エフセキュアブログ

tor を含む記事

暗号化ランサムウェアのマネタイズ

 ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。そしてその状況から現れたのが、暗号化ランサムウェアというけだものだ。

 暗号化ランサムウェアが毎日のように報じられるのには理由がある。ここ何年かの間に目にした他のどの脅威と比べても、独特のものだからだ。暗号化ランサムウェアは被害者に実際にサービスを提供する。身代金を支払えば、ファイルを取り戻せるのだ。また派手な事例を見聞きすることも増えている。これぞ、人々がまさに行っていることなのだ。ある病院がインフラを復旧させるためにBitcoinで大枚をはたいたという最近の事例について、思い出させるには及ばないだろう。暗号化ランサムウェア業界は、毎年1億ユーロ相当の収益を得ているとの見積もりがある

 犯罪者にとって、暗号化ランサムウェアは引き続き実入りの良い金儲けの手段であり、時間の経過とともに、バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている。あらゆるビジネスと同様に、モデルの投資利益率の最適化や改善に焦点がシフトするのは必然的なことだ。我々は今日のランサムウェア・キャンペーンのビジネスモデルを、インターネット時代の幕開け期のものになぞらえている。つまり、いまだに本質的に非常にシンプルで、大方は目を向けていないのだ。結論としては、まだまだたっぷりと創造性とイノベーションの余地が残されている。暗号化ランサムウェアの背後にあるビジネスモデルは、徐々に成熟しており、我々が最近になって気付いた、あるイノベーションの試みがある。

 厳選した暗号化ランサムウェア・キャンペーンでは、とりわけ米国、英国、オーストラリア、カナダといった「第1階層」の国を標的にする。このような標的を選定したことは、支出に見合う価値という観点で理にかなっている。ランサムウェア自体をローカライズする必要はないし、標的の人口動態は相対的に裕福で、一部の研究ではこの地域の被害者は実際に身代金を支払う意思があることが示されている。

 フィッシング詐欺のキャンペーンでは、別の芸当を目にした。地域に特化して注意深く調整を行い、時にはカレンダー上の行事に合わせているのだ。当社が観察した、スウェーデンで実施されたスパムキャンペーンを例に挙げると、被害者は地元の郵便局からの到着した荷物についての、説得力のあるメッセージを受け取っていた。この種の標的型の地域限定のスパムキャンペーンは目新しいものではないが、搾取率を高める目的でキャンペーンを調整したマルウェアの担い手もいる。

 一部の暗号化ランサムウェア・ファミリーでは、被害者が支払いを行いやすくなることを期待して、サポートのインターフェイスの向上に取り組んできた。サポートサイトはより直感的に理解できるようになり、(PadCryptなど)ライブチャットのインターフェイスを持つケースもある。Bitcoinの入手方法、Tor経由でサポートサイトへ接続する方法、ファイルを取り戻す方法についての説明が、より明確になり、またより適切に提示されるようになっている。驚くようなことではないが、暗号化ランサムウェアのサポートサービスは、多くの場合において、合法的な企業が運営するものよりも優れている。余談だが興味深いことに、被害者のファイル群の復号を手助けする目的で、顧客のためにBitcoinのブローカービジネスを始める、独立系のITサポート要員も確認している。

 TrueCrypterファミリーはAmazonギフト券での支払いに対応している。またiTunes Cardでの支払いを受け付けている暗号化ランサムウェア・ファミリーも見聞きしている。これは犯罪者にとってはリスキーな手立てだと考える人もいるだろう。AmazonやAppleが、これらのカードを使った人物を簡単に追跡できるであろうからだ。判明したところでは、犯罪者たちはただちにギフト券をeBayのようなサイトに流す傾向にある。これの購入者が、帰結する結果に対処するように仕向けるのだ。米国のiTunes Storeに豪華なコンテンツ・セットがあれば、ヨーロッパで米国ベースのiTunes Cardへの要求があるだろう。

 もう1つの驚くべき方向性として、ある暗号化ランサムウェア・ファミリーが、被害者に圧力をかけて強制的に支払わせようとしていることをつかんだ。我々は最近Jigsawファミリーに遭遇したのだが、これは身代金が支払われない限り、1時間おきに消し去るファイルの数を増やしていく。全ファイルが削除される締め切りまでに、被害者には72時間が与えられる。機器を再起動したり、強制的にエージェントを殺すと、直ちに1000個のファイルが削除される。こうした戦略は、テレビや映画で見てきたような人質の状況と変わりない。残念なことに、特定の戦略によって人々の支払いが増すのか減るのかを判定できるようなデータを、我々は現時点で提供できない。

Jigsaw ransomware
身代金をお支払いくださいますか?

 これまでに挙げた例では、暗号化ランサムウェアの背後にいる人物らが、いかにさまざまなビジネスモデルを試して、投資利益率を向上させようと取り組んでいるかを示している。犯罪者たちは、大規模なランサムウェア・キャンペーンでは、気付かれてしまい、やられることを学習している。少なくとも、CryptoLockerの裏にいる人物たちは数年前に学んだ。そのため彼らは最近では、すべてより小規模にキャンペーンを実施している。しかし小規模のキャンペーンというのは、巨大な法執行機関のレーダーをかいくぐるためだけに重要なわけではない。個々の感染したコンピュータや、個々の送付されたスパムメッセージのために支払いを行わなければならない世界において、利益を最大化することにとっても重要なのだ。

 当社では最近、もし暗号化ランサムウェアの被害者になってしまったら、ファイルの復号にいくら払う意思があるかをユーザに尋ねるアンケートを実施した。

 (訳注:「 このアンケートに基づくと…、暗号化ランサムウェアが1 BTCではなく0.5 BTCを請求した場合、ほぼ3倍以上になる。」という意味)

 ショーンがこのアンケートを実施した時点で、数多くの身代金は約1 BTC、つまりちょうど400ドルであった。単純な計算を行えば、上の結論に達する。半額にすれば、収益を約3倍にできる。上述の調査を行って結論を導き出すのには、過大な負荷はかからなかった。実装するのにたいしたプログラムの行数さえ必要なかった。これらのツイートで一部のマルウェアの作者に情報を与えてしまったかは定かでないが、最近、身代金が低価格化している傾向をつかんでいる。

 ただ、この情報を手に入れたランサムウェアの作者ばかりではなかったようだ。ほんの数日前、新たな種族の暗号化ランサムウェアが出現した。これは身代金を義援金だとうたっている。しかしながら、5 BTC、つまり記事を書いている時点で約2,200ドルなのだ。だいたいの人はそんなに気前よくない、と我々は思う。

 この先いつの日か暗号化ランサムウェアで用いられる価格体系に、より高度で洗練されたものが適用されているのを見ることになると予期している。現時点では、当該ソフトウェアはかなり知力を欠いていて、すべての感染したマシンで身代金を固定額で設定している。我々はある時点で変動価格体系がお目見えすると予想している。おそらく暗号化されるファイルの数や種類に基づくなり、マシンが個人所有のコンピュータかサラリーマンが使っているものかをソフトウェアが検知するなりするのだろう。1 BTCという身代金は大半の個人にとってはちょっと高額だが、多くの企業にとっては微々たる金額だ。

 数多くの暗号化ランサムウェア・ファミリーはすでにネットワーク共有にも感染させるように試みているが、インテリジェントな方法で行っているものはない。理論上、被害者は1回支払えば、ネットワーク共有のファイルも含め、全ファイルを取り戻せる。この理由から、開発者たちがソフトウェアに知能を組み込んで、より効率的にネットワーク中に伝播させるのを、我々は目撃することになると予期している。感染させるマシンの数を増やし、再度触れるが、環境に応じて身代金の額を決めるのだ。

 クライムウェアのアフィリエイト・ネットワークやマルウェア・キャンペーンの裏にいる人物たちは、すでにビジネス的な判断力の旺盛さを示している。こうした人達がもうけ、つまり投資利益率を最大化する仕事を与えられたとき、価格体系や、使いやすさ、ネットワークでの伝播、あるいはスマートな標的選定に基づき、ソフトウェアやプロセスのモデルをより創造的に考案することは、想像に難くない。近い将来、暗号化ランサムウェアで使われるビジネスモデルとマネタイズモデルの双方で、洗練度が増すのを見る羽目になるのを我々は十分に予想している。

Petya:ディスク暗号化ランサムウェア

 4月3日更新。暗号化スキームについてより詳しく追記した。


 Petyaは邪悪なひねりが加えられている新しいランサムウェアだ。ディスク上のファイルを暗号化する代わりに、ディスク全体をロックしてほとんど使い物にならない状態にする。具体的には、ファイルシステムのMFT(master file table)を暗号化する。つまりOSからファイルの位置が特定できなくなることを意味する。Petyaは、ブートキットと同様に自身をディスクのMBR(master boot record)にインストールする。ただし、秘密裏に活動するのではなく、赤い画面上にシステムを復旧する方法についての説明を表示する。

 MFTを狙うと素早く攻撃できる。データファイルを暗号化するより極めて短時間で済むのだ。それでも全体的な結果としては暗号化と同じ、すなわちデータにアクセスできなくなる。

Petya, Press Any Key!

 Petyaは2段階で実行する。第1段階はメインのドロッパーで、以下を実行する。

  • \\.\PhysicalDriveを直接操作してMBRに感染させる
  • 一連の暗号キーを生成する。これには16バイトのランダムなディスク暗号用のキーと楕円暗号(EC、Elliptic Curve)のキーペアが含まれる。この時点で、特別な「復号コード」も用意される
  • あとでMBRに感染したコードで使うため、ディスクの暗号キーと復号コードをディスクに保存する。その他の生成された暗号データはすべて破棄される
  • なんの警告もなしにマシンをシャットダウンし、MBRのコードでブートする

 Petyaは非対称キーによる暗号化と搬送のために、楕円曲線暗号スキームを用いている。192ビットの公開鍵とsecp192k1曲線パラメータは、ドロッパーのバイナリにハードコーディングされて配信される。Petyaはサーバの公開鍵を取得し、ECDH(Elliptic Curve Diffie-Hellman)アルゴリズムを用いて共有の秘密鍵を構築する。この共有秘密鍵を用いて16バイトのディスク暗号キーをAES暗号化する。共有秘密鍵はこのマルウェアとサーバしか使用できない。バイナリをASCIIにエンコーディングするBase58により、このマルウェアの楕円曲線の公開鍵といっしょにディスク暗号キーをパッケージする。ここで得られるパッケージが、後に赤いスクリーン上で提示される「復号コード」である。

Petya physdrive
PetyaドロッパーによるPhysicaldriveの操作

Petya server pubkey
ドロッパー内部にあるPetyaサーバの楕円曲線暗号の公開鍵

Petya ecc params
ドロッパー内部にあるPetyaのsecp192k1の曲線パラメータ

Petya encode pubkey
ASCIIエンコーディングのPetyaドロッパーの楕円曲線暗号の公開鍵

Petya gen salsa20 key
Petyaドロッパーのsalsa20バイト列の生成

 感染後、マシンはMBRのコードでブートする。これは以下のようになる。

  • まずディスクが感染しているかを確認する
  • 感染していなければ偽のCHKDSK画面を表示し、暗号キーに共有秘密キーを用いてMFTを暗号化する
  • ディスクの暗号化にsalsa20を用いる。暗号化後は当該キーを破棄する
  • 赤い「スカルスクリーン」、続いてTorの隠しサービスのURLがある画面と「復号コード」を表示する。「復号コード」とは、サーバでしか開けない暗号化されたメッセージである
Petya debug environment
Petyaが環境を取り戻すところ

petya_disk_encryption
salsa20でディスクを暗号化する際の、偽の「CHKDSK」に関するMBRのコード

Petya salsa20 expand32
MBRに置かれるsalsa20のコード

 楕円曲線アルゴリズムを用いて暗号キーを復号できるのは、もはやサーバしかない。これはマルウェアによってキーが破棄されたためだ。また、たとえ破棄されていなかったとしても、マシンがロックされて使えないままだ。リカバリディスクでMBRを復旧したとしても役には立たないだろう。なぜならMFTがいまだ暗号化されているからだ。理論上は共有秘密鍵を復旧して、リカバリディスクでディスク暗号化キーを復号して戻すことは可能だ。しかしそのためには、元々の楕円曲線暗号のキーペアを入手しなければならないのだが、必要な楕円曲線のデータはすべてドロッパーが破棄してしまっている。これはまるで家に入るための鍵が2つあって、意図的に片方を無くしたようなものだ。

 サーバ側では、復号コードのデコードが逆の順番で行われることが想定される。

  • Base58で符号化されたバイナリデータをデコードする
  • マルウェアの公開鍵と暗号化されたデータを展開する
  • 公開鍵を用いて、共有秘密鍵を構築する
  • この共有秘密鍵を用いると、サーバはAESを使ってディスク暗号化キーを復号できる
  • ここで攻撃者は、ロックされたマシンを解放できる暗号化キーを元に戻すことができる

 一例として、当社のラボのマシン上の復号コードの1つは次のように見える(ハイフンと先頭の2文字は削除。サーバはこれをデコードに使用しない)。

Q5rL1YMqnJPCsCgji4KcDv5XnQrtqttBQ7tfbAq7QStmTXNQ6Voepeaiem8uzaQxYq3LwpvMCXBvMx2Mmqkdt8Fi

 このコードを標準のBase58アルゴリズムを用いてデコードすると、以下のデータが生成される(説明のために、マルウェアが生成する公開鍵を緑で、ディスクを暗号化するキーを赤で示す)。

Petya decryption code opened

 サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない:)

トリビア:

Linux.Encoder.1:Bitcoinでの支払いのみ受け付けます

 現在、実際のLinuxベースのシステムを標的とした、新たな暗号化ランサムウェアのたくらみがある。これはDr.Webの人々から「Linux.Encoder.1」と呼ばれている。基本的にLinux.Encoder.1による脅迫者は、脆弱なWebサーバ上でフィッシングサイトやエクスプロイトキットへのリダイレクトを設定する代わりに、コンテンツを暗号化してWebサーバの所有者を直接標的にする。

 その結果、数々の被害がGoogleにインデックスされている。

 (訳注:「Linux.Encoder.1というトロイの木馬による被害を受けた運用中のWebサイトを、Googleがたくさん発見している」という意味)

 以下はGoogleのキャッシュにある脅迫文のコピーだ。

README_FOR_DECRYPT.txt

 すばらしいFAQだ。

We are accept only Bitcoins. - http://memegenerator.net/instance2/2810855

 「Can I pay another currency?(Bitcoin以外の支払い方法はありますか?)」

 「No.(いいえ)」

 Linux.Encoder.1の被害者がバックアップを取っているといいのだが。さもないと、Bitcoinを入手させられることになる。脅迫者たちが支払いの対価として、本当の復号キーを渡すかどうかはまだ不明だ。そして、彼らのTorで隠ぺいされたサービスが現在オフラインなのだ。これは前途多難だ。

 追記:

 当社のスレットインテリジェンスチームの研究員Daavid Hentunenは、脅迫者たちは1ヶ月で11,934ユーロを稼いだと見積もっている。

インターポールの新しい複合施設に行ってみた

INTERPOL's Global Complex for Innovation in Singapore 今週、私は当社のマレーシア研究所のSu Gim Gohと、シンガポールにあるインターポール(国際刑事警察機構)の新施設IGCI(INTERPOL Global Complex for Innovation)を訪れる機会を得た。内部では世界中からやってきたアナリスト達の部隊が、サイバー犯罪を含む国際犯罪の捜査を行っていた。

 私達は詳細に踏み込むことはできなかったが、それでもなお職員の持つ、TorやBitcoinに関する専門知識のレベルを垣間見て感銘を受けた。

以上。
@mikko

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

CryptoWallが2.0にアップデート

 この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。

 ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。

 現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された

Screenshot of CryptoWall 2.0 ransom page
CryptoWall 2.0の身代金ページ

 CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。

CryptoWall 1.0 CryptoWall 2.0
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)

 おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。

侵害された、Torコンポーネントのダウンロードサイトの一覧:

 hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
 hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
 hxxp://www.ar[編集]er.cz/o515ujx2f
 hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
 hxxp://www.cu[編集]n.de/z6lub76lz295x
 hxxp://www.ho[編集]t.com/5gr4hl2tvv
 hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
 hxxp://ep[編集]n.ca/blog/eo7ycomyy
 hxxp://www.pr[編集]al.com.br/site/hr38xc4
 hxxp://www.ji[編集]e.be/s5eroewr
 hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
 hxxp://www.dr[編集]en.de/wordpress/3uh2e
 hxxp://www.ye[編集]ak.com/kf4bv
 hxxp://www.ro[編集]es.com/l449jbc0
 hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
 hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
 hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
 hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
 hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin

.onionドメインのC&Cサーバ一覧:

 crptarv4hcu24ijv.onion
 crptbfoi5i54ubez.onion
 crptcj7wd4oaafdl.onion
 crptdtykhkmux333.onion
 crpterfqptggpp7o.onion

CryptoWall 2.0のサンプルのハッシュ:

 e6325fc7f7168936aa9331ac707b4c3cc186b46e

Tor化されたCryptoWall 1.0のサンプルのハッシュ:

 00e0960099ec6381aa9bf1f11b536e3e32ffa635
 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3
 672d6b7e31fe8f6250c6831d139012b87440274c
 f21c073e57ad8a5b73139fbd4361c8985a83c9c9

 Post by Artturi Lehtio (@lehtior2)

インターネットの世界に完璧なセキュリティやプライバシーなど存在しない−規約を読むとわかること

先月、ヒースロー空港に向かっていたセキュリティ・アドバイザーのショーン・サリバンは、特に驚くことでもないある発見をしました。
 
彼が乗っていたシャトルの無料Wi-Fiの規約には、セキュリティ専門家の彼にとってわかりきったことが書かれていたのです。「自身のセキュリティやプライバシーは自己責任です。」
 
人々にインターネット上でのプライバシー(さらには法的権利)を手放させる巧妙な手口の1つが規約への同意です。これは、あらゆるインターネット企業にとってビジネスを継続するために必須の事項です。エフセキュアも例外ではありません。
 
しかし、製品に関する難解な法的事項に対して「はい」をクリックすることは、1つ1つを見れば了承しがたいような項目の膨大なリストに同意することになります。
 
例えば、TwitterやGoogleは、皆さんがどのようにサイトを見つけ、利用しているかについて詳しく知るため、皆さんのIPアドレス、Webブラウザの種類、オペレーティングシステム、参照Webサイト、訪問済みWebサイト、その他6つの項目について情報を追跡していることをご存知でしたか?また、Facebookでは、あなたが投稿した写真や動画をFacebookが好きなように利用することができるほか、投稿されなかったものについても追跡が行われることになっているのです。
 
最近では、サイトがユーザに与える影響を詳しく調べる狙いでFacebookや出会い系サイトのOKCupidが一部のユーザに対して実験を行ったことが大きな注目を集めました。
 
これは、開発者が長年行ってきた一般的なA/Bテストとそんなに違うものなのでしょうか?実際のところ、こうしたデータがサイトのユーザエクスペリエンスの向上につながる可能性はあります。
 
OKCupidの実験は、ユーザのマッチ度を改善するために、意図的に誤ったやり方でユーザを結び付けるというものでした。
 
また、Facebookが2012年に行った実験はそれを超えるものだという人もいます。TechcrunchのCat Zakrzewski氏は次のように文章の中で述べています。「Facebookは、ユーザのフィードを操作し、意図的にユーザを悲しい気分にさせて、ユーザのニュースフィードの感情的傾向がユーザ自身の投稿の傾向に影響を与えるかどうかを調べました。Facebookは、70万人近くのユーザに対して実験を行い、その結果を学術誌に発表しました。」
 
ユーザはクリックで規約に同意したことによってあらゆる種類の実験にさらされました。こうしたサイトを信用した人々は、十年以上前なら想像もつかなかったような方法で日々の感情を捕えられてしまいます。
 
皮肉なことに、OKCupidの規約には、「お客様の地域にいる相性の良い独身者についての情報収集や、学校の研究論文を執筆することのみを目的とした本Webサイトの利用」はできないと明確に記載されています。皆さんの目的は実際に誰かと出会うことであって、実験であってはならないのです。しかしながら、出会いを求めるユーザにとっては実験こそが受け入れなければならない条件になっています。
 
このサイトの規約によって、ユーザは「インターネットの世界に完璧なセキュリティなどない」ということを再認識させられます。
まさにそのとおりです。
 
しかし、こうしたことを気にかけている人はいるでしょうか?オンラインで日常を共有するかたわらで、ハッキングされたり監視されたりする恐怖をサイトはどのようにして私たちになくさせているのでしょうか?
 
ソーシャルメディア中毒(のように見えるもの)は、薬物中毒と似たような作用を脳にもたらしています。気分が上下に浮き沈みし、サイトを利用することの代償に目を向けなくなります。実際のところ、ほとんどの人はあえてそれに気づかないようにしています。
 
QuartzのLeo Mirani氏は最近の文章の中で次のように述べています。「現在、世界にはおよそ15億人のスマートフォンユーザがいます。その中でMyPermissionsをダウンロードしているのは1,000万人もいません。」
 
MyPermissionsは、エフセキュアのPermissionsアプリ同様、各アプリが監視している項目を正確にユーザへ報告するツールです。
 
規約へ同意するたびに自分のプライバシーとセキュリティを放棄したくないと考えている方は、TorやエフセキュアのFreedomeといったプライバシーを取り戻すためのツールをご検討ください。Freedomeは、ユーザをトラッカーから保護し、世界中に置かれた複数の選択肢の中から自分のいるロケーションを設定することによりユーザの電話機を世界各地に移動させることができるVPNソリューションです。これは、サイトにユーザのエクスペリエンスを翻弄させないようにするものではありませんが、ユーザが気づかないままに情報を自ら提供してしまうという事態を防ぐことにつながります。

>>原文へのリンク

ランサムウェア・レース(パート2):パーソナルメディアが次のフロンティア?

 最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)

ランサムウェア・レース(パート1):CryptoWallが要求水準を釣り上げる

 この夏、ファイルを暗号化するWindowsランサムウェアの市場に、新たに2つの強力なマルウェアファミリーが登場した。CryptoWallCTB-Lockerである。この2つのうち、CTB-Lockerのほうがより高度なファミリーで、ファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを利用している。一方、CryptoWallはファイルの暗号化にRSAとAES、C&C通信にHTTPと、従来からの組み合わせを用いている。

 しかし、先月の終わりに、新しいバージョンのCryptoWallが世に出現した。この最新版は、機能面ではそれまでのバージョンとほぼ一致するが、重要な違いが1つある。C&Cサーバとの通信において、CryptoWallもいまやTorを使うようになったのだ。CTB-Lockerと同様にCryptoWallも、正規のTorの実行ファイルをプロジェクトのオフィシャルWebサイトから入手して使うような、従来からの簡単な方法は取っていない。代わりに自前の難読化したバージョンのTorを用いている。

Disassembly of CryptoWall with Tor functionality Disassembly of CryptoWall without Tor functionality
Torの機能を持ったCryptoWall(左)とTorの機能を持たないCryptoWall(右)。f_setupTorCommunication()へのcallを除いて両コードが同一であることに注意

 CryptoWallが使っている方法が興味深い。最初に、多数のハードコーディングされたURLへHTTPで接続を試みる。それらのURLから、RC4で暗号化されたファイルをダウンロードしようとする。ダウンロードしたファイルは、最初は使用している暗号キーの長さ、続いてキーそのもの、という構成になっている。次に、実際のペイロードの長さと、最後にペイロードそのものが格納されている。マルウェアがペイロードのダウンロードと復号に成功すると、新たに割り当てられたメモリセグメントにペイロードをコピーし、新しいスレッドを作成してペイロードを実行する。

Screenshot of payload in a hexeditor
ペイロードのダウンロードの開始時をhexeditorで表示

 ペイロード自体はTorのカスタム版で、難読化した2つのレイヤに覆われている。両レイヤが実行を終了すると、メモリ上に最終的なコードが展開され、ペイロードはTorネットワークへの接続の確立を試みる。接続が確立すると、ペイロードスレッドと元のCryptoWallのスレッドの双方が共有する、グローバルメモリのバッファに、ペイロードがフラグ値をセットする。また、ペイロードは同じバッファ内に、ペイロードのファンクションの1つを指すポインタもセットする。これが実際にデータの送受信の役割を持つファンクションだ。

 オリジナルのCryptoWallスレッドは、グローバルフラグがセットされていることを確認すると、実行を継続する。Torネットワーク上の3つのC&Cサーバのアドレスは、ペイロードではなく、元のCryptoWallのバイナリにハードコーディングされている。C&C通信の実際のメッセージのコンテンツも、元のバイナリにあるコードが処理している。ペイロードはTor接続の取り扱いとデータの送受信にのみ責任を負う。

 おそらく、ランサムウェアのオペレータは、CryptoWallからCTB-Lockerへ移行していたのだろう。あるいは、CryptoWallの作者は単に2番手では嫌だったのかもしれない。いずれにせよ、ランサムウェアの悪巧み競争はまだまだ続いている!

 Torの機能を持つCryptoWallのサンプルは以下。

 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3

 Post by Artturi (@lehtior2)

AndroidのランサムウェアSLockerは、TORやSMS経由で通信する

 2週間と少し前、Androidの新たなランサムウェアのファミリーである、SLockerを我々は発見した。

 直近に発見されたAndroidマルウェアのKolerと、SLockerが関連しているという証拠は得ていない。しかしながら、Kolerのもたらした脅威をSLockerも成し遂げている。Kolerは実際にはファイルを暗号化しないが、そのように装う。それと異なり、SLockerは端末のSDカードに対して次のような特定のファイルタイプを実際にスキャンする。

slocker (3k image)

 SLockerアプリが起動されると、これらのファイルを暗号化した後、身代金を求めるメッセージを表示する。

Ukraine ransom

 メッセージには、ファイルを復元するためにはオンライン送金サービスにより送金する必要があることが示されている。このメッセージに挙げられている電話番号は、ウクライナのものだ。

 現在のところ、SLockerのファミリーには2つのバージョンがある。1つ目のバージョンではTORを用いて、感染した電話機とマルウェアのC&Cサーバ間の通信用のネットワークを匿名化している。このバージョンではデバッグ情報がすべて有効になっているので、テスト用のバージョンではないかと弊社では推測している。

 SLockerの2つ目のバージョンは、TORが有効になったバージョンと同時期に出現したが、簡素化されている。こちらのバージョンでは(暗号化やハードコーディングされた同一の復号キーを含め)同じコードを共有しているが、デバッグ部分はもはや存在しない。最大の違いは、このバージョンではTORを使用していない点だ。その代わりSMSメッセージ経由で指令を行う。

SLocker permission

 また特筆すべきは、TORを有効にしたバージョンと違い、こちらのバージョンは身代金メッセージの中でロシアの電話番号を掲載し、ロシア通貨を要求しているところだ。

Russia ransom

 我々はさらに深く掘り下げてC&Cサーバを辿り、そのIPアドレスがさかのぼること2005年に、ある個人に登録されていたことを突き止めた。現在は、そこでロシアに拠点を置くWebホスティングサービスが提供されている。

 2つ目のバージョンのSLockerはC&C通信にTORを用いない点において洗練度合が下がるが、依然として活発に開発が行われているように見受けられる。なぜなら、我々が入手した当該バージョンの最新のサンプルには、いまや端末のカメラを用いて写真を撮る機能が搭載されているためだ。今後に渡って、SLockerの作者(達)が開発を続けていく可能性は高い。

—————

Post by — Mikko Hyykoski

Android ‐ 依然として最多のホスト攻撃

2014年第1四半期の新たなモバイル脅威の大半はAndroidユーザをターゲットとし、サイバー犯罪者は、これまでにないAndroidプラットフォームでの数々の脅威によってその現状を「刷新」しました。

エフセキュアの最新版モバイル脅威レポートによれば、2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威の99%以上がAndroidユーザを標的にしていました。検出された新種の脅威ファミリーとその亜種277件のうち、275件がAndroidを標的にし、iPhoneとSymbianはそれぞれ1件ずつでした。前年同期を見てみると、新種の脅威ファミリーとその亜種は149件で、Androidを標的としていたのは、その91%でした。

2014年第1四半期ではこれまでにはなかったAndroidマルウェアが多数検出されています。これは、モバイル環境における脅威が精巧さと複雑さの面で進化し続けていることを示しています。当概四半期には、Litecoinなどの仮想通貨を採掘するためにデバイスをハイジャックする、暗号通貨(クリプトカレンシー)のマイナー(採掘者)が初めて確認されました。またブートキットも初めて見つかっています。これはデバイスの起動ルーチンの最初期段階で打撃を与える、検出や駆除が極めて困難なものです。さらにTorトロイの木馬や、Windowsでのインターネットバンキングを狙うトロイの木馬も初めて確認されています。

エフセキュアラボで主席研究員を務めるミッコ・ヒッポネンは次のように述べています。「こうした進化はマルウェアの作成者が目指す方向に同調している兆候を示しています。今後数カ月のうちにもっと多くのことが判明するはずですが、たとえば、携帯電話がますます高度になることで、サイバー犯罪者がこれらを利用し、暗号通貨を採掘して利益を手にすることが可能になっているのです。」

エフセキュアが第1四半期に評価した中で、英国が最も多くのモバイルマルウェアに遭遇し、ユーザ1万人当たり15〜20ファイル(500人当たり1ファイル)のマルウェアファイルがブロックされました。米国、インド、ドイツでは、それぞれ1万人につき5〜10のマルウェアがブロックされ、サウジアラビアとオランダでは、1万人につき2〜5のマルウェアがブロックされています。

悪質な作為

デバイスに感染するとモバイル脅威はどのような悪意ある行為を行うでしょうか。本レポートでは、モバイルを狙うトロイの木馬の83%がプレミアム課金用の番号、またはSMSベースの購読サービスにSMSメッセージを送信しており、これが悪質なアクティビティの中で最も一般的であることがわかっています。

以下、モバイルを標的とするトロイの木馬による一般的なアクティビティの一覧です。

  • SMSメッセージをプレミアム課金用の番号に送信する
  • 要求していないファイルまたはアプリケーションをデバイスにダウンロードまたはインストールする
  • デバイスの位置またはオーディオ/ビデオを密かにトラッキングし、ユーザを監視する
  • 実際には役立つ機能がないモバイルAVソリューションになりすます
  • ウェブサイトに密かに接続してそのサイトのアクセス数を水増しする
  • バンキング関連のSMSメッセージを密かに監視して詐欺に流用する
  • ファイル、契約書、写真その他の私的データなどの個人情報を盗用する
  • 通常は無料の正規アプリケーションを利用、更新またはインストールするときに「料金」を請求する

iPhoneおよびSymbianの詳細、また脅威から身を守るためにできる対策などについては「2014年第1四半期モバイル脅威レポート」を参照してください。
オンラインバンキングやオンライン閲覧に関する最高のAndroidセキュリティのほか、ペアレンタルコントロール、アプリケーションスキャニング、盗難防止などの機能については、30日間無料のエフセキュア モバイル セキュリティをお試しください。Google Playでも入手可能です。

2014年第1四半期モバイル脅威レポート

 当社の2014年第1四半期のモバイル脅威レポートが公開された!扱っている内容について、以下にいくつか取り上げる。

 新たに発見された脅威の圧倒的多数はAndroidに対するもので(これに驚きはない)、当該期間に目にした新しいマルウェア・ファミリー277件のうち275件を占める。iOSおよびSymbianの新しいマルウェアはそれぞれ1つに過ぎない。

 当社のMobile Security製品のユーザのほとんどが、第1四半期にトロイの木馬に見舞われたことが報告された。これは(主にFakeinstおよびSMSSendの両ファミリーによるもので)SMSを秘かに送信する形態を取る。Android OSの4.2への更新(プレミアムレートのSMSメッセージの送信時にユーザの確認が求められる)が、こうしたトロイの木馬にどのような影響をもたらすか、興味深く見守っている。

 今四半期はモバイルマルウェア開発が盛んで、数々の「初めて」が報告された。まずはC&Cサーバとの通信を隠ぺいする目的でTorが使われた初めてのモバイルマルウェア、Trojan:Android/Torsm.Aがある。初のブートキットTrojan:Android/Oldboot.Aや、電話機を暗号通貨の秘かなマイナーにしようとするトロイの木馬(Trojan:Android/CoinMiner.A)も報告された。

 さらにDendroidというツールキットが挙げられる。これは、いくつかのボタンをクリックするだけでAndroid用のトロイの木馬が作成できることを請け負っており、またどうやら永久保障であるようだ。かつてPCベースの脅威として、ウィルス構築キットやエクスプロイトキットがそうであったように、Dendroidは技術スキルのない人が自身でマルウェアを作成するのをぐっと身近にする。

 そしてこれはすべて2014年の最初の3ヶ月のことなのだ。


 詳細についてはモバイル脅威レポートにある。これはラボのサイトや以下の画像をクリックすると入手できる。2つのバージョンが用意されている。

   •  Web閲覧用(PDF)

2014Q1_MTR_web_small

   •  印刷用(PDF)

q12014_mtr_banner_print_small

ダークウェブに潜む隠しサービスって!?


最近、ダークウェブ(匿名化技術などを利用したウェブサイト)の話題をチラホラ見かけます。
Silk Roadの運営者の逮捕、BitCoin事件などありましたので、法執行機関やセキュリティ研究者がダークウェブが注目するのは当然かもしれません。

FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落

以前からダークウェブは悪の温床となりつつあることが囁かれていました。しかし、実際にどの程度の隠しサービスが存在するのか、あまり気に留められていなかったように思います。
最近では、Tor上でマルウェア用リソースなど900のサービスが稼働していることが確認され、サイバー攻撃に悪用されていることが報告されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この辺は予想通りであり、サイバー攻撃がさらに匿名化してる、くらい受け取られてしまうかもしれません。しかし、実際はこれだけではなく、さらに多くのサービスがダークウェブ上に移行しています。
ブラックビジネスそのものがグローバル化し、営業行為としてダークウェブを利用しているわけです。
一般にはあまり馴染みの無い世界かと思いますので、現在どのようなサービスが主に移行されているのか一部を紹介したいと思います。

(1)マネー・ロンダリング、ブラック銀行など
BitCoinの事件以降、これらのサービスは注目されていますね。

OnionWallet


(2)ギャンブル
ギャンブルサイトも昔からあったサービス。どのくらいの金額が動いているのかは分かりません。

Pokerle


(3)武器売買
一部、テロ支援などもダークウェブへ移行しつつあります。
この辺は関わりたくないですね。

ARMORY

(4)偽造関係
SuperDollars ?? なんでしょうか、これは??

superusd


(5)AXXXXXXX
ノーコメントで。

hidden_service3



ちなみに、ダークウェブがハッキング被害に合うこともあります。
この場合は、利用者のリストはどうなるんでしょうか??法執行機関へ提供とかでしょうか??

darkweb incident


このようにサイバー攻撃とは離れた分野においても、ダークウェブが利用されるようになってきています。
国境を超えてのやり取りが殆どでしょうから、対策には国家間連携、情報共有などがさらに重要になってきます。
この状況下で各国がどのように対策案を出してくるのか、大変興味深いところですね。

エフセキュア、インターネットが検閲されるあらゆる場所で自由を求める市民を支援

エフセキュアは、自由と民主主義の推進のために弊社のテクノロジが利用されていることに、大きな喜びを感じています。また、政府による検閲には、断固として反対します。エフセキュアは、人々がインターネットにおける自由はもちろん、政治的な自由を獲得する闘いにも利用できるツールを開発してきたことを誇りに思います。

最初に、悪いニュースをお伝えしなければなりません。インターネットにおける自由が世界中で失われてきています。フリーダムハウスの報告書『Freedom on the Net 2013(2013年版ネットにおける自由度)』は、2012年5月から2013年4月までの間、調査対象の60カ国中34カ国でインターネットにおける自由度が低下したと発表しました。

一方で良いニュースもあります。新しいPEWの調査によると、新興国の大多数の市民が、インターネットにおける自由は、重要な課題であると強く感じています。

現在のトルコでの情勢には、インターネットにおける自由を巡るこの対立が顕著に表れています。トルコでは、ツイッターが遮断されたことで、インターネットにおける自由は著しく損なわれています。一方で、市民からの抵抗と、簡単に遮断を迂回できたユーザによるツイートの急増は、政府の弾圧にもかかわらず、市民が覚悟を持って自由とそれを実現するためのテクノロジを求めているという過去にない新しい状況といえます。

もちろん、現在トルコ政府による弾圧は激しさを増しています。トルコのツイッターのユーザは、VPNやTORネットワークを利用しなければ、140文字のメッセージを発信できなくなった可能性があります。今は、トルコの市民にとって、Freedomeの7日間の無償トライアルにはちょうど良いタイミングかも知れません。

トルコのブロガーで政治学者のBinnaz Saktanber氏は、最近の記事で、次のように語っています。「近年の世界中およびトルコの歴史を見ると、独裁者にとってソーシャルメディアは重大な脅威となっています。古代の検閲システム、古めかしい政治体制や全体主義的な脅威は、テクノロジを利用した抵抗と市民の声の前では役に立ちません。」

PEWが調査の対象としたほとんどの国々で、若者がインターネットにおける自由を最優先課題として考えている可能性が特に高いことがわかりました。報告書が示すとおり、これは未来にとって明るい兆しです。時間の経過とともに、インターネットにおける自由への支持は、衰えることなく、よりいっそう拡大していくでしょう。

CryptoLockerの復号サービス

 Bitcoin市場は最近大幅な上げ下げを記録している…。そこで当社では、CryptoLockerの復号サービスの現在の価格を確認することにした。ある特定のキーワード検索により、pyidtyncbecmg.netドメインに(Torを経由しない)CryptoLocker復号サービスがあるのを見つけた。これはモスクワに設置されている。

 我々は11月のCryptoLockerの暗号ファイルをアップロードした。

KEY PAIR FOUND

 そして我々のキーペアはいつ見つかるか?求められる価格は4 BTCで11月と同じだった。

 一方でBitcoinの価値は、当時からだいぶ変動している。今日の価格では、4 BTCは約2,000ドルに相当する。CryptoLocker復号サービスについて前回書いたときより1,000ドル安い。

 安売り?
 

Foreign Policy誌のトップ100:78位はTor

 Foreign Policy誌は年間トップ100Global Thinkers(訳注:世界市場において独自のアイデアを考案した人)の一覧を発表した。


 78
番目はRoger DingleNick MathewsonPaul Syversonだ。

  Torプロジェクトの創始者達である。

FP's Top 100 2012, #78

 Tor「一部の国の政府」がブロックしたいものだ。


28c3The 28th Chaos Communication Congress)でのプレゼンテーション「How governments have tried to block Tor(政府はどのようにTorをブロックしようとしてきたか)」

 

>>原文へのリンク

サマーリスニング:匿名性

推奨:オンライン匿名性の話題をカバーしている、最近のTech Weeklyの2つのインタビュー。

  最初のものは、ホストのAleks Krotoskiが4chanの設立者Chris Pooleと話している。インタビューの終わりの方で、PooleはTorなどが「バックエンド」の匿名性を提供するのに対し、4chanのようなサイトは「フロントエンド」の匿名性を提供すると示唆している。先見の明のあるコメントだ…

  Krotoskiの二つめのインタビューは、偶然にもTorソフトウェアプロジェクトのエグゼキュティブ・ディレクターAndrew Lewmanに対するものだ。

  匿名性とその重要性について、素晴らしい分析を行っている。傾聴する価値が非常に高い。

  ポッドキャストはストリーミングもしくはダウンロードで聞くことが可能だ。

Tech Weekly, Christopher Poole Tech Weekly, Andrew Lewman

老婆心ながら:上にあるスクリーンショットの「2X」オプションに注意して欲しい。多くの英語版ポッドキャストは、2倍速で容易に理解できる。iOSで同オプションを利用するには、手動で追加したすべてのファイルで、オーディオタイプを「ポッドキャスト」に設定するようにしよう。

FacebookスパマーがAmazonのクラウドを利用

Facebookはこのところ、サーベイ系スパム投稿を食い止めるため、適切な仕事をしている(全体的に見て)。

  では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。

  AmazonのS3ファイル・ホスティングサービスを利用することで、こうした連中の問題のかなり多くが解決される。第1に、AmazonのS3ウェブサービスは非常に安価に設定できるため、サーベイから儲けを出すことができる。第2に、Facebookはスパムにリンクする疑わしいURLをブロックすることにかなり成功しているため、amazonaws.comのような安全で人気のあるドメインで自分達の詐欺のコードをホスティングすることにより、Facebookの防御をすり抜ける可能性が高くなる。

  以下の図は、アジェンダの基本的な流れを示している。

Facebook, Amazon S3, Spam diagram

  ChromeとFirefox以外の全ブラウザでは、サーベイ・ページが供されるため、スパマーのサーベイが記入され、提出されると、実際に収益を上げることができる。このマネタイゼーションは、大部分のソーシャル・メディア・スパムの背後にあるCost Per Action(CPA)マーケティング・モデル内で起きる。スパマーのサーベイ完了率を高めようと、位置情報技術が使用されている。位置によって、偽Facebookページが特定のアフィリエイト・マーケターにリダイレクトされるサーベイを表示するのだ。

Father Melts Baby's Brain With Motorboat Sounds

  FirefoxとChromeは、不正なYouTubeブラウザ・プラグインの使用により、Facebookを介して詐欺をさらに拡大するための手段として使用される。これらブラウザのどちらかからアクセスされると、偽Facebookページはプラグインのインストールを表示する。

  スパマーは最近、Facebookとのイタチごっこの戦いの一部として、プラグインを使い始めている。

Father Melts Baby's Brain With Motorboat Sounds

  プラグインをインストールすると、Amazonのウェブ・サービスでmo1torからmo15torまで、ユーザー名からランダムに選択することで、リダイレクタURLが生成される。次に生成されたリンクは、ハードコードされた5つのuserIDとAPI key-parのいずれかを使用して、bitly.comを通じて短縮される。これらのkey-parによりスパマーは、Amazonウェブ・サービスのリンク用に、自動的にbit.ly URLを生成することが可能になる。これは最終的に、偽Facebookページへのリダイレクションに導く。

  おそらくは防衛を混乱させようとして、wowvideo[random number].comのフォーマットを使用した存在しないドメインもランダムに作成される。しかしAmazon S3ウェブ・サービスとbit.ly URLのみが実際に使えるリンクだ。

  以下がこのポストの構成だ:

Title: [Video] Father Melts Baby's Brain With Motorboat Sounds
Messages:

  •  hahaha this video will bend your mind
  •  have you all seen this yet?
  •  stop it! his eyes are going to pop out!!
  •  Its eyes are black because it has no soul
  •  must be experimental technology from mother russia!
  •  im afraid i have some bad news
  •  i want you to all see this

Summary: Total meltdown! I bet you have never seen this before!
Main URL: www.wowvideo[random number].com

  以下が実際の例:

Father Melts Baby's Brain With Motorboat Sounds

  問題のあるアドオンは、Firefoxでは「Uninstall」、Chromeでは「Remove」を使用して取り除くことができる:

Chrome Extensions

Firefox Extensions

  ちなみに、配布されたFirefoxプラグインは…Macでアーカイブされた。

Mac OS X

  これが「Windows」の問題だと考えるかもしれないので念のため。 ;-)

Threats Insight post by — Karmina

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード