「DarkSeoul」と名付けられたグループによって韓国の Web サイトに対して実行された先日の分散サービス拒否(DDoS)攻撃については、昨日詳しくご報告したばかりです。韓国に対する以前の攻撃も同一のグループによる犯行と特定されており、なかでも 2013 年 3 月の Jokra 攻撃は、韓国の銀行やテレビ局にある膨大な数のコンピュータでハードディスク上のデータが消去されるという破壊的な被害をもたらしました。これらの攻撃についてその後も調査を進めた結果、類似のデータ消去攻撃を仕掛けようとする新しい脅威が確認されました。シマンテックはこれを Trojan.Korhigh として検出します。
韓国に対するこれまでの攻撃でシマンテックが確認した Wiper と同様、Trojan.Korhigh は侵入先のコンピュータで体系的にファイルを削除し、マスターブートレコード(MBR)を上書きしてそのコンピュータを使用不能にするという機能を持っています。Trojan.Korhigh は、侵入先のコンピュータでユーザーのパスワードを「highanon2013」に変更する、あるいは以下のファイルタイプに関連して特定のデータ消去命令を実行する、といった機能を追加するためのいくつかのコマンドラインスイッチを受信します。
- asp
- aspx
- avi
- bmp
- dll
- do
- exe
- flv
- gif
- htm
- html
- jpeg
- jpg
- jsp
- mp4
- mpeg
- mpg
- nms
- ocx
- php
- php3
- png
- sys
- wmv
Trojan.Korhigh は、侵入の証拠としてコンピュータの壁紙を変更する場合もあります。現時点で、攻撃者の正体は特定できていません。
図. Trojan.Korhigh の壁紙
また、侵入先のコンピュータについてシステム情報(オペレーティングシステムのバージョン、コンピュータ名、現在の日付など)を収集し、以下の IP アドレスに送信しようとする場合もあります。
- 112.217.190.218:8080
- 210.127.39.29:80
シマンテックはこの脅威の解析を続けており、韓国に対する攻撃も引き続き監視しています。保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Yesterday, Symantec published details about a new distributed denial-of-service (DDoS) attack carried out by a gang dubbed “DarkSeoul” against South Korean websites. We identified their previous attacks against South Korea, including the devastating Jokra attacks in March 2013 that wiped numerous computer hard drives at South Korean banks and television broadcasters. As a result of our continued investigations into attacks against South Korea, we have come across a new threat—detected as Trojan.Korhigh—that attempts to perform a similar wiping action.
Similar to previous wipers encountered by Symantec in attacks against South Korea, Trojan.Korhigh has the functionality to systematically delete files and overwrite the Master Boot Record (MBR) on the compromised computer, rendering it unusable. The Trojan accepts several command line switches for added functionality, such as changing user passwords on compromised computers to “highanon2013” or executing specific wipe instructions related to the following file types:
- asp
- aspx
- avi
- bmp
- dll
- do
- exe
- flv
- gif
- htm
- html
- jpeg
- jpg
- jsp
- mp4
- mpeg
- mpg
- nms
- ocx
- php
- php3
- png
- sys
- wmv
The Trojan may also change the computer wallpaper as an indication of compromise. At this time, we cannot confirm the identity of the attackers.
Figure. Trojan.Korhigh wallpaper
The threat may also attempt to gather system information about the compromised machine (operating system version, computer name, current date) which it sends to the following IP addresses:
- 112.217.190.218:8080
- 210.127.39.29:80
Symantec is continuing its analysis of this threat and is monitoring on-going attacks against South Korea. To ensure the best protection, Symantec recommends that you use the latest Symantec technologies and up-to-date antivirus definitions.
Trojan.Jokra は、先日韓国の放送局や銀行で大規模なシステム停止を引き起こした脅威ですが、この Trojan.Jokra を解析したところ、別の Wiper が確認されました。
セキュリティ研究者が過去数日間、このトロイの木馬で確認された Wiper コンポーネントについて、特に各バージョンと実行のタイミングについて検証を続けてきました。その結果、4 つの亜種で以下の文字列が見つかっています。
- PRINCIPES
- HASTATI
- PR!NCPES
- HASTATI と PR!NCPES の組み合わせ
- PRINCPES
Wiper のうち 3 つは PIE(位置独立実行可能ファイル)として、残りの 1 つは DLL(ダイナミックリンクライブラリ)インジェクションとしてパッケージ化されています。実行のタイミングについても違いが見られます。
表. Trojan.Jokra の Wiper
2 つの亜種は、実行後ただちにコンピュータの内容を消去するように命令されており、他の 2 つは、2013 年 3 月 20 日午後 2 時と日時を指定して内容を消去するように命令されていました。
図. Trojan.Jokra の Wiper のカウントダウン
Trojan.Jokra などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Our analysis of Trojan.Jokra, the threat which recently caused major outages within the Korean Broadcasting and Banking sectors, has produced another wiper.
Security researchers the past few days have been discussing the wiper component found in this T…
韓国の銀行と放送局が受けたサイバー攻撃については、第一報を本日すでにお伝えしました。その後、Linux コンピュータを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されました。
図 1. リモートの Linux コンピュータを標的にする bash wiper スクリプト
Trojan.Jokra のドロッパーには、リモートの Linux コンピュータを消去するモジュールが含まれています。複数のオペレーティングシステムで動作するコンポーネントが確認されることは珍しく、今回のように Linux コンピュータを消去するコンポーネントが Windows マルウェアの内部に仕掛けられているのは異例のことです。このモジュールは Windows 7 と Windows XP のコンピュータで mRemote というアプリケーションを探します。mRemote は、複数のプロトコルに対応したオープンソースのリモート接続マネージャです。mRemote アプリケーションは、接続を保存する設定ファイルを以下のパスで管理しています。
%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
図 2. mRemote のパス情報の解析
Trojan.Jokra のドロッパーはこの XML ファイルを解析し、ルート権限で SSH プロトコルを使う接続を探します。そして、その接続で使われているパラメータを抽出します。
図 3. mRemote 設定ファイルの接続情報の解析
続いてドロッパーは新しいスレッドを生成し、bash スクリプトを %Temp%\~pr1.tmp に投下します。そのうえで、mRemote の設定ファイルから解析した接続情報を利用して、リモートの Linux コンピュータ上で /tmp/cups として、この一時ファイルをアップロードし、実行します。
図 4. リモートコマンドの実行
この bash スクリプトは、任意の Linux ディストリビューションで動作するように設計された wiper の一種です。SunOS、AIX、HP-UX の各ディストリビューションで特定のコマンドを使って実行されます。消去されるのは、/kernel、/usr、/etc、/home の各ディレクトリです。
シマンテックはこの攻撃の調査を続けており、詳しいことが判明し次第、更新情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier today we published our initial findings about the attacks on South Korean banks and local broadcasting organizations. We have now discovered an additional component used in this attack that is capable of wiping Linux machines.
Figure …