エフセキュアブログ : トーマツ

9月といえば、18日の中国からのサイバー攻撃が毎年恒例のイベントです。しかし、今年は静かなもので、特に目立ったウェブ改竄やDDoSなどの攻撃は確認できていません。
＃私の観測ポイントで確認できていないだけかもしれませんが・・・。

なお、他国のウェブサイトは戦後70年絡みでの改竄被害が多数出ています。

国内において9.18に関係した被害が確認できなかった要因として、今年は直近に靖国参拝や尖閣諸島などの政治的要素の強い報道がなかったことが挙げられるかもしれません。
なお、この政治的背景の観点では例年9.18サイバー攻撃を行っている一部の攻撃グループが、15日に安部首相が日・ベトナム首脳会談を行ったことに対して反応しています。

攻撃趣旨としては南シナ海の警備を支援するために巡視船や巡視艇を供与する方針を決めたことの対して物申したいようです。
＃こちらも大規模改竄といったものではありません。

ここ最近の攻撃傾向をみますとイベント的なサイバー攻撃は政治的なトリガーがなければ、大規模な攻撃は行われていない印象があります。
しかし、この手のイベント前は攻撃者らがチャット上で攻撃に関する議論を行っていることから、全く攻撃が無いとは言い切れません。
特にイベント的攻撃はDDoSのような一撃必殺的なものも予想されるため、対策準備をしないわけにもいかないのが悩ましいところです。

日本国内においては来年のサミット、2019年のラグビーW杯、2020年のオリンピックなどのビックイベントが控えています。その影響がどの程度あるかは不明ですが、今後益々のサイバー攻撃の増加が予想されます。その意味では、9.18サイバー攻撃は演習としても活用できますので毎年しっかりと対応していくことが重要になると思います。
たとえ何も無くても情報共有の枠組みやエスカレーションフローの手順などの再確認ができますので、良い機会かと思います。
と、いうことで来年も大規模攻撃は無いかもしれませんが、対策準備のひとつとして対応しては如何でしょうか。

気になるオールインワン・クライムウェア「DiamondFox」

2015年07月30日07:30

情報窃取を目的としたボット”DiamondFox”が、クレジットカード情報を狙う犯罪者らの中で話題のようです。
（いろいろな意味で・・・）

　※マニュアルより抜粋

元々、情報窃取を目的としたクライムウェアであることから、認証情報やクレジットカード番号等を窃取するための機能が非常に充実していることが特徴です。

Browser Password Stealer
Instant Messaging Grabber
KEYLOGGER
Point-Of-Sales Grabber（RAM Scraper）
EMAIL Grabber
FTP Password Stealer

中でも機能面で興味深いのは、

Bitcoin Wallet Stealer

を有していることで、顧客層を金融犯罪グループにターゲットを絞っていることが窺えます。

また、DDoS機能（HTTP flood / UDP flood）もあり、脅迫用と推測されます。
＃DD4BCのケースのような利用を想定。

こういった金銭目的のクライムウェアは以前から存在していましたが、ここまで多機能なものは殆ど見かけたことはありませんでした。容易に予想される脅威は、一台の端末から認証情報の他に仮想通貨やカード情報など根刮ぎ窃取する手口が横行するかもしれない、ということです。

特にメモリに対しての機能を有している点においては、今後の行く末が恐ろしい限りです。
クライムウェアの悪用はこれからも増加するとみています。これらが日本国内のサービス等に、いつ対応してくるかが焦点になってくるのではないでしょうか。
何かUG市場に動きがありましたら続きを書きたいと思います。

ではでは。

ランサムウェアの密かな流行の背景

2015年05月29日08:30

最近、ランサムウェアに関連する報告が続いています。私の周辺でも感染者がでる始末です。
ランサムウェアといえば、少し前まで主に英語、ロシア語圏のユーザを狙ったものでした。しかし、近年は日本語対応したものが登場するなど、犯罪者グループは世界中から金銭を巻き上げている模様です。
このようなランサムウェアを悪用した犯罪の流行の背景には、いくつか理由が考えられますが、ひとつはUG市場に関連商品やサービスが流通し始めたことが挙げられます。

例１）
下図はカスタムを行うための管理者画面付きでランサムウェアを売買している例です。表示画面等をカスタマイズが可能です。価格もリーズナブルですので、すでに買い手がついているようです

例２）
ランサムウェア生成サービスが登場しています。使い方は簡単で、振り込んで貰いたい金額（米国ドル）や、恐喝相手の名前等を入力するだけでオリジナルのランサムウェアが生成することができます。（src拡張子）
マルウェア自体はCryptoLockerとよく似た動作（標的端末上のファイルの暗号化）をしますが、被害者への状況説明等が殆どありません。
その意味では、サービス品質は高いとは言えないレベルです。
＃F-Secure での検出は確認しています。

これらのマルウェアを悪用した恐喝ビジネスは、姿形を変え今後ますます増加すると考えています。スマートデバイスを狙ったものも登場しており、標的デバイスのシフトも予想されます。もしかすると、オレオレ詐欺や振り込め詐欺のスマートフォン版等が登場するかもしれません。
＃例えば、盗んだSNSアカウントにより身内になりすますなど。
その点では、広い範囲での警戒が必要になってくるものと思われます。特に現在振り込め詐欺等の標的となっている世代や若年層に対しては、十分な啓発が必要になるのではないでしょうか。

ちなみに、現在マルチ言語対応のものは、サポート窓口に日本語で連絡をしても返信はありません。
被害ユーザを見かけましたら、
・決して金銭や電子マネーを振り込まない
・誘導先のサイトに設置されている復号サービス（ちゃんと動作します）を利用しない
（機微情報を含む業務ファイル等を提供することになるため）
などなど教えてあげてくださいね。

UG市場と懐かしのVBA悪用の流行で思うこと

2015年04月30日23:59

昨年よりVBAを悪用した攻撃報告が相次いでいます。2月にSANS ISCからも報告されていますし、Dridex Banking Trojan のような攻撃も報告されています。
＃当初はVBAの悪用に対して懐かしさを感じていました。
一時代前の状況との違いのひとつは、攻撃時のソーシャルエンジニアリング的な要素を強化したことが挙げられます。例えば、マクロを有効化しなければ文章本文が閲覧できないようにするなどです。

このVBAを悪用するトレンドは、アンダーグラウンド市場においても確認できます。
現在、複数のサイバー犯罪者向けのサービスプロバイダー（？）が確認されており、ほとんどがマクロに対応しているようです。
＃もっとも、ちゃんと取引が成立するのかは不明ですが。

　図　攻撃コード生成サービス例

約３年前頃と記憶していますが、マルウェア開発者コミュニティ間において、VBSによるマルウェア開発の依頼が記載された時期がありました。恐らく、その頃からVBSやVBAといったエンコード可能な言語による悪性コード開発の需要が高まってきたのではないでしょうか。そして、現在は一定の市場が出来てきたのかもしれません。
この辺の状況は悪性コードにも表れており、VBAがダウンロードする関連ファイルなどは非常に酷似しているものが多く確認されています。例えば、下図の場合は一部のパラメータなどが変わっているだけのものです。
＃エンコードはいずれもbase64を利用。
つまり、同一のツールもしくはサービスを利用して作成したものと推測されます。

既に報告された悪性コードだけでも複数種類あり、全てへの対策は中々骨の折れる作業となります。
また、従来よりも攻撃手口は複雑化しているため、単一のセキュリティソフトウェアだけで検出することも難しい状況です。そういった意味では、様々な観点から検知を試みる必要があるといえます。
ちなみに、独自でIOCなどのルールを記述する場合は、次の文字列の組み合わせが使えそうです。

■ダウンロード機能をYaraなどで検出する場合（例）
    strings:
        $a = "VBA"
        $b = "Root Entry"
        $c = "workbook_open" nocase
        $d = "GET"
        $e = "XMLHTTP" nocase
        $f = "WinHttpRequest" nocase
        $g = "adodb.stream" nocase

    condition:
        $a and $b and $c and ($d or $e or $f or $g)

＃中途半端な形での記載で恐縮ですが、使いやすい形にしてご活用ください（笑）

なお、私見ですがVBAやVBSの悪用は暫く続くものと推察しています。と言いますのも、いずれも被害報告が減る兆しが見えないことに加え、既知の攻撃ツールの開発が継続されているためです。
いずれも悪性コードの開発において自由度が高く、従来のセキュリティ対策に対して柔軟に対応可能であることが特徴です。そういった意味では、しばらくイタチごっこの状況となるのではないでしょうか。
近い将来、これらの課題も解決する日が来ると思います。それまではIOCをはじめとした脅威情報を活かすためのフレームワークを作ることが先決かもしれません。現在、世界ではこれらの取組み（STIXなど）がはじまっています。国内においてもそろそろ動き出す頃かもしれません。
その際は是非ご協力頂き、脅威情報など共有頂けると幸いです。

JVNVU#92002857とGoogle不正証明書事案のメモ

2015年03月31日18:30

しばしば騒ぎになる証明書、認証局関連の事案ですが、先週より俄かに盛り上がってますね。
今週はJVNVU#92002857の問題。先週はGoogleがブログで報告した問題についてです。

前者はJVNの報告によれば、

複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメインの管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。

とのことです。つまり、想定脅威としてはフィッシングサイトが立ち上げられたり、HTTPS通信の傍受等の可能性があるということになります。影響のあるシステムは、CERT/CCのVendor Informationを参考にしてください、とのことです。まだ、被害情報は耳にしていませんが、ある程度の影響はあるかもしれませんね。

また、後者については、Googleが複数のGoogleドメインの不正なデジタル証明書を発見しブロックしたことをブログで報告しています。記事によれば、この証明書はMCS Holdingの所有する中間認証局が発行しており、この中間証明書はCNNIC（中国インターネット情報センター）により発行されている、とのこと。この辺りは、GREATFIRE.org や ars technica に詳細に記載されていますのでご参考までに。
尚、Googleのブログ投稿者は次のようなツイートをしています。内容から憶測すると、被害が発生していても不思議では無さそうな雰囲気です。

前者は認証局、後者は証明書（一部、中間認証局？）の問題の情報となります。
特に後者のような通信傍受目的（？）と推察される攻撃は、今後も目が離せません。
この種の攻撃は、比較的広範囲において影響を受ける可能性もあり、今後も続く脅威のひとつとしてみています。
実現性のある根本的対策が待たれるところですが、それまではひとつひとつの脅威に対処していくしか無さそうですね。
今後、国内の中間認証局がターゲットになるかは分かりません。とりあえずは節目の年である2020年まではウォッチし続けていこうと思った、今日この頃でした。。。

なかなか減らない Exif Webshell Backdoor

2015年01月31日00:00

最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。
2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。
この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。
＃下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。

これらの細工されたファイルは、一見すると普通の画像ファイルですので、ファイルアップロード機能を提供しているウェブサイトの管理者は、被害に気付きづらいかもしれません。
現在のところ被害ウェブサイトの多くは、AMP環境（Apache / MySQL / PHP）上にCMSが導入されています。
その多くはファイル・アップロードに関する脆弱性を悪用したものと推測されます。この点で考えれば、セキュリティパッチ適用などの脆弱性対策を行っていれば防げていたと思われます。また、仮に Webshell を設置されたとしても、既知の悪性コードを含んだファイルであれば、その多くはウイルス対策ソフトなどで駆除することができます。（少なくとも、上図のものは・・・）

これらのサイト管理側の対策不備を知ってか知らでか、攻撃手順を解説したチュートリアルが、アンダーグラウンド系のフォーラムに改めて投稿されています。恐らく攻撃者側の観点から有効であるためだと思われます。このような攻撃者側の動きは今後の攻撃動向を予想するうえでは興味深いところです。画像ファイルに悪性コードやマルウェアを隠蔽する攻撃手口は近年益々巧妙化しています。その観点では、画像ファイルのセキュリティチェックは今後強化していく必要があるかもしれませんね。

なお、万一上述のようにExifに悪性コードが挿入された画像ファイルを見つけた場合は、Exif情報を編集すれば問題箇所を修正することができます。
方法は色々ありますが、例えば、現在のディレクリ配下に含まれる全JPEGファイルに対して、

find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +

などするとCamera Maker Nameの値を修正することができます。（少々、乱暴ですが。）
また、検出方法としてはウイルス対策ソフトを利用するのが簡単です。
＃上述の手口のものに関しては、ほぼ検出を確認しています。

勿論、問題のあるファイルの修正だけでなくアプリケーションの脆弱性有無の確認やセキュリティ対策の確認などは忘れずに。

参考：
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

いつのまに上陸！？日本市場にもリーガルマルウェア企業

2014年11月07日13:00

以前、リーガルマルウェアに関する記事を投稿させて頂きました。
その後、様々な調査をしましたが、リーク情報以外にこれといった収穫はありませんでした。

そんな中、とある日本国内のセキュリティイベントへ参加していた際に、見覚えのあるロゴが視界に入りました。
なんと、堂々と日本の関連機関へセールスに来ているではないですか！
中々このような機会はありませんので、早速日本式の挨拶をしまして、関係資料を頂きました。

複数のツールやサービスの紹介資料が同封されていましたが、中でも「Correlation & Data Intelligence」に関する資料は、
・コミュニケーションパターン
・行動パターン
・ターゲットに関する地理情報
・隠れた関係者の検出
・共通のコンタクトポイントの洗い出し
など、なかなか興味深いサービスが提供されていました。
（残念ながら、詳細な情報は記載されていませんでした。）

現在、日本市場はサイバー軍需産業だけで無く、政府向けソリューションベンダー等からも注目されています。
サイバー関連、通信傍受等の法改正が進む日本は、海外からは魅力的な市場に映るのかもしれません。
これらのツールは一般には犯罪捜査等に利用することを想定しています。（と、信じています。）
ただし、使用方法を誤りますと、これらの類のツールやサービスの利用は、私たち国民生活に対して様々な影響を及ぼす可能性があることは想像に難くありません。（様々な意見があると思いますが・・・）
そういった意味では、これらの市場の動向は今後も注目しておく必要がありそうです。

9.18のサイバー攻撃に関して（追記）

2014年09月16日20:00

先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。
覚えの無いコンテンツなどがアップロードされていませんでしょうか。
＃スクリーンショットの記載内容からすると、フライングの気もしますが・・・

現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。
また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。
＃DoS攻撃に関しては未確認です。

昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではないかと考えています。

なお、攻撃グループにより攻撃手口は異なりますので、ウェブアプリケーションの他にFTPやSSHなども注意が必要です。併せて、自社サイトの検索エンジンによる検索結果に表示されてはマズい情報が無いか、などチェックされることをお勧めします。

ではでは、また何か動きがありましたら補足させて頂こうと思います。

【追記】
18日になりまして、一部の攻撃者グループが日本国内の複数ウェブサイトを改竄したことが確認されています。
現在も攻撃継続中のようですので、引き続きご注意ください。

フィッシングサイト構築キットの設置者例

2014年09月11日02:01

9/9付けのトレンドマイクロ社のブログへの投稿でApple ID詐取を目的とした「フィッシングサイト構築キット」について報告されています。ちょうど、私も類似のキットをネットサーフィン中に発見しましたので便乗させて頂きたいと思います。
キットの内容や対策等は、トレンドマイクロ社の報告にお任せするとして、ここでは設置者について触れてみたいと思います。

現在、Apple ID等を狙った類似のキットの悪用は複数サイトで確認されています。その多くは”apple.zip” といったファイル名で設置されており、利用されている言語も様々です。恐らく、世界各国で悪用されているのでしょう。
いずれのキットも、トレンドマイクロ社の報告にあったように、認証なしで上位ディレクトリの情報が閲覧可能な設定となっていたウェブサイトに設置されていました。いくつかのウェブサイトはブラックリストに登録済みのものもあり、恐らく過去にフィッシングサイト等で悪用されていたものと思われます。

そんな中、これらのフィッシングサイト構築キットで目を引いたものがありました。
下図の$bilSndの箇所なのですが、情報の送信先のメールアドレスが記載されており、そのアカウント名に違和感を覚えました。というのは、そのスペルに覚えがあったからです。

どこで目にしたかおぼろげな記憶を頼りに、調べていくと見つかりました！
それは以前に、セキュリティ関連の教育動画のコメント欄で見たものでした。このユーザはクラッキングの動画に興味があるようで、しばしばコメントを残していました。また、あるSNSでも同名のアカウントを利用しており、同様の動画がリンクされていましたので、恐らく同一人物だと思われます。
時々、サイバー攻撃者の過去の戦績等がウェブで見つかることはありますが、このようにプライベートの活動履歴が残っているケースは稀です。（ワザとかもしれませんが・・・）
さらに、関連性のあるハンドルネームによるウェブ改竄のインシデントも報告されており、私見ですがこれも同一ユーザではないかと勘ぐっています。

また、彼は英語、アラビア語を使うことができるようです。どこの国のユーザか不明ですが、興味深い点ではあります。
残念ながら、現時点では彼が構築キットの設置者であるかは断定できません。しかし、少なくともフィッシングサイトから彼のメールアドレスに第三者の機微情報が送信されていた可能性は高いと言えます。そして、恐らく彼はプロのサイバー攻撃者では無く、他の攻撃事案を模倣して構築キットを設置したのだと推測します。理由のひとつとして、ソースコードが非常に単純で他の構築キットと比較すると少々物足りなさがあったためです。
まあ、彼の素性は兎も角とし、世界はiPhone 6 および Apple Watchの発表に喜々としています。この社会的背景を踏まえますと、さらに模倣犯が増大するとの見方が自然です。そういった意味では、Appleに関連付けたサイバー攻撃はこれからが本番かもしれませんので、引き続き注意しておく必要がありそうです。

ちなみに、私はMoto 360に興味津々です。。。

明らかになりつつあるリーガルマルウェアの実態

2014年08月31日23:31

最近、世界各国でHackingTeamやFinFisherなど法執行機関等の利用が噂される遠隔操作ソフトウェアの話題が絶えません。いわゆる、リーガルマルウェアのことです。
専門の開発ベンダーの存在は以前より噂されていました。ここにきて、関係資料が流出するなどし、その実態が明らかになってきました。（元々は、WikiLeaksが発端だったと記憶しています。）
例えば、FinSpy Mobileのリリースノートには下図のように記載されています。

以前から捜査目的でのマルウェア（ポリスウェアなど）の利用に関しては賛否両論でした。国民の監視利用への懸念や、そもそもマルウェアの利用に対しての倫理感など課題は現在でもつきません。
しかし、現在ではこれらの課題は残しつつも、一部の国ではハイテク化する犯罪手口への対抗策として、これらのリーガルマルウェアが用いられているようです。（フォレンジック目的のようです）
日本ではどのような状況か知りませんが、少なくともカスペルスキー社によるHackingTeamに関する報告では、C&Cサーバが設置されていたとのことですので、他人事とは言い切れなさそうです。

さて、これらのリーガルマルウェアの特徴ですが、マルウェア単体の機能面はサイバー犯罪者が悪用するRAT（Remote Access Trojan）と同様です。解析結果を見れば、その内容は把握できるでしょう。（解析結果例）
ただし、提供されるソリューションは充実しており、マルウェアだけでなくExploitや証拠を検索するためのフォレンジック機能などが提供されているようです。FinFisherのブローシャーには、ソリューションの全体像が分かり易く記載されていますので参考になるのではないでしょうか。

参考：https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf

ちなみに、”リーガルマルウェア”っぽいな、と感じさせる箇所は次のようなところです。

（１）録音機能
FinSpy Mobileなどは最近のバージョンで追加された機能のひとつです。
マイクロフォンで拾った音声を記録します。

（２）SNS関連アプリケーションの情報窃取機能
HackingTeamのスマートフォン版に関しては、カスペルスキー社より次のアプリケーションより情報を窃取する機能が報告されています。（参考）

    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk

Tencent（中国）とLINEが含まれていることを考えますと、アジア諸国も対象になっていることが容易に想像ができます。

これらの機能は、訴訟対応の際に利用することが想定されていると推測されます。例えば、犯人の人間関係を関連付ける証拠のひとつとして利用するなどです。このような機能は他のマルウェアにもあるものですが、窃取した情報の保全方法などはリーガルマルウェアならではの工夫があるのかもしれません。
＃訴訟時にこれらの方法で収集した情報が利用できるかは、国や州などの法律によります。

今後、このようなマルウェアの利用国が増えるかは分かりませんが、証跡の収集手法を法的に問わない国であれば採用するのではないでしょうか。特にスマートフォンやタブレットへは、証拠品に変化を与えることがタブーとされていた、従来型のPCへのフォレンジックとは考え方とは異なるため、その可能性は高いかもしれません。（既にスマートフォン向けのフォレンジックツールは、Exploitを利用することで管理者権限を取得し証跡を収集しているものがあります。）
このような状況を踏まえますと、今後もテクノロジーの進歩に伴い証跡の収集方法に関しての考え方は変わっていくと予想されます。

現在のところリーガルマルウェアは、一般的にはマルウェアの扱いです。
そういった意味では、我々はこれらの存在に対して注意を払う必要があります。
もし、このようなマルウェアがスマートフォンやPCから検出されましたら、あなたの行動や人間関係に興味のある組織がある、ということなのかもしれません。それはそれで、興味深いですね（笑）
何はともあれ、しばらく目が離せないテーマであることは間違い無さそうです。

FIRST2014で感じた”Information Sharing”の難しさ

2014年06月30日23:31

CSIRT関連のコミュニティで知られるFIRSTカンファレンスへ参加してきました。
今年のキーワードの１つは「Information Sharing」でした。
昨今のサイバー攻撃の大規模化、および巧妙化が進んでいる状況を踏まえ、改めて注目を浴び始めているように思います。
興味深かったのは「Information Sharing」を情報共有というよりは、如何に鮮度の良い情報を出していくか、といったところに主眼が置かれていた点です。まずはインシデント情報をどんどん出していこう、といった意味合いでです。
これは何故かというと、ひとつのインシデントが一組織だけで解決しなくなってきた為です。
例えば、下図のように攻撃が複数組織に跨いで行われている場合、多くはそれぞれの被害組織毎に調査が行われるのが一般的です。しかし、サイバー攻撃の全容を知る為には各々の調査結果を合わせて分析が行われなければなりません。
しかし、残念ながら全容が解明されるケースは少ないのが現状です。理由は言うまでもありませんね。

では、各々の組織がインシデント情報をシェアする際にどのような情報があれば良いのでしょうか。
例えば、すぐに思いつくものでも次のものがあります。

     (1)攻撃元
     (2)CnCサーバ（IP / Location）
     (3)悪用された脆弱性
     (4)マルウェア
     (5)悪用されたメール（表題 / 本文 / 送信元）
     (6)被害内容
     (7)被害組織（業種）
     (8)攻撃者像
     (9)侵入後に利用された不正プログラム
     (10)タイムライン
などなど。

(1)-(4)までの情報は比較的シェアされるようになってきました。(5)は一部のコミュニティ間ではシェアされています。
しかし、それ以上の情報は素のままでは難しい場合があります。そこで、現在様々な取り組みが世界中で行われています。例えば、マルウェアの検体そのものの提供が難しい場合はYaraによるシグネチャを作成し配布する。マルウェア感染後はIOC（Indicator Of Compromise）を用いるなどが代表的です。
また、(6)-(10)に関してはストーリー化することで機微情報をぼかしてシェアするなどの方法を取っているところもあるようです。但し、やはり情報が荒くなってしまいますため詳細な分析結果を得ることは難しいのが現状です。
インシデント情報のシェアはまだまだ試行段階ですが、必要性の高いジャンルだと思います。
ちなみに、カンファレンス参加者とインシデント情報を交換した際に言われましたのは、日本を狙った攻撃の一部は世界からみると特殊だとのことです。そういった意味でも国内においてもインシデント情報をシェアするためのフレームワークが必要な時期が来たように思います。
Information Sharingを必要に迫られている組織、個人が徐々にコミュニティが立ち上げつつありますので、その際は是非参加してみてください！

Openssl Heartbleed 攻撃の検知について

2014年04月11日18:08

ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。
＃Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・
また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。

参考：
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [追記]

さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなどには痕跡が残りません。そこで、iptablesなどによりログを残すように設定しておくことで攻撃ログを収集しておくと何かと安心です。
一部のバーチャルプライベートサーバ（VPS）やレンタルサーバではiptablesなどでアクセス制御していることがあると思います。そのような場合においても利用できるのではないでしょうか。
＃根本的な対策ではなく、あくまで攻撃検知という意味で。

iptables log rules

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

参考URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded

snort / Suricata rules
OpenSSL ‘heartbleed’ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot（おまけ）
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt

ご参考まで。

ダークウェブに潜む隠しサービスって！？

2014年03月31日14:00

最近、ダークウェブ（匿名化技術などを利用したウェブサイト）の話題をチラホラ見かけます。
Silk Roadの運営者の逮捕、BitCoin事件などありましたので、法執行機関やセキュリティ研究者がダークウェブが注目するのは当然かもしれません。

FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落

以前からダークウェブは悪の温床となりつつあることが囁かれていました。しかし、実際にどの程度の隠しサービスが存在するのか、あまり気に留められていなかったように思います。
最近では、Tor上でマルウェア用リソースなど900のサービスが稼働していることが確認され、サイバー攻撃に悪用されていることが報告されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この辺は予想通りであり、サイバー攻撃がさらに匿名化してる、くらい受け取られてしまうかもしれません。しかし、実際はこれだけではなく、さらに多くのサービスがダークウェブ上に移行しています。
ブラックビジネスそのものがグローバル化し、営業行為としてダークウェブを利用しているわけです。
一般にはあまり馴染みの無い世界かと思いますので、現在どのようなサービスが主に移行されているのか一部を紹介したいと思います。

（１）マネー・ロンダリング、ブラック銀行など
BitCoinの事件以降、これらのサービスは注目されていますね。

（２）ギャンブル
ギャンブルサイトも昔からあったサービス。どのくらいの金額が動いているのかは分かりません。

（３）武器売買
一部、テロ支援などもダークウェブへ移行しつつあります。
この辺は関わりたくないですね。

（４）偽造関係
SuperDollars ？？なんでしょうか、これは？？

（５）AXXXXXXX
ノーコメントで。

ちなみに、ダークウェブがハッキング被害に合うこともあります。
この場合は、利用者のリストはどうなるんでしょうか？？法執行機関へ提供とかでしょうか？？

このようにサイバー攻撃とは離れた分野においても、ダークウェブが利用されるようになってきています。
国境を超えてのやり取りが殆どでしょうから、対策には国家間連携、情報共有などがさらに重要になってきます。
この状況下で各国がどのように対策案を出してくるのか、大変興味深いところですね。

最近気になるメモリ上の情報を狙ったPOSマルウェア

2014年02月28日11:30

最近、BlackPOSなどのPOSマルウェアのニュースをよく目にします。
これらのマルウェアはMemory Scrapingという手法を利用していることで知られています。
端的に説明しますと、メモリ上に記録されている情報を窃取する手口で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば利用されているものです。

参考URL：
Point-of-Sale and memory scrappers

メモリ上には、暗号化されているような機微情報（パスワードやカード情報とか）もクリアテキストで記録されていることが多々あります。例えば、Banking Trojanなどが狙うようなオンラインバンクのログオン情報であれば、大抵はウェブブラウザのプロセスのダンプを調べれば該当の情報が得られます。

POSマルウェアの場合はクレジットカードやデビットカードの情報を窃取することが目的です。あるマルウェアの場合は、次ような正規表現を用いて情報を抜き出しています。
＃これはそのままIDS、DLPなどのルールとして使えそうですが、パフォーマンスに影響しそうな長さですので少し工夫が必要です。

(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))

カードに関係する文字列：
　　・[0-9]{13,19} --- クレジットカード番号
　　・[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カード名義
　　・(1[2-9])(0[1-9]|1[0-2]) --- YYMM（2012年～2019年）
　　・[0-9\s]{3,50} --- CVC / CVV

このようにメモリへアクセスするための権限さえあれば比較的容易に情報を得ることができてしまいます。その点では、組み込みOSやファイルサーバなどでAdministrator権限などで動作しているシステムは要注意というわけです。
もっとも、このような権限で動作しているシステムは、他の攻撃に対してもリスクが高いことは言うまでもありませんが。。。

メモリ上の情報を狙った攻撃は、根本的な解決策が出てくるまでは暫く続くとみています。というのも、標的のシステムの環境がある程度限定されていますし、攻撃者は無理にマルウェアを作成しなくても実現可能な攻撃ですので、見えないところで被害が発生し続けるのではないか、と思いました。
また、日本での被害情報は今のところ耳にしていませんが、ちょうど４月にWindows XPのサポート切れですし、そろそろかなぁ、と勘ぐっています。POSシステムを狙った攻撃は2010年前後からですので、そろそろ日本国内のシステムを狙ってきてもよさそうな時期ですよね。

このような攻撃は、メモリ上の情報を暗号化する仕組みが標準となるような時代がこなければ無くならないかもしれませんね。もっとも、そのような技術が普及すると、フォレンジック解析者らも攻撃者と同じ悩みを持つことになるわけです。困りましたね。

最後にPOSマルウェアに対しての対策はこちらの情報が参考になりそうですのでご紹介しておきます。

参考URL:
What retailers need to learn from the Target breach to protect against similar attacks

POSシステムに限った話でもありませんので、参考になると思います。

雑文、失礼しました。

AutoItScript→VBScriptによる検出回避とか

2014年01月09日07:00

2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。
下図は一例で、或るRAT（Remote Administration Tool）をVBScriptへ変換して欲しい、といった依頼のものです。

既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、
　　・一時的なセキュリティ対策ツールの回避
　　・VBScriptなどのスクリプト言語ではエンコード処理が容易
　　・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待
などが挙げられます。

いずれにせよ、マルウェア開発者側にこのような動きがあるということは、次のサイバー攻撃の流れとして融通がきき易いスクリプト言語ベースのマルウェアの脅威が増大すると予測できそうです。
ちなみに、現在ちらほら確認しているのはZeuSの亜種でも利用されているとされるAutoItScriptからVBScriptへの変換です。

（このAutoItScriptで開発されたマルウェアの増加に関してトレンドマイクロ社のブログで報告されています。）

＃ZeuS自身の変換は見た事ありませんが、ソースコードが流出していることを考えると有り得るかも？
傾向からしますと、VBScriptの利用が目立っていますので、そういった意味では対応策を考え始めた方が良いかもしれません。
下の記事に主な対応策が記載されていますので、参考にしてみては如何でしょうか。

VBScript Malware Demo using FileSystemObject

AutoItScriptで開発されたマルウェアについて

補足で、上述のAutoItScriptについて触れてみたいと思います。
AutoItScriptはAutoItがインストールされた環境下でなければ動作しません。そこで、AutoItによりスクリプトをコンパイルしますとUPXによりパックされEXEファイルとして出力することができます。

但し、コンパイルした結果は、
　　・UPXの利用はプログラムの善悪に関係無く、一部のセキュリティ対策ツールに検出されてしまう

　　・EXEファイルはサンドボックス型のセキュリティ対策ツールで検出されてしまう可能性がある
　　・AutoItで作成したことはすぐに分かってしまう
などの理由によりセキュリティ対策ツールに処理されてしまう可能性が高まります。
そこで、攻撃者らは試行錯誤した結果、解決策のひとつとしてソースコードの変換を考えたと推測されます。

参考までに変換前と後は下のサンプルのような内容となります。（イメージだけ・・・）

サンプル１：AutoItScript
FUNC __IS_SPREADING ()

LOCAL $W_KEY = STRINGSPLIT (@SCRIPT,".")
$SPREADING = REGREAD ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"")
IF $SPREADING = "" THEN
     $SPREADING = "FALSE"
     IF STRINGUPPER (STRINGMID (@FULLPATH,2)) = STRINGUPPER (":\" & @SCRIPT) THEN $SPREADING = "TRUE"
     REGWRITE ("HKEY_LOCAL_MACHINE\SOFTWARE\" & $W_KEY[1],"","REG_SZ",$SPREADING)
ENDIF
ENDFUNC

サンプル２：VBScript
spreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\")
if spreading = "" then
   if lcase ( mid(wscript.scriptfullname,2)) = ":\" & lcase(install) then
      spreading = "true - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\", spreading, "REG_SZ"
   else
      usbspreading = "false - " & date
      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (install,".")(0) & "\", spreading, "REG_SZ"

   end if
end If

実際はサンプル２からさらにエンコードされますので、可読性のあることは殆どありません。意識せずにみると、複数のマルウェアが存在するように見えます。ここまでのイメージとしては、次のようになります。元はひとつの検体なのですが、自由度の高い（？）言語に変換することで形体を変化させ生存率を高めているわけです。

最終的にエンコードや暗号処理を用いていますので、検体そのものを被害PC上よりピンポイントで発見することはなかなか骨が折れそうです。また、暫くはサイバー攻撃手法に変化が起こるというよりは、このような回避手法とのいたちごっこが続くと考えています。このような状況を踏まえますと、利用頻度が低いスクリプトなどは予め動作制限をしておき、脅威レベルを軽減しておいた方が安心かもしれません。

UNRECOMは今後のRATの主流になれるか

2013年12月03日10:30

2013年も12月となり、今年も残り僅かとなりました。そんな中、Java RATのひとつであるAdwind RATがUnrecom Soft（UNiversal REmote COntrol Multi-Platform）に買収され、新たな展開をみせようとしています。
Adwindは、Android RATの１つであるAndroRat（流出したソースコードと推測）をベースとしたAndroidの遠隔操作機能を追加し、クロス・プラットフォーム（Windows、MacOS、Linux、Android）の統合管理をいち早く実現したことで知られています。
このことは他のRAT開発者らにも影響を与えたとも考えられ、今後のトレンドを占う意味でも注目のRATであったと思います。

このようにPCとスマートフォンが攻撃者により統合管理され始めますと、それらを繋ぐオンライン・ストレージなども標的となる可能性も出てくるのでは？と勘ぐりたくなりますね。
どの程度の実現性があるか分かりませんが、リスクの対象範囲は徐々に拡大し始めているようです。
※Adwindは2013年11月20日以降は利用できなくなっています。

さて、Unrecomの機能面ですが、現在のところほぼAdwind v3.0と同様です。Adwindの特徴でもあるPluginを一通り引き継いでいます。遠隔操作をする際に、あると便利なものは一通り揃っているようです。今後どのような機能が追加されるのかが興味深いところです。注目はAndroid向けのPluginをどの程度充実させてくるか、でしょうか。
ちなみに、下図にあるFunnyのようなお遊び的なものもあります。利用価格は$10。

Funny:
It this a simple funny option for move the mouse of remote pc and push aleatori keys

尚、現在のところ検出状況は芳しくありません。アンチウイルスソフトでの検出結果はマチマチな状況です。。
但し、次のようにSnortのシグネチャも公開されていますので、IDS/IPS等による検出も可能ですので、被害にいち早く気付くことは出来そうです。（少なくともUnrecomの仕様に変更がなければ、です。）

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Default Password Auth"; \flow: to_server, established; \
content: "|00||28|e3a8809017dd76bd26557a5b923ab2ae16c0cdb3"; \
sid: 1981310201; rev: 20131115)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "[CrowdStrike] -RECOMM/Adwind Ping/Pong"; \
flow: to_server, established; dsize: 1024; \
content: "|00 00 53 09 58 58 58 58|"; depth: 16; \
content: "|58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|"; offset: 1008; \
sid: 1981310202; rev: 20131115)

　　　　参照URL：
　　　　http://www.crowdstrike.com/blog/adwind-rat-rebranding/index.html

Java RATは以前より存在しましたが、今年6月頃より実用化されてきています。現在のところ大規模な攻撃情報は聞いていませんが、サイバー犯罪の世界では一般的になってくるのではないでしょうか。
何はともあれ、来年はJava RATやAndroid RATから目が離せません。

追記：
　　　かなり粗いですが、yara signatureです。

{
strings:
$Class = /opciones\/\w+\.class/
$made = "desinstalador/MaDe.adwind"
$gcon = "JTextPaneExample.class" nocase
$plugin = "AdwindServer.class" nocase
condition:
any of ($Class) and ($made or $gcon) or $plugin
}

この記事のURL

KINSのソースコード流出にみるサイバー犯罪対策の難しさ

2013年10月28日07:59

オンラインバンキング詐欺ツールで知られる「KINS」のソースコードが、遂にアンダーグラウンド系フォーラムに流出しているのが確認されました。これにより、オンラインバンキングの利用者を狙ったサイバー犯罪はさらに複雑化していくことが予想されます。

KINSとは今年7月頃に報告され、次代のZeuSやSpyEyeと呼ばれる不正プログラムの１つです。
9月末にKINSの詳細情報が報告されました。10月10日頃よりセキュリティ専門家より一部の捜査機関、およびセキュリティベンダー等にKINSソースコードが配布され始め、ようやく対策が取られ始めたところでした。
＃ソースコードの入手の際には所属組織、氏名、職位等の情報が必要。

参考
http://touchmymalware.blogspot.ru/2013/10/kins-source-code-leaked.html
http://www.xylibox.com/2013/09/having-look-on-kins-toolkit.html
http://pastebin.com/T1A80ZYF
https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/

ところが、先週この配布されたソースコードはあっさりと流出したことが確認されました。
KINSのソースコードは、配布者の承認を得たセキュリティベンダー等とされているだけに非常に残念な事です。
＃インテリジェンスの共有が難しいのは、この辺りでしょうか。

残念ながら、KINSが完全に検出はできない状態ですが、かろうじて救いなのは、KINS自体は一部の関連ファイルから見て取れるように、ZeuSがベースとなっていることでしょうか。そのため、実行時にZBOTもしくはSpyEye関連のファイルとして検出されることがあります。例えば、次に示す関連ファイルはその典型です。

参考URL
https://www.virustotal.com/en/file/8c8055c9e972ab37d0880f2b8f63605be52babd779a29e78be3647194ef31aa2/analysis/

また、Dropperに限定されますが、AlienVault-LabsからYaraのルールが提供されています。
https://github.com/AlienVault-Labs/AlienVaultLabs/blob/master/malware_analysis/KINS/kins.yar
オリジナルルールが追加可能なセキュリティ製品を所有しているのであれば、このルールを参照してみるのも良いかもしれません。

勿論、組織としてこれらの対策を講じることは大事ですが、まずは個々の口座で不正送金等が無いかの確認をする方が先決です。

9.18のサイバー攻撃に関しての補足的情報（追記）

2013年09月17日13:59

恒例の918サイバー攻撃の時期が近づいていますが、対策は万全でしょうか。
概要はニュースなどで報道されていますので、内容は割愛させて頂きます。

さて、報道にもありましたように9/18に向け、今年も紅客（ほんくー：中国のハクティビズムのグループの総称）らより攻撃の標的リストが公表されています。
しかし、残念ながら必ずしもこれらのリスト通りに攻撃が行われるわけではありません。
一部の攻撃者らはGoogleなどの検索エンジンを利用することで、標的を絞っています。つまり、攻撃者らの検索結果として表示されたウェブサイトは攻撃対象となる可能性がある、ということになります。
そういった意味では、リストに記載されていない組織においても警戒をしておくに越したことはない、と言えます。

では、攻撃者はどのような文字列を検索し、標的を絞っているのでしょうか。
例えば、ある紅客はSQLインジェクションの標的を絞り込むために、次のような文字列を利用しています。

site:.jp inurl:php?id= site:.jp inurl:asp?id=

結構、大雑把に検索していることが分かります。とりあえず、リスト化して攻撃しようということなのでしょう。
このような検索文字列に関しての情報は、9月に入り日本への攻撃を示唆する内容と共に複数確認されています。
他の検索文字列として次のものが紹介されています。（9/18の攻撃と直接関連するかは分かりませんが、、、）

※「inlitle:」は「intitle:」のtypoかと思われます。

他にも様々な検索文字列により検索されることが推測され、多くのウェブサイトが攻撃対象となる可能性があります。そういった意味では、これらの検索結果に、自身のウェブサイト上の脆弱点が表示されていないか、など事前に確認しておくことは攻撃対象から逃れる点では、有効な対応策の１つと言えます。

ちなみに、これらの検索結果にはWordpressなどのCMSの情報も含まれています。メジャーなCMSは脆弱性も多く報告されていることから、標的となる可能性が高いと考えられますため、確実に対策を実施してください。
※WordpressやMovable Typeに関してはIPAからも注意喚起がされていますので参照ください。
http://www.ipa.go.jp/security/topics/alert20130913.html

尚、Google Hackingはキャッシュから調査しています。そのため、標的の絞り込みの段階でウェブサーバに対して明らかに攻撃と判断できる通信は発生しません。

実際に日本組織を狙った大規模なサイバー攻撃があるかは分かりません。しかし、毎年恒例のことですので、避難訓練のつもりでエスカレーション・チェックなどを実施しても良いかと思います。
現在のところ、DDoS攻撃や多数のウェブサイト改竄などの目立った動きが報告されていませんが、目立った情報が得られましたら随時追記していきたいと思います。

【追記 9/18】
複数のウェブ改竄が確認され始めました。
ウェブサーバのコンテンツに日本を挑発するようなファイルがありましたら、侵入されている可能性大です。
例えば、Fuck-JP.html などです。
念のため、不審なコンテンツが追加されていないか確認されることを推奨します。

ちなみに、記載されている内容は満州事変とは直接関係のあるものではありません。

Android RATのオープンソース化で行きつく先は・・・

2013年08月31日11:59