Tag Archives: Trojan.Mdropper

Yet Another Zero-Day: Japan Hit with Ichitaro Vulnerability

The security industry, as well as IT administrators across the globe, has been busy recently dealing with multiple zero-day vulnerabilities emerging in quick succession. Before anyone has time to draw a breath after the barrage, yet another zero-day ha…

Operation Hangover ???????????????????

      No Comments on Operation Hangover ???????????????????
11 月 5 日、Microsoft 社は Microsoft Graphics コンポーネントに存在する新しいゼロデイ脆弱性「複数の Microsoft 製品のリモートコード実行の脆弱性」(CVE-2013-3906)に関するセキュリティアドバイザリブログを公開しました。この脆弱性の影響を受けるのは、Windows、Microsoft Office、Microsoft Lync です。アドバイザリによると、この脆弱性は特別に細工された TIFF 画像を特定のコンポーネントが処理する方法に存在し、影響を受けるコンピュータ上で攻撃者がリモートでコードを実行できる可能性があります。
 
Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、このゼロデイ脆弱性を使った攻撃から、製品をお使いのお客様を保護するために、以下の保護対策を提供しています。
 
ウイルス対策
 
侵入防止システム
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
Microsoft 社のブログによると、この脆弱性は、細工された Word 文書を電子メールに添付して送信する標的型攻撃で活発に悪用されています。シマンテックがこのゼロデイ脆弱性の悪用を調査したところ、この攻撃の過程で送信される電子メールは、Symantec.Cloud サービスによって事前に遮断されることを確認しました。この攻撃で確認されている電子メールの件名と添付ファイル名の例を以下に示します。
 
ファイル名: Details_Letter of Credit.doc
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
ファイル名: Missing MT103 Confirmation.docx
電子メールの件名: Problem with Credit September 26th 2013(2013 年 9 月 26 日に発生したクレジットカードのトラブルについて)
 
ファイル名: Illegality_Supply details.docx
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。
 
シマンテックは、Operation Hangover から続く今回の攻撃に使われている脅威の検出定義を、Trojan.MdropperDownloaderInfostealer として提供しています。お客様がこの攻撃を識別しやすいように、Operation Hangover 攻撃の最新コンポーネントは、Trojan.Smackdown.B および Trojan.Hangove.B に対応付けています。
 
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Egobot: ????????????????

      No Comments on Backdoor.Egobot: ????????????????

寄稿: Satnam Narang

Backdoor.Egobot は、韓国の産業界を標的とした攻撃で使われているトロイの木馬です。この攻撃の実行は直接的であり、しかも効果的です。シマンテックのデータによると、この攻撃活動が始まったのは 2009 年のことで、それ以来 Egobot は新しい機能を追加しながら進化し続けています。攻撃者は、標的型攻撃の 4 つの基本原則に則っています。

  1. 標的を特定する
  2. 標的を悪用する(ペイロードを投下するため)
  3. 悪質な活動を実行する(この場合は、情報を盗み出す)
  4. 検出されないように潜伏する

シマンテックはこれと並行した攻撃も発見していますが、こちらはもっと古く 2006 年には活動を開始しています。これについては、次のブログで取り上げます。
 

Egobot の標的

Egobot は、韓国企業の経営幹部を標的にしているほか、韓国と取引のある企業の経営幹部も狙われています。以下のような業種が Egobot の標的となっています。

  • 金融および投資
  • 社会インフラおよび開発
  • 政府機関
  • 軍需産業

韓国、オーストラリア、ロシア、ブラジル、米国と世界各国の組織が狙われています。
 

image1_12.png

図 1. Backdoor.Egobot の標的となった国
 

Egobot による攻撃の目的は、侵入したコンピュータから機密情報を盗み出すことです。
 

悪用

攻撃者は、標的を罠に掛ける前に、ソーシャルエンジニアリングの手法を用いて標的に関する情報を収集します。標的に宛ててスピア型フィッシングの電子メールが送信されますが、多くの場合これは知人から送信されたかのように偽装されています。この電子メールには標的に関係のある内容や気を引くようなメッセージが書かれており、悪質な添付ファイルを開かせようとします。悪質な添付ファイルはショートカット(.lnk)ファイルの場合もあり、その場合のリンク先は日本のジオシティーズ上でホストされているファイルです。
 

image2_7.png

図 2. Egobot のスピア型フィッシングメールと悪質なショートカットの添付ファイル
 

この攻撃で使われている悪質な添付ファイルの種類は多岐にわたります。

添付ファイルを開くと、以下のような 3 段階のダウンロードプロセスが実行されます。

第 1 段階: 不明瞭化された HTML ファイルのダウンロード

各添付ファイルによって、ジオシティーズ上にホストされているサイトからマルウェアがダウンロードされます。ファイルは同じではありませんが、通常は update[YYYYMM].xml という名前の不明瞭化された HTML ファイルです。これがシステムに実行可能ファイルを投下します。

第 2 段階: RAR アーカイブのダウンロード

第 1 段階で投下された実行可能ファイルが、ジオシティーズから別のファイルを取得します。これは hotfix[YYYYMM].xml という名前で、実行可能な RAR ファイルです。第 1 段階と第 2 段階でダウンロードされる 2 つのファイルは、正常なファイルに見せかけるために XML 文書に偽装されています。

第 3 段階: バックドアコンポーネントのダウンロード

実行可能な RAR ファイルがシステムを準備します。ファイルを移動し、プロセスにコンポーネントをインジェクトして、以下のシステム情報を盗み出す機能を持つ一連のファイルが投下されます。

  • Windows のバージョン
  • インストールされているサービスパックのバージョン
  • インストール言語
  • ユーザー名
     

image3_7.png

図 3. 盗み出されたシステム情報は Egobot の文字列で確認できる
 

盗み出された情報は、Egobot のコマンド & コントロール(C&C)サーバーに以下の形式で送信されます。

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 でエンコードされた文字列]
  • /micro/advice.php?arg1=1irst&arg2=[ハッシュ]&arg3=[BASE64 でエンコードされた文字列]
     

image4_3.png

図 4. C&C サーバーに返される通信内容。赤い囲みが arg1 の値
 

C&C サーバーに返されるデータは、マルウェアに組み込まれた循環鍵を使って暗号化されます。具体的には、以下の 2 つの鍵が確認されています。

  • youareveryverygoodthing
  • allmyshitisveryverymuch

最後に、実行可能な RAR ファイルがジオシティーズから最後のコンポーネントをダウンロードします。ここでダウンロードされるファイルには、C&C に送信される GET コマンドの arg1 の値を使って名前が付けられます。上の例で言うと、Egobot は 1irst.tmp というファイルをダウンロードします。これがメインのペイロードです。
 

情報の窃盗

メインのペイロードには、標的となる企業の経営幹部にとって致命的となる恐れのある機能があります。たとえば、次のような機能です。

  • ビデオを録画する
  • 音声を録音する
  • スクリーンショットを取得する
  • リモートサーバーにファイルをアップロードする
  • 最新使った文書のリストを取得する
  • ファイルにおける文字列やパターンを検索する
  • 復元ポイントを削除して設定する

盗み出された情報は、マレーシア、香港、カナダでホストされているリモートサーバーにアップロードされます。攻撃者は、64 ビットプラットフォームでもシームレスに動作するように、64 ビット版を追加してコードを更新しています。
 

検出をすり抜けて潜伏

Egobot は、商用パッカーの exe32pack と UPX を使って各種コンポーネントとともに圧縮された RAR バンドルアーカイブとしてシステムにダウンロードされます。マルウェアの存在を隠蔽するために、以下のコンポーネントが使われています。

  1. Detours コンポーネント: Backdoor.Egobot は、以前のバージョンの Microsoft Detours ソフトウェアパッケージの機能を使ってコンパイルされているため、detoured.dll ファイルが含まれています。このファイルは、悪質な .dll ファイルを正規の Win32 バイナリにアタッチするために使われます。Egobot はこのファイルを使って、正規プロセスのメモリ内で正常なプロセスに偽装して自身を実行できます。
  2. コーディネータコンポーネント: ファイルを適切なフォルダに移動し、正規のプロセスにインジェクトすることによってファイルを準備します。Backdoor.Egobot は、explorer.exe、subst.exe、alg.exe の各プロセスにインジェクトされるのが普通です。
  3. タイマー機能: バックドアコンポーネントの一部のバージョンには、一定日数の経過後にトロイの木馬が自身を削除できるように、タイマー機能が組み込まれています。この機能によって、Backdoor.Egobot の痕跡はすべて削除されます。
     

image5_3.png

図 5. Backdoor.Egobot のコンポーネント
 

シマンテック製品をお使いのお客様は、Symantec Email Security.cloud によって保護されています。この攻撃の悪質なサンプルは、Trojan HorseTrojan.DropperTrojan.MdropperBackdoor.Egobot として検出されます。

残念ながら、悪い話はこれだけではありません。シマンテックによる Egobot の研究から、Egobot に関連して並行した攻撃も確認されており、これは Egobot より 3 年近く早い 2006 年から活動を続けているのです。(Egobot 攻撃との関連も含めて)Nemim 攻撃について詳しくは、別のブログ「Infostealer.Nemim: 拡散力の強い Infostealer の進化の経緯」を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Egobot: How to Effectively Execute a Targeted Campaign

Contributor: Satnam Narang

Backdoor.Egobot is a Trojan used in campaigns targeting Korean interests. The execution of the campaigns is straightforward and effective. Symantec data indicates the campaigns have been in operation since 2009. Egobot has continuously evolved by adding newer functionalities. The attackers use the four golden rules of a targeted campaign:

  1. Identify targets
  2. Exploit targets (in order to drop the payload)
  3. Perform malicious activity (in this case, stealing information)
  4. Remain undetected

We have also uncovered a parallel campaign that has been in operation as early as 2006, which we will cover in another blog.
 

Egobot targets

Egobot is targeted at executives working for Korean companies and also at executives doing business with Korea. Industries targeted with Egobot include:

  • Finance and investment
  • Infrastructure and development
  • Government agencies
  • Defense contractors

Targets are located around the globe and include Korea, Australia, Russia, Brazil, and the United States.
 

image1_12.png

Figure 1. Countries targeted with Backdoor.Egobot
 

The aim of the Egobot campaign is to steal confidential information from compromised computers.
 

Exploitation

The attackers gather information about their targets using social engineering techniques prior to luring them into the trap. The targets are sent a spear phishing email, often pretending to be sent from a person they already know. The spear phishing email contains a relevant or enticing message to the target, prompting them to open the malicious attachment. The malicious attachment may be a shortcut .lnk file that points to a file hosted on GeoCities Japan.
 

image2_7.png

Figure 2. Egobot spear phishing email with malicious shortcut attachment
 

Various malicious attachments have been used in this campaign:

When attachments are opened it triggers the following three-stage download process:

Stage 1: Download obfuscated HTML file

Each of the attachments downloads malware from sites hosted on GeoCities Japan. The files vary, but are usually named update[YYYYMM].xml which is  an obfuscated HTML file that drops an executable on the system.

Stage 2: Download RAR archive

The dropped executable from Stage 1 then retrieves another file from GeoCities Japan. This file is hotfix[YYYYMM].xml, which is an executable RAR file. Both downloaded files in the first two stages are disguised as XML documents in an attempt to pass as a clean file.

Stage 3: Download back door component

The executable RAR file is responsible for preparing the system. It drops a set of files which are responsible for moving files around, injecting a component into processes, and stealing the following system information:

  • Windows version
  • Installed service pack version
  • Install language
  • User name
     

image3_7.png

Figure 3. Stolen system information found in Egobot strings
 

Stolen information is sent to Egobot’s command-and-control (C&C) server in the following format:

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 ENCODED STRING]
  • /micro/advice.php?arg1=1irst&arg2=[HASH]&arg3=[BASE64 ENCODED STRING]
     

image4_3.png

Figure 4. Communication back to C&C server, arg1 value highlighted
 

Data that is sent back to the C&C is encrypted using a rotating key embedded within the malware. We observed the following two specific keys:

  • youareveryverygoodthing
  • allmyshitisveryverymuch

Finally, the executable RAR file downloads one last component from GeoCities Japan. This downloaded file is named using the value of arg1 in the GET command sent to the C&C. In this case, Egobot attempts to download a file called 1irst.tmp, which is the main payload.
 

Stealing information

The main payload has specific functions that are potentially disastrous for targeted business executives. These functions include:

  • Recording video
  • Recording audio
  • Taking screenshots
  • Uploading files to a remote server
  • Obtaining a recent document list
  • Searching for a string or pattern in a file
  • Deleting and setting restore points

The stolen information is uploaded to remote servers hosted in Malaysia, Hong Kong, and Canada. The attackers have also updated their code to include 64-bit versions to work seamlessly across 64-bit platforms.
 

Staying under the radar

Egobot is downloaded onto a system as a bundled RAR archive with various components packed using commercial packers exe32pack and UPX. These following components are used to mask the presence of the malware:

  1. Detoured component: Backdoor.Egobot is compiled using an older version of Microsoft’s Detours software package functionality, which includes the detoured.dll file. This file is used to attach malicious .dll files to legitimate Win32 binaries. Egobot can use this file to run itself in the memory of a legitimate process, masquerading as a clean process.
  2. Coordinator component: Prepares files by moving them into the appropriate folders and injecting them into legitimate processes. Backdoor.Egobot is typically injected into the explorer.exe, subst.exe, and alg.exe processes.
  3. Timer functionality: Some versions of the back door component include a timer functionality so the Trojan can delete itself after a certain date. This feature removes any traces of Backdoor.Egobot.
     

image5_3.png

Figure 5. Backdoor.Egobot components
 

Symantec customers are protected by Symantec Email Security.cloud. Malicious samples from this campaign are detected as Trojan Horse, Trojan.Dropper, Trojan.Mdropper, and Backdoor.Egobot.

And, unfortunately, there is more to this story. Through our research into Egobot, Symantec has identified a parallel operation related to Egobot that has been active since 2006, about three years before Egobot. Further details on the Nemim campaign—including its relation to the Egobot campaign—are explained in a separate blog, Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve.

Operation Hangover の攻撃に関する Q&A

5 月 20 日、Norman 社と Shadowserver Foundation は「Operation Hangover」と題する詳細なレポートを共同で公開しました。このレポートは、インドから発信されていると思われる標的型のサイバースパイ攻撃に関する先日の ESET 社のブログに関連しています。シマンテックも先週この事案について短いブログを公開しましたが、以下の Q&A では、このグループについて特にシマンテックに関連のある追加情報をお届けします。

Q: シマンテック製品やノートン製品は、このグループによって利用されている脅威に対する保護を提供していますか?
はい。シマンテックは、ウイルス対策と IPS シグネチャ、さらには評価ベースや振る舞いベースの技術などの STAR マルウェア対策技術によって、Operation Hangover が関与する攻撃から保護しています。また、Symantec.cloud も、このグループによる標的型電子メールを検出します。

Q: シマンテックは Operation Hangover の活動に気づいていましたか?
はい。前回のブログでも指摘したように、複数のセキュリティベンダーがその活動を追跡していますが、シマンテックは、長年にわたってこのグループに関する情報を捕捉しており、その活動を追跡しています。また、Operation Hangover によって利用されているさまざまな脅威に対して常に最善の保護対策を提供しています。

Q: Operation Hangover という名前の由来は何ですか?
Norman 社と Shadowserver Foundation が Operation Hangover という名前を使ったのは、このグループによって特に頻繁に利用されているマルウェアに、この名前を含むプロジェクトデバッグパスが使われていたからです。

Q: この攻撃の被害者はどのように感染するのですか?
最初の感染は、標的に送りつけられたスピア型フィッシングメールから始まります。この電子メールには、その標的に関連するテーマに沿ったファイルが添付されています。図 1 に、Operation Hangover による攻撃の各段階を示します。

NewHangove_0.png

図 1. Operation Hangover による攻撃

この電子メールには悪質なファイルが添付されており、開くと標的のシステムに感染するか、標的のシステムの脆弱性を悪用しようとします。成功すると、第 1 段階のマルウェアが侵入先のシステムにロードされます。このマルウェアは大部分が、Smackdown として知られる Visual Basic ダウンローダからのものです。

侵入先のシステムの調査を済ませると、攻撃者は第 2 段階のマルウェアをダウンロードするかどうかを決定できるようになります。これは、大部分が C++ で記述された情報窃盗マルウェアで、HangOve というマルウェアグループに属します。HangOve グループでダウンロードされるモジュールはいくつかあり、以下の処理を実行します。

  • キーロガー
  • 逆接続
  • スクリーングラバー
  • 自己複製
  • システム情報収集

Q: シマンテックは、このグループがどのような組織を標的としているか把握していますか?
はい。シマンテックの遠隔測定によれば、この攻撃は主としてパキスタンを標的にしていることが確認されています。一連の攻撃では防衛関連の文書が餌として使われていることから、特に狙われているのは政府のセキュリティ機関と考えられますが、同じグループがパキスタン以外では産業スパイ活動に関与していることも確認されています。

Q: この脅威はどのように拡散するのですか?
図 2 と 3 に示すように、シマンテックの遠隔測定によると、このグループの被害が最も大きいのはパキスタンです。これは、同グループに関する他の調査結果とも一致しています。すでに述べたように、このグループの活動は 1 つの標的または地域に限定されてはいません。

HeatMap.png

図 2. シマンテックの遠隔測定で検出された Operation Hangover 関連の分布図

Pie.png

図 3. シマンテックの遠隔測定で Operation Hangover の攻撃が検出された上位 10 カ国

Q: このグループによって利用されている脅威に対するシマンテックの検出定義にはどのようなものがありますか?
シマンテックは、このグループによって利用される脅威に対して以下の名前で検出定義を用意しています。

シマンテック製品をお使いのお客様がこのグループを特定できるように、この攻撃活動の主なコンポーネントは、以下のように再定義されています。

以下の IPS(侵入防止シグネチャ)も用意されています。

  • System Infected: Trojan.Hangove Activity

Q: シマンテック製品やノートン製品は、このグループによって利用されている悪用から保護されていますか?
はい。このグループが悪用している既知の脆弱性と、それに対するシマンテックの保護定義を以下に示します。現時点で、このグループがゼロデイ脆弱性を攻撃に利用している、またはこれまでに利用した形跡はありません。

Table1.png

Q: 今回のレポートは、Operation Hangover を実行しているグループの活動にどう影響するでしょうか?
これまでの例と同様、ここまで情報が明らかになりながらも、Operation Hangover のグループは今後も活動を継続するものとシマンテックは考えています。シマンテックでは、Operation Hangover の活動について監視を続け、各種の攻撃に対する万全の保護を引き続き提供します。いつものことですが、このようなグループの攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Operation Hangover: Q&A on Attacks

Today Norman and the Shadowserver Foundation released a joint detailed report dubbed Operation Hangover, which relates to a recently released ESET blog about a targeted cyber/espionage attack that appears to be originating from India. Symantec released a brief blog around this incident last week and this Q&A will provide additional information relevant to Symantec around this group.

Q: Do Symantec and Norton products protect against threats used by this group?

Yes. Symantec confirms protection for attacks associated with Operation Hangover through our antivirus and IPS signatures, as well as STAR malware protection technologies such as our reputation and behavior-based technologies. Symantec.cloud also detects the targeted emails used by this group.

Q: Has Symantec been aware of the activities of Operation Hangover?

Yes. As called out in our initial blog, multiple security vendors have been tracking this group. Symantec has been privy to information surrounding this group for a period of time and has been actively tracking their work while ensuring that the best possible protection was in place for the various threats used by them.

Q: Where does the name Operation Hangover come from?

Norman and Shadowserver derived the name Operation Hangover, as one of the most prevalent malwares used by this group contains a project debug path containing this name.

Q: How does a victim get infected?

The initial compromise occurs through a spear phishing email sent to the target. The email contains an attachment using a theme relevant to the target. Figure 1 shows the different stages in the Operation Hangover attack.

3200837-Infection-Diagram.png

Figure 1. Operation Hangover attack

The email contains a malicious attachment that, if opened, infects the victims system or attempts to use an exploit against the target victim’s system. If successful, the first stage malware is loaded onto the victim’s system. This malware, in the most part, is from a family of Visual Basic downloaders known as Smackdown.

Following reconnaissance of the infected system by the attacker, they can then decide whether to download the second stage of malware that consists of information stealers mostly written in C++ from a malware family known as HangOve. There are several possible modules from the HangOve family downloaded, which can perform the following taks:

  • Keylogging
  • Backconnect
  • Screen grabber
  • Self-replication
  • System gathering

Q: Does Symantec know who this group is targeting?

Yes. Symantec telemetry has identified Pakistan as being the main target of this attack. With defense documents being used as a lure in these attacks, it would suggest the targets of interest are government security agencies. Symantec has however also observed this group taking part in industrial espionage in countries outside of Pakistan.

Q: How widespread is the threat?

As seen in figure 2 and 3, Symantec telemetry is reporting Pakistan as being the main country impacted by this group. These findings correspond to other researcher’s findings in relation to this group. As previously stated, it is also evident that the operations of this group does not solely focus on one target or region.

HeatMap.png

Figure 2. Heat map of Symantec telemetry for Operation Hangover related detections

Pie.png

Figure 3. Top 10 countries showing Symantec telemetry for Operation Hangover detections

Q: What name does Symantec give to threats used by this group?

Symantec has detection in place for the threats used by this group under the following detection names:

For Symantec customers to identify this group, we are remapping the main components of this campaign to the following:

  • Trojan.Smackdown
  • Trojan.Smackup
  • Trojan.Hangove

The following Intrusion Prevention Signature (IPS) is also in place.

  • System Infected: Trojan.Hangove Activity

Q: Do Symantec/Norton products protect against known exploits used in this campaign?

Yes. The known vulnerabilities being used by this group are listed below along with the Symantec protections. At this time there is no evidence to suggest that the group are using, or have at any time used, a zero-day vulnerability in their attacks.

Table1.png

Q: How will this report affect the group orchestrating Operation Hangover?

Similar to other cases, despite the exposure of the Operation Hangover group, Symantec believes they will continue their activities. Symantec will continue to monitor their activities and provide protection against these attacks. As always, we advise customers to use the latest Symantec technologies and incorporate layered defenses to best protect against attacks by groups of this kind.

Symantec Protection for Trojan.FakeSafe

Today, Trend Micro published a report about a targeted attack campaign they’re calling SafeNet (the campaign’s name is unrelated to the security company of the same name). The group behind this campaign is utilizing spear phishing emails wi…