エフセキュアブログ

wordpress を含む記事

LenovoのスタートページがAnglerを配信

 当社の顧客のアップストリーム検知レポートに基づくと…、どうやら3月13日にLenovo関連のWebサイトが侵害されたようだ。ある期間(比較的短期間)、ポータルサイト「startpage.lenovo.com」を訪れた人が、悪名高いAnglerエクスプロイトキットにリダイレクトされていた。少なくない量の暗号化ランサムウェアの発生源だ。

 そのため侵害が一定期間内に限られていたとしても、その影響は重大だろう。日曜の夜に、このサイトへのトラフィックが多くなかったのであればいいのだが。

startpage.lenovo.com

 今回の注目すべきアップストリームレポートで検知されたのは、Exploit:JS/AnglerEK.Dだ。Anglerの最近のペイロードはTeslaCryptである。そして当社ではこれをTrojan:W32/Rimecud.A!DeepGuardおよびTrojan:W32/TeslaCrypt.X!DeepGuardとして検知する。

 個人的には、私は「スタートページ」にポータルは使わない。私の場合、about:blankが好みだ。

When Firefox starts…

PUAが使う広告配信プラットフォームがMagnitudeエクスプロイトキットをも配信

 先月、あるマルバタイジング・キャンペーンについて投稿した。ユーザをAnglerエクスプロイトキットへと向かわせるマルウェアの攻撃に対し、たとえ非ブラウザのアプリケーション上であっても、広告プラットフォームは影響を受けやすいことを明らかにした。

 さらに別のマルバタイジング・キャンペーンに先週気付いたが、こちらはMagnitudeエクスプロイトキットにユーザを押し進める。

Magnitude EK Hits 2016.03.04

Magnitude URLs

 我々は以下の広告プラットフォームが、Magnitudeエクスプロイトキットへのリダイレクトに用いられていることに気付いた。

www.terraclicks.com 
bestadbid.com
onclickads.net
popped.biz
click2.danarimedia.com
onclickads.net
ads.adamoads.com

 その広告プラットフォームの1つであるclick2.danarimedia.comについて、興味深い点を観察した。「潜在的に迷惑(potentially unwanted)」だと考えられているConduit Toolbarsの特定のディストリビューションでも用いられているのだ。Conduit Toolbarsは一般に無料のソフトウェアとバンドルされてやってきて、ブラウザ設定の変更を強要する。

conduit_properties

conduit_strings_text

 同広告プラットフォームから当社のアップストリームを経てMagnitude EKへと差し向けられる様子を以下に示す。

magnitudeek_redirection_20160304

 これは、我々がPUA(Potentially Unwanted Application、潜在的な迷惑アプリケーション)のパワーを過小評価すべきでないことを示す。仮にあるプログラムが潜在的に迷惑なものとして始まったとして、攻撃者がユーザのマシンに他の脅威を配信するのにそうしたプログラムを活用するはずがない、なんていうことはないからだ。ユーザはエクスプロイトキットへとリダイレクトされ、最終的にマルウェア、つまりこちらの特定のエクスプロイトキットCryptoWallランサムウェアへの感染に繋がる。

cryptowall

SHA1: b9bf3131acae056144b070c21ed45623ce979eb3

 当社のユーザはこれらの脅威から保護されており、以下のように検知する。

  • Exploit:JS/MagnitudeEK.A
  • Exploit:SWF/Salama.H
  • Trojan:W32/Crowti.A!DeepGuard
  • Application:W32/Conduit.B

思考実験:FBiOS 盗聴エディション

 ある思考実験をしてみる。

 現在進行形のあの問題…。

アップル社 vs FBI

 米司法省は全令状法(All Writs Act)を行使し、アップル社に対し「FBiOS」、つまり特定のセキュリティ制御を省いたiOSの修正版を開発すべく命じるよう、連邦裁判所判事に求めた。アップルはFBiOSにデジタル署名するように求められている。この件は現在議論されている。

 その次には?

FBiOSの機能の拡張

 司法省は全令状法を用いて、使用中のスマートフォンの盗聴機能を含めるべくFBiOSの開発を拡大しようとするだろう。同様に、FBiOSのAndroid版(別名GovtOS)を作成する令状も追加する。

盗聴権限を拡大するための法律を制定

 連邦議会はスマートフォンの盗聴を支援する法律を通過させることもあり得る。スマートフォンの製造企業にアップデートチャネルを通じてFBiOS盗聴エディションをプッシュするように要求するのだ(正当な捜査として)。

 未来へようこそ。

 この時点で…。

 全面的に侵害可能になったクライアント側のプラットフォームでは、もはや「隠されたもの」など無い。

 エンドツーエンドの暗号化アプリでは?問題無い。この盗聴機能は、UIやキーボードなどから内容を取得するだろう。

Signal Private Messenger iOS

 つまり、伝送中のデータは完全に暗号化されたままだが、この時点ですべてのスマートフォンに盗聴される可能性があることになる。OSを自分でコンパイルして(または信頼のおけるソースからインストールする)、アップデートチャネルの制御を維持する場合を除けば、だ。FBiOSの盗聴機能を複数の国の政府があまりにも簡単に悪用することは、歴史が示している。

 結論としては…アップル社 vs FBIの一件は、ただ1台のiPhone 5Cからはるかに超えた事態を引き起こす。

 思考実験終わり。

 ティム・クック、あなたを称賛する。

10 PRINT “ソフトウェアエンジニア職に空きがあります”

20 GOTO 10

 エフセキュアでは人材を募集している!世界中で人材募集中だ。

 また、ATP(Advanced Threat Protection)プロジェクトを支援する複数のチームに多数のポストが空いている。一部のケースでは、複数の候補者を求めている役職もある。ATPは当社の中でも刺激的で、急激に成長をしているプロジェクトなので、募集を確認してほしい!

 当社ではまた、ラボの他のチームも拡張している。自身の新しい才能を探している2人の同僚に、シャウトアウトをささげたい。

Holo (left) shreds it up in our basement band practice space.
当社の地下のバンド練習場で速弾きしているAntti(左)。ベースは私(Andy Patel)だ

 Antti Holopaineは当社のクリーンソフトウェアへの取り組みを率いており、ソフトウェアエンジニアたちを探している。そこでは、合法的なファイルの収集と分析の自動化を推し進め、改善を行っている。仕事内容にはPythonで山ほど書いたり、サンプルおよびデータの分析を構築したりが含まれるが、普段は当社のバックエンドでたくさんの魔術を行っている。興味はあるだろうか?申し込みはこちらから

At the moment of writing, Janne was on the throne.
…王座に着くJanne

 Janne Laaksonenは当社のSecurity SDK部門の長である。この部門はWindowsのエンドポイント保護技術の設計および開発を担当している(いろいろやっている中でも)。その取り組みを支援するWindowsシステムプログラマーをJanneは求めている。Security SDK部門は、ラボにおけるあらゆる種類の非常に重要な作業を任されている。これには、当社のデータベースおよびコンポーネント更新のインフラ、実際のマルウェアに対する自動テストの構築、専門家向けのツールの提供、ラボや今後の見通しのためのメトリクスおよびサービスの可視化、Ultralight(当社の「クラウド」セントリックなクライアント)SDKの設計および開発が含まれる。この部門は専門家だらけで、採用されたら大いに学習する機会が得られる。申し込みはこちらから

 もしいずれかの仕事に関心があるなら、以下のフォームに一言記入して連絡をほしい。あなたの質問に答える我々のほうがずっと嬉しく思うだろう。


 疑問点は?

 (訳注:入力フォームは原文の記事へ)

Androidのセキュリティ上の大問題の1つを示す2つのグラフ

 あなたのデバイスのOSに最新のセキュリティアップデートを適用することは、セキュリティの基礎となるベストプラクティスだ。最新バージョンのOSを実行しているのでなければ、自身のデバイスを潜在的なエクスプロイトにさらけ出していることになる。

 以下は、Apple社のiOS 9の適用率をグラフにしたものだ。

iOS 9 Adoption
情報源:Mixpanel

 逆転している。iOS 9は2015年9月16日にリリースされてから、極めて速やかにiOS 8に取って代わり、全装置中で大多数を占めるようになった。

 以下のグラフは、Google社のAndroid OSの適用率である。

Android OS Adoption
情報源:Mixpanel

 影も形もない。Android 6.0である「Marshmallow」は2015年10月5日にリリースされたのに、いまだ「Other」に分類されている。Google自身の数字によれば、Androidの最新版は分布の1.2%を占めるのみだという。Android機のおおよそ7割は、いまだにKit-KatまたはLollipopを実行している(両者とも、既知のセキュリティ上の問題や脆弱性がある)。

 Marshmallowのリリース後も、Lollipopは市場シェアを伸ばしてさえいるのだ。

 これは残念なことだ。なぜなら、Android 6.0 Marshmallowは流行りのAndroidマルウェアに対し防御力が高いからだ。

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

Anglerを送りつけるSkype経由のマルバタイジング

 最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。

 広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。

Skype Ad

Skype Call Ad
Skypeの広告

 昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。

Spike

URLs

 当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。

http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com
    led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php
http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com
    led to http://staraly1savage.bendovr.com/forums/viewtopic.php

 ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムセキュリティニュースでSkypeのシナリオについて報告がなされている。

 今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。

 もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。

  • ユーザがebay.itを訪れる
  • ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
  • doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
  • adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
  • Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする

 TeslaCryptに感染したマシンには、以下のメッセージが表示される。

TeslaCrypt

 adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.comgsn.comzam.comwikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。

 今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。

The Malware Museum @ Internet Archive

 以下は、5.25インチフロッピーディスクの時代にウィルスのサンプルを提出した様子だ。

I sent you this diskette to give you infected or suspicious files for analyzing.
Constantine、ありがとう

 そして現在The Malware Museumにて、古典的なウィルスが動作するさまを確認することができる。

 (訳注:「ブラウザ上のMS-DOSの仮想マシンで、古いマルウェアのエミュレートしたいかも、って?いや、もちろんやるよね。」という意味)

 Jason Scottに賞賛を!

 以下はWalkerというウィルスだ。

 (訳注:「しまった!私のコンピュータがWalkerに感染したか?いやいや、The Malware Museumを訪れたのだ。」という意味)

 「ANY KEY TO PLAY」

 (訳注:「the Malware Museumでディスク破壊ゲームを楽しめる。」という意味)

Crash Safariの続報

 crashsafari.comへのショートリンクが急速に広まってから、1週間がたった。そしてついにGoogleは、もっとも広まったリンク(goo.gl/78uQHK)を無効にした。

Unknown request for 78uQHK.

 Googleの利用規約を違反したとしてこのショートリンクが無効にされるまで、75万回以上のクリックがあった。

This shortlink has been disabled.

 ただし…、他のショートリンクは引き続き機能している。とはいえ、クリックは確実に減っている。

Analytics for Vj7Eep.

 依然アクティブなものがあるのはなぜだろうか?これらの口コミで広まったリンクを無効にするのを遅らせているのは、何なのか?参照元(Referrer)を詳細に見てみよう。

Referrers for Vj7Eep.

 おおよそ8割のクリックは「未知(unknown)」のソースからとなっており、大半のクリックでは参照元の情報が取り去られている。今回のケースで未知のソースとは、高い確率でiMessageやWhatsAppといったプライベートメッセージングアプリのことだろう。両アプリはエンドツーエンドで会話を暗号化する。

 このことは、悪質なリンクをフィルタするような、中間者が存在しないということを意味している。

 iMessageのクライアントサイドにはフィルタがなく、そのため、不正なリンクを適切なショートリンクサービス対し自動的にレポートしようがない。また一見したところ、Appleでは手作業が約1週間かかったようだ。幸いなことに、crashsafari.comはいたずらで共有されていただけだった。

 削除は?FacebookやTwitterのようなサービスからはリンクを確認でき、そのため脅威を取り除く可能性もあるが、一方でプライベートメッセージングアプリは弱点となる。友達は注意を払って選ぶとよい。

 次もいたずらのように見えるものが、虎視眈々と待っているワームではないことを祈ろう。

AdBlockerについてのホワイトペーパー:広告をブロックするメリット

 現在、インターネット上にある数多くのWebサイトでは、Webページ上に広告コンテンツがある。広告が役に立つユーザもいるが、大半は無関係で煩わしく、また押しつけがましいものだ。一部の広告は膨大なリソースを消費し、帯域や電力を意図せず浪費してしまう。モバイル端末については、より顕著だ。さらに良くないのは、広告が悪意のあるコンテンツやその他の脅威を招くことさえある点だ。

 さらなる詳細や、広告をブロックすることでブラウジングの体感が向上する理由については、iOS用の「AdBlocker」アプリについての、当社の最新のホワイトペーパー(PDF)で論じられている。

How does adblocking work?

 おっと、当社のAdBlockerアプリはすべて無料だってことに触れていたっけ?

急速に広まるCrash Safari…しかしAndroidではないのはなぜ?

 1月25日、crashsafari.comというWebサイトへのGoogleのショートリンクが、何者かにより作成された。当該サイトはiOSのSafariをクラッシュさせるループを作り、一部のデバイスではリブートを引き起こす。

 (訳注:「私のiPod touchがクラッシュしたところ」という意味)

 このサイトはまた、他のいくつかのブラウザを停止させたり、クラッシュを引き起こす。詳細についてはWired誌を参照のこと。

 しかし、私は奇妙な点を発見したのだ…。

 以下は、Googleのショートリンク「/78uQHK」を用いたツイートの例だ。

Crash Safari Tweets

 私には「クロスプラットフォーム」に見える。決して、AndroidオーナーよりiPhoneオーナーのほうを数多くそそのかしているわけではない。また同一のgoo.gleリンクを使っているFacebookの投稿を見つけたが、これらの大半についても、同じことが当てはまる。

 つまり、(これまでに)50万回近くリンクがクリックされたが、Androidデバイスに由来するのはその中のわずか12.5%のみというのは、何だかおかしい。

 おそらくAndroidの「スマート」フォン市場におけるシェアは、言われているほど席巻してはいないのでは?(私の家族には、フィーチャーフォンのように使っている者がいる)

 あなたはどう見る?

 @5ean5ullivan

エクスプロイトキットAnglerの1月の休暇

 エクスプロイトキット(exploit kit、EK)に至るさまざまなリダイレクタについて、当社では昨年から監視を行ってきた。そうしたリダイレクタの1つに、AnglerエクスプロイトキットまたはNeutrinoエクスプロイトキットのいずれかへ誘導するものがある。SANS ISCでも、この2つのエクスプロイトキットを切り替えるリダイレクタを監視していた。

 今年の初め、当社のテレメトリにおいて当該リダイレクの急激かつ大幅な落ち込みがあることに気付いた。

Hits of the redirector that leads to either Angler EK or Neutrino EK.

 興味深いことに、同日、当社のAnglerのテレメトリでも急減していた。それに対して、Neutrinoは活動しているままだった。この間、Neutrinoはリダイレクタ経由ではなく、侵害されたWebサイトから直接提供されていたことが判明している。

Angler EK and Neutrino Hits 2015.12.24 - 2016.01.15

 最初に見たときには、Anglerが休暇を取っているかのように思えた。おそらく、それが大部分の真実だろう。しかし、さらに詳細に当社のテレメトリを見ていくと、休暇とされる期間中も活動していた、非常に小さな一団がいたようだ。

 以下は、当社のテレメトリで目にした例の一部だ。

Angler URLs 2016.01.03

 1月11日になりAnglerの活動が再開したが、一方でNeutrinoの活動は徐々に緩やかになっていった。この休みの前後でAnglerエクスプロイトキットに明らかな変化があったことは認められない。単にちょっと休暇を取ったようにしか見えない。

 また興味深いことには、Anglerはサブドメインを生成する際に非英語の単語を用いている。以下は、2015年および2016年にAnglerで使用されているのを目にした、フィンランド語の単語である。

Angler Finnish 2015

 「valtioneuvostossa」とは「国務院」を指す。
 「omakotirakentamisessa」は「一戸建て住宅の建築時」を意味する。

Angler Finnish 2016

 「kansatieteelliseen」は「民族的な(何か)に対し」という意味だ。
 「nauhoittamasta」は「記録から」である。

Tinbaの分析:設定データ

分析および投稿:Mikko Suominen

 2年前、Tinbaはマルウェアのシーンに参入した。目下のところ、もっとも一般的なバンキング型トロイの木馬の1つとしてシーンに存在している。Tinbaの機能の中でも、あらかじめ設定が組み込まれている点と高度な暗号化方式を実装している点は注目に値する。これにより運用中の効率が高まり、分析される可能性が抑えられる。

 この記事では設定データについて、特に処理メモリから設定データを展開する方法に焦点を合わせる。当社(と読者のみなさんの一部)が設定データに関心を持つ理由は、Tinbaがどのように動作するか、また標的にしているのは誰か、ということを理解する一助となるためだ。

XOR暗号化のクラック

 Tinbaは、フォームグラビングやWebインジェクションといった機能で知られる。この機能は、侵害されたサイトに知らずに訪れたユーザから、銀行の認証情報を盗むために使われる。システムへ侵入する経路は、大半がスパムメールかエクスプロイトキットだ。

 ダウンロードされた時点でフォームグラビングやWebインジェクションの設定がディスク上に格納され、4バイトのキーによるXOR、続いてRC4、最後にApLibでの圧縮により保護される。XORのキーはTinbaのファイル群があるフォルダ名で、文字列から整数に変換したものだ。設定ファイルが一切ダウンロードされなかった場合、Tinbaは自身のバイナリにある、あらかじめ作成された設定データを使用するという手段に出る。このデータは、XORの暗号化を除き設定ファイルと同じ暗号化が用いられている。

 XORの暗号化は、設定ファイルを特定のマシンと紐づけるためのものだ。マシンとボットネットの特定データとの組み合わせをXORキーとして使用することで、感染したマシンへのアクセス権限を持たない人が設定ファイルの復号を試みると、難題に直面することになる。

設定ファイルの復号

 しかしながら、設定ファイルの復号は不要かもしれない。Tinbaが設定データを隠ぺいする方法が、現在の標準に比べると著しくお粗末だからだ。フォームグラビングのデータおよびWebインジェクションのデータの両方は、完全に復号された状態でWebブラウザのメモリに恒久的に格納される。これは非常にうかつである。他のバンキング型トロイの木馬は設定データを用心しながら保護する傾向にあり、必要なときにのみデータを復号し、もはや不要となれば直ちに復号されたデータをメモリから一掃する。

メモリ割り当てにおけるうっかりミス?

 Tinbaの作者は、物事をさらに簡単にするため、非常に怠惰な方法で設定データのメモリ割り当てをコーディングした。データに必要な量だけメモリを割り当てるのではなく、どんな設定データでも確実に格納できるほど十分に大きなメモリ容量をハードコーディングで割り当てることにしたのだ。その結果、0x1400000バイトという巨大なメモリブロックが、Webブラウザのメモリ空間の中でひどく目立っている。フォームグラビングの設定データはこの領域の先頭に保持されるが、Webインジェクションのデータはオフセットが0xa00000の位置に配置される。両方のデータ塊は設定データのサイズから始まる。

 一例に、サンプル「9c81cc2206c3fe742522bee0009a7864529652dd」が受け取ったWebインジェクションのデータの1エントリを挙げる。

Tinda web injection data
ポーランドの金融機関が標的であることをこのサンプルは示している

Zeusのフォーマットとの類似性

 Tinbaの設定データが不気味なほどZeusにそっくりに見えるのだとすれば、それはZeusや他の多数のマルウェアファミリーが使用しているのと同一のフォーマットをTinbaが採用しているからだ。このフォーマットは、どうもクライムウェア業界のちょっとした標準となりつつあるようだ。同一の悪意あるWebインジェクションを異なるボットネットで使用することが可能になるためだ。

 別々のマルウェアの作者が、自分のマルウェアの設定データに同一のフォーマットを使用するようになった経緯を解明するのは興味がそそられる。Webインジェクションのデータはボットネットの保有者が開発したのではなく、サードパーティーから購入したものだと仮定する。もしそうなら、特定の設定のフォーマットが一致するには、Webインジェクションの開発者らと、マルウェアの開発者らの間で連携することが求められる。数年前、Zeusは大きな市場シェアを握っていたので、おそらくこれは単に組織的に行われたのだ。顧客がWebインジェクションをより簡単に達成することを目的に、他の作者たちが同一のフォーマットを使用することは道理にかなっていた。


 Mikko Suominenは当社のレメディエーションチームのシニアアナリストである。

 詳細はJean-Ian Boutinによる論文「The Evolution Of Webinjects」(VB2014)を参照のこと。

iOSの機能制限を使ってさらに安全に

 Apple iOSには、強力な「ペアレンタルコントロール」のオプションがある。しかし実際には、OSの機能制限は両親に限定するべきではない。制限ありのユーザとして自分のコンピュータを利用しているのであれば、モバイル機器上でも同様にすべきだ。そこで今回、当社のCyber Security ServicesによるiOSのヒントを述べる。Tomi Tuominenが最近、私に情報共有したものだ。

 機能制限(Restrictions)を用いるのだ。「設定 > 一般 >機能制限(Settings > General > Restrictions)」と辿る。「機能制限を設定」を選択し、パスコードを設定する。

 そして、まず手始めにアカウントを「変更を許可しない(Don’t Allow Changes)」に設定するのだ。

iOS 9.2 Restrictions

 また「Appのバックグラウンド更新(Background App Refresh)」による変更を制限するのが私の好みだ。こうすると、自分で明示的に許可しない限り、新たにインストールしたアプリがバックグラウンドで実行しないようにできる。

 あなたにとってハッピーな設定を!

1月13日:APTオフ会

 ヘルシンキにとうとう冬がやってきた…。

F-Secure HQ 2016-01-05

 当地に来て自身でこれを体験してほしい。

 どうやって?

 1月13日の、当社のAPT(Advanced Persistent Threat)オフ会にご参加を!

Advanced Persistent Threat Meetup

 Frode Hommedalアーチュリ・リーティオらが講演する。

 そしてここであなたにチャンスがある。エフセキュアが2〜3人分の参加費用を受け持つ。世界中のどこからでもだ。しかし時間は限られている。このイベントは次週の水曜日だ。先延ばしせずに、今すぐ行動に移すのだ。Sami Lappetelainenに連絡を取って、なぜあなたが参加者に選ばれるべきなのかを伝えてほしい。

H0H 0H0

 本日、私はiOS 9の「Split View」によるマルチタスクをFreedomeKEYで試していたのだが…、

 Freedomeの新しい出口ノードが使えるようになったのを発見?

iPad Air 2 Multitasking with Freedome & KEY

 皆さん、よいフェスティバスを!

 (訳注:「H0H 0H0」はカナダ郵便公社がサンタクロース宛ての手紙の郵便番号として受け付けているもの。サンタクロースの笑い声「ho ho ho」をもじったもので、カナダの郵便番号の表記規則に沿ったものになっている。「フェスティバス」はクリスマスに対抗して、12月23日に飾りのない棒(pole)を用意するなどして皮肉っぽく祝う行事。北極(North Pole)とかけている)

ワイデン上院議員による暗号化ランサムウェアについての質問

 12月15日、ロン・ワイデン米国上院議員はジェームズ・コミーFBI長官に対し、暗号化ランサムウェアに関する書簡を送った。報告があったコストは、非常に驚くべきものだ。

Victims of ransomware attacks are reporting payments between $200 and $10,000 to get their personal or business-related data back.

 1万ドルだって?私の推測では、これは全部で1台ではなく複数台のコンピュータが攻撃されたためだ。

 以下はワイデン議員の質問だ。

Wyden's questions to the FBI.

 FBIがすぐにでも詳細な回答を行うことを望む。

iOS 9はパスコードのセキュリティを真に改善したか?

 私はパスワードに関してある研究を行っているのだが、最近、iOS 9の次の機能を思い出した。

 アップル社(訳注:日本語ページのURLはhttp://www.apple.com/jp/ios/whats-new/):「Touch IDを有効にしたiPhoneとiPad上で使えるパスコードが、デフォルトで4桁から6桁に変わりました。Touch IDを使っている人は、その変化にほとんど気づかないでしょう。でも、1万通りの組み合わせが100万通りに増えるため、あなたのパスコードを破るのがさらに難しくなります。」(文字の強調は私が行った)

iOS 9 Improved Security

 4桁から6桁に変わったって?翻訳するとこうだ。誕生した年も入れられるぞ!つまり今や「1101」の代わりに「110160」となる(ティム・クックは1960年11月1日生まれ)。

 上記はまったくの事例だが、こういうことをしている人に私はすでに遭遇している。そして他にも数多くの人が同様のことを行っていることに、ほとんど疑いの余地はない。

 だが少なくとも6桁のパスコードは、例の4文字単語を使う気がそがれる。

 (訳注:「プロからのアドバイス:5683というのは良いパスコードではない。」という意味)

 スマートフォンのキーバッドでは、5683 = LOVEなのだ。

 パスコードから「カスタムの英数字コード」に変更し、良いパスフレーズを付けることをお勧めする。iOSデバイスで、設定 > パスコード > パスコードを変更 > 現行のパスコードを入力 > パスコードオプション、と辿る。

ブルートフォースパスワード攻撃を発端としたFlashリダイレクタの事例

 「Flashリダイレクタ」の検知件数のグラフにおいて、10月に異常な山があることに気付いた。この原因は侵害されたWebサイト群だ。

RedirectorHits
図1:Flashリダイレクタの検知件数

 侵害されたWebサイトにはコードが挿入されている。このコードは、ユーザをエクスプロイトキットのAnglerへリダイレクトしようとする、悪意あるFlashオブジェクトを読み込む。

InjectedCode
図2:挿入されたコード

 このFlashリダイレクタは新しいものではない。これについては1年前にMalwareBytesに記事が掲載されている。しかしながら、10月中に観測した急増は我々の関心を引き、もう少し詳しく眺めてみることになった。

 URL短縮ツールus.toの使用を確認できなかった点を除いて、MalwareBytesが確認したものとURLのパターンに大差ないことを発見したのには、興味深いものがあった。攻撃の背後にいる人物は、フリードメインや一般的でないトップレベルドメインを巧みに利用している。

RedirectorURLs2014
図3:2014年のFlashリダイレクタのURL
RedirectorURLs2015
図4:2015年のFlashリダイレクタのURL

 Webサイトがどのように侵害されたかを調査するうち、そうしたサイトすべてがWordPressを使って構築されていることに気付いた。我々は当初、当該Webサイトは脆弱なプラグイン経由で攻撃されたと考えていた。

 侵害されたサーバについてさらに調査を行うと、単純なブルートフォースでのパスワード攻撃が、攻撃者の戦略の1つであったことが明らかになった。攻撃者は以下のようなURLにアクセスすることで、WordPressのユーザ名を列挙しようとした。

http://www.samplewebsite.com/?author=1
http://www.samplewebsite.com/?author=2
http://www.samplewebsite.com/?author=3

 以下は、authorをスキャンしたことを示すアクセスログの一部だ。

accesslog1

 ユーザ名を獲得したなら、攻撃者が特定しなければならないのはパスワードだけだ。攻撃者が使用したツールは、ログインに成功するまでにおおよそ1200件のパスワードを試していた。

accesslog2

 管理者アカウントへアクセスできるようになったら、攻撃者は悪意のあるスクリプトをサーバにアップロードし始める。こうしたスクリプトには、バックドアやさらにはスパマーのコンポーネントが含まれる。

accesslog3

 サイバー犯罪者にとって、マルウェアを配布するのにもっとも効率的な方法の1つは、Webサイトを侵害することだ。ユーザは習慣のとりことなっており、一般に自分のマシンが感染しているかもしれないなどと考えることなくお気に入りのWebサイトを訪れる。そのため、こうしたWebサイトの所有者がこの脅威が広がらないようにするのに重要な役割を持つ。前々からアドバイスされていることの1つは、あなたのサーバで実行される全ツールを最新にして、脆弱性を突いて攻撃される可能性を低減することだ。しかしながら、他ならぬこの攻撃の場合については、ユーザ名の保護および強力でユニークなパスワードを使用することの重要性をいくら強調してもし足りない。さらに、この種のWordPressの攻撃から身を守るためには、何を公開するにせよWordPressの管理者アカウントを使用すべきではない。また.htaccessに以下のコードを追記すると、autherを列挙しようとする試みをブロックできる。

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

 より詳細については「Block WordPress User Enumeration, Secure WordPress Against Hacking」で確認できる。

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード