エフセキュアブログ

改ざん を含む記事

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

スマートホームの安全を保つ方法

 IoT(Internet of Things:モノのインターネット)デバイスは、時間や手間の節約に役立ち、QoL(quality of life)を向上させる。一例を挙げると、スーパーにいるときに自宅の冷蔵庫の中身を確認したり、オーブンを温め始めたりできる。このようにしてお金の節約、不確かさの排除、家族の夕食を準備する時間の節約ができる。このことはすばらしいし、数多くの人々がこうした機能の恩恵を受けるだろう。しかしながら、あらゆる変化がそうであるように、チャンスにはリスクが伴う。特にオンラインセキュリティやプライバシー上のリスクがあるが、こうしたリスクの一部は同時に現実世界にも拡大する。たとえば配管工事のために表玄関のロックを遠隔から解除できるということは、かなりの時間の節約にはなる。しかしクラウドのアカウントをハッキングすれば、ハッカーもまた玄関を開けられるし、おそらく自宅へのアクセス方法を闇市場で売却できるということも意味している。そして、これはなにもハッキングだけに留まらない。こうしたガジェットは家庭や生活で起きていることについてのデータを収集するため、ガジェットそのものがプライバシーに対するリスクを脅かす。

Example of a smart home set up

 上図は一般的なスマートホームの構成と、直面するであろう攻撃の種類を示している。スマートホームは導入が低調で、散在しているため、現時点では標的となっていないものの、既存の技術でどのレイヤーでも攻撃し得る。

 プライバシーやセキュリティについて、非常に心配に思うのであれば、こうしたガジェットを買ったり使ったりしないことが、安全にいるための唯一の方法である。ただ多くの人にとっては、IoTやスマートホームの、時間を省ける利便性というメリットのほうが、プライバシーやセキュリティについて予期される大半のことを凌駕するのだろう。また現時点では、IoTデバイスは広く標的にはなっていないし、標的になる場合でも攻撃者はデバイスの計算能力を狙うだけで、まだデータや家庭は対象になっていない。実際の現在最大のリスクは、こうしたデバイスの製造業者が個人データをどのように扱うかという点にある。結局のところ、盲目的に飛び込むべきではないということだ。リスクを低減するためにできることを以下に挙げる。


・パブリックIPアドレスと、こうしたデバイスとを直接的に接続しない。デバイスのフロントに、ファイアウォールか最低でもNAT(Network Address Translation)ルータを置いて、インターネットからデバイスが発見できないことを確認する。パブリックIPアドレスに対し、デバイスがポートを絶対にオープンできないようにしたいなら、ルータ上のUPnP(Universal Plug and Play)は無効にすること。

・デバイスやサービスのプライバシーおよびセキュリティの設定項目をくまなく見て、不要な設定をすべて削除する。ただ、数多くのデバイスで設定項目が極めて少ないのが現状だ。何かプライバシーに影響することがデバイスにあると考えるなら、不必要な機能は停止しよう。たとえば、スマートテレビやゲーム機で、実際に音声コマンドを使うだろうか?今まで使ったことがないなら、すぐに無効にするといい。後々その機能を試してみたくなったら、いつでも有効に戻せる。

・IoTデバイスのクラウドサービスに登録する際には、強力かつ固有のパスワードを使用し、さらにパスワードを安全に保つ。何者かがどうにかしてパスワードを盗み出したリスクがあると考えるなら、パスワードを変更すること。また、こうしたデバイスはすべて、メールアカウントを通じてパスワードをリセットできるようにしているので、当該メールアカウントに本当に強力なパスワードが付与されて、パスワードが安全に保たれていることを確認するとよい。また使えるところでは2FA(2要素認証)を用いる。今日ではたいていの一般的なメールサービスで提供されている。

・PCやタブレット、携帯電話からマルウェアを取り除いておくこと。マルウェアは頻繁にパスワードを盗む。そのため、スマートホームサービスやそれに結び付いているメールアカウントのパスワードも盗む可能性がある。そうしたパスワードを使うデバイスにはセキュリティソフトウェアをインストールし、最新のセキュリティ修正でソフトウェアを更新する。さらに、これは一例だが、変なスパムメール内のリンクや添付ファイルを絶対にクリックしてはならない。

・自宅玄関にリモートからアクセスできるスマートロックをどうしても用いたいのであれば、注意深く検討しよう。とはいえ、玄関マットや植木鉢の下に鍵を置いておく類の人間だったら、スマートロックのほうがたぶん安全だろう。

・セキュリティカメラや隠しカメラを導入するなら、不要なときはネットワークから切り離す。自宅からクラウドへ定常的に音声を送信するデバイスについても、実際に四六時中使うのでなければ、同様にすることを検討するとよい。大半のIoTデバイスの計算能力はそれほど高くはなく、そのため動画・音声の処理はクラウド上のサーバで行われる傾向にある。このことを思い出そう。

・自宅のWi-Fiで暗号化(できればWPA2)を用いること。強力なWi-Fiパスフレーズを使い、またそのパスフレーズを安全に保つようにする。パスフレーズが無かったり弱かった場合、あるいはWEPのような廃止されたプロトコルを使用している場合、セキュリティの観点からは自宅のWi-Fiはオープンなネットワークとなる。

・喫茶店やショッピングモールやホテルのネットワークなど、オープンなWi-Fiネットワークを使用する際には注意が必要だ。あなたや使用中のアプリケーションが平文でパスワードを送信すると、それが盗まれて中間者攻撃の被害者となり得る。オープンなWi-Fiを使用する際には常にVPNアプリケーションも使うこと。繰り返しになるが、あなたのパスワードが、あなたの身元やあなたのIoTへの鍵となる。

・攻撃ポイントを限定すること。必要になることがないと分かっているデバイスは、導入しない。もはや必要がなく使わないデバイスは、すべてシャットダウンして撤去するとよい。最上位機種の洗濯機を購入したところ、Wi-Fi経由で接続可能なことに気付いたのなら、接続する前に本当にその必要性があるのかを検討する。実際にはオンライン機能をまったく使わないことに気付いたのなら、デバイスをネットワークから切り離すること。

・どのメーカーからデバイスを買うか選定する際に、セキュリティやプライバシーについてメーカーが説明している内容や、プライバシー原則について確認すること。性急に製品を市場に投入して、セキュリティ面でなにか手抜きをしていないだろうか?製造業者があなたのデータを処理する動機としては何があるだろうか?広告主にデータを売っていないか?データの一部でも格納していないか?そして、どこに格納するのか?

・今日のうちにホームルータの設定を確認すること。インターネットに、つまりWANインターフェイスにさらされているサービスについては、無効になっている必要がある。管理者用パスワードは強力で固有なものに変更しなければならない。ルータのDNSの設定が、ISPのDNSサーバか、OpenDNSやGoogle DNSのようなオープンなサービスに向いており、改ざんがされていないことを確認する。

・ルータのファームウェアを最新に保つ。特に製造業者がもはやセキュリティ更新を行わないのであれば、ルータを新しいものに置き換えることを検討する。セキュリティアップデートを行わなかったり、2年後にアップデートをやめるような製造業者からは手を引くことを考える。ホームネットワークのセキュリティはルータから始まり、ルータはインターネットに晒されているのだ。


 上記の行動リストは広範囲に及んでおり、少々偏執的かもしれない。「Webカメラ(のレンズ)に絆創膏を貼る」ように。しかし、IoTへと飛躍を遂げた場合に、どういった類のことを行えば、自分のセキュリティとプライバシーの制御を保てるかというアイデアが得られるはずだ。IoT世界のセキュリティはそれより前の時代と変わらない。セキュリティパッチを適用し不要なサービスを停止することと同様、パスワードはIoTでもやはりとても重要である。

GameOver ZeuS用のワンクリックテストサイトを構築

 本日、あなたのコンピュータがGOZ(GameOver ZeuS)に感染しているかを確認する、新たな、そして迅速な方法を当社は発表した。先週、当社を含む業界のパートナーと共に、各国の法執行機関が協力してGOZのボットネットを遮断した。

 GOZは破壊されたわけではなく遮断された、という点を認識するのは非常に重要だ。ボットネットの管理者にとって、近い将来、制御を取り戻すことは技術的に不可能ではない。GOZには100万超台のコンピュータが感染した。時間が最も重要である。

 改善を支援するために本日開始したのが、単にwww.f-secure.com/gameoverzeusを訪れるだけで、あなたのブラウザにGOZへの感染の兆候があるかを確認できるサイトだ。素晴らしい点はソフトウェアを何もインストールする必要がなく、また数秒で終了するところだ。

GOZ detection page

 もっと技術寄りの本ブログ読者なら、どのようにチェックが動作するのか疑問に思っていることだろう。我々はかつてそうしたことを行ったことはないが、ここで詳細について述べるべきだと思う。結局のところ、マルウェア自体にちょっとしたいたずらを仕掛けたのだ。これはいつでもおもしろい。

 GOZは、あるいはもっと言えば他のWindows向けのバンキング型トロイの木馬は、ユーザ名やパスワード、その他の認証情報を盗む目的でブラウザに感染する。Amazon.comに訪れるとしよう。

Amazon login page

 GOZが興味を抱いているサイトに、あなたがログインしようとしていることに気付くと、GOZはブラウザ内部から直接的にあなたの認証情報を盗む。どのようにこれを行うのか?興味のあるアドレスをすべて挙げた設定ファイルを含めているのだ。以下はGOZが追跡しているアドレスのリストの一部だ。

Banks in GOZ config

 お気付きのとおり、当該リストには銀行などの金融機関のアドレスが多数含まれる。GOZは正規表現さえもサポートしており、新たなルールを柔軟に作成できる。正規表現を用いているアドレスは非常に攻撃的になる。

Entries in GOZ config

 「攻撃的」とはどういう意味だ?ええと、たとえば、https://www.f-secure.com/amazon.com/index.htmlというアドレスのサイトを訪れようとする。依然として正規表現がマッチするため、GOZはあなたが本当のAmazonを訪れるところだと考える。つまり我々はこれを用いてGOZのボットに「いたずら」をし、あなたのブラウザが感染しているかどうかをたやすく確認しているのだ。

 それではユーザがAmazon.comを訪れたとき、GOZは実際に何を行っているのだろうか?このマルウェアはブラウザ内部で起動しているので、ログインページに入力しているものを見るだけではなく、Webページをあなたが見る前に改ざんすることもできる。感染したブラウザでユーザがAmazonへ行くと、GOZはページ上に追加的なコンテンツを「挿入」する。以下は、挿入を行う部分のコード片だ。

GOZ code for Amazon

 この余分なコードはログインページに新しいフィールドを追加し、続いてその中身を攻撃者が制御するサーバへと送信する。強調した文字列(LoadInjectScript)は後ほど用いる。

 以上をすべてひっくるめて、我々はどのように当該マルウェアを素早くスキャンできるようにしたのか?

 当社の検知用のページwww.f-secure.com/gameoverzeusは、単に当社のサイト上のページなのだが、「amazon」という文字列を含むアドレスのWebページを読み込む。

iframe on GOZ page

 もし感染していれば、当社のこのページを訪れることで、GOZはあなたがAmazonを訪れると考える。たとえ実際はそうではなくても!続いてGOZは当該Webページに自身のコードを付け加える。我々の「偽の」Amazonページが読み込まれると、「セルフチェック」を行って単純にGOZが加えた変更がページ上にあるかを検索する。上で示した「LoadInjectScript」という文字列を検索するのだ(当社の文字列が見つかるという結果にならないように、分解していることに注意)。

goz_check function

 ページ上に当該文字列が見つかったら、GOZがあなたのブラウザに感染していることが分かる。

 いつもどおり、いくつかの制限はある。GOZがサポートしていないブラウザ(誰かLynx使ってる?あとはネイティブの64ビットブラウザ)を使用している場合、コンピュータは感染しているかもしれないが、ブラウザにはマルウェアの痕跡はない。そのような場合、確認するにはやはり当社の無料のオンライン スキャナを実行することをお勧めする。また、実際に感染しているなら、スキャナを用いて削除する必要がある。

 US-CERTのアラート(TA14-150A)も参照のこと。

 共有すべきリンクはhttp://www.f-secure.com/gameoverzeusまたはhttp://bit.ly/GOZCheckだ。

エフセキュア Linuxセキュリティ フル エディション / コマンドライン エディションの新メジャーバージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けセキュリティ対策の「エフセキュア Linuxセキュリティ フル エディション」および「エフセキュア Linuxセキュリティ コマンドライン エディション」の新しいメジャーバージョンとなる、Ver10.00をリリース致しました。Redhat Enterprise Linux6.5やCentOS6.5、Debian7.0、Ubuntu12.04などの最新のOSへ対応を行いました。

Linuxの利用は、WindowsやUnixの代替というだけでなく、クラウドの基盤としても増え続けています。Linuxの利用の増加で、そこを標的にするマルウェアや侵入などの攻撃が今後拡大することが懸念されます。Linuxのセキュリティ対策がOSの新しいバージョンに対応することで、新しいOS利用の一助となり、OS自身の最新のセキュリティ機能との相乗効果となることが期待されます。
なお本年後半には、新しい検査エンジンを搭載し、パフォーマンスと検知率の更なる向上を図った新バージョンのリリースも予定しています。

2種類のエディション

エフセキュアでは、用途に応じ2種類のLinuxサーバ保護ソリューションを提供します。いずれも、Linuxサーバへの不正侵入を防ぎます。

「エフセキュア Linuxセキュリティ フル エディション」は、Linuxへのマルウェア感染やLinuxを踏み台にしたマルウェアの拡散を防ぐだけではなく、外部からの改ざんを防ぐ機能を提供し、Linuxを総合的に保護します。ポリシーマネージャを利用した集中管理にも対応し、多くのサーバを少ないコストでしっかりと管理できます。

「エフセキュア Linuxセキュリティ コマンドライン エディション」は、Linux OSの管理者が親しみやすいコマンドベースのインターフェースを備えたアンチウイルス製品です。コマンドライン上で全ての操作を完了できるので、他のプログラムやシェルスクリプトから呼び出して使うことができ、ソフトウェア組み込みに最適です。

製品の詳細はこちらをご覧ください。

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








あなたが探しているDroidアップデートは存在しない

エフセキュアのThreat Solutionsチームが今日、Android向けの新しい「感染ベクタ」を使用した興味深い脅威を発見した。

  この7月、彼らは「Spyware:Android/SndApps」を分析したが、これはアップデート後、様々な個人情報にアクセス可能になった。アップデート前は、「インターネット」パーミッションを要求するのみだ。ユーザは自分のスマートフォンに既にインストールされているアプリケーションをアップデートする際、パーミッションをあまり注意深くチェックしないのではないかと思う。

  したがって、アップデート方式を介したこのパーミッションのエスカレーションを念頭に置き、同チームは同じトリックを試みる悪意あるアプリケーションのモニタリングを行ってきた。そして今日…彼らは一つ見つけた。

  分析は現在進行中だ。

  我々が現時点で言えることは、オリジナルのアプリケーション(サードパーティのマーケットからダウンロードされた)に、悪意あるコードはないということだ。いったんインストールされると、同アプリケーションはすぐに、アップデートが入手可能であるとユーザに知らせる。そしてその「アップデート」が、「Trojan:Android/DroidKungFu」の亜種をインストールするのだ。

  さらに、オリジナルのアプリケーションの開発者は、自分達のアプリケーションがDroidKungFuダウンローダとして使用されることを意図していたのかどうか、という問題もある。おそらく、開発者のバックエンドが改ざんされたのだろう。

  我々は同アプリケーションを「Trojan-Downloader:Android/DroidKungFu.E」および「Trojan:Android/DroidKungFu.C」として検出している。

SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54

  我々は技術的な詳細を追加するほか、次回の記事で、この「アップデート攻撃」に関するスクリーンショットを掲載する予定だ。

「Diginotar」がBlack.Spookとイランのハッカーによりハッキング

  「Diginotar」はオランダの認証局で、SSL証明書を販売している。

Diginotar

  2011年7月10日、何者かが何らかの形で、彼らから不正なSSL証明書を獲得することに成功した。この証明書は、ドメイン名「.google.com」用に交付されたものだ。

  このような証明書で何をすることができるのだろうか? まず、Googleになりすますことができる。最初にgoogle.comに対するインターネットトラフィックを、自分に対してリルートできるならばだが。これは政府や不正なISPによって行える事だ。このようなリルートは、その国もしくはそのISPのもとにいるユーザしか影響を及ぼさない。

  しかし、何故Googleをインターセプトしたいと考えるのだろうか? これは実際には「www.google.com」のサーチエンジンに関することではない。「mail.google.com」のGmailサーバおよび「docs.google.com」のGoogle Docs、そしておそらく「plus.google.com」のGoogle+が問題だ。

  5月にも(イタリアの証明書リセラー「instantssl.it」を介した)同様の攻撃が見られた。そのケースはイランと関係していた。今回も同様だ。イラン政府が反体制派をモニタするのにこのテクニックを使用している可能性がある。

  イランには自身の認証局は無い。もしあれば、不正な証明書自体を交付すれば良いだけだ。しかし、彼らは認証局を持っていないため、広く信頼されたCAからの、こうした証明書が必要となる。「Diginotar」のような。

  「Diginotar」はどのように侵入されたのだろうか? 我々にはまだ分からない。

  しかし、我々が発見したことはいくつかある。

  以下は現在のhttps://www.diginotar.nl/Portals/0/Extrance.txtのスクリーンショットだ:

Diginotar

  「Diginotar」のポータルはハッキングされている。イランのハッカーを自称する何者かが侵入したのだ。

  これは決定的な証拠のように見えるだろう。明らかにこれは、不正な証明書にどのようにしてか接続していなければならない。

  しかし、きちんと見るなら、このページがhttps://www.diginotar.nl/Portals/0/owned.txtからのものであることが分かるだろう:

Diginotar

  イランの別のハッカーグループ?

  もっと深く掘り下げるなら、これらのWeb改ざんは現在もまだ残っているが、新しくはないことが分かるだろう。もっと悪いことには、それらは数年前になされたものだ。

  以下は、https://www.diginotar.nl/Portals/0/fat.txtで、2009年5月にトルコのハッカーにより行われた別の例だ:

Diginotar

  実際、これらのハッキングは非常に古いもので、現在の問題に関係している可能性は低い。あるいは少なくとも、そうであって欲しいと思う。

 

P.S. この出来事のニュースは、最初、S. Hamid Kashfi(@hkashfi)がTwitterで公表した。彼は2010年には、イランのマン・イン・ザ・ミドル攻撃についてブログに記事を書いている。ここに2010年5月の(Google Translateを介した)ブログ記事がある。

hkashfi

P.P.S. 我々の以前の記事にも、SSL関連の問題に関する詳細がある。

P.P.P.S. 改ざんに関する「Diginotar」の公式声明が出されたが、回答よりも多くの疑問を残した。「Diginotar」は確かに、2011年7月19日にハッキングされた。攻撃者は不正な証明書をいくつか生成することができた。おそらくEVSSL証明書も含まれている。しかし「Diginotar」は、他の不正な証明書を無効にしたが、Googleに発行されたものを見逃した。「Diginotar」は、Googleが突然彼らのSSL証明書を更新しようとし、よりにもよって、オランダの小規模なCAで行おうと考えたことを、少し奇妙だとは思わなかったのだろうか? そして「Diginotar」が改ざんの後、自分達のシステムを検査していた時に、上記のイランの改ざんをどうして見逃したのだろうか?

追記:9月5日の時点で、攻撃者が証明書を作成することができた既知のドメインリストは以下の通り:

*.*.com
*.*.org
*.10million.org
*.android.com
*.aol.com
*.azadegi.com
*.balatarin.com
*.comodo.com
*.digicert.com
*.globalsign.com
*.google.com
*.JanamFadayeRahbar.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.mozilla.org
*.RamzShekaneBozorg.com
*.SahebeDonyayeDigital.com
*.skype.com
*.startssl.com
*.thawte.com
*.torproject.org
*.walla.co.il
*.windowsupdate.com
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.live.com
login.yahoo.com
my.screenname.aol.com
secure.logmein.com
twitter.com
wordpress.com
www.10million.org
www.balatarin.com
www.cia.gov
www.cybertrust.com
www.Equifax.com
www.facebook.com
www.globalsign.com
www.google.com
www.hamdami.com
www.mossad.gov.il
www.sis.gov.uk
www.update.microsoft.com

  さらに、攻撃者は以下の名称に関し、不正な証明書を作成した:

Comodo Root CA
CyberTrust Root CA
DigiCert Root CA
DigiCert Root CA
Equifax Root CA
Equifax Root CA
GlobalSign Root CA
Thawte Root CA
VeriSign Root CA

フィッシングに利用されるFacebookアプリIFrameの欠陥

昨日の記事で、Cost Per Action(CPA)サーベイを「apps.facebook.com」でFacebookアプリケーションに埋め込む方法を見つけたスパマーについて書いた。

  Matthewという名の注意深い読者が、まったく同様のテクニックを使用したフィッシング攻撃について、我々に知らせてくれた。

  そのフィッシャーのフォームは、「facebook.com」にシームレスにフィットしている:

Account Security on Facebook

  幸いなことに、これはまだ初期段階にあるようで、数値を見ると広まってはいない。

Department of Facebook Security

  Facebookセキュリティ部門? キュートだ。

  同アプリページのIFrameが問題の原因だ:

IFrame

  application.phpページではなく、アプリのページだ。(これが何と呼ばれているのか、我々にはよく分からない… 「Go to App」ボタンをクリックすると、開くページだ。)

  このIFrameは、改ざんされたWebサイトからロードされるが、それは衣類のショップのようで、インドネシアでホスティングされている。

okrek.com

  我々はこのフィッシングフォームに、偽の情報を含めて入力しようとしたところ、以下のプロンプトが現れた:

The password you entered is incorrect

  このフォームは、入力された際に詳細をテストしているようだ。

  このサイトでは右クリックも使えない。

Right click is not allowed on this page.

  Facebookで、これに関する話は多くないようだ。フィッシングリンクは潜在的な犠牲者に電子メールで送られているのかもしれない。

  以下は我々が見つけた1例だ:

Security Warning From Facebook

  Facebookは数ヶ月前、アプリケーションにIFramesを導入した。TrendのRik Fergusonは、この問題について2月にブログで記事を書いている

  InformationWeekのDavid F. Carrは、「Facebook iFrame:ビジネスには好ましく、セキュリティには好ましくない?」という記事を3月21日に書いている。

  そして現在、ついにこの問題に対処する必要があるように思われる。IFramesを介したFacebook.comでのスパム、フィッシングそしてマルウェアのホスティングはすぐに、非常に深刻な悩みの種になる可能性がある。

  我々はFacebookのセキュリティチームとコンタクトをとっており、彼らはこの問題について調査中だ。

WindowsとMac双方のマルウェアを拡散するFacebook攻撃

  現在、重大なFacebookマルウェア攻撃が起こっている。

  この攻撃は、Facebookの「Like」機能を使用してウイルスの様に拡散している。これは不正なコストパーアクション(CPA)マーケティングアフィリエイトにより確立されたメソッドだ。しかし、偽の広告にリダイレクトするCPAスパムとは異なり、この「ウイルスビデオ」はWindowsやMacマルウェアを広めるリトアニアのサーバにリンクしている。

  我々が「ウイルスリンク」を使用するマルウェアに遭遇したのは、今回が初めてだ。(Koobfaceなどはフィッシングおよび改ざんされたアカウントを使用している。)

  エサとして使用されているのは以下のサブジェクトラインだ:

oh shit, one more really freaky video O_O」と…
IMF boss Dominique Strauss-Kahn Exclusive Rape Video - Black lady under attack!

  リンクは、「newtubes.in」のサブドメインを示している。

  Openbook検索では、エクスポーズされた人々の例が多数示される

  以下は、Facebookの検索結果の一例だ:

Facebook search, oh shit, one more really freaky video O_O

  ドイツ、フィンランド、フランス、インドおよびマレーシアから同リンクをテストした際、我々は問題なく「youtube.com」にリダイレクトされた。アメリカ合衆国と英国からのテストでは、我々のブラウザユーザエージェントIDに応じて、MacスケアウェアもしくはWindowsマルウェアが提供された。

  この攻撃はOSアウェアであり、GEO-IPアウェアなのだ。

  そしてこの攻撃は16時間以上前に開始されたにも関わらず、Facebookはまだ「newtubes.in」へのリンクをブロックしていない。サブジェクトテキストとルートドメインはこの期間、変更されずにいるのに、だ。これは同攻撃が、Facebookのセキュリティチームがより容易にフィルタリングできるユーザのウオールへのリンクではなく、Facebookの「Likes」を使用しているという事実に起因しているのかもしれない。

  あるいはもしかすると、メモリアルデー後で休日中のメールをまだチェック中なのかも…

追記:

  グリニッジ標準時で17時に、同攻撃はサブジェクトラインを以下の様に変更した:

one more stolen home porn video ;) Rihanna and Hayden Panettiereと…
Rihanna And Hayden Panettiere !!! Private Lesbian HOT Sex Tape stolen from home archive of Rihanna! Hot Lesbian Video - Rihanna And Hayden Panettiere !!

  グリニッジ標準時で19時12分に、ドメインが「newtubes.in」から「shockings.in」に変更された。

  上記に関する修正:同マルウェアはFacebookの親指を立てた「Likes」アイコンを使用しているが、他のメソッドにより広がっているようだ。さらに分析した結果、このマルウェア自身は、犠牲者のFacebookセッションに投稿を入れ込んでいるのかもしれない。

  頑張ったのだが、我々のテストアカウントは同攻撃サーバのWebページにより改ざんされなかった。我々は現在、このWindowsマルウェアはZeuSWebのような、インジェクト能力を持つKoobface的なワームであろうと推測している。さらに分析を続ける予定だ。









Google Webサーチを使用して改ざんされたGoogle画像を見つける

  Googleサーチに問題がある。

  数週間にわたり、Google Imageサーチの結果がますます、Search Engine Optimization(SEO)ポイズニングにより汚染されている。Google Imageの結果を介して、スケアウェアTrojanやエクスプロイトにリンクした多くのサイトが、毎日発見される。これらのサイトの多くは、さもなければ安全と思われるであろうものだが、何らかのハッキングにより障害が起きている。

  問題の一端は、Googleが画像をクローリングし、ランキングする方法にある。

  以下はGoogle Imageの結果からの、汚染されたリンクの例だ:

Google Image Search, imgurl, imgrefurl

  「imgurl」と「imgrefurl」がマッチしていないことが分かるだろうか。この画像は「ホットリンク」されている。そして同画像は、実際には「enterupdate.com」のサーバでホスティングされているのだが、Googleはこれが参照している(改ざんされた)サイトからのものであるかのように、同画像のプレビューとサイト情報を表示する。

  しかし、この画像の「ホーム」として参照サイトを表示する正当な理由はある。たとえば、エフセキュアの「Safe and Savvy」ブログはVIP WordPress.comにより供給されており、画像はWordPressのサーバ上でホスティングされている。もしもGoogleが画像の参照サイトを考慮せず、ホットリンクを無視するなら(Bingはそうであるようだが)、この検索結果はあまり役には立たないだろう。

  WordPress.orgでは、上記の例で女優オリヴィア・ワイルドの汚染された画像は、「wp-images」というフォルダ内のHTMLページに埋め込まれている。障害が起きたこのサイトは、WordPress.orgブログだ。

http://www.#####################.co.uk/wp-images/olivia-wilde-twitter.html

  以下は「olivia-wilde-twitter.html」ページのものだ:

oliva-wilde-twitter

  ご覧の通り、テキストは完全にデタラメだ。同ページのハイパーリンクはすべて、同じサイトにある他のページに結びついており、画像はすべてホットリンクされ、外部のソースからロードされる。

  このHTMLは多かれ少なかれ、Google Trendsから直接引き出されたトピックにフォーカスしたセクションを含んでいる。

  こうした調査から、Google Webサーチを障害が起きたサイトを特定するのに利用可能であることが分かった。「inurl:wp-images」および現在の「トレンディングトピック」を検索すると、SEO攻撃を試みる多くの結果を得る事ができるのだ。

  言うまでもなく、リサーチネットワークから行うのでなければ、こうした検索を推奨するわけではない。(そして、改ざんされたSEOサイトは「http://www.google.com」から訪問された場合のみ攻撃を行うため、「Google SSL」を使用するべきでもある。)

あっちでもこっちでもクリスマス・プロモーション

今年もクリスマス・アタックがちらほら始まりました。
お祭りみたいなものなので、放っておきましょう。
#改ざんページのデザインも、何となく幸せそうです・・・。

xmas_deface

クリスマスに便乗しているのは、クラッカーだけではありません。
新しい攻撃ツールやらマルウェアもクリスマス・プロモーションをはじめているようです。(笑)
セールは期間限定でしょうから、悪用されだすのは年始以降と推測されます。
これらの中から、来年ブレイクするマルウェアが出てくるかもしれません。

取り合えず、年末年始のお休みに入る前に、サーバやPCの大掃除や整備もお忘れなく!

そのApacheのモジュールは本物ですか?

隣部屋に隔離中のSEKI隊員曰く、
Apacheのモジュールが改ざんされたウェブサイトが確認され、結構厄介とのこと。

最近のウェブサイトの改ざんといえば、iframeやJavaScriptの挿入が主流です。これらは、目視でも確認することが可能です。そのため、grepコマンドを使った簡易チェックを実施した方も多いのではないでしょうか。また、挿入の対象ファイルは、多くの場合はコンテンツフォルダ内なので、セキュリティツールなどが改ざんを検知してくれるケースもあったかと思います。

しかし、改ざん対象がApacheのモジュールとなると、話が違います。さすがに、サーバアプリケーションのモジュールまでチェックしているウェブ管理者は少ないのではないでしょうか。

以前、紹介した.htaccessの改ざんも気付きづらいですが、Apacheのモジュールはさらに気付きづらいです。しかもバイナリファイルですので、ちょっと調べてみようかな、なんて思う気合いの入ったウェブサイト管理者も多くはないはずです。

apache_module

いい加減、気が滅入ってきますよね。
現在のところ、数件(片手で数えられる程度)しか事例を確認しておりませんので、大流行というわけではありませんが、注意は必要そうです。
お宅のApacheは、大丈夫そうですか?
#特に放置されたサーバは要チェックです!

防衛省 市ヶ谷駐屯地で鼓舞

今日はエフセキュアブログ管理人としても、私の人生の中でも記念すべき日でした。続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード