2018-02-04: セキュリティニュースまとめ: ソフトウェア ダウンロード アグレゲーション サービス サイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される
ソフトウェア ダウンロード アグレゲーション サービス サイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される
元記事 MalwwareBytes Labs
概要
- インシデントの確認日: 2018-02-01
- MacUpdate がセキュリティ侵害を受け、同サービスが配信するソフトウェアに暗号通貨 Monero の採掘 (マイニング) 用スクリプトが埋め込まれて配信される
- MacUpdate は正規のソフトウェアデベロッパの配信サービスを取りまとめて一覧表示するいわゆる「ダウンロードアグレゲーション」サービスを提供しているサイト
発生した侵害内容
- MacUpdate サイトが参照する各正規サイトの URL が書き換えられ、悪意のあるソフトウェアがダウンロードされる
| 正規ドメイン | 偽ドメイン |
|---|---|
| titanium-software.fr | titaniumsoftware[.]org |
| mozilla.net | cdn-mozilla[.]net |
同サービスから配信された感染アプリケーション
感染機序
- 侵害を受けたサイト上でユーザーが偽ドメインを開き、ユーザーがダウンロードしようとしたソフトウェア(以降この正規ソフトウェア部分を指して「おとり」)を同梱した感染済みソフトウェア(以降この部分を指して「悪意のあるスクリプト」)をダウンロード
- 「悪意のあるスクリプト」は「おとり」に似せて作られた *.dmg ファイルで、自身をアプリケーションフォルダにドラッグ & ドロップしてインストールするようユーザーに促す
- ユーザーがインストールした「悪意のあるスクリプト」を開くとマルウェアのペイロードが Adobe が保有する正規ドメインの public.adobecc.com からダウンロードされる
- 「悪意のあるスクリプト」は続いて同梱していた「おとり」を開き、ユーザーがダウンロードしたつもりの正規ソフトウェアが正常に起動されたように装う
- 「悪意のあるスクリプト」はダウンロードしたマルウェアのペイロードをユーザーの /Library フォルダ以下に展開し、MacOSupdate.plist というファイルをインストールして定期的にこのスクリプトを実行させるためのローンチエージェントを登録する
- MacOSupdate.plist が実行されると、新しい MacOS.plist がダウンロードされて MacOSupdate.plist に置換される
- MacOS.plist が悪意のある sysmdworker プロセスをロードする:
sh -c ~/Library/mdworker/sysmdworker -user walker18[@]protonmail.ch -xmr
- sysmdworker が Monero のマイニングを行うマルウェア本体で、minergate-cli というコマンドラインツールで採掘を行い、定期的に minergate[.]com に、上記の引数に指定されているメールアドレス walker18[@]protonmail.ch でログインする
本マルウェアの特徴
- 感染 Onyx の動作要件は MacOS 10.7 とそれ以降だが、正規の Onyx は MacOS 10.13 以降でのみ動作する。したがって MacOS 10.7 より新しく MacOS 10.13 より古いシステム上で感染した Onyx をインストールして実行した場合、マルウェア部分のみが起動するものの「おとり」部分が起動できない。これにより、MacOS 10.3 より古いシステムを利用しているユーザーは、ソフトウェアに問題が発生していることに気づくチャンスがある。
- 感染 Deeper の場合、攻撃者は同梱ソフトウェアを間違え、おとり部分に Deeper の代わりに Onyx を同梱してしまっている。このため、Deeper をインストールしたら Onyx が起動する結果となる。やはりここでも問題が発生していることに気づくチャンスがある。
まとめ
- ダウンロード アグレゲーション サービスは利用しない。正規サイトが侵害されないわけではないが、アグレゲーションサイトは格段に侵害リスクが高い。こうしたサービス提供者自身がマルウェアやアドウェアなどを正規ソフトウェアに同梱する場合もあるし、セキュリティ上の問題が多い。
- 正規のソフトウェア開発者からダウンロードする場合でも、ソフトウェアの評価やレビュー数を常に意識する。極端に評価の低いソフトウェアやレビュー数の少ないソフトウェアを利用しない。
- ダウンロードしたソフトウェアが起動しない、CPU 使用率が 100% に張り付いたままになるなど意図したように動作しない状況に気づいたら何か問題が発生している可能性があると疑い、システム全体をセキュリティソフトウェアでスキャンする
- 最後に「Mac はウイルスに感染しない」という馬鹿げた都市伝説を信じてはいけない
2018-02-02: セキュリティニュースまとめ: Adobe Flash Player にゼロデイ脆弱性 CVE-2018-4878
Adobe Flash Player にゼロデイ脆弱性 CVE-2018-4878
ソース
KISA からのセキュリティ情報 www.krcert.or.kr
報告者 Simon Choi 氏のツイート
Flash 0day vulnerability that made by North Korea used from mid-November 2017. They attacked South Koreans who mainly do research on North Korea. (no patch yet) pic.twitter.com/bbjg1CKmHh
— Simon Choi (@issuemakerslab) 2018年2月1日セキュリティアドバイザリ (Adobe) helpx.adobe.com
概要
- Adobe Flash Player に新規の脆弱性 注意勧告 2018.01.31
- Adobe Flash Player にゼロデイ脆弱性が発見される
- 攻撃者は細工をした Flash ファイルが含まれている Microsoft Office 文書、Web ページ、迷惑メールなどをユーザーが開くように誘導して悪意のあるコードを配布する可能性がある
脆弱性関連情報
| 脆弱性のカテゴリ | 影響度 | 深刻度 | CVE 番号 |
|---|---|---|---|
| Use-after-free (解放後のメモリ使用) | リモートからのコード実行 | 致命的 | CVE-2018-4878 |
影響を受ける製品とバージョン (Adobe)
| 製品 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Flash Player Desktop Runtime | 28.0.0.137 およびそれ以前 | Windows, Macintosh |
| Adobe Flash Player for Google Chrome | 28.0.0.137 およびそれ以前 | Windows, Macintosh, Linux, Chrome OS |
| Adobe Flash Player for Microsoft Edge および Internet Explorer 11 | 28.0.0.137 およびそれ以前 | Windows 10, 8.1 |
| Adobe Flash Player Desktop Runtime | 28.0.0.137 およびそれ以前 | Linux |
修正パッチ
回避方法
削除方法
ベストプラクティス
- 怪しいウェブサイトを訪問しない
- 送信者不明おメールに添付されているファイルを閲覧せず、URL リンクを開かない
- 使用しているデスクトップ AV ソフトウェアの定義ファイル(パターンファイル) を最新にする
- リアルタイム監視機能を有効にする
- Flash が有効な Internet Explorer (IE) のユーザーは影響を受けるため、パッチがリリースされるまでは Flash が無効に設定されている Chrome、Firefox を使用する
これまでに確認されている悪用
ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (2): 犯罪被害者ほど道徳上問題のある行動をとる傾向がある、基本的対策とは
前回までの内容
サイバー犯罪被害者の方が非被害者よりも道徳上グレーな行為を容認している
- グローバルで 81% の消費者は「サイバー犯罪は犯罪」と認識しているがその 43% が「道徳的に問題のあるオンラインでの行動」を自分がやっている
- グローバルで 26 % の消費者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答
- グローバルで 21% の消費者は、偽のメールアドレスや他人のメールアドレスをオンラインで詐称することは許容されうる場合がある」と回答
- グローバルで 15% の消費者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答
- グローバルでサイバー犯罪被害者の 53% がこうした「道徳上問題がある行為」を容認しているが、サイバー犯罪の被害にあっていない人では 32% のみが容認している
- グローバルで 31% のサイバー犯罪被害者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 18% のみ
- グローバルで 25% のサイバー犯罪被害者は、「オンラインで身分を詐称することは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 14% のみ
- グローバルで 18% のサイバー犯罪被害者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 10% のみ
2017 年の度重なる侵害事件にもかかわらず、消費者は個人情報を預かる信用情報会社等の機構への信頼は失わない一方、政府への信頼は失う
- 消費者はグローバルで、個人情報を預かる以下のような組織に対し、従来と同じレベルの信頼を保ち続けている:
- 76% が ID 詐称対策サービスを信頼している
- 80% がインターネット サービス プロバイダを信頼している
- 80% がメール プロバイダを信頼している
- 82% が金融機関を信頼している
- 41% の消費者が政府が政府の保持するデータや個人情を保護できていないと考えている (=> 59% のみが政府を信頼している)
対策
基本的なことをないがしろにしない
- 基本に忠実に。顔認証や声紋認証は確かに効果的だが、それはパスワード認証などの基本的対策をきちんと行った場合にのみ効果を発揮する
- 公開されている情報に紐づくようなパスワードは使わず、自分自身は覚えやすく、十分に長く、他人はわからないランダムなパスワードを作成し、利用できるのであれば二段階認証や二要素認証を利用すればさらに悪用は難しくなる。またアカウントに侵害を通知する機能やログインのつど通知する機能があるかどうかを確認し、ある場合は有効にする。パスワードが侵害されたと通知があるか、見に覚えのないログインが確認された場合を除き、一定期間でパスワードを変更する必要はないだろう。また覚えるのが難しいと感じる場合はパスワード管理ソフトを利用するのが良い*1
- 公衆 WiFi の利用は慎重に。個人情報やアカウント情報を保護されていない WiFi で流さない。クレジットカード、ログイン、などの行為は行わない。やむなく公衆 WiFi 経由でそうした情報をやりとりする場合、最低限 VPN を利用すること。
- ルータや IoT 機器などは購入直後にデフォルトパスワードから変更すること。必要なければホーム用の IoT 機器はリモートからのログイン無効化をすること。ワイヤレス接続をする場合は WiFi の方式とパスワードを強力なものにして漏えいを防ぐこと。
- フィッシングメールにひっかからないこと。メールに添付されたファイルやリンクはとくに知らない人からの場合は開かない。知っている人からでも、相手の PC やメールアカウントが侵害されている可能性がある点に考慮すること*2。
- 所有しているデバイスに最新のセキュリティ対策を導入する*3
*1:フレーズからパスワードを作成する方法は案外ランダムにはならないため、筆者はお勧めしない。パスワードを覚えることなど最初から考えず、パスワード管理ツールの生成機能で生成した許容しうる限りの長さと複雑さの完全にランダムな文字列を利用する方がまだマシなパスワードができる。パスワード管理ソフトも信頼しないのであれば、生成だけ毎回パスワード管理ソフトにやらせて、ログインのつどパスワードリセットリクエストを送信するという使い方の方をするほうが良いだろう。二段階認証・二要素認証を利用できる場合たしかに利用することでセキュリティが強化できる場合もあるが SMS で6桁の数字を送信するなどの二段階認証しか用意していない場合、この仕組み自体を悪用することが可能なので、Google Authenticator や Octa などサードパーティの数値生成サービスが利用できる場合に利用するなども検討が必要。またパスワード管理ソフトを名乗るアプリの中には、パスワード窃取を目的としたマルウェアも出回っているため、評判が高く信頼のできる有料のものを利用すること。
*2:メールに添付されているファイルや文中のリンクは誰からのものであっても直接開かない方が良いと筆者は考える。送られてくることが期待されている文書をよく知っている送信者から受け取った場合でも、余裕があれば2-3日開けずにおいておき、スキャンさせてから開くほうがよいだろう。開く場合は一度プレビューで開き、拡張子の偽造やマクロの埋め込みなどがないかどうかを確認することが望ましい。文中のリンクはカーソルをロールオーバーし、本当に意図されたドメインに接続するかどうかを綴り間違いがないかを含めて確認すること。銀行やショッピングサイトなどからのメールであれば、文中リンクはいっさいクリックせず、ブックマークしているサイトや検索したサイトで表示されたリンクからアカウントにログインし、そこから内容を確認するのが望ましい
*3:一部の安価なスマートデバイスは、メーカー出荷時点ですでにハードウェア的にバックドアが仕込まれている場合があり、スマートデバイス上で対策をしても手遅れである場合がある。このため、後からつけたしで対策をするのではなく、どのようなスマートデバイスを選ぶかが重要となる。OS 自体が堅牢なエコシステムを持っているかどうか、セキュリティ更新が十分な頻度・速度で提供されているかに加え、サードパーティのストアからはアプリを入手しないなどの基本的対策もする必要がある
ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (1): 2017 年のサイバー犯罪被害者は 9億7800万人、被害額は 1720 億ドル
一次ソース
2017 ノートン サイバーセキュリティ インサイトレポート: グローバル篇 2017 Norton Cyber Security Insights Report Global Results ※ レポートが長いため 5 回に分割
得られた知見
消費者は自身のサイバーセキュリティ知識について自信過剰
- 過剰な自信が自身を危険に晒し、サイバー犯罪者はその弱みにつけいって記録的成功をおさめる
- 2017 年は 20 カ国で 9 億 7800 万人がサイバー犯罪による影響を受けた
- 消費者の 44% が過去 12 ヶ月にサイバー攻撃による影響を受けた
- 消費者または消費者の知り合いが経験した最も一般的なサイバー犯罪には次のものがあげられる
- この結果、サイバー犯罪の犠牲となった被害者は全世界で 1720 億ドル (19兆円) の損害を受け、一人あたりの平均では 142 ドル (1万5千円) を失った
- また全世界で 24 時間近く (またはフルタイム勤務の 3 日分) の時間を後始末のために費やした
サイバー犯罪被害者はサイバーセキュリティについて言行不一致
- 口ではサイバーセキュリティの大切さを説きながら行動が伴わず結果的に自分自身をサイバー犯罪の危険にさらしている
- 被害者に見られる 3 つの特徴
- 自身のサイバーセキュリティスキルに自信過剰
- サイバー犯罪の被害者の方が被害にあわなかった人々よりもサイバーセキュリティの重要性をよく口にするが行動が伴わず単純なミスをしがち
- 消費者の 44% がサイバー犯罪被害にあっているが、被害者の 39% は自身の機密情報の保護に自信があり 33% は自身の行動はリスクが低いと信じている
- いくつものデバイスを愛用する
- 基本的な対策を怠る
- 自身のサイバーセキュリティスキルに自信過剰
ミレニアル世代 (2000 年以降生まれ)、その両親 (団塊ジュニア)、そしてベビーブーマー世代 (団塊世代) まで、全世代でセキュリティに関してほぼ「ノーガード戦法」
- ミレニアル世代
- 最もデジタル機器に慣れ親しんでいる世代で、最も多くのガジェットを所有している (平均 4 台)
- もっとも高度なセキュリティ対策を実施 (32%): パターンマッチング、顔認証、VPN、声紋認証、二要素認証など
- ところが単純なセキュリティ対策ミスもおかしがちで、パスワード管理がずさん(70%) でサイバー犯罪の被害者になりやすい
- 去年 1 年だけで全世界のミレニアル世代の 60% がサイバー犯罪被害にあっている
- 4 人に 1 人 (26%) のミレニアル世代ユーザーは同一パスワードをすべてのアカウントに使いまわしている (団塊世代では 10% のみ)
- 全世界でミレニアル世代の 63% が少なくとも 1 つ以上のパスワードを他者と共有している (団塊の世代では 36% のみ)
- 団塊の世代とそれより上の世代はもっとも安全な年齢グループだが失敗もおかす
- 団塊ジュニア世代は子どもとインターネットについては心配の種が多い
2018-01-17 セキュリティニュースまとめ: マルスパム解析のススメ
フィルタで検出されたマルスパム解析のススメ
元記事
Reviewing the spam filters: Malspam pushing Gozi-ISFB - SANS Internet Storm Center
概要
マルスパムをうまくアンチスパムフィルタが処理してくれた場合、その後の攻撃手法を知らぬままになってしまうことが多い。 マルスパムがフィルタをすり抜けてインボックスに着信した場合、内容が不自然だったり社員教育が奏功したりでひっかかる社員が「今回」たまたまいなかったとしても、攻撃手法は進化していくので「次も」そうなるとは限らない。 すでにスパムフィルタ等で処理されたり誰もひっかからなかったマルスパムであっても、添付されたマルウェアが何をしようとしたのかを解析することは、自組織がどのようなサイバー脅威にさらされているかについての重要なインテリジェンスをもたらす。
2 通のサンプルマルスパムの解析例
- 実在する正当な組織名を含むマクロ入り Word 文書が添付されたマルスパムが 2 通着信した
- 当該マルスパムには、既知の Windows の脆弱性を狙った Ursnif の亜種、Gozi-ISFB が含まれていた
- Ursnif は不正送金マルウェア
- 詳細: マルウェア情報:情報提供|一般財団法人日本サイバー犯罪対策センター
- Gozi-ISFB については Malspam Distributing Ursnif (Gozi ISFB) – Malware Breakdown に詳細な解析情報あり
1 つ目の Word 文書
2 通目の Word 文書
- 1 つ目の Word 文書を開くと、Gozi-ISFB により未知のマルウェアが追加ダウンロードされ、その後 tcp/443 で DNS クエリを行わず、紐付いたドメイン名もない特定 IP への通信が開始される
- 追加ダウンロードされた未知のマルウェアは、winmm.dll という名前の悪意のある DLL で、正当な Windows システムファイルである presentationsettings.exe が読み込むようになっている。両方のファイルは新規に作成される感染ユーザの AppData\Roaming フォルダ以下に保存される
IOC
元記事の Indicators に一覧があるのでそちらを参照のこと
接続先の悪意のあるドメイン
- ijqdjqnwiduqujqiuezxc[.]com
- adistributedmean[.]net
- fyibc[.]com
- fortrunernaskdneazxd[.]com
- bithedistributedlicense[.]net
- fyicreative[.]ca
まとめ
スパムフィルタリングの性能が高く、端末の管理や社員教育がしっかり行われることは重要で、その結果メールに添付されているマルウェアがユーザーに到達しないのは喜ばしい。ただし攻撃者は常に手口を変えて防御をかいくぐろうとするので、今回の 2 通目のように未知のマルウェアが手口の変更により侵入に成功する可能性もある。そのため、フィルタがうまく機能した場合や社員教育のおかげで誰もマルウェアを開かなかった場合でも、添付されたマルウェアを解析して事前に攻撃者像のインテリジェンスを得ておくことは重要である。
2018-01-17 セキュリティニュースまとめ: カナダ人男性30億人分のアカウント情報を不正販売したとして告訴、Skygofree スパイウェアの特徴的な機能、50万人のユーザに影響を与えたChromeの不正機能拡張が4つ確認される
カナダ・トロント在住の男性、漏えいした情報から不正に取得した 30 億人分のアカウント情報をインターネット上で不正に販売したなど 4 つの刑法犯罪で告訴される
元記事
概要
- カナダ在住の 27 歳の男性が、自身のサイト LeakedSource[.]com でおよそ 30 億人分の個人情報、アカウント情報等を不正に取得・販売していたなど 4 つの罪で告発され、2018-01-15 に出廷
- 個人情報の売買
- コンピュータの不正使用 (刑法 s.342.1)
- データへの損害
- 犯罪により取得した資産の所有
- 同サイトは警察により 2017 年 1 月にシャットダウン済
- シャットダウンされる前に同サイトでは以下のような世界中の情報漏えいインシデント被害を受けたサイトからのアカウント情報をあつめ販売していた
- Dropbox
- Weebly
- Foursquare
- Tumblr
- Rambler[.]ru
- MySpace
- AdultFriendFinder
- 同サイトでは、漏えいした情報を復号して整理した上でキーワード検索を可能にして有料で情報提供していた
- 「同サイトはダークウェブとインターネットの間の中間者のような役割を果たしていたサイト」と警察のコメント
- 「(2017年1月のシャットダウン時点では)おそらく世界最大のアカウント情報販売サイトだっただろう」
- 犯人の男性は同Webサイトの管理者としておよそ 24.7万 ドル (日本円でおよそ2700万) を荒稼ぎしていたという
Android を狙う「映画のような」スパイウェア Skygofree が見つかる
元記事
特徴・機能
- Android のトロイの木馬型スパイウェア「Skygofree」
- 他では見かけないような特徴をもつ
- アクセシビリティ サービスを悪用し、WhatsApp などから画面に表示された情報を窃取
- フロントカメラでスマートフォンがアンロックされたさいに写真を撮影
- 入電した電話、SMS、カレンダーの内容、ユーザーデータ等も窃取
活動期間
- Skygofree が確認されたのは 2017 年の後半だが、少なくとも 2014 年頃から存在し、定期的に更新されつづけていた様子
感染経路
- 偽のモバイルオペレーター Web サイト経由でモバイル機器のインターネット接続速度を向上させるアプリに偽装して拡散
- ダウンロードされるとセットアップが進行中であるという通知を表示し、その裏で C&C サーバに接続、応答内容によって様々なペイロードをダウンロードする
- これまで確認された感染端末のロケーションはすべてイタリア
対策
- 正規のストア (Google Play ストア) からのみアプリを取得すること
- 内容と不釣り合いなパーミッションを要求してこないか、アプリの名前や開発者名にスペルミスがないか、ダウンロード数が少なすぎないかなどをチェックする。一つでも当てはまればダウンロードしない
- モバイル向けのセキュリティ対策を導入する
悪意のある Chrome 用機能拡張が 50 万人以上のユーザーとビジネスに影響
元記事
便利かつ危険な Web ブラウザの機能拡張
- ほとんどの Web ブラウザには機能拡張を提供し、ブラウザの機能を拡充できるようにしているが、これが任意のコードを挿入される脅威の入り口になる
- 簡単にインストールすることができ、見逃されやすく、ビジネス環境を脆弱にしてしまう
- こうした機能拡張を悪用するとクリック詐欺などを使って端末を制御下におき、組織内ネットワークへの侵入口として利用することができるようになる
悪意のある 4 つの機能拡張が確認される
- ある組織のアウトバウンド トラフィックが急増したことを受け調査を開始
- 悪意のある 4 つの機能拡張により 50 万人のユーザが影響を受けていたことが判明、この中には世界中の企業ユーザが含まれる
- これら 4 つの機能拡張は、クリック詐欺と SEO 詐欺のいずれかあるいは両方の目的で使われていた可能性が高いが、それ以外の攻撃を仕掛けることも可能で、企業ネットワーク侵入の足がかりにもなりうる
- 今回の 4 つの機能拡張についてどれほどの収益があったかは確認されていないが、似たようなボットネットのケースでは 2013 年時点でオペレーションがテイクダウンされる前に月に 600 万ドル (日本円で6.6億円) 程度の利益があったことがわかっている
- 今回確認された 4 つの機能拡張はすでに Web ストアからは削除されている
4 つの機能拡張を検出した過程
- ヨーロッパの某 VPS プロバイダで急にアウトバウンドのトラフィック量が跳ね上がる
- パケットを取得して解析、外部 IP アドレス 109.206.161[.]14 への通信が増えていること、change-request[.]info というドメイン宛の HTTP トラフィックが「ppmibgfeefcglejjlpeihfdimbkfbbnm」という ID をもつ Chrome 機能拡張から発信されていることがトラフィック急増の原因と判明
- 当該 ID と紐づく機能拡張名は「Change HTTP Request Header available via Google’s Chrome Web Store」
同様の手法で他に発見された 3 つの機能拡張
| 名称 | 機能拡張 ID | ユーザー数 | 関連ドメイン |
|---|---|---|---|
| Nyoogle - Custom Logo for Google | ginfoagmgomhccdaclfbbbhfjgmphkph | ~509,736 | *.nyoogle[.]info |
| Lite Bookmarks** | mpneoicaochhlckfkackiigepakdgapj | 不明 | lite-bookmarks[.]info |
| Stickies - Chrome's Post-it Notes | djffibmpaakodnbmcdemmmjmeolcmbae | ~21,600 | stickies[.]pro |
技術的背景
Chrome 機能拡張について
- Chrome の JavaScript エンジンは JSON 内の JavaScript コードを評価して実行するが、セキュリティ上の理由から Chrome 側は機能拡張が外部サイトから JSON を取得させないようにしている。機能拡張で JSON を取得したい場合、明示的に CSP Content Security Policy 経由で使用リクエストを出す必要がある。ただし機能拡張が unsafe-eval パーミッションを有効にすれば、外部サイトから取得した JSON (とその中の任意の JavaScript) を実行することができるので、この機能を利用すれば更新サーバーがリクエストを受け取ったタイミングで外部から取得した任意の JavaScript を実行可能になる
4 つの機能拡張について
- いずれの機能拡張も被害端末を強制的にクリック型広告のあるサイトにアクセスさせることで、クリックごとに収益を支払うタイプの広告費をだまし取ろうとするマルウェア
- 外部サイトから難読化した JavaScript を取得して解析をしにくくしている
- 機能拡張のデバッグツールが有効になっている場合は実行しないことで気づかれにくくしている
IOC
- 一連の機能拡張によりアクセスされるドメインおよび IP アドレスの一覧については元記事の資料 B を参照
- 難読化を解除した JavaScript についても元記事の資料 C を参照
2018-01-16 セキュリティニュースまとめ: パッチの適用されていない Web サーバーを狙う新種の暗号通貨のマイニングマルウェア RubyMiner が確認される
パッチの適用されていない Web サーバーを狙う新種の暗号通貨のマイニングマルウェア RubyMiner が確認される
元記事
一次ソース
- ‘RubyMiner’ Cryptominer Affects 30% of WW Networks - Check Point Research
- Ruby RCE pushing Monero Coinminer | Certego
RubyMiner の概要
| 項目 | 説明 |
|---|---|
| 攻撃の開始が確認された日 | 2018-01-09 ~ 2018-01-10 |
| 攻撃対象 | Linux および Windows サーバー |
| 攻撃手法 | Web サーバーのフィンガープリンティングツール p0f を使いパッチ未適用の Linux / Windows の Web サーバーをスキャン・同定、既知のエクスプロイトを利用し RubyMiner に感染させる |
| 感染台数 | 700 台程度 |
攻撃に利用される脆弱性
| 項目 | CVE |
|---|---|
| Ruby on Rails XML Processor YAML Deserialization Code Execution | CVE-2013-0156 |
| PHP php-cgi Query String Parameter Code Execution | CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878 |
| Microsoft IIS ASP Scripts Source Code Disclosure | CVE-2005-2678 |
当該マルウェアの Linux 版で確認された特徴
- 悪意のあるコードは robots.txt ファイルに隠蔽
- エクスプロイトコードにはシェルコマンドを含む
- 攻撃者は cron ジョブをすべて削除し、1 時間おきに実行するジョブを新規に追加
- 当該ジョブでオンライン上にホスティングしたスクリプトをダウンロード
- 当該スクリプトは様々なドメインの robots.txt ファイル内に格納されている
- スクリプトは正当な XMRig Monero マイニングアプリケーションを修正したものをダウンロード・インストールする
- 「Windows IIS サーバー用の検体は未入手で解析されていない」
攻撃グループについて
- robots.txt が置かれたドメインは、2013 年に別のマルウェア攻撃キャンペーンに使われたドメインと同一 (lochjol[.]com)
- 同じ Ruby on Rails のエクスプロイトを RubyMiner 攻撃でも利用しようとしたことから、2013 年の攻撃と同一のグループが背後におり、今回は RubyMiner を拡散しようとしたと推測される
暗号通貨 Monero の採掘を行うマルウェアが増加傾向
- 最近は全体に暗号通貨のマイニングを狙ったマルウェアの拡散が目立つが、Monero をマイニング(採掘)しようとするマルウェアがとくに増加傾向
- 2017 年に見つかった Monero のマイニングを行うマルウェア
- 2018 年以降に見つかった Monero のマイニングを行うマルウェア (~ 2018 年 1 月 14 日まで)
まとめ
- パッチ未適用のサーバーが多いゼロデイに近い脆弱性を狙われることが多い
- RubyMinder は 2013 年の古い脆弱性を使っている点が特徴的で、既存のセキュリティ対策で検出できる可能性が高く、Web サーバーの所有者に攻撃に気づかれる可能性が高い
- 攻撃者は古い OS 上で稼働し、オンラインになっていることが忘れ去られた状態で放置されているWebサーバーを故意に狙ったのか?
- そうしたサーバーであれば、長期間気づかれることなくマイニングに悪用できると考えた?
- XMRig マイナーの攻撃者がもつウォレットアドレスから確認できたマイニング額は 540 ドル程度 (日本円で6万円弱) しかない
- より新しい脆弱性を悪用するほど利益を拡大できたのではないか?
