エフセキュアブログ

ZeuS を含む記事

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

Zeus再び

  Zeusは今も、我々が遭遇する最も一般的なマルウェアの1つだ。

  ちょうど我々は、悪意あるZIPファイルが添付されたスパムに注目している。

Resume ZBot

  ZIPファイル内にあるのは、常に同一のZeus亜種(md5 92671afe999e12669315e220aa9e62c2)だが、名称は様々だ。今のところ、我々は以下のファイル名を確認している:

  •  2010 Contract With LC Change 051005.exe
  •  Flight Attendant-0600003A.exe
  •  Second chord sounds in world's longest lasting concert - Yahoo! News.exe
  •  Cancellation Notice.exe
  •  BURRESS_WEDDING_AUGUST2010.exe
  •  IN255596.exe
  •  2010 expenses.exe
  •  resume.exe

  同マルウェアは、ロシアの悪意あるWebサイト2カ所から、追加コンポーネントをダウンロードする。すなわち「jocudaidie.ru」と「zephehooqu.ru」だ。

  エフセキュアはこれら悪意あるサイトへのアクセスをブロックしており、同マルウェアは「Trojan:W32/Agent.DKJC」として検出している。

LNK脆弱性:Chymine、Vobfus、SalityおよびZeus

  悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。

  しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

  以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

  Chymineは新しいキーロガーだ(.Aバリアントから見ることができる)。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない(よってワームベクタは無い)。Chymineを発見したのはESETの人々だ。

Chymine

  Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

  今日のニュースには、Sality(ポピュラーなポリモーフィックウイルス)とZeus(ポピュラーなボットネット)が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

  Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

  以下が本文だ:

Hello, we are writing to you about a new Microsoft security advisory issue for Windows. There is a new potentially dangerous software-worm, attacking Windows users through an old bug when executing .ICO files. Although this is quite an old way of infecting software, which first was used in 1982 with Elk Cloner worm, the new technique the new worm is using is more complicated, thus the speed and number of attacs has strongly increased. Since you are the special Microsoft Windows user, there is a new patch attached to this e-mail, which eliminates the possibility of having you software infected. How to install: open an attached file

  Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

  我々は今回のZeusの亜種が、それほど成功するとは考えていない。

ICPP著作権財団は偽物

  新たな身代金型トロイの木馬が出回っている。

  このトロイの木馬は、「著作権者への罰金」をカバーするため、「公判前の示談」の支払いを行うよう脅すことで、犠牲者の金を盗もうとするものだ。

  犠牲者は「反海賊行為財団スキャナ」が、システムから違法なTorrentファイルを発見したと告げられる。もし400ドル(クレジットカード・トランザクションを通じて)支払わなければ、懲役刑と莫大な罰金を科せられる可能性があるという。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  そしてこの警告は消えない。システムを再起動するたびに、再び現れるのだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらすべては完全に偽物だ。「ICPP財団」などというものは存在しないし、このメッセージは、違法なファイルをまったく含んでいない場合でも表示される。

  もっとも重要なのは:こんな道化連中への支払いは拒否すること! もし支払いを行えば、問題がより大きくなるだけのことだ。

  この件の背後にいるグループは、「icpp-online.com」に公式サイト風のWebサイトを準備してさえいる。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ドメインは「Shoen Overns」氏の名で登録されている。「ovenersbox@yahoo.com」という電子メールアドレスは、ZeusおよびKoobfaceスキャムに関連して、以前、他のさまざまなドメインで見掛けたものだ。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同アプリケーションが示す「Reports」をクリックすると、以下のようなページが現れる:

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  同ページにリストアップされている(イタリアの)番号に電話を掛けてみた:+39 (06) 9028 0658 当然のことながら、つながらなかった。

a co-project by ICCP Foundation / ICPP Foundation - Copyright violation: privacy content detected

  これらのページは「91.209.238.2」でホストされており、WHOISによれば「高度に保護されたソマリアネットワーク」である「EBUNKER-NET」に属している。これはモルドヴァで運営されている。

  支払いページは以下の通り:

iccp7

  同サイトに接続するはっきりとしたクレジット・カード支払いシステムは存在しない。クレジット・カード情報を集め、保存しているようだ。

  もし皆さんが、このトロイの木馬に遭遇しても、「支払ってはいけない」。その代わり、トロイの木馬を除去するため、これを検出できるアンチ・ウイルス・プログラムを使用すること。「エフセキュア アンチウイルス」はこれを「Rogue:W32/DotTorrent.A」として検出している。ols.f-secure.comにある無料の「エフセキュア オンライン スキャナ」を使用して、システムのチェックを行うことができる。

  同マルウェアは一般に「c:\documents and settings\USERNAME\application data\IQManager\iqmanager.exe」に位置する。2つの異なるバージョンが見つかっている。これらのMD5ハッシュは「cedc2c35bf967027d609df13e937946c」と「bca3226cc1cfea416c0bcf488082e5fd」だ。

Kneberという名のボットネットは一体何なのか?

  今週、多くのメディアの注目を受けたKneberと呼ばれるボットネットがある。

  では、Kneberとは一体何なのだろうか? 多くのレポートがこれをZeuSボットネットそのものと呼んでいる。

  しかし実際は、これはZeuSベースのボットネットの一つでしかない。Kneberという名は、そのドメインの多くを登録するのに使用されている名前に由来している。

  では、ZeuSとは何なのだろう? ZeuSはボットネットを構築するための、一種のドゥ・イット・ユアセルフ型ツールキットだ。我々はそれをZbotと呼んでいる。Zbot/ZeuS初のサンプルは、2007年10月にさかのぼる

  以下は「News from the Lab」ブログに掲載されたZbot関連記事だ:

  •  2008年2月:ZBotマルウェアへのMikkeliスパム・リンク
  •  2008年4月:銀行口座を欲しがるPolinka嬢
  •  2008年11月:ZBotのポーカー

  以下は売りに出されているZeuSパッケージのスクリーンショットだ:

ZeuS for sale

  そしてこれが、活動中のZeuSボットネットの動画へのリンクだ。

  ZeuSは確かに脅威ではあるが、新しい脅威ではない。

  Brian Krebsが、非常にうまく要約している:

  「悲しいことに、NetWitnessが詳細に記録しているこのボットネットは、珍しい物でも新しい物でもない。過去数年の間つねに、異なるZeuSボットネットは数百という数を保ってきた。ZeuSによる世界的な脅威を監視しているWebサイト、ZeuStrackerによれば、現在、世界にZeuSボットネット用の指令センターはオンラインにほぼ700あるという。」

追記:動画はYouTubeから削除された。

”雲(AWS)”の中に潜んでいたゼウス

昨日から、"ZeuS in the cloud !!" といった内容の記事が世間を賑わせています。これは、ZeuS crimewareのC&Cサーバが、Amazon EC2で確認されたという報告があったためです。
設置した人からすれば、(闇の)ビジネスですから当然と言えば当然なのかもしれません。

aws_zeus

AWSはAmazonが提供しているサービスですので、悪用する者が出てきても全く不思議ではありません。寧ろ、IaaSを利用したサービスは次々と登場しており、これらを悪用する輩が出てくることは容易に予想できます。きっと、WPA Crackerのようなサービスも、幾つか登場してくると、当然悪さをする者も出てきそうです。

ところが、残念ながらクラウド・コンピューティングにおけるセキュリティ対策は現在議論されている真っ最中。すぐに対策を実施するというわけにはいかないのが現状であり、技術面や法律面、その他諸々課題が残っています。ウイルス対策関連は製品を発表しているベンダーもありますが、一般的にはこれからといった感じです。

そういった意味では、今回の報告はクラウド・コンピューティングの暗部に対しての再警鐘だったのかもしれません。流行のキーワード「クラウド」から目が離せませんね!

フィッシングがフィッシングでは無い場合

  どうやら、以下のようなMySpaceフィッシング・メールが出回っているようだ。(「…あなたのMySpaceアカウントをアップデートしてください。こちらをクリックして、MySpaceアカウントをアップデートしてください…」)

  このリンクをクリックすると、複数の.ukドメインでホスティングされたMySpaceに似たページが現れる:

Zeus

  一度ログオンすると、悪党たちがあなたのMySpace証明書へのアクセスを獲得するというわけだ。

  連中は何故それらの情報が必要なのだろう?

  MySpaceであなたのふりをし、悪意あるリンクをあなたの友達、あなたを知っており、信用している故に、確実にそのリンク先にアクセスするであろう友達に送信するためだ…

  しかしこのケースでは、彼らが狙っているのはそれだけではない。ログオンした後、以下のプロンプトが表示されるのだ:

Zeus

  「新しいMySpaceアップデート・ツール」? 本当に? 実行ファイルで?

  うーん… もちろんそんなはずはない。このファイル(md5: 4c7693219eaa304e38f5f989a8346e51)は、オンラインバンキングをターゲットにしたトロイの木馬Zeus/Zbotの亜主の一つであることが分かった。

  「エフセキュア アンチウイルス」は、悪意あるドメインへのアクセスをブロックし、同マルウェアを検出する。

"新"Gumblarに注意喚起

Gumblarに似た攻撃が確認されており、注意喚起が出ています。
また、大感染が予想されていますのでご注意を。

前回と異なる点は、攻撃に利用されているサーバーが多段になっていることです。そのうえ、JavaScriptも難読化されているため、解析に時間がかかります。

私たちがとりあえず気をつけることは、前回同様に次の2点。
・FTPの利用に気をつける(特にパスワード)
・Microsoft製品、Adobe製品のアップデート

また、ScanSafeのブログの記事も興味深いです。この記事によると過去にZeuSが関係したドメインが今回悪用されているような記載があります。サーバーは借り物(?)、ZeuSはサイバー犯罪者御用達Trojanです。つまり、今回の件が落ち着いても模倣犯が早々に出てくる可能性がありそうです。

何はともあれ、Gumblar騒ぎは進化を続けながら、暫く続くと考えておいた方が良さそうですね。


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード