エフセキュアブログ

ZeuS を含む記事

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

多言語サポート:ありふれたスパムではない

 我々は今年の頭頃、Fareitスパムの急増に遭遇した。Fareitとは、ZeusやCryptowallの配送に使われるダウンローダである。

 最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。

 ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス&サービスセンターから送信されたように装っている。

klm_eticket_ready

 しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。

 たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。

dotpay_blurred_ready

 おまけにこのメールはポーランドの有名ISPを使っている。

nowy_kontrakt_listopad_ready

 そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。

lomake_ready

 文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。

 より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。

 これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。

 以下にWauchosの最近のファイル名を挙げる。

attachments_ready

 2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。

 以下のネットワーク接続を行う。

• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php

 また以下からトロイの木馬を追加的にダウンロードする。

• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe

 これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。

 当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。

GameOver Zeus:コンピュータには望ましくないタイプのゲーム

『Team Fortress 2』と『Doom』は空前の人気を誇るPC用ゲームですが、GameOver Zeusはオンラインで購入できるゲームでもなければ、みなさんが進んでコンピュータにダウンロードするようなゲームでもありません。
 
GameOver Zeusとは?
 
以前、インターネットバンキングを狙う「トロイの木馬」について述べましたが、2012年に最初の感染が確認されたGameOver Zeus、すなわち「トロイの木馬」型のGOZほど、ユーザにとって有害なものはありません。GameOver Zeusは、感染したコンピュータからインターネットバンキングの認証情報を盗み出すように設計されており、海外にある犯罪者の口座へ電子送金します。伝えられるところによると、このプログラムはロシアのハッカー、エフゲニー・ボガチェフが作成したもので、世界中のコンピュータに植えつけられました。そして感染したコンピュータのネットワークすなわちボットを構築し、彼の犯罪組織がどこからでも制御できるようにしたのです。
 
GOZは主にスパムメールやフィッシングメールを通じて拡散します。これまで、人々から何億ドルも騙し取ったとみられ、さらに被害は拡大する見込みです。
 
話はそれだけにとどまりません。GameOver Zeusは異種のトロイの木馬を取り込むために、ハッカーが書き換えることもできるのです。その1つがCryptoLockerと呼ばれるランサムウェアで、ユーザがハッカーに身代金を支払うまで、すべてのファイルを暗号化して重要なファイルのほとんどを利用不能にする、大変な被害をもたらすマルウェアです。
 
2014年6月、FBI、欧州刑事警察機構(Europol)、英国国家犯罪対策庁(NCA)は、世界中の様々なセキュリティ企業や学術研究者らと緊密に連携して、「Operation Tovar」というプログラムのもと、対策に取り組んでいることを明らかにしました。この取り組みは、トロイの木馬を拡散しコンピュータに感染させるシステムを一時的に破壊し、その間、他のコンピュータが感染しないようにするものです。しかし、すでに感染したコンピュータには依然としてリスクが残っており、危険にさらされたままです。
 
次に起こる事は何でしょうか。
 
GameOver Zeusボットネットの破壊は、様々な意味で大きな成功となりましたが、これで終わったわけではありません。当社のセキュリティ・アドバイザーを務めるショーン・サリバンは、この一時的な破壊は完全に撲滅したというわけではないため、危険が実際には取り払われていないと懸念を表しています。
 
「ボガチェフが逮捕されていない現在、GameOver Zeusはいまだに大きな脅威で、さらに危険なものへと進化していくでしょう。ハッカーは、トロイの木馬の新しいバージョンのプログラムを簡単に作成して、身代金が支払われなかったり、当局が介入を試みたりした場合に、コンピュータ上のすべてのファイルを破壊するような『自己破壊』コマンドを起動させることができるのです。」
 
私たちがデジタルフリーダムを守るためにできることは何でしょうか。
  • 悪意のあるスパムメールやフィッシングを警戒 ― 特に何か要求した場合を除いて、Eメールの添付ファイルを決して開かない。
  • Eメールの添付ファイルを注意深く確認し、自動的に実行されるようなファイル(一般的にはファイル名の終わりが「.exe」)は、決して開かない。
  • インターネット セキュリティ ソリューションの環境を整え、常に最新の状態に維持する。
  • Windowsのオペレーティングシステムとインターネットブラウザのプラグインを常に最新版に維持する。
  • すべての個人用ファイルを定期的にバックアップする。
  • トロイの木馬GameOver Zeusに感染していないか確認するためにコンピュータを必ずチェックする。
 
この強力なトロイの木馬の仕組みや拡散方法の詳細については、この動画をご覧下さい。




>>原文へのリンク

GameOver Zeusが戻ってきた

この5月、GameOver Zeusのボットネットが、司法当局に摘発された最大のボットネットとして、歴史に名を刻んで終了した。
しかし残念ながら戻ってきてしまった。

BankInfo SecurityのMathew J.Schwartz氏はこのように説明する。

FBI、ヨーロッパ、そして英国国家犯罪対策庁が 'Operation Tovar'を開始して、GameOver Zeusを拡散するために使用されていたボットネットを破壊してからおよそ3ヶ月、このマルウェアは世界的に息を吹き返しつつある。

GameOver Zeusは、感染したPCから銀行口座や個人情報を盗むために設計された「トロイの木馬」だ。5月に司法当局が摘発した時点で、FBIは世界で50万から100万台のPCが感染しており、そのうちの4分の1が米国で、1億ドル以上が詐取されたと推計している。

エフセキュアのセキュリティ・アドバイザー、ショーン・サリバンは「GameOver Zeusの新しい亜種が溢れているわけではない」と述べている。エフセキュア・ラボでは最近の脅威を観察し、その起源について結論つけている。



GameOver Zeusに詳しい我々のアナリストが、最新のサンプルを分析した。彼の評決:明らかにSlavikの仕業だ。

どう思われるだろうか? 弊社のオンライン・スキャナーは新旧のGameOver Zeusを検出する。今、無償でPCをチェックいただきたい

では、

ジェイスン

Necurs - 有償のルートキット

 Necursとは、マルウェアの検知と除去の試みを妨害するためのカーネルモードドライバで、現時点で最も有名なものだ。GOZ(Gameover Zeus)で使われている。すでにPeter Ferrieによる記事で、Necursドライバの技術的な詳細は網羅的に取り上げられているが、我々は分析中にある興味深い点に気付いた。Nucursは「売り出し中のクライムウェア」モジュールとして段階的に取り込まれているのだ。

 我々がNecursドライバの最古のバージョンを見たのは2011年5月で、スタンドアロン型のマルウェアとしてだった。2012年初頭に、あるトロイの木馬型のダウンローダによってドロップされるのを観測した時点までは、他のマルウェアとの関連はなかった。この時はユーザモードのコンポーネントでしかなかったが、ドライバとしてNecursと呼ばれるようになった。

 GOZに当該ドライバが同梱されているのを目にしたのは、2014年の2月に過ぎない。これで著しく注目度が高まった。GOZボットネットの感染端末は何十万に達するものと推定されており、主にオンラインバンキングによる窃盗に用いられている。

 GOZはNecursが組み込まれる前は、関連するドライバ無しで動作していた。米FBI(Federal Bureau of Investigations)が遮断作戦を開始する約2か月半前に、このボットネットにNecursが加えられたのはかなり好奇心をそそる。

 Necursドライバの設計で興味深いのは、サードパーティが利用する際、作者による修正が一切必要ないところだ。Necursドライバの生成とインストールに使われているドロッパーのコードは、Necursのトロイの木馬型のダウンローダとGOZの双方で同じものだ。つまり作者は、ドライバを利用可能にするために必要なものをすべて提供しているのだ。

 ドロッパーのコードはシェルコードの様式で記述されていてそのまま実行可能であり、このドライバを使ったマルウェアが最終的にどんなものであれ、簡単にソースコードに含めることができるようになっている。

 Necursの顧客にソースコードを渡す必要はなく、単にサービスキーの値を適切に設定するだけで、任意の実行ファイルを保護するようにドライバを簡単に設定できる。保護すべきファイルの名称は、ドライバのサービスキーDisplayNameの値から取得される。

 実際のファミリーが何であれ、ユーザモードのコンポーネントからドライバへ命令を与えられるようにする制御用インターフェイスもNecursに組み込まれている。制御はIRP_MJ_DEVICE_CONTROLというリクエストで実行される。これはDeviceIoControlというユーザモードのAPIを通じて送信できる。

 ユーザモードのコンポーネントが最初に送信しなければならない制御コードは0x220000である。Necursドライバはこれを受信すると、ドライバを制御できるプロセスとして、リクエストを送付するプロセスのハンドルを保存する。このコマンドはブートアップごとに1度しか受け付けない。

 制御プロセスとして保存されるには、当該リクエスト用のIRP.AssociatedIrp.SystemBufferが12バイト長で、なおかつ以下の2つのチェックを通る必要がある。

   •  first_dword ^ 0xdeadc0de == second_dword
   •  first_dword ^ third_dword == リクエストを送信したプロセスのpid

 さらにチェックがあり、制御コードを送信するプロセスの名称はNecursのサービスキーのDisplayNameフィールドと同一でなければならない。これにより、Necursが保護するファイル名に対してアクセスしようとコマンドを送信する、望まぬプロセスを回避している。

 Necursは以下を含め、合計15の別々のIoControlCodeをリッスンする。

   •  0x220000 Necursマスターとしてプロセスを登録
   •  0x22000c Necursドライバのパスを取得
   •  0x220010 Necursのサービスキーの名称を取得
   •  0x220018 Necursドライバを更新(ドライバファイルの中身が、IRP.AssociatedIrp.SystemBuffer内のデータに置き換えられる)
   •  0x22001c Necursドライバをアンイストール
   •  0x220028 pidによりプロセスを終了
   •  0x22002c 名前によりプロセスを終了

 各コマンドを呼ぶコードは、ドライバのインストールも行うドロッパーのコード内に含まれている。

Necurs

 こういった特徴は本質的に、Necursドライバを再販およびサードパーティによる使用にうまく適合させている。これはGOZのトロイの木馬で用いられていることから明白である。ボットネットを遮断する現在の試みは、Necursの最大の「顧客」の運営の妨げになっているようだが、少なくともしばらくの間だけだろう。

 当社はNecursドライバのバリアントをRootkit.Necursとして検知する。

 —————

 Post by — Mikko S

GameOver ZeuS用のワンクリックテストサイトを構築

 本日、あなたのコンピュータがGOZ(GameOver ZeuS)に感染しているかを確認する、新たな、そして迅速な方法を当社は発表した。先週、当社を含む業界のパートナーと共に、各国の法執行機関が協力してGOZのボットネットを遮断した。

 GOZは破壊されたわけではなく遮断された、という点を認識するのは非常に重要だ。ボットネットの管理者にとって、近い将来、制御を取り戻すことは技術的に不可能ではない。GOZには100万超台のコンピュータが感染した。時間が最も重要である。

 改善を支援するために本日開始したのが、単にwww.f-secure.com/gameoverzeusを訪れるだけで、あなたのブラウザにGOZへの感染の兆候があるかを確認できるサイトだ。素晴らしい点はソフトウェアを何もインストールする必要がなく、また数秒で終了するところだ。

GOZ detection page

 もっと技術寄りの本ブログ読者なら、どのようにチェックが動作するのか疑問に思っていることだろう。我々はかつてそうしたことを行ったことはないが、ここで詳細について述べるべきだと思う。結局のところ、マルウェア自体にちょっとしたいたずらを仕掛けたのだ。これはいつでもおもしろい。

 GOZは、あるいはもっと言えば他のWindows向けのバンキング型トロイの木馬は、ユーザ名やパスワード、その他の認証情報を盗む目的でブラウザに感染する。Amazon.comに訪れるとしよう。

Amazon login page

 GOZが興味を抱いているサイトに、あなたがログインしようとしていることに気付くと、GOZはブラウザ内部から直接的にあなたの認証情報を盗む。どのようにこれを行うのか?興味のあるアドレスをすべて挙げた設定ファイルを含めているのだ。以下はGOZが追跡しているアドレスのリストの一部だ。

Banks in GOZ config

 お気付きのとおり、当該リストには銀行などの金融機関のアドレスが多数含まれる。GOZは正規表現さえもサポートしており、新たなルールを柔軟に作成できる。正規表現を用いているアドレスは非常に攻撃的になる。

Entries in GOZ config

 「攻撃的」とはどういう意味だ?ええと、たとえば、https://www.f-secure.com/amazon.com/index.htmlというアドレスのサイトを訪れようとする。依然として正規表現がマッチするため、GOZはあなたが本当のAmazonを訪れるところだと考える。つまり我々はこれを用いてGOZのボットに「いたずら」をし、あなたのブラウザが感染しているかどうかをたやすく確認しているのだ。

 それではユーザがAmazon.comを訪れたとき、GOZは実際に何を行っているのだろうか?このマルウェアはブラウザ内部で起動しているので、ログインページに入力しているものを見るだけではなく、Webページをあなたが見る前に改ざんすることもできる。感染したブラウザでユーザがAmazonへ行くと、GOZはページ上に追加的なコンテンツを「挿入」する。以下は、挿入を行う部分のコード片だ。

GOZ code for Amazon

 この余分なコードはログインページに新しいフィールドを追加し、続いてその中身を攻撃者が制御するサーバへと送信する。強調した文字列(LoadInjectScript)は後ほど用いる。

 以上をすべてひっくるめて、我々はどのように当該マルウェアを素早くスキャンできるようにしたのか?

 当社の検知用のページwww.f-secure.com/gameoverzeusは、単に当社のサイト上のページなのだが、「amazon」という文字列を含むアドレスのWebページを読み込む。

iframe on GOZ page

 もし感染していれば、当社のこのページを訪れることで、GOZはあなたがAmazonを訪れると考える。たとえ実際はそうではなくても!続いてGOZは当該Webページに自身のコードを付け加える。我々の「偽の」Amazonページが読み込まれると、「セルフチェック」を行って単純にGOZが加えた変更がページ上にあるかを検索する。上で示した「LoadInjectScript」という文字列を検索するのだ(当社の文字列が見つかるという結果にならないように、分解していることに注意)。

goz_check function

 ページ上に当該文字列が見つかったら、GOZがあなたのブラウザに感染していることが分かる。

 いつもどおり、いくつかの制限はある。GOZがサポートしていないブラウザ(誰かLynx使ってる?あとはネイティブの64ビットブラウザ)を使用している場合、コンピュータは感染しているかもしれないが、ブラウザにはマルウェアの痕跡はない。そのような場合、確認するにはやはり当社の無料のオンライン スキャナを実行することをお勧めする。また、実際に感染しているなら、スキャナを用いて削除する必要がある。

 US-CERTのアラート(TA14-150A)も参照のこと。

 共有すべきリンクはhttp://www.f-secure.com/gameoverzeusまたはhttp://bit.ly/GOZCheckだ。

ゲームオーバー・ゼウス 世界中で23万4,000台の被害

マルウェアのゲームオーバー・ゼウスが蔓延っています。ボットネットによる損害は甚大なものになる可能性があります。感染リスクもなくなったわけではありません。イギリスを拠点とするSkyNewsは、今後2週間以内の差し迫った攻撃について報じました。

フロリダに本拠を構える銀行は、約700万ドルの損失を被りました。ピッツバーグの保険会社はビジネスファイルを暗号化され、推定で7万ドルの損害を被りました。レストランの経営者は、レシピやフランチャイズの情報など、1万以上ものファイルを暗号化されました。これまでボットネットは、ランサムウェアによって3000万ドルを盗み取っています。

US CERTは、ゲームオーバー・ゼウスについて注意を喚起してきました。アメリカは各国と協力し、ゲームオーバー・ゼウスのボットネットとランサムウェアであるCryptolockerへの対策を主導していますが、決して警戒を解かず、自身でセキュリティ管理をするよう呼びかけています。エフセキュアはこの件に関して支援を行ってきた企業の1つです。

ゲームオーバー・ゼウス(GOZ)を使用すると、Cryptolockerなど他のマルウェアをダウンロードしたりインストールしたりすることができます。また、銀行の認証情報を盗み出すことができるので、ターゲットとなっている個人や企業が不法に預金を引き出されてしまうため、ついには財産を失うおそれがあります。(出典:FBI CYD 1603.0514.4.2 EXT)

GOZは現在FBIが制御しており、収集される感染したコンピュータのIPアドレスについては、インターネットサービスプロバイダと共有していくことになります。サービスプロバイダは顧客にウイルスを除去するツールを指示します。またそうしなければなりません。

では皆さんがすべきことは何でしょうか。

・アンチウイルス・ソフトウェアの使用と管理:  アンチウイルス・ソフトウェアはほとんどの既知のウイルスを認識し、これらからコンピュータを保護します。アンチウイルス・ソフトウェアを最新の状態に維持することが重要です。
・パスワードの変更:  元々のパスワードは感染の際に盗まれている可能性があるため、変更する必要があります。
・オペレーティング・システムとアプリケーション・ソフトウェアを最新の状態に維持:  攻撃者が既知の問題や脆弱性を利用できないようにするため、ソフトウェア・パッチをインストールしましょう。エフセキュア ソフトウェア アップデータは自動化されたツールで、企業ネットワーク内にあるソフトウェアの状態を常時監視するのに役立ちます。
・マルウェア対策ツールの使用:  マルウェアを特定し除去する正規のプログラムを使用すれば、感染防止に役立ちます。エフセキュア オンライン スキャナは無料のオンラインツールで、PCに問題を引き起こす可能性のあるウイルスやスパイウェアを除去します。エフセキュア オンライン スキャナは、別のセキュリティソフトがインストールされていても機能します。

従来のウイルス対策は十分ではありません。例えば、2013年4月に報告されたGOZクライムウェアへの感染のうち、80%が以前には見られなかった新種のものでした。これらの事例では、ディープガードがそのファイルの悪意のある挙動を認識し、攻撃を阻止することにより、感染を防ぎました。

GameOver ZeuSが盗んだお金はいくら?

 FBIによる指名手配:Evgeniy Mikhailovich Bogachev。別名「slavik」。

Tovar, Bogachev


 ついに…顔と本名に、悪名高い偽名が結びついた。

 昨日FBIは、よく知られたバンキング型トロイの木馬GOZ(GameOver ZeuS)の運用者に対する、複数の国家による取り組みの成果を公表した

 我々はこれを待っていた。

Tovar, technical assistance provided by

 詳細はGameOver Zeus Botnet Disrupted(GameOver Zeusのボットネットが遮断される)にある。

 本日、我々は(はやる気持ちで)関連ドキュメントを読んだ。そして、GOZがらみの損害額は非常に衝撃的であった。

 以下はGOZの被害者の例だ。

Tovar, GOZ victims

 フロリダの銀行1行で「700万ドル」?えっ。

 また以下は、CryptoLocker(GOZによってドロップされるランサムウェア)の被害者の例だ。

Tovar, CryptoLocker victims

 フロリダのあるレストランでは、レシピが暗号化された?

 それこそ「秘密のソース」だ!

 3万ドルの損害とは、こうしたビジネスにとっては実に大きなコストだ。

 FBIからのこちらの画像によると、2013年9〜12月の間にCryptoLockerは3千万ドルの支払いを得た。

FBI, CryptoLocker Malware

 ではGOZについて挙げると…、これはピアツーピアのボットネットで、「テイクダウン」に対する耐性が高い。警察組織の活動により、現在のところ重要なC&Cインフラはブロックされているが、slavikが副次的な経路を通じて所有権を取り戻すのは時間の問題に過ぎないかもしれない。この間にも、取り戻す努力が行われている。GOZに関係するIPアドレス群は、除去ツールへと向けられている。

 当社の(無料の)オンライン スキャナはUS-CERTのアラート(TA14-150A)に挙げられている。

 当社のメトリックスによれば、実行されたスキャンの数はすでにかなり増加している。

 噂が広まり、運が良ければ、GameOverボットネットは崩壊する。

Gameover ZeuSがMonsterを標的に

 最近になって、Gameover ZeuSの現行の設定ファイルを入手したのだが、GameoverはいまやCareerBuilder(訳注:米国最大の求人求職サイト)に加えてMonster(訳注:世界規模の求人求職サイト)も標的にしていることに気付いた。

 以下は正規のhiring.monster.comというURLのものだ。

hiring.monster

 Gameover ZeuSに感染したコンピュータは新たに「Sign In」ボタンを挿入するが、それを除けばページは同一のように見える。

hiring.monster, gameover

 そして挿入されたフォーム上で、次のような「セキュリティ上の質問」が問われる。

hiring.monster, gameover question injection

 以下はその全リストだ。

  •  In what City / Town does your nearest sibling live?(一番近くに住む兄弟姉妹のいる街は?)
  •  In what City / Town was your first job?(最初の仕事をした街は?)
  •  In what city did you meet your spouse/significant other?(配偶者や大切な人と出会った街は?)
  •  In what city or town did your mother and father meet?(ご両親が出会った街は?)
  •  What are the last 5 digits / letters of your driver\'s license number?(運転免許証の番号の下5桁は?)
  •  What is the first name of the boy or girl that you first dated?(初めてデートした相手の下の名前は?)
  •  What is the first name of your first supervisor?(最初の上司の下の名前は?)
  •  What is the name of the first school you attended?(最初に入学した学校の名前は?
  •  What is the name of the school that you attended aged 14-16?(14〜16歳のときに通った学校の名前は?)
  •  What is the name of the street that you grew up on?(あなたが育った街の名前は?)
  •  What is the name of your favorite childhood friend?(子供の頃に好きだった友達の名前は?)
  •  What is the street number of the first house you remember living in?(住んでいたことを覚えている中で最初の家の番地は?)
  •  What is your oldest sibling\'s birthday month and year? (e.g., January 1900)(一番上の兄・姉が生まれた年および月は?入力例:January 1900)
  •  What is your youngest sibling\'s birthday?(一番下の弟・妹の誕生日は?)
  •  What month and day is your anniversary? (ie. January 2)(あなたの記念日の月と日は?入力例:January 2)
  •  What was the city where you were married?(結婚した街は?)
  •  What was the first musical concert that you attended?(初めて鑑賞したミュージカルは?)
  •  What was your favorite activity in school?(学校の活動で好きだったものは?)

 このプロセスにより「qasent」というcookieが生成される。

 Webサイトのアカウントを持つ、人事の採用担当者はこのような不正行為について警戒すべきだ。アカウントが銀行口座や使用経費と潜在的に関連があるなら…、バンキングトロイの標的になる。

 Monsterのようなサイトでは、単なるセキュリティ上の質問を超える、 2要素認証を導入することは悪い考えではないだろう。

—————

分析 — Mikko Suominen

Gameover ZeuSがBitcoinの勢いに便乗する

 我々は常に当社のアナリストに次の質問を繰り返している。何か興味深いことを目にしたか?そして昨日、我々の問いに対する答えはこれだった。Gameover ZeuSにさらなる文字列が追加された。

 実際、非常に興味深い。

 以下は、解読した文字列のスクリーンショットだ。

Gameover ZeuS Bitcoin strings

  •  aBitcoinQt_exe
  •  aBitcoind_exe
  •  aWallet_dat
  •  aBitcoinWallet
  •  aBitcoinWalle_0

 Bitcoinウォレットの窃取が、マイナーリーグから本当に昇格した。Gameover ZeuSはプロだ。

 分析は続いている。

 SHA1は以下。657b1dd40a4addc1a6da0fb50ee6e325fff84dc4

 分析 — Mikko Suominen

スパムの過剰摂取がFareit、Zeus、Cryptolockerを呼び込む

 ここ2日の間、忙しくしている人がいる…。我々はスパムトラップにて、同一のサブジェクトと添付ファイルがあるスパムが、大幅に急増しているのを目にしてきた。

emails (40k image)



emailstats (28k image)



 添付ファイルにはたいてい以下の名前が付けられている。

attachname (11k image)

 バイナリの添付ファイルは頻繁にFareitと見なされており脅威だ。FareitはインストールされているFTPクライアントや暗号通貨の財布から信用情報やアカウント情報を盗んだり、ブラウザに保管されたパスワードを盗むことで知られている。

 今回のスパムで送られた2つのサンプルでは、情報を送信するために以下に接続していることを確認した。
• networksecurityx.hopto.org
• 188.167.38.131
• 94.136.131.2
• 66.241.103.146
• 37.9.50.200

 データ窃盗に加え、これらのサンプルは以下からZeus P2Pなど他のマルウェアをダウンロードする。
• ip-97-*.net/zA6.exe
• 119*4/fF3krry.exe
• rot*.com/124Tzh.exe
• ww*ng.net/bpuMp.exe
• dev*.com/1mHifVu.exe
• surfa*.com/DJm.exe
• kl*.com/Q4EzT.exe

 システムにインストールされる他のマルウェアとして確認できたのは、Cryptolockerだ。

btc (182k image)



 スパムの過剰摂取が明らかにマルウェアの過剰摂取を招いている。

 当該サンプルはTrojan.Pws.TepferおよびTrojan.GenericKDのバリアントとして検出される。

AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

KINSのソースコード流出にみるサイバー犯罪対策の難しさ

オンラインバンキング詐欺ツールで知られる「KINS」のソースコードが、遂にアンダーグラウンド系フォーラムに流出しているのが確認されました。これにより、オンラインバンキングの利用者を狙ったサイバー犯罪はさらに複雑化していくことが予想されます。

KINSとは今年7月頃に報告され、次代のZeuSやSpyEyeと呼ばれる不正プログラムの1つです。

9月末にKINSの詳細情報が報告されました。10月10日頃よりセキュリティ専門家より一部の捜査機関、およびセキュリティベンダー等にKINSソースコードが配布され始め、ようやく対策が取られ始めたところでした。
#ソースコードの入手の際には所属組織、氏名、職位等の情報が必要。

参考
http://touchmymalware.blogspot.ru/2013/10/kins-source-code-leaked.html
http://www.xylibox.com/2013/09/having-look-on-kins-toolkit.html
http://pastebin.com/T1A80ZYF
https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/


KINS source code

ところが、先週この配布されたソースコードはあっさりと流出したことが確認されました。
KINSのソースコードは、配布者の承認を得たセキュリティベンダー等とされているだけに非常に残念な事です。
#インテリジェンスの共有が難しいのは、この辺りでしょうか。

leaked source code

残念ながら、KINSが完全に検出はできない状態ですが、かろうじて救いなのは、KINS自体は一部の関連ファイルから見て取れるように、ZeuSがベースとなっていることでしょうか。そのため、実行時にZBOTもしくはSpyEye関連のファイルとして検出されることがあります。例えば、次に示す関連ファイルはその典型です。

bot32.dll

参考URL
https://www.virustotal.com/en/file/8c8055c9e972ab37d0880f2b8f63605be52babd779a29e78be3647194ef31aa2/analysis/

また、Dropperに限定されますが、AlienVault-LabsからYaraのルールが提供されています。
https://github.com/AlienVault-Labs/AlienVaultLabs/blob/master/malware_analysis/KINS/kins.yar
オリジナルルールが追加可能なセキュリティ製品を所有しているのであれば、このルールを参照してみるのも良いかもしれません。

勿論、組織としてこれらの対策を講じることは大事ですが、まずは個々の口座で不正送金等が無いかの確認をする方が先決です。


Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




お勧め:ポーランドCERTによるZeus P2Pのレポート

 銀行を狙ったトロイの木馬についての秀逸な分析に、ご興味をお持ちの方のために…。

 ポーランドCERTによる、ZeuSのGameover版(訳注:P2P版と同義)に関するレポート。

CERT Polska, ZeuS-P2P internals – understanding the mechanics: a technical report

ZeuS-P2P internals – understanding the mechanics: a technical report(ZeuS-P2Pの内部 - 構造を理解する:テクニカルレポート)

ダウンロード:2012年下半期の脅威レポート

2012年下半期に、我々が注意を要したことは何だったろうか?この質問の答えは、当社の2012年下半期の脅威レポートの中にある。2012年7〜12月に目にした重要な事件は、ほぼすべてまとめられている。パスワードおよび企業諜報についての短い記事で興味を刺激し、続いて以下の分野のケーススタディに移っていく。

  •  ボット
  •  ZeroAccess
  •  Zeus
  •  エクスプロイト
  •  Web
  •  マルチプラットフォームの攻撃
  •  モバイル

 コピーはここからダウンロードできる。

訂正(2013年2月8日):2012年下半期の脅威レポートが更新され、ZeroAccessの記事の記述が次のように変更となった。「A successful installation in the United States will net the highest payout, with the gang willing to pay USD 500 to 1,000 per installation in that location.(訳注:米国内でインストールされるごとに500〜1,000米ドルを支払う用意があるギャングのおかげで、同国で首尾よくインストールされたことにより、最高の支払額を記録した。)」という文を「[...] to pay USD 500 per 1,000 installations in that location.(訳注:米国内で1,000ヶ所にインストールされるごとに500米ドルを支払う用意があるギャングのおかげで、〜)」のように訂正した。

Exploits

ベルリン警察:Android版銀行口座向けトロイの木馬を警戒

ベルリン警察局は先週火曜日、現金引き出し詐欺に対する刑事告訴関して、プレスリリースを発表した。すべての事件に、SMS mTansとAndroidスマートフォンが関与している。

Pressemeldung #3628
オリジナルGoogle翻訳

 このことは、Mobile ZeuS Man(Zeus Mitmo)とも呼ばれることがある、Mobile ZeuSの事件(Zitmo)に似ていると思われる。我々がZitmoのことを最初に書いたのは、2010年9月に遡る。Zitmoに関して気を付けなければならないことは、それが「モバイル」マルウェアの類のものではないということだ。それより、ZitmoはWindowsベースのZeuSボットと同類/補足コンポーネントなのだ。Zitmoは、銀行の顧客が認証用の追加レイヤーにSMS mTansを使用する際に、WindowsベースのZeuSと一緒に実行される。

 セキュリティの mTansレイヤーに対応するために、ZeuSボットは口座取引中に顧客に電話機のモデルや番号を尋ねる「セキュリティ上の注意」画面を挿入する。悪意ある者は続いて、いわゆる「セキュリティの更新」にSMSリンクを送信するが、これは、実際にはmTansの裏をかくために必要なMobileコンポーネントのManなのだ。

 実害が発生しているZeuSボットにはさまざまなものがある。たとえば、2か月前に我々はZeuSのP2PバージョンであるGemaoverについて書いた。1つのZeuSベースのボットネットだけでも、ドイツで4千9百万近い感染がある。この感染は、どれをとってもZitmoの標的になり得るのだ。

 それでは、Zitmoに対する最適な防御とは何であろうか?ベルリン警察局は、市民が自分の銀行から要請される「セキュリティ更新」に疑念を持ち、ホームコンピュータを防御することを推奨する。

 このことは、最新のウィルス駆除ソフトをインストールすることも含まれる。

-----

 自己プロモーションには次のように書かれている:

 Zitmoのような脅威は、弊社がインターネットセキュリティとモバイルセキュリティをセットとしてご提供する理由の1つです。

 そして、ZeuSのような脅威こそが、弊社の最新のインターネットセキュリティ機能を、中間介在者をブロックしインジェクション攻撃するように設計し、銀行口座防御と呼ぶこととなった原因です。

 ご利用のデバイスはすべて繋がっています。安全を心掛けてください。

Gameover(P2P ZeuS)亜種のマップ #Italy

  我々のバックエンドオートメーションが5月、「Gameover」関連のIPアドレスを記録し始めた。Gameoverは、バンキング型トロイの木馬ZeuSのピアツーピア型亜種だ。先週我々はこの3,300超のIPを取り上げ、GeoIPルックアップを行った。

  そしてかなり興味深い結果が得られた!


地図を拡大する

ダウンロード:GameoverIPs.kml

  イタリアは、IPアドレスの総数のほぼ10%を占めた:

Gameover P2P ZeuS, Italy

  イタリアは注意マークで覆われている…

  一人当たりの感染の高い数字に興味を持ち、我々はさらにWebを検索して調査を行った所、Dell SecureWorksでBrett Stone-Grossの素晴らしいレポートを発見した。

  (Brian Krebsによれば)少なめに報告されている彼の分析は、我々の調査結果を十二分に追認している。イタリアにはかなりの数のGameover感染が起きている。

Gameover Infections by Country

  Stone-Grossのレポート「ピアツーピア(Gameover)ZeuSのライフサイクル」には、678,000の固有のGameoverボットに関する詳細が含まれているが、そのうちの5.1%がイタリアのものなのだ。

  我々のアナリストが最近取得したGameoverコンフィギュレーションファイルから、イタリアではこの時点でアクティブな動きがあることが分かる。アットマーク(@)は、Gameoverがフォーカスするであろうバンクセッションを示している。

  •  @https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
  •  @https://www3.csebo.it/*
  •  @https://qweb.quercia.com/*
  •  @https://www.sparkasse.it/*
  •  @https://dbonline.deutsche-bank.it/*
  •  @https://*.cedacri.it/*
  •  @https://www.bancagenerali.it/*
  •  @https://www.csebo.it/*
  •  @https://*.deutsche-bank.it/*

  また、注目に値するのは、アラビアの銀行がコンフィギュレーションファイルにリストされていることだ。

  CCNA向けに:Gameoverは(インストール時に)ランダムに割り当てられた10,000から30,000のポートで、UDPを介してピアと通信を行う。このような通信は通常、数秒ほどおきに起こり、40から350バイト程度の大きさだ。より大きな通信は、TCPを介して起きる。長期の時間のモニタリングにより、おそらくIPアドレスの繰り返しが見られるだろう。

  Gameoverが洗練されていることが、最初のZeuSの作者が関係している証拠だという我々の以前の推測は、「リタイア」したとされるSlavikが活動を続けていることを示唆するこの記事など、Krebs on Securityの記事が裏付けている。

  では。

Analysis by — Marko and Mikko S.








Gameover ZeuS

  エフセキュアの「Threat Report H1 2012」から抜粋:

  昨年、version 2.0.8.9のソースコードが流出した後、ZeuSは別途開発された複数のクライムウェアファミリに別れた。興味深い開発はピア・ツー・ピアバージョンで、「Gameover」と呼ばれている。

  このGameoverピア・ツー・ピア(P2P)バージョンは、イン・ザ・ワイルドで現れたZeuSの第2の派生物で、ピア・ツー・ピア・ネットワークを使用して、感染したコンピュータからコンフィギュレーションファイルとアップデートを取り出す。この派生物に組み込まれた広範な変更は、ほとんどがもっぱらコンフィギュレーションファイルに集中しており、回復や分析を妨害することを目的としているようだ。変更の多くは、2008年(バージョン1.2)以来変わっていなかったバイナリ構造や圧縮方法など、長年変更の無かったコードセクションに加えられている。

  このバージョンが一般にリリースされた日付は、そのDomain Generation Algorithm(DGA)により作成されたドメインの登録データから推定することができる。このトロイの木馬は、P2Pネットワーク上で他のマシンに接続できない場合は、これらのドメインを「バックアップ・サーバ」として使用する。最初のドメイン登録が2011年9月5日に行われているので、同トロイの木馬はこの日付近くに解き放たれた可能性が高い。これらのバックアップ・サーバは、同トロイの木馬が実際のコンフィギュレーションファイルを読み出すことのできる感染したマシンの、別のリストをホスティングしているのみだ。このバックアップシステムは、コンフィギュレーションファイルが外部のWebサーバには保存されていないが、完全にボットネット自身の内部で取り扱われていることを意味している。

  分析されたすべてのP2Pサンプルには、着信するファイルのデジタル署名チェックに用いられる、同一のRSAパブリックキーが含まれていた。

  他のボットネットに特有な暗号化キーも同様だ。したがって、このP2Pバージョンはプライベートなものであり、これらトロイの木馬を作成するのに使用されたキットは、それ以上再販されなかった、というのが我々の結論だ。このことは、これらトロイの木馬のすべてが同一のボットネットにつながっており、一つの団体によりコントロールされていることを意味している。広範囲な変更が加えられたことと、ソースコードがリークした後にこのバージョンが現れるのに比較的短期間しか掛からなかったことから、このP2Pバージョンは漏洩したコードから作業をした部外者により作成されたものではないと見られる。ZeuSコードの論理的で、慎重に作成された進化形であり、おそらく「ZeuS 3」と呼ぶことも可能だろう。その作者を特定する方法は無いが、オリジナルの「ZeuS 2」の背後にいる人物であるということは、大いにあり得る。

ZeuS Distribution, April - May2012

  完全な脅威レポートはここからダウンロードできる。








バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード