エフセキュアブログ

script を含む記事

暗号化ランサムウェアのマネタイズ

 ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。そしてその状況から現れたのが、暗号化ランサムウェアというけだものだ。

 暗号化ランサムウェアが毎日のように報じられるのには理由がある。ここ何年かの間に目にした他のどの脅威と比べても、独特のものだからだ。暗号化ランサムウェアは被害者に実際にサービスを提供する。身代金を支払えば、ファイルを取り戻せるのだ。また派手な事例を見聞きすることも増えている。これぞ、人々がまさに行っていることなのだ。ある病院がインフラを復旧させるためにBitcoinで大枚をはたいたという最近の事例について、思い出させるには及ばないだろう。暗号化ランサムウェア業界は、毎年1億ユーロ相当の収益を得ているとの見積もりがある

 犯罪者にとって、暗号化ランサムウェアは引き続き実入りの良い金儲けの手段であり、時間の経過とともに、バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている。あらゆるビジネスと同様に、モデルの投資利益率の最適化や改善に焦点がシフトするのは必然的なことだ。我々は今日のランサムウェア・キャンペーンのビジネスモデルを、インターネット時代の幕開け期のものになぞらえている。つまり、いまだに本質的に非常にシンプルで、大方は目を向けていないのだ。結論としては、まだまだたっぷりと創造性とイノベーションの余地が残されている。暗号化ランサムウェアの背後にあるビジネスモデルは、徐々に成熟しており、我々が最近になって気付いた、あるイノベーションの試みがある。

 厳選した暗号化ランサムウェア・キャンペーンでは、とりわけ米国、英国、オーストラリア、カナダといった「第1階層」の国を標的にする。このような標的を選定したことは、支出に見合う価値という観点で理にかなっている。ランサムウェア自体をローカライズする必要はないし、標的の人口動態は相対的に裕福で、一部の研究ではこの地域の被害者は実際に身代金を支払う意思があることが示されている。

 フィッシング詐欺のキャンペーンでは、別の芸当を目にした。地域に特化して注意深く調整を行い、時にはカレンダー上の行事に合わせているのだ。当社が観察した、スウェーデンで実施されたスパムキャンペーンを例に挙げると、被害者は地元の郵便局からの到着した荷物についての、説得力のあるメッセージを受け取っていた。この種の標的型の地域限定のスパムキャンペーンは目新しいものではないが、搾取率を高める目的でキャンペーンを調整したマルウェアの担い手もいる。

 一部の暗号化ランサムウェア・ファミリーでは、被害者が支払いを行いやすくなることを期待して、サポートのインターフェイスの向上に取り組んできた。サポートサイトはより直感的に理解できるようになり、(PadCryptなど)ライブチャットのインターフェイスを持つケースもある。Bitcoinの入手方法、Tor経由でサポートサイトへ接続する方法、ファイルを取り戻す方法についての説明が、より明確になり、またより適切に提示されるようになっている。驚くようなことではないが、暗号化ランサムウェアのサポートサービスは、多くの場合において、合法的な企業が運営するものよりも優れている。余談だが興味深いことに、被害者のファイル群の復号を手助けする目的で、顧客のためにBitcoinのブローカービジネスを始める、独立系のITサポート要員も確認している。

 TrueCrypterファミリーはAmazonギフト券での支払いに対応している。またiTunes Cardでの支払いを受け付けている暗号化ランサムウェア・ファミリーも見聞きしている。これは犯罪者にとってはリスキーな手立てだと考える人もいるだろう。AmazonやAppleが、これらのカードを使った人物を簡単に追跡できるであろうからだ。判明したところでは、犯罪者たちはただちにギフト券をeBayのようなサイトに流す傾向にある。これの購入者が、帰結する結果に対処するように仕向けるのだ。米国のiTunes Storeに豪華なコンテンツ・セットがあれば、ヨーロッパで米国ベースのiTunes Cardへの要求があるだろう。

 もう1つの驚くべき方向性として、ある暗号化ランサムウェア・ファミリーが、被害者に圧力をかけて強制的に支払わせようとしていることをつかんだ。我々は最近Jigsawファミリーに遭遇したのだが、これは身代金が支払われない限り、1時間おきに消し去るファイルの数を増やしていく。全ファイルが削除される締め切りまでに、被害者には72時間が与えられる。機器を再起動したり、強制的にエージェントを殺すと、直ちに1000個のファイルが削除される。こうした戦略は、テレビや映画で見てきたような人質の状況と変わりない。残念なことに、特定の戦略によって人々の支払いが増すのか減るのかを判定できるようなデータを、我々は現時点で提供できない。

Jigsaw ransomware
身代金をお支払いくださいますか?

 これまでに挙げた例では、暗号化ランサムウェアの背後にいる人物らが、いかにさまざまなビジネスモデルを試して、投資利益率を向上させようと取り組んでいるかを示している。犯罪者たちは、大規模なランサムウェア・キャンペーンでは、気付かれてしまい、やられることを学習している。少なくとも、CryptoLockerの裏にいる人物たちは数年前に学んだ。そのため彼らは最近では、すべてより小規模にキャンペーンを実施している。しかし小規模のキャンペーンというのは、巨大な法執行機関のレーダーをかいくぐるためだけに重要なわけではない。個々の感染したコンピュータや、個々の送付されたスパムメッセージのために支払いを行わなければならない世界において、利益を最大化することにとっても重要なのだ。

 当社では最近、もし暗号化ランサムウェアの被害者になってしまったら、ファイルの復号にいくら払う意思があるかをユーザに尋ねるアンケートを実施した。

 (訳注:「 このアンケートに基づくと…、暗号化ランサムウェアが1 BTCではなく0.5 BTCを請求した場合、ほぼ3倍以上になる。」という意味)

 ショーンがこのアンケートを実施した時点で、数多くの身代金は約1 BTC、つまりちょうど400ドルであった。単純な計算を行えば、上の結論に達する。半額にすれば、収益を約3倍にできる。上述の調査を行って結論を導き出すのには、過大な負荷はかからなかった。実装するのにたいしたプログラムの行数さえ必要なかった。これらのツイートで一部のマルウェアの作者に情報を与えてしまったかは定かでないが、最近、身代金が低価格化している傾向をつかんでいる。

 ただ、この情報を手に入れたランサムウェアの作者ばかりではなかったようだ。ほんの数日前、新たな種族の暗号化ランサムウェアが出現した。これは身代金を義援金だとうたっている。しかしながら、5 BTC、つまり記事を書いている時点で約2,200ドルなのだ。だいたいの人はそんなに気前よくない、と我々は思う。

 この先いつの日か暗号化ランサムウェアで用いられる価格体系に、より高度で洗練されたものが適用されているのを見ることになると予期している。現時点では、当該ソフトウェアはかなり知力を欠いていて、すべての感染したマシンで身代金を固定額で設定している。我々はある時点で変動価格体系がお目見えすると予想している。おそらく暗号化されるファイルの数や種類に基づくなり、マシンが個人所有のコンピュータかサラリーマンが使っているものかをソフトウェアが検知するなりするのだろう。1 BTCという身代金は大半の個人にとってはちょっと高額だが、多くの企業にとっては微々たる金額だ。

 数多くの暗号化ランサムウェア・ファミリーはすでにネットワーク共有にも感染させるように試みているが、インテリジェントな方法で行っているものはない。理論上、被害者は1回支払えば、ネットワーク共有のファイルも含め、全ファイルを取り戻せる。この理由から、開発者たちがソフトウェアに知能を組み込んで、より効率的にネットワーク中に伝播させるのを、我々は目撃することになると予期している。感染させるマシンの数を増やし、再度触れるが、環境に応じて身代金の額を決めるのだ。

 クライムウェアのアフィリエイト・ネットワークやマルウェア・キャンペーンの裏にいる人物たちは、すでにビジネス的な判断力の旺盛さを示している。こうした人達がもうけ、つまり投資利益率を最大化する仕事を与えられたとき、価格体系や、使いやすさ、ネットワークでの伝播、あるいはスマートな標的選定に基づき、ソフトウェアやプロセスのモデルをより創造的に考案することは、想像に難くない。近い将来、暗号化ランサムウェアで使われるビジネスモデルとマネタイズモデルの双方で、洗練度が増すのを見る羽目になるのを我々は十分に予想している。

Windows Script Hostを無効にする方法

 幾多のスパムキャンペーンで、添付されたzipファイルを経由でさまざまな暗号化ランサムウェアファミリー(とバックドア)が送り込まれている。そして典型的には、このようなzipファイルにはあるJScriptファイル(jsまたはjse)が含まれている。もしこれをクリックすると、Windows Script Host経由で実行される。

 よろしいだろうか。Windowsのレポジトリを編集して、Windows Script Hostを無効にしよう。

 レポジトリキー(フォルダ)は以下だ。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

 「Enabled」という名前で新たなDWORDの値を作成し、値のデータを「0」にセットする。

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

 その後jsファイルをクリックすると、以下を目にすることになる。

Windows Script Host access is disabled on this machine. Contact your administrator for details.

 脅迫文を見るよりもマシだ。


2016年4月20日更新:代わりにHKEY_CURRENT_USERを使うのでも良い。

ランサムウェア「Maktub Locker」のグラフィックデザイン

 「Maktub Locker」と自称する、新たな暗号化ランサムウェアファミリーが出現した。Maktubとは「書いてある」という意味のアラビア語だ。

Maktub Locker

 セキュリティ研究者のYonathan Klijnsmaが、本日これまでに当該ランサムウェアについてツイートした。

 (訳注:「『MAKTUB LOCKER』という新手のランサムウェアが、現在メール経由で拡散されている。暗号化する際にC&Cと通信しない」という意味)

 私はMaktubの支払い用の入り口のグラフィックデザインをちょっと見たのだが…、残りも見ずにはいられなかった。

 以下はステップ4で表示されるものだ。

Maktub Locker - Step 4 - Where do I pay?

 普通じゃない。

 不満を持ったグラフィックデザイナーなのか?

 残りの画像を以下に挙げる。

HELLO!
こんにちは!

WE ARE NOT LYING!
我々は本気だ!

HOW MUCH DOES IT COST?
いくらかかるか?

WHERE DO I PAY?
どのように支払うか?

BITCOIN PURCHASE
ビットコインの購入

The Malware Museum @ Internet Archive

 以下は、5.25インチフロッピーディスクの時代にウィルスのサンプルを提出した様子だ。

I sent you this diskette to give you infected or suspicious files for analyzing.
Constantine、ありがとう

 そして現在The Malware Museumにて、古典的なウィルスが動作するさまを確認することができる。

 (訳注:「ブラウザ上のMS-DOSの仮想マシンで、古いマルウェアのエミュレートしたいかも、って?いや、もちろんやるよね。」という意味)

 Jason Scottに賞賛を!

 以下はWalkerというウィルスだ。

 (訳注:「しまった!私のコンピュータがWalkerに感染したか?いやいや、The Malware Museumを訪れたのだ。」という意味)

 「ANY KEY TO PLAY」

 (訳注:「the Malware Museumでディスク破壊ゲームを楽しめる。」という意味)

急速に広まるCrash Safari…しかしAndroidではないのはなぜ?

 1月25日、crashsafari.comというWebサイトへのGoogleのショートリンクが、何者かにより作成された。当該サイトはiOSのSafariをクラッシュさせるループを作り、一部のデバイスではリブートを引き起こす。

 (訳注:「私のiPod touchがクラッシュしたところ」という意味)

 このサイトはまた、他のいくつかのブラウザを停止させたり、クラッシュを引き起こす。詳細についてはWired誌を参照のこと。

 しかし、私は奇妙な点を発見したのだ…。

 以下は、Googleのショートリンク「/78uQHK」を用いたツイートの例だ。

Crash Safari Tweets

 私には「クロスプラットフォーム」に見える。決して、AndroidオーナーよりiPhoneオーナーのほうを数多くそそのかしているわけではない。また同一のgoo.gleリンクを使っているFacebookの投稿を見つけたが、これらの大半についても、同じことが当てはまる。

 つまり、(これまでに)50万回近くリンクがクリックされたが、Androidデバイスに由来するのはその中のわずか12.5%のみというのは、何だかおかしい。

 おそらくAndroidの「スマート」フォン市場におけるシェアは、言われているほど席巻してはいないのでは?(私の家族には、フィーチャーフォンのように使っている者がいる)

 あなたはどう見る?

 @5ean5ullivan

iOS 9はパスコードのセキュリティを真に改善したか?

 私はパスワードに関してある研究を行っているのだが、最近、iOS 9の次の機能を思い出した。

 アップル社(訳注:日本語ページのURLはhttp://www.apple.com/jp/ios/whats-new/):「Touch IDを有効にしたiPhoneとiPad上で使えるパスコードが、デフォルトで4桁から6桁に変わりました。Touch IDを使っている人は、その変化にほとんど気づかないでしょう。でも、1万通りの組み合わせが100万通りに増えるため、あなたのパスコードを破るのがさらに難しくなります。」(文字の強調は私が行った)

iOS 9 Improved Security

 4桁から6桁に変わったって?翻訳するとこうだ。誕生した年も入れられるぞ!つまり今や「1101」の代わりに「110160」となる(ティム・クックは1960年11月1日生まれ)。

 上記はまったくの事例だが、こういうことをしている人に私はすでに遭遇している。そして他にも数多くの人が同様のことを行っていることに、ほとんど疑いの余地はない。

 だが少なくとも6桁のパスコードは、例の4文字単語を使う気がそがれる。

 (訳注:「プロからのアドバイス:5683というのは良いパスコードではない。」という意味)

 スマートフォンのキーバッドでは、5683 = LOVEなのだ。

 パスコードから「カスタムの英数字コード」に変更し、良いパスフレーズを付けることをお勧めする。iOSデバイスで、設定 > パスコード > パスコードを変更 > 現行のパスコードを入力 > パスコードオプション、と辿る。

うわっ!デルがまたやった

 悪いニュースだ。デルが顧客のPCに、欠陥のあるルートCAをインストールしていた。

 (訳注:「デルは欠陥のあるルートCAと共にラップトップPCを出荷している」という意味)

 なぜこれが悪いことなのか?なぜなら、そうしたCA証明書がインストールされたコンピュータに対し、中間者攻撃(man-in-the-middle attack)を仕掛けるのはたやすいことだからだ。Dan Goodinがここで秀逸な記事を公開している。

 デルは昨晩遅くに、この証明書は「デルのオンラインサポート(訳補:Dell Foundation Services)にシステムサービスタグを提供することを意図するものだった」と説明を行った。

Response to Concerns Regarding eDellroot Certificate

 待てよ、かつてこんなようなことを耳にしたのは、どこだったかな…?

 さかのぼること4月だ。本ブログの愛読者の方なら、2015年4月には「Dell System Detect」経由でのリモートコード実行の問題をデルが抱えていたことを思い出すだろう。

 こちらは(いささか)良いニュースだ。Dell System Directと比べてずっと、Dell Foundation Servicesは普及はしていないようだ。

 eDellRootがインストールされているか、確認したいって?

 (訳注:「デルのマシンを使ってる?邪悪な証明書がインストールされていると思う?確認するには、こちらのサイトhttps://edell.tlsfun.deにアクセスを。」という意味)

 Dan Tentleが勧めるように、こちらのサイトhttps://edell.tlsfun.de/にアクセスしよう。

Linux.Encoder.1:Bitcoinでの支払いのみ受け付けます

 現在、実際のLinuxベースのシステムを標的とした、新たな暗号化ランサムウェアのたくらみがある。これはDr.Webの人々から「Linux.Encoder.1」と呼ばれている。基本的にLinux.Encoder.1による脅迫者は、脆弱なWebサーバ上でフィッシングサイトやエクスプロイトキットへのリダイレクトを設定する代わりに、コンテンツを暗号化してWebサーバの所有者を直接標的にする。

 その結果、数々の被害がGoogleにインデックスされている。

 (訳注:「Linux.Encoder.1というトロイの木馬による被害を受けた運用中のWebサイトを、Googleがたくさん発見している」という意味)

 以下はGoogleのキャッシュにある脅迫文のコピーだ。

README_FOR_DECRYPT.txt

 すばらしいFAQだ。

We are accept only Bitcoins. - http://memegenerator.net/instance2/2810855

 「Can I pay another currency?(Bitcoin以外の支払い方法はありますか?)」

 「No.(いいえ)」

 Linux.Encoder.1の被害者がバックアップを取っているといいのだが。さもないと、Bitcoinを入手させられることになる。脅迫者たちが支払いの対価として、本当の復号キーを渡すかどうかはまだ不明だ。そして、彼らのTorで隠ぺいされたサービスが現在オフラインなのだ。これは前途多難だ。

 追記:

 当社のスレットインテリジェンスチームの研究員Daavid Hentunenは、脅迫者たちは1ヶ月で11,934ユーロを稼いだと見積もっている。

VB2015

 ミッコは今年のVB2015に参加しなかった…とされているが。

 (訳注:「1993年から毎回Virus Bulletinのカンファレンスに参加していたが、#VB2015 には行き損ねた。はずなのだが、このビデオによれば私は欠席していなかった…。」という意味)

セキュリティ研究者を標的にしたLinkedInでの自演

 つい先日、数多くのセキュリティ専門家のソーシャルグラフを描こうとして、複数のLinkedInアカウントが彼らを標的にした。当社の研究者の数人が以下に挙げるようなLinkedInの招待メールを受け取っており、当社のスレットインテリジェンスチームのDaavidが調査に乗り出すことになった。

 以下はいわゆる「リクルーター」のアカウントの一例だ。

Jennifer White's LinkedIn profile
この女性は誰?

 関心のある分野はペネトレーションテスト(侵入テスト)とソーシャルエンジニアリングだって?へえ、そうなんだ。

 「Jennifer」は建前ではTalent Src社、つまりTalent Sources社のスタッフということになっている。

Talent Src's LinkedIn page.

 (Specialties(専門分野)に注目)

 画像検索すると、Talent Source社のロゴはオリジナルではないことがわかる。

Google Images result for Talent Source's logo.
Talent Source社のロゴのGoogle画像検索の結果

 また同社のTwitterアカウントはデフォルトアイコンを用いている(手抜きだ)。

https://twitter.com/talent_src
@talent_src

 以下はJenniferの同僚と思われるものだ…。

The employees of Talent Source.
Talent Source社の「従業員」

 リクルーターの各アカウントは、それぞれ特定の分野の専門家に焦点を合わせている。

 Alex、John、Monika、Silviaの類似画像検索では、検索結果は0件だった。…当初は。Daavidが画像を反転してみると、LinkedInの正規のプロフィールだけでなくInstagramでも左右反転した画像が見つかった。画像検索エンジンのオプションとして反転画像検索が提供されればいいのに。なお、Jenniferの写真のソースは特定できなかった。

 そして現在、Jenniferや他のリクルーターのアカウントはなくなっている。

 これはFox-ITのYonathan KlijnsmaがTwitterで解説をしているとおり、それが誰であれ、こうしたアカウントの背後にいる者のお決まりの手口のように思われる。

 (訳注:「情報セキュリティの人々のネットワークをマッピングしている、偽のリクルーターらがLinkedInに存在している。彼らの目的はいまだ不明だが、他の人にもちょっと注意喚起をしたい。」という意味)

 (訳注:「情報セキュリティ関係者をマッピングしているリクルーターの情報を知りたい方へ。(1/4)彼らは通常の人材募集メッセージを送ることでアプローチしてくる。」という意味)

 (訳注:「(2/4)魅力的な女性のプロフィール写真を伴う。(訳補:転職後の)仕事は、現在の仕事と関係がある。彼らは(あなた以外に)若干名しか「スカウト」しない。」という意味)

 (あるいは魅力的な男性の写真だ)

 (訳注:「(3/4)彼らが新たな要求を送信するのを止めてから約1週間後に、プロフィール写真は削除され、さらに少し経つと彼らの名前は変更される。」という意味)

 (訳注:「(4/4)あなたのリストが膨大だったら、リスト上でこうした人々を見つけるのは困難だろう。アカウントが消えてから約1ヶ月経つが、それが意図的なものかは確信がない。」という意味)

 落胆することだが、Jenniferのコネクションの1人が大量のスキル推薦を彼女に送っているのをDaavidが発見した。公開されている職務経歴からすると当該アカウントには明らかにふさわしくないものだ。少なくとも、リバースエンジニアリングソフトウェアの販売業者が営業を教育するというのでないならね。当該コネクション(米国に拠点を持つ大手軍事企業の社員)にこの件について尋ねたとき、相手をよく知らないのに、このような推薦を送ることは悪しき習慣であることを認めた。

 まったくだよ。

 もしあなたが従業員のリストを見返したとすると、「Hannah」(訳注:上のJenniferの同僚の図で「Security Executive Talent Scout」という役職のHannah Robinson)がセキュリティ担当幹部に注目していることを目にするかもしれない。従業員のうちの誰1人として、重要な情報を与えてしまわないことを望む。

 @5ean5ullivan

マルウェア・オン・ザ・ウォーター

 (訳注:「こういうのは初めて見た。ディープ・パープルの『スモーク・オン・ザ・ウォーター』の歌詞の冒頭が、マルウェアのサンプルに埋め込まれている。」という意味)



ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

GameOver Zeusが戻ってきた

この5月、GameOver Zeusのボットネットが、司法当局に摘発された最大のボットネットとして、歴史に名を刻んで終了した。
しかし残念ながら戻ってきてしまった。

BankInfo SecurityのMathew J.Schwartz氏はこのように説明する。

FBI、ヨーロッパ、そして英国国家犯罪対策庁が 'Operation Tovar'を開始して、GameOver Zeusを拡散するために使用されていたボットネットを破壊してからおよそ3ヶ月、このマルウェアは世界的に息を吹き返しつつある。

GameOver Zeusは、感染したPCから銀行口座や個人情報を盗むために設計された「トロイの木馬」だ。5月に司法当局が摘発した時点で、FBIは世界で50万から100万台のPCが感染しており、そのうちの4分の1が米国で、1億ドル以上が詐取されたと推計している。

エフセキュアのセキュリティ・アドバイザー、ショーン・サリバンは「GameOver Zeusの新しい亜種が溢れているわけではない」と述べている。エフセキュア・ラボでは最近の脅威を観察し、その起源について結論つけている。



GameOver Zeusに詳しい我々のアナリストが、最新のサンプルを分析した。彼の評決:明らかにSlavikの仕業だ。

どう思われるだろうか? 弊社のオンライン・スキャナーは新旧のGameOver Zeusを検出する。今、無償でPCをチェックいただきたい

では、

ジェイスン

エフセキュアブログにもコナミコマンドが!

世界一有名な隠しコマンドとしてギネスにも認定されているらしいコナミコマンドですが、実はこのエフセキュアブログにも!?
エフセキュアブログを閲覧中にPCのキーボードから
↑ ↑ ↓ ↓ ← → ← → b a
と順番に押してみてください。

なんとエンディング画面が・・・
konami command

アイシスを使って非表示でアプリケーションを起動させることができるか

iesysには、感染PCのプログラムを起動する命令(run)がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。
ではこれも検証してみましょう。

これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。
iesys_notepad

たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。

しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面をよく見かけます。
どうやっているかというと、次のようなVBScriptを作成し実行すれば、ユーザに見えない状態でメモ帳が起動されます。
CreateObject("WScript.Shell").Run "notepad.exe",0

dlコマンドでVBScriptファイルをダウンロードし、runコマンドで実行した結果です。
iesys_vbs

ユーザに見えない状態でメモ帳を起動することができました。

ファイルサイズだけで悪性文書ファイルを検出するツールをリリース

残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。
ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した
http://www.codeblue.jp/speaker.htmlより引用

ファイルサイズだけで、というのはすごいですね。
後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。
user@local:~/Product$ cat f-checker.py
#!/usr/bin/python
import os, sys
print "malicious" if os.path.getsize(sys.argv[1]) % 512 else "benign"

使い方は簡単で、次のように検知対象ファイルを指定するだけです。ちなみに指定しているのはRed Octoberという日本も標的となったスパイ活動で使用されたファイルです。
user@local:~/Product$ python f-checker.py 'WORK PLAN (APRIL-JUNE 2011).xls'
benign

それでは検知率を調べてみましょう。エフセキュアブログではミッコや他のエンジニアがマルウェアのハッシュ値を公開してくれていますので、その中から検査対象をリストアップすることにします。ファイルサイズに着目する方法はPDFや最近よくマルウェアに使われるdocx形式のファイルに対しては効果がありませんので、今回はdoc、xls、pptファイルだけに絞ってリストアップします。合計で12個のマルウェアが見つかりました。エフセキュアブログでフォーカスされるだけあって、悪質な標的型攻撃で使われたマルウェアばかりです。

検知率は次のとおりになりました。
f-checker75%
T社AV92%
S社AV92%
M社AV100%

私のツールはまだまだ改善の余地がありそうです。

検知対象としたファイルのハッシュ値:
0c1733b4add4e053ea58d6fb547c8759
362d2011c222ae17f801e3c79e099ca7
3c740451ef1ea89e9f943e3760b37d3b
4031049fe402e8ba587583c08a25221a
46d0edc0a11ed88c0a39bc2118b3c4e071413a4b
4bb64c1da2f73da11f331a96d55d63e2
51bb2d536f07341e3131d070dd73f2c669dae78e
7ca4ab177f480503653702b33366111f
8f51b0e60d4d4764c480af5ec3a9ca19
97a3d097c686b5348084f5b4df8396ce
d8aefd8e3c96a56123cd5f07192b7369
ee84c5d626bf8450782f24fd7d2f3ae6

2004年1月30日:Mydoom事件のためにブログを開始

 2004年1月26日月曜日、Mydoomの拡散が始まった


 そして2004年1月30日金曜日、この宇宙で初のアンチウィルスブログが生まれた!

Weblog for Mydoom Incident Started

 さらに日曜日…。

It's Sunday

 まさに今日という日まで続いている。

 熱心に読んでくださりありがとう。

 ミッコの言葉を引用する。「仕事で興味の湧かない日はなかった。」そして、このブログの使命とは?楽しみを分かち合うことだ。

 コード戦士たち。

FSHQ's lobby.

 研究所の外観。

Nerds.

 Alexey、Jusu、Jarno、Jarkko。

AJJJ

 ヘルシンキ+クアラルンプール。

Everybody together.

 作業中のEro。

Ero in action.

 Mika the virenjager(訳注:Mika the Singerという歌手名のもじり)。

Virenjager.

 アンティのフィッシング的な話。

Fishing.

 ベーグル

Not really bagels, just bagel shaped bread.

 ラップトップのロックを検証。

Putting a Kensington lock to the test.

 大半の人々はルートキットが何であるかさえ知らない…(Most people don't even know what a rootkit is…)。

Most people, I think, don't even know what a Rootkit is, so why should they care about it?

 10周年おめでとう。エフセキュアブログよ!

—————

 追伸。2600本以上の記事が月別のアーカイブに収められている。

侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる

 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。

1_wmap (106k image)


 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。

 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。

2_spike (9k image)


 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。

4_script (12k image)

 あるいは次のようなcookieの使用を含めるために、多少長くなっている。

3_code (132k image)

 リダイレクトに成功すると、以下の画面と同じような見た目の、偽のflashのダウンロードサイトへと飛ばされる。

5_flash1 (64k image)

6_flash2 (32k image)

6_main_page_after_clicking_download (40k image)


 ユーザが手動でDownload Nowというリンクをクリックすると、あるSkyDriveアカウントからflashplayer.exeと呼ばれるファイルがダウンロードされる。

 この悪意あるflashplayer.exeが実行されると、次のメッセージがユーザに表示される。

7_dialog (1k image)


 バックグラウンドでは、同じSkyDriveアカウントに再度接続して、別のマルウェアをダウンロードしている。

8_skydrive (21k image)

 最初の分析では、サンプルは以下の場所に接続していることが判明している。


9_post (59k image)


SHA1のハッシュ:
804d61d9d363d2ad412272043744701096e4b7f8
b9af02020389459d01911c7c4f4853bf3b5eafe4



—————


Post by — Karmina and Christine

DODAからの挑戦状に隠された画像

先月まで「DODAからの挑戦状」という企画でハッキング問題を掲載しておりました。(現在、企画は終了しており、こちらに解答を掲載しています。)

DODAChallengeFromWired

初級、中級、上級と全部で3部構成の問題となっており、最後の上級問題の正答率を1%にしてほしいという要望をいただいておりました。過去のCTF参戦の経験から考えても難易度の調整は難しいものでして、「DODAからの挑戦状」の裏で、個人的に「1%への挑戦」がありました。

最終的には、初級問題の正答者数(アクセス数)が8232でした。これはユニークを取っていない数字なのですが、ユニークを取ると半分くらいの4000名くらいになるでしょうか。
4000名の1%だと40名になりますが、実際に上級問題を正解した方は32名でしたので、難易度の設定はうまくいったと思います。

さて、この挑戦状は普段からデコンパイルに慣れ親しんでいる方には退屈に思われるかもしれないので、上級問題の後に超上級問題として追加で一問隠しておきました。

ここではその解法を紹介します。
続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード