エフセキュアブログ

mac を含む記事

1992年

  ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ

Intel OS Xバイナリを持つマルチプラットフォームバックドア

  月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。

  その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。

Social-Engineering Toolkit (SET) attack files

  まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。

  ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。

  Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:

Windows payload in shellcode form

  シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。

  これらのファイルは以下のように検出されている:

Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)

  バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。

コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








シリアで標的型攻撃

  シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。

  先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。

Syria

  この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。

  最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった際に起きた。このユーティリティは、一部のモニタリングツールを回避するため、ハードウェアのMACアドレスを変更すると考えられていた。しかし実際は、「silvia.exe」という名のファイルをドロップした。これは「Xtreme RAT」というバックドアだ。

  「Xtreme RAT」は本格的な悪意あるRemote Access Toolだ。

  Google Sitesでホスティングされているページを介して、100ユーロ(Paypal)で販売されている:https://sites.google.com/site/nxtremerat

Xtremerat

  我々には、この感染が単なる不運によるものではないと信じる理由がある。この活動家のコンピュータは標的にされたのだと思う。いずれにせよ、同バックドアはIPアドレス216.6.0.28にコールホームする。このIPブロックはシリア・アラブ共和国—STE(Syrian Telecommunications Establishment)に属している。.

  これはシリアで、トロイの木馬がこのような目的で使用された初のケースではない。

  過去の類似するケースに関しては、以下のリファレンスをご覧頂きたい:

http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

http://blogs.norman.com/2012/security-research/the-syrian-spyware

http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(似たような攻撃で使用された別のRATの作者へのインタビューを含む)

  問題のサンプルのSHA-1ハッシュ:

  •  2c938f4e85d53aa23e9af39085d1199e138618b6
  •  a07209729e6f93e80fb116f18f746aad4b7400c5

オックスフォードがMac Flashbackについて熟考:Blaster以来最悪の発生

  先月発生したMac Flashbackは、どの程度ひどいもので、最も被害を受けたのは誰だったのだろうか? 我々が推測するに、程度はひどく、最大の被害者は大学のITヘルプデスクだろう。そしてこの推測は、それほど的外れではないようだ。

  オックスフォード大学Computing Servicesのネットワークセキュリティ・チーム(別名OxCERT)が、「2003年の夏に、BlasterがWindowsを襲って以来、おそらくは最大の被害に」対処したと書いている。

  OxCERTはBlasterで約1000件に対処した。彼らは数百件のFlashback事例を見ており…「そして、それはまだ続いている。」



  マンチェスター大学などの他の教育機関も、主として寮内に多数の感染が存在することを詳述している。



  あなたは大学のITヘルプデスクで仕事をされているだろうか? Macマルウェアの事例で、特筆すべき増加を経験されているだろうか? コメント(そして現状に関する情報)をお寄せ頂きたい。

  では!


Javaを悪用するさらなるMacマルウェア

  「CVE-2012-0507」を悪用する新しMacマルウェアの亜種に関する報告が、先週浮上した。このJava脆弱性は、60万台以上のMacを感染させるのにFlashbackが使用したのと同一のものだ。

  最初の新たな脅威はTrend Microの人々により分析された。Mac用Javaアプレットは実際、「CVE-2012-0507」を悪用し、成功すれば、ペイロードはAlienVault Labsが先月発見した(人権擁護NGOに対する標的型攻撃で使用された)のと同じマルウェアだ。

  第2の脅威は、最初のうちは完全に新しいマルウェアの一部であるように見える。しかし、収集された次のサンプルで、同マルウェアも「Backdoor:OSX/Olyx.C」および「Backdoor:OSX/MacKontrol.A」をドロップするのに用いられた、「MS09-027/CVE-2009-0563」を悪用する同一のWord書類によりドロップされたことが明らかになった。これも先月、AlienVaultにより報告されたものだ。

  どちらのマルウェアも現在アクティブなようで、ESETおよびKasperskyがそれぞれ観測しているように、マニュアルでコントロールされている。どちらも同一の悪意あるJavaクラス・ドロッパ・コンポーネントを使用する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

  エフセキュア アンチウイルスはこれらの脅威を「Backdoor:OSX/Olyx.B」および「Backdoor:OSX/Sabpab.A」として検出する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (別名Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (別名Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

  これらマルウェアの亜種は、チベット関連のNGOに対する標的型攻撃で使用されており、したがって日常的なMacユーザーが「イン・ザ・ワイルド」で遭遇することは無さそうだ。もしあなたがMacを使用している人権問題専門の弁護士なら…リスクを被る確率は全く異なる。まだ感染していないなら、Macにアンチウイルスをインストールすべき時だ。

Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

Mac Flashback感染

月曜、我々はその時点で未パッチだったJava脆弱性(CVE-2012-0507)を悪用するMac Flashbackトロイの木馬の亜種について書いた。Appleは火曜日、セキュリティ・アップデートをリリースした。もしMacにJavaをインストールしているなら—すぐにアップデートすること。

  昨日Dr. Web(ロシアのアンチウイルスベンダ)が、Flashbackは50万台以上のMacに感染しているかもしれないと報告した。

  Flashbackがインストールされると、それぞれに固有のユーザ・エージェントが作成される。Dr. WebのIvan Sorokinは、現在、感染の試算を60万台以上としている。




  エフセキュアの「Anti-Virus for Mac」は、Flashbackの最新の亜種を「Trojan-Downloader:OSX/Flashback.K」として検出する。

  Flashbackに関する我々の最近の説明は以下の通り:

  •  Flashback.I
  •  Flashback.K

  Mac関連の以前の記事には、Javaを停止する方法、Flashbackの感染について調べる方法、手動での削除方法がある:

  •  目下のMacマルウェア
  •  (Mac)Flashbackはあるか?
  •  未パッチのJava脆弱性を悪用するMac Flashback

  この週末、イースターホリデーを祝う人は、もしご両親を訪問し、彼らがMacを持っているなら、Javaクライアントプラグイン/インストールをアップデートするか、停止するか、削除してあげるべきだ!

  (そしてそれはWindowsにも当てはまる。)

未パッチのJava脆弱性を悪用するMac Flashback

  「CVE-2012-0507」(Java脆弱性)を悪用する、Flashbackの新たな亜種(Macマルウェア)が発見された。我々はここしばらく、このようなことが起きるだろうと予想していた。

Flashback.K

  Oracleは2月、この脆弱性にパッチを当てるアップデートをリリースした。ただしWindows用を…

  しかし — AppleはOS Xのアップデートを(まだ)リリースしていない。

  Flashbackギャングはエクスプロイト・キット開発の最新の状況を追っているようだ。先週Brian Krebsが、Blackholeエクスプロイト・キットの最新版に「CVE-2012-0507」エクスプロイトが組み込まれたことを報告した。そしてそれで終わりではない。未確認ではあるものの、「まだパッチを当てていないJavaの深刻な欠陥」に対する、さらに別のエクスプロイトが利用可能だという噂があるのだ。

  よって、もしまだJavaクライアントを停止していないのなら、これが広まる前にそうして頂きたい。MacでJavaを停止する方法に関するインストラクションは、我々の前回の記事でチェックして欲しい。

  Flashbackに感染しているかどうかをチェックする方法に関する以前のインストラクションも適用可能だ。しかしこの亜種では、感染したユーザのホームフォルダで作成される、別のアップデータコンポーネントがある。デフォルトでは、「~/.jupdate」として作成される。

  対応する属性リストファイルも作成され、感染したユーザがログインするたびに実行される。デフォルトでは、この属性リストは「~/Library/LaunchAgents/com.java.update.plist」として作成される。

Flashback.K

Flashback.K

  しかし、これらのファイル名は感染したシステムにより異なるかもしれない。これらは、エクスプロイトを与える悪意あるWebページにより設定可能だからだ:

Flashback.K

  詳細については、エフセキュアによる「Flashback.K」の説明をご覧頂きたい。

MD5: 253CAE589867450B2730EF7517452A8B

NGOを標的とする更なるMacマルウェア(Wordエクスプロイト)

  Alienvault Labsが、人権問題にフォーカスする非政府組織(NGO)を標的とするマルウェアを、また発見した。これは先週の発見に追加されたものだ。今回のエクスプロイトは、Microsoft Word(MS09-027)の2009脆弱性を利用する。

  以下は、エクスプロイト・ドキュメントが埋め込まれている囮のドキュメントの例だ。

Mac Word Exploit MS09-027

  詳細はAlienvault Labsで読める:イン・ザ・ワイルドなMacOS Xを標的とするMS Officeエクスプロイト - 「Mac Control」RATをもたらす

(Mac)Flashbackはあるか?

  月曜、Flashbackトロイの木馬によってMacに障害が起きない方法をご紹介した。今日はFlashback感染を見つける方法に関する情報を提供する。

  以下のステップをより良く理解するには、Flashbackについても多少している方が良いだろう。これはOS Xマルウェアファミリで、Webブラウザにより表示されるコンテンツを修正する。そのために、同マルウェアはMacのブラウザが使用する機能を利用する。乗っ取られる機能は亜種ごとに異なるが、一般にCFReadStreamReadおよびCFWriteStreamWriteが含まれる:



  標的とされるWebページと変更は、リモートサーバから読み出されるコンフィギュレーションに基づいて決定される。以下はコンフィギュレーション・データの例だ:



  デコードすると、標的とされたWebページ(赤)とインジェクトされたコンテンツ(黄)が分かるだろう:



  こうした能力は事実上、これをある種のバックドアにする。このことと、同マルウェアが最初、Flash Playerインストーラのふりをしてユーザをだまそうとした事実から、Flashbackと呼ばれている。しかし、以降それは進化しており、最近の亜種では拡散するためエクスプロイトを組み込み始めた。私が見たケースすべてで、少なくともGoogleを標的としており、これは実際Mac QHostの次の進化形ではないかと考えるに到った。

  介入機能を利用して、Flashbackが次に行うのはブラウザにそれをロードさせることだ。

  これはDYLD_INSERT_LIBRARIES環境変数が役立つところだ:



  一般に感染には2種類ある。第1の感染は、同マルウェアが管理権限を持つ際に生じる。第2の亜種「Flashback.B」もしくは上のスクリーンショットが例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が標的とされたアプリケーション、特にブラウザのコンテクストにのみ追加される。初期の亜種はSafariとFirefoxを標的としている。最近の亜種ではSafariのみが標的だ。この種の感染にユーザが気づくのは、より難しい可能性がある。感染したシステムがより安定しているためだ。

  感染の第2のタイプは、同マルウェアに管理権限の無い時に生じる。最初の亜種「Flashback.A」がその例だ。このタイプの感染では、DYLD_INSERT_LIBRARIES環境変数が感染したユーザのコンテクストに追加される。これは同マルウェアが感染したユーザが起動する全てのアプリケーションにロードされるということを意味している。その際、互換性のないアプリケーションに起因するクラッシュが増えるので、感染したシステムははるかに不安定になる。これを解決するため、最近の亜種は新しいフィルタコンポーネントを導入している:



  上記の例では、フィルタコンポーネントはプロセスがSafariである場合、メインコンポーネントをロードするのみだ(スクリーンショットで「WebPo」を無視すること。これはおそらく、Safariであれば一部であるWebProcessを、マルウェア作者がタイプミスしただけだろう)。

  では、このケースではどのように感染を特定するのか? 最も簡単なのは、ブラウザのDYLD_INSERT_LIBRARIES環境変数のチェックだ。Terminalで以下のコマンドを使用すれば良い:

  •  defaults read /Applications/%browser%.app/Contents/Info LSEnvironment



  上記の例は、Firefoxがクリーンであることを意味している。感染していれば、下のようなものを見る事になるだろう:



  赤で囲まれたDYLD_INSERT_LIBRARIESの値に注意して欲しい。フィルタコンポーネントである場合、メインコンポーネントを特定するのにそれが必要だ。

  •  grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%



  赤で囲まれたファイルはFlashbackファイルなので、注意して欲しい。ほとんどのユーザにDYLD_INSERT_LIBRARIES環境変数は無いと思う。

  グレップで結果が得られなければ、それはあなたのシステムの亜種は、フィルタコンポーネントを有していないことを意味している。

  皆さんが次にチェックしたいのは、第2のタイプの感染が起きていた場合、あなたのユーザのDYLD_INSERT_LIBRARIES環境変数をチェックするということだろう:

  •  defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES



  結果が得られなければ、このタイプの感染は起きていないことを意味している。

  フィルタコンポーネントがあれば、メインコンポーネントを見つけるのに、また以下のコマンドを使用すれば良い:

  •  grep -a -o ' __ldpath__[ -~]*' %path_from_previous_step%



  サンプルはどうするか? 我々に送って欲しい。そうして頂ければ、他のAVベンダとサンプル共有を手配するので、コミュニティの助けにもなる。

  システムからサンプルを削除する際、DYLD_INSERT_LIBRARIES環境変数も必ず削除すること。さもないと、ブラウザもしくは更に悪いことには全アカウントが、次回、ロードされないかもしれない。

  第1のタイプの感染では以下を使用して欲しい:

  •  sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
  •  sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist



  第2のタイプの感染では以下を使用すること:

  •  defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  •  launchctl unsetenv DYLD_INSERT_LIBRARIES



  より最近のFlashback亜種に関する詳細は、我々のTrojan-Downloader:OSX/Flashback.Iの解説でチェックできる。

では。
Brod

中国がチベット関連でNGOのMacを標的に

  「CVE-2011-3544」(Java脆弱性)を悪用する新たなMacバックドアが報告されている。このバックドアは、GhostNetにつながっているようだ。同マルウェアは、非政府組織(NGO)に対する標的型攻撃で使用されている。

  Greg Waltonが、NGOに送信されたチベット関連の標的型メールについて、詳細を発表した。同メッセージには「dns.assyra.com」へのテキストが含まれる。詳細はWaltonがここに書いている。AlienVault Labsのテクニカルレポートも掲載されている。

  今日のニュースで、我々のMacマルウェアアナリストの1人Brodが、Microsoftの「バックドアOlyx - はMac向けの任務を負うマルウェアか?」という記事を思い出した。この記事はMacとWindowsユーザをこの7月に標的とした、似たようなテーマの攻撃に関するものだ。

  我々はこれらの新しい脅威を、以下の物として検出している:

Exploit:Java/CVE-2011-3544.E — MD5: 6C8F0C055431808C1DF746F9D4BB8CB5, MD5: 453A3DC32E2FAFD39F837A1EBE62CA80
Backdoor:OSX/Olyx.B — MD5: 39084b60790ca3fdebe1cd93a4764819
Backdoor:W32/Poison.CE — MD5: 7F7CBC62C56AEC9CB351B6C1B1926265

  昨日のJava緩和策に関するMac関連記事も読んで欲しい。








目下のMacマルウェア

我々が最後にMacのマルウェアについて書いてからずいぶんになるので、ここ数ヶ月に起きていることについて、読者の皆さんに最新情報を提供する方が良いだろうと考えた。昨年、我々は制作途上にあるMac版トロイの木馬とおぼしきものを詳述した。当時はまだ、バンドルの一部であるか、スタンドアロンのバイナリなのかを推測していた。現在では、新しい亜種が発見され、それは本格的なアプリケーションであり、アイコンも完備していることが明らかになっている。

  作者はこの亜種を「version 1.0」(リトルエンディアンで「FILEAGENTVer1.0」)と呼んでいる。

FILEAGENTVer1.0

  私が分析したサンプルは、Irina Shaykのサムネイル画像/アイコンを使用しているが、これはどうやらFHM(South Africa)誌の2012年3月号から取られたもののようだ。この悪意あるアプリケーションバンドルは、ファイルタイプをユーザーが見落とすことを期待して、同誌から取られた他の画像と共に、アーカイブファイル内で展開される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

  インプリメンテーションの他に何ら新しい所はない。バックドアペイロードも同じだが、新たなC&Cサーバを使用している。同サーバは現在(執筆時)アクティブだ。この新しいC&Cサーバがまだ、ESETの人々が言及している、前回の亜種と同じIPアドレスを示していることに注意することが重要だ。我々はこのサーバをCERT-FIに報告した。うまくいけば、彼らが関係当局に通知できるだろう。

  我々は新たなこの亜種をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として検出している。

最後に—あちら側にひそんでいる、もう一つのより深刻なOS Xマルウェア脅威がある。このFlashbackトロイの木馬は初め、Revirと同じ頃に現れたものだが、現在もイン・ザ・ワイルドだ。これはエクスプロイトを使用して、ユーザとのインタラクション無しで、システムを感染させる。悪用しているのは古いJava脆弱性(CVE-2011-3544およびCVE-2008-5353)だが、悪党連中がオペレーションをアップグレードし、パッチを当てていない脆弱性を狙い始めるなら、本当のOS X騒動を見る事になるかもしれない。

  今後の記事で、Flashback感染を特定する方法を詳述する予定だ。その間、感染を避ける最も容易な方法は、ブラウザでJavaをオフにしておくことだ。我々の調査によれば、Webを閲覧する際、ほとんどのユーザがJavaを必要としていない。何らかの理由で、たとえばオンライン・バンキングなどでJavaが必要ならば、必要な時だけオンにすることだ。そして終了したら、またオフにすること。

  Safariでは、環境設定のセキュリティタブで「Javaを有効にする」のチェックをはずせば良い。

Safari, Java settings

  あるいは、Snow Leopard(LionはデフォルトではJavaは搭載していない)から、アプリケーション、ユーティリティ、Java設定に行くことでJavaをオフにできる。一般タブですべてのチェックをはずそう。

Java Preferences

では
Brod








Mountain LionのGatekeeper:「あなた」のためにより多くのコントロールを

  昨日、Appleが「Mac OS X Mountain Lion Developer Preview」をリリースした。セキュリティの観点から見れば、最も興味深い新機能は、ソースに基づいてダウンロードしたアプリケーションのインストールを制限する「Gatekeeper」だ。

  「アプリケーションの以下からのダウンロードを許可する:Mac App Storeから、Mac App Storeと認証デベロッパから、そして全てから」

  伝えられるところでは、デフォルト設定は「Mac App Storeと認証デベロッパ」で、デベロッパは摩擦を減らしたいなら、Appleの「Mac Developer Program」(年間参加費99ドル)に申し込む必要があることを意味する。以下の画像にあるテキストを見る限り、ユーザが「全て」からのインストールを選択しても、Mountain LionはそのアプリケーションがDeveloper IDを伴っていないとユーザに警告するようだ。

Apple Gatekeeper, The Developer ID program

  そしてそれは、少なくともシステムセキュリティの点では、確かに悪いことではない。デベロッパ登録料とインストールのプロンプトは、ほぼ間違いなく、Macのエコシステムをセキュリティへと導く経費を生み出すだろう。

  「Gatekeeper」はMacの壁に囲まれた庭を固め始めもする。

  将来、Appleが同社プラットフォームをさらに閉鎖的にすることを決定すれば、デバイスドライバもApple Developer IDを使用するよう求められる可能性がある。Appleはユーザ・エクスペリエンスへの取り組みで有名なので、そのエクスペリエンスを「セキュア」にするため、同社がサードパーティのペリフェラルドライバを廃止すると想像するのは、それほど難しいことではない。

  以下の画像を何度見ても、私には次のように見える。あなた「に対する」より多くのコントロール、と。

Apple Gatekeeper, More Control For You

  だが、Macファンはそれが好きなんでしょう?

  2014年までに、自分のMacをジェイルブレイクする人が出てくるのではないかと思う。

では、
ショーン

FacebookスパマーがAmazonのクラウドを利用

Facebookはこのところ、サーベイ系スパム投稿を食い止めるため、適切な仕事をしている(全体的に見て)。

  では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。

  AmazonのS3ファイル・ホスティングサービスを利用することで、こうした連中の問題のかなり多くが解決される。第1に、AmazonのS3ウェブサービスは非常に安価に設定できるため、サーベイから儲けを出すことができる。第2に、Facebookはスパムにリンクする疑わしいURLをブロックすることにかなり成功しているため、amazonaws.comのような安全で人気のあるドメインで自分達の詐欺のコードをホスティングすることにより、Facebookの防御をすり抜ける可能性が高くなる。

  以下の図は、アジェンダの基本的な流れを示している。

Facebook, Amazon S3, Spam diagram

  ChromeとFirefox以外の全ブラウザでは、サーベイ・ページが供されるため、スパマーのサーベイが記入され、提出されると、実際に収益を上げることができる。このマネタイゼーションは、大部分のソーシャル・メディア・スパムの背後にあるCost Per Action(CPA)マーケティング・モデル内で起きる。スパマーのサーベイ完了率を高めようと、位置情報技術が使用されている。位置によって、偽Facebookページが特定のアフィリエイト・マーケターにリダイレクトされるサーベイを表示するのだ。

Father Melts Baby's Brain With Motorboat Sounds

  FirefoxとChromeは、不正なYouTubeブラウザ・プラグインの使用により、Facebookを介して詐欺をさらに拡大するための手段として使用される。これらブラウザのどちらかからアクセスされると、偽Facebookページはプラグインのインストールを表示する。

  スパマーは最近、Facebookとのイタチごっこの戦いの一部として、プラグインを使い始めている。

Father Melts Baby's Brain With Motorboat Sounds

  プラグインをインストールすると、Amazonのウェブ・サービスでmo1torからmo15torまで、ユーザー名からランダムに選択することで、リダイレクタURLが生成される。次に生成されたリンクは、ハードコードされた5つのuserIDとAPI key-parのいずれかを使用して、bitly.comを通じて短縮される。これらのkey-parによりスパマーは、Amazonウェブ・サービスのリンク用に、自動的にbit.ly URLを生成することが可能になる。これは最終的に、偽Facebookページへのリダイレクションに導く。

  おそらくは防衛を混乱させようとして、wowvideo[random number].comのフォーマットを使用した存在しないドメインもランダムに作成される。しかしAmazon S3ウェブ・サービスとbit.ly URLのみが実際に使えるリンクだ。

  以下がこのポストの構成だ:

Title: [Video] Father Melts Baby's Brain With Motorboat Sounds
Messages:

  •  hahaha this video will bend your mind
  •  have you all seen this yet?
  •  stop it! his eyes are going to pop out!!
  •  Its eyes are black because it has no soul
  •  must be experimental technology from mother russia!
  •  im afraid i have some bad news
  •  i want you to all see this

Summary: Total meltdown! I bet you have never seen this before!
Main URL: www.wowvideo[random number].com

  以下が実際の例:

Father Melts Baby's Brain With Motorboat Sounds

  問題のあるアドオンは、Firefoxでは「Uninstall」、Chromeでは「Remove」を使用して取り除くことができる:

Chrome Extensions

Firefox Extensions

  ちなみに、配布されたFirefoxプラグインは…Macでアーカイブされた。

Mac OS X

  これが「Windows」の問題だと考えるかもしれないので念のため。 ;-)

Threats Insight post by — Karmina

Macマルウェア・サマリー2011(Q2/Q3/Q4)

  Threat Researchチームの研究者Brodは、新興のMacベースの脅威を監視してきた。Microsoft Excelは、彼が亜種を記録するためのツールの一つだ。2011年の4月から12月まで、Macの新しい脅威は数ダース登場した。

  さて、Windowsのマルウェアと比較すると大した事は無い。しかし、2011年以前に見られたMacの脅威の数と比べれば、確かにちょっとした事だ。

  「新しい」という言葉で我々が言及しているのは、固有の亜種であって、我々が目撃した固有の亜種の個数ではないことを心に留めておいて欲しい。我々はマルウェアを数える際、より保守的なアプローチを好んでいる。包括的かつファミリーベースであるほど良い。

  以下は概要だ:

Mac Malware Summary 2011

  もっと良く見たい? それならばBrodのスプレッドシートをダウンロードして欲しい:Mac Threats 2011

  我々が5月、正確に予測したように(YouTubeビデオ)、Macマルウェアはマーケットシェアが増加したために継続的に増えているのではなく、むしろ時々思い出したように新たな脅威を生み出す、ご都合主義的な「バブル経済」の結果なのだ。

  2012年も同じことがさらに続くと、我々は考えている。

FacebookとTwitterでChatSendスパム・キャンペーン

  我々は今日、FacebookとTwitterで、かなり怪しいソーシャル・スパムを見かけた。

ChatSend Spam, Facebook

  そして明らかに、それは5日にわたって広まっている。

ChatSend Spam, Twitter

  このソーシャルスパムは、様々な数値パラメーターを使用した「bit.ly」短縮リンクを用いている。そして興味深いことに、同スパムは2つのリンクをポストする。(おそらくこれはアンチ・スパムフィルタを回避するのに役立つ?)

  ジオIPとクリックされるリンクにより、ユーザはchatpreview.meに誘導され、そこでブラウザ・ツールバー・プラグイン「ChatSend」をオファーされる。

ChatSend Spam, chatpreview.me

  WindowsとMac:どちらも歓迎。

  ほぼ100万人がこのスパムリンクをクリックしている。同ダウンロードをどのくらいの人々がインストールしたかは分からない。bit.lyの統計から分かるように、大部分のクリックはインドとフィリピンのものだ。

ChatSend Spam, Bit.ly stats

  怪しいリンクについて、我々はbitly.comに報告しており、彼らはこの問題を調査中だ

FBI:Ghost Click作戦

  米連邦裁判所が、7人の男性(エストニア人1名、ロシア人1名)を、連邦捜査局のGhost Click作戦の一環として起訴した。6名はエストニア当局が逮捕したが、ロシア人の被告は現在も逃走中だ。

  News from the Labブログの以前からの読者は、被告の1人Vladimir Tsastsin(別名「SCR」)を、2008年頃のEstDomains事件でご記憶だろう。

  Ghost Click作戦は、クライムウェアとの戦いにおける、かなりの成功例だと言ってよい。

  Rove Digital(ギャングのダミー会社)は非常に革新的なDNSChangerクリック詐欺を行ったが、これは400万台以上のコンピュータに影響を与え、広告ベースの収益で1400万ドル以上を得たという。オペレーションが非常な成功を収めたため、彼らはMacマルウェアにも手を出した。

  以下はFBIの「コンピュータが不正なDNSを使用しているかどうかチェックする」からのスクリーンショットだ。

FBI, Apple, DNSChanger

FBI, Apple, DNSChanger

  ギャングのマルウェアの中には、ルータを標的とするものまである!

  詳細についてはKrebs on Securityをチェックして欲しい。

バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

Backdoor:OSX/Tsunami.A

Backdoor:OSX/Tsunami.A」に関する説明を公開した。「Tsunami」はボット機能を持つMac OS Xバックドアだ。

Backdoor:OSX/Tsunami.A

  このボットはDDoS攻撃に関与することができ、実際、亜種の一つが「anonops」に関連してIRCサーバに接続しようと試みている。(インターネット集団)「Anonymous Ops」などでだ。

  Tsunamiには明白な感染ベクタは存在しないため、一部のアナリストはOSX/Tsunamiがまだ未完成なのではないかと推測している。またサーバのリモートハッキングが、ベクタの一つである可能性を指摘しているアナリストもいる。OSX/Tsunamiが、インストールするためにPHP脆弱性を長く使ってきたLinuxボットに基づくとすれば、かなり高い可能性だ。

  我々は、「Anonymous」によって行われるDDoS活動に、人々が自分達のコンピュータをボランティア的に差し出すため、このバックドアを自分でインストールしたのかもしれないと示唆する記事さえ読んだことがある。

  自分のコンピュータを望んで差し出す? 我々にはばかげて聞こえる。

  特に「Anonymous」のメンバーが、「ボランティア」Macを潜在的に他にいくらでも利用できることを考えれば。

site_edu_mac_lab

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード