On November 11, Microsoft published a blog post about a new zero-day Microsoft Internet Explorer Unspecified Information Disclosure Vulnerability (BID 63629/CVE-2013-3918) affecting an Internet Explorer Active X Control, that had been publically disclo…
韓国では最近、ゼロデイ脆弱性を悪用するサイバー攻撃、オンラインバンキングを狙うトロイの木馬、ゲームを狙うトロイの木馬、バックドア、そして同国を狙った分散サービス拒否(DDoS)攻撃といった報道が相次ぎ、メディアの注目を集め続けています。シマンテックは、Downloader.Tandfuy を中心としてこれらの要素をすべて取り込んだ最新の攻撃活動を確認しました。
「韓国と日本を対象とする標的型攻撃で悪用された Internet Explorer の新しいゼロデイ脆弱性」と題した最近のブログでも、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を悪用した、韓国を狙う攻撃についてお伝えしました。シマンテックがこの攻撃について調査した結果、攻撃者は韓国に対する一連の攻撃で、以前は別の悪用コードを使っていたことが判明しています。また、この攻撃が 2013 年 9 月始めから韓国を標的として続いている攻撃活動の一部であることも明らかになっています。これら一連の攻撃では、何種類もの悪質コードが多数使われており、Downloader.Tandfuy を皮切りに、Trojan.Sequendrop、Backdoor.Ghostnet、Trojan.Chost、および Infostealer.Gampass が続けざまにダウンロードされます。
図. 韓国を狙った Tandfuy サイバー攻撃の図解
ブログサイトにアクセスすると悪質な処理が引き起こされる
最新の攻撃は、被害者が韓国で人気のあるブログサイトにアクセスすることから始まります。このサイトには、ゼロデイ脆弱性 CVE-2013-3897 の悪用コードが仕掛けられており、訪問者のコンピュータで韓国語または日本語が使われているかどうかをチェックする追加のコードも存在します。どちらの言語も見つからなければ攻撃はそこで終了しますが、標的となる言語が見つかった場合には悪用コードが実行され、Downloader.Tandfuy のダウンロードで攻撃が始まります。Downloader.Tandfuy が韓国で拡散したのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-1347)が最近悪用された結果であることが確認されています。どちらの場合も、Downloader.Tandfuy は、続いて Trojan.Sequendrop をダウンロードし、それが Backdoor.Ghostnet、Trojan.Chost、または Infostealer.Gampass で構成される別の脅威を投下します。
Backdoor.Ghostnet は広く知られている脅威で、このブログでも 2009 年に 「Ghostnet Toolset-Back Door at the Click of a Button」(英語)というブログで説明しことがあります。この脅威は過去にスパイ活動に関連して使われたこともありますが、Gh0st RAT として知られるこのリモートアクセス型のトロイの木馬(RAT)は、今では誰でも自由にインターネットからダウンロードして入手することができます。
Trojan.Chost は侵入先のコンピュータ上でホストファイルを改ざんし、Web サイトに対する DNS 要求を別のサイトにリダイレクトします。今回の場合、ホストファイルは、韓国のいくつかのオンラインバンキングサイトを攻撃者のサイト(IP アドレス 174.139.5.34 または 98.126.76.109)にリダイレクトするように改ざんされます。解析時点では、韓国のオンラインバンキングサイトから攻撃者のサイトにリダイレクトされた後で実行される処理の内容は特定できませんでした。Web サイトをリダイレクトさせようとする攻撃者の動機は、オンラインバンキングのログイン情報を狙って何らかのフィッシング攻撃を実行することだと考えられます。
Trojan.Sequendrop によって投下される最後の脅威は Infostealer.Gampass で、これはその名前が示すとおり、オンラインゲームのログイン情報を盗み出す目的で使われます。興味深いのは、先日いくつかのメディアサイトで、韓国で 16 個の Web サイトが DDoS 攻撃を受けたという報道があったことです。今回の攻撃のうち、ちょうどその報道と同時期に検出された Infostealer.Gampass の最新サンプルを解析したところ、Infostealer.Gampass は、DDoS 攻撃が報じられた 16 個の Web サイトに定期的にアクセスすることが判明したのです。Infostealer.Gampass は、djdjdava.jpg という名前のファイルをダウンロードするために、これら 16 個の Web サイトにアクセスしていました。djdjdava.jpg は、画像ファイルに偽装していますが実際には実行可能ファイルであり、Downloader.Tandfuy または Infostealer.Gampass の更新版であると見られています。さらに、アクセスしていたサイトの大半はおとりサイトであり、ファイルがホストされていなかったことも判明しています。Infostealer.Gampass によるこの活動は、報道されている DDoS 攻撃に関連すると思われ、Web サイトに対する DDoS 攻撃と誤って解釈された可能性もあります。
狙いは韓国に集中
シマンテックの遠隔測定では、この攻撃に関連する活動が依然として確認されていますが、現時点でメインのコマンド & コントロールサーバーは応答していません。さらに、この攻撃はまるでレーザー照準のように韓国に集中しています。攻撃の 99% は韓国から報告されており、他の地域から報告があったのは偶発的なものにすぎないからです。
これと同様の攻撃でゼロデイ脆弱性が悪用された前例はほとんどなく、今回の攻撃者が一定の高度な技術力を備えていることがうかがえます。この攻撃活動では何種類かのマルウェアが使われており、攻撃者の明確な目的はまだわかりませんが、動機は金銭の詐取にあると思われます。韓国に対するサイバー攻撃が起きると、メディアでは、とかく国家支援による何らかの攻撃ではないかと憶測されがちですが、今回確認された活動から判断する限り、この攻撃はサイバー犯罪であると考えたほうがよさそうです。
シマンテックは、この攻撃に関連する活動の監視を続けています。脅威から保護するために、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
South Korea has not been too far from media attention lately, with reports of cyberattacks involving zero-day vulnerabilities, banking Trojans, gaming Trojans, back doors and distributed denial-of-service (DDoS) attacks targeting the nation. Symantec h…
よく知られた格言として、こんな話があります。
樽いっぱいの汚水に、きれいな水を 1 パイント注いでも、残るのは樽いっぱいの汚水だ。では、樽いっぱいのきれいな水に、汚水を 1 パイント注いでみたらどうなるかといえば、そう、できあがるのはやっぱり樽いっぱいの汚水だ。
この話に出てくる、きれいな水を「論理的に真である文」に、汚水を「論理的に偽である文」に置き換えてみれば、この格言が論理学で使われるおなじみの原理を表すことがわかります。
AND 演算子(&)を使って、いくつか連鎖した偽の文(樽いっぱいの汚水)に真である文(1 パイントのきれいな水)を 1 つ追加すると、結果として全体の文は偽になります。いくつか連鎖した真の文に偽である文を 1 つ追加しても同じようになり、全体の文は偽になります。
この格言と論理学の原理は、シマンテックのセキュリティレスポンスエンジニア(SRE)にとっても有益です。SRE の大きな責務のひとつは、特定のファイルが配備先の環境にとって脅威となるかどうかを判定し、その脅威が現実のものとならないように必要な措置を講じることです。そのために SRE は、配備先の環境で望ましくない処理や、悪質な処理を実行しうる特定のコードシーケンスあるいはコマンドがないかどうかファイルを調べる必要があります。
前述の格言や論理学の原理と同じように、解析対象となる潜在的に悪質なファイルは、以下のような(長い)論理シーケンスとして表されます。
S = P1 & P2 & P3 & … & Pi & … & Pn
ここで、各 Pi はファイルの基本ブロック(1 単位の処理を実行する)を表し、論理学で言えば 1 つの文に当たります。実際には、この式に「IF/THEN」など他の論理演算子が含まれることもあります。いずれにしても、ファイル全体を評価するためには、Pi を 1 つずつ評価しなければなりません。
ここでは、一般形としてのファイルブロックを前提に話を進めています。現実的には、ファイルはタイプによって大きく異なるからです。ファイルタイプが異なれば、ファイルブロックの意味も異なります。たとえば、スクリプトファイルにおけるファイルブロックは、スクリプトのインタープリタによって 1 ステップで実行されるコマンドの 1 単位です。それに対して、ネーティブ実行可能ファイルにおけるファイルブロックは基本的なコードブロックと見なされます。つまり、複数のエントリまたは複数のエグジットを持つ命令のブロックです。
リストに 1 つでも偽の文があれば全体の文が偽となるように、いずれか 1 つのファイルブロックが脅威の原因と特定されれば、直ちにそのファイル全体が脅威と見なされます。ファイルが脅威と判定されれば解析はそこで停止し、その脅威に対する検出シグネチャが追加されます。
ファイル全体が悪質な意図で作成された場合(ほとんどのトロイの木馬が当てはまります)、脅威は簡単に特定できます。脅威の要素がいたるところで見つかるのに加えて、不明瞭化やポリモーフィズムも、ファイルに何か問題があることを示す格好の手掛かりになるからです。現在、シマンテックが解析対象として受け取るファイルのうち 4 つに 3 つ(75%)は脅威であると見なされ、検出のためのシグネチャが追加されています。
この作業の労力がいかに大きいかを感覚的にわかっていただくために、メモ帳のように単純なアプリケーションを考えてみましょう。メモ帳でさえ、ファイルブロックの数はおよそ 1,500 に及びます。攻撃者が悪質なブロックをいくつかランダムな位置に挿入した場合、1,500 もの正常なファイルブロックの中からそれを見つけ出すのは非常に困難です。まさに、干し草の中から針を 1 本探し出すようなものです。
脅威の動作を文書化するために詳しい情報が必要な場合には、ファイル全体について詳しい解析を実行する必要があります。こうした詳しい解析を実行するには、パズルの全ピースを埋めるために、SRE は正常なブロックから悪質なブロックまでファイルのコードブロックをほぼすべて調査します。たとえば Stuxnet(これまでに確認された最も複雑な脅威のひとつです)の場合には、シマンテックのシニアセキュリティレスポンスエンジニア 3 人によるチームで約 12,000 ものコードブロックを完全に解析するのに 4 カ月以上を要しました。
多くのバイナリで再利用されることが多い既知の正常なライブラリコードの識別を自動化したり、元の正常なファイルを見つけて悪質な可能性のあるファイルとの差分を比較したりすれば、このように膨大な量の情報でも処理時間を短縮することは可能です。しかし、ブロック数が大きくなれば必ず手作業での検査が必要になります。セキュリティに関して判断を下すための労力と時間は、ファイルに含まれる情報の量に正比例します。つまり、解析作業はファイルサイズにほぼ等しいという法則が成り立つのです。
作業の膨大さを考慮して、SRE は詳しい解析に進む前に特殊なツールを利用する場合もあります。たとえば、制御下の環境に配備したファイルが示す挙動に基づいて判断を下すビヘイビア分析などは有効なツールです。こうしたツールについての詳細は別の機会に譲ります。
よく考えてみると、コマンドプロンプト(cmd.exe)や同等の機能を持つツールは、複数のファイルを削除できるコードブロックを少なくとも 1 つ持っており、しかもユーザーの介在なしにそれを実行できます。このような動作は、それだけでも悪質と見なされ、スタンドアロンのアプリケーションに単独で見つかった場合には(たとえば、実行されるとシステム上で見つけたファイルをすべて削除し始める実行可能ファイルなど)、トロイの木馬と見なされます。とは言っても、cmd.exe や類似のツールは実際には正常なファイルです。では、どうやって判断するのでしょうか。
論理学の場合と同様、真/偽の文と正常/不正なファイルとの類似性が、ここでも同じように働きます。破壊的なコードが実行されるのは、cmd.exe に特定のパラメータが渡され、別の外部パラメータによってユーザー操作が抑止される場合だけです。
基本的に、cmd.exe は以下のように動作します。
del コマンドを入力した場合には、指定されたファイルを削除します。サイレントパラメータを渡すと、確認メッセージは表示されません。
この 2 つの文は、以下のように表すことができます。
S = if P then Q
つまり、P が偽のとき S は真である、つまり正常であるということです。del コマンドがコマンドラインで入力されていない(P が偽である)場合には、cmd.exe によってファイルが削除されないのと同じで、つまりこれは正常な動作です。サイレントパラメータを省略した場合には、コマンドごとに確認メッセージが表示されるということでもあります。
P が真の場合には Q が評価され、それが真であれば S もまた真になります。同じように、ファイルの削除を指示されると cmd.exe は正常に動作します。大きい仕組みの一部である場合は別として、単独では正常です。包丁が、台所で使う道具である一方で犯罪行為に使われることもあるのと似ています。このように、SRE はコマンドを発行するファイルが(正常または悪質な)処理を実行する目的を調べ、その意図を解明します。
最近の脅威や攻撃では実際、相互に対話する複数のモジュールが使われています。ほとんどの場合そのモジュールは明らかに悪質な意図を持って作成されており、悪質であると断定することも比較的容易ですが、特定の脅威に実装されているモジュールの一部が、それ自体では正規のツールであるという場合もあります。
その一例が NetCat で、これはネットワーク管理者が高度なネットワーク接続に使うコマンドラインツールです。NetCat 自体は正常なツールですが、ハッキング攻撃にもきわめて有効であり、バックドア接続を開始する目的で多用されています。悪質な利用が広まったため、シマンテックは NetCat をセキュリティ上の脅威でもありセキュリティ評価ツールでもあると分類しています。NetCat が正当な目的で使われている場合、検出されても無視することができます。
個々のファイルを解析する長いプロセスと、日ごとに増え続ける解析対象ファイルの量から、ファイルの発生元と信頼性を特定することが、プロセスで重要な要因になっています。
たとえば、正規の企業は、品質管理の定義に合致する高品質なコンテンツを作り出すのが普通です。デジタル署名やバージョン情報といった整合性データも必ず揃っています。このような情報を使ってファイルを作成者まで追跡すれば、そのファイルの信頼性も判明します。
既知の正規の企業によって作成されたファイルであれば、(既知の副作用がある、動作に疑わしい点があるなど、完全な解析を実行する明白な理由がある場合を除き)完全な解析プロセスを経なくても、一定範囲の確度で正常であると見なすことができます。
ファイルにフラグを設定するときにも、信頼性は適用されます。今日確認されている脅威ファイルのうち 83% は実際のペイロードに重ねて 1 つ以上のパッカーを使っていますが、正常なファイルのほとんどは簡単に解析できる傾向にあります。信頼できる作成元に由来しているように見せかけたファイルでも、不明瞭化の兆候やデジタル署名の不一致がある、あるいはカスタムパッケージを使っている様子がある場合には、95% 以上の確率でセキュリティ上の問題があるでしょう。通常、信頼できる作成元からの正規のファイルであれば、不明瞭化の手法やカスタムパッカーを使ったりはしないものだからです。
論理学が示すように、真理が指し示すのは真理だけです。同じように、正常なファイルはあらゆるレベルで正常でなければなりません。正常なファイルとは、評価の確かな既知の存在によって作成され、正規の明確な目的のために使われるものであり、正常なブロックのみで構成されるものであるべきです。こうした原則は、ファイルの判定に有用なだけではなく、他の分野にも応用できます。
現在使われている解析手法が(比較的)遅く、その一方で処理すべきファイルの数が日々増えている現状を考えれば、セキュリティベンダーは個々のファイルの詳しい解析を減らして脅威を解析できる新しい手法を生み出す必要があります。信頼性と意図の特定に重点を置く傾向は、今後も強くなっていくでしょう。
ミルチャ・チュボタリュ(Mircea Ciubotariu)著「The Clean Theory」(Virus Bulletin、2013 年 8 月)。著作権は Virus Bulletin Ltd が有していますが、Virus Bulletin の許諾により、このサイトでは個人的な使用に限って無償で公開しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。
Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。
シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。
図 1. Trojan.Grolker の標的となっている国
今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。
図 2. 古い Trojan.Grolker の URL チェック
Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。
図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker
Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。
図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト
正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。
Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。
Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品やシマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Old rules…
A popular proverb goes like this:
When one adds a pint of clean water to a barrel of sewer water one gets a barrel of sewer water, but when one adds a pint of sewer water to a barrel of clean water one gets… well… a new…
Malicious game downloads are not a new phenomenon, but malware authors are now exhibiting a greater degree of ambition in targeting online gamers. A gaming Trojan horse is now targeting user bank accounts in addition to user gaming credentials.
Threats…
10 月 29 日、シマンテックは、今年上半期に Android アプリマーケットに出現したセキュリティリスクに関するレポートを発表しました。このレポートではマルウェアとマッドウェア(モバイルアドウェア)の傾向を取り上げています。マッドウェアとは「攻撃的な広告ライブラリ」を使うアプリのことです。広告ライブラリは、ターゲティング広告を提供するためにアプリのユーザーに関する情報を収集する機能を備えていますが、一部には、個人情報を漏えいしたり、通知バーに広告を表示する、広告アイコンを作成する、Web ブラウザのブックマークを変更するといった、迷惑な動作を行ったりするものもあります。シマンテックは、このようなライブラリを「攻撃的な広告ライブラリ」と呼んでいます。
今年半ばの時点で 65 個の広告ライブラリが知られていましたが、そのうちの半数以上が「攻撃的」と分類されました。攻撃的な広告ライブラリを使うアプリの比率は 2010 年から上昇傾向にあり、2013 年の上半期には 23% にも達しています。今回のレポートによれば、マッドウェアが最も多く見つかるのは[カスタマイズ]カテゴリからダウンロードしたアプリで、[ライブラリ & デモ]カテゴリと[レース]カテゴリがこれに続きます。一方、マルウェアが多く見つかるのは[写真]、[アーケード & アクション]、[エンタテイメント]のカテゴリなので、マッドウェアとマルウェアでは存在している場所が異なります。
予想されたとおり、マルウェアは変わらず増加し続けており、既知のマルウェアサンプルの数(マッドウェアとグレイウェアは除く)は、2013 年 6 月にほぼ 275,000 に達し、1 年前の 2012 年同月と比べると 4 倍にもなっています。
「Mobile Adware and Malware Analysis(モバイルアドウェアとマルウェアの解析)」レポート(英語)は、こちらからダウンロードいただけます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。