エフセキュアブログ

バックドア を含む記事

Windows Script Hostを無効にする方法

 幾多のスパムキャンペーンで、添付されたzipファイルを経由でさまざまな暗号化ランサムウェアファミリー(とバックドア)が送り込まれている。そして典型的には、このようなzipファイルにはあるJScriptファイル(jsまたはjse)が含まれている。もしこれをクリックすると、Windows Script Host経由で実行される。

 よろしいだろうか。Windowsのレポジトリを編集して、Windows Script Hostを無効にしよう。

 レポジトリキー(フォルダ)は以下だ。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

 「Enabled」という名前で新たなDWORDの値を作成し、値のデータを「0」にセットする。

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

 その後jsファイルをクリックすると、以下を目にすることになる。

Windows Script Host access is disabled on this machine. Contact your administrator for details.

 脅迫文を見るよりもマシだ。


2016年4月20日更新:代わりにHKEY_CURRENT_USERを使うのでも良い。

ブルートフォースパスワード攻撃を発端としたFlashリダイレクタの事例

 「Flashリダイレクタ」の検知件数のグラフにおいて、10月に異常な山があることに気付いた。この原因は侵害されたWebサイト群だ。

RedirectorHits
図1:Flashリダイレクタの検知件数

 侵害されたWebサイトにはコードが挿入されている。このコードは、ユーザをエクスプロイトキットのAnglerへリダイレクトしようとする、悪意あるFlashオブジェクトを読み込む。

InjectedCode
図2:挿入されたコード

 このFlashリダイレクタは新しいものではない。これについては1年前にMalwareBytesに記事が掲載されている。しかしながら、10月中に観測した急増は我々の関心を引き、もう少し詳しく眺めてみることになった。

 URL短縮ツールus.toの使用を確認できなかった点を除いて、MalwareBytesが確認したものとURLのパターンに大差ないことを発見したのには、興味深いものがあった。攻撃の背後にいる人物は、フリードメインや一般的でないトップレベルドメインを巧みに利用している。

RedirectorURLs2014
図3:2014年のFlashリダイレクタのURL
RedirectorURLs2015
図4:2015年のFlashリダイレクタのURL

 Webサイトがどのように侵害されたかを調査するうち、そうしたサイトすべてがWordPressを使って構築されていることに気付いた。我々は当初、当該Webサイトは脆弱なプラグイン経由で攻撃されたと考えていた。

 侵害されたサーバについてさらに調査を行うと、単純なブルートフォースでのパスワード攻撃が、攻撃者の戦略の1つであったことが明らかになった。攻撃者は以下のようなURLにアクセスすることで、WordPressのユーザ名を列挙しようとした。

http://www.samplewebsite.com/?author=1
http://www.samplewebsite.com/?author=2
http://www.samplewebsite.com/?author=3

 以下は、authorをスキャンしたことを示すアクセスログの一部だ。

accesslog1

 ユーザ名を獲得したなら、攻撃者が特定しなければならないのはパスワードだけだ。攻撃者が使用したツールは、ログインに成功するまでにおおよそ1200件のパスワードを試していた。

accesslog2

 管理者アカウントへアクセスできるようになったら、攻撃者は悪意のあるスクリプトをサーバにアップロードし始める。こうしたスクリプトには、バックドアやさらにはスパマーのコンポーネントが含まれる。

accesslog3

 サイバー犯罪者にとって、マルウェアを配布するのにもっとも効率的な方法の1つは、Webサイトを侵害することだ。ユーザは習慣のとりことなっており、一般に自分のマシンが感染しているかもしれないなどと考えることなくお気に入りのWebサイトを訪れる。そのため、こうしたWebサイトの所有者がこの脅威が広がらないようにするのに重要な役割を持つ。前々からアドバイスされていることの1つは、あなたのサーバで実行される全ツールを最新にして、脆弱性を突いて攻撃される可能性を低減することだ。しかしながら、他ならぬこの攻撃の場合については、ユーザ名の保護および強力でユニークなパスワードを使用することの重要性をいくら強調してもし足りない。さらに、この種のWordPressの攻撃から身を守るためには、何を公開するにせよWordPressの管理者アカウントを使用すべきではない。また.htaccessに以下のコードを追記すると、autherを列挙しようとする試みをブロックできる。

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

 より詳細については「Block WordPress User Enumeration, Secure WordPress Against Hacking」で確認できる。

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

エフセキュア、「2014年下半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。

日本での脅威の傾向

2014年下半期にエフセキュア製品のユーザから当社監視システムに報告された、日本での脅威の統計は次のような順になりました。

  1. Worm:W32/Downadup
  2. Trojan:W32/Autorun
  3. Exploit:JS/NuclearEK
  4. X97M.Laroux
  5. Exploit:JS/AnglerEK
  6. Exploit:SWF/Salama
  7. Exploit:Java/Majava
  8. Trojan:HTML/Kilim
  9. Trojan-Downloader:W32/Dalexis
  10. Trojan:JS/Fbook

Downadup:WindowsのMS08-067の脆弱性を悪用するワームで、インターネット、リムーバブルメディア、およびネットワーク共有を介して拡散します。過去7年間、常に世界全体に蔓延しています。

Autorun:多くの場合、感染したリムーバブルメディアとハードドライブを介して感染が拡大するワームのファミリーです。データを盗む、バックドアをインストールするなどの有害な操作を実行することができます。

2014年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
http://news.f-secure.com/ThreatReport2014H2

CozyDuke(TLP: White)

CozyDuke

 このホワイトペーパーはCozyDukeの概要を述べている。CozyDukeは単一または複数の悪意ある人物によって、社会的地位のある組織に対しAPT攻撃を仕掛けるために使われているツール群だ。社会的地位のある組織とは、政府系組織やそれらと密接に関わっている組織などだ。

 CozyDukeツールセットは、標的のホストへの感染、バックドアの確立および維持、標的からの情報の収集、被害を受けた組織内の他ホストへのさらなる侵入を行う各ツールから構成されている。我々は遅くとも2011年から活発に開発中であると捉えている。

 CozyDukeのツール群に使用されていることがわかったC&Cサーバの情報に基づき、我々は次のように考えている。CozyDukeツールセットは少なくとも1人以上の悪意のある人物が使っており、その人物は既知の脅威であるMiniDukeやOnionDukeを用いている人物と同じインフラを使用、もしくは少なくとも共有している。

 CozyDukeのホワイトペーパーのダウンロードを

 Research by @lehtior2

企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント

「ザ・インタビュー・ハッキング事件」のニュースが報道されて以来、専門家の中にはこの「企業が公に被害に遭った過去最悪のハッキング事件」に、金正恩政権が直接関与していないのではないかと考えている人もいます。

ハッカー集団は、屈辱を与えるEメールを送った後、「9月11日を忘れるな」という不吉な言葉とともに「ザ・インタビュー」の公開に対する脅迫メッセージをPastebinに投稿しました。それ以前に、エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンはある仮説を立て、「この攻撃は脅しと恐喝の陰謀だ」と語っていました。

世界的なメディア企業ほど、恐喝のような公に屈辱を与える行為に対して脆弱な企業はありません。しかし、ほぼすべての企業は秘密情報の漏洩から巨額の財政的被害を受けるリスクに晒されています。これは、皆さんや皆さんが所属する企業にとって何を意味するのでしょうか。

皆さんにとっては当たり前のことかもしれませんが、単純なポイントを5つご紹介します。

1.  企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである
ベライゾンは、「データ漏洩/侵害調査報告書」の最新版で次のように記しています。「ツールの種類が多様である一方、ターゲットの環境にアクセスする基本的な方法についてはそうではないということが注目すべき点です。」

「最も多いのは、実績もあり効果が確実なスピアフィッシングです。これについては、当社だけでなく他社においても、これまで何度も取り上げられていますが、何らかの理由でご存じない人のために説明します。巧妙に作られた個人宛または業務関連のEメールが、標的とされたユーザに送られ、添付ファイルを開くように、またはメッセージ内に貼られているリンクをクリックするように促します。当然のことながらユーザが罠にかかると、その時点でシステム上にマルウェアがインストールされ、バックドアまたはコマンドチャネルが開き、攻撃者は目的に向かって一連の行動を開始します。」

オンライン上で経営陣の情報が豊富に入手できるため、特定のユーザを標的にしてウイルスに感染したファイルをEメールに添付するのが、今もなおネットワークに侵入する最も確かな方法です。私たちの多くは長い間Eメールを使用しているので、怪しい気配のするファイルが添付されているメールは危険であることを知っています。しかし、そのEメールが巧妙に作成されておりかつ個人的な内容であれば、私たちはやはり騙されてしまうかもしれません。

セキュリティについていくら教育しても、ヒューマンエラーがなくなることはないでしょう。「配信−インストール−悪用の連鎖」を断ち切るために企業のIT部門が残業してまで取り組んでいるのはそのためです。

基本的な警告は今でも変わりません。つまり、知らない添付ファイルは決して開けてはいけないということです。

2. 「パスワード」という名前のフォルダにパスワードを保存しない
当たり前と思われるかもしれません。しかし、まさにこれが行われていたようなのです。ベライゾンによれば、ハッカーがまず目をつけるのが認証情報です。ハッキングのうち62%は、ネットワークがハッキングされてから数カ月間発見されないため、侵入者には情報を探るのに十分な時間があることになります。決して軽んじてはいけないのです。

3. セキュリティホールを塞ぐ

すべてのシステム、アプリケーション、セキュリティソフトウェアに常にパッチを適用して保護してください。特にブラウザには気を配るようにしましょう。Javaプラグインは使用しないようにしてください

あるいは、エフセキュアのソフトウェアアップデータのような保護機能を導入して、シームレスにパッチを適用するようにしてください。

4. Eメール中のリンクは、添付ファイルと同様に危険である可能性がある
長年にわたる教育は結果として一定の効果を得ています。ユーザは、Eメール中のリンク先よりも添付ファイルの方に注意を向けていますが、こうしたリンク先は不意を突くウェブ攻撃やフィッシング詐欺につながる恐れがあるため、これらにもより警戒する必要があります。

Eメールの添付ファイルを開いてしまうユーザが約8%であるのに対し、「フィッシングメール中のリンクをクリックするユーザは約18%となっています。勝手にインストールされるマルウェアについてよく知らないユーザは、リンク先を訪問することによって危険にさらされることになるとは考えていないかもしれません。」

5. Eメールは永久に残るということをお忘れなく

「ダンスは誰も見ていないかのように踊り、Eメールは、いつか声に出して読まれるかもしれないと考えて送りましょう。」

— 2014年12月13日、Olivia Nuzzi (@Olivianuzzi)

では

Sandra

>>原文へのリンク

2015年の予測で最も確実な1つの事

 Carl Saganが述べたとおり、途方もない主張には途方もない証拠が求められる。そして最近、とりわけ途方もない主張を信じるかどうかを、一般市民が問われている。北朝鮮が SPE社(Sony Pictures Entertainment社)を攻撃し、信じがたいほど大量の同社のデータを破壊した、というものだ。これまでのところ、その途方もない証拠は何も示されていない

 提供されている「証拠」の大半は、主に匿名の米政府高官からのものであり、報告されたところによれば彼らの大多数はFBIの捜査に活発に関わっているわけではない。

 ではFBI自身は?えーと単純に、James Comey長官の立場は、我々を信用してほしい、というものに集約されている。しかし情報セキュリティ業界の多数の人間は、Comey長官の立場や、「スノーデン疑惑後」に備わったとされる姿勢を信用していない。同長官は明らかに次の点を認識するに至っていない。米政府に疑いの目を向ける多数の輪の中で、結論はエドワード・スノーデンよりずっと前の日々から導かれるのだ

 SPE社をハッキングしたのが誰であろうと、それが判明することはないかもしれない。ただ誰が責任を持つかに関わらず、今回のケースにおいて特に気付かされるのは、米国政府の「我々を信用してほしい」というスタンスだ。これは米国市民および他の世界中の市民の知能を尊重するということが、相も変わらず欠如していることを実証している。

 信用とは信頼する行為だ。しかし政府を信用することに、多大な信頼を必要とすべきではない。胡散臭く、矛盾するように見える情報を目の前にして、途方もない主張を信用することは…、単に飛躍しすぎだ。そしてそのため、実際の証拠が何もないのに北朝鮮だとオバマ政権が急ぎ判定したところから、我々の不運な2015年の予測が生まれた。

 予測:「米国愛国者法」第215条および第206条ならびに「情報改革とテロ予防法」第6001条は、期日の2015年6月1日以前に再認可される

 スノーデン以降、議論を呼ぶような条項が、サンセット(訳注:再認可されない限り、廃止期日に自動的に廃止される法律をサンセット法という)を回避するために必要な政治的裏付けを欠いていた。だが今では、ワシントンは「国家によるサイバーテロ」から自身を守るために行動し、結局のところ上の条項を更新すると、我々は確信している。

 2015年の法改正を期待してはならない。あなたのデジタルフリーダムの侵害は継続する。今から144日以内だ。カレンダーに印を。

—————

 追伸:おまけの憶測!

 congress.govにて「cyber」関連の法律制定を追跡できる。新たなクリッパーチップやその他のバックドア的な権限に目を光らせるように。

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

Linux版Turlaの謎めいたバックドアがSolarisにも?

 APTファミリーTurlaに関連する、謎めいたLinuxのバックドアについて数々の報告がある。このマルウェアにはいくつかの大変興味深い機能があるが、もっとも興味深いのはネットワークインターフェイスをスニフィングする能力だ。さらに具体的に言うと、ネットワークトラフィックからC&Cサーバのアドレスを設定できるのだ。これにより、バックドアをネットワーク上に黙ったまま待機させて、攻撃者から送付される特別製のパケットで有効にすることができる。

 有効になると、バックドアは指定されたC&Cサーバへの接続を試みる。続いてC&Cサーバは、典型的なRAT機能を用いて、バックドアに対してダウンロード、アップロード、ファイル一覧表示、実行などの命令を行う。

 当初の調査では、このマルウェアはネットワークスニフィングを除いて、典型的なリモートアクセス型のトロイの木馬と同様に振る舞うことが示された。

 PATH=/bin:/usr/bin:/usr/local/bin:/usr/openwin/bin:/usr/ucb/bin:/usr/ccs/bin
 LD_LIBRARY_PATH=/usr/lib:/usr/local/lib:/usr/dt/lib

linux_solaris_turla2 (99k image)
一時ファイルの実行用の環境設定

 これはまったくもってLinux環境で一般的なものではない。実際のところ、これはSolaris環境の方にずっと適合するのだ。

 /usr/openwin - SolarisのOpenWindowsの場所
 /usr/ccs - Solaris StudioのC Compilation System
 /usr/ucb - BSDとの互換性のための、Solarisのディレクトリ
 /usr/dt - Solaris CDE(Common Desktop Environment)のインストール場所


 Post by — Jarkko

OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

ユーザのプライバシーはエフセキュアの誇り ― 基本理念パート2(全3回)




この記事は、エフセキュアのプライバシー保護の原則について説明する連載の第2回です。第1回の記事はこちらを参照ください。
 
第1回では、プライバシーを重視するというエフセキュアの基本理念を説明しました。この基本理念には、エフセキュアがどのようにして不必要なデータの収集を避け、収集したデータを皆さんが認めた目的以外に決して悪用しないようにするのかが反映されています。
 
しかし、それだけでは十分とはいえません。皆さんのデータがエフセキュアのシステムに保存された瞬間に、私たちは大きな責任を負います。エフセキュアが善意を持つだけでは不十分で、悪意を持った第三者が皆さんのデータを悪用できないようにする必要があるのです。これが、今回お話しするテーマです。
 
バックドアはありません
 
政府機関の多くが、一般の人がクラウドサービスに保存しているデータにますます関心を寄せています。そして、ユーザのデータを入手し調査できるよう、さまざまな機関がベンダーにバックドアの実装を強制する事例がいくつか明らかになっています。エフセキュアは、私たちにバックドアの実装を強制できない国で運営しています。したがって、皆さんは大規模なデータ収集という企てから保護されています。しかし、私たちは、犯罪者のために安全な隠れ家を用意しているのではありません。容疑が妥当であれば、容疑者に逮捕状が出された時点で法執行機関に協力します。このような場合には、もちろん関係者に協力しますが、逮捕状については1件ごとに妥当性を確認します。
 
セキュリティの確保なくしてプライバシーは保護できません
 
エフセキュアが、「私たちはあなたのデータを悪用しません」と約束するだけでは不十分です。他の誰もが悪用できないようにしなければなりません。そこで、エフセキュアでは、当社が実施するあらゆる計画と実装作業に高いセキュリティ標準を適用しています。また、当社の従業員もセキュリティ確保における重要な側面です。エフセキュアでは、従業員が皆さんのデータを悪用できないようにする技術システムとプロセスを備えています。
 
私たちは信頼できるサービスプロバイダを選択しています

 
今日の複雑なシステムが、最初から最後まで1社で構築されることはほとんどありません。これは、エフセキュアのシステムにも当てはまります。セキュリティとプライバシー保護の水準は、もっとも脆弱な部分によって決まります。つまり、社内と同じ厳しい原則を技術パートナーや請負業者にも適用する必要があるということです。顧客に、使用している製品にどのサービスがライセンスされているかを考えさせてはなりません。当然のことですが、エフセキュアは、皆さんに提供するサービスに対して全面的な責任を負います。他社が作成したサービスやコードを利用していても、当社のプライバシー保護の原則により、その責任を果たします。
 
最後の3つの原則については、最終回となる次回の記事で説明します。ご期待ください。
 
 
 
安全なネットサーフィンを
 Micke

>>原文へのリンク

スーパーハッカーの祭典、Black Hat USAにおいてエフセキュアの専門家が注目しているテーマ

Black Hatカンファレンスは、「ベンダーの宣伝文句を聞かされることなく、ネットワークセキュリティの最前線にいる人々と直接顔を合わせる」ことのできる機会です。言い換えれば、マーケティング活動を排した最新の業界情報だけが集まる場なのです。
 
ラスベガスで8月2日(土)から始まるBlack Hat USAには、エフセキュアから2人が参加します。
 
エフセキュアのミッコ・ヒッポネンは、NSAのときとは違い、今年のBlack Hatで講演します。ミッコの講演「Governments as Malware Authors: The Next Generation」(マルウェア作成者としての政府:ネクストジェネレーション)は、世界各国の諜報機関にとって興味深い内容となるでしょう。
 
講演の概要には、次のように記載されています。「抗議の意味を込めてRSAでの講演をキャンセルした後、ヒッポネン氏は代わりにTrustyConにてGovernments as Malware Authors(マルウェア作成者としての政府)について講演を行いました。それに続く今回の講演では、その後の変化と、マルウェアを作成する政府に関する新たな情報に注目します。」
 
ティモ・ヒルヴォネンは、今回初めてBlack Hatで講演を行います。講演のタイトルは、「Dynamic Flash Instrumentation for Fun and Profit(楽しさと利益のための動的なFlashの編成法)」です。

ティモは、長年にわたってディープガードテクノロジの開発に取り組んできました。彼は、JavaファイルやPDFといった最も感染の危険性が高い種類のファイルを分析する専門家です。今回の講演では、「悪意のあるFlashファイルの動的分析を可能にする初めてのツール」を紹介し、デモンストレーションを行う予定です。
 
また、出席するかどうかにかかわらず、エフセキュアの専門家たちは各講演からピックアップした情報の評価を行っています。
 
セキュリティ・レスポンス担当ディレクターのアンティ・ティッカネンは、もし今回ラスベガスで開催されるカンファレンスに参加するとしたら出席するであろう講演のリストを提供してくれました。
 
- A SURVEY OF REMOTE AUTOMOTIVE ATTACK SURFACES(自動車への遠隔攻撃対象領域に関する調査):先日テスラ車でニュースにもなった自動車ハッキングについての講演です。
 – COMPUTRACE BACKDOOR REVISITED(Computraceバックドア:改訂版):「我々は、個人用または企業用コンピュータ上のAbsolute Computrace盗難対策ソフトウェアが不正に有効化されていることの証拠を複数発見しました。さらに、このソフトウェアが削除困難なBIOSベースの高度なバックドアとして使用可能であることが判明しました。」
 – DISSECTING SNAKE – A FEDERAL ESPIONAGE TOOLKIT(Snakeの分析−政府によるスパイ活動のツールキット):ミッコの講演につながるテーマです。
 
さて、ミッコが注目しているは何でしょうか?
 
彼は次のように語ってくれました。「BadUSBに関する講演は、興味深いものになるでしょう。そして、毎回私が楽しみにしているのはPwnie賞です。」

ではまた。
Sandra



>>原文へのリンク

Backdoor.Gates:Windowsでも動作可能

 Backdoor.Gatesとして知られているLinuxマルウェアについての報告を受け取った。

 分析により、このマルウェアは以下の特徴を持つことがわかった。

 •   Sのバージョンやハードディスクのサイズといった、侵害したシステムの情報を収集する
 •   さらなる情報を得るためにC&Cサーバに接続する。C&CサーバのアドレスおよびポートはRSAで暗号化されている
 •   さまざまなDDoS攻撃のホストとなり得る
   •   TCP-SYNフラッド
   •   UDPフラッド
   •   DNSフラッド
   •   ICMPフラッド
   •   HTTPフラッド
   •   DNSアンプ

 特記すべきは、このバックドアはインストールに以下のファイルを使う点だ。

  /etc/init.d/DbSecuritySpt

 興味深いことに、「DbSecuritySpt」という文字列は、別のWindowsマルウェアでも使われているサービス名だ。より詳細に見てみると、当初考えていたよりも両者が似通っていることを発見した。

 メインのファイルおよびドロップされるコンポーネントに、双方とも同一の名前を用いている。たとえば、メインコンポーネントはLinux版では「gates」、Windows版では「Gates.exe」と名付けられている。攻撃ツールはLinux版では「bill」、Windows版では「Bill.exe」だ。DNS Ampライブラリは「libamplify.so」と「libamplify.dll」などなどだ。これでは偶然の一致が多すぎだ。つまり、両者は実際には同一のマルウェアを再コンパイルした移植版であることが、即座に判明した。

 このマルウェアはC++で書かれており、一見したところではコンパイルされたコードはまったく違っているように見える。しかし詳細に調査すると、あるコードベースを共有しているに違いないことが明らかになる。コードには、スレッドのハンドリングやサービスのインストール(Windowsでは「DbSecuritySpt」というサービスとしてインストールし、一方Linuxでは/etc/init.d/DbSecuritySptという起動スクリプトになる)など、OSを中心とした部分がある。しかし、他に似ている部分がある。何よりfopen()とfread()を使う単純なファイル操作などだ。Windowsプログラマの間では、これらの標準C関数を使うことは、まったく一般的でない。両バリアントは、プラットフォームに応じた#ifdefを大量に使って、同一のコードベースからコンパイルされた可能性がもっとも高い

Windowsコードのスクリーンショット

windows (139k image)

Linuxコードのスクリーンショット

linux (141k image)

 Backdoor.Gatesのようなマルチプラットフォームのマルウェアが、どのようにインストールされるのかを見出すのは、常に興味深い。これについては、我々はまだ完全に把握しているわけではない。初期の分析に基づくと、マルウェアには自動拡散やエクスプロイトの機能は無いように見受けられる。我々が受け取った報告書では、少なくともLinux環境ではSSHサーバの脆弱なパスワードを使ってマルウェアがインストールされたことを示している。

 Backdoor.GatesのLinux部分に関する詳細な分析は、カスペルスキー社DrWeb社から公開されている。


-- Post by Jarkko

CosmicDuke:MiniDukeのひねりを効かせたCosmu

 「MiniDuke」というバックドアは、NATOや欧州の政府機関に対する一連の攻撃の中で発見され、2013年2月に特定された。我々が2014年4月に行ったMiniDukeの分析中、MiniDukeの第3段階で用いられているローダーと同じものを別のマルウェアファミリーが使用していたことを突き止めた。そのマルウェアとは、情報窃盗を行うCusmuファミリーの一部であり、何年か前から存在する。

 何がMiniDukeへと結びつけたのだろうか。この点は興味深いが、コンパイル時のタイムスタンプによれば、共通のローダーを先に使っていたのはMiniDukeではなくCosmuなのだ。さらに、このローダーはある時点でアップデートされたことを確認したが、両マルウェアファミリーともアップデートされたローダーを採用していたのだ。CosmuはMiniDukeとコードを共有することが分かった初めてのマルウェアなので、MiniDuke由来のローダーとCosmu由来のペイロードが融合したことを示すサンプルに、我々はCosmicDukeと名付けることにした。.

Duke on the Craters Edge, GPN-2000-001132
 (写真NASAアポロ16号月着陸船パイロットCharles M. Duke

 CosmicDukeの攻撃ファイルで犠牲者を誘い込むために使われているファイル名やコンテンツには、ウクライナ、ポーランド、トルコ、ロシアといった国々を示唆するものが含まれている。一般には言語を使用していたり、または行事や団体を明に暗に示している。選ばれたファイル名やコンテンツは標的の興味に合わせているように見受けられる。もっとも、我々はその犠牲者のアイデンティティや場所について、いまだに他の情報は持ち合わせていないのだが。

 CosmicDukeの感染は、標的を騙して、エクスプロイトを含むPDFファイルを開かせるところから始まる。もしくはドキュメントファイルか画像ファイルのように見えるように操作されたファイル名を持つ、Windowsの実行ファイルだ。ユーザに囮ドキュメントを表示するサンプルもある。以下のファイルにはUkraine-Gas-Pipelines-Security-Report-March-2014.pdfという名前が付けられている。

CosmicDuke decoy

 少々変わったタイプの囮を以下に示す。ロシアの領収書だ。この画像ファイルの興味深い点は、EXIFのメタデータを持つところだ。写真がいつ撮影されたのかや、写真を撮るために使用された携帯電話のモデルが含まれている。

CosmicDuke decoy

 標的がこの悪意のあるファイルを開くと、CosmicDukeはシステム上に存在するようになり、情報の収集を始める。データ収集コンポーネントには、キーロガー、クリップボード・スチーラー、スクリーンキャプチャ、そして各種の人気チャット・メール・Webブラウザのパスワード・スチーラーが挙げられる。またCosmicDukeはシステム上のファイルに関する情報も収集し、暗号用の証明書と関連する秘密鍵をエクスポートする機能も持つ。

 いったん情報が収集されると、FTPでリモートサーバに送出される。CosmicDukeはシステムから情報を盗み出すのに加えて、攻撃者がシステムに別のマルウェアをダウンロードして実行できるようにもする。

 エフセキュアは既知のCosmicDukeのサンプルで使われている、さまざまな悪意のあるコンポーネントをすべて検出する。

 技術的な詳細について知りたい場合には、当社のCosmicDukeの分析レポートを参照してほしい。


 Post by — Timo

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

標的型攻撃とウクライナ

 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。

 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。

 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE-2013-0640を悪用したPDFファイルが用いられた。

 同様のケースを調査するために、我々はペイロードとMiniDukuのPDFファイルの囮文書を展開するツールを作成した。先週このツールを用いて、潜在的にMiniDukeである可能性がある大量のサンプル群を処理することができた。展開された囮文書の集合を眺めているうちに、ウクライナに言及した、いくつかの文書に気付いた。当該地域の現在の危機を考慮すると、これは興味深い。

 以下はこうした文書の一例である。

Ukraine MiniDuke

Ukraine MiniDuke

Ukraine MiniDuke

 攻撃者は、公開情報からこうした囮文書の一部を収集していた。しかしながら、以下のスキャンされたような書類の囮ファイルは、どのような公開情報からも発見できそうもない。

Ukraine MiniDuke

 書類にはウクライナ外務第一次官Ruslan Demchenko氏の署名がある。この書簡はウクライナにある外交機関の長へ宛てたものだ。翻訳すると、第一次世界大戦から100周年の記念に関することが記されている。

 攻撃者がどこでこの囮ファイルを手に入れたのか、我々にはわからない。こうした攻撃により誰が標的になっているのかも不明だ。そして、攻撃の背後にいる人物についても。

 我々が分かっているのは、こうした攻撃はすべて脆弱性CVE-2013-0640を用いており、同じバックドア(コンパイル日:2013-02-21)をドロップすることのみだ。

 当社ではPDFファイルを
Exploit:W32/MiniDuke.C(SHA1: 77a62f51649388e8da9939d5c467f56102269eb1)、バックドアをGen:Variant.MiniDuke.1(SHA1: b14a6f948a0dc263fad538668f6dadef9c296df2)として検知する。

—————

Research and analysis by Timo Hirvonen

私が制御システムに根こそぎ侵入した方法

昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。
会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。

FieldZone

攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認したところ、いかにして最終攻撃対象にたどり着くかもイベントの一部なのでICS Villageにある機器はすべて攻撃対象とのことでした。
特に初日は厳しい設定になっており、挑戦の状況によって二日目以降は設定を緩めていくというルールでした。

ところが、私も初日に挑戦してみて、いきなり初日にフィールド機器の制御を乗っ取ることに成功してしまったので、その手順を紹介します。
続きを読む

EMCおよびRSAのトップ達への公開書簡

2013年12月23日


以下への公開書簡:
Joseph M. Tucci氏:EMC社 会長兼最高経営責任者
Art Coviello氏:RSA会長



Tucci様およびCoviello様

 私のことはご存じないと思います。

 私は1991年以降、コンピュータセキュリティに携わっています。この話題について、昨今かなりの数の講演をこなしております。実際に、RSA Conference USA、RSA Conference Europe、RSA Conference Japanにて計8回の講演を行ってきました。御社ではカンファレンスのウォールの「industry experts」の中に私の写真を登場させてさえいました。

 12月20日にロイターが報じたところでは、御社がNSA(National Security Agency)から乱数発生器を受け取って御社の1製品にデフォルトのオプションとして組み込み、1000万ドルの対価を得た、と主張しています。本トピックについて御社は声明を発表しましたが、この主張については特に否定はなされていません。結局のところ、NSAの乱数発生器に、バックドアの構築をもたらす意図的な弱点が見つかりました。NSAがバックドアを設けた、という一般に広まっている推測にも関わらず、御社は当該発生器を使用し続けています。

 これに対応する私の態度として、サンフランシスコにて来年2月に開かれるRSA Conference USA 2014の私の講演をとりやめます。

 なかなかうまいことに、RSA Conference 2014で私がお届けするはずだった講演のタイトルは「Governments as Malware Authors(マルウェア作者としての政府)」というものでした。

 御社のような数十億ドル規模の企業や、御社の開催する数百万ドル規模のカンファレンスが、NSAとの取引の結果として損害を受けるとは思っていません。実際のところ、私は他の講演者が辞退するとは考えていません。とにかく、講演者の大半は米国人であり、自身ではなくアメリカ人以外を標的にしている監視について気にする理由はないです。米国情報機関による監視作業は、外国人を標的にしています。しかしながら、私は外国人です。そして御社のイベントから私は手を引きます。

 よろしくお願いします。


エフセキュア
主席研究員
ミッコ・ヒッポネン


モバイル脅威のカテゴリー

エフセキュアセキュリティラボではユーザーのデバイスやデータに与えるダメージに基づいて、モバイルの脅威を「マルウェア」と「潜在的迷惑アプリ(PUA : Potentially Unwanted Application)」の二つのカテゴリーに分類しています。
マルウェアはユーザーのシステムや情報に重大なセキュリティリスクを与えるモバイル・アプリケーションです。さらにマルウェアは、デバイスに不正なリモート操作を実行する「バックドア」、データを詐取したりデバイスのリソースを乗っ取る「トロイの木馬」、Bluetoothなどの接続を通じて他のデバイスへ自己増殖する「ワーム」に分類されます。
また潜在的迷惑アプリ(PUA)は、プライバシーやセキュリティの観点から望ましくない挙動を取るアプリケーションです。これらには、Webブラウジングの履歴などユーザーの行動を収集する「スパイウェア」、ユーザーやデバイスを特定し第三者に知らせる「トラックウェア」、広告の形を取りながらユーザーの位置情報などセキュリティやプライバシーにかかわる情報を抜き取る「アドウェア」が含まれます。




エフセキュアの最新の2013年7〜9月のモバイル脅威レポートによると、Androidに対する脅威のうち、6割がマルウェア、4割が潜在的迷惑アプリ(PUA)であることが判明しています。

2013年、日本で急増するセキュリティ脅威 : 猛威を奮うマルウェア

2013年、日本におけるセキュリティ脅威は、年末へ向けて急増しています。既に年初からの9ヶ月間で、エフセキュアが検知した件数は2倍に達しています。



今日、最も多く検知されているマルウェアはバックドアを仕掛ける「トロイの木馬」型のBandookです。BandookはWindows 2000, XP, 2003, Vista, 7を含むWindows NTファミリーに感染します。このマルウェアは感染したコンピュータをリモートでアクセス可能にし、画面キャプチャーやキーボード入力のログの詐取といった悪意のある機能を備えています。
また過去にConfickerとして知られていたDownadupの二つのファミリーが二位と三位を占めています。これらのファミリーが出現してから既に5年を経ていますが、日本でのWindows XP, 2000, 2003が引き続き数多く利用されているため、引き続き大きな脅威となっているといえます。
まもなくEOLとなるWindows XPの対策が急務となっています。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード