エフセキュアブログ

スピア を含む記事

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

APT攻撃を行うDukeグループの最新のツール:クラウドサービスとLinuxサポート

 ここ数週間で、Dukeグループのツールセットに2つの補強メンバーが登場したことが判明した。SeaDukeとCloudDukeだ。これらのうちSeaDukeはシンプルなトロイの木馬で、Pythonで書かれている点が興味深い。さらに不思議なことに、SeaDukeはWindowsとLinuxの両方を同時にサポートしている。我々が観察してきたDukeグループによるマルウェアとしては、初のクロスプラットフォームのマルウェアである。SeaDukeはクロスプラットフォームであるにも関わらず、単一のトロイの木馬だ。一方、CloudDukeはマルウェアコンポーネントの完全なツールセットのように見える。あるいは、Dukeグループが呼ぶように「ソリューション」なのだろう。これらのコンポーネントには、独自のローダーやダウンローダ、1つではなく2つの異なるトロイの木馬型のコンポーネントが含まれている。C&Cおよび盗んだデータを抜き出すための経路として、Dukeグループはクラウドストレージサービス、とりわけマイクロソフトのOneDriveを使用しているということをCloudDukeが雄弁に物語っている。最後に、CloudDukeの最近のスピアフィッシングキャンペーンの一部は、1年前からのCozyDukeのスピアフィッシングキャンペーンと酷似している。

クロスプラットフォームのマルウェアSeaDukeにLinuxサポートが追加

 先週、シマンテックおよびパロアルトネットワークスの両社はSeaDukeに関する研究内容を公開した。SeaDukeは、Dukeグループが使用するトロイの木馬の武器庫に新たに追加されたものである。これまでのDukeグループによるマルウェアは、常にCおよびC++言語の組み合わせだけでなくアセンブリ言語によっても書かれていた。一方、SeaDukeは珍しくPythonで書かれており、複数のレイヤに渡って難読化がなされている。こうしたPythonのコードは通常、py2exeやpyinstallerを用いてWindowsの実行形式にコンパイルする。しかし今回のPythonのコードは、WindowsとLinuxの双方で動作するように設計されている。それ故、我々が推測するところでは、DukeグループはLinuxユーザの標的に対しても同一のSeaDukeのPythonコードを使っている。DukeグループがLinuxプラットフォームを標的にしたマルウェアを採用したのを我々が目にしたのは、このときが初めてだ。

seaduke_crossplatform (39k image)
SeaDukeで見つかった、クロスプラットフォームサポートの例

マルウェアツールセットCloudDukeにおける新たなソリューション群

 先週、パロアルトネットワークス社およびカスペルスキー社は、各社がMiniDionisおよびCloudLookと呼んでいるマルウェアのコンポーネントについて、研究内容を公表した。MiniDionisおよびCloudLookは、ともに当社がCloudDukeと称するより大きなマルウェアツールセットのコンポーネントだ。このツールセットは、多岐に渡る機能を提供するマルウェアのコンポーネント群から構成される。さらに、共有コードフレームワークに部分的に依存し、常に同じローダーを用いている。当該サンプルの中で見つかったPDB文字列に基づくと、マルウェアの作者はCloudDukeのコンポーネントを「DropperSolution」「BastionSolution」「OneDriveSolution」などと「ソリューション(solution)」と呼んでいた。我々が観察したPDB文字列の一覧を以下に示す。

C:\DropperSolution\Droppers\Projects\Drop_v2\Release\Drop_v2.pdb
c:\BastionSolution\Shells\Projects\miniDionis4\miniDionis\obj\Release\miniDionis.pdb
c:\BastionSolution\Shells\Projects\miniDionis2\miniDionis\obj\Release\miniDionis.pdb
c:\OneDriveSolution\Shells\Projects\OneDrive2\OneDrive\obj\x64\Release\OneDrive.pdb

 我々が最初に観察したCloudDukeのコンポーネントは、内部的に「DropperSolution」と呼ばれているダウンローダである。ダウンローダの目的は、被害者のシステムにさらなるマルウェアをダウンロードして実行することだ。もっとも多く観察されたケースでは、当該ダウンローダは侵害されたWebサイトへの接続を試み、暗号化された悪意あるペイロードをダウンロードして、復号と実行を行う。ダウンローダの構成されていた状況によるが、一部の例ではまず手始めにマイクロソフトのクラウドストレージサービスOneDriveへログインし、そこからペイロードを取得することを試みる。OneDriveでペイロードが得られなければ、ダウンローダは侵害されたWebサイトからダウンロードするという、先に述べた方法へ逆戻りする。

 また、CloudDukeツールセット中に、2つの異なるトロイの木馬のコンポーネントが観察された。1つ目は内部的に「BastionSolution」と呼ばれており、パロアルトネットワークス社が同社の研究において「MiniDionis」としているトロイの木馬である。興味深いことに、BastionSolutionは機能的にはSeaDukeの完全なコピーのように見える。唯一の実質的な違いは、プログラミング言語の選択だけだ。BastionSolutionはまた、内部的に「Z」と呼ばれているらしいコードフレームワークをかなり使っている。このフレームワークは、暗号化、圧縮、ランダム化、ネットワーク通信などの機能を持つクラスを提供している。

bastion_z (12k image)
トロイの木馬BastionSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 暗号化やランダム化のクラスのように、同じ「Z」フレームワークに由来するクラスは、CloudDukeツールセットのもう1つのトロイの木馬型のコンポーネントでも使用されている。この2番目のコンポーネントは内部的には「OneDriveSolution」と呼ばれている。C&Cの経路としてマイクロソフト社のクラウドストレージサービスOneDriveに依存しているため、とりわけ興味深い。これを実現するため、OneDriveSolutionは事前に設定されたユーザ名とパスワードでOneDriveにログインを試みる。成功すると、続いて被害者のコンピュータからOneDriveのアカウントへデータのコピーを始める。また同時に、マルウェアが実行すべきコマンドが格納されたファイルをこのOneDriveのアカウントから探す。

onedrive_z (7k image)
トロイの木馬OneDriveSolution内のクラスのリスト。「Z」フレームワーク由来の複数のクラスを含む

 すべてのCloudDukeの「Solution」は同一のローダーを用いている。このローダーはあるコードの一部分となっているが、それは埋め込まれて暗号化された「Solution」を復号したり、メモリに読み込んで実行することが主目的であるコードだ。Dukeグループは自身のマルウェアのためにローダーをたびたび利用するが、以前彼らが使っていたローダーと異なり、CloudDukeのローダーはずっと融通が利く。最終的なペイロードの読み込みおよび実行に複数の方式をサポートしており、また追加的なマルウェアコンポーネントをディスクに書き込んで実行する機能があるのだ。

CloudDukeのスピアフィッシングキャンペーンと、CozyDukeにおける類似性

 CloudDukeはこのところスピアフィッシングメール経由で広がりを見せている。報告されているところでは、米国防衛省のような組織などが標的にされている。こうしたスピアフィッシングメールには侵害されたWebサイトへのリンクが含まれており、サイト上にはCloudDukeの実行ファイル群を含むzipファイルが置かれている。大半の場合、このような実行ファイルを実行することで、被害者のハードディスクに2つの新しいファイルが書き込まれることになる。両ファイルのうち1つ目は、音声ファイルやPDFファイルのような囮だ。一方でもう1つのファイルは、いわゆる「DropperSolution」というCloudDukeのダウンローダが埋め込まれた、CloudDukeのローダーである。こうしたケースでは、被害者には囮ファイルが提示され、バックグラウンドではダウンローダがCloudDukeのトロイの木馬である、「OneDriveSolution」または「BastionSolution」のいずれかのダウンロードへと進む。

decoy_ndi_small (63k image)
CloudDukeのスピアフィッシングキャンペーンで採用された囮ドキュメントの例。攻撃者がここからコピーしているのは明らかだ

 だが興味深いことに、当社でこの7月に観察した、CloudDukeの別のスピアフィッシングキャンペーンの一部は、2014年7月初めという、ほぼ1年前に見られたCozyDukeのスピアフィッシングキャンペーンに驚くほど似ている。これら双方のスピアフィッシングキャンペーンでは、囮のドキュメントはまったく同一のPDFファイル「US letter fax test page」である(28d29c702fdf3c16f27b33f3e32687dd82185e8b)。同様に、悪意のあるファイルが置かれたURLは、双方のキャンペーンにおいて、eFaxと関連があるようなものになっている。また興味深いことに、CozyDukeに触発されたCloudDukeのスピアフィッシングキャンペーンでは、メール内でリンクが張られた悪意のあるアーカイブのダウンロードと実行を行うと、CloudDukeのダウンローダの実行につながるわけではなく、「BastionSolution」が実行されるのだ。つまり、その他のCloudDukeスピアフィッシングキャンペーンのために記述された処理が、1ステップ飛ばされる。

decoy_fax (72k image)
CloudDukeおよびCozyDukeの双方のスピアフィッシングキャンペーンで採用された囮の「US letter fax test page」

検出回避のために、クラウドサービスがますます使用される

 Dukeグループが彼らの作戦の一部として、クラウドサービス全般やMicrosoft OneDriveを使ったのを、我々が目にしたのはCloudDukeが初めてというわけではない。今年の春頃、当社はCozyDukeの研究結果を公開 し、そこで次の点を述べた。すなわちCozyDukeは、盗んだデータをこっそり運び出すために時にOneDriveアカウントを直接的に用いたり、あるいはまた時には同じOneDriveアカウントから追加のコマンドを含むファイルを取得する。

 こうした以前のケースにおいて、Dukeグループは補助的なコミュニケーション手段としてOneDriveを使用するだけであり、依然として、動作の大半においてC&Cの経路を従来のものに頼っていた。そのため、実際のトロイの木馬をダウンロードしてコマンドを渡すところから、盗んだデータを最終的に持ち出すところまで、作戦の各ステップにおいてCloudDukeが本当にOneDriveのみに依存するようになったことは、興味深い。

 C&Cの経路としてOneDriveのようなサードパーティのWebサービスにのみ依存することによって、Dukeグループはよりうまく検出をかいくぐろうとしたのだと我々は考える。組織のネットワークから、未知のWebサーバへ大量のデータが転送されたら、いともたやすく疑いが生じる。しかし、人気のあるクラウドストレージサービスへデータを転送するのは普通のことだ。攻撃者が大量の盗んだデータを秘密裏に転送するのにより適した方法とは、人々が正規の理由で同じデータを日々転送するのと同じ方法である(たまたまだが、サードパーティのWebサービスがC&Cの経路として使用されることの影響を題材にした講演が、VirusBulletin 2015カンファレンスで行われる予定だ)。

限りある資源を、検出を回避し防衛側に先んじることへ回す

 多目的なマルウェアツールセットを1つ開発するのですら、細かいことを置いてくとして、時間と資源を要するものだ。したがって、異なるツールセット間でフレームワークをサポートするなど、コードの再利用を試みることは理に適っているように思える。しかしながら、SeaDukeとCloudDukeのコンポーネントBastionSolutionにおいて複数のプログラミング言語で同じコードを書き直したことによって、Dukeグループはさらにもう1歩進んだようだ。内部は似通ってはいるが、外部ではまったく違うように見える2つのマルウェアツールセットを提供することにより、時間と資源を節約できる明白な利点がある。これで一方のツールセットが発見されても、2つ目のツールセットの発見にただちに結び付くことはない。

 Dukeグループはロシアと結びつきあることが長い間疑われているが、異常に長い期間、また特に最近は異常な厚かましさで諜報活動を行っている。最近のCloudDukeやSeaDukeのキャンペーンは、Dukeグループが近いうちに活動終了するつもりはないという、明確な兆候のように見える。

 Research and post by Artturi (@lehtior2)

 エフセキュアはCloudDukeをTrojan:W32/CloudDuke.BまたはTrojan:W64/CloudDuke.Bとして検知する。

サンプル:

04299c0b549d4a46154e0a754dda2bc9e43dff76
2f53bfcd2016d506674d0a05852318f9e8188ee1
317bde14307d8777d613280546f47dd0ce54f95b
476099ea132bf16fa96a5f618cb44f87446e3b02
4800d67ea326e6d037198abd3d95f4ed59449313
52d44e936388b77a0afdb21b099cf83ed6cbaa6f
6a3c2ad9919ad09ef6cdffc80940286814a0aa2c
78fbdfa6ba2b1e3c8537be48d9efc0c47f417f3c
9f5b46ee0591d3f942ccaa9c950a8bff94aa7a0f
bfe26837da22f21451f0416aa9d241f98ff1c0f8
c16529dbc2987be3ac628b9b413106e5749999ed
cc15924d37e36060faa405e5fa8f6ca15a3cace2
dea6e89e36cf5a4a216e324983cc0b8f6c58eaa8
e33e6346da14931735e73f544949a57377c6b4a0
ed0cf362c0a9de96ce49c841aa55997b4777b326
f54f4e46f5f933a96650ca5123a4c41e115a9f61
f97c5e8d018207b1d546501fe2036adfbf774cfd

C&Cに使われている、侵害されたサーバ:

hxxps://cognimuse.cs.ntua.gr/search.php
hxxps://portal.sbn.co.th/rss.php
hxxps://97.75.120.45/news/archive.php
hxxps://portal.sbn.co.th/rss.php
hxxps://58.80.109.59/plugins/search.php

CloudDukeを置くために使われている、侵害されたWebサイト:

hxxp://flockfilmseries.com/eFax/incoming/5442.ZIP
hxxp://www.recordsmanagementservices.com/eFax/incoming/150721/5442.ZIP
hxxp://files.counseling.org/eFax/incoming/150721/5442.ZIP

企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を

 この宇宙は「ブラックエネルギー」に満ちている。そしてサイバースペースも同様だ。我々がVirusTotal経由で発見したBlackEnergyファミリーについて書いたのは、それほど以前のことではない。伝えられているところでは、このファミリーは、2008年のグルジアへのサイバー攻撃で用いられたものと同一である。先週の金曜日、新手のバリアントがVirusTotalに投稿された。そして今回は、どのように配布されたかについて、より明確になった。それは、実行ファイルを含むzipファイルだった。今月すでにあったケースと同様、このサンプルはまたもやウクライナから投稿された

Zip file screenshot

 zipファイルの名前はキリル文字でつづられており、「パスワードリスト」という意味だ。実行ファイルのほうは、意味は同じだがラテン文字でつづられている。実行ファイルの拡張子が.docであることを注記しておく。犠牲者がこのサンプルをどのように起動し得るのかは、明確になっていない。我々の推測では、狙っているターゲットが使っているあるzipアプリケーションがあり、それが拡張子に関わらず本当のファイルの種類に基づいてサンプルを開く機能をサポートしている、とみている。もちろん攻撃者が単に間違いを犯した可能性もある。

 VirusTotal上の実行ファイルのサンプルを確認すると、わずか数分早くベルギーから投稿された。ウクライナの現在の状況や、ベルギーがEU政府の中心であること(およびNATO本部が置かれていること)を鑑みると、これらが関連しているという見解を無視することはできない。

 我々はこのサンプルは、特定のパスワードを避けるように警告するIT系の勧告を装ったスピアフィッシングメールの添付ファイルとして送付された可能性があると考えている。

 以前のバリアントと異なり、当該サンプルはもはやsvchost.exeに、ユーザモードのDLLを挿入するカーネルモードコンポーネントを使用してはいない。今回は、単純にユーザモードのドロッパーを用いて、rundll32.exe経由でDLLを読み込む。カーネルモードコンポーネントの排除は、最近のWindowsシステムで見られる、署名付きドライバを実施する保護を潜り抜けようとするためかもしれない。

 ユーザモードDLLは変更をサポートするために書き換えられてもいる(タイムスタンプは2014年6月26日)。今では設定フォーマットは異なるが、いまだ同じIPアドレス・ブロックに所属するC&Cサーバを用いている。

New BlackEnergy configuration

 またドロッパーは悪意のある行為を隠ぺいするために、囮ドキュメントまで開く。

Decoy document

 ソフトウェアの脆弱性やエクスプロイトとは一切関係がないことに注意が必要だ。囮ドキュメントはドロッパーによって、プログラムで生成・起動される。これはかつて目にした、つまりOS Xにおけるおそらく最初のドキュメントを用いたAPT攻撃の試みに似ている。しかしながらこのマルウェアはDEPからホストプロセス(rundll32.exe)を適用しなかった。これは将来侵害するために、攻撃側面を切り開いたのかもしれない。

Routine that disables DEP via registry

 結論:欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を。

Twitterの2要素認証:SMSの2つの役割

 水曜日、Twitterはログイン時における多要素認証(multi-factor login verification)を導入した。良いニュース?うーん…、それは場合によりけりだ。

 Twitterの最初の実装では、SMSに依存した2FA(2要素認証、two-factor authentication)になっている。

 しかし…、Twitterはツイートの送受信の方法としてもSMSを使用している(SMSをソーシャルとセキュリティの2つの役割で用いることになる)。SMS経由でやってくるツイートを「STOP」することも可能で、これには意味がある。なぜなら、時に予期せずにローミングすることもあるため、SMSの機能を停止する手段が必要になっている。でなければ高額な請求が発生し得るだろう。

 あいにく、攻撃者がターゲットの電話番号を知っていれば、SMSスプーフィングを用いて2FAを無効にすることができる。

Twitter's SMS 2FA

 我々はあるテストを行った。

 STOPコマンドによりアカウントから電話番号が削除される。その結果Twitterの2FAが無効になる。

 これは良くないな。

 しかし、この場合さらに悪い可能性さえある。

 もしまだ2FAを有効にしていないのなら、スピアフィッシングを経てあなたのアカウントへアクセスできるようになった攻撃者が、自身で2FAを有効にできるのだ!

 必要なのは、適当な電話番号と「GO」というコマンドのSMSスプーフィングだけだ。

Twitter's SMS 2FA

 すると攻撃者は当該アカウントの2FAを有効にすることができる。

Twitter's SMS 2FA

 続いてメッセージを送信する(このメッセージには確認コードが含まれていない。つまり現実問題として確認コードは不要なのだ)。

Twitter's SMS 2FA

 そして「Yes」をクリックする。

Twitter's SMS 2FA

 これで終わりだ。

 電話番号を追加するのに、確認コードは一切必要ない(アカウントに紐づくメールアドレスの変更には確認が求められる)。

 以下は犠牲者が目にするものだ。当該アカウントのパスワードをリセットしたとしてもだ。

Twitter's SMS 2FA

 犠牲者は締め出され、Twitterのサポート無しではアカウントを回復できない。

 したがって…、誰かがあなたの代わりにあなたのアカウントの2FAを有効にする前に、おそらく自分でやるべきだ。

 幸運にも、Twitterユーザの大多数は重要なターゲットとはならない。不幸にも、たとえば@APといったアカウントはターゲットになる。そしてTwitterのSMSベースの2FAは、熱心な攻撃者が使用する場合、手助けになるどころか有害になり得る。

 Twitterのブログ記事では次のように述べられている。「this feature has cleared the way for us to deliver more account security enhancements in the future.(この機能は、今後さらにアカウントのセキュリティを強化する道を開くことになる)」

 そのように願おう。

追記:良い知らせ(たぶん)

 Lucian Constantin2012年12月の記事によると、発信元の電話番号の電話会社をTwitterが認識し、電話会社がショートコードをサポートしている場合、Twitterのバックエンドは、ロングコードで送られたコマンドは受け付けない。そして、ショートコードで発信元の電話番号をスプーフすることはできない。

 つまり、もしあなたの電話会社がTwitterのショートコードをサポートしているなら、「STOP」コマンドは送信できない。しかしながら、フィッシングによって侵害された場合、攻撃者が自分の電話番号をあなたのアカウントに追加することは、なおも十分に可能だ。

 Twitterでは2FAを有効にする際に、多要素認証は求められない。パスワードがあれば誰でも簡単に電話番号を追加できるのだ。

Macのスパイウェアの餌:Lebenslauf fur Praktitkum

 昨日のKumar in the Macについての投稿の続報として…。以下のようなファイルが添付されたメールを受け取ったことがあるだろか。

Lebenslauf fur Praktitkum

添付ファイル:

  •  Christmas_Card.app.zip
  •  Content_for_Article.app.zip
  •  Content_of_article_for_[名前を削除].app.zip
  •  Interview_Venue_and_Questions.zip
  •  Lebenslauf_fur_Praktitkum.zip(実務研修の履歴書の意)

 受け取ったことがあるなら、あなたは、Macにスパイウェアをインストールするよう計画されたスピアフィッシングキャンペーンの標的になっている。

 アップルのDeveloper「Rajinder Kumar」として署名されたバイナリの一覧を以下に挙げる。

Trojan-Spy:OSX/HackBack.Bとして検知:
 
  •  1eedde872cc14492b2e6570229c0f9bc54b3f258
  •  6737d668487000207ce6522ea2b32c7e0bd0b7cb
  •  a2b8e636eb4930e4bdd3a6c05348da3205b5e8e0
  •  505e2e25909710a96739ba16b99201cc60521af9
  •  45a4b01ef316fa79c638cb8c28d288996fd9b95a
  •  290898b23a85bcd7747589d6f072a844e11eec65 — 昨日の投稿で言及

Backdoor:OSX/KitM.Aとして検知(スクリーンショット機能を含む):

  •  4395a2da164e09721700815ea3f816cddb9d676e

 このスピアフィッシングのペイロードは格別「高度な」ものではないが、ドイツ語化され、標的の名前(上の例では削除)が用いられていることから、攻撃者が多少なりとも下調べを行ったことが示唆される。

 ご用心を。

 さらなる情報は以下。
Oslo Freedom ForumでMacのスパイウェアが見つかる
Big Hangover

Macのスパイウェア:OSX/KitM(Kumar in the Mac)

 新たなBackdoor:OSX/KitM.Aの事例が確認された。

 ドイツを拠点とする調査員が、OSX/KitMの件で、昨日当社に接触をしてきた(OSX/KitMについては先週ブログに書いた)。KitMは「Kumar in the Mac」の略で、スパイウェアに与えた当社の記号だ。OSX/FilestealまたはOSX/HackBackとして知られているものに関連があり、Rajinder Kumarという名前の、アップル社のDeveloper IDで署名されている。アップルはその後当該Developer IDを無効にした。

 このOSX/KitMの最新版は2012年12月から2013年2月上旬の攻撃期間中、liveapple.euというルーマニアのC&Cサーバを使用していた。スピアフィッシングでは、Christmas_Card.app.zipという名前の添付ファイルが使われていた(攻撃が12月に開始されたことを思い出してほしい)。

 そこで、標的になる可能性のある方のために、我々から少々アドバイスを。

 以下はデフォルトの「Gatekeeper」のセキュリティ設定だ。

Mac, Security & Privacy
Mac App Store and identified developers(Mac App Storeと確認済みの開発元からのアプリケーションを許可)

 ソフトウェアを盛んにインストールするのでなければ、必要な設定は以下のようになる。

Mac, Security & Privacy
Mac App Store(Mac App Storeからのアプリケーションのみを許可)

 厳しいほうの設定でOSX/KitMをインストールしようとすると、次のメッセージが表示される。

Kumar's Christmas Card

 もしOS X Mountain LionまたはLion v10.7.5を起動しているのであれば、追加的な予防措置として、設定を調整するとよい。

SHA1: 290898b23a85bcd7747589d6f072a844e11eec65

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

中国人ハッカー

 Mandiantの中国人ハッカーのレポートは、たぶん読者全員が知っておく必要がある。


Chinese military hacker unit behind US attacks(訳注:アメリカへの攻撃の背後に中国軍のハッカー部隊が)

 まあその、中国人ハッカーについてのMandiantのレポートの中で、すべてが実証できるわけではない。

 Marketplaceの、上海を拠点とする中国担当記者Rob Schmitz氏が、(Mandiantのビデオより)ハッカーのものと思われる番号に電話すると、代わりに69歳の農家の方が出た



追記Mandiantのレポートにはスピアー・フィッシング詐欺に使われている悪意のある版もある。「APT1: Exposing One of China's Cyber Espionage Units」だとする添付ファイルは開かないように。以下が直接の情報源だ。intelreport.mandiant.com

気になるJailbreakMeのソースコード公開による影響度

11日にAppleは、ios 4.0.2 / ios 3.2.2 を公開しました。それに伴い、JailbreakMeのソースコードも公開され、その影響度の大きさが懸念されています。

jailbreakme_src


おさらいですが、今回のJailbreakの大きな特徴は、何といってもiTunesを介さずに実行出来る点にあります。つまり、普通に(?)Exploitして管理者権限を奪取し、アプリケーションをインストールしているわけですね。

参考:Technical Analysis on iPhone Jailbreaking

そのため、ソースコード(Exploitコード)の公開は、今までのJailbreak以上に大きな脅威となります。

公開されたソースコードは、数カ所書き換えれば容易にオリジナルの攻撃コードを完成させることができます。
※DLさせるプログラムは別途作成する必要がありますが。

そのため、Drive by Downloadやスピア型メール等への悪用や、iPhoneボットのようなマルウェアの登場も時間の問題と言えそうです。

jailbreakme_src1

もし、iPhoneボットが登場したらどうでしょうか。その被害は様々なケースが考えられます。プライバシー情報の搾取、第三者への攻撃、いたずら電話(?)、スパムなどなど、様々なケースが考えられます。

まだ、これらの被害は確認されていないので何とも言えませんが、iosの場合、ユーザ権限だけでも様々な操作が可能となります。
そのため、Exploitコードの公開は非常に厄介なわけです。

(理由はさておき、)Jailbreakをするために、バージョンアップしないという選択肢もあるかもしれませんが、今回ばかりは事情が異なります。
何はともあれ、余程自信がある方以外は、まずiosのバージョンアップを!!

いくつの方法でiPhoneを遠隔的に悪用できますか?

  現時点で、AppleのiOSにドライブバイジェイルブレイクを可能にする脆弱性があることは、おそらくご存知だろう。そしてこれらの脆弱性が、悪意ある攻撃などの、他のドライブバイエクスプロイトで使用される可能性があることも、ご存知だろう。

  攻撃者はiPhoneオーナーをだまし、巧みに作成したWebページを訪問するよう仕向けることで悪用することが、多くのレポートで指摘されている。我々が聞かれたのは、「誰かにこうしたWebページを電話から開くように仕向けるにはどうするのか?」「どのような方法が使用される可能性があるのか?」といったことだ。そこで我々は、ジェイルブレイクPDFを使用して、いくつかラボテストを行った。

  電子メールワームは可能だろうか?

  我々はエクスプロイトPDFをメールの添付ファイルとしてテストした。

Test #1:
iPhone email with pdf attachment

  iOS電子メールクライアントは、問題無くスムーズにPDF添付ファイルを認識し、ローンチした。

  電子メールワームを制限する1つの緩和要素として、PDFエクスプロイトはハードウェアとファームウェアの特定の組み合わせを標的とする、ということがある。攻撃者が潜在的なターゲットの使用するバージョンを知っているか、推測する場合には、スピアフィッシングが可能だ。

  SMSワームはどうだろう?

Test #2:
iphone sms with hyperlink

  iPhoneのソフトウェアは、SMSを通して送られるハイパーリンクを自動的にフォーマットするため、これがおそらく試みるのが最も容易な方法だろう。

  だが、この攻撃が起こるとすれば、ライフスパンは、エクスプロイトサーバが悪用され、オフラインにされるまでの時間に制限される。(そしてセキュリティコミュニティはこのような悪意あるホストに対し、非常に素早く反応する。)

  ではMMSワームはどうだろうか?

Test #3:
iphone mms with pdf attachment

  上の画像にクエスチョンマークがあるのがおわかりだろうか? 幸いなことに、MMSメッセージに対するiPhoneの標準サポートは、PDFのローンチを防止する。これは非互換によるセキュリティと言えるかもしれない…

  うまくいけば、誰かが悪用しようとする前に、Appleが同脆弱性を修正するかもしれない。しかし、どのくらいかかるかは静観するしかないだろう。

  Appleのサポートサイト曰く:

  「カスタマ保護のため、Appleは完全な調査が行われ、必要なパッチあるいはリリースが公開されるまで、セキュリティ問題の開示、議論、もしくは承認は行わない。」

Adobe Acrobat Readerに新たに2種の脆弱性

 Adobe Acrobat Readerに、2種類の新たな脆弱性が発見され、Adobeが調査中だ。この脆弱性は、getAnnots()、spell.customDictionaryOpen()という2つのJavaScript機能に存在し、双方ともにリモート・コード実行を可能にする。つまり、これらは両方ともスピア攻撃および自動ダウンロードで用いられる可能性があるということを意味している。どちらの脆弱性についてもPoC(機能検証)が入手可能だが、今のところ深刻な攻撃は行われていない。

 以前にも言ったことだが、繰り返しておく価値があるだろう。すなわち、Adobe Acrobat Readerに代わる物を使用せよ、だ。特定のPDFリーダーを薦めるということはしない。様々な種類のリーダーを使用する方が望ましいと考えるからだ。各種リーダーのリストについてはhttp://pdfreaders.org/を参照して欲しい。そのほかにはFoxIT、CutePDFなどがある。

 Adobe Acrobat Reader以外のものを使用することができない場合は、JavaScriptを実行する機能をオフにしておくことを強くお勧めする。編集→初期設定で「Adobe JavaScriptを使用」のチェックをはずすことにより、簡単にオフにできる。

Disable JavaScript in Adobe Reader

 Adobeのブログに詳細情報がある。

Twitterの「Mikey and the Mysterious Treqz」

 Twitterワームにまたもや新種が登場した。

 一体Mikey Mooneyはどうしたのだろうか? 彼は一連のTwitterワームを書き、職を得ハックされ(ナイスなパスワードだな、Mikeyy)、そして昨夜また別のワームをリリースした。

 今回のものは、感染したプロフィールに広範な修正を行った。すなわち、名前と略歴を「Mikeyy」に、プロフィールのタイトルを「Mikey and the Mysterious Treqz」に変更したのだ。

Mikey and the Mysterious Treqz

 この亜種はrunebash.net/xss.js(これは現在も有効なので注意すること)から、追加スクリプトをダウンロードしている。

 送信されたメッセージは、実際のところ、より哲学的だ:
子供には優しく。彼らが養護施設を選ぶのだ。WOMP(世界秩序モデルプロジェクト)。mikeyy。
もし醜く生まれたなら、両親を責めなさい。もし醜いまま死ぬなら、医者を責めなさい。WOMP。mikeyy。
すべての人は結婚すべきだ。結局、幸福とは人生における唯一の物ではない。WOMP。mikeyy。
年齢は成熟のために支払う非常に高価な代価である。WOMP。mikeyy。
全弁護士の99パーセントが、残りの1パーセントの名を汚す。WOMP。mikeyy。
もし父親が貧しいなら、それがあなたの運命だ。しかしもしも義父が貧しいなら、それはあなたが愚かだからだ。WOMP。mikeyy。
金は唯一のものではない。それはすべてなのだ。Womp. mikeyy.
成功とは相対的な言葉だ。これは非常に多くの相対物をもたらす。WOMP。mikeyy。
「あなたの未来は、あなたが抱く夢次第だ。」だから眠りなさい。WOMP。mikeyy。
神は血縁を作りたもうた。神のおかげで我々は友を選ぶことができる。WOMP。mikeyy。
「労働は私を魅了する」 私は何時間をそれを考えることができる!
私はこれからの人生を生きながらえるのに十分な金を持っている(私が何かを買わない限りは)。WOMP。mikeyy。
RT!! @spam Mikeyyに気を付けろ(bit.ly link)。
クソ。新しいMIKEYYYワームだ! 除去せよ:(bit.ly link)
Mikeyyワームが帰ってきた!!! ここをクリックして除去せよ:(bit.ly link)

 どれだけのユーザーが感染したのだろうか? 総数は分からない。しかしMikeyyは自分が作成した3つの新しいTwitterユーザー・アカウントから感染を広めており、そのアカウントがどれだけクリックされたかは分かっている:

Account 54321ana:4,833クリック
Account er1kaaa:4,895クリック
Account chicostickgirl:8,066クリック

 今のところ、山のようなファンを持つ人気の高いTwitterユーザー(たとえばブリトニー・スピアーズランス・アームストロング)が感染した様子が無いのは確かなようだ。

Microsoftから4月のセキュリティ・アップデート

 Microsoftが4月のセキュリティ・アップデートをリリースした。これには、1カ月以上スピア攻撃で悪用されてきたExcel用のフィックスも含まれている。もしMicrosoft Office 2007を使用しているなら、すぐにExcel用のものを含むこれらのパッチをダウンロードすること。残念ながら、PPT脆弱性に関するフィックスは今月のアップデートには含まれていない。

MS Updates April 2009

XLS ファイル経由のスパイ行為

 トロイの木馬によるスピア攻撃やスパイ行為を定期的に見かけるが、以下は典型的なケースだ。

 悪意あるExcel XLSファイル ( md5: 3c740451ef1ea89e9f943e3760b37d3b ) が、あるターゲット(どうやら一人だけ)にメールで送信された。

 メールを開いてみると、そのXLSは以下のようなものだった:

pc-officer

 しかし実際のところ、この悪意あるファイルは既にExcelを悪用し、ユーザーがこれを見る以前にコンピュータを乗っ取っている。

 同エクスプロイトコードは、SYSTEM32フォルダに2つの新しいDLLファイル(「apimgr.dll」と「netserv.dll」を作成し、実行する。

 これらのDLLファイルは以下のサイトを使用して、攻撃者に通信しようとするバックドアだ。

 ・ feng.pc-officer.com
 ・ ihe1979.3322.org

 今のところ、ホスト ihe1979.3322.org は、まったくリゾルブされておらず、feng.pc-officer.com はプレースホルダーIP(63.64.63.64となっている)にリゾルブされている。攻撃者は一時的にホスト名を本物のIPアドレスにリゾルブさせ、その上でそれを戻して、自分たちのトラックに隠すことが可能だ。

 pc-officer.comというドメイン名は奇妙なドメインだ。これは2006年には既に登録されており、以前、スピア攻撃に使用されたことがある。

 ISCブログの2007年9月のエントリー(英語)を見て欲しい。この時の攻撃はXLSではなくDOCファイルを介して行われている。そしてレポーティングサーバはfeng.pc-officer.comではなく、ding.pc-officer.comだった。

 もしまだ GhostNet について聞いたことがないなら、今回がチェックする良い機会だろう。

追記:この地図の画像がどの地域を示しているのか、我々には分からない。分かる人がいれば、コメントを残して欲しい。





4月7日(水)の追記:
 我々はホストfeng.pc-officer.comのモニタリングを続けている。予想した通り、昨日しばらくの間稼働した。
 我々のログは以下のようなものだ:
   Tue 7 Apr 2009 16:13:21    63.64.63.64
   Tue 7 Apr 2009 16:14:17    63.64.63.64
   Tue 7 Apr 2009 16:15:13    63.64.63.64
   Tue 7 Apr 2009 16:16:09    216.255.196.154
   Tue 7 Apr 2009 16:17:04    216.255.196.154
   Tue 7 Apr 2009 16:18:00    216.255.196.154
   Tue 7 Apr 2009 17:40:33    216.255.196.154
   Tue 7 Apr 2009 17:41:29    216.255.196.154
   Tue 7 Apr 2009 17:42:25    216.255.196.154
   Tue 7 Apr 2009 17:43:21    63.64.63.64
   Tue 7 Apr 2009 17:44:17    63.64.63.64
   Tue 7 Apr 2009 17:45:13    63.64.63.64
 IP 63.64.63.64はプレースホールダーに過ぎず、216.255.196.154が実際のコントロール・サーバだ。探知されるのを避けるため、散発的にしかオンラインになっていない。
 同IPはアメリカ合衆国スポーケンに位置している。
% whois 216.255.196.154
   
   OrgName: One Eighty Networks
   OrgID: OEN-1
   Address: 118 N Stevens
   City: Spokane
   StateProv: WA
   PostalCode: 99201
   Country: US
4月9日(木)の追記:
 再び変化があった。ホストfeng.pc-officer.comは現在、211.234.122.84を指している。
 同IPは韓国ソウルに位置している。
% whois 211.234.122.84
   
   [ IPv4ÁÖ¼Ò »ç¿ë ±â°ü Á¤º¸ ]
   ±â°ü°íÀ¯¹øÈ£ : ORG137200
   ±â°ü¸í : (ÁÖ)¿¤Áöµ¥ÀÌÄÞ
   ÁÖ¼Ò : °­³²±¸ ³íÇöµ¿
   »ó¼¼ÁÖ¼Ò : 261-1
   ¿ìÆí¹øÈ£ : 135-010


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード