エフセキュアブログ

word を含む記事

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

Exploitコードは要りませんか?闇市場からの売込みにご注意

2020年に東京オリンピック・パラリンピック開催が決定し、日本におけるサイバー攻撃対策も注目されています。そんな中、海外のセキュリティベンダーは日本への売込みに躍起になっています。
そんな状況を知ってか知らでか闇市場でのセキュリティベンダー(?)も、日本のセキュリティ関係者へ売込みを始めているようです。
その対象はサイバー犯罪者らへの売買だけでなく、セキュリティ研究者も対象としています。攻撃者は武器が増えますし、セキュリティ研究者もしくは担当者(CSIRTなど)は対策へ活用が可能な情報を得ることになりますので、どちらも顧客対象となるのでしょう。
その代表的のものがExploitコードを扱うセキュリティ屋さんです。例えば、次のようなメールで取り引きが始まります。

Exploit_Silverlight
紹介しているExploitコードは別として、このメールは一部のセキュリティ研究者や担当者が関心を引く内容となっています。恐らく、記載のものを売るつもりではないのだと思います。
何通かメールをやり取りし、扱っている商品やメールの内容を総合的に判断すると、どうも彼は他で扱っている商品を転売しているようです。(二次代理店とは違いそうでした。)
ちなみに、そんな彼によればオススメは Flash Player と MS Office Word (2003 - 2013)とのこと。
昨今のサイバー攻撃傾向に鑑みますと、このあたりがオススメというのも頷けます。
もっとも、どの程度信用するのかは別の問題ですが。

サイバー攻撃者と研究者の狭間で扱われる情報には、度々興味深いものがあります。しかし、その多くは信頼度の判断に苦慮することが多いことも事実です。
このような状況の中、如何に信頼度の高いものを選別し活用していけるかが今後の日本のサイバーセキュリティ対策のポイントとなりそうです。

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

「Speakularity」は保護可能か?

 2010年12月にジャーナリストのMatt Thompsonが予想した未来は、「自動的な音声転写が、高速かつ自由で適切になる」というものだった。同氏はtechnological singularity(技術的特異点)をもじって、このような未来を「Speakularity」と称した。

 Thompsonの言葉を引用する。

 「ジャーナリズム素材の大半は、口頭でのやり取りで構成される。電話での会話や、記者会見、会議などだ。ジャーナリズムにおけるもっとも重要な制作上の課題の1つは、ラジオ放送会社で働く人でなくても、こうした口頭でのやり取りを文字に変換することだ。これを元に原稿やニュース記事を紡ぎ出すためだ。」

 「Speakularity後は、こうした素材がもっとたくさん利用できるようになるだろう。目の不自由な方が音声記録を利用しやすくなるし、音声記録を別の言語に翻訳する際にも役立つ。人目につかない街中のミーティングが録音され、自動的に転写される。インタビューがほぼ瞬時にQ&Aとして公開される。イベントを取材するジャーナリストは出来事を記録していくことよりも分析することに注意を集中できるだろう。」

 「想像してほしい。もしこうした機能が市民に開かれたら。もしすべての専門家や政治家や政策通の放送された発言が、全部Googleで検索できるようになったら。」

 しかしこうした機能は善良な市民にのみ開かれるわけではあるまい…。

https://commons.wikimedia.org/wiki/File:Loose_lips_might_sink_ships.jpg

 Nautilusの9月3日号の記事にて、James Somersはこのようなアイデアに深く切り込み、問いかけている。Will recording every spoken word help or hurt us?(話し言葉を一言一句記録することは、我々に益をもたらすのか、害をもたらすのか?)

 同氏の推測では近い将来、すべてのビジネス上のミーティングは「記録(the Record)」の一部として音声転写されることになる。

 「我々が言うことの大半を録音し自動的に転写することが始まろうとしている。記憶の中から消えて無くなる代わりに、声に出して言った言葉がテキストとして固定され、『記録』となって参照、検索、発掘されるようになる。こうしたことは、意図と許可の標準的な組み合わせにより起こる。起こり得ることは起こるのだ。我々の想定よりも早く起こるだろう。」

 「これは途方もないことを可能にする。自分のメールを検索する理由をすべて洗い出してみよう。突如として、自分自身の発言がまったく同様に検索できるようになるのだ。」

 素晴らしいことのように聞こえる?早まってはいけない。

 「すべてが記録される社会で生きるとは、どのようなものか(考えてみよう)。英国のSFシリーズ『Black Mirror』に、Googleグラス流に音声や動画をいつでも記録する世界を設定にしたエピソードがある。これはある種の地獄だ。」

 地獄ね。まったくだよ。人々が許し、忘れることは、すでに困難になっている。喋った言葉が不滅となったときに、許し、忘れることの困難さを想像してほしい。

 ただし、今すぐには過剰反応しないでおこう。

 「このような天国と地獄の光景の間に、あり得そうな真理が存在する。『記録』のようなものが現れても、我々が生きて愛するという基本的な歩みが新たな形態になることはない。脳みそがスポンジに変わることもないし、我々が超人になることもない。我々はいつもの古臭くて退屈な自分たちであり続ける。時には率直で、また時には嘘をつく。そう、我々は新たな能力を手に入れる。しかし我々が求めるものは、我々ができることよりもゆっくりと変化するものだ。」

 そうだ、そう願う。

 CBCのSpark(番組名)でSomersにインタビューが行われている。

 Speakularity的なことは近づきつつあると、私は考える。もし、ビジネス上の会議を自動的に音声転写するサービスが利用可能になった時は、我々の中でもライフブロガーが使いたいもののように思われる。それを使いたいと望む人々がいれば、誰かがそれを構築するだろう。

 そして、そのことで私はこの重要な疑問を考えるようになった。Speakularityは保護可能だろうか?

 人々が企業戦略やその他の機密情報について、マイクが音を拾える範囲で無差別に議論することは、想像に難くない。どのみち人々はもう、そうしている(電話機だ)。幸運にも、個々人の電話機をハッキングすることは普通のことではなく、一般に高価なツールが要求される。

 しかし、個人や法人、政府の発言について検索可能な音声が、クラウド上のどこかに存在すると想像してみてほしい。それは取られるためにそこにあるのだ。比較すると、昨今のデータ侵害はささいなことのように見える。

 @5ean5ullivan

MiniDukeとCosmicDukeとOnionDukeのつながり

 CosmicDukeについて我々は9月にブログに投稿した。これは受け取った人をだまして、タイムリーな政治問題を取り上げた、悪意のあるドキュメントを開かせようとするものだ。我々はさらに詳細にファイル群を分析して、2件の大きな発見を行った。

 VirusTotalで見つけたメールに基づくと、少なくとも欧州の1か国の外務省が標的になっている。以下はそのようなメールのうちの1通を加工したものだ。

Screenshot of malicious email

 攻撃者の親切心には心が温まる。メールの添付ファイルを開くと、そのWord文書の「ENABLE CONTENT」をクリックするように誘導して、マクロを有効にする手助けを行う。

Screenshot of exploit document

 犠牲者がひとたびマクロを有効にすると、当該システムは CosmicDukeに感染する。ここで我々が2つ目の発見を行った。通常の情報を盗む機能に加えて、CosmicDukeの実行ファイルはMiniDukeもインストールするのだ。

 7月に公開した分析では、CosmicDukeはMiniDukeとつながりがあるように見えることを述べた。両マルウェアファミリーが、MiniDukeのグループだけが使っている、同一のローダーを使用しているためである。MiniDukeと共にシステムを侵害したCosmicDukeのサンプルによって、両マルウェアファミリーの背後にいるのは同一人物であるとの確証をさらに得た。

 マルウェアキャンペーンの標的を眺めることは、しばしば、その作戦の背後にいるのは誰かを見極める一助となる。この意味でCosmicDukeは中々興味深い。このマルウェアは異なる2面的な性質を持つ。違法薬物に関与する人を狙う一方で、政府機関のような知名度の高い組織も標的にする。これと同種の2面性は関連するケースOnionDukeでも見られる。11月に初めてOnionDukeについてブログで取り上げ、共有のC&Cサーバを使用する点においてOnionDukeはMiniDukeとつながりがあることを述べた。またOnionDukeは2つの異なる目的のために使われているように見受けられることにも触れた。つまり、政府機関のような知名度の高い標的に対する標的型攻撃と、興味深いことに、さらにTorのユーザとトレントファイルをダウンロードした人々に対する大規模な感染キャンペーンだ。さらなる調査により、OnionDukeの犠牲者はきれいに2つのグループに分けられるだけでなく、使用されているOnionDukeのバージョンもC&Cサーバのインフラも、同様に分けられることが示された。

 OnionDukeの大規模感染キャンペーンでは、攻撃者はC&Cサーバ用に侵害したWebサーバや無料のホスティングプロバイダを使用している。こうしたキャンペーンでは、犠牲者のコンピュータはOnionDukeのバックドア対応の限定バージョンに感染する。これのメインの目的は、C&Cサーバに接続して、追加コンポーネントをダウンロード、実行することだ。これらのダウンロードしたコンポーネントは続いて、システム情報やユーザの個人情報の収集といったタスクを実行する。反対に知名度の高い標的に対する攻撃では、OnionDukeで使用するC&Cサーバのインフラは攻撃者が所有、運用するものだけだ。このインフラも既知のMiniDukeのインフラと大部分は共有している。このケースでは、攻撃者はOnionDukeの完全版を使用している。こちらはタスクを実行するために、追加コンポーネントをダウンロードする必要はない。重要な点だが、こうした戦略の区分は、犠牲者の区分と完全に一致する

 MiniDukeとOnionDukeとCosmicDukeのつながりを示してきたが、OnionDukeとCosmicDukeの使用についても興味深い2面性を観察した。ここで質問がある。こういったことは一体どういう意味を持つのか?Kaspersky社の素晴らしいブログの記事で示されているとおり、一説ではCosmicDukeは法執行機関で「合法スパイウェア」として使われている、というものだ。そして興味深いことに、Kaspersky社ではロシア国内で違法薬物に関与する「犠牲者」のみを観察している。当社のデータでもこの観察を裏付ける。むしろ、我々が目にしたCosmicDukeの知名度の高い標的のいずれも、ロシアが拠点ではない。しかし双方の標的に共通するのは、標的の興味はロシアとぴったり揃ってはいないという点だ。同じように、同様の境界がOnionDukeに当てはまる。これはスパイウェアツールの同じ「集合」の一部である可能性があることを示唆する。法執行機関が使用するケースの犠牲者がロシア出身であること、また知名度の高い犠牲者のいずれもロシア支持派ではないことを考えると、我々はロシアの政府機関がこれらの作戦の背後にいると感じている。

 サンプルのハッシュ値

 “EU sanctions against Russia over Ukraine crisis“.docm:82448eb23ea9eb3939b6f24df46789bf7f2d43e3
 “A Scottish ‘Yes’ to independence“ .docm:c86b13378ba2a41684e1f93b4c20e05fc5d3d5a3
 32ビットのドロッパDLL:241075fc1493172c47d881bcbfbf21cfa4daa42d
 64ビットのドロッパDLL:51ac683df63ff71a0003ca17e640bbeaaa14d0aa
 CosmicDukeとMiniDukeのコンボ:7ad1bef0ba61dbed98d76d4207676d08c893fc13
 OnionDukeの限定版:b491c14d8cfb48636f6095b7b16555e9a575d57f
 OnionDukeの完全版:d433f281cf56015941a1c2cb87066ca62ea1db37

 Post by Timo (@TimoHirvonen) and Artturi (@lehtior2)

DeepGuard 5 vs. Word RTFゼロデイ攻撃CVE-2014-1761

 Wordの最新のゼロデイエクスプロイト(CVE-2014-1761)のサンプルを入手したので、頻繁に尋ねられたある疑問にようやく答えられる。その疑問とは、エフセキュアはこの脅威から保護するか、というものだ。答えを見つけるために、F-Secure Internet Security 2014で保護されたシステム上で当該エクスプロイトを開いた。結果は次のとおり。

DeepGuard 5 blocking CVE-2014-1761 exploit

 当社のInternet Security 2014は、DeepGuardバージョン5に導入されたエクスプロイトの遮断機能を用いて、この脅威をブロックした。そして、もっとも優れているのは、我々がなんら追加や修正をする必要がなかった点だ。2013年6月のDeepGuard 5の最初のリリースですでに組み込まれていたものとまったく同じ検知機能によって、このゼロデイ攻撃がブロックされた。これは、次のことを意味する。つまり、我々がサンプルを手に入れるずっと前から、またマイクロソフトが攻撃について報告する数か月前から、当社のユーザはこの脅威から保護されていた。DeepGuard 5は何度も何度も)プロアクティブなビヘイビアベースの保護の威力を示している。

 マイクロソフトは、2014年4月8日ににこの脆弱性に対するパッチをリリースする予定だ。同時に、マイクロソフトが推奨するmitigations and workarounds(軽減策や回避策)を確認すべきだ。

 また当社は通常の検知にExploit:W32/CVE-2014-1761.Aを追加し、ドキュメントを開く前に当該エクスプロイトを検知するようにした。

 Exploit SHA1: 200f7930de8d44fc2b00516f79033408ca39d610

 Post by — Timo

 4月7日追記:

 以下は短い動画によるデモだ。



4月8日:XPだけの問題ではない

 4月8日が間近になっている!そしてそれが意味するところは…。


カウントダウンクロック

 …Windows XPのサポートの終了だ。しかしXPだけではない。Office 2003も命を終えようとしている。

 今現在、Officeのある脆弱性が野放しになっているため、これを知っておくことは重要だ。

 マイクロソフトは昨日、Security Bulletin Advance Notificationを公表した。

Microsoft Security Bulletin Advance Notification for April 2014

 そして良いニュースがある。Wordの脆弱性に対するパッチが作成されている模様だ。いまだOffice 2003を使用中のすべての方にとって、この更新を適用することは不可欠だ。なぜか?パッチのリバースエンジニアリングが行われ、関連するエクスプロイトがエクスプロイトキットに埋め込まれるまでに、わずかな時間しかないためだ。この観点からすると、Officeがインストールされている方全員にとって、Webの閲覧は一層危険に満ちたものとなる。もしブラウザがRTFファイルを「開く」ように設定されていたら、とりわけ危険だ。

 したがって、次の火曜日のパッチに備えよう。そしてパッチを適用する。

 4月8日以降もまだXPを使い続けるつもりだろうか?それなら、こちらのSafe and Savvyの投稿を確認してほしい。

 7 things to do if you’re going to keep using Windows XP after April 8, 2014

 step 3としてOfficeのセキュリティの設定を厳格にするアドバイスがあることに、特に注意が必要である。次の火曜日までにできるちょっとしたことだ。

DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906

 水曜日、我々はマイクロソフトのグラフィックコンポーネントにおけるゼロデイの脆弱性について取り上げた。この脆弱性は、Wordドキュメントを用いた標的型攻撃で活発に悪用されている。

 かいつまんでいうと、このエクスプロイトが当社のInternet Securityに敗北する動画が以下にある。


DeepGuard 5 vs. Microsoft Graphic Component Zero-Day Exploit CVE-2013-3906

 動画内のWordドキュメントは実際の攻撃で使われてきたもので、McAfeeAlien Vaultが分析したエクスプロイトの1つだ。分離された試験用ネットワーク上で、64ビット版Windows 7でOffice 2007を実行する脆弱なシステムを用いて、攻撃を再生成した。動画で実演している通り、DeepGuard 5(当社のビヘイビア・エンジン)のエクスプロイトを捕捉する機能によって、システムを感染から防いでいる。

 さらにDeepGuardは、マイクロソフトのアドバイザリよりも前に、誰も最初のサンプルを目にしたことがなくても、先手を打ってこのゼロデイエクスプロイトから顧客を保護していた。

 その上、DeepGuardの検知機能に何ら追加や修正は必要なかった。約1か月前の、先のマイクロソフトのゼロデイ用と同じ検知ルールセットで、今回のゼロデイがブロックされた。

 これがビヘイビアベースのプロアクティブなエクスプロイト検知の力だ。

 Post by — Timo*

 * 編集メモ:ティモは上級研究員で、(正当に言って)当社が誇るDeepGuardサービスの責任者だ。あっぱれ、ティモ!

マイクロソフトのセキュリティアドバイザリ(2896666) #APT

 月曜日、やる気のある攻撃者に関して書いた。そして昨日、マイクロソフトは「大半が中東と南アジアにて」悪用されている脆弱性について、セキュリティアドバイザリを発行した。

Microsoft Security Advisory (2896666)

 マイクロソフトのサポートではFix itツール(Microsoft Fix it 51004)を提供している。

 以下は、影響があるソフトウェアの一覧だ。

Affected Software

 しかしこの一覧について、疑義が生じているようだ。

 InfoWorldの記事をお勧めする。

  •  Deciphering Microsoft Security Advisory 2896666 on Word zero-day exploit(Wordゼロデイ・エクスプロイトに対するマイクロソフトのセキュリティアドバイザリ2896666の解読)

やる気のある攻撃者が望むものをたびたび手に入れるのはなぜか

 組織外の人から見て経済的な価値を持つ可能性がある情報を保持する企業に、あなたはお勤めだろうか?あるいは、共有ネットワークドライブに保存しているドキュメントへのアクセスを得ると、もしかすると外国で役に立つだろうか?イエス?それなら、おめでとう。あなたは既に、しつこくてやる気のある攻撃者(ときに、ただし稀にだが高度な技術を持つ)の標的になっているかもしれない。

 フィンランドCERTのこちらのプレゼンテーションによれば、フィンランドでさえこうした攻撃が10年近く見られる。昨今では、至る所にある。

 標的型攻撃の好例は、2011年にRSAに対して行われたもので、当社ではティモ・ヒルヴォネンが分析を行った。RSAのネットワークでの感染に関して、ティモがオリジナルのソースを探し、最終的に見つけるまでの話は、この投稿にすべて記載されている。

RSA 2011 email

 RSAは、ある従業員宛てのメールの添付として送付されたドキュメントにより侵害された。このドキュメントには従業員のコンピュータに感染したエクスプロイトが埋め込まれており、攻撃者が侵入するのに不可欠な足がかりとなっている。当該コンピュータから、ネットワーク上の残りのコンピュータを侵害するために移動していくのだ。

 Virustotal経由で我々が受け取ったファイルの中から、ティモはドキュメントを見つけた。Virustotalとは、投稿したファイルをいくつかのアンチウイルス・エンジンでスキャンできるオンライン・サービスだ。ユーザはスキャン結果、つまり悪意がある可能性を確認することができ、またファイルはさらに分析するためにアンチウイルス企業に送付される。Virustotalでは日々数十万のファイルが投稿される様子が見られる。

 悪意あるものを検知するかを確認したいので、我々はVirustotalから送付されるファイルの分析に多大な努力を費やしている。日常的なマルウェアに加えて、不審なユーザがスキャンするために投稿するエクスプロイト・ドキュメントも分析している。

APT animation

 上のすべてのドキュメントにはエクスプロイト・コードが含まれ、脆弱性のあるドキュメント・リーダーでこれらのドキュメントを開くと、ユーザのコンピュータにマルウェアが自動的にインストールされる。ドキュメントからは標的について垣間見ることもできる。このような添付ファイルを受け取ることが予期されるのは、どのような人なのだろうか?

 当社の最新の脅威レポートにて、Jarno Niemelaはこうしたドキュメント一式を取り上げ、そこから文章をすべて抜き出して、用語のクラウドを構築した。

Word clouds

 左側の用語クラウドは、テーマが政治的だと当社で分類したドキュメントからだ。右側のものは、企業をテーマにしていると感じたドキュメントによる。これらのクラウドから、攻撃者の興味を引いているのがどういった分野の類なのか、ヒントが得られる。

 しかしながら、同じトリックが永遠に使えるわけではない。エクスプロイトを添付して十分な数のメールを送ったら、標的は学習、適応する。それだからこそ、「水飲み場型攻撃」という形の新たなトリックを我々は目にしてきた。水飲み場型攻撃は次のように機能する。攻撃者は、標的が訪れると思しきWebサイトを探し出す。Twitterや、Facebook、Appleのようなソフトウェア企業を標的にしたいなら、おそらくモバイル開発用のWebサイトを選択するだろう。政府機関を追っているのなら、アメリカの労働省のWebサイトにIE8用のゼロデイエクスプロイトを仕掛けるかもしれない。その後は単に標的が当該サイトを訪れて、感染するのを待つだけだ。

 そしてまたUSBドライブを使った、古くて優れたトリックがある。

Russia USB G20

 G20首脳に提供されたUSBドライブに実際にマルウェアが含まれていたというニュースを裏付ける情報を、我々は持ち合わせていない。もし真実であるなら、少なくとも攻撃者を楽観性が欠けていると責めることはできない。

 つまり防御はシンプルなのだ。同僚からのメール添付を開かず、インターネットでWeb閲覧をせず、USBドライブを利用しなければよい。もちろん実際には、その他のことも数多く念頭に置いておく必要がある。やる気のある攻撃者から守ることは、非常に非常に困難だ。日々、すべての物事を適切にしておかなければならない。攻撃者はあなたが犯す過ちをたった1つ見つけるだけでよいのだ。悪者たちがそれを得るのは簡単すぎる。そして世の中でこれほど多くの組織が攻撃下に置かれているのは、これが理由だ。

 追伸。こうした攻撃から身を守るためのヒントについて、Jarno Niemelaが今秋のVirus Bulletinにて示したプレゼンテーションを参照するとよい。

マレーシアにおけるネット上での選挙活動

 マレーシアの今年の総選挙は、2013年5月5日の日曜日に予定されている。投票日に向け、同国の政党が選挙期間の最後にギアをトップに入れているので、現在、SNSサイトを含む全報道機関から政治ニュースが押し寄せてきている。

 報道機関の関心の高さが、マルウェア作者に対し、確立済みのソーシャルエンジニアリング技術を用いて新たな犠牲者を生み出す機会を提供することになる。そして今週、Citizen Labから報告書が発表された。案の定、監視マルウェアFinFisher(別名FinSpy)を洗練させたサンプルが、今回の選挙に特化して作成されたWordドキュメントにて検出されたことが示されている。

 このマルウェアは、「SENARAI CADANGAN CALON PRU KE-13 MENGIKUT NEGERI.doc(「州による第13回総選挙の候補者一覧」の意)という名前のマレー語のMicrosoft Wordドキュメントに仕掛けられ、配布された。

SENARAI CADANGAN CALON PRU KE-13 MENGIKUT NEGERI.doc

 報告書では、この攻撃ドキュメントは、同国の歴史の中で一番の接戦となっている選挙に関連した情報を探しているマレーシア人を標的にしている、と推測している。エフセキュアは問題のWordドキュメントをTrojan:W32/FinSpy.D.として検出する。

 FinfisherはGamma Groupという名前のヨーロッパ企業が開発した。過去の投稿で触れたとおり、この企業はマレーシアのクアラルンプールにて開催されたISS World 2011の集まりに参加した。このISS(Intelligence Support Systems)関連イベントは監視ソフトウェアの見本市の役割を果たす(参加には「招待」が必要で、「通信会社、政府、法執行機関」に属している人に限られる)。

ISS World Kuala Lumpur

 加えて、YouTube、Facebook、Malaysiakin(マレーシアの人気ニュースサイト)を含む複数のニュースサイトやSNSサイトが、改変、DoS攻撃、フィルタリングといったさまざまな形態の攻撃を受けてきた、と主張する報告が出てきている。

 エフセキュアラボでは状況を注視している。2013年4月の間、マレーシアではマルウェアの検出件数の増加を見た。しかしながら、この増加が選挙関連の活動なのか、別のものなのかは判別できていない。

Malaysia, detections

ウイグルのMacユーザを標的にした新たなWordドキュメント

 2月に遡るが、我々はウイグルに対するサイバー攻撃で使用されたWordドキュメントの新しいバリアントに気づいた。

 このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者(Author)としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。

Properties of poadasjkdasuodrr.doc

 ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。

 C&Cサーバとしては「alma.apple.cloudns.org」を用いている。

Command and control server name

 このバリアントは以下の自己コピーと自動起動の設定を作る。

~/Library/Application Support/.realPlayerUpdate
~/library/launchagents/realPlayerUpdate.plist

 あるいは、(2つのパラメータと共に実行した場合には)代わりに以下を作る可能性がある。

/Library/Application Support/.realPlayerUpdate
/library/LaunchDaemons/realPlayerUpdate.plist

 これは同じマルウェアのままで、2月以降、一般にBackdoor:OSX/CallMe.Aとして検知されている。

MD5: ee84c5d626bf8450782f24fd7d2f3ae6 - poadasjkdasuodrr.doc
MD5: 544539ea546e88ff462814ba96afef1a - .realPlayerUpdate

すべての月がRed October

 おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。

 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてしまう。

 とりあえず、使用されているエクスプロイトは高度なようには見えない。攻撃者は古くからある有名なWordやExcel、Javaのエクスプロイトを使っていた。これまでのところ、ゼロデイの脆弱性が用いられた兆候はない。

 当社のバックエンド・システムは自動的にドキュメント・エクスプロイトを分析している。Red Octoberの攻撃で使用されたエクスプロイトの一部について、スクリーンショットを掲載する。

Red October

Red October

Red October

Red October

 我々は毎月のように、このシステム上で数千の同様のドキュメントを目にする。Red Octoberの攻撃は、長期に及ぶ、単一の存在から行われていた大規模な諜報活動という点で興味深い。しかしながら、企業や政府は同様の攻撃を多くの異なる攻撃元から定常的に受けているというのが悲しい現実だ。その意味では、これは真実、インターネット上での日常生活に過ぎない。

 Red Octoberの攻撃で用いられている、既知のエクスプロイト・ドキュメントは、エフセキュアのアンチウイルス上では、Exploit:Java/Majava.A、Exploit.CVE-2012-0158.Gen、Exploit.CVE-2010-3333.Gen、Exploit.CVE-2009-3129.Genなど、さまざまな名称で検知される。

 追伸。もしあなたがシステム管理者として自身の環境に対する同様の攻撃を防ぐ方法ついて思案しているのなら、そうした読者のために近く上級研究員のJarno Niemelaが続報を投稿する。

2012年の#yearinreview パート3

 2012年#yearinreviewのパート3、10〜12月分を挙げる。

2012年10月3日
(訳注:コンピュータが解けないCAPTCHAを作れなくなる日は近い。)

2012年10月4日
(訳注:電話帳を見た。数百ページに渡って掲載された、氏名、電話番号、自宅住所。プライバシー・ポリシーは見当たらなかった。)

2012年10月5日
(訳注:銀行のカードに黒のマーカーで「暗証番号:5186」と書こう。もしカードが盗まれたとき、正しくない暗証番号の入力が増える。本当の暗証番号は書かないように。

2012年10月12日
(訳注:CPUファンが動作しているかどうか定かではない?Adobe Flash™を使っているゲームを何か動かしてみれば分かる。)

2012年10月23日
(訳注:メールのヒント No.46:1) 「購読停止」という単語に対するフィルタを作成する。2) そうしたメールをゴミ箱に送る。)

2012年11月8日
(訳注:Googleには約10億人のユーザがいて、同社の年間収入は約300億ドルだ。つまり、あなたはGoogleにとって年間30ドルの価値がある。)

2012年11月16日
(訳注:インターネットにはルールはほとんどない。しかしその数少ないルールの1つを挙げる。歌詞や壁紙に注力したサイトは、未完成なサイトに見えるようにしなければならない。)

2012年11月17日
(訳注:2012年第3四半期の売上高。Windowsデバイス 8750万ドル 対 Androidデバイス 1億2250万ドル。コンシューマ向けデバイスの分野で、LinuxがついにWindowsを凌駕した!)

2012年11月20日
(訳注:AdBlockはすばらしいが、そのユーザ基盤はとても小さい。本当にもっと広告を打つべきだ。いや、待てよ。)

2012年11月27日
(訳注:Apple社はiOSマップ担当のマネージャWilliamsonを解雇した。不運なことに、彼は建物から外に出る道が分からなかった。#macrumors

2012年12月3日
(訳注:Googleにはあなたがどこへ行ったかが分かる。そして今に、どこへ行こうとしているのかも分かるようになる。Gmailの航空便の予約メールを解析することで。ジョークではない。)

2012年12月4日
(訳注:Visa、MasterCard、Amexはスパムによって多大な利益を得ていることに留意すべきだ。スパムで宣伝される商品の大半は、これらのカードで支払いがなされる。)

2012年12月6日
(訳注:John McAfee、Kim Dotcom、中本哲史、Julian Assange、Elon Musk、Albert Gonzales、thegrugq。彼らをベースにした映画の筋書きは想像できる。)

2012年12月18日
(訳注:インスタグラムのユーザはサービスにお金を支払っていなかったというのなら、支払ってきたことについてユーザはどう考えてるんだ?稼働させるには費用のかかるサービスだ。)

2012年12月19日
(訳注:ある企業が何かの件でGoogleを訴えたら、その企業がどういった類の検索をしているか、Googleは監視を開始するのだろうか。)

 そして今日に至った。F-Secure Labsで長いクリスマス休暇に入る前日だ。しかし、このブログがちょっと静かになるというだけで、私達が活動休止しているわけではない。ミッコ・ヒッポネンの全つぶやきはhttps://twitter.com/mikkoからフォローできる。

 私、ショーン・サリバンをフォローするにはhttps://twitter.com/5ean5ullivanからだ。

 私が見つけた、関心を持たれそうな話題のを以下に挙げる。

(訳注:Franken上院議員によるLocation Privacy Protection法(bit.ly/R8z9zv)。「ストーキング」アプリの禁止を要求。秀逸なインタビュー。)

 米国のAl Franken上院議員は「ストーキング」アプリの禁止を要求した。これはしばしば女性に対する嫌がらせで用いられる。

Marketplace Tech, Location Privacy

 ロケーション・プライバシーは重要な問題で、2013年にモバイル・スパイ・ソフトウェアが主流に加わるという我々の予想の根拠である。

 また、https://twitter.com/FSecureをフォローしてほしい。セキュリティと技術に関するニュースがうまく集約されている。

(訳注:世界中の銀行は大規模なサイバー攻撃に直面することに備えつつある。bit.ly/Ub0nWU

—————

 そして、今年のオススメの最後に。

 Risky Businessの2012 in reviewというセキュリティ・ポッドキャストを確認してほしい。オーストラリアのPatrick GrayとニュージーランドのAdam Boileauの週間ニュースのコーナーがサウンドトラックと共にうまく編集されている。

RiskyBusiness2012Review

 最後に2012年のセキュリティの話題を振り返ったときに、慌てないでほしい。

 ときには物事には自己解決する方法がある。

(訳注:これを見てからYouTubeのページを開き、グッド!かそうでないかチェックしてほしい。youtu.be/ussCHoQttyQ。インターネットとは、とてつもないものだ。)

あなたが平穏でありますように。
ショーン

CVE-2012-1535と核弾頭

エフセキュアの法人ビジネスチームが、「プロテクション サービス」の新たな「ソフトウェアアップデータ」機能を市場に出そうとしている。そこで彼らは、ラボのアナリスト@TimoHirvonenに、脆弱性からエクスプロイトに達するのにかかる時間を実証する例を提供してくれるよう頼んだ。

  以下はTimoによる、「CVE-2012-1535」に関するタイムラインだ:

  •  2012-08-14:脆弱性「CVE-2012-1535」を修正するAdode Flashプレイヤー用セキュリティアップデートをリリース
     (Adobe Flash Player用セキュリティアップデートを公開
  •  2012-08-15:「CVE-2012-1535」向けの組込形Flashエクスプロイトを含むMicrosoft Office Word書類がイン・ザ・ワイルドに。
     (Adobe Flashのエクスプロイトがイン・ザ・ワイルドにCVE-2012-1535—7つのサンプルと情報
  •  2012-08-17:エクスプロイトの開発と実行用のパブリックなオープンソースツールMetasploit Frameworkにエクスプロイトが追加される。
     (dobe Flash PlayerエクスプロイトCVE-2012-1535がMetasploitで利用可能に

  ご覧の通り、脆弱性がエクスプロイトに活用されるのに、大した時間はかからない。

  そして次に、Timoは興味をそそられて(彼はいつもそうなのだが)エクスプロイト自身「Exploit:SWF/CVE-2012-1535.B」を調査しようと考えた。

  彼は検索を行い、Digital4rensics Blogのこの記事を見つけた。これは「110630_AWE Platinum Partners.doc」というドキュメントファイルに関するVirusTotalのレポートにリンクしている。Symantecは、同ドキュメントが添付された、検閲済みのメール(少なくとも類似した)のスクリーンショットを、「CVE-2012-1535」の記事で紹介している。そしてContagioは、同じエクスプロイトを使用した複数のWord書類のリストを掲載している。

  そしてTimoは、2、3のサンプルを突き止めた:

CVE-2012-1535 Docs

  「110630_AWE Platinum Partners.doc」が最も興味深いことが分かった。上でリンクしているDigital4rensics Blogによれば、AWE Limitedはオーストラリアのオイル&ガス企業だ。しかしTimoにはピンと来なかった。彼はTybrinという名前を、他の書類で見たことがあり、それを米国防省の仕事をしているJacobsのTYBRIN Groupに結びつけた。

  それでは「110630_AWE Platinum Partners」ドキュメントがドロップするデコイドキュメントを見てみよう:

Working together to keep our world safe and secure by ensuring warheads are always available

  「弾頭が常に入手できるようにして、我々の世界を安全かつセキュアに保つよう強力。」

  弾頭?

  オイル&ガス企業とは関係無いような…

  デコイドキュメント中に名が挙げられている人びとをLinkedInで検索すると、今度は英国にあるAWEという別の組織に到達する:

Atomic Weapons Establishment

  AWEは「Atomic Weapons Establishment」を表しているようだ。

  ファイルのコンテンツには関係なく、誰が標的とされたのか、我々には分からないし、VirusTotalにこれらのドキュメントを提出したのが誰なのかも分からない。

「110630_AWE Platinum Partners.doc」のSHA1:51bb2d536f07341e3131d070dd73f2c669dae78e
デコイのSHA1:0eb24ffa38e52e4a1e928deb90c77f8bc46a8594








マルウェアへの対処方法

弊社エフセキュアの冨安がASCII.jpxTECHで執筆しております特集で、マルウェアへの対処方法が始まりました。
是非ご覧ください。

§   第54マルウエア感染の被害を抑える「転ばぬ先の出口対策」

§   第53マルウェア感染を発見した際の初期対応


サイバー刑法とその影響

弊社エフセキュアの冨安がASCII.jpxTECHで執筆しておりますサイバー刑法の特集が評判を頂戴しております。
是非ご覧ください。

§   第52ついに成立したサイバー刑法に懸念点はないか

§   第51施行されたサイバー刑法における「ウイルス作成罪」の内容

§   第50サイバー刑法が過去に抱えていた問題点

§   第49ウイルス作者を取り締まるサイバー刑法ができるまで

Javaを悪用するさらなるMacマルウェア

  「CVE-2012-0507」を悪用する新しMacマルウェアの亜種に関する報告が、先週浮上した。このJava脆弱性は、60万台以上のMacを感染させるのにFlashbackが使用したのと同一のものだ。

  最初の新たな脅威はTrend Microの人々により分析された。Mac用Javaアプレットは実際、「CVE-2012-0507」を悪用し、成功すれば、ペイロードはAlienVault Labsが先月発見した(人権擁護NGOに対する標的型攻撃で使用された)のと同じマルウェアだ。

  第2の脅威は、最初のうちは完全に新しいマルウェアの一部であるように見える。しかし、収集された次のサンプルで、同マルウェアも「Backdoor:OSX/Olyx.C」および「Backdoor:OSX/MacKontrol.A」をドロップするのに用いられた、「MS09-027/CVE-2009-0563」を悪用する同一のWord書類によりドロップされたことが明らかになった。これも先月、AlienVaultにより報告されたものだ。

  どちらのマルウェアも現在アクティブなようで、ESETおよびKasperskyがそれぞれ観測しているように、マニュアルでコントロールされている。どちらも同一の悪意あるJavaクラス・ドロッパ・コンポーネントを使用する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

  エフセキュア アンチウイルスはこれらの脅威を「Backdoor:OSX/Olyx.B」および「Backdoor:OSX/Sabpab.A」として検出する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (別名Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (別名Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

  これらマルウェアの亜種は、チベット関連のNGOに対する標的型攻撃で使用されており、したがって日常的なMacユーザーが「イン・ザ・ワイルド」で遭遇することは無さそうだ。もしあなたがMacを使用している人権問題専門の弁護士なら…リスクを被る確率は全く異なる。まだ感染していないなら、Macにアンチウイルスをインストールすべき時だ。

標的型攻撃メールの手口と対策

すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。
ここでは具体的な手口と対策について紹介します。

まず、航空会社を騙って次のようなメールが届きます。
mail

差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。
メールにはlzh形式の圧縮ファイルが添付されています。

解凍すると次のようなファイルが出てきます。
before_dir

ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。
もしダブルクリックしてしまうと、次のようなWordファイルが表示されますが、裏ではウイルスに感染し、PC内の情報が海外のサーバに送信されるとともにキーロガーが仕掛けられます。
word

一度実行してしまうと、元の実行ファイルは消去され、代わりに通常のフォルダが作成されます。しかし、裏ではキーロガーが動き続け、外部に情報を送信しています。

after_dir

こういった実行ファイルをダブルクリックさせるタイプの攻撃は脆弱性を攻撃するわけではないので、OSやアプリケーションを最新版にしていても被害に遭ってしまいますし、振る舞い検知型のセキュリティ製品では防げないことが多いです。

では対策ですが、ここまで巧妙になってくると「怪しいメールを開かない」というのが難しくなってきます。
現在は発生から1ヶ月ほど経っており、多くのウイルス対策ソフトが検知してくれますので、ウイルス対策ソフトは導入しておいたほうがいいでしょう。
また、むやみに実行ファイルを実行しないように注意する、それを社員に教育するといったことも大事ですが、それでも手が滑ってダブルクリックしてしまうかもしれません。
そのような場合に備え、ソフトウェア制限ポリシーを使用して、あらかじめ指定した実行ファイルしか実行できない設定にしておくことも有効です。

secpolicy

今回紹介したのは実行ファイルを使った標的型攻撃メールでしたが、OSやアプリケーションの脆弱性を狙った標的型攻撃メールも多く存在しますので、OSやアプリケーションを最新版にしておくことも忘れないようにしてください。

NGOを標的とする更なるMacマルウェア(Wordエクスプロイト)

  Alienvault Labsが、人権問題にフォーカスする非政府組織(NGO)を標的とするマルウェアを、また発見した。これは先週の発見に追加されたものだ。今回のエクスプロイトは、Microsoft Word(MS09-027)の2009脆弱性を利用する。

  以下は、エクスプロイト・ドキュメントが埋め込まれている囮のドキュメントの例だ。

Mac Word Exploit MS09-027

  詳細はAlienvault Labsで読める:イン・ザ・ワイルドなMacOS Xを標的とするMS Officeエクスプロイト - 「Mac Control」RATをもたらす

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード