エフセキュアブログ

duqu を含む記事

米国のダブルスタンダード:米国のようにハッキングするな

 以下は、米国がハッキングしたとされている企業のリストだ。

   •  RealTek
   •  JMicron
   •  C-Media

Hacked by the USA

 これら台湾の技術企業3社を米国がハッキングした理由は何だろうか?

 StuxnetおよびDuquで使用されているドライバに署名する目的で、デジタル証明書を盗むためだ。

 …

 以下は、北朝鮮がハッキングしたとされている企業だ。

   •  Sony Pictures

Hacked by North Korea?

 ところで、企業をハッキングしてデータを盗んでも大丈夫だなんて常軌を逸したアイデアを、朝鮮民主主義人民共和国はどこで得たと思う?

 —————

 DER SPIEGEL誌:The Digital Arms Race: NSA Preps America for Future Battle(デジタル軍備競争:NSAが今後の戦闘のために準備)

NSA:私たちは防衛に大きく偏っていた

 1月7日、Wired誌は「How the NSA Almost Killed the Internet(NSAがほとんどインターネットを殺した方法)」と題するSteven Levy氏の記事を掲載した。

 これは絶対に読む価値がある。

 何といっても、メディアへの情報漏えいに関するタスクフォースを率いるNSA幹部のRick Ledgett氏による以下の部分がある。

 「私たちは防衛に大きく偏っていた。」とLedgett氏は付け加えた。世界中のユーザに影響を与えてきた可能性のある、ある企業のソフトウェアの深刻な脆弱性をNSAが発見した事案について言及したときのことだ。「我々は数日間内部でこれについて議論し、米国政府全体また米国の大半にとって非常に重要な問題なので(当該企業の脆弱性を)開示することを決定した。広範な標的に対して、いつまでも続く好機ではあったのだが。」

Rick Ledgett

 えっ。NSAが責任を持って「ある1つの」深刻な脆弱性を開示した。えーと…。NSAに賞賛を!

 開示に関するこの事例の話は、数多くのゼロデイエクスプロイトや、(JMicron社とRealtek社の)盗まれた証明書で署名されたドライバー、MD5のハッシュ値の衝突、それにStuxnetDuquFlame経由で世界中に解き放たれたCPLINKの脆弱性をほとんど(かなり、どころではない)埋め合わせてしまうものだ。

 我々は防衛に大きく偏っていた?

 お願いだ。これは真面目くさった顔のテストを通らない、というだけのことではない。

2012年の#yearinreview パート2

 2012年#yearinreviewのパート2、7〜9月分を挙げる。

2012年7月4日
(訳注:CERNよ、ありがとう。Webサイトを作ってくれたことに。そしてボソンを見つけてくれたことに。#science

2012年7月10日
(訳注:Googleで検索する際に考えてほしい。Googleの年間の電気料金は約1億2千万ドルだ。しかし、みなさんはそのサービスに対してお金を支払っていない。)

2012年7月12日
(訳注:Yahooから45万件のユーザ・パスワードが流出したのは実に驚きだ。Yahooがまだそんなに多くのユーザを抱えていたとは、思いも寄らなかった。)

2012年7月16日
(訳注:"Milware" [mil-we:r] ― 名詞。軍によってプログラミングされたマルウェア。)

2012年7月16日
(訳注:本日のオモシロ情報:Yahooは、Googleと呼ばれる、あるスタートアップ企業に初期段階で投資を行っていた。)

2012年7月22日
(訳注:Linuxには取り戻すべき遅れが多々ある。Linuxはバージョン3.5をリリースしたばかりだが、Windowsはすでにバージョン7なのだ。)

2012年7月26日
(訳注:#Blackhatで小耳に挟んだこと。「アイツはつまらないヤツなんだ。アイツのアイデンティティを盗んだハッカーが、後で返してよこしたほどだよ。」)

2012年7月30日
(訳注:科学的に高度な釣りは、ソート・リーダーシップ(考え抜かれたリーダーシップ)と区別が付かない。- Cliff Moon)

2012年7月29日
(訳注:またしても#Blackhatのバッジで、私の名前のスペルが違っていた。twitpic.com/ad84sv こっちは2011年の私のバッジだ。twitpic.com/6055l8

2012年7月31日
(訳注:3Dプリンタで印刷された物体から、それを作ったプリンタを突き止めることはできるだろうか?純粋な質問。)

2012年7月31日
(訳注:これは「Bullet Point(箇条書き、の意。bulletには銃弾の意味がある)」と呼ばれている。PowerPointにより死を招くからだ。)

2012年8月6日


2012年8月6日
(訳注:火星探査機キュリオシティに搭載されたコンピュータのスペック。CPU:200MHz、RAM:256MB、SSD:2GB。iPhoneのスペック。CPU:800MHz、RAM: 512MB、SSD:64GB。#MSL

2012年8月16日
(訳注:Facebookにアカウントがないと、奇妙なやつだと思われ、多少疑われるかもしれないことが分かった。あるいはテロリストかも。隠せねばならないことが絶対にあるのだ。)

2012年8月23日
(訳注:本日のヒント:Windowsの「ファイルを開く」ダイアログでURLをペーストできる。たとえばペイントを開始してCtrl-Oと入力し、http://i․imgur․com/gdILk.jpgを貼り付ける。)

2012年8月28日
(訳注:Linuxディストリビューションは、Windowsではもっとも一般的なソフトウェアへの対応が実に欠如している。たとえばマルウェアの大半は動かない。)

2012年9月10日
(訳注:今年最高の情報漏洩 pastebin.com/2qbRKh3R

2012年9月12日
(訳注:シルバー・サーファー ― 名詞。インターネットを使用する高齢の、特に退職した人々。Collins English Dictionary c HarperCollinsより)

2012年9月19日
(訳注:ヒント:本番データベースに偽の珍しいユーザ名や顧客名を登録して、Google Alertをセットしておくと、漏洩した場合に通知がくる。)

2012年9月20日
(訳注:新しいルール:もしパスワードの強度が低いせいであなたのTwitterのアカウントがハックされたら、スパムを受け取った人全員にビールを奢ること。)

2012年9月21日
(訳注:iOS 6 MapsでのJFK国際空港。twitpic.com/awzcoo

2012年9月28日
(訳注:Stuxnet、Duqu、Flameの作者を割り出すための犯罪捜査は一切行われてない。政府がやったときには、明らかに犯罪ではないのだ。)

サイバー軍備

  過去25年間、我々の情報に関する考え方が大きく変貌を遂げるのを見てきた。

  1980年代には、情報はまだ、ほとんどがアナログだった。紙に、バインダーに、棚に、そして金庫に保存された。

  今日ではもちろん、ほとんど全ての情報がデジタルだ。情報はコンピュータで作成され、保存され、コンピュータネットワークを介して送信される。

  セキュリティの観点から見ると、これは現在、世界中のどこからでも機密情報に到達できる可能性があるということを意味している。もはや物理的に、情報のある場所にいる必要が無いのだ。

  このことは、諜報活動もまた、デジタルになったことを意味している。そして我々はバックドアやトロイの木馬によって行われた、国家の諜報活動をいくつか目にしているが、マルウェアを使用してサイバー破壊活動を行っている国家レベルの事例で確認されいるのは一つしかない。それはStuxnetの事例だ。

  この業界に身を置いている間に、私はこれまで数々の謎を見てきたが、Stuxnetの事例ほど興味深いものはほとんど無かった。

  F-Secure Labsでは、Stuxnetを開発するには10マンイヤー以上の時間が必要であると概算している。DuquやFlameのような関連の攻撃は、さらに時間が掛かっているかもしれない。

  Stuxnetには2012年6月24日という「停止日」が設定されていたが、これは同ワームが現在では拡散を停止していることを意味している。しかしそのことに大した重要性は無い。オペレーションは既に長い間アクティブであり、2010年までにはほとんどの標的に到達しているからだ。

  Stuxnetは、こうした新種の攻撃的な攻撃の背景にある考えの好例だ。すなわち、もし外国の秘密の原子力プログラムを混乱させたい場合、何ができるか、ということだ。

  さて、あなたには二、三の選択肢がある。国際的な圧力やボイコットを試みることができる。しかしそれが上手くいかなかったら、次は何をするだろうか? 従来型の軍事攻撃を試みたり、彼らの施設を爆撃することができるだろう。しかし、攻撃者が誰かが特定されることが問題だ。そして、既知の施設しか攻撃できないという事実も。

  Stuxnetのようなデジタル攻撃の使用にはいくつかの利点がある。特に、否認権があることが大きい。

  Stuxnetは明らかに形勢を一変させるものだ。しかし、長い目で見るとそれは何を意味するのだろう? 我々は今、新たな軍備拡張競争の一番最初のステップを目撃しているのだと思う。すなわちサイバー軍拡競争だ。

  現代のハイテク調査が過去50年間にわたって軍事行動に革命的変化をもたらしたように、我々は情報オペレーションとサイバー戦争に関し、新たな革命を目撃しつつある。この大変革は進行中であり、今この瞬間に起きていることだ。

  もちろん我々はまだ、本当のオンライン戦争を目撃してはいない。これは我々が最近、ありがたいことに技術的先進国間の戦争に遭遇していないためだ。しかし将来のあらゆる危機には、サイバー要素も含まれる可能性がある。

  サイバー戦争は必ずしもインターネットと関係があるわけではない、ということを理解するのは重要だ。最も重要なネットワークは、公衆網には接続していないため、より破壊的なサイバー攻撃の多くは、遠隔的に開始することはできない。

  到達不能と考えられたシステムに到達することができるよう、光ファイバー・ケーブルを掘り起こすため、同行するギークたちとともに適地に侵入する特殊部隊ユニットについて考えてみれば良い。

  あらゆる軍備拡張戦争の主要なポイントは、敵が戦いを開始することを考えることさえしないよう、敵に自分たちの能力について知らせることだ。我々はこの段階ではサイバー軍拡競争中ではない。この領域での開発はほとんどすべて、公表されておらず、機密扱いなのだ。

  しかし最終的には、他の防衛技術と同程度、公のものになるだろう。もしかしたら我々はいつか、国が自分たちの攻撃能力を誇示する公のサイバー軍事演習を目撃するかもしれない。いつかサイバー軍縮プログラムを目の当たりにするかもしれない。

  軍事力マルウェアに対する防御は、コンピュータセキュリティ業界にとって真の難題だ。

  さらに、セキュリティ業界はグローバルではない。少数の国にしか集中していないのだ。その他の地域は、自分たちの日常的なデジタルセキュリティを得るのに、外国のセキュリティラボに依存している。たとえば、ヨーロッパには、約10のウイルスラボしか存在せず、大多数の国は自国にラボが無い。

  インターネット上では、国境には大した問題ではない。しかし危機が起きれば、状況は変わるのだ。

ミッコ・ヒッポネン
このコラムは当初BBCに掲載された。


コモディティ化 vs. 特殊化

  Wired誌でミッコが、Flameに関する見解を述べたコラムに対し、新たな反論が寄せられた。今回はBruce Schneierからのものだ。

  ミッコの議論に対するSchneierのまとめは以下の通り:

  「彼の結論は単に、攻撃者(このケースでは軍事情報機関)の方が、商用レベルのアンチウイルス・プログラムよりも優れている、ということだ。」

  しかしSchneierはそれを信じていない

Schneier Security, June 2012

  二、三、指摘がある。

  第一に、軍のマルウェアがおそらくゆっくりと、そしてひっそりと拡散するということに関して。それは相対的なものだ。最も「非軍事的」なマルウェアである「Conficker」などと比較すれば、実に静かだ。そうあるべき分だけひっそりしている。

  第二に、実際…Flameは実のところ「拡散」してはいなかった。これは標的型攻撃で使用された。細菌戦ではなく、スナイパーの弾丸を考えて欲しい。(Stuxnetは別の話だ。しかしそれはイン・ザ・ワイルドでは拡散しなかったと推測される。)

  第三に、従来型マルウェアの作者が検出を避けたい場合、彼らはFlameのテクニックを採用すべきだろうか? 大部分の「従来型」マルウェア作者は、実際のところ、自分たちが書いたマルウェアを使用していない。彼らはそれをサービスとして販売する。買い手とマルウェアキットのユーザは、ひっそり行動するために支払う必要がある。それは無料ではない。クライムウェアとFlame/Stuxnet/DuQuとの真の相違は、コモディティ化対特殊化にある。

  現実の例を考えてみよう。

  以下は、300,000人以上を雇用しているセキュリティサービスの世界的プロバイダSecuritasからのスクリーンショットだ。

About Securitas

  そして以下は、イランの原子力技術者Majid Shahriariが2010年11月、オートバイに乗った正体不明の襲撃者により、爆弾攻撃とそれらを遠くから爆発させることで暗殺された直後の彼の車だ。

Majid Shahriari

  注意深く見て欲しい。

  Securitasが一般的に提供するサービスと、Shahriariが必要としたであろう保護との違いが分かるだろうか?

Flameは不十分

  Flameマルウェアが2週間前に発見された時、「非常に先進的」「スーパーマルウェア」「史上最大のマルウェア」と呼ばれた。

  これらのコメントはすぐに、Flameには特に新しい点も興味深い点も無いと指摘した専門家たちによる嘲笑を受けた。

  実際、Flameで唯一ユニークなのは、そのサイズでしかないようだ。それとても、それほど刺激的ではなかった。アナリストはもっと大きなマルウェアの事例を探してきたし、実際、発見してもいる(マルウェアの中にはビデオファイルのように見せかけようとするため、本体にノーカット版の映画を含むものもある)。

  FlameがStuxnetやDuquのように、政府によって作成されたもので、国民国家が作成したものだという示唆も、嘲笑を受けている。

  しかし、この2週間で我々がFlameについて知ったことを見てみよう。

1. Flameはキーロガーとスクリーングラバーを持つ

  否定派は感銘を受けていない。「以前、見たことがある。Flameは不十分だ。」

2. FlameはビルトインのSSH、SSLおよびLUAライブラリを持つ

  「肥大化している。遅い。Flameはやはり不十分だ。」

3. Flameはローカルドライブおよびネットワークドライブで、すべてのOffice書類、PDFファイル、Autodeskファイル、テキストファイルを探す。盗み出せる情報が多すぎるため、IFilterを使用して書類からテキストの引用を抜粋する。これらはローカルのSQLLiteデータベースに保存され、マルウェアのオペレータに送信される。このようにして、彼らはマルウェアに指示し、本当に興味深い資料に焦点を合わせる。

  「Flameは不十分だ。」

4. Flameは感染したコンピュータのマイクをオンにし、マシンの近くで話される会話を録音できる。これらの会話はオーディオファイルとして保存され、マルウェアのオペレータに送信される。

  「Flameは不十分だ。lol」

5. Flameは感染したコンピュータとネットワークで、デジタルカメラで撮影された画像ファイルを検索する。これらの画像からGPS情報を抽出し、それをマルウェアのオペレータに送信する。

  「Flameはやはり不十分だ。」

6. FlameはBluetoothを介して、感染したコンピュータに接続している携帯電話があるかどうかをチェックする。もしあれば、その端末(iPhone、Android、Nokiaなど)に接続し、アドレス帳の情報を収集して、マルウェアのオペレータに送信する。

  「Flameはやはり、ちょっと不十分だ。」

7. 盗まれた情報は、感染したマシンで使用されているUSBスティックを感染させ、このスティックに暗号化されたSQLLiteデータベースをコピーすることにより、それが閉環境の外側で使用された時に送信される。このようにしてデータは、ネットワーク接続の無い安全性の高い環境からも盗み出されることになる。

  「Agent.BTZが2008年、既に似たようなことをしている。Flameは不十分だ。」

8. Flameは現在、とうとう捉えられたが、攻撃者はすべての証拠を破壊し、影響を受けたマシンから感染を取り除こうと活動している。

  「何も証明されていない。不十分。」

9. 最新の調査で、Flameが実際、Stuxnetと関係していることが分かっている。そしてFlameが発見されたちょうど1週間後、イスラエルの軍隊とともにStuxnetを開発したことを米国政府が認めた

  「大げさにしようとしているに過ぎない。やはり不十分。」

10. FlameはMicrosoft Updateへのトラフィックを傍受するのに使用する、ローカルプロキシを作成する。これはFlameをLANで他のマシンに広めるのに使用される。

  「不十分。他のコンピュータがそうした偽のアップデートを受けとったにしても、Microsoftによって署名されていないのだから、受け入れるはずがない。」

  攻撃者がMicrosoft Terminal Serverライセンス証明書を再利用する方法を見つけたため、偽のアップデートはMicrosoftのルートと結びつく証明書で署名されている。これだけではWindowsのより新しいバージョンになりすますことはできないとしても、最先端の暗号の調査が行われ、証明書のスプーフィングを可能にするハッシュ衝突を生み出す、完全に新しい方法が考え出されている。しかし、彼らはさらにスーパーコンピュータを必要とした。

  「…」

  そして突然、何の前触れもなく、Flameが不十分か否かに関する議論は…消えてしまった。


Stuxnet、Duqu、Flameについて

  2日ほど前、イランから電子メールを受けとった。イランのComputer Emergency Response Teamのアナリストからのもので、彼らのチームが、さまざまなイランのコンピュータに感染させていることを発見したマルウェアについて、私に知らせてきた。これはFlameであることが判明した。世界中でトップニュースになっているマルウェアだ。

  マルウェアに関連するサンプルを、我々のアーカイブで探したところ、2010年、2011年に遡って、すでにFlameのサンプルを保有していたことを発見して驚いた。持っていることに気づいていなかったのだ。これらは自動の報告メカニズムを通じてもたらされたものだが、詳細に検討すべきものとして、システムから警告が出たことは一度も無かった。他のアンチウイルス企業の研究者は、それよりさらに以前に同マルウェアのサンプルを受けとった証拠を発見した。同マルウェアが、2010年以前のものであることを示す証拠だ。

  これが意味するのは、我々全員がこのマルウェアを2年かそれ以上、検出できずにいたということだ。これは我々の会社の、そしてアンチウイルス業界全体のミスだ。

  このようなことが起きたのは、今回が初めてではない。Stuxnetは、イン・ザ・ワイルドになって1年以上、検出されず、ベラルーシのアンチウイルス企業が問題の起きたイランのマシンをチェックするために呼ばれ、ようやく発見された。研究者がStuxnetに似たものをアーカイブで探し求めたところ、Stuxnetで使用されたゼロデイエクスプロイトが、他のマルウェアと共に、以前使用されていたことを発見したが、当時はそれに気づいていなかった。DuQuという関連するマルウェアも、1年以上、アンチウイルス企業の検出を免れていた。

  Stuxnet、DuquそしてFlameはもちろん、通常の良くあるマルウェアではない。3つはすべて、発見されないことを意図した秘密オペレーションの一部として、西側諜報機関によって開発された可能性が高い。同マルウェアが検出を回避したという事実が、攻撃者がいかに良い仕事をしたかを証明している。StuxnetとDuQuの場合、これらのマルウェアを信頼できるアプリケーションに見せかけるため、彼らはデジタル的に署名されたコンポーネントを使用した。そしてコードをカスタムパッカや難読化エンジンで保護しようとする代わりに(そうすることで、疑いを向けられる可能性がある)、ありふれた外観の中にひそませた。Flameの場合、攻撃者はSQLite、SSH、SSLおよびLUAライブラリを使用して、コードがマルウェアの一部というよりは、ビジネスデータベースシステムのように見せかけた。

  我々がこれらコードの一部を発見できなかったのは幸いだと言う人もいるかもしれない。大部分の感染はイラン、シリア、スーダンといった、政治的に混乱した地域で発生している。Flameが何のために使用されたか、正確なところは分かっていないが、我々がもっと早く検出し、ブロックしていたら、外国の諜報機関が監視しようとする努力を、これらの国々の圧政が妨害するのを間接的に援助することになっていたかもしれないからだ。

  しかし、それはポイントではない。その出所や目的とは関係無く、我々はマルウェアを検出したいと考えている。政治は関係無いし、そうあるべきでもない。あらゆるマルウェア(標的型のものも)手に負えなくなることがあるし、意図された被害者ではないマシンに「副次的被害」を引き起こす可能性がある。たとえばStuxnetは、USBワーム機能を介して世界中に広まり、イランのNatanzウラン濃縮施設を管理しているコンピュータという、真の標的を探しながら、10万台以上のマシンを感染させた。つまり、マルウェアに対してコンピュータを守ることは、業界としての仕事である、ということなのだ。

  実際のところ、消費者向けレベルのアンチウイルス製品は、莫大な予算を与えられた、十分な資金力のある国家が作成した標的型マルウェアに対して、十分な保護を与えることはできない。こうした製品は、バンキング型トロイの木馬、キーストロークロガー、電子メールワームなど、普通のマルウェアからユーザを保護するものだからだ。しかし今回の様な標的型攻撃は、故意にアンチウイルス製品を回避するために、どんなことでもする。そしてこれらの攻撃で使用されるゼロデイエクスプロイトは当然、アンチウイルス企業には未知のものだ。我々の知る限りでは、被害者を攻撃するこれらの悪意あるコードをリリースする前に、攻撃者はマルウェアが検出されないことを確実にするべく、市場に流通している関連アンチウイルス製品をすべてのテストを行った。彼らには、攻撃を改良する時間が無制限にあるのだ。攻撃者がこちら側の兵器を入手できる場合、攻撃者と防御者の間の戦いは公平とは言えない。

  アンチウイルスシステムは、誤警報を出すことなく、あらゆる攻撃の可能性を検出できるよう、バランスをとる必要がある。そして我々は常に改善を試みているが、100パーセント完璧なソリューションは存在し得ないだろう。深刻な標的型攻撃に対する、入手可能な最高の保護には、ネットワーク侵入検出システム、信頼のおけるアプリのホワイトリスト、組織のネットワークに対する上下トラフィックのアクティブなモニタリングなどによる、重構造の防御が必要とされる。

  この話はFlameで終わりではない。我々がまだ検出していない、似たような他の攻撃が、既に進行中である可能性は非常に高い。つまり、このような攻撃は上手くいくのだ。

  Flameはアンチウイルス業界にとって失敗だった。我々はほんとうに、もっと上手く対処できるべきだったのだが、そうはできなかった。我々自身のゲームでありながら、上手く守備することができなかったのだ。

ミッコ・ヒッポネン

  このコラムは当初、Wired.comに掲載された。

追記:

  ミッコのコラムには、我々が共有したいと考える、いくつかのフィードバックがあった。

反論:一部は正しい;失敗したという部分は by @attritionorg
反論の修正 by @imaguid

Flameのケース

  Flame(別名FlamerもしくはSkywiper)は、情報収集および諜報活動のために使用される、大規模かつ複雑なマルウェアだ。

  同マルウェアは、西側の諜報機関もしくは軍により作成された可能性がある。イラン、レバノン、シリア、スーダンなどでコンピュータを感染させている。

Flame

  中国により実行されるオンライン諜報活動の方法と、西側から行われる方法には違いがあるようだ。中国の関係者たちは、ブービートラップをしかけたドキュメントを添付した、なりすましメールを介して標的を攻撃するのを好む。西側関係者は電子メールを避け、その代わり、USBスティックかアクセスを得るために的を絞った侵入を使用する。

Flame

  Flameの最悪な部分? それは長期にわたって広まっていたことだ。

  Stuxnet、DuquおよびFlameはすべて、我々(アンチウイルス業界)が機能していない事例だ。これらのケースはすべて、長期間、検出されずに広まっていた。

  詳細情報は以下にある:

  •  Budapest University of Technology and Economics's Laboratory of Cryptography and System Security (CrySyS)
  •  Securelist (Kaspersky)
  •  Iran National CERT (MAHER)








Duquが使用するゼロデイ脆弱性のパッチ

  パッチが公開される火曜日だ。Microsoftが、10月に発見されたDuquマルウェアが使用するゼロデイ脆弱性のパッチを公開した。

ms11-087

  同セキュリティ情報を引用すると:

同アップデートは何をするか?
  このアップデートは、WindowsカーネルモードドライバがTrueTypeフォントファイルを処理する方法を修正することで脆弱性に対処する。

このセキュリティ情報が公開された時、この脆弱性は一般に公開されていたのか?
  そう。この脆弱性は一般に公開されていた。Common Vulnerability and ExposureリストのナンバーはCVE-2011-3402が割り当てられている。

このセキュリティ情報が公開された時、Microsoftは同脆弱性が悪用されているという報告は受けていたのか?
  そうだ。Microsoftは同脆弱性を悪用しようとする、限定された標的型攻撃に気づいていた。しかし、このセキュリティ情報が発表された時、Microsoftは何らかのPOCコードの例が公開されていることを確認していない。

政府の署名鍵で署名されたマルウェア

  証明書とCAは今もホットな話題だ(Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい)。

  我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。

  こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書(およびパスフレーズ)を盗むことで、別人としてコードに署名可能にする。

  我々は先頃、盗まれた証明書で署名されたサンプルを発見した。ファイルプロパティは以下の通り:

Publisher: Adobe Systems Incorporated
Copyright: Copyright (C) 2010
Product: Adobe Systems Apps
File version: 8, 0, 12, 78
Comments: Product of Adobe Systems

  そして署名情報は:

Signer: anjungnet.mardi.gov.my
Digisign Server ID (Enrich)
GTE CyberTrust Global Root
Signing date: 5:36 24/08/2011

  「mardi.gov.my」はマレーシア政府の一部であることが分かった。マレーシア農業研究開発研究所だ。マレーシア当局から受けとった情報によれば、この証明書は「かなり以前に」盗まれたものだ。

mardi-cert

  このマルウェア自体は、「Adobe Reader 8」を悪用した後にドロップを行う、悪意あるPDFファイルを介して拡散されている。マルウェアは「worldnewsmagazines.org」という名のサーバから更に悪意あるコンポーネントを追加ダウンロードする。今度は「www.esupplychain.com.tw」という組織によってではあるが、これらコンポーネントのいくつかも署名されている。

  マルウェアの署名付きコピーが発見されるのは、それほど良くあることではない。政府に属する公式鍵で署名されているケースは更に珍しい。

  この特定のマルウェアはもはや、署名からそれほど利益を得ていない。「mardi.gov.my」証明書は9月末に期限切れになったためだ。

  マレーシア政府は、同ケースについて報告を受けている。

  我々はこのマルウェアを「Trojan-Downloader:W32/Agent.DTIW」として検出している。MD5ハッシュは「e9f89d406e32ca88c32ac22852c25841」だ。

Duqu:質問と回答

  その複雑さから、「Duqu」の事例を理解するのは難しい。助けになればと、以下にいくつかのQ & Aを掲載する。

Q: Duquとは何か?
A: Duquをとりまくニュースや進展のため、これは実際、非常に幅広い質問だ。狭義で言うなら、Duquはごく限られた国のごく限られた組織を対象とした高度な標的型攻撃の一部として用いられているWindowsボット(ワームでは無い)だ。

Q: Duquはどのように拡散するのか?
A: Duquはそれ自体では拡散しない。ある既知のケースでは、Duquは電子メールメッセージを介して受信された添付ファイルによりインストールされた。

Q:それはRSAがハッキングされたのと同じ手法ではないのか?
A: そうだ。多くの標的型攻撃が、この手法を用いている。RSAのケースでは、Excelドキュメント添付ファイルは、Poison Ivyという名のバックドア/リモート・アクセス・ツール(RAT)をインストールするため、Adobe Flash Playerにあるゼロデイ脆弱性を悪用したFlashオブジェクトを使用した。

Q:では、Duquのエクスプロイトの何がそれほど特別なのか?
A: Duquのインストーラが使用するゼロデイは、Windowsカーネルの脆弱性を悪用する。

アップデート:Microsoftが「Security Advisory (2639658)」を公開した。

Q: Flash PlayerエクスプロイトよりもWindowsカーネルエクスプロイトの方が、どのくらい高度なのか?
A:え、何?

Q:いや、真面目な話、どれくらい?
A:相当に。サードパーティ・アプリケーションに対して使用されたものと比べ、たとえそれがFlash Playerとして広くインストールされているにしても、Windowsカーネル脆弱性/エクスプロイトは、はるかに価値がある。

Q: この脆弱性に対してシステムにパッチを当てることはできるのか?
A: いや、できない。

Q:では、このWindowsカーネル脆弱性を修正できないなら、どうすればいいのか?
A:待つことだ。現在、Microsoft Security Responseが同脆弱性を調査しており、ソリューションの準備をしている。幸い、同エクスプロイトドキュメントが広まっている範囲は非常に限定されており、NDA下にある。

Q:何故、ドキュメントにNDAがあるのか?
A: 高度な標的型攻撃であるため、ドキュメント自身、標的のアイデンティティを明らかにする可能性が高い。ドキュメントの共有は、カスタマの機密の侵害となる可能性があり、そのためCrySyS Lab(Duquの発見者)は、彼らのカスタマのプライバシーが保護されない限り、同ドキュメントを公開することができないのだ。

Q: ではDuquのインストーラは「イン・ザ・ワイルド」ではないのか?
A:一般的には違う。他に発見されていない亜種がある可能性はあるが。

Q:ではDuquは私にとって脅威なのか?
A:あなたが誰なのか次第だ。しかし一般的にはノーだ。しかし、Duquは最終的には大きな問題を引き起こすだろう。

Q: Duquはどんな問題を引き起こすのか?
A:MicrosoftがWindowsカーネル脆弱性を修正すれば、野放しの犯罪者たちはリバースエンジニアリングを行うことができ、脆弱性を発見することになる。その時点で、最新の状態にないWindowsコンピュータはすべて、非常に深刻なエクスプロイトであることになりそうなDuquに対して、より脆弱となるだろう。

Q: しかし今はまだ?
A:その通り。

Q:Duquに関して他にも何か興味深い事はあるのだろうか?
A: そう、確かに。既知のあるケースでは、Duquにより用いられたドライバは、台湾のハードウェア会社C-Mediaに発行され、盗まれた証明書を使用して署名されていた。

Q:何故Duquは署名付きのドライバを使用したのか?
A: 署名付きドライバは、署名のないドライバに注意を促し、インストールを拒否するセキュリティポリシーを回避することができる。セキュリティポリシーは本質的に、署名のないドライバを信用しないよう設定されるものだ。ドライバが既知のベンダにより署名されていれば、信用レベルは高い。

Q: では、何故Duquはそれほど重大なのか? ゼロデイや署名付きドライバのためなのか?
A:そのほか、DuquはStuxnetと「関連がある」ためだ。

Q: どのような関連か?
A: 「Duqu」のコンポーネントは「Stuxnet」のコンポーネントとほぼ同じもので、両者は共通のソースコードにアクセスできる何者かにより書かれているようなのだ。

Q:「Duqu」と「Stuxnet」には他にも関連があるのか?
A:「Duqu」により使用されるドライバは、台湾のハードウェア会社JMicronからのものだとしている。StuxnetはJMicronから盗まれた証明書で署名されたドライバを使用していた。

Q: 証明書はどのように盗まれたのか?
A:不明だ。

Q: どれくらい盗まれたのか?
A:台湾の3つのハードウェアベンダC-Media、JMicron、Realtekのケースが判明している。

Q:何故「Duqu」は台湾に関係しているのか?
A:不明だ。

Q:何故カッコ付きなのか? 「Duqu」は他にも何か?
A:広義では、Duquは民族国家により展開されている(あるいは公認されている)「組織的行動」もしくは「ミッション」だ。

Q:「組織的行動」というのはどういう意味か?
A:「Duqu」は、何らかのスパイ活動もしくは偵察任務であるように見えるのだ。たとえば実世界で、この種の偵察任務はアメリカ海兵隊武装偵察部隊(FORECON)チームが「グリーン作戦」と呼ぶものと見なすことが可能だ。

Q:では「Duqu」は単なる悪意あるコードではないのか?
A:ソフトウェアコンポーネントは、我々がDuquと呼ぶものの一部にすぎない。こんな風に考えてみて欲しい。Duquソフトウェアがあり、そしてオペレーションDuquも存在する、と。

Q: それでは「Stuxnet」は? Stuxnetワームはどうなのか?
A:オペレーションStuxnetで使用されているインストーラは、高度なUSBワームだ。このワームは拡散を容易にするため、ゼロデイWindows脆弱性を用いる。

Q:オペレーションDuquとオペレーションStuxnetのミッションは同一なのか?
A:いや。オペレーションStuxnetは、むしろ直接行動を含むミッションである「ブラック・オペレーション」に近い。Stuxnetのケースでは、イランの原子力施設の操業を中断させるという行動がなされた。

Q:Stuxnetは原子力発電所の操業を中断させたのか?
A: そうだ。オペレーションStuxnetは非常に複雑で、巧妙でもあった。Stuxnetワームと付随的なコンポーネントは、地理的にかなりの距離を移動する必要があった。また、インターネットに接続していない閉ざされた標的に、オートパイロットで、コールホームすることなく、侵入する必要があった。

Q:ではStuxnetがインストーラ/感染ベクタとしてUSBワームを使用したのはそのためか?
A:そうだ。困難な緩和要素のため、Stuxnetは外部資源無しに自身を拡散する必要があった。そしてそれ故、多数のゼロデイエクスプロイトを備えていたのだ。Stuxnetの感染力は過剰であるように見えるが、そのミッションは成功しているようであり、Stuxnetの背後にいる連中はおそらく過剰とは考えていないのだろう。

Q: Duquはどのように異なっているのか?
A:Duquは高度だが、自立的に行動するように作成されてはいない。インストーラが標的を感染させれば、Duquはコマンド&コントロール(C&C)サーバにコールホームする。現在分かっているサーバは2つある。1つはインドに、もう1つはベルギーにあった。これらのIPアドレスは、現在はアクティブではない。

Q: C&Cによりどんな活動が行われたのか?
A:既知のあるケースでは、Duquは標的からデータを収集するため、Infostealerをダウンロードした。そのInfostealerは実のところ、盗まれたデータに関連するログファイルに「DQ」をプリペンドすることから、Duquの名称のもととなったコンポーネントだ。

Q:C&Cは他に何をすることができるのか?
A:たとえば共有ネットワークリソースを介して、それ自身を標的ネットワークで拡散するようDuquに命じることができる。

Q:Duquは収集したデータをどのようにC&Cに送信するのか?
A:データを暗号化し、それをJPG画像に追加する。

Q: 何? JPG画像? 何故?
A: 誰かがネットワークトラフィックをモニタしていても、機密資料ではなく、無害に見える画像ファイルが見えるだけだからだ。詳細はここを参照して欲しい。

Q: わあ。Duquは他に何かコソコソするのか?
A: そうだ。30日後、C&Cから命じられない限り、Duquは自身を消去して侵害の痕跡を制限する。

Q:Duquの背後にいるのは誰か?
A: 不明だ。

Q:推測して欲しい:Duquの背後にいるのは誰か? — 11月4日に追加した質問
A:様々な要素から見て、民族国家だろう。

Q: 何を探しているのか?そして理由は?
A: 不明だ。

Q: Duquに関して、断定できることは?
A:「オペレーションDuqu」のソフトウェアコンポーネントは、非常に熟練した開発者とエクスプロイトアナリストのチームにより作成されたということだ。

Q: Duquの目的に関して想像はつくのか?
A: それが何であれ、糸を引く民族国家の関係者が利益を得るためには、非常に重要なことに違いない。この件の関係者にとって、Windowsカーネル脆弱性を開示するリスクは、その利益を上回ったのだろう。部外秘の情報を知る者以外、Duquの本当の目的を明確にすることはできない。識別可能な直接行動が起きるまでは。

Q:では、Duquの背後には政府機関がいると考えているのか?
A:そうだ。

Q: 政府関係者がDuquのようなマルウェアを使用するべきなのか?
A:採決はされていないようだ。

Q: ドイツのR2D2トロイの木馬はどうなのか?
A: R2D2は警察の監視のために作成されたトロイの木馬だ。ゼロデイエクスプロイトや正当なハードウェアベンダから盗まれた証明書により署名されたドライバは使用していなかった。R2D2は通常の警察業務のため、ドイツ当局により制作を依頼されたものだ。

Q:でも警察のトロイの木馬は良く無いのでは?
A:そう、マルウェアはしばしばコントロールを逃れる方法を見つける。我々には決して良い考えとは思えない。

Q:R2D2はどの程度悪いのか?
A:R2D2は、ドイツの法律により許可された範囲を遙かに超えているように見える。これはドイツで法的、政治的混乱を引き起こしたが、技術的にはそれほどでもなかった。我々のシステムオートメーションは、人間のアナリストが気づくよりずっと以前に、R2D2は信頼されるべきではないと判定した。警察にとってR2D2を価値あるものにしたのは限られた導入基盤だ。それは実際、犯罪者に採用され得る方法では革新的とは言えなかった。

Q: Stuxnet/Duquは革新的なのか?
A:そう、非常に。脆弱性が明らかになれば、我々(および他の人々)はこの新たなエクスプロイトのため強力なジェネリック検出を作成するため、膨大な仕事をする必要があるだろう。ラボの他のメンバーは、収集したファイルの再スキャンと結果の処理を行うべく、C-Mediaにより署名されたソフトウェアのためファイルのデータマイニングを行う必要があるだろう。Duquは技術的な頭痛の種となり、得た教訓は犯罪者により、どこかの時点で採用されるだろう。

Q:DuquはStuxnetとは関係無いという人々はどうなのか?
A:2つのオペレーションの類似点を比較してみよう。

  •  インストーラはゼロデイWindowsカーネル脆弱性を利用する。
  •  盗まれた証明書で署名されたコンポーネントがある。
  •  高度な諜報活動を示唆する方法で標的が定められている。

  Duquのインフラをコード化し、構築した技術開発チームは、Stuxnetの開発を行ったチームとは部分的に異なるかもしれない。攻撃が高度に標的を定めているところから、かなりの人的情報収集作業が行われているものと考えられる。この諜報活動は、同じ、もしくは異なるアナリストにより行われたかもしれないが、それはあまり重要ではない。チームの構成がどうであれ、これらオペレーションの類似点は、糸を引いている民族国家関係者が共通であることを示唆している。

Q: 我々がこの民族国家の正体を知ることはあるのか?
A: そうなるとは思えない… 少なくとも近い将来にはないだろう。Duquが引き起こした状況から、どのような種類の開示も阻止されている。

Q: この民族国家の関係者は他のオペレーションを進行中なのか?
A: 不明だ。しかしそうだとしても、あまり驚きはしない。

Q: 最後の(今のところ)質問:オペレーションDuquは電子メールの添付ファイルを使用した。それは誰もが用心すべきものではないだろうか。どうしてそのようなベーシックな攻撃方法を使用するのか?
A: 上手く行くからだ。

http://covers.dummies.com/share.php?id=13154

  その他のリソースへのリンクについては、昨日の記事を参照して欲しい。

「Duqu」攻撃のインストーラを発見

  ハンガリーのセキュリティ会社「CrySyS Lab」が、悪名高い「Stuxnet」との関係で今や良く知られている、「Duqu」のインストーラを発見した。同インストーラは、電子メールを介してドキュメントとして入手されたもので、ゼロデイWindowsカーネル脆弱性に対するエクスプロイトをローンチする。非常にヘビーな代物だ…

  Symantecは分析用に同インストーラを入手しており、ホワイトペーパーをアップデートしている。

  かなり多くの詳細が追加されている:

Duqu comparisons

  ホワイトペーパーを読む前にいくつかアドバイスを:Symantecのテクニカル分析は素晴らしいが、攻撃者のモチベーションに関する推測は無視すべきだ。Symantecのホワイトペーパーの最初のバージョンでは、「Duqu」はStuxnet「ワーム」と同一であると述べていたが、しかし全く異なっていた(これらは異なるペイロードを有している)。

  新たなテキストはより明快だ——しかし、元々の推測の一部が残っている。

  以下のように考えると良い:「Duqu攻撃」は「Stuxnet攻撃」で使用されたのと同じ「コンポーネント」が使用されている。しかしそれは攻撃が同じという意味ではない。実際、攻撃そのものはそれほど似ていない。そして「Stuxnetワーム」は「Duquバックドア」と同じ物ではない。

  実際、「Duqu」攻撃は、少々類いまれなほどに普通の標的型攻撃だ。つまり、標的型攻撃の手順は非常に一般的(添付ファイル付きの電子メール)だが、攻撃に使用されるツールは非常に高度なもの(添付書類にすごいエクスプロイト…)なのだ。

Q:では、「Duqu」攻撃の動機は何なのか?
A:攻撃者たち自身に聞く必要がある。本当のところは彼らにしか分からない。

銀河系の衝突

  「Duqu」は情報を盗むバックドアを含んでいる。このようなInfostealerは、何らかの形で盗んだ情報を送り返す必要がある。慎重なInfostealerは、誰かがネットワークトラフィックを監視している場合に備えて、情報の転送を害のないものに見せようとする。「Duqu」の場合、通常のWebトラフィックに見せかけることで、自身のトラフィックを隠そうとする。

  「Duqu」はサーバ(206.183.111.97 別名「canoyragomez.rapidns.com」で、これは以前インドにあった)に接続し、httpリクエストを送信する。同サーバはブランクのJPG画像で応答する。その後、「Duqu」は「dsc00001.jpg」という名の56KB JPGファイルを送り返し、盗んだ情報(AESで暗号化)を画像ファイルの最後に追加する。

  誰かがアウトバウンド・トラフィックを監視していても、これはあまり不自然には見えない。

  「Duqu」コンポーネントには異なるJPGファイルが含まれる。その一つが以下の画像だ:

galaxies collide

  これは2つの銀河系の衝突を示すNASAの画像だ。

  何故この画像なのだろう?

  我々をやっつけるという意味か。

  読者の方で、何か考えがある人はいるだろうか?

  「News from the Lab」の記事コメント欄に、あなたの考えを投稿して欲しい。手始めとなるセオリーがここにある。

Duqu - Stuxnet 2

  今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a








バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード