エフセキュアブログ

ブルースクリーン を含む記事

諜報ツールキットRegin

 Reginは一連の洗練された諜報ツールキットの中で最新のもので、世界中の広範な組織を標的に使用されている。既報の通り、活動中のマルウェア群でさらに複雑なものの1つで、他の数多くのツールキットとまったく同様に背後には長い歴史がある。我々は約6年前の2009年の初頭に初めてReginと遭遇した。北ヨーロッパの顧客の環境にあるWindowsサーバ上にそれが隠れているのを見つけた。

 そのサーバはたびたびクラッシュし、悪名高いブルースクリーンになっており、トラブルの兆候を示していた。「pciclass.sys」という、当たり障りのない名前を持つドライバがクラッシュを引き起こしているように見受けられた。より詳細な分析を行うと、当該ドライバは実はルートキットであった。もっと厳密に言うとReginの初期のバリアントの1つだった。

Regin File Header

 上のスクリーンショットで認められるとおり、このドライバは明らかに既に2008年3月7日にはコンパイルされているが、それより早いタイムスタンプのある他のサンプルによって、作戦はさらにこれよりも前であることが示唆されている。

 結局のところ、複数の段階がある脅威における1つのコンポーネントに過ぎないことが分かった。このドライバはレジストリキーかNTFSファイルシステムの拡張アトリビュートを使って、次の段階のマルウェアを読み込める。ドライバに埋め込まれた設定が、このことを示している。

Regin config

 我々は少なくとも以下のレジストリキーが、次の段階のペイロード用に使用されているのを目にした。

  •  \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}:Class
  •  \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}:Class
  •  \REGISTRY\Machine\System\CurrentControlSet\Control\RestoreList:VideoBase

 以下のフォルダには名前に「_」が付いたNTFS拡張アトリビュートが格納されており、また次の段階のペイロードも格納されているのが見られた。これは実際には2つの異なるアトリビュートに分割され得る。

  •  %WINDIR%
  •  %WINDIR%\security
  •  %WINDIR%\repair
  •  %WINDIR%\msapps
  •  %WINDIR%\msagent
  •  %WINDIR%\Cursors
  •  %WINDIR%\fonts
  •  %WINDIR%\Temp
  •  %WINDIR%\msagent\chars
  •  %WINDIR%\Help
  •  %WINDIR%\inf
  •  %WINDIR%\Spool\Printers
  •  %WINDIR%\CertSrv

 2013年および2014年の間、我々はより新しいバージョンのReginを分析してきたので、攻撃における複雑さと洗練度合が非常に明確になってきた。我々はReginを、Stuxnetや、Flame、Turla/Snakeのようなものと共に、高度に洗練された諜報作戦という同一のカテゴリに配する。

 いつもながら、このような事案で出所を特定するのは難しい。我々の感じるところでは、このマルウェアは珍しくロシアや中国から来たものではない。

韓国へのワイパー攻撃の歴史

2013年3月20日 14時、韓国の放送局や銀行に対してサイバー攻撃と思われる事態が発生し、約32000台のマシンが攻撃の被害に遭ったと言われています。今回の攻撃に使用されたマルウェアに感染するとハードディスクの内容が消去され、OSが起動不能になる仕組みになっていました。実は韓国では似たような事件が2009年と2011年にも起こっています。ただ、過去2回の事例はDDoS攻撃を行った後に、証拠隠滅を目的としてハードディスクを消去したのではないかと言われているのに対し、今回はDDoS攻撃のようなことは確認されておりませんので犯人の意図は不明です。

参考までに、ハードディスク消去の手口という観点から過去2回の事例との違いを紹介します。事例はWindows XPのものです。
攻撃を受けた後のハードディスクの状態を色分けして表示していまして、だいたい以下のように分類しています。

赤色:文字列等、表示可能なデータ
青色:制御文字
黒色:その他のデータ
白色:0(NULL文字)
黄色:攻撃によって上書きされたデータ

2009年の事例
ディスクの先頭から1MBが意味のない文字列で上書きされます。先頭には「Memory of the Independent Day」というメッセージ、そのあとは「U」が連続して書き込まれます。
特定の拡張子のファイルが消去されますが、ドキュメント系のファイルが主な消去対象ですので、画像や実行ファイル等は生き残ります。
ディスクの先頭(MBR+α)が上書きされますのでOSの起動はできませんが、データ部分は生きていますので一部のデータを復旧することは可能です。

wiper2009image

2011年の事例
ディスクが0で上書きされます。片っ端から上書きしていくので、途中でOS自身が実行不能となりブルースクリーンになります。ここまでされるとデータの復旧は困難です。

wiper2011image

wiperbod2011

2013年の事例
ディスクの先頭が「PRINCPES」という文字列で上書きされ、VBRとデータ領域が一定間隔で「PRINCIPES」という文字列で上書きされます。暗い黄色の部分がMBRとVBRです。OSの起動はできませんが、運良く上書きされなかったデータは生きていますので復旧することは可能です。

wiper2013image

過去2回の犯人と今回の犯人が同一であろうとなかろうと、ディスクを消去するという点において手口が酷似していることは間違いないことから、少なくとも2013年の犯人は過去2回の事例を認識した上で攻撃をしているはずです。完全に修復不能にしようと思えばできたのにも関わらずそうしなかった。その理由を今後も継続調査していきます。

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

世界で起こるサイバークライム

本ブログでも紹介された「Fatal System Error」の翻訳本が10月にいよいよ発売になります。私は監修者として参加し、日本でのサイバー犯罪の状況、ソニー事件等について加筆して、タイトルを「サイバー・クライム」として出版することになりました。捜査機関がサイバー犯罪組織に乗り込み、逮捕に至るまでを記したノンフィクションです。

fse
原書「Fatal System Error」

サイバー犯罪といえばロシア、中国が話題に上がりますが、その理由の一端を本書を通じて知ることができるでしょう。映画のようなストーリーが繰り広げられますが、すべて実際に起こった事件です。

私は日々のサイバー犯罪対応の現場から見た、日本でのサイバー犯罪に関連する記事を巻頭と巻末に寄稿しています。本編で紹介されているようなサイバー犯罪は決して対岸の火事ではないということを感じていただけると思います。

ちなみに、原題である「Fatal Sytem Error」(致命的なシステム・エラー)のもともとの由来はWindowsで発生するエラー(いわゆるブルースクリーン)のことですが、同じような致命的なエラーはいたるところに存在しているというのが著者のメッセージです。

bluescreen
Windowsで起こるFatal System Error

britishbleuscreen
イギリスの空港にて

koreanbluescreen
韓国の地下鉄にて

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード