Many people are waiting eagerly for Halloween, a holiday filled with mystery, magic and fantasy, where bonfires were lit and costumes were worn to ward off roaming ghosts. As expected, Halloween Day spam messages have started flowing through Symantec&r…
On September 4, 2013, we were the first to discover and add detections for a new malware targeting ATMs named Backdoor.Ploutus, as reported by our Rapid Release Definitions. Recently, we identified a new variant of this threat and realized that…
Twitter のダイレクトメッセージで URL 送信が制限されているという報道(リンク 1、リンク 2)があったばかりですが、スパマーは早くも先週末、この制限をすり抜ける方法を発見して、ダイエット薬のスパムリンクを送りつけています。
図 1. スパムリンクを含むツイートをユーザーに送りつけるダイレクトメッセージ
このスパムが見つかったきっかけは、こちらが一方的にフォローしていただけのユーザーから突然フォローされ始めたことでした。新しくフォローされたという通知を受け取った直後に、そのユーザーからダイレクトメッセージが届いたのです。
図 2. ダイレクトメッセージを通じて Twitter ユーザーに送信される悪質なリンク
通常の Twitter スパムとは異なり、このダイレクトメッセージで見つかるリンクは Twitter にアクセスします。リンク先は、あるツイートであり、そのユーザーが自身のアカウントに投稿したものです。
そのツイートに含まれるリンクをクリックすると、典型的なダイエット薬スパムに誘導されますが、これは数年前からさまざまなソーシャルネットワークで確認されているものです。
図 3. リンクをクリックするとダイエット薬スパムの Web ページに誘導される
Twitter 上で「I recommend site(私のお勧めサイト)」というキーワードを検索すると、似たようなリンクをツイートした Twitter ユーザーが多数見つかります。つまり、それらのアカウントも乗っ取られており、そのフォロワーたちが同じようなダイレクトメッセージを受け取っているということです。
図 4. ダイエット薬スパムのリンクを含むツイート
さらに調べたところ、Twitter では現在、bit.ly や TinyURL などの URL 短縮サービスへのリンクを遮断していることが判明しました。ダイレクトメッセージで、URL 短縮サービスのリンクを送信しようとしたところ、エラーメッセージが表示されました。
図 5. ダイレクトメッセージに関する変更を通知する Twitter のサポート記事
Twitter のダイレクトメッセージでこのようなリンクが遮断されているのは、スパマーがスパムドメインのリンクを隠蔽するために URL 短縮サービスを使っているからでしょう。Twitter のヘルプに追加されている通知では、バックエンドを再構築中であるため一部の URL が送信できなくなっていると説明されています。こうした状況にもかかわらず、スパマーは攻撃を続けるための抜け道を見つけたということです。
自分や知人がツイートまたはダイレクトメッセージでスパムリンクを送信してしまったこに気付いた場合には、こちらの手順に従って、アカウントが乗っ取られないように注意してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。
図 1. Trojan.Ransomcrypt.F の支払い要求画面
Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。
図 2. Trojan.Ransomlock.F の感染分布図
初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。
図 3. Ransomcrypt の DNS 要求
シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。
作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。
Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。
図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン
メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。
マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。
図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン
Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。
ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
It can all start with what looks like an innocuous email containing a link to a potential job opportunity. Or perhaps it’s an unexpected phone call from someone claiming to be a high-ranking employee, asking you to process an invoice sent by emai…
Following media reports that Twitter has restricted URLs in direct messages, spammers found a way around this restriction this weekend in order to push diet pill spam links.
Figure 1. A direct message sends users to the tweet containing the spam link
…
While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…
寄稿: Binny Kuriakose
米国では、予算不成立の影響を受けて政府機関の大部分が閉鎖しているため、経済成長にも影響が出始めています。政府機関職員の多くが給与未払いのまま勤務を続けざるをえず、一部では無期限の一時帰休をとる事態に陥っています。
シマンテックは、政府機関の一部閉鎖が発表された直後から、その被害者を標的としたスパム活動を確認しています。これまでにもスパマーが景気の停滞を悪用しようとすることはありましたが、今回は、突然の政府閉鎖で市民が苦しめられている危機的な財政状況が直接狙われています。こうした事態を収束させようとしている上院の政策を考えると、これはおそらく、政府が閉鎖を解除する前にもっと荒稼ぎしておこうというスパマーの土壇場の試みなのでしょう。
この新手のスパムは、被害者を欺いて融資を申請させようという手口で、必然的に個人情報をスパマーに開示することになります。電子メールは、融資の処理から入金までがわずか 90 秒間で完了すると、その手軽さを謳っています。電子メールの件名も、被害者に近しい人から紹介があったかのように見せかけています。以下に、この攻撃で使われているメールヘッダーの例を示します。
差出人: “[名前]” <hufuf@[ドメイン]>
件名: Your name was mentioned(お名前をご紹介いただきました)
図 1. 米政府機関閉鎖の被害者に融資を持ちかけるスパムメール
電子メールの内容は、不安を感じている被害者の気持ちをうまくつかむように工夫されています。たとえば、政府機関の閉鎖が続くかぎり財政的な支援があるといった内容です。電子メール本文に記載されているリンクをクリックすると別のページにリダイレクトされ、希望の融資金額を入力するよう求められますが、さらにページを進むと個人情報を入力するよう指示されます。
図 2. 融資を勧誘する Web サイト
図 3. ユーザーの個人情報を求めるページ
このスパムは、困り果てている被害者を狙ってきます。短時間で現金が手に入るという期待は抗しがたいほど魅力的であり、情報の足りない被害者は、まんまとこの詐欺に引っかかってしまいます。シマンテックは、スパマーが次々と繰り出してくる新しい手口を警戒し、スパムをスパムと見抜くための情報の提供を続けていく予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
ハリウッド映画を信じるなら、私たちはやがてロボットだらけの世界に住むようになります。ゾンビだらけの世界よりは、ありそうな話です。未来の予測図では、いたる所にロボットが存在します。スクリーンの中では、人工知能が世界征服を企てるという筋書きも定番であり、別形態に変形するロボットや自己修復の機能を持つロボットもすっかりおなじみになりました。残念ながら、ヘビーメタルのサウンドトラックに合わせてスローモーションで宙返りしながら自動車が戦闘ロボットに変形する、という段階には達していませんが、それに近づいていることは間違いありません。MIT の研究者が先日発表した M-Blocks という新モデルは、自己組み立て式ロボットの新たな一幕を象徴する刺激的な作品でした。
MIT が開発した立方体のモジュール型ロボットは、内部のはずみ車を使って自らの配置を変えます。はずみ車が生み出す瞬間的な推進力によって各モジュールは自在な方向に進み、磁力で連結します。モジュールが跳び上がって移動できるほどの強力な勢いを生むエネルギーを発生することもできます。立方体のモジュールで組み上がるのはまだ原始的な形にとどまり、残念ながら巨大な戦闘ロボットになったりはしませんが、そもそもの目標がそこにはありません。研究者が目指しているのは、各モジュールが自律的に動作することです。現在のプロトタイプは外部から制御されており、無線でコマンドを受信しています。
ここでセキュリティ研究者として気になるのは、言うまでもなく、こうしたモジュール型ロボットのセキュリティがどうなるかという点です。と言ってもご心配なく。何も、スカイネットがこの世界を支配するといった話ではありません。今はまだプロトタイプの段階にすぎないので、今後のモデルでどんな動作が可能になるかを予測しても、それは純粋な思索の域を出ませんが、ひとつ考えられる課題は、不正なモジュールを確実に識別できるかどうかでしょう。考えてもみてください。不正なロボットモジュールがシステムに混入したら、他のモジュールがすべて混乱し、形成しようとしていた構造は一瞬にして崩れてしまうのです。信頼できないノードのネットワークで信頼を築くというのは、容易に解決できる問題ではありません。逆に新しいモジュールの追加が必要になるかもしれず、それらがシームレスに統合されれば理想的です。
現在の自己組み立て式モジュール型ロボットは、コマンドを送受信する中央制御ユニットを持っており、モノのインターネット(IoT)にたとえることができます。IoT とは、単純に言えば、従来と異なるデバイスのグループをインターネットに接続することであり、大きな可能性を秘めた分野として注目を集めています。IoT の中で最も実用的なのがスマート家電機器で、一部はすでに商品化されています。現在市販されているロボット掃除機は、自己組み立て機能こそありませんが、ロボットには違いありません。
IoT に関しては、すでにセキュリティ業界から多大な関心が寄せられており、IoT をテーマとして取り上げるセキュリティ関連のカンファレンスも増えています。たとえば、ダニエル・ブエンテロ(Daniel Buentello)氏は今年の DerbyCon で、リモートコントロール式の電源スイッチを完全に乗っ取る方法についてプレゼンテーションを行いました。電灯のスイッチをオン/オフするだけなら特に脅威とは感じられませんが、窓やドアを開けられるとなれば驚きは大きくなります。しかも、これは可能性のごく一部にすぎません。冷蔵庫がポートスキャンを実行する、あるいはムード照明が他の照明器具にマルウェアを感染させるというシナリオは、どれも現実性があります。隣人によってトースターがリモートで侵入を受け、そこからの命令でステレオの電源を切られたりする、そんな日が来るかもしれないのです。そうした家電機器は厳重なセキュリティを想定して製造されているわけではないので、悪質なコードが実行されても、検出や除去は難しい可能性があります。
シマンテックは、モノの接続が進むこれからの世界で安全に過ごせるように、この分野の発展を慎重に追跡しています。冷蔵庫がコーヒーメーカーと共謀してトースターに DDoS 攻撃を仕掛けるなどという事態が近い将来に起きないことを祈っています。そんな 1 日の始まりは誰しも願い下げですから。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
寄稿: Satnam Narang
Backdoor.Egobot に関する先のブログでは、Egobot が目立たないように潜伏しながら特定の業種を標的にする手法について概要をお伝えしました。Egobot の背後にいるサイバー犯罪者は、さらに広く攻撃を拡散するために、Infostealer.Nemim も開発したようです。攻撃範囲こそ異なりますが、どちらも侵入先のコンピュータから情報を盗み出すものであり、2 つとも同じ出どころから発生している節があります。
Nemim のコンポーネント
シマンテックが Nemim の活動を初めて検出したのは、2006 年秋のことです。最初期のサンプルの 1 つには、侵入先のコンピュータから自身を削除するタイミングを決めるタイマー機構が組み込まれていました。削除には条件があり、特定の日付に紐付いているか、サンプルが実行された回数に基づいています。タイマー機構は、Egobot のサンプルでも見つかった機能です。
シマンテックが解析した Nemim のサンプルは、盗まれた証明書でデジタル署名されており、時間とともに以下の 3 つのコンポーネントが更新されました。
インフェクタコンポーネント
インフェクタコンポーネントは、特定のフォルダにある実行可能ファイルに感染するように設計されています。具体的には、%UserProfile% フォルダとそのサブフォルダすべてを標的として感染します。
感染方法は洗練されたものではありません。Nemim は、感染したファイルの名前の末尾に .rdat を追加した名前で、新しいセクションに自身をコピーします。感染したファイルの元のエントリポイントが、Nemim コードの .rdat セクションをポイントするように変更されます。感染コードは、次のパスで埋め込まれた実行可能ファイルの解読、投下、実行を担います。
この実行可能ファイルが、ダウンローダコンポーネントです。
ダウンローダコンポーネント
ダウンローダコンポーネントは、暗号化された実行可能ファイルのラッパーのように機能します。解読後、暗号化された実行可能ファイルが動的にロードされます。この暗号化された実行可能ファイルに、実際のダウンローダ機能が含まれていますが、ダウンロードする前に、Nemim は侵入先のコンピュータから以下のシステム情報を収集します。
図 1. Infostealer.Nemim が侵入先のコンピュータから収集するシステム情報
収集された情報は暗号化され、Base64 に変換されてからコマンド & コントロール(C&C)サーバーに送信されます。このプロセスは Egobot と同様です。収集された情報は、C&C サーバー上では暗号化されていない形式で見ることができます。たとえば、P2Pdetou 変数にはコンピュータ名とユーザー名が [コンピュータ名]@[ユーザー名] という形で示されます。サーバーは、投下され実行されるペイロードを含めて、基本的なコマンドでこれに応答します。次に、ダウンローダは、サーバーが「minmei」という文字列とそれに続く以下のコマンドで応答するものと想定します。
uprenoたとえば up コマンドは、ダウンロードされるデータに実行可能なペイロードが含まれ、それをダウンローダが解読して実行することを示します。
情報窃盗コンポーネント
情報窃盗コンポーネントは、以下のアプリケーションから、保存されているアカウント情報を盗み出すことができます。
情報窃盗コンポーネントは、盗み出したデータを C&C サーバーに返し、ダウンローダコンポーネントと同様に「minmei」という文字列が返されるものと想定します。
地理的な拡散状況
Nemim の標的は主に日本と米国に集中しており、インドと英国がそれに次いでいます。
図 2. Infostealer.Nemim の地理的な拡散状況
シマンテックは、以下の脅威のコンポーネントをすべて検出し、攻撃から保護します。
Nemim と Egobot の関係
Nemim のバイナリを解析したところ、いくつかの類似点から Backdoor.Egobot との関係が明らかになりました。
|
|
Nemim |
Egobot |
| 収集される情報で使われる特定の形式とタグ |
Sys@User : %s@%s (%s) |
Sys@User : %s@%s (%s) |
| 情報の暗号化 | 暗号化して Base64 でエンコード | 暗号化して Base64 でエンコード |
| C&C サーバーとの通信形式 |
[URL/IP]/[パス]/[ファイル].php?a1= |
[URL/IP]/[パス]/[ファイル].php?arg1= |
| コードインジェクションの手法 | Microsoft Detours の機能 (初期バージョン) |
Microsoft Detours の機能 (すべてのバージョン) |
表 1. Nemim と Egobot の類似点
こうした類似点と、双方の活動時期が重なっていることを考えれば、Nemim と Egobot の出どころが同じであることは明らかです。
新たな攻撃の可能性
Nemim は現在も活動を続けており、時間を掛けて着実に進化しています。たとえば、文字列の暗号化が重要になり、盗まれたデジタル証明書が新しいものでアップグレードされ、共通の仮想マシンを検出するチェックが実装されました。実際、過去 7 年間というもの攻撃者はイノベーションに揺るぎないこだわりを示し続け、2 種類の攻撃活動の必要性に応じてマルウェアを進化させてきたのです。このような積極的な姿勢は今後も変わることがなく、新しい攻撃の可能性も高いと言えるでしょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。