エフセキュアブログ

OS X を含む記事

もっとも手が届きやすい果実:Java

 コンピュータ・セキュリティ上、あらゆる評価基準において、現時点でもっとも手が届きやすい果実という称号の保持者はJavaだ(Javaという言葉で、ここではJREや各種ブラウザのプラグインも意味する)。ずっとそうだった訳ではない。どうして、こうなったのだろうか?手の届きやすい果実の歴史について、ハイライトをおさらいしよう。

2004〜2008年:WindowsからOfficeへ攻撃がシフト

2004年8月 — Windows XP Service Pack 2がリリース

2005年2月 — RSA Conferenceにてマイクロソフトが最初のベータ版Microsoft Updateをアナウンス

2005年6月 — Microsoft Updateの初回リリース

結果:Windows UpdateからMicrosoft Updateに置き換わって以降、時間と共に世の中のMicrosoft Officeの脆弱性が減った

2008〜2010年:攻撃の焦点が徐々にAdobeへ

2009年2月 — Adobe Reader has become the new IE(Adobe Readerが新たなIEになる)

From my point of view, Adobe Reader has become the new IE. For security reasons, avoid it if you can.

2009年3月 — Adobeが四半期ごとのアップデート・スケジュールを開始。「Patch Tuesday(訳注:Microsoftの定例アップデート)」と同日に入手できるようになる

  •  ASSET Blog:Adobe Reader and Acrobat Security Initiative

2009年4月 — OracleがSunを買収、Javaのオーナーに

2010年3月 — PDFベースの標的型攻撃が増加

Targeted Attacks

  •  Computerworld:Hackers love to exploit PDF bugs, says researcher

 Adobeはこのデータに驚いてはいなかった。「数多くの当社製品が相対的にユビキタスでプラットフォ―ム共通であることから、Adobeは攻撃者から注目を集めており、今後もさらに集め続けていくことになりそうだ。」

Given the relative ubiquity and cross-platform reach of many of our products…

2010年7月 — AdobeがMicrosoftのMAPPプログラムに参加

  •  ASSET Blog:Working Together: Adobe Vulnerability Info Sharing via Microsoft Active Protections Program (MAPP)

結果:Adobeがチーム・プレイヤーとなり、その成果を得た。

2010〜2013年:Javaが(複数のOSにおいて)もっとも手が届きやすい果実という称号に名乗りを上げる

2012年4月 — Adobeが「四半期ごとのアップデート」を終了し、必要に応じて毎月行うことに。マイクロソフトのアップデート・スケジュールに依然沿っている

  •  ASSET Blog:Background on Security Bulletin APSB12-08

2012年8月 — Javaランタイム環境 = 常に脆弱なマシン

2013年1月 — ZDNetのレポーターEd Bott氏が、Javaをフォイストウェアの新たな王だと断言

  •  ZDNet:A close look at how Oracle installs deceptive software with Java updates

2013年2月 — 多数の企業がJavaを原因とするセキュリティ上の欠陥を認める

  •  The Verge:After so many hacks, why won't Java just go away?

結果:ブラウザのJavaプラグインは公衆の敵ナンバーワンだと見なされる

 しかし待てよ。ブラウザのJavaプラグインを無効にするだけで十分だろうか?

2011年3月 — Spotify Freeのユーザが、悪意のある広告経由で攻撃される。少なくとも1つの攻撃で、Javaエクスプロイトが用いられる

  •  SC Magazine:Spotify in malvertising scare

 Javaを起動できるのは「ブラウザ」だけではないようだ。

2013〜201X年:Oracleが進化するか、JREが次第に重要でなくなる

 Oracleは1、4、7、10月の17日にもっとも近い火曜日にクリティカル・パッチ・アップデートをリリースしている。「Patch Tuesday」とは別の(遅い)日にこうしたアップデートをリリースすることで、今のところOracleは、IT部門に対し、パッチ・メンテナンスの評価や試験ミーティングの予定をさらに別に設定することを強いている。

 本当に何かを変えなければならない。

2013年の7大予想

2013 Forecast

1. 我々が知っているインターネットが終焉を迎える?

 ITR(the International Telecommunications Regulations)条約の変更を仕上げるためのWCIT(the World Conference on International Telecommunications)が、ITU(the International Telecommunication Union)によって開催される。

 出席者は世界各国の政府や企業の代表で、全員がインターネットの自由に関心があるわけではない。結局、米国はWCITで策定されたITR条約に署名しないことを発表する。他に数カ国が米国に続く。

−詳細−

Foreign Policy: Official: U.S. won't sign Internet treaty
Ars Technica: Why the ITU is the wrong place to set Internet standards
.Nxt: Internet humbles UN telecoms agency
GulfNews.com: Web under closer state watch

 GulfNews.com(訳注:アラブ首長国連邦の英字新聞社)はこの問題について、西洋メディアとは異なる見解を持つようだ。

2. 情報流出により、さらに多くの政府出資の諜報ツールが暴露される

 Stuxnet、Flame、Gaussなどなど。これらは氷山の一角なのだろうか?

 サイバー兵器競争はかなり本格化している。国民国家の内密なサイバー軍事作戦について、我々はすべてを認識できているわけではないが、当該国家の政府がそのような行動にますます乗り出していくことは予期できる。2013年、これまで攻撃元として見なされていなかった国々から、これを確実に示す情報が流出する可能性はかなり高い。兵器競争が過熱するにつれて、情報流出の確率は上がるのだ。

3. モバイル端末のマルウェアのコモディティ化が進む

 Android OSは、電話機からタブレット、テレビ、特化したバージョンのタブレットに広がっており、これまでのモバイル端末OSとは異なる方法で強固なものになっていく。ユビキタス化が進むにつれて、最上位にマルウェアを構築するのは容易になり、犯罪者にとってビジネスに取り込む機会が増えてくる。サイバー犯罪者が構築したツールキットを伴ったモバイル・マルウェアのコモディティ化が進み、ハッキングのスキルが実際にはない別の犯罪者が購入、使用することができる。言い換えると、Android用のMalware as a Serviceだ。

4. 新たなマルウェアの発生がMacを襲う

 2011年はMac Defenderと呼ばれるスケアウェアが見られ、2012年はFlashbackがJavaの脆弱性を悪用した。F-Secure Labは、2013年は別のMacのマルウェアが発生し、Macコミュニティ内である程度の成功を収めると予測する。

 Flashback Trojanの作者は相変わらず逃亡中で、他のことに取り組んでいると噂されている。またMac OSにセキュリティ上の高度な変更がなされてきた一方で、Macが直面している脅威に基本的に無関心なMacユーザのグループがあり、彼らは新たなマルウェアの発生に弱い。

5. スマートTVがハッカーの攻撃対象になる

 スマートTVがインターネットに接続され、処理能力を得たが、一般にセキュリティを備えておらず、攻撃に対して無防備である。脆弱性に加え、数多くのスマートTVは家庭のコンピュータと異なり、望まないトラフィックを逸らすルータという緩衝なしにインターネットに直結している。さらに、消費者は多くの場合、Web管理のために設定された、工場出荷時のデフォルトのユーザ名とパスワードを変更しない。これではハッカーがアクセスするのは簡単だ。

 インターネット上のスマートTVを走査するのは、ハッカーにとっては非常に容易だ。発見したら、デフォルトのユーザ名とパスワードを使うだけで、簡単に入れる。セットトップ・ボックスに伝染するLightAidraが、2012年にすでに目撃されている。2013年はスマートTVがクリック詐欺やBitcoinマイニング、DDoS攻撃に悪用されるのを目にする可能性がある。

−詳細−

CERT-FI: Onko digi-tv-laitteesi bottiverkon orjakone?
CERT-FI: Digitv-virittimistakin tavattu haittaohjelmia
Computerworld: Samsung TV vulnerability could let a hacker change the channel

6. モバイル・スパイ・ソフトウェアが主流に加わる

 2013年は、ペアレンタル・コントロール目的以外にも、トラッキング・ソフトウェアの人気の高まりが見られるかもしれない。子供のFacebook上での言動など、子供の行動を監視する、子供の安全性のためのアプリケーションは、すでに成長してきている。この種のソフトウェアは子供のみならず、もちろん誰でも対象に見張るのに使用できる。スマートフォンの数が増加するにつれて、より多くの人がこのようなソフトウェアを探し求める。たとえば配偶者が何をたくらんでいるのかを見つける目的で。

7. コンテンツの優良顧客にタブレットが無料で提供される

 タブレットや電子書籍が大流行しており、またiPadとiTunes、KindleとAmazonのように閉鎖的な生態系が非常によく見られる。Kindleの価格は下がり続けている。2013年、AmazonやBarnes & Noble(訳注:米国の大手書店)といったコンテンツに課金する企業は、優良顧客に無料の電子書籍やタブレットを提供するかもしれないと、F-Secure Labは予想している。閉鎖的な生態系はよりセキュアだが、プライバシー保護は提供元を信頼するしかない。

 したがってセキュリティにとって良いことは、プライバシーにとってはすばらしいことではないかもしれない。

 またAmazonは最近、子供向けのコンテンツとゲームが無制限の、定額プランを発表した。専用性や閉鎖性が高まるにつれて、デバイスはより入手しやすくなる。また、Windowsベースのコンピュータの使用を子供に制限することを選択する保護者は、ますます増える。これは、ペアレンタル・コントロール・ソフトウェアの必要性に影響するだろう。

ダライ・ラマ関連のWebサイトでMacの新しいマルウェアが見つかる

当社Threat Researchチームの一員であるBrodは、垂れ込みに基づき調査を行った。そして、ダライ・ラマ関連のWebサイトが侵害され、新たなMacのマルウェアをプッシュしてくることを発見した。このマルウェアはDocksterと呼ばれ、Javaベースのエクスプロイトを用いている。

 以下はgyalwarinpoche.comのページのソースだ。

gyalwarinpoche.com --jar

 Googleのキャッシュにあるgyalwarinpoche.comのスクリーンショットは次のとおり。

gyalwarinpoche.com, cached image

 注意:Googleの11月27日のスナップショットにもやはり悪意のあるエクスプロイトへのリンクが含まれる(つまり踏まないように)。

 gyalwarinpocheのサイトは、以下のdalailama.comと「公式っぽさ」が違って見える(訳注:ギャルワ・リンポチェはダライ・ラマの尊称)。

dalailama.com

 しかし2009年または2010年辺りから存在し、ダライ・ラマのYouTubeチャンネルと同じ名前を持つ。

 またWhoisの情報も似ている。

whois: dalailama.com
dalailama.com

whois: gyalwarinpoche.com
gyalwarinpoche.com

 このJavaベースのエクスプロイトは「Flashback」と同じCVE-2012-0507の脆弱性を悪用する。現行バージョンのMac OS Xや、ブラウザのJavaプラグインが無効になったMac OSではエクスプロイトによる危険性はない。送り込まれるマルウェアBackdoorOSXDockster.Aは、ファイルのダウンロードやキーロガーの機能を持つベーシックなバックドアだ。

 gyalwarinpoche.comが侵害されたのはこれが初めてではないし、もちろんチベット関連のNGOが標的になったのも今回に限ったことではない。詳細についてはここここに目を通してほしい。

 さらに、CVE-2012-4681を用いた、WindowsベースのペイロードTrojan.Agent.AXMOを持つエクスプロイトも存在する。

MD5情報:

Exploit:Java/CVE-2012-0507.A — 5415777DB44C8D808EE3A9AF94D2A4A7
Backdoor:OSX/Dockster.A — c6ca5071907a9b6e34e1c99413dcd142
Exploit:Java/CVE-2012-4681.H — 44a67e980f49e9e2bed97ece130f8592
Trojan.Agent.AXMO — c3432c1bbdf17ebaf1e10392cf630847

遠隔操作ウイルスの感染と痕跡調査

いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。
それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。

クローズドなネットワーク内で次のような環境を作成し検証を行いました。

demonetwork

一連の流れを記録した動画も作成しました。



大まかなタイムラインは次のようになっています。
0:00 - 0:51: 遠隔操作ウイルスに感染
0:52 - 2:00: 「画面キャプチャ」コマンドを実行
2:01 - 2:45: 「自己消去」コマンドを実行
2:48 - 3:21: 簡易フォレンジックソフトにて削除済ファイルを確認

左側にMac OSのFinderが表示されているのが攻撃者の情報収集用サーバで受信したファイルです。
「画面キャプチャ」命令のパラメータは5秒おきに5回実行するという設定にしましたので、左側のFinder内に5秒間隔でファイルが作成される様子を確認できます。デモとして「画面キャプチャ」命令を実行していますが、ここで任意のコマンドを実行することも可能です。

実際の業務で行うフォレンジックはもっと本格的なものですが、今回のように簡易的なフォレンジックでもファイルを復元することは十分可能です。

また、プログラム中に日本語がうんぬんという話があるようですが、起動されるダミーのアプリケーションを見ると明らかに日本語なのがわかります。ちなみにこの遠隔操作ウイルスはデバッグモードを備えており、デバッグモードで起動した場合には次のようなウインドウが表示されます。これもどう見たって日本語です。

iesys_debug

最後に、「遠隔操作ウイルス」という名前ですが、最近のウイルスはほとんど遠隔操作機能を備えていますので、今回のウイルスをわざわざ「遠隔操作ウイルス」と呼ぶのは度々混乱を招いて困ったものですね。

VB2012論文:Flashback OS Xマルウェア

エフセキュアラボのアナリストBroderick Aquilinoが先日、ダラスで開催された「Virus Bulletin 2012」でプレゼンテーションを行った。

  彼の研究トピックは、4月に拡散したOS XマルウェアFlashbackだった。

Flashback OS X malware

  Broderickの論文はここからダウンロードできる。[PDF]同論文はもともとはVB2012で発表されたものだ。








「Backdoor:OSX/Imuler.B」はWiresharkが嫌い

  Macマルウェアの新たな亜種「Imuler.B」が先頃浮上した。これはほぼ「Backdoor:OSX/Imuler.A」と同じだが、若干の変更とコード最適化が見られる。現在のC&Cサーバはouchmen.comだ。

  興味深い新機能:Wiresharkが見つかると、Imuler.Bは終了する。

Imuler.B, Wireshark exit

  Imulerは、チベットの人権活動家を標的としていると考えられている。

  他のMac関連ニュース:エフセキュアのBroderick Aquilinoがこの木曜、「VB2012」でFlashback OS Xマルウェアに関するプレゼンテーションを行う。

Intel OS Xバイナリを持つマルチプラットフォームバックドア

  月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。

  その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。

Social-Engineering Toolkit (SET) attack files

  まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。

  ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。

  Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:

Windows payload in shellcode form

  シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。

  これらのファイルは以下のように検出されている:

Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)

  バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。

Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

未パッチのJava脆弱性を悪用するMac Flashback

  「CVE-2012-0507」(Java脆弱性)を悪用する、Flashbackの新たな亜種(Macマルウェア)が発見された。我々はここしばらく、このようなことが起きるだろうと予想していた。

Flashback.K

  Oracleは2月、この脆弱性にパッチを当てるアップデートをリリースした。ただしWindows用を…

  しかし — AppleはOS Xのアップデートを(まだ)リリースしていない。

  Flashbackギャングはエクスプロイト・キット開発の最新の状況を追っているようだ。先週Brian Krebsが、Blackholeエクスプロイト・キットの最新版に「CVE-2012-0507」エクスプロイトが組み込まれたことを報告した。そしてそれで終わりではない。未確認ではあるものの、「まだパッチを当てていないJavaの深刻な欠陥」に対する、さらに別のエクスプロイトが利用可能だという噂があるのだ。

  よって、もしまだJavaクライアントを停止していないのなら、これが広まる前にそうして頂きたい。MacでJavaを停止する方法に関するインストラクションは、我々の前回の記事でチェックして欲しい。

  Flashbackに感染しているかどうかをチェックする方法に関する以前のインストラクションも適用可能だ。しかしこの亜種では、感染したユーザのホームフォルダで作成される、別のアップデータコンポーネントがある。デフォルトでは、「~/.jupdate」として作成される。

  対応する属性リストファイルも作成され、感染したユーザがログインするたびに実行される。デフォルトでは、この属性リストは「~/Library/LaunchAgents/com.java.update.plist」として作成される。

Flashback.K

Flashback.K

  しかし、これらのファイル名は感染したシステムにより異なるかもしれない。これらは、エクスプロイトを与える悪意あるWebページにより設定可能だからだ:

Flashback.K

  詳細については、エフセキュアによる「Flashback.K」の説明をご覧頂きたい。

MD5: 253CAE589867450B2730EF7517452A8B

(Mac)Flashbackはあるか?

  月曜、Flashbackトロイの木馬によってMacに障害が起きない方法をご紹介した。今日はFlashback感染を見つける方法に関する情報を提供する。

  以下のステップをより良く理解するには、Flashbackについても多少している方が良いだろう。これはOS Xマルウェアファミリで、Webブラウザにより表示されるコンテンツを修正する。そのために、同マルウェアはMacのブラウザが使用する機能を利用する。乗っ取られる機能は亜種ごとに異なるが、一般にCFReadStreamReadおよびCFWriteStreamWriteが含まれる:



  標的とされるWebページと変更は、リモートサーバから読み出されるコンフィギュレーションに基づいて決定される。以下はコンフィギュレーション・データの例だ:



  デコードすると、標的とされたWebページ(赤)とインジェクトされたコンテンツ(黄)が分かるだろう:



  こうした能力は事実上、これをある種のバックドアにする。このことと、同マルウェアが最初、Flash Playerインストーラのふりをしてユーザをだまそうとした事実から、Flashbackと呼ばれている。しかし、以降それは進化しており、最近の亜種では拡散するためエクスプロイトを組み込み始めた。私が見たケースすべてで、少なくともGoogleを標的としており、これは実際Mac QHostの次の進化形ではないかと考えるに到った。

  介入機能を利用して、Flashbackが次に行うのはブラウザにそれをロードさせることだ。

  これはDYLD_INSERT_LIBRARIES環境変数が役立つところだ:



  一般に感染には2種類ある。第1の感染は、同マルウェアが管理権限を持つ際に生じる。第2の亜種「Flashback.B」もしくは上のスクリーンショットが例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が標的とされたアプリケーション、特にブラウザのコンテクストにのみ追加される。初期の亜種はSafariとFirefoxを標的としている。最近の亜種ではSafariのみが標的だ。この種の感染にユーザが気づくのは、より難しい可能性がある。感染したシステムがより安定しているためだ。

  感染の第2のタイプは、同マルウェアに管理権限の無い時に生じる。最初の亜種「Flashback.A」がその例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が感染したユーザのコンテクストに追加される。これは同マルウェアが感染したユーザが起動する全てのアプリケーションにロードされるということを意味している。その際、互換性のないアプリケーションに起因するクラッシュが増えるので、感染したシステムははるかに不安定になる。これを解決するため、最近の亜種は新しいフィルタコンポーネントを導入している:



  上記の例では、フィルタコンポーネントはプロセスがSafariである場合、メインコンポーネントをロードするのみだ(スクリーンショットで「WebPo」を無視すること。これはおそらく、Safariであれば一部であるWebProcessを、マルウェア作者がタイプミスしただけだろう)。

  では、このケースではどのように感染を特定するのか? 最も簡単なのは、ブラウザのDYLD_INSERT_LIBRARIES環境変数のチェックだ。Terminalで以下のコマンドを使用すれば良い:

  •  defaults read /Applications/%browser%.app/Contents/Info LSEnvironment



  上記の例は、Firefoxがクリーンであることを意味している。感染していれば、下のようなものを見る事になるだろう:



  赤で囲まれたDYLD_INSERT_LIBRARIESの値に注意して欲しい。フィルタコンポーネントである場合、メインコンポーネントを特定するのにそれが必要だ。

  •  grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%



  赤で囲まれたファイルはFlashbackファイルなので、注意して欲しい。ほとんどのユーザにDYLD_INSERT_LIBRARIES環境変数は無いと思う。

  グレップで結果が得られなければ、それはあなたのシステムの亜種は、フィルタコンポーネントを有していないことを意味している。

  皆さんが次にチェックしたいのは、第2のタイプの感染が起きていた場合、あなたのユーザのDYLD_INSERT_LIBRARIES環境変数をチェックするということだろう:

  •  defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES



  結果が得られなければ、このタイプの感染は起きていないことを意味している。

  フィルタコンポーネントがあれば、メインコンポーネントを見つけるのに、また以下のコマンドを使用すれば良い:

  •  grep -a -o ' __ldpath__[ -~]*' %path_from_previous_step%



  サンプルはどうするか? 我々に送って欲しい。そうして頂ければ、他のAVベンダとサンプル共有を手配するので、コミュニティの助けにもなる。

  システムからサンプルを削除する際、DYLD_INSERT_LIBRARIES環境変数も必ず削除すること。さもないと、ブラウザもしくは更に悪いことには全アカウントが、次回、ロードされないかもしれない。

  第1のタイプの感染では以下を使用して欲しい:

  •  sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
  •  sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist



  第2のタイプの感染では以下を使用すること:

  •  defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  •  launchctl unsetenv DYLD_INSERT_LIBRARIES



  より最近のFlashback亜種に関する詳細は、我々のTrojan-Downloader:OSX/Flashback.Iの解説でチェックできる。

では。
Brod

目下のMacマルウェア

我々が最後にMacのマルウェアについて書いてからずいぶんになるので、ここ数ヶ月に起きていることについて、読者の皆さんに最新情報を提供する方が良いだろうと考えた。昨年、我々は制作途上にあるMac版トロイの木馬とおぼしきものを詳述した。当時はまだ、バンドルの一部であるか、スタンドアロンのバイナリなのかを推測していた。現在では、新しい亜種が発見され、それは本格的なアプリケーションであり、アイコンも完備していることが明らかになっている。

  作者はこの亜種を「version 1.0」(リトルエンディアンで「FILEAGENTVer1.0」)と呼んでいる。

FILEAGENTVer1.0

  私が分析したサンプルは、Irina Shaykのサムネイル画像/アイコンを使用しているが、これはどうやらFHM(South Africa)誌の2012年3月号から取られたもののようだ。この悪意あるアプリケーションバンドルは、ファイルタイプをユーザーが見落とすことを期待して、同誌から取られた他の画像と共に、アーカイブファイル内で展開される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

  インプリメンテーションの他に何ら新しい所はない。バックドアペイロードも同じだが、新たなC&Cサーバを使用している。同サーバは現在(執筆時)アクティブだ。この新しいC&Cサーバがまだ、ESETの人々が言及している、前回の亜種と同じIPアドレスを示していることに注意することが重要だ。我々はこのサーバをCERT-FIに報告した。うまくいけば、彼らが関係当局に通知できるだろう。

  我々は新たなこの亜種をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として検出している。

最後に—あちら側にひそんでいる、もう一つのより深刻なOS Xマルウェア脅威がある。このFlashbackトロイの木馬は初め、Revirと同じ頃に現れたものだが、現在もイン・ザ・ワイルドだ。これはエクスプロイトを使用して、ユーザとのインタラクション無しで、システムを感染させる。悪用しているのは古いJava脆弱性(CVE-2011-3544およびCVE-2008-5353)だが、悪党連中がオペレーションをアップグレードし、パッチを当てていない脆弱性を狙い始めるなら、本当のOS X騒動を見る事になるかもしれない。

  今後の記事で、Flashback感染を特定する方法を詳述する予定だ。その間、感染を避ける最も容易な方法は、ブラウザでJavaをオフにしておくことだ。我々の調査によれば、Webを閲覧する際、ほとんどのユーザがJavaを必要としていない。何らかの理由で、たとえばオンライン・バンキングなどでJavaが必要ならば、必要な時だけオンにすることだ。そして終了したら、またオフにすること。

  Safariでは、環境設定のセキュリティタブで「Javaを有効にする」のチェックをはずせば良い。

Safari, Java settings

  あるいは、Snow Leopard(LionはデフォルトではJavaは搭載していない)から、アプリケーション、ユーティリティ、Java設定に行くことでJavaをオフにできる。一般タブですべてのチェックをはずそう。

Java Preferences

では
Brod








Mountain LionのGatekeeper:「あなた」のためにより多くのコントロールを

  昨日、Appleが「Mac OS X Mountain Lion Developer Preview」をリリースした。セキュリティの観点から見れば、最も興味深い新機能は、ソースに基づいてダウンロードしたアプリケーションのインストールを制限する「Gatekeeper」だ。

  「アプリケーションの以下からのダウンロードを許可する:Mac App Storeから、Mac App Storeと認証デベロッパから、そして全てから」

  伝えられるところでは、デフォルト設定は「Mac App Storeと認証デベロッパ」で、デベロッパは摩擦を減らしたいなら、Appleの「Mac Developer Program」(年間参加費99ドル)に申し込む必要があることを意味する。以下の画像にあるテキストを見る限り、ユーザが「全て」からのインストールを選択しても、Mountain LionはそのアプリケーションがDeveloper IDを伴っていないとユーザに警告するようだ。

Apple Gatekeeper, The Developer ID program

  そしてそれは、少なくともシステムセキュリティの点では、確かに悪いことではない。デベロッパ登録料とインストールのプロンプトは、ほぼ間違いなく、Macのエコシステムをセキュリティへと導く経費を生み出すだろう。

  「Gatekeeper」はMacの壁に囲まれた庭を固め始めもする。

  将来、Appleが同社プラットフォームをさらに閉鎖的にすることを決定すれば、デバイスドライバもApple Developer IDを使用するよう求められる可能性がある。Appleはユーザ・エクスペリエンスへの取り組みで有名なので、そのエクスペリエンスを「セキュア」にするため、同社がサードパーティのペリフェラルドライバを廃止すると想像するのは、それほど難しいことではない。

  以下の画像を何度見ても、私には次のように見える。あなた「に対する」より多くのコントロール、と。

Apple Gatekeeper, More Control For You

  だが、Macファンはそれが好きなんでしょう?

  2014年までに、自分のMacをジェイルブレイクする人が出てくるのではないかと思う。

では、
ショーン

Meet us at Smartphone & Tablet 2012 Spring

ビジネスを変革するスマートデバイス ソリューションが一堂集う、「Smartphone&Tablet2012 Spring」でエフセキュアが法人向けに提供する最新モバイル端末向けのセキュリティ ソリューションが先行公開されることになりました。続きを読む

FacebookスパマーがAmazonのクラウドを利用

Facebookはこのところ、サーベイ系スパム投稿を食い止めるため、適切な仕事をしている(全体的に見て)。

  では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。

  AmazonのS3ファイル・ホスティングサービスを利用することで、こうした連中の問題のかなり多くが解決される。第1に、AmazonのS3ウェブサービスは非常に安価に設定できるため、サーベイから儲けを出すことができる。第2に、Facebookはスパムにリンクする疑わしいURLをブロックすることにかなり成功しているため、amazonaws.comのような安全で人気のあるドメインで自分達の詐欺のコードをホスティングすることにより、Facebookの防御をすり抜ける可能性が高くなる。

  以下の図は、アジェンダの基本的な流れを示している。

Facebook, Amazon S3, Spam diagram

  ChromeとFirefox以外の全ブラウザでは、サーベイ・ページが供されるため、スパマーのサーベイが記入され、提出されると、実際に収益を上げることができる。このマネタイゼーションは、大部分のソーシャル・メディア・スパムの背後にあるCost Per Action(CPA)マーケティング・モデル内で起きる。スパマーのサーベイ完了率を高めようと、位置情報技術が使用されている。位置によって、偽Facebookページが特定のアフィリエイト・マーケターにリダイレクトされるサーベイを表示するのだ。

Father Melts Baby's Brain With Motorboat Sounds

  FirefoxとChromeは、不正なYouTubeブラウザ・プラグインの使用により、Facebookを介して詐欺をさらに拡大するための手段として使用される。これらブラウザのどちらかからアクセスされると、偽Facebookページはプラグインのインストールを表示する。

  スパマーは最近、Facebookとのイタチごっこの戦いの一部として、プラグインを使い始めている。

Father Melts Baby's Brain With Motorboat Sounds

  プラグインをインストールすると、Amazonのウェブ・サービスでmo1torからmo15torまで、ユーザー名からランダムに選択することで、リダイレクタURLが生成される。次に生成されたリンクは、ハードコードされた5つのuserIDとAPI key-parのいずれかを使用して、bitly.comを通じて短縮される。これらのkey-parによりスパマーは、Amazonウェブ・サービスのリンク用に、自動的にbit.ly URLを生成することが可能になる。これは最終的に、偽Facebookページへのリダイレクションに導く。

  おそらくは防衛を混乱させようとして、wowvideo[random number].comのフォーマットを使用した存在しないドメインもランダムに作成される。しかしAmazon S3ウェブ・サービスとbit.ly URLのみが実際に使えるリンクだ。

  以下がこのポストの構成だ:

Title: [Video] Father Melts Baby's Brain With Motorboat Sounds
Messages:

  •  hahaha this video will bend your mind
  •  have you all seen this yet?
  •  stop it! his eyes are going to pop out!!
  •  Its eyes are black because it has no soul
  •  must be experimental technology from mother russia!
  •  im afraid i have some bad news
  •  i want you to all see this

Summary: Total meltdown! I bet you have never seen this before!
Main URL: www.wowvideo[random number].com

  以下が実際の例:

Father Melts Baby's Brain With Motorboat Sounds

  問題のあるアドオンは、Firefoxでは「Uninstall」、Chromeでは「Remove」を使用して取り除くことができる:

Chrome Extensions

Firefox Extensions

  ちなみに、配布されたFirefoxプラグインは…Macでアーカイブされた。

Mac OS X

  これが「Windows」の問題だと考えるかもしれないので念のため。 ;-)

Threats Insight post by — Karmina

Suo Anteeksi:ZeuSの丁重な亜種

  フィンランドのいくつかの銀行を標的とする、ZeuS(別名Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。

  ZeuS 2.x (Zbot.AVRC) のこのバージョンには、アクセプトする2つの新しいコマンドがある。すなわち「user_activate_imodule」と「user_restart_imodule」だ。

Zbot.AVRC Commands
SHA1: bf4fc1fb3bf98e1e783fb974f0b3ba622cd4b267

  「user_activate_imodule」コマンドを受けとると、Zbot.AVRCはディスクから特定のDLLをロードしようとするスレッドを開始し、もしDLLが存在しなければ、リモートサーバからダウンロードされる。同トロイの木馬は次に、DLLによりエクスポートされる3つの異なる機能TakeBotGuid、Init、Startのためにアドレスをフェッチする。同DLLは次に、DLLからコードを実行するスレッドを作成することで開始される。

  「user_restart_imodule」は、ロードしたDLLから単に「スタート」という名の機能をコールするだけだ。

  ロードしたDLLから、使用されている機能の名称がSpyEyeトロイの木馬コンポーネントが使用しているのと同じであると分かるのは興味深いことだ。これに関連するコマンドの名称も、SpyEye(imodule = eyemodule?)に言及していると解釈することも可能だ。

  このバージョンの「ZeuS/Zbot.AVRC」用コマンドの完全なリストは以下の通り:

  •  os_shutdown
  •  os_reboot
  •  bot_uninstall
  •  bot_update
  •  bot_bc_add
  •  bot_bc_remove
  •  bot_httpinject_disable
  •  bot_httpinject_enable
  •  fs_path_get
  •  fs_search_add
  •  fs_search_remove
  •  user_destroy
  •  user_logoff
  •  user_execute
  •  user_cookies_get
  •  user_cookies_remove
  •  user_certs_get
  •  user_certs_remove
  •  user_url_block
  •  user_url_unblock
  •  user_homepage_set
  •  user_flashplayer_get
  •  user_flashplayer_remove
  •  user_activate_imodule
  •  user_restart_imodule

  ZeuSボットの相応量以上のものを確認した人は、気の毒なことに、2つのよく見られるコマンドは存在しないことに気づくだろう。すなわち、FTP(user_ftpclients_get)および電子メールクライアント(user_emailclients_get)に保存されたパスワードを盗むためのコマンドだ。

  このZeuS実行で顕著な別の点は、使用されているフィンランド語の質だ。

  以下は一例だ:

Zbot.AVRC Error Message

  カスタマが銀行取引のセッションを開始すると、次のようなメッセージが表示される:

"Suo anteeksi, teknillinen palvelu tietaa virheesta ja korjaa sita."

  これは基本的に、以下のような文章に翻訳される;ご迷惑をおかけ致しますが、エラーがあり、現在修正を行っております。

  文法は実のところかなり良いが、トーンは少々…妙だ。ネイティブのフィンランド語話者ならば、この文は「申し訳ありませんが、エラーが発生しています」などのようになるだろう。エラーメッセージにしては少々丁寧すぎる。

  銀行を標的とした同トロイの木馬の一味は、ローカライゼーションをプロの翻訳者に外注したものの、どのような場面で使用されるのかを十分に説明していなかったのだろうと、我々は推測している。

Analysis by — Mikko ja Mikko








バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

Backdoor:OSX/Tsunami.A

Backdoor:OSX/Tsunami.A」に関する説明を公開した。「Tsunami」はボット機能を持つMac OS Xバックドアだ。

Backdoor:OSX/Tsunami.A

  このボットはDDoS攻撃に関与することができ、実際、亜種の一つが「anonops」に関連してIRCサーバに接続しようと試みている。(インターネット集団)「Anonymous Ops」などでだ。

  Tsunamiには明白な感染ベクタは存在しないため、一部のアナリストはOSX/Tsunamiがまだ未完成なのではないかと推測している。またサーバのリモートハッキングが、ベクタの一つである可能性を指摘しているアナリストもいる。OSX/Tsunamiが、インストールするためにPHP脆弱性を長く使ってきたLinuxボットに基づくとすれば、かなり高い可能性だ。

  我々は、「Anonymous」によって行われるDDoS活動に、人々が自分達のコンピュータをボランティア的に差し出すため、このバックドアを自分でインストールしたのかもしれないと示唆する記事さえ読んだことがある。

  自分のコンピュータを望んで差し出す? 我々にはばかげて聞こえる。

  特に「Anonymous」のメンバーが、「ボランティア」Macを潜在的に他にいくらでも利用できることを考えれば。

site_edu_mac_lab

Macのトロイの木馬がXProtectアップデートを停止

  Macマルウェア開発に新たな何かが起きようとしている(またもや)。

  最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。

  まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する:

xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読

xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリのパスを解読

  同マルウェアは次に、「XProtectUpdater」デーモンをアンロードする:

unload1, Trojan-Downloader:OSX/Flashback.C

unload2, Trojan-Downloader:OSX/Flashback.C

  最後に同マルウェアは「XProtectUpdater」ファイルを" "キャラクタで上書きする:

wipe_xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルを上書き

wipe_xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリを上書き

  上述の処理は特定のファイルを消去し、「XProtect」が今後のアップデートを自動的に受けれないようにする。

  システムの防御手段を無効にしようとすることは、マルウェアでは非常に一般的な戦術だ。そしてビルトインの防御手段は当然、どのようなコンピューティングプラットフォームでも最初の標的となる。

Threat Solutions post by — Brod

Macのトロイの木馬Flashback.B Checks for VM

  エフセキュアのアナリストの一人が、自身を「Adobe Flash Player」のアップデートだと勘違いさせようとするMac向けトロイの木馬「Flashback」の最新バージョンのデバッグ中に、興味深いものを発見した。

  「Flashback.A」と「Flashback.B」の違いを比較している時に、彼は以下のルーチンを見つけた:

vmcheck, Trojan-Downloader:OSX/Flashback.B

  「Flashback.B」は「vmcheck」を実行する。仮想化が検出されると、トロイの木馬は自身を停止するのだ。

  AppleはLionでユーザーが2つの仮想化環境を動作させることを可能にした。

  VMウェア・アウェア・マルウェア(早口で10回言ってみよう!)は、Windowsエコシステム内でよく使用されるアンチリサーチテクニックだが、Macではまだ一般的ではない。Macマルウェアの作者は、リサーチャが分析中に仮想環境を使い始めることを予測し、このような取り組みを阻止する対策を講じているようだ。

Threat Solutions post by — Brod

Windows XP

  現在の主要なコンピュータオペレーティングシステムを比較してみよう。我々にはWindows XP、Windows VistaおよびWindows 7がある。さまざまなLinuxディストリビューションがある。そしてMac OS Xがある。

  これらのうち明らかに、Windows XPのセキュリティが最も弱い。

  そしてWindows XPのマーケットシェアは最大でもある。世界的に見て、全コンピュータの半数近くが現在もXPを使用している。

  そして今日、Windows XPは10年目を迎えた。

  10年はこの業界では非常に長い時間だ。だからXPのセキュリティアーキテクチャが最新で無いのは無理もない。

  その結果、攻撃者達が他のオペレーティングシステムを標的に、時間や金を費やすのは「愚か」としか言いようが無い。この巨大で簡単に手に入る標的がある限り、そうすることは理にかなわぬことだ。

  明らかにXPは退場しつつある。以下のチャートから分かるように、Windows 7が近い将来XPを追い越し、最も一般的なオペレーティングシステムとなるだろう。

Operating system market shares (c) Statcounter

  そしてXPのマーケットシェアが十分に少なくなった時、攻撃者達は周囲を見回し始める必要がある。ある者はWindows 7にフォーカスするだろう。そして他の者はOS XやAndroid、iOS等に目を付けるだろう。

  攻撃者達がこれほど恵まれていたことはかつて無い。最も容易な標的は、最も一般的な標的でもある。これはそう簡単に変わることは無い。

  今日は良き行いをしよう。XPをアンインストールせよ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード