Category Archives: Security Response News

??????????????: ????????????????????

      No Comments on ??????????????: ????????????????????

francophone_comicstrip.png

2013 年 4 月、フランスに本拠を置く多国籍企業のバイスプレジデント秘書の元に 1 通のメールが届きました。メールには、大手のファイル共有サービスにアップロードされている請求書へのリンクがありました。数分後、同じ秘書に別のバイスプレジデントから電話がかかり、その請求書を調べて処理するよう指示がありました。バイスプレジデントは毅然とした口調で完璧なフランス語を話しましたが、実はこの請求書は偽物で、バイスプレジデントと名乗って電話をかけてきた人物が攻撃者でした。

請求書と言われたファイルの正体はリモートアクセス型のトロイの木馬(RAT)で、ウクライナにあるコマンド & コントロール(C&C)サーバーにアクセスするように設定されていました。攻撃者は RAT を使ってこの秘書のコンピュータに侵入し、キーストロークを記録する、デスクトップをのぞき見る、ファイルを参照して手に入れるといった直接制御に成功したことになります。

電子メールを送りつけた直後に流暢なフランス語で電話をかけるという今回の戦術はきわめて異例であり、ソーシャルエンジニアリングの先鋭化が見てとれます。シマンテックセキュリティレスポンスが、ヨーロッパの組織を標的にするこのタイプの攻撃について初めての例を詳しくお伝えしたのは、2013 年 5 月のことでした。その後の調べで、この攻撃の詳細な手口がわかってきました。動機は金銭の詐取で、攻撃は今もなお続いています。

 

大胆な手口

多くの企業と、その取引先である銀行は、不正な送金を防ぐための防御手段を講じています。しかし攻撃者は、その防御ラインをひとつひとつ打破するために、さらに大胆なソーシャルエンジニアリングの手口を繰り出すようになりました。たとえば、ある手口は以下のように実行されました。

  • 攻撃者はまず、RAT を使って企業内のシステムに侵入します。
  • システムが RAT に感染すると、攻撃者は企業の取引先銀行や通信プロバイダを特定できる情報(ディザスタリカバリ計画を含む)、プロバイダと銀行の担当者の連絡先やアカウントデータを取得します。
  • このデータを使うと攻撃者は企業の担当者に偽装することができ、契約先の通信プロバイダに電話します。攻撃者は通信プロバイダに身元を証明し、物理的な災害が発生したと説明して自社の電話番号をすべて転送するよう依頼しますが、その転送先は攻撃者の管理下にある電話です。
  • 電話番号の転送に続いてすぐ、攻撃者は企業の取引先銀行に FAX を送り、多数の海外口座への高額な電信送金をいくつも依頼します。
  • この取引が異常であることから、銀行の担当者は記録にある企業の番号に電話をかけ、取引を確認します。この電話も攻撃者に転送され、攻撃者は取引を承認します。
  • 複数の海外口座への電子送金が実行され、その資金は他の口座や金融機関を経てロンダリングされます。

別の例では、攻撃者は送金のために社内の専用システムを使う必要がありました。2 段階認証としてドングルが使われているためです。この攻撃の手順は以下のとおりです。

  • 攻撃者は、IT スタッフに偽装して被害者に電話をかけ、送金システムの一部でシステムメンテナンスが必要になったと連絡します。
  • このとき攻撃者は、顧客の個人情報保護を盾にとって、メンテナンスの実行中はコンピュータの画面をオフにしておく必要があると説明します。
  • モニターがオフになっている間に、攻撃者は被害者の持つ有効なアクセス権を使って社内システムを操作し、海外口座への高額な送金を実行します。

また別の例では、攻撃者はマルウェアをまったく使いませんでした。この攻撃の手順は以下のとおりです。

  • 攻撃者は行員の 1 人に偽装して実際の行員に電子メールを送信し、銀行のコンピュータシステムがアップグレードされると連絡します。このメールは申し分のないフランス語で書かれています。
  • 翌日、攻撃者は電子メールを送信した相手に電話をかけ、同じ銀行の同僚であると名乗ったうえで電信送金の「テスト」を依頼します。
  • 「テスト」と称された電信送金で、実際には海外口座に資金が送られてしまいます。

 

被害状況

攻撃に関する調査によると、被害を受けたのはフランスに拠点を置く数社の企業でした。攻撃者の目的は、企業の会計部門または同等の部門から海外口座に電信送金させることにありました。

Franco1.png

図 1. フランス語話者による金銭詐取攻撃の標的となった業種

ほとんどの場合、最初の被害者は企業内の秘書または会計士でした。最初の被害者が送金の権限を持たない場合、攻撃者はその被害者の資格情報を使って、会計部門の中で送金の権限を持つ従業員を探し出します。攻撃者は、さらに次のソーシャルエンジニアリング行為によって、個人のコンピュータに侵入を果たしていました。

 

移動しながらの攻撃

電子メールと C&C のトラフィックを調べたところ、攻撃者はイスラエルに拠点を置いている、またはイスラエルを経由して攻撃を行っていることが判明しました。しかし、発信元 IP アドレスがイスラエルにあるというのは普通ではありません。イスラエル国内通信会社の携帯電話加入者のネットブロック内にあるからです。そして、この攻撃が実際にはモバイルネットワークから発信されていること、しかも攻撃者が MiFi カードを使っているという重大な事実も、トラフィック解析で確認されました。

operation_of_C&C_server.png

図 2. フランス語話者による金銭詐取攻撃の C&C トラフィック

MiFi カードは、GSM セルラー無線機(GSM 電話と同等)であり、携帯電話ネットワークを通じてコンピュータシステムにインターネットアクセスすることができます。そのため、MiFi カード用の GSM SIM カードをバザーや個人販売で現金購入すれば、攻撃者は匿名性を確保できることになります。全世界の 3G プロバイダの多くは、プリペイド方式のデータ通信プランを用意しており、購入するとき身元証明が不要です。したがって、通信記録から個人を特定されることはありません。

さらに驚くべきことに、トラフィック解析からは、この攻撃者が攻撃を実行しながら常に移動していたことまで判明しています。このような防衛技術を利用されてしまうと、攻撃者の追跡はきわめて難しくなります。サイバー犯罪にこのような技術が使われるというのは、攻撃者が用いる手口がますます巧妙になっていることの表れです。移動中の MiFi カードを発見するには、特殊な機器を使う常駐の人物が待機する必要があり、通信プロバイダからも情報の援助を受けて MiFi カードの位置を検算しながら特定しなければなりません。

フランス語話者による金銭詐取は、サイバー犯罪者の活動がさらに高度になりつつあることを示す好例であり、この傾向は今後も続くと見込まれます。

今回の調査にご協力くださった Computer Emergency Response Team of Ukraine(CERT-UA)に感謝の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cynical Spammers Exploit Deepening Syria Crisis

      No Comments on Cynical Spammers Exploit Deepening Syria Crisis

As the international community coordinates its response to the deepening crisis in Syria, scammers have once again demonstrated their skill at using current, high-profile events to their advantage. We have previously covered these methods in regards to Egypt, Libya, and the Rugby World Cup.

We recently identified a scam message that claimed to be from The Red Cross. The message explains how the conflict is creating a humanitarian crisis and urges people to support The Red Cross and The Red Crescent.

SyriaScam.png

Curiously, the email includes a link to the actual British Red Cross website, but urges that donations over £500 GBP ($775 USD) be sent through MoneyGram or Western Union money transfer services.

The British Red Cross does currently have an appeal for donations for victims of the conflict in Syria but it does not use these payment services.

Anyone considering supporting charities should be cautious and make sure that they are using the charity’s official website.

We have also seen other scams claiming to be from people in Syria, looking for help in moving money out of the country, ostensibly to protect their wealth or to start up a business. These scams promise a share of the sender’s vast fortune and use the seriousness of the situation to try to solicit a prompt reply. Remember, if an offer sounds too good to be true, it usually is.

Francophoned – A Sophisticated Social Engineering Attack

      No Comments on Francophoned – A Sophisticated Social Engineering Attack

In April 2013, the administrative assistant to a vice president at a French-based multinational company received an email referencing an invoice hosted on a popular file sharing service. A few minutes later, the same administrative assistant received …

Changeup ??????

      No Comments on Changeup ??????

シマンテックは長い間、W32.Changeup シリーズのワームに対する取り組みを続けており、このブログでも今までに何度となくお伝えしてきました(参照 1参照 2)。
 

image1_10.png

図 1. W32.Changeup.C の発生状況
 

W32.Changeup は Microsoft Visual Basic 6.0 で記述されており、そのプログラムコードのうち感染機能を担う部分が、不明瞭化されてはいるものの、プログラムファイル中で見えているという特徴があります。ところが、W32.Changeup の歴史で初めて、ファイルのプログラムコード中で感染機能の部分が見えない新しい亜種が発見されました。

プログラムファイルはネイティブコード(Intel X86 のコード)で作成されており、起動オブジェクトは ‘Form605’ に設定されています。
 

image2_5.png

図 2. X86 命令で書かれたプログラムファイルの起動コードが見える
 

このコードを実行すると、一度プログラムが実行されたメモリは完全に上書きされます。
 

image3_5.png

図 3. プログラム中の起動コードがメモリに
 

置き換えられるプログラムも Visual Basic 6.0 で作成されていますが、これは P コード(擬似コード)で作成されており、起動オブジェクトは ‘Sub Main’ です。

メモリ上のプログラムは純粋な W32.Changeup であり、不明瞭化されていません。接続先のドメイン名を除いて文字列はまったく暗号化されておらず、冗長な文字列連結もありません。
 

image4_1.png

図 4. ベア文字列がグローバル変数文字列 Me(204) と Me(860) にコピーされる
 

この例でグローバル変数にコピーされるのは、’connect’ と ‘CreateToolhelp32Snapshot’ というベア文字列です。このような純粋な形の W32.Changeup は、長らくお目に掛かっていません。作成者は、プログラムファイルで見えなくなるので、もう文字列を隠す必要もないと考えたようです。もちろん、冗長な文字列結合や無意味な API 呼び出しなど、他の不明瞭化方法もメモリ上では必要ありません。

W32.Changeup は以前と同じように機能しますが、ポリモーフィズムに関しては例外です。1 つ前の世代の W32.Changeup は強力なポリモーフィズムの機能を備えていました。ダミーのフォーム名などとして使われる 3 つのランダムな文字列を置き換え、プログラムファイル中では新しいランダムな文字列で出現するため、複数の相違がある新しいファイルが生成されていました。たとえば、Visual Basic のフォームとモジュールを作成するそのような文字列がどこに置かれていても、この置き換えはファイルに影響します。ウイルス定義でこのような可変文字列を網羅したとしても、サンプルから派生した亜種を検出することはできません。セキュリティの専門家がポリモーフィックワームに特に注目してきたのも、これが理由です。

最新版の W32.Changeup は、この強力なポリモーフィズム機能を捨て去っています。自身をコピーするときに、文書ファイルや画像、動画に偽装するために、プログラムファイルの resource セクションでアイコンを変更するだけです。
 

image5_2.png

図 5. W32.Changeup が偽装のために使うアイコン(低画質である点に注意)
 

シマンテックは、これらのファイルを W32.Changeup!gen44 として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Windows ???????????????????????

      No Comments on Windows ???????????????????????

ランサムウェアは全世界で問題になっていますが、中国語で書かれたものはあまり例がありません。最近、シマンテックセキュリティレスポンスは新しいタイプの Ransomlock マルウェアを発見しました。中国から発信されているという点で新しいだけでなく、コンピュータのロックを解除するためにユーザーに支払いを強要するときにも新しい手口が使われています。

このマルウェアは簡易プログラミング言語で書かれており、大部分は中国語インスタントメッセージの大手プロバイダを通じて拡散しています。コンピュータが感染すると、このマルウェアは現在のユーザーのログイン情報を変更し、新しいログイン情報でシステムを再起動します。ログインパスワードは「tan123456789」に書き換えられますが(これは、シマンテックが確保したサンプルにハードコードされていました)、作成者がマルウェアを更新すれば、パスワードも更新される可能性があります。アカウント名は「パスワードを知りたかったら [IM アカウントユーザー ID] にアクセス」という内容の言葉に変更されます。コンピュータを再起動するとユーザーはログインできなくなり、このアカウント名(メッセージ)が表示されて、新しいパスワードを入手するにはこのユーザー ID にアクセスするようにと指示されます。

Figure1_Edit.png

図 1. システムの再起動後にアカウント名が変更されたログイン画面

指定されたユーザー ID にアクセスすると、これはほぼ間違いなくマルウェアの作成者であり、そのプロフィールページにおよそ 20 元(約 320 円)を要求するメッセージが表示されています。メッセージには、送金を受け取りしだいログインパスワードを送信するという内容に加え、マルウェアの作成者を通報したりした場合にはユーザーは遮断されるとも書かれています。

シマンテックは、この脅威を Trojan.Ransomlock.AF として検出します。この脅威にすでに感染してしまった場合には、システムアクセスを回復する方法がいくつかあります。

  1. パスワード「tan123456789」を使ってシステムにログインし、パスワードをリセットする(すでに述べたように、マルウェアの作成者がパスワードを変更する可能性があるため、この方法は必ずしも有効とは限らない)。
  2. 別の管理者アカウントを使ってシステムにログインし、パスワードをリセットする。
  3. 現在のアカウントがスーパー管理者のアカウントでない場合は、セーフモードで起動してスーパー管理者としてログインし、パスワードをリセットする。
  4. Windows リカバリディスクを使ってパスワードをリセットする。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

ZeroAccess?P2P ???????????????

      No Comments on ZeroAccess?P2P ???????????????

ZeroAccess は、これまでも常に P2P プロトコルを使って侵入先のコンピュータに悪質なペイロードを拡散してきました。P2P プロトコルを使うと、悪質なペイロードを配布する際に中央のコマンド & コントロール(C&C)サーバーを管理する必要がなくなるからです。2011 年には、ZeroAccess の P2P プロトコルは TCP 上で通信されていましたが、2012 年の第 2 四半期に、UDP を使うように変更されました。2013 年 6 月 29 日を迎えるまで、ZeroAccess の P2P に対する大きい更新はこれが最終でした。

シマンテックは、発見以来 ZeroAccess の P2P ネットワークを厳重に監視し続けています。2013 年 6 月 29 日、シマンテックは ZeroAccess ピアで新しいモジュールが拡散していることを確認しました。このときの通信にはポート 16464 と 16465 で動作する UDP ベースの P2P ネットワークが使われていましたが、ZeroAccess はポート 16470 と 16471 で動作する UDP ベースネットワークも確保しています。ZeroAccess のピアは同じネットワークに接続された他のピアと通信するので、ピアどうしがネットワーク上で通信することはありません。

6 月 29 日に発見されたモジュールは、ZeroAccess の P2P 機能を更新し、P2P ネットワークの堅牢性を高くして外部からの操作に対する耐性を強化するものです。2013 年 6 月 29 日に実施され、ZeroAccess の P2P 機能に影響する主なコード変更を以下にまとめます。

  • サポートされる P2P プロトコルメッセージの数が、3 つから 2 つに減った。
  • セカンダリの内部ピアリストが使われるようになり、リストに含めることができるピアの IP アドレスが 256 個から 1,600 万個に増えた。
  • セカンダリの内部ピアリストは、Windows NTFS の代替データストリームとして格納されている。
  • ZeroAccess のピアが他のピアと通信する方法のロジックが変更された。
  • 悪質なファイルをダウンロードする TCP 接続に、エラーチェックとタイムアウトが追加された。

既存のピアについては UDP 16464/16465 のピアネットワーク上でコードの更新を利用できるほか、2013 年 6 月 29 日以降は、UDP 16464/16465 を対象としてコンピュータを ZeroAccess に感染させる ZeroAccess インストーラにも、新しい P2P プロトコルとコード変更が含まれていることが確認されています。

興味深いことに、ZeroAccess の UDP 16470/16471 ネットワークにはまだコード更新が適用されていません。UDP 16470/16471 を対象とする新しい ZeroAccess インストーラのサンプルにも、新しいコードは含まれていません。これまでは、UDP 16464/16465 と UDP 16470/16471 のネットワークはほぼ同じ時期に新機能とコード変更を適用されるのが通例でした。

ZeroAccess の作成者が今回の更新で実施したコード変更は、ZeroAccess に関して公開された研究に対応したため、または作成者がコード中に明らかな弱点を発見したためと考えられます。今回の変更は、ZeroAccess が今もなお鋭意開発中であり、依然として脅威であることの証拠とも言えます。シマンテックは、ZeroAccess の開発が今後も続くものと予測し、この脅威に変化が起きないかどうか全力で監視を続ける予定です。

次節では、P2P プロトコルについて技術的に詳しく説明し、ZeroAccess で実施された関連のコード変更についてもまとめます。
 

変更された P2P プロトコル

2012 年に発見されたとき、ZeroAccess の UDP ベース P2P プロトコルは getL、retL、newL の 3 つのメッセージタイプをサポートしていました。このメッセージについては多くのセキュリティ研究で説明されており、プロトコルの欠陥、特に newL メッセージタイプに関する欠陥も指摘されています。newL タイプのメッセージは、ZeroAccess がピア間で直接ルーティング可能な IP アドレス(スーパーノードまたはスーパーピアとも言う)を共有するために使われます。newL メッセージを受け取ったピアは、newL メッセージタイプに含まれている IP アドレスを内部のピアリストに追加します。ピアは newL メッセージを既知の他のピアにも転送し、メッセージの効果が増強されます。6 月 29 日より前には、newL メッセージを作成して ZeroAccess のピアに送信すると、感染した ZeroAccess ピアの内部ピアリストに悪質な IP アドレスを追加することができ、その悪質な newL メッセージを ZeroAccess ピアに拡散させることができました。

新しい P2P プロトコルではこの newL メッセージタイプが削除され、ボットネットが悪質なピアの IP を除外できるようになっています。
 

内部ピアリストの拡張

ZeroAccess の P2P プロトコルについて以前から指摘されていたもうひとつの欠点は、内部のピアリストが固定サイズだったことです。6 月 29 日の更新より前、ZeroAccess の内部ピアリストは上限が 256 ピアでした。同日以降はセカンダリのピアリストが追加されてメモリも確保され、1,600 万ピアの IP アドレスを保持できるようになっています。256 ピアのリストは引き続き、ピアの「ワーキングセット」として存続し、定期的にアクセスされています。セカンダリのピアリストは、冗長性の目的で使われているのです。

ピアリストの上限が 256 ピアだったときには、ZeroAccess を十分にクリーンアップすれば、ZeroAccess ピアを P2P ネットワークから切断することが現実に可能でした。256 個の既知のピアはいずれも、オンラインではなかったからです。また、ZeroAccess ピアの 256 個の内部ピアリストを悪質な IP アドレスに置き換えることも、理屈のうえでは可能でした。セカンダリのピアリストの追加で、このどちらも難しくなっています。

セカンダリのピアリストは、256 ピアのワーキングセットとともにディスクに書き込まれます。6 月 29 日より前には、内部ピアリストに記載された 256 個のピアは「@」という名前のファイルに保存されていました。同日以降も @ ファイルは存在し、ワーキングセットに含まれる 256 ピアの IP アドレスが記載されています。セカンダリのピアリストは、最大で 1,600 万個の IP アドレスを含み、@ ファイルの NTFS 代替データストリームとして保存されます。この NTFS 代替データストリームも、@ というファイル名を使っています。
 

実行時のピアの接続動作を変更

6 月 29 日より前には、ZeroAccess の内部ピアリストにある 256 ピアのうち 1 つに毎秒 getL を使って接続し、新しい悪質なモジュール上のデータと、新しい ZeroAccess ピアの IP アドレスを確認していました。この動作は同日以降にも続いていますが、いずれかのリモートピアがメッセージに応答する場合、応答しているそのピアの IP アドレスと応答時のタイムスタンプがセカンダリのピアリストに追加されます。

セカンダリの接続先リストにある IP には、ZeroAccess の最初の起動時にも接続されます。起動時には、セカンダリのピアリストから 1 秒ごとに 16 個もの IP アドレスが接続されます。このセカンダリのピアリスト通信は、感染したホストに少なくとも 16 個のリモートピアが応答するまで続きます。感染したピアに 16 個のリモートピアが接続を完了すると、セカンダリのリストにあるピアは、感染したコンピュータが再起動されるまで接続しなくなります。ワーキングセットの 256 ピアによる通常の定期的な接続の一環としてリモートピアが応答すると、セカンダリのピアリストは追加を続行され、更新されます。この動作によって、ZeroAccess クライアントはすでに接続したことのあるピアの膨大なリストを冗長性のために保持し続けますが、ZeroAccess ネットワークを通じて悪質なペイロードを急速に拡散するために、256 ピアの小さいワーキングセットも引き続き使われています。

実行時のピア接続動作についてもうひとつの変更は、接続先ピアの状態テーブルが記録されることです。ZeroAccess のピアは引き続き大量の getL メッセージをリモートピアに送信しており、応答として retL メッセージを受信するものと想定します。retL 応答には、悪質なペイロードのメタデータと、新しいピアの IP アドレスが含まれています。6 月 29 日より前には、感染したピアは任意の IP アドレスから任意の UDP メッセージを受信していました。これは、感染したホストがそのリモート IP アドレスに以前に接続したことがあるかどうかを問いませんでした。6 月 29 日以降も、ZeroAccess のピアは任意のリモート IP から getL メッセージを受信しますが、retL メッセージについては、受信側のピアが以前に getL メッセージを送信したことがある IP アドレスからのみ受信します。基本的に、ZeroAccess ピアが getL メッセージをリモート IP アドレスに送信すると、そのリモート IP アドレスはメモリ内のテーブルに追加されます。ZeroAccess ピアが retL メッセージを受け取ると、以前に getL メッセージを送ったことがある送信先の IP アドレスのテーブルがスキャンされ、retL メッセージを送信したピアの IP アドレスがそのテーブルに存在しなければ、retL メッセージを受け取った ZeroAccess ピアはそれを無視します。この変更によって、大量送信される retL メッセージは無視されるので、悪質な IP アドレスを送信する手段として(以前のプロトコルで newL メッセージが使われていたのと同じように)retL メッセージを使うことは、ますます難しくなっているのです。
 

ペイロードファイル転送の耐性が向上

ZeroAccess のピアには、リモートホストから悪質なペイロードをダウンロードしないよう確認するチェックが含まれています。ペイロードファイルのメタデータは retL メッセージに含まれ、デジタル署名されているので容易には偽造されません。また、悪質なペイロードファイル自体もデジタル署名されており、ファイルのダウンロード後に署名がチェックされます。デジタル署名は、悪質なピアが実行可能な任意のモジュールを P2P ネットワークに引き込んでしまわないように防いでいます。6 月 29 日のコード変更で、TCP ファイル転送の完了までに時間がかかりすぎないよう確認するチェックも追加されました。この変更は、一種のサービス拒否攻撃を防ぐことを目的としていると考えられます。つまり、悪質なピアが ZeroAccess のピアを欺き、悪質なピアから大量のファイルをダウンロードするよう仕向けて、結果的にファイルの配信速度を遅らせるという攻撃です。この攻撃を使えば、感染したコンピュータ上ですべての TCP ポートを占有し、意図された悪質なペイロードをダウンロードできなくさせることが可能です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

ZeroAccess?P2P ???????????????

      No Comments on ZeroAccess?P2P ???????????????

ZeroAccess は、これまでも常に P2P プロトコルを使って侵入先のコンピュータに悪質なペイロードを拡散してきました。P2P プロトコルを使うと、悪質なペイロードを配布する際に中央のコマンド & コントロール(C&C)サーバーを管理する必要がなくなるからです。2011 年には、ZeroAccess の P2P プロトコルは TCP 上で通信されていましたが、2012 年の第 2 四半期に、UDP を使うように変更されました。2013 年 6 月 29 日を迎えるまで、ZeroAccess の P2P に対する大きい更新はこれが最終でした。

シマンテックは、発見以来 ZeroAccess の P2P ネットワークを厳重に監視し続けています。2013 年 6 月 29 日、シマンテックは ZeroAccess ピアで新しいモジュールが拡散していることを確認しました。このときの通信にはポート 16464 と 16465 で動作する UDP ベースの P2P ネットワークが使われていましたが、ZeroAccess はポート 16470 と 16471 で動作する UDP ベースネットワークも確保しています。ZeroAccess のピアは同じネットワークに接続された他のピアと通信するので、ピアどうしがネットワーク上で通信することはありません。

6 月 29 日に発見されたモジュールは、ZeroAccess の P2P 機能を更新し、P2P ネットワークの堅牢性を高くして外部からの操作に対する耐性を強化するものです。2013 年 6 月 29 日に実施され、ZeroAccess の P2P 機能に影響する主なコード変更を以下にまとめます。

  • サポートされる P2P プロトコルメッセージの数が、3 つから 2 つに減った。
  • セカンダリの内部ピアリストが使われるようになり、リストに含めることができるピアの IP アドレスが 256 個から 1,600 万個に増えた。
  • セカンダリの内部ピアリストは、Windows NTFS の代替データストリームとして格納されている。
  • ZeroAccess のピアが他のピアと通信する方法のロジックが変更された。
  • 悪質なファイルをダウンロードする TCP 接続に、エラーチェックとタイムアウトが追加された。

既存のピアについては UDP 16464/16465 のピアネットワーク上でコードの更新を利用できるほか、2013 年 6 月 29 日以降は、UDP 16464/16465 を対象としてコンピュータを ZeroAccess に感染させる ZeroAccess インストーラにも、新しい P2P プロトコルとコード変更が含まれていることが確認されています。

興味深いことに、ZeroAccess の UDP 16470/16471 ネットワークにはまだコード更新が適用されていません。UDP 16470/16471 を対象とする新しい ZeroAccess インストーラのサンプルにも、新しいコードは含まれていません。これまでは、UDP 16464/16465 と UDP 16470/16471 のネットワークはほぼ同じ時期に新機能とコード変更を適用されるのが通例でした。

ZeroAccess の作成者が今回の更新で実施したコード変更は、ZeroAccess に関して公開された研究に対応したため、または作成者がコード中に明らかな弱点を発見したためと考えられます。今回の変更は、ZeroAccess が今もなお鋭意開発中であり、依然として脅威であることの証拠とも言えます。シマンテックは、ZeroAccess の開発が今後も続くものと予測し、この脅威に変化が起きないかどうか全力で監視を続ける予定です。

次節では、P2P プロトコルについて技術的に詳しく説明し、ZeroAccess で実施された関連のコード変更についてもまとめます。
 

変更された P2P プロトコル

2012 年に発見されたとき、ZeroAccess の UDP ベース P2P プロトコルは getL、retL、newL の 3 つのメッセージタイプをサポートしていました。このメッセージについては多くのセキュリティ研究で説明されており、プロトコルの欠陥、特に newL メッセージタイプに関する欠陥も指摘されています。newL タイプのメッセージは、ZeroAccess がピア間で直接ルーティング可能な IP アドレス(スーパーノードまたはスーパーピアとも言う)を共有するために使われます。newL メッセージを受け取ったピアは、newL メッセージタイプに含まれている IP アドレスを内部のピアリストに追加します。ピアは newL メッセージを既知の他のピアにも転送し、メッセージの効果が増強されます。6 月 29 日より前には、newL メッセージを作成して ZeroAccess のピアに送信すると、感染した ZeroAccess ピアの内部ピアリストに悪質な IP アドレスを追加することができ、その悪質な newL メッセージを ZeroAccess ピアに拡散させることができました。

新しい P2P プロトコルではこの newL メッセージタイプが削除され、ボットネットが悪質なピアの IP を除外できるようになっています。
 

内部ピアリストの拡張

ZeroAccess の P2P プロトコルについて以前から指摘されていたもうひとつの欠点は、内部のピアリストが固定サイズだったことです。6 月 29 日の更新より前、ZeroAccess の内部ピアリストは上限が 256 ピアでした。同日以降はセカンダリのピアリストが追加されてメモリも確保され、1,600 万ピアの IP アドレスを保持できるようになっています。256 ピアのリストは引き続き、ピアの「ワーキングセット」として存続し、定期的にアクセスされています。セカンダリのピアリストは、冗長性の目的で使われているのです。

ピアリストの上限が 256 ピアだったときには、ZeroAccess を十分にクリーンアップすれば、ZeroAccess ピアを P2P ネットワークから切断することが現実に可能でした。256 個の既知のピアはいずれも、オンラインではなかったからです。また、ZeroAccess ピアの 256 個の内部ピアリストを悪質な IP アドレスに置き換えることも、理屈のうえでは可能でした。セカンダリのピアリストの追加で、このどちらも難しくなっています。

セカンダリのピアリストは、256 ピアのワーキングセットとともにディスクに書き込まれます。6 月 29 日より前には、内部ピアリストに記載された 256 個のピアは「@」という名前のファイルに保存されていました。同日以降も @ ファイルは存在し、ワーキングセットに含まれる 256 ピアの IP アドレスが記載されています。セカンダリのピアリストは、最大で 1,600 万個の IP アドレスを含み、@ ファイルの NTFS 代替データストリームとして保存されます。この NTFS 代替データストリームも、@ というファイル名を使っています。
 

実行時のピアの接続動作を変更

6 月 29 日より前には、ZeroAccess の内部ピアリストにある 256 ピアのうち 1 つに毎秒 getL を使って接続し、新しい悪質なモジュール上のデータと、新しい ZeroAccess ピアの IP アドレスを確認していました。この動作は同日以降にも続いていますが、いずれかのリモートピアがメッセージに応答する場合、応答しているそのピアの IP アドレスと応答時のタイムスタンプがセカンダリのピアリストに追加されます。

セカンダリの接続先リストにある IP には、ZeroAccess の最初の起動時にも接続されます。起動時には、セカンダリのピアリストから 1 秒ごとに 16 個もの IP アドレスが接続されます。このセカンダリのピアリスト通信は、感染したホストに少なくとも 16 個のリモートピアが応答するまで続きます。感染したピアに 16 個のリモートピアが接続を完了すると、セカンダリのリストにあるピアは、感染したコンピュータが再起動されるまで接続しなくなります。ワーキングセットの 256 ピアによる通常の定期的な接続の一環としてリモートピアが応答すると、セカンダリのピアリストは追加を続行され、更新されます。この動作によって、ZeroAccess クライアントはすでに接続したことのあるピアの膨大なリストを冗長性のために保持し続けますが、ZeroAccess ネットワークを通じて悪質なペイロードを急速に拡散するために、256 ピアの小さいワーキングセットも引き続き使われています。

実行時のピア接続動作についてもうひとつの変更は、接続先ピアの状態テーブルが記録されることです。ZeroAccess のピアは引き続き大量の getL メッセージをリモートピアに送信しており、応答として retL メッセージを受信するものと想定します。retL 応答には、悪質なペイロードのメタデータと、新しいピアの IP アドレスが含まれています。6 月 29 日より前には、感染したピアは任意の IP アドレスから任意の UDP メッセージを受信していました。これは、感染したホストがそのリモート IP アドレスに以前に接続したことがあるかどうかを問いませんでした。6 月 29 日以降も、ZeroAccess のピアは任意のリモート IP から getL メッセージを受信しますが、retL メッセージについては、受信側のピアが以前に getL メッセージを送信したことがある IP アドレスからのみ受信します。基本的に、ZeroAccess ピアが getL メッセージをリモート IP アドレスに送信すると、そのリモート IP アドレスはメモリ内のテーブルに追加されます。ZeroAccess ピアが retL メッセージを受け取ると、以前に getL メッセージを送ったことがある送信先の IP アドレスのテーブルがスキャンされ、retL メッセージを送信したピアの IP アドレスがそのテーブルに存在しなければ、retL メッセージを受け取った ZeroAccess ピアはそれを無視します。この変更によって、大量送信される retL メッセージは無視されるので、悪質な IP アドレスを送信する手段として(以前のプロトコルで newL メッセージが使われていたのと同じように)retL メッセージを使うことは、ますます難しくなっているのです。
 

ペイロードファイル転送の耐性が向上

ZeroAccess のピアには、リモートホストから悪質なペイロードをダウンロードしないよう確認するチェックが含まれています。ペイロードファイルのメタデータは retL メッセージに含まれ、デジタル署名されているので容易には偽造されません。また、悪質なペイロードファイル自体もデジタル署名されており、ファイルのダウンロード後に署名がチェックされます。デジタル署名は、悪質なピアが実行可能な任意のモジュールを P2P ネットワークに引き込んでしまわないように防いでいます。6 月 29 日のコード変更で、TCP ファイル転送の完了までに時間がかかりすぎないよう確認するチェックも追加されました。この変更は、一種のサービス拒否攻撃を防ぐことを目的としていると考えられます。つまり、悪質なピアが ZeroAccess のピアを欺き、悪質なピアから大量のファイルをダウンロードするよう仕向けて、結果的にファイルの配信速度を遅らせるという攻撃です。この攻撃を使えば、感染したコンピュータ上ですべての TCP ポートを占有し、意図された悪質なペイロードをダウンロードできなくさせることが可能です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Instascam: Instagram para PC lidera pesquisa de Scam

      No Comments on Instascam: Instagram para PC lidera pesquisa de Scam

O Instagram – rede social para compartilhar fotos e vídeos, adquirido pelo Facebook – é alvo de Spam e golpes digitais. Essa semana, foi compartilhado um anúncio em in-stream para um programa chamado Instagram para PC (Instagram for PC) na linha do tempo do Facebook. Esta aplicação alega executar o Instagram em um emulador, de modo que os usuários de PCs possam acessar o serviço sem utilizar um aparelho de celular.

Instascam 1 edit.png

Figura 1. Instagram para PC

Ao tentar baixar uma cópia do Instagram para PC, é possível observar dois arquivos maliciosos distintos:

Arquivo n º 1: Missing Dynamic Link Library (.dll) File

O primeiro golpe é um grande arquivo RAR empacotado em uma série de bibliotecas de vínculo dinâmico (.DLL), juntamente com a suposta aplicação. Quando um usuário tenta executar o aplicativo, ele é recebido com o que se parece com uma tela de login para o Instagram.

Instascam 2.png

Figura 2. Tela de Login do Instagram para PC

Na realidade, essa tela de login é uma farsa. Se um usuário tenta fazer o acesso, recebe um falso “Erro Fatal 2.4.5” da mensagem, alegando que falta um arquivo.

Instascam 3.png

Figura 3. Falso erro de mensagem para o Instagram para PC

Ao selecionar “Sim” na caixa de diálogo para a arquivo que está faltando, os usuários são redirecionados para uma página que discute o erro e como ele pode ser corrigido.

Instascam 4.png

Figura 4. Falsa página de erro

A linguagem utilizada para explicar o erro é suspeita. Ainda, a mesma página de erro afirma que, se a transferência “não funcionar”, o usuário deve clicar em uma variedade de opções de compartilhamento social, antes de tentar o download novamente.

Quando o usuário tenta baixar o arquivo. Dll que falta, ele é convidado a preencher um questionário.

Instascam 5.png

Figura 5. Scam do Instagram para PC

Arquivo n º 2: Ativar o Instagram

A segunda ameça maliciosa é a mais recente versão do Instagram para PC, que afirma que, para o aplicativo funcionar, o usuário precisa “ativar” o Instagram. Na parte inferior do aplicativo há ainda um aviso em vermelho que o serviço “não está ativo.”

Instascam 6.png

Ao clicar em “Clique aqui para ativar”, uma nova janela pop-up se abre e pede ao usuário para “completar a oferta rápida ou pesquisa”, a fim de ativar o Instagram.

Ambas as supostas versões do Instagram para PC não entregam o que foi prometido. Este é apenas mais um veículo utilizado pelos scammers para convencer os usuários a preencher os questionários, com o objetivo de obter dinheiro por meio de programas ilícitos.

Mais de 4.000 pessoas no mundo já postaram sobre o Instagram para PC no Twitter e no Facebook, e mais de 2.000 usuários compartilharam no Google+.

Instascam 7.png

Figura 7. Ícones de compartilhamento social sobre o Site Instagram para PC

Ao usuário que baixou os arquivos, não há funcionalidade maliciosa atrelada ao software, como um keylogger ou backdoor. Os produtos da Symantec detectam estes arquivos como Downloader.MisleadApp.

Para os usuários de PC que pretendem acessar o Instagram de seu computador, não procurem mais o endereço instagram.com. O acesso deve ser feito no próprio site que fornece o serviço em qualquer navegador e em qualquer plataforma.

Para os usuários das redes sociais, é importante ter cuidado com os golpistas que tentam encontrar formas de convencê-lo a fornecer os seus dados de login, instalar aplicativos, ou copiar e colar o código em páginas da Web. Além disso, é importante não clicar em links suspeitos e relatar quaisquer links suspeitos usando a funcionalidade de relatórios dentro do Facebook e outras redes sociais.

Chinese Ransomlock Malware Changes Windows Login Credentials

      No Comments on Chinese Ransomlock Malware Changes Windows Login Credentials

Although ransomware has become an international problem, we rarely see Chinese versions. Recently, Symantec Security Response noticed a new type of ransomlock malware that not only originates from China but also uses a new ransom technique to force use…