エフセキュアブログ

検知 を含む記事

ファイルサイズだけで悪性文書ファイルを検出するツールをリリース

残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。
ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した
http://www.codeblue.jp/speaker.htmlより引用

ファイルサイズだけで、というのはすごいですね。
後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。
user@local:~/Product$ cat f-checker.py
#!/usr/bin/python
import os, sys
print "malicious" if os.path.getsize(sys.argv[1]) % 512 else "benign"

使い方は簡単で、次のように検知対象ファイルを指定するだけです。ちなみに指定しているのはRed Octoberという日本も標的となったスパイ活動で使用されたファイルです。
user@local:~/Product$ python f-checker.py 'WORK PLAN (APRIL-JUNE 2011).xls'
benign

それでは検知率を調べてみましょう。エフセキュアブログではミッコや他のエンジニアがマルウェアのハッシュ値を公開してくれていますので、その中から検査対象をリストアップすることにします。ファイルサイズに着目する方法はPDFや最近よくマルウェアに使われるdocx形式のファイルに対しては効果がありませんので、今回はdoc、xls、pptファイルだけに絞ってリストアップします。合計で12個のマルウェアが見つかりました。エフセキュアブログでフォーカスされるだけあって、悪質な標的型攻撃で使われたマルウェアばかりです。

検知率は次のとおりになりました。
f-checker75%
T社AV92%
S社AV92%
M社AV100%

私のツールはまだまだ改善の余地がありそうです。

検知対象としたファイルのハッシュ値:
0c1733b4add4e053ea58d6fb547c8759
362d2011c222ae17f801e3c79e099ca7
3c740451ef1ea89e9f943e3760b37d3b
4031049fe402e8ba587583c08a25221a
46d0edc0a11ed88c0a39bc2118b3c4e071413a4b
4bb64c1da2f73da11f331a96d55d63e2
51bb2d536f07341e3131d070dd73f2c669dae78e
7ca4ab177f480503653702b33366111f
8f51b0e60d4d4764c480af5ec3a9ca19
97a3d097c686b5348084f5b4df8396ce
d8aefd8e3c96a56123cd5f07192b7369
ee84c5d626bf8450782f24fd7d2f3ae6

マルウェアと冬季オリンピック

 世界的なスポーツイベントがあると、我々はいつも「サイバー」の切り口からの質問を受ける。オリンピックのようなイベントは、マルウェアの流行や、ともするとDDoS攻撃のターゲットになり得るのだろうか?

 現実的なセキュリティ上の懸念点はいくつかあるが、オリンピック期間中のサイバー攻撃についての報道の大半は、結局は誤報か、あるいは単に誇大なものかで終わる。

 これは新しい現象ではない。20年前の記事を再掲させていただく。以下の分析はVirus Bulletin誌の1994年3月版にて最初に発表したものだ。お楽しみあれ!

—————

オリンピック大会
Virus Bulletin(1994年3月)
分析:ミッコ・ヒッポネン

 2月の頭からOlympic(またはOlympic Aids)という新しいウィルスが北ヨーロッパのテレビ、ラジオ、新聞上で派手に取り上げられている。報道的価値のある要素として、オリンピックをテーマにした起動ルーチンと、さらに1994年冬季リレハンメルオリンピックのコンピュータシステムに感染した疑いが挙げられる。幸いなことにこれは事実ではない。

 ノルウェーで一般に報じられているのとは異なり、Olympicはノルウェーが起源なのではなく、スウェーデンにて「Immortal Riot」と自称する新しいウィルスグループによって作成された。

アンダーグラウンドの中へ

 スウェーデンの土壌は、ウィルスグループを育てるための特別に肥沃な土地をもたらしているようだ。Beta Boys、Demoralized Youth、the Funky Pack of Cyber Punksといった一派が過去にスウェーデンで活動していた。ウィルス作者たちのグループで最新のImmortal Riotは、別名すなわち「ハンドル名」しか分かっていないが、4人のメンバーで構成されていると見られている。これまでのところ、このグループは約30個のウィルスを発表、配布してきたが、大半は既存の型の新しいバリアントだ。これまでに見つかったウィルスは技術的に優れた類のものではなく、むしろ正反対だ。大部分は単にコンピュータをクラッシュさせるか、他の露骨なやり方でその存在を示す。

 またImmortal Riotは電子マガジン「Insane Reality」を発行している。グループのメンバーや仲間による記事や、ウィルスのソースコード、ウィルスコミュニティの他のメンバーへの激励と中傷を取り上げている。このグループは、ウィルス作者になることは「クール」なことと考えているティーンエイジャー達の、独り善がりに過ぎないようだ。


olympic

ウィルスの動作

 Olympicは極めて一般的なCOMファイル感染ウィルスで、メモリ内には残らず、感染したファイルが実行された場合のみ拡散する。感染させるファイルを検索する方法は、特に効率的というわけではない。ハードディスク上の数多くのファイルが感染した時点で、新たな餌食を見つけるまでに30秒かかるかもしれない。このスローダウンのおかげでウィルスの目星がつけやすくなる。

 当該ウィルスは適切な感染候補のファイルを見つけると、まずそのファイルの大きさを確認する。感染したコードがCOMファイルの最大サイズ64Kバイトより大きくなるか確かめるのだ。そのファイルの1バイト目に、ウィルスが挿入したジャンプ命令があるかチェックする。見つかると、ウィルスはそのファイルはすでに感染しているとみなし、別の犠牲ファイルの検索に取り掛かる。この処理は、5つのファイルが感染するまで繰り返される。

 このウィルスは感染時に対象ファイルの内部構造を確認しない。したがって、拡張子をCOMにしたEXEファイルもこのウィルスに感染する。こうして破壊されたファイルが実行されると、ウィルスはマシン上の他のファイルにも感染するが、オリジナルのプログラムに制御を戻すことができない。大半の場合、マシンはクラッシュする。

 感染は、オリジナルのファイルの最初の3バイトをファイル末尾に保存し、ウィルスがファイル末尾に追加するセットアップルーチンへのジャンプ命令に置き換えるというプロセスから成っている。ファイル末尾にはウィルスコードの暗号化版が追加される。そして最後にウィルスはプレーンテキストの短いメモと復号ルーチンを加える。

 Olympicはコードの暗号化に、感染時間に基づいた単一の疑似ランダム値をキーにしている。このルーチンは復号ループでSIとDIレジスタのいずれかを作業レジスタとして用いる。これは感染するたびに入れ替わる。これにより、25バイトのみがウィルスの異なる世代間で一定になる。これらはウィルスの2つの異なる部分に位置している。暗号化方式はまったく多様なものではないので、アンチウィルスベンダーに問題を生じさせるとは考えにくい。

 OlympicはDOS上でリードオンリーとなっているファイルへも感染し得る。さらに感染したファイルのタイムスタンプを復元する。しかしファイルサイズが1440バイト大きくなり、これはディレクトリリストに現れる。ウィルスは常駐するわけではないので、ディレクトリをステルス化するルーチンは入っていない。

Olympicのトリガー

 このウィルスは1994年冬季オリンピックの開始日(2月12日)の翌日がトリガーになるようプログラムされており、この日以降、1割の確率で起動する。「サイコロ振り」は、システムタイマーの100分の1秒単位のフィールドが、10を下回るかを確認することでなされる。このウィルスは現在の年はチェックしない。トリガーの条件が満たされない場合、ウィルスは制御をホストファイルに戻す。

 起動時、ウィルスは画面上に五輪を描き、今回のオリンピックとそのマスコット、ハーコンとクリスティンについてのコメントを表示する。続いて、システムの最初のハードディスクの先頭256セクタを上書きする。確実に破壊するため、ウィルスは破壊ルーチンの中でCtrl-CおよびCtrl-Breakのチェックを無効にする。最終的にマシンはハングする。


olympic

 Olympicのコードの大半はVCLで生成されたウィルスのコードと共通点があり、それは標準的なVCLライクな注記にまで至っている。このウィルス末尾にあるショートメッセージは一切表示はされない。ウィルスの注記は「Olympic Aid(s) `94 (c) The Penetrator」と書かれている。このウィルスはおそらくVCLで作成したコードをベースにしており、ウィルススキャナによる検知を回避する目的で修正された。ディスクの上書きを開始する前に画像を表示するので、これに気付いたユーザは、データ領域が上書きされる機会の前に、マシンの電源をオフすることができるだろう。これにより復旧がずっと容易になる

olympic

フランカ市のWebサイトが侵害

 当社製品が検知した悪意あるリダイレクタのURLを分析しているとき、.gov.brドメイン上にホストされたFlashオブジェクトが目に留まった。私のポルトガル語の腕はちょっと鈍ってしまったので、ブラジルの当社オフィスにいる同僚に頼ったのだが、彼女は当該ドメインがブラジル サンパウロ州フランカ市に属するものであることを確認した。

 このWebサイト上のJavaScriptファイルの1つに、Flashリダイレクタを読み込む悪意あるコードが書き加えられていた。以下はFiddlerによるセッションの一部だ。

Screenshot of Fiddler session

 黄色で強調したのがリクエストで、悪意あるFlashオブジェクトを読み込み、別のドメインへブラウザをリダイレクトするiflameを挿入する(画面キャプチャのぼかした部分)。

 オープンソースのコンテンツマネジメントシステムJoomlaの、古くなったバージョン1.5の弱点を突かれてWebサイトが侵害されたように見受けられる。これはおそらく、パッチが当てられていないバージョンを稼働している.gov.brのWebサイトに限った話ではない。シニアセキュリティリサーチャーFabio Assolini氏は、Twitterで.gov.brドメイン上のインシデントは非常によくあると指摘している。

 当社は今回のインシデントについて、CSIRT、CTIR Govに連絡を取った。

 当社はこの悪意あるFlashオブジェクト(SHA1:b0c68dbd6f173abf6c141b45dc8c01d42f492a20)をTrojan:SWF/Redirector.EQとして検知する。加えて、このWebサイトが正常になるまで、当社のBrowsing Protectionコンポーネントは侵害されたURLへのアクセスをブロックする。

Post by — @Timo

ポリスウェア:善か悪か

 マルウェアの状況は絶えず変化しているが、注目すべき変化の1つは、今日の悪玉が善玉になるかもしれないことだ。つまり、やつらが善人になると考えられるのだ。これをもう少し混乱しないように説明すると、当局はマルウェアの主要なプレイヤーの1つとなっており、アメリカの政府機関はすでに世界でもっとも大口のエクスプロイトの購入者なのだ。

 これにより、我々のような対マルウェア戦士にとって、昔ながらの倫理上の論点がかつてないほど重要になっている。ポリスウェアにはどのように対応すべきだろうか?この種のマルウェアは検知すべきか否か?エフセキュアの立場は明確だ。イエス。当社はどんな種類のマルウェアでも検知する。そしてノー。当局のポリスウェアのためにホワイトリストを持つことはしない。ポリスウェアをホワイトリストに登録する要求を受け取ったことはないし、もし要求されても拒否する。

 これには複雑な心境になるかもしれない。警察が公共の利益のために取り組んでいることに疑問の余地はないからだ。鉄格子の中に送られるべき危険な犯罪者が存在しているのだから、彼らに対して使える武器はなんでも使ってはいけないのだろうか?ポリスウェアをホワイトリストに登録するのを拒否することで、我々は彼らを保護することになっていないか?この問題についてもっと詳しく見ていこう。そうすれば当社の現行のポリシーに対し、別の選択肢が本当に存在しないことが分かるだろう。

 ポリスウェアをホワイトリストに登録することが、なぜアンチマルウェア・ベンダーにとって悪い考えなのだろうか?

  •  当局の権力は常に規定された地域に限られているが、当社のアンチマルウェア技術は世界中で使用されている。ポリスウェアが当該機関の管轄内で使用されているのかをスキャナエンジンが検証する、信頼できる方法はない

  •  いつでも正規の令状が容疑者を特定する。しかし当社のアンチマルウェア技術は全顧客一般に対するもので、ポリスウェアが正規の標的に用いられているのかを確認できない

  •  ホワイトリスト上のファイルに出くわした時に、誰がそれを制御しており、誰に報告を返すのかを当社のスキャナが検証できない。本当のマルウェアがそのようにしてすり抜ける可能性があるので、ホワイトリストは信頼できない

  •  我々には可能な限り顧客をマルウェアから守る義務がある。これは製品を販売する際に約束したことだ。ユーザに対し有効な令状があるケースにおいては、当然ながら例外を作ることはできる。しかし上述したように、その条件を検証することは不可能だ

  •  法律が国ごとに異なる。ポリスウェアが、ある国では合法だが別の国では違法な可能性がある。これは我々が調査するには複雑で実現不可能だ

  •  我々はどの国の権力に仕えるべきか?我々は自国の警察を信じることができるが、スペインや、ブラジル、カナダ、イスラエル、エジプト、中国、北朝鮮、そしてアメリカはどうだろうか?いくつかの国を適当に取り上げただけだが。こうした国にも仕えるべきか?諜報ツールを使うにあたって合法的な動機があることを、当社はどのように検証できるのだろうか?

  •  ポリスウェアが適切な令状がないまま間違って使われたり、あるいは法律に違反しているなら、当社は犠牲者に通知する道義的責任がある。そうでなければ、当社が犯行の一端を担うことになる

 つまり問題なのは、有効な令状が対象にするのはきちんと特定された個人またはグループである点だ。一方、ポリスウェアをホワイトリスト化すると、当社の世界中のユーザベース全体を対象とすることになる。これでは、ホワイトリストの欠点が利点よりも大きくなる

 しかし、これがすべてではない。ホワイトリストについて依頼するのは、政府機関にとってはさらに悪い考えだ、という理由を以下に挙げる。

  •  ホワイトリスト化するには、我々がホワイトリストにあるべきものを知っている必要がある。ポリスウェアは一意性があり信頼性のある識別機構を持っていなければならないことになる。マルウェアの主要な目標は可能な限り検知されにくくすることだが、こうした識別子のおかげでポリスウェアは検知されやすくなり、効果が薄くなる。ホワイトリストにもブラックリストにも使われ得るのだ

  •  ホワイトリストに登録するには、当局がポリスウェアプログラムについて外部に詳細を開示する必要に迫られる。これにより情報漏えいのリスクが高まる。またプログラムの存在そのものについて明らかにしなければならない。ホワイトリストを効果的にするには、当社に限らず多数のアンチマルウェア・ベンダーに持ちかける必要がある

  •  識別機能に信頼性を持たせるには、ホワイトリスト上でポリスウェアと当局とを結び付ける必要がある。これは、自身が当局によって監視されていると知る術を容疑者に与えることになる。さもないと、検知されたマルウェアへの感染が、マルウェアの脅威全体の中に溶け込んでしまい、容疑者へのアラートが必ずしも行われなくなる

  •  最近のニュースで取り上げられて明らかになったように、ポリスウェアの大部分は完全に法律違反であるか、少なくとも根拠があやふやだ。これについて外部に話すのは、当局にとっては賢明ではないということになる

 当局にとって最善の戦略は、不良少年と同じゲームに参加することだ。ポリスウェアを継続的に変更し、アンチマルウェア製品のレーダーをかいくぐって飛ぶようにする。当局のプログラムが捕捉されたら、これを変更して再度試す。標的は、通常のマルウェアの攻撃だと思うかもしれない。法執行機関には大量のリソースがあり、このゲームはうまく成功するだろう。また数多くの犯罪者にはおそらくそれほど技術的な知識はない。巨大で組織化されたギャングでさえ、適切に保護されたコンピュータなしで活動しているかもしれない。真実は映画とは異なる。悪党が世界的な麻薬の売人で、なおかつスーパーハッカーであるというようなことはない。ポリスウェアをホワイトリストに登録しなくとも、大半の犯罪者は標的として脆弱だ。

 ホワイトリストを用いないという当社のポリシーは既に古いものだが、今日ではこれがいまだかつてないほど重要になっている。古き良き時代には、警察は信頼に足るものであった。容疑者に対する令状や行動は、犯罪対策の合法的な部分であるように見えた。こうした伝統的な警察の行為が、まったく異なる動機によって秘密の大衆監視に融合されるのを見るのは悲しいことだ。悲しいだけではない。市民と当局の間に亀裂を生むことになり、恐ろしい。

 これを心に留めると、ホワイトリスト化に厳密なポリシーを適用するのが実際に唯一の選択肢だ、という理由が簡単にわかる。これは常に簡単な選択であったし、今も頭を使う必要はない。

Post by — Micke

DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906

 水曜日、我々はマイクロソフトのグラフィックコンポーネントにおけるゼロデイの脆弱性について取り上げた。この脆弱性は、Wordドキュメントを用いた標的型攻撃で活発に悪用されている。

 かいつまんでいうと、このエクスプロイトが当社のInternet Securityに敗北する動画が以下にある。


DeepGuard 5 vs. Microsoft Graphic Component Zero-Day Exploit CVE-2013-3906

 動画内のWordドキュメントは実際の攻撃で使われてきたもので、McAfeeAlien Vaultが分析したエクスプロイトの1つだ。分離された試験用ネットワーク上で、64ビット版Windows 7でOffice 2007を実行する脆弱なシステムを用いて、攻撃を再生成した。動画で実演している通り、DeepGuard 5(当社のビヘイビア・エンジン)のエクスプロイトを捕捉する機能によって、システムを感染から防いでいる。

 さらにDeepGuardは、マイクロソフトのアドバイザリよりも前に、誰も最初のサンプルを目にしたことがなくても、先手を打ってこのゼロデイエクスプロイトから顧客を保護していた。

 その上、DeepGuardの検知機能に何ら追加や修正は必要なかった。約1か月前の、先のマイクロソフトのゼロデイ用と同じ検知ルールセットで、今回のゼロデイがブロックされた。

 これがビヘイビアベースのプロアクティブなエクスプロイト検知の力だ。

 Post by — Timo*

 * 編集メモ:ティモは上級研究員で、(正当に言って)当社が誇るDeepGuardサービスの責任者だ。あっぱれ、ティモ!

Bits Of Freedomへのエフセキュアの回答

 当社は、Bits Of Freedom(訳注:オランダのデジタル著作権関連の団体)から送付された、25の別々の団体の署名付きの手紙を受け取った。これらの団体は、国家が監視目的で当社のソフトウェアを利用することについての当社のポリシーに、興味を抱いている。同じ手紙は、他のアンチウイルス企業15社にも送られた。

BoF

 彼らは具体的に4つの質問を行っている。

1. 政府(または国家機関)によって、監視を目的としたソフトウェアが使われているのを検知したことがあるか?

2. 特定のソフトウェアが存在しても検知しないように、あるいは検知してもユーザに通知しないようにという要求が、政府から申し入れされたことはあるか?また、もしあるのなら、この要求の法的根拠について、また許可を求められたソフトウェアの具体的な種類について、さらにこのソフトウェアの使用許可が求められた期間について、情報提供できるか?

3. このような要求を受け入れたことはあるか?もしあるなら、上で述べた点と同様の情報と、政府からの要求に応じる決断を導いた材料を提示できるか?

4. 今後そうした要求にどのように応じるか明確にできるか?

 (手紙の全文はこちら

 当社の公式の回答は以下で、Bits Of Freedomには11月1日に返信した。

Letter to bof.nl

 参照:Policy on Detecting Government Spy Programs(政府のスパイプログラムを検知したときのポリシー)

やる気のある攻撃者が望むものをたびたび手に入れるのはなぜか

 組織外の人から見て経済的な価値を持つ可能性がある情報を保持する企業に、あなたはお勤めだろうか?あるいは、共有ネットワークドライブに保存しているドキュメントへのアクセスを得ると、もしかすると外国で役に立つだろうか?イエス?それなら、おめでとう。あなたは既に、しつこくてやる気のある攻撃者(ときに、ただし稀にだが高度な技術を持つ)の標的になっているかもしれない。

 フィンランドCERTのこちらのプレゼンテーションによれば、フィンランドでさえこうした攻撃が10年近く見られる。昨今では、至る所にある。

 標的型攻撃の好例は、2011年にRSAに対して行われたもので、当社ではティモ・ヒルヴォネンが分析を行った。RSAのネットワークでの感染に関して、ティモがオリジナルのソースを探し、最終的に見つけるまでの話は、この投稿にすべて記載されている。

RSA 2011 email

 RSAは、ある従業員宛てのメールの添付として送付されたドキュメントにより侵害された。このドキュメントには従業員のコンピュータに感染したエクスプロイトが埋め込まれており、攻撃者が侵入するのに不可欠な足がかりとなっている。当該コンピュータから、ネットワーク上の残りのコンピュータを侵害するために移動していくのだ。

 Virustotal経由で我々が受け取ったファイルの中から、ティモはドキュメントを見つけた。Virustotalとは、投稿したファイルをいくつかのアンチウイルス・エンジンでスキャンできるオンライン・サービスだ。ユーザはスキャン結果、つまり悪意がある可能性を確認することができ、またファイルはさらに分析するためにアンチウイルス企業に送付される。Virustotalでは日々数十万のファイルが投稿される様子が見られる。

 悪意あるものを検知するかを確認したいので、我々はVirustotalから送付されるファイルの分析に多大な努力を費やしている。日常的なマルウェアに加えて、不審なユーザがスキャンするために投稿するエクスプロイト・ドキュメントも分析している。

APT animation

 上のすべてのドキュメントにはエクスプロイト・コードが含まれ、脆弱性のあるドキュメント・リーダーでこれらのドキュメントを開くと、ユーザのコンピュータにマルウェアが自動的にインストールされる。ドキュメントからは標的について垣間見ることもできる。このような添付ファイルを受け取ることが予期されるのは、どのような人なのだろうか?

 当社の最新の脅威レポートにて、Jarno Niemelaはこうしたドキュメント一式を取り上げ、そこから文章をすべて抜き出して、用語のクラウドを構築した。

Word clouds

 左側の用語クラウドは、テーマが政治的だと当社で分類したドキュメントからだ。右側のものは、企業をテーマにしていると感じたドキュメントによる。これらのクラウドから、攻撃者の興味を引いているのがどういった分野の類なのか、ヒントが得られる。

 しかしながら、同じトリックが永遠に使えるわけではない。エクスプロイトを添付して十分な数のメールを送ったら、標的は学習、適応する。それだからこそ、「水飲み場型攻撃」という形の新たなトリックを我々は目にしてきた。水飲み場型攻撃は次のように機能する。攻撃者は、標的が訪れると思しきWebサイトを探し出す。Twitterや、Facebook、Appleのようなソフトウェア企業を標的にしたいなら、おそらくモバイル開発用のWebサイトを選択するだろう。政府機関を追っているのなら、アメリカの労働省のWebサイトにIE8用のゼロデイエクスプロイトを仕掛けるかもしれない。その後は単に標的が当該サイトを訪れて、感染するのを待つだけだ。

 そしてまたUSBドライブを使った、古くて優れたトリックがある。

Russia USB G20

 G20首脳に提供されたUSBドライブに実際にマルウェアが含まれていたというニュースを裏付ける情報を、我々は持ち合わせていない。もし真実であるなら、少なくとも攻撃者を楽観性が欠けていると責めることはできない。

 つまり防御はシンプルなのだ。同僚からのメール添付を開かず、インターネットでWeb閲覧をせず、USBドライブを利用しなければよい。もちろん実際には、その他のことも数多く念頭に置いておく必要がある。やる気のある攻撃者から守ることは、非常に非常に困難だ。日々、すべての物事を適切にしておかなければならない。攻撃者はあなたが犯す過ちをたった1つ見つけるだけでよいのだ。悪者たちがそれを得るのは簡単すぎる。そして世の中でこれほど多くの組織が攻撃下に置かれているのは、これが理由だ。

 追伸。こうした攻撃から身を守るためのヒントについて、Jarno Niemelaが今秋のVirus Bulletinにて示したプレゼンテーションを参照するとよい。

Neutrino:現行犯で逮捕

 先週我々は、エクスプロイトキットへと導くiframeインジェクションを提供する、ハッキングされたサイトについて、Kafeineからヒントを得た。我々は非常に興味深いと考え、感染したWebサイトの1つを監視して、以下のコード片が潜んでいるのを見つけた。

sitecode



 ぼかしていない方(deobfuscated)のコードは、挿入されたiframeのURLがどこから集められるのかを示している。また同時にリダイレクトを許可するcookieを使用していることが分かる。さらにIE、Opera、Firefoxからブラウズしたユーザのみを標的に感染させることを表している。

 そして現在、ソースサイトや感染したサイトからの、古いが良質な断片情報がある。

injected



 感染したWebサイトが首尾よくリダイレクトをすると、ユーザはNeutrinoエクスプロイトキットに行き着く。これはJavaエクスプロイトを提供するものだ。

redirections



 トロイの木馬のペイロードをまだ十分に解析していないが、最初に確認した際に、以下のIPアドレスにHTTPポストを行っていることが判明した。

mapp



 今週の初め、おそらくまだ完全に影響を受けていない頃、挿入されたURLはgoogle.comに向けられていた。しかしながら、昨日の夕方、完全なオペレーションが開始され、Javaエクスプロイトを提供するNeutrinoにリダイレクトし始めた。

first_instance



 この時系列に基づき、感染したサイトを訪れた各IPアドレスの地点を地図上にプロットした。これらのIPアドレスはこの脅威における潜在的な犠牲者だ。おおよそ8万個のIPアドレスが存在する。

visitor3



 我々はまた、これまでに感染したWebサイトもプロットした。この脅威の影響を受けたドメインは2万超に達する。感染したサイトは、WordPressもしくはJoomla CMSのいずれかを使用しているように見受けられる。

hacked



 なお、この脅威に関する別の情報が、Kafeineのブログに投稿されている。

 このポストに関連があるサンプルは、Trojan:HTML/SORedir.A、Exploit:Java/Majava.A、Trojan:W32/Agent.DUOHとして検知される。

 Post by — Karmina and @Daavid

2013年、日本で急増するセキュリティ脅威 : 続くJavaエクスプロイト

2013年の日本では、JavaエクスプロイトのMajavaファミリーが、検知されたエクスプロイトのトップ五位を占めております。さらにJava Runtime Environment (JRE) の脆弱性CVE-2013-1493CVE-2013-2471を悪用する、他の二つのエクスプロイトにも注意が必要です。

2013年、日本で急増するセキュリティ脅威 : 猛威を奮うマルウェア

2013年、日本におけるセキュリティ脅威は、年末へ向けて急増しています。既に年初からの9ヶ月間で、エフセキュアが検知した件数は2倍に達しています。



今日、最も多く検知されているマルウェアはバックドアを仕掛ける「トロイの木馬」型のBandookです。BandookはWindows 2000, XP, 2003, Vista, 7を含むWindows NTファミリーに感染します。このマルウェアは感染したコンピュータをリモートでアクセス可能にし、画面キャプチャーやキーボード入力のログの詐取といった悪意のある機能を備えています。
また過去にConfickerとして知られていたDownadupの二つのファミリーが二位と三位を占めています。これらのファミリーが出現してから既に5年を経ていますが、日本でのWindows XP, 2000, 2003が引き続き数多く利用されているため、引き続き大きな脅威となっているといえます。
まもなくEOLとなるWindows XPの対策が急務となっています。

IEの脆弱性についてのアップデート #Japan #Metasploit

 2週間以上前、Internet Explorerの脆弱性に関するマイクロソフトのセキュリティ アドバイザリ(2887505)が公表された。その直後、当社は検知するエクスプロイトを追加した。この時点で、マイクロソフトは脆弱性の悪用は限定的だと報告していた。

Microsoft Security Advisory for CVE-2013-3893

 それ以降、メディアサイト経由で日本国内の標的が攻撃されている証拠が表面化してきた。

 そして先週、当社の顧客のアップストリームデータから、台湾で限定的に悪用されていることが示唆された。

 もっとも重要なのは、今ではCVE-2013-3893についてMetasploitがサポートしている点だ。つまりBlackholeのようなよく知られたエクスプロイトキットに追加されるのは、時間の問題に過ぎない。今週でなければ、マイクロソフトが次の火曜日にパッチをリリースする1日後または2日後になるのは、ほぼ確実だ。

 我々は(可能なら)更新されるまでIEを回避することをお勧めする。ネットワークを管理しているなら、Fix itツールがマイクロソフトから提供されている。

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

IEの脆弱性でリモートコード実行が可能に

 どのような種類のWindowsシステムであっても、あなたがその管理者であるなら、Microsoft Security Advisory (2887505)は、おそらく必読だ。

Microsoft Security Advisory for CVE-2013-3893

 Internet Explorerの全バージョンに影響がある。

 マイクロソフトは現状「特にInternet Explorer 8および9を狙った、限定的な数の標的型攻撃」について認識している。攻撃における限定的という性質が、近い将来、変わる可能性は大いにある。エクスプロイトキットの提供者が今まさに、その脆弱性に基づいたエクスプロイトを追加サポートするように動いているからだ。当社では、そのようなエクスプロイトの検知がすでに進行している。

 一方、マイクロソフトはFix itツールをリリース済みで、パッチがリリースされる前の潜在的な攻撃を軽減できる。

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

VDIなど仮想環境に特化した新しいソリューションのベータ提供開始

昨今、仮想環境の普及に伴い、サーバおよび端末共に仮想環境下でのセキュリティ対策が求められています。エフセキュアでは、このような仮想環境の利用頻度の広がり、特にVDI市場の成長に対して、より仮想環境に適した方式でのセキュリティソリューションが必要になると考え、仮想環境に特化したセキュリティソリューションSecurity for Virtual and Cloud Environment  (SVCE) のベータ版の提供を開始しました。

リソース競合問題の解決

仮想環境でアンチウイルス製品を使用する場合、一般に「AVストーム」や「ブートストーム」などと呼ばれるリソースの競合が問題となる場合があります。SVCEでは、各仮想端末で更新するパターンファイルの量や、スキャン時のリソース使用量を減らし、この問題を解決します。

検知率低下問題の解決

アンチウイルスソフトウェアを仮想環境で使用した場合、一般にマルウェア検知率は低下することが知られています。SVCEでは、検知率を保ちセキュリティ性能を損なうことなくご利用いただける製品を目指しております。

ベータ・テスト・プログラムへの参加方法など詳細はこちらをご覧ください。

AndroidマルウェアがSMTPに向かう

 Androidマルウェアの世界では新しいことは何もない、と思う間もなく、小さなことだが、非常に興味深いと驚くことがあった。SMTPサーバに接続してメール送信するAndroidマルウェアだ。

 SMTPを使用すること以外、このマルウェアはまったくもってありきたりのものだ。インストールすると、モバイル機器上に永続的に留まるために、アプリケーションはデバイス管理をアクティベートするかどうかユーザに尋ねる。この脅威はアプリケーションメニュー内に重要なアイコンを何も追加しない。むしろユーザは、アプリケーションマネージャを確認しないと、「Google Service」と偽装しているアプリケーションがあることに気付かない。

mobile1 (138k image)

 インストール後、当該アプリケーションは電話番号や、送受信したSMS、録音された音声のような慎重に扱うべきユーザ情報を、あるメールアドレスに向けて収集する。続いて、SMTPサーバ、特定したところではsmtp.gmail.com、smtp.163.com、smtp.126.comを用いて、盗んだデータを送信する。以下には、非常に中国臭がするものを感じている…。

code (169k image)

 この脅威がSMTPサーバに接続しようと試みているところのスクリーンショットを次に示す。

smtp (161k image)

 この脅威は、大抵の場合サードパーティーのAndroid市場や悪意あるWebサイトからダウンロードされることがわかっている。我々は1ヶ月前に初めてこのマルウェアファミリを目にしたが、以来活発に活動している。当社では既にこの脅威をTrojan:Android/SMSAgentとして検知する。

msms_android (59k image)

Post by — Swee Lai

DEFCON CTFネットワークを可視化せよ

今年のDEFCON CTFでもsutegoma2は予選を突破し、決勝に進みました。(CTFについては、こちらを参照)
私も五度目の決勝出場を果たす予定でしたが、直前で体調を崩してしまいドクターストップのため渡米すら叶いませんでした。
しかしチームメンバーが健闘してくれて、今までの中では最高となる6位という成績を収めることができました。

そんな中、今年はCTFネットワークを可視化するという試みを行いました。
日本のサイバーセキュリティで可視化と言えば、テレビでもおなじみのNICT(情報通信研究機構)が開発したnicterです。
そこで今回のDEFCON CTF決勝ではNICTの協力を得て、CTFでの攻防の様子を可視化することにしました。
やるからには見ておもしろいだけではなく、実戦で役に立つことを目標に開発が行われました。

実際に今年のCTFを可視化した動画をご覧ください。(音声あり)



CTFでは各サーバからキーと呼ばれるファイルを取得するか、上書きすることで得点が加算されていきます。そのため防御面ではキーが盗まれたことをいち早く察知し対応することが求められますので、キーが盗まれた場合には「警」マークを表示しています。

可視化することで、
  • どのサービスが攻撃の標的にされているのかを一目で把握できる
  • どこから攻撃が来ているのかを一目で把握できる
  • 侵入後の攻撃者の活動を観察することができる
  • 意図しないサービスが攻撃されていることを検知できる
  • 重要な情報の流出を検知できる
などのメリットがあることがわかります。

これらのメリットがあるということは、可視化が役に立つのはCTFだけではなく、企業のセキュリティにも応用できるということだと思います。

以上、参加してないのに今年のDEFCONレポートでした。

ランサムウェアBrowlockが新たな国々を標的に

 ここ数週間、当社は比較的新しい「警察ランサムウェア」ファミリを追っている。これは当社ではTrojan:HTML/Browlockと呼んでいる。このランサムウェアは非常に簡素で、被害者に偽の罰金の支払いを要求するロック画面を表示するためにブラウザを用いていて、そのブラウザのタブが閉じられてしまうのを避けるために策を弄しているだけだ。

 最初にアメリカ、カナダ、イギリスの人々を標的にするのを目撃したときから、新しい国々へと拡大していくことを予期していた。予期したとおり、現在ではその他の地域のユーザも、現地の法執行機関からのローカライズされたメッセージを目にしている。

 以下は、異なる国々で見られるBrowlockのロック画面だ。

Browlock in UK

Browlock in AU

Browlock in NL

Browlock in ES

 このランサムウェアファミリのほぼすべてについて、ロック画面を高品質でローカライズする翻訳者を見つけるのは、非常に難しかったように見受けられる。細心の注意を払って読めば(いや、おそらくどの程度の注意であっても十分だ)、ドイツ語のローカライズにいくつか細かな問題があることに気づく。

Browlock in DE

 カナダ人向けのロック画面のデザインも、概ね似通ったままだ。

Latest Browlock in CA

 気が付いたのだが、以下に挙げる以前のロック画面と見比べると、罰金が250カナダドルから150カナダドルへと下がっている。昨今の経済情勢の中で、ランサムウェアの犠牲者に対してさえ、このような高額の支払いを期待できないようだ。

Old Browlock in CA

 ドメイン名は変わるものの、現在ロック画面はすべてサンクトペテルブルクにある1台のサーバにホストされている。

Browlock Server

 当社はこのロック画面をTrojan:HTML/Browlock.Aとして検知する。

Post by — アンティおよびカルミナ

Java - 与え続ける才能

 脆弱性の研究者はJavaを愛しているに違いない。最近は特にJavaの2Dサブコンポーネントが、研究者たちの愛を感じていたように思われる。なぜなら2Dサブコンポーネントは、今年3月のCVE-2013-0809およびCVE-2013-1493に対する定例外のパッチ以降、合計で18個の修正済みの脆弱性があることになり、パッチ数が最多のサブコンポーネントとなったのだ。幸運にも、世間で唯一不正利用されたのはCVE-2013-1493のみとなっている。

 8月12日月曜日、さらにもう1つのJavaエクスプロイトへのリンクが共有された。

Tweet

 ツイートの内容と異なるが、このエクスプロイトは0デイではない。2Dサブコンポーネントのさらにもう1つの脆弱性CVE-2013-2465を悪用する。この問題はJava 7のupdate 21までのバージョンに影響があるが、最新バージョンのJava 7 update 25にはパッチが当てられている。当社ではこのエクスプロイトの検知(Exploit:Java/CVE-2013-2465.A)をリリース済みだが、ここまで現実世界では検出されていない。

 CVE-2013-2465は(まだ)現実に悪用されてはいないが、Java 7 update 21に影響を与える別のJavaの脆弱性CVE-2013-2460が存在する。このエクスプロイトは7月にエクスプロイトキットPrivateにて導入され、それ以来Sweet Orangeエクスプロイトキットでも目撃されている。さらに、カスペルスキー社は、この脆弱性が水飲み場型攻撃で悪用されることを指摘している(ポストの中で言及しているJARファイルはCVE-2012-4681ではなくCVE-2013-2460を悪用する)。

 まとめると、Java 7 update 25とJava 7 update 21のどちらを実行しているかで違いがある。Javaをアンインストールすることや、少なくともブラウザのプラグインを無効にすることが選択肢に無いのなら、最新版のJavaがインストールされていることを確認するとよい。

Grumpy cat

Post by — @Timo

追記さらに与え続けている。

偽の「F-Secure Security Pack」という悪意あるブラウザ拡張について

 当社では、ある悪意あるブラウザ拡張を追っている。このブラウザ拡張には、さまざまな異なるソフトウェア企業の手によるものだと表示される。

 これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。

 このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。

Contents of malware installer

 上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。

 このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。

Certificate information

 現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。

 Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。

Foobar

 Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。

ff_ext

 この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。

extension_chrome_pack

plugin_drweb

plugin_kingsoft

 ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。

extension_spanish_text

 以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。

extension_spanish_text

 設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。

extension_spanish_text

 F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。

 SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2

バックナンバー
「最新トラックバック」は提供を終了しました。
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード