The Register: ネットワーク中立性: 偽コメントで世論操作?「FCC に寄せられたコメントのうち百万件が 55 人しかスタッフのいないエロサイトのメールアドレスが送信者アドレスとして登録されていた」「真夜中 0 時に一斉送信」

元記事

www.theregister.co.uk

概要

• ワシントン DC で SHMOOCON 2018 (ShmooCon ハッキングカンファレンス) が開催される
• 当会場で、データ分析会社の分析官が「トランプ政権以降共和党員が 5 人の委員のうち 3 人の多数派をしめる FCC (連邦通信委員会、 Federal Communications Commission）で、民主党オバマ時代に成立したネットワーク中立性の規制が撤廃された問題に関連し、FCC に寄せられた 2200 万件のパブリックコメント」の解析結果を発表
• 同分析官によれば「FCC 宛のネットワーク中立性に対するパブリックコメントを解析した結果、人間が書き込んだと推測されるコメントはたった 17% で、残りの 83% はボットが生成した反ネットワーク中立性コメントだった」ことが判明
• FCC 側は、コメントの出自となるメールアドレスの正当性もバッチ処理で投稿されたコメントかどうかもチェックせず
• 同時にバッチ処理で真夜中0時ぴったりに投稿されたコメントなどを除いても、まだボットが投稿したと疑われるコメントが多数あり
  • 全部が大文字の不自然なコメント
  • 米国時間で通常予想される活動時間帯からは外れた時間に大量に寄せられたコメント
• これらの特徴を持つコメントを除外した結果残ったコメントは大部分がネットワーク中立性を支持する内容だったことが判明
• FCC は純粋に党の方針を遵守するためにそもそもネットワーク中立性の撤廃に意欲的で、パブリックコメントの内容がどうであっても参考にしないと表明
• 反ネットワーク中立性のコメントで身分を詐称された有権者について捜査中のニューヨーク州連邦検事に、FCC は当初捜査協力を約束していたが、後にこの約束を撤回している

カナダ・トロント在住の男性、漏えいした情報から不正に取得した 30 億人分のアカウント情報をインターネット上で不正に販売したなど 4 つの刑法犯罪で告訴される

元記事

www.thestar.com

概要

• カナダ在住の 27 歳の男性が、自身のサイト LeakedSource[.]com でおよそ 30 億人分の個人情報、アカウント情報等を不正に取得・販売していたなど 4 つの罪で告発され、2018-01-15 に出廷
  • 個人情報の売買
  • コンピュータの不正使用 (刑法 s.342.1)
  • データへの損害
  • 犯罪により取得した資産の所有
• 同サイトは警察により 2017 年 1 月にシャットダウン済
• シャットダウンされる前に同サイトでは以下のような世界中の情報漏えいインシデント被害を受けたサイトからのアカウント情報をあつめ販売していた
  • Twitter
  • LinkedIn
  • Dropbox
  • Weebly
  • Foursquare
  • Tumblr
  • Rambler[.]ru
  • MySpace
  • AdultFriendFinder
• 同サイトでは、漏えいした情報を復号して整理した上でキーワード検索を可能にして有料で情報提供していた
  • 「同サイトはダークウェブとインターネットの間の中間者のような役割を果たしていたサイト」と警察のコメント
  • 「(2017年1月のシャットダウン時点では)おそらく世界最大のアカウント情報販売サイトだっただろう」
• 犯人の男性は同Webサイトの管理者としておよそ 24.7万 ドル (日本円でおよそ2700万) を荒稼ぎしていたという

Android を狙う「映画のような」スパイウェア Skygofree が見つかる

元記事

www.kaspersky.com

特徴・機能

• Android のトロイの木馬型スパイウェア「Skygofree」
• 他では見かけないような特徴をもつ
  • 特定のロケーションをトリガとして盗聴を開始する (オフィスや CEO の自宅など)
  • WiFi 設定がオフでも攻撃者の所有する WiFi にこっそりと接続させる
    • モバイル機器上のトラフィックがすべて攻撃者の管理下に置かれることになる
  • スタンバイモードでも自プロセスが終了されないようシステムに定期的に通知を送信
  • 自身をお気に入りのアプリとして登録し、画面がオフになってもプロセスを停止させない
• アクセシビリティ サービスを悪用し、WhatsApp などから画面に表示された情報を窃取
• フロントカメラでスマートフォンがアンロックされたさいに写真を撮影
• 入電した電話、SMS、カレンダーの内容、ユーザーデータ等も窃取

活動期間

• Skygofree が確認されたのは 2017 年の後半だが、少なくとも 2014 年頃から存在し、定期的に更新されつづけていた様子

感染経路

• 偽のモバイルオペレーター Web サイト経由でモバイル機器のインターネット接続速度を向上させるアプリに偽装して拡散
• ダウンロードされるとセットアップが進行中であるという通知を表示し、その裏で C&C サーバに接続、応答内容によって様々なペイロードをダウンロードする
• これまで確認された感染端末のロケーションはすべてイタリア

対策

• 正規のストア (Google Play ストア) からのみアプリを取得すること
• 内容と不釣り合いなパーミッションを要求してこないか、アプリの名前や開発者名にスペルミスがないか、ダウンロード数が少なすぎないかなどをチェックする。一つでも当てはまればダウンロードしない
• モバイル向けのセキュリティ対策を導入する

悪意のある Chrome 用機能拡張が 50 万人以上のユーザーとビジネスに影響

元記事

www.icebrg.io

便利かつ危険な Web ブラウザの機能拡張

• ほとんどの Web ブラウザには機能拡張を提供し、ブラウザの機能を拡充できるようにしているが、これが任意のコードを挿入される脅威の入り口になる
• 簡単にインストールすることができ、見逃されやすく、ビジネス環境を脆弱にしてしまう
• こうした機能拡張を悪用するとクリック詐欺などを使って端末を制御下におき、組織内ネットワークへの侵入口として利用することができるようになる

悪意のある 4 つの機能拡張が確認される

• ある組織のアウトバウンド トラフィックが急増したことを受け調査を開始
• 悪意のある 4 つの機能拡張により 50 万人のユーザが影響を受けていたことが判明、この中には世界中の企業ユーザが含まれる
• これら 4 つの機能拡張は、クリック詐欺と SEO 詐欺のいずれかあるいは両方の目的で使われていた可能性が高いが、それ以外の攻撃を仕掛けることも可能で、企業ネットワーク侵入の足がかりにもなりうる
  • 今回の 4 つの機能拡張についてどれほどの収益があったかは確認されていないが、似たようなボットネットのケースでは 2013 年時点でオペレーションがテイクダウンされる前に月に 600 万ドル (日本円で6.6億円) 程度の利益があったことがわかっている
• 今回確認された 4 つの機能拡張はすでに Web ストアからは削除されている
  • ただし、すでにインストールされている機能拡張は自動的に削除されない可能性がある
  • サードパーティのリポジトリからのダウンロードは引き続き可能な場合がある

4 つの機能拡張を検出した過程

• ヨーロッパの某 VPS プロバイダで急にアウトバウンドのトラフィック量が跳ね上がる
• パケットを取得して解析、外部 IP アドレス 109.206.161[.]14 への通信が増えていること、change-request[.]info というドメイン宛の HTTP トラフィックが「ppmibgfeefcglejjlpeihfdimbkfbbnm」という ID をもつ Chrome 機能拡張から発信されていることがトラフィック急増の原因と判明
• 当該 ID と紐づく機能拡張名は「Change HTTP Request Header available via Google’s Chrome Web Store」

同様の手法で他に発見された 3 つの機能拡張

技術的背景

Chrome 機能拡張について

• Chrome の JavaScript エンジンは JSON 内の JavaScript コードを評価して実行するが、セキュリティ上の理由から Chrome 側は機能拡張が外部サイトから JSON を取得させないようにしている。機能拡張で JSON を取得したい場合、明示的に CSP Content Security Policy 経由で使用リクエストを出す必要がある。ただし機能拡張が unsafe-eval パーミッションを有効にすれば、外部サイトから取得した JSON (とその中の任意の JavaScript) を実行することができるので、この機能を利用すれば更新サーバーがリクエストを受け取ったタイミングで外部から取得した任意の JavaScript を実行可能になる

4 つの機能拡張について

• いずれの機能拡張も被害端末を強制的にクリック型広告のあるサイトにアクセスさせることで、クリックごとに収益を支払うタイプの広告費をだまし取ろうとするマルウェア
• 外部サイトから難読化した JavaScript を取得して解析をしにくくしている
• 機能拡張のデバッグツールが有効になっている場合は実行しないことで気づかれにくくしている

IOC

• 一連の機能拡張によりアクセスされるドメインおよび IP アドレスの一覧については元記事の資料 B を参照
• 難読化を解除した JavaScript についても元記事の資料 C を参照

ボットネットマルウェア Mirai の亜種として ARC ベースのデバイスを標的にしたマルウェア Okiru が確認される

元記事

thehackernews.com

解析を行ったセキュリティ リサーチ ワーキング グループ MalwareMustDie のサイト:

www.malwaremustdie.org

Okiru について

• Mirai ボットネットの作成者はすでに有罪となり収監されているがソースコードが公開されているため亜種が多数出回っている
• そのひとつが Okiru ボットネットで、確認されているかぎりで初めて Linux OS の稼働する ARC プロセッサベースの組み込みデバイスを標的としたボットネットマルウェア
• VirusTotal に提供されたサンプルへのリンク
• ボットネット Mirai の亜種には ELF ベースの Linux を標的としたものは確認されているが、これまでは MIPS や ARM プロセッサが対象だった

ARC プロセッサについて

• ARC (Argonaut RISC Core) プロセッサは世界で 2 番目に多く利用されている CPU コアで、年間 20億台以上出荷されている
• 用途: モバイルデバイス、カメラ、ユーティリティメーター、テレビ、フラッシュドライブ、自動車や Iot など

予測される影響

• これまで記録されている最大の DDoS 攻撃は、Mirai によりボット化された 15 万台のデバイスによる 1TBps の攻撃
• 2016 年の DynDNS サービスが DDoS により停止したさいに攻撃に加担したボットの数は 10 万台と言われている
• 「もともとセキュリティ上に問題が多いとされる組み込みデバイスが数百万規模でボットネットに加わった場合の影響は深刻となりうる」

感染経路

• TBD (記事中およびリンクされたソース中で説明確認できず)

元記事

researchcenter.paloaltonetworks.com

Satori 概要

• 2017 年 12 月初旬、360 Netlab が新種のマルウェアファミリを発見し、「Satori」と命名
• Satori は「Mirai」から派生したマルウェアで 2 つの脆弱性を悪用
  • CVE-2014-8361: Realtek SDK の miniigd SOAP サービスにおける任意のコードを実行される脆弱性
  • CVE 2017-17215: 2017 年 12 月初旬に修正された Huawei (華為技術) 社製 HG532e ホームゲートウェイの脆弱性
• 脅威情報から Satori には 3 つの亜種があることが確認される
  • 1 つ目の亜種: 2017 年 4 月に登場、最新の攻撃の 8 ヶ月前
• あるバージョンの亜種では CVE 2017-17215 (Huawei (華為技術) 社製 HG532e ホームゲートウェイの脆弱性) を悪用する攻撃が少なくとも 2017 年 11 月後半から観測されていた
  • Satori は教科書通りのゼロデイ攻撃だったことが判明: それまでに知られておらずパッチも用意されていない未知の脆弱性に対する攻撃
• これまでの分析から予測されていたとおり、IoT マルウェアも既知・ゼロデイの脆弱性を悪用するよう進化してきている

攻撃側と防御側の攻防による共進化

• Gafgyt や派生元の Mira などの初期 IoT マルウェアファミリは、デフォルトや弱いパスワードを悪用してデバイスを攻撃するもの
• 攻撃に対抗するためユーザーや製造元がデフォルトパスワードを変更したりパスワードを強固なものに変更
• Amnesia や IoT_Reaper など一部 IoT マルウェア作成者に、この流れに対抗するものが現れ、パスワードではなく特定 IoT デバイスの既知の脆弱性を突く
• 当該デバイスのメーカーが脆弱性を修正して対応するようになる
• 未知の脆弱性やパッチが提供されていない脆弱性を突く攻撃が増える

Satori の進化

• IoT マルウェアがゼロデイ脆弱性を狙うようになる
  • 派生元の Mirai のソースコードを流用し、telnet でスキャンを行いパスワードブルートフォース攻撃などを行う機能を利用
• Satori は相手 IoT 機器の種類を特定し相手によって動作を変える
  • Satori の作成者は様々な IoT デバイスを収集し、ファームウェアをリバースエンジニアリングで解析することで各デバイスに特有の情報や脆弱性を探し当てたのでは?
  • その場合、今後 Satori は上記以外の機器の未知の脆弱性を突く攻撃をしかけるだろう

3 つの亜種

1 つ目の亜種 (2017 年 4 月 22 日)

• インターネットをスキャンしてどの IP アドレスが脆弱かを調べ、telnet で 2223 ポートにパスワード攻撃。ログインに成功するとシェルアクセスを有効化して /bin/busybox satori または /bin/busybox SATORI というコマンドを実行するのみ

2 つ 目の亜種 (2017 年 8 月 13 日)

• 静的検出を回避するためパッカーを追加。パスワード辞書先頭に「aquario」という単語が追加される
• 「aquario」は南米諸国で利用の多い特定ワイヤレスルーターのデフォルトパスワード
  • 攻撃者は故意に南米の機器のボット化を狙った節がある

3 つ目の亜種 (2017 年 11 月 28 日)

• リモートコード実行を許可する 2 つの脆弱性を悪用
  • うち CVE 2017-17215 は悪用時点でゼロデイ
• 2 つ目の亜種と共通のコマンドがある

Mirai と Satori の違い

• Satori は Mirai のオープンソースになったソースコードからネットワークスキャナ、パスワードのブルートフォース攻撃機能、watchdog の無効化など一部機能を流用している
• Satori は /proc を横断検索して /proc/PID/maps と /proc/PID/exe 内に(特定のデバイスを表す) 8 種類の文字列があるかどうかを検索し、あればそのプロセスを kill する
  • Satori の 2 つ目の亜種では kill の動作がデバイスの種類に応じて異なる
  • 前述の 8 種類のデバイスを表す文字列の検索同様に /proc 以下に 「/var/Challenge」、「hi3511」、「/mnt/mtd/app/gui」、「gmDVR」 という 4 つのキーワードが存在するかどうかを検索し、感染デバイスが特定の種別かどうかを確認し、この 4 つのプロセスについては kill しない
• Satori の作成者はこれら 4 つのデバイスのファームウェアをリバースエンジニアリングすることで将来の攻撃に備えるために種類を同定しているのではないかと推測される

まとめ

• Satori マルウェアファミリは、IoT マルウェアが単純なパスワードブルートフォース攻撃を行う攻撃から脆弱性を突く攻撃へと進化していく様子を示す好例
• Mirai のオープンソースコードにより、IoT マルウェアの作成者は最初から有利に亜種開発を行える
• IoT マルウェア作成者が今後も既知の脆弱性を悪用したりゼロデイの脆弱性を発見することで IoT デバイスを攻撃する可能性があるなら今後も注視していくべきだろう