エフセキュアブログ

Gen を含む記事

Petya:ディスク暗号化ランサムウェア

 4月3日更新。暗号化スキームについてより詳しく追記した。


 Petyaは邪悪なひねりが加えられている新しいランサムウェアだ。ディスク上のファイルを暗号化する代わりに、ディスク全体をロックしてほとんど使い物にならない状態にする。具体的には、ファイルシステムのMFT(master file table)を暗号化する。つまりOSからファイルの位置が特定できなくなることを意味する。Petyaは、ブートキットと同様に自身をディスクのMBR(master boot record)にインストールする。ただし、秘密裏に活動するのではなく、赤い画面上にシステムを復旧する方法についての説明を表示する。

 MFTを狙うと素早く攻撃できる。データファイルを暗号化するより極めて短時間で済むのだ。それでも全体的な結果としては暗号化と同じ、すなわちデータにアクセスできなくなる。

Petya, Press Any Key!

 Petyaは2段階で実行する。第1段階はメインのドロッパーで、以下を実行する。

  • \\.\PhysicalDriveを直接操作してMBRに感染させる
  • 一連の暗号キーを生成する。これには16バイトのランダムなディスク暗号用のキーと楕円暗号(EC、Elliptic Curve)のキーペアが含まれる。この時点で、特別な「復号コード」も用意される
  • あとでMBRに感染したコードで使うため、ディスクの暗号キーと復号コードをディスクに保存する。その他の生成された暗号データはすべて破棄される
  • なんの警告もなしにマシンをシャットダウンし、MBRのコードでブートする

 Petyaは非対称キーによる暗号化と搬送のために、楕円曲線暗号スキームを用いている。192ビットの公開鍵とsecp192k1曲線パラメータは、ドロッパーのバイナリにハードコーディングされて配信される。Petyaはサーバの公開鍵を取得し、ECDH(Elliptic Curve Diffie-Hellman)アルゴリズムを用いて共有の秘密鍵を構築する。この共有秘密鍵を用いて16バイトのディスク暗号キーをAES暗号化する。共有秘密鍵はこのマルウェアとサーバしか使用できない。バイナリをASCIIにエンコーディングするBase58により、このマルウェアの楕円曲線の公開鍵といっしょにディスク暗号キーをパッケージする。ここで得られるパッケージが、後に赤いスクリーン上で提示される「復号コード」である。

Petya physdrive
PetyaドロッパーによるPhysicaldriveの操作

Petya server pubkey
ドロッパー内部にあるPetyaサーバの楕円曲線暗号の公開鍵

Petya ecc params
ドロッパー内部にあるPetyaのsecp192k1の曲線パラメータ

Petya encode pubkey
ASCIIエンコーディングのPetyaドロッパーの楕円曲線暗号の公開鍵

Petya gen salsa20 key
Petyaドロッパーのsalsa20バイト列の生成

 感染後、マシンはMBRのコードでブートする。これは以下のようになる。

  • まずディスクが感染しているかを確認する
  • 感染していなければ偽のCHKDSK画面を表示し、暗号キーに共有秘密キーを用いてMFTを暗号化する
  • ディスクの暗号化にsalsa20を用いる。暗号化後は当該キーを破棄する
  • 赤い「スカルスクリーン」、続いてTorの隠しサービスのURLがある画面と「復号コード」を表示する。「復号コード」とは、サーバでしか開けない暗号化されたメッセージである
Petya debug environment
Petyaが環境を取り戻すところ

petya_disk_encryption
salsa20でディスクを暗号化する際の、偽の「CHKDSK」に関するMBRのコード

Petya salsa20 expand32
MBRに置かれるsalsa20のコード

 楕円曲線アルゴリズムを用いて暗号キーを復号できるのは、もはやサーバしかない。これはマルウェアによってキーが破棄されたためだ。また、たとえ破棄されていなかったとしても、マシンがロックされて使えないままだ。リカバリディスクでMBRを復旧したとしても役には立たないだろう。なぜならMFTがいまだ暗号化されているからだ。理論上は共有秘密鍵を復旧して、リカバリディスクでディスク暗号化キーを復号して戻すことは可能だ。しかしそのためには、元々の楕円曲線暗号のキーペアを入手しなければならないのだが、必要な楕円曲線のデータはすべてドロッパーが破棄してしまっている。これはまるで家に入るための鍵が2つあって、意図的に片方を無くしたようなものだ。

 サーバ側では、復号コードのデコードが逆の順番で行われることが想定される。

  • Base58で符号化されたバイナリデータをデコードする
  • マルウェアの公開鍵と暗号化されたデータを展開する
  • 公開鍵を用いて、共有秘密鍵を構築する
  • この共有秘密鍵を用いると、サーバはAESを使ってディスク暗号化キーを復号できる
  • ここで攻撃者は、ロックされたマシンを解放できる暗号化キーを元に戻すことができる

 一例として、当社のラボのマシン上の復号コードの1つは次のように見える(ハイフンと先頭の2文字は削除。サーバはこれをデコードに使用しない)。

Q5rL1YMqnJPCsCgji4KcDv5XnQrtqttBQ7tfbAq7QStmTXNQ6Voepeaiem8uzaQxYq3LwpvMCXBvMx2Mmqkdt8Fi

 このコードを標準のBase58アルゴリズムを用いてデコードすると、以下のデータが生成される(説明のために、マルウェアが生成する公開鍵を緑で、ディスクを暗号化するキーを赤で示す)。

Petya decryption code opened

 サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない:)

トリビア:

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

アプリの「アクセス許可」― ユーザがプライバシーを守るための、最後に残った希望の手段




これまでのエフセキュアブログでは、企業がいかにユーザを資産として扱っているかについて、多くのことを取り上げてきました。企業にとってユーザは、様々な方法での収益が見込める情報源なのです。音楽共有サービスSpotifyが最近会員規約を変更したことも、この問題が重要なトピックであることを裏付けています。Spotify は、ユーザのモバイル端末に保存された連絡先データや写真、メディアファイルなどの情報を収集したいと考えたのです。冗談じゃありません!私が利用しているSpotify アプリは、携帯の写真や連絡先データにアクセスできなくても、ちゃんと音楽を流せるのですから。結局、新しい会員規約は完全に裏目に出て、Spotifyは謝罪しました

しかし、このような話はSpotifyだけに限ったことではありません。FacebookやGoogle、そして実用的なソフトウェア開発者に至るまで、さまざまな企業がユーザのデータを当てにしているのです。これは、ユーザのプライバシーにとって非常に大きな問題です。

「でも、私たちユーザにはプライバシー法や個人情報保護法があるじゃないですか。法律がユーザを守ってくれて、Spotify みたいな企業が集めるデータの種類と、集めたデータの利用法を制限してくれるのでは?」と考える人もいるかもしれません。 しかし残念なことに、この防御策はうまく機能していません。確かに法律はありますが、ユーザのデータをどうすべきか判断するのはユーザ自身なのです。ユーザは自由に自分のデータの権利を譲渡してしまうこともできますし、実際にそれを利用している企業も多いのです。細かい文字で書かれた規約の内容は読まずに、ユーザ同意書に同意してしまった経験は、これまでにたくさんあるのではないでしょうか。実はそうすることによって、ユーザ自身が、法律が提供してくれるはずの保護を無効にしてしまっているのです。

しかし幸いなことに、2つ目の防御策があり、こちらはずっと効果的です。例えばSpotify アプリがアップロードできるのは、アクセスが可能なデータに限られます。iOS や Androidといった携帯端末向けオペレーティングシステムは、プライバシー問題がすでに認識されていた時代に作られたため、これらOSは、デスクトップ型パソコン用OSに比べて、セキュリティ面で優れた点がいくつかあります。アプリの「アクセス許可」はそのうちでも最も重要です。つまり、ユーザがインストールしたアプリは、初期設定では、端末上のすべてのデータにアクセスできるわけではないのです。アプリはユーザの許可を求める必要があり、 ユーザはアプリがアクセスできるデータや機能を決定することができます。これはユーザにとって、個人情報を安全に守るための最後に残された希望の手段なのですから、「アクセス許可」の重要性について知っておくことをお勧めします。

「アクセス許可」の設定はとても簡単ですし、ほとんどのユーザはすでに利用したことがあるはずです。アプリをインストールすると、通常「アクセス許可」がポップアップ画面で表示されます。ここで注意したいのは、この時すぐに「同意する」をクリックせずに、アクセス許可の内容をチェックすることです。何も考えずに「アクセス許可」に同意してしまうと、プライバシー保護の最後の砦が崩れ落ちてしまいます。

「アクセス許可」への対応には常識を働かせることです。まず、アプリ本来の役割が何かを考えてみましょう。例えば私の場合、曲を探したりプレイリストをかけたりするためにSpotify を利用しています。いずれの動作も、私が今いる場所とは関係がないので、Spotifyアプリは、現在の位置情報にアクセスする必要はありません。一方、病院などの緊急連絡先と連絡を取る際に利用するアプリは話が別です。このようなアプリは、正確な現在位置情報をオペレータにアップロードしますが、それこそがこのアプリをダウンロードした目的なので、当然このアプリには、現在位置情報にアクセスする正当な理由があるのです。しかし、Spotifyにせよ、このアプリにせよ、私の連絡先データにアクセスする必要はないので、連絡先データへのアクセスに対するリクエストはいずれも却下すべきです。「アクセス許可」に対応する際には、このような考え方をすることが大切です。

現在のところ、アプリのアクセス許可に関しては、iPhone のほうがAndroidよりも数段優れています。 Androidでは、アプリのアクセスしたい情報が表示されるため、ユーザはインストール前にアクセス許可の内容を確認できます。これは一見よさそうに思えるかも知れませんが、実際はそうではありません。最も問題なのは、ユーザに選択の余地がないことです。アクセス許可の項目のうち、1つでも気に入らない内容があれば、個別の無効化はできずにすべてを拒否するしかないため、インストールを断念しなければなりません。ユーザはアプリをダウンロードしたいために、アクセス許可の内容を拒否しないケースがほとんどです。そのため、アプリ開発者が余分な項目をアクセス許可にこっそり入れる可能性もあります。結果として、Android アプリのアクセス許可は、実質的にユーザライセンスへの同意のようになってしまっており、アクセス許可の内容に注意を払うユーザはほとんどいません。

iPhoneのほうがスマートです。 アプリのインストール時にはアクセス許可に関する質問はありませんが、アプリが制限されたコンテンツにアクセスしようとしたとき、 ユーザがアクセスを許可するか設定できる仕組みになっているのです。iPhoneアプリはインストールできないことを盾に、ユーザに不必要な許可を承認するよう強制しませんし、ユーザはアクセス許可の項目を細かく設定できるため、Android アプリのように選択の余地がないということはありません。個人情報に関連したコンテンツやサービスはすべて個別に扱われます。このように、iPhoneのアプローチのほうが明らかに優れています。実際そのために、Androidの次期バージョン Marshmallowにはこれと似たシステムが採用される予定になっています。

今回のブログのポイントをここでもう一度振り返ってみましょう。 アプリの「アクセス許可」は、ユーザにとって友達のような存在です。ユーザには、プライバシーの保護を手伝ってくれる仲間が必要なのです。
 

安全なネットサーフィンを

Micke

>>原文へのリンク

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

認証とは二者間で行われるものである! (3/3)

脱線話

この10年間で、車のキーは非常に複雑なものになりました。まず、電子式のドアロックが車に取り付けられ、キーはリモコンとしての機能するようになりました。それとともに、トランクの開閉やある種の警報システムといった他の機能も開発されました。また、二次的なロックメカニズムも出てきています。このメカニズムでは(上述したような)適切な鍵穴とタンブラーパターンのほかに、適切な電子署名によってはじめて車を始動することができるようになります。そのため、例えば私の車の場合、新しい鍵を作るには加工とプログラミングが必要であり、それにはおよそ300ドルもかかるのです!プログラムを追加する必要があるからと、業者は言うでしょう。しかし本当の理由は、車の鍵は皆さんにとって必要なものだからなのです。そして自分の車の種類に応じて(私の場合はレクサスです)、業者はできる限りの高値を提示してくるでしょう。鍵の回路にも「プログラミング」にも、それほどの価値はありません。これは世の中の情勢を表しています。1961年製のビュイックなら、キーは1ドルで買うことができますが、2001年製のレクサスだと、300ドルかかるのです。最新モデルでは物理的なキーが完全になくなっているため、さらに多くのコストがかかります。メーカーは、可能な限りの高値を請求するだけです。

2.   すべての場面で同じパスワードを使用しない、ということが非常に重要です。同じパスワードを使用している場合、そのうちの1つが見破られると、すべてが見破られてしまうことになります。それほど重要でないもの(パン屋さんの割引クーポンなど)には同じ簡単なパスワードを使用し、重要なもの(ミサイルの発射コードなど)には強力な、一意のパスワードを使用しているという人もいます。

3.   ペットや配偶者の名前、所有するボート、その他自分のFacebookページで見つけ出せるものに由来するパスワードを使用してはいけません。

4.   データは必ずバックアップしてください!私はすべてのデータを2つの異なる場所にバックアップしており、最も重要なデータには3つ目のバックアップも行っています。まずNAS(ネットワーク接続ストレージ)デバイスとクラウドにバックアップをとります。3つ目のバックアップ先は秘密です。何者かに自分のアカウントをハッキングされ、必要なデータを盗まれたり消去されたりするなどという事態は絶対に避けましょう。

そうは言っても、最近では認証が必要な場面が多すぎます(あなた自身を証明するための認証において、パスワードが重要だということです)。オンライン上で多くの物事を行う場合、何百ものパスワードにより識別されることになるかもしれませんが、それに対応できる人などいるのでしょうか?そんな人はいません。これはアルビン・トフラー博士が1971年、『未来の衝撃』の中で行った鮮やかな予測の一例にすぎません。




何が言いたいかというと、認証が必要な場面が多すぎると思うのです。あなたの甥の成人式の際、私は本当にイーバイトに出欠の返信を書き込むためのパスワードを取得する必要があるのでしょうか?展示会への登録情報を守るために、強力なパスワードが本当に必要なのでしょうか?新しいパスワードがますます求められるようになっていますが、それによりパスワードに対するイメージが少し悪くなってきています。しかし、たとえ100個のパスワードを把握しておく必要があるとしても、それらの管理にそれほどの労力をかける必要ありません。

エフセキュアでは、KEYというソリューションを提供しています。私は自分のデバイスすべてでKEYを使用していますが、これは本当に便利です。KEYでは、1つのマスターパスワードの下ですべてのデバイスのすべてのパスワードを同期することができます。キーは安全に暗号化されるため、インストール中に盗まれることも、クラウドから奪われることもありません。KEYを用いることで、最も重要なデータに対して新しく強力なパスワードを生成してくれます。是非試してみてください。

それではがんばってください。

David Perry

2014年10月29日、カリフォルニア州ハンティントンビーチにて

>>原文へのリンク

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

標的型攻撃とウクライナ

 4月1日にこの記事を投稿していることを我々は承知している、と述べるところから始めよう。しかし、これはエイプリルフールの冗談ではない。

 2013年、欧州各国の政府に対する一連の攻撃がカスペルスキー研究所によって観測された。問題のマルウェアはMiniDukeと呼ばれ、数多くの興味深い特徴を持っていた。まずは20KBとサイズが小さい。C&C用にTwitterアカウントを用いており、Googleの検索を通じてバックアップの制御チャネルを探す。当該マルウェアに埋め込まれたGIFファイルを通じて、システム上にバックドアを導入する。

 ほとんどのAPT攻撃のように、MiniDukeは、標的にメール送信された無害に見える文書ファイル経由で拡散した。具体的には脆弱性CVE-2013-0640を悪用したPDFファイルが用いられた。

 同様のケースを調査するために、我々はペイロードとMiniDukuのPDFファイルの囮文書を展開するツールを作成した。先週このツールを用いて、潜在的にMiniDukeである可能性がある大量のサンプル群を処理することができた。展開された囮文書の集合を眺めているうちに、ウクライナに言及した、いくつかの文書に気付いた。当該地域の現在の危機を考慮すると、これは興味深い。

 以下はこうした文書の一例である。

Ukraine MiniDuke

Ukraine MiniDuke

Ukraine MiniDuke

 攻撃者は、公開情報からこうした囮文書の一部を収集していた。しかしながら、以下のスキャンされたような書類の囮ファイルは、どのような公開情報からも発見できそうもない。

Ukraine MiniDuke

 書類にはウクライナ外務第一次官Ruslan Demchenko氏の署名がある。この書簡はウクライナにある外交機関の長へ宛てたものだ。翻訳すると、第一次世界大戦から100周年の記念に関することが記されている。

 攻撃者がどこでこの囮ファイルを手に入れたのか、我々にはわからない。こうした攻撃により誰が標的になっているのかも不明だ。そして、攻撃の背後にいる人物についても。

 我々が分かっているのは、こうした攻撃はすべて脆弱性CVE-2013-0640を用いており、同じバックドア(コンパイル日:2013-02-21)をドロップすることのみだ。

 当社ではPDFファイルを
Exploit:W32/MiniDuke.C(SHA1: 77a62f51649388e8da9939d5c467f56102269eb1)、バックドアをGen:Variant.MiniDuke.1(SHA1: b14a6f948a0dc263fad538668f6dadef9c296df2)として検知する。

—————

Research and analysis by Timo Hirvonen

すべての月がRed October

 おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。

 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてしまう。

 とりあえず、使用されているエクスプロイトは高度なようには見えない。攻撃者は古くからある有名なWordやExcel、Javaのエクスプロイトを使っていた。これまでのところ、ゼロデイの脆弱性が用いられた兆候はない。

 当社のバックエンド・システムは自動的にドキュメント・エクスプロイトを分析している。Red Octoberの攻撃で使用されたエクスプロイトの一部について、スクリーンショットを掲載する。

Red October

Red October

Red October

Red October

 我々は毎月のように、このシステム上で数千の同様のドキュメントを目にする。Red Octoberの攻撃は、長期に及ぶ、単一の存在から行われていた大規模な諜報活動という点で興味深い。しかしながら、企業や政府は同様の攻撃を多くの異なる攻撃元から定常的に受けているというのが悲しい現実だ。その意味では、これは真実、インターネット上での日常生活に過ぎない。

 Red Octoberの攻撃で用いられている、既知のエクスプロイト・ドキュメントは、エフセキュアのアンチウイルス上では、Exploit:Java/Majava.A、Exploit.CVE-2012-0158.Gen、Exploit.CVE-2010-3333.Gen、Exploit.CVE-2009-3129.Genなど、さまざまな名称で検知される。

 追伸。もしあなたがシステム管理者として自身の環境に対する同様の攻撃を防ぐ方法ついて思案しているのなら、そうした読者のために近く上級研究員のJarno Niemelaが続報を投稿する。

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Trojan:SymbOS/OpFake.A

以下は「Trojan:SymbOS/OpFake.A」に関する昨日の記事に関連したテクニカル分析だ。

  「OpFake.A」は、「OperaUpdater.sisx」および「Update6.1.sisx」などのファイル名を使用する、Opera Miniアップデータと思われるファイルとして到着した。このマルウェアインストーラは、アプリケーションメニューにOperaアイコンを追加する。実行すると、メニューおよび偽のダウンロードプログレスバーを表示する。

Opera Updater 56%
  プログレスバーの表示… このインストーラはファラデールームの内部で実行されたのに。

  同マルウェアは表示可能な「ライセンス」も有している。トロイの木馬が開始され、被害者がメニューのどれかを通じて先へ進む以前に、このトロイの木馬はロシアのプレミアム料金を課すナンバーに、テキストメッセージを送信している。ナンバーとメッセージのコンテンツは、暗号化されたコンフィギュレーションファイル(sms.xml)から来ている。

  「OpFake.A」のSymbianバージョンは、それがアクティブでいる短時間に、SMSメッセージのモニタも行い、受信メッセージを削除し、メッセージは電話番号とメッセージのコンテンツにもとづき、送信メッセージフォルダに移動される。到着するSMSメッセージの妨害を処理するコードは、「Trojan:SymbOS/Spitmo.A」にものとほとんど同じだ。「OpFAke.A」のその部分は、明らかに「Spitmo.A」とソースコードを共有している。

  「OpFake.A」は、以前それが実行されたかどうかを追跡し、初めて実行される場合以外は何もしない。

  「OpFake」トロイの木馬は攻撃者自身が作成した証明書を使用して自己署名されている。証明書の所有者はJoeBloggsで、同社はacmeだ。これらの名前は、証明書を作成するためのWebサイトに例として使用されたため、同じ所有者名、企業名を持つ証明書で署名された、悪意あるファイルではないものも存在する。

  「OpFake」ホストサーバの異なるパスに、異なるファイル名(OperaUpdater.sisx、Update6.1.sisx、jimm.sisx)を使用した、多数の亜種が存在する。パスの一例は [IP Address]/builder/build/gen48BF.tmp/OperaUpdater.sisx だ。「gen」と「.tmp」の間の4文字はパスの変動部分だ。

  同じサーバ上の異なるパスに、同マルウェアのWindows Mobileバージョンもある。たとえば:[IP Address]/wm/build/gen7E38.tmp/setup.CAB だ。こちらも、ランダムなパスのもと、様々なバージョンが存在する。現在、「wm/build」以下にランダムな名称を持つ5000以上のフォルダがある。

  以下は、解読されたコンフィギュレーションファイルの例2種。最初のものはSymbianの亜種で、2番目はWindows Mobileの亜種だ。「ナンバー」と「テキスト」によるエントリは、メッセージが送信される電話番号と、メッセージのコンテンツを表している。

OpFake configguration files

SHA-1: 2518a8bb0419bd28499b41fad2089dd7555e50c8

Duqu - Stuxnet 2

  今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a








「CVE-2011-0609」を使用した攻撃

  標的に悪意あるファイルを開かせようと、攻撃者たちが日本の状況を利用している。これらのケースは、Flashエクスプロイトを伴うExcel添付ファイルを使用したものだ。

  以下は、そうした電子メールのスクリーンショットで、Contagioから提供された。

jnr

  関連するXLSサンプルは以下のハッシュを持つ:

  •  4bb64c1da2f73da11f331a96d55d63e2
  •  4031049fe402e8ba587583c08a25221a
  •  d8aefd8e3c96a56123cd5f07192b7369
  •  7ca4ab177f480503653702b33366111f

  我々はこれらを「Exploit.CVE-2011-0609.A」および「Exploit:W32/XcelDrop.F」として検出している。

  我々が目にした他のサンプル(md5:20ee090487ce1a670c192f9ac18c9d18)は、既知の脆弱性(CVE-2011-0609)を利用する埋め込みFlashオブジェクトを含むExcelファイルだ。XLSファイルが開かれると、これは空のExcelスプレッドシートを表示し、Flashオブジェクトを介してエクスプロイトコードを開始する。

  このFlashオブジェクトは、以下のシェルコードを含むヒープスプレーを実行することからスタートする:

heapspray

  第一のシェルコードはExcelファイルに埋め込まれた第二のシェルコードに、実行をロードしパスするだけだ:

shellcode

  第二のシェルコードは、EXEファイル(Excelファイルに埋め込まれてもいる)の解読、実行の役割を果たす:

second shellcode

hiew

  一方、Flashオブジェクトは、第二のFlashオブジェクトをランタイムで作成し、ロードする:

Flash

  この第二のFlashオブジェクトが、同マルウェアの主要なエクスプロイトで、「CVE-2011-0609」を利用してヒープでシェルコードを実行する。我々は一般的に同Flashオブジェクトを「Exploit.CVE-2011-0609.A」として検出している。

  余談として:この主要なエクスプロイトは、検出されるのを避けようとして、このような形で配布されたようだ。メモリでロードされるため、アンチウイルスエンジンがスキャンに利用できる物理ファイルが存在しない。Excelファイルに主要なエクスプロイトをロードするFlashオブジェクトを埋め込むことは、さらに攻撃を隠そうとする試みかもしれない。

  幸いなことに、悪意のあるExcelファイルとその組込EXEファイルは、「Exploit.D-Encrypted.Gen」および「Trojan.Agent.ARKJ」として検出されている。

  しかし、Adobeが既にこの脆弱性に対するパッチを公開しているので、ユーザはFlashプレイヤーをアップデートすべきだ。詳細については、「CVE-2011-0609」に関するAdobeのセキュリティアドバイザリを見てほしい。

Threat Solutions post by — Broderick

「F-Secure Mac Protection」ベータの問題

Mac beta

  Mac OS Xソフトウェアのベータ版「F-Secure Mac Protection」が昨夜、重大な誤警報を発した。

  データベースアップデート「2011-03-14_03」が、「Exploit:W32/NeosploitPDF.gen!A」「Exploit:JS/Brooks.gen!A」という検出名により、クリーンなファイルでいくつかの誤警報を引き起こした。問題のあるアップデートは2時間後に除去された。同アップデートを受けとったベータユーザは、クリーンなファイルがいくつか、ゴミ箱に移動されたのを目撃している。

  この問題は、Mac OS X ベータ版(テクノロジプレビュー)のユーザに影響を与えたのみだ。エフセキュアのWindowsおよびLinux製品には、どんな形であれ影響は無かった。

  我々はただちに、ファイルをゴミ箱から元の場所に戻すスクリプトをリリースする予定だ。もしこの問題の影響を受けたのなら、それまではゴミ箱を空にしないで頂きたい。ディスカッションについては、我々のフォーラムを参照して欲しい。

  明らかにこれは好ましいことではない。我々のこのエラーにより影響を受けた方々に、お詫び申しあげたい。

追記:我々はファイルを元の場所に戻すツールをリリースした。同ツールはここからダウンロードできる。

ノーベル賞事件

  1カ月前、ノーベル賞委員会がリュウ・シャオボー(劉暁波)氏にノーベル平和賞を授与した。同委員会の言葉を借りるなら、氏の受賞理由は「中国における基本的人権のため、長年、非暴力的な努力を行ってきた」ことにある。

Nobel

  2週間前、ノーベル賞サイト(nobelpeaceprize.org)が、Firefoxに対するゼロデイ攻撃によりハッキングされた。

  そして今日、「Contagio」ブログに危険なニュースが掲載された。

  昨日、11月7日に、ある標的型攻撃がローンチされた。この攻撃は「oslofreedomforum.com.」から送られたように見せかけた電子メールを利用しているが、実際は異なる。

  なりすましメールは以下のようなものだ:

Nobel

  「invitation.pdf (md5: 29DB2FBA7975A16DBC4F3C9606432AB2)」というファイルが開かれれば、エクスプロイトを使用して「Adobe Reader」がクラッシュし、システムにバックドアがドロップされる。このバックドアは「phile.3322.org」にコールする。

  これらすべてを隠すため、ユーザには以下のようなファイルが表示される:

[影響を受けた当事者からの要請により、画像は削除された。オリジナルの画像には、ノーベル平和賞授賞式への非常に本物らしく見える招待が含まれていた。]

  誰がこの攻撃を仕掛けたのか、また誰が標的だったのか、我々には分からない。

  エフセキュアはこのPDFファイルを「Exploit.PDF-TTF.Gen」として、同バックドアを「Trojan.Generic.4974556」として検出している。

Email image credit: Contagio Malware Dump

早くも終焉を迎えた「Here You Have」

  「Here you have」と呼ばれている電子メールについて、メディアから質問を受けた。

  この名前は、同ワームにより使用されるメールサブジェクトに由来している。特別なところは無く、受信者がメール内のリンクをクリックする必要のある、ありふれたワームに過ぎない。同リンクはおそらく、ドキュメントをオープンするか、ビデオをオープンするものだが、実際は「PDF_Document21_025542010_pdf.scr」といった名の偽実行ファイルだ。

  同ワームがリンクを使用しているのは、スクリーンセーバ(.scr)ファイルが添付ファイルとして長くブロックされてきたためだ。エフセキュアのアンチウイルスは、この「Here you have」メールが使用する以前から、この脅威を検出している。我々はこれを「Gen:Trojan.Heur.rm0@fnBStPoi」として検出している。

  リンクが接続しようとするファイルは、かなり素早くオフラインにされたので、早朝すぎて、誰も罠に掛けることができなかったヨーロッパでは広まらなかった。

  米国では、いくつかの大企業が、自社のシステムに同ワームが侵入したことに気づいた。

  伝えられるところによれば、メールフィルタリングシステムが出入りしようとする脅威を捉えたため、「企業A」から「企業B」へと広がることはなかった。しかし組織内では、実行ファイルがダウンロードされ、実行された場合、同ワームはブラウザパスワードを盗み、次にコンタクトを介して広がろうとした。内部メールフィルタリングは一般的ではなく、ワームが使用するネットワーク共有コンポーネントもあるため、顕著な拡散が見られた企業もあった。

  メールワームはかなりの間「流行の先端」ではなかった。アンチウイルスのベンダが素早く検出し、ブロックするためであり、このようなワームをフィルタリングするのに、アンチスパム技術がかなり効果的だからだ。しかし脅威が流行していないからといって、成功事例が現れないとは限らない。

  メールを介して届くリンクを、安易にクリックしないこと。たとえ、あなたが信頼している人から送られたものであっても。

Exploit.PDF-Dropper.Gen

  ラボは現在、PDFエクスプロイトを転送するスパムが出回っているのを確認している。

  そのメールは以下のようなものだ:


   From: random addresses
   To: random recipients
   Subject: New Resume
 
   Please review my CV, Thank You!
 
   Attachment: resume.pdf


  このPDF添付ファイルは、昨日の記事で紹介した重大なFlash脆弱性を利用してはいない。その代わり、PDF/launch機能を使用しようとしている。

  現行の脆弱性を使っていないため、このスパムのタイミングは少々奇妙だが、おそらく、この特定の方法を使用しているギャングたちは、Adobe Readerをアップデートする大きな動きが、まもなくやってくることを知っているのだろう。Adobe Readerの現行バージョンは、Trust Manager機能を含んでおり、このギャングたちにとっての絶好の機会は、すぐに制限されることになるだろう。

  エフセキュアは「インターネット セキュリティ 2010」で既に、この脅威を「Exploit.PDF-Dropper.Gen」として検出している。

  このPDFのMD5は「cff871a36828866de1f42574be016bb8」だ。動作すると、このエクスプロイトはalureon/dnschanger trojanをドロップする。

  我々のテレメトリーによれば、数千のカスタマが既に同エクスプロイトにさらされている。ペイロード上ではノーヒットであり、我々のジェネリックな検出が、この脅威をブロックしていることが分かっている。

  添付ファイル/ペイロード用のHydra検出は、バージョン2010-06-08_03のデータベースで公開された。

追記:以下は同PDF添付ファイルのスクリーンショットだ。このPDFは、インターネットから取り出されたresume/CVをベースとしており、/launchプロンプトはかなり派手だ。

Pidief.CPY

Waledacよ安らかに?

  Microsoftは昨年4月、「Malicious Software Removal Tool(MSRT)」に検知を追加して、Waledacボットに挑戦した。

  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。

  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させることで、Waledacボットネットをまとめて追跡している。

microsoft's waledac map

  Microsoftに賞賛の言葉を贈りたい。この努力が成功することを期待する。

  まだスパムやボット・サンプルの現象を確認していないが、それが起きることを待っている。

  頭が切り落とされても、身体が動き回るのをやめるのには、おそらくかなりの時間がかかりそうだ。

  結局、連中はゾンビなのだ…

投稿はChristineとMinaによる。

標的型攻撃に狙われた情報産業

  軍事契約企業に対する高度な標的型攻撃について、先日記事を掲載した

  そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。

  この攻撃はPDFファイルで実行された。まただ。

  これは「CVE-2009-4324」脆弱性を標的にしている。まただ。

  オープンすると、このPDFファイル(md5: c3079303562d4672d6c3810f91235d9b)は以下のように見える:

pdf

  バックグラウンドでは実際何が起きているのか? 前回同様、同エクスプロイト・コードはUpdater.exe(md5: 02420bb8fd8258f8afd4e01029b7a2b0)という名称のファイルにバックドアをドロップする。

  さて、このドキュメントは何について語っているのだろうか? 大統領誕生日? DNI情報共有環境? 聞いたことがないので検索してみたところ、来月ドイツで「Intelligence fair & expo」が開催されるそうだ。

ncsi

  うーん。このアジェンダは、どこかで見たような。

  我々は同ファイルを「Exploit.PDF-JS.Gen」および「Trojan-Spy:W32/Agent.NBZ」と検出した。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード