????????????????????????????

      No Comments on ????????????????????????????

cubes_concept02.png

ハリウッド映画を信じるなら、私たちはやがてロボットだらけの世界に住むようになります。ゾンビだらけの世界よりは、ありそうな話です。未来の予測図では、いたる所にロボットが存在します。スクリーンの中では、人工知能が世界征服を企てるという筋書きも定番であり、別形態に変形するロボットや自己修復の機能を持つロボットもすっかりおなじみになりました。残念ながら、ヘビーメタルのサウンドトラックに合わせてスローモーションで宙返りしながら自動車が戦闘ロボットに変形する、という段階には達していませんが、それに近づいていることは間違いありません。MIT の研究者が先日発表した M-Blocks という新モデルは、自己組み立て式ロボットの新たな一幕を象徴する刺激的な作品でした。

MIT が開発した立方体のモジュール型ロボットは、内部のはずみ車を使って自らの配置を変えます。はずみ車が生み出す瞬間的な推進力によって各モジュールは自在な方向に進み、磁力で連結します。モジュールが跳び上がって移動できるほどの強力な勢いを生むエネルギーを発生することもできます。立方体のモジュールで組み上がるのはまだ原始的な形にとどまり、残念ながら巨大な戦闘ロボットになったりはしませんが、そもそもの目標がそこにはありません。研究者が目指しているのは、各モジュールが自律的に動作することです。現在のプロトタイプは外部から制御されており、無線でコマンドを受信しています。

ここでセキュリティ研究者として気になるのは、言うまでもなく、こうしたモジュール型ロボットのセキュリティがどうなるかという点です。と言ってもご心配なく。何も、スカイネットがこの世界を支配するといった話ではありません。今はまだプロトタイプの段階にすぎないので、今後のモデルでどんな動作が可能になるかを予測しても、それは純粋な思索の域を出ませんが、ひとつ考えられる課題は、不正なモジュールを確実に識別できるかどうかでしょう。考えてもみてください。不正なロボットモジュールがシステムに混入したら、他のモジュールがすべて混乱し、形成しようとしていた構造は一瞬にして崩れてしまうのです。信頼できないノードのネットワークで信頼を築くというのは、容易に解決できる問題ではありません。逆に新しいモジュールの追加が必要になるかもしれず、それらがシームレスに統合されれば理想的です。

現在の自己組み立て式モジュール型ロボットは、コマンドを送受信する中央制御ユニットを持っており、モノのインターネット(IoT)にたとえることができます。IoT とは、単純に言えば、従来と異なるデバイスのグループをインターネットに接続することであり、大きな可能性を秘めた分野として注目を集めています。IoT の中で最も実用的なのがスマート家電機器で、一部はすでに商品化されています。現在市販されているロボット掃除機は、自己組み立て機能こそありませんが、ロボットには違いありません。

IoT に関しては、すでにセキュリティ業界から多大な関心が寄せられており、IoT をテーマとして取り上げるセキュリティ関連のカンファレンスも増えています。たとえば、ダニエル・ブエンテロ(Daniel Buentello)氏は今年の DerbyCon で、リモートコントロール式の電源スイッチを完全に乗っ取る方法についてプレゼンテーションを行いました。電灯のスイッチをオン/オフするだけなら特に脅威とは感じられませんが、窓やドアを開けられるとなれば驚きは大きくなります。しかも、これは可能性のごく一部にすぎません。冷蔵庫がポートスキャンを実行する、あるいはムード照明が他の照明器具にマルウェアを感染させるというシナリオは、どれも現実性があります。隣人によってトースターがリモートで侵入を受け、そこからの命令でステレオの電源を切られたりする、そんな日が来るかもしれないのです。そうした家電機器は厳重なセキュリティを想定して製造されているわけではないので、悪質なコードが実行されても、検出や除去は難しい可能性があります。

シマンテックは、モノの接続が進むこれからの世界で安全に過ごせるように、この分野の発展を慎重に追跡しています。冷蔵庫がコーヒーメーカーと共謀してトースターに DDoS 攻撃を仕掛けるなどという事態が近い将来に起きないことを祈っています。そんな 1 日の始まりは誰しも願い下げですから。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Offer Loans to US Government Shutdown Victims

      No Comments on Spammers Offer Loans to US Government Shutdown Victims

Contributor: Binny Kuriakose

The funding gap in US, which resulted in a shutdown of a large portion of the United States federal government, has  started affecting economic growth in the country. Large portions of the federal workforce were required to work without immediate pay, while some were indefinitely furloughed.

Symantec recently uncovered spam campaigns, which started promptly following the shutdown announcement, targeting the affected victims. In the past,  spammers tried to take advantage of the general gloom, but now they are directly targeting the raw financial state the sudden shutdown has left people in. This could probably be a last ditch effort to haul in more spoils before the US shutdown is lifted, especially in light of the senate’s deal, which is currently being made to end the shutdown.

This new wave of spam is designed  to manipulate  victims into applying for loans and inevitably disclose their personal details to the spammers. The email appeals  to victims by  offering  quick loan processing and delivery within a time span as short as 90 seconds. The email’s subject line  also makes it look as though the names were suggested by someone close to the victims. The following is a sample email header used in this campaign:

From: “[NAME]” <hufuf@[DOMAIN]>
Subject: Your name was mentioned

Figure1_3.png
Figure 1. Spam email promising US shutdown victims a loan

The email content is tweaked strategically at  the right places to make the victims feel comfortable. For example, offering financial help as the US shutdown continues. The link in the email body takes the victim to a  page asking for the amount they wish to be advanced for the promised loan, and subsequently to another page asking for the user’s personal details.
 
Figure2_3.png
Figure 2. Website promoting loans
 
Figure3_3.png
Figure 3. Website asking for user details

This spam is designed to hit the victims’ when they are most vulnerable. The promise of quick cash is too tempting to ignore, and ultimately, ill-informed victims are bound to fall for this scam. Symantec is on the lookout for new tricks, which spammers are pulling out of their sleeve and keeping the public armed with information to see these for what they are – scams.Spammers Offer Loans to US Government Shutdown Victims.

Infostealer.Nemim: ?????? Infostealer ??????

      No Comments on Infostealer.Nemim: ?????? Infostealer ??????

寄稿: Satnam Narang

Backdoor.Egobot に関する先のブログでは、Egobot が目立たないように潜伏しながら特定の業種を標的にする手法について概要をお伝えしました。Egobot の背後にいるサイバー犯罪者は、さらに広く攻撃を拡散するために、Infostealer.Nemim も開発したようです。攻撃範囲こそ異なりますが、どちらも侵入先のコンピュータから情報を盗み出すものであり、2 つとも同じ出どころから発生している節があります。
 

Nemim のコンポーネント

シマンテックが Nemim の活動を初めて検出したのは、2006 年秋のことです。最初期のサンプルの 1 つには、侵入先のコンピュータから自身を削除するタイミングを決めるタイマー機構が組み込まれていました。削除には条件があり、特定の日付に紐付いているか、サンプルが実行された回数に基づいています。タイマー機構は、Egobot のサンプルでも見つかった機能です。

シマンテックが解析した Nemim のサンプルは、盗まれた証明書でデジタル署名されており、時間とともに以下の 3 つのコンポーネントが更新されました。

  1. インフェクタコンポーネント
  2. ダウンローダコンポーネント
  3. 情報窃盗コンポーネント
     

インフェクタコンポーネント

インフェクタコンポーネントは、特定のフォルダにある実行可能ファイルに感染するように設計されています。具体的には、%UserProfile% フォルダとそのサブフォルダすべてを標的として感染します。

感染方法は洗練されたものではありません。Nemim は、感染したファイルの名前の末尾に .rdat を追加した名前で、新しいセクションに自身をコピーします。感染したファイルの元のエントリポイントが、Nemim コードの .rdat セクションをポイントするように変更されます。感染コードは、次のパスで埋め込まれた実行可能ファイルの解読、投下、実行を担います。

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

この実行可能ファイルが、ダウンローダコンポーネントです。
 

ダウンローダコンポーネント

ダウンローダコンポーネントは、暗号化された実行可能ファイルのラッパーのように機能します。解読後、暗号化された実行可能ファイルが動的にロードされます。この暗号化された実行可能ファイルに、実際のダウンローダ機能が含まれていますが、ダウンロードする前に、Nemim は侵入先のコンピュータから以下のシステム情報を収集します。

  • コンピュータ名
  • ユーザー名
  • CPU 名
  • オペレーティングシステムのバージョン
  • USB デバイスの数
  • ローカル IP アドレス
  • MAC アドレス
     

image1_13.png

図 1. Infostealer.Nemim が侵入先のコンピュータから収集するシステム情報
 

収集された情報は暗号化され、Base64 に変換されてからコマンド & コントロール(C&C)サーバーに送信されます。このプロセスは Egobot と同様です。収集された情報は、C&C サーバー上では暗号化されていない形式で見ることができます。たとえば、P2Pdetou 変数にはコンピュータ名とユーザー名が [コンピュータ名]@[ユーザー名] という形で示されます。サーバーは、投下され実行されるペイロードを含めて、基本的なコマンドでこれに応答します。次に、ダウンローダは、サーバーが「minmei」という文字列とそれに続く以下のコマンドで応答するものと想定します。

  • up
  • re
  • no

たとえば up コマンドは、ダウンロードされるデータに実行可能なペイロードが含まれ、それをダウンローダが解読して実行することを示します。
 

情報窃盗コンポーネント

情報窃盗コンポーネントは、以下のアプリケーションから、保存されているアカウント情報を盗み出すことができます。

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

情報窃盗コンポーネントは、盗み出したデータを C&C サーバーに返し、ダウンローダコンポーネントと同様に「minmei」という文字列が返されるものと想定します。
 

地理的な拡散状況

Nemim の標的は主に日本と米国に集中しており、インドと英国がそれに次いでいます。
 

image2_3.jpeg

図 2. Infostealer.Nemim の地理的な拡散状況
 

シマンテックは、以下の脅威のコンポーネントをすべて検出し、攻撃から保護します。

Nemim と Egobot の関係

Nemim のバイナリを解析したところ、いくつかの類似点から Backdoor.Egobot との関係が明らかになりました。
 

 

Nemim

Egobot
収集される情報で使われる特定の形式とタグ

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)
情報の暗号化 暗号化して Base64 でエンコード 暗号化して Base64 でエンコード
C&C サーバーとの通信形式

[URL/IP]/[パス]/[ファイル].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[パス]/[ファイル].php?arg1=
%s&arg2=%s&arg3=%s
コードインジェクションの手法 Microsoft Detours の機能
(初期バージョン)		 Microsoft Detours の機能
(すべてのバージョン)

表 1. Nemim と Egobot の類似点
 

こうした類似点と、双方の活動時期が重なっていることを考えれば、Nemim と Egobot の出どころが同じであることは明らかです。
 

新たな攻撃の可能性

Nemim は現在も活動を続けており、時間を掛けて着実に進化しています。たとえば、文字列の暗号化が重要になり、盗まれたデジタル証明書が新しいものでアップグレードされ、共通の仮想マシンを検出するチェックが実装されました。実際、過去 7 年間というもの攻撃者はイノベーションに揺るぎないこだわりを示し続け、2 種類の攻撃活動の必要性に応じてマルウェアを進化させてきたのです。このような積極的な姿勢は今後も変わることがなく、新しい攻撃の可能性も高いと言えるでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Egobot: ????????????????

      No Comments on Backdoor.Egobot: ????????????????

寄稿: Satnam Narang

Backdoor.Egobot は、韓国の産業界を標的とした攻撃で使われているトロイの木馬です。この攻撃の実行は直接的であり、しかも効果的です。シマンテックのデータによると、この攻撃活動が始まったのは 2009 年のことで、それ以来 Egobot は新しい機能を追加しながら進化し続けています。攻撃者は、標的型攻撃の 4 つの基本原則に則っています。

  1. 標的を特定する
  2. 標的を悪用する(ペイロードを投下するため)
  3. 悪質な活動を実行する(この場合は、情報を盗み出す)
  4. 検出されないように潜伏する

シマンテックはこれと並行した攻撃も発見していますが、こちらはもっと古く 2006 年には活動を開始しています。これについては、次のブログで取り上げます。
 

Egobot の標的

Egobot は、韓国企業の経営幹部を標的にしているほか、韓国と取引のある企業の経営幹部も狙われています。以下のような業種が Egobot の標的となっています。

  • 金融および投資
  • 社会インフラおよび開発
  • 政府機関
  • 軍需産業

韓国、オーストラリア、ロシア、ブラジル、米国と世界各国の組織が狙われています。
 

image1_12.png

図 1. Backdoor.Egobot の標的となった国
 

Egobot による攻撃の目的は、侵入したコンピュータから機密情報を盗み出すことです。
 

悪用

攻撃者は、標的を罠に掛ける前に、ソーシャルエンジニアリングの手法を用いて標的に関する情報を収集します。標的に宛ててスピア型フィッシングの電子メールが送信されますが、多くの場合これは知人から送信されたかのように偽装されています。この電子メールには標的に関係のある内容や気を引くようなメッセージが書かれており、悪質な添付ファイルを開かせようとします。悪質な添付ファイルはショートカット(.lnk)ファイルの場合もあり、その場合のリンク先は日本のジオシティーズ上でホストされているファイルです。
 

image2_7.png

図 2. Egobot のスピア型フィッシングメールと悪質なショートカットの添付ファイル
 

この攻撃で使われている悪質な添付ファイルの種類は多岐にわたります。

添付ファイルを開くと、以下のような 3 段階のダウンロードプロセスが実行されます。

第 1 段階: 不明瞭化された HTML ファイルのダウンロード

各添付ファイルによって、ジオシティーズ上にホストされているサイトからマルウェアがダウンロードされます。ファイルは同じではありませんが、通常は update[YYYYMM].xml という名前の不明瞭化された HTML ファイルです。これがシステムに実行可能ファイルを投下します。

第 2 段階: RAR アーカイブのダウンロード

第 1 段階で投下された実行可能ファイルが、ジオシティーズから別のファイルを取得します。これは hotfix[YYYYMM].xml という名前で、実行可能な RAR ファイルです。第 1 段階と第 2 段階でダウンロードされる 2 つのファイルは、正常なファイルに見せかけるために XML 文書に偽装されています。

第 3 段階: バックドアコンポーネントのダウンロード

実行可能な RAR ファイルがシステムを準備します。ファイルを移動し、プロセスにコンポーネントをインジェクトして、以下のシステム情報を盗み出す機能を持つ一連のファイルが投下されます。

  • Windows のバージョン
  • インストールされているサービスパックのバージョン
  • インストール言語
  • ユーザー名
     

image3_7.png

図 3. 盗み出されたシステム情報は Egobot の文字列で確認できる
 

盗み出された情報は、Egobot のコマンド & コントロール(C&C)サーバーに以下の形式で送信されます。

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 でエンコードされた文字列]
  • /micro/advice.php?arg1=1irst&arg2=[ハッシュ]&arg3=[BASE64 でエンコードされた文字列]
     

image4_3.png

図 4. C&C サーバーに返される通信内容。赤い囲みが arg1 の値
 

C&C サーバーに返されるデータは、マルウェアに組み込まれた循環鍵を使って暗号化されます。具体的には、以下の 2 つの鍵が確認されています。

  • youareveryverygoodthing
  • allmyshitisveryverymuch

最後に、実行可能な RAR ファイルがジオシティーズから最後のコンポーネントをダウンロードします。ここでダウンロードされるファイルには、C&C に送信される GET コマンドの arg1 の値を使って名前が付けられます。上の例で言うと、Egobot は 1irst.tmp というファイルをダウンロードします。これがメインのペイロードです。
 

情報の窃盗

メインのペイロードには、標的となる企業の経営幹部にとって致命的となる恐れのある機能があります。たとえば、次のような機能です。

  • ビデオを録画する
  • 音声を録音する
  • スクリーンショットを取得する
  • リモートサーバーにファイルをアップロードする
  • 最新使った文書のリストを取得する
  • ファイルにおける文字列やパターンを検索する
  • 復元ポイントを削除して設定する

盗み出された情報は、マレーシア、香港、カナダでホストされているリモートサーバーにアップロードされます。攻撃者は、64 ビットプラットフォームでもシームレスに動作するように、64 ビット版を追加してコードを更新しています。
 

検出をすり抜けて潜伏

Egobot は、商用パッカーの exe32pack と UPX を使って各種コンポーネントとともに圧縮された RAR バンドルアーカイブとしてシステムにダウンロードされます。マルウェアの存在を隠蔽するために、以下のコンポーネントが使われています。

  1. Detours コンポーネント: Backdoor.Egobot は、以前のバージョンの Microsoft Detours ソフトウェアパッケージの機能を使ってコンパイルされているため、detoured.dll ファイルが含まれています。このファイルは、悪質な .dll ファイルを正規の Win32 バイナリにアタッチするために使われます。Egobot はこのファイルを使って、正規プロセスのメモリ内で正常なプロセスに偽装して自身を実行できます。
  2. コーディネータコンポーネント: ファイルを適切なフォルダに移動し、正規のプロセスにインジェクトすることによってファイルを準備します。Backdoor.Egobot は、explorer.exe、subst.exe、alg.exe の各プロセスにインジェクトされるのが普通です。
  3. タイマー機能: バックドアコンポーネントの一部のバージョンには、一定日数の経過後にトロイの木馬が自身を削除できるように、タイマー機能が組み込まれています。この機能によって、Backdoor.Egobot の痕跡はすべて削除されます。
     

image5_3.png

図 5. Backdoor.Egobot のコンポーネント
 

シマンテック製品をお使いのお客様は、Symantec Email Security.cloud によって保護されています。この攻撃の悪質なサンプルは、Trojan HorseTrojan.DropperTrojan.MdropperBackdoor.Egobot として検出されます。

残念ながら、悪い話はこれだけではありません。シマンテックによる Egobot の研究から、Egobot に関連して並行した攻撃も確認されており、これは Egobot より 3 年近く早い 2006 年から活動を続けているのです。(Egobot 攻撃との関連も含めて)Nemim 攻撃について詳しくは、別のブログ「Infostealer.Nemim: 拡散力の強い Infostealer の進化の経緯」を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake email spoofs AVAST

      No Comments on Fake email spoofs AVAST

Malware samples received in the avast! Virus Lab Wednesday show that a spoofed email which looks like it has been sent from AVAST is spreading widely. Fortunately, AVAST detects this malware as Win32:Malware[Gen] and has been blocking the virus since 12:45 pm yesterday. The email’s subject header says, “Your Order details and Additional information,” and […]

Self-assembling Robots May Herald Dawn of Evil Toasters

      No Comments on Self-assembling Robots May Herald Dawn of Evil Toasters

If Hollywood is to be believed, we will all one day be living in a future filled with robots, or less likely, zombies. Robots are everywhere in our predicted future. A common theme on the silver screen is the artificial intelligence mastermind attempt…

avast! Browser Cleanup still at work

      No Comments on avast! Browser Cleanup still at work

by Thomas Salomon, head of AVAST Software ‘s German Software Development team In one of our previous posts we wrote about browser extensions and their possibly unwanted effects on our customers’ computers. Browser toolbars have been around for years, however, in the last couple of months they became a huge mess. Unfortunately, lots of free […]

??????????? 419 ??

      No Comments on ??????????? 419 ??

ディーワーリーは、「光の祭典」とも呼ばれるヒンドゥー教の重要な祝祭です。この祭典は 5 日間続き、その間は多くの人々がお祝いの雰囲気を盛り上げ、お祭り気分を分かち合います。今年のディーワーリーは 11 月にあたりますが、予想どおり、ディーワーリーを悪用した詐欺メールが Symantec Probe Network で検出され始めています。

シマンテックが特定した詐欺メールは、インド準備銀行から送信されたように偽装されており、ディーワーリーを祝う特別賞金に当選したと書かれています。賞金額はインドの通貨で 4 クローレ 70 ラークルピー、つまり 1,070 万ルピー(およそ 17 万 5 千ドル)です。この賞金を手に入れるためと称して、指定された電子メールアドレスに個人情報を送信するよう要求されます。

このスパム攻撃では、以下の件名が確認されています。

件名: UP-COMING DIWALI SPLASH…….(もうすぐ感動のディーワーリー……)

Festival_of_Lights_1.png

図. ディーワーリーを悪用した 419 詐欺の電子メール

今後の数カ月間はいくつも祝祭日が続くので、こうした疑わしい電子メールには注意が必要です。インド準備銀行は、金銭詐取を狙った怪しい偽メールに注意するよう国民に警告しています。

シマンテックは、ディーワーリーを悪用するスパム攻撃が今後何日間か急増するものと予測しています。個人情報の漏えいを防ぐために、迷惑メールを開かないように十分に注意し、スパム対策シグネチャを定期的に更新するようにしてください。シマンテックでは、最新の脅威に関する情報をお届けできるよう、こうしたスパム攻撃に対して厳重な監視を続けています。

楽しく安全なディーワーリーをお過ごしください!

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

25 years in the making – avast! 2014

      No Comments on 25 years in the making – avast! 2014

In the 25 years that AVAST has existed, the goal has always been to protect people’s valuable data, residing on computers and mobile devices, from cybercrooks. Today, after all those years of experience gained from protecting nearly 200 million devices, we are proud to introduce our strongest, most effective product, the new avast! 2014. “The […]

ATM ????????????

      No Comments on ATM ????????????

寄稿: Val S

Mexican ATMs 1.jpg

メキシコの犯罪組織は、金銭を盗み出す新しい手口を次々と生み出すことで悪名を馳せています。現金自動預け払い機(ATM)も頻繁に狙われていますが、犯罪者にとって問題になるのは ATM から実際に現金を取り出す方法です。以下の 3 つの方法がよく使われています。

  1. 誘拐: 一般市民を誘拐して、口座が空になるまで預金をすべて引き出させます。所要時間は口座から引き出せる金額によって異なります。1 日当たりの払い戻し金額には上限が設けられているのが普通だからです。
  2. 物理的な ATM の強奪: ATM を別の場所に持ち去り、そこでゆっくり中の現金を取り出します。この場合、問題になるのは金銭的な損失だけにとどまりません。犯罪者は、ATM 上で実行されているソフトウェアにもアクセスできるので、それをリバースエンジニアリングできれば同じソフトウェアが実行されているすべての ATM に対する攻撃が可能になるためです。
  3. ATM スキミング: キャッシュカード読み取り部分に装置を取り付け、暗証番号などの個人識別情報(PII)を盗み出そうとします。押されたボタンを記録するために、偽のテンキーをかぶせる場合もあります。

以上の手口はいずれも、成否が完全に外的な要因に左右されますが、犯罪者にとって最も望ましいのは、ボタンをいくつか押すだけで ATM から現金を吐き出させる(2010 年の BlackHat カンファレンスで故バーナビー・ジャック(Barnaby Jack)氏が実演したように)ことです。金融機関にとっては悪夢ですが、犯罪者の夢が実現してしまったかもしれません。他のウイルス対策企業との合同調査で、シマンテックは 2013 年 8 月 31 日にそのサンプルを特定し、2013 年 9 月 4 日にその検出定義を追加しました。このサンプルは Backdoor.Ploutus として検出されます。

感染の手法

シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。

影響

今回の犯罪者が作成したインターフェースは、侵入した ATM 上の ATM ソフトウェアと対話するため、現金を格納しているコンテナ(カセットとも呼ばれます)から、利用可能な現金をすべて引き出すことができます。

注意しなければならないのは、カードの所有者が ATM のテンキーで入力した情報をすべて読み取る機能も備えているため、犯罪者は外部デバイスをいっさい使わずに重要な情報を盗み出せるという点です。

このマルウェアの影響を受けている他の国や地域から確定的な情報はまだ届いていませんが、同じ ATM ソフトウェアを使っている他の国や地域の金融機関も狙われる恐れがあります。

Backdoor.Ploutus の技術的な特徴

  1. NCRDRVPS という名前の Windows サービスとして実行される。
  2. 犯罪者は、侵入した ATM 上の ATM ソフトウェアと対話するインターフェースを作成するために、NCR.APTRA.AXFS クラスを使っている。
  3. バイナリ名は PloutusService.exe である。
  4. 開発には .NET 技術が使われており、Confuser 1.9 というソフトウェアで不明瞭化されている。
  5. 隠しウィンドウが作成され、犯罪者はこれを利用して ATM を操作できる。
  6. Backdoor.Ploutus は犯罪者が入力する特定のキーの組み合わせをコマンドとして解釈する。コマンドは、外付けキーボード(ATM に接続する必要がある)からでも、テンキーから直接でも受け付けられる。

Backdoor.Ploutus によって実行される処理

  1. ATM ID の生成: 乱数を生成し、侵入した時点の月日に基づいて侵入先の ATM に割り当てられます。
  2. ATM ID のアクティブ化: 現金を引き出すためのタイマーを設定します。マルウェアは、アクティブ化されてから 24 時間以内に限って現金を引き出します。
  3. キャッシュの引き出し: 犯罪者が要求した金額に基づいて現金が引き出されます。
  4. 再起動(サービス): 引き出し期間をリセットします。

失効していないアクティブな ATM ID を使って現金を引き出す必要があるため、上に挙げたコマンドのリストはこの順序で実行される必要があります。

ソースコードではスペイン語の関数名が使われ、英語の文法に間違いがあることから、このマルウェアはスペイン語圏の開発者によって作成されたものと考えられます。

テンキーによる Backdoor.Ploutus の操作

前述したように、このタイプの操作では別途キーボードを接続する必要はありません。

ATM のテンキーを使って入力されるコマンドコードとその目的は、以下のとおりです。

12340000: キーボードがコマンドを受け取っているかどうかをテストします。

12343570: ATM ID を生成します。ID は、config.ini ファイルの DATAA というエントリに保存されます。

12343571XXXXXXXX: これは 2 つの処理を実行します。

  1. エンコードされている ATM ID と現在の日付に基づいてアクティブ化コードを生成し、ATM ID をアクティブ化します。この値は、config.ini ファイルの DATAC というエントリに保存されます。読み込まれる最初の 8 バイトは、CrypTrack() という関数によって生成された、有効なエンコード済み ATM ID でなければなりません。ATM で現金を引き出すには、有効な ATM アクティブ化コードを取得する必要があります。

12343572XX: ATM に現金を引き出すよう命令します。伏せ字にしてある桁が、引き出す金額(100 ドル紙幣の枚数)を表します。

GUI による Backdoor.Ploutus の操作

この方法を使うには、外付けキーボードが必要です。

F8 = Backdoor.Ploutus のウィンドウが非表示の場合に、それを ATM のメイン画面に表示します。これにより、犯罪者がコマンドを送信できるようになります。

Backdoor.Ploutus のウィンドウが表示されたら、キーボードで対応するキーを押すと以下のキーコマンドが発行されます。

F1 = ATM ID の生成

F2 = ATM ID のアクティブ化

F3 = 引き出し

F4 = Backdoor.Ploutus ウィンドウの無効化

F5 = KeyControlUp(上に移動)

F6 = KeyControlDown(下に移動)

F7 = KeyControlNext(次に移動)

F8 = KeyControlBack(前に移動)

Mexican ATMs 2.png

図. Backdoor.Ploutus のキーコマンド

侵入後の引き出しプロセス

今回の犯罪者が ATM ソフトウェアをリバースエンジニアリングし、それと対話するインターフェースを作り上げたことは明らかです。私たちは ATM アーキテクトではありませんが、確認できたコードに基づいて、Backdoor.Ploutus には以下のような機能があると推測できます。

  1. ATM のディスペンサデバイスを識別します。
  2. ディスペンサ 1 台当たりのカセット数を取得し、ロードします。今回の場合、犯罪者は ATM モデルの設計がわかっているため、Backdoor.Ploutus はディスペンサ当たりのカセット数が最大 4 つであると想定します。
  3. 次に、所定の紙幣枚数に現金の単位値を掛けた値に基づいて引き出し金額を計算します。
  4. 現金引き出し処理が開始されます。いずれかのカセットで利用できる上限が 40 単位(紙幣)を下回る場合は、要求された金額を引き出すかわりに、そのカセットで利用できる全額が引き出されます。
  5. 最後に、ATM からすべての現金が引き出されるまで、残りのカセットについてもステップ 4 を繰り返します。

あなたの身近なところで ATM から現金が引き抜かれているかも…

今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではありません。実際に、もしかしたら皆さんの身近な ATM で起きているかもしれない現実なのです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。