エフセキュアブログ

dridex を含む記事

LOCKYの新たな大流行

6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000〜10,000件のスパム攻撃を確認している。

先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。

また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。


import_stats

全文はBusiness Security Insider 日本語版で。

 

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

ボットネットテイクダウン狂想曲

オンラインバンキングを標的としたボットネットDridexが、テイクダウン後に衰えを見せるどころか、さらに勢いを増しているということで話題(Dridexの解体, Botnets spreading Dridex still active)になっています。

テイクダウンの是非については昔から賛否両論ありまして、割れ窓理論とよく似た議論が交わされています。
端的に言えば、「どうせすぐ復活するから、やる意味ないよ」という批判をよく耳にするのです。

参考までに、最近のボットネットテイクダウン作戦を対象に、VirusTotalにアップロードされているマルウェア検体数が、テイクダウン実施前後でどう変化しているかを調べてみました。

横軸は検体がコンパイルされた日付(つまり検体が作成されたであろう日付)、縦軸はアップロードされている検体数で、グラフごとに目盛りが異なるので注意。コンパイル日時は偽装可能なので、あくまで参考情報として。

Ramnit

公表されている感染端末数:320万台
テイクダウン実施時期:2015年2月
主導した機関:ユーロポール
参考情報:自身をブロックするウイルス
Takedown_Ramnit
Simda

公表されている感染端末数:77万台
テイクダウン実施時期:2015年4月
主導した機関:インターポール
参考情報:Simdaボットを射る3本の矢
Takedown_Simda
Beebone

公表されている感染端末数:10万台
テイクダウン実施時期:2015年4月
主導した機関:ユーロポール
Takedown_Beebone
Vawtrak

公表されている感染端末数:8万2000台
テイクダウン実施時期:2015年4月
主導した機関:警視庁

Takedown_Vawtrak
Dridex

公表されている感染端末数:非公開
テイクダウン実施時期:2015年10月
主導した機関:FBI、NCA
参考情報:Dridexの解体
Takedown_Dridex

Simdaのようにテイクダウンを境として活動が沈静化した事例もあれば、DridexやRamnitのように逆に活発化してしまった事例もあるという結果でした。

上述の割れ窓理論に関する否定的な主張として、「社会学は割れ窓理論に優しくはない。」という文章がWikipediaには載っていますが、「社会学はボットネットテイクダウンに優しくはない。」とも言えるようです。

それでも私個人的にはボットネットのテイクダウンに賛成派だったりします。賛成というのは、テイクダウンをやれば万事解決という意味ではなく、テイクダウンもボットネット一掃作戦の一部として有効だという意味です。実際、テイクダウンをきっかけとして捜査が進展することはよくあります。

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

UG市場と懐かしのVBA悪用の流行で思うこと

昨年よりVBAを悪用した攻撃報告が相次いでいます。2月にSANS ISCからも報告されていますし、Dridex Banking Trojan のような攻撃も報告されています。
#当初はVBAの悪用に対して懐かしさを感じていました。
一時代前の状況との違いのひとつは、攻撃時のソーシャルエンジニアリング的な要素を強化したことが挙げられます。例えば、マクロを有効化しなければ文章本文が閲覧できないようにするなどです。

このVBAを悪用するトレンドは、アンダーグラウンド市場においても確認できます。
現在、複数のサイバー犯罪者向けのサービスプロバイダー(?)が確認されており、ほとんどがマクロに対応しているようです。
#もっとも、ちゃんと取引が成立するのかは不明ですが。

officeexp
                    図 攻撃コード生成サービス例

約3年前頃と記憶していますが、マルウェア開発者コミュニティ間において、VBSによるマルウェア開発の依頼が記載された時期がありました。恐らく、その頃からVBSやVBAといったエンコード可能な言語による悪性コード開発の需要が高まってきたのではないでしょうか。そして、現在は一定の市場が出来てきたのかもしれません。
この辺の状況は悪性コードにも表れており、VBAがダウンロードする関連ファイルなどは非常に酷似しているものが多く確認されています。例えば、下図の場合は一部のパラメータなどが変わっているだけのものです。
#エンコードはいずれもbase64を利用。
つまり、同一のツールもしくはサービスを利用して作成したものと推測されます。

download malicious files

既に報告された悪性コードだけでも複数種類あり、全てへの対策は中々骨の折れる作業となります。
また、従来よりも攻撃手口は複雑化しているため、単一のセキュリティソフトウェアだけで検出することも難しい状況です。そういった意味では、様々な観点から検知を試みる必要があるといえます。
ちなみに、独自でIOCなどのルールを記述する場合は、次の文字列の組み合わせが使えそうです。

■ダウンロード機能をYaraなどで検出する場合(例)
    strings:
        $a = "VBA"
        $b = "Root Entry"
        $c = "workbook_open" nocase
        $d = "GET"
        $e = "XMLHTTP" nocase
        $f = "WinHttpRequest" nocase
        $g = "adodb.stream" nocase
       
    condition:
        $a and $b and $c and ($d or $e or $f or $g)

#中途半端な形での記載で恐縮ですが、使いやすい形にしてご活用ください(笑)

なお、私見ですがVBAやVBSの悪用は暫く続くものと推察しています。と言いますのも、いずれも被害報告が減る兆しが見えないことに加え、既知の攻撃ツールの開発が継続されているためです。
いずれも悪性コードの開発において自由度が高く、従来のセキュリティ対策に対して柔軟に対応可能であることが特徴です。そういった意味では、しばらくイタチごっこの状況となるのではないでしょうか。
近い将来、これらの課題も解決する日が来ると思います。それまではIOCをはじめとした脅威情報を活かすためのフレームワークを作ることが先決かもしれません。現在、世界ではこれらの取組み(STIXなど)がはじまっています。国内においてもそろそろ動き出す頃かもしれません。
その際は是非ご協力頂き、脅威情報など共有頂けると幸いです。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード