2018-01-15 セキュリティニュースまとめ: Mirai の亜種 Okiru 初めて ARC ベースのデバイスを標的にボット化
ボットネットマルウェア Mirai の亜種として ARC ベースのデバイスを標的にしたマルウェア Okiru が確認される
元記事
解析を行ったセキュリティ リサーチ ワーキング グループ MalwareMustDie のサイト:
Okiru について
- Mirai ボットネットの作成者はすでに有罪となり収監されているがソースコードが公開されているため亜種が多数出回っている
- そのひとつが Okiru ボットネットで、確認されているかぎりで初めて Linux OS の稼働する ARC プロセッサベースの組み込みデバイスを標的としたボットネットマルウェア
- VirusTotal に提供されたサンプルへのリンク
- ボットネット Mirai の亜種には ELF ベースの Linux を標的としたものは確認されているが、これまでは MIPS や ARM プロセッサが対象だった
ARC プロセッサについて
- ARC (Argonaut RISC Core) プロセッサは世界で 2 番目に多く利用されている CPU コアで、年間 20億台以上出荷されている
- 用途: モバイルデバイス、カメラ、ユーティリティメーター、テレビ、フラッシュドライブ、自動車や Iot など
予測される影響
- これまで記録されている最大の DDoS 攻撃は、Mirai によりボット化された 15 万台のデバイスによる 1TBps の攻撃
- 2016 年の DynDNS サービスが DDoS により停止したさいに攻撃に加担したボットの数は 10 万台と言われている
- 「もともとセキュリティ上に問題が多いとされる組み込みデバイスが数百万規模でボットネットに加わった場合の影響は深刻となりうる」
感染経路
- TBD (記事中およびリンクされたソース中で説明確認できず)
2018-01-11 セキュリティニュースまとめ: MacOS 用マルウェア Fruitfly の作成者を司法省が起訴、「LockPoS」マルウェアが検出を回避する新しい手口
MacOS 用マルウェア Fruitfly の作成者を司法省が起訴
元記事
www.zdnet.com www.zdnet.com blog.malwarebytes.com
概要
- 2017 年 1 月頃、Fruitfly という名前の Mac OS 用マルウェアが MalwareByte 社のセキュリティリサーチャーにより発見される
- オハイオ在住の 28 歳男性が同マルウェアを作成し、数千台の被害者のコンピュータを不正に使用したとして司法省に起訴される
確認されている Fruitfly による被害内容
- Web カメラによる盗撮
- スクリーンショット撮影
- デスクトップ操作内容の窃視
- PC に保存されているデータの窃取
- マウスやキーボードによる端末の操作
FruitFly について
- Fruitfly は非常に古いマルウェアで、Mac OS X がまだ OS X と呼ばれる前の 1998 年頃に最後の更新があったライブラリをも同梱しており、少なくとも 13 年間程度セキュリティリサーチャーに見つけられることなく活動を続けていたものとされる
被害者特定の経緯
- 同マルウェアの C&C サーバーを利用し、被害端末を特定したセキュリティリサーチャー、FBI に問題を報告
「Mac は安全という誤った認識こそが危ない」
- 「Apple は捜査に非協力的」「Apple は自社の PC が安全という実際には根拠のないイメージをユーザーに植え付けすぎているのでは」
- 「Mac は安全だとか自分には見られてこまるデータなどないという根拠のない自信や安心感をもってはいけない。スパイ行為を行うのはなにも ロシアや NSA などに限らない。そこいらの変態も同じデータを狙っていることをユーザーは自覚しなければならない」
「LockPoS」マルウェアが検出を回避する新しい手口
元記事と一次ソース
securityaffairs.co www.cyberbit.com
概要
- 2018 年 1 月 3 日の Cyberbit 社のブログ で「Flokibot マルウェアの亜種「LockPoS」マルウェアが、これまで確認されていない方法でマルウェアをインジェクションしていることが確認された」と報告
LockPoS とは
- LockPoS は、Point of Sales (POS) スキャナが接続された Windows 端末に感染してクレジットカード情報を窃取するマルウェア
- Windows 感染端末のメモリ上で実行されているプロセスのメモリ内容を読み取り、クレジットカード番号とパターンが合致する文字列があれば C&C サーバーに送信する
- Flokibot PoS と呼ばれる別種の POS 用マルウェアとコード内容が類似
- マルウェアをインジェクションする手口がこれまでにないタイプ
感染経路
- Flokibot PoS を拡散するのに使われたのと同じボットネットから配信されている
確認されたマルウェアのインジェクション手法
- LockPoS は直接 nttdll.dll の API 関数を呼び出さず、ディスク上の ntdll.dll を自分自身(プロセス)の仮想アドレス空間にマッピングする
- アンチマルウェアソフトが nttdll.dll に仕掛けたフックによって検出されることを回避するため、フック前の「クリーン」なコードを利用
- Native Windows API 関数の [NtCreateSection] を使って セクションオブジェクトをカーネル内に作成
- SectionPageProtection アトリビュートに 0x40 (PAGE_EXECUTE_READWRITE) を設定。実行権限が付与されておりここから悪意のあるコードを実行させることがわかる
- NtMapViewOfSection 関数を呼び出し、作成したセクションのビューを別のプロセス (例: インジェクトされるプロセス、たとえば Explorer.exe) にマッピング
- (悪意のある) コードを当該セクションにコピーし、NtCreateThreadEx または CreateRemoteThread API 関数を使いリモートスレッドを生成
- マッピングしたコードを実行
まとめ
2018-01-10 セキュリティニュースまとめ: 「起訴」は 2018 年の有効なサイバー攻撃対策ツール (米国)
米国発: 2017 年のサイバー犯罪に対する起訴の増加は 2018 年の対策にどのような意味を持つのか
元記事
背景
2017 年は、サイバー犯罪者に対する起訴が増加した
- 2017 年 11 月、連邦検事が HBO のデータ漏えい事件について、イラン軍とつながりのあるイラン人を起訴
- 産業スパイ行為に対し APT3 または Gothic Panda の通り名で知られる中国の脅威グループ の 3 人の中国人メンバーを起訴
- ロシア連邦保安庁職員と共謀して Yahoo! の侵害に関わったとしてカナダ人ハッカーが有罪を認め司法取引
- Andromeda、Kelihos などを含むボットネット黒幕の起訴や逮捕
- 米国司法省が 2016 年に起きた民主党全国委員会 (DNC) のハッキングに関連し 6 名のロシア人を起訴する可能性もある
起訴されても逮捕や有罪判決に至らない例は確かにある
- 表向き、初めて起訴を明示的なサイバー攻撃対策とした 2014 年に PLA (中国人民解放軍) メンバーが起訴された事件では逮捕に至らず
それでもこうしたサイバー犯罪者を名指しで起訴することには今後のサイバー政策、サイバー犯罪において一定の効果がある
サイバー犯罪者の起訴による効果とは
1. 犯罪抑止効果
起訴が増えることで、政策立案者がサイバー攻撃に対しようやく包括的な立法・対策を行える。効果は 100% ではないが起訴に持ち込み名指しで恥をかかせることで、攻撃者に直接影響を及ぼすことができる
2. カウンターエスピオナージ効果
OPM、Yahoo、HBO の事例では、サイバー攻撃には起訴という結果が伴うことを示した
- 攻撃者が他国の政府や軍部から依頼をうけて活動した場合、その情報に精通することになる
- こうした攻撃者の起訴が逮捕につながれば、依頼国は自国のインテリジェンスが攻撃者の逮捕により漏えいすることを懸念せざるをえない
3. 起訴が実際の犯人特定につながることを示せる
起訴することで、犯人の特定がまったく不可能ではないことを示すことができる
- 司法省はいくつかの大規模侵害事件で犯人特定にいたる
- 逮捕につなげるために起訴に持ち込むことが有効なだけでなく、黒幕となっている国家へのメッセージも発信することができるという点で重要
4. 攻撃した国家を名指しせずにすみ、報復措置をさけられる
国家と擬似的に提携してサイバー攻撃を行うサイバー犯罪者グループと外国政府の間の境界はもはや明確ではない。
- 起訴によって、政府を名指することなく、そうした外国政府の諜報活動を制約できるというメリット
- 外国政府そのものを名指ししてしまうと、それが軍事・経済・外交上の報復措置につながるのでそれを避けられる
- 中国人を起訴した米国の検事 Soo C. Song は「起訴された人物が国家と共謀していたかどうかについては本起訴では関知しない」ことを明言
- 2015 年に米中で同意した産業スパイに関する条約が反故にされたと明言することは避けられる
まとめ
- 起訴は司法省のもつサイバー攻撃者に対する現時点で最も有効なツール
- 攻撃者には現実世界で刑事罰を受ける可能性を自覚させることができる
- 2018 年を通じてサイバー犯罪や産業スパイへの対策として、民間による攻撃か国家による攻撃かを明言しない起訴が拡大するだろう
参照記事
2018-01-09 セキュリティニュースまとめ: WPA2 脆弱性 KRACK を受け WPA3 プロトコル標準が公表される、北朝鮮金正日総合大学を送信先とした暗号通貨 Monero のマイニングソフトインストーラが確認される
WPA2 の脆弱性 KRACK の公表から 3 ヶ月、WPA3 WiFi 標準が公表される
元記事
概要
- WPA2 の脆弱性 KRACK が 3 ヶ月前 (2017 年 10 月末) に公表された
- WiFi Alliance、新しい WiFi プロトコル WPA3 を 2018-01-08 に公表
- 2004 年から 14 年間ワイヤレスネットワークのセキュリティ標準として利用されてきた古い WPA2 にかわるプロトコル
- 今年後半頃利用可能に
- 4 つの新しい機能
- ブルートフォース攻撃からの保護
- 近隣にある WiFi が有効化されたデバイスを別のデバイスのための設定パネルとして利用可能に
- デバイス=ルータ間やデバイス=アクセスポイント間のコネクションを個別に暗号化する「個別データ暗号化 (Individualized Data Encryption)」機能
- 暗号化標準の改善: CNSS (国家安全保障システム委員会 Committee on National Security Systems) からの CNSA (Commercial National Security Algorithm) スイートに合わせた 192 ビットのセキュリティスイートにより、政府・防衛・産業などで求められる高いセキュリティ要求水準を満たす WiFi ネットワークを実現
- 今後数ヶ月ぐらいで WPA3 をサポートするデバイスが出回り始めると予測
参照記事
- [1] 元記事で参照されている過去記事: New KRACK Attack Breaks WPA2 WiFi Protocol
- [2] 過去記事 [1] が参照している KRACK のリサーチャー Mathy Vanhoef による一次ソース: KRACK Attacks: Breaking WPA2
- [3] 同氏による調査論文『Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 (WPA2 で Nonce の再利用を強制するキー再インストール攻撃)』: https://papers.mathyvanhoef.com/ccs2017.pdf
暗号通貨 Monero のマイナー、採掘した暗号通貨を北朝鮮の大学に送信
参照情報
- 元記事 AlienVault (一次ソース): www.alienvault.com
概要
- AlienVault の報告: 暗号通貨 Monero を採掘し、採掘したコインを北朝鮮の金日成総合大学に送信するアプリケーションが確認される
- 同インストーラは intelservice.exe という名前のファイルをコピーする
- 同名ファイルは暗号通貨をマイニングするマルウェアに頻繁に関連づけられるもの
- 実行時に指定される引数から判断して xmrig (hxxps://github.com/xmrig/xmrig) というソフトウェアである様子
- xmrig はマルウェアの攻撃キャンペーンでよく利用されているもの
- 最近では パッチの適用されていない IIS サーバーの脆弱性を悪用して Monero のマイニングを行う攻撃でも観測されている
- xmrig はマルウェアの攻撃キャンペーンでよく利用されているもの
- インストーラは以下のオプションを指定して xmrig を実行する
-o barjuok.ryongnamsan.edu.kp:5615 -u 4JUdGzvrMFDWrUUwY... -p KJU" + processorCount + " -k -t " + (processorCount -1)
送信される Monero ウォレットのアドレス
4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS
採掘されたコインを受け取るマイニングサーバーの FQDN
barjuok[.]ryongnamsan.edu.kp
※ ryongnamsan[.]edu.kp は金日成総合大学内にサーバーが配置されていることを示すドメイン。パスワードは KJU となっており、金正恩 を指す可能性が指摘されている
アプリケーションの作成目的は何か?
- barjuok[.]ryongnamsan.edu.kp は名前解決できないので実際には採掘したコインを受け取ることができない
- 今後予定されている攻撃の実験を観測したものなのか、ハードウェアの所有者が把握している「正当な」マイニング処理なのかは不明
- 同アプリケーションには、通常攻撃者えあれば避けるはずのデバッグ用コメントが埋め込まれている一方で、マイニングアプリケーションのインストール検知をさけるための偽のファイル名も含んでいる
- ソフトウェア作成者が実際に金正日総合大学にいるなら北朝鮮の人間ではないのではないか
- 金正日総合大学は非常にオープンな大学で、外国人留学生や講師も受け入れている
確認されている検体
初回のアップロード場所とスクリプト内に記載されたフランス語からモロッコ出身者によるものか?
- サンプルは非常に単純で、以下の推測が成り立つ
- 初期段階のプロトタイプ?
- 同一の場所 (フォーラムなど) からコードをコピーしてきただけで、まったく別の作成者によるもの?
- サンプルはすべてモロッコ人のハッカーがセキュリティリサーチャーへの悪戯として仕掛けたものという可能性もある
既知の北朝鮮によると推測される Monero マイニング関連の攻撃
- 「Bluenorroff」として知られるグループが、銀行からの窃盗攻撃を試行中、危殆化したサーバー上で Monero をマイニングする試み
「Andariel」として知られるグループが、危殆化した韓国の会社のネットワーク上で Monero をマイニングする試み
いずれのグループも Lazarus として知られる攻撃者グループの一部とみなされている
- Bluenorroff グループは、バングラディッシュ銀行から9 億 5,100 万ドルにおよぶ窃盗を一部成功させたことで知られる
- Andariel は BlackMine が進化したグループであると推測されており、韓国国防省からの窃盗事件でその名を知られる
- Lazarus は複数の関連する攻撃者グループで構成されたより「高次の」北朝鮮に関連していることが推測されている攻撃者グループの呼称。
- 今回発見されたアプリケーションがこれらのグループと関連することを示唆する証拠は確認できない
- VB による稚拙なコードから考えるとこれらのグループと本アプリケーションが関連している可能性は低い
- 大学のプロジェクトかなにかではないか?
北朝鮮と暗号通貨マイニングを時系列で振り返る: 2017 年 5 月、暗号通貨関連攻撃へ舵を切る
- 以下 3 つのイベントがすべて 2017 年 5 月に発生:
- WannaCry ランサムウェア攻撃
- 北朝鮮に関連付けられた報告された最初のビットコイン取引所 (Bithumb) の危殆化
- 北朝鮮国内初の BitCoin 採掘 が RecordedFuture に報じられる
- 北朝鮮に割り当てられた IP アドレス範囲はごく少数のため、同じ IP アドレスが繰り返し別の種類の攻撃で登場することがある
結論
2018-01-08 セキュリティニュースまとめ
マイクロソフト、決済手段としてのビットコイン利用を停止「通貨として不安定なため」
元記事
概要
- Microsoft は 2014年に決済手段としてビットコインを追加、過去にも一時停止
- Steamも「手数料高騰と貨幣価値の乱高下」を理由に2017年12月に同様の停止判断
- 貨幣価格の乱高下でタイミングに依存し多額の損失を被りうるための措置/Microsoft はアカウントにドル建てで現金をチャージする手段としてのビットコインは受け入れ
Oracle WebLoic Server の脆弱性を悪用した攻撃キャンペーンが確認される
元記事
https://isc.sans.edu/diary.html?date=2018-01-04
概要
- Oracle WebLogic Server の脆弱性を悪用して Monero 暗号通貨の採掘を行うマイニングスクリプトを埋め込む攻撃が確認される
- 悪用される脆弱性はCVE-2017-10271
- Oracle からのパッチおよびセキュリティアドバイザリ
- 影響を受けるバージョン (以下は Oracle アドバイザリでのサポート対象製品のみ。サポート対象外では 10.3.3.0 にも影響)
- 10.3.6.0.0
- 12.1.3.0.0
- 12.2.1.1.0
- 12.2.1.2.0
確認された攻撃の内容
- Bash スクリプトで URL 「
/wls-wsat/CoordinatorPortType」に対してアクセスし、文字列「Web Services」を含む応答が返ってくるかどうかをチェックすることで脆弱なシステムを探す - 脆弱なシステムが見つかると次にドロッパースクリプトが Monero のマイニングスクリプトをドロップする
- WebLogic の停止記録によって WebLogic Server ユーザーが攻撃に気づくこともある
これまでに確認されている IOC
ネットワーク
- hxxp://165.227.215.25/
- hxxp://165.227.215.25/xmrig-y
- hxxps://165.227.215.25/xmrig-y
- hxxp://165.227.215.25/java_infected
- hxxp://165.227.215.25/xmrig-y%20$mName
- hxxp://165.227.215.25/5555
- hxxp://165.227.215.25/xmrig-aeon.exe
- hxxp://165.227.215.25/xmrig-y.exe
- hxxp://165.227.215.25/xmrig-y%20$
- hxxp://165.227.215.25/xmrig
IP アドレス
- IP アドレス 165[.]227.215.25 が攻撃にも、暗号通貨マイナーのバイナリ用リポジトリとしても利用されている
ハッシュ値 (MD5)
0e0ad37bc72453e4ec2a6029517a8edd 44d3ea4f3542f246a5535c9f114fbb09
謝辞: 分析時の協力者
- Diego Piffaretti 氏
- Victor Matuk 氏
参考文献
[1] http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.htm [2] https://isc.sans.edu/api/threatlist/miner
2017-01-03 セキュリティニュースまとめ
2017 年 11 月の Forever 21 小売店からカード情報漏えい: POS システム上にマルウェア、意図したカード情報暗号化が正常処理されずカード情報がログから漏えい
- 元記事 www.darkreading.com
- 参照されている過去の記事
- Forever 21 で顧客情報漏えい: 2017 年 3 月から 2017 年 10 月の間に支払いに利用されたカードの情報が漏えいした可能性があるという問題www.darkreading.com
- Forever 21 の公式発表 Forever 21
- 影響を受けたカードは実店舗で使われたカード類でオンラインストアで使用されたカードには影響なし
- 「ダークネットで販売すればカネになることから小売店はサイバー犯罪で狙われやすい。POS システムのセキュリティ対策に本腰を入れなければならない。アンチウイルスソフト、FW だけでなく脅威をプロアクティブに検出する対策を導入しなければならないだろう」
Intel の CPU の設計上の脆弱性「Meltdown」および「Spectre」、全 Windows、Linux および Intel 86-64 ハードウェアを利用する 64-bit MacOS システム、一部の ARM チップセット利用デバイスに影響
- 元記事1 www.theregister.co.uk
- 元記事 1 を参照した日本語の記事 gigazine.net
元記事 2 www.zdnet.com
- Linux および Windows についてパッチが提供されているが導入するとパフォーマンスが犠牲に
- 「ベンチマークでは 5%~30% のパフォーマンス低下を招く」
- マイクロコードによる修正は不可、OS のソフトウェアレベルでの対応か根本的な対応ハードウェアの再設計が必要
対策
- Linux 用パッチ
- Microsoft 社は次の Patch Tuesday でセキュリティアップデートを公開する予定
- Microsoft の Azure Cloud は 1/10 にパッチ適用のためのメンテナンスを行う予定
- Amazon Web Services も 2018-01-05 10:00 GMT から 2018-01-06 02:00 GMT にメンテナンスを行うことをメールで顧客に通知
記事の修正
2018-01-02 セキュリティニュースまとめ
phpMyAdmin の「緊急」の XSRF/CSRF 脆弱性にパッチ公開
- 元記事 www.securityweek.com
- phpMyAdmin の公開したセキュリティアドバイザリ phpMyAdmin - Security - PMASA-2017-9
元記事が参照しているセキュリティリサーチャーのブログ This Vulnerability in phpMyAdmin Lets An Attacker Perform DROP TABLE With A Single Click! - Cyber World Mirror
phpMyAdmin とは
- 影響を受けるバージョン: 4.7.7 未満 (4.7.7 を含まない)
- 修正されたバージョン: 4.7.7 またはそれ以降
- 報告された問題: 被害者が phpMyAdmin の cPanel Web ホスティングインタフェースにログイン後、攻撃者が細工した URL を開くと、被害者の db が不正に操作されうる問題 。たとえば DROP TABLE クエリの実行も可能。ログイン後アクティブなセッションさえあれば、phpMyAdmin が閉じられていても悪用されうる
- 脆弱性の原因: phpMyAdmin が GET リクエストを発行する際 CSRF 対策をしていない