2018-01-09 セキュリティニュースまとめ: WPA2 脆弱性 KRACK を受け WPA3 プロトコル標準が公表される、北朝鮮金正日総合大学を送信先とした暗号通貨 Monero のマイニングソフトインストーラが確認される
WPA2 の脆弱性 KRACK の公表から 3 ヶ月、WPA3 WiFi 標準が公表される
元記事
概要
- WPA2 の脆弱性 KRACK が 3 ヶ月前 (2017 年 10 月末) に公表された
- WiFi Alliance、新しい WiFi プロトコル WPA3 を 2018-01-08 に公表
- 2004 年から 14 年間ワイヤレスネットワークのセキュリティ標準として利用されてきた古い WPA2 にかわるプロトコル
- 今年後半頃利用可能に
- 4 つの新しい機能
- ブルートフォース攻撃からの保護
- 近隣にある WiFi が有効化されたデバイスを別のデバイスのための設定パネルとして利用可能に
- デバイス=ルータ間やデバイス=アクセスポイント間のコネクションを個別に暗号化する「個別データ暗号化 (Individualized Data Encryption)」機能
- 暗号化標準の改善: CNSS (国家安全保障システム委員会 Committee on National Security Systems) からの CNSA (Commercial National Security Algorithm) スイートに合わせた 192 ビットのセキュリティスイートにより、政府・防衛・産業などで求められる高いセキュリティ要求水準を満たす WiFi ネットワークを実現
- 今後数ヶ月ぐらいで WPA3 をサポートするデバイスが出回り始めると予測
参照記事
- [1] 元記事で参照されている過去記事: New KRACK Attack Breaks WPA2 WiFi Protocol
- [2] 過去記事 [1] が参照している KRACK のリサーチャー Mathy Vanhoef による一次ソース: KRACK Attacks: Breaking WPA2
- [3] 同氏による調査論文『Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 (WPA2 で Nonce の再利用を強制するキー再インストール攻撃)』: https://papers.mathyvanhoef.com/ccs2017.pdf
暗号通貨 Monero のマイナー、採掘した暗号通貨を北朝鮮の大学に送信
参照情報
- 元記事 AlienVault (一次ソース): www.alienvault.com
概要
- AlienVault の報告: 暗号通貨 Monero を採掘し、採掘したコインを北朝鮮の金日成総合大学に送信するアプリケーションが確認される
- 同インストーラは intelservice.exe という名前のファイルをコピーする
- 同名ファイルは暗号通貨をマイニングするマルウェアに頻繁に関連づけられるもの
- 実行時に指定される引数から判断して xmrig (hxxps://github.com/xmrig/xmrig) というソフトウェアである様子
- xmrig はマルウェアの攻撃キャンペーンでよく利用されているもの
- 最近では パッチの適用されていない IIS サーバーの脆弱性を悪用して Monero のマイニングを行う攻撃でも観測されている
- xmrig はマルウェアの攻撃キャンペーンでよく利用されているもの
- インストーラは以下のオプションを指定して xmrig を実行する
-o barjuok.ryongnamsan.edu.kp:5615 -u 4JUdGzvrMFDWrUUwY... -p KJU" + processorCount + " -k -t " + (processorCount -1)
送信される Monero ウォレットのアドレス
4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS
採掘されたコインを受け取るマイニングサーバーの FQDN
barjuok[.]ryongnamsan.edu.kp
※ ryongnamsan[.]edu.kp は金日成総合大学内にサーバーが配置されていることを示すドメイン。パスワードは KJU となっており、金正恩 を指す可能性が指摘されている
アプリケーションの作成目的は何か?
- barjuok[.]ryongnamsan.edu.kp は名前解決できないので実際には採掘したコインを受け取ることができない
- 今後予定されている攻撃の実験を観測したものなのか、ハードウェアの所有者が把握している「正当な」マイニング処理なのかは不明
- 同アプリケーションには、通常攻撃者えあれば避けるはずのデバッグ用コメントが埋め込まれている一方で、マイニングアプリケーションのインストール検知をさけるための偽のファイル名も含んでいる
- ソフトウェア作成者が実際に金正日総合大学にいるなら北朝鮮の人間ではないのではないか
- 金正日総合大学は非常にオープンな大学で、外国人留学生や講師も受け入れている
確認されている検体
初回のアップロード場所とスクリプト内に記載されたフランス語からモロッコ出身者によるものか?
- サンプルは非常に単純で、以下の推測が成り立つ
- 初期段階のプロトタイプ?
- 同一の場所 (フォーラムなど) からコードをコピーしてきただけで、まったく別の作成者によるもの?
- サンプルはすべてモロッコ人のハッカーがセキュリティリサーチャーへの悪戯として仕掛けたものという可能性もある
既知の北朝鮮によると推測される Monero マイニング関連の攻撃
- 「Bluenorroff」として知られるグループが、銀行からの窃盗攻撃を試行中、危殆化したサーバー上で Monero をマイニングする試み
「Andariel」として知られるグループが、危殆化した韓国の会社のネットワーク上で Monero をマイニングする試み
いずれのグループも Lazarus として知られる攻撃者グループの一部とみなされている
- Bluenorroff グループは、バングラディッシュ銀行から9 億 5,100 万ドルにおよぶ窃盗を一部成功させたことで知られる
- Andariel は BlackMine が進化したグループであると推測されており、韓国国防省からの窃盗事件でその名を知られる
- Lazarus は複数の関連する攻撃者グループで構成されたより「高次の」北朝鮮に関連していることが推測されている攻撃者グループの呼称。
- 今回発見されたアプリケーションがこれらのグループと関連することを示唆する証拠は確認できない
- VB による稚拙なコードから考えるとこれらのグループと本アプリケーションが関連している可能性は低い
- 大学のプロジェクトかなにかではないか?
北朝鮮と暗号通貨マイニングを時系列で振り返る: 2017 年 5 月、暗号通貨関連攻撃へ舵を切る
- 以下 3 つのイベントがすべて 2017 年 5 月に発生:
- WannaCry ランサムウェア攻撃
- 北朝鮮に関連付けられた報告された最初のビットコイン取引所 (Bithumb) の危殆化
- 北朝鮮国内初の BitCoin 採掘 が RecordedFuture に報じられる
- 北朝鮮に割り当てられた IP アドレス範囲はごく少数のため、同じ IP アドレスが繰り返し別の種類の攻撃で登場することがある