エフセキュアブログ

sha1 を含む記事

Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増

 アドビ社は、Flash Playerのまた異なる脆弱性CVE-2016-1019に対する緊急アップデートを公開した。これは20.0.0.306以前のバージョンのFlash Playerに影響を及ぼすものだ。まず4月5日にアドビはセキュリティアドバイザリを公開し、Flashバージョン21.0.0.182に含まれる脆弱性のさらなる悪用を回避する緩和策を強調した。そして緊急アップデートが公開されたのは4月7日だった。

 ご存じのとおり、エクスプロイトキットの作者は、パッチがまだ利用できないときにこそ脆弱性につけ込む。最初にアドバイザリが公開された時点で、我々は当社のテレメトリでMagnitude EK(Exploit Kit)のヒット数が増大したのに気付いた。

Magnitude EK 2016.04.07

 Magnitude EKはCVE-2016-1019の欠陥に対応するエクスプロイトを盛り込むように更新されたが、当社ではすでに既存のFlashエクスプロイトの検知でブロックしている。

MagnitudeEK_Salama.H_20160407

 1か月前、ユーザをMagnitude EKへと押しやるマルバタイジング・キャンペーンについて記事を投稿した。今回の最新のキャンペーンでも同様の広告プラットフォームが使用されていることだけでなく、ユーザをランディングページへと導く新たなリダイレクタやゲートといった注目に値する追加部分も観察している。当社ではこうしたリダイレクタやゲートもMagnitude EKの検知の一部に含めている。

MagnitudeReferers_AdPlatforms_20160407.PNG

 さらに、一部はアダルトサイトや無料動画サイトからヒットしていることも観察している。

MagnitudeReferers_AdultSites_20160407.PNG

 Magnitude EKは現在、暗号化ランサムウェアCerber(SHA1:1f6f5c03d89a80a725cdff5568fc7b98bd2481b8)を配信している。

 このキャンペーンの影響をもっとも受けている国は、フランス、ベルギー、ドイツ、フィンランド、オランダである。

 当社のユーザは以下の検知により、CerberというランサムウェアやMagnitude EK(リダイレクタや使用する最新のFlashのエクスプロイトを含む)から保護されている。

  • Exploit:JS/MagnitudeEK.G
  • Exploit:SWF/Salama.H
  • Trojan:W32/CryptoRansom.A!DeepGuard

 当社のユーザには、最新版のFlash Playerにアップデートすることをお勧めする。

PUAが使う広告配信プラットフォームがMagnitudeエクスプロイトキットをも配信

 先月、あるマルバタイジング・キャンペーンについて投稿した。ユーザをAnglerエクスプロイトキットへと向かわせるマルウェアの攻撃に対し、たとえ非ブラウザのアプリケーション上であっても、広告プラットフォームは影響を受けやすいことを明らかにした。

 さらに別のマルバタイジング・キャンペーンに先週気付いたが、こちらはMagnitudeエクスプロイトキットにユーザを押し進める。

Magnitude EK Hits 2016.03.04

Magnitude URLs

 我々は以下の広告プラットフォームが、Magnitudeエクスプロイトキットへのリダイレクトに用いられていることに気付いた。

www.terraclicks.com 
bestadbid.com
onclickads.net
popped.biz
click2.danarimedia.com
onclickads.net
ads.adamoads.com

 その広告プラットフォームの1つであるclick2.danarimedia.comについて、興味深い点を観察した。「潜在的に迷惑(potentially unwanted)」だと考えられているConduit Toolbarsの特定のディストリビューションでも用いられているのだ。Conduit Toolbarsは一般に無料のソフトウェアとバンドルされてやってきて、ブラウザ設定の変更を強要する。

conduit_properties

conduit_strings_text

 同広告プラットフォームから当社のアップストリームを経てMagnitude EKへと差し向けられる様子を以下に示す。

magnitudeek_redirection_20160304

 これは、我々がPUA(Potentially Unwanted Application、潜在的な迷惑アプリケーション)のパワーを過小評価すべきでないことを示す。仮にあるプログラムが潜在的に迷惑なものとして始まったとして、攻撃者がユーザのマシンに他の脅威を配信するのにそうしたプログラムを活用するはずがない、なんていうことはないからだ。ユーザはエクスプロイトキットへとリダイレクトされ、最終的にマルウェア、つまりこちらの特定のエクスプロイトキットCryptoWallランサムウェアへの感染に繋がる。

cryptowall

SHA1: b9bf3131acae056144b070c21ed45623ce979eb3

 当社のユーザはこれらの脅威から保護されており、以下のように検知する。

  • Exploit:JS/MagnitudeEK.A
  • Exploit:SWF/Salama.H
  • Trojan:W32/Crowti.A!DeepGuard
  • Application:W32/Conduit.B

スパムメール型のランサムウェアがイタリアとスペインのユーザを標的に

 ここ数日の間、当社はイタリアとスペインの顧客から、いくつかの事例を受け取った。CryptowallCryptolockerといったランサムウェアへと導く、悪意のあるスパムメールに関するものだ。

 このスパムメールは、配送待ちの小包について宅配サービスや郵送サービスから連絡が来たように見せかけている。メールにはオンラインでその小包を追跡するためのリンクが提示されている。

crypt_email (104k image)

 当社の標準のテストシステムでメールの初期調査を行ったところ、このリンクはGoogleにリダイレクトされた。

crypt_email_redirect_italy (187k image)

 では、悪意のある振る舞いはしなかったということだろうか?うーん、我々は最初の2つのURLはPHPだという点が気になった。PHPのコードは、クライアントサイドでローカルに実行されるわけではなく、サーバサイドで実行される。そのため、事前に設定した条件に基づいてユーザをGoogleにリダイレクトするか、あるいは悪意のあるコンテンツを提供するのかをサーバが「決定」できるのだ。

 この特定のスパムメールはイタリア語で書かれている。もしや、イタリアを拠点とする顧客のみが、悪意のあるペイロードを目撃することができるのだろうか?幸運にも我々にはFreedomeがある。実験するために少しの間だけイタリアへ旅行できるのだ。

 そこでFreedomeを起動し、ロケーションをミランに設定して、メール上のリンクを再度クリックした。

crypt_email_mal_italy (302k image)

 このときは、嫌なものを見た。もしユーザがイタリアにいる(ように見える)場合、サーバはクラウドのストレージサーバ上に置かれた悪意のあるファイルへリダイレクトするのだ。

 スペインのユーザに送付されたスパムメールも同様だが、こちらの場合はサイトがより本物っぽく見えるようにCAPTCHAを試すようになっている。スペイン国外にいるユーザがメール内のリンクをクリックした場合、こちらもGoogleに行きつく。

crypt_email_redirect_spain (74k image)

 逆にスペインのIPアドレスからサイトに訪れた場合には、CAPTCHA画面が表示される。

crypt_email_target_spain (57k image)

 そして続いてマルウェアそのものだ。

crypt_email_mal_spain (313k image)

 このスパムキャンペーンでは(今までのところ)エクスプロイトは使っておらず、古風なソーシャルエンジニアリング手法だけを用いている。感染が起きるのは、悪意あるURLで提示されたファイルをユーザが手動でダウンロード、実行したときだけだ。当社の顧客については、URLはブロックされ、ファイルは検知される。

 (今回のマルウェアのSHA1:483be8273333c83d904bfa30165ef396fde99bf2、295042c167b278733b10b8f7ba1cb939bff3cb38)

 Post by — Victor

ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

DeepGuard 5 vs. Word RTFゼロデイ攻撃CVE-2014-1761

 Wordの最新のゼロデイエクスプロイト(CVE-2014-1761)のサンプルを入手したので、頻繁に尋ねられたある疑問にようやく答えられる。その疑問とは、エフセキュアはこの脅威から保護するか、というものだ。答えを見つけるために、F-Secure Internet Security 2014で保護されたシステム上で当該エクスプロイトを開いた。結果は次のとおり。

DeepGuard 5 blocking CVE-2014-1761 exploit

 当社のInternet Security 2014は、DeepGuardバージョン5に導入されたエクスプロイトの遮断機能を用いて、この脅威をブロックした。そして、もっとも優れているのは、我々がなんら追加や修正をする必要がなかった点だ。2013年6月のDeepGuard 5の最初のリリースですでに組み込まれていたものとまったく同じ検知機能によって、このゼロデイ攻撃がブロックされた。これは、次のことを意味する。つまり、我々がサンプルを手に入れるずっと前から、またマイクロソフトが攻撃について報告する数か月前から、当社のユーザはこの脅威から保護されていた。DeepGuard 5は何度も何度も)プロアクティブなビヘイビアベースの保護の威力を示している。

 マイクロソフトは、2014年4月8日ににこの脆弱性に対するパッチをリリースする予定だ。同時に、マイクロソフトが推奨するmitigations and workarounds(軽減策や回避策)を確認すべきだ。

 また当社は通常の検知にExploit:W32/CVE-2014-1761.Aを追加し、ドキュメントを開く前に当該エクスプロイトを検知するようにした。

 Exploit SHA1: 200f7930de8d44fc2b00516f79033408ca39d610

 Post by — Timo

 4月7日追記:

 以下は短い動画によるデモだ。



標的型攻撃とウクライナ

 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。

 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。

 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE-2013-0640を悪用したPDFファイルが用いられた。

 同様のケースを調査するために、我々はペイロードとMiniDukuのPDFファイルの囮文書を展開するツールを作成した。先週このツールを用いて、潜在的にMiniDukeである可能性がある大量のサンプル群を処理することができた。展開された囮文書の集合を眺めているうちに、ウクライナに言及した、いくつかの文書に気付いた。当該地域の現在の危機を考慮すると、これは興味深い。

 以下はこうした文書の一例である。

Ukraine MiniDuke

Ukraine MiniDuke

Ukraine MiniDuke

 攻撃者は、公開情報からこうした囮文書の一部を収集していた。しかしながら、以下のスキャンされたような書類の囮ファイルは、どのような公開情報からも発見できそうもない。

Ukraine MiniDuke

 書類にはウクライナ外務第一次官Ruslan Demchenko氏の署名がある。この書簡はウクライナにある外交機関の長へ宛てたものだ。翻訳すると、第一次世界大戦から100周年の記念に関することが記されている。

 攻撃者がどこでこの囮ファイルを手に入れたのか、我々にはわからない。こうした攻撃により誰が標的になっているのかも不明だ。そして、攻撃の背後にいる人物についても。

 我々が分かっているのは、こうした攻撃はすべて脆弱性CVE-2013-0640を用いており、同じバックドア(コンパイル日:2013-02-21)をドロップすることのみだ。

 当社ではPDFファイルを
Exploit:W32/MiniDuke.C(SHA1: 77a62f51649388e8da9939d5c467f56102269eb1)、バックドアをGen:Variant.MiniDuke.1(SHA1: b14a6f948a0dc263fad538668f6dadef9c296df2)として検知する。

—————

Research and analysis by Timo Hirvonen

Gameover ZeuSがBitcoinの勢いに便乗する

 我々は常に当社のアナリストに次の質問を繰り返している。何か興味深いことを目にしたか?そして昨日、我々の問いに対する答えはこれだった。Gameover ZeuSにさらなる文字列が追加された。

 実際、非常に興味深い。

 以下は、解読した文字列のスクリーンショットだ。

Gameover ZeuS Bitcoin strings

  •  aBitcoinQt_exe
  •  aBitcoind_exe
  •  aWallet_dat
  •  aBitcoinWallet
  •  aBitcoinWalle_0

 Bitcoinウォレットの窃取が、マイナーリーグから本当に昇格した。Gameover ZeuSはプロだ。

 分析は続いている。

 SHA1は以下。657b1dd40a4addc1a6da0fb50ee6e325fff84dc4

 分析 — Mikko Suominen

AndroidマルウェアがFlash Playerの代金を請求

 Android用の偽の(悪意ある)Flash Playerアプリは何も目新しいものではない。非常に典型的な囮だ。

 しかし最近、計り知れないほど厚かましい「Flash Installer」に遭遇した。

 このインストーラなるものは、別のAndroidマルウェアによってドロップされ、以下のような見た目である。

So-called Flash Player installers
(SHA1: 1398b8369e16a632dae67f3382bc7bcea748749a)

 このアプリが開かれると、ユーザは5ドル支払うように促される。

Instant Download PayPal

 それで、支払ったとして何が得られるのか?adobe.comにあるAdobe Flash Player 11.1.115.81のダウンロード用のリンクだ。その通り。5ドル払うと、本物のソースへのダウンロードリンクを受け取るんだ。

 過去、最悪の、ぼったくりだ。

 他にもYouTube MP3のダウンローダや、Flappy Birdへのダウンロードリンクに対する支払いもある。

Flash, YouTube, Flappy Bird

 買い物をするときは用心を。

—————

Markoが分析を実施

Flappy Birdに関してインターネット安全デーの公共サービス情報

 面白くて奇妙な現象だった「Flappy Bird」として知られるアプリが、その作者Dong Nguyen氏によってアプリケーションストアから削除された

 しかし、Google Playから削除しても、一部の熱心なAndroidファンにとっては何ら支障はない。今のところは、「flappy bird apk」で検索すると正規アプリのコピーへのリンクが複数得られる。

Flappy Bird

 今はそれで良いことにするが…、望まぬスパイウェアが付属した偽のコピーが、やがて混じることがまじまじと予期される。

 したがって公共のサービスのために、インターネット安全デー(Safer Internet Day、SID)の精神において、以下の情報を提供する。

 Flappy Bird v1.3 SHA1:9f472383aa7335af4e963635d496d606cea56622
 当社のバックエンドシステムへの初登場日時:2014-01-31 02:05:50

 コピーの代用品が該当する!または、もっと良いのは、評判のアプリケーションストアから離れずにおいて、WebからAPKをダウンロードしないことだ。

フランカ市のWebサイトが侵害

 当社製品が検知した悪意あるリダイレクタのURLを分析しているとき、.gov.brドメイン上にホストされたFlashオブジェクトが目に留まった。私のポルトガル語の腕はちょっと鈍ってしまったので、ブラジルの当社オフィスにいる同僚に頼ったのだが、彼女は当該ドメインがブラジル サンパウロ州フランカ市に属するものであることを確認した。

 このWebサイト上のJavaScriptファイルの1つに、Flashリダイレクタを読み込む悪意あるコードが書き加えられていた。以下はFiddlerによるセッションの一部だ。

Screenshot of Fiddler session

 黄色で強調したのがリクエストで、悪意あるFlashオブジェクトを読み込み、別のドメインへブラウザをリダイレクトするiflameを挿入する(画面キャプチャのぼかした部分)。

 オープンソースのコンテンツマネジメントシステムJoomlaの、古くなったバージョン1.5の弱点を突かれてWebサイトが侵害されたように見受けられる。これはおそらく、パッチが当てられていないバージョンを稼働している.gov.brのWebサイトに限った話ではない。シニアセキュリティリサーチャーFabio Assolini氏は、Twitterで.gov.brドメイン上のインシデントは非常によくあると指摘している。

 当社は今回のインシデントについて、CSIRT、CTIR Govに連絡を取った。

 当社はこの悪意あるFlashオブジェクト(SHA1:b0c68dbd6f173abf6c141b45dc8c01d42f492a20)をTrojan:SWF/Redirector.EQとして検知する。加えて、このWebサイトが正常になるまで、当社のBrowsing Protectionコンポーネントは侵害されたURLへのアクセスをブロックする。

Post by — @Timo

侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる

 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。

1_wmap (106k image)


 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。

 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。

2_spike (9k image)


 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。

4_script (12k image)

 あるいは次のようなcookieの使用を含めるために、多少長くなっている。

3_code (132k image)

 リダイレクトに成功すると、以下の画面と同じような見た目の、偽のflashのダウンロードサイトへと飛ばされる。

5_flash1 (64k image)

6_flash2 (32k image)

6_main_page_after_clicking_download (40k image)


 ユーザが手動でDownload Nowというリンクをクリックすると、あるSkyDriveアカウントからflashplayer.exeと呼ばれるファイルがダウンロードされる。

 この悪意あるflashplayer.exeが実行されると、次のメッセージがユーザに表示される。

7_dialog (1k image)


 バックグラウンドでは、同じSkyDriveアカウントに再度接続して、別のマルウェアをダウンロードしている。

8_skydrive (21k image)

 最初の分析では、サンプルは以下の場所に接続していることが判明している。


9_post (59k image)


SHA1のハッシュ:
804d61d9d363d2ad412272043744701096e4b7f8
b9af02020389459d01911c7c4f4853bf3b5eafe4



—————


Post by — Karmina and Christine

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

Macのスパイウェア:OSX/KitM(Kumar in the Mac)

 新たなBackdoor:OSX/KitM.Aの事例が確認された。

 ドイツを拠点とする調査員が、OSX/KitMの件で、昨日当社に接触をしてきた(OSX/KitMについては先週ブログに書いた)。KitMは「Kumar in the Mac」の略で、スパイウェアに与えた当社の記号だ。OSX/FilestealまたはOSX/HackBackとして知られているものに関連があり、Rajinder Kumarという名前の、アップル社のDeveloper IDで署名されている。アップルはその後当該Developer IDを無効にした。

 このOSX/KitMの最新版は2012年12月から2013年2月上旬の攻撃期間中、liveapple.euというルーマニアのC&Cサーバを使用していた。スピアフィッシングでは、Christmas_Card.app.zipという名前の添付ファイルが使われていた(攻撃が12月に開始されたことを思い出してほしい)。

 そこで、標的になる可能性のある方のために、我々から少々アドバイスを。

 以下はデフォルトの「Gatekeeper」のセキュリティ設定だ。

Mac, Security & Privacy
Mac App Store and identified developers(Mac App Storeと確認済みの開発元からのアプリケーションを許可)

 ソフトウェアを盛んにインストールするのでなければ、必要な設定は以下のようになる。

Mac, Security & Privacy
Mac App Store(Mac App Storeからのアプリケーションのみを許可)

 厳しいほうの設定でOSX/KitMをインストールしようとすると、次のメッセージが表示される。

Kumar's Christmas Card

 もしOS X Mountain LionまたはLion v10.7.5を起動しているのであれば、追加的な予防措置として、設定を調整するとよい。

SHA1: 290898b23a85bcd7747589d6f072a844e11eec65

Oslo Freedom ForumでMacのスパイウェアが見つかる

 Oslo Freedom Forumとは、年1回開催される「いかに最適に権威主義に挑戦し、自由でオープンな社会を促進するかについて研究する」イベントだ。今年のカンファレンス(5月13〜15日に開催)では、自分の機器を政府の監視から守る方法について、言論の自由の活動家向けのワークショップがあった。このワークショップの最中、Jacob Appelbaum は、新しく今まで知られていない未知のバックドアをアフリカ系活動家のMac上で発見した。

 当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。

 このスパイウェアはAppleのDeveloper IDで署名されている。

Developer ID

 起動ポイントは以下だ。

Launch point

 スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。

Screenshot dump folder

 ファンクションは次のとおり。

Functions

 このサンプルにつながりのあるC&Cサーバは2つある。

DomainTools, securitytable.org
securitytable.org

DomainTools, docforum.info
docsforum.info

 片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。

docsforum.info
Forbidden

 当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)


韓国とスターバックスとAndroid/Smsilence

 数週間前、マカフィーの研究者Michael Zhang氏が、韓国の電話機だけを標的としたAndroidのトロイの木馬を分析した。これはSmsilenceと呼ばれ、「スターバックスクーポン」アプリなどを餌にしている(例:starbug.apk)。

 以下は、電話番号をチェックして国コードが+82のものを探している部分だ。

Smsilence

 Zhang氏のポストに詳細は含まれていないが、SMSの転送先のURLやIPアドレスは香港と関連がある。

 そしてこの地域で進行中の政治的な緊張を考えると…韓国の電話機だけを特化して狙い、中国へと情報を転送するトロイの木馬とは…気がかりだ。

SHA1:04d58cbe352ba98d50510b661091bac5852fe7f4

Trojan:Android/Pincer.A

 プロのアドバイス:「Certificate.apk」という名前のAndroidアプリケーションパッケージをインストールしないように。

 これは(明らかに)まともなものではない。

 Trojan:Android/Pincer.AはSMSメッセージを転送し、C&Cサーバから受信したコマンドに基づいてさらにアクションを取ることが可能だ。インストールするとアプリケーションメニュー内に「Certificate」として出現し、起動時にはそれっぽい偽りのメッセージを表示する。

Certificate PIN Code

 証明書を装った悪意あるモバイルアプリケーションは、以前は2要素認証を突破することを目的とした、銀行狙いのトロイの木馬のモバイルコンポーネントだった。PincerがSMSメッセージを転送できるということは、もちろんPincerがそのように使われることを意味する。

 Pincerが待ち受けるコマンドは以下のとおりだ。

  •  start_sms_forwarding
  •  start_call_blocking
  •  stop_sms_forwarding
  •  stop_call_blocking
  •  send_sms
  •  execute_ussd
  •  simple_execute_ussd
  •  stop_program
  •  show_message
  •  delay_change
  •  ping

 show_messageコマンドには興味深い双方向性がある。被害者にメッセージを表示する際、C&Cサーバからコマンド自体が送付されるのと同時にメッセージのコンテンツもやってくるのだ。

 このトロイの木馬の発信先はhttp://198.xxx.xxx.xxx:9081/Xq0jzoPa/g_L8jNgO.phpと+4479372xxxxxだ。

 C&Cサーバは電話機のIMEI(International Mobile Equipment Identity)を識別子として用いている。その他、電話番号、デバイスのシリアル番号、電話機のモデル、キャリア、OSのバージョンを含む情報が送信される。

 注目:Pincerは、IMEI、電話番号、オペレータ、電話機のモデルを確認することによってエミュレータ内で実行しているかどうかを確認する(Windowsのマルウェアで使われる一般的な「アンチ分析」技術だ)。

SHA1: 2157fd7254210ef2e8b09493d0e1be3b70d6ce69

 類似サンプルを追加する。

  •  9416551d3965d3918eef3788b0377963d7b77032
  •  1ebfc6f1f3e15773f23083c9d8d54771e28f5680

 そして最後になるが…。

 このトロイの木馬にはUSSDDumbExtendedNetworkServiceというクラスが含まれる。この中の変数URI_AUTHORITYには[○○].comが設定される。そして、この○○にはフランス系カナダ人の実在する会社に関連した単語が入る。もしくは「Android開発者」として雇用されていることをGoogle+ページに記載している若いロシア人のTwitterのハンドルかもしれない。

 我々は「実在する」証拠は何も持っていない…。しかしPincerとカナダは何ら関係ないと確信している。

—————

技術分析 — Mikko Suominen

—————

更新

 データマイニングにより検出されたPincerのサンプルをさらに2つ挙げる。

 1つは本質的に既出のサンプルと同じだが、C&CサーバのURL(https://xxx-xxxxx.com/android_panel/gate.php)および証明書が異なる。これは、すでに見つかっていたサンプルの1つ目より1週間前に、VirusTotalで初めて見られたものだ。

  •  ec14ed31a85f37fad7c7d9c8c0d2aad3a60c8b36

 もう1つはもっと興味深いサンプルだ。明らかにさらに早い時期のバリアントなのだ(VirusTotalに3月19日に提示された)。このバージョンでは証明書を装わない。代わりに「Mobile Security」と名乗っている。

Mobile Security

  •  60e1cd1191e0553f8d02289b96804e4ab48953b3

 このサンプルは起動時にクラッシュするが、静的分析に基づくと、「Mobile Security System is active now. You are protected.」というメッセージが表示されるはずだった。アイコンは他のバリアントと同じだ。パッケージ名は異なる。また、他のサンプルはcom.security.certまたはcom.security.certificateを用いるが、このサンプルはcom.[○○].diverterだ。

 diverter(誘導する)?

 うん…、それこそ「Mobile Security」に必要ない機能だ。

Shylockはスマート・カードがお好き

読者の皆さんは自分のラップトップのスマート・カード・リーダーを使ったことはあるだろうか?使ったことはない?そうか、そうは思っていなかった。

 (読者の半数は、そもそもあることに気づいてさえいなかったのでは。)

 Windowsユーザなら、コントロール パネルを開いて、管理ツール、サービスと進み、Smart Cardサービスを停止する。また、スタートアップの種類を変更して、システムと同時に起動しないようにする。

Smart Card Properties

 完了しただろうか?よろしい。

 これで使っていないサービスでリソースを浪費することがなくなった。おまけにShylockと呼ばれるマルウェアがシステムに悪影響を及ぼすこともない。

 それはなぜか?

 Shylockは実行時にSmart Cardサービスをチェックし、存在しなければ終了するのだ。

Shylock Smart Card check
Shylock 1

 そして、それだけではない。当社Threat ResearchチームのMarkoは、Shylockがメモリやハード・ディスクの空きをチェックすることも突き止めた。

 メモリ・チェックは以下のとおり。

Shylock memory check
Shylock 2

 最低256MBが要求される。

Shylock memory check
Shylock 3

 続いて以下が、ハード・ディスク関連のチェックだ。

Shylock logical drives check
Shylock 4

Shylock drives check
Shylock 5

 そして「Shylock 3」の図より、合計のディスク容量が少なくとも12GBなければならないことが分かる。

 ここで、読者の皆さんは疑問に思っているかもしれない。Shylockはなぜこんなに細かいのか?

 もっともありそうな答えは、アンチウイルス・ベンダーにデバッグされるのを回避しようとしている、というものだ。アンチウイルス・ベンダーは一般に調査に仮想環境を用いる。そしてそのような仮想環境には、仮想スマート・カード・リーダーのようなものが常に含まれるわけではないのだ。とはいうものの…、時には含まれる。

 次はがんばれ、Shylock。

 SHA1:386ccfc028ac4986def3954cfce8af541330fa36

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード