Tag Archives: Trojan.Jokra

??????????????? Wiper

      No Comments on ??????????????? Wiper

「DarkSeoul」と名付けられたグループによって韓国の Web サイトに対して実行された先日の分散サービス拒否(DDoS)攻撃については、昨日詳しくご報告したばかりです。韓国に対する以前の攻撃も同一のグループによる犯行と特定されており、なかでも 2013 年 3 月の Jokra 攻撃は、韓国の銀行やテレビ局にある膨大な数のコンピュータでハードディスク上のデータが消去されるという破壊的な被害をもたらしました。これらの攻撃についてその後も調査を進めた結果、類似のデータ消去攻撃を仕掛けようとする新しい脅威が確認されました。シマンテックはこれを Trojan.Korhigh として検出します。

韓国に対するこれまでの攻撃でシマンテックが確認した Wiper と同様、Trojan.Korhigh は侵入先のコンピュータで体系的にファイルを削除し、マスターブートレコード(MBR)を上書きしてそのコンピュータを使用不能にするという機能を持っています。Trojan.Korhigh は、侵入先のコンピュータでユーザーのパスワードを「highanon2013」に変更する、あるいは以下のファイルタイプに関連して特定のデータ消去命令を実行する、といった機能を追加するためのいくつかのコマンドラインスイッチを受信します。

  • asp
  • aspx
  • avi
  • bmp
  • dll
  • do
  • exe
  • flv
  • gif
  • htm
  • html
  • jpeg
  • jpg
  • jsp
  • mp4
  • mpeg
  • mpg
  • nms
  • ocx
  • php
  • php3
  • png
  • sys
  • wmv

Trojan.Korhigh は、侵入の証拠としてコンピュータの壁紙を変更する場合もあります。現時点で、攻撃者の正体は特定できていません。
 

111.png

図. Trojan.Korhigh の壁紙
 

また、侵入先のコンピュータについてシステム情報(オペレーティングシステムのバージョン、コンピュータ名、現在の日付など)を収集し、以下の IP アドレスに送信しようとする場合もあります。

  • 112.217.190.218:8080
  • 210.127.39.29:80

シマンテックはこの脅威の解析を続けており、韓国に対する攻撃も引き続き監視しています。保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Disk Wiper Found in Korean Attacks

Yesterday, Symantec published details about a new distributed denial-of-service (DDoS) attack carried out by a gang dubbed “DarkSeoul” against South Korean websites. We identified their previous attacks against South Korea, including the devastating Jokra attacks in March 2013 that wiped numerous computer hard drives at South Korean banks and television broadcasters. As a result of our continued investigations into attacks against South Korea, we have come across a new threat—detected as Trojan.Korhigh—that attempts to perform a similar wiping action.

Similar to previous wipers encountered by Symantec in attacks against South Korea, Trojan.Korhigh has the functionality to systematically delete files and overwrite the Master Boot Record (MBR) on the compromised computer, rendering it unusable. The Trojan accepts several command line switches for added functionality, such as changing user passwords on compromised computers to “highanon2013” or executing specific wipe instructions related to the following file types:

  • asp
  • aspx
  • avi
  • bmp
  • dll
  • do
  • exe
  • flv
  • gif
  • htm
  • html
  • jpeg
  • jpg
  • jsp
  • mp4
  • mpeg
  • mpg
  • nms
  • ocx
  • php
  • php3
  • png
  • sys
  • wmv

The Trojan may also change the computer wallpaper as an indication of compromise. At this time, we cannot confirm the identity of the attackers.
 

111.png

Figure. Trojan.Korhigh wallpaper
 

The threat may also attempt to gather system information about the compromised machine (operating system version, computer name, current date) which it sends to the following IP addresses:

  • 112.217.190.218:8080
  • 210.127.39.29:80

Symantec is continuing its analysis of this threat and is monitoring on-going attacks against South Korea. To ensure the best protection, Symantec recommends that you use the latest Symantec technologies and up-to-date antivirus definitions.

Four Years of DarkSeoul Cyberattacks Against South Korea Continue on Anniversary of Korean War

Yesterday, June 25, the Korean peninsula observed a series of cyberattacks coinciding with the 63rd anniversary of the start of the Korean War. While multiple attacks were conducted by multiple perpetrators, one of the distributed denial-of-service (DD…

2011 ?? 2013 ????????????????????

      No Comments on 2011 ?? 2013 ????????????????????

概要
韓国に対する大規模なサイバー攻撃は、過去 4 年間に何回か確認されています。シマンテックが特定したバックドア(Backdoor.Prioxer)は 2011 年の攻撃で浮かび上がったものですが、このバックドアを修正した亜種が 2013 年の攻撃でも検出されています。このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人が 2011 年と 2013 年のどちらの攻撃にも関与している形跡があり、2 つの攻撃には何らかの関係性があるものと示唆されます。

背景
大規模な攻撃が初めて記録されたのは、2009 年 7 月のことでした。この攻撃は、米国の独立記念日に当たる 7 月 4 日に始まり、韓国と米国の政府系や金融系のさまざまな Web サイトに対して分散サービス拒否(DDoS)攻撃が仕掛けられました。2 度目の攻撃は 7 月 7 日、3 度目は 7 月 9 日に発生しています。一連の攻撃に使われたマルウェアは Trojan.Dozer で、電子メールを介して拡散しました。Trojan.Dozer のコードには時限爆弾が仕込まれており、7 月 10 日に発動するように設定されていました。この時限爆弾は、ハードディスク上の各種のファイルを上書きするうえ、ハードディスクの先頭の 1 MB も上書きして MBR とパーティションテーブルを破壊する機能があります。これにより、ハードディスクは、「Memory of the Independence Day(独立記念日を祝して)」という文字列で上書きされてしまいます。

2 度目の大規模攻撃は、2011 年 3 月 4 日に発生しました。このときも DDoS が利用され、同じく米国と韓国の政府系機関が狙われました。ここで使われたマルウェアは Trojan.Koredos ですが、やはり指定されたタイプのファイルを上書きし、MBR を破壊します。この攻撃の調査中に発見されたのが、Backdoor.Prioxer というトロイの木馬です。Backdoor.Prioxer は非常に高度で、ファイルへの感染の仕組みも慎重です。このときの詳しい手口については、以前のブログで紹介しています。

そして、3 度目に当たるのが今回、2013 年 3 月 20 日の攻撃です。この攻撃はハードディスクを上書きするだけで、DDoS 攻撃はないものと見られています。ここで使われている Trojan.Jokra は、MBR とハードディスクの内容を、ファイル形式に関係なく上書きしたうえで、マップされたネットワークドライブを探し、見つかればそれも上書きしようとします。インストールの経路は、電子メールやパッチ管理など複数あるようです。パッチ管理とは自動更新システムで、これが感染してマルウェアを拡散しました。

2011 年の Trojan.Koredos の調査と同様に、Trojan.Jokra に感染したコンピュータのファイルを調べているときに Backdoor.Prioxer の新しい亜種が見つかっています(Backdoor.Prioxer.B と命名されました)。この新しい亜種は、同じ C&C のベースプロトコルを共有していますが、以前の亜種とは異なり IRC 通信のプロキシは行いません。被害を受けたコンピュータへのインストール方法を判定しようとして、このファイルをさらに調べたところ、Trojan.Jokra とのつながりが確認されました。

関連性の発見
Trojan.Jokra のサンプルは Jokra パッカーによって不明瞭化されています。Jokra パッカーはダウンローダの不明瞭化にも利用されていました(2012 年 8 月に、50e03200c3a0becbf33b3788dac8cd46 という MD5 で発見)。このダウンローダは、次の場所から Backdoor.Prioxer をダウンロードします。

http://www.skymom.co.kr/[削除済み]/update_body.jpg

Trojan.Jokra と Backdoor.Prioxer.B のつながりも、Jokra パッカーが基になっています。2013 年の事案で見つかった別のマルウェアサンプル(Trojan.Gen.2)は、Jokra パッカーでパッケージ化され、ビルドのパス文字列を含んでいます。この文字列は、サンプルがディスク上のどこでコンパイルされたかを示しています。

パスは以下のとおりです。

Z:\Work\Make Troy\3RAT Project\3RATClient_Load\Release\3RATClient_Load.pdb

同じ調査で見つかった Backdoor.Prioxer.B サンプルにも、以下のビルド文字列が含まれています。

Z:\Work\Make Troy\Concealment Troy\Exe_Concealment_Troy(Winlogon_Shell)\Dll\Concealment_Troy(Dll)\Release\Concealment_Troy.pdb

2 つのマルウェアが、Z:\work\Make Troy という同じビルドソースディレクトリからコンパイルされたことが、これで明らかになりました。

仕事か趣味か
Jokra パッカーが 1 つのグループに限定されているとすれば、Backdoor.Prioxer.B と Trojan.Jokra のつながりは間違いありません。このパッカーは、検出数がきわめて少ないことから、公然と配布されているわけではなく、韓国に限定されているとシマンテックは考えています。今までのところ Jokra、ダウンローダ、そして「Z:」で始まるビルド文字列を含むバックドア型のトロイの木馬しか対象になっていません。こうした範囲の狭さから、Jokra パッカーが 1 つのグループのみによって使われていることが示唆されます。

Backdoor.Prioxer.B と 2011 年の攻撃とのつながりは、これまで明確にはなっていません。各バージョンの Backdoor.Prioxer が 2 つの攻撃を通じて存在していたとは考えにくく、トロイの木馬は単に調査の過程で検出されただけで、実際には攻撃に関係していなかったという説明も可能でしょう。とは言え、Jokra のつながりを考えると、サンプルはやはり関係していると考えてよさそうです。

最後に、Backdoor.Prioxer サンプルで使われているビルドパス自体が手がかりになります。パスは「Z:\work」ですが、個人のハックティビストがトロイの木馬を保存する場所として「work(作業用)」というラベルのフォルダを使うことは、まずありえません。ハックティビストであれば、トロイの木馬を開発することは仕事ではなく、趣味のようなものだからです。コードを作業用フォルダに保存するのは、コーディングを職業にしている人と考えれば、請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性があるということになります。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Are the 2011 and 2013 South Korean Cyber Attacks Related?

Overview
In the past four years there have been several major cyber attacks against South Korea. We have identified a particular back door (Backdoor.Prioxer) that surfaced during the 2011 attacks. A modified version of this back door was also discover…

????????????? Wiper ???

      No Comments on ????????????? Wiper ???

Trojan.Jokra は、先日韓国の放送局や銀行で大規模なシステム停止を引き起こした脅威ですが、この Trojan.Jokra を解析したところ、別の Wiper が確認されました。

セキュリティ研究者が過去数日間、このトロイの木馬で確認された Wiper コンポーネントについて、特に各バージョンと実行のタイミングについて検証を続けてきました。その結果、4 つの亜種で以下の文字列が見つかっています。

  • PRINCIPES
  • HASTATI
  • PR!NCPES
  • HASTATI と PR!NCPES の組み合わせ
  • PRINCPES

Wiper のうち 3 つは PIE(位置独立実行可能ファイル)として、残りの 1 つは DLL(ダイナミックリンクライブラリ)インジェクションとしてパッケージ化されています。実行のタイミングについても違いが見られます。
 

table1.jpg

表. Trojan.Jokra の Wiper
 

2 つの亜種は、実行後ただちにコンピュータの内容を消去するように命令されており、他の 2 つは、2013 年 3 月 20 日午後 2 時と日時を指定して内容を消去するように命令されていました。
 

image1.jpg

図. Trojan.Jokra の Wiper のカウントダウン
 

Trojan.Jokra などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Different Wipers Identified in South Korean Cyber Attack

Our analysis of Trojan.Jokra, the threat which recently caused major outages within the Korean Broadcasting and Banking sectors, has produced another wiper.
Security researchers the past few days have been discussing the wiper component found in this T…

????????????????? Linux Wiper ????

      No Comments on ????????????????? Linux Wiper ????

韓国の銀行と放送局が受けたサイバー攻撃については、第一報を本日すでにお伝えしました。その後、Linux コンピュータを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されました。
 


図 1. リモートの Linux コンピュータを標的にする bash wiper スクリプト
 

Trojan.Jokra のドロッパーには、リモートの Linux コンピュータを消去するモジュールが含まれています。複数のオペレーティングシステムで動作するコンポーネントが確認されることは珍しく、今回のように Linux コンピュータを消去するコンポーネントが Windows マルウェアの内部に仕掛けられているのは異例のことです。このモジュールは Windows 7 と Windows XP のコンピュータで mRemote というアプリケーションを探します。mRemote は、複数のプロトコルに対応したオープンソースのリモート接続マネージャです。mRemote アプリケーションは、接続を保存する設定ファイルを以下のパスで管理しています。

%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
 

図 2. mRemote のパス情報の解析
 

Trojan.Jokra のドロッパーはこの XML ファイルを解析し、ルート権限で SSH プロトコルを使う接続を探します。そして、その接続で使われているパラメータを抽出します。
 

図 3. mRemote 設定ファイルの接続情報の解析
 

続いてドロッパーは新しいスレッドを生成し、bash スクリプトを %Temp%\~pr1.tmp に投下します。そのうえで、mRemote の設定ファイルから解析した接続情報を利用して、リモートの Linux コンピュータ上で /tmp/cups として、この一時ファイルをアップロードし、実行します。
 

図 4. リモートコマンドの実行
 

この bash スクリプトは、任意の Linux ディストリビューションで動作するように設計された wiper の一種です。SunOS、AIX、HP-UX の各ディストリビューションで特定のコマンドを使って実行されます。消去されるのは、/kernel、/usr、/etc、/home の各ディレクトリです。

シマンテックはこの攻撃の調査を続けており、詳しいことが判明し次第、更新情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????

      No Comments on ?????????????????????

韓国でいくつかの銀行と放送局がサイバー攻撃を受けたことが、メディアで報じられています。

同国の ISP/電気通信プロバイダのサイトが改ざんされたほか、多くの組織のサーバーが停止しました。

改ざんされたサイトには、手の込んだアニメーション付きの Web ページが表示されます。効果音が流れて 3 つのどくろが現れ、「Whois」集団を名乗る攻撃者の手によると称するメッセージも表示されます。

この攻撃はまず、多数の Web サイトで障害が出始めるという形で明るみに出ました。銀行の利用者がオンライン口座にアクセスできなくなり、他のサイトからも停止しているという報告が相次ぎました。現時点で具体的な詳細はわかっていませんが、攻撃を受けたサイトの多くはハードディスクを消去され、該当するコンピュータは機能不全に陥りました。

シマンテックは、疑わしいマルウェアを Trojan Horse/Trojan.JokraWS.Reputation.1 として検出します。

現在、詳しい解析を実行しているところですが、今の段階で、このマルウェアは以下の処理を実行することが確認されています。

  • ファイルマッピングオブジェクトを作成し、JO840112-CRAS8468-11150923-PCI8273V という名前で自身を参照する。
  • 韓国のウイルス対策/セキュリティ製品ベンダーに関連する次の 2 つのプロセスを停止する。
    • pasvc.exe
    • clisvc.exe
  • ドライブをすべて列挙し、MBR とそこに保存されているデータを “PRINCPES” または “HASTATI.”(末尾にピリオドが付きます)という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます。
  • 攻撃を受けたコンピュータに接続されている、またはマップされているドライブがあれば、そのドライブでも同様の消去処理を実行しようとする場合がある。
  • “shutdown -r -t 0” を実行して、コンピュータを強制的に再起動する。MBR とドライブの内容がなくなっているため、システムは使用不可になります。

ディスク消去処理の結果は、現地で報告されたどの主要なシステム停止も変わりません。ディスク消去は目新しい手口ではなく、2012 年 8 月のインシデントでも、中東の多くの組織が W32.Disttrack(Shamoon)という脅威に攻撃され、ハードディスク消去によって同種の被害を受けています。

現在、この攻撃の発信源や、攻撃者が感染先に侵入した方法についての手がかりはありません。攻撃者の真の動機も不明ですが、最近は朝鮮半島で政治的緊張が高まりつつあることから、今回の攻撃は不法な攻撃の一環であるか、民族主義的なハックティビストが悪用した結果と考えられます。

シマンテックは、手に入りしだい、さらに詳しい情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Remote Linux Wiper Found in South Korean Cyber Attack

Earlier today we published our initial findings about the attacks on South Korean banks and local broadcasting organizations. We have now discovered an additional component used in this attack that is capable of wiping Linux machines.
 

Figure …