• HOME
    • セキュリティブログ

高度にパーソナライズされた情報やサービスに多様な相互接続デバイスから即座にアクセスすることに対する個人の期待が高まり、この需要がビジネスと社会の両方のデジタル変革を促進しています。変革に後れをとらないようにするには、機械学習や人工知能などを利用して市場の動向を把握・予測し、それに応答する能力を高める必要があります。

さらに、これらの新しいテクノロジーを悪用しようとする犯罪分子も増えています。個人情報や財務情報にアクセスするオンラインデバイスが急増し、自動車/家庭/オフィスの多種多様なIoTデバイスや重要インフラからスマートシティの登場まで、あらゆるものの接続と相互接続が拡大することで、サイバー犯罪者にとっての新たな破壊的チャンスが生まれています。

サイバー犯罪市場は、より効果的な攻撃を作り出すために、人工知能などの領域の最先端テクノロジーを巧みに採用しています。この傾向は2018年に加速し、以下に述べる破壊的な傾向をもたらすことになると予想されます。


予測:自己学習型のハイブネットとスウォームボットの登場

PREDICTION: THE RISE OF SELF-LEARNING HIVENETS AND SWARMBOTS / 予測:自己学習型のハイブネットとスウォームボットの登場

データが常に更新される数十億のノードを使用する予測分析によって、コンピューティングリソースによる世界の変革がまったく新しい考え方でとらえられるようになります。これに基づくことで、個々のノード間での情報共有が簡単に実現します。これがスウォームテクノロジーの基盤です。

そのため、より効果的な攻撃を作り出すために、サイバー犯罪者は知性をもたないゾンビデバイスで構成されるボットネットに代わって、感染デバイスのインテリジェントなクラスターを使用するようになっていくことが容易に予測されます。このようなクラスターは、もはやボットネットではなくハイブネットです。数百万台の相互接続されたデバイス(スウォームボット)を使用して、多様な攻撃ベクトルを同時に識別して処理できるため、前例のない規模での攻撃が可能になります。

個々のスウォームボットはゾンビデバイスとは違って高度なインテリジェンスを備えているため、このようなハイブネットは特に危険です。スウォームボットは互いに通信し、共有するローカルのインテリジェンスに基づいて動作します。スウォームインテリジェンスを使用して、ボットネットコントローラーが指示しなくともコマンドに基づいて行動します。また、ハイブの新しいメンバーを募集して訓練できます。このために、ハイブネットはより多くのデバイスを識別して侵害し、飛躍的な勢いで増殖でき、それによって複数の被害者を同時に攻撃する能力をさらに高めます。

Miraiや最近発生したReaperなどのIoTベースの攻撃は、現時点ではスウォームテクノロジーを使用していません。しかし、これらの攻撃はすでにその痕跡を持っているので、コードのアップグレードによって新たなスウォームの挙動や知能を取り込み、脅威の潜在性を最大限に高める可能性があります。

FortiGuard Labsは、今年の1四半期だけで29億回のボットネット通信の試みを記録しました。この数字は、ハイブネットとスウォームボットによって甚大な被害が引き起こされかねないことを示唆しています。IoTに関しては、同じ期間にモバイルデバイスをターゲットとするマルウェアを報告した組織が20%近くに上りました。従来のシステムのように高い制御、可視性、保護を持たないIoTデバイスは、今後も課題として残されます。


予測:商業サービスに対するランサムウェア攻撃がビッグビジネスに

Prediction: Ransom of Commercial Services is Big Business / 予測:商業サービスに対するランサムウェア攻撃がビッグビジネスに

ランサムウェア攻撃の被害は、昨年ランサムウォームなどの攻撃の登場によって35倍に拡大しましたが、脅威は今後さらに拡大していきます。

ランサムウェアの次なる大きなターゲットとして、クラウドサービスプロバイダーなどの商業サービスが狙われる可能性が高いと考えられます。このような攻撃によって犯罪者が大きな利益を得られる可能性は明らかです。クラウドコンピューティングの規模は、年平均成長率(CAGR)19%で成長し、2020年に1,620億ドルになると予想されます。さらに、クラウドプロバイダーへの攻撃を成功させることは、1回の攻撃で多数のターゲットを狙うことのできるチャンスでもあります。クラウドプロバイダーが開発した複雑なハイパーコネクテッドネットワークは、数十または数百の企業にとっての単一障害点となりかねません(MiraiがDNSホスティングプロバイダーへの攻撃を成功させた事を思い出してください)。

集中管理されたクラウドサービスは、巨大な攻撃対象領域となります。犯罪者は、個別の企業をハッキングするのではなく、単一のクラウド環境への侵入を成功させることで、数十または数百の組織のデータにアクセスしたり、1回の攻撃ですべてのサービスを停止させたりする可能性があります。

このような攻撃の影響を受けるのは企業だけではありません。政府機関、重要インフラ、法執行機関、医療機関、そして規模を問わず幅広い産業の企業がクラウドを使用し、その多くは同じクラウドプロバイダーを使用しています。サイバーテロリストが主要クラウドサービスプロバイダー1社への攻撃を成功させると、壊滅的な影響が及ぶ可能性があります。

このため、サイバー犯罪者はクラウドプロバイダーの環境に潜む脆弱性のスキャン、検知、悪用のために、AIテクノロジーとマルチベクトル型の攻撃を組み合わせるようになると予測されます。1日に数百万ドル規模になるプロバイダーのサービスに対する攻撃を成功させ、場合によっては数百万に上る顧客向けのサービスを中断させることは、犯罪組織にとって大きな利益となるだけではありません。クラウドベースのコンピューティングに対して多くの組織が元々抱えているはかない信頼を損ない、デジタル変革やデジタル経済に深刻な影を落とす可能性があります。

こちらでは、フォーティネットのソリューションによりマネージドセキュリティサービスプロバイダー(MSSP)が大規模なランサムウェア攻撃を阻止した事例を紹介しています。


予測:次世代のモーフィック型マルウェア

Prediction: Next-gen Morphic Malware / 予測:次世代のモーフィック型マルウェア

サイバー犯罪市場は、より効果的に脆弱性を見つけて悪用し、検知を回避し、複雑なネットワーク環境に適応し、利益を最大化するために、最先端のテクノロジーを巧みに採用しています。

攻撃者は攻撃の戦略-手法-手順(TTP:Tactics, Techniques, and Procedures)の流れの中で自動化と機械学習を活用し始めると考えられます。これは驚くべきことではありません。セキュリティ研究者は、機械学習で強化されたサンドボックスツールをすでに使用しており、これによって以前は識別されなかった脅威を迅速に識別し、保護を動的に作成しています。このアプローチは当然ほかの目的にも流用できます。つまり、ネットワークをマッピングし、攻撃ターゲットを見つけ、攻撃ターゲットの脆弱性を特定し、仮想ペネトレーションテストのためにターゲットシステムの青写真を作成し、カスタマイズされた攻撃を構築して実行するために使用することも可能なのです。これはすべてAIレベルで実行され、すべて完全に自動化されます。

たとえば、現在のポリモーフォック型マルウェアは数十年前から存在しています。すでに、事前にコード化されたアルゴリズムにより新しい形態をとることで検知されることを回避するため、1日あたり百万以上の亜種を作成できているのです。ただし、これまでのプロセスはアルゴリズムに基づくものでしかなく、高度化や出力に対する制御の度合いが非常に低いものでした。一方で、AIを活用して構築された次世代のポリモーフォック型マルウェアは、まったく新しいカスタマイズされた攻撃を自発的に作成できます。これは静的アルゴリズムに基づく単なる亜種ではありません。自動化と機械学習を使用して設計されたカスタム攻撃は、ターゲットシステムの侵害を迅速に実行し、効果的に検知を回避します。これまでとは、規律とイニシアチブの組み合わせが大きく異なっているのです。

FortiGuard Labsは、2017年の1四半期だけで6,200万回のマルウェア検知を記録しました。その中で識別されたマルウェアファミリーは2,500種類以上、マルウェア亜種は17,000近くに上ります。マルウェアの自動化が進むことで、来年は状況が切迫していく一方であると考えられます。


予測:重要インフラが攻防の最前線に

Prediction: Critical Infrastructure to the Forefront / 予測:重要インフラが攻防の最前線に

サイバー犯罪の手法の進歩によって影響を受ける可能性があるすべての業界の中でも、最大のリスクを抱え続けているのが医療と重要インフラのプロバイダーです。最重要インフラやOTネットワークは非常に脆弱であり、元来はエアギャップによりITインフラから分離して運用されるよう設計されたものです。しかし、従業員や顧客のニーズにデジタルスピードで対応する必要性から、このような運用のあり方が変化し始め、あらゆるものが外部に接続されるようになりました(クラウド対応のSCADAサービスが良い例です)。しかし、分離された運用向けに設計されたネットワークをデジタル世界に接続し、その後にセキュリティを補足的に適用したところで、効果はほとんどありません。

これらのネットワークは価値が高く、侵害されたり停止させられたりした場合には甚大な損害が発生する可能性があります。このため、重要インフラや医療のプロバイダーは、懸命にセキュリティを増強してサイバー犯罪組織に対抗しなければならなくなっています。今後の競争で生き残るためにはインテリジェンスとセキュリティの両方を強化する新しい接続システムを信頼する必要がある一方で、現実のものとして迫っているリスクにも対応しなければならないことから、これらのプロバイダーは困難な立場に置かれています。

これらのシステムで現在導入されているセキュリティだけでは、今後は十分ではありません。このため、組織は高品質のインテリジェンスと統合されたセキュリティ ファブリックに基づく高度なセキュリティシステムに移行することが不可欠となります。それによって、分散ネットワーク全体を把握し、攻撃者が開発・展開する高度な攻撃システムに対抗し、コラボレーションとAIの進歩を容易に統合することができます。


予測:ダークウェブとサイバー犯罪市場が自動化機能を用いた新サービスを提供

Prediction: The Dark Web and Cybercrime Economy Offer New Services Using Automation / 予測:ダークウェブとサイバー犯罪市場が自動化機能を用いた新サービスを提供

サイバー犯罪の進化とともにダークウェブも進化しています。CaaS(Crime-as-a-Service)を提供する組織が新しい自動化テクノロジーをサービスに導入していることから、ダークウェブから新しいサービスが提供されるようになると予想されます。すでに、機械学習を活用した高度なサービスがダークウェブの市場で提供されています。たとえば、FUD(Fully Undetectable、完全に検出不可)として知られるサービスが、すでに複数の商品に組み込まれています。犯罪開発者はこのサービスを使用して、攻撃コードとマルウェアを解析サービスに有料でアップロードできます。その後、さまざまなベンダーのセキュリティツールがそれを検知できるかどうかに関するレポートを受け取ります。

このサイクルを短縮するため、ラボで何がどのように検出されたのかに基づいてオンザフライでコードを修正するための機械学習がますます使用されるようになり、これらのサイバー犯罪や侵入ツールの検知がより困難になっていくと予想されます。このようにして犯罪者はテクノロジーを短期間で高度化し、ターゲットとなる企業や政府機関が使用するセキュリティデバイスをより巧妙に迂回できるようになります。

ただし、犯罪サービスプロバイダーは、このような高度なスキャンと分析を実行するために、乗っ取ったコンピューティングリソースを活用するコンピューティングクラスターを作成しなければなりませんでした。Coinhiveを使用する感染マシンは、その最新の例です。Coinhiveは、エンドユーザーのマシンに感染し、CPUサイクルを乗っ取って仮想通貨を採掘(マイニング)させるブラウザプラグインです。このプロセスによって、より悪質で検知・阻止がより困難な新しいマルウェアの設計から配信までの時間が急速に短くなっています。真のAIがこのプロセスに統合されると、攻撃と防御の関係(つまり、侵害に要する時間と検知や保護に要する時間)が現在の数時間または数日からミリ秒単位にまで短縮されるでしょう。


対策

ユーザーは、メーカーがデバイスに実装しているセキュリティ機能を質・量ともに強化するよう要求して、対応していく必要があります。セキュリティソリューションは、統合セキュリティテクノロジー、実用的な脅威インテリジェンス、動的に設定可能でインタラクティブなセキュリティファブリックに基づいて構築されたエキスパートシステムに進化する必要があります。さらに、セキュリティの運用を可能な限り今のデジタルスピードに対応させる必要があります。これは、セキュリティレスポンスを自動化してAIと自己学習を適用することで、ネットワークの効果的かつ自律的な意思決定を実現することを意味します。また、基本的なセキュリティ対策を運用プロセスに組み入れ、パッチの適用やポリシーの入れ替えをすべてのデバイスで自動的に実施する必要があります。そして、自然の成り行きから偶然の産物として形成されたネットワークアーキテクチャーに代わって、深刻かつ持続的な攻撃にも耐えうるよう設計されたアーキテクチャーを構築する必要があります。

このようなインテリジェントで自動化された脅威に対しては、コラボレーションを活用した適応性の高い統合セキュリティファブリックが最善の防御となります。AIの場合と同様に、機械学習やAIなどのテクノロジーを活用するファブリックベースのセキュリティシステムを適切に導入することで、高度な認識力を備えたプロアクティブなセキュリティ防御システムを実現し、次世代の自動化されたAIベースの攻撃に対応できます。好むと好まざるとにかかわらず、勝者独り勝ちの状況に対処しなければならないのです。今の備えを怠る組織は、高度化が次のレベルに進展したときに追いつくことができない可能性があります。

詳しくは、フォーティネットのプレスリリースをご覧ください。2017年の動向に関する予測は、こちらでお読みいただけます。

セキュリティの不確実性を引き起こす5大トレンド、これらのトレンドによりもたらされる脅威に対応するアプローチ、これらの脅威に対する包括的防御を提供する唯一のアプローチについて、フォーティネットのホワイトペーパーをダウンロードしてお読みください。


はじめに

FortiGuard Labsは、世界中のフィッシング詐欺やスパム攻撃を継続的に追跡しています。実行可能ファイル(exe、dll、MachOなど)を含むOffice文書といった世界共通の攻撃経路だけでなく、各地域の市場とその地域に特有の攻撃経路も追跡しています。これまでにも、Hancom Officeジャストシステムの一太郎などの特定の地域で利用されているツールを悪用する攻撃についての調査を実施し、お客様向けに警告を発表してきました。

最近、ジャストシステムの一太郎で使用されるファイル形式であるjtd形式の興味深いサンプルがいくつか発見されました。日本市場に馴染みのない方向けに、このソフトウェアについて簡単にご紹介します。

一太郎は、日本で最も人気のあるワープロソフトの1つです。ジャストシステムの一太郎のエクスプロイトはこれまでにも数多く見つかっていますが、今回の最新サンプルには、いくつかの注目すべき点があります。ところで、詳細分析に入る前に、現在進行形で新しい詳細情報が次々と明らかになっているという事実をお知らせしておかなければなりません(事実、このマルウェアのドメインの1つは、11月1日に発見されたばかりのものです)。しかしながら、このマルウェア攻撃の緊急性を考慮し、この未知の脅威ベクトルの警告を初期段階で提供する必要があると我々は判断しました。したがって、我々がレポートで提供する情報が結果として不完全なものになったり、短期間で状況が変わったりする可能性があることを予めお知らせしておきます。


一太郎の基礎知識

ジャストシステムの一太郎は、jtd形式を使用していますが、簡単に言えば、これはOLE2複合ファイル形式です。このブログ記事の本題から少し外れますが、いくつかの要点を簡単に説明しておくことにしましょう。jtd形式は、CFB(Compound File Binary)、あるいはOLE(Object Linking and Embedding)とも呼ばれるものの1つです。CFBファイルは、基本的にはファイル内のファイルシステム(FATと関連性のあるもの)を含むものであり、このファイルシステムにストレージ(一般的なファイルシステムのディレクトリのようなもの)が格納され、さらにそこに他のストレージやストリーム(ファイルのようなもの)が格納されます。そして、データがセクター(一般的には512バイト長)に格納されて、セクターのチェーン構造がファイルアロケーションテーブル(FAT)に格納されます。図1に、jtdファイルを示します(詳細分析でも、このファイルを重点的に調査することになりました)。


図1. jtdファイル

この図のディレクトリ構造を見れば、ストリームのサイズは明らかです。このサンプルで疑問だったのは、サイズの合計が12,229バイトであるにもかかわらず、実際のファイルサイズがはるかに大きかったこと(613,376バイト)であり、これはすなわち、ファイルに何か別のものが埋め込まれていることを意味します。


図2

この点に注目した我々は、同様のサンプルを探すことにし、この記事の執筆日現在で10件のサンプルが見つかりました(今後はさらに件数が増えるものと予想されます)。

最初に知りたかったのは、テスト環境でサンプルが活動するとどうなるかということでした。これらのサンプルが一太郎の脆弱性(ゼロデイ)のエクスプロイトであるという仮説を立てましたが、それは、同様の試みが過去に見つかったことがあるためです。ところが、驚いたことに何も起こらず、空白の枠が表示されるだけでした。


図3. 空白の枠

詳しく調べたところ、この空白の枠のリンク先がbmp画像であり、そのローカルパス(I:\Documents and Settings\Administrator\ƒfƒXƒNƒgƒbƒv\PROBLEM\Prairie Wind.bmp)が我々のマシンには存在しないことがわかりました。

現在までのすべての実験結果から判断すると、これらの脆弱性は一太郎の最新バージョンで修正されているものと思われます。そこで、この仮説を検証するために一太郎の旧バージョンを入手しようとしましたが、残念ながら、ジャストシステムが提供しているのは最新バージョンだけであることがわかりました。


図4. 更新日が2017.10.24の最新バージョン


解読による詳細分析

我々はさらに調査を継続し、詳細分析を試みることにしました。キルチェーンと活動の全過程を観察できなかったため、総当たり方式で鍵を推測し、ペイロードを解読することにしました。我々の分析によれば、この脅威の作成者はそれほど大きな手間をかけることなく、過去の多くの脅威と同様にxorや類似する方法での安易な暗号化スキームを使用し、妥当な時間内に総当たり方式で突破する方法を選択したようであり、AESやBlowfishなどの高度な暗号化方式は使われていないようです。

我々はそこで、実証済みのツールであるCryptamドキュメントスキャナを使ってみることにしました。そして、このツールによって鍵長が明らかになり、そこから、鍵そのもののxorの値である0xD6といくつかの暗号化パラメータが明らかになりました。

Zero space not replaced: yes
Bitwise not: yes


図5. 鍵長の視覚化(1バイト)

図5と図6に示すような、興味深い結果が得られました。暗号解読の詳しい解説は省略しますが、このグラフの読み方の簡単なヒントとして、上の図(1バイト)と暗号鍵が長い下の図(32バイト)での列同士の間隔に注目します。この2つの図を見ると、この暗号化方式の周期性をはっきりと確認できます。


図6. 鍵長の視覚化(32バイト)

我々が実施した、これらの疑わしい文書の暗号解読の概要をまとめると、次のようになります。


図7. 暗号解読の概要

我々はすべてのペイロードの抽出と解読に成功しましたが、さまざまな理由によって、そのほとんどに活動は確認されませんでした。最終的に、有効な実行可能ペイロードが取得されたjtd文書は2つだけあり、どちらのペイロードも同じファイルであることがわかりました。次のセクションでは、そのペイロードの分析結果を解説します。


図8. 解読されたペイロード


ペイロードの詳細分析

ペイロードのロジックのリバースエンジニアリングによって、次のようないくつもの有害性の指標が見つかりました。

  • 常駐化の試行
  • 追加ペイロードのインターネットからの取得と起動


図9. 全体の制御フロー


図10. 常駐化の試行


図11. 常駐化の達成


コールホーム

マルウェアは、ハードコーディングされたドメインへの接続も試行しました。アルゴリズムを以下に示します。


図12

コードの構造から判断すると、独自に開発されたコードである可能性が極めて高いと思われます。


図13

このドメイン(usjj.wwwcrazy.com)の活動開始がごく最近(2017年11月1日)であることがわかりました。


図14

このマルウェアは次に、追加ペイロードをインターネットから取得して起動しようとしますが、(存在するとすれば)そのペイロードは暗号化されています。そのため、暗号化されたペイロードのデコーダーがmtr_Launch() 関数に含まれていますが、これも独自の暗号化方式です。


図15. デコーダー

フラグに基づき、3つのデコーダーのいずれかが使用されますが、いずれのデコーダーも、次のような、ルックアップテーブルを使用するxorベースのアルゴリズムです。


図16


図17. ルックアップテーブル


図18

我々はドメインと通信の監視を続けてきましたが、注目すべき動きは現段階では確認されていません。有効なペイロードがない場合のこのマルウェアの活動と言えば、常駐化を継続しつつ、外部への接続の試行を繰り返すことだけです。


対策

  1. FortiGuard Antivirusサービスは、以下のサンプルを検知します。
    • 1363623174d369a06314a9e21358a23d W32/Small.CNK!tr.bdr
    • 0e244d9b3b06a60dce6f986e56a766a4 W32/Ichitaro_Tarodrop.I!tr
    • 4df28492ee6cfd3d24fc74f1a025e0d3 W32/Ichitaro_Tarodrop.I!tr
  2. FortiGuard Webfilterサービスは、ダウンロードされたすべてのURLをブロックし、悪意あるものとしてタグ付けします。
  3. ジャストシステムの一太郎をお使いの方には、速やかにパッチを適用して最新バージョンにし、エクスプロイトをブロックできるようにすることをお勧めします。

結論

現段階では、我々が発見し、検証したサンプルに有害性は確認されていませんが、不正ペイロードが開発される可能性があるため、注意が必要です。我々は、そういったペイロードが発見された段階で、コード再利用の手法を使用し、このマルウェアによる新しいペイロードのデコードの仕組みを解明したいと考えています。そうすることで、この進行中のマルウェア攻撃に関するさらに詳しい実用的インテリジェンスが得られるためです。

FortiGuard Labsは今後も継続して、このような新たな脅威に注目し、最新情報をお伝えする予定です。

この原稿は、Kadena Teamの協力を得て作成しました。この場を借りて深く感謝いたします。
-= FortiGuard Lion Team =-


IOC

サンプル:

1363623174d369a06314a9e21358a23d W32/Small.CNK!tr.bdr
0e244d9b3b06a60dce6f986e56a766a4 W32/Ichitaro_Tarodrop.I!tr
4df28492ee6cfd3d24fc74f1a025e0d3 W32/Ichitaro_Tarodrop.I!tre

URL:
usjj.wwwcrazy.com

毎週お届けするFortiGuardインテリジェンス概要、またはフォーティネットのFortiGuard脅威インテリジェンスサービスのオープンベータ版にご登録ください。


フォーティネットはNSS Labsの2017年BDS(ブリーチ検知システム)グループテストに参加し、2017年後半に発表した最新アプライアンスであるFortiSandbox 2000Eで「Recommended(推奨)」評価を獲得しました。FortiSandbox 2000Eは、中規模から大規模の企業の要件に対応するよう設計された最新のサンドボックスソリューションです。FortiSandbox 2000Eは、Webおよび電子メールで拡散するマルウェアで100%の検知率、ブリーチ全体でも99%の検知率を、保護対象Mbpsあたり16ドルの最も低いTCOで達成しました。FortiSandboxは4年連続で「Recommended」評価を獲得したことになりますが、フォーティネットは独立機関によるテストに積極的に参加しており、NSS LabsのNGFW、DCFW、WAF、DCIPS、およびAEP部門でもすでに「Recommended」評価を獲得しています。


進化するランサムウェアの脅威

ランサムウェアは、2017年にはさらに高度化してこれまで以上に注目されるようになり、昨年の推定被害額は米国だけで10億ドルに達します。ランサムウェアのビジネスモデルは常に進化し、その収益性が向上していることを考えれば、インターネットリソースをブロックするという単純な方法からシステムを暗号化する(システムを破壊する)という新たな手段へと進化させて身代金が要求されるようになったのは、当然のことと言えるでしょう。既存のフィッシングメールやマルバタイジングにワームに似た動作を組み込んだ最新の拡散メカニズムをサイバー攻撃者が使うようになったことで、世界中のあらゆる分野、あらゆる規模の企業がこれらの脅威からの保護をこれまで以上に真剣に検討しなければならなくなりました。


サンドボックスの必要性

サンドボックスは、ランサムウェアを含むゼロデイの高度なマルウェアを特定し、関連する脅威インテリジェンスを生成することを目的とするものです。ランサムウェアなどのマルウェアの登場によって、サンドボックスはその役割を進化させ、セキュリティインフラストラクチャで中核インテリジェンスハブとして機能し、新たな脅威に対抗するさまざまな保護ポイントに最新の脅威情報を配信するようになりました。2つの重要な要素、すなわち、サンドボックス検知の有効性と総所有コスト(TCO)によって、組織がこれらの新たな脅威への対策としての高度な脅威からの保護の採用が加速するだけでなく、導入の障壁も低くなることが期待されます。


第三者機関によるテストの重要性

独立検査機関であるNSS Labsは、自らが公開しているテスト方法に従って、すべての参加ベンダーを対象に公平なテストを実施しています。このような独立機関による公平なテストレポートは、ビジネスの意思決定者とセキュリティの運用者の双方による、ソリューションのセキュリティとコスト効率に基づいた情報に基づく意思決定で、重要な手掛かりとなります。フォーティネットは、独立機関によるテストに参加して公平な評価を得ることが重要であると考えており、これは、ベストインクラスの製品を提供するという企業理念に基づくものです。


結果がすべてを証明する

FortiSandbox 2000Eは、2017年後半に発表されたアプライアンス型サンドボックスであり、高度な脅威からの保護を求める中規模および大規模の企業の要件に対応します。フォーティネットでは、常に最高のソリューションをお客様に提供するという理念のもとに、NSS Labの厳格なBDSテストにFortiSandbox 2000Eを参加させることにしました。

FortiSandbox 2000EのNSS Labs BDSにおける主な結果は、以下のとおりです。

  • 検知率と精度:99%の総合ブリーチ検知率を誤検知率0.1%未満の卓越した精度で達成。
  • Web / 電子メール攻撃:Webと電子メールで拡散するマルウェアを100%検知。
  • ネットワークパフォーマンス:NSSのテストで、データシートでの公開値である4Gbpsの2倍以上にあたる8.6Gbpsのスループットを記録。
  • 総合的価値:テスト対象のソリューションで最も低いTCO。
  • NSSの評価:FortiSandboxが、NSS Labsの「Recommended」評価を4年連続で獲得。フォーティネットはすでに、NGFW、DCFW、WAF、DCIPS、AEPソリューションの部門でもNSSの「Recommended」評価を獲得している。

サンドボックスを今すぐ検討すべき理由

最新のBDSテストで、サンドボックスのブリーチ検知率と検出精度の両方が平均として向上し、マルウェアが組織への侵入の足掛かりを築くのを極めて困難にする効果があることが確認されました。TCOについても前年比で向上していることが確認された今、ランサムウェアを含むサイバー脅威から組織を保護する手段としてサンドボックスを追加することを、ぜひご検討ください。

NSS Labsの2017年BDSテストに関するフォーティネットの発表は、ここからお読みいただけます。NSS Labsの2017年BDS SVMと関連レポートの全文は、こちら(英語)からダウンロードできます。フォーティネットのランサムウェア対策アプローチの詳細は、こちらのオンデマンドWebセミナー(英語)をご覧ください。


ここしばらくの間、Sageランサムウェアの亜種の拡散は観察されていませんでした。今年2月にはSage 2.0について記事で取り上げ、3月にはバージョン2.2を発見しましたが、それ以降6か月以上にわたってFortiGuard Labsチームがこのマルウェアについて確認した顕著な活動はありませんでした。

しかし、最近になってフォーティネットが発見したSageサンプルは、これまでと同様のSage 2.2のように見える一方で、分析対策と権限昇格に焦点を当てた手法が追加されています。この記事では、このマルウェアの最新情報を紹介します。

フォーティネットは、Kadena Threat Intelligence System(KTIS)を使用して、Sage 2.2のこの新しい亜種をダウンロードする悪意あるJavaScript添付ファイルを含むスパムメールが、マルウェアの配信に使用されていることを確認しました。


図1:Sage 2.2の新しい亜種の攻撃経路(KTISで表示)

サンプルの中には、悪意あるVBマクロダウンローダーコードを含むドキュメントファイルがスパムメールに添付され、配信されたと考えられるものあります。

Kadena Threat Intelligence Systemからのデータによると、Sageの新しい亜種がダウンロードされるURLは、トップレベルドメイン(TLD)名の.infoと.topをドメインに使用し、番号をパスに使用していると見られます。

また、Sageと同じダウンロードサーバーを使用するLockyランサムウェアファイルが存在することが確認されたのは、非常に興味深い点です。


図2:LockyとSage 2.2の新しい亜種の両方のサンプルをホストするサーバー(KTISで表示)


図3:ダウンロードされたURLの例


以前のバージョンから継承される特徴

Sageランサムウェアのこの亜種について、以前のバージョンから変わらない点の詳細説明は省きますが、ユーザーが把握しておくべき重要事項について、以下を確認してください。

まず、これまでの亜種と同様、このバージョンも多様なクリプターを含んでいます。この亜種がファイル暗号化のために使用する暗号化アルゴリズムは、Sage 2.0と同じくChaCha20です。暗号化されたファイルの名前にも、これまでと同様に.sage拡張子が付加されます。

また、次の言語のキーボードレイアウトを使用する国のコンピューターへの感染を回避しています。

  • ベラルーシ語
  • カザフ語
  • ウズベキスタン語
  • ロシア語
  • ウクライナ語
  • サハ語
  • ラトビア語

また、発見された亜種がデスクトップの壁紙に設定するメッセージも、Sageの以前の亜種の場合と同じです。

図4:Sageランサムウェアにより設定されるデスクトップの壁紙


コード難読化

今回、この亜種で観察された興味深い特徴として、ほとんどの文字列が悪意あるコンテンツを隠すために暗号化済みであることが挙げられます。文字列の暗号化には、Chacha20暗号方式が使用されていることがわかっています。すべての暗号化文字列は、ハードコーディングされた固有の復号化キーを含みます。


図5:文字列の復号化関数


分析対策、サンドボックス対策、仮想マシン対策

この亜種には、文字列の暗号化に加えて、分析対象となったりサンドボックスや仮想マシンに読み込まれたりしていないかを判断するためのチェック機能も実装されています。チェック条件に合致すると、分析を回避するために即座に自ら終了します。

このマルウェアは次のチェックを実行します。

プロセス名のチェック

Sageのこの亜種は、マシン上で実行中のプロセスをすべて列挙し、Murmurhash3を使用してハッシュを計算し、ハードコーディングされたハッシュのリストに照合します。表1は、ブラックリストに指定されたプロセス名と対応するMurmurhash3ハッシュの一部のリストです。


表1:ブラックリストに指定されたプロセス名のリスト

ファイル名のチェック

また、マルウェアが実行される場所の完全なパスに次の名前が含まれるかどうかをチェックします。

  • sample
  • malw
  • sampel
  • virus
  • {サンプルのMD5}
  • {サンプルのSHA1}

これらの名前は、マルウェアサンプルの解析でファイル名またはディレクトリ名としてよく使用されるものです。Sageは、これらの名前のいずれかが完全なパスに含まれるかどうかが分析されていると想定していると考えられます。StrStrI()が使用されていることから、この照合でも大文字と小文字が区別されません。


図6:ファイルの完全なパスのチェック

コンピューター名とユーザー名のチェック

マルウェアがAVサンドボックスに読み込まれたことを検出する方法について、さまざまな調査が行われています。その1つとして、サンドボックス環境で使用されている既知のコンピューター名やユーザー名のチェックがあります。このマルウェアの亜種にハードコーディングされたコンピューター名とユーザー名は、Murmurhash3にも含まれています。現時点でこれらのリストからフォーティネットが特定しているのは、「abc-win7」というコンピューター名だけです。

ハッシュリストとは別に、回避対象のコンピューター名とユーザー名を含む文字列も暗号化されています。次は復号化されたリストです。

  • Wilbert
  • Customer
  • Administrator
  • Miller
  • user
  • CUCKOO-
  • TEST-
  • DESKTOP-
  • WORKSTATION
  • JOHN-PC
  • ABC-PC
  • SARA-PC
  • PC
  • D4AE52FE38

CPUIDのチェック

また、このマルウェアはx86命令CPUIDを使用して、プロセッサーブランド文字列などのプロセッサーの詳細を取得します。このブランド文字列は、仮想化環境で一般的なブラックリストに指定された次のCPU IDに照合されます。

  • KVM
  • Xeon
  • QEMU
  • AMD Opteron 2386


図7:CPU IDのチェック

ウイルス対策サービス名とMACアドレスのチェック

最後に、コンピューターでウイルス対策インスタンスが実行中かどうかをチェックし、ブラックリストに指定されたMACアドレスのセットにも照合します。マルウェアは、ウイルスチェックの実行をチェックするために、サービスコントロールマネージャーで実行されているサービスを列挙し、これらのサービス名をMurmurhash3で計算し、ハードコーディングされたハッシュのリストに照合します。表2と表3は、ブラックリストに指定されたウイルス対策サービス名とMACアドレスのリストです。


表2:ブラックリストに指定されたサービス名


表3:ブラックリストに指定されたMACアドレス


Sageの権限昇格について

マルウェアは通常、システムを完全に制御して感染システムを自在に操作できるよう、一般ユーザーアカウントよりも高い権限レベルを取得しようとします。保護されたフォルダーに保存された重要ファイルを含め、攻撃対象のすべてのユーザーのファイルを暗号化するには高い権限レベルを必要とすることから、この権限昇格は暗号化ランサムウェアにとって特に重要です。フォーティネットは最近の分析で、Sageがパッチ公開済みのWindowsカーネルの脆弱性またはユーザーアカウント制御(UAC)機能を利用して権限を昇格する能力を備えていることも発見しました。


CVE-2015-0057の悪用

実際に、CVE-2015-0057のWindowsカーネルの脆弱性を利用するマルウェアファミリは、Sageが初めてではありません。しかし、write-what-where(WWW)の権限を使用する攻撃手法は、他のマルウェアファミリには見られない特徴です。この脆弱性とその悪用に使用される手法については、すでに多くの詳細な説明記事が公開されています。次に、脆弱性悪用後にコード実行をリング3からリング0に遷移する方法について主に分析します。

この脆弱性の性質上、マシンのメモリの任意の部分で自由にデータを読み書きすることが可能になります。Sageで発見された攻撃コードは、InternalGetWindowText/NtUserInternalGetWindowTextやNtUserDefSetTextなどのWindows GUI機能を利用して、任意の読み書きを実行できます。従来のカーネル攻撃コードの多くは、HalDispatchTableをターゲットとし、テーブル内のポインターの1つを上書きしてリング3からリング0へコードを遷移します。Sageの場合は、次のコードスニペットに示すように、リング3からリング0への遷移点としてローカルディスクリプターテーブル(LDT)を選択しています。



リスト1:攻撃コードは、LDTへのfar callにより第1ステージのカーネルシェルコードのペイロードを取得

次のデバッガー出力は、上記のリスト1に示すコメント付きコードが実行される前の既存のLDTエントリを示しています。



リスト2:攻撃コードが実行される前のLDTエントリ

リスト1に示されたコメント付きコードが実行されると、新しいLDTエントリがEPROCESSの構造に追加されます。


リスト3:攻撃コードが実行された後のLDTエントリ

攻撃コードを介して偽LDTをGDTに追加した後も、far callを続行し、第1ステージのカーネルシェルコードに到達します。


リスト4:far callによる第1ステージのカーネルシェルコードのトリガー



リスト5:第1ステージのカーネル攻撃シェルコード

カーネルシェルコードの冒頭で、攻撃コードはCR4レジスターに格納されたSMEP(Supervisor Mode Execution Prevention)ビットの無効化を試みます。無効化後は、カーネルモードコードがユーザーモードコードを実行し、コード実行をユーザーモードで0x587AD2に遷移します。


リスト6:IDT内からのNTカーネルイメージアドレスの特定

興味深いことに、このバージョンの攻撃コードは、ntoskrnl.exeイメージベースアドレスを取得するために、以前に観察されたカーネル攻撃コードとは異なる手法を使用しています。IDTのアドレス0x80b93400以降のエントリに含まれる定数値0x82888e00は、KIDTENTRY.AccessとKIDTENTRY.ExtendedOffsetの値を表しています(リスト6を参照)。実際に、この定数値はntoskrnl.exeイメージ内に含まれるものであることがわかっています。特定時点に0x1000オフセットを減算することで、リスト4のシェルコードに示すように、最終的にntoskrnl.exeイメージベースアドレスへ導かれます。この手法が使用されている背景には、一部のセキュリティベンダーが使用している行動分析による検出を回避したいというコーダーの意図があると考えられます。ntoskrnl.exeイメージベースを読み込むために使用される従来の手法は、オープンソースのカーネル悪用コードで一般に知られており、このような行動分析により検出可能であるためです。

最後に、この攻撃コードはシステムプロセスのトークンを独自のプロセストークンに置き換えて、システム権限を取得します。


UACバイパス

このマルウェアで使用されているUACバイパスの手法は目新しいものではありませんが、Sageで使用されていることが確認されたのは今回が初めてです。Sageでは、UACポップアップを抑制するために、eventvwr.exeとレジストリ乗っ取りを使用しています。図8は、この手法の概要を示しています。この手法については、以前の記事でも詳しく説明しています。


図8:UACバイパス


ランサムウェアの説明言語の追加

Sageランサムウェアの以前の亜種では、暗号化されたファイルの回復方法に関する説明が!HELP_SOS.htaに含まれています。この説明には、以下を含む言語の翻訳が含まれています。

  • 英語
  • ドイツ語
  • イタリア語
  • フランス語
  • スペイン語
  • ポルトガル語
  • オランダ語
  • 韓国語
  • 中国語
  • ペルシア語
  • アラビア語

この亜種での際立った変化の1つとして、さらに次の6言語の翻訳が追加されていることから、作成者が今後さらに多くの国をターゲットにしようと目論んでいる可能性があります。

  • ノルウェー語
  • マレー語
  • トルコ語
  • ベトナム語
  • インドネシア語
  • ヒンディ語


図9:ランサムウェアの説明画面に追加された翻訳言語


ファイルの回復

また、暗号化されたファイルを回復するためにユーザーが支払わなければならない金額も変更されています。身代金の説明には、ユーザーが「SAGE Decrypterソフトウェア」を購入するためにアクセスする必要のあるOnionサイトへのリンクが含まれています。アクセスに使用されるTORブラウザは、匿名でのインターネットの閲覧とダウンロード用に設計されたものです。このページには、詳細な指示や初回の身代金額といったランサムウェアによくある情報が表示されます。身代金は、これまでの亜種での99ドルおよび1,000ドルから、2,000ドルに引き上げられています。


図10:身代金額

支払いサイトに表示されるSageのバージョンは、なぜか2.0のままです。

以前の亜種と同様に、作成者は被害に遭ったユーザーが15KB未満の暗号化ファイルをアップロードして復号化機能をテストできるようにしています。


図11:テストファイルの復号化

数分後に、ユーザーは復号化されたファイルをダウンロードできます。


図12:復号化されたファイルをダウンロード可能


結論

Sageランサムウェアの以前のバージョンと比較して、この亜種は、権限昇格により被害者のシステムで足がかりを強化するための手法をいくつか追加しています。さらに、自動分析システムによる検出を回避するため、仮想環境を検出する手法を複数活用することにも重点を置いています。

しかし、フォーティネットのFortiSandboxは、追加の再設定なしで、強化されたこれらの手法を回避し、この新しい亜種を「高リスク」として評価する能力を備えています。


図13:FortiSandboxはSageを検出して高リスクと評価


対策

  1. FortiMail:すべてのスパムメールをブロックします。
  2. FortiGuard Antivirusサービス:SageのサンプルをW32/SageCrypt.KAD!trとして検出します。
  3. FortiGuard Webfilterサービス:ダウンロードされたすべてのURLを悪意あるものとみなして遮断し、タグ付けします。
  4. FortiSandbox:Sageのサンプルを高リスクとして評価します。

-= FortiGuard Lion Team =-

IOC

884263ac1707e15e10bcc796dfd621ffeb098d37f3b77059953fc0ebd714c3df - W32/SageCrypt.KAD!tr
00f1e3b698488519bb6e5f723854ee89eb9f98bdfa4a7fe5137804f79829838e - W32/Sage.KAD!tr
0eb72241462c8bfda3ece4e6ebbde88778a33d8c69ce1e22153a3ed8cf47cc17 - W32/Sage.KAD!tr
2b0b7c732177a0dd8f4e9c153b1975bbc29eef673c8d1b4665312b8f1b3fb114 - W32/Sage.KAD!tr
43921c3406d7b1a546334e324bdf46c279fdac928de810a86263ce7aa9eb1b83 - W32/Sage.KAD!tr
47a67a6fb50097491fd5ebad5e81b19bda303ececc6a83281eddbd6bd508b783 - W32/Sage.KAD!tr
5b7d2b261f29ddef9fda21061362729a9417b8ef2874cc9a2a3495181fc466d0 - W32/Sage.KAD!tr
a14ee6e8d2baa577a181cd0bb0e5c2c833a4de972f2679ca3a9e410d5de97d7e - W32/Sage.KAD!tr
b381d871fcb6c16317a068be01a7cb147960419995e8068db4e9b11ea2087457 - W32/Sage.KAD!tr
bbc0e8981bfca4891d99eab5195cc1f158471b90b21d1a3f1abc0ee05bf60e93 - W32/Sage.KAD!tr
cb6b6941ec104ab125a7d42cfe560cd9946ca4d5b1d1a8d5beb6b6ceb083bb29 - W32/Sage.KAD!tr
df64fcde1c38aa2a0696fc11eb6ca7489aa861d64bbe4e59e44d83ff92734005 - W32/Sage.KAD!tr
eff34c229bc82823a8d31af8fc0b3baac4ebe626d15511dcd0832e455bed1765 - W32/Sage.KAD!tr
f5f875061c9aa07a7d55c37f28b34d84e49d5d97bd66de48f74869cb984bcb61 - W32/Sage.KAD!tr
f93c77fd1c3ee16a28ef390d71f2c0af95f5bfc8ec4fe98b1d1352aeb77323e7 - W32/Kryptik.FXNL!tr
903b0e894ec0583ada12e647ac3bcb3433d37dc440e7613e141c03f545fd0ddd - W32/Kryptik.DMBP!tr
c4e208618d13f11d4a9ed6efb805943debe3bee0581eeebe22254a2b3a259b29 - W32/GenKryptik.AZLB!tr
e0a9b6d54ab277e6d4b411d776b130624eac7f7a40affb67c544cc1414e22b19 - W32/Kryptik.FXNL!tr

1] フォーティネットのKadena Threat Intelligence System(KTIS)は、ファイルやURLなどの成果物からコンテキスト情報を抽出することで、より精度の高いマルウェア検出、高速追跡分析、詳細分析を実現し、データ相関を容易に実行する対話型プラットフォームです。

FortiGuard Labsでは、脅威インテリジェンス情報を毎週お届けしていますので、ぜひご購読ください。また、フォーティネットのFortiGuard脅威インテリジェンスサービスのオープンベータにもご参加ください。


食品業界最大手のある企業は、自社の大規模な分散型ネットワークを接続する効率的な方法を模索していました。同社は、Microsoft Azureとフォーティネット製品を使ってそれを実現することを決断し、週末の半日でAzureへの移行を成功させました。何の問題もダウンタイムも発生することなく、移行が完了したのです。

この企業は、世界中の多くの国の学校、病院、主要公共施設に食品や飲料を提供する、世界規模でも5本の指に数えられる、食品サービス業界最大手です。同社は複数のサイトのセキュア接続にホステッドVPNサービスを利用していましたが、FortiGateを含む仮想セキュリティソリューションスイートの採用を決断しました。

同社で長年にわたってネットワーク設計を担当するアーキテクトは、従来のホステッドVPNサービスは「必要とする機能を過不足なく備えているものの、コストがかかり過ぎるという大きな問題を抱えていた」と説明しています。

この問題を解決するため、同社はこのサービスに代わってMicrosoft Azureクラウドサービスを利用することを検討しました。ところが、Microsoft AzureにはVPNトンネルの数に制限があり、世界規模でビジネスを展開する大企業の運用環境では、その制限が大きな問題になる可能性がありました。ネットワークアーキテクトは、「すべての国を接続できないことが判明したものの、我々の要件に最適な方法はすぐに見つかりました」と説明しています。

この食品サービス会社は、従来のホステッドVPNサービスにおいても、セキュリティ対策を補完する目的でFortiGateアプライアンスを複数導入していたため、フォーティネットには馴染みがありました。フォーティネットのセキュリティソリューションの機能を高く評価していた同社のITチームは、フォーティネットの採用が「Azureのトンネル数の制限という問題を解決する完璧な方法である」ことにすぐに気付きました。

FortiGateアプライアンスは、最小モデルであっても数百、上位のモデルであれば数千のトンネル数をサポートします。この柔軟性によって、同社は国別に展開されたアプライアンスに専用のトンネルを構成することができたのです。そして、すべてのトラフィックがAzureへの単一の接続にルーティングされ、フォーティネットの仮想セキュリティサービスへとリンクされました。

「FortiGateは、極めてシンプルでありながら洗練された高機能のソリューションであり、以前のホステッドサービス環境で使用していたすべてのセキュリティ機能をそのまま利用できるというメリットは、非常に大きなものでした」と、ネットワークアーキテクトは説明します。

セキュリティに関するメリットだけではなく、フォーティネットの物理 / 仮想ソリューションファミリーは共通のオペレーティングシステムによって完全統合されているため、クラウドへの展開を可能にしつつ、その高い互換性によって極めてシンプルなITインフラストラクチャが実現しました。同社は、国レベルで裁量を認めることで、地域の現状に最適な方法での運用を推進するビジネスモデルを採用しているため、セキュリティ製品をはじめとするIT機器の購買に関する判断は、各国の運用担当チームに委ねられています。フォーティネットのソリューションは幸いにも、このような導入環境で統合セキュリティシステムとしての重要な役割を果たすことができました。

同社のネットワークアーキテクトは、次のように説明します。「無名の製品も含め、我々が思い付くあらゆるベンダーのファイアウォールが社内に存在するかのような状況でしたが、ほとんどの人がまったく聞いたこともないような製造元のファイアウォールを含め、FortiGateはあらゆる製品と連携することができました。FortiGateに接続できなかった機器に出会ったことは、これまで一度もありません」

フォーティネット セキュリティ ファブリックは、世界中に広がる環境の多様なデバイスとインテリジェンスを共有するように設計されているため、同社は全社のサイバーセキュリティサービスを容易に制御し、管理できるようになりました。また、フォーティネット セキュリティ ファブリックはMicrosoft Azureサービスの管理にも役立ちます。Azureでは、展開を監視 / 管理できる幅広いツールが提供されていますが、サービスを完全に最適化するためには細部の調整が必要になることがあるためです。

同社のネットワークアーキテクトは、次のように述べています。「当社では、FortiGateデバイスから提供される情報が最大限に活用されています。詳細情報を参照してドリルダウンし、デバッグが必要な箇所を特定できるため、インフラストラクチャ全体を極めて効率的に管理できるようになりました」

そして、FortiGateインターフェースを「非常に直観的」と高く評価し、次のように感想を述べています。「すべての機能が完全統合されているため、コマンドラインインタフェースを使って世界中のどこからでも変更できるようになりました。

他社製品を数多く使用してきた経験から考えると、時間をかけて構成を検証したとしても、実際に何が起こっているのかを判断するのは極めて困難です。これまでは、ソリューションといえばISPルーターとファイアウォールというように2、3個のボックスがあって、その上に簡単なUTMの機能を搭載して無作為にボルトで一体化したものという印象があり、そのような方法で上手くいくことは滅多にありません」

同氏は、さまざまな経験を経た後に、エンタープライズ環境を保護する最適なソリューションとして、フォーティネットを選択しました。その結果、Azureとフォーティネット セキュリティ ファブリックの組み合わせによって、クラウド環境への移行を短時間で成功させたのです。

今回の移行を振り返り、最後に次のような感想を述べています。「Azureが我々にとって最適なプラットフォームであるのは確かです。しかしながら、我々の運用環境の規模と複雑さを考えれば、成功の見込みはかなり低いものでした。フォーティネットの物理 / 仮想統合ソリューションを追加したことで、各エンティティに専用のトンネルが提供され、セキュリティが強化されると同時にインフラストラクチャ全体の可視性と制御を飛躍的に向上させることができました」

この事例は、当初CSOに掲載されたものです。