エフセキュアブログ

code を含む記事

アドビ、ハックされる

 adobe.comのアカウントを持っているだろうか?

 もしイエスなら、たぶんサインインしてパスワードをリセットしたくなるだろう。なぜか?アドビがハックされたからだ。

  アドビから(訳注:日本語ページ)。
 
 「攻撃者は当社のシステム上にあるアドビの顧客IDおよびパスワードにアクセスしたことが分かっています。また、攻撃者は290万人分の暗号化されたクレジットカードおよびデビットカード情報にアクセスしたと考えられます。アクセスされた情報には、顧客名、暗号化されたクレジットカードまたはデビットカードの番号、有効期限、および顧客注文に関連するその他の情報も含まれます。」

 暗号化されたパスワードや、クレジットカードおよびデビットカードの番号など。それなら、adobe.comに提示済みのカードについての監視もしたいかもしれない。まずはパスワードのリセットが正攻法だ。

 サインイン。

Sign in

 パスワードのリセット。

Required Password Reset

 「Click this link to reset your password.(このリンクをクリックして、パスワードを再設定してください。)」

Click this link to reset your password

 私のアカウントはテスト用で、ランダムな英数字で生成したユニークなパスワードを用いていたのは、運が良かった。

 不運なのは、adobe.comアカウントの削除方法について1〜2週間ほど前に調べたのにも関わらず、そのアカウントを依然として持っていることだ。

justdelete.me

 また大いに興味があるのは、ソースコードが漏洩したという事実だ。

 詳細についてはKrebs on Securityに記載されている。

 Post by — @Sean

Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




AndroidマルウェアがSMTPに向かう

 Androidマルウェアの世界では新しいことは何もない、と思う間もなく、小さなことだが、非常に興味深いと驚くことがあった。SMTPサーバに接続してメール送信するAndroidマルウェアだ。

 SMTPを使用すること以外、このマルウェアはまったくもってありきたりのものだ。インストールすると、モバイル機器上に永続的に留まるために、アプリケーションはデバイス管理をアクティベートするかどうかユーザに尋ねる。この脅威はアプリケーションメニュー内に重要なアイコンを何も追加しない。むしろユーザは、アプリケーションマネージャを確認しないと、「Google Service」と偽装しているアプリケーションがあることに気付かない。

mobile1 (138k image)

 インストール後、当該アプリケーションは電話番号や、送受信したSMS、録音された音声のような慎重に扱うべきユーザ情報を、あるメールアドレスに向けて収集する。続いて、SMTPサーバ、特定したところではsmtp.gmail.com、smtp.163.com、smtp.126.comを用いて、盗んだデータを送信する。以下には、非常に中国臭がするものを感じている…。

code (169k image)

 この脅威がSMTPサーバに接続しようと試みているところのスクリーンショットを次に示す。

smtp (161k image)

 この脅威は、大抵の場合サードパーティーのAndroid市場や悪意あるWebサイトからダウンロードされることがわかっている。我々は1ヶ月前に初めてこのマルウェアファミリを目にしたが、以来活発に活動している。当社では既にこの脅威をTrojan:Android/SMSAgentとして検知する。

msms_android (59k image)

Post by — Swee Lai

Blaster - 3654日後

 昨日はBlasterの10周年だった。読者の皆さんは2003年8月11日に自分がどこにいたのか覚えているだろうか?

 ミッコは覚えている(そして、関連するプレスリリースを今でも持っている)。

World's First RPC Worm

 感染したコンピュータを絶えずリブートし続けるBlasterのせいで、いくつかの銀行や航空会社を含め多数の企業が、深刻な混乱に陥った。現在このような難事を招くことを想像できるだろうか?

 Vanity Fair誌の2004年1月頃の記事The Code Warriorでは、この話題について非常に愉快な長い読み物を提供している。

Twitterの2要素認証:SMSの2つの役割

 水曜日、Twitterはログイン時における多要素認証(multi-factor login verification)を導入した。良いニュース?うーん…、それは場合によりけりだ。

 Twitterの最初の実装では、SMSに依存した2FA(2要素認証、two-factor authentication)になっている。

 しかし…、Twitterはツイートの送受信の方法としてもSMSを使用している(SMSをソーシャルとセキュリティの2つの役割で用いることになる)。SMS経由でやってくるツイートを「STOP」することも可能で、これには意味がある。なぜなら、時に予期せずにローミングすることもあるため、SMSの機能を停止する手段が必要になっている。でなければ高額な請求が発生し得るだろう。

 あいにく、攻撃者がターゲットの電話番号を知っていれば、SMSスプーフィングを用いて2FAを無効にすることができる。

Twitter's SMS 2FA

 我々はあるテストを行った。

 STOPコマンドによりアカウントから電話番号が削除される。その結果Twitterの2FAが無効になる。

 これは良くないな。

 しかし、この場合さらに悪い可能性さえある。

 もしまだ2FAを有効にしていないのなら、スピアフィッシングを経てあなたのアカウントへアクセスできるようになった攻撃者が、自身で2FAを有効にできるのだ!

 必要なのは、適当な電話番号と「GO」というコマンドのSMSスプーフィングだけだ。

Twitter's SMS 2FA

 すると攻撃者は当該アカウントの2FAを有効にすることができる。

Twitter's SMS 2FA

 続いてメッセージを送信する(このメッセージには確認コードが含まれていない。つまり現実問題として確認コードは不要なのだ)。

Twitter's SMS 2FA

 そして「Yes」をクリックする。

Twitter's SMS 2FA

 これで終わりだ。

 電話番号を追加するのに、確認コードは一切必要ない(アカウントに紐づくメールアドレスの変更には確認が求められる)。

 以下は犠牲者が目にするものだ。当該アカウントのパスワードをリセットしたとしてもだ。

Twitter's SMS 2FA

 犠牲者は締め出され、Twitterのサポート無しではアカウントを回復できない。

 したがって…、誰かがあなたの代わりにあなたのアカウントの2FAを有効にする前に、おそらく自分でやるべきだ。

 幸運にも、Twitterユーザの大多数は重要なターゲットとはならない。不幸にも、たとえば@APといったアカウントはターゲットになる。そしてTwitterのSMSベースの2FAは、熱心な攻撃者が使用する場合、手助けになるどころか有害になり得る。

 Twitterのブログ記事では次のように述べられている。「this feature has cleared the way for us to deliver more account security enhancements in the future.(この機能は、今後さらにアカウントのセキュリティを強化する道を開くことになる)」

 そのように願おう。

追記:良い知らせ(たぶん)

 Lucian Constantin2012年12月の記事によると、発信元の電話番号の電話会社をTwitterが認識し、電話会社がショートコードをサポートしている場合、Twitterのバックエンドは、ロングコードで送られたコマンドは受け付けない。そして、ショートコードで発信元の電話番号をスプーフすることはできない。

 つまり、もしあなたの電話会社がTwitterのショートコードをサポートしているなら、「STOP」コマンドは送信できない。しかしながら、フィッシングによって侵害された場合、攻撃者が自分の電話番号をあなたのアカウントに追加することは、なおも十分に可能だ。

 Twitterでは2FAを有効にする際に、多要素認証は求められない。パスワードがあれば誰でも簡単に電話番号を追加できるのだ。

Trojan:Android/Pincer.A

 プロのアドバイス:「Certificate.apk」という名前のAndroidアプリケーションパッケージをインストールしないように。

 これは(明らかに)まともなものではない。

 Trojan:Android/Pincer.AはSMSメッセージを転送し、C&Cサーバから受信したコマンドに基づいてさらにアクションを取ることが可能だ。インストールするとアプリケーションメニュー内に「Certificate」として出現し、起動時にはそれっぽい偽りのメッセージを表示する。

Certificate PIN Code

 証明書を装った悪意あるモバイルアプリケーションは、以前は2要素認証を突破することを目的とした、銀行狙いのトロイの木馬のモバイルコンポーネントだった。PincerがSMSメッセージを転送できるということは、もちろんPincerがそのように使われることを意味する。

 Pincerが待ち受けるコマンドは以下のとおりだ。

  •  start_sms_forwarding
  •  start_call_blocking
  •  stop_sms_forwarding
  •  stop_call_blocking
  •  send_sms
  •  execute_ussd
  •  simple_execute_ussd
  •  stop_program
  •  show_message
  •  delay_change
  •  ping

 show_messageコマンドには興味深い双方向性がある。被害者にメッセージを表示する際、C&Cサーバからコマンド自体が送付されるのと同時にメッセージのコンテンツもやってくるのだ。

 このトロイの木馬の発信先はhttp://198.xxx.xxx.xxx:9081/Xq0jzoPa/g_L8jNgO.phpと+4479372xxxxxだ。

 C&Cサーバは電話機のIMEI(International Mobile Equipment Identity)を識別子として用いている。その他、電話番号、デバイスのシリアル番号、電話機のモデル、キャリア、OSのバージョンを含む情報が送信される。

 注目:Pincerは、IMEI、電話番号、オペレータ、電話機のモデルを確認することによってエミュレータ内で実行しているかどうかを確認する(Windowsのマルウェアで使われる一般的な「アンチ分析」技術だ)。

SHA1: 2157fd7254210ef2e8b09493d0e1be3b70d6ce69

 類似サンプルを追加する。

  •  9416551d3965d3918eef3788b0377963d7b77032
  •  1ebfc6f1f3e15773f23083c9d8d54771e28f5680

 そして最後になるが…。

 このトロイの木馬にはUSSDDumbExtendedNetworkServiceというクラスが含まれる。この中の変数URI_AUTHORITYには[○○].comが設定される。そして、この○○にはフランス系カナダ人の実在する会社に関連した単語が入る。もしくは「Android開発者」として雇用されていることをGoogle+ページに記載している若いロシア人のTwitterのハンドルかもしれない。

 我々は「実在する」証拠は何も持っていない…。しかしPincerとカナダは何ら関係ないと確信している。

—————

技術分析 — Mikko Suominen

—————

更新

 データマイニングにより検出されたPincerのサンプルをさらに2つ挙げる。

 1つは本質的に既出のサンプルと同じだが、C&CサーバのURL(https://xxx-xxxxx.com/android_panel/gate.php)および証明書が異なる。これは、すでに見つかっていたサンプルの1つ目より1週間前に、VirusTotalで初めて見られたものだ。

  •  ec14ed31a85f37fad7c7d9c8c0d2aad3a60c8b36

 もう1つはもっと興味深いサンプルだ。明らかにさらに早い時期のバリアントなのだ(VirusTotalに3月19日に提示された)。このバージョンでは証明書を装わない。代わりに「Mobile Security」と名乗っている。

Mobile Security

  •  60e1cd1191e0553f8d02289b96804e4ab48953b3

 このサンプルは起動時にクラッシュするが、静的分析に基づくと、「Mobile Security System is active now. You are protected.」というメッセージが表示されるはずだった。アイコンは他のバリアントと同じだ。パッケージ名は異なる。また、他のサンプルはcom.security.certまたはcom.security.certificateを用いるが、このサンプルはcom.[○○].diverterだ。

 diverter(誘導する)?

 うん…、それこそ「Mobile Security」に必要ない機能だ。

ニューヨークタイムズが標的型攻撃に見舞われる

 ニューヨークタイムズ紙は今日、重要なスクープをものにした。ニューヨークタイムズ自身のことだが。結局、彼らはハッキングされていたのだ。

 実際のところ、数ヶ月間にわたりハッキングされていた。中国のハッカーはニューヨークタイムズ社全従業員の社用のパスワードを盗んだ。加えて、幾人かのジャーナリストのホーム・コンピュータへのアクセスを得た。

 これらの攻撃は、同紙が温家宝中国首相の親族に対する調査結果を発表した直後から始まった。

New York Times hacked
David Barbozaが書いた記事のスクリーンショット。彼のメール・アカウントは攻撃者に侵害された。

 顧客のデータが盗まれなかった点は注目に値する。今回の攻撃者は金銭を得ることには興味がなかった。ニューヨークタイムズ紙に対するスパイ活動がしたかったのだ。

 中国国防部からの疑惑に対する返答はこうだ。「確かな証拠もなしに、中国軍がサイバー攻撃に乗り出しているという批判はプロフェッショナルにふさわしくなく、根拠もない。

 ジャーナリスト達は以前にも同じような攻撃の対象となった。あるケースでは、標的型攻撃においてジャーナリストの名前がルアーとして使われたことがある。

 中国側のニュースについての解説は、Liz Carterのこのブログの記事を見てほしい。

 追伸。ブラチスラヴァで開催する次のCAROワークショップで、このような攻撃について詳細な議論が行われる予定だ。詳しくは2013.caro.org を参照のこと。

マルウェアの署名に使用されたAdobeの証明書

  Adobeの製品セキュリティのトップBrad Arkinが木曜日、非常に興味深い記事を掲載した。

  結局、Adobeのビルドサーバの一つに障害が生じ、Adobeのデジタル署名を持つ悪意あるファイルを作成するのに利用されたというのだ。

  アドビ・コードサイニング証明書の不適切な使用

Inappropriate Use of Adobe Code Signing Certificate

  これに伴うセキュリティアドバイザリによれば、3つのファイルを使用する2つのユーティリティがある。Adobeによると、Adobe署名のバージョンは単一のソースに隔離されており、我々のバックエンドメトリクスも一致する。我々の顧客ベースの範囲内には、Adobe署名のファイルは一つも見当たらない。

  非Adobe署名付きPwDump7.exeの事例はあったが、これらは限定されている。おそらくその名前から、PwDump7.exeが何をするのかお分かりだろうが、これはWindows OSからパスワードハッシュを盗み出す。PwDump7.exeが使用する関連ファイルはlibeay32.dllで、これはOpenSSLライブラリだ。そして、我々のバックエンドには、これ(正当でクリーンなファイル)のpingがある。

  第2の悪意のあるファイルは、「myGeeksmail.dll」と呼ばれており、AdobeはこれがISAPIフィルタであると考えている。

  このファイルの非Adobe署名バージョンは、イン・ザ・ワイルドではない。

  Adobeの署名が取り除かれた「myGeeksmail.dll」のMD5ハッシュは:8EA2420013090077EA875B97D7D1FF07

  Adobeは10月4日に障害の起きた証明書を取り消す予定で、現在、新しいデジタル証明書を使用したアップデートを発行している。

  最後に:@jarnomの「CARO 2010」のプレゼンテーションを再度お勧めする良い機会だろう:署名されているのだから、クリーンでしょう?[PDF](スライド#25を要確認)

Blackhole:パッチのスピードよりも高速

  ショーンが記事に書いた最近のゼロデイエクスプロイトに対し、Javaがパッチをリリースするより前に、Blackholeがアップデートでこの状況に入り込んだ。新たなゼロデイエクスプロイト(CVE-2012-4681)に関し、ユーザは最新のBHで利用できるエクスプロイトキットが入手できる。

  これが実際、Blackholeのセールスを加速させるのかどうかは分からない。

  作者たちはもはや、新しい名前を考える暇もない程急いでいるようだ:

code_comp (164k image)

code_comp2 (15k image)

  これに対する最新のパッチは無いため、唯一のソリューションはJavaを完全に停止することだ。これは最も上出来なエクスプロイトキット+ゼロデイであるため…嫌なことだ。あなたのコンピュータのため、ブラウザでJavaをオフにして欲しい。

  JarはExploit:W32/CVE-2012-4681.A(sha1: 15fde2d50fc5436aa73f3fd6b065f490259a30fd)として検出されている。

Post by:
Karmina and Timo



コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








ZeroAccessの自己削除法

  我々は通常、長年にわたってマルウェアが発展、進化するのを見ている。我々がフォローしてきたマルウェアにはZeroAccessがあるが、これは2010年後半に初めて検出して以来、常に改良されている。代表的なのは、最新のサンプルで、自己削除ルーチンが変化している点だろう。

  これは実行後、ユーザから自身の存在のあらゆる痕跡も隠すための、手早くシンプルな方法として、ZeroAccessが自身を削除するのに使用されるシンプルなWindowsバッチファイルだ(クリックすると拡大):

zeroaccess_selfdelete (11k image)

  他の多くのマルウェアが、このバッチファイル自己削除メソッドを使用している。しかし最近、ZeroAccessは変貌しようとしており、アナリストの作業がより複雑になっているようだ。そのため、以下のコードが使用されている(コメント無しで表示):

zeroaccess_selfdelete_nocomments (20k image)

  現在、ZeroAccessは他のプロセスのコンテクストで、ひねりをきかせてコードを実行するため、Win32 EXEのダイナミックフォーキングを使用する。Win32 EXEを他のプロセスのメモリスペースにロードする代わりに、ZeroAccessは基本的に、カスタマイズしたスタックを準備して、それを他のプロセスのコンテクストに挿入し、そこでスタックスタックのシーケンスに従って実行される。

  以下のコメント付きコードは、ZeroAccessが使用する方法と従来の方法との違いを示している:

zeroaccess_selfdelete_commented (40k image)

  これが上手くいくには、ZeroAccessはWindowsのネイティブAPI「ZwWaitForSingleObject」を示すよう、命令ポインタレジスタの修正も行う。修正とカスタマイズしたスタックが整うと、同マルウェアは悪事を働きはじめ、消え去る。

  ResumeThreadがコールされ、リモートプロセスが実行されると、最初に修正された命令ポインタレジスタにより示されたZwWaitForSingleObjectを実行する。

  このファンクションは、コーラプロセスが停止するまで待たれ、リモートプロセスで実行を再開する。それは停止したプロセスハンドルを閉じるため、スタックのトップで次のインストラクションを実行し、スタックが増大すると次のファンクションを実行する。

  最終的にこれはZwSetInformationFileにFileDispositionInformationパラメータを用いて、自身を削除するファンクションを実行する。以下の図はカスタムスタックのオペレーションをまとめたものだ(クリックすると拡大):

zeroaccess_selfdelete_customized_stack (64k image)

  ちなみに最新のZeroAccessは以前のルートキット対応亜種と互換性を持つ。我々はどちらにも類似したコードを見つけており、これはルートキットデバイスオブジェクト「\??\ACPI#PNP0303#2&da1a3ff&0」をチェックする:

zeroaccess_selfdelete_check_existence (21k image)

  ZeroAccessルートキットがインストールされたマシンでは、特別に作成された値「STATUS_VALIDATE_CONTINUE」が返される。そうでない場合は「STATUS_OBJECT_NAME_NOT_FOUND」が返される。このチェックにより、マシンが既に以前のルートキット対応の亜種に感染していることを発見した場合、最新の亜種はルーチンの一部をスキップすることが可能になる。

  最後に、我々のカスタマはさまざまなシグネチャ、ヒューリステックおよびクラウドベースの検出により、新旧双方のZeroAccess亜種から保護されている。



Post by — Wayne



いや、パスワードをしっかりSaltingしても十分ではない、CUDA Accelerated PBKDF2を使用すべし

私は最近のパスワードのリーク(LinkedIn、eHarmony、Last.fm)に関するオンラインの議論を追ってきたが、salt値がパスワードを安全にするという強固な信念を持つ開発者が、まだ大勢いるようだ。

  攻撃者がsaltを有していたとしても、攻撃は実質上可能ではない。何故なら14文字の鍵空間をチェックするには非常に時間が掛かるためで、よってsaltにより安全が保たれる、というのが一般的な推論のようだ。小さい子供がテディベアを抱きしめるように、デベロッパはsaltを握りしめていれば、すべての悪しきクラッカーを寄せ付けずにいられると考えている、と言っても良い。

  残念なことに、人間は一般に、乱数ジェネレータでは無い。Francois Pesceによる非常に素晴らしい調査が、このことに関する動かぬ証拠を提供している。

  基本的にFrancoisが行っているのは、LinkedInのもののような、巨大なパスワードデータベースを辞書攻撃によって攻撃し、クラックしたパスワードを次の攻撃のために辞書に追加する、というものだ。これは、人々が特定のサービスで使用する傾向のあるパスワードに対して、攻撃を自動的に最適化する。そして彼は、レインボーテーブルを使用せずに実験を行っているが、これは彼の実験のセットアップが、パスワードはsaltされているが、攻撃者がsalt値を得ている状況もカバーすることを意味している。

  これは、人々が使いがちな典型的パスワードを探し、こうした一般的パスワードのさらなる置換を発見し、データベースで簡単に手に入れられるものを全て獲得するのに、非常に効果的な手法だ。

  攻撃者がユーザーアカウントの60パーセントから80パーセントを得られるなら、しっかりと選択されたパスワードがあるため、20パーセントから40パーセントのアカウントをクラッキングできなくても、誰が気にするだろうか?

  ではこうした手法に対してどのように防御すべきか?

  正規ユーザは単語を含むパスワードを選ぶべきではなく、長いパスフレーズの方がベターだが、それらはGPUが支援する辞書攻撃に驚くほど弱い可能性もある。

  大部分のユーザは決して強いパスワードを使用しないのだから、開発者はスロー・ハッシュ・インプリメンテーションに切り替え、ユーザごとに一意のsalt値を使用すべきだ。しかし開発者は、あまりに多くのユーザが同時に認証しようして、CPUサイクルを使い果たすのを恐れるため、スロー・ハッシュへの切り替えには驚くほど抵抗がある。

  多すぎる正規ユーザが同時にログインしようとする問題に対処するため、攻撃者たちのアイディアを盗むことができる。敵が行うのと同じように、GPUでユーザのパスワードハッシュチェックを計算すれば良い。

nvidia_cuda (134k image)

  たとえば、NVidiaのCUDAプラットフォームは、パスワード認証サーバに組み込むのに理想的だ。CUDAを使用すれば、敵と同じ土俵に立つことができる。パスワードサーバごとに一つのCUDA対応カードでも、パスワードハッシュチェックを1msで計算でき、敵もそのパスワードをクラックしようとするのに1ms必要となる。これは1秒に何億もの試みを行うのではなく、攻撃者は1秒に数千の試行に制限されることを意味している。

  もちろん、攻撃者は、例えば、100のCUDAもしくはパワフルなATIカードを入手できるが、それは非常に効果であり、そのような攻撃者に1秒に230,000,000,000回ではなく、たった100,000回の試行しか提供しない。

  残念なことに、Webもしくは他のアプリケーションに対するCUDAあるいはATI GPUサポートの統合情報を得るのは難しいが、そのためにオープンソースおよび開発者コミュニティがある。

  私はパスワード認証でCUDAを使用するためのオープンソースライブラリを見つけられなかったが、オープンソースクラッキングツールのいずれかを、容易に適用することができるだろう。たとえば:http://code.google.com/p/pyrit/ はWPA/WPA2-PSKを目的としているが、パスワードのチェックにも利用できる。

Post by — @jarnomn

AusCERTのプレゼンテーション:敵

  先週ミッコがAusCERT2012で講演を行った。

  Risky Businessから、彼のプレゼンテーション音声を聞く(あるいはダウンロードする)ことができる。

  オーディオを手に入れたら、SlideShare経由でミッコのスライドが見られる。



Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

あまり知られていないBlackholeのエクスプロイト

  調査され、何度も分析されているにも関わらず、Blackholeにはまだ思いがけない驚きがある。我々が発見したばかりなのが、「CVE-2011-0559」のエクスプロイトで、これは現在Blackholeが使用している2つのFlashエクスプロイトの一つだ。

Flash code

  他のエクスプロイトと比較して、これはかなり以前から使用されているが…様々なセキュリティ製品を使用してもカバー率は非常に低い。

VirusTotal results

  アンチウイルスのカバー範囲が低く、Metasploitが存在せず、そしてPoCを見つけるのが極めて困難なため、悪用の可能性が高まることになる。BlackholeはAdobe Flash 10.0およびそれ以前のバージョン、10.1、10.0.x(xは40以降)の悪用を目的としている。脆弱性は2011年3月に修正されている。「エフセキュア アンチウイルス」では、「Exploit:W32/CVE-2011-0559.A」として検出される。

  Blackholeの驚きは止まらない。

—————

Threat Insight Post by — Karmina and Timo








「Trojan:Android/OpFake.D」がコンフィギュレーションファイルをコード化

我々はマルウェアが、先に他のオペレーティングシステムで登場し、Androidに移植されるケースを良く見ている。以下はその条件を満たす新たなトロイの木馬だ。

  OpfakeはSymbianとWindows Mobileで、最初に発見された。最近のAndroid版では、同トロイの木馬は(まだ)Opera Miniアプリであるように見える…パーミッションのリクエストは、SMSメッセージを送信することだけだ:

Android OpFake, permission

  同アプリ(我々は「Trojan:Android/OpFake.D」として検出している)は、ローンチの際メッセージを送信することが分かった:

Android OpFake, SMS

  以前のケースでは通常、クラスにハードコードされたSMSメッセージを見かけたが、今回はメッセージコンテンツと電話番号は「config.xml」ファイルに保存され、エンコードされる。以下は文字化けしたコードだ:

Android OpFake, garbled code

  このストリングはbase64デコーディングを使用してデコードされると読み出し可能となり、実行時にメッセージがアプリにより送信されることを示している:

Android OpFake, decoded code /><br /><br />  このAndroid版(SHA1: 4b4af6d0dfb797f66edd9a8c532dc59e66777072)は、そのコンフィギュレーションファイルをエンコードするopFakeの「伝統」を受け継いでおり、新しいものではない。しかしこれは、分析からコードやアクションを隠すため、ますますエンコーディングや他のテクニック(他のプラットフォームで長年標準だったもの)を使用する、Androidマルウェアの現在のトレンドに当てはまっている。<br /><br />ThreatSolutions post by — Irene<br /><br /><div style=
ThreatSolutions post by — Irene

>>原文へのリンク

GoogleのAndroid Marketに課金型SMSトロイの木馬

  今日、課金型のSMSトロイの木馬がGoogleのAndroid Marketで見つかった

  「Lagostrod」という名のデベロッパが、多くのポピュラーなアプリケーションの無料版とおぼしきものを提供した。そしてGoogleはその公式マーケットアカウントを閉鎖したが、AppBrainなどのサイトは現在もそのダウンロードを掲載している。

http://www.appbrain.com/search?q=logastrod

  AppBrainの数値によれば、「Lagostrod」のアプリは何度もダウンロードされている。

  しかし話はこれで終わりではない。このトロイの木馬はまだ生きているのだ。

  AvastのJindrich Kubecが、「Miriada Production」の開発者の現行の名前を含むツイートをミッコに送ってきた。

  「Miriada Production」のAndroid Marketアカウントは現在オンラインだ:

Miriada Production

  Android Marketにはこうしたアカウントがいくつか存在する可能性があり、Googleのセキュリティ面での努力はもぐら叩きゲームの様相を呈している。

  これらトロイの木馬はインストールされると、ショートコードを使用して課金型SMSを送信しようとする。

  以下は偽World of Gooのスクリーンショットだ:

RuleActivity.class

  過去に我々が遭遇した課金型SMSトロイの木馬は、全てロシアを標的としていた。

  今回のトロイの木馬は18カ国を標的としている。

  リストには以下のISO国番号が含まれている:am, アルメニア; az, アゼルバイジャンn; by, ベラルーシ; cz, チェコ共和国; de, ドイツ; ee, エストニア; fr, フランス; gb, 英国; ge, グルジア; il, イスラエル; kg, キルギスタン; kz, カザフスタン; lt, リヒテンシュタイン; lv, ラトビア; pl, ポーランド; ru, ロシア連邦; tj, タジキスタン; ua, ウガンダ

  では、この開発者は自分達のアプリを、どのように正当化しようとしているのだろうか?

  そう…それは細則にある。アプリのインストールアグリーメントには、「カスタマ」が課金型のサービスに登録することになると書かれており、次に、基本的にラッパーである同アプリは、「無料」ゲームをダウンロードする。

  ドイツへの料金は1.99ユーロ、フランスへの料金は4.50ユーロ(うわっ)だ。

  責任は買い手にある。

追記:「Miriada Production」のアカウントは、現在はオンラインではない

「Trojan:Android/SMStado.A」と「Trojan:Android/FakeNotify.A」

  今日我々は、二つのAndroid向け課金型SMSトロイの木馬に遭遇した。偶然にも、どちらもロシアのユーザを標的にしたものだ。

  最初に、「Trojan:Android/SMStado.A(SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087)」について。

  通常通り、その性質に関する最初のヒントとなるのは、リクエストされるパーミッションだ:

trojan_android_smstado_a_permission_1 (80k image) trojan_android_smstado_a_permission_2 (64k image)

  実行すると、同トロイの木馬はhttp://[...]6.antiddos.bizに対して以下の詳細をリークする:

  •  国際移動体装置識別番号(IMEI)
  •  パッケージ名
  •  電話番号
  •  端末モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image) trojan_android_smstado_a_run_2 (58k image)

  これらの詳細は、アプリ・パッケージのres\rawフォルダにも保存される。

  さらに、同アプリが実行される際、ユーザがスクリーン下部のボタンをクリックすると、SMSメッセージが指定された課金型の電話番号に送信される。これまでのところ、すべての番号がロシアの国別コード(特にモスクワエリアのものが多い)を使用している。SMSメッセージにはすべて、以下のテキスト文字列が含まれている:

  •  hm78929201647+1188+51+0+1+b92be

  このトロイの木馬はリモートサイトから、「love_position_v1.5.0.apk」という名のパッケージもダウンロードする:
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

  我々のテストでは、解析エラーのため、ダウンロードされた電話上ではサンプルが動作しなかった:

trojan_android_smstado_a_download_error (22k image)

  しかし、ダウンロード・パッケージを別の、クリーンなテスト用電話機で独立して分析したところ、こちらは起動の際、バックグラウンドで悪意あるサービスも開始するという違いはあるが、「Trojan:Android/SMStado.A」とほとんど同じふるまいをすることが分かった:

trojan_android_smstado_a_service (96k image)

  次のマルウェアは「Trojan:Android/FakeNotify.A」だ。

  これはアップデート通知アプリケーションを装う。以下はアプリが使用するパーミッションと、端末にインストールされる際の様子だ:

trojan_android_fakenotify_permissions (83k image) trojan_android_fakenotify_downloaded (114k image)

メモ:「Stados.A」「FakeNotify.A」のどちらも同じ名前(установка)だが、Google Translateによれば、これは「インストール」という意味だ。アプリを名付けるのに、これらマルウェアの亜種間の関係を示すよりも、一般的な言葉が用いられたということが示されているのだろう。

  いったんインストールされ、実行されると、ユーザの興味をひくために人気のあるモバイルゲームの名を使用して、アプリケーションのダウンロードにユーザの許可を得るメッセージが表示される:

trojan_android_fakenotify_download_ui (36k image)

  「next」ボタンをクリックすると、バックグラウンドでFakeNotifyが直ちに3組のSMSメッセージを送信する。メッセージは、ロシアの課金型の電話番号に送信され、以下のフォーマットのテキスト文字列を含んでいる:

  •  [24 digit string].1/316623

  使用されたSMSの詳細は、アプリケーションから埋め込まれたデータベースファイルに由来する。

  他方でユーザが、アプリケーションのダウンロードを見ることは無い。その代わり、別のスクリーンが表示され、悪意あるものである可能性のある、もっと多くのアプリを提供するWebサイトに導く:

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ:

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

「コンピュータ専門家」の皆さん、感謝祭おめでとう

  昨日、CIOのConstantine von Hoffmanが「感謝すべきITセキュリティ・ニュース・ソース」というタイトルの記事を掲載したが、我々に関する非常に愉快な言及に感謝したい。

Unlike other industries I’ve covered (cough, cough banking cough, cough) security company blogs tend to be reliable and hugely informative. F-Secure is just one of many great examples of this. They put a premium on sharing code ? so this is a site for alpha geeks and not just casual readers. Irrelevant side note: F-Secure is a Finnish company ? don’t worry, the site is fluent in English ? and Finnish is one of the strangest languages in the world. My son just took an intro to it and told me, ''It has 16 cases (Google Grammatic Cases if you don't know what I'm talking about). One of those is the Partitive ''OHGODWHY'' case which changes a word based on when the word entered the language.''

  Constantine、我々は息子さんのフィンランド語の勉強(#OHGODWHY)が上手く行くよう願っているし、「コンピュータ専門家と関心の深い読者のための」サイトと呼んでもらったことを誇りに思っている。

  このような称賛に接するのは、本当に大きな励みとなる!

P.S. アメリカにお住まいの専門家の皆さんで、この週末の休暇中、コンピュータにうといご家族にセキュリティ関係のブログを薦めたいと考えている方は、エフセキュアの「Safe and Savvy」ブログをチェックして頂きたい。同ブログはより関心の薄い読者のためのもので — 難しくないことをお約束する。

「Spitmo」の新たな親類:SymbOS/ConBot

  Threat Researchチームのアナリストが先頃、「Spitmo」と共通のコードを持つプレミアム料金SMS型トロイの木馬「OpFake」を発見した。そして今週、我々のオートメーションが新たなサンプルを警告した。アナリスト達は分析を完了したが、我々はまた新たな「Spitmoの親類」を発見したようだ。ただしこのトロイの木馬は、Operaアップデートのふりはしない。

  また:「SymbOS/ConBot」はボットの特徴を有している。

  アナリストの覚書は以下の通り:

  「Trojan:SymbOS/ConBot.A」は「Spitmo」のソースコードに基づいている。「ConBot.A」で唯一既知のサンプルは、「[removed].ru/mms.sis」からダウンロードされた。

  「ConBot.A」は「SystemService」というパッケージを含んでおり、こちらは「AppBoot」という組込型パッケージを含んでいる。

  「SystemService」パッケージのコンテンツは:

  •  c:\Private\EE1DCDAA\first
  •  c:\Private\EE1DCDAA\start.xml
  •  c:\sys\bin\SystemService.exe
  •  c:\System\AppBoot\SystemService.boot

  組込型パッケージ「AppBoot」

  •  c:\sys\bin\AppBoot.exe
  •  c:\private\101f875a\import\[2005A60D].rsc

  「OpFake」とは異なり、「ConBot」はアプリケーションメニューにアイコンを追加しない。インストールが完了すると、どのような形であれ、ユーザに自身の存在を通知することは無い。(おそらく、「Spitmo」のように「セキュリティ証明書アップデート」としてプロモートされる。)

  「OpFake.A」のように、「ConBot.A」は「Acme」の「JoeBloggs」による証明書で自己署名されているが、証明書自身は「OpFake」で使用されているものとは異なる。

  「AppBoot.exe」は「[2005A60D].rsc」のため、電話がスタートするたびに自動的に開始される。「AppBoot.exe」は次に、「SystemService.boot」ファイルを解読する。

  解読アルゴリズムは、「Trojan:SymbOS/OpFake.A」がそのコンフィギュレーションファイル(sms.xml)を解読するために使用するものと同一だ。解読された「SystemService.boot」のコンテンツは、「c:\sys\bin\SystemService.exe」へのパスであることが分かっている。「AppBoot.exe」は、解読された.bootファイルが示すどんなファイルでも実行する。

  「SystemService.exe」は「ConBot」の実際にペイロードを含む。

  初めて「SystemService.exe」が実行されると、電話に保存されている連絡先から、携帯電話番号が収集され、一時的に「c:\Private\EE1DCDAA\contacts.xml」に保存される。同トロイの木馬は「[removed].ru/connect.php」にコンタクトし、「contacts.xml」と電話のIMEIをリモートサーバに送信する。IMEI、時刻、日付およびオペレーティングシステムのバージョン(Symbian9にハードコードされた)とともに、定期的な接続が同じサーバに対して行われる。リプライとして、同トロイの木馬はSMSメッセージをどこにおくるべきかに関するインストラクションを含む、XMLファイルを受けとらなければならない。トロイの木馬にハードコードされた別のURLもあるが([removed].ru/connect.php)、start.xmlからのアドレスによりオーバーライドされる。

  「ConBot.A」も、アウトボックスから送信済みフォルダに移動されたメッセージのほか、新たに受信SMSメッセージもモニタする。特定の条件が満たされれば、トロイの木馬は傍受したSMSメッセージを削除する。新たに作成されたメッセージを通知するメッセージ送信イベントを取り扱う機能も、「Spitmo.A」および「OpFake.A」の機能とほぼ同一だ。これはこれら3種のコードにおける、唯一の同一部分ではない。

C&Cのアップデート:

  SMSモニタリングの興味深い特徴は、このトロイの木馬がテキストメッセージを介して、C&CサーバURLをアップデートすることができる点だ。「ConBot.A」が「zlhd[removed]」で始まる受信SMSメッセージに気づくと、残りのメッセージを抜き出し、古いURLに替わる「settings.dat」に保存する。作者は明らかに、単にC&Cサーバを停止させることで、モバイルボットネットが機能しなくなることは望んでいないようだ。

ConBot code

フルインストーラのSHA1:83fc407f77ee56ab7269d8bea4a290714c65bbe1

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード