Backdoor.Ploutus ?? – ???????????? Ploutus

      No Comments on Backdoor.Ploutus ?? – ???????????? Ploutus

backdoor ploutus head.jpg

 

Rapid Release 定義のページで報告されているとおり、シマンテックは 2013 年 9 月 4 日、ATM を標的にする Backdoor.Ploutus という新しいマルウェアを最初に検出し、その検出定義を追加しました。最近になってこのマルウェアの新しい亜種が見つかりましたが、以前より進化したうえに英語に翻訳されていることから、同じ ATM ソフトウェアが他の国や地域でも使われていることを示唆しています。

シマンテックは 2013 年 10 月 25 日、この新しい亜種に対する汎用的な検出定義を Backdoor.Ploutus.B として追加しました。Ploutus は、活動していない状態でも実行中でも検出することができます。

感染の手法

シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。

影響

今回、犯罪者は、マルウェアをさらに堅ろうなアーキテクチャに移植したうえ、英語に翻訳しています。まるで、中南米以外の国や地域でも同じ ATM ソフトウェアを悪用できることがわかったのだと、ほのめかしているようです。

Backdoor.Ploutus.B の影響を受けている金融機関の数については、今回の調査では対象にしていません。関係各機関に委ねられています。

Backdoor.Ploutus.B の新しい特徴

英語版のバイナリ名は PloutusService.exe ではなく Ploutos.exe となり、スタンドアロンのプログラムからモジュール式のアーキテクチャに変更されています。
 

backdoor ploutus fig 1.png

図 1. モジュール式のアーキテクチャに変更された Ploutus
 

新しい NCRDRVP サービスは高度に不明瞭化されているため、その悪質な活動は検出をすり抜けて、以下の処理を実行する可能性があります。

  • サービスをインストールまたはアンインストールする。
  • キーボードフッキングを実行する。
  • ディスパッチャ DLL をロードする。
  • ATM のテンキーから犯罪者が入力したコマンドを受信する。
  • RAW ソケットを通じてディスパッチャにコマンドを転送する。

このディスパッチャは、RAW ソケットを作成して命令に対する応答を準備します。RAW ソケットは、システムが使う TCP プロトコルまたは UDP プロトコルにリストされないため、検出が容易ではありません。ディスパッチャは、以下の処理を実行する可能性があります。

  • 受信したコマンドを解析してその有効性を確認する。
  • コマンドライン引数を通じて Ploutus を実行する。

Backdoor.Ploutus.B は同じインターフェース(NCR.APTRA.AXFS クラス)を持ち、現金の引き出しがメインの機能である点は変わりませんが、いくつかの相違点もあります。今回のバージョンの特徴は、以下のとおりです。

  • ATM に USB プリンタを接続すれば、すべての ATM 設定情報を印刷できる(スペイン語版は、この情報をログファイルに出力する)。
  • グラフィカルユーザーインターフェース(GUI)を持たず、その代わりに ATM のテンキーからのコマンドを受け付ける。
  • 現金の引き出し中、攻撃者には ATM で利用可能な金額を示すウィンドウとトランザクションログが表示される。
  • ATM へのキーボードの接続には対応していない。
  • 引き出し可能な紙幣が最も多いカセットから現金を引き出すが、特定の紙幣で金額を指定するオプションはない。

Ploutus Reloaded fig 2 edit.png

図 2. 侵入先の ATM で引き出し可能な現金が表示されるウィンドウ
 

Backdoor.Ploutus.B によって実行される処理

新しいバージョンでも、次の機能は古いバージョンと変わっていません。

  • 乱数を生成し、侵入した時点の日付に基づいて侵入先の ATM に割り当てる。
  • 現金を引き出すためのタイマーを設定する(マルウェアは、アクティブ化されてから 24 時間以内に限って現金を引き出す)。
  • 引き出し可能な紙幣が最も多いカセットから現金を引き出す。

ATM のテンキーによる Backdoor.Ploutus.B の操作

攻撃者は ATM のテンキーを使って次のような 16 桁のコマンドコードを送信し、そのコードが NCRDRVP サービスで受信されます。

  • 123456789ABCDEFG

次に、このコードが RAW ソケットを通じてディスパッチャに転送され、ディスパッチャは次のようなコマンドラインで 33 桁の命令を Ploutus に送信します。

  • cmd.exe /c Ploutos.exe 5449610000583686=123456789ABCDEFG

最後の 16 桁が 2836957412536985 に等しければ、Ploutus は ATM ID を生成します。Ploutus が ATM ID を生成した場合、攻撃者は同じ 16 桁を入力できますが、このとき下 2 桁を書き換えてさまざまな処理を実行します。

下 2 桁が 99 の場合:

  • Ploutus が終了する。

下 2 桁が 54 の場合:

  • エンコードされている ATM ID と現在の日付に基づいて生成されるコードによって、ATM ID がアクティブ化される。この値は、config.ini ファイルの DATAC というエントリに保存されます。ATM で現金を引き出すには、有効な ATM アクティブ化コードを取得する必要があります。
  • 現金を引き出すためのタイマーが設定され、その値が config.ini ファイルの DATAB というエントリに保存される。

下 2 桁が 31 の場合:

  • ATM で現金が引き出され、USB プリンタを接続していれば、すべての ATM 設定情報が印刷される。

侵入後の引き出しプロセス

  1. Ploutus が ATM でディスペンサデバイス数を識別します。
  2. ディスペンサ 1 台当たりで利用可能なカセット数を取得し、ロードします。今回の場合、犯罪者は ATM モデルの設計がわかっているため、Ploutus はディスペンサ当たりのカセット数が最大 4 つであると想定します。
  3. 次に、40 に設定された紙幣枚数に現金の単位値を掛けて引き出し金額を計算します。
  4. 現金引き出し処理が開始されます。いずれかのカセットで利用できる上限が 40 単位(紙幣)に満たない場合は、利用可能な紙幣の枚数がもっと多いカセットを探して、そのカセットのみから全額を引き出します。
  5. パネル(図 2 を参照)を開き、トランザクションの詳細と ATM の残額を表示します。表示が終わるとパネルを閉じます。
  6. 最後に、現金の引き出しが要求されるたびにステップ 4 を繰り返します。

あなたの身近なところで ATM から現金が引き抜かれている

今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではなく、実際に起きている現実です。もっとも、この問題で ATM の利用者が直接の被害を受けるわけではなく、狙われているのはあくまでも金融機関です。シマンテックは、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • ハードディスクからのみブートするように BIOS のブート順序を設定する(CD/DVD、USB からは起動しない)。
  • 攻撃者がブートオプションの設定を変更できないように、BIOS をパスワードで保護する。
  • BIOS によってブート時から読み取りと起動が可能なハードウェアを取り外すことを検討する。
  • ウイルス対策のシグネチャとセキュリティソリューションを常に最新の状態に保つ。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Halloween-themed Spam Tricks and Does Not Treat

      No Comments on Halloween-themed Spam Tricks and Does Not Treat

Many people are waiting eagerly for Halloween, a holiday filled with mystery, magic and fantasy, where bonfires were lit and costumes were worn to ward off roaming ghosts. As expected, Halloween Day spam messages have started flowing through Symantec&r…

Facebook Clickjacking: Will You Like Me?

      No Comments on Facebook Clickjacking: Will You Like Me?

“Who wouldn’t want to have more likes on their Facebook page?” This is the motivation of a very trivial code to get more likes, but while other methods usually comprise of adding better content or advertising, this one is a bit easier, and much dirtier. Why not show the like button directly beneath your mouse […]

Backdoor.Ploutus Reloaded – Ploutus Leaves Mexico

      No Comments on Backdoor.Ploutus Reloaded – Ploutus Leaves Mexico

 
On September 4, 2013, we were the first to discover and add detections for a new malware targeting ATMs named Backdoor.Ploutus, as reported by our Rapid Release Definitions. Recently, we identified a new variant of this threat and realized that…

Google flagged PHP.net as suspicious website

      No Comments on Google flagged PHP.net as suspicious website

PHP.net users that would like to access php.net were unpleasantly surprised today. Google flagged the website as suspicious and users of the Google Chrome and Mozilla Firefox browsers saw a security warning when they tried to visit the website. According to the Google diagnostic page, suspicious content was found on php.net on October 23rd, 2013. […]

What to do if your computer is attacked by ransomware

      No Comments on What to do if your computer is attacked by ransomware

Question of the week:  I just read your blog post about the Reveton virus. My computer was locked and held for ransom by something similar. I finally got it fixed and downloaded avast! 2014. How can I prevent that from happening again? We’re sorry to read that you experienced “ransomware” firsthand.  While this type of […]

No pleasure from this adult app – only pain

      No Comments on No pleasure from this adult app – only pain

A few weeks ago, I discovered and Julia warned you about a fake AVAST application which was infecting smartphones. It was hidden behind adult apps and was pretty nasty. Here is some detailed information about it. First of all, if you look for adult applications (also known as pleasure applications J ), you can find […]

Twitter ???????????? URL ??????????????

      No Comments on Twitter ???????????? URL ??????????????

Twitter のダイレクトメッセージで URL 送信が制限されているという報道(リンク 1リンク 2)があったばかりですが、スパマーは早くも先週末、この制限をすり抜ける方法を発見して、ダイエット薬のスパムリンクを送りつけています。

Fig1_5.png

図 1. スパムリンクを含むツイートをユーザーに送りつけるダイレクトメッセージ

このスパムが見つかったきっかけは、こちらが一方的にフォローしていただけのユーザーから突然フォローされ始めたことでした。新しくフォローされたという通知を受け取った直後に、そのユーザーからダイレクトメッセージが届いたのです。

Fig2_3.png

図 2. ダイレクトメッセージを通じて Twitter ユーザーに送信される悪質なリンク

通常の Twitter スパムとは異なり、このダイレクトメッセージで見つかるリンクは Twitter にアクセスします。リンク先は、あるツイートであり、そのユーザーが自身のアカウントに投稿したものです。

そのツイートに含まれるリンクをクリックすると、典型的なダイエット薬スパムに誘導されますが、これは数年前からさまざまなソーシャルネットワークで確認されているものです。

Fig3_3.png

図 3. リンクをクリックするとダイエット薬スパムの Web ページに誘導される

Twitter 上で「I recommend site(私のお勧めサイト)」というキーワードを検索すると、似たようなリンクをツイートした Twitter ユーザーが多数見つかります。つまり、それらのアカウントも乗っ取られており、そのフォロワーたちが同じようなダイレクトメッセージを受け取っているということです。

Fig4_1.png

図 4. ダイエット薬スパムのリンクを含むツイート

さらに調べたところ、Twitter では現在、bit.ly や TinyURL などの URL 短縮サービスへのリンクを遮断していることが判明しました。ダイレクトメッセージで、URL 短縮サービスのリンクを送信しようとしたところ、エラーメッセージが表示されました。

Fig5_1.png

図 5. ダイレクトメッセージに関する変更を通知する Twitter のサポート記事

Twitter のダイレクトメッセージでこのようなリンクが遮断されているのは、スパマーがスパムドメインのリンクを隠蔽するために URL 短縮サービスを使っているからでしょう。Twitter のヘルプに追加されている通知では、バックエンドを再構築中であるため一部の URL が送信できなくなっていると説明されています。こうした状況にもかかわらず、スパマーは攻撃を続けるための抜け道を見つけたということです。

自分や知人がツイートまたはダイレクトメッセージでスパムリンクを送信してしまったこに気付いた場合には、こちらの手順に従って、アカウントが乗っ取られないように注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ransomcrypt: ??????

      No Comments on Ransomcrypt: ??????

トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。

Fig1_4.png

図 1. Trojan.Ransomcrypt.F の支払い要求画面

Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。

Fig2_2.png

図 2. Trojan.Ransomlock.F の感染分布図

初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。

Fig3_2.png

図 3. Ransomcrypt の DNS 要求

シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。

作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。

Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。

Fig4_0.png

図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン

メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。

マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。

Fig5_0.png

図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン

Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。