だろう。

Q:あなた方はまだ、MicrosoftがWindows 7でExplorerのふるまいを変更することを期待しているのか?
A:いや、そうでもない。

結論:我々は今も、どうしてWindowsがファイル名の最後の拡張子を何が何でも隠そうとするのか、理解できずにいる。間違いの元なのに。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード