Does the title of this blog post have a mysterious meaning? Not exactly. In this first part about the gray-zone of Android malware detections, I will introduce the Android:SecApk, a detection regarding the protection that the App Shield (Bangcle) offers to Android applications (.apk). This detection has a big sample set that is still growing. […]
Your world is on your mobile devices and PC: Your family photos, home videos, documents and emails. Unfortunately, you can lose it in an instance. For those folks who haven’t backed up their files, that means disaster. Today is World BackUp Day. Be prepared. Backup your files on March 31st. Did you know? 113 cellphones are […]
On the back of Cryptolocker’s (Trojan.Cryptolocker) perceived success, malware authors have been turning their attention to writing new ransomcrypt malware. The sophisticated CryptoDefense (Trojan.Cryptodefense) is one such malware. CryptoDefense appeared in late February 2014 and since that time Symantec telemetry shows that we have blocked over 11,000 unique CryptoDefense infections. Using the Bitcoin addresses provided by the malware authors for payment of the ransom and looking at the publicly available Bitcoin blockchain information, we can estimate that this malware earned cybercriminals over $34,000 in one month alone (according to Bitcoin value at time of writing).
Imitation
“Imitation is not just the sincerest form of flattery – it’s the sincerest form of learning” – George Bernard Shaw.
CryptoDefense, in essence, is a sophisticated hybrid design incorporating a number of effective techniques previously used by other ransomcrypt malware authors to extort money from victims. These techniques include the use of Tor and Bitcoins for anonymity, public-key cryptography using strong RSA 2048 encryption in order to ensure files are held to ransom, and the use of pressure tactics such as threats of increased costs if the ransom is not paid within a short period of time. However, the malware author’s poor implementation of the cryptographic functionality has left their hostages with the key to their own escape.
Infection
Symantec has observed CrytoDefense being spammed out using emails such as the one shown in Figure 1.
Figure 1. Malicious spam email example
Network communications
When first executed, CryptoDefense attempts to communicate with one of the following remote locations:
The initial communication contains a profile of the infected computer. Once a reply is received from the remote location, the threat then initiates encryption and transmits the private key back to the server. Once the remote server confirms the receipt of the private decryption key, a screenshot of the compromised desktop is uploaded to the remote location.
Ransom demand
Once the files are encrypted, CryptoDefense creates the following ransom demand files in every folder that contains encrypted files:
Figure 2. Example of HOW_DECRYPT.HTML file
As can be seen in Figure 2, the malware authors are using the Tor network for payment of the ransom demand. If victims are not familiar with what the Tor network is, they even go as far as providing instructions on how to download a Tor-ready browser and enter the unique Tor payment Web page address. The use of the Tor network conceals the website’s location and provides anonymity and resistance to take down efforts. Other similar threats, such as Cryptorbit (Trojan.Nymaim.B), have used this tactic in the past.
Payment
Once the user opens their unique personal page provided in the ransom demand using the Tor Browser, they will be presented with a CAPTCHA page.
Figure 3. Example of CAPTCHA shown to victim
Once they have filled in the CAPTCHA correctly, the user will be presented with the ransom payment page.
Figure 4. CryptoDefense ransom payment page
Of note here is the ransom demand of 500 USD/EUR to be paid within four days or the ransom doubles in price. The use of time pressure tactics by the cybercriminals makes victims less likely to question the costs involved when evaluating potential losses. The cybercriminals offer proof through a “My screen” button, included on the payment page, that they have compromised the user’s system by showing the uploaded screenshot of the compromised desktop. They also offer further proof that decryption is feasible by allowing the victim to decrypt one file through the “Test decrypt” button. They then proceed to educate their victim on how to get hold of Bitcoins to pay the ransom.
Encryption
CryptoDefense employs public-key cryptography using strong RSA 2048 encryption. This means that once the files have been encrypted, without access to the private key, victims will not be able to decrypt the files. With Cryptolocker, the private key was only ever found on servers controlled by the attacker, meaning the attackers always maintained control over the encryption/decryption keys. On investigating how CryptoDefense implemented its encryption, we observed that the attackers had overlooked one important detail: where the private key was stored.
As advertised by the malware authors in the ransom demand, the files were encrypted with an RSA-2048 key generated on the victim’s computer. This was done using Microsoft’s own cryptographic infrastructure and Windows APIs to perform the key generation before sending it back in plain text to the attacker’s server. However, using this method means that the decryption key the attackers are holding for ransom, actually still remains on the infected computer after transmission to the attackers server.
When using Microsoft’s cryptographis infrastructure, private keys are stored in the following location:
%UserProfile%\Application Data\Microsoft\Crypto\RSA
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape. Further details of Microsoft’s key storage architecture can be found here.
Earnings
Symantec is aware of the following Bitcoin addresses being used in CryptoDefense ransom demands:
The first known Bitcoin transaction for these addresses was on February 28, 2014. This corresponds with the first detection of a CryptoDefense sample by Symantec. At this time, based on the number of received transactions for both Bitcoin addresses, Symantec can estimate that the cybercriminals behind CryptoDefense have earned over $36,000 in just one month.
Prevalence
Symantec telemetry shows that we have blocked over 11,000 unique CryptoDefense infections in over 100 countries. The United States makes up the majority of these detections followed by the United Kingdom, Canada, Australia, Japan, India, Italy, and the Netherlands.
Figure 5. Heatmap for CryptoDefense detections
Protection
Although not related, such were the similarities seen between CrytoDefense and Cryptolocker that Symantec initially detected this threat as Trojan.Cryptolocker along with numerous other detections. Symantec detects CryptoDefense under the following detection names:
Antivirus detections
Heuristic detections
Reputation detections
Intrusion prevention signatures
Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.
For the best possible protection, Symantec customers should ensure that they are using the latest Symantec technologies incorporated into our consumer and enterprise solutions. To further protect against threats of this nature, it is recommended that you follow security best practices and always backup your files using a product such as Symantec’s Backup Exec Family. Finally, always keep your systems up to date with the latest virus definitions and patches.
Symantec has observed the growth of indigenous groups of attackers in the Middle East, centered around a simple piece of malware known as njRAT. While njRAT is similar in capability to many other remote access tools (RATs), what is interesting about this malware is that it is developed and supported by Arabic speakers, resulting in its popularity among attackers in the region.
The malware can be used to control networks of computers, known as botnets. While most attackers using njRAT appear to be engaged in ordinary cybercriminal activity, there is also evidence that several groups have used the malware to target governments in the region.
Symantec analyzed 721 samples of njRAT and uncovered a fairly large number of infections, with 542 control-and-command (C&C) server domain names found and 24,000 infected computers worldwide. Nearly 80 percent of the C&C servers were located in regions in the Middle East and North Africa, including Saudi Arabia, Iraq, Tunisia, Egypt, Algeria, Morocco, the Palestinian Territories and Libya.
Figure 1. Majority of njRAT C&C servers are found in the Middle East and North Africa
The majority of the C&C server IP addresses were traced to ADSL lines, which indicates that most attackers using the malware could be home users in the Middle Eastern region.
njRAT is not new on the cybercrime scene. It has been publicly available since June 2013 and three versions have already been released, all of which can be propagated through infected USB keys or networked drives.
The malware has the basic features common in most RATs. It can download and execute additional malware; execute shell commands; read and write registry keys; capture screenshots; log keystrokes; and snoop on webcams.
Strong online support for Middle East home users
The main reason for njRAT’s popularity in the Middle East and North Africa is a large online community providing support in the form of instructions and tutorials for the malware’s development. The malware’s author also appears to hail from the region. njRAT appears to have been written by a Kuwait-based individual who uses the Twitter handle @njq8. The account has been used to provide updates on when new versions of the malware are available to download.
Figure 2. The creator of njRAT announcing in a tweet that version 0.7 of njRAT is available to download.
Symantec has also located the malware author’s WordPress webpage, which redirects to another Blogspot webpage. The latter displays visitor statistics, indicating that majority of the blog’s visitors come from Saudi Arabia as shown below:
Figure 3. The visitor statistics of @njq8’s Blogspot Web page
Technical support and tutorials on using njRAT are widely available on the Web. Symantec has found numerous video tutorials in the Arabic language containing step-by-step processes for downloading and setting up the malware, including steps such as dynamic DNS naming for C&C servers. This level of support enables attackers in the region to easily to build tools and server components for njRAT.
Figure 4. Description of a video tutorial of how to build an njRAT on hacking group MaDLeeTs’s website
Figure 5. The latest three tutorials on Anonymous Iraq’s YouTube channel are on obfuscating njRAT to evade antivirus software
Hacker groups launch targeted attacks with njRATs
Most njRAT users seem to be home users who are interested in online pranks such as spying on webcams or taking screenshots of victims’ computers. However, infections have also been recorded on the networks of a number of governments and political activists.
Symantec has identified 487 groups of attackers mounting attacks using njRAT. These attacks appear to have different motivations, which can be broadly classed as hacktivism, information theft, and botnet building.
One such group is the S.K.Y.P.E/Tagged group, which has C&C servers hosted in Egypt and Algeria. The group’s vector for infection is a screensaver hosted on the file sharing site ge.tt. When victims download the compressed .rar file containing the screensaver, they get an executable containing njRAT.
Figure 6. The infected screensaver created by the S.K.Y.P.E/Tagged group on the ge.tt file sharing site
It is also interesting to note that the infected file hosted on ge.tt was dated November 20, 2012, because njRAT only became publicly available in June 2013. It would appear that njRAT had already been created prior to that date and it is likely that the malware was disseminated among small groups of people, such as on a closed Web forum, prior to its public release.
Symantec has also observed that infection numbers spiked around the time this copy of njRAT was uploaded on ge.tt. The S.K.Y.P.E/Tagged group uses two C&C servers: njratmoony.no-ip.biz and njr.no-ip.biz. The number of newly infected computers reporting to both servers spiked in October and November of 2012.
Figure 7. The daily infection rate of computers reporting to the S.K.Y.P.E/Tagged group’s C&C servers, njratmoony.no-ip.biz and njr.no-ip.biz
njRAT signals growing cybercrime community
As large numbers of Middle Eastern attackers continue to use njRAT due to its accessibility, Symantec expects that they will try to find new ways of obfuscating the malware to evade detection by antivirus software. They are likely to continue to use njRAT since an Arabic speaking community and its Arabic author continue to provide support for the malware.
The more advanced threat actors, such as hacker groups, may continue to use njRAT for targeted attacks in the short term. For example, a report by the Electronic Frontier Foundation (EFF) and Citizen Lab found that njRAT is one of a number of tools being used to target Syrian opposition groups during the Syrian conflict. However, Symantec anticipates that such groups will eventually depart from using publicly-available tools like njRAT and begin to develop their own tools and more advanced RATs for cyberattacks.
Symantec detects this threat as Backdoor.Ratenjay.
Question of the week: I don’t want to miss my team play basketball in the March Madness tournament, but I have to go on a business trip to Europe next week. How can I watch US TV when I am traveling overseas? This is a great question. TV has never been better, so it’s hard […]
La energía es crucial para mantener nuestro estilo de vida moderno, por ello resulta inquietante el incremento anual de intentos de ataques reportados contra las compañías e industrias que la proveen. En la primera mitad de 2013, el sector energético fue el quinto más atacado a nivel mundial, recibiendo el 7.6 por ciento de todos los intentos de ciberataquesen el mundo, lo que se traduce en siete ataques dirigidos por día. Por ello no es de sorprender que en mayo de 2013 el Departamento de Seguridad Nacional de Estados Unidos de América advirtió sobre un incremento en la ola de ataques orientados a sabotear los procesos en las compañías energéticas. En Symantec, nuestros investigadores descubrieron que las empresas tradicionales de servicios públicos de energía están particularmente preocupadas por los escenarios creados por amenazas como Stuxnet o Disttrack / Shamoon, los cuales pueden sabotear instalaciones industriales.
En este escenario estamos aprendiendo que los agresores que tienen como blanco al sector energético también intentan robar propiedad intelectual sobre nuevas tecnologías, como generadores de energía eólica y solar, o diagramas de exploración de campos de gas. Si bien los incidentes de robo de datos pueden no representar una amenaza inmediata y catastrófica para una organización, pudieran ser aprovechados para crear una amenaza estratégica a largo plazo y la información robada podría ser utilizada en el futuro para realizar acciones más dañinas.
La motivación y origen de los ataques dirigidos a este sector pueden ser variable; desde la solicitud de un competidor para tomar acciones contra compañías de energía con el fin de ganar una ventaja de forma sucia, hasta grupos de “hackers a sueldo” como la agrupación Hidden Lynx que están más que dispuestos a realizar este tipo de acciones. También se pueden encontrar hackers patrocinados por naciones para atacar empresas de energía, en un intento por desactivar infraestructura crítica; los grupos de “hacktivistas” también pueden atacar a las empresas para promover sus propios objetivos políticos. En este sentido los investigadores de Symantec saben que las amenazas pueden provenir de cualquier parte del mundo, y algunas veces, los responsables pueden estar familiarizados con los sistemas de la empresa e incluso dentro de la misma compañía, con la intención de llevar a cabo ataques para extorsionar, sobornar o como venganza. Las interrupciones en la operación también pueden simplemente ocurrir por accidente, como una mala configuración o un problema del sistema, por ejemplo en mayo de 2013, la red eléctrica en Austria estuvo cerca de sufrir un apagón debido a un problema de configuración.
Nuestras investigaciones han encontrado que los sistemas de energía modernos se están volviendo más complejos. Existen controles de supervisión y de adquisición de datos (SCADA, por sus siglas en inglés) o sistemas de control industrial (ICS, por sus siglas en inglés) que se sitúan fuera de los muros de protección tradicional. Conforme la tecnología de redes inteligentes siga ganando impulso y más sistemas nuevos de energía estén conectados al Internet de las cosas, se podrían abrir nuevas vulnerabilidades de seguridad relacionadas con tener un sinnúmero de dispositivos conectados a Internet. Adicionalmente, muchos países han comenzado a abrir su mercado energético y han añadido pequeños contribuyentes a la red de energía eléctrica, como plantas hidroeléctricas privadas, turbinas eólicas o colectores solares. Si bien, estos sitios más pequeños representan sólo una pequeña parte de la red, las entradas de alimentación de energía descentralizada pueden ser un desafío para la gestión, y más si los recursos de TI son limitados, por lo cual se deben monitorear cuidadosamente con el fin de evitar pequeños cortes o interrupciones, que podrían ocasionar un efecto dominó en las redes más grandes.
En este sentido vemos la necesidad de una estrategia colaborativa que combine la tecnología con componentes de seguridad industrial para proteger la información de la industria energética. Para contribuir con este esfuerzo, Symantec realizó un estudio amplio sobre los ataques que se llevaron a cabo en el sector energético durante los últimos 12 meses. La investigación presenta los hechos y las datos sobre impactos, además de incluir información sobre los métodos, motivaciones, y la historia de estos ataques.
Para descargar una copia del informe de clic aquí.
También preparamos la siguiente infografía con el fin de ilustrar algunos de los hechos clave alrededor de los ataques dirigidos al sector energético.
One of the oldest tricks in the book for spammers is to spoof or forge the “From” address so that the email appears to come from a legitimate source.
This month, Symantec is introducing DMARC Validation as a free upgrade for Email Security.cloud customers, further enhancing our protection against these types of spam, targeted attacks and phishing messages.
Big, popular brands are often used in phishing and scam email attacks and I’m sure you’ve seen some of them first hand.
This is why over 80,000 domains have published DMARC policies and since 2011 it has been quickly adopted by some of the largest global brands and email senders such as Paypal, Twitter, Outlook.com, Yahoo! Mail, Facebook, LinkedIn and Bank of America.
DMARC.org reports that more than 25 million email messages spoofing PayPal were detected and rejected by DMARC during the 2013 holiday buying season and Twitter reports that roughly 110 million messages per day were spoofing its domains prior to deploying DMARC, showing this implementation is effective.
“The attention so far has been on how DMARC helps protect consumers and big brand-owners, but as adoption rises it also offers improved protection to employees at organizations big and small.” said Steven Jones, Secretary of DMARC.org. “A lot of companies have been asking me about vendor-supported DMARC filtering to help protect their employees, so this is definitely a growing need in the market.”
Symantec Email Security.cloud customers will see the new configuration options in the admin interface, on or around March 29, 2014 and we encourage all customers to enable it as soon as they can.
You can enable DMARC Validation in the Spoofed Sender Detection settings located within the Antispam configuration in ClientNet.
Further technical information on DMARC can be found at DMARC.org.
As attackers and miscreants try new ways to circumvent security, it’s vitally important that a security product or service continually evolves to protect against the latest threats.
Symantec’s cloud based Email Security offering is always up to date and doesn’t burden customers with software or hardware upgrades to get the latest benefits.
We track our own performance and publish metrics regularly against our SLAs online.
Symantec’s comprehensive security expertise, vast global intelligence and portfolio offer organizations proactive, targeted attack protection across the endpoint, gateway and data center.
Question of the week: I am a long time avast! Antivirus user. After a recent update, I was surprised to see something new called SafePrice. I can’t find any information on it. Please explain what it is (and also how to remove it.) Thanks for asking. We have received some questions and comments regarding the […]
今年 1 月の後半、熱烈なファンであればコーチェラフェスティバルのチケットを買い求めたことでしょう。コーチェラフェスティバルは、2 週連続で週末の 3 日間をかけて毎年開催されるイベントですが、これを狙った詐欺師によるフィッシング攻撃が、2 月末まで続いていました。
コーチェラフェスティバルのチケット販売を扱っている Front Gate Tickets 社は 2 月末、チケットの購入者に電子メールを送り、このフィッシング攻撃について以下のように警告しています。
「このフィッシングでは偽の Web サイトが使われています。コーチェラフェスティバルのチケットをお買いになった方が Front Gate のアカウントにアクセスするためのログインページに酷似したデザインですが、ユーザー名とパスワードの情報を取得するために偽装されたものです」
この電子メールではさらに、フィッシング用のリンクが掲示板やスパムメールでも出回っていること、攻撃者はチケット購入者が掲示板に投稿した電子メールアドレスを収集していたことなどについても説明が続きます。
この攻撃が仕掛けられたのは、コーチェラフェスティバルで入場券代わりになるリストバンドが参加者宛てに出荷された直後です。それを考えると、攻撃者はチケット購入者のアカウントにアクセスし、登録されている郵送先住所や電話番号、電子メールアドレスを変更してリストバンドを詐取しようとしていたに違いありません。実際、コーチェラフェスティバルの掲示板でも、あるユーザーからこれを裏付ける投稿がありました。
「私はアカウント情報を元に戻すことができましたが、登録されている住所や電話番号、電子メールアドレスは変更されていました。念のため確認したおかげでチケットを失わずに済んだのはラッキーでした」
今回の事件は、デジタル時代の音楽ファンにとってよい教訓になります。コーチェラフェスティバルのチケット進呈を謳う偽の Facebook ページを作るだけだった詐欺が、わずか 2 年足らずのうちに、直接フィッシングメールで参加者を標的にして、リストバンドを盗み出すという手口にまで発展したのです。
今年開催されるのは、もちろんコーチェラフェスティバルだけではありません。今後数カ月の間に、サスカッチ、ボナルー、アウトサイドランズ、ロラパルーザなどさまざまな音楽フェスティバルが米国内だけでも予定されており、世界中ではさらに多くの音楽フェスティバルが開催されます。
フェスティバルに参加する方は、掲示板のスレッドで電子メールアドレスを共有しないことをお勧めします。どうしても共有する必要がある場合には、掲示板に用意されている非公開メッセージの機能を使ってください。
チケットの購入後、参加予定のイベントについて詳しい情報を確認するためと称して、リンクを掲載し、ログインを求めてくる電子メールを受け取った場合には、むやみにリンクをクリックせず、新しいブラウザまたはタブを開いて公式サイトにアクセスしてください。電子メールに疑わしい点がある場合には、チケット販売者や音楽フェスティバルの公式サイトで連絡先の電話番号や電子メールアドレスを探し、確認を依頼してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
企業に対しても一般家庭ユーザーに対しても、サポート終了間近の Windows XP 環境をそれ以降のバージョンにアップグレードするよう求める声は日増しに大きくなっています。機能強化が必要ないとしても、セキュリティとサポートのために必須のアップグレードです。ATM も基本的には、現金へのアクセスを制御するコンピュータであり、ATM の 95% 近くは Windows XP 上で稼働していることがすでに知られています。2014 年 4 月 9 日に予定されている Windows XP のサポート終了を目前に控えた今、金融機関は ATM を標的とするサイバー攻撃の深刻な危機に直面しています。しかも、これは仮想危機などではありません。現実に起こっている危機であり、サイバー犯罪者が ATM を狙う手口はますます巧妙になっています。
2013 年 10 月には、このブログでもお伝えしたとおり、新しい ATM マルウェアがメキシコで確認されており、攻撃者は外付けキーボードを使って ATM から自由に現金を引き出していました。この脅威は、Backdoor.Ploutus と命名されています。その数週間後には、このマルウェアがモジュール式のアーキテクチャへと進化したことを示す新しい亜種も発見されました。この新しい亜種は英語版にもローカライズされており、作成者が活動範囲を他の国や地域にも広げつつあることを示唆しています。新しい亜種は Backdoor.Ploutus.B として検出されます(このブログでは一貫して「Ploutus」と呼びます)。
Ploutus のこの亜種で特徴的なのは、侵入先の ATM に SMS を送信するだけで、サイバー犯罪者は ATM を使って現金を払い戻すことができたという点です。信じられないかもしれませんが、この手口は今でも世界中の至るところで使われています。
今回は、この手口がどのように機能するのかを紹介します。
図 1. 攻撃者が携帯電話を使って ATM から現金を引き出す手口
携帯電話から ATM に接続
攻撃者は、ATM の内部に接続した携帯電話を使って ATM をリモートで制御します。携帯電話を ATM に接続する方法はいくつかありますが、一般的なのは USB テザリングと呼ばれる設定を使う方法です。実質的には、携帯電話とコンピュータ(この場合は ATM)との間で共有インターネット接続が確立されることになります。
ATM に Ploutus を感染させるには、攻撃者が携帯電話を正しく設定し、ATM に接続する必要があります。必要な手順がすべて完了すると、完全な双方向接続が確立され、携帯電話の準備が整います。
携帯電話は USB ポートを介して ATM に接続されているので、電力もその接続から供給され、携帯電話本体が充電されます。このため、携帯電話は電源の入った状態を無限に維持できます。
ATM に SMS メッセージを送信
携帯電話を ATM に接続し、設定が完了すると、攻撃者は ATM 内部に接続された携帯電話に特定の SMS コマンドメッセージを送信できるようになります。所定の形式の新しいメッセージを検出すると、携帯電話はそのメッセージをネットワークパケットに変換し、USB ケーブルを通じて ATM に転送します。
このマルウェアにはネットワークパケットモニター(NPM)のモジュールがあり、パケット盗聴の機能を果たして、ATM に向かうすべてのネットワークトラフィックを監視します。侵入先の ATM が有効な TCP パケットまたは UDP パケットを携帯電話から受信すると、NPM がそのパケットを解析し、パケット内の特定のオフセットで「5449610000583686」という数字を探します。データのパッケージ全体を処理することが目的です。この特定の数字が見つかると、NPM は次の 16 桁を読み込み、それを使って Ploutus 実行のコマンドラインを作成します。このコマンドは、たとえば次のような形式になります。
cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985
以前のバージョンの Ploutus では、主犯格がこの数字をマネーミュール(送金仲介人)と共有する必要がありました。そのため、万一マネーミュールがこの数字の意味に気づいた場合には、主犯格の人物から金銭を詐取できる可能性がありました。今回のバージョンでは、16 桁の数字がマネーミュールには見えないため、主犯格はセキュリティの強化を図ることができ、現金の引き出しを一括管理できるようになっています。この数字の有効期限は 24 時間です。
SMS メッセージを使って ATM をリモートで制御する方法は、離れたところからほとんど瞬時に成功するため、この犯罪に関与する誰にとってもはるかに便利です。主犯格は、マネーミュールが引き出す金額を正確に把握でき、マネーミュールは現金が出てくるまで長時間 ATM の付近にとどまっている必要がありません。主犯格とマネーミュールが動作を同期させていれば、マネーミュールが現金を払い戻す振りをするか、単に ATM の前を通り過ぎるだけで、現金を引き出すことができます。
攻撃全体の流れ
この攻撃が機能する細かい手口は以上に見たとおりなので、これが全体としてどのように機能するのか概要を見てみましょう。
図 2. Ploutus による ATM 攻撃の概要
プロセスの概要
シマンテックは、Ploutus に感染した実際の ATM を使って、この攻撃を実験的に再現することに成功しました。この攻撃が成功する様子を短い動画でご確認いただけます。
このデモ動画では Ploutus マルウェアを使っていますが、シマンテックセキュリティレスポンスでは、同じように ATM を標的とする別種のマルウェアもいくつか確認しています。Ploutus の場合、攻撃者は ATM 内部から現金を盗み出そうとしていますが、シマンテックが解析した一部のマルウェアでは、別の悪質なソフトウェアを使って中間者攻撃を仕掛けている間に、顧客のキャッシュカード情報と暗証番号を盗もうとします。ATM から現金を引き出すといっても、最も有効な方法という点では攻撃者によって考え方も違うようです。
ATM を保護するために何ができるか
最近の ATM は、ハードディスクドライブの暗号化などによってセキュリティ機能が強化されているため、こうした侵入の手口も防ぐことができます。しかし、依然として Windows XP 上で動作している旧型の ATM の場合、特にそれがありとあらゆる遠隔地にすでに設置されているとなると、Ploutus のような攻撃を防ぐことはかなり困難です。また、ATM の内部にあるコンピュータの物理的なセキュリティに対処が必要という別の問題点もあります。ATM 内の現金は金庫で厳重に保管されていますが、コンピュータはそうではないためです。旧型の ATM で物理的なセキュリティがこのように不十分な場合、攻撃者はそれだけ有利になります。
犯罪者にとっての難易度を高くするためには、以下のようにさまざまな対策が考えられます。
こうした対策をすべて実施すれば、内部に共犯者がいないかぎり、攻撃者が ATM に侵入することはかなり難しくなります。
シマンテックのコンシューマ向け保護、エンドポイント保護、サーバー保護の各ソリューションは、当面の間 Windows XP を引き続きサポートしますが、Windows XP をお使いの場合には、できるだけ速やかに新しいオペレーティングシステムにアップグレードすることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。