エフセキュアブログ

line を含む記事

さよならFLASH!第2.5弾 MICROSOFT EDGEの「CLICK TO FLASH」

FirefoxのFlashサポート縮小について記事を投稿したところ、Edgeブラウザに関する4月のMicrosoftの発表について指摘するコメントがいくつか寄せられた。これは、Edgeブラウザも「Click To Flash(クリックしてFlashを再生)」方式に変更されるというものだ。発表によれば、ウェブページの中心に配置されていないFlashプラグインは自動的に一時停止されるようになり、ゲームや動画などのコンテンツはこれまで通りに実行されるという。そうしたEdgeの変更はWindows 10のアニバーサリーアップデートで提供される。

もちろん、4月の時点でこのニュースには注目していたし、MicrosoftおよびEdgeチームの英断に対しては賛辞を送りたいと思っていた。

ms-edge-logo
 Microsoft Edgeのロゴ(画像の出典元: microsoft.com)

全文はBusiness Security Insider 日本語版で。 

さよならFlash! 第2弾 – Firefox、Flashのサポートを「縮小」へ

今年初め、当社の「脅威レポート 2015年」でショーン・サリバンが、Chrome、Firefox、およびMicrosoftは、2017年までにブラウザでのFlashのサポートを段階的に縮小していくことを発表するだろうと予言した。当ブログではGoogleによるその発表について取り上げた。

そして7月20日、予言の通りに、Firefox開発者のブログでも同様の発表があった。

firefox-logo
Mozilla Firefoxのロゴ。画像の出典元: https://www.mozilla.org/

 全文はBusiness Security Insider 日本語版で。 

あなたと同じ言語への対応を試みるULTRADECRYPTER

「UltraDeCrypter」と呼ばれる、新種の暗号化ランサムウェアがネット上に出現している。

これは、AnglerエクスプロイトキットがドロップしているCryptXXXの進化形である。当社のテストで、UltraDeCrypterの暗号化解除サービスポータルに、以前にCryptXXXで使った「識別コード」を入力してみたところ、以前のCryptXXXポータルにリダイレクトされた。バックエンドがつながっている証拠だ。

支払いサポートページについて言えば、対応しようとした言語の数の多さが、UltraDeCrypterの野心の大きさを物語っている。

何か月か前のCryptoWallの支払いページがこちら。

crypto-ransomware 
全文はBusiness Security Insider 日本語版で。 

LOCKYの新たな大流行

6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000〜10,000件のスパム攻撃を確認している。

先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。

また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。


import_stats

全文はBusiness Security Insider 日本語版で。

 

ウイルス対策ソフトの第三者評価

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ!」というグラフが出てきます。

ThirdParty_Symantec ThirdParty_Trendmicro ThirdParty_Kaspersky
第三者機関の評価・受賞暦|シマンテックストアより引用 エンドポイントセキュリティ製品(個人向け)の技術評価 | トレンドマイクロより引用 カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。
ThirdParty_FSecure
エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ!」というグラフではなく、あえて順位を書き出してみると、
一位:カスペルスキー
二位:トレンドマイクロ
三位:エフセキュア
となっているのです。

これは確かに信用できそうですね。

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

トップガンを越えてゆけ

NHKのプロフェッショナルというテレビ番組の中で、"サイバーセキュリティー技術者の中でも最高の技術を持つトップガン"ということで「あの」名和さんが登場しました。

名和利男(2015年9月14日放送)| これまでの放送 | NHK プロフェッショナル 仕事の流儀

特にマルウェア解析シーンでは突っ込みどころがたくさんありますが、テレビということで大目に見てもらうとして、技術者が誤解したままではマズイと思うことを一点だけ。

終盤でのマルウェア解析の際に、VirusTotalでの検索結果で「b1ef92??」という文字列が出てきたことから、IPアドレスが「177.239.146.???」だと判断してメキシコのサーバを経由した攻撃である可能性がある、という話になっています。
おそらく「b1ef92??」を1バイトずつに分解して、16進数から10進数に変換したのでしょう。

16進数表記 b1 ef 92
10進数表記 177 239 146

ところが、そもそもこの値はVirusTotal独自のハッシュ値ですので、こういった計算でIPアドレスを割り出すことはできません。よって、メキシコというのは誤報でしょう。

では、どこの国を経由した攻撃なのか。それはマルウェア検体自体を解析するのが一番確実です。

マルウェアの中身を見ると、サーバのアドレスは暗号化されていますが、復号ロジックも復号鍵もマルウェア検体自身の中に入っていますので、それを用いて復号するとマルウェアの通信先がわかります。

malwareanalysis

その通信先から、二つ目のサーバに関する情報を暗号化された形で取得できますので、同様に復号すると攻撃者のサーバのIPアドレスがわかります。
そのサーバにアクセスした結果がこちらです。

iisrdp

明らかにメキシコ以外の国が絡んでそうですね。

デバイスにパスコードをかけることが防御の第一歩

phone lock

スマートフォンやタブレットの紛失・盗難の際、最初にデバイスを守るのはパスコード

ConsumerReports.orgによると、米国で2013年に盗まれたデバイスは約310万台に上り、2012年と比べてほぼ2倍となっています。盗んだスマートフォンは大金を生み出すため、窃盗犯にとって格好の標的です。

Consumer Reportsによる調査の興味深い点は、各自のモバイルデバイスに盗難対策アプリをインストールしているユーザや画面ロック機能を利用しているユーザの比率が低いことです。

https://fsecurebusiness.files.wordpress.com/2015/05/where_is_my_phone.jpg


BYOD(個人デバイスの業務利用)が広がるにつれ、モバイルデバイスは情報窃盗やなりすまし、さらにはより高度なセキュリティ攻撃の標的となることを、企業は忘れてはいけません。デスクトップパソコンやノートパソコンと異なり、モバイルデバイスへのスパイウェアやマルウェアのインストールはわずか数分ですみます。モバイルデバイスを盗む必要さえないのです。インターネットで検索すれば、AndroidまたはiOSデバイスにインストールし、あらゆるアクティビティを監視・記録できるモバイル用スパイアプリを提供する会社をすぐに見つけることができます。画面ロックがかけられていなければ、ユーザがデバイスを置いたまま席を外した隙にスパイウェアを仕込むことができるのです。

こうしたデバイス盗難の多発も踏まえ、エフセキュアは盗難対策として一元管理が可能なFreedome for Businessの提供を開始しました。企業はエフセキュア プロテクション サービス ビジネス ポータル内にモバイル用プロフィールを作成し、従業員のAndroidまたは iOSデバイスに画面自動ロックをかけることができます。モバイル用プロフィールを定義する際には、単純な暗証番号から強力なパスワードまで、パスコード要件の選択が可能です。さらにモバイル用プロフィールでは、自動でワイプ(データ消去)されるまでの無効パスコードの試行回数に上限を設けることもできます。

モバイルデバイスへの不正アクセスを防ぐには、単純な4桁の暗証番号でもかなり効果的ですが、それでもロック画面の解除は簡単であることに注意してください。最近では、1週間もかからずに、ほぼあらゆるiOSデバイスのロックを解除することができる特別なハードウェアを誰でも購入できるという報告もあります。こうした「総当たり攻撃」を防ぐために、厳しいパスコードポリシーの使用、または4桁よりも長いパスコードポリシーの設定をお勧めしています。8桁の暗証番号は破るのにおよそ125年かかります。

さらに、万が一ユーザが自動ロックのパスワードを忘れてしまった場合には、パスワードを簡単にリセットすることができます。不運にもデバイスを紛失したり盗まれたりした場合には、プロテクション サービス ビジネス ポータルからリモートでロックをかけたり、完全にデータを消去したりすることがもちろん可能です。

画像出典:Dmitriy Viktorov

>>原文へのリンク

Simdaボットを射る3本の矢

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。

そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。

また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
感染が疑われる場合には、次のように表示されます。
Simda Botnet DetectorSimda Check

各矢の守備範囲は次の表のようになっています。

No. 感染時期、感染環境など IP Scanner
アンチウイルスソフト 自動 hosts check 手動 hosts check
1
自己消滅前(※)
2
自己消滅後 ×
3
テイクダウン前のマルウェア活動 ×
4
テイクダウン後のマルウェア活動
5
亜種への対応
6
マルウェア感染活動前 × × ×
7
動的IPアドレス環境での感染 ×
8
プライベートIPアドレス環境での感染 ×
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある

この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。

明らかになりつつあるリーガルマルウェアの実態

最近、世界各国でHackingTeamFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。(元々は、WikiLeaksが発端だったと記憶しています。)
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

FinSpy Mobile リリースノート抜粋


以前から捜査目的でのマルウェア(ポリスウェアなど)の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。(フォレンジック目的のようです)
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT(Remote Access Trojan)と同様です。解析結果を見れば、その内容は把握できるでしょう。(解析結果例
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

FF Solutions
参考:https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf


ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

(1)録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

Audio Recording

(2)SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。(参考
    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk
Tencent(中国)とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
#訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。(既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。)
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね(笑)
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

アマゾン ウェブ サービス(AWS)上でLinux製品のサポートを開始

エフセキュア株式会社は、エフセキュア アンチウイルス Linuxゲートウェイおよびエフセキュア Linuxセキュリティ コマンドラインエディションがアマゾン ウェブ サービス(以下AWS)上のOSのサポートを開始します。それぞれの製品がサポートするOSについて、オンプレミスおよびAWSのいずれでも利用可能となりました。

 

昨今クラウドの活用が広く浸透し、IT資産は必ずしも所有するものではなくなりました。とりわけAWSにおけるLinux OSは、現在一般的に利用されるようになり、エフセキュアではパブリッククラウドでも確かなセキュリティの確保が必要と認識し、AWS上のOSについてもサポートを行うことを決定しました。

AWS上のOSのサポートについて

エフセキュアは、次のステートメントに基いて
AWS上のLinux OSのサポートを提供します。

      AWS上で利用される「エフセキュア アンチウイルス Linuxゲートウェイ」および「エフセキュア Linuxセキュリティ コマンドラインエディション」に対するサポートで、追加料金は発生いたしません。

      AWS環境で問題が発生した場合、非AWS環境での問題の再現を依頼する場合があります。

      AWS環境固有の問題の場合、お客様のAWS環境での調査を依頼する場合があります。また、AWS環境固有の問題の場合も、可能な限り製品の修正/改善を行います。

      AWS環境および非AWS環境を問わず発生する問題の場合、通常のサポートを行います。


AWS
で使用する場合のライセンス

AWS
の機能により、利用するサーバの台数が動的に変更される使い方での「エフセキュア Linuxセキュリティ コマンドラインエディション」の課金対象については、弊社営業窓口までご相談ください。また、AWS上のサーバをWebサーバとしてご利用いただく場合、「Webサイトライセンス」の購入が必要になります。

パートナーからも提供開始


エフセキュアの販売パートナーである株式会社
HDE(本社:東京都渋谷区、代表取締役社長:小椋一宏氏  http://www.hde.co.jp/ )からも「HDE Anti-Virus X for Server」として提供が開始されました。

AutoItScript→VBScriptによる検出回避とか

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT(Remote Administration Tool)をVBScriptへ変換して欲しい、といった依頼のものです。

convert request

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
  ・一時的なセキュリティ対策ツールの回避
  ・VBScriptなどのスクリプト言語ではエンコード処理が容易
  ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。
いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。
(このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。)
#ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも?
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject


AutoItScriptで開発されたマルウェアについて
補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItにより
スクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。
但し、コンパイルした結果は、
  ・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう
  ・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
  ・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます
参考までに変換前と後は下のサンプルのような内容となります。(イメージだけ・・・)
サンプル1:AutoItScript
FUNC __IS_SPREADING ()


LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF  $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF  STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC
サンプル2:VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0)  & "\",  spreading, "REG_SZ"

   end if
end If  

実際はサンプル2からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、
複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い(?)言語に変換することで形体を変化させ生存率を高めているわけです。

autoit

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、
暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

 

UNRECOMは今後のRATの主流になれるか

2013年も12月となり、今年も残り僅かとなりました。そんな中、Java RATのひとつであるAdwind RATがUnrecom Soft(UNiversal REmote COntrol Multi-Platform)に買収され、新たな展開をみせようとしています。
Adwindは、Android RATの1つであるAndroRat(流出したソースコードと推測)をベースとしたAndroidの遠隔操作機能を追加し、クロス・プラットフォーム(Windows、MacOS、Linux、Android)の統合管理をいち早く実現したことで知られています。
このことは他のRAT開発者らにも影響を与えたとも考えられ、今後のトレンドを占う意味でも注目のRATであったと思います。

unrecom

このようにPCとスマートフォンが攻撃者により統合管理され始めますと、それらを繋ぐオンライン・ストレージなども標的となる可能性も出てくるのでは?と勘ぐりたくなりますね。
どの程度の実現性があるか分かりませんが、リスクの対象範囲は徐々に拡大し始めているようです。
※Adwindは2013年11月20日以降は利用できなくなっています。

アナウンス

さて、Unrecomの機能面ですが、現在のところほぼAdwind v3.0と同様です。Adwindの特徴でもあるPluginを一通り引き継いでいます。遠隔操作をする際に、あると便利なものは一通り揃っているようです。今後どのような機能が追加されるのかが興味深いところです。注目はAndroid向けのPluginをどの程度充実させてくるか、でしょうか。
ちなみに、下図にあるFunnyのようなお遊び的なものもあります。利用価格は$10。

Funny:
It this a simple funny option for move the mouse of remote pc and push aleatori keys


plugins



尚、現在のところ検出状況は芳しくありません。アンチウイルスソフトでの検出結果はマチマチな状況です。。
但し、次のようにSnortのシグネチャも公開されていますので、IDS/IPS等による検出も可能ですので、被害にいち早く気付くことは出来そうです。(少なくともUnrecomの仕様に変更がなければ、です。)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Default Password Auth"; \flow: to_server, established; \
content: "|00||28|e3a8809017dd76bd26557a5b923ab2ae16c0cdb3"; \
sid: 1981310201; rev: 20131115)


alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Ping/Pong"; \
flow: to_server, established; dsize: 1024; \
content: "|00 00 53 09 58 58 58 58|"; depth: 16; \
content: "|58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|"; offset: 1008; \
sid: 1981310202; rev: 20131115)

    参照URL:
    http://www.crowdstrike.com/blog/adwind-rat-rebranding/index.html


Java RATは以前より存在しましたが、今年6月頃より実用化されてきています。現在のところ大規模な攻撃情報は聞いていませんが、サイバー犯罪の世界では一般的になってくるのではないでしょうか。
何はともあれ、来年はJava RATやAndroid RATから目が離せません。


追記:
   かなり粗いですが、yara signatureです。
{
 strings:
  $Class = /opciones\/\w+\.class/
  $made = "desinstalador/MaDe.adwind"
  $gcon = "JTextPaneExample.class" nocase
  $plugin = "AdwindServer.class" nocase
 condition:
  any of ($Class) and ($made or $gcon) or $plugin
}

インターネットの危険からの子どもの保護の実態

エフセキュアの調査によると、大半の親が子どものインターネット使用に懸念を示す反面、子どもが使うコンピュータやモバイル機器にファミリープロテクションソフトウェアを実際に使用している親の数はそう多くありません。

世界中の親の
78%が、ポルノ、暴力、人種差別、薬物など、子どもたちがネットサーフィン中に接する可能性のあるのあるコンテンツに懸念を示しています。75%の親は、子どもがインターネットに時間をかけすぎて、実際の社会生活に支障をきたすのではないかと危惧しています。

しかし、インターネットやデジタルサービスの安全な利用を保証するソフトウェアツールを、子どもが使うコンピュータに使用している親はわずか
40%で、子どものモバイル機器については22%に過ぎません。これは、現在12歳以下の子どもの60%が、電話、タブレット、MP3プレーヤー、携帯用ゲーム機といった、インターネットにアクセスできるモバイル機器を最低1つは持っているという事実を考えれば、驚くべき数字です。




全調査対象国の中で、ファミリープロテクションソフトウェアの使用率が最も高かったのはアメリカで、子どもが使うコンピュータの
59%と、モバイル機器の39%に使用されています。これに続くのがコロンビア、マレーシア、チリ、イギリスで、コンピュータにファミリープロテクションソフトウェアを使用しているのは、半数未満となっています。

その他、
43%の親が、マウスを23回クリックするだけで買えてしまうアプリケーションやその他のデジタル製品に、子どもが金銭を使い過ぎてしまうのではないかと心配していることが明らかになりました。81%の親は、子どもが危険をはらむインターネットユーザと連絡を取り合うことに、懸念を抱いています。

詳細は弊社プレスリリースをご覧ください。

仮想スキャンサーバ(仮称)の新バージョン、ベータ・テスト開始

エフセキュアは、VDIなど仮想環境に特化した新しいセキュリティソリューション「仮想スキャンサーバ(仮称)」 (英語表記 Security for Virtual and Cloud Environment) ベータ版の新バージョンをリリースしました。新しいプラットフォームとしてXen ServerとHyper-Vへの追加対応を行なっています。またエージェント側では、最新のWindowsデスクトップOSであるWindows8.1と、最新のWindowsサーバOSであるWindows Server 2012 R2をサポート対象に加えました。

仮想スキャンサーバは、各仮想端末や仮想サーバに導入するエージェント「Offload Scanning Agent(OSA)」とウイルス検査を行う検査サーバ「Scan and Reputation Server (SRS)」で構成されます。OSAは各端末でファイルのI/Oやプロセスの挙動を監視し、必要に応じてウイルス検査をSRSにリクエストする役目を担います。エフセキュア製品の特徴である未知のウイルス対策・脆弱性対策の機能「ディープガード」* がOSAに実装されているため、従来の製品と変わらないセキュリティ性能をもっています。SRSはLinuxベースの仮想アプライアンスとして提供されるため、構築の手間はかかりません。またOSAおよびSRSは、エフセキュアのオンプレミス製品向け集中管理製品「エフセキュア ポリシーマネージャ」で管理することが可能なため、VDIを含む仮想環境と物理環境が混在する環境においても、従来の製品と同様に1台の管理サーバで管理することが可能となっています。



仮想スキャンサーバのベータ・テスト・プログラムにご希望の方は、御社名・ご担当者様名・連絡先メールアドレス・電話番号を記載の上、japan@f-secure.co.jp までご連絡ください。弊社担当者より、インストールモジュール、構築ガイドなどをご案内差し上げます。

*ディープガード詳細情報 http://www.f-secure.com/ja/web/business_jp/products/desktops/solution

2013年上半期、Javaエクスプロイトが急増

エフセキュアは先般、「2013年上半期脅威レポート(THREAT REPORT H1 2013)」を公開しました。2013年上半期の大きな特徴はエクスプロイトベースの攻撃、特にJavaを狙った攻撃が増加の傾向を辿っている点です。当期にエフセキュアが検出した脅威のトップ10のうちのおよそ60%近くがエクスプロイトでした。



とりわけ米国のユーザは脆弱性に関連する攻撃を受けることが多く、1000人あたり78人のユーザがエクスプロイトに遭遇しています。これに続くのはドイツおよびベルギーで、1000人あたり60人がエクスプロイトに遭遇しています。Javaを標的にしたエクスプロイトは、エクスプロイト全体の中でももっとも多いもので、検出された脅威トップ10のほぼ半数を占め、前年下半期の3分の1から上昇しています。

エクスプロイトはプログラムですが、感染したUSBドライブやeメールと同様に、マルウェアをマシンに運び込むための1つの媒体にすぎません。通常、悪意のあるWebサイトや感染したWebサイトを経由した攻撃では、コンピュータにインストールされたアプリケーションのコードの不備を悪用してコンピュータにアクセスし、ユーザを監視したり、パスワードやその他の機密データを盗んだり、サイバー犯罪者にマシンの制御を認めたりするマルウェアを感染させます。


「2013年上半期脅威レポート(THREAT REPORT H1 2013)」の詳細はこちらをご覧ください(英語): 
http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2013.pdf



ゆうちょ銀行の利用者を狙い、不正にポップアップを表示させるマルウェア

不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪に使われたと見られるマルウェアを入手することができました。感染後に、ゆうちょダイレクトにログインすると、不正なポップアップ画面が表示されることも確認しており、少なくとも、この事件に使用されたマルウェアの一種であることは間違いないでしょう。

セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。

ゆうちょダイレクトをご利用中の方で、お使いのアンチウイルス製品が未対応でしたら、本製品のご使用をご検討ください。
gredアンチウイルスアクセラレータFreeは他社製品と同時に利用することも可能です。詳しくは製品説明をご覧ください。
  • gredアンチウイルスアクセラレータの製品説明とダウンロードはこちらから
  • gredアンチウイルスアクセラレータFreeが同梱されたフィッシング対策製品PhishWallクライアントの製品説明とダウンロードはこちらから

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!

PDFからのプログラム実行をとりあえず防いでみる

Didier Stevens による PDF のデモの話題が盛り上がっているようなので、、、

mikko hypponen がお勧めしていた gPDF はネット上に公開されたもののみ有効。デスクトップ上に保存された PDF は結局Adobe Reader や Foxit Reader などを使わざるを得ません。従いまして、その他のリスク緩和策を考える必要があります。

今回問題になっているのは /Action /Launch を利用することで、PDF ファイルを介してプログラムが実行できてしまうことです。
単純に考えますと、/Launch が呼び出されなければ良さそうです。(本当にこれだけでいいのかな??)

これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して(遊んで)みました。

BEFORE
pdf_before










続きを読む

ところで標的型メールってどのくらいくるの?

Googleの件で、改めて標的型攻撃が注目されています。しかも、IEのゼロデイが悪用されたとのことですので、狙われた企業はひとたまりもありません。しかも、標的を絞っての攻撃となると、一般に情報が公になるのが遅れますので、対策をうつ事すらできませんので非常に厄介です。

セキュリティ担当者の立場からしますと、「そんな攻撃は来てくれるな!」と祈るばかりです。では、この標的型メールとは、一体どの程度届くものなのでしょうか。
(私のところには、まだ日本語の標的型メールが届いたことが無いのでとても不満ちょっと残念です。)

そこで、昨年私の所属する研究所で調査した統計のデータを元にざっくり計算してみました。大体ですが、調査対象全PCに対して標的型メールから被害を受けたPCの率は約0.1%くらいでした。
#サンプル数が10社ですので、正確性に欠けますが、ご愛嬌ということで。。。

人数に換算すると、1万人規模の組織に対して、10人くらい。1000人規模であれば、1人の計算になります。しかし、これは統計情報ですのでそんなに都合よくいくわけがありません。

そこで、実際に被害に遭われている方々に聞いてみました。すると、どうやら一部の部署やチームに届いているようだ、とのことでした。
標的型メールのタイトルも色々あるそうで、昨年ですと、新型インフルエンザの注意喚起を装ったものや、打ち合せ議事録を装ったものさえあったそうです。
これは引っ掛かってしまいそうですよね!

特にGoogleは、知的財産が狙われたとのことですので、盗まれてマズい情報を持っている業種の方は注意が必要です。先ずは重要情報を管理しているサーバのセキュリティ対策を見直すところから初めては如何でしょうか。
#ちなみに、私の経験ではファイルサーバ関連は要注意です。

そうそう、全く話が変わりますが、明日からTBS系で「ブラッディ・マンデイ シーズン2」が始まりますね。
当研究所の茶パンダさん(本人希望でHN)を中心にハッキングシーンを作ってます。所々にコネタを入れているようですので、色々探してみて下さい。(編集でカットされている可能性大ですが・・・)
乞う、ご期待!
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード