2018-01-22 セキュリティニュースまとめ: ネットワーク中立性で偽コメントで世論操作?
The Register: ネットワーク中立性: 偽コメントで世論操作?「FCC に寄せられたコメントのうち百万件が 55 人しかスタッフのいないエロサイトのメールアドレスが送信者アドレスとして登録されていた」「真夜中 0 時に一斉送信」
元記事
概要
- ワシントン DC で SHMOOCON 2018 (ShmooCon ハッキングカンファレンス) が開催される
- 当会場で、データ分析会社の分析官が「トランプ政権以降共和党員が 5 人の委員のうち 3 人の多数派をしめる FCC (連邦通信委員会、 Federal Communications Commission)で、民主党オバマ時代に成立したネットワーク中立性の規制が撤廃された問題に関連し、FCC に寄せられた 2200 万件のパブリックコメント」の解析結果を発表
- 同分析官によれば「FCC 宛のネットワーク中立性に対するパブリックコメントを解析した結果、人間が書き込んだと推測されるコメントはたった 17% で、残りの 83% はボットが生成した反ネットワーク中立性コメントだった」ことが判明
- FCC 側は、コメントの出自となるメールアドレスの正当性もバッチ処理で投稿されたコメントかどうかもチェックせず
- 同時にバッチ処理で真夜中0時ぴったりに投稿されたコメントなどを除いても、まだボットが投稿したと疑われるコメントが多数あり
- 全部が大文字の不自然なコメント
- 米国時間で通常予想される活動時間帯からは外れた時間に大量に寄せられたコメント
- これらの特徴を持つコメントを除外した結果残ったコメントは大部分がネットワーク中立性を支持する内容だったことが判明
- FCC は純粋に党の方針を遵守するためにそもそもネットワーク中立性の撤廃に意欲的で、パブリックコメントの内容がどうであっても参考にしないと表明
- 反ネットワーク中立性のコメントで身分を詐称された有権者について捜査中のニューヨーク州連邦検事に、FCC は当初捜査協力を約束していたが、後にこの約束を撤回している
2018-01-17 セキュリティニュースまとめ: マルスパム解析のススメ
フィルタで検出されたマルスパム解析のススメ
元記事
Reviewing the spam filters: Malspam pushing Gozi-ISFB - SANS Internet Storm Center
概要
マルスパムをうまくアンチスパムフィルタが処理してくれた場合、その後の攻撃手法を知らぬままになってしまうことが多い。 マルスパムがフィルタをすり抜けてインボックスに着信した場合、内容が不自然だったり社員教育が奏功したりでひっかかる社員が「今回」たまたまいなかったとしても、攻撃手法は進化していくので「次も」そうなるとは限らない。 すでにスパムフィルタ等で処理されたり誰もひっかからなかったマルスパムであっても、添付されたマルウェアが何をしようとしたのかを解析することは、自組織がどのようなサイバー脅威にさらされているかについての重要なインテリジェンスをもたらす。
2 通のサンプルマルスパムの解析例
- 実在する正当な組織名を含むマクロ入り Word 文書が添付されたマルスパムが 2 通着信した
- 当該マルスパムには、既知の Windows の脆弱性を狙った Ursnif の亜種、Gozi-ISFB が含まれていた
- Ursnif は不正送金マルウェア
- 詳細: マルウェア情報:情報提供|一般財団法人日本サイバー犯罪対策センター
- Gozi-ISFB については Malspam Distributing Ursnif (Gozi ISFB) – Malware Breakdown に詳細な解析情報あり
1 つ目の Word 文書
2 通目の Word 文書
- 1 つ目の Word 文書を開くと、Gozi-ISFB により未知のマルウェアが追加ダウンロードされ、その後 tcp/443 で DNS クエリを行わず、紐付いたドメイン名もない特定 IP への通信が開始される
- 追加ダウンロードされた未知のマルウェアは、winmm.dll という名前の悪意のある DLL で、正当な Windows システムファイルである presentationsettings.exe が読み込むようになっている。両方のファイルは新規に作成される感染ユーザの AppData\Roaming フォルダ以下に保存される
IOC
元記事の Indicators に一覧があるのでそちらを参照のこと
接続先の悪意のあるドメイン
- ijqdjqnwiduqujqiuezxc[.]com
- adistributedmean[.]net
- fyibc[.]com
- fortrunernaskdneazxd[.]com
- bithedistributedlicense[.]net
- fyicreative[.]ca
まとめ
スパムフィルタリングの性能が高く、端末の管理や社員教育がしっかり行われることは重要で、その結果メールに添付されているマルウェアがユーザーに到達しないのは喜ばしい。ただし攻撃者は常に手口を変えて防御をかいくぐろうとするので、今回の 2 通目のように未知のマルウェアが手口の変更により侵入に成功する可能性もある。そのため、フィルタがうまく機能した場合や社員教育のおかげで誰もマルウェアを開かなかった場合でも、添付されたマルウェアを解析して事前に攻撃者像のインテリジェンスを得ておくことは重要である。
2018-01-17 セキュリティニュースまとめ: カナダ人男性30億人分のアカウント情報を不正販売したとして告訴、Skygofree スパイウェアの特徴的な機能、50万人のユーザに影響を与えたChromeの不正機能拡張が4つ確認される
カナダ・トロント在住の男性、漏えいした情報から不正に取得した 30 億人分のアカウント情報をインターネット上で不正に販売したなど 4 つの刑法犯罪で告訴される
元記事
概要
- カナダ在住の 27 歳の男性が、自身のサイト LeakedSource[.]com でおよそ 30 億人分の個人情報、アカウント情報等を不正に取得・販売していたなど 4 つの罪で告発され、2018-01-15 に出廷
- 個人情報の売買
- コンピュータの不正使用 (刑法 s.342.1)
- データへの損害
- 犯罪により取得した資産の所有
- 同サイトは警察により 2017 年 1 月にシャットダウン済
- シャットダウンされる前に同サイトでは以下のような世界中の情報漏えいインシデント被害を受けたサイトからのアカウント情報をあつめ販売していた
- Dropbox
- Weebly
- Foursquare
- Tumblr
- Rambler[.]ru
- MySpace
- AdultFriendFinder
- 同サイトでは、漏えいした情報を復号して整理した上でキーワード検索を可能にして有料で情報提供していた
- 「同サイトはダークウェブとインターネットの間の中間者のような役割を果たしていたサイト」と警察のコメント
- 「(2017年1月のシャットダウン時点では)おそらく世界最大のアカウント情報販売サイトだっただろう」
- 犯人の男性は同Webサイトの管理者としておよそ 24.7万 ドル (日本円でおよそ2700万) を荒稼ぎしていたという
Android を狙う「映画のような」スパイウェア Skygofree が見つかる
元記事
特徴・機能
- Android のトロイの木馬型スパイウェア「Skygofree」
- 他では見かけないような特徴をもつ
- アクセシビリティ サービスを悪用し、WhatsApp などから画面に表示された情報を窃取
- フロントカメラでスマートフォンがアンロックされたさいに写真を撮影
- 入電した電話、SMS、カレンダーの内容、ユーザーデータ等も窃取
活動期間
- Skygofree が確認されたのは 2017 年の後半だが、少なくとも 2014 年頃から存在し、定期的に更新されつづけていた様子
感染経路
- 偽のモバイルオペレーター Web サイト経由でモバイル機器のインターネット接続速度を向上させるアプリに偽装して拡散
- ダウンロードされるとセットアップが進行中であるという通知を表示し、その裏で C&C サーバに接続、応答内容によって様々なペイロードをダウンロードする
- これまで確認された感染端末のロケーションはすべてイタリア
対策
- 正規のストア (Google Play ストア) からのみアプリを取得すること
- 内容と不釣り合いなパーミッションを要求してこないか、アプリの名前や開発者名にスペルミスがないか、ダウンロード数が少なすぎないかなどをチェックする。一つでも当てはまればダウンロードしない
- モバイル向けのセキュリティ対策を導入する
悪意のある Chrome 用機能拡張が 50 万人以上のユーザーとビジネスに影響
元記事
便利かつ危険な Web ブラウザの機能拡張
- ほとんどの Web ブラウザには機能拡張を提供し、ブラウザの機能を拡充できるようにしているが、これが任意のコードを挿入される脅威の入り口になる
- 簡単にインストールすることができ、見逃されやすく、ビジネス環境を脆弱にしてしまう
- こうした機能拡張を悪用するとクリック詐欺などを使って端末を制御下におき、組織内ネットワークへの侵入口として利用することができるようになる
悪意のある 4 つの機能拡張が確認される
- ある組織のアウトバウンド トラフィックが急増したことを受け調査を開始
- 悪意のある 4 つの機能拡張により 50 万人のユーザが影響を受けていたことが判明、この中には世界中の企業ユーザが含まれる
- これら 4 つの機能拡張は、クリック詐欺と SEO 詐欺のいずれかあるいは両方の目的で使われていた可能性が高いが、それ以外の攻撃を仕掛けることも可能で、企業ネットワーク侵入の足がかりにもなりうる
- 今回の 4 つの機能拡張についてどれほどの収益があったかは確認されていないが、似たようなボットネットのケースでは 2013 年時点でオペレーションがテイクダウンされる前に月に 600 万ドル (日本円で6.6億円) 程度の利益があったことがわかっている
- 今回確認された 4 つの機能拡張はすでに Web ストアからは削除されている
4 つの機能拡張を検出した過程
- ヨーロッパの某 VPS プロバイダで急にアウトバウンドのトラフィック量が跳ね上がる
- パケットを取得して解析、外部 IP アドレス 109.206.161[.]14 への通信が増えていること、change-request[.]info というドメイン宛の HTTP トラフィックが「ppmibgfeefcglejjlpeihfdimbkfbbnm」という ID をもつ Chrome 機能拡張から発信されていることがトラフィック急増の原因と判明
- 当該 ID と紐づく機能拡張名は「Change HTTP Request Header available via Google’s Chrome Web Store」
同様の手法で他に発見された 3 つの機能拡張
名称 | 機能拡張 ID | ユーザー数 | 関連ドメイン |
---|---|---|---|
Nyoogle - Custom Logo for Google | ginfoagmgomhccdaclfbbbhfjgmphkph | ~509,736 | *.nyoogle[.]info |
Lite Bookmarks** | mpneoicaochhlckfkackiigepakdgapj | 不明 | lite-bookmarks[.]info |
Stickies - Chrome's Post-it Notes | djffibmpaakodnbmcdemmmjmeolcmbae | ~21,600 | stickies[.]pro |
技術的背景
Chrome 機能拡張について
- Chrome の JavaScript エンジンは JSON 内の JavaScript コードを評価して実行するが、セキュリティ上の理由から Chrome 側は機能拡張が外部サイトから JSON を取得させないようにしている。機能拡張で JSON を取得したい場合、明示的に CSP Content Security Policy 経由で使用リクエストを出す必要がある。ただし機能拡張が unsafe-eval パーミッションを有効にすれば、外部サイトから取得した JSON (とその中の任意の JavaScript) を実行することができるので、この機能を利用すれば更新サーバーがリクエストを受け取ったタイミングで外部から取得した任意の JavaScript を実行可能になる
4 つの機能拡張について
- いずれの機能拡張も被害端末を強制的にクリック型広告のあるサイトにアクセスさせることで、クリックごとに収益を支払うタイプの広告費をだまし取ろうとするマルウェア
- 外部サイトから難読化した JavaScript を取得して解析をしにくくしている
- 機能拡張のデバッグツールが有効になっている場合は実行しないことで気づかれにくくしている
IOC
- 一連の機能拡張によりアクセスされるドメインおよび IP アドレスの一覧については元記事の資料 B を参照
- 難読化を解除した JavaScript についても元記事の資料 C を参照
2018-01-16 セキュリティニュースまとめ: パッチの適用されていない Web サーバーを狙う新種の暗号通貨のマイニングマルウェア RubyMiner が確認される
パッチの適用されていない Web サーバーを狙う新種の暗号通貨のマイニングマルウェア RubyMiner が確認される
元記事
一次ソース
- ‘RubyMiner’ Cryptominer Affects 30% of WW Networks - Check Point Research
- Ruby RCE pushing Monero Coinminer | Certego
RubyMiner の概要
項目 | 説明 |
---|---|
攻撃の開始が確認された日 | 2018-01-09 ~ 2018-01-10 |
攻撃対象 | Linux および Windows サーバー |
攻撃手法 | Web サーバーのフィンガープリンティングツール p0f を使いパッチ未適用の Linux / Windows の Web サーバーをスキャン・同定、既知のエクスプロイトを利用し RubyMiner に感染させる |
感染台数 | 700 台程度 |
攻撃に利用される脆弱性
項目 | CVE |
---|---|
Ruby on Rails XML Processor YAML Deserialization Code Execution | CVE-2013-0156 |
PHP php-cgi Query String Parameter Code Execution | CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878 |
Microsoft IIS ASP Scripts Source Code Disclosure | CVE-2005-2678 |
当該マルウェアの Linux 版で確認された特徴
- 悪意のあるコードは robots.txt ファイルに隠蔽
- エクスプロイトコードにはシェルコマンドを含む
- 攻撃者は cron ジョブをすべて削除し、1 時間おきに実行するジョブを新規に追加
- 当該ジョブでオンライン上にホスティングしたスクリプトをダウンロード
- 当該スクリプトは様々なドメインの robots.txt ファイル内に格納されている
- スクリプトは正当な XMRig Monero マイニングアプリケーションを修正したものをダウンロード・インストールする
- 「Windows IIS サーバー用の検体は未入手で解析されていない」
攻撃グループについて
- robots.txt が置かれたドメインは、2013 年に別のマルウェア攻撃キャンペーンに使われたドメインと同一 (lochjol[.]com)
- 同じ Ruby on Rails のエクスプロイトを RubyMiner 攻撃でも利用しようとしたことから、2013 年の攻撃と同一のグループが背後におり、今回は RubyMiner を拡散しようとしたと推測される
暗号通貨 Monero の採掘を行うマルウェアが増加傾向
- 最近は全体に暗号通貨のマイニングを狙ったマルウェアの拡散が目立つが、Monero をマイニング(採掘)しようとするマルウェアがとくに増加傾向
- 2017 年に見つかった Monero のマイニングを行うマルウェア
- 2018 年以降に見つかった Monero のマイニングを行うマルウェア (~ 2018 年 1 月 14 日まで)
まとめ
- パッチ未適用のサーバーが多いゼロデイに近い脆弱性を狙われることが多い
- RubyMinder は 2013 年の古い脆弱性を使っている点が特徴的で、既存のセキュリティ対策で検出できる可能性が高く、Web サーバーの所有者に攻撃に気づかれる可能性が高い
- 攻撃者は古い OS 上で稼働し、オンラインになっていることが忘れ去られた状態で放置されているWebサーバーを故意に狙ったのか?
- そうしたサーバーであれば、長期間気づかれることなくマイニングに悪用できると考えた?
- XMRig マイナーの攻撃者がもつウォレットアドレスから確認できたマイニング額は 540 ドル程度 (日本円で6万円弱) しかない
- より新しい脆弱性を悪用するほど利益を拡大できたのではないか?
2018-01-15 セキュリティニュースまとめ: Mirai の亜種 Okiru 初めて ARC ベースのデバイスを標的にボット化
ボットネットマルウェア Mirai の亜種として ARC ベースのデバイスを標的にしたマルウェア Okiru が確認される
元記事
解析を行ったセキュリティ リサーチ ワーキング グループ MalwareMustDie のサイト:
Okiru について
- Mirai ボットネットの作成者はすでに有罪となり収監されているがソースコードが公開されているため亜種が多数出回っている
- そのひとつが Okiru ボットネットで、確認されているかぎりで初めて Linux OS の稼働する ARC プロセッサベースの組み込みデバイスを標的としたボットネットマルウェア
- VirusTotal に提供されたサンプルへのリンク
- ボットネット Mirai の亜種には ELF ベースの Linux を標的としたものは確認されているが、これまでは MIPS や ARM プロセッサが対象だった
ARC プロセッサについて
- ARC (Argonaut RISC Core) プロセッサは世界で 2 番目に多く利用されている CPU コアで、年間 20億台以上出荷されている
- 用途: モバイルデバイス、カメラ、ユーティリティメーター、テレビ、フラッシュドライブ、自動車や Iot など
予測される影響
- これまで記録されている最大の DDoS 攻撃は、Mirai によりボット化された 15 万台のデバイスによる 1TBps の攻撃
- 2016 年の DynDNS サービスが DDoS により停止したさいに攻撃に加担したボットの数は 10 万台と言われている
- 「もともとセキュリティ上に問題が多いとされる組み込みデバイスが数百万規模でボットネットに加わった場合の影響は深刻となりうる」
感染経路
- TBD (記事中およびリンクされたソース中で説明確認できず)
2018-01-14 セキュリティニュースまとめ: Mac OS の DNS 設定をハイジャックするマルウェア MaMi
Mac OS デバイスの DNS 設定をハイジャックするマルウェア MaMi
元記事
securityaffairs.co Objective-See
MaMi とは
- Mac OS デバイスの DNS 設定をハイジャックして変更するマルウェア
- DNS Hijacked - Malware Removal for Mac - Malwarebytes Forums で最初に報告された
- 発見時点で VirusTotal で検出可能なエンジン無し
- 感染するとルート証明書がインストールされた上で DNS 設定が書き換えられ、82[.]163.143.135 と 82[.]163.142.137 に向けられる
- 中間者攻撃による認証情報の窃取、広告の挿入などに悪用されうる
- 確認された MaMi のマルウェア機能
感染経路
- 調査・元記事の執筆時点では不明 (フィッシング、不正な Web 広告、ソーシャルエンジニアリングなど様々な経路が考えられる)
感染有無の確認方法
- DNS 設定を確認し、設定されている IP アドレスが 82[.]163.143.135 と 82[.]163.142.137 に向けられていないかどうかを確認
2018-01-12 セキュリティニュースまとめ: ホームルータをボット化する IoT マルウェア、パッチ公開前の未知の脆弱性悪用が判明
元記事
researchcenter.paloaltonetworks.com
Satori 概要
- 2017 年 12 月初旬、360 Netlab が新種のマルウェアファミリを発見し、「Satori」と命名
- Satori は「Mirai」から派生したマルウェアで 2 つの脆弱性を悪用
- 脅威情報から Satori には 3 つの亜種があることが確認される
- 1 つ目の亜種: 2017 年 4 月に登場、最新の攻撃の 8 ヶ月前
- あるバージョンの亜種では CVE 2017-17215 (Huawei (華為技術) 社製 HG532e ホームゲートウェイの脆弱性) を悪用する攻撃が少なくとも 2017 年 11 月後半から観測されていた
- これまでの分析から予測されていたとおり、IoT マルウェアも既知・ゼロデイの脆弱性を悪用するよう進化してきている
攻撃側と防御側の攻防による共進化
- Gafgyt や派生元の Mira などの初期 IoT マルウェアファミリは、デフォルトや弱いパスワードを悪用してデバイスを攻撃するもの
- 攻撃に対抗するためユーザーや製造元がデフォルトパスワードを変更したりパスワードを強固なものに変更
- Amnesia や IoT_Reaper など一部 IoT マルウェア作成者に、この流れに対抗するものが現れ、パスワードではなく特定 IoT デバイスの既知の脆弱性を突く
- 当該デバイスのメーカーが脆弱性を修正して対応するようになる
- 未知の脆弱性やパッチが提供されていない脆弱性を突く攻撃が増える
Satori の進化
- IoT マルウェアがゼロデイ脆弱性を狙うようになる
- 派生元の Mirai のソースコードを流用し、telnet でスキャンを行いパスワードブルートフォース攻撃などを行う機能を利用
- Satori は相手 IoT 機器の種類を特定し相手によって動作を変える
3 つの亜種
1 つ目の亜種 (2017 年 4 月 22 日)
- インターネットをスキャンしてどの IP アドレスが脆弱かを調べ、telnet で 2223 ポートにパスワード攻撃。ログインに成功するとシェルアクセスを有効化して /bin/busybox satori または /bin/busybox SATORI というコマンドを実行するのみ
2 つ 目の亜種 (2017 年 8 月 13 日)
- 静的検出を回避するためパッカーを追加。パスワード辞書先頭に「aquario」という単語が追加される
- 「aquario」は南米諸国で利用の多い特定ワイヤレスルーターのデフォルトパスワード
- 攻撃者は故意に南米の機器のボット化を狙った節がある
3 つ目の亜種 (2017 年 11 月 28 日)
- リモートコード実行を許可する 2 つの脆弱性を悪用
- うち CVE 2017-17215 は悪用時点でゼロデイ
- 2 つ目の亜種と共通のコマンドがある
Mirai と Satori の違い
- Satori は Mirai のオープンソースになったソースコードからネットワークスキャナ、パスワードのブルートフォース攻撃機能、watchdog の無効化など一部機能を流用している
- Satori は /proc を横断検索して /proc/PID/maps と /proc/PID/exe 内に(特定のデバイスを表す) 8 種類の文字列があるかどうかを検索し、あればそのプロセスを kill する
- Satori の作成者はこれら 4 つのデバイスのファームウェアをリバースエンジニアリングすることで将来の攻撃に備えるために種類を同定しているのではないかと推測される