エフセキュアブログ

fsecure を含む記事

エフセキュアブログにもコナミコマンドが!

世界一有名な隠しコマンドとしてギネスにも認定されているらしいコナミコマンドですが、実はこのエフセキュアブログにも!?
エフセキュアブログを閲覧中にPCのキーボードから
↑ ↑ ↓ ↓ ← → ← → b a
と順番に押してみてください。

なんとエンディング画面が・・・
konami command

Freedome:期間限定サービス

 当社のVPNアプリ、Freedomeを最近アップデートした(iOS版)。

 Freedomeって何?当社のVPNサービスだ。あなたがどこをさまよっていようと、これを使えばセキュリティを保ってホームに接続できる。

 ただホームの設定だけすればいい。

Freedome, Set your location

 そしてお楽しみを。

 近頃、仮想ロケーション一覧が拡張された。

Freedome, Available locations

 Google PlayiTunesで確認してほしい。

 そして期間限定で…「david」というコードを用いると6か月間無料のトライアルが受けられる(6月30日までのサービス)。

 フィードバックを頂けると、より良いサービスの構築に役立つ。このアプリをぜひレビューし、また@FreedomeVPNにツイートしてほしい。

 よろしく!

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

#Snowden のNSA暴露1周年を前に発売されたグレン・グリーンウォルド著「No Place To Hide」と #FiveEyes の歴史

  5月13日、グレン・グリーンウォルドの著書「No Place To Hide」(邦題「暴露」)が世界同時発売された。
NoPlaceToHideJP

この本は、NSA(米国家安全保障局)の業務請負企業職員だったエドワード・スノウデンがNSAの大規模サーベイランス・ファイルを内部告発暴露してからまもなく1年になるのを前に、PRISMやVerizonの件など今まで公表された主なNSAファイル記事のまとめと、今もNSA記事を書き続けているグリーンウォルドが当初どのようにスノウデンとコンタクトしたのかなどの模様や、スノウデンの人物像などが詳細に記述されている。また著書ウェブサイトからは収録されている資料をPDFでダウンロードすることもできる。

  またこの本の後半でグリーンウォルドは、権力の監視役として既に牙を失った報道機関への厳しい批判も展開していると同時に、NSA記事の公表の急先鋒だった英ガーディアン紙が直面した、英スパイ機関GCHQによって指示されたスノウデン・ファイルのコピーを保存していたコンピューターの破壊強制や、グリーンウォルドのパートナーのディヴィッド・ミランダが飛行機の乗り換えで通過しただけの英ヒースロー空港で反テロ法を理由に6時間以上も拘束された事件などを含めて、調査ジャーナリストへの政府からの圧力が現実だという事にも触れている。グリーンウォルドがこれらの事件により既存ニュースメディアの限界に直面したことは、グリーンウォルド他のジャーナリストが集まってeBay創業者のピエール・オディミアの資金援助により立ち上げた「Firstlook Media」へとつながっている。

  この本でも触れられている重要な要素に「ファイブアイズ (Five Eyes)」がある。ここでの「ファイブアイズ」とは、アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5ヶ国によるスパイ活動での提携のことをいう。これについては、やはり先週ミッコが基調講演したベルリンで開催の「re:publica 2014」コンファレンスで行われた、ロンドンを本拠とするプライバシーNGO「プライバシーインターナショナル」のエリック・キングによる「ファイブアイズの歴史」のトークが参考になる。
(Disclaimer: 筆者はプライバシーインターナショナルのアドバイザリー役員の1人をしている https://www.privacyinternational.org/ )

  ファイブアイズは第二次世界大戦中の1942年に設立されたが、その時にはなんとアラン・チューリングが重要な役目を果たしていたという。さらに、この5ヶ国は提携しているにも関わらず、相互にスパイ活動は行わないという取り決め合意はなく、情報共有していると同時に互いに探り合っているという。「特定秘密保護法」のような法律を作ってしまった日本も、このような敵も味方もない世界に踏み込むことになるのだろう。

re:publica 2014 - Eric King: Only a monster has Five Eyes



(ところで、この本の邦訳でも例に漏れずアメリカの「PATRIOT法」に対して「愛国者法」の訳語が当てられているが、これは不正確な訳語である。この法律の名称がなぜ「Patriot法」ではなく「PATRIOT法」かというと頭文字を連ねているからで、「Providing Appropriate Tools Required to Intercept and Obstruct Terrorism」の略になっているので、直訳すると「テロリズムの阻止と遮断に必要な適切なツールを提供する法」というものであって、愛国者を定義した法律ではない。
 アメリカ議会ではこのような法案名の語呂合わせはイメージ操作のためによく使われるが、それを真に受けて訳してしまった日本のニュースメディアは滑稽では済まないものがある。またこれは、スノウデンの肩書きに日本では未だにほとんど「元CIA職員」を当てていることにも言える。スノウデンの最後の役職はNSAの業務請負企業Booz Allen and Hamiltonの職員だったのだし、この本の中でもNSAの元シニア・アドバイザーの肩書きがあったことが明かされている。)

異動のご挨拶

4月からシンガポールに異動になりましたことをこの場を借りてご報告させていただきます。(注:会社やブログを辞めるわけではないですよ。)

私が初めてエフセキュアブログに投稿したのが4年前ですが、その頃からすでにセキュリティエンジニアが相手にするのは愉快犯から犯罪組織へと完全に変わっていました。

私は幸いにして社内、社外問わず本当にクレイジーな技術者といっしょに仕事をすることができ、彼らは犯罪組織が犯したミスを元に、時にはマルウェアの点と点を繋ぎ合わせ、時にはSNSに入り込み、犯罪組織を特定しました。それでも結局逮捕にいたることはありませんでした。国際犯罪の前では自分の無力さを痛感するしかなかったのです。

インターネットが社会インフラとなり変革の時代を迎えようとしているというのに、セキュリティエンジニアがなすべきことはまだまだ山積みじゃないでしょうか。

というわけで今後はサイバーディフェンス研究所に籍を置きつつ、インターポールに出向することとなりました。

IGCI
まだまだ工事中の職場。左下が完成予想図です。

今後も色々な方々にサポートを仰ぐ機会が多くなると思いますが引き続きよろしくお願いいたします。

では最後に(といってもブログの執筆は今後も続けさせていただきますが)書籍サイバー・クライムの監修時に出会って未だに私の頭にこびり付いて離れない言葉を紹介します。主人公バーレットライアンが元同僚たちに向けて送った言葉です。

いまプロレキシックに身を置いている人たちには、自分がなんのために仕事をしているのかをよく考えて欲しい。君たちの仕事は金のためだけじゃないはずだ。僕が会社を立ち上げたときも、この仕事で金持ちになろうとは思っていなかった。徹底的に利益を出そうと思えば出せただろう。でも、欲望まみれの会社にはしたくなかった。僕が思い描いていたのは、企業をサイバー・クライムの脅威から守るセキュリティ会社だ。誰もが不可能だと思うようなことをやってのける会社だ。自分の仕事の意味がわからなくなったら、このことを思い出してほしい。
書籍サイバー・クライムの319ページから引用

Openssl Heartbleed 攻撃の検知について

bleed

ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。
Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・
また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。

参考:
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [追記]

さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなどには痕跡が残りません。そこで、iptablesなどによりログを残すように設定しておくことで攻撃ログを収集しておくと何かと安心です。
一部のバーチャルプライベートサーバ(VPS)やレンタルサーバではiptablesなどでアクセス制御していることがあると思います。そのような場合においても利用できるのではないでしょうか。
#根本的な対策ではなく、あくまで攻撃検知という意味で。

iptables log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

参考URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded


snort / Suricata rules

OpenSSL ‘heartbleed’ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot(おまけ)
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt


ご参考まで。

役立たずのAndroid「SEO」アプリがアンチウィルスソフトを標榜

 日曜日、Android Police(ニュースやレビューを掲載する人気のサイト)は「Virus Shield」について投稿を行った。このアプリはGoogle Playのランキングでトップになったが、完全に詐欺だった。追跡記事の中でDailyTechは何がしかを探り当て、テキサス在住の17歳によって当該アプリが書かれたと考えている。明らかに彼はSEOに長けている。

 彼が男性かどうかだが…、男性なら典型的な人物像と一致する。この優れたSEOのスキルを持つ若者は、かなり役立たずのアプリをプッシュした。

Virus Shield

 役立たずの「SEOアプリ」群はGoogle Play上で広く流行している。見てみたいなら、これらは簡単に見つかる。

 以下に例を挙げる。

  •  Best Antivirus Lite
  •  SAFE antivirus Limited
  •  Skulls Antivirus
  •  Shnarped Hockey antivirus lite

 BestとSAFEはある1人の「デベロッパー」と、またSkulllsとShnarped Hockeyのほうは別の1人の「デベロッパー」と関連している。

 2人の別々のデベロッパーがいるわけだが…、上記アプリは名前以外は同一である。これらアプリは1つのテンプレートをベースにしており(アプリのテンプレートの市場がある)、いわゆるデベロッパーが行わなければならないのは、独自のグラフィックを追加することのみだ。

 このAndroidアプリにデベロッパースキルは一切不要だ。

 それではこのアプリは何をするのか?

 えーと、「Anti Spyware」と題したSA画面を開く。

Shnarped Hockey antivirus lite

 ふむふむ、用語が変化した。これは警告マークであるべきだ。

 「Start Scan」をクリックすると、当該アプリはインストール済のアプリのパーミッションについて基本的なスキャンを行う。パーミッションの数が多いアプリ群はリスクがあると分類され、パーミッションの数が少ないものは安全とされる。そして詳細について確認したい場合は?うーん、そうすると「フル」バージョンのものを約1ドルで買わなければならない。控えめに意見を述べると、フルバージョンを購入した(1千人超の)方は、完全に金の無駄遣いだった。

 Google Playで買い物をするときは用心を。

 追伸。完全に無料で、パーミッションについて高度なスキャンを行い、秀逸な詳細情報を提示するアプリが欲しいなら…。

 F-Secure App Permissions for Androidのチェックを。

ダークウェブに潜む隠しサービスって!?


最近、ダークウェブ(匿名化技術などを利用したウェブサイト)の話題をチラホラ見かけます。
Silk Roadの運営者の逮捕、BitCoin事件などありましたので、法執行機関やセキュリティ研究者がダークウェブが注目するのは当然かもしれません。

FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落

以前からダークウェブは悪の温床となりつつあることが囁かれていました。しかし、実際にどの程度の隠しサービスが存在するのか、あまり気に留められていなかったように思います。
最近では、Tor上でマルウェア用リソースなど900のサービスが稼働していることが確認され、サイバー攻撃に悪用されていることが報告されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この辺は予想通りであり、サイバー攻撃がさらに匿名化してる、くらい受け取られてしまうかもしれません。しかし、実際はこれだけではなく、さらに多くのサービスがダークウェブ上に移行しています。
ブラックビジネスそのものがグローバル化し、営業行為としてダークウェブを利用しているわけです。
一般にはあまり馴染みの無い世界かと思いますので、現在どのようなサービスが主に移行されているのか一部を紹介したいと思います。

(1)マネー・ロンダリング、ブラック銀行など
BitCoinの事件以降、これらのサービスは注目されていますね。

OnionWallet


(2)ギャンブル
ギャンブルサイトも昔からあったサービス。どのくらいの金額が動いているのかは分かりません。

Pokerle


(3)武器売買
一部、テロ支援などもダークウェブへ移行しつつあります。
この辺は関わりたくないですね。

ARMORY

(4)偽造関係
SuperDollars ?? なんでしょうか、これは??

superusd


(5)AXXXXXXX
ノーコメントで。

hidden_service3



ちなみに、ダークウェブがハッキング被害に合うこともあります。
この場合は、利用者のリストはどうなるんでしょうか??法執行機関へ提供とかでしょうか??

darkweb incident


このようにサイバー攻撃とは離れた分野においても、ダークウェブが利用されるようになってきています。
国境を超えてのやり取りが殆どでしょうから、対策には国家間連携、情報共有などがさらに重要になってきます。
この状況下で各国がどのように対策案を出してくるのか、大変興味深いところですね。

アイシスを使って非表示でアプリケーションを起動させることができるか

iesysには、感染PCのプログラムを起動する命令(run)がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。
ではこれも検証してみましょう。

これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。
iesys_notepad

たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。

しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面をよく見かけます。
どうやっているかというと、次のようなVBScriptを作成し実行すれば、ユーザに見えない状態でメモ帳が起動されます。
CreateObject("WScript.Shell").Run "notepad.exe",0

dlコマンドでVBScriptファイルをダウンロードし、runコマンドで実行した結果です。
iesys_vbs

ユーザに見えない状態でメモ帳を起動することができました。

アイシスを使ってファイルスラックに痕跡を残せるか

遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです
第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。
これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主張しているのではなく、(ファイルスラックに情報を残すことは可能だが)第三者を陥れるための痕跡だけ矛盾なく残すことが困難である、ということですね。

では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。

弁護側はアイシスよりも高度な遠隔操作プログラムを使って遠隔操作されていたという主張のようですが、ここではアイシスを使ってPCを遠隔操作し、iesys.pdbの痕跡をファイルスラックに残してみます。

サーバにiesys.pdbを用意した後で、アイシスに感染させます。
chikan

次に、ここにあるように、アイシスを利用してPCを遠隔操作し、dlコマンドを実行させ、サーバに用意したiesys.pdbをダウンロードしPCにファイルとして保存します。
iesys_pdb

その後、ファイルサイズの小さい別のファイルをダウンロードし、同じファイル名で上書きします。
dummydata

その状態で、ファイルスラックを確認します。
slack_1st

何やら別のデータが残っていました。どうやら単純にはいかないようです。そこで、10回くらい同じ作業をしてみたら、
slack_pdb

うまくいきました。iesys.pdbの内容が残っています。

リモートからファイルスラックに痕跡を残すことは簡単ではないが不可能でもないですね。ファイルパスだけならもっと簡単でしょう。ただしそれと同時に、残したい痕跡だけではなくウイルス感染の痕跡など、他の痕跡も残ってしまいますが。
結局のところ、「第三者を陥れるための痕跡だけを矛盾なく残すことが困難」という話に戻り、争点はハードディスク上に矛盾がないかどうかだと思います。

OWASP AppSec APAC Japan ウェブを、確かなものに。

 みなさん、こんにちは。Rakuten-CERTの福本です。
 これまでエフセキュアブログでOWASP AppSecについて何度か記事を書かせて頂きましたが、とうとう日本での開催がまもなくとなりました!OWASP AppSecでは鉄板ネタのCISOトレーニング、OWASP AppSensor、OWASP TOP10など、日本のスピーカーからもテッキーなネタがたくさんあり、見どころ満載なプログラムとなっています!数多くのセキュリティベストプラクティスを学べる絶好の機会なのでお見逃しなく。

 近年のサイバー犯罪は極めて深刻な状況であり、それに対抗するためにはソフトウェアの安全性を向上させていくことは極めて重要な意味を持ちます。教育者、ディベロッパー、セキュリティエンジニアなど多くのプレイヤーの方々の力を結集して、ウェブを、確かなものにしていけるよう、楽天もこのOWASPの活動を全力で支援します。僕もセッションMC、ボランティアスタッフとしてカンファレンスのお手伝いさせていただく予定です。みなさん、ぜひ会場で会いしましょう!


Have fun.

OWASP

最近気になるメモリ上の情報を狙ったPOSマルウェア

最近、BlackPOSなどのPOSマルウェアのニュースをよく目にします。
これらのマルウェアはMemory Scrapingという手法を利用していることで知られています。
端的に説明しますと、メモリ上に記録されている情報を窃取する手口で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば利用されているものです。

参考URL:
Point-of-Sale and memory scrappers

メモリ上には、暗号化されているような機微情報(パスワードやカード情報とか)もクリアテキストで記録されていることが多々あります。例えば、Banking Trojanなどが狙うようなオンラインバンクのログオン情報であれば、大抵はウェブブラウザのプロセスのダンプを調べれば該当の情報が得られます。

bank_trojan

POSマルウェアの場合はクレジットカードやデビットカードの情報を窃取することが目的です。あるマルウェアの場合は、次ような正規表現を用いて情報を抜き出しています。
#これはそのままIDS、DLPなどのルールとして使えそうですが、パフォーマンスに影響しそうな長さですので少し工夫が必要です。

(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))

カードに関係する文字列:
  ・[0-9]{13,19} --- クレジットカード番号
  ・[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カード名義
  ・(1[2-9])(0[1-9]|1[0-2]) --- YYMM(2012年〜2019年)
  ・[0-9\s]{3,50} --- CVC / CVV

このようにメモリへアクセスするための権限さえあれば比較的容易に情報を得ることができてしまいます。その点では、組み込みOSやファイルサーバなどでAdministrator権限などで動作しているシステムは要注意というわけです。
もっとも、このような権限で動作しているシステムは、他の攻撃に対してもリスクが高いことは言うまでもありませんが。。。

メモリ上の情報を狙った攻撃は、根本的な解決策が出てくるまでは暫く続くとみています。というのも、標的のシステムの環境がある程度限定されていますし、攻撃者は無理にマルウェアを作成しなくても実現可能な攻撃ですので、見えないところで被害が発生し続けるのではないか、と思いました。
また、日本での被害情報は今のところ耳にしていませんが、ちょうど4月にWindows XPのサポート切れですし、そろそろかなぁ、と勘ぐっています。POSシステムを狙った攻撃は2010年前後からですので、そろそろ日本国内のシステムを狙ってきてもよさそうな時期ですよね。

このような攻撃は、メモリ上の情報を暗号化する仕組みが標準となるような時代がこなければ無くならないかもしれませんね。もっとも、そのような技術が普及すると、フォレンジック解析者らも攻撃者と同じ悩みを持つことになるわけです。困りましたね。

最後にPOSマルウェアに対しての対策はこちらの情報が参考になりそうですのでご紹介しておきます。

参考URL:
What retailers need to learn from the Target breach to protect against similar attacks

POSシステムに限った話でもありませんので、参考になると思います。

雑文、失礼しました。


App Permissions 1.7.0

 非常に好評を頂いているF-Secure App Permissions(Android用)のバージョン1.7.0を、本日リリースした。

F-Secure App Permissions 1.7.0

 何が変わったか?UIの向上、スクリーンショットの共有化、軽微なバグの修正、対応言語の追加を行った。

  このアプリ自体は、引き続き一切パーミッションを要求しない。

私が制御システムに根こそぎ侵入した方法

昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。
会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。

FieldZone

攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認したところ、いかにして最終攻撃対象にたどり着くかもイベントの一部なのでICS Villageにある機器はすべて攻撃対象とのことでした。
特に初日は厳しい設定になっており、挑戦の状況によって二日目以降は設定を緩めていくというルールでした。

ところが、私も初日に挑戦してみて、いきなり初日にフィールド機器の制御を乗っ取ることに成功してしまったので、その手順を紹介します。
続きを読む

AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

DODAからの挑戦状に隠された画像

先月まで「DODAからの挑戦状」という企画でハッキング問題を掲載しておりました。(現在、企画は終了しており、こちらに解答を掲載しています。)

DODAChallengeFromWired

初級、中級、上級と全部で3部構成の問題となっており、最後の上級問題の正答率を1%にしてほしいという要望をいただいておりました。過去のCTF参戦の経験から考えても難易度の調整は難しいものでして、「DODAからの挑戦状」の裏で、個人的に「1%への挑戦」がありました。

最終的には、初級問題の正答者数(アクセス数)が8232でした。これはユニークを取っていない数字なのですが、ユニークを取ると半分くらいの4000名くらいになるでしょうか。
4000名の1%だと40名になりますが、実際に上級問題を正解した方は32名でしたので、難易度の設定はうまくいったと思います。

さて、この挑戦状は普段からデコンパイルに慣れ親しんでいる方には退屈に思われるかもしれないので、上級問題の後に超上級問題として追加で一問隠しておきました。

ここではその解法を紹介します。
続きを読む

よいパスワードとは、鍵である

 本日は、エフセキュアKEY(当社の新しいパスワード支援アプリケーション)のオフィシャルな開始日となった。

 しかし、プロダクトマネージャのJuha Torkkelにとっては、とりわけ忙しい1日のように感じることはほぼないだろうと我々は推測している。ミッコが1週間前にKEYの「ソフト」ローンチについてツイートして以来、Juhaはフル回転なのだ。



 しかし結果はそんなにソフトなものではなかった。JuhaはすぐにKEYの暗号化についての質問に対して準備をした。

 そしてJuhaはa quick FAQ for our community knowledge baseを作り出した。

 以下は今のところ存在しているFAQになる。

エフセキュアKEYのデータ暗号化(簡易版)


  •  エフセキュアKEYは、あなたのセンシティブなデータを保護するための暗号化として、AES-256(Advanced Encryption Standard)アルゴリズムのCCMモード(CTC + CBC-MAC)を採用しています。モダンなデータ暗号化アルゴリズムとして推奨するものを選択するのに先立ち、AESのセキュリティは大勢の暗号の専門家によって入念に検討されています。

  •  暗号化キーはあなたのマスターパスワードから導出します。これにはPKCS(Public-Key Cryptography Standards、公開鍵暗号の規格群)#5のPBKDF2(Password-Based Key Derivation Function 2)アルゴリズムを使います。PBKDF2では、HMAC(Hash-based Message Authentication Code)SHA256、ランダムなソルト、20,000回のイテレーションを採用しています。これにより、たとえ脆弱なパスワードであっても、しらみつぶし探索や辞書攻撃を通じてキーを復元するのは、さらに困難になります。

  •  パスワードレコードごとに個別にランダムで強力な暗号化キーを用いて暗号化を行います。レコードごとのキーは、PBKDF2アルゴリズムを用いてマスターパスワードから算出されます。
 
  •  マスターパスワードおよびマスター暗号化キーはどこにも保存されません。暗号化キーは製品の利用中にのみ存在します。マスターパスワードを忘れた場合、パスワードやデータを復元する方法はありません。

  •  エフセキュアKEYを開発する際、「誰であるかを知る必要はない。製品を好きになってくれれば良い」ということが、指針とする設計原則でした。その理由により、エフセキュアKEYの全ユーザは完全に匿名です。いかなる方法をもってしても、機器間でデータを同期させる際でさえ、あなたを追跡することはしません。
 
  • エフセキュアKEYのサーバ群は、EU(欧州連合)域内にてフィンランドの法律および適切なEUの規則に基づき、エフセキュアが所有、運用を行います。

—————

 そして以下は、追加のQ&Aである。

エフセキュアKEYは、私の情報を復号できますか?

 質問:エフセキュアは私の情報は暗号化されると述べています。どういった暗号化を採用しているのですか?またエフセキュアは私の情報を復号して第三者に渡すことが可能なのですか?

 回答:AES-256暗号のCCMモード(CBC-MACの対抗)を採用しています。あなたが保存した情報を復号する術は持っていません。加えて、エフセキュアKEYはエフセキュアに対し匿名です。したがって、個々のユーザのデータを特定する方法がないことになります。そのため、どの段階においてもあなたの情報を参照することは決してなく、またそれ故、復号して第三者に渡すことも不可能です。

 暗号化方式の選択とユーザの匿名性は、双方とも製品のセキュリティを向上させ、使用する人々のプライバシーを保護するための意図的な決断です。
 
—————

 一つのパスワードがすべてを統べる。

 若い女性が片方の手にイケアっぽいコーヒーカップ を持ち、反対側の手にはスマートフォンを持っている。



 フィンランドのある日。

—————

 KEYはデバイス単体での使用は無料で、オプションで有料のデバイス間での同期サービスもある。

 アプリケーションをダウンロードするためのリンクはF-Secure KEYまで。

UNRECOMは今後のRATの主流になれるか

2013年も12月となり、今年も残り僅かとなりました。そんな中、Java RATのひとつであるAdwind RATがUnrecom Soft(UNiversal REmote COntrol Multi-Platform)に買収され、新たな展開をみせようとしています。
Adwindは、Android RATの1つであるAndroRat(流出したソースコードと推測)をベースとしたAndroidの遠隔操作機能を追加し、クロス・プラットフォーム(Windows、MacOS、Linux、Android)の統合管理をいち早く実現したことで知られています。
このことは他のRAT開発者らにも影響を与えたとも考えられ、今後のトレンドを占う意味でも注目のRATであったと思います。

unrecom

このようにPCとスマートフォンが攻撃者により統合管理され始めますと、それらを繋ぐオンライン・ストレージなども標的となる可能性も出てくるのでは?と勘ぐりたくなりますね。
どの程度の実現性があるか分かりませんが、リスクの対象範囲は徐々に拡大し始めているようです。
※Adwindは2013年11月20日以降は利用できなくなっています。

アナウンス

さて、Unrecomの機能面ですが、現在のところほぼAdwind v3.0と同様です。Adwindの特徴でもあるPluginを一通り引き継いでいます。遠隔操作をする際に、あると便利なものは一通り揃っているようです。今後どのような機能が追加されるのかが興味深いところです。注目はAndroid向けのPluginをどの程度充実させてくるか、でしょうか。
ちなみに、下図にあるFunnyのようなお遊び的なものもあります。利用価格は$10。

Funny:
It this a simple funny option for move the mouse of remote pc and push aleatori keys


plugins



尚、現在のところ検出状況は芳しくありません。アンチウイルスソフトでの検出結果はマチマチな状況です。。
但し、次のようにSnortのシグネチャも公開されていますので、IDS/IPS等による検出も可能ですので、被害にいち早く気付くことは出来そうです。(少なくともUnrecomの仕様に変更がなければ、です。)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Default Password Auth"; \flow: to_server, established; \
content: "|00||28|e3a8809017dd76bd26557a5b923ab2ae16c0cdb3"; \
sid: 1981310201; rev: 20131115)


alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Ping/Pong"; \
flow: to_server, established; dsize: 1024; \
content: "|00 00 53 09 58 58 58 58|"; depth: 16; \
content: "|58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|"; offset: 1008; \
sid: 1981310202; rev: 20131115)

    参照URL:
    http://www.crowdstrike.com/blog/adwind-rat-rebranding/index.html


Java RATは以前より存在しましたが、今年6月頃より実用化されてきています。現在のところ大規模な攻撃情報は聞いていませんが、サイバー犯罪の世界では一般的になってくるのではないでしょうか。
何はともあれ、来年はJava RATやAndroid RATから目が離せません。


追記:
   かなり粗いですが、yara signatureです。
{
 strings:
  $Class = /opciones\/\w+\.class/
  $made = "desinstalador/MaDe.adwind"
  $gcon = "JTextPaneExample.class" nocase
  $plugin = "AdwindServer.class" nocase
 condition:
  any of ($Class) and ($made or $gcon) or $plugin
}

本格的に日本を襲い始めたAPT

本日、2013年11月のWindows Updateで一つのゼロデイの脆弱性(MS13-090)が修正されました。

MS13-090
マイクロソフト セキュリティ情報 MS13-090 - 緊急 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

これは実際に日本の組織を狙った攻撃の中で使用されていたものです。

先月のWindows Updateで修正されたゼロデイ(CVE-2013-3893)も日本を狙った攻撃で使用されていました。(エフセキュアブログ : いかにWindows XPが攻撃しやすいか)
「ゼロデイを使って日本を攻撃」というのが立て続けに起こっています。

CVE-2013-3893を使って日本を狙ったキャンペーンはOperation DeputyDogと名付けられ、攻撃元のグループは2012年に米国のセキュリティ企業であるBit9を攻撃していたグループと同一だと言われています。
そして今回MS13-090(CVE-2013-3918)を悪用して日本を攻撃していたグループも同一の攻撃グループであると私は睨んでいます。
今まで日本でAPT(Advanced Persistent Threat)だと騒がれていた攻撃のほとんどは、技術的にAdvancedなものでは無かったのですが、このグループの攻撃は技術的にかなりAdvancedです。

特に政府機関の方や重要な情報を大量に扱う業務の方は、適切にアップデートを行うのはもちろんのこと、その上でEMETを導入してゼロデイ攻撃への対策(緩和策)をしておくことをおすすめします。

2013/11/28追記:
攻撃が練習だったという見方の記事が出ていますが、違うと思います。実際に被害が出ていますし、今さら練習が必要なほどスキルの低いグループではありません。
IEを狙ったゼロデイ攻撃は「練習」?

無料のAndroid向けパーミッション・ダッシュボードを新たにリリース

 当社のAndroid向けパーミッション・ダッシュボードF-Secure App Permissionsが11月1日に提供開始となった。そしてわずか1週間で、数千コピーがインストールされ非常に好意的なフィードバックが寄せられた。ありがとう!開発者達は非常にうれしく思い、また頂いた情報に基づき追加機能を実装するのに忙しくしている。本日、彼らはバージョン1.2.5をリリースした。

 以下が新しい点だ。

What's New

 当該アプリのスクリーンショットをいくつか。

App Permissions 1.2.5 App Permissions 1.2.5

App Permissions 1.2.5 App Permissions 1.2.5

 何と言っても、App Permissionsではパーミッションが要求されない。

 これは完全に無料で、小さく、また使いやすいものだ。

 App PermissionsはGoogle Playからダウンロードできる(F-Secure App Permissions)。

 是非お試しいただきたい。そしてすでに持っている方からは、さらなるフィードバックをお待ちしている。ありがとう!

 追伸。明日のWeb放送にて、App Permissionsについてさらに詳細に議論する予定だ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード