Tag Archives: Creepware

Blackshades – ?????????????

      No Comments on Blackshades – ?????????????

FBI、欧州警察組織、その他複数の法執行機関は、Blackshades(別名 W32.Shadesrat)として知られるクリープウェアに関連するサイバー犯罪活動の疑いで数十名を逮捕しました。今回の一斉摘発において、シマンテックは FBI と緊密に連携し、関与した容疑者たちを追跡するための情報を提供しました。今回の摘発作戦により、Blackshades を販売する Web サイトが閉鎖されたため、このマルウェアに関連する活動は大幅に減少すると予想されます。

Blackshades は、初心者レベルのハッカーから高度なサイバー犯罪グループにいたるまで、さまざまな攻撃者によって使用されている有名かつ強力なリモートアクセス型のトロイの木馬(RAT)です。Blackshades は、専用の Web サイト bshades.eu 上で 40 ~ 50 米ドルで販売されていました。手頃な価格で豊富な機能を備えており、攻撃者はこれを使って、侵入先のコンピュータを完全に制御することができます。クリックするだけの簡単なインターフェースから、データを盗み取る、ファイルシステムを閲覧する、スクリーンショットを撮影する、動画を録画する、インスタントメッセージアプリケーションやソーシャルネットワークを操作する、といった処理を実行することができます。

shadesrat_screenshot-650px.png
1. Blackshades のコマンド & コントロールパネル

今回の逮捕の数日前、FBI は、米国市民を標的とするサイバー犯罪に厳しく対処していくことを宣言し、近日中に捜索、逮捕、起訴を行うという約束を発表したところでした。

 blackshades_figure1.png
2. Blackshades の感染件数(2013 年~2014 年)

blackshades_figure2.png
3. Blackshades による被害の上位 5 カ国(2013 年~2014 年)

今回のおとり捜査の一環として、販売元である bshades.eu が閉鎖されたことで、Blackshades の販売と流通には大きな影響があるでしょう。2014 年の Blackshades の活動は大幅に減少すると予想されます。クラック版のビルダーやソースコードは Web 上のいくつかのフォーラムに残ってはいますが、サイバー犯罪者は他のトロイの木馬に移行し始めると予想されます。

Blackshades に対する摘発活動はこれが初めてではありません。FBI は 2012 年、Blackshades プロジェクトへ関与した疑いで、他の 20 名以上と共にマイケル・ホーグ(Michael Hogue)容疑者(別名 xVisceral)を逮捕しました。しかし、その後も販売は継続され、2013 年も Blackshades の活動は増加を続けました。

サイバー犯罪グループは、高度に組織化された攻撃によって数百万ユーロを獲得し、Blackshades に感染したコンピュータを使って巨額の資金移動を行っています。Francophone と呼ばれる最近の活動では、フランスの企業を標的とする金銭の詐取を狙った攻撃で、高度なソーシャルエンジニアリングの手口の一環として Blackshades が使われました。Blackshades 活動に関連する損害の総額を正確に算出するのは困難ですが、個々の事例から推測すると莫大な損失が出ていると考えられます。また、アラブの春においては、政治的な動機による攻撃でも Blackshades が確認されています。騒乱中にリビアとシリアでは、政治活動家を標的として Blackshades の亜種(W32.Shadesrat.C)による攻撃が行われました。

シマンテックは、今回の FBI による摘発を歓迎するとともに、今後も法執行機関および民間のパートナーと協力して、ますます高度化するサイバー犯罪活動に対処いたします。

保護対策
シマンテック製品をお使いのお客様は、以下の検出定義によって Blackshades から保護されています。

ウイルス対策検出定義

侵入防止シグネチャ

シマンテック製品をお使いでない場合に Blackshades として知られるクリープウェアに感染した疑いがあるときは、無償のノートン パワーイレイサーを使ってシステムから除去することができます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blackshades – ?? ???? ??? ?? ?? ??

FBI, 유러폴(Europol)을 포함한 여러 치안 당국이 Blackshades(일명 W32.Shadesrat)라는 크리프웨어(Creepware)를 이용하여 사이버 범죄를 저지른 혐의로 수십 명을 체포했습니다. 시만텍은 이번 공동 작전에서 FBI와 긴밀하게 협조하며 정보를 공유함으로써 FBI가 혐의자를 추적하는 데 기여했습니다. 이번 작전의 성과로 Blackshades를 판매하던 웹 사이트가 폐쇄되었으며 이 악성 코드와 관련된 범죄 활동이 크게 줄어들 것으로 기대됩니다. 

Blackshades는 매우 효과적인 원격 액세스 트로이 목마(remote access Trojan, RAT)로, 초보 해커부터 전문적인 사이버 범죄 조직까지 광범위한 계층에서 애용되어 왔습니다. Blackshades는 bshades.eu라는 전문 웹 사이트에서 40 ~ 50달러의 부담 없는 가격에 판매되었습니다. 공격자는 Blackshades의 다양한 기능을 활용하여 감염된 시스템을 완전히 제어할 수 있습니다. 간단한 포인트 앤 클릭 방식의 인터페이스를 통해 데이터 유출, 파일 시스템 탐색, 스크린샷 생성, 동영상 녹화뿐 아니라 인스턴트 메시징 애플리케이션 및 소셜 네트워크와의 상호 작용도 가능합니다. 

shadesrat_screenshot-650px.png
그림 1. Blackshades의 명령 및 제어 패널

이번 검거는 FBI가 미국 시민을 노리는 사이버 범죄자에 대해 더 강경하게 대처할 것임을 밝히면서 수색, 체포, 기소가 임박했음을 예고한지 며칠 만에 이루어졌습니다.

 blackshades_figure1.png
그림 2. Blackshades에 감염된 시스템(2013 – 2014)

blackshades_figure2.png
그림 3. Blackshades 공격 최다 발생 상위 10개국(2013 – 2014)

이번 작전으로 이 RAT의 본거지였던 bshades.eu는 폐쇄되었습니다. 이는 Blackshades의 판매와 보급에 큰 타격을 줄 것입니다. 시만텍은 2014년에 Blackshades 활동이 크게 감소할 것으로 예상합니다. Blackshades의 크랙 빌더와 소스 코드가 아직 여러 온라인 포럼에서 배포되고 있으나 사이버 범죄자들은 이제 다른 트로이 목마를 선택할 것으로 보입니다.  

Blackshades의 단속에 나선 것은 이번이 처음은 아닙니다. 2012년에 FBI는 Blackshades 프로젝트에 연루된 혐의로 Michael Hogue(일명 xVisceral)를 포함하여 20여 명을 체포한 바 있습니다. 그럼에도 이 악성 코드의 판매는 계속되었고 Blackshades 활동은 2013년에 더욱 기승을 부렸습니다.

조직화된 사이버 범죄 집단들이 체계적인 공격을 통해 Blackshades에 감염된 시스템을 통해 막대한 자금을 이체하는 방법으로 수백만 유로의 순수입을 거두었습니다. Francophone이라는 별칭으로 알려진 최근 공격에서는 금전적인 동기로 프랑스 기업들을 표적으로 삼은 고도의 지능적인 사회 공학적 수법에 Blackshades가 사용되었습니다. Blackshades 공격으로 인한 경제적 손실의 총 규모를 정확하게 파악하기는 어렵지만, 개별 사례로 미루어볼 때 그 피해가 막대함을 알 수 있습니다. Blackshades는 아랍의 봄에서 정치적 동기를 지닌 공격에서도 이용된 바 있습니다. 리비아와 시리아에 봉기가 일어났던 시기에 정치 운동가들이 Blackshades 변종(W32.Shadesrat.C)의 공격을 받았습니다.

시만텍은 FBI의 이번 조치를 환영하며 앞으로도 더욱 지능화되는 사이버 범죄 활동의 퇴치를 위해 치안 기관 및 민간 업체 파트너와 협력하여 최선을 다할 것입니다.

보호
시만텍은 아래와 같이 Blackshades로부터 사용자를 보호합니다.

안티바이러스 탐지

침입 차단 시그니처

시만텍 고객이 아니더라도 Blackshades라는 크리프웨어에 감염된 것으로 의심될 경우 무료 툴인 Norton Power Eraser를 사용하여 시스템에서 이 크리프웨어를 제거할 수 있습니다.

???? Web ????????

      No Comments on ???? Web ????????

Webcam blackmailing 1.jpg

Web カメラを通じて無防備な被害者を監視するクリープウェアについては、先日のブログでお伝えしました。名前が示すとおり、その性質は実に厄介です。残念ながら、インターネット上には類似の脅威がほかにも存在します。今年大きく蔓延しているもうひとつの詐欺行為は、Web カメラによる脅迫です。こちらの場合、詐欺師は Web カメラを利用しているという事実を隠そうとしません。

この詐欺はまず、ソーシャルネットワークや出会い系サイトでの友達申請から始まります。申請を送信してくるのは見るからに詐欺師のプロフィールで(女性を装っています)、申請の送信先は独身男性というのが相場です。しばらく会話を続けると、詐欺師は男性のプロフィールを好きになった理由を説明し始めますが、会話は次第にもっと性的な話題へと移っていきます。詐欺師はビデオチャットを求めて服を脱ぎ始め、相手の男性にも同じようにしてほしいと誘ってきます。男性が誘いに乗ると、詐欺師によって不名誉な動画の録画が始まり、最終的には十分違法性のある画像が残されてしまいます。動画が録画されると詐欺師はまた話題を一転し、支払いを拒否した場合にはこの動画をアップロードして、被害者の友達と共有すると脅してきます。

この詐欺には、複数の手口が存在します。たとえば、動画の代わりに写真を要求するものや、あらかじめ録画されたストリップ動画で被害者を誘惑するものがあります。また、インターネット接続や Web カメラの画質向上を謳って金銭を要求する手口もあり、送金すれば動画の画質が向上すると約束しますが、金銭を送ったが最後、約束が果たされることはありません。さらに質の悪い場合は、詐欺師は被害者が子どもとチャットしていたと主張し、小児性愛の証拠を添付して送りつけてきます。共有してしまった個人情報も、動画と一緒に公開されます。場合によっては、被害者のコンピュータにトロイの木馬を仕掛けるために、感染した Web サイトへのリンクが送信されてきます。詐欺の背後にある原理は常に同じであり、いずれにしてもソーシャルネットワークや出会い系サイトを使うときには用心が必要です。

  • 知らない相手から友達申請のメッセージが送られてきたときには注意してください。性的なビデオチャットに話題が急に変わった場合は、特に警戒が必要です。
  • カメラの前で不名誉になるような行為をしないように、よく考えてください。知らない相手と共有する個人情報は制限すべきです。
  • プリペイド型の詐欺に引っ掛からないようにしてください。どのような理由でも送金してはなりません。
  • 金銭を強要された場合には、言いなりに支払うのではなく、警察に連絡してください。恥ずかしさに負けてはいけません。不名誉な動画が万一アップロードされてしまった場合は、サービスプロバイダに連絡して削除を依頼してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Please Leave Your Hat On

      No Comments on Please Leave Your Hat On

Webcam blackmailing 1.jpg

Recently, we wrote about creepware and how people use it to spy on unsuspecting victims through webcams. As the name implies, this is really creepy. Unfortunately, there are other similar threats on the Internet. Another scam that has become very popular this year is webcam blackmailing. In these cases, the scammers don’t hide the fact that they are using the webcam.

The scam starts with a simple contact request on a social network or dating site. In general, the profile sending the request appears to be the scammer (posing as a woman), and the request is sent to single men. After a bit of small talk, the scammer explains why she fell in love with the man’s profile picture and then changes the topic to one of a more sexual nature. The scammer asks the man to video chat with her, starts stripping, and encourages the man to do the same. If the man joins in, the compromising video is recorded by the scammer until enough incriminating material has been gathered. Once enough video has been recorded, the scammer changes the topic again and indicates that the video will be publicly uploaded and shared with his friends on social networks if he does not pay.

Multiple variations of this scam exist. For example, some scammers ask for photos instead of videos, some use a previously recorded video of a woman stripping to entice the victim, and others ask for money for a better Internet connection or webcam. The scammer promises better video quality if money is sent, they pocket the money right away, and never buy better equipment. To make it even worse, scammers will claim that the victim was chatting with a child, attaching the stigma of pedophilia to the victim. Any personal information that was shared is published along with the video. In some cases a link to a compromised website is sent in order to infect the victim’s computer with a Trojan. The principle behind the scam is always the same. In any case, users should stay vigilant when using social networks or dating sites.

  • Be wary of messages from unknown people who want to befriend you. Especially if the topic of sexual video chatting is brought up quickly.
  • Think twice before performing compromising acts in front of a camera. Limit the personal details that you share with strangers.
  • Don’t fall for prepaid scams. Don’t send money for arbitrary reasons.
  • If someone attempts to extort money from you, don’t pay, and call the police. Don’t be embarrassed. If a compromising video of you has been uploaded, contact the service provider and try to have the content removed.

???????: ???????????????

      No Comments on ???????: ???????????????

creepware_title_banner.png

ラップトップコンピュータの Web カメラに目隠しを貼っている人がいます。皆さんも案外そうかもしれません。果たして、それは用心しすぎ、被害妄想、あるいはちょっと変わった行為なのでしょうか。それとも、そこまでする理由があるのでしょうか。自分のコンピュータで行動を見張られていた、あるいは Web カメラがいつの間にか侵入を受け、恥ずかしい映像や違法な動画を盗み出されて恐喝のネタにされたという話を聞いたことのある人も多いでしょう。そうした体験談は本当なのか、そして被害妄想と思えるくらい用心するのも無理もないことなのかと問われれば、残念ながら答えはイエスです。こうした行為に対する警戒は必要であり、この手の悪質な行為やもっと悪質な活動に利用できるプログラムは無数に出回っています。リモートアクセス型のトロイの木馬(RAT)は、被害者の知らないうちにインストールされるプログラムで、これにより攻撃者は侵入先のコンピュータにリモートからアクセスして、制御することができます。最近では、いつの間にか忍び寄る(Creep)その性質からクリープウェア(Creepware)とも呼ばれています。

今回のブログでは、このクリープウェアについて解説します。クリープウェアの実態と機能、これまでの被害の実状や今後、そして被害者と加害者について解明するとともに、アンダーグラウンド市場でのソフトウェアの流通から被害者の売買まで、クリープウェアの経済的側面にも検証します。最後に、クリープウェアの拡散方法と自衛手段についてもお伝えします。

詳しい説明を進める前に、まずはこちらの動画(英語)をご覧ください。この動画では、深刻化するクリープウェアの問題について知っておかねばならない内容をご紹介しています。

creepware_play_vid.png

図 1. この画像をクリックしてクリープウェアに関する動画を見る
 

クリープウェアとは

RAT とは、リモートからコンピュータを制御できるソフトウェアを総称するときによく使われる頭字語です。次のいずれの用語を表すときにも使われます。

  • リモートアクセス/管理ツール(Remote Access/Administration Tool)
  • リモートアクセス型/管理型のトロイの木馬(Remote Access/Administration Trojan)

「リモートアクセス型のトロイの木馬」は、ユーザーの知らないうちにインストールされて悪質な目的に利用されるという点で「リモートアクセスツール」とは異なります。リモートアクセスツールには多くの種類があり、テクニカルサポートや、旅行先から自宅または職場のコンピュータへの接続といった正規の用途で利用されています。ところが、リモートアクセスツールが備えている便利な機能そのものが、皮肉なことに悪質な行為にも利用できるため、そのような機能を想定した大量のマルウェアが設計されることになってしまいました。そうしたプログラムを「リモートアクセス型のトロイの木馬」と呼びます。攻撃者は、トロイの木馬がインストールされたコンピュータをほぼ完全に制御できるようになります。トロイの木馬の存在はなかなか気付かれることがなく、実際にコンピュータの前に座っているのとほとんど同じ操作が可能なので、Web カメラで映像を録画するのも簡単です。このように悪質で「いつの間にか忍び寄る」性質の活動が最近の事件で注目を集めたことから、リモートアクセス型のトロイの木馬を指して「クリープウェア」という名前が使われ始めました。

クリープウェアはクライアントサーバーモデルを採用していますが、クライアントサーバーシステムの設定を論じるときに想定する通常のモデルとは大きく異なっています。クリープウェアはこのプロセスを反転して、被害者のコンピュータをサーバーに、攻撃者のコンピュータをクライアントにします。被害者のコンピュータがクリープウェアに感染すると、攻撃者はそのコンピュータに要求を送ってファイルを取得したり、その他のさまざまな悪質な行為を実行したりできるようになります。
 

何が問題なのか

以前はクリープウェアもまだそれほど使われていませんでしたが、残念ながら現在では珍しくもなくなりました。クリープウェアのユーザーは、脅迫や詐欺で金儲けを狙うものから、無害な娯楽やいたずら程度にしか考えていないものまでさまざまです。両者の行為はまったく別物のように思えるかもしれませんが、どちらもコンピュータに不正にアクセスするという点では、倫理的に間違っているだけでなく、重大犯罪であることに変わりはありません。

特に懸念されるのは、クリープウェアのユーザーにモラルの欠如が感じられることです。クリープウェア専用のセクションが設けられた多数のオンラインフォーラムをざっと見れば、その傾向が如実に表れています。

creepware_blog_fig1.png

図 2. 「シャレでやっているだけ」

creepware_blog_fig2.png

図 3. 被害者に対する脅迫

こうしたフォーラムには、そもそもモラルなど持ち合わせていないユーザーが多いようですが、一部には物事の善悪についてひどく歪んだ考え方をするものもいます。あるスレッドには、クリープウェアによる RAT 行為を正当化するユーザーも存在し、信頼できない場所からプログラムをダウンロードしたりインストールしたりするほうが悪いと言って憚りません。

creepware_blog_fig3.png

図 4. 被害者に対する暴言

また別のフォーラムには、何も気付いていない被害者をただ眺めているだけなら実害はないだろうと考えているユーザーもいます。

creepware_blog_fig4.png

図 5. プライバシーの侵害を正当化

クリープウェア(リモートアクセス型のトロイの木馬)に関連する無数の投稿を見ていると、ソフトウェアをセットアップして RAT 行為を始めるための助言を求めるユーザーが果てしなく湧いて出てくるように思えます。自分たちの行為に多少なりとも罪悪感を抱いているものは少数派であり、圧倒的多数は他人のプライバシーに立ち入ることが悪いとは微塵も思っていません。それどころか、RAT 行為によって金銭を得ることさえ悪事だとは見なしていないようです。「Morals of messing with people(いたずらのモラル)」というスレッドには、自分たちの行為が正しいのか仲間の意見を求めているユーザーがいました。

creepware_blog_fig5.png

図 6. モラルをめぐる悩み

寄せられた回答は、予想どおりの内容でした。

creepware_blog_fig6.png

図 7. 「モラルなんて知るものか」

嘆かわしいことですが、クリープウェアのユーザーは被害者の受ける痛みがわからないか、あるいは気にもしていないようです。何も知らずにクリープウェアの犠牲になる人は多く、心に深い傷を負ったり、もっとひどい目に遭った人もいます。覗き行為を元に代償を求める手段のひとつが性的脅迫行為(Sextortion)で、これは身体的危害を加えない脅迫手段によって、被害者に性的な行為を強要するものです。

2013 年 8 月には、ミスティーン USA に選ばれた 19 歳のキャシディ・ウルフ(Cassidy Wolf)さんがクリープウェアの被害を受ける事件が発生しました。犯人は高校の同窓生で、彼女が寝室で着替えているところをクリープウェアを使って盗撮したのです。犯人は、その画像をインターネット上に公開すると脅して、もっと露骨な写真の撮影を強要しようとしましたが、彼女が警察に通報したことで、この高校生は逮捕され、他の国も含めて二十数人の女性たちをハッキングしていたことを認めました。

クリープウェアを使って、被害者のコンピュータ画面に「Web カメラの内部センサーのクリーニングが必要」だという警告メッセージを表示させる手口も大きく報道されました。この事件の場合、被害者は、Web カメラの内部センサーをクリーニングするにはコンピュータに蒸気を当てる必要があると指示され、何人かの女性はコンピュータを浴室に持ち込んだため、シャワーを浴びている映像を盗撮されてしまいました。

あいにく、こうした事件も、クリープウェアが実際の被害をもたらした事例のうち氷山の一角に過ぎません。被害者の多くはこの手の犯罪被害を届け出ることがなく、犯人が法の網に掛からないためです。攻撃者は盗み出したコンテンツや盗撮した画像をオンラインに公開すると言って被害者を脅迫するので、もしそうなったら一生噂がつきまとう可能性があります。一般に、このような嫌がらせやネットいじめは持続性があり、被害者が自殺に追い込まれることさえありえます。クリープウェアは、サイバーいじめにとっては理想的なツールと言えるようです。

クリープウェアと RAT は今や世界的な問題であり、世界中で悪質な目的に利用されています。

creepware_country_stats_600x600_mk2.png

図 8. 過去 6 カ月間に RAT の活動が確認された上位 5 カ国
 

クリープウェアの機能

では実際、クリープウェアを使って何ができるのでしょうか。アンダーグラウンド市場にはクリープウェアプログラムが溢れています。いくつか名前を挙げるだけでも、Blackshades(W32.Shadesrat)、DarkComet(Backdoor.Breut)、Poison Ivy(Backdoor.Darkmoon)、jRAT(Backdoor.Jeetrat)などがあり、その多くは同様の機能セットを中核に備えています。ここでは、その中から Pandora RAT(シマンテック製品では Trojan.Pandorat として検出されます)を詳しく取り上げます。

Pandora RAT を使うと、攻撃者は侵入先のコンピュータで以下のものにアクセスすることができます。

  • ファイル
  • プロセス
  • サービス
  • クリップボード
  • アクティブなネットワーク接続
  • レジストリ
  • プリンタ

加えて、攻撃者は以下のような活動を実行することも可能です。

  • 侵入先のコンピュータのデスクトップをリモートから制御する
  • スクリーンショットを取得する
  • Web カメラで映像を記録する
  • 音声を録音する
  • キーストロークを記録する
  • パスワードを盗み出す
  • ファイルをダウンロードする
  • Web ページを開く
  • 画面にメッセージを表示する
  • テキスト読み上げ機能を使って音声メッセージを再生する
  • 侵入先のコンピュータを再起動する
  • タスクバーを隠す
  • デスクトップアイコンを隠す
  • システムエラーやブルースクリーンを発生させる

使いやすさと美しいグラフィカルユーザーインターフェース(GUI)は、デザイン重視の現在では重要な要素ですが、クリープウェアでもそれは例外ではありません。Pandora RAT は、他の RAT と同じく、専門家だけでなく初心者でもすぐにマスターできる、使いやすい GUI を採用しています。かつては凄腕のハッカーしか使えなかったクリープウェアが、今やスクリプトキディからまったくの素人まで誰にでも手が出せるツールになってきたのです。

creepware_screen_shots_600x600_mk2.png

図 9. Pandora RAT のわかりやすいユーザーインターフェース

クリープウェアの使用目的は多種多様です。

  • 盗撮
    被害者の Web カメラやマイクを使って、密かに録音や録画を行う。
  • 情報やファイルの窃盗
    銀行口座やパスワードといった情報、画像や動画などのファイルをコピーまたは削除する。
  • 恐喝/性的脅迫行為
    コンピュータから盗み出した、または Web カメラを使って撮影した画像や動画を使って被害者を脅迫し、もっと露骨な画像や動画を撮影するためにポーズを取ることや性的な行為を強要したり、金銭を要求したりする。
  • 荒らしや煽り
    アダルト系やショッキングな Web サイトを開く、罵倒するメッセージを表示する、システムに損害を与えるなど、コンピュータに異常な動作を起こさせて、ただそれを見て楽しむ。
  • コンピュータを利用して DDoS 攻撃などを仕掛ける
    侵入先のコンピュータを利用して、分散サービス拒否攻撃(DDoS)や Bitcoin マイニングなど、被害者のリソースを悪用することで利益を得る何らかの行為を実行する。
     

クリープウェアの経済的側面

アンダーグラウンド経済においてクリープウェアは大きな市場であり、ソフトウェア販売を中心に急成長を遂げています。クリープウェア自体は、開発者自身の Web サイトや、ハッキング関連フォーラムに掲載されている広告から購入できます。そうしたフォーラムでは、FUD クリプターや JDB ジェネレータ、あるいはスレーブの広告がいくらでも見つかります。ここで挙げている用語を見慣れていない方は、定義を以下にまとめましたのでご覧ください。

  • FUD: 完全に検出不可(セキュリティベンダーによっても)。
  • クリプター: 実際のバイトをスクランブル化して検出されにくいようにファイルを再編成するツール。
  • JDB: Java ドライブバイ。Java アプレットを Web サイトに配置し、ユーザーがそのサイトにアクセスするとポップアップを表示してユーザー権限を要求する。権限が付与されると、クリープウェアがダウンロードされる。
  • スレーブ: クリープウェアに感染したコンピュータ。

難しそうに見えるかもしれませんが、クリープウェアをセットアップしたいと思ったら誰でも、作業代行を引き受ける「専門家」を見つけ出せば、それで済みます。サービスによって価格は大きく異なります。無料のクリープウェアや RAT も見つかりますが、有償版でも上限は 250 ドルほどで、FUD 暗号化やセットアップ費用といった追加コストが 20 ドルから 50 ドルです。しかし昨今のご多分に漏れず、オンラインで質問すれば無償で助言や説明を入手することができます。クリープウェアに関連するツールやヒント、手口などについて自分の知識を他人に伝えたいと考えているユーザーはたくさんいます。
 

自衛のために何ができるか

コンピュータをクリープウェアに感染させるには、以下の手法が考えられます。

  • ドライブバイダウンロード: Web サイトにアクセスすると、知らない間にクリープウェアがコンピュータにダウンロードされる。
  • 悪質なリンク: ドライブバイダウンロードをホストしている Web サイトにユーザーを誘導する悪質なリンク。ソーシャルメディア、チャットルーム、掲示板、スパムメールなどを使って拡散される。また、ユーザーアカウントを乗っ取って、友人から送信されたリンクのように見せかけたり、魅力的なメッセージで被害者を誘ったりする。
  • 悪用ツールキット: 感染した Web サイトにアクセスしたり、悪質なリンクをクリックしたりすることで、悪用ツールキットがホストされている Web サイトにリダイレクトされる。そこで、どの悪用コードを利用できるかを判別するスクリプトが実行され、悪用が可能な場合、クリープウェアに感染し攻撃者に通知される。
  • ピアツーピアファイル共有/torrent: クリープウェアサーバーのインストーラが、人気のあるプログラムやゲームクラックなどのファイルにパッケージ化され、共有サイトで共有される。このファイルを実行すると、クリープウェアサーバーモジュールがインストールされる。

クリープウェアから保護するために、シマンテックは以下のことを推奨します。

  • ウイルス対策定義、オペレーティングシステム、ソフトウェアを常に最新の状態に保つ。
  • 不明な送信者からの電子メールは開かず、疑わしい添付ファイルもクリックしない。
  • 電子メールやインスタントメッセージで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • ファイルは、信頼できる正規のソースだけからダウンロードする。
  • Web カメラが想定外の動作をしたら警戒する。Web カメラを使わない場合にはシャッターを閉じる。シャッターがなければ、使わないときにはテープなどで Web カメラをふさぐ。

現在、コンピュータは生活の中で大きな役割を占めています。これほど普及しているツールが、攻撃者の道具となって私たちのプライバシーを脅かすというのは、考えるだけでも恐ろしいことです。クリープウェアには確かに甚大な被害を及ぼす機能がありますが、しかるべき対策を講じることで自衛することが可能です。セキュリティソフトを常に最新の状態に保ち、基本的なセキュリティ対策に従っていれば、コンピュータにクリープウェアが忍び寄る心配はありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Default Chromeless Player

Creepware – Who’s Watching You?

      No Comments on Creepware – Who’s Watching You?

creepware_title_banner.png

Some people stick a piece of tape over the webcam on their laptop, maybe you even do it yourself. Are they over cautious, paranoid, a little strange? Are you? Or is there reason behind this madness? Many of us have heard the stories about people being spied on using their own computer or people being blackmailed using embarrassing or incriminating video footage unknowingly recorded from compromised webcams. But are these stories true and are some people’s seemingly paranoid precautions justified? Unfortunately the answer is yes, precaution against this type of activity is necessary and there are a multitude of programs out there that can be used for this type of malicious activity…and more. Remote access Trojans (RATs), or what we are calling creepware, are programs that are installed without the victim’s knowledge and allow an attacker to have access and control of the compromised computer from a remote location.

This blog will aim to give a general overview of creepware; describing what these threats are and what can, and is, done with them and what the implications are or both the victims and the users of creepware. The blog will also look at the economy of creepware, examining the underground market dealing in everything from the sale of software to the sale and trade of victims. Finally, we will look at how creepware is spread and how to protect against it.

Before we get into the details, here’s a video that will tell you what you need to know about the growing problem of creepware:

CreepVidFig.png

Figure 1Click this image to view Symantec’s creepware video
 

What exactly is creepware?

The acronym RAT is one that is often used when talking about a piece of software that allows someone to control a computer from a remote location. RAT can be an abbreviation for any of the following:

  • Remote Access/Administration Tool
  • Remote Access/Administration Trojan

The one difference between remote access tools and remote access Trojans is that the latter is installed surreptitiously and used for malicious purposes. There are many remote access tools, which are used for legitimate reasons such as technical support or connecting to a home or work computer while travelling etc. Unfortunately the same useful features found in remote access tools can be used for malicious activity and a great deal of malware has been designed with this in mind; these programs are called remote access Trojans. Once these Trojans are installed on a victim’s computer they can allow an attacker to gain almost complete control of it. Presence of the Trojan is indiscernible and an attacker can do almost anything that someone physically sitting at the computer can do, including recording footage using the webcam. Recent high-profile cases of this unsavory and creepy behavior have prompted the name creepware to be used when describing remote access Trojans.

Creepware uses a client-server model but switches the usual dynamic we think of when discussing client-server system setups. Creepware flips this process and makes the victim’s computer the server and the attacker’s computer becomes the client. Once the victim’s computer is compromised with creepware an attacker can send requests to it to retrieve files and perform a whole host of other nasty actions.
 

What’s the big deal?

While there was a time when the use of creepware was relatively rare it is now unfortunately becoming more common. Users of creepware can range from those who make money from extortion and fraud to those using the software for what they see as harmless fun or pranking, otherwise known as trolling. While these two activities may seem to some as very different, they both involve unauthorized access to computers, which is not only morally wrong but is also a serious crime.

Worryingly, morals do not seem to be high up on the list of characteristics when it comes to creepware users, a fact that is blatantly obvious when perusing the many online forums with sections dedicated to creepware.

creepware_blog_fig1.png

Figure 2. Doing it for the lulz

creepware_blog_fig2.png

Figure 3. Blackmailing victims

While many users on these forums seem to have no moral compass whatsoever, others have an extremely skewed view of what is right and wrong. In one thread a user justifies RATing (using creepware) people by saying it’s their own fault for downloading and installing programs from untrusted sources.

creepware_blog_fig3.png

Figure 4. Blaming the victims

Another forum user thinks that if all you do is watch your victims, without them knowing, then it’s fine.

creepware_blog_fig4.png

Figure 5. Justifying invasion of privacy

Trawling through the countless posts on creepware/remote access Trojans there seems to be a never-ending supply of users looking for help to set up their software and begin RATing. While there are a few who feel (mildly) guilty about doing what they do, the overwhelming majority see no harm in invading their victims’ privacy and in some cases making money from RATing. In a thread named “Morals of messing with people” one user asks fellow hackers their opinion on whether what they do is right.

creepware_blog_fig5.png

Figure 6. Moral dilemma

The replies speak for themselves.

creepware_blog_fig6.png

Figure 7. Moral bull****

Unfortunately, creepware users may not see, or care about, the damage that can be caused by creepware. There are plenty of cases where innocent people have fallen prey to creepware and have been left traumatized or worse by their attackers. One way in which creepware users monetize their activities is sextortion. Sextortion is a form of exploitation that employs non-physical forms of coercion to extort sexual favors from the victim.

In August 2013, Miss Teen USA, 19-year-old Cassidy Wolf became a victim of creepware. Miss Wolf was hacked by a fellow high-school student who used creepware to take pictures of her undressing in her bedroom. The hacker then attempted to blackmail his victim by threatening to publish the pictures online if she didn’t take more explicit photos but Miss Wolf went to the police. The hacker was eventually caught and pleaded guilty to hacking at least two dozen women in a number of countries.

Another well-publicized case involved an attacker using creepware to display a warning message box on his victims’ computers telling them that their webcam’s internal sensor needed to be cleaned. To do this, they were told to place the computer close to steam. Several of the women were subsequently recorded taking a shower when they had brought the computer into the bathroom.

Sadly, these cases are only the tip of the iceberg when it comes to creepware and the impact it can have on victims. Because many victims do not report this type of crime perpetrators often escape justice. Attackers can threaten to post stolen or recorded content online, and if this threat is carried out the victim’s reputation can be permanently damaged. The effects of this type of harassment and cyberbullying in general are long lasting and can even lead to suicide. Creepware, it would seem, is a cyberbully’s ideal tool.

Creepware and RATs are a global problem; they are used throughout the world, usually for all the wrong reasons.

creepware_country_stats_600x600_mk2.png

Figure 8. Top five countries for RAT activity in past six months
 

What can creepware do?

So what exactly can creepware do? There are an abundance of creepware programs on the market, such as Blackshades (W32.Shadesrat), DarkComet (Backdoor.Breut), Poison Ivy (Backdoor.Darkmoon), and jRAT (Backdoor.Jeetrat) to name but a few, many of these programs share the same core set of functionality. We’ll take a closer look at one in particular, the Pandora RAT detected by Symantec as Trojan.Pandorat.

Pandora RAT allows an attacker to gain access to the following items on a compromised computer:

  • Files
  • Processes
  • Services
  • Clipboard
  • Active network connections
  • Registry
  • Printers

If all that isn’t enough, Pandora can also allow an attacker to:

  • Remotely control the compromised desktop
  • Take screenshots
  • Record webcam footage
  • Record audio
  • Log keystrokes
  • Steal passwords
  • Download files
  • Open Web pages
  • Display onscreen messages
  • Play audio messages using the text-to-speech function
  • Restart the compromised computer
  • Hide the taskbar
  • Hide desktop icons
  • Cause system failure/blue screen of death

Ease of use and a slick graphical user interface (GUI) are very important factors in today’s design-focused world, and creepware is no exception. Pandora, as is common with other RATs, sports an easy-to-use GUI that can be mastered almost instantly by experts and novices alike. If the use of creepware was once reserved for hardened blackhat hackers it is now most definitely accessible to everyone from script kiddies to total noobs.

creepware_screen_shots_600x600_mk2.png

Figure 9. User friendly human computer interface of Pandora RAT

Creepware has many different uses including:

  • Voyeurism
    Attackers use the victim’s webcam and/or microphone to secretly record them.
  • Information/file stealing
    Information such as banking details or passwords and files such as pictures and videos can be copied or deleted.
  • Blackmail/sextortion
    Pictures or videos stolen from the computer, or recorded using the webcam, are used to force the victim into posing for explicit pictures or videos, performing sexual acts, or coercing money from the victim.
  • Trolling
    The attackers use creepware to cause the computer to behave strangely by opening pornographic or shocking websites, displaying abusive messages, or in some cases causing system damage all for their amusement.
  • Using computer for DDoS attacks, etc.
    Compromised computers can be used to carry out distributed denial of service (DDoS) attacks, bitcoin mining, or other functions where it may be beneficial for the attacker to use victims’ resources.
     

Creepware economy

Creepware is big business in the underground economy with a thriving market revolving around the sale of the software. The creepware itself can be purchased from the developers’ own websites or from people advertising on hacking forums. Advertisements for the sale of FUD crypters, JDB generators, and slaves among other things can be found in said forums. If you find this terminology a little bewildering, here are some useful definitions:

  • FUD – Fully undetectable (by security vendors)
  • Crypter – A tool used to rearrange files in a way that the actual bytes are scrambled, making it difficult to detect
  • JDB – Java drive-by – This involves a Java applet being placed onto a website, when the user visits the site a pop-up will appear asking for user permission. Once permission is given, the creepware is downloaded.
  • Slave – A computer that has been infected with creepware

If all that sounds a little too much like hard work, anyone interested in getting their own creepware setup can pay any number of willing “experts” to do all the leg work for them. Prices vary for different services. Creepware/RATs can be found for free but the ones that are for sale can cost anything up to $250. Add-on services, such as FUD crypting and setup cost between $20 and $50. As with most things these days, free advice and instructions can easily be found online with plenty of users eager to pass on their knowledge about the best tools, tricks, and methods concerning creepware.
 

What can users do to protect themselves?

The following methods may be used to infect computers with creepware:

  • Drive-by downloads – By visiting a website, the user unknowingly downloads the creepware onto their computer
  • Malicious links – Malicious links, leading to websites hosting drive-by downloads, are distributed using social media, chat rooms, message boards, spam email etc. The attacker may also hack user accounts to make it seem like the link is being sent by a friend. Others may try to lure victims by posting enticing messages.
  • Exploit kits – Potential victims may visit compromised websites or click on malicious links and are then redirected to the exploit kit’s server where a script runs that will determine what exploits can be leveraged. If an exploit is viable, the victim is infected with the creepware and the attacker is notified.
  • Peer-to-peer file-sharing/torrents – The creepware server installer is packaged with a file, usually a popular program or game crack, and shared on a file sharing site. Once the file is executed, the creepware server module is installed.

To stay protected against creepware, Symantec recommends users to:

  • Keep antivirus definitions, operating systems, and software up-to-date.
  • Avoid opening emails from unknown senders and clicking on suspicious email attachments.
  • Exercise caution when clicking on enticing links sent through email, instant messages, or posted on social networks.
  • Only download files from trusted and legitimate sources.
  • Be suspicious of unexpected webcam activity. When you’re not using the webcam, keep the shutter closed, if your webcam doesn’t have a shutter, use a piece of tape to cover it when not in use.

In today’s world, computers play an important role in our lives and the idea that such a ubiquitous tool could be used by an attacker to invade our privacy is a scary thought. While creepware is capable of causing a great deal of damage, taking appropriate defensive steps can keep you protected. By having good up-to-date security software and following some basic best practices we can all keep the creeps out of our computers.