エフセキュアブログ

カスペルスキー を含む記事

ウイルス対策ソフトの第三者評価

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ!」というグラフが出てきます。

ThirdParty_Symantec ThirdParty_Trendmicro ThirdParty_Kaspersky
第三者機関の評価・受賞暦|シマンテックストアより引用 エンドポイントセキュリティ製品(個人向け)の技術評価 | トレンドマイクロより引用 カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。
ThirdParty_FSecure
エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ!」というグラフではなく、あえて順位を書き出してみると、
一位:カスペルスキー
二位:トレンドマイクロ
三位:エフセキュア
となっているのです。

これは確かに信用できそうですね。

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

APT攻撃を行うDukeグループの最新のツール:クラウドサービスとLinuxサポート

 ここ数週間で、Dukeグループのツールセットに2つの補強メンバーが登場したことが判明した。SeaDukeとCloudDukeだ。これらのうちSeaDukeはシンプルなトロイの木馬で、Pythonで書かれている点が興味深い。さらに不思議なことに、SeaDukeはWindowsとLinuxの両方を同時にサポートしている。我々が観察してきたDukeグループによるマルウェアとしては、初のクロスプラットフォームのマルウェアである。SeaDukeはクロスプラットフォームであるにも関わらず、単一のトロイの木馬だ。一方、CloudDukeはマルウェアコンポーネントの完全なツールセットのように見える。あるいは、Dukeグループが呼ぶように「ソリューション」なのだろう。これらのコンポーネントには、独自のローダーやダウンローダ、1つではなく2つの異なるトロイの木馬型のコンポーネントが含まれている。C&Cおよび盗んだデータを抜き出すための経路として、Dukeグループはクラウドストレージサービス、とりわけマイクロソフトのOneDriveを使用しているということをCloudDukeが雄弁に物語っている。最後に、CloudDukeの最近のスピアフィッシングキャンペーンの一部は、1年前からのCozyDukeのスピアフィッシングキャンペーンと酷似している。

クロスプラットフォームのマルウェアSeaDukeにLinuxサポートが追加

 先週、シマンテックおよびパロアルトネットワークスの両社はSeaDukeに関する研究内容を公開した。SeaDukeは、Dukeグループが使用するトロイの木馬の武器庫に新たに追加されたものである。これまでのDukeグループによるマルウェアは、常にCおよびC++言語の組み合わせだけでなくアセンブリ言語によっても書かれていた。一方、SeaDukeは珍しくPythonで書かれており、複数のレイヤに渡って難読化がなされている。こうしたPythonのコードは通常、py2exeやpyinstallerを用いてWindowsの実行形式にコンパイルする。しかし今回のPythonのコードは、WindowsとLinuxの双方で動作するように設計されている。それ故、我々が推測するところでは、DukeグループはLinuxユーザの標的に対しても同一のSeaDukeのPythonコードを使っている。DukeグループがLinuxプラットフォームを標的にしたマルウェアを採用したのを我々が目にしたのは、このときが初めてだ。

seaduke_crossplatform (39k image)
SeaDukeで見つかった、クロスプラットフォームサポートの例

マルウェアツールセットCloudDukeにおける新たなソリューション群

 先週、パロアルトネットワークス社およびカスペルスキー社は、各社がMiniDionisおよびCloudLookと呼んでいるマルウェアのコンポーネントについて、研究内容を公表した。MiniDionisおよびCloudLookは、ともに当社がCloudDukeと称するより大きなマルウェアツールセットのコンポーネントだ。このツールセットは、多岐に渡る機能を提供するマルウェアのコンポーネント群から構成される。さらに、共有コードフレームワークに部分的に依存し、常に同じローダーを用いている。当該サンプルの中で見つかったPDB文字列に基づくと、マルウェアの作者はCloudDukeのコンポーネントを「DropperSolution」「BastionSolution」「OneDriveSolution」などと「ソリューション(solution)」と呼んでいた。我々が観察したPDB文字列の一覧を以下に示す。

C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
c:\BastionSolution\Shells\Projects\miniDionis2\miniDionis\obj\Release\miniDionis.pdb
c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

 我々が最初に観察したCloudDukeのコンポーネントは、内部的に「DropperSolution」と呼ばれているダウンローダである。ダウンローダの目的は、被害者のシステムにさらなるマルウェアをダウンロードして実行することだ。もっとも多く観察されたケースでは、当該ダウンローダは侵害されたWebサイトへの接続を試み、暗号化された悪意あるペイロードをダウンロードして、復号と実行を行う。ダウンローダの構成されていた状況によるが、一部の例ではまず手始めにマイクロソフトのクラウドストレージサービスOneDriveへログインし、そこからペイロードを取得することを試みる。OneDriveでペイロードが得られなければ、ダウンローダは侵害されたWebサイトからダウンロードするという、先に述べた方法へ逆戻りする。

 また、CloudDukeツールセット中に、2つの異なるトロイの木馬のコンポーネントが観察された。1つ目は内部的に「BastionSolution」と呼ばれており、パロアルトネットワークス社が同社の研究において「MiniDionis」としているトロイの木馬である。興味深いことに、BastionSolutionは機能的にはSeaDukeの完全なコピーのように見える。唯一の実質的な違いは、プログラミング言語の選択だけだ。BastionSolutionはまた、内部的に「Z」と呼ばれているらしいコードフレームワークをかなり使っている。このフレームワークは、暗号化、圧縮、ランダム化、ネットワーク通信などの機能を持つクラスを提供している。

bastion_z (12k image)
トロイの木馬BastionSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 暗号化やランダム化のクラスのように、同じ「Z」フレームワークに由来するクラスは、CloudDukeツールセットのもう1つのトロイの木馬型のコンポーネントでも使用されている。この2番目のコンポーネントは内部的には「OneDriveSolution」と呼ばれている。C&Cの経路としてマイクロソフト社のクラウドストレージサービスOneDriveに依存しているため、とりわけ興味深い。これを実現するため、OneDriveSolutionは事前に設定されたユーザ名とパスワードでOneDriveにログインを試みる。成功すると、続いて被害者のコンピュータからOneDriveのアカウントへデータのコピーを始める。また同時に、マルウェアが実行すべきコマンドが格納されたファイルをこのOneDriveのアカウントから探す。

onedrive_z (7k image)
トロイの木馬OneDriveSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 すべてのCloudDukeの「Solution」は同一のローダーを用いている。このローダーはあるコードの一部分となっているが、それは埋め込まれて暗号化された「Solution」を復号したり、メモリに読み込んで実行することが主目的であるコードだ。Dukeグループは自身のマルウェアのためにローダーをたびたび利用するが、以前彼らが使っていたローダーと異なり、CloudDukeのローダーはずっと融通が利く。最終的なペイロードの読み込みおよび実行に複数の方式をサポートしており、また追加的なマルウェアコンポーネントをディスクに書き込んで実行する機能があるのだ。

CloudDukeのスピアフィッシングキャンペーンと、CozyDukeにおける類似性

 CloudDukeはこのところスピアフィッシングメール経由で広がりを見せている。報告されているところでは、米国防衛省のような組織などが標的にされている。こうしたスピアフィッシングメールには侵害されたWebサイトへのリンクが含まれており、サイト上にはCloudDukeの実行ファイル群を含むzipファイルが置かれている。大半の場合、このような実行ファイルを実行することで、被害者のハードディスクに2つの新しいファイルが書き込まれることになる。両ファイルのうち1つ目は、音声ファイルやPDFファイルのような囮だ。一方でもう1つのファイルは、いわゆる「DropperSolution」というCloudDukeのダウンローダが埋め込まれた、CloudDukeのローダーである。こうしたケースでは、被害者には囮ファイルが提示され、バックグラウンドではダウンローダがCloudDukeのトロイの木馬である、「OneDriveSolution」または「BastionSolution」のいずれかのダウンロードへと進む。

decoy_ndi_small (63k image)
CloudDukeのスピアフィッシングキャンペーンで採用された囮ドキュメントの例。攻撃者がここからコピーしているのは明らかだ

 だが興味深いことに、当社でこの7月に観察した、CloudDukeの別のスピアフィッシングキャンペーンの一部は、2014年7月初めという、ほぼ1年前に見られたCozyDukeのスピアフィッシングキャンペーンに驚くほど似ている。これら双方のスピアフィッシングキャンペーンでは、囮のドキュメントはまったく同一のPDFファイル「US letter fax test page」である(28d29c702fdf3c16f27b33f3e32687dd82185e8b)。同様に、悪意のあるファイルが置かれたURLは、双方のキャンペーンにおいて、eFaxと関連があるようなものになっている。また興味深いことに、CozyDukeに触発されたCloudDukeのスピアフィッシングキャンペーンでは、メール内でリンクが張られた悪意のあるアーカイブのダウンロードと実行を行うと、CloudDukeのダウンローダの実行につながるわけではなく、「BastionSolution」が実行されるのだ。つまり、その他のCloudDukeスピアフィッシングキャンペーンのために記述された処理が、1ステップ飛ばされる。

decoy_fax (72k image)
CloudDukeおよびCozyDukeの双方のスピアフィッシングキャンペーンで採用された囮の「US letter fax test page」

検出回避のために、クラウドサービスがますます使用される

 Dukeグループが彼らの作戦の一部として、クラウドサービス全般やMicrosoft OneDriveを使ったのを、我々が目にしたのはCloudDukeが初めてというわけではない。今年の春頃、当社はCozyDukeの研究結果を公開 し、そこで次の点を述べた。すなわちCozyDukeは、盗んだデータをこっそり運び出すために時にOneDriveアカウントを直接的に用いたり、あるいはまた時には同じOneDriveアカウントから追加のコマンドを含むファイルを取得する。

 こうした以前のケースにおいて、Dukeグループは補助的なコミュニケーション手段としてOneDriveを使用するだけであり、依然として、動作の大半においてC&Cの経路を従来のものに頼っていた。そのため、実際のトロイの木馬をダウンロードしてコマンドを渡すところから、盗んだデータを最終的に持ち出すところまで、作戦の各ステップにおいてCloudDukeが本当にOneDriveのみに依存するようになったことは、興味深い。

 C&Cの経路としてOneDriveのようなサードパーティのWebサービスにのみ依存することによって、Dukeグループはよりうまく検出をかいくぐろうとしたのだと我々は考える。組織のネットワークから、未知のWebサーバへ大量のデータが転送されたら、いともたやすく疑いが生じる。しかし、人気のあるクラウドストレージサービスへデータを転送するのは普通のことだ。攻撃者が大量の盗んだデータを秘密裏に転送するのにより適した方法とは、人々が正規の理由で同じデータを日々転送するのと同じ方法である(たまたまだが、サードパーティのWebサービスがC&Cの経路として使用されることの影響を題材にした講演が、VirusBulletin 2015カンファレンスで行われる予定だ)。

限りある資源を、検出を回避し防衛側に先んじることへ回す

 多目的なマルウェアツールセットを1つ開発するのですら、細かいことを置いてくとして、時間と資源を要するものだ。したがって、異なるツールセット間でフレームワークをサポートするなど、コードの再利用を試みることは理に適っているように思える。しかしながら、SeaDukeとCloudDukeのコンポーネントBastionSolutionにおいて複数のプログラミング言語で同じコードを書き直したことによって、Dukeグループはさらにもう1歩進んだようだ。内部は似通ってはいるが、外部ではまったく違うように見える2つのマルウェアツールセットを提供することにより、時間と資源を節約できる明白な利点がある。これで一方のツールセットが発見されても、2つ目のツールセットの発見にただちに結び付くことはない。

 Dukeグループはロシアと結びつきあることが長い間疑われているが、異常に長い期間、また特に最近は異常な厚かましさで諜報活動を行っている。最近のCloudDukeやSeaDukeのキャンペーンは、Dukeグループが近いうちに活動終了するつもりはないという、明確な兆候のように見える。

 Research and post by Artturi (@lehtior2)

 エフセキュアはCloudDukeをTrojan:W32/CloudDuke.BまたはTrojan:W64/CloudDuke.Bとして検知する。

サンプル:

04299c0b549d4a46154e0a754dda2bc9e43dff76
2f53bfcd2016d506674d0a05852318f9e8188ee1
317bde14307d8777d613280546f47dd0ce54f95b
476099ea132bf16fa96a5f618cb44f87446e3b02
4800d67ea326e6d037198abd3d95f4ed59449313
52d44e936388b77a0afdb21b099cf83ed6cbaa6f
6a3c2ad9919ad09ef6cdffc80940286814a0aa2c
78fbdfa6ba2b1e3c8537be48d9efc0c47f417f3c
9f5b46ee0591d3f942ccaa9c950a8bff94aa7a0f
bfe26837da22f21451f0416aa9d241f98ff1c0f8
c16529dbc2987be3ac628b9b413106e5749999ed
cc15924d37e36060faa405e5fa8f6ca15a3cace2
dea6e89e36cf5a4a216e324983cc0b8f6c58eaa8
e33e6346da14931735e73f544949a57377c6b4a0
ed0cf362c0a9de96ce49c841aa55997b4777b326
f54f4e46f5f933a96650ca5123a4c41e115a9f61
f97c5e8d018207b1d546501fe2036adfbf774cfd

C&Cに使われている、侵害されたサーバ:

hxxps://cognimuse.cs.ntua.gr/search.php
hxxps://portal.sbn.co.th/rss.php
hxxps://97.75.120.45/news/archive.php
hxxps://portal.sbn.co.th/rss.php
hxxps://58.80.109.59/plugins/search.php

CloudDukeを置くために使われている、侵害されたWebサイト:

hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP
hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP
hxxp://files.counseling.org/eFax/incoming/150721/5442.ZIP

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

Equation GroupイコールNSA / IRATEMONK

 2013年12月29日、ドイツのニュース週刊誌Der Spiegelに、NSAの内部向けカタログに関する記事が掲載された。そのカタログにはNSAのTAO(Tailored Access Operations)部隊で使用しているテクノロジーが列挙されている。中でも着目すべきは「IRATEMONK」というテクノロジーだ。

 「IRATEMONK provides software application persistence on desktop and laptop computers by implanting the hard drive firmware to gain execution through Master Boot Record (MBR) substitution.(IRATEMONKは、マスターブートレコード(MBR)を置き換えて実行の機会を得るためにハードディスクのファームウェアに埋め込まれ、デスクトップ機やラップトップ機上のソフトウェア・アプリケーションの永続化を提供する)」

IRATEMONK, ANT Product Data
情報源:Wikimedia

 「This technique supports systems without RAID hardware that boot from a variety of Western Digital, Seagate, Maxtor, and Samsung hard drives.(この技術は、ウェスタン・デジタル、シーゲート、マックストア、サムスンの種々のハードディスクからブートする、RAIDハードウェアを搭載していないシステムを対象としている)」

 2014年1月31日、ブルース・シュナイアーは同氏が呼ぶところの「NSA Exploit of the Day」をIRATEMONKだとみなし、これがニコラス・ウィーバーこちらのコメントを呼んだ。

NCWeaver on IRATEMONK

 「This is probably the most interesting of the BIOS-type implants.(これはおそらく、BIOS類に埋め込むものの中でも、もっとも興味を引かれるものだ)」

 「yet the cost of evading the 'boot from CD' detection is now you have guaranteed 'NSA WAS HERE' writ in big glowing letters if it ever IS detected.(しかし『CDからのブート』を検知するのを回避する際に生じるコストが検出されたのなら、でかでかと目立つ文字で『NSAがここにいた』と書かれていること請け合いだ)」

 さて、おもしろい話がある。IRATEMONKに関連するコンポーネントが、現在カスペルスキーでは検出される。カスペルスキーの研究論文では、脅威の出所について「Equation group」と称して参照している。このグループの拠点となる国名については触れられていないが、同グループはNSAのANTカタログで詳述されているのとまったく同じ能力を持っている。

 Ars TechnicaがHow "omnipotent" hackers tied to NSA hid for 14 years—and were found at last(NSAと結び付きのある「全能の」ハッカーはどのように14年に渡って潜伏し、またいかにしてついに発見に至ったのか)でうまく概要をまとめている。

明らかになりつつあるリーガルマルウェアの実態

最近、世界各国でHackingTeamFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。(元々は、WikiLeaksが発端だったと記憶しています。)
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

FinSpy Mobile リリースノート抜粋


以前から捜査目的でのマルウェア(ポリスウェアなど)の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。(フォレンジック目的のようです)
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT(Remote Access Trojan)と同様です。解析結果を見れば、その内容は把握できるでしょう。(解析結果例
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

FF Solutions
参考:https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf


ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

(1)録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

Audio Recording

(2)SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。(参考
    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk
Tencent(中国)とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
#訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。(既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。)
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね(笑)
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

Backdoor.Gates:Windowsでも動作可能

 Backdoor.Gatesとして知られているLinuxマルウェアについての報告を受け取った。

 分析により、このマルウェアは以下の特徴を持つことがわかった。

 •   Sのバージョンやハードディスクのサイズといった、侵害したシステムの情報を収集する
 •   さらなる情報を得るためにC&Cサーバに接続する。C&CサーバのアドレスおよびポートはRSAで暗号化されている
 •   さまざまなDDoS攻撃のホストとなり得る
   •   TCP-SYNフラッド
   •   UDPフラッド
   •   DNSフラッド
   •   ICMPフラッド
   •   HTTPフラッド
   •   DNSアンプ

 特記すべきは、このバックドアはインストールに以下のファイルを使う点だ。

  /etc/init.d/DbSecuritySpt

 興味深いことに、「DbSecuritySpt」という文字列は、別のWindowsマルウェアでも使われているサービス名だ。より詳細に見てみると、当初考えていたよりも両者が似通っていることを発見した。

 メインのファイルおよびドロップされるコンポーネントに、双方とも同一の名前を用いている。たとえば、メインコンポーネントはLinux版では「gates」、Windows版では「Gates.exe」と名付けられている。攻撃ツールはLinux版では「bill」、Windows版では「Bill.exe」だ。DNS Ampライブラリは「libamplify.so」と「libamplify.dll」などなどだ。これでは偶然の一致が多すぎだ。つまり、両者は実際には同一のマルウェアを再コンパイルした移植版であることが、即座に判明した。

 このマルウェアはC++で書かれており、一見したところではコンパイルされたコードはまったく違っているように見える。しかし詳細に調査すると、あるコードベースを共有しているに違いないことが明らかになる。コードには、スレッドのハンドリングやサービスのインストール(Windowsでは「DbSecuritySpt」というサービスとしてインストールし、一方Linuxでは/etc/init.d/DbSecuritySptという起動スクリプトになる)など、OSを中心とした部分がある。しかし、他に似ている部分がある。何よりfopen()とfread()を使う単純なファイル操作などだ。Windowsプログラマの間では、これらの標準C関数を使うことは、まったく一般的でない。両バリアントは、プラットフォームに応じた#ifdefを大量に使って、同一のコードベースからコンパイルされた可能性がもっとも高い

Windowsコードのスクリーンショット

windows (139k image)

Linuxコードのスクリーンショット

linux (141k image)

 Backdoor.Gatesのようなマルチプラットフォームのマルウェアが、どのようにインストールされるのかを見出すのは、常に興味深い。これについては、我々はまだ完全に把握しているわけではない。初期の分析に基づくと、マルウェアには自動拡散やエクスプロイトの機能は無いように見受けられる。我々が受け取った報告書では、少なくともLinux環境ではSSHサーバの脆弱なパスワードを使ってマルウェアがインストールされたことを示している。

 Backdoor.GatesのLinux部分に関する詳細な分析は、カスペルスキー社DrWeb社から公開されている。


-- Post by Jarkko

標的型攻撃とウクライナ

 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。

 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。

 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE-2013-0640を悪用したPDFファイルが用いられた。

 同様のケースを調査するために、我々はペイロードとMiniDukuのPDFファイルの囮文書を展開するツールを作成した。先週このツールを用いて、潜在的にMiniDukeである可能性がある大量のサンプル群を処理することができた。展開された囮文書の集合を眺めているうちに、ウクライナに言及した、いくつかの文書に気付いた。当該地域の現在の危機を考慮すると、これは興味深い。

 以下はこうした文書の一例である。

Ukraine MiniDuke

Ukraine MiniDuke

Ukraine MiniDuke

 攻撃者は、公開情報からこうした囮文書の一部を収集していた。しかしながら、以下のスキャンされたような書類の囮ファイルは、どのような公開情報からも発見できそうもない。

Ukraine MiniDuke

 書類にはウクライナ外務第一次官Ruslan Demchenko氏の署名がある。この書簡はウクライナにある外交機関の長へ宛てたものだ。翻訳すると、第一次世界大戦から100周年の記念に関することが記されている。

 攻撃者がどこでこの囮ファイルを手に入れたのか、我々にはわからない。こうした攻撃により誰が標的になっているのかも不明だ。そして、攻撃の背後にいる人物についても。

 我々が分かっているのは、こうした攻撃はすべて脆弱性CVE-2013-0640を用いており、同じバックドア(コンパイル日:2013-02-21)をドロップすることのみだ。

 当社ではPDFファイルを
Exploit:W32/MiniDuke.C(SHA1: 77a62f51649388e8da9939d5c467f56102269eb1)、バックドアをGen:Variant.MiniDuke.1(SHA1: b14a6f948a0dc263fad538668f6dadef9c296df2)として検知する。

—————

Research and analysis by Timo Hirvonen

Java - 与え続ける才能

 脆弱性の研究者はJavaを愛しているに違いない。最近は特にJavaの2Dサブコンポーネントが、研究者たちの愛を感じていたように思われる。なぜなら2Dサブコンポーネントは、今年3月のCVE-2013-0809およびCVE-2013-1493に対する定例外のパッチ以降、合計で18個の修正済みの脆弱性があることになり、パッチ数が最多のサブコンポーネントとなったのだ。幸運にも、世間で唯一不正利用されたのはCVE-2013-1493のみとなっている。

 8月12日月曜日、さらにもう1つのJavaエクスプロイトへのリンクが共有された。

Tweet

 ツイートの内容と異なるが、このエクスプロイトは0デイではない。2Dサブコンポーネントのさらにもう1つの脆弱性CVE-2013-2465を悪用する。この問題はJava 7のupdate 21までのバージョンに影響があるが、最新バージョンのJava 7 update 25にはパッチが当てられている。当社ではこのエクスプロイトの検知(Exploit:Java/CVE-2013-2465.A)をリリース済みだが、ここまで現実世界では検出されていない。

 CVE-2013-2465は(まだ)現実に悪用されてはいないが、Java 7 update 21に影響を与える別のJavaの脆弱性CVE-2013-2460が存在する。このエクスプロイトは7月にエクスプロイトキットPrivateにて導入され、それ以来Sweet Orangeエクスプロイトキットでも目撃されている。さらに、カスペルスキー社は、この脆弱性が水飲み場型攻撃で悪用されることを指摘している(ポストの中で言及しているJARファイルはCVE-2012-4681ではなくCVE-2013-2460を悪用する)。

 まとめると、Java 7 update 25とJava 7 update 21のどちらを実行しているかで違いがある。Javaをアンインストールすることや、少なくともブラウザのプラグインを無効にすることが選択肢に無いのなら、最新版のJavaがインストールされていることを確認するとよい。

Grumpy cat

Post by — @Timo

追記さらに与え続けている。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード