エフセキュアブログ

Security Tool を含む記事

諜報ツールキットRegin

 Reginは一連の洗練された諜報ツールキットの中で最新のもので、世界中の広範な組織を標的に使用されている。既報の通り、活動中のマルウェア群でさらに複雑なものの1つで、他の数多くのツールキットとまったく同様に背後には長い歴史がある。我々は約6年前の2009年の初頭に初めてReginと遭遇した。北ヨーロッパの顧客の環境にあるWindowsサーバ上にそれが隠れているのを見つけた。

 そのサーバはたびたびクラッシュし、悪名高いブルースクリーンになっており、トラブルの兆候を示していた。「pciclass.sys」という、当たり障りのない名前を持つドライバがクラッシュを引き起こしているように見受けられた。より詳細な分析を行うと、当該ドライバは実はルートキットであった。もっと厳密に言うとReginの初期のバリアントの1つだった。

Regin File Header

 上のスクリーンショットで認められるとおり、このドライバは明らかに既に2008年3月7日にはコンパイルされているが、それより早いタイムスタンプのある他のサンプルによって、作戦はさらにこれよりも前であることが示唆されている。

 結局のところ、複数の段階がある脅威における1つのコンポーネントに過ぎないことが分かった。このドライバはレジストリキーかNTFSファイルシステムの拡張アトリビュートを使って、次の段階のマルウェアを読み込める。ドライバに埋め込まれた設定が、このことを示している。

Regin config

 我々は少なくとも以下のレジストリキーが、次の段階のペイロード用に使用されているのを目にした。

  •  \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}:Class
  •  \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}:Class
  •  \REGISTRY\Machine\System\CurrentControlSet\Control\RestoreList:VideoBase

 以下のフォルダには名前に「_」が付いたNTFS拡張アトリビュートが格納されており、また次の段階のペイロードも格納されているのが見られた。これは実際には2つの異なるアトリビュートに分割され得る。

  •  %WINDIR%
  •  %WINDIR%\security
  •  %WINDIR%\repair
  •  %WINDIR%\msapps
  •  %WINDIR%\msagent
  •  %WINDIR%\Cursors
  •  %WINDIR%\fonts
  •  %WINDIR%\Temp
  •  %WINDIR%\msagent\chars
  •  %WINDIR%\Help
  •  %WINDIR%\inf
  •  %WINDIR%\Spool\Printers
  •  %WINDIR%\CertSrv

 2013年および2014年の間、我々はより新しいバージョンのReginを分析してきたので、攻撃における複雑さと洗練度合が非常に明確になってきた。我々はReginを、Stuxnetや、Flame、Turla/Snakeのようなものと共に、高度に洗練された諜報作戦という同一のカテゴリに配する。

 いつもながら、このような事案で出所を特定するのは難しい。我々の感じるところでは、このマルウェアは珍しくロシアや中国から来たものではない。

Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


最近気になる Remote Administration Tool(RAT)

何かと話題の「遠隔操作ウイルス」事件により、ようやく RAT(いわゆるトロイの木馬) が一般的に認知されました。
RAT 自体は10年以上前から存在しますし、世界中で開発されていますので、日本もその例に漏れず、といったところでしょう。
RAT 開発者の職業もここ数年で非常に幅広くなったように思います。2年前にとあるアンダーグラウンド・マーケットで RAT の開発者にインタビューしたところ、その開発者は高校生でした。4、5年前は、職業プログラマの開発者しか(ネット上で)会えなかったことを考えると、時代は変わったなぁ、とつくづく感じます。
SYSIE の作者が何者かは分かりませんが、学生から職業プログラマ、国家機関など誰がマルウェアを開発していても不思議ではない状況下ですので、犯人像の特定は今後ますます難しくなっていくように思います。

さて、そんな誰もがマルウェアを開発できる環境が整いつつあるなか、ここ数年間注目しているのは Java で開発された RAT です。

理由は幾つかあるのですが、例えば、
.泪襯船廛薀奪肇侫ーム対応なので標的となる OS が幅広く、近い将来に流行するかもしれない

java_rat


⊆孫團侫.ぅ襦EXE や DLL)ではなく JAR ファイルが利用
(防御レベルが少々手薄)

0貳未Javaプログラムの実行と区別が付きづらい

javaw


などが挙げられます。マルチプラットフォーム対応のマルウェアは、Java RAT の他には今年8月にW32.CrisisOSX.Crisis が報告されています。マルウェア開発の流れは、マルチプラットフォームへと動いていることは、間違いなさそうです。そういった観点からも、Java RAT が近い将来に普及し始めるのではないか、と考えています。
(とはいえ、Windows 実行ファイルの RAT が主流であることには変わらないと思いますが・・・)

これらの脅威に対し、新たな対策があるわけではありませんが、あえて補足しておくとすれば、検体が抽出しやすい環境を整えておくことを推奨します。

・OS等のバックアップ機能を利用
・ネットワーク・トラフィックからファイル抽出
・怪しいと思ったら証拠保全(フォレンジック)
※ウェブレピュテーション機能がアラートを挙げる、覚えの無いソフトウェアのフォルダが作成されている(空のWinRARフォルダなどあったら即保全)等

などがあります。RAT の検体が抽出困難な場合でも、状況によっては感染事実を推測することは出来ます。しかし、駆除や被害範囲の特定、対策面の検討等を考慮しますと、検体の入手は非常に重要になってきます。 RAT の場合は、その特性から攻撃者の目的が明確である場合が多いです。そのため、単に検体を駆除するだけではなく、その背後関係まで考えて対策を実施する必要があると思います。
今後、マルウェア対策を行ううえで、その辺りも踏まえて考えるとサイバー・セキュリティの重要性が改めて感じられるのではないでしょうか。


シリアで標的型攻撃

  シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。

  先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。

Syria

  この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。

  最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった際に起きた。このユーティリティは、一部のモニタリングツールを回避するため、ハードウェアのMACアドレスを変更すると考えられていた。しかし実際は、「silvia.exe」という名のファイルをドロップした。これは「Xtreme RAT」というバックドアだ。

  「Xtreme RAT」は本格的な悪意あるRemote Access Toolだ。

  Google Sitesでホスティングされているページを介して、100ユーロ(Paypal)で販売されている:https://sites.google.com/site/nxtremerat

Xtremerat

  我々には、この感染が単なる不運によるものではないと信じる理由がある。この活動家のコンピュータは標的にされたのだと思う。いずれにせよ、同バックドアはIPアドレス216.6.0.28にコールホームする。このIPブロックはシリア・アラブ共和国—STE(Syrian Telecommunications Establishment)に属している。.

  これはシリアで、トロイの木馬がこのような目的で使用された初のケースではない。

  過去の類似するケースに関しては、以下のリファレンスをご覧頂きたい:

http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

http://blogs.norman.com/2012/security-research/the-syrian-spyware

http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(似たような攻撃で使用された別のRATの作者へのインタビューを含む)

  問題のサンプルのSHA-1ハッシュ:

  •  2c938f4e85d53aa23e9af39085d1199e138618b6
  •  a07209729e6f93e80fb116f18f746aad4b7400c5

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

「Trojan:Android/BgServ.A」

  Googleが、ここ数日間に起きた「Trojan:Android/DroidDream.A」による混乱に対処するセキュリティソリューションを公開した。

  同ツールのトロイの木馬化されたバージョンも出現している(我々はこれを「Trojan:Android/Bgserv.A」として検出している)。同トロイの木馬の興味深い予備分析が、Symantecのブログで公開されている。

  本物対トロイの木馬バージョンの違いは、アプリケーション情報をチェックすることで確認できる:

「Android Market Security Tool」:

android_market_security_tool_installation (121k image)

「Trojan:Android/Bgserv.A」:

trojan_android_bgserv_a_installation (129k image)

  コンテンツ/パッケージのスクリーンショット:

trojan_android_bgserv_a_comparison (114k image)

  いったんインストールされると、「Trojan:Android/Bgserv.A」はIMEIや電話番号など、ユーザの電話情報を獲得する。この情報は「hxxp:// www. youlubg. com: 81 /Coop/request3.php」にアップロードされる。

  今回も、このマルウェアは中国本土のネットワークに特化されているようだ。(China Mobile Netに関連するナンバー10086にコンタクトを取り、「cmnet」という名称をAPNリストに挿入し、新たなAPNを使用しているのだ。

  このマルウェアは、感染したデバイスで大量のデータ使用を引き起こし、ユーザに高額な電話料金を課す可能性がある。

  興味深い点:この悪意あるコードは、「Android Market Security Tool」にのみ制限されているわけではないようだ。AegisLabのブログによれば、同様のふるまいが他のAndroidアプリケーションでも現れるそうだ。


では。
Zimry

Androidと「Kill Switch」

jon  先週、悪意をもって修正されたアプリケーションがいくつか、「Android Market」で公開された。

  週末、Googleは彼らの「Kill Switch」を使用し、これらトロイの木馬をAndroid端末から除去すると発表した

  さらに、Googleは影響を受けた端末に「Android Market Security Tool」という名のプログラムをインストールするよう強制する。

  Googleが「Kill Switch」を使用するのはまだ2回目だ。今回以前に知られている唯一のケースは、Jon OberheideのTwilight Eclipse POCマルウェアだ。

  「F-Secure Mobile Security」はこれらトロイの木馬を、「Trojan:Android/Adrd」「PjApps」「DroidDream」の亜種として検出する。

報告された攻撃サイト! - セキュリティツールの最新のトリック

  攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

  今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

Reported Attack Page

  しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ!

Reported Attack Page

  素晴らしいでしょう? それで、不用心なユーザは「ff_secure_upd.exe」をダウンロードし、不正なAVをインストールすることになるかもしれない。

  実際は…スクリプトがブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザに不正なAVをオファーするのだ:

Reported Attack Page

  そして「Cancel」をクリックしても、それを拒否する。

Reported Attack Page

  結局、ユーザはFirefoxをアップデートすべき、ということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

  皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

  新たな素晴らしいトリックだがかなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページはユーザに、何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ:

Reported Attack Page

  どこかアラニス・モリセットの歌の一つを思い出させる…

追記:最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

Malware Detected!

  今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。

  最後に、別のサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

  (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik! :))

  投稿はChristineおよびMinaによる。

Firefox/Flashアップデートを装うローグAV

  不正な販売者たちは、ローグウェアをユーザのシステムに押し込む際の使い古されたトリックに、飽きてしまったようだ。これまでのトリックは、警告、そして次に偽のAVへと至る、偽スキャンページだったのだが。

  現在、それはFirefoxの「Just Updated」ページとなっている。Firefoxブラウザをアップデートすると、すぐに表示されるこのページを知っているだろうか? そして、最初にFirefoxをオープンした時に? そんな具合だ。しかし、もちろん落とし穴がある。Firefoxがアップデートされたとしても、Adobe Flash Playerはアップデートされていないと、ユーザに告げるメッセージがあるのだ。そのため、まだアップデートの必要があるという。実に役に立つ…

Firefox Update

  そしてユーザは何もクリックする必要がない。ページがロードされるとすぐに、ダウンロードダイアログボックスが現れるからだ…

Binary

  ユーザがファイルを実行すると… お馴染みの悪しきローグAVが…

Security Tool

  どういうわけか、不正な連中はFirefoxかFlash Playerかを決められなかったようだ… そのため両者を少々ということになったのだろう。

注:この悪意あるサイトは既にブロックされており、同ローグはエフセキュアの最新データベースアップデートで検出されている。

  投稿はレスポンスチームMina & Christineによる。

Waledacよ安らかに?

  Microsoftは昨年4月、「Malicious Software Removal Tool(MSRT)」に検知を追加して、Waledacボットに挑戦した。

  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。

  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させることで、Waledacボットネットをまとめて追跡している。

microsoft's waledac map

  Microsoftに賞賛の言葉を贈りたい。この努力が成功することを期待する。

  まだスパムやボット・サンプルの現象を確認していないが、それが起きることを待っている。

  頭が切り落とされても、身体が動き回るのをやめるのには、おそらくかなりの時間がかかりそうだ。

  結局、連中はゾンビなのだ…

投稿はChristineとMinaによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード