エフセキュアブログ

証明書 を含む記事

ビヘイビアエンジンの現状はどうなってる?

 スキャンエンジンが1980年代の原始的なシグニチャベースの祖先から、どのようにして現在へと進化してきたかについて、つい先日記事を投稿した。マルウェアやエクスプロイトのような脅威からエンドポイントを保護するに至り、ファイルスキャン自体はパズルの小さなピースに過ぎなくなった。当該記事ではその背景に触れた。そして本日、私はビヘイビアエンジン、別名HIPS(host-based intrusion prevention system)に焦点を合わせる。

 平たく言うと、ビヘイビアエンジンは悪意がある可能性を有するアクションについて、システム上のプロセスの実行を監視することで機能する。もし1つまたは一連の、悪意のあるアクションを見つけたら、そのプロセスは停止される。これにより、悪意のあるペイロードが目的を達成することが絶対にないように徹底する。

F-Secure Internet Security 2007
ビヘイビアの監視。おおよそ10年前に導入

 ビヘイビアの監視ではマルウェアの実行ファイルをブロックするのに加えて、Webベースの弱点を突く試みを阻止し、OfficeのマクロやPDFのような非PE(Portable Excutable)形式のマルウェア感染ベクターをブロックするためにも使われ得る。これは、Webブラウザや、文書のビューワやエディタのような一般的なアプリケーションを監視することによって実現される。

 たとえば、もしユーザが悪意のあるサイトに訪れたとき、ビヘイビアの監視によりブラウザのプロセスそのものに弱点を突くような試みがあるという兆候を掴んだら、不正利用が始まる前に当該プロセスを停止する。蓋を開けてみると、これはゼロデイの攻撃を阻止するのにうってつけの方法であった。

 それで、なんでビヘイビアエンジンがこんなに便利なのか、って?真相はこうだ。悪意のあるペイロードの大多数が、システムを感染させるために、数は少ないながら一切合切同じトリック群を使っているのだ。Excelファイルが実行ファイルやシェルコードをディスクに書き込んだり、システム上の実行コードを起動したりしようとしたら、これは悪意があるのにまず間違いない、と考えられる。この種のビヘイビアは正当な文書ではまったくもって聞いたことがない。

 ビヘイビアに応じてブロックするということは、サンプルがどのように「見える」かを意識する必要がない点ですばらしい。シグニチャベースでスキャンするやり方を回避する目的で、新しいマルウェアが次々と公開される。しかし、このようにバージョンが異なる場合でも、依然として同一のアクションを実施する。ビヘイビアに基づき最初の1つを検知したら、以降のものも検知することになる。

 マルウェア作者がビヘイビア上のルールを回避できる手段は、新たなアクション群を携えて登場することだけだ。そして新たな感染ベクターが非常に高い頻度で出現することはない。その理由として、大半の場合、新たなマルウェアやエクスプロイトが表面化したときには、我々はすでに当社のビヘイビアエンジンでそれをカバーしている、ということが挙げられる。マルウェアの作者たちが一定期間使用を続けてきたトリックは、これからも継続して使われる可能性が高い。

 しかしながらクライアントサイドでのビヘイビアの監視は、警告抜きでは実施できない。監視するプロセスはいずれも、パフォーマンスに軽微な影響を与える。この理由により、監視する対象を制限することは重要である。これはいくつかの方法で実現できる。

 ホワイトリストはスキャンをすべてスキップできる簡単かつ迅速な方法である。それゆえにエンドポイント保護ソフトウェアでは、その他の分析ステップに先立って、ホワイトリストの確認を行うことは珍しくない。サンプルの暗号学的ハッシュのようなシンプルなメタデータや、あるいは署名付き証明書のようなより複雑なメタデータを基に、ファイルをホワイトリストに登録できる。

 スキャンエンジンは一般にビヘイビアエンジンよりも高速である。したがって、ファイルが実行される前に(たとえばファイルがディスクに書き込まれるときや、ネットワーク経由で到着したときなどに)悪意があるか否かを判定するためにスキャンエンジンが使えるのであれば、パフォーマンスの小幅な改善が得られる。

 人間に例えて、以上すべてがどのように動作するのかを明らかにしよう。

 ある企業の警備隊には、社屋の物理面での安全を監視する任務がある。大半の時間は、ずらりと並んだ監視カメラからの映像をモニターすることに費やしている。警備員の一部は交替で社屋を見回る。

 一日を通じて、社屋への出入りがある。従業員の大半は見えるようにIDカードを身に付けている。一部の従業員は警備員に知られてさえいる。この例えでは、こうしたIDを身に付けた従業員がホワイトリスト上のサンプルに相当する。警備員はこのような従業員にはたいして注意を払う必要はない。なぜなら「良い人」だと分かっているからだ。

 また訪問者も一日中、出たり入ったりする。新たにやって来る客たちについて、警備員は知らない。訪問者は受付で同伴者を待って、さらに奥へ行く前に一時的なIDカードを保持するように案内される。構内にいる間、訪問者には常に従業員が付き添っている必要がある。記名して一時的なIDを得るという、従業員と会うプロセスは、大まかに言ってスキャンエンジンにかけられるサンプルに例えられる。スキャンエンジンは「良い人」かどうかは判別が付かないが、たぶん悪意がないことは分かる。

 今回の仮定の状況において、午後のある時点で、手続きを踏まなかった人がやって来たとする。従業員が全員忘れずにIDカードを身に付けているとは限らないので、来たのは従業員なのかもしれない。しかし警備員の誰も、彼の顔に見覚えがない。到着後まもなく、この未知の訪問者は受付を通り過ぎ、ある従業員の背後にぴったりとついて本館へと達した。警備員は直ちにこの振る舞い(ビヘイビア)に気付き、監視カメラの映像を通じて彼を監視している。また見回り中の警備員の1人に連絡をして、未知の訪問者のいる場所へ向かわせた。このステップは、ビヘイビアの監視を始めることに例えられる。

 この訪問者の振る舞いを警備員が引き続き厳しく監視している中で、彼が社屋の廊下を歩き、ついに立ち止まってバックパックからバールを取り出し、会社のサーバルームの一室を開けようとしているのを観察した。この時点で、警備員が現場に現れ、サーバルームに接近するのを阻んだ。

 1つの行動によって、ある脅威が実際に悪意のあるものかどうかを判別するのに十分なときばかりではない。一連の行動、今回の場合には同伴者なしで本館へ通り抜け、施錠されている部屋へ押し入ろうとしたことが、最終的に行動を取るように導く、一連の指標となった。

 クライアントサイドでのビヘイビアの監視は、一般的なマルウェアやエクスプロイトからシステムを保護するのにもっとも効率的な方法の1つだが、バックエンドでのビヘイビア分析は、また別の強力なツールをもたらす。

 クラウドコンピューティングのインフラを用いると、計測器付きのサンドボックスを同時に数千起動できる。ファイルやURLがこうしたサンドボックスへ送り込まれて実行される。個々に起動して、実行中に発生したことに基づいてメタデータを生成する。こうしたメタデータには、サンプルが実行されているシステムに対する変更と、サンプルそのものを実行した痕跡の双方が含まれ得る。続いて、この得られたメタデータは、一連のルールエンジンによって疑わしいビヘイビアがないか分析される。サンプルはさらなる分析のためのフラグが立てられ、多くのケースでは、自動的にオンザフライで検知が生成される。

 バックエンドのサンドボックスを活用することで、1日当たり数十万件のファイルやURLを分析できる。手作業で行うのはほぼ不可能な件数だ。このプロセスにより、自動的な静的分析のプロセスと合わせて、サンプルのカテゴリー化やグループ化が容易に行えるようになる。

 クライアント自体あるいはバックエンドのいずれで用いられるにせよ、ビヘイビアの監視は悪意のある脅威からシステムを保護する強力なツールである。ビヘイビアの監視技術はある状況においてエンドポイントで実施されるに至る。この状況とは、システムがどのように脅威と遭遇したのかによる。これまで説明してきたとおりビヘイビアによるブロックは、悪意のあるサイトを訪れ、悪意のあるドキュメントを開いたり、悪意のある実行ファイルを起動したりしたときに(アクション!)始動する。この理由により、VirusTotalのスキャンレポートではこの種の結果を確認できない。ビヘイビアによるブロックが要因となり、当社製品が現実世界の状況下でどれくらいうまくいっているのかを確認したいのであれば、AV-ComparativesAV-Testでのテスト結果をチェックするとよい。

 当社のHIPS技術がどのように動作するかについて、より技術的な解説にご興味がおありなら、ホワイトペーパーを確認してほしい

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

うわっ!デルがまたやった

 悪いニュースだ。デルが顧客のPCに、欠陥のあるルートCAをインストールしていた。

 (訳注:「デルは欠陥のあるルートCAと共にラップトップPCを出荷している」という意味)

 なぜこれが悪いことなのか?なぜなら、そうしたCA証明書がインストールされたコンピュータに対し、中間者攻撃(man-in-the-middle attack)を仕掛けるのはたやすいことだからだ。Dan Goodinがここで秀逸な記事を公開している。

 デルは昨晩遅くに、この証明書は「デルのオンラインサポート(訳補:Dell Foundation Services)にシステムサービスタグを提供することを意図するものだった」と説明を行った。

Response to Concerns Regarding eDellroot Certificate

 待てよ、かつてこんなようなことを耳にしたのは、どこだったかな…?

 さかのぼること4月だ。本ブログの愛読者の方なら、2015年4月には「Dell System Detect」経由でのリモートコード実行の問題をデルが抱えていたことを思い出すだろう。

 こちらは(いささか)良いニュースだ。Dell System Directと比べてずっと、Dell Foundation Servicesは普及はしていないようだ。

 eDellRootがインストールされているか、確認したいって?

 (訳注:「デルのマシンを使ってる?邪悪な証明書がインストールされていると思う?確認するには、こちらのサイトhttps://edell.tlsfun.deにアクセスを。」という意味)

 Dan Tentleが勧めるように、こちらのサイトhttps://edell.tlsfun.de/にアクセスしよう。

JVNVU#92002857とGoogle不正証明書事案のメモ

しばしば騒ぎになる証明書、認証局関連の事案ですが、先週より俄かに盛り上がってますね。
今週はJVNVU#92002857の問題。先週はGoogleがブログで報告した問題についてです。

前者はJVNの報告によれば、
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメイン の管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。
とのことです。つまり、想定脅威としてはフィッシングサイトが立ち上げられたり、HTTPS通信の傍受等の可能性があるということになります。影響のあるシステムは、CERT/CCのVendor Informationを参考にしてください、とのことです。まだ、被害情報は耳にしていませんが、ある程度の影響はあるかもしれませんね。

また、後者については、Googleが複数のGoogleドメインの不正なデジタル証明書を発見しブロックしたことをブログで報告しています。記事によれば、この証明書はMCS Holdingの所有する中間認証局が発行しており、この中間証明書はCNNIC(中国インターネット情報センター)により発行されている、とのこと。この辺りは、GREATFIRE.orgars technica に詳細に記載されていますのでご参考までに。
尚、Googleのブログ投稿者は次のようなツイートをしています。内容から憶測すると、被害が発生していても不思議では無さそうな雰囲気です。

langley tweet

前者は認証局、後者は証明書(一部、中間認証局?)の問題の情報となります。
特に後者のような通信傍受目的(?)と推察される攻撃は、今後も目が離せません。
この種の攻撃は、比較的広範囲において影響を受ける可能性もあり、今後も続く脅威のひとつとしてみています。
実現性のある根本的対策が待たれるところですが、それまではひとつひとつの脅威に対処していくしか無さそうですね。
今後、国内の中間認証局がターゲットになるかは分かりません。とりあえずは節目の年である2020年まではウォッチし続けていこうと思った、今日この頃でした。。。


米国のダブルスタンダード:米国のようにハッキングするな

 以下は、米国がハッキングしたとされている企業のリストだ。

   •  RealTek
   •  JMicron
   •  C-Media

Hacked by the USA

 これら台湾の技術企業3社を米国がハッキングした理由は何だろうか?

 StuxnetおよびDuquで使用されているドライバに署名する目的で、デジタル証明書を盗むためだ。

 …

 以下は、北朝鮮がハッキングしたとされている企業だ。

   •  Sony Pictures

Hacked by North Korea?

 ところで、企業をハッキングしてデータを盗んでも大丈夫だなんて常軌を逸したアイデアを、朝鮮民主主義人民共和国はどこで得たと思う?

 —————

 DER SPIEGEL誌:The Digital Arms Race: NSA Preps America for Future Battle(デジタル軍備競争:NSAが今後の戦闘のために準備)

サイバー戦争をめぐる3つの疑問

エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンが最近私にこう言いました。「私たちにはサイバー戦争をイメージする想像力が足りない。この戦争は爆発的なものではなく、クライムウェアのビジネスが枯渇した誰かが新しいビジネスを探している、といったものではないだろうか」
 
この1週間、エフセキュアのセキュリティ研究所は、エネルギー業界をねらうハッキンググループ「Energetic Bear」やHavexからの攻撃に目を光らせてきました。今はウクライナやポーランド、トルコ、ロシアを標的とするCosmicDukeに注目しています。
 
こうした攻撃の最終目的はスパイ活動、つまり買い手(もしかすると、どこかの政府)のための情報収集にあるようです。しかし、その手法は、イランの核戦力を低下させるために開発されたStuxnetのように多大な工数を投じた緻密なものではありません。
 
ショーンはこう言います。「これらはもっともらしい反証に頼っており、利用しているリソースはサイバー攻撃専用ではないようだ。これは、従来のクライムウェアで用いられるモジュール手法に匹敵する」
 
エフセキュアのシニアリサーチャーで、以前にCosmicDukeの分析についての記事を投稿したことがあるティモ・ヒルボネンはこう話します。「一つの要素だけ見れば、まるでクライムウェアのようだが、違う角度から見れば、『こんな標的をねらったものは今まで見たことがない』と言うだろうね」
 
「サイバー戦争に関わるものは何でもピカピカで真新しい、というのがこれまでの常識だった」とショーンは言います。けれども、今回の攻撃は「セミプロ」の仕事のようです。
 
こうした攻撃をきっかけに、ショーンは以下の3つの疑問について考えています。
 
国が支援しているというのはどういう意味か?
 
ショーンは言います。「サイバー戦争は現実の縮図だ。トップダウンで機能する大規模なサイバー情報インフラを整備している国もあれば、既存のクライムウェアに基づく既存のテクノロジーを取り入れて、草の根レベルの方法をとっているような国もある」
 
国家中心のキャンペーンでは、必ずしも国の支援を受けていないマルウェアを利用しているのではないか、とショーンは考えています。「黒い覆面をして記章を外した部隊を半島に送り込むような国は、同じようなことをオンラインでもやるかもしれない」
 
機会を逃さない実際的な政府は、人々にお金を払って、国際スパイ用のテクノロジーを取り入れているかもしれません。
 
こうした攻撃の最終目的は孫子が『兵法』で述べた名言、「敵を知れ」に通じるのではないかとショーンは言います。

情報で武装した国は、ソフトパワーを駆使して同盟国同士を対立させ、経済制裁のような報復を制止することができます。
 
APT(Advanced Persistent Threat)攻撃とは何か?

 
APT攻撃はStuxnetほど複雑なやり方ではありません。複雑である必要がないのです。
 
CosmicDuke(2001年から存在しているマルウェアの変種)は標的をだまして、エクスプロイトを含むPDFファイル、もしくは文書ファイルや画像ファイルのようなファイル名を付けたWindowsの実行ファイルを開かせ、感染させる仕組みです。
 
標的がこうした悪質なファイルを開くと、CosmicDukeがシステムに侵入し、キーロガーやクリップボードスチーラー、スクリーンキャプチャ、パスワードスチーラーでさまざまなチャットやメール、Webブラウザの情報を収集し始めます。またCosmicDukeには、システム上のファイル情報を収集し、暗号化証明書やその秘密鍵をエクスポートする機能もあります。収集した情報はFTPでリモートサーバに送信されます。CosmicDukeはシステムの情報を盗むだけでなく、攻撃者が他のマルウェアをシステム上にダウンロードし、実行できるようにします。ごくありふれたものです。
 
クライムウェアとの闘いは犯罪者をサイバースパイに駆り立てているのでしょうか?サイバー犯罪との闘いは逆効果なのでしょうか?
 
「なかには、政府のため、自分のために働いている奴らがいるのかもしれない」とショーンは言います。
 
サイバー犯罪の国際戦争で勝利の波に乗れば、犯罪者たちを支援する新たな買い手が現れるかもしれません。
 
ショーンは続けます。「このような人材はおのずと育つ。いまや、国外の人材を活用する政府もある。警察はクライムウェアを追っているが、クライムウェアはなくならない。これは金になるビジネスで、金を求める人材は後を絶たない」
 
このような攻撃はあらゆる人を標的にしていると、ショーンは確信しています。
 
「システム管理者を追うのはNSA(国家安全保障局)だけではなく、重要なシステムに何らかのアクセス権限を持つ人なら、誰もが標的になりえる。落ち着いて、守りを固めなければならない」
 
予防はどんなときも最善策です。企業各社はこのことを認識してくれるだろう、とショーンは期待しています。
 
「ITマネージャの皆さん、必要なセキュリティ予算を要求し、勝ち取りましょう。コスト優先のセキュリティ対策が間違った経営判断であるという証拠が次々に明らかになっているのです」
 
各国の政府が日和見的なマルウェア作成者と手を組めば、リスクは急激に増大するでしょう。
 
ショーンは次のように問いかけています。「現在はクライムウェアのボットネット、将来は国家安全保障が悪夢?こんな奴らが脱獄したらどうなるでしょう?彼らはこんな人材を放っておかないでしょう」
 
Sandra

>>原文へのリンク

CosmicDuke:MiniDukeのひねりを効かせたCosmu

 「MiniDuke」というバックドアは、NATOや欧州の政府機関に対する一連の攻撃の中で発見され、2013年2月に特定された。我々が2014年4月に行ったMiniDukeの分析中、MiniDukeの第3段階で用いられているローダーと同じものを別のマルウェアファミリーが使用していたことを突き止めた。そのマルウェアとは、情報窃盗を行うCusmuファミリーの一部であり、何年か前から存在する。

 何がMiniDukeへと結びつけたのだろうか。この点は興味深いが、コンパイル時のタイムスタンプによれば、共通のローダーを先に使っていたのはMiniDukeではなくCosmuなのだ。さらに、このローダーはある時点でアップデートされたことを確認したが、両マルウェアファミリーともアップデートされたローダーを採用していたのだ。CosmuはMiniDukeとコードを共有することが分かった初めてのマルウェアなので、MiniDuke由来のローダーとCosmu由来のペイロードが融合したことを示すサンプルに、我々はCosmicDukeと名付けることにした。.

Duke on the Craters Edge, GPN-2000-001132
 (写真NASAアポロ16号月着陸船パイロットCharles M. Duke

 CosmicDukeの攻撃ファイルで犠牲者を誘い込むために使われているファイル名やコンテンツには、ウクライナ、ポーランド、トルコ、ロシアといった国々を示唆するものが含まれている。一般には言語を使用していたり、または行事や団体を明に暗に示している。選ばれたファイル名やコンテンツは標的の興味に合わせているように見受けられる。もっとも、我々はその犠牲者のアイデンティティや場所について、いまだに他の情報は持ち合わせていないのだが。

 CosmicDukeの感染は、標的を騙して、エクスプロイトを含むPDFファイルを開かせるところから始まる。もしくはドキュメントファイルか画像ファイルのように見えるように操作されたファイル名を持つ、Windowsの実行ファイルだ。ユーザに囮ドキュメントを表示するサンプルもある。以下のファイルにはUkraine-Gas-Pipelines-Security-Report-March-2014.pdfという名前が付けられている。

CosmicDuke decoy

 少々変わったタイプの囮を以下に示す。ロシアの領収書だ。この画像ファイルの興味深い点は、EXIFのメタデータを持つところだ。写真がいつ撮影されたのかや、写真を撮るために使用された携帯電話のモデルが含まれている。

CosmicDuke decoy

 標的がこの悪意のあるファイルを開くと、CosmicDukeはシステム上に存在するようになり、情報の収集を始める。データ収集コンポーネントには、キーロガー、クリップボード・スチーラー、スクリーンキャプチャ、そして各種の人気チャット・メール・Webブラウザのパスワード・スチーラーが挙げられる。またCosmicDukeはシステム上のファイルに関する情報も収集し、暗号用の証明書と関連する秘密鍵をエクスポートする機能も持つ。

 いったん情報が収集されると、FTPでリモートサーバに送出される。CosmicDukeはシステムから情報を盗み出すのに加えて、攻撃者がシステムに別のマルウェアをダウンロードして実行できるようにもする。

 エフセキュアは既知のCosmicDukeのサンプルで使われている、さまざまな悪意のあるコンポーネントをすべて検出する。

 技術的な詳細について知りたい場合には、当社のCosmicDukeの分析レポートを参照してほしい。


 Post by — Timo

管理者達へ:Heartbleedの修正するときに設定基準を見直そう

 とにかくSSLの更新は必要なので、設定が最近の基準に沿っているかについても確認しようではないか。

 Heartbleedについてたくさんの大騒ぎがあったから、管理者ならすでに何をすべきか知っているだろう。

 1. 脆弱なバージョンのOpenSSLを使っているものをすべて特定する
 2. 最新バージョンのOpenSSLに更新する
 3. 古いプライベートキーとSSL証明書は漏えいした可能性があるので、新しいものを作成する
 4. 古い証明書を失効にする

 だがサーバの設定を触って、新しいSSL証明書を作成しなければならないのなら、証明書生成の設定やサーバの設定にも手を伸ばすことをお勧めする。HeartbleedはSSL/TLSの実装における問題だけではない。プロトコルを下手に選択したり、暗号方式が弱いと、Heartbleedのバグと同等に危険になり得る。

 OWASP Transport Layer Protection Cheat Sheet(Open Web Application Security Projectによるトランスポート層保護についてのチートシート)を一読することを推奨する。

 そしてボーナスポイントのチャンス!

 5. PFS(Perfect Forward Secrecy)を実装する。これは件のOWASPのチートシートの「Prefer Ephemeral Key Exchanges」というルールのところに記載がある。

 詳細については、EFEの「Why the Web Needs Perfect Forward Secrecy More Than Ever(なぜかつてないほどWebにPFSが必要なのか)」というポストを参照してほしい。

追記:

 もう1つ追加する。

 6. トランスポート層のセキュリティのみに依存してはならない。もしデータがクリティカルであるなら、実装において追加的な保護を用いる。

 一例を挙げるならYounitedだ。「How do I turn on advanced login authentication?(高度なログイン認証を有効にする方法は?)」というサポートの質問を参照してほしい。

younited's 2FA

 2要素認証だ。提供してほしい。お願いだ。

更新:

 プライベートキーの変更が当然必要なことや、古い証明書を失効にすることを明確にする記述を追加した。ありがとう。@oherrala.

偽のMinecraftのAndroidアプリがSmalihookを使用

 先日、Minecraftの偽アプリを分析しているときに、その偽アプリがSmalihookと呼ばれるハッキングツールを使用していることに気付いた。そのためSmalihookついて調べてみた。

 このツールはJavaのファンクションをフックするためのもので、他のフックライブラリとまったく同様に動作する。ファンクションのトリガーをフックしたのち、呼び出し元に任意のものを返すことができる。今回のケースでは、以下のファンクションがフックされる。

  •  getInstallerPackageName(String packageName)
  •  getPackageInfo(String packageName, int flags)

 getInstallerPackageNameというファンクションは以下を行う。

  •  あるパッケージをインストールしたアプリケーションのパッケージ名を取得するこれにより、どのマーケットからパッケージがやってきたのかを識別する

 Smalihookはトリガーをフックすると、当該アプリがGoogle Play Storeからダウンロードされていなくても「com.google.android.feedback」という値を返す。そこから来たように見せかけたいだけだ。

 getPackageInfoというファンクションは以下を行う。

  • システムにインストールされたあるアプリケーションに関するすべての情報を取得する

smalihook (6k image)

 このフックは、2番目のパラメータが定数0x00000040 (64) GET_SIGNATURESを用いているかを監視し、dexファイル内にあるオリジナルのMojang社の証明書を返す(このトロイの木馬型のアプリ自体はデバッグ用の証明書で署名されている)。これは、ベースとしている正規のアプリケーションが認証用のルーチンを含むために行われる。この認証ルーチンは証明書の妥当性を確認し、正規の証明書が見つからなければ実行を中止する。特に、Mojang社のアプリは無料ではないのだから、開発用の証明書を使って署名されたパッケージのアプリケーションが広まることを明らかに望みはしないだろう。

 SmalihookはAntiLVLというクラッキングツール(Android License Verification Library Subversion)の一部のように見受けられる。こうしたツールの目的はライセンス保護システムを破ることで、一般的な種類の攻撃に対して自身が保護されているかをテストしたい開発者に狙いを定めている。

 このツールは公然と提供されており、以下のリンクからダウンロードできる。

  •  http://androidcracking.blogspot.fi/p/antilvl_01.html

 Smalihookも同じページから入手できる。

  •  http://androidcracking.blogspot.fi/2011/03/original-smalihook-java-source.html

 Smalihookの作者は「lohan」というタグを使っているようだ。作者の連絡先情報も同じページに記載されている。

 ちなみにこのサイトには以下の注意書きがある。

androidcracking (7k image)

 「For educational purposes only(教育目的に限る)」いや、待て…。


—————

Post by — Marko

NSA:私たちは防衛に大きく偏っていた

 1月7日、Wired誌は「How the NSA Almost Killed the Internet(NSAがほとんどインターネットを殺した方法)」と題するSteven Levy氏の記事を掲載した。

 これは絶対に読む価値がある。

 何といっても、メディアへの情報漏えいに関するタスクフォースを率いるNSA幹部のRick Ledgett氏による以下の部分がある。

 「私たちは防衛に大きく偏っていた。」とLedgett氏は付け加えた。世界中のユーザに影響を与えてきた可能性のある、ある企業のソフトウェアの深刻な脆弱性をNSAが発見した事案について言及したときのことだ。「我々は数日間内部でこれについて議論し、米国政府全体また米国の大半にとって非常に重要な問題なので(当該企業の脆弱性を)開示することを決定した。広範な標的に対して、いつまでも続く好機ではあったのだが。」

Rick Ledgett

 えっ。NSAが責任を持って「ある1つの」深刻な脆弱性を開示した。えーと…。NSAに賞賛を!

 開示に関するこの事例の話は、数多くのゼロデイエクスプロイトや、(JMicron社とRealtek社の)盗まれた証明書で署名されたドライバー、MD5のハッシュ値の衝突、それにStuxnetDuquFlame経由で世界中に解き放たれたCPLINKの脆弱性をほとんど(かなり、どころではない)埋め合わせてしまうものだ。

 我々は防衛に大きく偏っていた?

 お願いだ。これは真面目くさった顔のテストを通らない、というだけのことではない。

偽の「F-Secure Security Pack」という悪意あるブラウザ拡張について

 当社では、ある悪意あるブラウザ拡張を追っている。このブラウザ拡張には、さまざまな異なるソフトウェア企業の手によるものだと表示される。

 これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。

 このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。

Contents of malware installer

 上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。

 このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。

Certificate information

 現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。

 Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。

Foobar

 Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。

ff_ext

 この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。

extension_chrome_pack

plugin_drweb

plugin_kingsoft

 ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。

extension_spanish_text

 以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。

extension_spanish_text

 設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。

extension_spanish_text

 F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。

 SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2

アメリカ国防総省の証明書がアップルのルート証明書に含まれている

 オモシロ情報!

 Mac OS X、iOS 5、iOS 6で使われている、信頼されたルート証明書のうち…
DoD_CLASS_3_Root_CA
DoD_Root_CA_2
iOS_DoD_certs

…2つはアメリカ国防総省(DoD、Department of Defense)からのものだ。

 興味深い、でしょ?

Trojan:Android/Pincer.A

 プロのアドバイス:「Certificate.apk」という名前のAndroidアプリケーションパッケージをインストールしないように。

 これは(明らかに)まともなものではない。

 Trojan:Android/Pincer.AはSMSメッセージを転送し、C&Cサーバから受信したコマンドに基づいてさらにアクションを取ることが可能だ。インストールするとアプリケーションメニュー内に「Certificate」として出現し、起動時にはそれっぽい偽りのメッセージを表示する。

Certificate PIN Code

 証明書を装った悪意あるモバイルアプリケーションは、以前は2要素認証を突破することを目的とした、銀行狙いのトロイの木馬のモバイルコンポーネントだった。PincerがSMSメッセージを転送できるということは、もちろんPincerがそのように使われることを意味する。

 Pincerが待ち受けるコマンドは以下のとおりだ。

  •  start_sms_forwarding
  •  start_call_blocking
  •  stop_sms_forwarding
  •  stop_call_blocking
  •  send_sms
  •  execute_ussd
  •  simple_execute_ussd
  •  stop_program
  •  show_message
  •  delay_change
  •  ping

 show_messageコマンドには興味深い双方向性がある。被害者にメッセージを表示する際、C&Cサーバからコマンド自体が送付されるのと同時にメッセージのコンテンツもやってくるのだ。

 このトロイの木馬の発信先はhttp://198.xxx.xxx.xxx:9081/Xq0jzoPa/g_L8jNgO.phpと+4479372xxxxxだ。

 C&Cサーバは電話機のIMEI(International Mobile Equipment Identity)を識別子として用いている。その他、電話番号、デバイスのシリアル番号、電話機のモデル、キャリア、OSのバージョンを含む情報が送信される。

 注目:Pincerは、IMEI、電話番号、オペレータ、電話機のモデルを確認することによってエミュレータ内で実行しているかどうかを確認する(Windowsのマルウェアで使われる一般的な「アンチ分析」技術だ)。

SHA1: 2157fd7254210ef2e8b09493d0e1be3b70d6ce69

 類似サンプルを追加する。

  •  9416551d3965d3918eef3788b0377963d7b77032
  •  1ebfc6f1f3e15773f23083c9d8d54771e28f5680

 そして最後になるが…。

 このトロイの木馬にはUSSDDumbExtendedNetworkServiceというクラスが含まれる。この中の変数URI_AUTHORITYには[○○].comが設定される。そして、この○○にはフランス系カナダ人の実在する会社に関連した単語が入る。もしくは「Android開発者」として雇用されていることをGoogle+ページに記載している若いロシア人のTwitterのハンドルかもしれない。

 我々は「実在する」証拠は何も持っていない…。しかしPincerとカナダは何ら関係ないと確信している。

—————

技術分析 — Mikko Suominen

—————

更新

 データマイニングにより検出されたPincerのサンプルをさらに2つ挙げる。

 1つは本質的に既出のサンプルと同じだが、C&CサーバのURL(https://xxx-xxxxx.com/android_panel/gate.php)および証明書が異なる。これは、すでに見つかっていたサンプルの1つ目より1週間前に、VirusTotalで初めて見られたものだ。

  •  ec14ed31a85f37fad7c7d9c8c0d2aad3a60c8b36

 もう1つはもっと興味深いサンプルだ。明らかにさらに早い時期のバリアントなのだ(VirusTotalに3月19日に提示された)。このバージョンでは証明書を装わない。代わりに「Mobile Security」と名乗っている。

Mobile Security

  •  60e1cd1191e0553f8d02289b96804e4ab48953b3

 このサンプルは起動時にクラッシュするが、静的分析に基づくと、「Mobile Security System is active now. You are protected.」というメッセージが表示されるはずだった。アイコンは他のバリアントと同じだ。パッケージ名は異なる。また、他のサンプルはcom.security.certまたはcom.security.certificateを用いるが、このサンプルはcom.[○○].diverterだ。

 diverter(誘導する)?

 うん…、それこそ「Mobile Security」に必要ない機能だ。

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

FlashエクスプロイトがウイグルのWebサイトを標的に

 ウイグルに対する攻撃はまだ止んでいないようだ。我々は近頃、侵害されたウイグルのWebサイトに遭遇した。そこでは、CVE-2013-0634の脆弱性を突く悪意のあるFlashが再生される。

site (472k image)

 このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。

hiew (75k image)

 また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。

cert (116k image)

 MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。

 こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。


関連のあるサンプル:

  •  977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
  •  82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
  •  040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
  •  35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
  •  ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF

Post by — Karmina and @Timo







マルウェアの署名に使用されたAdobeの証明書

  Adobeの製品セキュリティのトップBrad Arkinが木曜日、非常に興味深い記事を掲載した。

  結局、Adobeのビルドサーバの一つに障害が生じ、Adobeのデジタル署名を持つ悪意あるファイルを作成するのに利用されたというのだ。

  アドビ・コードサイニング証明書の不適切な使用

Inappropriate Use of Adobe Code Signing Certificate

  これに伴うセキュリティアドバイザリによれば、3つのファイルを使用する2つのユーティリティがある。Adobeによると、Adobe署名のバージョンは単一のソースに隔離されており、我々のバックエンドメトリクスも一致する。我々の顧客ベースの範囲内には、Adobe署名のファイルは一つも見当たらない。

  非Adobe署名付きPwDump7.exeの事例はあったが、これらは限定されている。おそらくその名前から、PwDump7.exeが何をするのかお分かりだろうが、これはWindows OSからパスワードハッシュを盗み出す。PwDump7.exeが使用する関連ファイルはlibeay32.dllで、これはOpenSSLライブラリだ。そして、我々のバックエンドには、これ(正当でクリーンなファイル)のpingがある。

  第2の悪意のあるファイルは、「myGeeksmail.dll」と呼ばれており、AdobeはこれがISAPIフィルタであると考えている。

  このファイルの非Adobe署名バージョンは、イン・ザ・ワイルドではない。

  Adobeの署名が取り除かれた「myGeeksmail.dll」のMD5ハッシュは:8EA2420013090077EA875B97D7D1FF07

  Adobeは10月4日に障害の起きた証明書を取り消す予定で、現在、新しいデジタル証明書を使用したアップデートを発行している。

  最後に:@jarnomの「CARO 2010」のプレゼンテーションを再度お勧めする良い機会だろう:署名されているのだから、クリーンでしょう?[PDF](スライド#25を要確認)

Flameは不十分

  Flameマルウェアが2週間前に発見された時、「非常に先進的」「スーパーマルウェア」「史上最大のマルウェア」と呼ばれた。

  これらのコメントはすぐに、Flameには特に新しい点も興味深い点も無いと指摘した専門家たちによる嘲笑を受けた。

  実際、Flameで唯一ユニークなのは、そのサイズでしかないようだ。それとても、それほど刺激的ではなかった。アナリストはもっと大きなマルウェアの事例を探してきたし、実際、発見してもいる(マルウェアの中にはビデオファイルのように見せかけようとするため、本体にノーカット版の映画を含むものもある)。

  FlameがStuxnetやDuquのように、政府によって作成されたもので、国民国家が作成したものだという示唆も、嘲笑を受けている。

  しかし、この2週間で我々がFlameについて知ったことを見てみよう。

1. Flameはキーロガーとスクリーングラバーを持つ

  否定派は感銘を受けていない。「以前、見たことがある。Flameは不十分だ。」

2. FlameはビルトインのSSH、SSLおよびLUAライブラリを持つ

  「肥大化している。遅い。Flameはやはり不十分だ。」

3. Flameはローカルドライブおよびネットワークドライブで、すべてのOffice書類、PDFファイル、Autodeskファイル、テキストファイルを探す。盗み出せる情報が多すぎるため、IFilterを使用して書類からテキストの引用を抜粋する。これらはローカルのSQLLiteデータベースに保存され、マルウェアのオペレータに送信される。このようにして、彼らはマルウェアに指示し、本当に興味深い資料に焦点を合わせる。

  「Flameは不十分だ。」

4. Flameは感染したコンピュータのマイクをオンにし、マシンの近くで話される会話を録音できる。これらの会話はオーディオファイルとして保存され、マルウェアのオペレータに送信される。

  「Flameは不十分だ。lol」

5. Flameは感染したコンピュータとネットワークで、デジタルカメラで撮影された画像ファイルを検索する。これらの画像からGPS情報を抽出し、それをマルウェアのオペレータに送信する。

  「Flameはやはり不十分だ。」

6. FlameはBluetoothを介して、感染したコンピュータに接続している携帯電話があるかどうかをチェックする。もしあれば、その端末(iPhone、Android、Nokiaなど)に接続し、アドレス帳の情報を収集して、マルウェアのオペレータに送信する。

  「Flameはやはり、ちょっと不十分だ。」

7. 盗まれた情報は、感染したマシンで使用されているUSBスティックを感染させ、このスティックに暗号化されたSQLLiteデータベースをコピーすることにより、それが閉環境の外側で使用された時に送信される。このようにしてデータは、ネットワーク接続の無い安全性の高い環境からも盗み出されることになる。

  「Agent.BTZが2008年、既に似たようなことをしている。Flameは不十分だ。」

8. Flameは現在、とうとう捉えられたが、攻撃者はすべての証拠を破壊し、影響を受けたマシンから感染を取り除こうと活動している。

  「何も証明されていない。不十分。」

9. 最新の調査で、Flameが実際、Stuxnetと関係していることが分かっている。そしてFlameが発見されたちょうど1週間後、イスラエルの軍隊とともにStuxnetを開発したことを米国政府が認めた

  「大げさにしようとしているに過ぎない。やはり不十分。」

10. FlameはMicrosoft Updateへのトラフィックを傍受するのに使用する、ローカルプロキシを作成する。これはFlameをLANで他のマシンに広めるのに使用される。

  「不十分。他のコンピュータがそうした偽のアップデートを受けとったにしても、Microsoftによって署名されていないのだから、受け入れるはずがない。」

  攻撃者がMicrosoft Terminal Serverライセンス証明書を再利用する方法を見つけたため、偽のアップデートはMicrosoftのルートと結びつく証明書で署名されている。これだけではWindowsのより新しいバージョンになりすますことはできないとしても、最先端の暗号の調査が行われ、証明書のスプーフィングを可能にするハッシュ衝突を生み出す、完全に新しい方法が考え出されている。しかし、彼らはさらにスーパーコンピュータを必要とした。

  「…」

  そして突然、何の前触れもなく、Flameが不十分か否かに関する議論は…消えてしまった。


Microsoft Updateと最悪のシナリオ

  およそ9億台のWindowsコンピュータが、Microsoft Updateからアップデートを得ている。DNSルートサーバに加え、このアップデートシステムは常に、ネットの弱点の一つと考えられている。アンチウイルスの関係者は、このアップデートメカニズムをスプーフィングし、それを通じて複製するマルウェアの亜種という悪夢にうなされている。

  そして現在、それが現実となったようだ。それも単なるマルウェアによってではなく、Flameによって。

  詳細なメカニズムはまだ完全には分析されていないが、Flameには、Microsoft UpdateもしくはWindows Server Update Services(WSUS)システムに対する中間者攻撃を行おうとするように見えるモジュールがある。成功すれば、この攻撃により標的となったコンピュータに「WUSETUPV.EXE」というファイルがドロップされる。

  このファイルは、Microsoftルートに紐づいた証明書を持ち、Microsoftによって署名されている。

  ただし、本当にMicrosoftが署名しているわけではない。

  攻撃者は、Microsoftが企業顧客のため、Terminal Serviceのアクティベーションライセンスを作成するのに使用しているメカニズムを、不正使用する方法を見つけ出したことがわかる。驚くべきことに、これらのキーはバイナリに署名するのにも利用することができた。

  以下は「WUSETUPV.EXE」に署名するのに使用された証明書のCertification Pathの様子だ:

Flame

  この機能の動作に関する詳細については、現在も分析を行っている。いずれにせよ、それは、大規模な攻撃で使用されてはいない。おそらく、この機能は組織内でさらに広がるために使用されたか、特定のシステムで最初にドロップするのに使用されたのだろう。

  Microsoftは、この攻撃で使用された3つの証明書を取り消す、緊急のセキュリティ修正を発表した

  同修正は(ご推察通り)「Microsoft Update」を介して入手できる。

  以下は、このアップデートが行うことをアニメーションで示したスクリーンショットだ:「Microsoft Root Authority」が発行した2つの証明書と「Microsoft Root Certificate Authority」が発行した1つの証明書を、信頼できない証明書のリストに追加する。

Flame

  Microsoftのコードサイニング証明書を持つことは、マルウェア作者が渇望するものだ。今やそれが起きてしまった。

  良いニュースは、これが経済的な利益に興味を抱くサイバー犯罪者によってなされたことではない、ということだと思う。彼らは、何百万ものコンピュータを感染させることができただろう。しかしこのテクニックは、おそらくは西側の諜報機関が開始した、標的型攻撃で用いられた。

ラップトップ・ステッカー 2012:最終案内

ラップトップ・ステッカー・アンケートの投票は、あと1日で終了する。

  以下は最有力候補のスクリーンショットだ:

Laptop Stickers Poll, 2012

  ミッコの最近の記事の人気から、我々は「本格的」がトップになると思っていた…

  ほとんど皮肉:証明書を販売中。真面目な話

新年の願いごと - データ収集付き

  2011年が終わろうとしている。先日クリスマスが過ぎ、新年が近付きつつあるため、当然、多くのお見舞いの言葉や季節の挨拶などが送られている。何者かが(少し遅れて)参加しようと決め、同時にちょっとしたデータ収集も行おうと決意したようだ。

  「Spyware:Android/AdBoo.A」は、気のきいた/優しい/面白いメッセージを知人に送れるようにするプログラムの一つだ。実行すると、同プログラムは新年の願いごとや友情、愛情、ジョークといった様々なカテゴリに分類されたテキストメッセージのリストを表示する:

AdBoo text

  ユーザがこれらメッセージの一つを選択すると、同アプリはユーザに連絡先、編集、キャンセルという次の行動を選ぶよう求めるダイアログボックスを表示する:

AdBoo message

  連絡先オプションを選択すると、アプリは保存されている連絡先データを読み込もうとする。おそらく同アプリはメッセージを誰に送るのかを知る必要があるのだろう:

AdBoo choices

  初期解析中、我々のテスト用携帯電話には連絡先が保存されていなかったため、同アプリはこの時点で何も回収しなかった。

  しかし、(偽の)連絡先を使用して再テストすると、テキストメッセージも送られず、ユーザは「送信失敗」というメッセージというダイアログボックスが出るだけだった:

AdBoo sending fail

  我々はしかし、同アプリが何か別のことをしているのに気づいた。連絡先オプションを選択すると、同アプリは以下の情報をこっそりと端末から取得するのだ:

1)端末のモデル
2)Androidのバージョン
3)電話番号
4)国際移動体装置識別番号(IMEI)

  収集された情報は次にリモートサーバに送信される。

  ちなみに、我々の手元にあるAdbooサンプルの証明書を見ると、「Trojan:Android/Zsone.A」と同じ開発者のものであるようだ:

AdBoo:

AdBoo SHA1

Zsone:

Zsone SHA1

Threat Solutions post by — Irene

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード