Category Archives: Security Response News

FBI は先週、Backdoor.Destover という破壊的なマルウェアに対する緊急警告を発表しました。Destover には、韓国を標的とした過去の攻撃といくつか共通点が見られます。Destover のいくつかのサンプルで使われているコマンド & コントロール（C&C）サーバーは、韓国内の標的を攻撃するために作成された、Trojan.Volgmer のあるバージョンで使われていたものと同じです。C&C サーバーが共用されていることで、この 2 つの攻撃の背後に同じグループが存在する可能性が浮上します。

Volgmer は標的型のマルウェアです。おそらく単一のグループが第 1 段階の偵察ツールとして限定的な攻撃に使用していると思われ、システム情報を収集し、さらに別のファイルをダウンロードして実行することができます。重要なのは、Destover と C&C サーバーを共用するバージョンの Volgmer は、特に韓国の標的を攻撃するよう設定されていて、韓国語版のコンピュータ上でのみ実行されることです。

また、Destover では、2013 年に発生した韓国に対する Jokra 攻撃と同じ手口やコンポーネント名も使われています。しかし、現時点では、これらの攻撃のつながりを示す確かな証拠は見つかっておらず、模倣犯である可能性も捨てきれません。さらには、Shamoon 攻撃との共通点も見られ、どちらの攻撃でも市場で入手可能な同一のドライバが利用されています。しかし、両者の背後に同一のグループが存在する可能性はきわめて低く、むしろ Destover 攻撃が Shamoon 攻撃の手口を真似たのでしょう。

Destover の活動
Destover は、特に大きな破壊力を備えたマルウェアであり、感染先のコンピュータの内容を完全に消去することが可能です。FBI の緊急警告でもこのことに触れられており、ある目立った攻撃において、少なくとも 1 つの Destover の亜種が利用されたと考えられています。

Destover に関する FBI の報告書には、いくつかの悪質なファイルが記載されています。

• diskpartmg16.exe
• net_ver.dat
• igfxtrayex.exe
• iissvr.exe

感染したコンピュータで最初に作成されるファイルが diskpartmg16.exe で、このファイルが実行されると、net_ver.dat および igfxtrayex.exe が作成されます。

「diskpartmg16.exe」は、実行されると、ある IP アドレス範囲内で特定の多数の IP アドレスに接続するとともに、「USSDIX[コンピュータ名]」という形式のコンピュータ名に接続します。つまり、この Destover の亜種は無差別な攻撃を意図したものではなく、特定の組織に所属するコンピュータのみを攻撃するよう設定されているのです。

Destover の破壊的なペイロードは igfxtrayex.exe によって配信され、igfxtrayex.exe は、実行されると、次のような操作を実行する場合があります。

• 固定ドライブおよびリモートドライブ上のすべてのファイルを削除する
• パーティションテーブルを改ざんする
• 追加モジュール（iissvr.exe）をインストールする
• ポート 8080 と 8000 で多数の IP アドレスに接続する

一方、Iissvr.exe は、ポート 80 で待機するバックドアです。攻撃者が侵入先のコンピュータに接続したときに、次のメッセージを表示します。

“We’ve already warned you, and this is just a beginning.

We continue till our request be met.

We’ve obtained all your internal data including your secrets and top secrets.

If you don’t obey us, we’ll release data shown below to the world.

Determine what will you do till November the 24th, 11:00 PM(GMT).

Post an email address and the following sentence on your twitter and facebook, and we’ll contact the email address.

 

Thanks a lot to God’sApstls [sic] contributing your great effort to peace of the world.

And even if you just try to seek out who we are, all of your data will be released at once.”

（今まで警告してきたが、これは始まりに過ぎない。

要求が叶えられるまで攻撃を継続する。

機密情報や極秘情報など、あらゆる内部データを入手済みだ。

要求に従わない場合、以下のデータを全世界に公開する。

11 月 24 日午後 11 時（GMT）までに、どうするか決めろ。

電子メールアドレスと次の文章を Twitter と Facebook に投稿すれば、こちらからメールで連絡する。

 

世界平和のために多大な貢献をした God’sApstls（原文ママ）に深く感謝する。

我々の身元を詮索しようとしただけでも、全データをただちに公開する）

Volgmer とのつながり
Destover のいくつかのサンプルは、過去に Trojan.Volgmer の複数の亜種によって使われた C&C サーバーに接続します。シマンテックは数カ月にわたって Trojan.Volgmer を追跡してきました。Volgmer は、感染先のコンピュータでバックドアを開く機能を備えているため、C&C サーバーと通信して、システム情報の取得、コマンドの実行、ファイルのアップロード、ファイルのダウンロードと実行などの操作を行うことができます。

興味深いことに、Destover と C&C サーバーを共用する Volgmer の亜種は、侵入先のコンピュータの地域設定が「韓国」でない場合には実行を停止するよう設定されています。

Jokra とのつながり
Destover の攻撃者が使用しているファイル名などのコンポーネントや手口は、2013 年に発生した韓国に対する Jokra 攻撃と類似しています。Jokra 攻撃では韓国の銀行や放送局などのサーバーが停止したほか、通信会社の Web サイトが改ざんされました。

Jokra 攻撃で使われたマルウェアに含まれているコードは、指定した期間が経過するまではハードディスクドライブの消去を開始しません。Destover もまた、時間を置いてデータ消去を実行するよう設定されています。さらに、韓国での報道によると、2 つの攻撃で類似する多数のファイル名が利用されているようです（リンク先は韓国語）。

Shamoon 攻撃との類似点
また、Destover には、Shamoon 攻撃との共通点もいくつか見られ、Destover と Shamoon の攻撃者によって使われているマルウェア（W32.Disttrack）は、一部のドライバを共用しています。これらは悪質なファイルではなく、市場で入手可能なドライバです。Destover と Disttrack はどちらも破壊的なマルウェアですが、両者の背後に同一のグループが存在することを示す証拠はありません。

シマンテックの保護対策
シマンテック製品およびノートン製品は、この脅威を Backdoor.Destover として検出します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Destover, the destructive malware that was the subject of an FBI Flash Warning this week, shares several links to earlier attacks directed at targets in South Korea. Some samples of Destover report to a command-and-control (C&C) server that was also used by a version of Trojan.Volgmer crafted to attack South Korean targets. The shared C&C indicates that the same group may be behind both attacks.  

Volgmer is a targeted piece of malware, likely used by a single group, which has been used in limited attacks, possibly as a first stage reconnaissance tool. It can be used to gather system information and download further files for execution. Significantly, the version of Volgmer which shares a C&C with Destover was configured specifically to attack South Korean targets and will only run on Korean computers.

Destover also share some techniques and component names with the Jokra attacks against South Korea in 2013. However there is no hard evidence as yet to link the attacks and a copycat operation can’t be ruled out. Links also exist to the Shamoon Attacks, with both attackers using the same, commercially available drivers. However, in this instance it appears highly unlikely that the same group was behind both attacks and instead it would appear that the Destover attacks copied techniques from Shamoon.  

Destover in action
Destover is a particularly damaging form of malware that is capable of completely wiping an infected computer. It was the subject of an FBI Flash Warning earlier this week after at least one variant of it was understood to have been used in a high profile attack.

There are several malicious files associated with the FBI Destover report:

• diskpartmg16.exe
• net_ver.dat
• igfxtrayex.exe
• iissvr.exe

Diskpartmg16.exe is the first file that is created on an infected computer and, when executed, it creates the files net_ver.dat and igfxtrayex.exe.

When “diskpartmg16.exe” is run, it connects to a number of specific IP addresses within a set IP range, as well as computer names in the format “USSDIX[Machine Name]”. This indicates that this variant of Destover was not intended to be indiscriminate and the malware had instead been configured to only attack computers belonging to one particular organization.

The destructive payload of Destover is carried by igfxtrayex.exe. In certain instances, when run, it will:

• Delete all files on fixed and remote drives
• Modify the partition table
• Install an additional module(iissvr.exe)
• Connect to a number of IP addresses on ports 8080 and 8000.

Iissvr.exe, meanwhile, is a backdoor which listens on port 80. Once an attacker communicates with the compromised computer, this file displays a message, which reads:

“We’ve already warned you, and this is just a beginning.

We continue till our request be met.

We’ve obtained all your internal data including your secrets and top secrets.

If you don’t obey us, we’ll release data shown below to the world.

Determine what will you do till November the 24th, 11:00 PM(GMT).

Post an email address and the following sentence on your twitter and facebook, and we’ll contact the email address.

 

Thanks a lot to God’sApstls [sic] contributing your great effort to peace of the world.

And even if you just try to seek out who we are, all of your data will be released at once.”

Links to Volgmer
Some samples of Destover seen by Symantec link to a C&C server that has been used by variants of Trojan.Volgmer in the past. Symantec has been tracking Trojan.Volgmer for several months. Volgmer is a threat capable of opening a back door on an infected computer, which allows the malware to communicate with a C&C server to retrieve system information, execute commands, upload files, and download files for execution.

Interestingly, the variants of Volgmer that share a C&C server with Destover are configured to end execution if the compromised computer’s region is not “Korea”.

Links to Jokra
The Destover attackers use techniques and components that are similar to those used in the Jokra attacks against South Korea in 2013. These attacks crippled servers belonging to several South Korean banks and broadcasting organizations and also defaced the website of a Korean telecoms firm.

The malware used in the Jokra attacks contained code that did not begin wiping the hard drive until a set time period expired. Destover is also configured to perform a delayed wipe. Furthermore, media outlets in South Korea have reported that a number of similar file names were used in both attacks (Korean language link).

Similarities to Shamoon attacks
Destover also share some commonalities with the Shamoon Attacks. Both Destover and the malware used by the Shamoon attackers (W32.Disttrack) share some drivers. These are not malicious files and are commercially available drivers. While both Destover and Disttrack are destructive forms of malware, there is no evidence to suggest that the same group is behind both attacks.

Symantec protection
Symantec and Norton products detect this threat as Backdoor.Destover.

12월 첫 째주 FBI 긴급 경고(Flash Warning) 대상이었던 파괴력 강한 악성 코드 Backdoor.Destover와 앞서 한국에서 발생했던 공격 간에 몇 가지 공통점이 있습니다. 일부 Destover 샘플이 리포팅하는 C&C(명령 및 제어) 서버가 한국의 표적을 공격하기 위해 개발되었던 Trojan.Volgmer의 한 버전에서도 사용된 것입니다. 이러한 C&C 공유는 동일 조직이 두 공격의 배후에 있을 가능성을 시사합니다.

Volgmer는 일종의 표적 악성 코드로 단일 조직에서 사용하는 것으로 보입니다. 일부 한정된 공격에 동원되었으며 1단계 정찰 툴 역할을 담당하는 것 같습니다. 이 악성 코드는 시스템 정보를 수집하고 추가 실행 파일을 다운로드하는 데 이용될 수 있습니다. 특히 Destover와 동일한 C&C를 사용하는 Volgmer 버전은 한국의 표적을 공격하도록 구성되었으며 한국에 있는 시스템에서만 실행됩니다.

Destover는 2013년에 한국에서 발생한 Jokra 공격과도 몇 가지 기술 및 구성 요소 이름이 동일합니다. 그러나 아직 이들을 연결시킬 만한 명확한 증거는 없으며, 모방 범죄의 가능성도 배제할 수 없습니다. Shamoon 공격과도 연관성이 있는데, 두 공격에서 모두 동일한 상용 드라이버를 사용한 것입니다. 두 공격의 배후 조직이 동일할 가능성은 낮지만, Destover 분석을 통해 확인된 공격 기법은 Shamoon에서 사용된 기법들을 모방한 것처럼 보일 정도로 유사합니다.

Destover 현황
Destover는 감염된 시스템을 완전히 지울 수 있기 때문에 큰 피해를 야기시키는 악성 코드 유형입니다. 이 악성 코드의 변종 중 하나 이상이 잘 알려진 공격에 사용된 것으로 확인되자 FBI는 지난 주에 긴급 경보를 발효하기도 했습니다.

아래와 같은 몇 가지 악성 파일이 FBI Destover 보고서에서 언급된 내용과 연관되어 있습니다.

• diskpartmg16.exe
• net_ver.dat
• igfxtrayex.exe
• iissvr.exe

Diskpartmg16.exe는 감염된 시스템에서 맨 처음 생성되는 파일입니다. 이 파일이 실행되면 net_ver.dat와 igfxtrayex.exe라는 파일이 만들어집니다.

“diskpartmg16.exe”가 실행되면서 일련의 IP 범위에 속하는 다수의 특정 IP 주소 및 “USSDIX[시스템 이름]” 형식의 시스템 이름과 연결됩니다. 따라서 이 Destover 변종은 무차별적 공격을 위한 것이 아니며 어느 한 조직의 시스템만 공격하도록 구성된 악성 코드임을 알 수 있습니다.

Destover의 파괴적인 페이로드는 igfxtrayex.exe에 의해 전달됩니다. 실행 시 경우에 따라 아래와 같은 결과가 나타납니다.

• 고정 드라이브 및 원격 드라이브의 모든 파일 삭제
• 파티션 테이블 수정
• 추가 모듈(iissvr.exe) 설치
• 포트 8080 및 8000에서 다수의 IP 주소에 연결

한편 Iissvr.exe는 백도어로서 포트 80에서 수신 기능을 수행합니다. 공격자가 감염된 시스템과 통신하기 시작하면 이 파일은 아래와 같은 메시지를 표시합니다.

“우리는 이미 너희에게 경고했으며 이것은 시작일 뿐이다.

우리는 우리의 요구가 관철될 때까지 공격을 계속할 것이다.

우리는 너희의 비밀과 최고 기밀을 포함한 모든 내부 데이터를 확보했다.

우리의 요구를 따르지 않으면 아래와 같은 데이터를 세상에 공개할 것이다.

11월 24일, 11:00 PM(GMT)까지 어떻게 할 것인지 결정하라.

Twitter와 Facebook에 이메일 주소 하나와 다음 문장을 게재하면 그 주소로 연락하겠다.

세계 평화에 크게 이바지하는 God’sApstls(원문 그대로 표기)에게 감사한다.

우리의 정체를 밝히려는 시도만으로도 모든 데이터가 당장 공개될 것이다.”

Volgmer와의 연관성
시만텍이 분석한 일부 Destover 샘플은 과거 여러 Trojan.Volgmer 변종에서 사용했던 C&C 서버와 연관성이 있습니다. 시만텍은 몇 개월간 Trojan.Volgmer를 추적했습니다. Volgmer는 감염된 시스템의 백도어를 열 수 있는 보안 위협으로, 이를 통해 악성 코드가 C&C 서버와 통신하면서 시스템 정보를 검색하고 명령을 실행하며 파일을 업로드하고 실행 파일을 다운로드합니다.

흥미로운 것은 Destover와 같은 C&C 서버를 사용하는 Volgmer 변종이 감염된 시스템의 국가가 “한국”이 아닐 경우 실행을 종료하도록 구성되었다는 점입니다.

Jokra와의 연관성
Destover 공격자는 2013년에 한국에서 발생한 Jokra 공격과 유사한 기법과 구성 요소(예: 파일 이름)를 사용합니다. Jokra는 한국의 몇몇 은행과 방송사에서 서버 장애를 일으키고 한 한국 통신사의 웹 사이트를 손상시키기도 했습니다.

Jokra 공격에 이용된 악성 코드에는 지정된 기간이 만료되어야 하드 드라이브 지우기를 시작하는 코드가 들어 있었습니다. 또한 Destover는 시간차를 두고 지우기를 수행하도록 구성되었습니다. 그 외에도 한국 언론 보도에 따르면, 두 공격에서 다수의 유사한 파일 이름이 사용되었습니다.

Shamoon 공격과의 유사점
Destover는 Shamoon 공격과도 몇 가지 공통점이 있습니다. Destover와 Shamoon 공격에 사용된 악성 코드(W32.Disttrack)는 몇몇 동일한 드라이버를 사용합니다. 이는 악성 파일이 아닌 상용 드라이버입니다. Destover와 Disttrack 모두 파괴적인 악성 코드이지만 두 공격의 배후 조직이 같다는 증거는 없습니다.

시만텍의 보호 방안
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Destover로 탐지합니다.

Backdoor.Destover es un malware destructivo, que fue el tema central de un aviso lanzado hace algunos días por el FBI relacionado con diversos ataques que se presentaron en Corea del Sur. Algunas muestras de Destover reportan a un servidor C&C (comando y control) que también fue utilizado por una versión de Trojan.Volgmer, diseñado para atacar blancos en ese país. El servidor C&C compartido indica que un mismo grupo se podría estar detrás de ambos ataques.

Volgmer es un malware dirigido, presuntamente utilizado por un solo grupo, el cual ha sido utilizado en ataques limitados, posiblemente como una herramienta durante una etapa inicial de reconocimiento. Puede ser utilizado para recopilar información del sistema y descargar archivos para su ejecución. Es importante señalar que la versión de Volgmer, que comparte un servidor C&C con Destover, fue configurada específicamente para atacar blancos en Corea del Sur y solo se ejecuta en computadoras sudcoreanas.

Destover también comparte ciertas técnicas y nombres de componentes con los ataques Jokra, realizados contra Corea del Sur en 2013. Sin embargo, todavía no existe evidencia sólida para vincular los ataques, y una operación similar no podría ser descartada. También existen similitudes con los ataques Shamoon, con ambas ofensivas utilizando los mismos drivers, que están disponibles comercialmente. No obstante, es esta instancia, es poco probable que el mismo grupo está detrás de ambos ataques y al contrario, pareciera que los ataques Destover copiaron técnicas de Shamoon.

Destover en acción

Destover es una forma particular de malware altamente destructivo, que tiene la capacidad de borrar en su totalidad a una computadora infectada. Fue el tema central de un aviso lanzado por el FBI hace unos días y se presume que por lo menos una de sus variantes podría haber sido utilizada para realizar un ataque de alto perfil.

Existen diferentes archivos maliciosos asociados con el reporte Destover del FBI:

• diskpartmg16.exe
• net_ver.dat
• igfxtrayex.exe
• iissvr.exe

Diskpartmg16.exe es el primer archivo que se crea en una computadora infectada y cuando se ejecuta, crea los archivos “net_ver.dat” y “igfxtrayex.exe”.

Cuando “diskpartmg16.exe” se ejecuta, se conecta a varias direcciones IP, dentro de un rango específico IP, así como a computadoras con nombres de en el formato “USSDIX[Machine Name]”. Esto indica que esta variante de Destover no fue desarrollada para diferenciar, y al contrario, el malware ha sido configurado para solo atacar a equipos que pertenecen a la misma organización.

La acción destructiva de Destover se lleva a cabo por parte de “igfxtrayex.exe”. En ciertas instancias, y cuando se ejecuta podría:

• Eliminar todos los archivos en discos fijos y remotos
• Modificar la tabla de partición
• Instalar un módulo adicional (iissvr.exe)
• Conectar un número direcciones IP en los puertos 8080 y 8000

Al mismo tiempo, “iissvr.exe” es una puerta trasera que escucha en el puerto 80. Cuando el atacante se comunica con la computadora comprometida, este archivo despliega un mensaje en inglés, que traducido dice:

“Ya te hemos advertido, y este es solo el comienzo.

Continuaremos hasta que se cumplan nuestras demandas.

Hemos obtenido todos tus datos internos, incluyendo tus secretos más ocultos.

Si no nos obedeces, revelaremos al mundo los datos que se muestran abajo.

Tienes hasta el 24 de noviembre a las 11:00 PM (GMT) para tomar una decisión.

Publica un correo electrónico y la siguiente frase en tu twitter y Facebook, y te contactaremos a través de esa dirección de correo:

Muchas gracias a God’sApstls [sic] por contribuir con este gran esfuerzo a la paz mundial.

Si tratas de rastrearnos, tu información será publicada de inmediato.”

Relación con Volgmer

Algunos ejemplos de Destover, analizados por Symantec, están ligados a un servidor C&C que ha sido utilizado por variantes de Trojan.Volgmer y Symantec lo ha rastreado durante varios meses. Volgmer es una amenaza capaz de abrir una puerta trasera en una computadora infectada, que permite al malware comunicarse con un servidor C&C para obtener información del sistema, ejecutar comandos, subir archivos y descargar archivos para su ejecución.

Es de llamar la atención que las variantes de Volgmer que comparten el servidor C&C con Destover, están configuradas para detener la ejecución si la región de la computadora comprometida no corresponde a Corea.

Relación con Jokra

Los agresores de Destover utilizan distintas técnicas y componentes que son similares a aquellos utilizados durante los ataques de Jokra contra Corea del Sur en 2013. Estos ataques afectaron a servidores pertenecientes a diversos bancos sudcoreanos, organizaciones de comunicación y también truncaron el sitio web de una firma local de telecomunicaciones.

El malware utilizado durante los ataques Jokra, contenía un código que comenzaba a borrar el disco duro hasta después de que expiraba cierto periodo de tiempo. Destover también está configurado para borrar los archivos de manera tardía. Además, diversos medios de comunicación sudcoreanos han reportado que varios archivos con nombres similares fueron utilizados en ambos ataques (liga en idioma coreano).

Similitudes con los ataques Shamoon

Destover también comparte cosas en común con los ataques Shamoon. Tanto Destover como el malware utilizado por los criminales de Shamoon (W32.Disttrack) comparten ciertos drivers. Estos no son archivos maliciosos y son drivers que comercialmente están disponibles. Mientras Destover y Disttrack son formas destructivas de malware, aún no hay evidencia que sugiera que el mismo grupo está detrás de ambos ataques.

Protección de Symantec

Los productos de Symantec y Norton detectan esta amenaza como Backdoor.Destover.