エフセキュアブログ

RAT を含む記事

QARALLAX RAT:米国ビザ申請者を偵察

最近、スイスで米国ビザを申請しようとした米国渡航希望者が、QRATというマルウェアに関わるサイバー犯罪者によって標的にされたようだ。@hkashfi (英文)というTwitterユーザーが投稿したツイートによると、友人のもとへ米国ビザ申請サイト(USTRAVELDOCS.COM)の職員を名乗る人物から「US Travel Docs Information.jar」というファイルが送られてきたのだという。その人物のSkypeアカウントはustravelidocs-switzerlandだったということだが、ここで「travel」と「docs」との間に「i」が入っていることに注目してほしい。
 
Find the differences between the legitimate versus the impostor.
本物と偽物の違いを見分ける
 

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

これは罠だ!

 身の回りに気を付けよう。単純な餌は、しばしば最大の効果を発揮する…。

 ここに最新のスパムメールの例を挙げる。次のような名前で添付されたExcelファイルだ。

Payment instruction & Swift.xls
Payment instruction & Swift.xls
マクロベースのマルウェアが添付された「Payment」マルウェア

 このExcelの添付ファイルには悪意のあるマクロプログラムが含まれており、DarkComet RATのダウンロードおよびインストールを試みる。エフセキュアではこの添付ファイル(および類似のもの)をW97M.Downloader.Cとして検知する。

 ひどい代物だ。

 この餌についてだが…、スパムメッセージは私の「Bulk」フォルダに行きつく。なぜか?直接私に宛てられていないメッセージは、そちらへ追い払うルールを適用しているからだ。攻撃未遂者はBcc:フィールドを使用しているため、もっとも信頼度の低いフォルダにこうしたメッセージが行き着くことを確実にしているのだ。読者の皆さんや、もっと重要なのは皆さんの所属する組織の支払担当の人については、どうだろう?この罠を開いて実行しやしないだろうか?そうかもしれない。人間なのだから。

 ヒューマンエラーの機会を減らそう。Officeファイル中のマクロを無効にするのだ。

 @5ean5ullivan



Linux版Turlaの謎めいたバックドアがSolarisにも?

 APTファミリーTurlaに関連する、謎めいたLinuxのバックドアについて数々の報告がある。このマルウェアにはいくつかの大変興味深い機能があるが、もっとも興味深いのはネットワークインターフェイスをスニフィングする能力だ。さらに具体的に言うと、ネットワークトラフィックからC&Cサーバのアドレスを設定できるのだ。これにより、バックドアをネットワーク上に黙ったまま待機させて、攻撃者から送付される特別製のパケットで有効にすることができる。

 有効になると、バックドアは指定されたC&Cサーバへの接続を試みる。続いてC&Cサーバは、典型的なRAT機能を用いて、バックドアに対してダウンロード、アップロード、ファイル一覧表示、実行などの命令を行う。

 当初の調査では、このマルウェアはネットワークスニフィングを除いて、典型的なリモートアクセス型のトロイの木馬と同様に振る舞うことが示された。

 PATH=/bin:/usr/bin:/usr/local/bin:/usr/openwin/bin:/usr/ucb/bin:/usr/ccs/bin
 LD_LIBRARY_PATH=/usr/lib:/usr/local/lib:/usr/dt/lib

linux_solaris_turla2 (99k image)
一時ファイルの実行用の環境設定

 これはまったくもってLinux環境で一般的なものではない。実際のところ、これはSolaris環境の方にずっと適合するのだ。

 /usr/openwin - SolarisのOpenWindowsの場所
 /usr/ccs - Solaris StudioのC Compilation System
 /usr/ucb - BSDとの互換性のための、Solarisのディレクトリ
 /usr/dt - Solaris CDE(Common Desktop Environment)のインストール場所


 Post by — Jarkko

香港の抗議者にデジタル戦争を仕掛けているのは?

中国のデジタル機動隊か?
 
Volexityによると、「非常に顕著なAPT攻撃」が数カ月にわたり、香港や日本のウェブサイトを攻撃しているということです。
 
民主主義を支持するサイトが被害を受けていますが、その中には、「ATD(Alliance for True Democracy、真普選聯盟)– 香港」や「People Power(人民力量)– 香港」のほか、中国政府に対する大規模な抗議活動を支えるOccupy Central(中環占拠)やUmbrella Revolution(傘の革命)といった学生運動と関連するその他複数のサイトが含まれています。今、こうしたサイトにアクセスする人は、「脆弱性の悪用、セキュリティ侵害、デジタル監視」を目的に作られたマルウェアの標的となっているのです。
当ブログでの分析では、サイバー犯罪者は、政治的な思惑などなく単純にこのニュースに便乗している可能性があるとMickeは指摘しています。しかしながら、使われているリモートアクセス型トロイの木馬(RAT)は、この運動に敵対する側に大きなメリットを与える可能性が考えられます。
 
Mickeは次のように記しています。「こうしたサイトへアクセスする人の多くは、リーダー格として、または市民レベルで今回の運動に何らかの形で関わっています。彼らの敵は、これらのサイト訪問者が所有するデバイスのほんの一部にでもRATを仕掛けることによって、貴重な情報を大量に入手することができるのです。」
 
そして、リーダー格の人たちがたとえ屈しないとしても、RATのうわさを聞くことでユーザはこうしたサイトに近寄らなくなるでしょう。これは、できるだけ早く抗議活動が終わってほしいと願う人々にとっては効果的な方策です。抗議活動の計画に利用できるTwitterのようなソーシャルネットワークがなければ、このやり方はさらに有効でしょう。しかし、たとえソーシャルネットワークが政府にブロックされたとしても、エフセキュアのFreedomeのようなVPNソリューションがあれば、被害を防ぐことができます。
 
もし、攻撃の目的が抗議者を標的にして抗議活動を鈍らせることであれば、「中国政府が有力な容疑者であることは、誰の目にも明白です」と、Mickeは書いています。
 
国家主導のRAT攻撃、あるいは国家が黙認する、民間組織による攻撃の深刻さは計り知れません。
 
犯罪者たちは個人、企業、政府自体を標的にマルウェアを使っています。反抗する国民に対する政府主導のサイバー攻撃は、Flameのような政府主導型の監視マルウェアがエスカレートしたものと言えるでしょう。こうなると、各企業は政府によるマルウェア攻撃について考えざるをえなくなります。
 
この1年の間に、何の罪にも問われていないインターネットユーザに対して防御を固めるために、政府がこんなにも懐疑的になれるのかということを知ったばかりですが、今は、政府がユーザを攻撃しているのではないかという可能性を目にしているのです。

>>原文へのリンク

RATが香港の民主活動家たちを脅かす

 最近、香港が報道の見出しを賑わせている。オキュパイ・セントラル(#occupycentral#OccupyHK)運動や、傘の革命(#umbrellarevolution#UmbrellaMovement)のおかげだ。DPHK(Democratic Party Hong Kong、香港民主黨)とATD(Alliance for True Democracy、真普選聯盟)はこの活動の中心的な組織である。近頃は、こういった活動が民主主義のための戦い以上のものへと発展した。上記の組織のサイトがマルウェアに感染し、#digitalfreedomのための戦いへと変化したのだ。Volexity社は技術的な全詳細とともに記事を掲載している。それは、さまざまな目的で使うことのできる、RAT(Remote Access Trojan)のことのようだ。今回の目的は、実際のところ興味深い疑問だ。誰がなぜこれをやったのか?

 •  現在のサイバー犯罪は、大体においてソーシャルエンジニアリングであり、マルウェアを実行させるために被害者を誘い出しデバイスを感染させる。ショッキングな報道の見出しに便乗して、感染したサイトや詐欺ページに、より多くのユーザを導くことは、サイバー犯罪者にとって非常に一般的なことだ。したがって、世界の注目の的となっている感染したサイトは、政治的な動機が皆無であっても、サイバー犯罪者にとって魅力的だ。

 •  前述の組織は、世界の先端を行くサイバー超大国の1つとの政治的な紛争に巻き込まれている。つまり、政治的な動機により、中国がこのマルウェアの攻撃の背後にいるというのは、もっともらしく思われる。上記サイトへの数多くの訪問者は、指導者として、あるいは草の根レベルで、なんらかの形で運動に関与している。こうした人々のデバイスのほんの一部分にRATを植えつけたとしても、彼らの敵は大量の価値ある情報を得られるだろう。

 •  問題を取り巻く評判によっても、人々が怖がってサイトから離れていくだろう。抗議運動を組織化するのにTwitterが効率的に使われているため、サイトが感染してもおそらく現実的な影響はほとんどない。Twitterのようなサービスを遮断することは可能だが、非常に目立つ劇的な行動だ。またF-Secure FreedomeのようなVPNで回避することもできる。しかし、抗議団体のメッセージを世界中の聴衆に拡散するためには、これらのサイトはより重要である。今回の影響はこのレベルで重大かもしれない。ここでも中国は利益を得る側だ。

 この話の教訓は、当然ながら政治活動家はサイバー攻撃において魅力的な標的である、ということだ。今回のケースに政治的な動機があったという証拠はない。ただ、中国が有力な容疑者であると見当をつけるのに、天賦の才が必要なわけではない。そして、そのおかげで、今回のケースが特筆すべき事態となっている。犯罪者たちはたいてい私的な個人を標的にし、国家は他の国家を標的とする。しかしここでは、国家が政治団体に属する一般人を標的にしているのを我々は目撃したのだ。この種の攻撃は、反対運動を実行する人々にとって、真の脅威だ。そしてこの脅威は、民主的な度合いが低い国々に限ったものではない。多数の西洋の国の警察部隊は、すでに容疑者にマルウェアを使用するための技術的および法的な支援の双方を受けている。そして大抵は、その使用に当たり、適切な透明性と統制が存在しない。

 ざっくばらんに言って、同様のケースがここヨーロッパで発見されても、筆者はそれほど驚かないだろう。現在のところ、ヨーロッパに傘の革命と同規模の民主化活動があるわけではない。しかし当局によって監視されている組織は多数ある。極右団体が分かりやすい例だ。

Micke

Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


明らかになりつつあるリーガルマルウェアの実態

最近、世界各国でHackingTeamFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。(元々は、WikiLeaksが発端だったと記憶しています。)
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

FinSpy Mobile リリースノート抜粋


以前から捜査目的でのマルウェア(ポリスウェアなど)の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。(フォレンジック目的のようです)
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT(Remote Access Trojan)と同様です。解析結果を見れば、その内容は把握できるでしょう。(解析結果例
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

FF Solutions
参考:https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf


ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

(1)録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

Audio Recording

(2)SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。(参考
    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk
Tencent(中国)とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
#訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。(既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。)
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね(笑)
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

オンラインプライバシー:皆さんにとっての意味

コロンビアの作家でノーベル文学賞受賞者のガブリエル・ガルシア・マルケス氏はかつて、「すべての人は、公的な生活、私的な生活、そして秘密の生活という3つの生活を送っている」と語りました。

公的な生活、私的な生活、そして秘密の生活。これらが意味することは、特にデジタルの世界では、人によって異なります。ある人は、ペットの猫についてブログに投稿することが自分自身を公にし過ぎていると考えるかもしれません。一方で、日常のあらゆる出来事をビデオでブログに投稿することが当たり前になっている人もいます。

私的な生活という点についてですが、人によっては、お互いにやり取りする従来の電子メールは個人的なコミュニケーションであると思うかもしれません。しかし、技術に詳しい人は、あらゆるコミュニケーションをエンドツーエンドで暗号化し、自分の身元情報を常に匿名にしておきたいと考えるかもしれません。このことは、VPN、匿名化サービスや電子メール暗号化のようなテクノロジーを用いれば可能です。

オンラインで秘密の生活を送るということも、人によって意味が異なってきます。一般的な人であれば、自分の実際の情報を明かしたくないサイトにアクセスする際には、いつもとは違うJohn.Doe@dummy.tldなどの身元不明の電子メールアドレスを使うかもしれません。https://mailinator.com/は、オンデマンドの使い捨ての電子メール受信トレイを使うのに役立つサービスです。その他の人にとっては、Webでの秘密の生活は、闇に包まれた活動を意味するかもしれません。つまり、Silk Roadのような市場の運営といった非合法活動の隠蔽、ボットネットの作成と運営、RATの実行やビットコインマイニング用のマルウェアやキーロガーの作成などといった活動です。

これまでお話ししたように、それぞれの生活の意味は、人によって異なります。知らないことを幸せであると感じる人もいます。こうした人は、自らの安全を保ったり、オンライン上の身元情報や所有物の乗っ取りと悪用を防いだりするためのわずかな手順を踏まないことで、自分のオンライン上の身元情報に対して、どのようなことが起こる可能性があるのか(そして残念なことに、その結果として何が起こるのか)を知りたいとは思いません。

公の生活、私的な生活、そして秘密の生活という概念の一つひとつを、今後、ブログへの投稿で詳しく説明していこうと考えています。そこでは、ネットサーフィンの際に身元情報を保護する方法についてのヒントもお知らせします。それまでの間、この3つの生活が、皆さんにとって、どのような意味をもつのか考えてみてください。


楽に稼げる:サイバー犯罪者が企業を狙う単純な理由




企業では金銭を取り扱います。取引先、外注先、従業員への賃金、公的機関への税金や公的手数料の支払いなど、多くの場合その額は多額です。サイバー犯罪者にとって、こうした金銭の取引は格好のターゲットになります。また、このような金銭の流通に加え、企業のITリソースを現金に換える方法はいくつもあるのです。

犯罪者の興味を惹くのは、その金額だけではありません。そうした金銭の入手がいかに簡単であるかも理由の1つです。ある調査によると、多くの攻撃はチャンスの度合いによります。つまり、御社が攻撃の対象として特別に選ばれているわけではないということです。狙われる理由は単純に、簡単に成功できそうだからという理由にすぎません。企業を攻撃するもっとも簡単な方法の1つは、古いソフトウェアの脆弱性を突いた攻撃です。

難しいことではありません。攻撃の大半は、事前に回避できたものです。ソフトウェアを最新の状態に維持し、効果的なアンチウイルスソリューションを採用することで、被害を受ける可能性を大幅に削減することができます。

セキュリティの価値とは、使用しているアンチウイルスソリューションのコストとは比にならないほど大きなものです。


AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

UNRECOMは今後のRATの主流になれるか

2013年も12月となり、今年も残り僅かとなりました。そんな中、Java RATのひとつであるAdwind RATがUnrecom Soft(UNiversal REmote COntrol Multi-Platform)に買収され、新たな展開をみせようとしています。
Adwindは、Android RATの1つであるAndroRat(流出したソースコードと推測)をベースとしたAndroidの遠隔操作機能を追加し、クロス・プラットフォーム(Windows、MacOS、Linux、Android)の統合管理をいち早く実現したことで知られています。
このことは他のRAT開発者らにも影響を与えたとも考えられ、今後のトレンドを占う意味でも注目のRATであったと思います。

unrecom

このようにPCとスマートフォンが攻撃者により統合管理され始めますと、それらを繋ぐオンライン・ストレージなども標的となる可能性も出てくるのでは?と勘ぐりたくなりますね。
どの程度の実現性があるか分かりませんが、リスクの対象範囲は徐々に拡大し始めているようです。
※Adwindは2013年11月20日以降は利用できなくなっています。

アナウンス

さて、Unrecomの機能面ですが、現在のところほぼAdwind v3.0と同様です。Adwindの特徴でもあるPluginを一通り引き継いでいます。遠隔操作をする際に、あると便利なものは一通り揃っているようです。今後どのような機能が追加されるのかが興味深いところです。注目はAndroid向けのPluginをどの程度充実させてくるか、でしょうか。
ちなみに、下図にあるFunnyのようなお遊び的なものもあります。利用価格は$10。

Funny:
It this a simple funny option for move the mouse of remote pc and push aleatori keys


plugins



尚、現在のところ検出状況は芳しくありません。アンチウイルスソフトでの検出結果はマチマチな状況です。。
但し、次のようにSnortのシグネチャも公開されていますので、IDS/IPS等による検出も可能ですので、被害にいち早く気付くことは出来そうです。(少なくともUnrecomの仕様に変更がなければ、です。)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Default Password Auth"; \flow: to_server, established; \
content: "|00||28|e3a8809017dd76bd26557a5b923ab2ae16c0cdb3"; \
sid: 1981310201; rev: 20131115)


alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Ping/Pong"; \
flow: to_server, established; dsize: 1024; \
content: "|00 00 53 09 58 58 58 58|"; depth: 16; \
content: "|58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|"; offset: 1008; \
sid: 1981310202; rev: 20131115)

    参照URL:
    http://www.crowdstrike.com/blog/adwind-rat-rebranding/index.html


Java RATは以前より存在しましたが、今年6月頃より実用化されてきています。現在のところ大規模な攻撃情報は聞いていませんが、サイバー犯罪の世界では一般的になってくるのではないでしょうか。
何はともあれ、来年はJava RATやAndroid RATから目が離せません。


追記:
   かなり粗いですが、yara signatureです。
{
 strings:
  $Class = /opciones\/\w+\.class/
  $made = "desinstalador/MaDe.adwind"
  $gcon = "JTextPaneExample.class" nocase
  $plugin = "AdwindServer.class" nocase
 condition:
  any of ($Class) and ($made or $gcon) or $plugin
}

Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




最近気になる Remote Administration Tool(RAT)

何かと話題の「遠隔操作ウイルス」事件により、ようやく RAT(いわゆるトロイの木馬) が一般的に認知されました。
RAT 自体は10年以上前から存在しますし、世界中で開発されていますので、日本もその例に漏れず、といったところでしょう。
RAT 開発者の職業もここ数年で非常に幅広くなったように思います。2年前にとあるアンダーグラウンド・マーケットで RAT の開発者にインタビューしたところ、その開発者は高校生でした。4、5年前は、職業プログラマの開発者しか(ネット上で)会えなかったことを考えると、時代は変わったなぁ、とつくづく感じます。
SYSIE の作者が何者かは分かりませんが、学生から職業プログラマ、国家機関など誰がマルウェアを開発していても不思議ではない状況下ですので、犯人像の特定は今後ますます難しくなっていくように思います。

さて、そんな誰もがマルウェアを開発できる環境が整いつつあるなか、ここ数年間注目しているのは Java で開発された RAT です。

理由は幾つかあるのですが、例えば、
.泪襯船廛薀奪肇侫ーム対応なので標的となる OS が幅広く、近い将来に流行するかもしれない

java_rat


⊆孫團侫.ぅ襦EXE や DLL)ではなく JAR ファイルが利用
(防御レベルが少々手薄)

0貳未Javaプログラムの実行と区別が付きづらい

javaw


などが挙げられます。マルチプラットフォーム対応のマルウェアは、Java RAT の他には今年8月にW32.CrisisOSX.Crisis が報告されています。マルウェア開発の流れは、マルチプラットフォームへと動いていることは、間違いなさそうです。そういった観点からも、Java RAT が近い将来に普及し始めるのではないか、と考えています。
(とはいえ、Windows 実行ファイルの RAT が主流であることには変わらないと思いますが・・・)

これらの脅威に対し、新たな対策があるわけではありませんが、あえて補足しておくとすれば、検体が抽出しやすい環境を整えておくことを推奨します。

・OS等のバックアップ機能を利用
・ネットワーク・トラフィックからファイル抽出
・怪しいと思ったら証拠保全(フォレンジック)
※ウェブレピュテーション機能がアラートを挙げる、覚えの無いソフトウェアのフォルダが作成されている(空のWinRARフォルダなどあったら即保全)等

などがあります。RAT の検体が抽出困難な場合でも、状況によっては感染事実を推測することは出来ます。しかし、駆除や被害範囲の特定、対策面の検討等を考慮しますと、検体の入手は非常に重要になってきます。 RAT の場合は、その特性から攻撃者の目的が明確である場合が多いです。そのため、単に検体を駆除するだけではなく、その背後関係まで考えて対策を実施する必要があると思います。
今後、マルウェア対策を行ううえで、その辺りも踏まえて考えるとサイバー・セキュリティの重要性が改めて感じられるのではないでしょうか。


シリアで標的型攻撃

  シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。

  先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。

Syria

  この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。

  最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった際に起きた。このユーティリティは、一部のモニタリングツールを回避するため、ハードウェアのMACアドレスを変更すると考えられていた。しかし実際は、「silvia.exe」という名のファイルをドロップした。これは「Xtreme RAT」というバックドアだ。

  「Xtreme RAT」は本格的な悪意あるRemote Access Toolだ。

  Google Sitesでホスティングされているページを介して、100ユーロ(Paypal)で販売されている:https://sites.google.com/site/nxtremerat

Xtremerat

  我々には、この感染が単なる不運によるものではないと信じる理由がある。この活動家のコンピュータは標的にされたのだと思う。いずれにせよ、同バックドアはIPアドレス216.6.0.28にコールホームする。このIPブロックはシリア・アラブ共和国—STE(Syrian Telecommunications Establishment)に属している。.

  これはシリアで、トロイの木馬がこのような目的で使用された初のケースではない。

  過去の類似するケースに関しては、以下のリファレンスをご覧頂きたい:

http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

http://blogs.norman.com/2012/security-research/the-syrian-spyware

http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(似たような攻撃で使用された別のRATの作者へのインタビューを含む)

  問題のサンプルのSHA-1ハッシュ:

  •  2c938f4e85d53aa23e9af39085d1199e138618b6
  •  a07209729e6f93e80fb116f18f746aad4b7400c5

NGOを標的とする更なるMacマルウェア(Wordエクスプロイト)

  Alienvault Labsが、人権問題にフォーカスする非政府組織(NGO)を標的とするマルウェアを、また発見した。これは先週の発見に追加されたものだ。今回のエクスプロイトは、Microsoft Word(MS09-027)の2009脆弱性を利用する。

  以下は、エクスプロイト・ドキュメントが埋め込まれている囮のドキュメントの例だ。

Mac Word Exploit MS09-027

  詳細はAlienvault Labsで読める:イン・ザ・ワイルドなMacOS Xを標的とするMS Officeエクスプロイト - 「Mac Control」RATをもたらす

Duqu:質問と回答

  その複雑さから、「Duqu」の事例を理解するのは難しい。助けになればと、以下にいくつかのQ & Aを掲載する。

Q: Duquとは何か?
A: Duquをとりまくニュースや進展のため、これは実際、非常に幅広い質問だ。狭義で言うなら、Duquはごく限られた国のごく限られた組織を対象とした高度な標的型攻撃の一部として用いられているWindowsボット(ワームでは無い)だ。

Q: Duquはどのように拡散するのか?
A: Duquはそれ自体では拡散しない。ある既知のケースでは、Duquは電子メールメッセージを介して受信された添付ファイルによりインストールされた。

Q:それはRSAがハッキングされたのと同じ手法ではないのか?
A: そうだ。多くの標的型攻撃が、この手法を用いている。RSAのケースでは、Excelドキュメント添付ファイルは、Poison Ivyという名のバックドア/リモート・アクセス・ツール(RAT)をインストールするため、Adobe Flash Playerにあるゼロデイ脆弱性を悪用したFlashオブジェクトを使用した。

Q:では、Duquのエクスプロイトの何がそれほど特別なのか?
A: Duquのインストーラが使用するゼロデイは、Windowsカーネルの脆弱性を悪用する。

アップデート:Microsoftが「Security Advisory (2639658)」を公開した。

Q: Flash PlayerエクスプロイトよりもWindowsカーネルエクスプロイトの方が、どのくらい高度なのか?
A:え、何?

Q:いや、真面目な話、どれくらい?
A:相当に。サードパーティ・アプリケーションに対して使用されたものと比べ、たとえそれがFlash Playerとして広くインストールされているにしても、Windowsカーネル脆弱性/エクスプロイトは、はるかに価値がある。

Q: この脆弱性に対してシステムにパッチを当てることはできるのか?
A: いや、できない。

Q:では、このWindowsカーネル脆弱性を修正できないなら、どうすればいいのか?
A:待つことだ。現在、Microsoft Security Responseが同脆弱性を調査しており、ソリューションの準備をしている。幸い、同エクスプロイトドキュメントが広まっている範囲は非常に限定されており、NDA下にある。

Q:何故、ドキュメントにNDAがあるのか?
A: 高度な標的型攻撃であるため、ドキュメント自身、標的のアイデンティティを明らかにする可能性が高い。ドキュメントの共有は、カスタマの機密の侵害となる可能性があり、そのためCrySyS Lab(Duquの発見者)は、彼らのカスタマのプライバシーが保護されない限り、同ドキュメントを公開することができないのだ。

Q: ではDuquのインストーラは「イン・ザ・ワイルド」ではないのか?
A:一般的には違う。他に発見されていない亜種がある可能性はあるが。

Q:ではDuquは私にとって脅威なのか?
A:あなたが誰なのか次第だ。しかし一般的にはノーだ。しかし、Duquは最終的には大きな問題を引き起こすだろう。

Q: Duquはどんな問題を引き起こすのか?
A:MicrosoftがWindowsカーネル脆弱性を修正すれば、野放しの犯罪者たちはリバースエンジニアリングを行うことができ、脆弱性を発見することになる。その時点で、最新の状態にないWindowsコンピュータはすべて、非常に深刻なエクスプロイトであることになりそうなDuquに対して、より脆弱となるだろう。

Q: しかし今はまだ?
A:その通り。

Q:Duquに関して他にも何か興味深い事はあるのだろうか?
A: そう、確かに。既知のあるケースでは、Duquにより用いられたドライバは、台湾のハードウェア会社C-Mediaに発行され、盗まれた証明書を使用して署名されていた。

Q:何故Duquは署名付きのドライバを使用したのか?
A: 署名付きドライバは、署名のないドライバに注意を促し、インストールを拒否するセキュリティポリシーを回避することができる。セキュリティポリシーは本質的に、署名のないドライバを信用しないよう設定されるものだ。ドライバが既知のベンダにより署名されていれば、信用レベルは高い。

Q: では、何故Duquはそれほど重大なのか? ゼロデイや署名付きドライバのためなのか?
A:そのほか、DuquはStuxnetと「関連がある」ためだ。

Q: どのような関連か?
A: 「Duqu」のコンポーネントは「Stuxnet」のコンポーネントとほぼ同じもので、両者は共通のソースコードにアクセスできる何者かにより書かれているようなのだ。

Q:「Duqu」と「Stuxnet」には他にも関連があるのか?
A:「Duqu」により使用されるドライバは、台湾のハードウェア会社JMicronからのものだとしている。StuxnetはJMicronから盗まれた証明書で署名されたドライバを使用していた。

Q: 証明書はどのように盗まれたのか?
A:不明だ。

Q: どれくらい盗まれたのか?
A:台湾の3つのハードウェアベンダC-Media、JMicron、Realtekのケースが判明している。

Q:何故「Duqu」は台湾に関係しているのか?
A:不明だ。

Q:何故カッコ付きなのか? 「Duqu」は他にも何か?
A:広義では、Duquは民族国家により展開されている(あるいは公認されている)「組織的行動」もしくは「ミッション」だ。

Q:「組織的行動」というのはどういう意味か?
A:「Duqu」は、何らかのスパイ活動もしくは偵察任務であるように見えるのだ。たとえば実世界で、この種の偵察任務はアメリカ海兵隊武装偵察部隊(FORECON)チームが「グリーン作戦」と呼ぶものと見なすことが可能だ。

Q:では「Duqu」は単なる悪意あるコードではないのか?
A:ソフトウェアコンポーネントは、我々がDuquと呼ぶものの一部にすぎない。こんな風に考えてみて欲しい。Duquソフトウェアがあり、そしてオペレーションDuquも存在する、と。

Q: それでは「Stuxnet」は? Stuxnetワームはどうなのか?
A:オペレーションStuxnetで使用されているインストーラは、高度なUSBワームだ。このワームは拡散を容易にするため、ゼロデイWindows脆弱性を用いる。

Q:オペレーションDuquとオペレーションStuxnetのミッションは同一なのか?
A:いや。オペレーションStuxnetは、むしろ直接行動を含むミッションである「ブラック・オペレーション」に近い。Stuxnetのケースでは、イランの原子力施設の操業を中断させるという行動がなされた。

Q:Stuxnetは原子力発電所の操業を中断させたのか?
A: そうだ。オペレーションStuxnetは非常に複雑で、巧妙でもあった。Stuxnetワームと付随的なコンポーネントは、地理的にかなりの距離を移動する必要があった。また、インターネットに接続していない閉ざされた標的に、オートパイロットで、コールホームすることなく、侵入する必要があった。

Q:ではStuxnetがインストーラ/感染ベクタとしてUSBワームを使用したのはそのためか?
A:そうだ。困難な緩和要素のため、Stuxnetは外部資源無しに自身を拡散する必要があった。そしてそれ故、多数のゼロデイエクスプロイトを備えていたのだ。Stuxnetの感染力は過剰であるように見えるが、そのミッションは成功しているようであり、Stuxnetの背後にいる連中はおそらく過剰とは考えていないのだろう。

Q: Duquはどのように異なっているのか?
A:Duquは高度だが、自立的に行動するように作成されてはいない。インストーラが標的を感染させれば、Duquはコマンド&コントロール(C&C)サーバにコールホームする。現在分かっているサーバは2つある。1つはインドに、もう1つはベルギーにあった。これらのIPアドレスは、現在はアクティブではない。

Q: C&Cによりどんな活動が行われたのか?
A:既知のあるケースでは、Duquは標的からデータを収集するため、Infostealerをダウンロードした。そのInfostealerは実のところ、盗まれたデータに関連するログファイルに「DQ」をプリペンドすることから、Duquの名称のもととなったコンポーネントだ。

Q:C&Cは他に何をすることができるのか?
A:たとえば共有ネットワークリソースを介して、それ自身を標的ネットワークで拡散するようDuquに命じることができる。

Q:Duquは収集したデータをどのようにC&Cに送信するのか?
A:データを暗号化し、それをJPG画像に追加する。

Q: 何? JPG画像? 何故?
A: 誰かがネットワークトラフィックをモニタしていても、機密資料ではなく、無害に見える画像ファイルが見えるだけだからだ。詳細はここを参照して欲しい。

Q: わあ。Duquは他に何かコソコソするのか?
A: そうだ。30日後、C&Cから命じられない限り、Duquは自身を消去して侵害の痕跡を制限する。

Q:Duquの背後にいるのは誰か?
A: 不明だ。

Q:推測して欲しい:Duquの背後にいるのは誰か? — 11月4日に追加した質問
A:様々な要素から見て、民族国家だろう。

Q: 何を探しているのか?そして理由は?
A: 不明だ。

Q: Duquに関して、断定できることは?
A:「オペレーションDuqu」のソフトウェアコンポーネントは、非常に熟練した開発者とエクスプロイトアナリストのチームにより作成されたということだ。

Q: Duquの目的に関して想像はつくのか?
A: それが何であれ、糸を引く民族国家の関係者が利益を得るためには、非常に重要なことに違いない。この件の関係者にとって、Windowsカーネル脆弱性を開示するリスクは、その利益を上回ったのだろう。部外秘の情報を知る者以外、Duquの本当の目的を明確にすることはできない。識別可能な直接行動が起きるまでは。

Q:では、Duquの背後には政府機関がいると考えているのか?
A:そうだ。

Q: 政府関係者がDuquのようなマルウェアを使用するべきなのか?
A:採決はされていないようだ。

Q: ドイツのR2D2トロイの木馬はどうなのか?
A: R2D2は警察の監視のために作成されたトロイの木馬だ。ゼロデイエクスプロイトや正当なハードウェアベンダから盗まれた証明書により署名されたドライバは使用していなかった。R2D2は通常の警察業務のため、ドイツ当局により制作を依頼されたものだ。

Q:でも警察のトロイの木馬は良く無いのでは?
A:そう、マルウェアはしばしばコントロールを逃れる方法を見つける。我々には決して良い考えとは思えない。

Q:R2D2はどの程度悪いのか?
A:R2D2は、ドイツの法律により許可された範囲を遙かに超えているように見える。これはドイツで法的、政治的混乱を引き起こしたが、技術的にはそれほどでもなかった。我々のシステムオートメーションは、人間のアナリストが気づくよりずっと以前に、R2D2は信頼されるべきではないと判定した。警察にとってR2D2を価値あるものにしたのは限られた導入基盤だ。それは実際、犯罪者に採用され得る方法では革新的とは言えなかった。

Q: Stuxnet/Duquは革新的なのか?
A:そう、非常に。脆弱性が明らかになれば、我々(および他の人々)はこの新たなエクスプロイトのため強力なジェネリック検出を作成するため、膨大な仕事をする必要があるだろう。ラボの他のメンバーは、収集したファイルの再スキャンと結果の処理を行うべく、C-Mediaにより署名されたソフトウェアのためファイルのデータマイニングを行う必要があるだろう。Duquは技術的な頭痛の種となり、得た教訓は犯罪者により、どこかの時点で採用されるだろう。

Q:DuquはStuxnetとは関係無いという人々はどうなのか?
A:2つのオペレーションの類似点を比較してみよう。

  •  インストーラはゼロデイWindowsカーネル脆弱性を利用する。
  •  盗まれた証明書で署名されたコンポーネントがある。
  •  高度な諜報活動を示唆する方法で標的が定められている。

  Duquのインフラをコード化し、構築した技術開発チームは、Stuxnetの開発を行ったチームとは部分的に異なるかもしれない。攻撃が高度に標的を定めているところから、かなりの人的情報収集作業が行われているものと考えられる。この諜報活動は、同じ、もしくは異なるアナリストにより行われたかもしれないが、それはあまり重要ではない。チームの構成がどうであれ、これらオペレーションの類似点は、糸を引いている民族国家関係者が共通であることを示唆している。

Q: 我々がこの民族国家の正体を知ることはあるのか?
A: そうなるとは思えない… 少なくとも近い将来にはないだろう。Duquが引き起こした状況から、どのような種類の開示も阻止されている。

Q: この民族国家の関係者は他のオペレーションを進行中なのか?
A: 不明だ。しかしそうだとしても、あまり驚きはしない。

Q: 最後の(今のところ)質問:オペレーションDuquは電子メールの添付ファイルを使用した。それは誰もが用心すべきものではないだろうか。どうしてそのようなベーシックな攻撃方法を使用するのか?
A: 上手く行くからだ。

http://covers.dummies.com/share.php?id=13154

  その他のリソースへのリンクについては、昨日の記事を参照して欲しい。

セキュリティに関して誰かがKrebsを嫌っている

  エフセキュアラボでは、自動化したサンプル分析を実行する、多数のシステムの設計、構築を行い、利用している。

  そのオートメーションの一部が、さまざまなキーワードで怪しいコードをモニタする。何故キーワードでモニタするのか? マルウェアの作者には、コードに隠れメッセージをひそませるのが好きな者がいるからだ。

  例えば、「Virus:W32/Divvi」は「Mikko cut ur ponytail」というストリングを含んでいる。明らかに我らがミッコ・ヒッポネンを指している。

  多くのマルウェア作者も、「チャック・ノリス」といった語を使用し、自分達のコードにポップカルチャーへのリファレンスを含ませている。

  我々はデビット・ハッセルホフをテーマにしたリモート管理ツール(RAT)に出くわしたことさえあった。

The Hoff

  「Fraud-News.com」が先頃ハッキングされ、ミッコとBrian Krebsがクレジットカード詐欺で逮捕されたという、偽記事が掲載された。

Fraud-News

  当然、我々は到着するサンプルを「Krebs」というキーワードでモニタし始めた。

  そして何かを発見するのに、それほど長い時間はかからなかった。

  「Trojan-Downloader:W32/Agent.DTBM (SHA-1: 20dba9e7730094341f327194f67b43bd751dd9cf) 」は、以下のミューテックスを作成している:

DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED

  うーん、アナリストでZDNet.comブロガーのDancho Danchevを、我々のウォッチリストに追加した方が良さそうだ…

  このトロイの木馬はイン・ザ・ワイルドだが、それほど行き渡ってはいない。エフセキュアのアンチウイルスは、シグネチャ検出を追加する前でも、挙動のヒューリスティックに基づいてこれをブロックする。

  Threat Responseチームによるさらなる分析によれば、同トロイの木馬はfatgirlsloveme.com(whois)に接続しようとする。このサイト/サーバは、2日前にはオンラインではなかったが、プロキシは現在、アクティブであるようだ(ドイツでホスティングされている)。

  我々は分析を継続する。

  「油断のない集中した」オートメーションも。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード