One-click fraud refers to a scam that attempts to lure users interested in adult-related video to a site that attempts to trick them into registering for a paid service. For many years, it has been common to see this type of fraud on computers. As smar…
概要
韓国に対する大規模なサイバー攻撃は、過去 4 年間に何回か確認されています。シマンテックが特定したバックドア(Backdoor.Prioxer)は 2011 年の攻撃で浮かび上がったものですが、このバックドアを修正した亜種が 2013 年の攻撃でも検出されています。このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人が 2011 年と 2013 年のどちらの攻撃にも関与している形跡があり、2 つの攻撃には何らかの関係性があるものと示唆されます。
背景
大規模な攻撃が初めて記録されたのは、2009 年 7 月のことでした。この攻撃は、米国の独立記念日に当たる 7 月 4 日に始まり、韓国と米国の政府系や金融系のさまざまな Web サイトに対して分散サービス拒否(DDoS)攻撃が仕掛けられました。2 度目の攻撃は 7 月 7 日、3 度目は 7 月 9 日に発生しています。一連の攻撃に使われたマルウェアは Trojan.Dozer で、電子メールを介して拡散しました。Trojan.Dozer のコードには時限爆弾が仕込まれており、7 月 10 日に発動するように設定されていました。この時限爆弾は、ハードディスク上の各種のファイルを上書きするうえ、ハードディスクの先頭の 1 MB も上書きして MBR とパーティションテーブルを破壊する機能があります。これにより、ハードディスクは、「Memory of the Independence Day(独立記念日を祝して)」という文字列で上書きされてしまいます。
2 度目の大規模攻撃は、2011 年 3 月 4 日に発生しました。このときも DDoS が利用され、同じく米国と韓国の政府系機関が狙われました。ここで使われたマルウェアは Trojan.Koredos ですが、やはり指定されたタイプのファイルを上書きし、MBR を破壊します。この攻撃の調査中に発見されたのが、Backdoor.Prioxer というトロイの木馬です。Backdoor.Prioxer は非常に高度で、ファイルへの感染の仕組みも慎重です。このときの詳しい手口については、以前のブログで紹介しています。
そして、3 度目に当たるのが今回、2013 年 3 月 20 日の攻撃です。この攻撃はハードディスクを上書きするだけで、DDoS 攻撃はないものと見られています。ここで使われている Trojan.Jokra は、MBR とハードディスクの内容を、ファイル形式に関係なく上書きしたうえで、マップされたネットワークドライブを探し、見つかればそれも上書きしようとします。インストールの経路は、電子メールやパッチ管理など複数あるようです。パッチ管理とは自動更新システムで、これが感染してマルウェアを拡散しました。
2011 年の Trojan.Koredos の調査と同様に、Trojan.Jokra に感染したコンピュータのファイルを調べているときに Backdoor.Prioxer の新しい亜種が見つかっています(Backdoor.Prioxer.B と命名されました)。この新しい亜種は、同じ C&C のベースプロトコルを共有していますが、以前の亜種とは異なり IRC 通信のプロキシは行いません。被害を受けたコンピュータへのインストール方法を判定しようとして、このファイルをさらに調べたところ、Trojan.Jokra とのつながりが確認されました。
関連性の発見
Trojan.Jokra のサンプルは Jokra パッカーによって不明瞭化されています。Jokra パッカーはダウンローダの不明瞭化にも利用されていました(2012 年 8 月に、50e03200c3a0becbf33b3788dac8cd46 という MD5 で発見)。このダウンローダは、次の場所から Backdoor.Prioxer をダウンロードします。
http://www.skymom.co.kr/[削除済み]/update_body.jpg
Trojan.Jokra と Backdoor.Prioxer.B のつながりも、Jokra パッカーが基になっています。2013 年の事案で見つかった別のマルウェアサンプル(Trojan.Gen.2)は、Jokra パッカーでパッケージ化され、ビルドのパス文字列を含んでいます。この文字列は、サンプルがディスク上のどこでコンパイルされたかを示しています。
パスは以下のとおりです。
Z:\Work\Make Troy\3RAT Project\3RATClient_Load\Release\3RATClient_Load.pdb
同じ調査で見つかった Backdoor.Prioxer.B サンプルにも、以下のビルド文字列が含まれています。
Z:\Work\Make Troy\Concealment Troy\Exe_Concealment_Troy(Winlogon_Shell)\Dll\Concealment_Troy(Dll)\Release\Concealment_Troy.pdb
2 つのマルウェアが、Z:\work\Make Troy という同じビルドソースディレクトリからコンパイルされたことが、これで明らかになりました。
仕事か趣味か
Jokra パッカーが 1 つのグループに限定されているとすれば、Backdoor.Prioxer.B と Trojan.Jokra のつながりは間違いありません。このパッカーは、検出数がきわめて少ないことから、公然と配布されているわけではなく、韓国に限定されているとシマンテックは考えています。今までのところ Jokra、ダウンローダ、そして「Z:」で始まるビルド文字列を含むバックドア型のトロイの木馬しか対象になっていません。こうした範囲の狭さから、Jokra パッカーが 1 つのグループのみによって使われていることが示唆されます。
Backdoor.Prioxer.B と 2011 年の攻撃とのつながりは、これまで明確にはなっていません。各バージョンの Backdoor.Prioxer が 2 つの攻撃を通じて存在していたとは考えにくく、トロイの木馬は単に調査の過程で検出されただけで、実際には攻撃に関係していなかったという説明も可能でしょう。とは言え、Jokra のつながりを考えると、サンプルはやはり関係していると考えてよさそうです。
最後に、Backdoor.Prioxer サンプルで使われているビルドパス自体が手がかりになります。パスは「Z:\work」ですが、個人のハックティビストがトロイの木馬を保存する場所として「work(作業用)」というラベルのフォルダを使うことは、まずありえません。ハックティビストであれば、トロイの木馬を開発することは仕事ではなく、趣味のようなものだからです。コードを作業用フォルダに保存するのは、コーディングを職業にしている人と考えれば、請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性があるということになります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Overview
In the past four years there have been several major cyber attacks against South Korea. We have identified a particular back door (Backdoor.Prioxer) that surfaced during the 2011 attacks. A modified version of this back door was also discover…
寄稿: Avdhoot Patil
フィッシングサイトの裏では、ユーザーを誘い込み、個人情報を渡すようにそそのかす手口が次々と生み出されています。そこでよく使われているのが、偽装したソーシャルネットワークアプリケーションです。
先月の統計では、フィッシング全体の 8.6 パーセントがソーシャルメディアサイトで行われたものでした。そのうち 0.8 パーセントを占めていたのが、無料携帯通話時間、アダルト動画、ビデオチャット、アダルトチャットなどを謳い文句にした偽装アプリケーションです。
2013 年 3 月、フィッシング詐欺師は、無料 Web ホスティングサイトにフィッシングサイトを置き、偽のアジア系チャットアプリケーションを立ち上げました。
図 1. ソーシャルネットワークサイトを偽装したフィッシングページ
このフィッシングサイトは有名なソーシャルネットワークサイトを偽装しており、タイトルには「Pakistani chat room – Pakistani girls & boys chatting room(パキスタン人チャットルーム – パキスタンの男女のためのチャットルーム)」とあります。ページの右側には、チャットルームへの参加方法が稚拙な英語で書かれています。それによれば、ログイン情報を入力すると、パキスタンやインドの女性と無料でチャットできるようになるそうです。また、国内や海外の友だちを探してチャットする機能もあると書かれています。実際には、次のページに進むと、パキスタン、インド、アラブを含むアジア系向けを装った偽のチャットページが現れます。
おなじみのアプリケーションを備えた偽装サイトにリダイレクトするという手法は、ユーザーを信じ込ませるためにフィッシングサイトではよく使われるものです。このサイトの場合、インドの映画女優の壁紙に混ざって、偽のチャットルームへのリンクが仕掛けられています。この撒き餌に食いつくと、ログイン情報がまんまと盗まれてしまうわけです。
図 2. 偽装チャットサイト。個人情報を入力すると、ここにリダイレクトされる
フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Avdhoot Patil
New methods to entice victims into handing over their personal information are always being devised by the people behind phishing websites and the use of fake social networking applications is always popular.
During the past …
Results of the AV-Comparatives 2013 Security Survey (pdf) are in, and once again AVAST leads among consumer preferences. Since AV-Comparatives is an independent testing firm, we always look forward to what they have to say. Here are some highlights: According to survey respondents, AVAST remains the most widely used antivirus solution worldwide, claiming first […]
マルウェアの多くは、自身を変化させる機能を持っています。侵入先のコンピュータに自身をコピーするときにセキュリティソフトウェアの目を逃れること、あるいは解読したメモリ領域を実行したり解読したメモリ値を読み取ったりしてマルウェアを解析しようとするエンジニアの試みを阻害することが目的です。今回のブログでは、メモリを共有して自身の姿を変えるトロイの木馬の動作について説明します。
マルウェアのプロセスは、図 1 の赤線のように進みます。
図 1. 脅威のプロセスを示すコード
ebx-4 というアドレスは、.data セクションの先頭を示しています。初期状態では、ebx-4 は 0 なので、31h や 32h と比較すると失敗になります。
コードによってアドレス ebx-4 に 31h が書き込まれると、トロイの木馬は自身のファイル名を使って WinExec 関数を実行し、自身を実行します。次に、ExitProcess 関数を使って自身を終了します。実行時には ebx-4 の値が常に 0 なので、プログラムは単に実行と終了を繰り返しているだけのように見えますが、実際には悪質な処理を実行しています。ここが、このマルウェアの巧妙なところです。
このファイルのサンプルには、以下のような構造の .data セクションがあります。
図 2. ファイルサンプルの構造
Characteristics の rw- d0000040 は異例な構成で、以下のように設定されています。
IMAGE_SCN_MEM_SHARED 設定が行われているのでメモリ値が共有されています。
このマルウェアが初めて実行されたときには、アドレス ebx-4 が 0 のため、コードはこのアドレスに 31h を書き込んで自身を再実行します。再実行されたときには、ExitProcess の実行前なので、このアドレスで 31h を保持しているメモリが共有されます。
図 3. 再実行されるとプロセスは異なるルートを進む
新しく実行されたプログラムはこのアドレスに 32h を書き込み、自身を再実行します。新しいプログラムは、このアドレスで 32h を保持しているメモリを共有します。
図 4. プロセスが復号ルーチンに達する
アドレスが 32h なので、プログラムは _decrypt 関数を実行し、暗号化されたコードを復号したうえでアドレス esi にジャンプします。この動作を順に示すと、以下のようになります。
図 5. 実行順で示した動作
攻撃者は、自動の脅威解析システムから悪質な動作を隠そうとしていると考えられます。自動の脅威解析システムを搭載している 8 つの Web サイトにサンプルファイルを送信してみたところ、結果は以下のとおりでした。
自動の脅威解析システムは、図 5 の赤い枠線で示したセクションしか監視していないようです。このタイプの特殊コードが自動の解析システムをすり抜けることは、たびたび確認されています。
シマンテックは、このタイプの悪質なコードと手口を引き続き監視していく予定です。疑わしいプログラムは実行しないようにし、オペレーティングシステムとウイルス対策ソフトウェアは最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
A lot of malware modify themselves to either hide from security software when they copy themselves to the compromised computer or to hinder engineers attempting to analyze the malware by executing the decrypted memory area and reading the decrypted mem…
Wie eine Naturgewalt sind die sozialen Medien über uns hereingebrochen. Sie sind allgegenwärtig, und doch ist ihre derzeitige Beliebtheit vielleicht nur der Anfang. Mit welchem Einsatz Millionen Menschen um das jeweils aktuelle Smartphone k&a…
El mundo de las redes sociales ha despegado a un ritmo vertiginoso. Sí, se ha vuelto «viral», y tal vez esto sea solo el comienzo. Ahora que millones de personas se han apresurado a comprar los smartphones más innovadores (no …