エフセキュアブログ

標的型攻撃 を含む記事

まだまだある、BECの手口

先月、BEC(Business Email Compromise)の典型的な手口を紹介しつつ、注意喚起を行いました。
エフセキュアブログ : 社長のメールは真に受けるな!

このブログ記事のように社長のメールであれば無視しておけば済むんですが、BECというのは、いわゆる詐欺ですから、攻撃者は手を替え品を替え、あの手この手で襲いかかってきます。時に攻撃者はこちらがメールを無視できないという立場を巧みに利用することもあります。

まず攻撃者は企業のウェブサイト内にある問い合わせフォームからメッセージを送ります。問い合わせ内容は、「御社の新製品に興味があるので、カタログを送ってほしい」という感じです。

Contact Form
[一般的な問い合わせフォーム]

当然そういったメッセージを受け取った企業は喜び勇んで返信するでしょう。

Scheme1
[攻撃者が企業からの返信を受信したところ]

ここで、攻撃者は受信したメッセージへリプライしますが、その際にマルウェアを添付します。
Scheme2
[攻撃者がマルウェア付きメールを送信しているところ]

マルウェアの中身はこのように実行ファイル(bat,exeなど)になっています。
Scheme3
[添付ファイルの中身]

担当者は自分で送ったメールに対する返信なので、ついうっかり添付ファイルを開いてしまう・・可能性が高くなるというのが攻撃の手口です。

対策:
実行ファイルをダブルクリックしないように注意するという精神論ではどうしても限界がありますので、不特定多数の顧客から問い合わせを受け付ける人の端末では、実行ファイルの実行をシステム的に制限しておくことをおすすめします。
具体的な方法は過去の記事で紹介しています。

数独マルウェア vs. EMET 5.2

数ヶ月前、悪意のある数独問題ファイルを読み込むことの危険性について注意喚起を行いましたが、昨今の標的型攻撃の手口は悪質化、巧妙化の一途をたどり、ソーシャルエンジニアリングを駆使した攻撃手法も洗練され、もはや「悪意があるかどうかを事前に判断」することが困難になりつつあります。つまり、「不審な数独問題ファイルを開かない」というのが対策として機能しなくなってきたのです。

そこで近年注目されているのが、マイクロソフトが提供するEMETに代表されるような脆弱性防御(緩和)ソフトウェアです。
早速、EMETを有効にした状態で数独マルウェア(正確に言うと数独Exploit)を使って攻撃してみましょう。
デフォルトで3つのセキュリティレベルが用意されていますので、最高レベルの「Maximum security settings」を選択して実験を開始します。

SudokuExploitWithEmet52

なるほど、確かに攻撃を検知して防御してくれました。

では次に、EMETによる防御をバイパスしてみましょう。EMETの解説を読む限りでは、攻撃に使われる典型的な振る舞いをパターン化しているようです。そこで、一直線に攻撃に向かうのではなく、わざわざ遠回りをして攻撃してみます。例えて言うと、スタート地点Aから目的地Bに向かいたいが、途中に検問がある。だったら一度経由地Cを通ってから目的地Bに向かおうという、いたってシンプルな作戦です。
要するに
A -> B
という命令は
A -> C
C -> B
という二段階の命令に置き換えます。

完成した攻撃コードを実行した動画です。



脆弱性防御ソフトウェアは、あわてんぼうの攻撃者にとっては有効ですが、精巧に攻撃されるとまだまだバイパスが可能、という段階のようです。

また今回の実験はEMETだけでなく他の標的型攻撃対策ソフトに対しても同様にバイパスが可能でした。

「不審な数独問題ファイルを開かない」という自信の無い方は、業務用PCと数独用PCを分けることをおすすめします。

2015/10/06追記: EMET 5.5 Betaでも結果は同じでした。

エフセキュアのクラウド型セキュリティソリューションPSBの日本国内シェアが大幅増進

2015年8月25日に発行された調査レポート「情報セキュリティソリューション市場の現状と将来展望2015 外部攻撃防御型ソリューション編」(株式会社ミック経済研究所)によると、エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(以下PSB)」の日本国内でのシェアが大幅に増進したことが明らかになりました。

当レポートはPSBの2015年度のASP・SaaS型アンチウイルス・アンチマルウェア出荷金額シェアが14.3%に達したことを示しています。2013年度では7.6%、2014年度に9.2%であったシェアが大きく伸び、初めて二桁台となりました。

エフセキュア株式会社のカントリーマネージャであるキース・マーティンは「マイナンバー制度導入を目前に控え、また標的型攻撃が企業規模に関わらず広がっている現在、中小中堅企業での情報セキュリティ強化の必要性がますます高まっています。特にPSBはマイナンバー制度対応で求められているサンドボックス機能を標準で備えており、中小中堅企業でのセキュリティ対策強化の手段として有効です」と語っています。

エフセキュアのPSBは、クラウド型でサーバレス運用管理を実現した統合的なセキュリティソリューションで、WindowsやMacのワークステーションから、WindowsとLinuxのサーバ、さらにiOSとAndroidのモバイル端末まで一元管理を可能にします。管理サーバはWeb を通してエフセキュアから提供されるため、新たにサーバを構築する必要はありません。Web 上のGUI を通して、各エンドポイントにインストールされた統合型アンチウイルスソフトの設定・運用・管理を、簡便かつローコストで実現します。IT リソースやIT 投資に制限のある中規模・小規模の企業向けの製品です。

詳細:
エフセキュア プロテクション サービス ビジネス(PSB)

年金機構を襲ったマルウェアに感染しているかを1分で確認する方法

さすがに高性能なフォレンジックソフトを使えば簡単に見つけられるようです。

focus-s
株式会社フォーカスシステムズが公開した
年金機構への標的型攻撃に利用された「Emdivi」のResponder Proによる検知と解析


ただ、一般の方にしてみればちょっとオーバースペックかもしれませんので、もっと簡単に確認する方法を紹介します。

タスクマネージャーを開き、対象プロセスを右クリック、「ダンプファイルの作成」を選択します。
taskmanager_emdivi

あとは、作成されたダンプファイルからC2サーバのドメインを検索するだけです。
上記のサイトによると東京都港区にある海運企業のドメインは「p」で終わるようですので、「p.co.jp」で検索します。
cmd_emdivi

海運企業っぽい名前が出てきたら感染しています。

実際には海運企業以外もC2サーバとして使われていますので、もうちょっと汎用的なキーワードのほうがいいかもしれません。
cmd_emdivi2

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

この世は標的型攻撃に満ちている?


当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

いやいや、間違いあるだろう。NCR社製以外のATMをお使いの業者の方も安心してはいけません。

問題となっているWOSA/XFSという規格は、ウィキペディアでの説明によると、ベンダーごとにばらばらだったATMの規格を統一するために作られた規格です。WOSAのOはOpenのOですので、わざわざ百度(バイドゥ)さんの力を借りなくても誰でもソースコードレベルで実装を手に入れることができます。NCR社だって、XFSを使っていることを堂々とオープンに宣伝しています。

そういうわけですので、「NCR APTRA XFSソフトウェア」がインストールされていなくてもマルウェアは動きます。実際にmsxfs.dllをインストールした私の手元にあるWindowsでも動いています。



残念ながら手元のWindowsには現金が入っていないので、現金があるかのようにエミュレートしています。
(エミュレート部分は弊社エンジニア(op)により作成されました。)

要するに、統一規格であるXFSを採用しているATMであれば被害を受ける可能性があるということです。

じゃあ日本ではどれだけ採用されているのかというと、ウィキペディアのXFSのページには次のように書かれています。
日本国内の主要ATM及び通貨処理機メーカーは、ほぼ全ての金融関連製品で本規格(旧版を含め)を活用している

エフセキュア、標的型攻撃のクライムウェア’BlackEnergy’に関するホワイトペーパーをリリース



エフセキュアは、政府機関に狙いを定めたクライムウェア ’BlackEnergy’ について解析し、このたびホワイトペーパーをリリースしました。

BlackEnergyは2007年に出現して以来、闇市場で売買されているクライムウェアです。元々は、DDos攻撃を行うボットネットを構築するためのツールキットとして設計されていました。その後様々なプラグインをサポートするように進化し、攻撃の目的に応じた機能を拡張するようになっています。

ツールキットの特性としてBlackEnergyは、様々な犯罪集団によって異なる目的のために使われてきました。例えばスパム送付や、オンライン・バンキングの認証の詐取などです。

2014年夏、BlackEnergyがウクライナの政府機関を攻撃するために改変されたことで注目を集めました。直接的な関連性は確認されていませんが、この改変は、ウクライナにおける現在の危機と時期を同じくしています。政治的な危機と関連があろうとなかろうと、確実なのは、カスタマイズされたBlackEnergyを悪用しているグループが、標的から情報の詐取を意図していることです。また攻撃において重視されているのは、誰によって行われているのか判らないようにされているところです。

当ホワイトペーパーでは、特にエフセキュアが ’Quedash’と命名したグループによって使用されているサンプルについて説明しています。

詳細な情報はこちらのホワイトペーパーでご覧いただけます(英語)。

エフセキュア、イーセクターとアンチ・マルウェア製品展開で戦略的パートナーシップ締結

エフセキュア株式会社は、株式会社イーセクターと仮想環境向けアンチ・マルウェア製品を中心とするビジネス展開で戦略的なパートナーシップを締結いたしました。

現在、企業の規模を問わず、情報システムのインフラのクラウド化や仮想化が急速に進んでいます。一方、仮想化基盤は各社ごとに異なるユーティリティ機能が存在するため、アンチ・マルウェア製品の導入設定を行う際にはそれら仮想化基盤固有の機能に関するノウハウが重要となります。

エフセキュアは仮想化やVDI環境下でのセキュリティソリューション「エフセキュア 仮想スキャンサーバ」をご提供しておりますが、更に仮想環境へのスムーズな移行を促進することを目的に、イーセクターと戦略的なパートナーシップを締結いたしました。イーセクターは、専任の技術者を配備し、「エフセキュア 仮想スキャンサーバ」のみならず、物理環境と仮想環境、およびサーバとクライアントの混在環境上のアンチ・マルウェア製品の設計や構築の支援並びに保守サービスを、パートナーおよびユーザーへ提供します。

エフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「イーセクターの、卓越したセキュリティソフトウェアの販売・サポート力と、最新システム基盤に対するノウハウが、仮想化やクラウド化の促進のためのメニューとして提供開始されたことに、深く賛同申し上げます。エフセキュアはイーセクターの先進的な取り組みの戦略的パートナーとして選ばれたことを誇りに思い、今後も優れたセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はMicrosoft Hyper-V、VMware vSphere、Citrix XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

エフセキュア、「クライアントセキュリティ」とFFRIのFFR yaraiの共存動作検証を完了

エフセキュア株式会社は、株式会社FFRIと共同で検証作業を実施し、法人向けセキュリティソリューション「エフセキュア クライアント セキュリティ」および「エフセキュアWindowsサーバ セキュリティ」が、FFRIの標的型攻撃対策ソリューション「FFR yarai」と共存動作が可能であることを確認いたしました。

昨今、特定の組織や企業にターゲットを当てた標的型攻撃が激化しており、組織の規模の大小に関わらず、その対策が急務となっています。

このたびの共存動作検証により、エフセキュアのクライアント向けおよびWindowsサーバ向けのセキュリティ・ソリューション「エフセキュア クライアント セキュリティ」と「エフセキュアWindowsサーバ セキュリティ」が、FFRIの標的型攻撃対策ソリューション「FFR yarai」と組み合わせて利用いただけることが確認されました。標的型攻撃で悪用される未知のウイルスや、ゼロデイ攻撃に対して、異なる検査ロジックを持つエフセキュアの「ディープガード」と「FFR yarai」のエンジンで多層的な防御が可能になり、標的型攻撃に対する対策能力が大きく上昇します。

「エフセキュア クライアント セキュリティ」と「エフセキュアWindowsサーバ セキュリティ」は、第三者評価機関の「AV Test Best Protection Award」を3年連続受賞した高い検知率を誇るウイルス対策ソフトウェアです。これらはPCやサーバのリソースを最小限に抑えて、未知のウイルス対策を行うことを可能にします。またエフセキュア独自のソフトウェア・アップデートの機能を利用することで、OSおよびアプリケーションのセキュリティ・パッチを常に最新に保ち、より強固なセキュリティを維持することができます。

なおエフセキュアは、8月1日(金) 14:00に予定されているFFRI主催のセミナー「レガシーOSを狙った標的型攻撃は多層防御で守る」に共催し、仮想環境でのセキュリティ対策の課題とそのソリューションを紹介をいたします。

セミナー詳細:
http://www.ffri.jp/seminar_all/houseSeminar_20140801.htm

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

エフセキュア、ソネットの仮想クライアントソリューションに快適でセキュアなマルウェア対策を提供

エフセキュア株式会社(本社: 東京都港区、カントリーマネージャ: アリエン ヴァン ブロックランド、以下 エフセキュア)は、ソネット株式会社(本社:東京都品川区、代表取締役社長 石井隆一、以下 ソネット)の法人向け仮想クライアント新サービス「Mobility Acceleration」に、エフセキュアのマルウェア対策ソリューション「エフセキュア仮想スキャンサーバ」が標準搭載されたことを発表いたします。

ソネットの「Mobility Acceleration」は、2014年5月21日に提供が開始された、”bit-drive”ブランドで展開される法人向け仮想クライアントソリューションです。「Mobility Acceleration」のDaaS型ソリューション「仮想デスクトップサービス」および「Windows Server パッケージ」に、エフセキュアの仮想環境向けマルウェア対策ソリューションが標準搭載されました。「仮想デスクトップサービス」には「エフセキュア 仮想スキャンサーバ」と「エフセキュア Windows サーバ セキュリティ」が、「Windows Server パッケージ」には「エフセキュア 仮想スキャンサーバ」がそれぞれ採用されています。これにより両サービスのユーザは、高い検知率や防御機能を持ち仮想環境に最適化されたエフセキュアのテクノロジーによって保護されます。

ソネット株式会社の執行役員(bit-drive事業担当)、雁瀬繁氏は、「企業のIT環境においてはスマートフォンやタブレットの普及に伴い、クライアントの仮想化が急速に発展しています。この度、So-netではこのようなニーズに対応すべく、DaaSをはじめとしたクライアント仮想化ソリューション 『Mobility Acceleration』の提供開始に至りました。本サービスでは高度なセキュリティ環境を構築することが極めて重要です。仮想環境に最適化されたエフセキュアの仮想スキャンサーバにより、高度なセキュリティ対策が実現できることを喜ばしく思います。」と語っています。

またエフセキュア株式会社のカントリー・マネージャ、アリエン・ヴァン・ブロックランドは「ソネットの、仮想化時代を先取りした新サービス『Mobility Acceleration』に対し深く賛同申し上げます。エフセキュアはソネットのこのような先進的なサービスにおいて選ばれたことを誇りに思い、同サービスのお客様に対して妥協のないかつ快適なセキュリティ環境を提供してまいります。」と述べています。

「エフセキュア 仮想スキャンサーバ」はクラウド・サービスや仮想化環境でのシステム構築が益々普及して行く時代に向け、脆弱性攻撃、標的型攻撃などに対しても高い防御能力を持ち、これらを最適化されたリソース消費で実現する画期的なアンチ・マルウェアソリューションです。「エフセキュア 仮想スキャンサーバ」はHyper-V、vSphere、XenServerなどさまざまなハイパーバイザーをサポートしており柔軟性と拡張性を実現したセキュリティ対策を提供します。

また、「エフセキュア ポリシーマネージャ」を使うことにより物理・仮想環境の混在する複雑なハイブリッド環境であっても容易に構築、管理することが可能となります。

標的型攻撃とウクライナ

 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。

 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。

 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE-2013-0640を悪用したPDFファイルが用いられた。

 同様のケースを調査するために、我々はペイロードとMiniDukuのPDFファイルの囮文書を展開するツールを作成した。先週このツールを用いて、潜在的にMiniDukeである可能性がある大量のサンプル群を処理することができた。展開された囮文書の集合を眺めているうちに、ウクライナに言及した、いくつかの文書に気付いた。当該地域の現在の危機を考慮すると、これは興味深い。

 以下はこうした文書の一例である。

Ukraine MiniDuke

Ukraine MiniDuke

Ukraine MiniDuke

 攻撃者は、公開情報からこうした囮文書の一部を収集していた。しかしながら、以下のスキャンされたような書類の囮ファイルは、どのような公開情報からも発見できそうもない。

Ukraine MiniDuke

 書類にはウクライナ外務第一次官Ruslan Demchenko氏の署名がある。この書簡はウクライナにある外交機関の長へ宛てたものだ。翻訳すると、第一次世界大戦から100周年の記念に関することが記されている。

 攻撃者がどこでこの囮ファイルを手に入れたのか、我々にはわからない。こうした攻撃により誰が標的になっているのかも不明だ。そして、攻撃の背後にいる人物についても。

 我々が分かっているのは、こうした攻撃はすべて脆弱性CVE-2013-0640を用いており、同じバックドア(コンパイル日:2013-02-21)をドロップすることのみだ。

 当社ではPDFファイルを
Exploit:W32/MiniDuke.C(SHA1: 77a62f51649388e8da9939d5c467f56102269eb1)、バックドアをGen:Variant.MiniDuke.1(SHA1: b14a6f948a0dc263fad538668f6dadef9c296df2)として検知する。

—————

Research and analysis by Timo Hirvonen

中小中堅企業(SMB)のソフトウェア・アップデートの実態

標的型攻撃などを防ぐため、OSやアプリケーションの脆弱性を塞ぐパッチ適用(ソフトウェア・アップデート)は、企業規模を問わず喫緊の課題となっています。それでは中小中堅企業(SMB)では、どこまでソフトウェア・アップデートに対応できているのでしょうか? *

社用PCへの私用ソフトウェアのインストール

社内ネットワークへ直接接続される社用のPCへ私用のソフトウェアをインストールする行為は、大きなセキュリティ・ホールとなる危険性があります。ところが、こうした行為を認めている企業はおよそ半数の46%に達してることが判明しました。これは従業員規模が小さい企業ほど顕著な傾向となっており、従業員規模が1〜49名の企業では56%、50〜249名で46%、250〜500名の企業の39%が私用ソフトウェアのインストールを認めています。

ソフトウェア・アップデートの方法

社用のPCへ私用のソフトウェアのインストールを認めている企業では、ソフトウェアのアップデートを従業員に任せている率が67%に達しています。またMicrosoft Updateを実施しているものの、アプリケーションのパッチ管理は行っていない企業は30%に上ります。なんらかのツールを使用してソフトウェア・アップデートを実施している企業は2%に過ぎません。





ソフトウェア・アップデートの重要性

ソフトウェア・アップデートの重要性については、77%の企業が「極めて重要、たいへん重要」、さらに17%が「重要」と回答しており、十分に認識されています。一方、ソフトウェア・アップデートに費やしている時間は週当たり平均11時間で、中小中堅企業(SMB)にとって大きな負担となっています。ソフトウェア・アップデートの負担を軽減しつつ、タイムリーに適用してセキュリティを確保するための、適切なツールが求められていると考えられます。


* エフセキュアの2014年デジタル企業調査は、8カ国(ドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、アメリカ合衆国)で1〜500名の従業員(平均200名)を有する企業を対象にWebインタビューを実施しました。同調査は2013年11月に実施されました。

ファイルサイズだけで悪性文書ファイルを検出するツールをリリース

残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。
ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した
http://www.codeblue.jp/speaker.htmlより引用

ファイルサイズだけで、というのはすごいですね。
後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。
user@local:~/Product$ cat f-checker.py
#!/usr/bin/python
import os, sys
print "malicious" if os.path.getsize(sys.argv[1]) % 512 else "benign"

使い方は簡単で、次のように検知対象ファイルを指定するだけです。ちなみに指定しているのはRed Octoberという日本も標的となったスパイ活動で使用されたファイルです。
user@local:~/Product$ python f-checker.py 'WORK PLAN (APRIL-JUNE 2011).xls'
benign

それでは検知率を調べてみましょう。エフセキュアブログではミッコや他のエンジニアがマルウェアのハッシュ値を公開してくれていますので、その中から検査対象をリストアップすることにします。ファイルサイズに着目する方法はPDFや最近よくマルウェアに使われるdocx形式のファイルに対しては効果がありませんので、今回はdoc、xls、pptファイルだけに絞ってリストアップします。合計で12個のマルウェアが見つかりました。エフセキュアブログでフォーカスされるだけあって、悪質な標的型攻撃で使われたマルウェアばかりです。

検知率は次のとおりになりました。
f-checker75%
T社AV92%
S社AV92%
M社AV100%

私のツールはまだまだ改善の余地がありそうです。

検知対象としたファイルのハッシュ値:
0c1733b4add4e053ea58d6fb547c8759
362d2011c222ae17f801e3c79e099ca7
3c740451ef1ea89e9f943e3760b37d3b
4031049fe402e8ba587583c08a25221a
46d0edc0a11ed88c0a39bc2118b3c4e071413a4b
4bb64c1da2f73da11f331a96d55d63e2
51bb2d536f07341e3131d070dd73f2c669dae78e
7ca4ab177f480503653702b33366111f
8f51b0e60d4d4764c480af5ec3a9ca19
97a3d097c686b5348084f5b4df8396ce
d8aefd8e3c96a56123cd5f07192b7369
ee84c5d626bf8450782f24fd7d2f3ae6

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906

 水曜日、我々はマイクロソフトのグラフィックコンポーネントにおけるゼロデイの脆弱性について取り上げた。この脆弱性は、Wordドキュメントを用いた標的型攻撃で活発に悪用されている。

 かいつまんでいうと、このエクスプロイトが当社のInternet Securityに敗北する動画が以下にある。


DeepGuard 5 vs. Microsoft Graphic Component Zero-Day Exploit CVE-2013-3906

 動画内のWordドキュメントは実際の攻撃で使われてきたもので、McAfeeAlien Vaultが分析したエクスプロイトの1つだ。分離された試験用ネットワーク上で、64ビット版Windows 7でOffice 2007を実行する脆弱なシステムを用いて、攻撃を再生成した。動画で実演している通り、DeepGuard 5(当社のビヘイビア・エンジン)のエクスプロイトを捕捉する機能によって、システムを感染から防いでいる。

 さらにDeepGuardは、マイクロソフトのアドバイザリよりも前に、誰も最初のサンプルを目にしたことがなくても、先手を打ってこのゼロデイエクスプロイトから顧客を保護していた。

 その上、DeepGuardの検知機能に何ら追加や修正は必要なかった。約1か月前の、先のマイクロソフトのゼロデイ用と同じ検知ルールセットで、今回のゼロデイがブロックされた。

 これがビヘイビアベースのプロアクティブなエクスプロイト検知の力だ。

 Post by — Timo*

 * 編集メモ:ティモは上級研究員で、(正当に言って)当社が誇るDeepGuardサービスの責任者だ。あっぱれ、ティモ!

やる気のある攻撃者が望むものをたびたび手に入れるのはなぜか

 組織外の人から見て経済的な価値を持つ可能性がある情報を保持する企業に、あなたはお勤めだろうか?あるいは、共有ネットワークドライブに保存しているドキュメントへのアクセスを得ると、もしかすると外国で役に立つだろうか?イエス?それなら、おめでとう。あなたは既に、しつこくてやる気のある攻撃者(ときに、ただし稀にだが高度な技術を持つ)の標的になっているかもしれない。

 フィンランドCERTのこちらのプレゼンテーションによれば、フィンランドでさえこうした攻撃が10年近く見られる。昨今では、至る所にある。

 標的型攻撃の好例は、2011年にRSAに対して行われたもので、当社ではティモ・ヒルヴォネンが分析を行った。RSAのネットワークでの感染に関して、ティモがオリジナルのソースを探し、最終的に見つけるまでの話は、この投稿にすべて記載されている。

RSA 2011 email

 RSAは、ある従業員宛てのメールの添付として送付されたドキュメントにより侵害された。このドキュメントには従業員のコンピュータに感染したエクスプロイトが埋め込まれており、攻撃者が侵入するのに不可欠な足がかりとなっている。当該コンピュータから、ネットワーク上の残りのコンピュータを侵害するために移動していくのだ。

 Virustotal経由で我々が受け取ったファイルの中から、ティモはドキュメントを見つけた。Virustotalとは、投稿したファイルをいくつかのアンチウイルス・エンジンでスキャンできるオンライン・サービスだ。ユーザはスキャン結果、つまり悪意がある可能性を確認することができ、またファイルはさらに分析するためにアンチウイルス企業に送付される。Virustotalでは日々数十万のファイルが投稿される様子が見られる。

 悪意あるものを検知するかを確認したいので、我々はVirustotalから送付されるファイルの分析に多大な努力を費やしている。日常的なマルウェアに加えて、不審なユーザがスキャンするために投稿するエクスプロイト・ドキュメントも分析している。

APT animation

 上のすべてのドキュメントにはエクスプロイト・コードが含まれ、脆弱性のあるドキュメント・リーダーでこれらのドキュメントを開くと、ユーザのコンピュータにマルウェアが自動的にインストールされる。ドキュメントからは標的について垣間見ることもできる。このような添付ファイルを受け取ることが予期されるのは、どのような人なのだろうか?

 当社の最新の脅威レポートにて、Jarno Niemelaはこうしたドキュメント一式を取り上げ、そこから文章をすべて抜き出して、用語のクラウドを構築した。

Word clouds

 左側の用語クラウドは、テーマが政治的だと当社で分類したドキュメントからだ。右側のものは、企業をテーマにしていると感じたドキュメントによる。これらのクラウドから、攻撃者の興味を引いているのがどういった分野の類なのか、ヒントが得られる。

 しかしながら、同じトリックが永遠に使えるわけではない。エクスプロイトを添付して十分な数のメールを送ったら、標的は学習、適応する。それだからこそ、「水飲み場型攻撃」という形の新たなトリックを我々は目にしてきた。水飲み場型攻撃は次のように機能する。攻撃者は、標的が訪れると思しきWebサイトを探し出す。Twitterや、Facebook、Appleのようなソフトウェア企業を標的にしたいなら、おそらくモバイル開発用のWebサイトを選択するだろう。政府機関を追っているのなら、アメリカの労働省のWebサイトにIE8用のゼロデイエクスプロイトを仕掛けるかもしれない。その後は単に標的が当該サイトを訪れて、感染するのを待つだけだ。

 そしてまたUSBドライブを使った、古くて優れたトリックがある。

Russia USB G20

 G20首脳に提供されたUSBドライブに実際にマルウェアが含まれていたというニュースを裏付ける情報を、我々は持ち合わせていない。もし真実であるなら、少なくとも攻撃者を楽観性が欠けていると責めることはできない。

 つまり防御はシンプルなのだ。同僚からのメール添付を開かず、インターネットでWeb閲覧をせず、USBドライブを利用しなければよい。もちろん実際には、その他のことも数多く念頭に置いておく必要がある。やる気のある攻撃者から守ることは、非常に非常に困難だ。日々、すべての物事を適切にしておかなければならない。攻撃者はあなたが犯す過ちをたった1つ見つけるだけでよいのだ。悪者たちがそれを得るのは簡単すぎる。そして世の中でこれほど多くの組織が攻撃下に置かれているのは、これが理由だ。

 追伸。こうした攻撃から身を守るためのヒントについて、Jarno Niemelaが今秋のVirus Bulletinにて示したプレゼンテーションを参照するとよい。

企業を狙った持続的標的型攻撃(Advanced Persistent Threat : APT)の傾向

持続的標的型攻撃(APT)は、狙いを定めた組織や業界内のユーザーに対して、エクスプロイトを巧妙に仕掛けた文書を送りつける手法です。2012年から13年にかけて多くのAPTが報告されています。エフセキュアでは収集したAPTの文書から100件をランダムに選択し分析しました。



APTの内容で最大なものは政治的なモチベーションによるところですが、その次に大きなターゲットは企業ユーザーです。企業ユーザーを狙ったAPTの多くの場合、会議の議事録や報告書に似せた文書が使用されます。特に議事録は、通常のビジネスのプロセスの一部として広げられることが多いため、攻撃者が入手して改ざんしたものを拡散することが容易になっています。次に一般的なAPTの文書は報告書です。これらもまた比較的入手しやすく、信頼できるビジネス上の文書として拡散が簡単なためです。特にアジア諸国の宇宙航空産業やエネルギー業界がターゲットとなっており、攻撃者がアジアのこれらの分野に関心を抱いていることが推測されます。

なおAPTのターゲットとされた企業にとって、APTの文書類はセンシティブな内容であることが多いため、これらの文書を共有せず、機密扱いにする場合が多いと考えられます。それでも弊社が共有可能な文書に基づいた限りでも、アジア地域の企業がターゲットになっていることは間違いありません。貴重な情報を有している限り、APTのターゲットになりえます。

IEの脆弱性でリモートコード実行が可能に

 どのような種類のWindowsシステムであっても、あなたがその管理者であるなら、Microsoft Security Advisory (2887505)は、おそらく必読だ。

Microsoft Security Advisory for CVE-2013-3893

 Internet Explorerの全バージョンに影響がある。

 マイクロソフトは現状「特にInternet Explorer 8および9を狙った、限定的な数の標的型攻撃」について認識している。攻撃における限定的という性質が、近い将来、変わる可能性は大いにある。エクスプロイトキットの提供者が今まさに、その脆弱性に基づいたエクスプロイトを追加サポートするように動いているからだ。当社では、そのようなエクスプロイトの検知がすでに進行している。

 一方、マイクロソフトはFix itツールをリリース済みで、パッチがリリースされる前の潜在的な攻撃を軽減できる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード