MacOS 用マルウェア Fruitfly の作成者を司法省が起訴

元記事

www.zdnet.com www.zdnet.com blog.malwarebytes.com

概要

• 2017 年 1 月頃、Fruitfly という名前の Mac OS 用マルウェアが MalwareByte 社のセキュリティリサーチャーにより発見される
• オハイオ在住の 28 歳男性が同マルウェアを作成し、数千台の被害者のコンピュータを不正に使用したとして司法省に起訴される

確認されている Fruitfly による被害内容

• Web カメラによる盗撮
• スクリーンショット撮影
• デスクトップ操作内容の窃視
• PC に保存されているデータの窃取
• マウスやキーボードによる端末の操作

FruitFly について

• Fruitfly は非常に古いマルウェアで、Mac OS X がまだ OS X と呼ばれる前の 1998 年頃に最後の更新があったライブラリをも同梱しており、少なくとも 13 年間程度セキュリティリサーチャーに見つけられることなく活動を続けていたものとされる

被害者特定の経緯

• 同マルウェアの C&C サーバーを利用し、被害端末を特定したセキュリティリサーチャー、FBI に問題を報告

「Mac は安全という誤った認識こそが危ない」

• 「Apple は捜査に非協力的」「Apple は自社の PC が安全という実際には根拠のないイメージをユーザーに植え付けすぎているのでは」
• 「Mac は安全だとか自分には見られてこまるデータなどないという根拠のない自信や安心感をもってはいけない。スパイ行為を行うのはなにも ロシアや NSA などに限らない。そこいらの変態も同じデータを狙っていることをユーザーは自覚しなければならない」

「LockPoS」マルウェアが検出を回避する新しい手口

元記事と一次ソース

securityaffairs.co www.cyberbit.com

概要

• 2018 年 1 月 3 日の Cyberbit 社のブログ で「Flokibot マルウェアの亜種「LockPoS」マルウェアが、これまで確認されていない方法でマルウェアをインジェクションしていることが確認された」と報告

LockPoS とは

• LockPoS は、Point of Sales (POS) スキャナが接続された Windows 端末に感染してクレジットカード情報を窃取するマルウェア
• Windows 感染端末のメモリ上で実行されているプロセスのメモリ内容を読み取り、クレジットカード番号とパターンが合致する文字列があれば C&C サーバーに送信する
• Flokibot PoS と呼ばれる別種の POS 用マルウェアとコード内容が類似
• マルウェアをインジェクションする手口がこれまでにないタイプ

感染経路

• Flokibot PoS を拡散するのに使われたのと同じボットネットから配信されている

確認されたマルウェアのインジェクション手法

1. LockPoS は直接 nttdll.dll の API 関数を呼び出さず、ディスク上の ntdll.dll を自分自身(プロセス)の仮想アドレス空間にマッピングする
   1. アンチマルウェアソフトが nttdll.dll に仕掛けたフックによって検出されることを回避するため、フック前の「クリーン」なコードを利用
2. Native Windows API 関数の [NtCreateSection] を使って セクションオブジェクトをカーネル内に作成
   1. SectionPageProtection アトリビュートに 0x40 (PAGE_EXECUTE_READWRITE) を設定。実行権限が付与されておりここから悪意のあるコードを実行させることがわかる
3. NtMapViewOfSection 関数を呼び出し、作成したセクションのビューを別のプロセス (例: インジェクトされるプロセス、たとえば Explorer.exe) にマッピング
4. (悪意のある) コードを当該セクションにコピーし、NtCreateThreadEx または CreateRemoteThread API 関数を使いリモートスレッドを生成
5. マッピングしたコードを実行

まとめ

• 検出を困難とさせる手法は今後も新たに出てくるだろう
• EDR (Endpoint Detection and Response) 製品や次世代アンチウイルス製品はユーザーモードで Windows の関数がどのように利用されているかを監視してはいるが、Windows 10 の場合、カーネルスペースが保護されているためにそうした製品によって監視できない
• 当面とれる対策はメモリ分析の改善に注力することだが、それだけ保護することは簡単ではない

WPA2 の脆弱性 KRACK の公表から 3 ヶ月、WPA3 WiFi 標準が公表される

元記事

1. www.bleepingcomputer.com
2. www.zdnet.com

概要

• WPA2 の脆弱性 KRACK が 3 ヶ月前 (2017 年 10 月末) に公表された
• WiFi Alliance、新しい WiFi プロトコル WPA3 を 2018-01-08 に公表
  • 2004 年から 14 年間ワイヤレスネットワークのセキュリティ標準として利用されてきた古い WPA2 にかわるプロトコル
• 今年後半頃利用可能に
• 4 つの新しい機能
  1. ブルートフォース攻撃からの保護
  2. 近隣にある WiFi が有効化されたデバイスを別のデバイスのための設定パネルとして利用可能に
     • たとえば自分の電話やタブレットを利用して、画面をもたない小さな IoT 機器 (スマートロック、スマート電灯など) の WiFi WPA3 オプションを設定できるようになる
  3. デバイス=ルータ間やデバイス=アクセスポイント間のコネクションを個別に暗号化する「個別データ暗号化 (Individualized Data Encryption)」機能
     • WPA2 では同一ネットワーク内のすべてのデバイスが他のデバイスから送信されたデータを傍受できたが、個別暗号化機能により オープン WiFi ネットワークを安全に利用できるようになる点が大きな改善点
  4. 暗号化標準の改善: CNSS (国家安全保障システム委員会 Committee on National Security Systems) からの CNSA (Commercial National Security Algorithm) スイートに合わせた 192 ビットのセキュリティスイートにより、政府・防衛・産業などで求められる高いセキュリティ要求水準を満たす WiFi ネットワークを実現
• 今後数ヶ月ぐらいで WPA3 をサポートするデバイスが出回り始めると予測

参照記事

• [1] 元記事で参照されている過去記事: New KRACK Attack Breaks WPA2 WiFi Protocol
• [2] 過去記事 [1] が参照している KRACK のリサーチャー Mathy Vanhoef による一次ソース: KRACK Attacks: Breaking WPA2
• [3] 同氏による調査論文『Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 (WPA2 で Nonce の再利用を強制するキー再インストール攻撃)』: https://papers.mathyvanhoef.com/ccs2017.pdf

暗号通貨 Monero のマイナー、採掘した暗号通貨を北朝鮮の大学に送信

参照情報

1. 元記事 AlienVault (一次ソース): www.alienvault.com

概要

• AlienVault の報告: 暗号通貨 Monero を採掘し、採掘したコインを北朝鮮の金日成総合大学に送信するアプリケーションが確認される
  • 2017 年 12 月 24 日にコンパイルされたアプリケーション
  • このアプリケーションは暗号通貨の Monero を採掘するソフトウェア用のインストーラ
  • 採掘したコインは金日成総合大学へ送信される設定
• 同インストーラは intelservice.exe という名前のファイルをコピーする
  • 同名ファイルは暗号通貨をマイニングするマルウェアに頻繁に関連づけられるもの
• 実行時に指定される引数から判断して xmrig (hxxps://github.com/xmrig/xmrig) というソフトウェアである様子
  • xmrig はマルウェアの攻撃キャンペーンでよく利用されているもの
    • 最近では パッチの適用されていない IIS サーバーの脆弱性を悪用して Monero のマイニングを行う攻撃でも観測されている
• インストーラは以下のオプションを指定して xmrig を実行する

  -o barjuok.ryongnamsan.edu.kp:5615 -u 4JUdGzvrMFDWrUUwY... -p KJU" + processorCount + " -k -t " + (processorCount -1)

送信される Monero ウォレットのアドレス

4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS

採掘されたコインを受け取るマイニングサーバーの FQDN

barjuok[.]ryongnamsan.edu.kp

※ ryongnamsan[.]edu.kp は金日成総合大学内にサーバーが配置されていることを示すドメイン。パスワードは KJU となっており、金正恩 を指す可能性が指摘されている

アプリケーションの作成目的は何か?

• barjuok[.]ryongnamsan.edu.kp は名前解決できないので実際には採掘したコインを受け取ることができない
  • 同大学内のネットワークで稼働させることが想定されていたのか?
  • かつては名前解決可能な FQDN が解決できないようになったのか?
  • 北朝鮮のサーバーを使用しているという事実はセキュリテイlリサーチャーをからかう悪戯か?
• 今後予定されている攻撃の実験を観測したものなのか、ハードウェアの所有者が把握している「正当な」マイニング処理なのかは不明
• 同アプリケーションには、通常攻撃者えあれば避けるはずのデバッグ用コメントが埋め込まれている一方で、マイニングアプリケーションのインストール検知をさけるための偽のファイル名も含んでいる
• ソフトウェア作成者が実際に金正日総合大学にいるなら北朝鮮の人間ではないのではないか
  • 金正日総合大学は非常にオープンな大学で、外国人留学生や講師も受け入れている

確認されている検体

• 762c3249904a8bf76802effb54426655
• 42344bb45f351757e8638656e12a0135

初回のアップロード場所とスクリプト内に記載されたフランス語からモロッコ出身者によるものか?

• サンプルは非常に単純で、以下の推測が成り立つ
  1. 初期段階のプロトタイプ?
  2. 同一の場所 (フォーラムなど) からコードをコピーしてきただけで、まったく別の作成者によるもの?
• サンプルはすべてモロッコ人のハッカーがセキュリティリサーチャーへの悪戯として仕掛けたものという可能性もある

既知の北朝鮮によると推測される Monero マイニング関連の攻撃

1. 「Bluenorroff」として知られるグループが、銀行からの窃盗攻撃を試行中、危殆化したサーバー上で Monero をマイニングする試み

2. 「Andariel」として知られるグループが、危殆化した韓国の会社のネットワーク上で Monero をマイニングする試み

3. いずれのグループも Lazarus として知られる攻撃者グループの一部とみなされている

4. Bluenorroff グループは、バングラディッシュ銀行から9 億 5,100 万ドルにおよぶ窃盗を一部成功させたことで知られる
5. Andariel は BlackMine が進化したグループであると推測されており、韓国国防省からの窃盗事件でその名を知られる
6. Lazarus は複数の関連する攻撃者グループで構成されたより「高次の」北朝鮮に関連していることが推測されている攻撃者グループの呼称。
7. 今回発見されたアプリケーションがこれらのグループと関連することを示唆する証拠は確認できない
   • VB による稚拙なコードから考えるとこれらのグループと本アプリケーションが関連している可能性は低い
   • 大学のプロジェクトかなにかではないか?

北朝鮮と暗号通貨マイニングを時系列で振り返る: 2017 年 5 月、暗号通貨関連攻撃へ舵を切る

• 以下 3 つのイベントがすべて 2017 年 5 月に発生:
  • WannaCry ランサムウェア攻撃
  • 北朝鮮に関連付けられた報告された最初のビットコイン取引所 (Bithumb) の危殆化
  • 北朝鮮国内初の BitCoin 採掘 が RecordedFuture に報じられる
• 北朝鮮に割り当てられた IP アドレス範囲はごく少数のため、同じ IP アドレスが繰り返し別の種類の攻撃で登場することがある
  • 175[.]45.178.19 は BlackMine グループに危殆化した Web サーバーの C&C サーバーとして利用された経緯のある北朝鮮に割り当てられた IP アドレスの一つで、現在も BitCoin のトレーディングサイトに活発に活動している
  • 割り当てられた IP アドレス範囲の狭さから、重複する IP アドレスが利用されていることをもって同一攻撃グループが複数の攻撃をしかけているということはできない

結論

• 厳しい制裁を受けている北朝鮮にある大学が暗号通貨に興味を示す事自体はなんら驚きではない
• 実際、平壌科学技術大学 (Pyongyang University of Science & Technology) は外部から暗号通貨について解説してもらうための講師を招いてもいる
• 今回確認されたアプリケーションはそうした暗号通貨獲得への努力の一部かもしれない

2017 年 11 月の Forever 21 小売店からカード情報漏えい: POS システム上にマルウェア、意図したカード情報暗号化が正常処理されずカード情報がログから漏えい

• 元記事 www.darkreading.com
• 参照されている過去の記事
• Forever 21 で顧客情報漏えい: 2017 年 3 月から 2017 年 10 月の間に支払いに利用されたカードの情報が漏えいした可能性があるという問題www.darkreading.com
• Forever 21 の公式発表 Forever 21
  • 2017-11-14 に公表したインシデントについての詳細情報
  • 「サードパーティのクレジットモニタリング機関からカード情報への不正なアクセスの可能性を通知され調査したところ、2015 年に導入したトークン化処理と暗号化処理が正常に機能せず、マルウェアに感染した POS のログ処理装置から情報が漏れたとみられる」
  • マルウェアが異なる複数の店舗の一部の POS システムにインストールされていた
    • マルウェアのインストールが確認された期間: 2017-04-03 から 2017-11-18 まで、対象 POS 装置によって感染期間はまちまち
• 影響を受けたカードは実店舗で使われたカード類でオンラインストアで使用されたカードには影響なし
• 「ダークネットで販売すればカネになることから小売店はサイバー犯罪で狙われやすい。POS システムのセキュリティ対策に本腰を入れなければならない。アンチウイルスソフト、FW だけでなく脅威をプロアクティブに検出する対策を導入しなければならないだろう」

Intel の CPU の設計上の脆弱性「Meltdown」および「Spectre」、全 Windows、Linux および Intel 86-64 ハードウェアを利用する 64-bit MacOS システム、一部の ARM チップセット利用デバイスに影響

• 元記事1 www.theregister.co.uk
• 元記事 1 を参照した日本語の記事 gigazine.net

• 元記事 2 www.zdnet.com

• Intel 社製 CPU に 10 年来の脆弱性、カーネルメモリの内容が漏えいする問題

  • 脆弱性の通名「Meltdown」および「Spectre」
  • 修正パッチの通名「KAISER」
  • 完全に分離されなければならないユーザーモードのプログラムがセキュリティ上の対策として利用されるカーネルのアドレス空間配置のランダム化(KASLR)の仕組みを出し抜いてカーネルモードのメモリの内容をある程度読み取ることができるという脆弱性
• Linux および Windows についてパッチが提供されているが導入するとパフォーマンスが犠牲に
  • 「ベンチマークでは 5%～30% のパフォーマンス低下を招く」
• マイクロコードによる修正は不可、OS のソフトウェアレベルでの対応か根本的な対応ハードウェアの再設計が必要

対策

• Linux 用パッチ
• Microsoft 社は次の Patch Tuesday でセキュリティアップデートを公開する予定
• Microsoft の Azure Cloud は 1/10 にパッチ適用のためのメンテナンスを行う予定
• Amazon Web Services も 2018-01-05 10:00 GMT から 2018-01-06 02:00 GMT にメンテナンスを行うことをメールで顧客に通知

記事の修正

• 2017-01-04「KAISER」は本脆弱性の通名でなく本事象の修正パッチを指すためタイトルおよび内容の説明部分を変更
• 2017-01-04 影響を受けるデバイスの種類として ARM を追記
• 2017-01-04 1995 年から影響があったという元記事 2 の内容から、影響を受けた年数を 10 年から 22 年に修正