エフセキュアブログ

Gen:Trojan.Heur を含む記事

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Duqu - Stuxnet 2

  今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a








早くも終焉を迎えた「Here You Have」

  「Here you have」と呼ばれている電子メールについて、メディアから質問を受けた。

  この名前は、同ワームにより使用されるメールサブジェクトに由来している。特別なところは無く、受信者がメール内のリンクをクリックする必要のある、ありふれたワームに過ぎない。同リンクはおそらく、ドキュメントをオープンするか、ビデオをオープンするものだが、実際は「PDF_Document21_025542010_pdf.scr」といった名の偽実行ファイルだ。

  同ワームがリンクを使用しているのは、スクリーンセーバ(.scr)ファイルが添付ファイルとして長くブロックされてきたためだ。エフセキュアのアンチウイルスは、この「Here you have」メールが使用する以前から、この脅威を検出している。我々はこれを「Gen:Trojan.Heur.rm0@fnBStPoi」として検出している。

  リンクが接続しようとするファイルは、かなり素早くオフラインにされたので、早朝すぎて、誰も罠に掛けることができなかったヨーロッパでは広まらなかった。

  米国では、いくつかの大企業が、自社のシステムに同ワームが侵入したことに気づいた。

  伝えられるところによれば、メールフィルタリングシステムが出入りしようとする脅威を捉えたため、「企業A」から「企業B」へと広がることはなかった。しかし組織内では、実行ファイルがダウンロードされ、実行された場合、同ワームはブラウザパスワードを盗み、次にコンタクトを介して広がろうとした。内部メールフィルタリングは一般的ではなく、ワームが使用するネットワーク共有コンポーネントもあるため、顕著な拡散が見られた企業もあった。

  メールワームはかなりの間「流行の先端」ではなかった。アンチウイルスのベンダが素早く検出し、ブロックするためであり、このようなワームをフィルタリングするのに、アンチスパム技術がかなり効果的だからだ。しかし脅威が流行していないからといって、成功事例が現れないとは限らない。

  メールを介して届くリンクを、安易にクリックしないこと。たとえ、あなたが信頼している人から送られたものであっても。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード