2018-01-11 セキュリティニュースまとめ: MacOS 用マルウェア Fruitfly の作成者を司法省が起訴、「LockPoS」マルウェアが検出を回避する新しい手口
MacOS 用マルウェア Fruitfly の作成者を司法省が起訴
元記事
www.zdnet.com www.zdnet.com blog.malwarebytes.com
概要
- 2017 年 1 月頃、Fruitfly という名前の Mac OS 用マルウェアが MalwareByte 社のセキュリティリサーチャーにより発見される
- オハイオ在住の 28 歳男性が同マルウェアを作成し、数千台の被害者のコンピュータを不正に使用したとして司法省に起訴される
確認されている Fruitfly による被害内容
- Web カメラによる盗撮
- スクリーンショット撮影
- デスクトップ操作内容の窃視
- PC に保存されているデータの窃取
- マウスやキーボードによる端末の操作
FruitFly について
- Fruitfly は非常に古いマルウェアで、Mac OS X がまだ OS X と呼ばれる前の 1998 年頃に最後の更新があったライブラリをも同梱しており、少なくとも 13 年間程度セキュリティリサーチャーに見つけられることなく活動を続けていたものとされる
被害者特定の経緯
- 同マルウェアの C&C サーバーを利用し、被害端末を特定したセキュリティリサーチャー、FBI に問題を報告
「Mac は安全という誤った認識こそが危ない」
- 「Apple は捜査に非協力的」「Apple は自社の PC が安全という実際には根拠のないイメージをユーザーに植え付けすぎているのでは」
- 「Mac は安全だとか自分には見られてこまるデータなどないという根拠のない自信や安心感をもってはいけない。スパイ行為を行うのはなにも ロシアや NSA などに限らない。そこいらの変態も同じデータを狙っていることをユーザーは自覚しなければならない」
「LockPoS」マルウェアが検出を回避する新しい手口
元記事と一次ソース
securityaffairs.co www.cyberbit.com
概要
- 2018 年 1 月 3 日の Cyberbit 社のブログ で「Flokibot マルウェアの亜種「LockPoS」マルウェアが、これまで確認されていない方法でマルウェアをインジェクションしていることが確認された」と報告
LockPoS とは
- LockPoS は、Point of Sales (POS) スキャナが接続された Windows 端末に感染してクレジットカード情報を窃取するマルウェア
- Windows 感染端末のメモリ上で実行されているプロセスのメモリ内容を読み取り、クレジットカード番号とパターンが合致する文字列があれば C&C サーバーに送信する
- Flokibot PoS と呼ばれる別種の POS 用マルウェアとコード内容が類似
- マルウェアをインジェクションする手口がこれまでにないタイプ
感染経路
- Flokibot PoS を拡散するのに使われたのと同じボットネットから配信されている
確認されたマルウェアのインジェクション手法
- LockPoS は直接 nttdll.dll の API 関数を呼び出さず、ディスク上の ntdll.dll を自分自身(プロセス)の仮想アドレス空間にマッピングする
- アンチマルウェアソフトが nttdll.dll に仕掛けたフックによって検出されることを回避するため、フック前の「クリーン」なコードを利用
- Native Windows API 関数の [NtCreateSection] を使って セクションオブジェクトをカーネル内に作成
- SectionPageProtection アトリビュートに 0x40 (PAGE_EXECUTE_READWRITE) を設定。実行権限が付与されておりここから悪意のあるコードを実行させることがわかる
- NtMapViewOfSection 関数を呼び出し、作成したセクションのビューを別のプロセス (例: インジェクトされるプロセス、たとえば Explorer.exe) にマッピング
- (悪意のある) コードを当該セクションにコピーし、NtCreateThreadEx または CreateRemoteThread API 関数を使いリモートスレッドを生成
- マッピングしたコードを実行