エフセキュアブログ

trojan を含む記事

Suo Anteeksi:ZeuSの丁重な亜種

  フィンランドのいくつかの銀行を標的とする、ZeuS(別名Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。

  ZeuS 2.x (Zbot.AVRC) のこのバージョンには、アクセプトする2つの新しいコマンドがある。すなわち「user_activate_imodule」と「user_restart_imodule」だ。

Zbot.AVRC Commands
SHA1: bf4fc1fb3bf98e1e783fb974f0b3ba622cd4b267

  「user_activate_imodule」コマンドを受けとると、Zbot.AVRCはディスクから特定のDLLをロードしようとするスレッドを開始し、もしDLLが存在しなければ、リモートサーバからダウンロードされる。同トロイの木馬は次に、DLLによりエクスポートされる3つの異なる機能TakeBotGuid、Init、Startのためにアドレスをフェッチする。同DLLは次に、DLLからコードを実行するスレッドを作成することで開始される。

  「user_restart_imodule」は、ロードしたDLLから単に「スタート」という名の機能をコールするだけだ。

  ロードしたDLLから、使用されている機能の名称がSpyEyeトロイの木馬コンポーネントが使用しているのと同じであると分かるのは興味深いことだ。これに関連するコマンドの名称も、SpyEye(imodule = eyemodule?)に言及していると解釈することも可能だ。

  このバージョンの「ZeuS/Zbot.AVRC」用コマンドの完全なリストは以下の通り:

  •  os_shutdown
  •  os_reboot
  •  bot_uninstall
  •  bot_update
  •  bot_bc_add
  •  bot_bc_remove
  •  bot_httpinject_disable
  •  bot_httpinject_enable
  •  fs_path_get
  •  fs_search_add
  •  fs_search_remove
  •  user_destroy
  •  user_logoff
  •  user_execute
  •  user_cookies_get
  •  user_cookies_remove
  •  user_certs_get
  •  user_certs_remove
  •  user_url_block
  •  user_url_unblock
  •  user_homepage_set
  •  user_flashplayer_get
  •  user_flashplayer_remove
  •  user_activate_imodule
  •  user_restart_imodule

  ZeuSボットの相応量以上のものを確認した人は、気の毒なことに、2つのよく見られるコマンドは存在しないことに気づくだろう。すなわち、FTP(user_ftpclients_get)および電子メールクライアント(user_emailclients_get)に保存されたパスワードを盗むためのコマンドだ。

  このZeuS実行で顕著な別の点は、使用されているフィンランド語の質だ。

  以下は一例だ:

Zbot.AVRC Error Message

  カスタマが銀行取引のセッションを開始すると、次のようなメッセージが表示される:

"Suo anteeksi, teknillinen palvelu tietaa virheesta ja korjaa sita."

  これは基本的に、以下のような文章に翻訳される;ご迷惑をおかけ致しますが、エラーがあり、現在修正を行っております。

  文法は実のところかなり良いが、トーンは少々…妙だ。ネイティブのフィンランド語話者ならば、この文は「申し訳ありませんが、エラーが発生しています」などのようになるだろう。エラーメッセージにしては少々丁寧すぎる。

  銀行を標的とした同トロイの木馬の一味は、ローカライゼーションをプロの翻訳者に外注したものの、どのような場面で使用されるのかを十分に説明していなかったのだろうと、我々は推測している。

Analysis by — Mikko ja Mikko








「Trojan:Android/FakeNotify」がアップデート

  今月はじめに我々は有料課金型のSMSトロイの木馬に関する記事を掲載した。「Trojan:Android/FakeNotify.A」として検出したものだ。現在、同トロイの木馬がアップデートされ、分析と検出をより厄介にする変更が加えられていることが分かっている。

  署名証明書から分かるように、新バージョンは同じ開発者が作成したものだ。トロイの木馬の全体的なふるまいに変更は無いが、コーディングアプローチはかなり変わっており、静的解析ツールなどを失敗させるのに十分だ。

  例えば分析中、私はオリジナルと現行バージョン双方からのSMS送信ルーチンを比較したが、以前のよりシンプルなコーディングアプローチがよりダイナミックになっていることに気づいた。

  「FakeNotify」のオリジナルバージョンでは、ルーチンはそれが何であるか、非常に簡単に「読む」ことができる単純な方法で実装されていた:

FakeNotify, original send
FakeNotify.A

  しかし新バージョンは、アナリストがコードを「読む」ことをより難しくするとともに、同じ目標を達成するためにJava言語のReflection/Dynamic Invocation機能を利用している。

  開発者たちは、自身のエンコーディング/デコーディングアルゴリズムを使用して、ストリング引数を混乱させることによりさらに歩を進めている(これはシンプルな換字式的な暗号に過ぎないが)。以下でコード化されたフォームを見ることができる:

FakeNotify, update encoded
FakeNotify.B, SHA1: df866cf4312cf9c929a9a7dc384eebb19d2b2c2d

  コーディングアプローチの変更は、大部分の静的解析ツールを容易に無効化することができる。

覚書:分析中、私は突然、Windows LoadLibraryとGetProcAddress combo API関数およびJava Reflectionのいくつかの機能との類似点に気づいた。他のAPI関数アドレス(Windows)およびクラス、もしくはObject handleのメソッド(Java)に関しては、双方とも開発者が最近獲得した方法もしくは関数をコールするか、実行することを可能にする。

  いずれにせよ、Androidの世界に戻ろう。新たなFakeNotifyバージョンの分析を容易にするため、私はシンプルなPythonスクリプトを作成し、難読化されたストリングのインスタンスを、悪意あるアプリケーションでデコンパイルされているJavaソース全ての平文ものと入れ替えた。

  パッチングの後、SMS送信ルーチンはclass SmsManagerとそのgetDefault method/functionのハンドリングを獲得し、その後、SmsManager classのsendTextMessageファンクションを使用するため、起動/コールされるか、適切に初期化される必要がある:

FakeNotify, update decoded

  確かに、私がAndroidマルウェアによりJava Reflection機能が使用されるのを見たのは、これが初めてではないし、ストリングの難読化は複雑ではない。しかしこれはAndroidマルウェアの開発者が自分達の「製品」を最新にし、検出されないようにするため、その技術を次々と適応させ、アップグレードする方法のかなり明快な例と言える。

Threat Solutions post by — Jessie

機能しないAndroid課金型SMSトロイの木馬

  我々は課金型のSMS番号にSMSメッセージを送信しようとするAndroid向けトロイの木馬を発見した。それは珍しくはない。しかし、異なっているのは、これらのトロイの木馬が動作しないということだ。

  これらトロイの木馬(「Trojan:Android/RuFailedSMS.A」として検出されている)は、以下のパーミッションを用いる:

RuFailedSMS, permissions

  そして悪意のあるアプリケーションはそれぞれ、(人気のアプリのように思われる)パッケージのダウンロードをオファーし、様々なアプリケーションのインストーラのふりをする:

RuFailedSMS, main UI

  「オファーされる」アプリケーションには以下のものがある:

  •  Add_It_Up
  •  Advanced_Launcher_Lite
  •  AmazingMaze_supLitesup
  •  Analog_Clock_Collection
  •  Animal_Sudoku
  •  AnySoftKeyboard
  •  AnySoftKeyboard_Slovak_Language_Pack
  •  AppInventor_Toggle
  •  Arrow_Caz
  •  Astronomical_Flashlight
  •  BentoCam!
  •  Bimaru_-_Battleship_Sudoku
  •  BlackJack
  •  Carve_a_Pumpkin_supLitesup
  •  Chinese_Chess
  •  Christmas_Ringtones
  •  Coloring_pages
  •  Contact_Finder_supLitesup
  •  Converter
  •  Countdown_Widget
  •  Crayon_Ball
  •  Cyan_aHome_Theme

  幸いなことに、コードに捕捉されなかった例外があるため、同トロイの木馬(SHA1: 0d2d3317c6ca1a9812d357741f45af6bb360d89c)は、その悪意ある活動を完了せず、クラッシュして停止してしまう:

RuFailedSMS, crashed

  我々は100を超えるトロイの木馬のコピーを発見しているが、かなりの数が技術的に高度なものではない。それらのコピーは基本的に同じソースコードを使用しているが、異なるパッケージ用に異なるコンフィギュレーションに改造されているに過ぎないのだ。.

  これらトロイの木馬は、サードパーティのAndroidマーケットで発見されており、ロシア、ベラルーシ、カザフスタンおよびアゼルバイジャンのユーザを標的としている。

  これらのトロイの木馬はクラッシュし、機能しないにしても、悪意あるルーチンのため、またコピーが大量に出回っているためもあって、検出は行っている。

Threat Solutions post by — Jessie

「Trojan:Android/SMStado.A」と「Trojan:Android/FakeNotify.A」

  今日我々は、二つのAndroid向け課金型SMSトロイの木馬に遭遇した。偶然にも、どちらもロシアのユーザを標的にしたものだ。

  最初に、「Trojan:Android/SMStado.A(SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087)」について。

  通常通り、その性質に関する最初のヒントとなるのは、リクエストされるパーミッションだ:

trojan_android_smstado_a_permission_1 (80k image) trojan_android_smstado_a_permission_2 (64k image)

  実行すると、同トロイの木馬はhttp://[...]6.antiddos.bizに対して以下の詳細をリークする:

  •  国際移動体装置識別番号(IMEI)
  •  パッケージ名
  •  電話番号
  •  端末モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image) trojan_android_smstado_a_run_2 (58k image)

  これらの詳細は、アプリ・パッケージのres\rawフォルダにも保存される。

  さらに、同アプリが実行される際、ユーザがスクリーン下部のボタンをクリックすると、SMSメッセージが指定された課金型の電話番号に送信される。これまでのところ、すべての番号がロシアの国別コード(特にモスクワエリアのものが多い)を使用している。SMSメッセージにはすべて、以下のテキスト文字列が含まれている:

  •  hm78929201647+1188+51+0+1+b92be

  このトロイの木馬はリモートサイトから、「love_position_v1.5.0.apk」という名のパッケージもダウンロードする:
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

  我々のテストでは、解析エラーのため、ダウンロードされた電話上ではサンプルが動作しなかった:

trojan_android_smstado_a_download_error (22k image)

  しかし、ダウンロード・パッケージを別の、クリーンなテスト用電話機で独立して分析したところ、こちらは起動の際、バックグラウンドで悪意あるサービスも開始するという違いはあるが、「Trojan:Android/SMStado.A」とほとんど同じふるまいをすることが分かった:

trojan_android_smstado_a_service (96k image)

  次のマルウェアは「Trojan:Android/FakeNotify.A」だ。

  これはアップデート通知アプリケーションを装う。以下はアプリが使用するパーミッションと、端末にインストールされる際の様子だ:

trojan_android_fakenotify_permissions (83k image) trojan_android_fakenotify_downloaded (114k image)

メモ:「Stados.A」「FakeNotify.A」のどちらも同じ名前(установка)だが、Google Translateによれば、これは「インストール」という意味だ。アプリを名付けるのに、これらマルウェアの亜種間の関係を示すよりも、一般的な言葉が用いられたということが示されているのだろう。

  いったんインストールされ、実行されると、ユーザの興味をひくために人気のあるモバイルゲームの名を使用して、アプリケーションのダウンロードにユーザの許可を得るメッセージが表示される:

trojan_android_fakenotify_download_ui (36k image)

  「next」ボタンをクリックすると、バックグラウンドでFakeNotifyが直ちに3組のSMSメッセージを送信する。メッセージは、ロシアの課金型の電話番号に送信され、以下のフォーマットのテキスト文字列を含んでいる:

  •  [24 digit string].1/316623

  使用されたSMSの詳細は、アプリケーションから埋め込まれたデータベースファイルに由来する。

  他方でユーザが、アプリケーションのダウンロードを見ることは無い。その代わり、別のスクリーンが表示され、悪意あるものである可能性のある、もっと多くのアプリを提供するWebサイトに導く:

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ:

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

「Spitmo」の新たな親類:SymbOS/ConBot

  Threat Researchチームのアナリストが先頃、「Spitmo」と共通のコードを持つプレミアム料金SMS型トロイの木馬「OpFake」を発見した。そして今週、我々のオートメーションが新たなサンプルを警告した。アナリスト達は分析を完了したが、我々はまた新たな「Spitmoの親類」を発見したようだ。ただしこのトロイの木馬は、Operaアップデートのふりはしない。

  また:「SymbOS/ConBot」はボットの特徴を有している。

  アナリストの覚書は以下の通り:

  「Trojan:SymbOS/ConBot.A」は「Spitmo」のソースコードに基づいている。「ConBot.A」で唯一既知のサンプルは、「[removed].ru/mms.sis」からダウンロードされた。

  「ConBot.A」は「SystemService」というパッケージを含んでおり、こちらは「AppBoot」という組込型パッケージを含んでいる。

  「SystemService」パッケージのコンテンツは:

  •  c:\Private\EE1DCDAA\first
  •  c:\Private\EE1DCDAA\start.xml
  •  c:\sys\bin\SystemService.exe
  •  c:\System\AppBoot\SystemService.boot

  組込型パッケージ「AppBoot」

  •  c:\sys\bin\AppBoot.exe
  •  c:\private\101f875a\import\[2005A60D].rsc

  「OpFake」とは異なり、「ConBot」はアプリケーションメニューにアイコンを追加しない。インストールが完了すると、どのような形であれ、ユーザに自身の存在を通知することは無い。(おそらく、「Spitmo」のように「セキュリティ証明書アップデート」としてプロモートされる。)

  「OpFake.A」のように、「ConBot.A」は「Acme」の「JoeBloggs」による証明書で自己署名されているが、証明書自身は「OpFake」で使用されているものとは異なる。

  「AppBoot.exe」は「[2005A60D].rsc」のため、電話がスタートするたびに自動的に開始される。「AppBoot.exe」は次に、「SystemService.boot」ファイルを解読する。

  解読アルゴリズムは、「Trojan:SymbOS/OpFake.A」がそのコンフィギュレーションファイル(sms.xml)を解読するために使用するものと同一だ。解読された「SystemService.boot」のコンテンツは、「c:\sys\bin\SystemService.exe」へのパスであることが分かっている。「AppBoot.exe」は、解読された.bootファイルが示すどんなファイルでも実行する。

  「SystemService.exe」は「ConBot」の実際にペイロードを含む。

  初めて「SystemService.exe」が実行されると、電話に保存されている連絡先から、携帯電話番号が収集され、一時的に「c:\Private\EE1DCDAA\contacts.xml」に保存される。同トロイの木馬は「[removed].ru/connect.php」にコンタクトし、「contacts.xml」と電話のIMEIをリモートサーバに送信する。IMEI、時刻、日付およびオペレーティングシステムのバージョン(Symbian9にハードコードされた)とともに、定期的な接続が同じサーバに対して行われる。リプライとして、同トロイの木馬はSMSメッセージをどこにおくるべきかに関するインストラクションを含む、XMLファイルを受けとらなければならない。トロイの木馬にハードコードされた別のURLもあるが([removed].ru/connect.php)、start.xmlからのアドレスによりオーバーライドされる。

  「ConBot.A」も、アウトボックスから送信済みフォルダに移動されたメッセージのほか、新たに受信SMSメッセージもモニタする。特定の条件が満たされれば、トロイの木馬は傍受したSMSメッセージを削除する。新たに作成されたメッセージを通知するメッセージ送信イベントを取り扱う機能も、「Spitmo.A」および「OpFake.A」の機能とほぼ同一だ。これはこれら3種のコードにおける、唯一の同一部分ではない。

C&Cのアップデート:

  SMSモニタリングの興味深い特徴は、このトロイの木馬がテキストメッセージを介して、C&CサーバURLをアップデートすることができる点だ。「ConBot.A」が「zlhd[removed]」で始まる受信SMSメッセージに気づくと、残りのメッセージを抜き出し、古いURLに替わる「settings.dat」に保存する。作者は明らかに、単にC&Cサーバを停止させることで、モバイルボットネットが機能しなくなることは望んでいないようだ。

ConBot code

フルインストーラのSHA1:83fc407f77ee56ab7269d8bea4a290714c65bbe1

政府の署名鍵で署名されたマルウェア

  証明書とCAは今もホットな話題だ(Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい)。

  我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。

  こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書(およびパスフレーズ)を盗むことで、別人としてコードに署名可能にする。

  我々は先頃、盗まれた証明書で署名されたサンプルを発見した。ファイルプロパティは以下の通り:

Publisher: Adobe Systems Incorporated
Copyright: Copyright (C) 2010
Product: Adobe Systems Apps
File version: 8, 0, 12, 78
Comments: Product of Adobe Systems

  そして署名情報は:

Signer: anjungnet.mardi.gov.my
Digisign Server ID (Enrich)
GTE CyberTrust Global Root
Signing date: 5:36 24/08/2011

  「mardi.gov.my」はマレーシア政府の一部であることが分かった。マレーシア農業研究開発研究所だ。マレーシア当局から受けとった情報によれば、この証明書は「かなり以前に」盗まれたものだ。

mardi-cert

  このマルウェア自体は、「Adobe Reader 8」を悪用した後にドロップを行う、悪意あるPDFファイルを介して拡散されている。マルウェアは「worldnewsmagazines.org」という名のサーバから更に悪意あるコンポーネントを追加ダウンロードする。今度は「www.esupplychain.com.tw」という組織によってではあるが、これらコンポーネントのいくつかも署名されている。

  マルウェアの署名付きコピーが発見されるのは、それほど良くあることではない。政府に属する公式鍵で署名されているケースは更に珍しい。

  この特定のマルウェアはもはや、署名からそれほど利益を得ていない。「mardi.gov.my」証明書は9月末に期限切れになったためだ。

  マレーシア政府は、同ケースについて報告を受けている。

  我々はこのマルウェアを「Trojan-Downloader:W32/Agent.DTIW」として検出している。MD5ハッシュは「e9f89d406e32ca88c32ac22852c25841」だ。

バックドア:OSX/DevilRobber.A

我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。

Trojan:SymbOS/OpFake.A

以下は「Trojan:SymbOS/OpFake.A」に関する昨日の記事に関連したテクニカル分析だ。

  「OpFake.A」は、「OperaUpdater.sisx」および「Update6.1.sisx」などのファイル名を使用する、Opera Miniアップデータと思われるファイルとして到着した。このマルウェアインストーラは、アプリケーションメニューにOperaアイコンを追加する。実行すると、メニューおよび偽のダウンロードプログレスバーを表示する。

Opera Updater 56%
  プログレスバーの表示… このインストーラはファラデールームの内部で実行されたのに。

  同マルウェアは表示可能な「ライセンス」も有している。トロイの木馬が開始され、被害者がメニューのどれかを通じて先へ進む以前に、このトロイの木馬はロシアのプレミアム料金を課すナンバーに、テキストメッセージを送信している。ナンバーとメッセージのコンテンツは、暗号化されたコンフィギュレーションファイル(sms.xml)から来ている。

  「OpFake.A」のSymbianバージョンは、それがアクティブでいる短時間に、SMSメッセージのモニタも行い、受信メッセージを削除し、メッセージは電話番号とメッセージのコンテンツにもとづき、送信メッセージフォルダに移動される。到着するSMSメッセージの妨害を処理するコードは、「Trojan:SymbOS/Spitmo.A」にものとほとんど同じだ。「OpFAke.A」のその部分は、明らかに「Spitmo.A」とソースコードを共有している。

  「OpFake.A」は、以前それが実行されたかどうかを追跡し、初めて実行される場合以外は何もしない。

  「OpFake」トロイの木馬は攻撃者自身が作成した証明書を使用して自己署名されている。証明書の所有者はJoeBloggsで、同社はacmeだ。これらの名前は、証明書を作成するためのWebサイトに例として使用されたため、同じ所有者名、企業名を持つ証明書で署名された、悪意あるファイルではないものも存在する。

  「OpFake」ホストサーバの異なるパスに、異なるファイル名(OperaUpdater.sisx、Update6.1.sisx、jimm.sisx)を使用した、多数の亜種が存在する。パスの一例は [IP Address]/builder/build/gen48BF.tmp/OperaUpdater.sisx だ。「gen」と「.tmp」の間の4文字はパスの変動部分だ。

  同じサーバ上の異なるパスに、同マルウェアのWindows Mobileバージョンもある。たとえば:[IP Address]/wm/build/gen7E38.tmp/setup.CAB だ。こちらも、ランダムなパスのもと、様々なバージョンが存在する。現在、「wm/build」以下にランダムな名称を持つ5000以上のフォルダがある。

  以下は、解読されたコンフィギュレーションファイルの例2種。最初のものはSymbianの亜種で、2番目はWindows Mobileの亜種だ。「ナンバー」と「テキスト」によるエントリは、メッセージが送信される電話番号と、メッセージのコンテンツを表している。

OpFake configguration files

SHA-1: 2518a8bb0419bd28499b41fad2089dd7555e50c8

OpFake:「Spitmo」とコードをシェアするプレミアム料金SMSトロイの木馬

  今年我々が分析した中で、興味深いものの一つに「Spitmo」がある。「SpyEye in the mobile」を省略したものだ。

  悪名高いBanking Trojan「SpyEye」のいくつかのバージョンが、コンピュータベースのマン・イン・ザ・ブラウザ攻撃に対するモバイルベースの防御である「mTAN」に直面すると、反撃が提供された。それが認証プロセスを回避するモバイル版トロイの木馬「Spitmo」だ。

  これは巧妙なテクニックとコードを使用する、かなり興味深いクロスオーバー攻撃だ。

  だから、エフセキュアのアナリスト2人が最近、自分達が開発した新しいSymbianオートメーションを動作させた時、彼らが最初にしたことはそれに「Spitmo」を入れることだった。そして結果は非常に驚くべきものだった。

  我々の新しいシステムは「Spitmo」とコードを共有している54種のサンプルを発見したが、Spitmoはなかった。これら「Spitmo」の「いとこ」たちは、ロシアの携帯電話ユーザ(ロシアのSMSショートコードを使用する)を標的とする、プレミアム料金SMSトロイの木馬だ。(笑)我々
はこれらのトロイの木馬を「OpFake」と名付けた。インストーラが「Opera Mini」(OperaUpdater.sisx)だと主張するためだ。

  しかしこれは話の一部にすぎない。

  OpFake Symbianバイナリを分析した結果、我々はIPアドレスを発見し、そのアドレスを検索すると、5000以上のサブフォルダを含む公開フォルダを介して、「OpFake」のWindows Mobileバージョンにもアクセス可能なサーバがオンラインであることが分かった。各サブフォルダは暗号化された固有のコンフィギュレーションファイルを含んでいる。これらのフォルダは、Symbianフォルダにアクセスできないため、コンフィギュレーションエラーが原因で可視の状態なのでないかと思う。

OpFake:「Spitmo」コンポーネント、Symbian、Windows Mobile(おそらくは他のOS?)、プレミアム料金SMSメッセージを使用… 誰かがサンクト・ペテルブルグにあるサーバから、かなり先進的なオペレーションを実行している。

  同サーバのIPアドレスはCERT-FIに報告された。

  「OpFake」バイナリの技術的な分析とサーバのフォルダ構造の詳細は、明日掲載する。

「DroidKungFu」がアップデート攻撃を利用

  我々は昨日、新たな感染ベクタを使用するとおぼしき「DroidKungfu」サンプルに関する簡単な記事を投稿した。

  お約束通り、より技術的な詳細をご紹介する。

DroidKungFu, Chinese market

  我々が分析しているアプリケーションは「com.ps.keepaccount」という名で、そのコンテンツをざっとチェックしたところ、二、三のことが明らかになった。

  最初に見たところ、オリジナルのアプリケーション(SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54)に「DroidKungFu」の痕跡は無い。

DroidKungFu, Original install
  コンテンツとインストールのパーミッション

  いったんインストールされると、同アプリケーションはユーザにアップデートが入手可能だと知らせる。そしてユーザがこれをインストールすると、アップデートされたアプリケーションは、「DroidKungFu」マルウェアで発見されたのとよく似た追加機能を獲得する。

  以下のスクリーンショットは、アップデートプロセスで何が起きるかを示している:

droidkungfu_update1droidkungfu_update2droidkungfu_update3

droidkungfu_update4droidkungfu_update5

  オリジナルバージョンと比較して、アップデートされたアプリケーションは、SMSおよびMMSメッセージと、デバイスのロケーションにアクセスできるよう、さらに2つのパーミッションを要求した。

  パーミッションの違いは、アップデートが悪意あるものかどうかを見分ける最良の方法ではないかもしれないが、それでもアプリケーションのアップデートが、別のパーミッションを要求しているかどうか、注意し、疑ってみることは良い方法だ。

  さらに重要なのは、アップデートされたアプリケーションは、ルート権限を得るためにエクスプロイトを使用し、それによりさらに意図せぬ行為が遂行される可能性が生じることだ。

  最後のスクリーンショットで、同アプリケーションが突然停止したことが示されている。これはおそらく、この「DroidKungFu」の亜種がまだ「Android OS version 2.2」用のエクスプロイトを使用しており、テストした端末は「Android OS version 2.3」を使用しているためのエラーが原因だろう。

  以下は、アップデートされたアプリケーションのソースを示す、アップデートプロセス中のパケットキャプチャだ:

droidkungfu_packet_capture

  「SHA-1: 7cd1122966da7bc4adfabb28be6bfae24072c1c6」でアップデートされたアプリケーションのコンテンツのクイックビュー

droidkungfu_encrypted_apk

  この「init.db」ファイルは、実は「DroidKungFu」のスタンドアロンコピーで、データベースファイルではなく、ルート権限を獲得するとアプリケーションがインストールする暗号化されたAPKファイルだ。

  このアプリケーションが実際「DroidKungFu」であることを確認するため、コードを見てみよう:

droidkungfu_verify

  「WP」は、ASCII表示である解読のためのキーで、コンバートされると「Deta_C1*T#RuOPrs」になる。

  更に検証を行ったところ、このアプリケーションが実際に「DroidKungFu」の亜種であることが分かった。我々はこれを2011年8月18日から、「Trojan:Android/DroidKungFu.C」として検出している。

  サンプル(アップデートの前と後の両方)の検証カバレッジをVirusTotalでチェックしたところ、以下の結果が得られた。自身を「DroidKungFu」にアップデートするオリジナルのアプリケーション:

droidkungfu_old_vtscan

  そしてアップデートされたアプリケーション:

droidkungfu_updated_vtscan

Threat Solutions post by /mdash; Zimry, Irene and Yeh

—————

10月25日の追記:この記事は、スクリーンショットに関連する詳細を修正するため、編集された。すなわち、最初の数パラグラフは、このトピックが昨日の記事に関連していることをハッキリさせるため書き直され、リンクはスクリーンショット付きでVirusTotalのスキャンレポートに置き換えられた。

あなたが探しているDroidアップデートは存在しない

エフセキュアのThreat Solutionsチームが今日、Android向けの新しい「感染ベクタ」を使用した興味深い脅威を発見した。

  この7月、彼らは「Spyware:Android/SndApps」を分析したが、これはアップデート後、様々な個人情報にアクセス可能になった。アップデート前は、「インターネット」パーミッションを要求するのみだ。ユーザは自分のスマートフォンに既にインストールされているアプリケーションをアップデートする際、パーミッションをあまり注意深くチェックしないのではないかと思う。

  したがって、アップデート方式を介したこのパーミッションのエスカレーションを念頭に置き、同チームは同じトリックを試みる悪意あるアプリケーションのモニタリングを行ってきた。そして今日…彼らは一つ見つけた。

  分析は現在進行中だ。

  我々が現時点で言えることは、オリジナルのアプリケーション(サードパーティのマーケットからダウンロードされた)に、悪意あるコードはないということだ。いったんインストールされると、同アプリケーションはすぐに、アップデートが入手可能であるとユーザに知らせる。そしてその「アップデート」が、「Trojan:Android/DroidKungFu」の亜種をインストールするのだ。

  さらに、オリジナルのアプリケーションの開発者は、自分達のアプリケーションがDroidKungFuダウンローダとして使用されることを意図していたのかどうか、という問題もある。おそらく、開発者のバックエンドが改ざんされたのだろう。

  我々は同アプリケーションを「Trojan-Downloader:Android/DroidKungFu.E」および「Trojan:Android/DroidKungFu.C」として検出している。

SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54

  我々は技術的な詳細を追加するほか、次回の記事で、この「アップデート攻撃」に関するスクリーンショットを掲載する予定だ。

Macのトロイの木馬がXProtectアップデートを停止

  Macマルウェア開発に新たな何かが起きようとしている(またもや)。

  最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。

  まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する:

xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読

xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリのパスを解読

  同マルウェアは次に、「XProtectUpdater」デーモンをアンロードする:

unload1, Trojan-Downloader:OSX/Flashback.C

unload2, Trojan-Downloader:OSX/Flashback.C

  最後に同マルウェアは「XProtectUpdater」ファイルを" "キャラクタで上書きする:

wipe_xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルを上書き

wipe_xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリを上書き

  上述の処理は特定のファイルを消去し、「XProtect」が今後のアップデートを自動的に受けれないようにする。

  システムの防御手段を無効にしようとすることは、マルウェアでは非常に一般的な戦術だ。そしてビルトインの防御手段は当然、どのようなコンピューティングプラットフォームでも最初の標的となる。

Threat Solutions post by — Brod

Duqu - Stuxnet 2

  今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a








Macのトロイの木馬Flashback.B Checks for VM

  エフセキュアのアナリストの一人が、自身を「Adobe Flash Player」のアップデートだと勘違いさせようとするMac向けトロイの木馬「Flashback」の最新バージョンのデバッグ中に、興味深いものを発見した。

  「Flashback.A」と「Flashback.B」の違いを比較している時に、彼は以下のルーチンを見つけた:

vmcheck, Trojan-Downloader:OSX/Flashback.B

  「Flashback.B」は「vmcheck」を実行する。仮想化が検出されると、トロイの木馬は自身を停止するのだ。

  AppleはLionでユーザーが2つの仮想化環境を動作させることを可能にした。

  VMウェア・アウェア・マルウェア(早口で10回言ってみよう!)は、Windowsエコシステム内でよく使用されるアンチリサーチテクニックだが、Macではまだ一般的ではない。Macマルウェアの作者は、リサーチャが分析中に仮想環境を使い始めることを予測し、このような取り組みを阻止する対策を講じているようだ。

Threat Solutions post by — Brod

ドイツ当局によるバックドアに関する追加情報:Case R2D2

先週、ドイツ語ベースの「Chaos Computer Club」(CCC)が、ドイツの法律に反して当局が使用していると主張する、バックドア型トロイの木馬に関する詳細を発表した。

  そして、許可された範囲内でという但し書き付きで、ドイツのいくつかの州が「Backdoor:W32/R2D2.A」〔別名「0zapftis」)の使用を認めた

  1つのケースでは、ミュンヘン国際空港で税関・出入国管理を容疑者が通過する際、彼のラップトップにトロイの木馬がインストールされた。

  以下は、このバックドアに関するさらなる詳細だ。

  CCCのレポートには、同バックドアのDLLおよびカーネルドライバの分析が含まれている。CCCはインストーラを入手できなかったようだ。(それは容疑者のコンピュータ上に、ローカルでインストールされたのかもしれない。)

  我々はインストーラを入手している。

  以下は、エフセキュアのマルウェア格納システムからのスクリーンショットだ:

scuinst.exe

  このインストーラファイルは「scuinst.exe」という名称だ。最初に発見されたのは2010年12月9日。

  「scuinst.exe」というファイル名で重要なのは何だろう? これは「Skype Capture Unit Installer」の略語だ。「Skype Capture Unit」は、ドイツ、バイエルンのハイガー市にある「Digitask」という企業により開発された商用トロイの木馬の名称だ。Digitaskおよび「Skype Capture Unit」のバックグラウンドに関する詳細情報は、Wikileaksによるこれらのドキュメントを見て欲しい。そして以下は、ドイツの税関調査委員会が「Digitask」から2075256ユーロで監視サービスを購入したことを示している。200万ユーロだ。

digitask

  我々のシステム自動化は「scuinst.exe」が気に入らず、カスタマのコンピュータで自動的にブロックされるようセットした。「ヒューリスティック」カテゴリは、我々のオートメーションが、エフセキュアのアナリストが作成した規則に基づいて同ファイルを警告したことを示している。

  エフセキュアのカスタマで、「R2D2」にさらされた人はいるだろうか?

  いや。カスタマが一人としてこのバックドア(CCCの発表以前にインザワイルドだった)と遭遇していないことは、我々の統計に示されている。

  では、エフセキュアはどのようにしてインストーラのコピーを入手したのか?

  我々(そして他の多くのアンチウイルスベンダ)は、「virustotal.com」からファイルを受けとった。

  実際、このインストーラはVirustotalに何度か提出されている:

scuinst.exe

  では、多くのアンチウイルスベンダがインストーラを有しているのだろうか?

  そうだ。VirusTotalは、複数のアンチウイルスエンジンで疑わしいファイルを分析し、検出名のリストを提供するサービスだ。VirusTotalは協調的な取り組みで、参加者なら誰とでもサンプルのシェアを行う。

  検出が存在しなければ、プロテクションもないということなのか?

  いや。多くのアンチウイルス製品(たとえば「エフセキュア インターネット セキュリティ」)は、従来のシグネチャ検出に勝る、付加的なプロテクションのレイヤを有している。脅威がシグネチャ「検出」に対応していないからといって、プロテクションの他のレイヤによって「ブロック」されないということは意味しない。

  この場合、R2D2のインストーラは、従来のシグネチャデータベース検出が公開される前に、我々の「クラウド」レイヤによりブロックされていただろう。

  では、VirusTotalが誰とでもシェアするなら、バックドアを秘密にしておこうとしながら、そこにアップロードするのはバカげているのでは?

  そう。プロのマルウェア作者がブラックマーケットマルチスキャナを使用するのは、そうした理由による。

  では何故、R2D2の作者はそれを提供したのか?

  おそらく彼らがバックドアのインストーラを「テスト」するための方法として知っていた、唯一の方法だったのだろう。

  あるいは、バックドアのライフスパンと効果が減少しても、気にならなかったのかもしれない。

  あるいは、ドイツ政府(そしてバックドアを作成するのに雇われた企業)は、アンチウイルス業界が何をするか、そしてカスタマを保護するために、我々がどのように協力し合うかということを、よく理解していなかったのかもしれない。

  我々は全員参加しているのだ。

政府によるものとおぼしきバックドアを発見(「R2D2ケース」)

  ドイツの「Chaos Computer Club」が今夜、ドイツ政府により用いられたバックドア型トロイの木馬を発見したと発表した。

R2D2 backdoor trojan

  この発表は「ccc.de」で公表されたもので、同マルウェアの機能について20ページにわたる詳細な分析が行われている。PDFのレポートをダウンロード(ドイツ語)できる。

  問題のマルウェアは、DLLとカーネルドライバから成るWindowsバックドアだ。

  バックドアには、特定のアプリケーションを標的とするキーロガーが含まれている。対象となるアプリケーションは、Firefox、Skype、MSN Messenger、ICQなど。

  このバックドアは、スクリーンショットを撮り、Skypeの会話を含むオーディオ録音を目的としたコードも含んでいる。

  さらに、同バックドアは遠隔的にアップデートすることができる。接続するサーバには「83.236.140.90」や「207.158.22.134」がある。

  このバックドアを作ったのが誰なのか、そして何のために使用されたのかは分からない。

  CCCの調査結果を疑う理由は無いが、我々はこのトロイの木馬がドイツ政府により書かれたと言う事はできない。我々の知る限り、このことを確認できるのは、ドイツ政府自身以外にはない。

  政府によるバックドア、もしくは警察が「合法的な傍受」を行うトロイの木馬の検出に関するエフセキュアの包括的なポリシーについては、ここでお読み頂ける

  我々はこれまでに、政府によるバックドアであると思われるサンプルを分析したことは一度も無い。また、いかなる政府からも彼らのバックドアを検出しないよう要請されたこともない。

  とは言え、我々はこのバックドアを「Backdoor:W32/R2D2.A」として検出している。

  「R2D2」という名称は同トロイの木馬内のストリング「C3PO-r2d2-POE」に由来する。このストリングは、トロイの木馬がデータ伝送を開始するために内部で使用される。

R2D2 backdoor trojan

  我々はこれが大きなニュースになると考えている。ドイツ政府から正式な回答が出される可能性がある。

MD5 hashes:930712416770A8D5E6951F3E38548691 and D6791F5AA6239D143A22B2A15F627E72


PDFファイルを装うMacのトロイの木馬

  我々は、製作中のMacマルウェアに出くわしたかもしれない。同マルウェアは「Trojan-Dropper:OSX/Revir.A」として検出されており、PDFファイルを装い、ユーザをだましてペイロードをひきおこす。

  同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。



  ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。

  このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。

  同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。

  このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。


追記:サンプル用のMD5ハッシュ:

  •  Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
  •  Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
  •  Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d


Analysis by - Brod




我々に必要なもの

私はインターネットが大好きです。

  インターネットが我々に何をもたらしたか考えて下さい。我々が使うあらゆるサービス、コネクティビティ、エンターテイメント、ビジネス、コマースを。

  そしてこれら全ての変化は、たった今、起きているのです。私たちが生きている現在、です。

  何百年かして歴史の本が書かれた時、我々の世代はオンラインを獲得した世代として記憶されるであろうことに、私はかなりの確信があります。我々は真にグローバルなものを創造した世代として記憶されることでしょう。

  しかしインターネットには問題もあります。セキュリティとプライバシーに関する、非常に深刻な問題です。こうした問題と戦うことに、キャリアをかけてきた私には分かっています。

  では、全ての問題はどこからやって来るのでしょう? 問題の唯一最大の源は、組織犯罪ギャングたちです。彼らは攻撃で儲けるため、マルウェアをばらまき、Webサイトをハッキングします。彼らの多くは数百万を得るのです。

  コンピュータを感染させることで金儲けをするには、いくつかの異なる方法があります。たとえば、オンラインバンキングを行う際に、ユーザの口座から金を盗むBanking Trojan。また別の手法にキーロガーがあります。キーロガーはユーザのコンピュータにひそんで、タイプされた内容を全て記録します。ですから、皆さんがオンラインストアで買い物をし、名前やクレジットカード情報を入力すると、それらは犯罪者によって盗まれてしまいます。

  オンライン犯罪が生み出す金額はかなりのもので、それはオンライン犯罪者たちが実際、攻撃に投資できることを意味しています。そして彼らはインターネットのグローバルな性質を、有利に利用してもいます。以前は我々にリーチできなかった犯罪者たちが、現在は私たちに手を伸ばすことができるのです。

  ほとんどの場合、犯罪者たちは決して捕まりません。大多数のオンライン犯罪事件では、我々は攻撃者がどの大陸からやって来たかさえ知ることはありません。たとえオンライン犯罪者を見つけることができても、大抵成果が得られません。地元警察は役割を果たさないか、果たしたとしても、十分な証拠が無いか、何らかの理由で我々は犯罪者たちを倒すことができません。もっと簡単なら良いのにと思いますが、残念なことにそうではありません。

  既に述べた通り、私はインターネットが本当に好きです。私たちがオンラインで手にしているあらゆるサービスについて考えてみて下さい。もしそれらが奪われたら、ある日それらが無くなったらどうなるでしょう。

  私はインターネットの未来は素晴らしいものだと思っていますが、そうでは無くなる可能性を懸念しています。

  オンライン犯罪のせいで、我々が問題にぶつかることを、私は懸念しています。オンライン犯罪は私たちから様々な物を奪うかもしれないものです。

  私はネットを守ることに人生を費やして来ましたし、もしオンライン犯罪と戦わなければ、われわれは何もかも失う危険をおかすことになると感じています。私たちはグローバルにオンライン犯罪と戦わなければなりませんし、今すぐにそうすべきなのです。

  私たちに必要なのは、オンライン犯罪団を見つけるための、よりグローバルな国際的法執行機関です。こうした組織化された犯罪者たちは、攻撃により何百万もの金を手にしているのですから。我々は世界中であらゆるアンチウイルスを、あらゆるファイアウォールを実行することができますが、それで違いが生じるわけではないでしょう。犯罪者を捕まえれば、状況は変わります。

  さらに重要なのは、オンラインの世界の犯罪に取り込まれようとしている人々を見つけ出すことですが、これはまだなされていません。我々はスキルは持っているものの、それを活かす機会のない人々を見つけ、彼らがそのスキルを良いことのために使える機会を提供すべきなのです。

ミッコ・ヒッポネン

TEDトークからの抄録。トランスクリプションはAmerican RhetoricのDiane Wiegandによる。

中国政府がオンライン攻撃をローンチ

中国はオンライン攻撃のローンチでしばしば非難されるが、大抵、状況証拠にとどまる。標的型のスパイ活動Trojanの多くは中国からのもののようだが、実際にそれを証明することはできないのだ。

  しかし、新たな証拠が表面化した。

  7月17日、ミリタリードキュメント番組「ミリタリーテクノロジ:インターネットの嵐がやって来る」が、政府運営のTVチャネル「CCTV 7, Millitary and Agriculture」(military.cntv.cn)で公開された。

  この番組は、サイバー戦争の可能性とリスクに関する、かなり標準的な20分のドキュメンタリー番組のようだ。しかし、理論について話している間にも、カメラの映像では、米国の標的に対して攻撃をローンチしている中国政府のシステムが示されている。これは非常に珍しいことだ。最も可能性の高い説明は、編集者がその重要性を理解していなかったために、この映像が最終編集版に含まれたというものだ。

  以下は同番組の重要な部分だ:

China's slip up...

  ダイアログに示されているテキストをざっと翻訳すると:

   中国人民解放軍情報工学大学
   
   攻撃対象を選択
   
   ターゲットIP
   
   法輪功サイトのリスト
   
   北米の法輪大法
   法輪大法サイト
   Meng Huiサイト
   法輪功サイト1の証言
   法輪功サイト2の証言
   
   攻撃  キャンセル


  同ツール内にリストされた標的は、中国で禁止されている宗教団体、法輪功もしくは法輪大法に関連している。特に、攻撃はIPアドレス「138.26.72.17」に対して行われており、これは米国の大学に属するものだ。どのような攻撃が行われているかははっきりしない。しかし、このような標的を持つ、このようなソフトウェアの存在は初のニュースだ。

  同ソフトウェアは、中国人民解放軍の情報工学大学で書かれたものと信じられている。

Information Engineering University of China's People's Liberation Army

  http://military.cntv.cn/program/jskj/20110717/100139.shtmlにアクセスし、ビデオを13分辺りまで早送りすることで、この部分を見る事ができる。しかし、我々は同番組がそれほど長くオンラインにとどまるとは思っていない。

  詳細は「Epoch Times」で読むことができる。「Epoch Times」はニューヨークの新聞で、中国語と英語で発行されており、中国政府に対して批判的だ。

携帯電話から写真を盗むモバイルマルウェア

  今年のモバイルマルウェアの多くは、中国で開発されている。そして中国のモバイルマルウェアは、バックドア、パスワード解読プログラム、スパイツールなどを含む傾向がある。

  中国のマルウェアはスパイするのを好むため、我々はフォトスクレイピングなど、さまざまな機能を警戒してきた。携帯電話から写真を盗めば、いやがらせや恐喝のために利用することが可能だ。

  探すのに時間はかからなかった。エフセキュアのThreat Responseチームのメンバーが、Symbianのマルウェアサンプルで興味深いものを発見した。

Photo

  以下がアナリストのメモだ:

  「Trojan:SymbOS/Spinilog.A」のコードには、Symbianクラス「MCameraObserver」を引き継いで実行する、「CMyCameraEngine」という名のクラスが含まれている。これにより、カメラで画像がキャプチャされた際、トロイの木馬がコントロールを受けることを可能にする。「Spinilog.A」は次に、rawビットマップをJPGにエンコードし、電話のメモリに保存される。「CMyCameraEngine」クラスのコンストラクタがコード内でコールされていないため、この機能はまだ使用されておらず、おそらくは未完成のようだ。トロイの木馬が盗む他のデータは、SMSやメールの内容、通話の詳細、カレンダー、連絡先情報の詳細など、よりトラディショナルなものだ。

  よってこのバックドアが、まだ写真を盗んでいなくても、我々がどの方向に向かっているのかは明らかだ。

  以下は同ファイルのmd5だ:b346043b4efb1e9834a87dce44d6d433

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード