エフセキュアブログ

インストール ソース を含む記事

思考実験:FBiOS 盗聴エディション

 ある思考実験をしてみる。

 現在進行形のあの問題…。

アップル社 vs FBI

 米司法省は全令状法(All Writs Act)を行使し、アップル社に対し「FBiOS」、つまり特定のセキュリティ制御を省いたiOSの修正版を開発すべく命じるよう、連邦裁判所判事に求めた。アップルはFBiOSにデジタル署名するように求められている。この件は現在議論されている。

 その次には?

FBiOSの機能の拡張

 司法省は全令状法を用いて、使用中のスマートフォンの盗聴機能を含めるべくFBiOSの開発を拡大しようとするだろう。同様に、FBiOSのAndroid版(別名GovtOS)を作成する令状も追加する。

盗聴権限を拡大するための法律を制定

 連邦議会はスマートフォンの盗聴を支援する法律を通過させることもあり得る。スマートフォンの製造企業にアップデートチャネルを通じてFBiOS盗聴エディションをプッシュするように要求するのだ(正当な捜査として)。

 未来へようこそ。

 この時点で…。

 全面的に侵害可能になったクライアント側のプラットフォームでは、もはや「隠されたもの」など無い。

 エンドツーエンドの暗号化アプリでは?問題無い。この盗聴機能は、UIやキーボードなどから内容を取得するだろう。

Signal Private Messenger iOS

 つまり、伝送中のデータは完全に暗号化されたままだが、この時点ですべてのスマートフォンに盗聴される可能性があることになる。OSを自分でコンパイルして(または信頼のおけるソースからインストールする)、アップデートチャネルの制御を維持する場合を除けば、だ。FBiOSの盗聴機能を複数の国の政府があまりにも簡単に悪用することは、歴史が示している。

 結論としては…アップル社 vs FBIの一件は、ただ1台のiPhone 5Cからはるかに超えた事態を引き起こす。

 思考実験終わり。

 ティム・クック、あなたを称賛する。

エフセキュアのクラウド型セキュリティソリューションPSBの日本国内シェアが大幅増進

2015年8月25日に発行された調査レポート「情報セキュリティソリューション市場の現状と将来展望2015 外部攻撃防御型ソリューション編」(株式会社ミック経済研究所)によると、エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(以下PSB)」の日本国内でのシェアが大幅に増進したことが明らかになりました。

当レポートはPSBの2015年度のASP・SaaS型アンチウイルス・アンチマルウェア出荷金額シェアが14.3%に達したことを示しています。2013年度では7.6%、2014年度に9.2%であったシェアが大きく伸び、初めて二桁台となりました。

エフセキュア株式会社のカントリーマネージャであるキース・マーティンは「マイナンバー制度導入を目前に控え、また標的型攻撃が企業規模に関わらず広がっている現在、中小中堅企業での情報セキュリティ強化の必要性がますます高まっています。特にPSBはマイナンバー制度対応で求められているサンドボックス機能を標準で備えており、中小中堅企業でのセキュリティ対策強化の手段として有効です」と語っています。

エフセキュアのPSBは、クラウド型でサーバレス運用管理を実現した統合的なセキュリティソリューションで、WindowsやMacのワークステーションから、WindowsとLinuxのサーバ、さらにiOSとAndroidのモバイル端末まで一元管理を可能にします。管理サーバはWeb を通してエフセキュアから提供されるため、新たにサーバを構築する必要はありません。Web 上のGUI を通して、各エンドポイントにインストールされた統合型アンチウイルスソフトの設定・運用・管理を、簡便かつローコストで実現します。IT リソースやIT 投資に制限のある中規模・小規模の企業向けの製品です。

詳細:
エフセキュア プロテクション サービス ビジネス(PSB)

Apple iOS 9のセキュリティ機能

 アップル社の2015年のスペシャルイベントが本日開催される。つまり、9月9日=iOS 9の発表、だ。

 アップルはiOS 9においてセキュリティが向上していることを確約している。Touch ID用に6桁のパスコードを実装したことは、広く報道されているものの一例だ。

iOS 9 improved security
ソース:アップル

 セキュリティ研究者のFrederic Jacobsによる、ドキュメントにある変更点についての秀逸な要約がMedium上にある。

 私がiOS 9のパブリックベータ版をテストしている際に気付いた細かい変更点は、Windowsに関連するものだ(*1)。

 iTunesがインストールされているコンピュータ(OS Xを実行しているあらゆるコンピュータを含む)に、iOS 9のデバイスを接続した際に目にするプロンプトを以下に示す。

iOS 9, Trust This Computer?
Trust This Computer?(このコンピュータを信頼しますか?)

 そして以下は、iTunesのドライバがインストールされていない(Windows)コンピュータに、iOS 9のデバイスを接続した際に見られるプロンプトだ。

iOS 9, Allow this device to access photos and videos?
Allow this device to access photos and videos?(このデバイスが写真およびビデオにアクセスすることを許可しますか?)

 これは些細だが、興味深い差異だ。「Allow」は制限されたアクセスを示唆する一方で、「Trust」ではより重要な何かを示唆している。かつて、iOSを狙ってクロスプラットフォームのマルウェアが試みられたことがあった。このAllowプロンプトがあることで、注意深い観察者なら、そうしたクロスプラットフォームのマルウェアがそこに存在していることを判定できるだろう。iTunesがインストールされていないと分かっているWindowsコンピュータにiOS 9デバイスを接続したとして、信頼する(Trust)かどうかを尋ねられたら…、信頼してはならない。

 もう1つ、細かいが大歓迎の変更点は、7月にブログに書いたSafariの新たな機能だ。

 SafariをJavaScriptによる警告ダイアログの無限ループに陥らせようとする詐欺サイトは、Safariの新たなオプション「Block Alerts(警告をブロックする)」によって、彼らの努力が無になったことを知るだろう。

iOS 9 Safari, Block alerts from?
Block alerts from?(〜からの警告をブロックしますか?)

 全般的に見て、iOS 9は良い感じだ。今日のアップルのイベントの最中に、さらにセキュリティに関する情報が出てくることを望んでいる。また9月16日に予定されている、iOS 9の一般公開を楽しみにしている。

 @5ean5ullivan

 (*1) Kali Linuxでテストしたところ「Trust」プロンプトが得られた



SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


Moudoorを単純には分析しない

 組織力があり洗練されたサイバー諜報組織に対抗する共同キャンペーンにおいて、本日、重要なマイルストーンに到達したことが分 かり、我々は喜びを感じている。この特定の組織の活動を妨害することを目的とした、Novetta社が主導するCoordinated Malware Eradication 戦 略に、当社はつい先日から参加した。他のセキュリティベンダー、特にインサイト、シスコ、Volexity、Tenable、ThreatConnect、 ThreatTrack Security、マイクロソフト、シマンテックも協力している。当該組織が利用していた脅威に対する、改良した非難声明を 、本日共同でリリースした。

 この諜報組織は、中国との強力な結びつきがあると我々は考えているが、金融、教育、政 府から政策集団やシンクタンクまで複数の業界を標的にしてきた、この組織は遅くとも2010年以降、活動を行っていた。

 攻撃者たちは活動を行うために、いくつか異なったツールを用いている。この犯罪者たちが使っているツールの1つが 、Moudoorである。

 Moudoorは、長期間に渡って数多くの派生版を生み出した、有名なGh0st RAT(Remote Access Tool)から派生したものだ。実際のところ、遅くとも 2008年以降、ソースコードはインターネット中を循環し続けている。

 Moudoorという名前は、当該マルウェアのコンポ ーネントによりエクスポートされる関数名にちなんでいる。

screenshot1_mydoor (21k image)

screenshot2_door (21k 

image)

 後のバージョンでは、このような明示的な文字列は引っ込められたが、脅威の 名前として残っている。

 Moudoorと、それ以外の数多くのGh0stの派生物とを見分けられるようにするものの1つは、 C&Cサーバと通信する際に使用する、特定のマジックバリューだ。この値は定常的に「HTTPS」にセットされ、我々がこの特定の系 統を長期間追跡する際に使用してきた、主要な識別要素の1つなのだ。

 根本的に、Moudoorは強力なリモートアクセス用 のツールである。通常、Moudoorへの感染を引き起こす一連のイベントは、水飲み場型攻撃を通してゼロデイの脆弱性を侵害するとこ ろから始まる。たとえば、攻撃者はCVE-2012-4792を用い、その後、最終的にMoudoorを被害者のマシンに到達させていた。

 Moudoorは素晴らしい機能を持っているが、その一部はGh0st RATの派生物から受け継いだものだ。Gh0stには豊富なファイルシステ ム操作機能や、高度な諜報、監視機能などがある。

 もちろんMoudoorの作者は、新機能を追加したり不要な機能を削除したりして、長い間この「フォーク」をカスタマイズし続けてき た。たとえば、Moudoorの初期のバリアントは、リモートシェルを開くGh0stの能力を維持していたが、この機能はもっと新しいバージ ョンでは無くなっている。その一方で攻撃者は、彼らの必要性や関心に特化した情報を被害者のマシンから抽出するように取り組んで きた。

 Moudoorのコードの分析により、この脅威の作者が中国人であるというヒントを得た。実行中、当該マルウェアはその時点での情報 を含む文字列を組み立てるが、人間が読めるフォーマットで時刻を表すために、文字列に中国の文字を使っている。

screenshot3_chinese (24k image)

 この取り組み全体についてのより詳細な情報は、ここで読むことができる。またマイクロソフト社もこの取り組みについての情報を 公開した。こちらのリンクから閲覧できる。

 当社では当該ファミリーをBackdoor:W32/Moudoorとして検出する。当社の顧客は自動的に、攻撃者が使うことが知られているツール を検出するための更新を受け取る。またOnline Scannerを用いて、侵害の兆候がないか確認することもできる。当社のOnline Scannerはスタンドアローンのツールで、インストールを要しない。つまり単純にダウンロードして起動すると、感染が無いかを迅速に確認で きる。



Moudoorのハッシュ:

0fb004ed2a9c07d38b4f734b8d1621b08be731c1
83f3babe080ef0dd603ea9470a4151354f0963d5
b315fe094bb444b6b64416f3c7ea41b28d1990a4


この世は標的型攻撃に満ちている?


当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

いやいや、間違いあるだろう。NCR社製以外のATMをお使いの業者の方も安心してはいけません。

問題となっているWOSA/XFSという規格は、ウィキペディアでの説明によると、ベンダーごとにばらばらだったATMの規格を統一するために作られた規格です。WOSAのOはOpenのOですので、わざわざ百度(バイドゥ)さんの力を借りなくても誰でもソースコードレベルで実装を手に入れることができます。NCR社だって、XFSを使っていることを堂々とオープンに宣伝しています。

そういうわけですので、「NCR APTRA XFSソフトウェア」がインストールされていなくてもマルウェアは動きます。実際にmsxfs.dllをインストールした私の手元にあるWindowsでも動いています。



残念ながら手元のWindowsには現金が入っていないので、現金があるかのようにエミュレートしています。
(エミュレート部分は弊社エンジニア(op)により作成されました。)

要するに、統一規格であるXFSを採用しているATMであれば被害を受ける可能性があるということです。

じゃあ日本ではどれだけ採用されているのかというと、ウィキペディアのXFSのページには次のように書かれています。
日本国内の主要ATM及び通貨処理機メーカーは、ほぼ全ての金融関連製品で本規格(旧版を含め)を活用している

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

Necurs - 有償のルートキット

 Necursとは、マルウェアの検知と除去の試みを妨害するためのカーネルモードドライバで、現時点で最も有名なものだ。GOZ(Gameover Zeus)で使われている。すでにPeter Ferrieによる記事で、Necursドライバの技術的な詳細は網羅的に取り上げられているが、我々は分析中にある興味深い点に気付いた。Nucursは「売り出し中のクライムウェア」モジュールとして段階的に取り込まれているのだ。

 我々がNecursドライバの最古のバージョンを見たのは2011年5月で、スタンドアロン型のマルウェアとしてだった。2012年初頭に、あるトロイの木馬型のダウンローダによってドロップされるのを観測した時点までは、他のマルウェアとの関連はなかった。この時はユーザモードのコンポーネントでしかなかったが、ドライバとしてNecursと呼ばれるようになった。

 GOZに当該ドライバが同梱されているのを目にしたのは、2014年の2月に過ぎない。これで著しく注目度が高まった。GOZボットネットの感染端末は何十万に達するものと推定されており、主にオンラインバンキングによる窃盗に用いられている。

 GOZはNecursが組み込まれる前は、関連するドライバ無しで動作していた。米FBI(Federal Bureau of Investigations)が遮断作戦を開始する約2か月半前に、このボットネットにNecursが加えられたのはかなり好奇心をそそる。

 Necursドライバの設計で興味深いのは、サードパーティが利用する際、作者による修正が一切必要ないところだ。Necursドライバの生成とインストールに使われているドロッパーのコードは、Necursのトロイの木馬型のダウンローダとGOZの双方で同じものだ。つまり作者は、ドライバを利用可能にするために必要なものをすべて提供しているのだ。

 ドロッパーのコードはシェルコードの様式で記述されていてそのまま実行可能であり、このドライバを使ったマルウェアが最終的にどんなものであれ、簡単にソースコードに含めることができるようになっている。

 Necursの顧客にソースコードを渡す必要はなく、単にサービスキーの値を適切に設定するだけで、任意の実行ファイルを保護するようにドライバを簡単に設定できる。保護すべきファイルの名称は、ドライバのサービスキーDisplayNameの値から取得される。

 実際のファミリーが何であれ、ユーザモードのコンポーネントからドライバへ命令を与えられるようにする制御用インターフェイスもNecursに組み込まれている。制御はIRP_MJ_DEVICE_CONTROLというリクエストで実行される。これはDeviceIoControlというユーザモードのAPIを通じて送信できる。

 ユーザモードのコンポーネントが最初に送信しなければならない制御コードは0x220000である。Necursドライバはこれを受信すると、ドライバを制御できるプロセスとして、リクエストを送付するプロセスのハンドルを保存する。このコマンドはブートアップごとに1度しか受け付けない。

 制御プロセスとして保存されるには、当該リクエスト用のIRP.AssociatedIrp.SystemBufferが12バイト長で、なおかつ以下の2つのチェックを通る必要がある。

   •  first_dword ^ 0xdeadc0de == second_dword
   •  first_dword ^ third_dword == リクエストを送信したプロセスのpid

 さらにチェックがあり、制御コードを送信するプロセスの名称はNecursのサービスキーのDisplayNameフィールドと同一でなければならない。これにより、Necursが保護するファイル名に対してアクセスしようとコマンドを送信する、望まぬプロセスを回避している。

 Necursは以下を含め、合計15の別々のIoControlCodeをリッスンする。

   •  0x220000 Necursマスターとしてプロセスを登録
   •  0x22000c Necursドライバのパスを取得
   •  0x220010 Necursのサービスキーの名称を取得
   •  0x220018 Necursドライバを更新(ドライバファイルの中身が、IRP.AssociatedIrp.SystemBuffer内のデータに置き換えられる)
   •  0x22001c Necursドライバをアンイストール
   •  0x220028 pidによりプロセスを終了
   •  0x22002c 名前によりプロセスを終了

 各コマンドを呼ぶコードは、ドライバのインストールも行うドロッパーのコード内に含まれている。

Necurs

 こういった特徴は本質的に、Necursドライバを再販およびサードパーティによる使用にうまく適合させている。これはGOZのトロイの木馬で用いられていることから明白である。ボットネットを遮断する現在の試みは、Necursの最大の「顧客」の運営の妨げになっているようだが、少なくともしばらくの間だけだろう。

 当社はNecursドライバのバリアントをRootkit.Necursとして検知する。

 —————

 Post by — Mikko S

モバイル脅威に対する有効な対策

ますます巧妙化するモバイル脅威に対し、エフセキュアの最新版モバイル脅威レポートで紹介されている対策方法についてご案内します。

デバイスにロックをかける


オンラインベースの攻撃に対する懸念が広がっているとはいえ、デバイスをマルウェアに感染させるのに最も容易な方法は、直接ひそかにインストールすることです。まずデバイスの物理的なセキュリティを保護してください。デバイスをロックすることで、誰かがあなたの気づかないところで設定を変更したり、監視ツールやスパイウェアなどのアプリをインストールしたりするような事態を防ぐことができます。

盗難保護対策を講じる

盗難保護対策を利用すれば、デバイスを取り戻すことが不可能だと思われる場合に、リムーバブルメディアを含むデバイス上のデータをリモートで消去することが可能です。盗難対策ソリューションには、デバイスの位置を確かめたいときのためのロケーションマッピングやアラーム起動機能などが含まれます。

権限の要求を確認する

Playストアまたはその他のソースからアプリをダウンロードする際には、要求される権限の一覧を確認してください。インターネットへの接続やファイルを外部ストレージに保存する必要がありますか。あるいはSMSメッセージの送信を許可する必要はどうでしょうか。そうした権限が必要な理由を開発者のサイトで確認し、またレビューを読んで他のユーザの意見を参考にしてください。

ダウンロードしたアプリをスキャンする

アプリをダウンロードした後は、インストールする前に、信頼できるモバイル向けアンチウイルスソフトを使用してスキャンを実施してください。これは「沈黙」の動作、すなわちユーザに通知されることなく許可されている動作を確認する手段です。アンチウイルスソフトのスキャン結果に問題がなければ、安心してアプリのインストールに進むことができます。

信頼できるソースからのみダウンロードする


Android端末では、Playストア以外のソースからのアプリのインストールはブロックされるようにデフォルト設定されています。お使いのデバイスがPlayストアのアプリのみを許可しているかどうかは、[設定]>[アプリケーション]>[提供元不明のアプリ]から確認できます。チェックボックスにチェックが入っている場合は、Playストア以外のアプリがインストールできる状態になっていることを意味しますので、チェックを外してください。

モバイル脅威の最新の詳細については「2014年第1四半期モバイル脅威レポート」を参照してください。

エフセキュア仮想スキャンサーバ、高い評価で受賞

仮想環境におけるエフセキュアのセキュリティ・ソリューション「エフセキュア仮想スキャンサーバ」が、Networld誌の「年間最優秀セキュリティ・ソリューション賞」を受賞しました。

エフセキュア製品が再び表彰されました。ポーランドのITプロフェッショナル向けの専門誌Networldは、「エフセキュア仮想スキャンサーバ」に「年間最優秀セキュリティ・ソリューション賞」を授与しました。本製品は2013年12月に販売を開始しています。

「本製品の大きなメリットは、これが仮想環境、混在環境、ハイブリッド環境で展開可能であるという点です。つまり、この製品が物理マシンと仮想マシンの両方にインストール可能であるということです。また、エフセキュア仮想スキャンサーバがVMware、Citrix Xen、Microsoft Hyper-Vなどの一般的な仮想プラットフォームすべてに対応しているということは、きわめて重要なポイントです。」

従来のアンチウイルス・ソリューションは、多くのハードウェア資源を占有し、混合環境下での運用が困難な場合があります。その結果、パフォーマンスに悪影響が及びます。一方、仮想環境向けに開発されたセキュリティ・ソリューションの多くは、パフォーマンスの最適化に重点を置いているため、保護レベルに妥協しています。エフセキュア仮想スキャンサーバは、専用に設計されたスキャンサーバを使うことで、検知率を損なうことなくパフォーマンスを向上します。

現在、組織の規模にかかわらず、多くの企業はクラウドへ移行し、さらにメリットを享受できる手法として仮想化を採用しています。クラウドへ移行することで、多額の初期費用を運用費へ切り替え圧縮することができます。また仮想化を支持する大きなポイントの一つに柔軟性があります。すなわち必要に応じてサービスを追加し、あるいは削除できるということです。他の大きな理由として、リソースの最適化が挙げられます。これにより新しいサービスを素早く自動で展開できるため、運用効率性を上げることができます。

仮想化プラットフォームやクラウドベースソリューションの利用が拡大している中、エフセキュア仮想スキャンサーバで仮想環境に対するセキュリティ・ソリューションを提供してまいります。

「ポリス・ランサムウェア」がAndroidのエコシステムに拡大

 クライムウェアでは、Windowsベースの技術がAndroidへと着実に移行している。フィッシング、偽のアンチウィルス詐欺、バンキング型トロイの木馬のコンポーネントと見てきたが、今では…ランサムウェアだ。

 そう。Android用の「ポリス・ランサムウェア」である。当社がこれに付けた名前はKolerだ。

main screen

 クライムウェアのエコシステムは、日常的に接触していたAndroidシステムを長い間、注目していた。ランサムウェアが飛躍を遂げようとしているのを目にするのは、実際のところ大きな驚きというわけではない。

 以下に当該ランサムウェアがどのように動作するのかを示す。

 ブービートラップが仕掛けられた(ポルノ)サイトをAndroid端末で訪れると、セキュリティ侵害が発生する。続いてマルウェアは動画プレイヤーを装って、インストールを求める。これは「enable unknown sources(未知のソース)」の設定がどのように指定されているかに依存する。

 インストールが完了すると、Kolerは電話機の個人情報をリモートサーバへ送信する。この後、不法なポルノサイトにアクセスしたことで電話機がロックされた旨を伝えるWebページをサーバが返す。ロックを解除するために、罰金を支払うように言われる(身代金)。

 Kolerはファイルを暗号化すると主張するが、実際には何も暗号化されない。

 以下のドメインは、Kolerのリモートサーバとしてハードコーディングされている。

  •  mobile-policeblock.com
  •  police-guard-mobile.com
  •  police-mobile-stop.com
  •  police-scan-mobile.com
  •  police-secure-mobile.com
  •  police-strong-mobile.com

 現時点で、Kolerのサーバ群はオフラインだ。Googleのキャッシュで1台のサーバのみ(職場閲覧注意の)コンテンツが見つかるが、マルウェアは削除されている。これらのサーバは米国にホストされている(いた)。whoisでは、電話番号などデンマークおよびロシアのコンタクト情報が出てくる。

 現在のところ、ローカライズした各国のバージョンが30か国以上で見つかっている。コンテンツはWindows版の「ポリス・ランサムウェア」から移植されており、モバイルブラウザ用に整形されている。

 Kolerを削除するには:

 このランサムウェアは戻るボタンを無効にしているが、ホームスクリーンボタンは有効だ。ユーザはたった数秒で、電話機の設定を削除したり、出荷時の設定に復旧したりできる。

 別の選択肢は、サービスメニューに戻り、そこからKolerを削除する方法だ。

 Kolerはまた、adb.exe経由でデバイスへアクセスするのを阻害する。シェルは起動できるが、ファイルの閲覧は許可されていない。

 詳細については、当社のTrojan:Android/Kolerの説明から得られる。

 Analysis by — Mikko Hyykoski

ヴィンテージ:ファッションや家具には魅力的だが、 ソフトウェアには無用

最近のエフセキュアの調査では、10社中4社の中小中堅企業が古いソフトウェアを使用していることを報告しており、データ漏洩に対し無防備な状態にあります。

なんらかの商品を購入して、長い期間保管しておけば、それはやがてヴィンテージ化します。粋で独特の味を出し、過ぎ去った日々へと時間を戻してくれるヴィンテージは、ファッションや家具、車にとっては魅力的でも、商用ソフトウェアにとって古いということはセキュリティリスク以外の何物でもありません。エフセキュアの調査では、多くの企業が古いソフトウェアを使用することで会社の資産を大きな危険にさらしていることがわかっています。

94%の中小中堅企業は、ソフトウェアを常に最新の状態にしておくことが重要であると考えています。しかし、現実にはそのようになっていません。自社のソフトウェアが常に最新の状態であると答えた企業はわずか59%、ソフトウェアを最新の状態に保つのに充分なリソースがあると答えた企業はわずか63%にすぎません。

ソフトウェアを最新の状態に保つことは、ビジネスでのセキュリティ全体において非常に重要な要素の1つです。古いソフトウェアには、サイバー犯罪者が企業ネットワークへの侵入経路として悪用可能なセキュリティ上の欠陥が潜んでいます。エフセキュアラボが検出したマルウェアトップ10の70%から80%は、ソフトウェアを最新の状態にしておけば防ぐことができたものです。

ソフトウェアアップデートは長時間を費やす

企業は、ソフトウェアのアップデートに1週間当たり平均11時間の時間を費やしていると報告しています。企業の規模が大きくなるほど、その時間は増えています。従業員数50人未満の企業では、1週間当たりの平均時間が3時間であるのに対し、従業員数が250人を超える企業ではこの時間は15時間以上になります。

エフセキュアのコーポレートセキュリティ担当バイスプレジデント、ペッカ・ウスヴァは次のように述べています。「アップデートに企業が費やす時間については、ほんの氷山の一角に触れるだけですが、ありがちな誤解として、問題がOSにあると認識されていることが挙げられます。しかしそれは誤りです。OSは、十分にメンテナンスが施され、アップデートが行われています。深刻なのは、企業や個人が使用するサードパーティのアプリケーションなのです。いくつか例を挙げるとSkype、Adobe Reader、さまざまなプラグイン機能を持つブラウザ、Javaなどが該当します。皆様はご自分のデバイスに何がインストールされているかをご存知でしょうか。」

一方、古いソフトウェアに潜む脆弱性を狙ったサイバー攻撃は増え続けています。そして、新種の脅威というのは、数日や数週間ではなく、秒単位で作成されています。

従業員が個人所有のソフトウェアを使用

現在では従業員は個人所有のデバイスを持ち込んでおり、調査を行った企業の約半数は従業員による個人所有のソフトウェアの使用も容認しています。企業の規模が小さいほど、この傾向は顕著になります。従業員数が50人未満の企業の56%が容認しているのに対し、従業員数が250人を超える企業で容認しているのは39%です。また、フィンランド(53%)、スウェーデン(59%)では比較的高い割合で容認され、ポーランド(30%)やフランス(36%)では、容認度が低くなっていることが報告されています。

67%の企業では、個人所有のソフトウェアを使用する従業員は、自分たちでアップデートを行わなければなりません。しかし、個人がソフトウェアを常に最新の状態にしている保証はないため、これはリスクの高いポリシーということになります。従業員数が50未満の企業では、81%の従業員がアップデートを自分で責任を持って実施しなくてはなりません。また、企業の30%はMicrosoftのアップデートにしか対応していません。

ソフトウェア アップデータ : ソフトウェアを最新の状態に保つ、従来とは異なる最新の方法

ウスヴァは、企業のすべてのコンピュータとデバイスのソフトウェアすべてを最新の状態に保つ方法は、そのプロセスを自動化するほかないと語ります。「ソフトウェアメーカーは週ベースで、または長くても月ベースでアップデートのリリースを行います。これらのアップデートを手動で行おうとするのは、負け戦に挑むようなものです。ソフトウェア アップデータの自動化機能に全社的なセキュリティアップデートをすべて任せることで、貴重な時間やリソースを他の作業に充てることができるようになります。」

ソフトウェア アップデータはエフセキュア プロテクション サービス ビジネス(PSB)の機能の1つです。ソフトウェア アップデータを使えば、企業は従業員がインストールしたソフトウェアでも、常に最新の状態に保つことができます。プロセス全体を自動で完結することができるのです。ソフトウェア アップデータは、ソフトウェアの脆弱性を狙った攻撃から企業ネットワークを保護するために役立ちます。また、ソフトウェア アップデータはエフセキュアのその他の法人向け製品にも利用可能です。

ヴィンテージは、ファッションだけに留めておきましょう。昨日のソフトウェアは今日の時間や費用の無駄であり、明日の信頼や重要なデータ喪失のリスクとなります。

* エフセキュアの2014年デジタル企業調査は、8カ国(ドイツ、イタリア、フランス、英国、スウェーデン、フィンランド、ポーランド、アメリカ合衆国)で1〜500名の従業員(平均200名)を有する企業を対象にWebインタビューを実施しました。同調査は2013年11月に実施されました。

AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

シャーキング:ハイローラーに照準

 ここエフセキュアラボでは多数のサンプルを入手している。大半はオンラインで送付されるが、時折フォレンジックを目的に、当社のラボの1つに訪ねてきてコンピュータを持ち込む人がいる。

 今年はこれまでに、20代前半の男性がアウディR8を当社のヘルシンキ本社のすぐ外に駐車した。彼の名はJens Kyllonenという。現実世界のトーナメントでも、オンラインのポーカーの世界でも、プロのポーカープレイヤーだ。彼はあらゆる意味でハイローラーだ。ここ1年で250万ドルまで獲得している。

Jens Kyllonen

 それで、なんでこのポーカースターが通常のルーティンから外れて、ひょっこり当社に立ち寄ったのだろうか?以下が彼の話だ…。

 今年9月、Jensはバルセロナで行われたEPT(European Poker Tour)というイベントに参加した。彼はイベントが行われた5つ星ホテルに滞在し、1日の大半をトーナメントのテーブルで過ごした。そしてトーナメント中に休憩して、自室へ行った。するとラップトップが無くなっていたのだ。友人が借りていないかを確認しにいったが、違った。そして部屋に戻ると…、ラップトップが置いてあった。どこかおかしいことが分かった。この彼の疑念を詳しく言うと、OS、つまりWindowsが適切にブートしないのだ。

 Jensは以下のフォーラムにて、その日何が起こったかについてさらに詳細なシナリオを提供している。

poker_forum_post

 Jensは侵害された可能性があると考え、我々に彼のラップトップを調査するように依頼してきた。プロのポーカープレイヤー、特にオンラインでゲームをするプレーヤーにとっては、ラップトップのセキュリティは最優先事項なので、これは非常に重要なことだ。我々は調査に同意し、そして完全なフォレンジック・イメージを作成して、捜査を開始した。

 しばらくして、Jensの予感が正しかったことが明確になった。ラップトップは確かに感染していた。ラップトップが無くなったのと同じ時間のタイムスタンプ付きで、RAT(Remote Access Trojan)が仕掛けられていた。明らかに、攻撃者はUSBメモリスティックからトロイの木馬をインストールし、再起動するたびに自動的に開始するように設定していた。ところでRATとは、攻撃者が遠隔からラップトップを制御、監視できるようにする一般的なツールで、マシン上で起きていることをすべて見ることができる。

 以下は続けて取ったスクリーンショットで、今回のRATがどのように作用するかについて確認しやすくしている。このスクリーンショットでは、攻撃者は他のプレイヤーと同じく、自分自身のカードを見ることが可能だ。

poker_attacker_hand

 しかしこのトロイの木馬を使えば、感染したマシン、つまり被害者がクイーンのペアを持っていることも攻撃者は確認できる。これにより攻撃者が優位に立ち、より良い手のために出すべきカードが分かる。


poker_victim_hand

 この種の攻撃は非常に全般的で、我々が知っている任意のオンラインポーカーサイトに対して有効である。

このトロイの木馬はJavaで書かれており、ソースの難読化を図っている。しかし、それほど複雑なわけではない。Javaであることから、このマルウェアはどんなプラットフォーム(Mac OS、Windows、Linux)でも実行できる。以下は、犠牲者の画面のスクリーンショットを取る部分のコード片である。


poker_jrat

 Jensのラップトップの分析後、我々は他の被害者も探し始めた。そしてまた別のプロのプレイヤーHenri Jaakkolaのラップトップにも、まったく同一のトロイの木馬がインストールされていることが判明した。HenriはバルセロナのEPTイベントでJensと同室だった。

 個別に仕立てたトロイの木馬でプロのポーカープレイヤーが標的にされたのは、今回が初めてではない。何十万ユーロも盗むために使用されたケースについて、我々はいくつか調査してきた。これらのケースで特筆すべきなのは、オンライン攻撃ではない点だ。攻撃者はわざわざ現場で被害者のシステムを狙う苦労をしている。

 (Evil Maid Attack、邪悪なメイド攻撃)

 今やこの現象は十分に大きく、固有の名前「シャーキング」(Sharking、sharkはトランプ等の名人の意)を持つのにふさわしいと我々は考える。シャーキング攻撃(別名ポーカーシャーク)はプロのポーカープレイヤーを狙った標的型攻撃である。これは優れたプロフィールを持つビジネスマネージャを標的としたホエーリング攻撃に似通っている。

 それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。

—————

DaavidAnttiによる分析および投稿

やる気のある攻撃者が望むものをたびたび手に入れるのはなぜか

 組織外の人から見て経済的な価値を持つ可能性がある情報を保持する企業に、あなたはお勤めだろうか?あるいは、共有ネットワークドライブに保存しているドキュメントへのアクセスを得ると、もしかすると外国で役に立つだろうか?イエス?それなら、おめでとう。あなたは既に、しつこくてやる気のある攻撃者(ときに、ただし稀にだが高度な技術を持つ)の標的になっているかもしれない。

 フィンランドCERTのこちらのプレゼンテーションによれば、フィンランドでさえこうした攻撃が10年近く見られる。昨今では、至る所にある。

 標的型攻撃の好例は、2011年にRSAに対して行われたもので、当社ではティモ・ヒルヴォネンが分析を行った。RSAのネットワークでの感染に関して、ティモがオリジナルのソースを探し、最終的に見つけるまでの話は、この投稿にすべて記載されている。

RSA 2011 email

 RSAは、ある従業員宛てのメールの添付として送付されたドキュメントにより侵害された。このドキュメントには従業員のコンピュータに感染したエクスプロイトが埋め込まれており、攻撃者が侵入するのに不可欠な足がかりとなっている。当該コンピュータから、ネットワーク上の残りのコンピュータを侵害するために移動していくのだ。

 Virustotal経由で我々が受け取ったファイルの中から、ティモはドキュメントを見つけた。Virustotalとは、投稿したファイルをいくつかのアンチウイルス・エンジンでスキャンできるオンライン・サービスだ。ユーザはスキャン結果、つまり悪意がある可能性を確認することができ、またファイルはさらに分析するためにアンチウイルス企業に送付される。Virustotalでは日々数十万のファイルが投稿される様子が見られる。

 悪意あるものを検知するかを確認したいので、我々はVirustotalから送付されるファイルの分析に多大な努力を費やしている。日常的なマルウェアに加えて、不審なユーザがスキャンするために投稿するエクスプロイト・ドキュメントも分析している。

APT animation

 上のすべてのドキュメントにはエクスプロイト・コードが含まれ、脆弱性のあるドキュメント・リーダーでこれらのドキュメントを開くと、ユーザのコンピュータにマルウェアが自動的にインストールされる。ドキュメントからは標的について垣間見ることもできる。このような添付ファイルを受け取ることが予期されるのは、どのような人なのだろうか?

 当社の最新の脅威レポートにて、Jarno Niemelaはこうしたドキュメント一式を取り上げ、そこから文章をすべて抜き出して、用語のクラウドを構築した。

Word clouds

 左側の用語クラウドは、テーマが政治的だと当社で分類したドキュメントからだ。右側のものは、企業をテーマにしていると感じたドキュメントによる。これらのクラウドから、攻撃者の興味を引いているのがどういった分野の類なのか、ヒントが得られる。

 しかしながら、同じトリックが永遠に使えるわけではない。エクスプロイトを添付して十分な数のメールを送ったら、標的は学習、適応する。それだからこそ、「水飲み場型攻撃」という形の新たなトリックを我々は目にしてきた。水飲み場型攻撃は次のように機能する。攻撃者は、標的が訪れると思しきWebサイトを探し出す。Twitterや、Facebook、Appleのようなソフトウェア企業を標的にしたいなら、おそらくモバイル開発用のWebサイトを選択するだろう。政府機関を追っているのなら、アメリカの労働省のWebサイトにIE8用のゼロデイエクスプロイトを仕掛けるかもしれない。その後は単に標的が当該サイトを訪れて、感染するのを待つだけだ。

 そしてまたUSBドライブを使った、古くて優れたトリックがある。

Russia USB G20

 G20首脳に提供されたUSBドライブに実際にマルウェアが含まれていたというニュースを裏付ける情報を、我々は持ち合わせていない。もし真実であるなら、少なくとも攻撃者を楽観性が欠けていると責めることはできない。

 つまり防御はシンプルなのだ。同僚からのメール添付を開かず、インターネットでWeb閲覧をせず、USBドライブを利用しなければよい。もちろん実際には、その他のことも数多く念頭に置いておく必要がある。やる気のある攻撃者から守ることは、非常に非常に困難だ。日々、すべての物事を適切にしておかなければならない。攻撃者はあなたが犯す過ちをたった1つ見つけるだけでよいのだ。悪者たちがそれを得るのは簡単すぎる。そして世の中でこれほど多くの組織が攻撃下に置かれているのは、これが理由だ。

 追伸。こうした攻撃から身を守るためのヒントについて、Jarno Niemelaが今秋のVirus Bulletinにて示したプレゼンテーションを参照するとよい。

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

偽の「F-Secure Security Pack」という悪意あるブラウザ拡張について

 当社では、ある悪意あるブラウザ拡張を追っている。このブラウザ拡張には、さまざまな異なるソフトウェア企業の手によるものだと表示される。

 これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。

 このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。

Contents of malware installer

 上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。

 このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。

Certificate information

 現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。

 Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。

Foobar

 Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。

ff_ext

 この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。

extension_chrome_pack

plugin_drweb

plugin_kingsoft

 ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。

extension_spanish_text

 以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。

extension_spanish_text

 設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。

extension_spanish_text

 F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。

 SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2

ソフトウェアがアップデートされない危険性

PCにインストールされている各種ソフトウェアのバージョンが最新でなくセキュリティパッチも適用されていない状態で使用することは脆弱性やセキュリティホール などのセキュリティ上のリスクをもたらします。これらは同時にビジネスのセキュリティレベルの低下を招き、情報漏洩などの社会的信頼の失墜により業績を低下させる危険があります。

企業にとって最も良い防御方法は、オペレーティングシステム、プラグイン、アプリケーション、ブラウザといったソフトウェアの最新バージョンを使用するよう に留意することです。しかし、すべてのコンピュータでソフトウェアを最新状態に保つことは、企業にとっては非常に負荷が大きく、特にITリソースが乏しい企業ではほとんど不可能な作業となっています。


「エフセキュア クライアント セキュリティ プレミアム」では従来のアンチウイルス、スパイウェア対策などのセキュリティ機能を提供しつつ、これらのセキュリティリスクを低減するための新たなソリューション「ソフトウェア アップデータ」を提供します。





「エフセキュア クライアント セキュリティ プレミアム」の特徴


エフセキュア クライアント セキュリティ プレミアム」には、オペレーティングシステムやアプリケーションを常に最新の状態に維持するソフトウェア アップデータが実装されています。ソフトウェアアップ データは、実施されていないセキュリティアップデートやパッチを確認するためにコンピュータをスキャンし、自動もしくは手動でこれらを適用します。ソフトウェア アップデータは、Windowsに 加えて、サード・パーティのアプリケーションのアップデートにも対応します。大半の脆弱性はオペレーティングシステムだけでなく、ブラウザ、プラグイン、 その他アプリケーションを含むサード・パーティのソフトウェアで見つかるため、最新の状態に保つことは非常に重要です。


さらに「エフセキュア クライアント セキュリティ プレミアム」は、ふるまい検知技術の最新版であるディープガード5を備えています。ディープガード5は、ゼロデイ攻撃を検知する能力を持ち、対抗するためのふるまい検知、メモリ検知、レピュテーション解析などの組み合わせを駆使したインテリジェントなアンチ・マルウェア・エンジンです。


無料アップグレードキャンペーン


ソフトウェアを常に最新に保つことができる「エフセキュア クライアント セキュリティ プレミアム」を、現在競業製品を使用中のお客さまにお求め安い価格でご提供するために、新規でご購入頂く場合、一年間「エフセキュア クライアント セキュリティ スタンダード」の価格でご利用可能なキャンペーンを実施します。また既存のお客さまには20%の追加費用でプレミアム機能を次回更新時までご利用可能にいたします。キャンペーン期間は、2013724日(水)から20131227日(金)弊社受注分までとなります。

キャンペーンの詳細は、キャンペーンチラシ (PDF 1.3MB)  をご参照ください。

Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア

 2月1日金曜日。Twitterがハッキングされたとアナウンス。情報セキュリティ部門のディレクターBob Lord氏によるブログへの投稿(Keeping our users secure
)では詳細不明だったが、ブラウザのJavaプラグインを無効にするように推奨。

 そして同氏によると、攻撃者は「非常に精通しており、
他の企業や組織も最近同様の攻撃を受けたことを確信している」とのことだ。

And we believe other companies and organizations have also been recently similarly attacked

 2月15日金曜日。Facebookがハッキングされたとアナウンス。セキュリティ・チームのノート(Protecting People On Facebook)によれば、ほんの一握りの従業員が、「ラップトップマルウェアをインストールするエクスプロイト」のあるJavaをホストしている、侵害されたWebサイトを訪れたとのことだ。

Allowed malware on laptops

 したがって、デフォルトではブラウザのJavaプラグインを無効にし、実際に必要なときにのみ有効にするといい。しかし、我々はとっくにそんなことは知っていたよね?

 そして他のみんながOracleをバッシングしている間に、我々はもっと興味深い疑問を抱く。どういった種類のラップトップに、どんなマルウェアが

 なぜかって?それは、Facebookの従業員の写真の中で、我々がほぼ常に目にするラップトップの種類がMacだからだ。

 以下は、Facebookのセキュリティ・チームのカバー写真だ。

Own Your Space
画像Facebook Security:「Own Your Space

 我々は2月4日の時点で既に、エクスプロイトがドアを開けることを推測していたが、そのドアをくぐって、シリコンバレーの若いお利口な開発者のMacBookまでやってきたのは何だったのだろうか?

 さて、実に興味深いことに、先週の金曜日の夜、(メーリング・リスト経由で)分析用に新しいMacのマルウェアのサンプルをいくつか受け取った。1月31日、つまりTwitterのアナウンスの1日前に、VirusTotalにアップロードされたサンプルだ。

 サンプルのうちの1種類はカスタム・コンパイルされたSSHデーモンで、我々はエクスプロイトがこれを入れた可能性が非常に高いと疑っている。その他のものはバイナリではないので、実際には「サンプル」ではない。1行プログラム(Perl)で、スタートアップ時に実行してリバース・シェルを開くものだ。

 使用されているURLには「Apple Corp」のスペル間違いが含まれ、デジタル・コンサルティング企業のようにも見えるし、クラウド・ストレージ・サービスを装っているようにも見える。

 オーケー、つまり今そこにMacの脅威があり、大半のMacユーザはまったくそれに気づいていない。ユーザ達は間違ったセキュリティ感覚を持っている。それは良くない、だよね?しかし、実際にあらゆる点を考察すると、これは最悪なことでもない。このJavaエクスプロイトが置かれていた、セキュリティ侵害されたWebサイトはどこだったのか?Facebookのノートによれば、それはモバイル・アプリケーションの開発者のWebサイトだった!

Visited a mobile developer website that was compromised

 理解した?モバイル・アプリケーション開発者を狙った
、「水飲み場」型攻撃("watering hole" attack)なのだ。


 たとえば…、モバイル機器をハッキングできないかな?オーケー、それなら、
上流に行って、モバイル・アプリケーション開発者をハッキングしよう。開発者のソース・コードに何でも好きなものを差し挟めるところだ。

 TwitterとFacebookにはもちろん、トラブルを警戒する専属のセキュリティ・チームがあるだろう(両社は大きな標的だ)。残念なことに、両社より小規模な他の(大きなユーザ基盤を持つ)シリコンバレーのスタートアップには、同様のリソースはない。この時点で、誰かがWhatsAppの人に連絡したことを切に願っている。Google Playによれば、WhatsAppは少なくとも1億本はインストールされている

 この世には数百万まではいかなくとも数十万のモバイル・アプリケーションがある。モバイル・アプリケーションの開発企業のWebサイトに、最近、どれくらいのアプリケーション開発者がアクセスしていたと思う? Macで…、そして非常に間違ったセキュリティ感覚で。

 もしこの水飲み場型攻撃が、実際にはTwitterやFacebookのような大規模プレイヤーだけを狙っているなら、非常に幸運というものだ。反対に、このキャンペーンに可能な限り多くの開発者をハッキングするというような、もっと広範な目標があったのなら?自分自身のデバイスのポリシーに疑問を投げかけよう。BYOD=Bring Your Own Destruction(訳注:破滅)?
 
アドバイス

 SSHデーモンを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cupsd.plist
  •  com.apple.cups.plist

 Perlを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cocoa.plist
  •  com.apple.env.plist

 ブラウザでJavaを有効にしていて、ここ2ヶ月の間にモバイル・アプリ開発者のWebサイトにアクセスし、自身のコンピュータに証拠が残っているなら、侵害されている。ソース・コードのバージョン管理システムを用いて、最近コミットしたものを確認すべきだ。

 そしてもし(SVNGitといった)バージョン管理システムを使っていないのなら、コード全体を読む時間を楽しむといい。

追記:Windowsを利用する開発者についてはほとんど言及せずにきたが、同様の用心を行うべきだ。

アンチウイルスが役立たなくなることについて

 私はかねてより、アンチウィルス製品が役立たずで単に金の無駄遣いとなるかどうかという議論の進展を見守り、また参加もしている。この問題についての私の立場は、エフセキュアに雇われているからには、かなり明確だろう。しかしつまらない同じ議論を続けるより、ほとんどすべての議論で繰り返している、いくつかの共通のパターンと誤解に注意を向けたいと考えている。

パターン1:VirusTotalのスキャン結果を議論に持ち込もうとする人がいる。

 VirusTotalはある特定のサンプルについて、初期の情報を得るのに非常に有益なシステムだが、さまさまなアンチウイルス製品の性能について信頼に値する指摘を行うわけではない。VirusTotalの人自身もこれを認識しており、彼らのシステムが不適切な調査で誤用されることを望んでいない。実際、VirusTotalは当該WebサイトのAboutページで、この件についてすでに何年も明示している。「BAD IDEA: VirusTotal for antivirus/URL scanner testing」というセクションを読んでほしい。

 VirusTotalは次のように述べている。「At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being…(訳注:繰り返しお伝えするのに疲れたが、このサービスはアンチウイルスの比較分析を行うために設計されたツールではない。複数のアンチウイルス製品で疑わしいサンプルをチェックし、検知していないマルウェアについて情報提供することによってアンチウイルス研究所を助力するツールとして設計されたのだ。VirusTotalをアンチウイルスの比較分析に使用する方々は、その手法に多数の潜在的な誤りがあることを理解すべきだ。もっとも明白な誤りは〜)」(強調は私が行った)

 この理由は3つある。まず始めに、アンチウイルス・ベンダーがVirusTotalに提供しているエンジンは、現実世界の製品とまったく同じ構成にはなっておらず、また実際の製品に対するものと同じように手入れや注意をしているわけではない。もしVirusTotalの結果としてあるサンプルについて欠落していても、我々は有料顧客に対するものほど気にかけない。

 第2に、まともな考えを持つ組織であれば、最高の技術を比較システムに提供することはあり得ない。比較システムでは、攻撃者が新しく作成したものを気の赴くままにチェックし、十分な数のアンチウイルスを避けることができるまで好きなだけ試してしまう。

 3つ目にVirusTotalは、インストールされている実際の製品で対象ファイルを実行しようとはしない。つまり、実行時のヒューリスティック、振る舞いの監視、メモリスキャンは土俵に乗らないことを意味する。したがって、完全な製品と比較したとき、検知結果は少なくなる。しかし、VirusTotalがファイルを実行しない理由は理解できる。各エンジンごとに何もかも実行するには膨大なリソースが要求される上に、実際の感染のケースでは存在するコンポーネントが欠けているために、多数のサンプルではやはり失敗するのだ。

パターン2:テスターはあるコレクションの中からダウンロードを行い、(パスワード保護がかかっているアーカイブであれば)解凍して、もしマルウェア・ファイルが検知されなければ愚痴をこぼす。

 このようなファイルのコレクションやフォレンジック後のファイルをスキャンするために、実際の製品を使用するときでさえ、本当に想定どおりに製品を使用しているわけではない。スキャンとは最後から3番目の防衛ラインに過ぎないのだ。アンチウイルス業界は、何年も前から、ファイルをスキャンするだけでは十分に防護する手立てがないことに気づいている。我々は、不正なコンテンツがシステム内で実際に動いているときに検知しようとするのではなく、標的に到達しようとしているところから、不正なコンテンツを回避しようとすることに焦点を移した。

 一般的なアンチウイルス製品や、あるいはセキュリティ・スイートというべきものには、防護のための複数の階層が含まれる。ファイルのスキャンは、そのほんの一部分に過ぎない。何が用いられているかは、製品によって異なる。しかし典型的な製品には、少なくとも以下の階層がある。

1. URLおよびWebアクセスのフィルタリング

 ユーザが悪意のある攻撃サイトと、そもそも接点を持つのを回避する。

2. HTTPなどのプロトコル・スキャン

 悪意のあるコンテンツが、Webブラウザや他のクライアントに到達する前に捕捉する。

3. エクスプロイトの検知

 エクスプロイトがクライアントを乗っ取れるようになる手前で、エクスプロイトをブロックする。そして数多くの製品では、もしエクスプロイトが検知されなかったとしても、エクスプロイトが首尾よく実行されるのを回避する手段も持ち合わせている。

4. ネットワーク(クラウド)のレピュテーションの問い合わせ

 サーバのバックエンドから、ファイルやファイル・パターンのレピュテーションについて問い合わせを行う。これは、従来のアンチウイルスを置き換えるはずだと、多くの人が議論している部分だ。しかし実際には、我々の武器庫の中では、ツールの1つとしてすでに採用している。したがって、これは既存のアンチウイルスの置き換えとはならなかったが、むしろ拡張を行った。

5. サンドボックスとファイルベースのヒューリスティック

 エクスプロイトが実行される機会を得る前に、投下された新しいエクスプロイトやペイロードを捕捉する。

6. 従来型のファイル・スキャン

 これは、多くの人々が「アンチウイルス」を語る際に念頭に置いている部分だ。保護の観点では、おそらくこれは15〜20%ほどをカバーする。

7. メモリ・スキャン

 これはディスクには決して載らないマルウェアや、サンドボックス内や静的なアンパックでは操作できないような、パッカーを迂回するマルウェアを検知する。

8. 実行時のヒューリスティックとメモリ・スキャン

 現在の最終防衛ラインで、疑わしかったり悪意のある類の振る舞いを行うファイルを捕捉する。

 様々な技術の詳細を掘り下げていない点について謝罪する。しかしそうすると、なぜ各階層が必要なのか、またどのように動作するのかについて、詳細説明が長くなりすぎてしまう。だがとにかくポイントは、ある脅威がスキャナによって検知されなかったとしても、実際の攻撃のケースでブロックされないことを意味するわけではない。

 実際に動作しているセキュリティは、複数の防護階層に基づいている。そして我々を大いに楽しませてくれるのは、アンチウイルスは役立たずだと主張する人は、たいてい上に挙げた技術を新たなソリューションとして勧めてくることだ。いや、我々はすでにそれを行っているのだ。そして推奨されるものだけでは、完全なソリューションではないので、さらに他の階層も必要としているのだ。

パターン3:ブラックリストはアホだ。ホワイトリストを使うべきだ。

 ホワイトリストが実現可能な選択肢なら、我々がすでに活用していると、本当に考えなかったのだろうか?いや実際には、ホワイトリストを用いているのだが、パフォーマンスの向上と誤報の回避のみを目的としている。

 ホワイトリストの問題点は実行可能なファイルしか扱えない点で、そのため最初の段階でシステムが感染することを避けられず、また攻撃がメモリ内でのみ行われる場合には、ホワイトリストのチェック対象が存在しないのだ。さらに、クリーンなドキュメントやWebサイトのコンテンツについて1つ1つホワイトリストを構築することは不可能なので、ドキュメントやWebサイトのエイクスプロイトに対しては、ホワイトリストは機能しない。

パターン4:アンチウイルスはデスクトップではなくネット上に置かれるべきだ。

 すべてのセキュリティをどこかのサーバにオフロードし、アンチウイルスが占有するリソースについて気にしなくてよくなったら、どんなに良いかしれない。しかし残念ながら、コンピュータがモバイルであるという事実のために実現不可能なのだ。

 常にオフィス・ネットワーク以外のどこにも接続されない静的なデスクトップ機については、理論的にはネットワーク・レベルですべてのセキュリティをまかなうことができる。しかし現実には、大半のコンピュータはラップトップで、いつでもあちこちのネットワークへ接続され、不変のままなのはデバイスにインストールされたものだけだ。

 また、純粋なネットワーク・ベースのアンチウイルスは、USBや他のメディアによるマルウェアについて何の防護にもならない。

 クライアント側が非常に軽量な、純粋な「クラウド」アンチウイルスを使っている人ももちろんいる。しかし防護技術の一部を落としているので、より低い防護しか得られない。

パターン5:しかしサーバにこんなに大量のデータがあるのだが、マルウェアが通過していくのを見た。

 これには2つの理由がある。

 まず第1に、見たのは、一部の攻撃が通り過ぎるところだ。我々は100%の防護を行うと主張しておらず、またそうすべきではない。攻撃の大半を食い止めることができるだけだ。個々の製品がどれほど優れているかについては、実際の製品を用いた試験から確認できる。どれも100%の防護権を常に得てはいない。したがって、通過する攻撃は常に存在する。

 第2に、多数の企業は、ネットワーク・クエリをアンチウイルス・サーバに返すことを禁止することで、アンチウイルス製品を骨抜きにしてしまう。そして、これは企業が防護セット全体の中の第1〜4の階層をあきらめ、全ての技術の使用が許可されていたのならあったはずの防護より、低いものとなってしまうことを意味する。

パターン6:私が見たマルウェアうち、アンチウイルスは98〜100%を見逃した。

 おや、アンチウイルスが看過したマルウェアについて、そのアンチウイルスは100%見過ごす、というのは一種自明である。

 あなたが見たものは、あなたやあなたの顧客が用いている任意の製品による防護を潜り抜けてこれた部分だ。

 そして、もし我々に連絡をして、その攻撃について知っていることをすべて教えてくれたら、我々は深く感謝する。悪意のあるファイル単独では、ファイルのスキャンや振る舞いのヒューリスティックを開発するのに足る概念を抱くのに十分ではないのだ。

パターン7:アンチウイルスはAPT攻撃には無力だ。

 APT攻撃はブロックをするのが難しく、これまでに誰も完璧な解決策を得ていない。また持ち得る防護策に対して攻撃者は適応してくるので、今後も決して得られないだろう。アンチウイルスは高度な攻撃に対する重要な一階層ではあるが、単独では十分ではない。

 しかしまた一方で、アンチウイルスなしでは高度な攻撃と、現在保護されている残りの攻撃について心配をせざるを得なくなる。つまりアンチウイルスを使わなくすることを推奨し、攻撃面をさらに増やすことで、何の役に立つのだろうか?

 あなたの防護は完全ではないから、排除すべきだという人には、注意が必要だ。

では。
@jarnomn

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード