Tag Archives: botnet

Twitch botnet malware lets scammers fraudulently earn money through gaming streams

Attackers have been compromising users’ computers to add them to botnets, which are rented out to artificially inflate Twitch channel audience numbers.

Read More

How to protect yourself from the coming virus apocalypse

After the takedown of a major botnet, users have a “two-week window” to protect themselves against a powerful computer attack that ransoms people’s data and steals millions of dollars from unsuspecting victims. If you read our blog, you are familiar with the dangers of the Zeus Trojan and ransomware, and how people get infected. Here’s […]

GameOver Zeus May not be as Over as You Think

The FBI, along with the Department of Justice, announced a multinational effort on their website that has disrupted a botnet called GameOver Zeus. GameOver Zeus has infected millions of Internet users around the world and has stolen millions of dollars.   The UK’s National Crime Agency (NCA) has worked closely with the FBI to crack […]

?????????????????????? njRAT

      No Comments on ?????????????????????? njRAT

シマンテックは、中東で発生した攻撃者グループが、njRAT として知られるシンプルなマルウェアを使いながら勢いを伸ばしていることを確認しています。njRAT は、他の多くのリモートアクセスツール(RAT)と似た機能も備えていますが、アラビア語の話者によって開発、サポートされているという点が特徴的で、結果としてアラビア語圏の攻撃者の間で人気を集めています。

njRAT を使うと、コンピュータのネットワークをいわゆるボットネットとして制御できるようになります。njRAT を使う攻撃者のほとんどが関与しているのは通常のサイバー犯罪活動のようですが、一部のグループが njRAT を使って中東地域の政府を標的としている証拠も見つかっています。

シマンテックは njRAT の 721 個のサンプルを解析し、きわめて多くの感染を確認しました。コマンド & コントロール(C&C)サーバーのドメインは 542 に及び、世界中で 24,000 台のコンピュータが感染していることがわかりました。C&C サーバーの 80% 近くは中東や北アフリカで見つかっており、サウジアラビア、イラク、チュニジア、エジプト、アルジェリア、モロッコ、パレスチナ地域、リビアなどで確認されています。

figure1_18.png
図 1. njRAT が使う C&C サーバーの大多数は中東や北アフリカで発見されている

C&C サーバーの IP アドレスをたどると、その大部分が ADSL 回線であることから、このマルウェアを使っているのは、そのほとんどが中東地域のホームユーザーであると思われます。

njRAT は、サイバー犯罪の世界で新顔ではありません。公開されたのは 2013 年 6 月で、これまでに 3 バージョンがリリースされています。そのすべてが、感染した USB メモリやネットワークに接続されたドライブから拡散します。

njRAT の基本的な機能は、多くの RAT と同じです。別のマルウェアをダウンロードして実行する、シェルコマンドを実行する、レジストリキーを読み書きする、スクリーンショットを取得する、キーストロークを記録する、Web カメラでのぞき見をするといった機能を備えています。

中東のホームユーザーに対するオンラインサポートが万全
njRAT が中東と北アフリカで人気を集めている最大の理由は、大規模なオンラインコミュニティの存在で、マルウェアの開発に関する手順やチュートリアルといった形でサポートが行われています。njRAT を作成したのはクウェートに住む個人ユーザーと目されており、作成者自身も同地域からこのコミュニティに参加しているようです。Twitter では @njq8 というアカウント名を使っており、njRAT の新しいバージョンがダウンロード可能になると、そのアカウントから更新情報を発信しています。

figure2_17.png
図 2. njRAT の作成者の Twitter アカウント。バージョン 0.7 がダウンロード可能になったことを告知している

シマンテックは、この作成者の WordPress ベースの Web ページも突き止めています。このページは Blogspot の別の Web ページにリダイレクトされており、リダイレクト先には、次の図のように訪問者の統計が表示されます。これを見ても、大多数がサウジアラビアからこのブログにアクセスしていることがわかります。

figure3_10.png
図 3. @njq8 が Blogspot の Web ページで公開している訪問者統計

njRAT の使い方については、技術サポートもチュートリアルも広く Web に出回っています。シマンテックは、アラビア語で製作されたチュートリアルの動画も数多く発見しました。これらの動画では、ダウンロードと設定のプロセスがステップバイステップで解説されており、C&C サーバーに対する動的 DNS の名前付けといった手順も含まれています。ここまで徹底したサポートのおかげで、この地域の攻撃者は njRAT 用のツールやサーバーコンポーネントを簡単に作成できるようになっているのです。

figure4_8.png
図 4. njRAT の作成方法を説明するチュートリアル動画の説明がハッキンググループ MaDLeeTs の Web サイトに掲載されている

figure5_6.png
図 5. Anonymous Iraq の YouTube チャネルにある最新 3 件のチュートリアル。njRAT を不明瞭化してウイルス対策ソフトウェアを回避する方法を説明している

njRAT を使って標的型攻撃を仕掛けるハッカーグループ
njRAT を使う攻撃者のほとんどはホームユーザーであり、Web カメラでのぞき見をしたり、被害者のコンピュータでスクリーンショットを取得したりといった、いわばオンラインのいたずらに興味を持っている存在にすぎません。しかし、多数の政府機関や政治活動家のネットワークで感染が記録されているのも事実です。

シマンテックが確認したところ、njRAT を使って攻撃を仕掛けているのは 487 グループにも及びます。攻撃の動機はさまざまですが、大まかに言うとハックティビズム、情報の窃盗、ボットネットの構築に分けることができます。

そうしたグループのひとつが「.K.Y.P.E/Tagged」というグループで、エジプトとアルジェリアに置かれた C&C サーバーを使っています。このグループの感染経路は、ファイル共有サイト ge.tt にホストされているスクリーンセーバーです。被害者が、このスクリーンセーバーを含む .rar 圧縮ファイルをダウンロードすると、njRAT の含まれている実行可能ファイルもダウンロードされてしまいます。

figure6_1.png
図 6. S.K.Y.P.E/Tagged グループが作成した感染スクリーンセーバーが、ファイル共有サイト ge.tt に置かれている

ge.tt にホストされている感染ファイルのタイムスタンプが 2012 年 11 月 20 日である点も注目に値します。njRAT が一般に利用できるようになったのは 2013 年 6 月ですが、njRAT はそれよりも前に作成されていた可能性があるからです。一般公開に先立って、非公開の Web フォーラムのような少人数のグループ間で配布されていたのかもしれません。

シマンテックは、この njRAT が ge.tt にアップロードされたタイミングを中心に感染件数が急増したことも確認しています。S.K.Y.P.E/Tagged グループが使っている C&C サーバーは、njratmoony.no-ip.biz と njr.no-ip.biz の 2 つですが、その 2 つのサーバーのサーバーと通信している、新たに感染したコンピュータの数が 2012 年 10 月と 11 月に急激に増加しています。

figure7_1.png
図 7. S.K.Y.P.E/Tagged グループの C&C サーバー(njratmoony.no-ip.biz と njr.no-ip.biz)と通信しているコンピュータの 1 日当たりの感染件数

njRAT はサイバー犯罪コミュニティ拡大の兆候
中東では相当数の攻撃者が、その使いやすさから njRAT を使い続けているため、マルウェアを不明瞭化してウイルス対策ソフトウェアによる検出をすり抜けようとする新しい試みが今後も続くものと予測されます。アラビア語圏のコミュニティと同地域に居住する作成者がサポートを続けるかぎり、njRAT は今後も使い続けられるでしょう。

短期的には、ハッカーグループのようにもっと高度な攻撃者が、標的型攻撃に njRAT を使い続ける可能性があります。たとえば、電子フロンティア財団(EFF)と Citizen Lab によるレポートで明らかにされたように、シリア紛争で反体制派グループを狙って悪用された数多くのツールの中に njRAT も含まれていました。しかし、こうしたグループは最終的に、njRAT のように誰でも利用可能なツールからは遠ざかり、サイバー攻撃のために独自のツールや、より高度な RAT の開発を開始するとシマンテックは見込んでいます。

シマンテックは、この脅威を Backdoor.Ratenjay として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Simple njRAT Fuels Nascent Middle East Cybercrime Scene

Symantec has observed the growth of indigenous groups of attackers in the Middle East, centered around a simple piece of malware known as njRAT. While njRAT is similar in capability to many other remote access tools (RATs), what is interesting about this malware is that it is developed and supported by Arabic speakers, resulting in its popularity among attackers in the region.

The malware can be used to control networks of computers, known as botnets. While most attackers using njRAT appear to be engaged in ordinary cybercriminal activity, there is also evidence that several groups have used the malware to target governments in the region.

Symantec analyzed 721 samples of njRAT and uncovered a fairly large number of infections, with 542 control-and-command (C&C) server domain names found and 24,000 infected computers worldwide. Nearly 80 percent of the C&C servers were located in regions in the Middle East and North Africa, including Saudi Arabia, Iraq, Tunisia, Egypt, Algeria, Morocco, the Palestinian Territories and Libya. 

figure1_18.png
Figure 1. Majority of njRAT C&C servers are found in the Middle East and North Africa

The majority of the C&C server IP addresses were traced to ADSL lines, which indicates that most attackers using the malware could be home users in the Middle Eastern region.

njRAT is not new on the cybercrime scene. It has been publicly available since June 2013 and three versions have already been released, all of which can be propagated through infected USB keys or networked drives.

The malware has the basic features common in most RATs. It can download and execute additional malware; execute shell commands; read and write registry keys; capture screenshots; log keystrokes; and snoop on webcams.

Strong online support for Middle East home users
The main reason for njRAT’s popularity in the Middle East and North Africa is a large online community providing support in the form of instructions and tutorials for the malware’s development. The malware’s author also appears to hail from the region. njRAT appears to have been written by a Kuwait-based individual who uses the Twitter handle @njq8. The account has been used to provide updates on when new versions of the malware are available to download.

figure2_16.png
Figure 2. The creator of njRAT announcing in a tweet that version 0.7 of njRAT is available to download.

Symantec has also located the malware author’s WordPress webpage, which redirects to another Blogspot webpage. The latter displays visitor statistics, indicating that majority of the blog’s visitors come from Saudi Arabia as shown below:

figure3_10.png
Figure 3. The visitor statistics of @njq8’s Blogspot Web page

Technical support and tutorials on using njRAT are widely available on the Web. Symantec has found numerous video tutorials in the Arabic language containing step-by-step processes for downloading and setting up the malware, including steps such as dynamic DNS naming for C&C servers. This level of support enables attackers in the region to easily to build tools and server components for njRAT.

figure4_8.png
Figure 4. Description of a video tutorial of how to build an njRAT on hacking group MaDLeeTs’s website

figure5_6.png
Figure 5. The latest three tutorials on Anonymous Iraq’s YouTube channel are on obfuscating njRAT to evade antivirus software

Hacker groups launch targeted attacks with njRATs
Most njRAT users seem to be home users who are interested in online pranks such as spying on webcams or taking screenshots of victims’ computers. However, infections have also been recorded on the networks of a number of governments and political activists.

Symantec has identified 487 groups of attackers mounting attacks using njRAT. These attacks appear to have different motivations, which can be broadly classed as hacktivism, information theft, and botnet building.

One such group is the S.K.Y.P.E/Tagged group, which has C&C servers hosted in Egypt and Algeria. The group’s vector for infection is a screensaver hosted on the file sharing site ge.tt. When victims download the compressed .rar file containing the screensaver, they get an executable containing njRAT.

figure6_1.png
Figure 6. The infected screensaver created by the S.K.Y.P.E/Tagged group on the ge.tt file sharing site

It is also interesting to note that the infected file hosted on ge.tt was dated November 20, 2012, because njRAT only became publicly available in June 2013. It would appear that njRAT had already been created prior to that date and it is likely that the malware was disseminated among small groups of people, such as on a closed Web forum, prior to its public release.

Symantec has also observed that infection numbers spiked around the time this copy of njRAT was uploaded on ge.tt. The S.K.Y.P.E/Tagged group uses two C&C servers: njratmoony.no-ip.biz and njr.no-ip.biz. The number of newly infected computers reporting to both servers spiked in October and November of 2012.

figure7_1.png
Figure 7. The daily infection rate of computers reporting to the S.K.Y.P.E/Tagged group’s C&C servers, njratmoony.no-ip.biz and njr.no-ip.biz

njRAT signals growing cybercrime community
As large numbers of Middle Eastern attackers continue to use njRAT due to its accessibility, Symantec expects that they will try to find new ways of obfuscating the malware to evade detection by antivirus software. They are likely to continue to use njRAT since an Arabic speaking community and its Arabic author continue to provide support for the malware.

The more advanced threat actors, such as hacker groups, may continue to use njRAT for targeted attacks in the short term. For example, a report by the Electronic Frontier Foundation (EFF) and Citizen Lab found that njRAT is one of a number of tools being used to target Syrian opposition groups during the Syrian conflict. However, Symantec anticipates that such groups will eventually depart from using publicly-available tools like njRAT and begin to develop their own tools and more advanced RATs for cyberattacks.

Symantec detects this threat as Backdoor.Ratenjay.

ZeroAccess ?????????

      No Comments on ZeroAccess ?????????

ZeroAccess ボットネットは、今なお活動中であることが広く知られているボットネットのひとつで、シマンテックが 2013 年 8 月に観測した時点では、1 日当たり 190 万台以上のコンピュータが影響されています。ZeroAccess ボットネットの大きな特徴は、P2P のコマンド & コントロール(C&C)通信アーキテクチャを使っていることです。これにより、ZeroAccess は高い可用性と冗長性を備えています。中央の C&C サーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことはできません。ZeroAccess に感染したコンピュータは、まず多数のピアに接続して、既知の P2P ネットワークの他のピアに関する情報を交換します。これでボットは他のピアを認識するようになり、ネットワークを通じて迅速かつ効率的に命令やファイルを拡散できるようになります。ZeroAccess ボットネットでは、ピア間で常に通信が行われています。各ピアが絶えず他のピアに接続してピアリストを交換し、ファイルの更新を確認しているので、停止の試みに対して非常に強い耐性を示します。

ボットネットをシンクホールに捕捉
今年の 3 月、シマンテックのエンジニアは ZeroAccess ボットが相互に通信するメカニズムを詳しく研究して、どうすれば ZeroAccess をシンクホールに捕捉できるかを確認しました。その過程で、ある弱点を利用すればボットネットをシンクホールに捕捉することが、困難ではあるものの可能であることがわかりました。管理ラボでさらにテストを重ねたところ、ボットマスターからピアを解放する現実的な方法を見つけました。この間もシマンテックはボットネットの監視を続け、6 月 29 日には P2P ネットワークを通じて ZeroAccess の新しい亜種が拡散していることを発見します。更新された亜種には多くの変更点がありましたが、特に重要なのは、シンクホールによる捕捉に対して脆弱であるという設計上の欠陥に対処するよう変更されていたことです。ZeroAccess の P2P メカニズムの弱点については、2013 年 5 月に発表されたレポートで研究者が解説しています。シンクホールによる捕捉の試みに対抗できるようなアップグレードを ZeroAccess ボットマスターが急いだのは、そのレポートがきっかけになった可能性があります。
 
こうした変化が確認され始め、現実性のある計画が整えば、もう選択の余地はありませんでした。今すぐに作戦を開始しなければ計画そのものが台無しになります。7 月 16 日には、ZeroAccess ボットのシンクホールでの捕捉を開始しました。効果はすぐに現れて 50 万以上のボットが分離され、ボットマスターによって制御されているボットの数は大幅に減少しました。シマンテックのテストでは、新しい ZeroAccess ボットをシンクホールに捕捉するまでの P2P 活動は平均わずか 5 分ほどでした。このことの潜在的な影響を理解するには、ZeroAccess ボットネットの利用目的を考える必要があります。
 
ZeroAccess: ペイロード配信機能
その構造と動作を考えると、ZeroAccess は侵入先のコンピュータにペイロードを配信することを最大の目的として設計されているようです。ZeroAccess ボットネットでは、(攻撃者の視点に立つと)生産的な活動は、侵入先のコンピュータにダウンロードされるペイロードによって実行されます。ペイロードは最終的に 2 つの基本タイプに分類されますが、いずれも営利目的である点に変わりはありません。
 
クリック詐欺
シマンテックが確認したペイロードのタイプのひとつは、クリック詐欺型のトロイの木馬です。このトロイの木馬はオンライン広告をコンピュータにダウンロードし、正規ユーザーによって生成されたように見せかけた偽のクリックを生成します。この偽クリックがカウントされて、ペイパークリック(PPC)によるアフィリエイト方式の支払い対象になります。
 
Bitcoin マイニング
仮想通貨には、サイバー犯罪者にとって多くの魅力があります。各 Bitcoin は、コンピューティングハードウェアに対する「マイニング」という数学的な処理を実行することに基づいて成立しています。この活動が、ボットマスターにとっては直接の価値を持ち、何も知らない被害者に損害をもたらします。シマンテックは、ラボで旧式のコンピュータを使って、この活動の経済的な側面や影響を詳しく調べました。
 
ZeroAccess の経済的側面
好奇心から、オフィスにころがっていた古いハードウェアを何台か使って、ZeroAccess ボットネットが電力消費の点でどのような影響を及ぼすかをテストし、その活動の経済的な側面を確認しました。クリック詐欺と Bitcoin マイニングのどちらも調べましたが、特に重視したのは Bitcoin マイニングです。ボットで最も盛んに実行されている活動だと考えられ、ボットマスターにとって直接の経済的な価値をもたらしているからです。テスト用のコンピュータに ZeroAccess を感染させてから Bitcoin マイニングを設定し、それとは別にアイドル状態にできる正常な制御用コンピュータも用意しました。コンピュータは、消費電力量を測定するために電力メーターに接続します。テストの結果、興味深い測定値が得られました。
 
テストコンピュータの仕様:
モデル: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB(最大 TDP 95W)
測定された消費電力/時間: 136.25 W(マイニング中)
測定された消費電力/時間: 60.41 W(アイドル時)
MHash/秒: 1.5
 
Bitcoin については以下の条件を想定:
Bitcoin/米ドル交換レート: 131
Bitcoin 難易度係数: 86933017.7712
 
Bitcoin マイニング
Bitcoin マイニングは、その仕組みから 1 台のコンピュータだけで運用しても、常に無益に終わる可能性がありました。この仕組みを丸 1 年続けても儲けは 0.41 ドルにしかならないからです。しかし、190 万台のボットを利用できるとなれば計算は大きく変わり、ボットネットによって 1 日何千ドルも稼ぎ出せる可能性があります。もちろん、毎日 1 日中すべてのコンピュータを利用できるわけではなく、ボットネット上のコンピュータは性能レベル、読み込み時間、稼働時間がそれぞれ異なるため、この金額は大雑把な概算にすぎません。この概算では、すべてのボットが 1 日 24 時間稼働し、各ボットがシマンテックのテスト用コンピュータと同じ仕様であると仮定しています。
 
クリック詐欺
クリック詐欺を実行するボットは、非常に活動的です。テストでは、各ボットが毎時間 257MB のネットワークトラフィック、つまり 1 日当たり 6.1GB のトラフィックを発生させました。また、1 時間当たりに生成される偽の広告クリックは 42 件でした(1 日当たり 1,008 件)。1 回のクリックで支払われるのが 1 セント、あるいは何分の 1 セントかであっても、感染したコンピュータが 190 万台あれば、攻撃者は 1 年間で何千万ドルも稼いでいる可能性があることになります。
 
こうした活動が秘めている価値がわかったところで、このようなボットネットを運用する際のコストを電気料金の観点で見てみましょう。
 
電力コスト
ZeroAccess が何も知らない被害者に負担させるコストを割り出すために、Bitcoin マイニング実行時のコストと、コンピュータのアイドル時のコストの差異を計算します。このテスト環境では、1 日当たり 1.82KWh の追加となり、被害者 1 人当たりに掛かるコストとしてはそれほど大きくありません。
 
マイニング時の消費電力: (136.25/1000)*24 = 3.27 KWh/日
アイドル時の消費電力: (60.41/1000)*24 = 1.45 KWh/日
差異: 1.82 KWh/日
 
これらの数字から、ZeroAccess に感染したコンピュータ 1 台で Bitcoin マイニングに必要な追加の電力がわかります。この数字を 190 万のボットに広げてみると、ボットネット全体に対して予想される合計コストと影響がわかってきます。
 
KWh 当たりの電気料金が 0.162 ドルだとすれば、1 台のボットで 24 時間マイニングを続けるコストは 0.29 ドル程度です。しかし、この数字にボットネット全体の 190 万を掛けると、電力消費量は 3,458,000 KWh(3,458 MWh、毎日 111,000 世帯に電力を供給しても余力があります)にも達します。この電力量は、カリフォルニア州モスランディングにある最大の発電所の出力(2,484 MW、1 日当たりの電気料金 560,887 ドル)よりもかなり多い量です。これほどのコストを掛けても、この電力すべてを使って得られる 1 日当たりの Bitcoin は 2,165 ドルにすぎません。このような金額と照らし合わせて考えると、もし自分で支払わなければならないとしたら、このような環境で Bitcoin マイニングを実行するのは経済的ではありません。しかし、他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります。
 
P2P ボットネットの停止は困難だが不可能ではない
今回の事例から、ZeroAccess の P2P アーキテクチャにどれほど回復力があっても、ボットの大部分をシンクホールに捕捉できることが判明しました。つまり、これらのボットは、ボットマスターからコマンドを受信できなくなり、コマンドの拡散にも金銭獲得手法の更新や追加にも、ボットネットでは使えなくなっているということです。
 
その一方で、シマンテックは全世界の ISP や CERT と協力して、情報共有や感染したコンピュータの感染除去に尽力しています。
 
詳細情報
シマンテックのロス・ギブ(Ross Gibb)とヴィクラム・タクール(Vikram Thakur)が、2013 年 10 月 2 日 から 4 日に掛けて開催される Virus Bulletin カンファレンスで、この作戦の成果について発表する予定です。また、ZeroAccess の内部的な詳細を解説したホワイトペーパーも、このプレゼンテーションと同時に公開されます。
 
ZeroAccess Trojan に関する主な事実と数値をまとめた解説図も用意しました。
 
zeroaccess_blog_infographic.png
 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Grappling with the ZeroAccess Botnet

      No Comments on Grappling with the ZeroAccess Botnet

The ZeroAccess botnet is one of the largest known botnets in existence today with a population upwards of 1.9 million computers, on any given day, as observed by Symantec in August 2013. A key feature of the ZeroAccess botnet is its use of a peer-to-pe…

Vertexnet Botnet Hides Behind AutoIt

      No Comments on Vertexnet Botnet Hides Behind AutoIt

Recently we found some new malware samples using AutoIt to hide themselves. On further analysis we found that those sample belong to the Vertexnet botnet. They use multiple layers of obfuscation; once decoded, they connect to a control server to accept commands and transfer stolen data. This sample is packed using a custom packer. On Read more…