• HOME
    • セキュリティブログ

毎日絶え間なく新たなサイバー脅威が登場し、従来のネットワークやクラウド環境、IoT、エンドユーザー、モバイル端末、さらにはOTネットワークや重要インフラまでが脅威の標的となっていると言っても過言ではありません。真新しいエクスプロイトもあれば、検知をかわすことを主な目的として改変されたランサムウェアやフィッシング、既知の脆弱性エクスプロイトなど、長年存在する脅威もあります。

このように、常に進化と拡大を続ける脅威ランドスケープからの防御には、リアルタイムの脅威リサーチおよびインテリジェンスへのアクセスが必要です。脅威ランドスケープに関する広範な知識と、複数レベルで迅速に対応できる能力を組み合わせることが、効果的なセキュリティを提供する土台となります。だからこそ、こうした脅威を阻止、捕獲するために必要なセキュリティポスチャーを常に微調整し、更新していくうえで、FortiGuard Labsのリソースが重要な役割を果たしているのです。

FortiGuard Labsは、類を見ない形で今日の脅威ランドスケープを把握しています。例えば、ウェブフィルタリングだけでも、私たちは1日に1,000億以上のクエリを処理し、そのうち2億2,500万が悪意のあるURLとして分類されています。脅威ランドスケープ全体で分析が行われ、同レベルのインサイトを得ています。私たちはタイムリーに関連脅威インテリジェンスを抽出するため、年間65兆以上のセキュリティイベントの分析と処理を行っているのです。FortiGuard Labsのチームには、新たな脅威を発見するためサイバーランドスケープの調査を行い、新たな攻撃手段をプロアクティブに探し出せるよう、世界最先端の自己学習型システムなど、高度なテクニックや特許取得済みのテクノロジーを活用する、何百という脅威リサーチャーが所属しています。

その後、FortiGuardのチームが、フォーティネットのセキュリティ製品に対して提供している最新脅威インテリジェンスサブスクリプションサービスなど、350,000を超える世界中のお客様を保護するための効果的な防御手段を構築します。こうしたインサイトやインテリジェンスが個々の当社製品に統合されているだけでなく、セキュリティファブリックのおかげで、セキュリティ業界で最も広範な当社のポートフォリオ全体にシームレスに統合され、業界の他のどのベンダーでも提供していない、エンドツーエンドにわたるインテリジェンスを提供します。


セキュリティサービスに関する発表:

このサブスクリプションサービスをさらに強化するため、フォーティネットは2つの重要な変更を発表します。

  • まず、当社のアンチウイルスとFortiSandbox Cloudソリューションを、単一のAdvanced Malware Protection サービスに統合し、組織を既知、未知の脅威から保護します。シグネチャベースのアンチウイルステクノロジーは、これまで通り既知の脅威を特定するためのセキュリティ戦略において重要な基盤となりますが、組織にはゼロデイ脅威や高度な回避戦略を用いる攻撃を特定するよう設計されたソリューションも必要です。FortiSandbox Cloudは、FortiGuardのアンチウイルスデータベースと、コミュニティレピュテーション検索、プラットフォーム非依存型のコードエミュレーション、仮想サンドボックスを組み合わせて未知の脅威を事前に特定することで、上記の問題に対処します。

    Advanced Malware Protectionサービスには、IPボットネットドメイン保護やモバイルセキュリティ、コンテンツ無害化(Content Disarm and Reconstruction, CDR)、ウイルスアウトブレイク防止サービス(Virus Outbreak protection Service, VOS)なども含まれます。VOSは最新の脅威分析を使ってアンチウイルスのシグネチャアップデート間に発見されたマルウェアの脅威が組織内に広まる前に検知し、阻止します。その際、グローバル脅威インテリジェンスデータベースでリアルタイムの検索を行うことで、最新のマルウェア保護を維持できるようにしています。

    CDRは高度なテクニックを使って従来のセキュリティシグネチャベースかつレピュテーションベースの阻止対策をかわす脅威に対処します。その際、皆さんのファイル内に悪意のあるコンテンツが存在する可能性をプロアクティブに排除します。CDRは、受信するすべてのファイルを処理して分解し、アクティブコンテンツなど、ファイアウォールポリシーにマッチしないすべての要素を除去し、無害なフラットファイルを作成します。

  • また、Enterprise Services Bundle(Enterprise Protection)への新たな機能強化も発表いたします。

    Enterprise Protectionには今回新たに、1000以上の異なるICS/SCADAプロトコルに対する保護が含まれることとなり、組織におけるITとOTの融合の取り組みの安全を確保するという困難なタスクをサポートします。OTネットワークを標的とする新たな攻撃は、組織に壊滅的な影響をもたらすだけでなく、重要インフラにダメージを与え、人間に直接危害をもたらす可能性もあります。しかし悲しいことに、適切なOTセキュリティを配備する組織は、いまだに数少ないのが現状です。例えばForresterが先日行った調査によると、SCADAやICSを使っている組織の56%近くがこの1年でこれらのシステムにおいてブリーチ(情報セキュリティ侵害)を経験したということです。さらに驚くことに、ICSやSCADAシステムでブリーチ(情報セキュリティ侵害)を経験したことが一度もないと答えたのは、たったの11%でした。そして何より、調査対象の企業は、OT環境において圧倒的に望ましいセキュリティプロバイダーはフォーティネットであると答えています

    機能強化を行ったEnterprise Protectionには、当社のCASB and Security Ratingサービスも含まれています。FortiCASBは、Salesforce.comやMicrosoft Office 365など、今日の最も幅広く使用されているSaaSアプリケーションにおいて、ユーザーがキャンパス内にいようとキャンパス外であろうと、ITチームがセキュアなユーザーアクセスと一元的な可視性を維持できるようにすることで、マルチクラウドの環境におけるポリシーおよびセキュリティガバナンスの構築、維持を助けます。 また、SaaSのリソースに保存されているデータを、クラウドを媒介した脅威から保護すると同時に、組織がSaaSアプリケーションをより優れた形で管理できるよう、コンプライアンスや監査ツールも提供します。

    当社の研究では、組織は同じ脅威に何度も影響を受けており、適切かつ十分なセキュリティハイジーンを実施して感染の根本原因を突き止めていないことが示されています。だからこそ、当社のSecurity Ratingサービスは、エンタープライズバンドルの重要な要素であり、組織が目標とするセキュリティポスチャーと成熟度の設計、実装、継続的な維持をサポートします。インフラストラクチャーの脆弱性や弱点を特定した後は、セキュリティポスチャー向上のため、ベストプラクティスによるアドバイスを提供します。コンフィギュレーションに関するアクショナブルな推奨事項、KPI/KRIという形で測定可能かつ意味のあるフィードバックを提供し、進化するコンプライアンスや規制基準への適合をサポートします。また、セキュリティの相対的なレベルをすばやく把握できるよう、同業他社と比較したランキングも提供します。


セキュリティサービスサブスクリプションの必要性

現在のセキュリティソリューションの価値は、パフォーマンスなどの要素だけでなく、進化を続ける脅威ランドスケープを検知し、対応するための脅威インテリジェンスの精度とタイムリーさにも左右されます。フォーティネットの脅威インテリジェンスセキュリティサブスクリプションにより、皆さんのフォーティネットセキュリティソリューションは、何百万というセンサーで構成される当社のグローバルネットワークを介し、世界のあらゆる場所で発生する脅威に対する最新のインサイトで、継続的に調整が行われています。

しかし、データだけでは十分ではありません。ですから、こうした一連の包括的なインテリジェンスは、領域横断的な情報に適用される自動型の高度なアナリティクス(機械学習やAIなど)を使って処理されます。こうした慎重かつ綿密なバックエンドのプロセスと、プロアクティブな脅威リサーチを組み合わせることで、脅威情報の高い精度を確保し、新たな攻撃手段の利用を阻止します。最高評価を得ている当社製品の有効性は、独立系の実環境でのテストを行う当社のコミットメントにも支えられており、大手ラボが実施するテストにおいて精度、有効性で最高得点を継続して獲得していることからも証明されています。

当社の包括的な高度セキュリティサービスには、アプリケーション制御、アンチスパム、アンチウイルス、コンテンツ無害化、クレデンシャルスタッフィングディフェンス、CASB、データベースセキュリティ、ドメインレピュテーション、侵害指標(IOC)、ICS向けIndustrial Security Service、侵入防止、IPレピュテーション & アンチボットネットセキュリティ、モバイルセキュリティ、サンドボックス、Security Rating、ウイルスアウトブレイク防止、ウェブアプリケーションセキュリティ、ウェブフィルタリングが含まれています。


卓越性に対するフォーティネットのコミットメント

フォーティネットは、当社のセキュリティファブリックを介してデバイス、インフラストラクチャーのエコシステムの両方における高いパフォーマンス、高度な自動化、コスト効率、深い統合を中心とした高度なセキュリティソリューションを提供することに注力しているだけでなく、当社のポートフォリオ全体にわたる高度な脅威インテリジェンスサービスにおいて業界をリードし、組織がモバイル端末や遠隔地のオフィス、ネットワークコアやデータベースの奥深く、さらには拡大するマルチクラウド環境まで、分散型の環境全体において可能な限り最高レベルの統一、統合型の保護を確保しすることにも注力しています。


フォーティネットのセキュリティサービスポートフォリオに関する詳細につきましては、こちらをご覧ください

最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。


Cyber Threat Allianceと連動し、Sophosは7月31日、「SamSam」と呼ばれる非常に巧妙なランサムウェアを仕掛ける脅威グループについて詳細な分析結果を公表しました。フォーティネットもCyber Threat Alliance(CTA)のメンバーですので、FortiGuardのお客様をこれらの脅威から保護できるよう、公表に先駆けてすべてのIOC(Indicator of Compromise:侵害指標)に関する情報を受け取りました。2015年後半に初めて登場したSamSamランサムウェアは、当初比較的目立たないリスクでしたが、それ以降積極的な拡大が見られ、医療機関から教育機関、地方自治体まで、幅広い組織を標的としてきました。Sophosの見積もりでは、SamSamを仕掛けるグループはこれまでに被害者から600万ドル近くを巻き上げてきたということです。

SamSamを使った標的型キャンペーンでは、脆弱性につけいることに重点をおいた戦略を用い、ネットワークで系統的に水平の動きをすることで標的を特定し、マシンのロックを行います。検知をかわすため、これらの攻撃は通常、就業時間後などの時間帯に実施されてきました。攻撃者たちはその後偵察を行い、標的とするデバイスに侵入し、環境変数が攻撃に適した状態になるまで休眠した状態を保ちます。適した状態になると、SamSamは特定したシステムを一斉に攻撃しますので、侵害を受けたデバイスを隔離することが非常に困難になります。

SamSamの攻撃者はペンテスティングや、Mimikatzというpost-exploitationツールなどの既知のツールを複数用いて認証情報を収集し、PSexecを用いて組織内を水平移動しながら、手動でSamSamマルウェアをインストールします。通常、セキュリティデバイスはこのようなトラフィックを組織内の誰かによる正式のコマンドとして認識し、警告がトリガーされることがないため、これは非常に有効なテクニックです。また、攻撃者はSamSamランサムウェアを手動でインストールするので、このプロセスでもシステムやネットワーク管理者、多くのアンチウイルス、IPS防御によって不要な注目を集めることがありません。貴重なファイル(文書、データなど)が標的とされるだけでなく、Microsoft Officeの構成ファイルなども攻撃されるため、業務が完全にストップしてしまうというのが一番の懸念材料です。


SamSamなどのランサムウェアから自分の組織を保護する

ランサムウェアは組織を妨害するのに有効な手段であることが知られており、金融機関や医療施設などの完全なデジタルビジネスが、紙と鉛筆を用いて複雑な業務を管理しなければならない事態に追い込まれることも少なくありません。多くの組織ではダウンタイムを何万、何十万ドルと計算し、一刻も早く業務を元の状態に戻す必要があるため、デバイスやネットワークのロック解除のために法外な身代金を支払うことになってしまうのです。しかし、身代金を支払ったからと言って、システムのロック解除に必要な鍵が提供される、あるいは犯罪者がこうした攻撃が繰り返せないよう、侵害を受けたシステムから侵害を完全排除できるという保証は全くありません。

SamSamのようなランサムウェアに対する最善の策は、備えです。


積極的にデバイス、ソフトウェア、アプリケーションのパッチを適用し、アップデートを行う

ほとんどのランサムウェアによるブリーチは、未パッチの脆弱性につけいられることが原因です。しかも、何週間、何か月、何年もパッチが提供されている脆弱性が多々あります。組織で自分たちの既存のハードウェア、ソフトウェア、アプリケーションの目録を作成し、その脆弱性やリスクの優先順位を決定し、通常のプロセスを実施して必要なパッチやアップデートを管理していく必要があります。こうしたセキュリティのベストプラクティスを無視すると、SamSamのような攻撃の影響を受けやすくなり、巧妙でない基本的なサイバー攻撃が使用される場合でさえも、ネットワークブリーチが発生してしまいます。


アクセス管理および内部セグメンテーションソリューションを配備

侵害や脅威の広がりを制限するため、組織は強力なアクセス管理とともに、セキュアなネットワークセグメンテーションを導入して、デバイスやデータを隔離させ、より広範なネットワークへの特権的アクセスを持つ人でも、デバイスの閲覧や侵害をできないようにする必要があります。アクセス管理では、2要素認証やトークン管理、シングルサインオン、バイオメトリクスなどを使って機密情報にアクセスしたり、ソフトウェアのアップデートを行おうとするユーザーやアプリケーションを明確に認証する必要があります。ネットワークセグメンテーションは、デバイスやシステム管理に対して、隔離したセキュアなアクセスチャネルを提供することも可能です。


ベースライン管理トラフィック

マルウェアが一般的なペンテスティングや管理ツールを用いてマルウェアのロードやデバイスの侵害を行う傾向が強くなってきているため、すべての管理トラフィックやアクティビティのベースラインを設定することが重要です。これにより、挙動解析システムが、デバイス構成などの予期しない、あるいは普段は見られない管理イベントを迅速に特定し、警告を行うことができるようになります。


データをバックアップ

ランサムを支払うよりも、侵害を受けたオペレーティングシステムやソフトウェア、アプリケーションを、クリーンなバックアップバージョンに差し替えるというのも有効な対応の1つです。この方法にはいくつかの手順が必要です。まず、バックアップを定期的に行い、侵害を検知した時点と、最新のクリーンなバックアップの差を縮める必要があります。バックアップは、マルウェアやその他アノマリーを検出するためのスキャンを行う必要があります。同じ感染が見られるバックアップを使って侵害を受けたデバイスを回復しても意味はありません。最後に、これらのバックアップが攻撃の最中や攻撃後に破損したり、利用不可能になったりしないよう、管理者はこれらをオフライン環境に保存しなければなりません。


ソリューションおよび保護

FortiGuard Labsでは、Sophosのブログに記載されているSamSamのIOCをすべて分析し、既知のサンプルすべてに対してAV保護を配備しました。

W32/Samas.C!tr
MSIL/Kryptik.BV!tr
MSIL/Filecoder_Samas.B!tr
W32/Generik.BV!tr
W32/Samas.F!tr
W32/Kryptik.BV
W32/Agent.PCS!tr.spy
W32/MSIL.LGG!tr
W32/MSIL.LGF!tr
BAT/RansRun.A!tr
W32/Generik.BW!tr
MSIL/Kryptik.BW!tr
W32/Ransom.EWU!tr
MSIL/Filecoder.AR!tr
W32/STUBDCRYP.A!tr
W32/RUNNER.GBB!tr
PossibleThreat
MSIL/Generic.AP.64370!tr
MSIL/Injector.JAX!tr
MSIL/Generic.AP.11FED6!tr
MSIL/Generic.AP.FC7CE!tr
Trojan.FNEY!tr
MSIL/Generic.AP.A8642!tr
W32/Samas.A!tr
Trojan.FLLL!tr
W32/Generic.A!tr
MSIL/Generic.AP.70DAA!tr
MSIL/KillFiles.Y!tr
Generik.DHAHMQP!tr
MSIL/Generic.AP.5AC80!tr
Trojan.FLAI!tr
Ransomware.SAMAS!tr
W32/Agent.SFI!tr
MSIL/Samas.B!tr
W32/Samas.AB!tr
W32/DELETER.SEA!tr
W32/Agent.B!tr
Ransom.A!tr
Ransom!tr
W32/Agent.XN!tr
W32/Ransom.DSR!tr
MSIL/Filecoder_Samas.A!tr
Trojan.O!tr
W32/MSIL.GWZ!tr
W32/Tpyn.A!tr
Generik.FIXATIN!tr
W32/MSIL.GJR!tr
W32/Tpyn.SAMAS!tr
Trojan.SAMAS!tr
W32/Tpyn.CHU!tr
MSIL/Ransomware.FHD!tr
Ransomware.FHD!tr
W32/MSIL.FZL!tr
W32/RansmSam.A!tr
W32/MSIL.FZK!tr
BAT/Starter.B!tr
MSIL/Agent!tr
Trojan.I!tr
Ransomware.FDL!tr
W32/Samas.AR!tr
W32/Deshacop.BMV!tr
W32/Mimikatz.A!tr
W32/Kryptik.BV

また、この攻撃に関連するすべてのURLは、FortiGuard Labs のWebフィルタリングによってブラックリストに登録済です。


最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。


仮想通貨は最近、激しい下落傾向にありますが、それでも情報技術と無縁の人たちの間では今でも人気となっています。実際、最大の仮想通貨の合計時価総額は現在も1,000億ドルを超えています。そしてお金があるところには、犯罪者がいます。

不正な収入を得る方法の1つが、マルウェアを使うことです。最近はインターネット上にソースコードが気前よく提供されているため、この方法は年々容易になっています。

今回の記事では、クリップボードを差し替えるマルウェアファミリーの代表例を見ていきましょう。このサンプルには、10,000超の既存のビットコインアドレスを利用し、ビットコインウォレットのアドレスの最初と最後の部分だけを確認する疑い深いユーザーさえもだますという、独特な機能があります。


ランサムルーツを持つ泥棒

FortiGuard Labsでは定期的に地域のサイバー脅威の監視を行っています。日本の脅威ランドスケープを分析していると、珍しいサンプルに目が留まりました。そのリソースの一つに日本のエンコーディングがあったため、私たちのセンサーがトリガーされたのです。さらに分析を進めると、日本のユーザーだけでなく、ビットコイン資産を持っている人すべてを標的とするものであることが判明しました。

興味深いことに、このサンプルは最初に、2016年4月に発見された「ジグソーランサムウェア」というランサムウェアに関連するいくつかのルールとマッチします。他のベンダー数社も、これをランサムウェアとして検知していることがわかりました。

しかし、このサンプルの挙動はランサムウェアとはかなり異なります。ユーザーのファイルをロックし、支払いを要求することがないからです。この状況に私たちは戸惑いました。そこで、このサンプルの詳細をもう少し集め、こうした相違の本質を探ってみることにしました。


疑わしいサンプルの分析

ファイルのプロパティを確認

2018年4月8日、私たちのテレメトリーシステムに、SCRIPTCHECKER V0.2.1.EXE という名前でサンプルがアップロードされました。しかし、プロパティを見てみると、そこにはTextToWav.exeという異なる名前がありました。

Link date: 22:30 24/03/2018
Publisher: n/a
Company: DNASoft
Description: Text-to-Speech application
Product: Text To Wav
Prod version: Ver 3.0
File version: Ver 3.0
MachineType: 32-bit

アセンブリの内部記述に、Firefoxブラウザになりすます明らかな試みがあることに私たちは気づきました。

図1. 疑わしいサンプルの記述

図1. 疑わしいサンプルの記述

ファイル名がなぜこのように一致しないのでしょうか?確実な理由はわかりませんが、コンパイルや配信という異なる段階で、マッチングのことを気にしない自動システムの仕業のようにも思えます。

アセンブリ名はBitcoinStealer.exeと指定されています。この名前は被害者をだますことを意図したものではありません。なぜなら、リバースエンジニアリングを使ってのみ、読むことができるものだからです。従って、この名前はこのファイルの本質を反映している可能性が高いと思われます。

図2. アセンブリ名

図2. アセンブリ名

ですが、どの段階でもマルウェアを信用することはできません。そこで、私たちはこのサンプルの機能を分析し、自分たちで確認してみることにしました。

サンプルの機能分析

機能分析を行う前に、マルウェアに使用されている基本的な保護を迂回しなければなりません。

サンプルを解凍

主な機能から、ファイルの分析を始めていきます。「koi」という名前のモジュールを解凍し、ロードすることがわかりました。

図3. TextToWav.exeを解凍

図3. TextToWav.exeを解凍

モジュールの名前と解凍方法から、マルウェアのコードが、有名な「ConfuserEx」というプロテクターで圧縮されているのは確かです。ロードされたモジュールは高度に難読化されており、コードがConfuserExによって「ダメになって」しまっているため、ILdasmでコードを表示できません。

図4. ConfuserExで保護されたコード

図4. ConfuserExで保護されたコード

難読化を解除し、「koi」モジュールを元の状態に回復してから、サンプルコードの分析を始めます。サンプルの最初の挙動は、以下の通りです。

  1. 1) .Netフレームワークをインストールしなければならないという、偽のエラーメッセージを表示

    図5. 偽のエラーメッセージが表示される

    図5. 偽のエラーメッセージが表示される

  2. 2) APPDATAフォルダから実行されているかどうかをチェック
  3. 3) そうでない場合、2つの異なる相対パスに自身をコピー
    %LOCALAPPDATA% \Drpbx\drpbx.exe
    %APPDATA%\Frfx\firefox.exe
  4. 4) よく知られたレジストリキーで値を作成し、パーシステンスの確立を試みる
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
    firefox.exe - %APPDATA%\Frfx\firefox.exe
  5. 5) drpbx.exeファイルを実行し、現在のプロセスを閉じる
  6. 6) Drpbx.exeがクリップボードの監視を開始し、正規表現に対してクリップボードのコンテンツを確認し、ビットコインアドレスを探す

マルウェアの主な機能は、クリップボードのコンテンツを変えることです。ビットコインアドレスを攻撃者のアドレスに置き換え、別のウォレットに送金するのです。コピーする際に、アドレスが置き換えられていることが分かるのでは、と思いますよね。しかし、このマルウェアには興味深い特徴があります。正規のアドレスを、文字列の最初と最後に似たような(あるいは同じ)記号を入れた偽のアドレスに置き換えるのです。


カメレオンのようなクリップボード改変アルゴリズム

このマルウェアには、「vanityAddress」というリソースセクションに、10,000の異なるアドレスが含まれています。

図6. サンプルのリソースセクション

図6. サンプルのリソースセクション

正規表現がクリップボードのデータのマッチングを行うと、コードが10,000のアドレスから最も似たビットコインアドレスの選択を開始します。文字列は、攻撃者のウォレットの最初と最後の部分を可能な限り元のウォレットアドレスに近づける形で選択されます。ただし、行の最初が優先されています。

図7. ウォレットアドレスチェックの開始

図7. ウォレットアドレスチェックの開始

通常、人は受信者のビットコインアドレスを見て、それをコピーします。このマルウェアは似たようなアドレスを取り出し、それを使ってクリップボードのコンテンツを変えます。変更があったことに被害者が気づくことはほとんどないでしょう。

例えば、以下の左のアドレスが、右のアドレスに差し替えられます。

図8. アドレスなりすましの例

図8. アドレスなりすましの例

しかし、同時に2つ以上のアドレスがコピーされると、このマルウェアはそれを変更することができません。また、調べたマルウェアのサンプルにはP2SH ビットコインアドレス(「3」で始まる)が含まれていません。このケースでは、P2PKHアドレス(「1」で始まる)に置き換えられます。このサンプルは、Bech32アドレスを置換することができません。中のRegExpが、26から34の長さのアドレスのみを探すからです。あとで、RegExpの機能をもう少し見ていくことにします。


アドレス生成ツールとその影響

偽アドレスの一覧を含むリソースの名前(vanityAddress)から、攻撃者はこれら10,000のアドレスのすべてを、「Mass Address Generator」というユーティリティを使って生成したと考えられます。このツールは「vanityAddressess.txt」と「addressSecretPairs.txt」というビットコインウォレットアドレスの一覧を生成します。最初のファイルにはウォレットアドレスが含まれ、2つ目のアドレスにはそれに対応した秘密鍵が含まれています。

図9. 「Mass Address Generator」

図9. 「Mass Address Generator」

このツールはフォーラムの広告にありました。同じフォーラムに、他にも面白いコードがあったので、次のセクションでそれを見ていきます。

今回の悪意のあるキャンペーンの推定収益を分析してみました。私たちが分析を行った時点で、すべてのアドレスの合計収入は8.41400221 BTCになります。約60,000ドルです。

しかし、これらのアドレスの取引は、2017年後半あたりから、私たちが分析を行った時点までに行われたものです。興味深いことに、調べたサンプルのタイムスタンプは2018-03-24となっており、このサンプルが初めて当社のテレメトリーに現れたのは4月上旬でした。コンパイルのタイムスタンプは偽造が可能ですが、今回は違うと思います。

攻撃者は他の悪意のあるキャンペーンでこれらのアドレスを使用し、こうしたマルウェアで他にも改変を行っていたのではないかと私たちは考えています。だからこそ私たちは、コンパイルのタイムスタンプ前に発生した取引も見ることができるのです。

そうした取引の追跡を試みるなかで、攻撃者がいわゆる「ミキサー」というものを使用していることが判明しました。これは大きな金額を細かく分け、複数のアドレスに送信するものです。その後、使用できる取引プラットフォームでお金を引き出せるというわけです。

図10. お金を追跡(Blockseer Service)

図10. お金を追跡(Blockseer Service)

すべてのウォレットの現在の残高は、0,03955733 BTCとなっています。


ジグソーランサムウェアとの類似点

先ほど述べましたが、「Bitcoin Stealer」のサンプルは最初、既知のランサムウェアファミリーである「ジグソーランサムウェア」に関連したルールのいくつかとのマッチングを行いました。以下の分析は、なぜこのようなおかしなことをするのか、その理由の解明を試みた結果です。

ジグソーランサムウェアは2016年4月中旬に発見されました。このマルウェアの挙動は、ランサムウェアとしては珍しいものではなく、ユーザーのファイルをエンコードし、身代金を要求するというものでした。

図11. ジグソーランサムウェア

図11. ジグソーランサムウェア

今回のサンプルのアセンブリ記述とジグソーランサムウェアを比べてみると、かなり似ていることが分かりました。「Mozzilla」というスペルの間違った名前も同じです。

図12. ジグソーランサムウェアのアセンブリ記述

図12. ジグソーランサムウェアのアセンブリ記述

どちらのサンプルにも「vanityAddress」というリソース名があります。分析結果から、Bitcoin Stealerは「ランサムウェア」のルーツが根強いと私たちは考えています。おそらく、ジグソーのコードを使うことで「誕生」したプロジェクトの1つということでしょう。


コピー&ペーストしたコードが世界中に出回る

調査の際、他のプロジェクトも発見しました。これらは同一のものではないですが、同じ共通の特徴が見られました。BitcoinStealer.exeというアセンブリプロジェクト名から、私たちはこのソースコードを持つ「BTC Stealer」というマルウェアビルダーをダウンロードするための広告を複数、アンダーグラウンドフォーラムで発見しました。

図13. アンダーグラウンドフォーラム上の広告

図13. アンダーグラウンドフォーラム上の広告

また、今回のサンプルのソースコードによく似たソースコードが含まれる「Souhardya」という名前のGitHubアカウントも発見しました。Souhardyaは、ハッカーフォーラムからアイデアを拝借したと述べていますし、コードは教育目的用としてのみ提供されていると明確に述べています。残念ながら現時点では、こうした「概念実証」の有用性を悪意のある目的に使用する行為がよく見られます。さらに、それが利用可能な状態にあるため、多くの「スクリプトキディ」たちが、積極的にマルウェアの配信や、亜種の作成を行っています。

図14. 悪意のあるソースコードを持つGitHubアカウント

図14. 悪意のあるソースコードを持つGitHubアカウント


コード比較:

このセクションでは、以下のソースを比較してみたいと思います。

  • ジグソーランサムウェア;
  • BTC Stealer(フォーラムの広告のもの);
  • GitHubアカウント(/Souhardya/bitcoinstealer/);
  • Drpbx.exe(TextToWav.exe).

まず、アセンブリ記述を見てみましょう。

図15. ファイル記述の比較

図15. ファイル記述の比較

もう1つ似ている点が、同じ文法ミスを持つまったく同じテキストを含む偽のエラーメッセージが表示されるという点です。

図16. まったく同じ偽のエラーメッセージ

図16. まったく同じ偽のエラーメッセージ

また、4つのソースのうち3つに、同一のコードが入っていました。次に、その3つの悪意のあるコードが使用する正規表現とクリップボードハンドラーを比較してみます。

図17. RegExpコードとハンドラーコードの比較

図17. RegExpコードとハンドラーコードの比較

調べたコードサンプルには、以下のような多くの類似点があります。

  1. アセンブリ記述 - "Mozzilla", "37.0.2.5583"
  2. ユーザーに表示されるエラーメッセージ
  3. 正規表現

残念ながら、コードの属性を構成することはできません。つまり、ジグソーランサムウェアの作成者が、BTC Stealerと同じであるかどうかは確認できないということです。ソースコードが広く配信されていることから、C#コードをコンパイルできる人ならだれでも、悪意のあるキャンペーンを独自に開始させることができます。また、アクターは容易にソースを変え、同様の方法でそれを配信できます。この状況は、Miraiマルウェアのソースがリークした時と非常に似ています。


結論:

FortiGuard Labsはシンプルかつ有効な戦法を使って、気づかれないうちにクリップボードのコンテンツを差し替える悪意のあるサンプルを発見しました。別のマルウェアファミリーであるジグソーランサムウェアとコードの類似点が多いことから、同じコードベースが使用されていると思われます。

現時点では、ソースコードがネット上で自由に利用できる状態にあるため、この両方のマルウェアファミリーの作成者が同じアクターかどうかはわかりません。しかし、ビットコインに価値がある限り、同じソースコードを使って、ユーザーのビットコインウォレットへのさらなる攻撃が行われるだろうと私たちは考えています。


ソリューション:

フォーティネットでは、BTC Stealerマルウェアとジグソーランサムウェアの改変版を、W32/Generic!tr、MSIL/Ransom.CWF!tr、Generic.MSIL.Ransomware.Jigsaw.DEC34A8B、MSIL/Jigsaw.B!tr、W32/Agent.AA!tr、W32/Generic.AA!trとして検知しています。

-= FortiGuard Lion Team =-


IOC:

ハッシュ:
BitcoinStealer.exe:
454280128478d0da357e8609d5bef43a601ba18582a96678c0d5e60ceb9b08aa
ジグソーランサムウェア:
bc83ef30422eb7b0c8903d3b4f1d4258e25cf78e9357a30dac773f8d2c17aa28
44fb1c2a1500ab3102907a0422e51cc3394d7a6868f909745a81d27332bbf025

作成されるファイル:

%LOCALAPPDATA% \Drpbx\drpbx.exe
%APPDATA%\Frfx\firefox.exe

変更されるレジストリ:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe


フォーティネットの 脅威に関するグローバルリサーチ:

最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。


GandCrab 4.0のリリースから2日後、FortiGuard Labsは、 クラックされたアプリケーションのダウンロードサイトを装う侵害済みウェブサイトを介すという、同じ方法を用いた新たなバージョン(v4.1)が配信されているのを発見しました。この新バージョンのGandCrabには、以前のバージョンには見られなかったネットワーク通信上の戦術が追加されています。また、いわゆる「SMBエクスプロイトスプレッダー」という脅威に関しても現在様々なレポートが出回っているため、その分析内容をここで共有したいと思います。


ネットワーク通信

Figure 1 Malware sends Info to list of compromised websites

図1. マルウェアが侵害済みウェブサイトリストに情報を送信

GandCrabマルウェアの新バージョンには、接続する侵害済みウェブサイトがハードコードされて記載された、異常に長いリストが含まれています。これらのウェブサイトが一つのバイナリに入っており、ユニークなホストの数は1,000近くにのぼります。

各ホストのフルURLの生成には疑似乱数アルゴリズムが使われ、各所に事前定義された単語から選ばれたものが当てはめられます。最終的なURLは以下のような形式になっています。(例: www.{host}.com/data/tmp/sokakeme.jpg

Figure 2 Format of URLs connected to by GandCrab v4.1

図2. GandCrab v4.1が接続するURLの形式

URLへの接続に成功すると、このマルウェアは暗号化した(そしてbase64でエンコードされた)被害者のデータを送信します。これには感染したシステムとGandCrabに関する以下の情報が含まれます。

  • IPアドレス
  • ユーザー名
  • コンピュータ名
  • ネットワークドメイン
  • インストールされているアンチウィルスのリスト(存在した場合)
  • デフォルトのシステムロケール
  • キーボードのロシア語レイアウトのフラグ(0=Yes/1=No)
  • オペレーティングシステム
  • プロセッサーアーキテクチャ
  • ランサムID ({crc of volume serial number} {volume of serial number})
  • ネットワークとローカルドライブ
  • GandCrabの内部情報:
    • id
    • sub_id
    • バージョン
    • アクション

しかし、マルウェアに含まれたハードコード済みのウェブサイトが実際に侵害を受け、GandCrabのサーバーやダウンロードサイトとして機能しているかどうかに関しては、明確な証拠が見つかりませんでした。さらに奇妙なことがあります。リスト上のライブホストすべてに被害者の情報を送信するというのは、実際には非論理的です。目的達成という点では一度送信が成功すれば十分なはずです。こうした点を踏まえ、この機能は実験的なもの、あるいは単純に分析をかわすためのものではないか、そしてリストに含まれるURLはただ単に悪い冗談の犠牲者なのではないかと私たちは考えるようになりました。


暗号化を確実に行うためプロセスを強制終了

標的とするファイルの完全な暗号化を行うため、GandCrabは以下のプロセスを強制終了することが私たちの分析により判明しました。

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlwriter.exe
  • oracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exeisqlplussvc.exe
  • xfssvccon.exe
  • sqlservr.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exeagntsvc.exe
  • agntsvc.exeencsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • mydesktopqos.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

これらのプロセスを強制終了することで、邪魔が入ることなく、暗号化ルーチンの目的達成が可能になります。また、標的となっているこれらのファイルタイプには、被害者にとって大切なデータが含まれていることが多々あり、被害者がファイルを取り戻すために支払いを検討する可能性が高まります。


GandCrabとSMBエクスプロイトスプレッダーに関する憶測

このバージョンのGandCrabマルウェアは「SMBエクスプロイト」を介して自己増殖できる、とする数多くのレポートがここ数日で出回っています。昨年の第2四半期に WannaCryPetya/NotPetaといったランサムウェアが世界的な規模で発生し、サイバーセキュリティ業界を恐怖に陥れたのが「自己増殖」という言葉です。ですから、この拡散方法を使用する別のランサムウェアが登場したというニュースが騒ぎになるのも当然です。

この件を技術的に分析したレポートは見当たらず、私たちがこれまで行った分析でもこの機能は観察されなかったので、この噂を調査し、確認してみることにしました。ですがこれはまったくの無駄でした。

様々なレポートで、「network f**ker」と呼ばれるモジュールが、このエクスプロイトの実行を担っているとされています。これは、マルウェアのバイナリに見られる以下のデバッグ文字列によって判明したもののようです。

Figure 3 Debug strings in GandCrab v4.0 binary

図3. GandCrab v4.0のバイナリのデバッグ文字列

しかし、この文字列があるにもかかわらず、報告されているようなエクスプロイトの機能に似た実際の機能は見つけることができませんでした。(この文字列が、v4.1ではなく、v4.0で見つかっていたとする報告に関係しているのかもしれません。少なくとも私たちが分析したサンプルでは。)この文字列は、私たちが明らかにした実際のエクスプロイト拡散機能にはつながっていないため、エクスプロイト増殖のためのものではなく、単純にネットワーク共有の暗号化に言及している可能性が高いように思えます。


結論

コミュニティで不要なパニックを引き起こす可能性を避けるために、私たちはこの分析内容を提供しています。レポートや個人の信頼性を傷つけるためのものではありません。しかし、その存在の確たる証拠が見つかるまでは、GandCrabのSMBエクスプロイトによる増殖に関しては、憶測にすぎないと私たちとしては考えています。

この機能が存在するのであれば(そうでないことを祈りますが)、私たちも更新情報を提供していきます。しかし、この一週間でGandCrabは急速に進化しており、このエクスプロイトによる増殖機能に関する憶測が飛び交うなか、脅威アクターたちが今後のアップデートでこの機能を追加しようと考えても不思議はないと思います。

どちらにしても、この脆弱性はマイクロソフトのアップデート MS17-010によって修正済みです。皆さんのシステムも適切にアップデートされていることをご確認ください。FortiGuard Labsでは、今後の進展に眼を光らせていきます。

(意見を提供してくれたDavid Maciejak、Jasper Manuel、Artem Semenchenko、Val Saengphaibul、Fred Gutierrezに感謝します。)

-= FortiGuard Lion Team =-


ソリューション

フォーティネットのお客様は、以下のソリューションで保護されています。

  • サンプルはW32/Gandcrab.IV!trおよびW32/GandCrypt.CHT!trシグネチャで検知
  • FortiSandboxがGandCrabの動作を「ハイリスク」と評価

IOC

Sha256

37e660ada1ea7c65de2499f5093416b3db59dfb360fc99c74820c355bf19ec52 (4.1) - W32/Gandcrab.IV!tr
222ac1b64977c9e24bdaf521a36788b068353c65869469a90b0af8d6c4060f8a (4.1) - W32/Gandcrab.IV!tr
cf104f2ad205baee6d9d80e256201ef6758b850576686611c355808a681bec60 (4.1) - W32/Gandcrab.IV!tr
8ecbfe6f52ae98b5c9e406459804c4ba7f110e71716ebf05015a3a99c995baa1 (4.1) - W32/Filecoder_GandCrab.D!tr
6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82 (4.0) - W32/GandCrypt.CHT!tr


フォーティネットの 脅威に関するグローバルリサーチ:
最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。


企業は常にテクノロジーを活用して競争力を得てきましたが、現在進行中のデジタル変革により、かつてないほどネットワークが拡大しています。このように複雑性が増大すると、新たな攻撃ベクトルや、ネットワーク上で実行されているデバイスやサービスが標的のエクスプロイトを見落とす可能性があります。特にエンドポイントやIoTセキュリティにおいてそれが問題視されてきました。現代のネットワークでは、企業リソースにアクセスするユーザーデバイスや、スマートなコネクテッドデバイス(IoT)など、無数のエンドポイントが利用されています。また、その多くのエンドポイントは、企業によって完全にコントロールされているとは言えません。IoTやヘッドレスデバイスの場合、それらが企業の所有しているデバイスであっても、ITチームがファームウェアを管理できず、デバイスのセキュリティレベルや企業のセキュリティポリシーの遵守を追跡するという課題を抱えている可能性があります。

リスクの観点から、こうしたコネクテッドデバイスを特定して把握するためには、それらを発見、評価し、ネットワークのセキュリティコンテクスト内を継続的に監視できるセキュリティ管理システムを、ITチームが導入する必要があります。


エンドポイントがもたらす脅威

企業のネットワークやリソースは従来、外部ユーザーからは隔絶されていましたが、社員やパートナー企業、顧客がデータへのアクセスを要求し、様々なデバイスで外部からトランザクションを実行するようになったため、企業のものではないデバイスからのアクセスが可能になっています。企業リソースへのアクセスを要求するデバイスの数が増えて高度化が進んだことで、これらに費やされる組織のネットワークの帯域幅の割合が上がっています。コネクテッドデバイスの数は、2030年に1,250億台にのぼると予測されているため、この傾向は今後も続くでしょう。

その結果、コネクテッドデバイスはサイバー犯罪者たちの主な標的となり、検知を回避し、その後ネットワーク内を横方向に移動するよう設計されたマルウェアで、IoTやエンドポイントデバイスが感染させられるようになってきました。こうした攻撃で最も一般的なのは、アプリケーションの脆弱性につけ入る方法です。その際、Eメール内の悪意のあるリンクや添付ファイルをユーザーにクリックさせる、フィッシング攻撃が使われることも多々あります。ゼロデイエクスプロイトはニュースで取り上げられることが多いですが、実際に成功した攻撃の多くは既知の、パッチが適用されていない脆弱性を標的としています。リスク拡大に対する懸念は当然であり、当社の2018年第1四半期脅威動向レポートでは、15,071のマルウェア亜種が存在し、6,623の固有のエクスプロイトが世界各地でアクティブ状態にあることが報告されています。


エンドポイントセキュリティに対する可視性の欠如

エンドポイントデバイスをネットワークへの未許可の入口にしないために、セキュリティチームはデバイスが誰のものか、最後にアップデートされたのはいつか、現在のセキュリティステータスはどうなっているのか、もたらされる可能性のあるリスクにはどのようなものがあるか、などを把握しておく必要があります。見えないものを保護することはできません。しかし主に4つの理由から、これまで十分な可視性を得ることが困難とされてきました。

1. ITオーナーシップの欠如

企業ネットワークに接続するエンドポイントの多くは、正式な企業アセットではありません。こうしたデバイスはITチームの所有物ではないため、それらにアクセスしたり監視したりして、必要なアップデートやパッチを適用しているかを確認するのが困難です。そのため、脅威の影響を受けやすいだけでなく、ほぼ未知の脅威ベクトルとなり、ネットワーク全体のセキュリティに影響を及ぼします。

2. デバイスのモビリティ

モビリティも可視性を妨げる主な要因です。エンドポイントデバイスはこれまで、企業のファイアウォール内に隔離された企業所有のアセットでした。現在はモバイルユーザーやローミングデバイスが様々なアプリケーションを使用して企業リソースに接続し、企業データにアクセスしてトランザクションを実行しています。さらに、そうしたデバイスが物理的なリソースやクラウドベースのリソースにアクセスするうえで、VPNに接続する必要がなくなっています。2017年にPonemon Instituteが発行したレポート、「The Cost of Insecure Endpoints」では、こうしたデバイスが企業所有ではないネットワークリソースに接続する時間が長いことで、ITチームの可視性が大幅に低下していると報告されています。実際、IT専門家の2/3が、定期的にネットワークに接続するエンドポイントがネットワーク外で動作している際に、エンドポイントに対する可視性が得られないと述べています。

3. シャドーIT/シャドーIoT

社員は個人のスマートフォンやコンピュータから、あるいはITチャネルを通さないで割り当てられた企業所有のアセットにおいて、従来のアプリケーションやクラウドベースのアプリケーションを容易にインストールして実行できます。セキュリティチームがデバイスで実行される全プログラムへの可視性を得られないのであれば、結果的に生じる脅威を緩和したり、データや他の企業アセットの分散を制御したりする上での管理ができません。

4. 切り離されたエンドポイントセキュリティソリューション

これまで、エンドポイントセキュリティはセキュリティチームではなく、デスクトップチームの管轄とされる場合も多く、広範なネットワークセキュリティ戦略と切り離して捉えられてきました。しかし、エンドポイントは拡大したネットワークエコシステムの重要な要素になってきており、このアプローチでは可視性が制限されるだけでなく、重要な脅威インテリジェンスへのアクセスが欠如していることから、デバイスのセキュリティレベルを評価し、侵害された際に必要な措置を自動的に行う妨げとなります。


エンドポイント脅威の緩和

企業がセキュリティリスクを最小限に抑えながらコネクテッドデバイスのメリットを利用するためには、ネットワークにアクセスするデバイスに対する確かな可視性を得る必要があります。そうすることで、各エンドポイントに関するリスクのレベルを組織が評価できるようになり、リスクを最小限に抑えられるようになります。

各エンドポイントに対する十分な可視性を得るには、複数の段階のそれぞれで異なる情報を得る必要があります。

発見

第一段階では、接続しているエンドユーザー、IoTデバイスすべてを含む、ネットワークの主な特徴を見極める必要があります。これには、ネットワークにアクセスする人、接続されているデバイスの種類、インストールされているオペレーティングシステムやソフトウェア、未パッチの脆弱性をすべて把握することが含まれます。この工程は継続して行わなければなりません。エンドポイントや仮想デバイスはモビリティが高く、一時的であることも多いため、脅威ランドスケープは常に変化しているからです。

評価

アクセスの瞬間に収集したデバイスや脅威に関するインテリジェンスに基づき、組織はデバイスのセキュリティレベル、エンドポイントからもたらされるリスク、接続中における関連リスクの可能性を、リスクスコアリングのマトリックスを使って自動的に見極める必要があります。そこから、チームがリスクの修正方法を決定できるようになります。

継続的な監視

最初に特定した脅威を緩和したら、エンドポイントが常にセキュリティコンプライアンスの要件を満たしつつマルウェアに感染しないように、監視を続ける必要があります。これには、ネットワークの他の部分のセキュリティ制御を行いつつ、各デバイスから収集された脅威インテリジェンスを共有し、分散型ネットワークにおける保護とレスポンスに新たな層を追加することも含まれます。

統合型かつ継続的な自動セキュリティ対策が登場したことで、今までのエンドポイントセキュリティの在り方に改革が求められています。ネットワークにはコネクテッドデバイスがあふれています。インテリジェンスを効果的に共有し、保護を最大化するためには、ネットワーク上に配備されている他のセキュリティソリューションと、自動的に統合できるエンドポイント管理が必要です。

次世代のエンドポイント管理を導入する際に、こうした能力がさらに重要になるでしょう。実際にITセキュリティ専門家の19%が、現在のセキュリティソリューションの統合や自動化が制限されていることで、手動でプロセスを行わなければならず、攻撃のスピードについていけないと述べています。

フォーティネットのFortiClientは、こうしたニーズを満たすように設計されており、無数のデバイスに脅威インテリジェンスを自動で提供すると同時に、セキュリティエコシステムの他の部分との確実な統合を実現します。


最後に

ネットワーク上に存在するものを正確に把握し、それらに対する明確な可視性を得られなければ、組織はエンドポイントがもたらす脅威からの保護を行うことはできません。統合型かつ自動のセキュリティソリューションを実装することで、ITチームはエンドポイントの発見、評価、監視が可能になり、セキュリティとコンプライアンスを確保できるようになります。