エフセキュアブログ

autorun.inf を含む記事

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

「セキュリティ アドバイザリ(2286198)」を更新

  Microsoftが「セキュリティ アドバイザリ(2286198)」を更新し、現在、以下のように明記している:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している

  しかしながら、同アドバイザリは現在も以下のように表明している:

  「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。

  我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている:

Windows 7 AutoPlay defaults

  「全デフォルトにリセット」

  そこで、我々はデフォルトの回復を選択した:

Windows 7 AutoPlay defaults

  すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。

  以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ:

Windows 7 AutoPlay defaults

  ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。

  では何が無効なのか? AutoPlayだろうか? 違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。

  しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。

  Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…

  しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。

  何故?

  以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。

  たとえば、これはConfickerの攻撃メソッドの一つだ:

Windows 7 AutoPlay and Conficker

  Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか?

  その他の理論的なAutoPlay問題もある(脆弱性ではない)。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。

  この場合、パーティションはAutoPlayにより通常のCDとみなされる。

Windows 7 AutoPlay and Virtual CD

  我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。

  しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると… たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。

結論:あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。

Windows 7 AutoPlayおよびVirtual CD

  Samsung Wave microSDカードを感染させるオートラン・ワームに関する水曜日の記事を読んで、コメントをくれた人たちがいる。ありがたいことに、Windows 7がこの問題を修正した。Windows 7では、光学式メディアのみAutoPlayを許可されるため、USBデバイスはオートラン・ワームを蔓延させることができない。

  でしょう?

  ところが、Windows 7がAutoPlay/AutoRunユーザ・エクスペリエンスを大幅に改善させているため、それは鉄壁とは言えない。小さく、悪用されそうにも無いが、盲点がある。

  Virtual CDだ。

  たとえば、Western Digital USBハードディスクは、同社のSmartWareをインストールするため、Virtual CDと共に出荷されている。

  以下で、Passportと並んでCDドライブを見ることができるだろう。

Windows 7, Virtual CD

  以下はデフォルトのWindows XPインストールで、Virtual CDのautorun.infがどのように扱われるかを示している:

Welcome to WD SmartWare

  問答無用でインストーラ・プログラムがローンチされてしまうのだ。

  そして以下は、Windows 7 AutoPlayによるVirtual CDのautorun.infの扱い方だ:

Windows 7 AutoPlay

  Virtual CD上のインストーラはデフォルトオプションだが、ローンチしない。

  有利な点は、Windows 7ではAutoPlay機能を簡単にオフにできるところだ:

Windows 7 Control Panel, AutoPlay

  これはWindows 7の脆弱性ではないことに注意して欲しい。

  Microsoftの「Security Research & Defense」ブログによれば:「高性能なUSB flashドライブの中には、標準的なドライブとしてではなく、CD/DVDドライブのようにふるまえるものがあることは、注目しておいた方が良いだろう。(一例として http://en.wikipedia.org/wiki/U3 を参照) このような特定のケースでは、USBドライブのタイプがハードウェア・レベルで決定されるため、オペレーティング・システムはそのドライブをCD/DVDであるかのように扱うことになる。」

  これは単に知っておくべき興味深い点であって、欠陥ではない。

  肝心なのは、Windows 7で改善されたAutoPlayの扱い方に、間違った安心感を抱かないことだ。Virtual CDと共に出荷されるUSBドライブはますます増えており、遅かれ早かれ、そのうちのどれかが、製造工程で感染することになるであろうから。

Samsung Wave Autorun.inf

Samsung Wave  CD-ROMではなく、microSDカードにWindowsインストール・ファイルを格納して出荷される携帯電話がますます増えている。携帯電話をPCに同期させるためにすべきことは、携帯をリムーバブルなUSBドライブとして検出し、インストーラを動作させることだけだ。多くの携帯ベンダーが、このプロセスをアシストするため、autorun.infファイルも含めている。

  残念なことに、autorun.infファイルは製造工程で感染する可能性があり、microSDカードはリード・オンリーではない。

  少なくともLinuxベースの「iPhoneキラー」であるSamsungのWaveのドイツ・モデルの中には、感染したautorun.infとslmvsrv.exeという名のファイルと共に出荷されているものがあるとEngadgetが報告している

  同ファイルのMD5はbb9818d76fe60e68608e2a1e7bc6666bで、我々はこれを「Trojan.Generic.3932466」として検出している。これがイン・ザ・ワイルド(ただし非常に限られている)であることを示すテレメトリーが存在する。

  これは、みなさんのコンピュータにまで広がる、感染したデバイス新たなと言える。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード