エフセキュアブログ

Trojan. を含む記事

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

マルウェア作者はマーケティングサービスを用いて人々を標的とするか?

 ソーシャルエンジニアリング的な内容のマルウェアのメールに、すんでのところでひっかかりそうになったことについて愚痴をこぼしている人がいた。我々はこの興味深いケースに気付き、少々調査することに決めた。

 この人物は、近くサンフランシスコ行きのチケットを予約することについて、友人に話をしていた。そして、その電話から6時間後、サンフランシスコへの電子航空チケットが添付されたメールを受け取った。この人は十分注意をしていたため添付ファイルには触れなかったが、それは良い判断であった。当社で分析したところ、Trojan.Krypt.AUのバリアントと特定されたのだ。

 これは単にスパムメールで大量に送られたマルウェアで、なおかつちょうど適切なときに、この特定のユーザに命中したソーシャルエンジニアリング的な文章だったのに過ぎないのかもしれない。しかし当社のサンプル群を確認すると、関連するマルウェアについて、わずか1250の事例しか存在しなかった。これは、このマルウェアに限っては大勢の受信者に向けてスパムが送られたのではないことを示唆する。そのため、ちょうど命中したという可能性は非常に小さい。

 ここ1年のうちに、標的型広告サービス業者のユーザのプロファイルは、大幅に進化した。たとえば筆者が飛行機の便やホテルの情報をブラウザで表示したときのことだ。Trip Advisorなどの企業から、その特定の行先の飛行機の便やホテルについて提案するメールが来るようになった。もちろん、こういう経験をするにはFreedomeを無効にする必要がある。それでこそ筆者の追跡が可能になる。しかしこれが、一般ユーザのようにネットを体験したいと考えることの代償なのだ。

 今回のケースでは、マルウェア作者が被害者を見出すため、一部の標的型広告サービスを悪用した模様だ。検索エンジンでの広告の悪用は多数目にするが、メール広告サービスが同様の方法で使われた兆候が見られたのは、今回が初めてのケースだ。

 これまでのところ、被害者の選定が標的型プロファイルの悪用によってなされたことや、プロファイルする際に電話の分析に基づいていたことを示す証拠はない。おそらく前述の人物は、プロファイルに適合する何かを検索したのだ。しかしこれは興味深いケースで、我々はこの先の展開に目を光らせていく。

Fake Delta e-mail

 Post by — Jarno

スパムの過剰摂取がFareit、Zeus、Cryptolockerを呼び込む

 ここ2日の間、忙しくしている人がいる…。我々はスパムトラップにて、同一のサブジェクトと添付ファイルがあるスパムが、大幅に急増しているのを目にしてきた。

emails (40k image)



emailstats (28k image)



 添付ファイルにはたいてい以下の名前が付けられている。

attachname (11k image)

 バイナリの添付ファイルは頻繁にFareitと見なされており脅威だ。FareitはインストールされているFTPクライアントや暗号通貨の財布から信用情報やアカウント情報を盗んだり、ブラウザに保管されたパスワードを盗むことで知られている。

 今回のスパムで送られた2つのサンプルでは、情報を送信するために以下に接続していることを確認した。
• networksecurityx.hopto.org
• 188.167.38.131
• 94.136.131.2
• 66.241.103.146
• 37.9.50.200

 データ窃盗に加え、これらのサンプルは以下からZeus P2Pなど他のマルウェアをダウンロードする。
• ip-97-*.net/zA6.exe
• 119*4/fF3krry.exe
• rot*.com/124Tzh.exe
• ww*ng.net/bpuMp.exe
• dev*.com/1mHifVu.exe
• surfa*.com/DJm.exe
• kl*.com/Q4EzT.exe

 システムにインストールされる他のマルウェアとして確認できたのは、Cryptolockerだ。

btc (182k image)



 スパムの過剰摂取が明らかにマルウェアの過剰摂取を招いている。

 当該サンプルはTrojan.Pws.TepferおよびTrojan.GenericKDのバリアントとして検出される。

偽の「F-Secure Security Pack」という悪意あるブラウザ拡張について

 当社では、ある悪意あるブラウザ拡張を追っている。このブラウザ拡張には、さまざまな異なるソフトウェア企業の手によるものだと表示される。

 これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。

 このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。

Contents of malware installer

 上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。

 このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。

Certificate information

 現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。

 Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。

Foobar

 Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。

ff_ext

 この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。

extension_chrome_pack

plugin_drweb

plugin_kingsoft

 ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。

extension_spanish_text

 以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。

extension_spanish_text

 設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。

extension_spanish_text

 F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。

 SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2

FlashエクスプロイトがウイグルのWebサイトを標的に

 ウイグルに対する攻撃はまだ止んでいないようだ。我々は近頃、侵害されたウイグルのWebサイトに遭遇した。そこでは、CVE-2013-0634の脆弱性を突く悪意のあるFlashが再生される。

site (472k image)

 このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。

hiew (75k image)

 また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。

cert (116k image)

 MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。

 こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。


関連のあるサンプル:

  •  977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
  •  82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
  •  040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
  •  35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
  •  ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF

Post by — Karmina and @Timo







当社のMac向けアンチウイルスがJavaエクスプロイトをブロック

 昨日、当社のアナリストBrodとTimoの2人が、Mac版のエフセキュア アンチウイルスを使ってFacebookおよびAppleのハッキング絡みのJavaエクスプロイトをテストした。

 それで、その結果は?

 当社のMac向けアンチウイルスはExploit:Java/Majava.Bという通常の検知(2012年11月19日に作成)で当該エクスプロイトをブロックした。

2013-02-21 Exploit:Java/Majava.B

 よし!

 そうすると、あのサンプルはどう関係するのだろうか?2月15日金曜日、複数のMacのマルウェアのサンプル が、「Mac malware」メーリングリストで共有された。後に続いた議論の中で2つのファイルのハッシュ値が共有され、うち1つはVirusTotal経由で入手できる。そして、当該サンプルはWindowsのバックドアを設けるJavaエクスプロイトであることが判明した。Brodはバックドア(Trojan.Generic.828273として検知された)を分析し、金曜日のMacのマルウェア関連の、シンクホール化されたC&Cサーバの1つdigitalinsight-ltd.comへの接続を試みることを発見した。

 我々の通常の検知Exploit:Java/Majava.Bはプラットフォーム間で共通のアンチウイルス・スキャン・エンジンで採用されているので、Windows版の顧客の方も守られている。ファイルのハッシュ値を共有してくれたアナリストに、弊社から感謝を申し上げる(彼女自身には分かるだろう)。

ダライ・ラマ関連のWebサイトでMacの新しいマルウェアが見つかる

当社Threat Researchチームの一員であるBrodは、垂れ込みに基づき調査を行った。そして、ダライ・ラマ関連のWebサイトが侵害され、新たなMacのマルウェアをプッシュしてくることを発見した。このマルウェアはDocksterと呼ばれ、Javaベースのエクスプロイトを用いている。

 以下はgyalwarinpoche.comのページのソースだ。

gyalwarinpoche.com --jar

 Googleのキャッシュにあるgyalwarinpoche.comのスクリーンショットは次のとおり。

gyalwarinpoche.com, cached image

 注意:Googleの11月27日のスナップショットにもやはり悪意のあるエクスプロイトへのリンクが含まれる(つまり踏まないように)。

 gyalwarinpocheのサイトは、以下のdalailama.comと「公式っぽさ」が違って見える(訳注:ギャルワ・リンポチェはダライ・ラマの尊称)。

dalailama.com

 しかし2009年または2010年辺りから存在し、ダライ・ラマのYouTubeチャンネルと同じ名前を持つ。

 またWhoisの情報も似ている。

whois: dalailama.com
dalailama.com

whois: gyalwarinpoche.com
gyalwarinpoche.com

 このJavaベースのエクスプロイトは「Flashback」と同じCVE-2012-0507の脆弱性を悪用する。現行バージョンのMac OS Xや、ブラウザのJavaプラグインが無効になったMac OSではエクスプロイトによる危険性はない。送り込まれるマルウェアBackdoorOSXDockster.Aは、ファイルのダウンロードやキーロガーの機能を持つベーシックなバックドアだ。

 gyalwarinpoche.comが侵害されたのはこれが初めてではないし、もちろんチベット関連のNGOが標的になったのも今回に限ったことではない。詳細についてはここここに目を通してほしい。

 さらに、CVE-2012-4681を用いた、WindowsベースのペイロードTrojan.Agent.AXMOを持つエクスプロイトも存在する。

MD5情報:

Exploit:Java/CVE-2012-0507.A — 5415777DB44C8D808EE3A9AF94D2A4A7
Backdoor:OSX/Dockster.A — c6ca5071907a9b6e34e1c99413dcd142
Exploit:Java/CVE-2012-4681.H — 44a67e980f49e9e2bed97ece130f8592
Trojan.Agent.AXMO — c3432c1bbdf17ebaf1e10392cf630847

Internet Explorerゼロデイと安全なブラウジング

  Javaゼロデイ「CVE-2012-4681」の背後にいる人びとは忙しくしている。このJava脆弱性が公表されたのは、わずか2、3週前のことで、現在彼らはInternet Explorerバージョン6、7、8および9で、再びセキュリティホールを発見した。

  この脆弱性を悪用するコードがイン・ザ・ワイルドで発見されており、悪意あるWebページが、ヒープスプレーにより他のファイルをロードさせるFlashファイルをロードする。その後、こうした他のファイルが悪用可能なIEのバージョンをチェックし、悪意あるペイロードのダウンロードを招く脆弱性を利用する。この問題については、ここで詳細に議論されている。

  Microsoftはこれに対応し、アドバイザリをリリースしている。しかし、まだフィックスのETAは明記していない。

  エフセキュアでは、この脆弱性を標的とするエクスプロイトに関連するサンプル用の検出をリリースした:

Exploit:W32/Defeater.B
Exploit:W32/Defeater.C
Exploit:W32/SWFdloader.R
Trojan.Dropper.UIU

  現在はMetasploitモジュールが存在し、同コードは既に非常に明らかになっているが、我々はこれらの検出のみに頼るのではなく、今後、他のインプリメンテーションの可能性から身を守るため、絶えず警戒を怠らないことも強く推奨する。IEとゼロデイでは、すべての非常ベルがなり響き、管理者は悪用により引き起こされるかもしれない騒動の可能性になすすべもなくパニックを起こしたものだ。しかし時代は変わり、現在は誰にとってもより多くのオプションが存在する。同脆弱性が修正されない間は、どうか他のブラウザを使用して頂きたい。いまのところChrome、Firefox、Internet Explorer 10から選択できる。

  IE 10は、この脆弱性の影響を受けない。

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Duqu - Stuxnet 2

  今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a








発見:Twitterを介してコントロールされるBitcoinマイニングボット

  Bitcoinは、いかなる通貨にも結びつかない電子マネーだ。他の通貨(米ドルなど)をBitcoinに変換するか、複雑な数学的タスクを完了することで、新たなBitcoinを「採掘」することができる。

  これはボットネットのマスターたちが、Bitcoinのマイニングをするのに、他の人々のコンピュータを使用する誘因となる。そして、そうしようとするボットネットの例がいくつかある。

  我々は現在、Twitterをコントロールチャネルとして利用するボットを発見している。

  このボットは、ジェネレータで作成されている。ジェネレータは、特定のTwitterアカウントをセットして、このマイニングボットネットをコントロールするのに使用可能なものにする。

SEKURITY TWEMINER

  コマンドはシンプルなシンタックスに従っている。

SEKURITY TWEMINER

  我々はこのジェネレータで生成されたボットを、「Trojan.Generic.KD」として検出している。




ビデオ - 「Windows Activation」Ransom Trojan

  我々は先頃、以下のプロンプトを出すRansom Trojanに遭遇した:

「Windowsライセンスをロックした!」

ransom_Trojan.Generic.KDV.153863

  このトロイの木馬は、「アクティベーションを完了しなければならない」と主張して、いくつかの電話番号を提供する。

ransom_Trojan.Generic.KDV.153863

  その番号は以下の通り:

  •  002392216368
  •  002392216469
  •  004525970180
  •  00261221000181
  •  00261221000183
  •  00881935211841

  同トロイの木馬は、通話は「無料である」と主張するが、実際はそうではない。そしてトロイの木馬の作者はShort Stoppingとして知られるテクニックにより、その通話から利益を得る。

  3分ほど後、電話をかけた人に「1351236」というアンロックコードを与えられる。

  電話がかけられるたび、与えられるコードは同一のようだ。

  これはかなり賢い、ちょっとしたソーシャルエンジニアリングであり、犠牲者の中には自分たちが詐欺にあったと気付かないケースもある。

  以下はラボのYouTubeチャネルでのビデオデモンストレーションで、他のRansom Trojanに関するディスカッションも含まれている。



  ビデオ内で言及されているGPcodeスクリーンショットは、ここここで見ることができる。

  我々はこのトロイの木馬(md5: 9a6f87b4be79d0090944c198a68012b6)を「Trojan.Generic.KDV.153863」として検出している。

  ランサムナンバーに我々がかけた通話の完全な録音はここにある(MP3、4分)。

「CVE-2011-0609」を使用した攻撃

  標的に悪意あるファイルを開かせようと、攻撃者たちが日本の状況を利用している。これらのケースは、Flashエクスプロイトを伴うExcel添付ファイルを使用したものだ。

  以下は、そうした電子メールのスクリーンショットで、Contagioから提供された。

jnr

  関連するXLSサンプルは以下のハッシュを持つ:

  •  4bb64c1da2f73da11f331a96d55d63e2
  •  4031049fe402e8ba587583c08a25221a
  •  d8aefd8e3c96a56123cd5f07192b7369
  •  7ca4ab177f480503653702b33366111f

  我々はこれらを「Exploit.CVE-2011-0609.A」および「Exploit:W32/XcelDrop.F」として検出している。

  我々が目にした他のサンプル(md5:20ee090487ce1a670c192f9ac18c9d18)は、既知の脆弱性(CVE-2011-0609)を利用する埋め込みFlashオブジェクトを含むExcelファイルだ。XLSファイルが開かれると、これは空のExcelスプレッドシートを表示し、Flashオブジェクトを介してエクスプロイトコードを開始する。

  このFlashオブジェクトは、以下のシェルコードを含むヒープスプレーを実行することからスタートする:

heapspray

  第一のシェルコードはExcelファイルに埋め込まれた第二のシェルコードに、実行をロードしパスするだけだ:

shellcode

  第二のシェルコードは、EXEファイル(Excelファイルに埋め込まれてもいる)の解読、実行の役割を果たす:

second shellcode

hiew

  一方、Flashオブジェクトは、第二のFlashオブジェクトをランタイムで作成し、ロードする:

Flash

  この第二のFlashオブジェクトが、同マルウェアの主要なエクスプロイトで、「CVE-2011-0609」を利用してヒープでシェルコードを実行する。我々は一般的に同Flashオブジェクトを「Exploit.CVE-2011-0609.A」として検出している。

  余談として:この主要なエクスプロイトは、検出されるのを避けようとして、このような形で配布されたようだ。メモリでロードされるため、アンチウイルスエンジンがスキャンに利用できる物理ファイルが存在しない。Excelファイルに主要なエクスプロイトをロードするFlashオブジェクトを埋め込むことは、さらに攻撃を隠そうとする試みかもしれない。

  幸いなことに、悪意のあるExcelファイルとその組込EXEファイルは、「Exploit.D-Encrypted.Gen」および「Trojan.Agent.ARKJ」として検出されている。

  しかし、Adobeが既にこの脆弱性に対するパッチを公開しているので、ユーザはFlashプレイヤーをアップデートすべきだ。詳細については、「CVE-2011-0609」に関するAdobeのセキュリティアドバイザリを見てほしい。

Threat Solutions post by — Broderick

我々の知る限りSamsungラップトップにキーロガーは無い

  「Network World」が、Samsung Electronicsがデフォルトで、ラップトップにWindowsキーロガーをインストールしているとする記事を発表した。Samsungのサポートまでが、「マシンのパフォーマンスをモニターし、どのように使用されているかを見る」ため、商用のStarLoggerキーロガーがデフォルトでインストールされていると言って、これを認めたようだったため、騒動が巻き起こった。

  こういうことは、少々信じがたい。「エフセキュア アンチウイルス」はStarLoggerを(「Trojan.Generic.5223315」として)検出している。他の多くのアンチウイルスベンダも同様だ。我々はStarLoggerの報告のピークは見ていない。

  これらの主張を否定する声明が「samsungtomorrow.com」に掲載されている。しかし、このサイトは公式なSamsungサイトではないようだ。

  では、どうするべきか? 我々は地元のITストアに行き、何台かのSamsungラップトップをチェックしてみた。

Samsung Laptops

  いや、我々はテストしたラップトップから、StarLoggerも、他のいかなるキーロガーも発見できなかった。それにはSamsungの「R540」「RF710」「QX310」「SF510」「X125」および「NF310」が含まれる。これらのモデルはみな、異なるバージョンのWindows 7を搭載していた。リストに「Samsung R540」が含まれていることに注意して欲しい。これは「Network World」の記事で指摘されていたラップトップモデルの一つだ。

  要約すれば、そうでないと証明されるまで、我々はSamsungがデフォルトでラップトップにキーロガーをインストールしてきたという話は信じない。

  「Verkkokauppa.com」のEero Järvilehtoの助力に感謝する。

P.S. 今回のケースとSonyルートキットのケースとの類似点を感じる人もいるかもしれない。しかし、Sony BMGは有罪だったが、Samsungは無罪だと我々は確信している。

追記:Samsungが無実であることが確認された。我々のアップデート記事はここにある。

ノーベル賞事件

  1カ月前、ノーベル賞委員会がリュウ・シャオボー(劉暁波)氏にノーベル平和賞を授与した。同委員会の言葉を借りるなら、氏の受賞理由は「中国における基本的人権のため、長年、非暴力的な努力を行ってきた」ことにある。

Nobel

  2週間前、ノーベル賞サイト(nobelpeaceprize.org)が、Firefoxに対するゼロデイ攻撃によりハッキングされた。

  そして今日、「Contagio」ブログに危険なニュースが掲載された。

  昨日、11月7日に、ある標的型攻撃がローンチされた。この攻撃は「oslofreedomforum.com.」から送られたように見せかけた電子メールを利用しているが、実際は異なる。

  なりすましメールは以下のようなものだ:

Nobel

  「invitation.pdf (md5: 29DB2FBA7975A16DBC4F3C9606432AB2)」というファイルが開かれれば、エクスプロイトを使用して「Adobe Reader」がクラッシュし、システムにバックドアがドロップされる。このバックドアは「phile.3322.org」にコールする。

  これらすべてを隠すため、ユーザには以下のようなファイルが表示される:

[影響を受けた当事者からの要請により、画像は削除された。オリジナルの画像には、ノーベル平和賞授賞式への非常に本物らしく見える招待が含まれていた。]

  誰がこの攻撃を仕掛けたのか、また誰が標的だったのか、我々には分からない。

  エフセキュアはこのPDFファイルを「Exploit.PDF-TTF.Gen」として、同バックドアを「Trojan.Generic.4974556」として検出している。

Email image credit: Contagio Malware Dump

「Microsoft Security Essentials」は偽物

  実際のところ、「Microsoft Security Essentials」は偽物ではない。これはMicrosoftによる本物のアンチウイルス製品だ。

  しかし、「Microsoft Security Essentials」と主張する不正なセキュリティ製品が存在する。Microsoftとは無関係だ。このマルウェアは、 hotfix.exeやmstsc.exe(md5: 0a2582f71b1aab672ada496074f9ce46)として、ドライブバイダウンロード攻撃を通じて配布される。

  以下がその外観だ:



  そして、この偽ツールはMicrosoftのブランドを無断借用するだけでなく、32種類のアンチウイルス製品の奇妙なマトリックス表示を特長としている。これは「Microsoft Security Essentials」が、発見したマルウェアを除去できない場合、ユーザのマシンをフィックスすることができるツールを探すために提供されているものだ。実際は、すべて偽物で、同ツールはそれが主張するような感染を発見してはいない。



  驚いたことに、この感染を処理することができるらしき製品は「AntiSpySafeguard」「Major Defense Kit」「Peak Protection」「Pest Detector」および「Red Cross」のみだ。こんな製品、聞いた事が無いって? 無理もない。これらは皆、偽のプロダクトなのだから。

  「Microsoft Security Essentials」は、ユーザを脅し、必要のない製品を購入させようとする。騙されてはいけない。

  おそらく、Microsoftの弁護団が、この件の背後にいる道化を見付けるだろう。彼らはその人物をこてんぱんにすることだろう。

  我々はこのマルウェアを「Trojan.Generic.KDV.47643」として検出している。

早くも終焉を迎えた「Here You Have」

  「Here you have」と呼ばれている電子メールについて、メディアから質問を受けた。

  この名前は、同ワームにより使用されるメールサブジェクトに由来している。特別なところは無く、受信者がメール内のリンクをクリックする必要のある、ありふれたワームに過ぎない。同リンクはおそらく、ドキュメントをオープンするか、ビデオをオープンするものだが、実際は「PDF_Document21_025542010_pdf.scr」といった名の偽実行ファイルだ。

  同ワームがリンクを使用しているのは、スクリーンセーバ(.scr)ファイルが添付ファイルとして長くブロックされてきたためだ。エフセキュアのアンチウイルスは、この「Here you have」メールが使用する以前から、この脅威を検出している。我々はこれを「Gen:Trojan.Heur.rm0@fnBStPoi」として検出している。

  リンクが接続しようとするファイルは、かなり素早くオフラインにされたので、早朝すぎて、誰も罠に掛けることができなかったヨーロッパでは広まらなかった。

  米国では、いくつかの大企業が、自社のシステムに同ワームが侵入したことに気づいた。

  伝えられるところによれば、メールフィルタリングシステムが出入りしようとする脅威を捉えたため、「企業A」から「企業B」へと広がることはなかった。しかし組織内では、実行ファイルがダウンロードされ、実行された場合、同ワームはブラウザパスワードを盗み、次にコンタクトを介して広がろうとした。内部メールフィルタリングは一般的ではなく、ワームが使用するネットワーク共有コンポーネントもあるため、顕著な拡散が見られた企業もあった。

  メールワームはかなりの間「流行の先端」ではなかった。アンチウイルスのベンダが素早く検出し、ブロックするためであり、このようなワームをフィルタリングするのに、アンチスパム技術がかなり効果的だからだ。しかし脅威が流行していないからといって、成功事例が現れないとは限らない。

  メールを介して届くリンクを、安易にクリックしないこと。たとえ、あなたが信頼している人から送られたものであっても。

Samsung Wave Autorun.inf

Samsung Wave  CD-ROMではなく、microSDカードにWindowsインストール・ファイルを格納して出荷される携帯電話がますます増えている。携帯電話をPCに同期させるためにすべきことは、携帯をリムーバブルなUSBドライブとして検出し、インストーラを動作させることだけだ。多くの携帯ベンダーが、このプロセスをアシストするため、autorun.infファイルも含めている。

  残念なことに、autorun.infファイルは製造工程で感染する可能性があり、microSDカードはリード・オンリーではない。

  少なくともLinuxベースの「iPhoneキラー」であるSamsungのWaveのドイツ・モデルの中には、感染したautorun.infとslmvsrv.exeという名のファイルと共に出荷されているものがあるとEngadgetが報告している

  同ファイルのMD5はbb9818d76fe60e68608e2a1e7bc6666bで、我々はこれを「Trojan.Generic.3932466」として検出している。これがイン・ザ・ワイルド(ただし非常に限られている)であることを示すテレメトリーが存在する。

  これは、みなさんのコンピュータにまで広がる、感染したデバイス新たなと言える。

「show_ads.js」のアラーム

  エフセキュアのアンチウイルス製品のうちいくつかで、今日、短期間の誤警報が出た。このアラートは「show_ads.js」という名の一般的なJavaScriptファイルからのものだった。誤警報は「Trojan.JS.Redirector.ar」というトロイの木馬に対して出された。

  誤警報はアップデート「2010-01-25_17」で修正されている。

  これは2009年の製品など、エフセキュアの以前の製品に影響があったのみだ。「エフセキュア インターネット セキュリティ 2010」には問題無かった。

  今回の誤警報について謝罪したい。申し訳ない。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード