Tag Archives: Trojan.Zbot

International Takedown Wounds Gameover Zeus Cybercrime Network

Large swathes of infrastructure owned by the attackers behind the financial fraud botnet and Cryptolocker ransomware network seized by authorities.
Read more…

?? ?? ???? ??? ?? Gameover Zeus ??? ?? ??

Large swathes of infrastructure owned by the attackers behind the financial fraud botnet and Cryptolocker ransomware network seized by authorities.
Read more…

Android ? RAT ???????? Dendroid

      No Comments on Android ? RAT ???????? Dendroid

ダーウィンの進化論を支える原理のひとつは、変化への適応能力が個体の生存率を高めるという説です。マルウェアの作成者も似たようなもので、技術的な環境や市場が変化するなかで生き残るためには、それらに適応していかなければなりません。以前のブログで、Android 版のリモートアクセスツール(RAT)、AndroRAT(Android.Dandro)と、初のマルウェア APK バインダと考えられる機能についてお伝えしました。それ以来、脅威を取り巻く世界では、こうした脅威の模倣と進化が繰り返されています。なかでも、アンダーグラウンドフォーラムで波紋を広げているのが、Dendroid(Android.Dendoroid)と呼ばれる脅威です。Dendroid という名前には、樹木のような形、あるいは枝分かれする構造という意味があります。

Dendroid_Fig1_0.png

図 1. Dendroid の広告バナー

Dendroid は、ユーザーインターフェースやファームウェアインターフェースがわかりやすいとして出回っている HTTP RAT で、洗練された PHP パネルを備え、アプリケーション APK バインダがパッケージされています。Dendroid で使われている APK バインダには、元の AndroRAT APK バインダの作成者との関連性が見られます。

Dendroid_Fig2_0.png

図 2. Dendroid のコントロールパネル

アンダーグラウンドフォーラムの投稿によると、Dendroid の公式な販売者は「Soccer(サッカー)」と呼ばれています。Soccer は、前例のない豊富な機能と、24 時間 365 日のサポート体制を Dendroid の売りとしており、BTC、LTC、BTC-e、またはその他の決済方法による 300 ドル 1 回払いで販売しています。多様な機能の一部を以下に挙げます。

  • 通話記録を削除する
  • 電話番号に電話を掛ける
  • Web ページを開く
  • 通話などの音声を録音する
  • テキストメッセージを傍受する
  • 写真や動画を撮影してアップロードする
  • アプリケーションを開く
  • 一定期間、HTTP フラッド(DoS)攻撃を開始する
  • コマンド & コントロール(C&C)サーバーを変更する

Dendroid_Fig3_0.png

図 3. Dendroid APK バインダ

上述したように、アンダーグラウンドフォーラムの報告によると、このパッケージに含まれる Dendroid APK バインダは、この APK バインダを作成する際に、元の AndroRAT APK バインダの作成者の力を借りていました。

Android プラットフォームで、リモートアクセスツールの進化はいわば必然でした。Dendroid が作成され、この種の脅威がアンダーグラウンドフォーラムで歓迎されていることから、このようなツールを強力に求めるサイバー犯罪者の市場の存在が裏付けられています。PC プラットフォームでも、Zeus(Trojan.Zbot)や SpyEye(Trojan.Spyeye)といったクライムウェアツールキットは、似たような経緯で始まりました。そして、その使い安さから人気が急上昇し、これを使って実行された犯罪の知名度により悪名を馳せるようになったのです。Dendroid はまだ始まったばかりですが、シマンテックはこれを厳重に監視していく予定です。

常に安全を保つために、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、この脅威を Android.Dendoroid として検出します。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Android RATs Branch out with Dendroid

Darwinism is partly based on the ability for change that increases an individual’s ability to compete and survive. Malware authors are not much different and need to adapt to survive in changing technological landscapes and marketplaces. In a previous blog, we highlighted a free Android remote administration tool (RAT) known as AndroRAT (Android.Dandro) and what was believed to be the first ever malware APK binder. Since then, we have seen imitations and evolutions of such threats in the threat landscape. One such threat that is making waves in underground forums is called Dendroid (Android.Dendoroid), which is also a word meaning something is tree-like or has a branching structure.

Dendroid_Fig1_0.png

Figure 1. Dendroid advertisement banner

Dendroid has some links to the author of the original AndroRAT APK binder and is a HTTP RAT that is marketed as being transparent to the user and firmware interface, having a sophisticated PHP panel, and an application binder package.

Dendroid_Fig2_0.png

Figure 2. Dendroid control panel

According to postings on underground forums, the official seller of Dendroid is known as “Soccer.” The seller markets Dendroid as offering many features that have never been seen before and comes with 24/7 support, all for a once off payment of $300 to be paid through PayPal, BTC, LTC or BTC-e.  Some of the many features on offer include the following:

  • Delete call logs
  • Call a phone number
  • Open Web pages
  • Record calls and audio
  • Intercept text messages
  • Take and upload photos and videos
  • Open an application
  • Initiate a HTTP flood (DoS) for a period of time
  • Change the command-and-control (C&C) server

Dendroid_Fig3_0.png

Figure 3. Dendroid APK binder

As previously mentioned, according to reports on underground forums, the author of the Dendroid APK binder included with this package had assistance writing this APK binder from the author of the original AndroRAT APK binder.  

The evolution of remote access tools on the Android platform was inevitable. The creation of Dendroid and the positive feedback on underground forums for this type of threat shows that there is a strong cybercriminal marketplace for such tools. On the PC platform, other crimeware toolkits like Zeus (Trojan.Zbot) and SpyEye (Trojan.Spyeye) started off in a similar manner and grew quickly in popularity due to their ease of use and notoriety stemming from the high profile crimes perpetrated as a result of their usage. While this may be early days for Dendroid, Symantec will be keeping a close eye on this threat.

To stay protected, Symantec recommends installing a security app, such as Norton Mobile Security, which detects this threat as Android.Dendoroid. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Tiylon: ???????

      No Comments on Tiylon: ???????

史上最悪の銀行強盗は、2005 年にブラジルで起きたものです。この事件で、銀行強盗団は鋼鉄と強化コンクリートでできた厚さ 1.1m もの壁に穴を開け、紙幣が保管されている 3.5 トンものコンテナを運び出しました。このとき、約 1 億 6,000 万ブラジルドル(3 億 8,000 万米ドル相当)が盗み出されています。

一方、最近の強盗は壁に穴を開けたりせずに金銭を盗み出します。自宅でコンピュータの前でくつろぎながら銀行を襲えるのです。サイバー犯罪によって、企業は百万ドル単位の財政的な損害を被っています。シマンテックのホワイトペーパー「State of Financial Trojans 2013(金融機関を狙うトロイの木馬の 2013 年における概況)」(英語)でも、オンラインバンキングを狙うトロイの木馬の急増が指摘されています。ZeusSpyeye などの一般的なマルウェアを別にすると、サイバー犯罪者がオンラインバンキングを狙って最近よく使っているのは、Tiylon というマルウェアです。このトロイの木馬は、MITB(Man-in-the-Browser)攻撃を使って、オンラインバンキングサイトでユーザー認証とトランザクション承認を傍受します。

標的型攻撃による最初の感染
Tiylon は、スパム対策フィルタをすり抜けるために、短い電子メールの添付ファイルとして送られてくるのが普通です。オンラインバンキングを狙うトロイの木馬(Zeus など)を使う大部分のスパム攻撃と異なり、Tiylon の電子メールは標的型攻撃の一部となっています。シマンテックの遠隔測定によると、この攻撃では世界のいくつかの地域でオンラインバンキングユーザーが狙われていますが、特に英国、米国、イタリア、オーストラリア、日本に攻撃が集中しています(図 2)。

Fig1_8.png

図 1. 悪質なファイルが添付されている Tiylon の電子メール

この脅威は、ダウンローダ、メインコンポーネントファイル、設定ファイルという 3 種類のファイルで構成されています。

ダウンローダファイル
ダウンローダはロードポイントとして機能し、メインコンポーネントファイルをインストールする機能を持ちます。ダウンローダが実行されると、コンピュータのシリアル番号からシステム情報が構成され、攻撃者が用意したコマンド & コントロール(C&C)サーバーへの接続が確立されます。接続が確立すると、以下のレジストリキーが作成されます。

  • Windows XP の場合:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“WwYNcov” = “%System%\WwYNcov.exe”
  • Windows 7 の場合:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{905CC2F7-082A-4D1D-B76B-92A2FC7341F6}\“Path” = “\\xxUxqdT”

ダウンローダは次に、explorer.exe と svchost.exe にコードをインジェクトし、悪質な活動を開始します。

メインコンポーネントファイル
メインコンポーネントファイルは、Tiylon のダウンローダファイルによってダウンロードされ、復号されます。このコンポーネントは、C&C サーバーから設定ファイルを収集して、攻撃のパラメータを指定します。また、レジストリ設定を操作してコンピュータとブラウザのセキュリティを低下させる機能も備えています。また、これはユーザーと金融機関の Web サイトとの通信を傍受するコンポーネントでもあります。

主として以下のような機能を持っています。

  • Web インジェクション攻撃を実行する
  • キーストロークを記録する
  • スクリーンショットを取得する
  • FTP サーバーと RDP サーバーを起動する
  • リモートデスクトッププロトコル(RDP)を開始する
  • 証明書を読み取る
  • ファイルをダウンロードして実行する
  • サービスを作成する
  • オペレーティングシステムの API をフックしてネットワークデータを盗み出す
  • 他のプロセスにコードをインジェクトする
  • ログオフして再起動するか、侵入先のコンピュータをシャットダウンする
  • Web ブラウザに対してプロセスインジェクションを実行する

Tiylon は、インストールされているアプリケーションとディレクトリを調べて検出をすり抜けようと試みます。また、コンピュータが仮想マシンかどうかを判定するために、プロセスリストも確認します。C&C サーバーは、悪質な活動を検出できる環境を見つけると、そのコンピュータの IP アドレスを使用禁止扱いとして、他のユーザーへの感染を試みます。検出をすり抜ける確率を高くするために、シマンテック製以外のウイルス対策ソフトウェアに対して強制的に例外を設定する場合もあります。マルウェアのコード自体が不明瞭化されており、複数のパッケージングサイクルがあることからも、解析が困難になっています。

攻撃の発生期間
Tiylon の攻撃が起きたのは、2012 年 1 月 1 日から 2013 年 10 月 1 日の間です。

Table1_0.png

表 1. Tiylon による攻撃の国別の件数

Fig2_0.gif

図 2. Tiylon による攻撃の件数を国別に示したアニメーション

シマンテック製品をお使いのお客様は、以下のウイルス対策定義と IPS 検出定義で Tiylon の攻撃から保護されています。

ウイルス対策:

IPS:

脅威から保護するために、最新のソフトウェアパッチと検出定義を適用することをお勧めします。今回の Tiylon の場合は特に、お使いの電子メールクライアントに対応したスパム対策ソリューションをインストールし、疑わしい添付ファイルは開かないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Tiylon: A Modern Bank Robber

      No Comments on Tiylon: A Modern Bank Robber

The biggest bank robbery of all time was identified in Brazil in 2005. In this case, a gang broke into a bank by tunneling through 1.1 meters of steel and reinforced concrete and then removed 3.5 tons of containers holding bank notes. This heist resulted in the loss of about 160 million Brazilian dollars (US$380 million).

Robbers today, however, don’t have to bother with drilling through walls to steal money. They can rob a bank while sitting comfortably at home behind a computer. Thanks to cybercrime, organizations have suffered financial losses in the order of millions. The Symantec State of Financial Trojans 2013 whitepaper shows that banking Trojans are becoming more prevalent. Apart from other more common malware such as Zeus and Spyeye, one of the most popular financial malware that cybercriminals currently use is a threat called Tiylon. This Trojan uses a man-in-the-browser (MITB) attack to intercept user authentications and transaction authorizations on online banking sites.

Initial infection by targeted attack
Tiylon typically arrives as an attachment in the form of a short email to attempt to evade antispam filters. Unlike most spam campaigns associated with financial Trojans (like Zeus), Tiylon emails are part of a targeted attack. Symantec telemetry shows the attack targets online banking users  in several different regions around the world, with a particular focus on the UK, US, Italy, Australia, and Japan (Figure 2).

Fig1_8.png

Figure 1. Tiylon email with a malicious attachment.

The threat consists of three different files: a downloader, a main component file, and a configuration file.

Downloader file
The downloader acts as a load point and is responsible for the installation of the main component file. When the downloader executes, it constructs system information derived by the computer’s serial number and establishes a connection to the attacker’s command-and-control (C&C) server. When the connection is established, a registry key is created.

  • Windows XP:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“WwYNcov” = “%System%\WwYNcov.exe”
  • Windows 7:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{905CC2F7-082A-4D1D-B76B-92A2FC7341F6}\“Path” = “\\xxUxqdT”

The downloader then injects code into explorer.exe and svchost.exe to initiate malicious activity.

Main component file
The main component file is downloaded and decrypted by the Tiylon downloader file. This component collects a configuration file from the C&C server to specify the parameters of the attack. The component also manipulates registry settings to reduce the security of the computer and browser. This is also the component that intercepts communications between the user and financial institution websites.

Core functionalities include the following:

  • Performs Web injection attacks
  • Logs key strokes
  • Captures screenshots
  • Starts FTP and RDP servers
  • Starts Remote Desktop Protocol (RDP)
  • Reads certificates
  • Downloads and executes files
  • Create services
  • Hook operating system APIs in order to steal network data
  • Inject code into other processes
  • Log off, restart, or shut down the compromised computer
  • Perform process injections into Web browsers

Tiylon attempts to evade detection by inspecting directories and installed applications. It also tries to find out if the computer is a virtual machine by checking the process list. If the C&C server finds any environment that could detect malicious activities, it may ban the computer’s IP address and then try to infect other users. It may also force some non Symantec antivirus software to set exclusions, helping the threat avoid detection. The malware code itself is obfuscated and has several packing cycles, which complicates analysis.

Timeline of attacks
The Tiylon attacks occured between January 1, 2012, and October 1, 2013.

Table1_0.png

Table 1. Tiylon attack numbers by country

Fig2_0.gif

Figure 2. Animation showing Tiylon attack numbers by country

Symantec protects customers against Tiylon with the following anitvirus and IPS detections:

AV:

IPS:

Symantec recommends users to have the most up-to-date software patches and definitions in place to protect against threats. In this particular case, we suggest installing an antispam solution for your email client and refrain from opening suspicious attachments.

????????? Web ???? Gongda ??????????????

      No Comments on ????????? Web ???? Gongda ??????????????

シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。

確認できた限りで、この出版社のサイト上で少なくとも 3 つのファイルが感染していました。

 figure1_6.png
図 1. 出版社のサイトで確認された悪質な iframe

この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていました。シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時 2014 年 1 月 5 日の 22:00(日本標準時 2014 年 1 月 6 日 15:00)頃で、このセキュリティ問題が修正されたのは、太平洋標準時 1 月 8 日遅く(日本標準時 1 月 9 日夕方以降)になってからでした。

ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされている別の Web サイトを読み込みます。悪用ツールキットは Gongda であると特定されており、今回の攻撃では以下の 5 つの脆弱性を悪用していました。

•    Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
•    Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
•    Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
•    Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
•    Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)

figure2_4.png
図 2. 攻撃のシナリオ

脆弱性の悪用に成功すると、Infostealer.Torpplar がダウンロードされます。これは、日本のユーザーから情報を盗み出すために作成されたマルウェアで、以下のサイトを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視します。
•    2 つのオンラインバンキングサイト
•    3 つのオンラインショッピングサイト
•    3 つの Web メールサイト
•    3 つのゲーム/動画 Web サイト
•    14 のクレジットカードサイト

注目に値するのは、オンラインバンキングサイトが 2 つしか標的になっていない点で、そのうち 1 つは地方銀行です。ほとんどの銀行は、Trojan.Zbot といった高度なマルウェアに狙われていることを自覚しているため、オンラインユーザーのために幾重にもわたって保護や検証の手段を実装しています。攻撃者もその点を承知しており、金銭になりそうな情報を扱っていながら基本的なセキュリティ対策しか講じていない他のサイトを意図的に狙ったものと考えられます。

盗み出された情報は、あらかじめ定義された Web サイトに平文で送信されるため、傍受されると容易に読み取られてしまいます。

この攻撃で使われている Gongda 悪用ツールキットによって試みられる悪用を遮断するために、シマンテックは以下の IPS シグネチャを提供しています。
 
•    Web Attack: Gongda Exploit Kit Website
•    Web Attack: Gongda Exploit Kit Website 2

Infostealer.Torpplar の検出定義だけでなく、この攻撃に伴うファイルに対して以下のウイルス検出定義も用意しています。

•    Trojan.Webkit!html
•    Trojan.Malscript
•    Trojan.Maljava
•    Trojan.Swifi

このような攻撃から保護するために、最新のパッチを適用し、ウイルス検出定義と IPS 定義を常に最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Popular Japanese Publisher’s Website led to Gongda Exploit Kit

We recently encountered a website of a major Japanese book publisher and distributor, of books, magazines, comics, movies, and games, injected with a malicious iframe leading to another website hosting an exploit kit.

As far as we know, at least three files on the book publisher’s site were compromised.

 figure1_6.png
Figure 1. Malicious iframe found on publisher’s site

The malicious iframe was present across multiple pages including the homepage. Our telemetry shows the first potential victim visited the site at approximately 22:00 PST on January 5, 2014 (15:00 JST on January 6, 2014). The security issue was not fixed until late on January 8, PST (in the evening of January 9, 2014 JST).

The malicious iframe loads another website, hosting an exploit kit, as soon as a user visits the book publisher’s site. The exploit kit has been identified as Gongda exploit kit, which in this particular attack served exploits for the following five vulnerabilities:

•    Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507)
•    Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
•    Oracle Java Runtime Environment Multiple Remote Code Execution Vulnerabilities (CVE-2013-0422)
•    Adobe Flash Player Remote Memory Corruption Vulnerability (CVE-2013-0634)
•    Oracle Java SE Memory Corruption Vulnerability (CVE-2013-2465)  

figure2_4.png
Figure 2. Attack scenario

Upon successful exploitation of the vulnerabilities, Infostealer.Torpplar is downloaded. This malware is tailored to target Japanese users for information stealing purposes. The malware monitors open windows for a list of Japanese websites that include the following:
•    2 online banking sites
•    3 online shopping sites
•    3 Web mail sites
•    3 gaming/video websites
•    14 credit card sites

It is interesting that the malware targets only two online banking sites, one of which is merely a regional bank. Most banks are aware that they are a target of sophisticated malware such as Trojan.Zbot and have implemented additional layers of protection and verification for their online customers. We believe the attacker knows this and intentionally targeted other financially viable sites that have only basic security measures in place.

The stolen information is sent to a predefined website in plain text, which can be easily read if intercepted.

We have the following IPS signatures in place to block exploit attempts dished out by the Gongda exploit kit used in the attack:
 
•    Web Attack: Gongda Exploit Kit Website
•    Web Attack: Gongda Exploit Kit Website 2

In addition to the Infostealer.Torpplar detection, the following AV detections are available for the files associated with this attack:

•    Trojan.Webkit!html
•    Trojan.Malscript
•    Trojan.Maljava
•    Trojan.Swifi

To stay protected, Symantec recommends users to apply the latest patches and keep AV and IPS definitions up-to-date.

Cryptolocker に関する Q&A: 今年最大の脅威

サイバー犯罪者はいつでも、マルウェアを進化させる方法を探っています。ウイルス対策をめぐる研究や解析、対策が進み、ユーザー意識が向上したためマルウェアの威力が薄れ、拡散も鈍っていることから、進化が生存の鍵となっているからです。ランサムウェアは、この数年間でメディアに大きく取り上げられた結果、知らぬ間に犠牲になるユーザーが減り、その影響力や効果も半減するとともに、犯罪者にとって費用対効果も下がってきました。

このようにユーザー意識が高まった結果、2013 年最後の四半期にはサイバー犯罪の世界に新たな脅迫の手口が生まれました。それが Cryptolocker です。Cryptolocker は、貴重なデータを失うかもしれないという、ユーザーにとって最大の不安を突くことで広がっています。以前のランサムウェアはオペレーティングシステムをロックしてデータファイルを人質に取るものの、たいていは回復が可能でした。ところが、Cryptolocker は脅迫がもっと効果的になっており、攻撃者が持つ秘密鍵を使わない限り、ロックされたファイルを取り戻すことはできません。

以下の Q&A では、Cryptolocker と、それに対するシマンテックの保護対策についての概略をお伝えします。

Q: Ransomlock と Cryptolocker(別名 Ransomcrypt)の違いは何ですか?

Ransomlock と Cryptolocker の違いは、一般的に Ransomlock がコンピュータ画面をロックするのに対して、Cryptolocker は個々のファイルを暗号化してロックするという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

Q: この脅威が発見されたのはいつですか?

Cryptolocker の被害が初めて確認されたのは、2013 年 9 月です。

Q: Cryptolocker は新しい脅威グループに属するものですか?

いいえ。侵入先のシステムでファイルを暗号化して身代金を要求する類似のマルウェアグループとして、シマンテックはこれまでにも Trojan.Gpcoder(2005 年 5 月)や Trojan.Ransomcrypt(2009 年 6 月)などを検出しています。

Q: Cryptolocker の重大度はどのくらいですか?

重大度は「高」です。万一 Cryptolocker によってファイルを暗号化され、そのファイルをバックアップしていなかった場合には、まず復元することはできません。

Q: Cryptolocker に感染しているかどうかを確認するにはどうすればよいですか?

感染した場合には、次のような身代金要求画面が表示されます。

image1_18.png

図 1. Cryptolocker の身代金要求画面
 

Q: この脅威にはどのように感染しますか?

ソーシャルエンジニアリングの手口を使ったスパムメールを被害者に送りつけ、添付されている zip ファイルを開かせようと試みます。

image2_10.png

図 2. Cryptolocker スパムメールの例
 

電子メールに添付されている zip ファイルを開くと、実行可能ファイルが含まれていますが、これは電子メールの内容に合わせて請求書に見せかけたり、別のソーシャルエンジニアリング手法で偽装されたりしています。この実行可能ファイルは Downloader.Upatre で、Trojan.Zbot をダウンロードします。Trojan.Zbot に感染すると、Downloader.Upatre は感染したシステムにさらに Trojan.Cryptolocker もダウンロードします。次に Trojan.Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続しようとします。アクティブな C&C サーバーが見つかると、感染したシステムでファイルを暗号化する際に使われる公開鍵がダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)はサイバー犯罪者のサーバーに残されたままです。秘密鍵はサイバー犯罪者の手の内に残り、定期的に変更される C&C サーバーにアクセスしない限り使用することはできません。

image3_10.png

図 3. Cryptolocker の攻撃手順
 

Q: シマンテックは Cryptolocker や関連するマルウェアに対する保護対策を提供していますか?

はい。シマンテックは、この脅威に対して以下の検出定義を提供しています。

検出名 検出タイプ
Downloader ウイルス対策シグネチャ
Downloader.Upatre ウイルス対策シグネチャ
Trojan.Zbot ウイルス対策シグネチャ
Trojan.Cryptolocker ウイルス対策シグネチャ
Trojan.Cryptolocker!g1 ヒューリスティック検出
Trojan.Cryptolocker!g2 ヒューリスティック検出
Trojan.Cryptolocker!g3 ヒューリスティック検出
System Infected: Trojan.Cryptolocker 侵入防止シグネチャ

Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。

このマルウェアを検出する以前の検出定義は、一部名前が変更されています。

  • 2013 年 11 月 13 日以前のウイルス定義では、このマルウェアは Trojan.Ransomcrypt.F として検出されていました。
  • 2013 年 11 月 14 日以前の侵入防止シグネチャ(IPS)では、「System Infected: Trojan.Ransomcrypt.F」として検出されていました。

Q: C&C サーバーはどのような形式ですか?

DGA で生成される最近のコマンド & コントロール(C&C)サーバーの例を以下に示します。

  • kstattdnfujtl.info/home/
  • yuwspfhfnjmkxts.biz/home/
  • nqktirfigqfyow.org/home/

Cryptolocker はアクティブな C&C サーバーを検索するときに、見かけの類似したドメイン名を 1 日当たり 1,000 件まで生成できます。

Q: Cryptolocker はどのくらい高度ですか?

Cryptolocker 攻撃は、スパムメールとソーシャルエンジニアリングでお馴染みの手法を用いて感染を試みますが、Cryptolocker 自体も以下のように高度な技術を駆使しています。

  • Cryptolocker は、強力な RSA 2048 を使った公開鍵暗号を採用しています。攻撃者のサーバーに置かれている秘密鍵がないと、被害者は暗号化されたファイルを復号することはできません。
  • Cryptolocker は、メルセンヌツイスタ擬似乱数生成機能に基づいた DGA を採用し、アクティブな C&C サーバーを探します。

Q: この脅威の感染状況はどうですか?

この脅威に対するシマンテックの遠隔測定によると、現在は米国で多く感染が確認されています。報告されている件数は少ないものの、被害者にとって被害は深刻です。

image4_5.png

図 4. 検出が報告された上位 5 カ国
 

Q: これまでにシマンテックはこれらの攻撃に関する情報を公開していますか?

はい。シマンテックは以下のブログを公開しています。

Q: 身代金の支払いに応じるべきですか?

いいえ。けっして身代金を払ってはいけません。サイバー犯罪者への支払いに応じると、さらにマルウェアによる攻撃を助長することになります。また、仮に支払っても、ファイルが復号される保証はありません。

Q: Cryptolocker 攻撃の背後にいるのは誰ですか?

Cryptolocker 攻撃の背後にいるサイバー犯罪者については、調査が進められているところです。

Q: この攻撃の影響を受けたファイルの復元方法についてアドバイスはありますか?

はい。シマンテックテクニカルサポートが以下の記事を公開しています。

Q: 被害を受けないようにするにはどうすればいいですか?

まず、情報セキュリティに関するベストプラクティスに従って、ファイルは常にバックアップしてください。また、最新のウイルス定義対策とソフトウェアパッチを使って、システムを常に最新の状態に保ち、疑わしい迷惑メールは開かないようにしてください。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

Q: シマンテックはバックアップおよびディザスタリカバリソフトウェアを提供していますか?

はい。シマンテックは、Backup Exec ファミリー製品を提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cryptolocker Q&A: Menace of the Year

      No Comments on Cryptolocker Q&A: Menace of the Year

Cybercriminals are constantly looking for ways to evolve their malware. Evolution is the key for survival because antivirus research, analysis, countermeasures, and public awareness thwart the efficacy of malware and its spread. During the past year, Ransomware has received a lot of news coverage which has decreased the number of uninformed victims and lowered the impact and effectiveness of the malware along with the percentage of return to the criminal.

Due to this increased public awareness, in the last quarter of 2014 we have seen cybercriminals reorganize around a new type of extortion: Cryptolocker. This threat is pervasive and preys on a victim’s biggest fear: losing their valuable data. Unlike previous Ransomware that locked operating systems and left data files alone and usually recoverable, Cryptolocker makes extortion of victims more effective because there is no way to retrieve locked files without the attacker’s private key.

The following Q&A outlines Cryptolocker and Symantec’s protection against this malware:

Q: What is the difference between Ransomware and Cryptolocker (also known as Ransomcrypt)?

The difference between Ransomlock and Cryptolocker Trojans is that Ransomlock Trojans generally lock computer screens while Cryptolocker Trojans encrypt and lock individual files. Both threats are motivated by monetary gains that cybercriminals can make from extorting money from victims.

Q: When was this threat discovered?

In September 2013 the Cryptolocker threat began to be seen the wild.

Q: Is the Cryptolocker threat family something new?

No. Symantec detects other similar malware families such as Trojan.Gpcoder (May 2005) and Trojan.Ransomcrypt (June 2009) that encrypt and hold files ransom on compromised systems.

Q: What is the severity of this Cryptolocker threat?

The severity is high. If files are encrypted by Cryptolocker and you do not have a backup of the file, it is likely that the file is lost.

Q: How do I know I have been infected by Cryptolocker?

Once infected, you will be presented on screen with a ransom demand.

image1_18.png

Figure 1. Cryptolocker ransom demand
 

Q: How does a victim get infected?

Victims receive spam email that use social engineering tactics to try and entice opening of the attached zip file.

image2_10.png

Figure 2. Cryptolocker spam email example
 

If victims open the zip file attached to the email, they will find an executable file disguised to look like an invoice report or some other similar social engineering ploy, depending on the email theme. This executable file is Downloader.Upatre that will download Trojan.Zbot. Once infected with Trojan.Zbot, the Downloader.Upatre also downloads Trojan.Cryptolocker onto the compromised system. Trojan.Cryptolocker then reaches out to a command-and-control server (C&C) generated through a built-in domain generation algorithm (DGA). Once an active C&C is found, the threat will download the public key that is used to encrypt the files on the compromised system while the linked private key—required for decrypting the files— remains on the cybercriminal’s server. The private key remains in the cybercriminal control and cannot be used without access to the C&C server which changes regularly.

image3_10.png

Figure 3. Cryptolocker attack steps
 

Q: Does Symantec have protection in place for Cryptolocker and the other associated malware?

Yes. Symantec has the following protection in place for this threat:

Detection name

Detection type

Downloader

Antivirus signature

Downloader.Upatre

Antivirus signature

Trojan.Zbot

Antivirus signature

Trojan.Cryptolocker

Antivirus signature

Trojan.Cryptolocker!g1

Heuristic detection

Trojan.Cryptolocker!g2

Heuristic detection

Trojan.Cryptolocker!g3

Heuristic detection

System Infected: Trojan.Cryptolocker

Intrusion Prevention Signature

Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.

Some earlier Symantec detections that detect this threat have been renamed:

  • Virus definitions dated November 13, 2013, or earlier detected this threat as Trojan.Ransomcrypt.F
  • Intrusion Prevention Signature (IPS) alerts dated November 14, 2013, or earlier were listed as “System Infected: Trojan.Ransomcrypt.F”

Q: What do the C&Cs look like?

The following are recent examples of command-and-control (C&C) servers from the DGA:

  • kstattdnfujtl.info/home/
  • yuwspfhfnjmkxts.biz/home/
  • nqktirfigqfyow.org/home/

Cryptolocker can generate up to one thousand similar looking domain names per day in its search for an active C&C.

Q: How sophisticated is this threat?

While the Cryptolocker campaign uses a common technique of spam email and social engineering in order to infect victims, the threat itself also uses more sophisticated techniques like the following:

  • Cryptolocker employs public-key cryptography using strong RSA 2048 encryption. Once files are encrypted without the private key held on the attacker’s server, the victim will not be able to decrypt the files.
  • Cryptolocker employs a DGA that is based on the Mersenne twister pseudo-random number generator to find active C&Cs.

Q: How prevalent is the threat?

Symantec telemetry for this threat shows that the threat is not very prevalent in the wild at present. While the numbers being reported are low, the severity of the attack is still considerable for victims.

image4_5.png

Figure 4. Top 5 countries reporting detections
 

Q: Has Symantec previously released any publications around these attacks?

Yes, Symantec has released the following blogs:

Q: Should I pay the ransom?

No. You should never pay a ransom. Payment to cybercriminals only encourages more malware campaigns. There is no guarantee that payment will lead to the decryption of your files.

Q: Who is behind the Cryptolocker malware?

Investigations into the cybercriminals behind the Cryptolocker malware are ongoing.

Q: Is there any advice on how to recover files affected by this attack?

Yes, Symantec Technical Support has released the following article:

Q: Any advice on how to not become a victim?

Yes. First, follow information security best practices and always backup your files. Keep your systems up to date with the latest virus definitions and software patches. Refrain from opening any suspicious unsolicited emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

Q: Does Symantec offer backup and disaster recovery software?

Yes. Symantec has the Backup Exec Family of products.