エフセキュアブログ

dropper を含む記事

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

ドキュメントにないLNKの機能に隠れるJanicab

 2年前、我々はJanicabというマルウェアを発見した。MacとWindowsを標的としており、それぞれPythonとVBSスクリプトを使用している。

 このマルウェアは、Windows OSではCVE-2012-0158を悪用したドキュメント経由で配信される。さらに2013年あたりから近頃まで、埋め込まれたエンコード済みのVBScriptをドロップする、Microsoft Shell Linkファイル(.lnk)の形式での配信も目にしている。

 目的を分かりにくくするため、このドロッパーが用いるトリックはいくつかある。

 - 拡張子を二重にしたファイル名(例:.jpg.lnk や .doc.lnk)
 - (デフォルトのcmd.exeの代わりに)notepad.exeのアイコンを使用
 - センシティブな可能性のあるデータ、たとえばマシンIDや相対パスなどはゼロで潰す

 しかしもっとも興味深いのは、コマンドライン引数の文字列をWindowsエクスプローラーから隠ぺいするために、ドキュメントにない方法を使っている点だ。一般的にWindowsエクスプローラーでは、ショートカットアイコンを右クリックすることで、プロパティの中でリンク先とその引数を一つの文字列として見ることができる。だが、今回のシナリオではコマンドラインの引数が見えないのだ。

1_Fotomama_screenshot (34k image)

 一連のシェルコマンドを&演算子で結合したものが、隠されたコマンドライン引数としてLNK内に存在している。

2_Fotomama_lnk (52k image)

 以下は、悪意あるVBEのドロップと実行を行う実質的な部分のコマンドのリストだ。

3_commands (34k image)

 このマルウェアスクリプトはMicrosoft Script Encoderを用いてエンコードされており、LNKファイルの末尾に埋め込まれている。

 実行すると、このスクリプトは以下のような囮のファイルをドロップする。

4_mama (68k image)

5_doc (555k image)

 Janicabは以前のバリアントと同様、C&Cサーバを取得するために、YouTubeなどサードパーティーのWebサービスをいまだに利用している。

6_youtubecomments (30k image)

7_blogspot (8k image)

8_googleplus (14k image)

 実際のC&CサーバのIPアドレスは、YouTube上で示されていた。しかし上図のように、マルウェア作者はC&Cサーバを分かりづらくしようとしてきた。最近のバリアントでは「our (.*)th psy anniversary」という形式のコメント内にある数値を収集する。

 実際のIPアドレスを得るには、当該Webサービスで見つけた数値を分割したり変換したりする。

9_ipconv (54k image)

 このバリアントで見つかったもう1つの変更点は、%UserProfile$\SystemFoldersnapIt.exeをドロップするところだ。このアプリケーションはスクリーンショットをキャプチャし、~PF214C.tmpとして保存するためにJanicabが使用している。

 また今では、自身がVirtualBox、Parallels、VMWareといった仮想マシン内で実行されている形跡があるか確認も行っている。同様に、以下のような実行中のプロセスを調べることにより、分析用のマシン上で実行されているかどうか確認している。

10_processes (77k image)

 今回のバリアントで、これまでに見つけたC&Cサーバの一覧は以下になる。
 • 87.121.52.69
 • 87.121.52.62
 • 94.156.77.182
 • 95.211.168.10

 C&Cサーバとの通信フォーマットは次のとおりだ。
 • [C&C]/Status2.php - C&Cサーバのステータスを確認
 • [C&C]/a.php?id=[SerialIDfromCnC]&v=[malware_version]&av=[InstalledAV] - cookieおよび囮ファイルが削除されたことを通知
 • [C&C]/gid.php?action=add&cn=[ComputerName]&un=[UserName]&v=[malware_version]&av=[InstalledAV]&an=[notifyName] - Serial IDを取得
 • [C&C]/rit.php?cn=[ComputerName]&un=[UserName]&an=[notifyName]&id=[SerialIDfromCnC]&r=[VMorRunningProcessName] - 分析用の実行中プロセスもしくはサンドボックス環境を通知
 • [C&C]/sm.php?data=[InstalledAV] - 起動メカニズムを取得
 • [C&C]/c.php?id=[SerialIDfromCnC] - コマンド群を取得
 • [C&C]/rs.php - スクリーンショットを送信
 • [C&C]/rk.php - データを送信
 • [C&C]/d.php?f=[Base64EncodedData] - ファイルをダウンロード

 このサンプルはTrojan-Dropper:W32/Janicab.Aとして検知される。

 SHA1のハッシュ
 • 4bcb488a5911c136a2c88835aa06c01dceadbd93
 • 41688ef447f832aa13fad2528c3f98f469014d13



 Post by — Jarkko and Karmina

OnionDuke:Torネットワーク経由のAPT攻撃

 最近公開された調査で、ロシアにあるTorの出口ノードが、ここを経由してダウンロードされる圧縮されていないWindowsの実行ファイルを悪意を持って常に書き換えていることがわかった。当然ながらこのことは我々の興味をそそった。なのでウサギの穴を覗き込むことに決めた。あえて言うなら、その穴は我々が予期していたよりもずっと深かった!実際のところ、悪名高いロシアのAPTファミリーMiniDukeまでさかのぼった。これはNATOや欧州政府機関への標的型攻撃で使われたものとして知られている。しかし、今回のケースで使われたマルウェアは、MiniDukeの別版ではない。むしろ関連のない異なるマルウェアファミリーで、以来、我々はOnionDukeと呼ぶようにしている。では、最初から始めることにしよう。

 悪意のあるTorの出口ノード経由でユーザが実行ファイルをダウンロードしようとすると、実際に受け取るものは実行ファイルの「ラッパー」である。これにはオリジナルの実行ファイルと、もう1つの悪意ある実行ファイルの双方が埋め込まれている。分離したラッパーを用いることで、悪意のある人間がオリジナルのバイナリに含まれ得る完全性チェックを迂回し得る。実行すると、ラッパーはオリジナルの実行ファイルのディスクへの書き込みを開始し、これを実行する。そうしてユーザにすべてがうまくいっているように思い込ませる。しかし、ラッパーはもうひとつの実行ファイルもディスクに書き込んで実行する。我々が観測したすべてのケースにおいて、この悪意ある実行ファイルは同一のバイナリであった(SHA1: a75995f94854dea8799650a2f4a97980b71199d2Trojan-Dropper:W32/OnionDuke.Aとして検知)。この実行ファイルはドロッパーで、埋め込まれたGIF画像ファイルを装ったPEリソースを含む。当該リソースは実際には、暗号化されたDLL(dynamically linked library)ファイルだ。ドロッパーはこのDLLの復号に進み、ディスクに書き込んで実行する。

A flowchart of the infection process
感染プロセスのフローチャート

 ひとたび実行すると、DLLファイル(SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57fBackdoor:W32/OnionDuke.Bとして検知)は埋め込まれた設定(以下、参照)を復号し、設定データとして指定されているハードコーディングされたC&CサーバのURLへの接続を試みる。マルウェアはこうしたC&Cサーバから指示を受け取って、追加の悪意あるコンポーネントをダウンロード、実行する可能性がある。マルウェアが接触する全5つのドメインは、マルウェアの運用者によって侵害された無実のWebサーバのもので、専用の悪意のあるサーバのものではないということは触れておかねばならない。

Screenshot of the embedded configuration data
埋め込まれた設定データのスクリーンショット

 当社の研究を通じて、我々はOnionDukeマルウェアファミリーの、複数の別のコンポーネントを特定することができた。たとえば、被害者のマシンからログイン情報を盗むことに特化したコンポーネントや、アンチウィルスソフトやファイアウォールの存在など、侵害されたシステムの詳細情報を収集することに特化したコンポーネントを観測した。こうしたコンポーネントの一部は最初のバックドアプロセスによってダウンロード、実行されるのを確認したが、他のコンポーネントについてはいまだ感染の媒介物を特定していない。こうしたコンポーネントの大半には自身のC&Cサーバの情報は埋め込まれておらず、むしろ最初のバックドアプロセスを通じてコントローラと通信を行う。

 しかしながら、あるコンポーネントは興味をそそる例外だ。このDLLファイル(SHA1: d433f281cf56015941a1c2cb87066ca62ea1db37Backdoor:W32/OnionDuke.Aoverpict.comとして検知)には設定データの中にハードコーディングされた別のC&Cサーバのドメインoverpict.comが含まれる。またこのコンポーネントが、別のC&CチャネルとしてTwitterを侵害し得ることを示唆する証拠も含まれる。なぜ overpict.comドメインが興味深いのか。これは元々は「John Kasai」という別名で2011年に登録された。2週という期間内に「John Kasai」はairtravelabroad.com、beijingnewsblog.net、grouptumbler.com、leveldelta.com、nasdaqblog.net、natureinhome.com、nestedmail.com、nostressjob.com、nytunion.com、oilnewsblog.com、sixsquare.net、ustradecomp.comの各ドメインも登録した。このことは非常に重要だ。なぜならleveldelta.comgrouptumbler.comの両ドメインはこれまでにMiniDukeによって使われているC&Cサーバのドメインだと特定されているからだ。これは次のことを強く示唆する。OnionDukeとMiniDukeは別々のマルウェアファミリーだが、その背後にいる人間は共有のインフラストラクチャの使用を通じたつながりがあるのだ。

A graph showing the infrastructure shared between OnionDuke and MiniDuke
OnionDukeとMiniDukeが共有するインフラストラクチャの可視化

 我々が観察したサンプルのコンパイル時のタイムスタンプや発見した日付に基づき、OnionDukeの運用者は遅くとも2013年10月の終わり以来、ダウンロードされる実行ファイルを感染させていると我々は考えている。また遅くとも2014年2月には、OnionDukeがダウンロードされる実行ファイルを書き換えることによる拡散だけでなく、海賊版のソフトウェアに含まれるトレントファイル群内の実行ファイルを感染させることによっても拡散したことを示唆する証拠もある。ただしOnionDukeファミリーは、より古いコンパイル時のタイムスタンプと次の事実から、もっとずっと古くからあるように見受けられる。埋め込まれた設定データの一部が、少なくともこれより前に3バージョン存在することを明確に示すバージョン番号4を参照しているのだ。

 調査の間、我々はOnionDukeが欧州政府機関に対する標的型攻撃に使われたことを示す強力な証拠も明らかにしてきた。感染の媒介物については、これまでのところ特定できていないのだが。興味深いことに、これは2つの非常に異なる、標的を定める戦略を示唆している。一方は「大砲で蚊を打つ」ような、書き換えたバイナリを通じて大衆を感染させる戦略で、もう一方は極めて特定の標的を狙っており、従来からAPT作戦と関連している。

 いずれにせよ、依然として大半は謎と推論で覆われているのだが、1つ確かなことがある。Torを使うことで自分を匿名化する一助となるかもしれないが、同時にあなたの背中に巨大な的を描くことになる。暗号化せずにTor(や他のもの)経由でバイナリをダウンロードするのは、まったくもって良い考えではない。Torの問題は、使用している出口ノードを誰が保守しているのか、何が彼らの動機なのかがまったく分からない点だ。VPN(Freedome VPNのような)はTorネットワーク上を経由する際にあなたの接続を暗号化するため、Torの出口ノードの保守を行っている人も、あなたのトラフィックを見たり改ざんしたりできない。

サンプル:

  •  a75995f94854dea8799650a2f4a97980b71199d2
  •  b491c14d8cfb48636f6095b7b16555e9a575d57f
  •  d433f281cf56015941a1c2cb87066ca62ea1db37

 Trojan-Dropper:W32/OnionDuke.ABackdoor:W32/OnionDuke.ABackdoor:W32/OnionDuke.Bとして検知する。

Post by — Artturi (@lehtior2)

KINSのソースコード流出にみるサイバー犯罪対策の難しさ

オンラインバンキング詐欺ツールで知られる「KINS」のソースコードが、遂にアンダーグラウンド系フォーラムに流出しているのが確認されました。これにより、オンラインバンキングの利用者を狙ったサイバー犯罪はさらに複雑化していくことが予想されます。

KINSとは今年7月頃に報告され、次代のZeuSやSpyEyeと呼ばれる不正プログラムの1つです。

9月末にKINSの詳細情報が報告されました。10月10日頃よりセキュリティ専門家より一部の捜査機関、およびセキュリティベンダー等にKINSソースコードが配布され始め、ようやく対策が取られ始めたところでした。
#ソースコードの入手の際には所属組織、氏名、職位等の情報が必要。

参考
http://touchmymalware.blogspot.ru/2013/10/kins-source-code-leaked.html
http://www.xylibox.com/2013/09/having-look-on-kins-toolkit.html
http://pastebin.com/T1A80ZYF
https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/


KINS source code

ところが、先週この配布されたソースコードはあっさりと流出したことが確認されました。
KINSのソースコードは、配布者の承認を得たセキュリティベンダー等とされているだけに非常に残念な事です。
#インテリジェンスの共有が難しいのは、この辺りでしょうか。

leaked source code

残念ながら、KINSが完全に検出はできない状態ですが、かろうじて救いなのは、KINS自体は一部の関連ファイルから見て取れるように、ZeuSがベースとなっていることでしょうか。そのため、実行時にZBOTもしくはSpyEye関連のファイルとして検出されることがあります。例えば、次に示す関連ファイルはその典型です。

bot32.dll

参考URL
https://www.virustotal.com/en/file/8c8055c9e972ab37d0880f2b8f63605be52babd779a29e78be3647194ef31aa2/analysis/

また、Dropperに限定されますが、AlienVault-LabsからYaraのルールが提供されています。
https://github.com/AlienVault-Labs/AlienVaultLabs/blob/master/malware_analysis/KINS/kins.yar
オリジナルルールが追加可能なセキュリティ製品を所有しているのであれば、このルールを参照してみるのも良いかもしれません。

勿論、組織としてこれらの対策を講じることは大事ですが、まずは個々の口座で不正送金等が無いかの確認をする方が先決です。


Mac Revirに新亜種を発見

  Macマルウェアの亜種の報告がある。我々は同攻撃に気づいており、エフセキュアのカスタマはすでに保護されている。それはRevir.Cのマイナーな亜種だ。ペイロードについては、基本的に我々が9月に書いたImuler亜種と同一だ。おそらくは、検出を避ける目的で改変されたのだろう。例によって同攻撃は、チベットの人権活動家を標的にしている。

  できれば我々の名称で、皆さんが混乱していないと良いのだが。バックドアペイロードはImulerと呼ばれているが、我々はドロッパコンポーネントをRevirとして検出している。これは我々が昨年最初に同ファミリを発見した際、ドロッパは他のマルウェアをペイロードとするためにカスタマイズされるかもしれないと考えたためだ。しかしこれまでのところ、RevirとImulerは常に同時に使われている。

  我々は、新しい亜種を検出するため、昨日からデータベースをアップデートした。

  解説もオンラインに掲載されている。詳細はそちらをご覧頂きたい:

  •  Trojan-Dropper:OSX/Revir.D (MD5: 2d84bfbae1f1b7ab0fc1ca9dd372d35e)
  •  Backdoor:OSX/Imuler.B (MD5: 9ccc685f4d95403848ca24d9b8003b5b)

Internet Explorerゼロデイと安全なブラウジング

  Javaゼロデイ「CVE-2012-4681」の背後にいる人びとは忙しくしている。このJava脆弱性が公表されたのは、わずか2、3週前のことで、現在彼らはInternet Explorerバージョン6、7、8および9で、再びセキュリティホールを発見した。

  この脆弱性を悪用するコードがイン・ザ・ワイルドで発見されており、悪意あるWebページが、ヒープスプレーにより他のファイルをロードさせるFlashファイルをロードする。その後、こうした他のファイルが悪用可能なIEのバージョンをチェックし、悪意あるペイロードのダウンロードを招く脆弱性を利用する。この問題については、ここで詳細に議論されている。

  Microsoftはこれに対応し、アドバイザリをリリースしている。しかし、まだフィックスのETAは明記していない。

  エフセキュアでは、この脆弱性を標的とするエクスプロイトに関連するサンプル用の検出をリリースした:

Exploit:W32/Defeater.B
Exploit:W32/Defeater.C
Exploit:W32/SWFdloader.R
Trojan.Dropper.UIU

  現在はMetasploitモジュールが存在し、同コードは既に非常に明らかになっているが、我々はこれらの検出のみに頼るのではなく、今後、他のインプリメンテーションの可能性から身を守るため、絶えず警戒を怠らないことも強く推奨する。IEとゼロデイでは、すべての非常ベルがなり響き、管理者は悪用により引き起こされるかもしれない騒動の可能性になすすべもなくパニックを起こしたものだ。しかし時代は変わり、現在は誰にとってもより多くのオプションが存在する。同脆弱性が修正されない間は、どうか他のブラウザを使用して頂きたい。いまのところChrome、Firefox、Internet Explorer 10から選択できる。

  IE 10は、この脆弱性の影響を受けない。

目下のMacマルウェア

我々が最後にMacのマルウェアについて書いてからずいぶんになるので、ここ数ヶ月に起きていることについて、読者の皆さんに最新情報を提供する方が良いだろうと考えた。昨年、我々は制作途上にあるMac版トロイの木馬とおぼしきものを詳述した。当時はまだ、バンドルの一部であるか、スタンドアロンのバイナリなのかを推測していた。現在では、新しい亜種が発見され、それは本格的なアプリケーションであり、アイコンも完備していることが明らかになっている。

  作者はこの亜種を「version 1.0」(リトルエンディアンで「FILEAGENTVer1.0」)と呼んでいる。

FILEAGENTVer1.0

  私が分析したサンプルは、Irina Shaykのサムネイル画像/アイコンを使用しているが、これはどうやらFHM(South Africa)誌の2012年3月号から取られたもののようだ。この悪意あるアプリケーションバンドルは、ファイルタイプをユーザーが見落とすことを期待して、同誌から取られた他の画像と共に、アーカイブファイル内で展開される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

  インプリメンテーションの他に何ら新しい所はない。バックドアペイロードも同じだが、新たなC&Cサーバを使用している。同サーバは現在(執筆時)アクティブだ。この新しいC&Cサーバがまだ、ESETの人々が言及している、前回の亜種と同じIPアドレスを示していることに注意することが重要だ。我々はこのサーバをCERT-FIに報告した。うまくいけば、彼らが関係当局に通知できるだろう。

  我々は新たなこの亜種をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として検出している。

最後に—あちら側にひそんでいる、もう一つのより深刻なOS Xマルウェア脅威がある。このFlashbackトロイの木馬は初め、Revirと同じ頃に現れたものだが、現在もイン・ザ・ワイルドだ。これはエクスプロイトを使用して、ユーザとのインタラクション無しで、システムを感染させる。悪用しているのは古いJava脆弱性(CVE-2011-3544およびCVE-2008-5353)だが、悪党連中がオペレーションをアップグレードし、パッチを当てていない脆弱性を狙い始めるなら、本当のOS X騒動を見る事になるかもしれない。

  今後の記事で、Flashback感染を特定する方法を詳述する予定だ。その間、感染を避ける最も容易な方法は、ブラウザでJavaをオフにしておくことだ。我々の調査によれば、Webを閲覧する際、ほとんどのユーザがJavaを必要としていない。何らかの理由で、たとえばオンライン・バンキングなどでJavaが必要ならば、必要な時だけオンにすることだ。そして終了したら、またオフにすること。

  Safariでは、環境設定のセキュリティタブで「Javaを有効にする」のチェックをはずせば良い。

Safari, Java settings

  あるいは、Snow Leopard(LionはデフォルトではJavaは搭載していない)から、アプリケーション、ユーティリティ、Java設定に行くことでJavaをオフにできる。一般タブですべてのチェックをはずそう。

Java Preferences

では
Brod








PDFファイルを装うMacのトロイの木馬

  我々は、製作中のMacマルウェアに出くわしたかもしれない。同マルウェアは「Trojan-Dropper:OSX/Revir.A」として検出されており、PDFファイルを装い、ユーザをだましてペイロードをひきおこす。

  同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。



  ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。

  このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。

  同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。

  このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。


追記:サンプル用のMD5ハッシュ:

  •  Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
  •  Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
  •  Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d


Analysis by - Brod




ジュリアン・アサンジに言及するマルウェア

  マルウェアのサンプルをブラウジングしていたら、これに気づいた。

  これは平凡なマルウェアドロッパ(md5: 5aac5fc644f5b2797683c2acb337297a)だ。

  同マルウェアでやや興味深いのは、これがロシア語版のNotepadをドロップし、以下のメッセージを開いてユーザに見せるということだ:

Malware referencing Julian Assange - I enjoy crushing bastards (c) Julian Assange

  我々はこのマルウェアを「Trojan-Dropper:W32/Agent.DQJN」として検出している。.

LNKエクスプロイトに関するその後の分析

  Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。

  我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。

  我々は昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。

  同ルートキットコンポーネントは、デジタル署名されており、我々は有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。

  いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。

  有効なデジタル署名を用いた悪意あるソフトウェアについては、エフセキュアのJarno Niemelaが先頃、「Caro 2010 Workshop」のプレゼンテーションで予測していた:署名されているのだからクリーンでしょう?

  標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。

  したがって、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている

  我々は今後も同ケースについて進展があり次第、詳細を報告する予定だ。

Exploit.PDF-Dropper.Gen

  ラボは現在、PDFエクスプロイトを転送するスパムが出回っているのを確認している。

  そのメールは以下のようなものだ:


   From: random addresses
   To: random recipients
   Subject: New Resume
 
   Please review my CV, Thank You!
 
   Attachment: resume.pdf


  このPDF添付ファイルは、昨日の記事で紹介した重大なFlash脆弱性を利用してはいない。その代わり、PDF/launch機能を使用しようとしている。

  現行の脆弱性を使っていないため、このスパムのタイミングは少々奇妙だが、おそらく、この特定の方法を使用しているギャングたちは、Adobe Readerをアップデートする大きな動きが、まもなくやってくることを知っているのだろう。Adobe Readerの現行バージョンは、Trust Manager機能を含んでおり、このギャングたちにとっての絶好の機会は、すぐに制限されることになるだろう。

  エフセキュアは「インターネット セキュリティ 2010」で既に、この脅威を「Exploit.PDF-Dropper.Gen」として検出している。

  このPDFのMD5は「cff871a36828866de1f42574be016bb8」だ。動作すると、このエクスプロイトはalureon/dnschanger trojanをドロップする。

  我々のテレメトリーによれば、数千のカスタマが既に同エクスプロイトにさらされている。ペイロード上ではノーヒットであり、我々のジェネリックな検出が、この脅威をブロックしていることが分かっている。

  添付ファイル/ペイロード用のHydra検出は、バージョン2010-06-08_03のデータベースで公開された。

追記:以下は同PDF添付ファイルのスクリーンショットだ。このPDFは、インターネットから取り出されたresume/CVをベースとしており、/launchプロンプトはかなり派手だ。

Pidief.CPY

ジャーナリストをエサとして使用する標的型攻撃

  我々は世界中の多くのジャーナリストの名前、詳細、連絡先を含む、新たな悪意あるXLSファイルを発見した:

Journalists targeted

  このファイルは、明らかに標的型攻撃をローンチする目的で、不特定の人々にメールで送信された。攻撃ファイルに記載されているジャーナリストの関連性は分かっていない。

  ファイル(md5 hash: 46d0edc0a11ed88c0a39bc2118b3c4e071413a4b)を開くと、Excelの脆弱性が悪用される。この脆弱性は、ハードディスクにいくつかの新しい実行ファイルをドロップし、それらをローンチする埋め込みコードを実行する。実行ファイルには以下の物がある:

   \windows\system32\Setup\fxjssocm.exe
   \windows\system32\spoolsv.exe
   \windows\system32\Setup\setjupry.exe
   \windows\system32\Setup\msxm32.dll

  これらの実行ファイルは、攻撃者に標的のコンピュータ上にあるデータへの、完全なアクセスを与えるバックドアを含んでいる。

  我々は悪意あるXLSと、これがドロップするコンポーネントを「Exploit:W32/Xdropper.BR」および「Trojan-Dropper:W32/Agent.DJGD」として検出している。

偽の訴訟通知攻撃

  数日前、悪意あるRTFが添付されたメールに遭遇した。架空の訴訟通知メッセージが含まれているものだ。

  同メールは会社名には言及しておらず、標的型というよりは、無差別型の手法をとっている。

  今日、あるセキュリティ・ブロガーが我々(そして他の人達に)、彼の所に来た以下のメールを転送してくれた:

To Whom It May Concern: On the link bellow is a copy of the lawsuit that we filed against you in<br />court on March 15, 2010. Currently the Pretrail Conference is scheduled for April 15th,<br />2010 at 10:00 A.M. in courtroom #12. The case number is 3478254. The reason the lawsuit was filed<br />was due to a completely inadequate response from your company for copyright infrigement that our client<br />Danilison Inc is a victim of. www.marcuslawcenter.com

  現時点で、この添付書類はMarcus Law Center(以下MLC)へのリンクに置き換えられているようだ。

  MLCサイトに障害が起きているのか、単に完全な偽物なのか、見極めることは難しい。同サイトの企業情報ページのテキストは、あるニューヨークの弁護士サイトの内容を大幅に流用しているが、「良心的な」盗用である可能性もある。

  いずれにせよ、エフセキュアのブラウザ保護機能が、安全のため、悪意あるファイルをホスティングしているサブ・ディレクトリをブロックしている。

  このRTFファイルは、トロイの木馬型ドロッパ(Trojan-Dropper:W32/Agent.DIOY)として作用する埋め込みオブジェクトを含んでおり、これはダウンローダ(Trojan-Downloader:W32/Lapurd.D)をドロップし、次に中国南部に位置するサーバへと接続しようとする。

  我々が確認した以前の添付ファイルも、中国のサーバに接続しようとしていた。

  追記:SANS Diaryによれば、いくつかの.eduサイトが、似たようなメッセージを受けとっているそうだ。

  そのドメイン「touchstoneadvisorsonline.com」は、同じRTF(.doc)ファイルをホスティングしている。

Adobe Acrobatゼロデイ分析

  Adobe ReaderおよびAcrobat 9.2以前のバージョンに見つかった脆弱性を利用した、ゼロデイPDFエクスプロイトが存在する。Adobeが「PSIRT」ブログでアドバイザリを公開した。

  下のスクリーンショットは我々のオートメーションからのもので、Adobe Acrobat/ReaderでPDFファイルがオープンした際に、実行ファイルをダウンロードしようとする様子を示している。サーバは悪用されたが、現在アクティブだ。

Adobe, CVE-2009-4324, sample 0805d0...

  ダウンロードされる実行ファイルは、特定のファイルを探し、暗号化してから、他のサーバにそれらのファイルをアップロードする。このサーバは現在オンラインであり、コンテンツは閲覧可能だ。

  障害が起きたマシンのマシン名とIPアドレスが含まれている。

  以下は一例だ:

Adobe, CVE-2009-4324

  このエクスプロイトは、アップロードされたサーバ上に見つかるファイル数に基づき、標的型攻撃でのみ使用されているようだ。

  しかし状況は容易に変わりうる…

  AcrobatのJavaScriptオプションを無効にすれば、問題は若干軽減されるかもしれない。

  多くの良いリーダが無料で入手できるので、代わりのPDFリーダをインストールするという方法もある。

  Adobeは現在、Microsoftのアップデートと同じ日に、必要に応じてセキュリティ/パッチを公開するという、四半期ごとのアップデート・サイクルを予定している。Adobeがフィックスを公開するのは1月12日以降になる可能性がある。

  我々は検出したのは以下の通り:

同エクスプロイトは「Exploit:W32/AdobeReader.Uz」である。
ダウンロードされるファイルは「Trojan-Dropper:W32/Agent.MRH」である。
投下されるファイルは「Trojan:W32/Agent.MRI」「Trojan:W32/Agent.MRJ」および「Rootkit:W32/Agent.MRK」である。

— 以下のサイトで詳細が読める —

  •  Shadowserver – When PDFs Attack II - New Adobe Acrobat [Reader] 0-Day On the Loose
  •  Security Fix – Hackers target unpatched Adobe Reader, Acrobat flaw
  •  The Register – Unpatched PDF flaw harnessed to launch targeted attacks

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード