Ransomcrypt: A Thriving Menace

      No Comments on Ransomcrypt: A Thriving Menace

While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…

Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]

????????????????????????

      No Comments on ????????????????????????

寄稿: Binny Kuriakose

米国では、予算不成立の影響を受けて政府機関の大部分が閉鎖しているため、経済成長にも影響が出始めています。政府機関職員の多くが給与未払いのまま勤務を続けざるをえず、一部では無期限の一時帰休をとる事態に陥っています。

シマンテックは、政府機関の一部閉鎖が発表された直後から、その被害者を標的としたスパム活動を確認しています。これまでにもスパマーが景気の停滞を悪用しようとすることはありましたが、今回は、突然の政府閉鎖で市民が苦しめられている危機的な財政状況が直接狙われています。こうした事態を収束させようとしている上院の政策を考えると、これはおそらく、政府が閉鎖を解除する前にもっと荒稼ぎしておこうというスパマーの土壇場の試みなのでしょう。

この新手のスパムは、被害者を欺いて融資を申請させようという手口で、必然的に個人情報をスパマーに開示することになります。電子メールは、融資の処理から入金までがわずか 90 秒間で完了すると、その手軽さを謳っています。電子メールの件名も、被害者に近しい人から紹介があったかのように見せかけています。以下に、この攻撃で使われているメールヘッダーの例を示します。

差出人: “[名前]” <hufuf@[ドメイン]>
件名: Your name was mentioned(お名前をご紹介いただきました)

Figure1_3.png
図 1. 米政府機関閉鎖の被害者に融資を持ちかけるスパムメール

電子メールの内容は、不安を感じている被害者の気持ちをうまくつかむように工夫されています。たとえば、政府機関の閉鎖が続くかぎり財政的な支援があるといった内容です。電子メール本文に記載されているリンクをクリックすると別のページにリダイレクトされ、希望の融資金額を入力するよう求められますが、さらにページを進むと個人情報を入力するよう指示されます。
 
Figure2_3.png
図 2. 融資を勧誘する Web サイト
 

Figure3_2.png
図 3. ユーザーの個人情報を求めるページ

このスパムは、困り果てている被害者を狙ってきます。短時間で現金が手に入るという期待は抗しがたいほど魅力的であり、情報の足りない被害者は、まんまとこの詐欺に引っかかってしまいます。シマンテックは、スパマーが次々と繰り出してくる新しい手口を警戒し、スパムをスパムと見抜くための情報の提供を続けていく予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????

      No Comments on ????????????????????????????

cubes_concept02.png

ハリウッド映画を信じるなら、私たちはやがてロボットだらけの世界に住むようになります。ゾンビだらけの世界よりは、ありそうな話です。未来の予測図では、いたる所にロボットが存在します。スクリーンの中では、人工知能が世界征服を企てるという筋書きも定番であり、別形態に変形するロボットや自己修復の機能を持つロボットもすっかりおなじみになりました。残念ながら、ヘビーメタルのサウンドトラックに合わせてスローモーションで宙返りしながら自動車が戦闘ロボットに変形する、という段階には達していませんが、それに近づいていることは間違いありません。MIT の研究者が先日発表した M-Blocks という新モデルは、自己組み立て式ロボットの新たな一幕を象徴する刺激的な作品でした。

MIT が開発した立方体のモジュール型ロボットは、内部のはずみ車を使って自らの配置を変えます。はずみ車が生み出す瞬間的な推進力によって各モジュールは自在な方向に進み、磁力で連結します。モジュールが跳び上がって移動できるほどの強力な勢いを生むエネルギーを発生することもできます。立方体のモジュールで組み上がるのはまだ原始的な形にとどまり、残念ながら巨大な戦闘ロボットになったりはしませんが、そもそもの目標がそこにはありません。研究者が目指しているのは、各モジュールが自律的に動作することです。現在のプロトタイプは外部から制御されており、無線でコマンドを受信しています。

ここでセキュリティ研究者として気になるのは、言うまでもなく、こうしたモジュール型ロボットのセキュリティがどうなるかという点です。と言ってもご心配なく。何も、スカイネットがこの世界を支配するといった話ではありません。今はまだプロトタイプの段階にすぎないので、今後のモデルでどんな動作が可能になるかを予測しても、それは純粋な思索の域を出ませんが、ひとつ考えられる課題は、不正なモジュールを確実に識別できるかどうかでしょう。考えてもみてください。不正なロボットモジュールがシステムに混入したら、他のモジュールがすべて混乱し、形成しようとしていた構造は一瞬にして崩れてしまうのです。信頼できないノードのネットワークで信頼を築くというのは、容易に解決できる問題ではありません。逆に新しいモジュールの追加が必要になるかもしれず、それらがシームレスに統合されれば理想的です。

現在の自己組み立て式モジュール型ロボットは、コマンドを送受信する中央制御ユニットを持っており、モノのインターネット(IoT)にたとえることができます。IoT とは、単純に言えば、従来と異なるデバイスのグループをインターネットに接続することであり、大きな可能性を秘めた分野として注目を集めています。IoT の中で最も実用的なのがスマート家電機器で、一部はすでに商品化されています。現在市販されているロボット掃除機は、自己組み立て機能こそありませんが、ロボットには違いありません。

IoT に関しては、すでにセキュリティ業界から多大な関心が寄せられており、IoT をテーマとして取り上げるセキュリティ関連のカンファレンスも増えています。たとえば、ダニエル・ブエンテロ(Daniel Buentello)氏は今年の DerbyCon で、リモートコントロール式の電源スイッチを完全に乗っ取る方法についてプレゼンテーションを行いました。電灯のスイッチをオン/オフするだけなら特に脅威とは感じられませんが、窓やドアを開けられるとなれば驚きは大きくなります。しかも、これは可能性のごく一部にすぎません。冷蔵庫がポートスキャンを実行する、あるいはムード照明が他の照明器具にマルウェアを感染させるというシナリオは、どれも現実性があります。隣人によってトースターがリモートで侵入を受け、そこからの命令でステレオの電源を切られたりする、そんな日が来るかもしれないのです。そうした家電機器は厳重なセキュリティを想定して製造されているわけではないので、悪質なコードが実行されても、検出や除去は難しい可能性があります。

シマンテックは、モノの接続が進むこれからの世界で安全に過ごせるように、この分野の発展を慎重に追跡しています。冷蔵庫がコーヒーメーカーと共謀してトースターに DDoS 攻撃を仕掛けるなどという事態が近い将来に起きないことを祈っています。そんな 1 日の始まりは誰しも願い下げですから。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Offer Loans to US Government Shutdown Victims

Contributor: Binny Kuriakose

The funding gap in US, which resulted in a shutdown of a large portion of the United States federal government, has  started affecting economic growth in the country. Large portions of the federal workforce were required to work without immediate pay, while some were indefinitely furloughed.

Symantec recently uncovered spam campaigns, which started promptly following the shutdown announcement, targeting the affected victims. In the past,  spammers tried to take advantage of the general gloom, but now they are directly targeting the raw financial state the sudden shutdown has left people in. This could probably be a last ditch effort to haul in more spoils before the US shutdown is lifted, especially in light of the senate’s deal, which is currently being made to end the shutdown.

This new wave of spam is designed  to manipulate  victims into applying for loans and inevitably disclose their personal details to the spammers. The email appeals  to victims by  offering  quick loan processing and delivery within a time span as short as 90 seconds. The email’s subject line  also makes it look as though the names were suggested by someone close to the victims. The following is a sample email header used in this campaign:

From: “[NAME]” <hufuf@[DOMAIN]>
Subject: Your name was mentioned

Figure1_3.png
Figure 1. Spam email promising US shutdown victims a loan

The email content is tweaked strategically at  the right places to make the victims feel comfortable. For example, offering financial help as the US shutdown continues. The link in the email body takes the victim to a  page asking for the amount they wish to be advanced for the promised loan, and subsequently to another page asking for the user’s personal details.
 
Figure2_3.png
Figure 2. Website promoting loans
 

Figure3_3.png
Figure 3. Website asking for user details

This spam is designed to hit the victims’ when they are most vulnerable. The promise of quick cash is too tempting to ignore, and ultimately, ill-informed victims are bound to fall for this scam. Symantec is on the lookout for new tricks, which spammers are pulling out of their sleeve and keeping the public armed with information to see these for what they are – scams.Spammers Offer Loans to US Government Shutdown Victims.

Infostealer.Nemim: ?????? Infostealer ??????

寄稿: Satnam Narang

Backdoor.Egobot に関する先のブログでは、Egobot が目立たないように潜伏しながら特定の業種を標的にする手法について概要をお伝えしました。Egobot の背後にいるサイバー犯罪者は、さらに広く攻撃を拡散するために、Infostealer.Nemim も開発したようです。攻撃範囲こそ異なりますが、どちらも侵入先のコンピュータから情報を盗み出すものであり、2 つとも同じ出どころから発生している節があります。
 

Nemim のコンポーネント

シマンテックが Nemim の活動を初めて検出したのは、2006 年秋のことです。最初期のサンプルの 1 つには、侵入先のコンピュータから自身を削除するタイミングを決めるタイマー機構が組み込まれていました。削除には条件があり、特定の日付に紐付いているか、サンプルが実行された回数に基づいています。タイマー機構は、Egobot のサンプルでも見つかった機能です。

シマンテックが解析した Nemim のサンプルは、盗まれた証明書でデジタル署名されており、時間とともに以下の 3 つのコンポーネントが更新されました。

  1. インフェクタコンポーネント
  2. ダウンローダコンポーネント
  3. 情報窃盗コンポーネント
     

インフェクタコンポーネント

インフェクタコンポーネントは、特定のフォルダにある実行可能ファイルに感染するように設計されています。具体的には、%UserProfile% フォルダとそのサブフォルダすべてを標的として感染します。

感染方法は洗練されたものではありません。Nemim は、感染したファイルの名前の末尾に .rdat を追加した名前で、新しいセクションに自身をコピーします。感染したファイルの元のエントリポイントが、Nemim コードの .rdat セクションをポイントするように変更されます。感染コードは、次のパスで埋め込まれた実行可能ファイルの解読、投下、実行を担います。

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

この実行可能ファイルが、ダウンローダコンポーネントです。
 

ダウンローダコンポーネント

ダウンローダコンポーネントは、暗号化された実行可能ファイルのラッパーのように機能します。解読後、暗号化された実行可能ファイルが動的にロードされます。この暗号化された実行可能ファイルに、実際のダウンローダ機能が含まれていますが、ダウンロードする前に、Nemim は侵入先のコンピュータから以下のシステム情報を収集します。

  • コンピュータ名
  • ユーザー名
  • CPU 名
  • オペレーティングシステムのバージョン
  • USB デバイスの数
  • ローカル IP アドレス
  • MAC アドレス
     

image1_13.png

図 1. Infostealer.Nemim が侵入先のコンピュータから収集するシステム情報
 

収集された情報は暗号化され、Base64 に変換されてからコマンド & コントロール(C&C)サーバーに送信されます。このプロセスは Egobot と同様です。収集された情報は、C&C サーバー上では暗号化されていない形式で見ることができます。たとえば、P2Pdetou 変数にはコンピュータ名とユーザー名が [コンピュータ名]@[ユーザー名] という形で示されます。サーバーは、投下され実行されるペイロードを含めて、基本的なコマンドでこれに応答します。次に、ダウンローダは、サーバーが「minmei」という文字列とそれに続く以下のコマンドで応答するものと想定します。

  • up
  • re
  • no

たとえば up コマンドは、ダウンロードされるデータに実行可能なペイロードが含まれ、それをダウンローダが解読して実行することを示します。
 

情報窃盗コンポーネント

情報窃盗コンポーネントは、以下のアプリケーションから、保存されているアカウント情報を盗み出すことができます。

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

情報窃盗コンポーネントは、盗み出したデータを C&C サーバーに返し、ダウンローダコンポーネントと同様に「minmei」という文字列が返されるものと想定します。
 

地理的な拡散状況

Nemim の標的は主に日本と米国に集中しており、インドと英国がそれに次いでいます。
 

image2_3.jpeg

図 2. Infostealer.Nemim の地理的な拡散状況
 

シマンテックは、以下の脅威のコンポーネントをすべて検出し、攻撃から保護します。

Nemim と Egobot の関係

Nemim のバイナリを解析したところ、いくつかの類似点から Backdoor.Egobot との関係が明らかになりました。
 

 

Nemim

Egobot

収集される情報で使われる特定の形式とタグ

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

情報の暗号化 暗号化して Base64 でエンコード 暗号化して Base64 でエンコード
C&C サーバーとの通信形式

[URL/IP]/[パス]/[ファイル].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[パス]/[ファイル].php?arg1=
%s&arg2=%s&arg3=%s

コードインジェクションの手法 Microsoft Detours の機能
(初期バージョン)
Microsoft Detours の機能
(すべてのバージョン)

表 1. Nemim と Egobot の類似点
 

こうした類似点と、双方の活動時期が重なっていることを考えれば、Nemim と Egobot の出どころが同じであることは明らかです。
 

新たな攻撃の可能性

Nemim は現在も活動を続けており、時間を掛けて着実に進化しています。たとえば、文字列の暗号化が重要になり、盗まれたデジタル証明書が新しいものでアップグレードされ、共通の仮想マシンを検出するチェックが実装されました。実際、過去 7 年間というもの攻撃者はイノベーションに揺るぎないこだわりを示し続け、2 種類の攻撃活動の必要性に応じてマルウェアを進化させてきたのです。このような積極的な姿勢は今後も変わることがなく、新しい攻撃の可能性も高いと言えるでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Egobot: ????????????????

      No Comments on Backdoor.Egobot: ????????????????

寄稿: Satnam Narang

Backdoor.Egobot は、韓国の産業界を標的とした攻撃で使われているトロイの木馬です。この攻撃の実行は直接的であり、しかも効果的です。シマンテックのデータによると、この攻撃活動が始まったのは 2009 年のことで、それ以来 Egobot は新しい機能を追加しながら進化し続けています。攻撃者は、標的型攻撃の 4 つの基本原則に則っています。

  1. 標的を特定する
  2. 標的を悪用する(ペイロードを投下するため)
  3. 悪質な活動を実行する(この場合は、情報を盗み出す)
  4. 検出されないように潜伏する

シマンテックはこれと並行した攻撃も発見していますが、こちらはもっと古く 2006 年には活動を開始しています。これについては、次のブログで取り上げます。
 

Egobot の標的

Egobot は、韓国企業の経営幹部を標的にしているほか、韓国と取引のある企業の経営幹部も狙われています。以下のような業種が Egobot の標的となっています。

  • 金融および投資
  • 社会インフラおよび開発
  • 政府機関
  • 軍需産業

韓国、オーストラリア、ロシア、ブラジル、米国と世界各国の組織が狙われています。
 

image1_12.png

図 1. Backdoor.Egobot の標的となった国
 

Egobot による攻撃の目的は、侵入したコンピュータから機密情報を盗み出すことです。
 

悪用

攻撃者は、標的を罠に掛ける前に、ソーシャルエンジニアリングの手法を用いて標的に関する情報を収集します。標的に宛ててスピア型フィッシングの電子メールが送信されますが、多くの場合これは知人から送信されたかのように偽装されています。この電子メールには標的に関係のある内容や気を引くようなメッセージが書かれており、悪質な添付ファイルを開かせようとします。悪質な添付ファイルはショートカット(.lnk)ファイルの場合もあり、その場合のリンク先は日本のジオシティーズ上でホストされているファイルです。
 

image2_7.png

図 2. Egobot のスピア型フィッシングメールと悪質なショートカットの添付ファイル
 

この攻撃で使われている悪質な添付ファイルの種類は多岐にわたります。

添付ファイルを開くと、以下のような 3 段階のダウンロードプロセスが実行されます。

第 1 段階: 不明瞭化された HTML ファイルのダウンロード

各添付ファイルによって、ジオシティーズ上にホストされているサイトからマルウェアがダウンロードされます。ファイルは同じではありませんが、通常は update[YYYYMM].xml という名前の不明瞭化された HTML ファイルです。これがシステムに実行可能ファイルを投下します。

第 2 段階: RAR アーカイブのダウンロード

第 1 段階で投下された実行可能ファイルが、ジオシティーズから別のファイルを取得します。これは hotfix[YYYYMM].xml という名前で、実行可能な RAR ファイルです。第 1 段階と第 2 段階でダウンロードされる 2 つのファイルは、正常なファイルに見せかけるために XML 文書に偽装されています。

第 3 段階: バックドアコンポーネントのダウンロード

実行可能な RAR ファイルがシステムを準備します。ファイルを移動し、プロセスにコンポーネントをインジェクトして、以下のシステム情報を盗み出す機能を持つ一連のファイルが投下されます。

  • Windows のバージョン
  • インストールされているサービスパックのバージョン
  • インストール言語
  • ユーザー名
     

image3_7.png

図 3. 盗み出されたシステム情報は Egobot の文字列で確認できる
 

盗み出された情報は、Egobot のコマンド & コントロール(C&C)サーバーに以下の形式で送信されます。

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 でエンコードされた文字列]
  • /micro/advice.php?arg1=1irst&arg2=[ハッシュ]&arg3=[BASE64 でエンコードされた文字列]
     

image4_3.png

図 4. C&C サーバーに返される通信内容。赤い囲みが arg1 の値
 

C&C サーバーに返されるデータは、マルウェアに組み込まれた循環鍵を使って暗号化されます。具体的には、以下の 2 つの鍵が確認されています。

  • youareveryverygoodthing
  • allmyshitisveryverymuch

最後に、実行可能な RAR ファイルがジオシティーズから最後のコンポーネントをダウンロードします。ここでダウンロードされるファイルには、C&C に送信される GET コマンドの arg1 の値を使って名前が付けられます。上の例で言うと、Egobot は 1irst.tmp というファイルをダウンロードします。これがメインのペイロードです。
 

情報の窃盗

メインのペイロードには、標的となる企業の経営幹部にとって致命的となる恐れのある機能があります。たとえば、次のような機能です。

  • ビデオを録画する
  • 音声を録音する
  • スクリーンショットを取得する
  • リモートサーバーにファイルをアップロードする
  • 最新使った文書のリストを取得する
  • ファイルにおける文字列やパターンを検索する
  • 復元ポイントを削除して設定する

盗み出された情報は、マレーシア、香港、カナダでホストされているリモートサーバーにアップロードされます。攻撃者は、64 ビットプラットフォームでもシームレスに動作するように、64 ビット版を追加してコードを更新しています。
 

検出をすり抜けて潜伏

Egobot は、商用パッカーの exe32pack と UPX を使って各種コンポーネントとともに圧縮された RAR バンドルアーカイブとしてシステムにダウンロードされます。マルウェアの存在を隠蔽するために、以下のコンポーネントが使われています。

  1. Detours コンポーネント: Backdoor.Egobot は、以前のバージョンの Microsoft Detours ソフトウェアパッケージの機能を使ってコンパイルされているため、detoured.dll ファイルが含まれています。このファイルは、悪質な .dll ファイルを正規の Win32 バイナリにアタッチするために使われます。Egobot はこのファイルを使って、正規プロセスのメモリ内で正常なプロセスに偽装して自身を実行できます。
  2. コーディネータコンポーネント: ファイルを適切なフォルダに移動し、正規のプロセスにインジェクトすることによってファイルを準備します。Backdoor.Egobot は、explorer.exe、subst.exe、alg.exe の各プロセスにインジェクトされるのが普通です。
  3. タイマー機能: バックドアコンポーネントの一部のバージョンには、一定日数の経過後にトロイの木馬が自身を削除できるように、タイマー機能が組み込まれています。この機能によって、Backdoor.Egobot の痕跡はすべて削除されます。
     

image5_3.png

図 5. Backdoor.Egobot のコンポーネント
 

シマンテック製品をお使いのお客様は、Symantec Email Security.cloud によって保護されています。この攻撃の悪質なサンプルは、Trojan HorseTrojan.DropperTrojan.MdropperBackdoor.Egobot として検出されます。

残念ながら、悪い話はこれだけではありません。シマンテックによる Egobot の研究から、Egobot に関連して並行した攻撃も確認されており、これは Egobot より 3 年近く早い 2006 年から活動を続けているのです。(Egobot 攻撃との関連も含めて)Nemim 攻撃について詳しくは、別のブログ「Infostealer.Nemim: 拡散力の強い Infostealer の進化の経緯」を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake email spoofs AVAST

      No Comments on Fake email spoofs AVAST

Malware samples received in the avast! Virus Lab Wednesday show that a spoofed email which looks like it has been sent from AVAST is spreading widely. Fortunately, AVAST detects this malware as Win32:Malware[Gen] and has been blocking the virus since 12:45 pm yesterday. The email’s subject header says, “Your Order details and Additional information,” and […]

Self-assembling Robots May Herald Dawn of Evil Toasters

If Hollywood is to be believed, we will all one day be living in a future filled with robots, or less likely, zombies. Robots are everywhere in our predicted future. A common theme on the silver screen is the artificial intelligence mastermind attempt…

avast! Browser Cleanup still at work

      No Comments on avast! Browser Cleanup still at work

by Thomas Salomon, head of AVAST Software ‘s German Software Development team In one of our previous posts we wrote about browser extensions and their possibly unwanted effects on our customers’ computers. Browser toolbars have been around for years, however, in the last couple of months they became a huge mess. Unfortunately, lots of free […]