• HOME
    • セキュリティブログ

インターネットで伝えられるニュースをご覧になっている方であれば、最近多くの有名企業がランサムウェアの標的になっていることをご存知だと思います。この傾向は高まっており、多くのユーザーに壊滅的な影響を及ぼす可能性があります。

悪名高いWannaCryウイルスは、1年近くにわたり脆弱性のある同じシステムを標的にしており、2017年3月28日には大規模な生産工場を攻撃しています。また、米国最大規模のとある市では、この数日間SamSamランサムウェアとの戦いを続けており、市長はこの状況を「人質事件」と呼んでいます。幸運なことに、影響を受けたのはメーカーのほんの一握りのサーバーであったため、生産ラインへの影響は一切なかったようです。今回のSamSam攻撃が標的にしたのは、オンラインの請求書支払いサービスと裁判スケジュール管理サービスに限られていましたが、それよりはるかに深刻な事態になっていた可能性があります。

WannaCry攻撃の場合、エンドユーザーは通常、リンクをクリックするか、フィッシング(無作為型)攻撃またはスピアフィッシング(標的型)攻撃の一部である悪意のある電子メールに添付されたファイルを開きます。あるいは、(本来アクセスすべきではない)感染したWebサイトにアクセスしたために、目的のコンテンツを閲覧したりダウンロードしたりした際にマルウェアも受け取ってしまいます。いずれの場合も、オープンネットワークに接続している脆弱なエンドポイントデバイスに悪意のあるファイルがロードされ、そこからペイロードが拡散して、他の脆弱なシステムの特定とデータの暗号化が行われます。

SamSamによる攻撃はもう少し複雑です。SamSamの主な標的はインターネットからアクセス可能な状態になっている脆弱なサーバーで、RDP(リモートデスクトッププロトコル)ブルートフォース攻撃が実行されるか、特定の既知の脆弱性が悪用されます。SamSamの攻撃は指向性と計画性が非常に高い傾向にあります。

SamSamが最初に検出されたのは2015年後半のことで、当初は知名度の低い標的を対象にしていました。しかし、この数ヶ月間は医療機関や教育機関から地方自治体にいたるまで幅広い組織が攻撃を受けています。年初から4つの大きな自治体が標的となっており、うち1つの自治体は1週間に2度攻撃を受けたために、2,000人近くの職員が紙と鉛筆を使って業務を行わなければなりませんでした。SamSam攻撃の実行グループは現在までに、被害者から約100万ドルの身代金を受け取ったと推定されています。


基本に立ち返る

SamSamとWannaCryは種類の異なるランサムウェア攻撃であり、使用される攻撃ベクトルが異なりますが、共通点が1つあります。それは、パッチを適用して修正されているべき既知の脆弱性を標的としている点です。

問題の一部は、ネットワークが複雑化していることと、ネットワーク機能(クラウド/アプリケーションプロジェクトの管理など)の拡張が重視された結果、ITリソースが拡散し厚みがなくなったことにあります。これにより、ITチームは基本的な予防策などの基本的なセキュリティ対策に集中できなくなっています。現在SamSamの感染と戦っている市のIT管理者は、今回の出来事は「物理的インフラストラクチャと同じくらいデジタルインフラストラクチャのセキュリティが重要であるということを示しています。これは私たちにとって未知の領域です」と述べています。


今すべき対策

サイバー犯罪者は、特に高い効果を上げている「全面攻撃」の戦略をとり続けています。デジタルトランスフォーメーションによって誕生し、拡大している攻撃対象領域に有効な攻撃ベクトルを開発するだけでなく、時間に余裕がなくてITチームが対処できていなかった既知の脆弱性を標的にするという確実な方法も用いています。

最善の防御策は、実行される可能性のある攻撃方法を減らすための系統立ったプロセスを構築することです。そのためには、以下のような基本を押さえておく必要があります。

すべてのデバイスの一覧を能動的に作成する: ネットワーク上に存在しているデバイスを常に把握しておく必要があります。言うまでも無く、セキュリティデバイスとアクセスポイントが通信していない場合、容易なことではありません。

脅威を追跡する: また、脅威データをリアルタイムで提供するサービスに登録して、最新の脅威状況に対応できるようセキュリティシステムを更新しておく必要があります。

IOC(Indicators of Compromise:侵害指標)を監視する: 所有しているデバイスと脅威との関連が明らかになれば、最もリスクの大きいデバイスを迅速に特定し、強化、パッチ適用、隔離または交換を優先的に実行できます。

パッチの適用を自動化する: パッチの適用は好き嫌いの問題ではありません。最近のWannaCry攻撃でも明らかなように、パッチが適用されていないマシンが攻撃やマルウェアにとって主要な経路となっています。だからこそ、可能な限りパッチを適用する作業を自動化するプロセスを開発する必要があります。

ネットワークをセグメント化する: どの組織でもセキュリティ侵害は起こり得ます。その時には、セキュリティ侵害の影響をできる限り小さくする必要があります。最善の防御策は、ネットワークの分割です。セグメンテーションが適切でない場合、WannaCryなどのランサムウェアはバックアップストアにまで容易に拡散できるため、インシデント対応(IR)プランの他の部分の実装が極めて困難になります。仮想環境におけるマイクロセグメンテーションや物理ネットワークと仮想ネットワーク間のマクロセグメンテーションなど、セグメンテーション戦略が確立していれば、攻撃をプロアクティブに、また動的に隔離することができ、拡散を抑制できます。

セキュリティ制御を適用する: シグネチャベースおよびビヘイビアベースのソリューションを実装して、エッジで、さらにはネットワークへの侵入後に攻撃を検出して阻止します。

重要なシステムをバックアップする: ランサムウェア対策で最も重要なのは、できるだけ早く業務を再開できるように、重要なデータとリソースのコピーをネットワーク以外の場所に保管しておくことです。

エンドポイントとアクセスポイントを強化する: ネットワークに接続されるすべてのデバイスが基本的なセキュリティ要件を満たしていることを確認するとともに、感染したデバイスやトラフィックを検出するスキャンを積極的に実行します。

自動化を導入する: 制御対象の領域をロックダウンした後は、できるだけ多くの基本的なセキュリティプロセスに自動化を適用する必要があります。これにより、ITリソースが解放されるため、自社を標的にしている高度な脅威を阻止するのに役立つ、より高次な脅威分析と対応タスクに集中することができます。

セキュリティファブリックを導入する: こうしたセキュリティ対策を、新たに追加されたすべてのネットワークエコシステムにまでシームレスに行き渡らせるためには、統合型のセキュリティソリューションを導入し、オーケストレーションと分析を一元化する必要があります。セキュリティ戦略を複雑化、細分化するのではなく、動的に変化するネットワークに適応するように設計された単一のセキュリティファブリックを導入することで、セキュリティ運用に必要な幅広い可視性ときめ細かな制御が実現します。


GandCrabは今年初めて注目を浴びたランサムウェアです。支払いにDASHという仮想通貨を使用する初の身代金請求型マルウェアとして知られるGandCrabは、ユーロポールの報告によると、すでに5万人以上の被害者が出ているということです。

数週間前、ユーロポールの協力のもと、Bitdefenderがループホールを見つけ、GandCrabの最初のバージョン(.GDCBの拡張子の付いたもの)に対する復号ツールをリリースしました。これに対し、このマルウェアの作成者はバージョン2.0をリリースし、C&C(C2)インフラの安全を確保したと主張しています。

このマルウェアを監視していたところ、私たちのシステムがGandCrabの新たな亜種を検知しました。そこには奇妙かつユーモラスともいえる事実につながる情報が含まれていました。


GandCrabの概要

GandCrabはRSAアルゴリズムを使用して被害者のファイルを暗号化し、その拡張子に「.GDCB」と「.CRAB」を追加します。つまり、ファイルの復号を行う唯一の方法は、秘密鍵を使うことであり、これは暗号化され、マルウェアのC&Cサーバーへ送られています。被害者はより一般的な仮想通貨であるビットコインやEthereum、Moneroではなく、仮想通貨DASHで400ドルの身代金を支払わねばなりません。

このマルウェアはC2サーバーに「.bit」というトップレベルドメイン(TLD)を使用しています。Dot-bitはブロックチェーンテクノロジーを使って、DNSの分散化を目指しており、そうすることでプライバシーとセキュリティ―を高めています。しかし、TLDはICANN(Internet Corporation for Assigned Names and Numbers)の規制対象ではないため、これらのドメインを解決するためには、それをサポートするサーバー上でDNSクエリを実行しなければなりません。そのために、GandCrabはこれまでdns1.doprodns.rua.dnspod.comを使用してきました。

図1. ディレクトリにドロップされたGandCrabのランサムノート

図1. ディレクトリにドロップされたGandCrabのランサムノート

図2. TOR でホストされたGandCrabの支払いページではDASH通貨を要求

画像内テキスト訳:

残念ですが、あなたのファイルは暗号化されました!
心配はご無用です。ファイルはすべて取り戻せます! 私たちが力になります!
ファイルの複合ツールの価格は400ドルです。
UTC(協定世界時)2018年3月17日06:04:51までに支払いがなければ、ファイルを復号する費用は二倍になります。
料金が二倍になるまでにあと1日と23時間59分6秒です。

図2. TOR でホストされたGandCrabの支払いページではDASH通貨を要求


奇妙な情報から、さらに奇妙な状況へ

このマルウェアが被害者のファイルの暗号化を始める前に、基本情報(コンピューター名、ユーザー名、言語など)が識別のために収集されます。そして、ファイルの暗号化に使われているBase64エンコードのRSA公開鍵と秘密鍵が、この基本情報に追加されC2サーバーに送られます。

私たちのシステムがキャッチしたGandCrabの新たな亜種を分析していると、同じ関数内に新たな情報のフィールドらしきものが目にとまりました。ハードコードされた「&advert=+380668846667」が追加されているのが、以下でご覧いただけます。

Fig.3 Screenshot of the victim info assembly function with the new

Fig.3 Screenshot of the victim info assembly function with the new "advert" info

最初は、マルウェアの配布者への報酬によく使用される何らかの照会情報かアフィリエイトIDだろうと想定しました。しかし、C2サーバーに送られる情報に含まれていなかったので、この想定では筋が通りません。基本的に、個人的な目的のためのダミーの文字列のように思えます。これはGandCrabでは珍しいことではありません。実際、冒頭で述べた復号ツールがリリースされて以降、作成者はC2のドメイン名のいくつかを、politiaromana.bitmalwarehunterteam.bit と変えて、プロジェクト参加者を称えて(あざ笑って)います。

+380668846667」というフィールドの数字の部分を少し見ていくと、ロシアのハッキングサイトforum.exploit.inにあったスレッドに出くわしました。このスレッドは「Shut Up」というニックネームのメンバーが始めたものでした。この人物は、「病気の子供たち」のための寄付を募っていました。こうした犯罪者コミュニティでこのような嘆願に出くわすとは不可解です。他のメンバーが懐疑的になり、調査をしたのも同じ理由からでしょう。

以下はメンバーの1人が収集した詳細のスクリーンショットです。連絡先の番号が、Qiwiという支払いシステムの口座に登録されているアカウントの1つとして記載されています。

Fig.4 Forum member reveals info about the poster

Fig.4 Forum member reveals info about the poster

最終的に、掲載者を以前禁止されたアカウントと結び付けることができたため、「これは詐欺である」と、このフォーラムでは結論付けました。詐欺としては微妙なトピックであることから、おおいに叩かれることとなりました。これにより、詐欺を行ったとされる人物は他のメンバーから脅されることとなり、その中に「GandCrab」というあだ名の人物もいました。フォーラムのメンバーのなかには、何らかの処罰を提案するものもいましたが、ランサムウェアの作成者は、詐欺師の処罰に対して報酬を提供し、連絡先の番号をメンバーのコードに追加して公開することにしたようです。

Fig.5 GandCrab

Fig.5 GandCrab "seller" offers reward for the scammer's punishment

Fig.6 Conversation where GandCrab hints he added the contact to the code

Fig.6 Conversation where GandCrab hints he added the contact to the code


結論

マルウェアの亜種間での変化を発見すると、マルウェア運用に関連した情報が明らかになることがあり、それを緩和戦略に使用することが可能です。そして奇妙なことですが、調査が行き詰まるという結果になっても、心温まる話に遭遇することもあるのです。しかし、常に調査、検証をすることの重要性に変わりはありません。

FortiGuardはこれからも常にこの脅威を監視し、変化に注目していきます。

-= FortiGuard Lion Team =-


IOC

ファイル

95256aed4298a4732ed25a114c0b4c1cbad691bba2831dad81b40b3f9304afa0 (packed) - W32/GandCrab.KAD!tr.ransom
b3f0633706a574ca8e2e429ffad50b769148ec0f5bd75adb1f9cc38b485e2cff (unpacked) - W32/GandCrab.KAD!tr.ransom

ネットワーク

politiaromana.bit
malwarehunterteam.bit
gdcb.bit
gandcrab.bit
nomoreransom.coin
nomoreransom.bit
ns1.virmach.ru (DNS server)
ns2.virmach.ru (DNS server)


FortiGuardでは、ビットコインのユーザーを標的とする一連の攻撃の調査を継続しています。我々は以前の調査で、2017年後半にこれらの攻撃者によって登録された、いくつもの偽のWebサイトを発見しました。そして、これらのWebサイトが近い将来、別の一連の攻撃に使用されるだろうとその記事で予想していましたが、今回、これに該当する攻撃の証拠が見つかりました。また、今回の新しい調査の過程で、犯罪者が不正文書を作成する目的で使用する、いくつかのツールも発見しました。

この記事では、2018年2月にこれらの犯罪者が開始した攻撃を解説します。また、この調査で明らかになった、攻撃者の開発プロセスの一端もご紹介し、将来の同じ攻撃の発生の可能性についても考察します。


スパムメール

FortiGuard Labsのある研究者が、個人のメールボックスに多数のスパムメールが送られてくるようになったことを不思議に思いました。それらの電子メールを調べたところ、以前に我々が実施したある調査と関連性があることがわかりました。受け取ったスパムメールは、いずれもビットコイン取引に関連するものだったのです。

Gunbot広告メール

1件目の電子メールは、Gunbotの広告のようでした。電子メールの表示名が実際のmailtoリンクnoreply[@]bltcolntalk.orgとは異なる点に注目してください。

この電子メールには、いくつもの異なるハイパーリンクが含まれているように見えますが、実際には、すべてがqunthy.orgというまったく同じ場所に転送されます。bltcolntalk.orgqunthy.orgという不正ドメインとその攻撃経路については、以前の記事で詳しく説明したとおりです。

画像内テキスト訳:

Gunbot - 最高の仮想通貨自動取引ボットです!
GunBos AIを使って、寝ている間にマシンに大金を稼いでもらいましょう!
GUNBOTを期間限定で提供します!
Bittrex、Polonlex、Kraken、Bitfinex、Cryptopiaをサポートしており、Wexも近日中にサポート予定!

図1:Gunbotの偽広告付きスパムメールの一部

この電子メールのいずれのハイパーリンクも、プロキシサーバー - mailpaths.orgを使用して転送されます。このmailpaths.orgドメインは最近登録されており(2017年10月26日)、Webインタフェースは現状ではありません。犯罪者がこのドメインを実際に所有し、管理しているのか、あるいは、単に間違えて使用してしまったのかは不明です。FortiGuard Labsは今後も、このドメインの監視を継続することにしています。

「パスワードのリセット」メール

今回の第2弾のスパム攻撃で、新たな事実も明らかになりました。我々は2つの異なる種類の電子メールを登録しましたが、その例を図2に示します。

どちらのメールも、「パスワードのリセット」の攻撃方法を使ってユーザーを騙し、リンクをクリックさせようとします。これらのリンクは、2つの異なる攻撃経路にユーザーを誘導するものの、どちらの経路でもbitcointclk.orgという新しいドメインが使用されています。

図2:「パスワードのリセット」スパム攻撃で送られてくるメールの例

最初の電子メールのリンクの場合は、ユーザーを誘導する攻撃経路が以前の記事で説明したものとほとんど同じであるため、今回は簡単な説明に留めます。

bitcointclk.org/index.php?action=login -> desfichiers.com/?b4ufv8mg9q -> flashplayer28_ka_install.vbs -> github.com.sb/flashplayer.jpeg

github.com.sb/flashplayer.jpeg - 名前が変更された実行可能ファイルで、圧縮形式のWindows用Orcusリモート管理ツールが含まれています。このファイルの役割は以前に説明したサンプルとほぼ同じであるため、今回は説明を省略します。

2つ目のメールのリンクは、(「Authorize」または「Deauthorize」のどちらのリンクがクリックされた場合も)偽のログインページに移動します。このログインページは、最初のbitcointalk.orgのものにとてもよく似ています。ただし、今回の場合もフィッシングが唯一の攻撃ベクトルというわけではなく、前回と同様、不正バナーのポップアップが使用されます。

図3:不正バナーのポップアップを含む偽のログインページ

バナーをクリックすると、以下の順番でリダイレクトされます。

bitcointclk.org -> github.com.sb/Flashplayer28pp_ka_install.exe -> desfichiers.com/?j5xf39acp5

この記事の執筆日現在、この連鎖の最後のリンクがdesfichiers.comですでに削除されてしまっているため、最終的な目的が何であったのかを我々が知ることはできません。

github.com.sb

どちらの攻撃経路でも新しいドメインgithub.com.sbが使用されていますが、我々の調査によれば、このドメインは以前には使用されていなかったものです。このドメインは、以下の異なるメールアドレスで登録されています。

aldoshinanluf94[@]mail.ru(以前のドメインはcobainin[@]yandex.comで登録されていました)。

これらの犯罪者は何らかの理由で、ロシアのメールサービスに登録されている電子メールアドレスを使用する傾向があるようです。登録者の電子メールは異なるものの、今回の犯罪と前回の犯罪者とを結び付ける証拠が見つかりました(攻撃パターンの明らかな類似性も認められます)。

このドメインのGoogle検索の結果を調べてみたところ、別の.DOCMファイルへのリンクを発見しました。

hxxps://github.com.sb/AdobeFlashPlayer28pp_ka_install.exe.docm

このAdobeFlashPlayer28pp_ka_install.exe.docmというファイルは、埋め込まれたVBSマクロをユーザーに実行させるために使用する、未完成のおとり文書のようです。ユーザーにマクロを有効にするよう要求するメッセージが埋め込まれているものの、この文書にマクロは含まれていません。

画像内テキスト訳:

この文書の内容を表示するには、マクロを有効にする必要があります。上記の[コンテンツを有効にする]を押して、この文書を表示してください。

図4:AdobeFlashPlayer28pp_ka_install.exe.docmの一部

興味深いことに、このメッセージの文字も実際には1つの画像の一部です(ぼやけたテキストと画像が含まれます)。さらに、この画像は新しいものではなく、2016年に遡り、フォーティネットのテレメトリシステムにこの画像の痕跡が見つかりました。しかしながら、この文書には変更日時のタイムスタンプである「2017-12-18T23:07:00Z」が含まれています(下記の画像のタイムスタンプは、タイムゾーンがUTC +08:00です)。

図5:AdobeFlashPlayer28pp_ka_install.exe.docmのプロパティ

以上のことから、誰かが古い画像を再利用しただけであり、その内部に現段階ではいかなるマクロも埋め込まれていないと我々は判断しました。しかしながら、我々が発見したこの方法が将来的に攻撃で使われることになるでしょう。

我々は、この文書がサブオブジェクトとして含まれている既知のオブジェクトをすべてチェックしてみました。すると、2017年12月25日に誰かがsourcecode.zipという名前のファイルをVirustotalにアップロードしたことがわかりました。このZipアーカイブには、sourcecode.docm(AdobeFlashPlayer28pp_ka_install.exe.docmとして既知であるファイル)と、sourcecode.xlsm(これまでに見つかったことのないファイル)の2つのファイルが含まれていました。

Sourcecode.xlsm

我々は最初に、新しく見つかったファイルのプロパティをチェックしました。変更日時のタイムスタンプは「2017-12-18T23:19:07Z」で、これは最初のDOCM文書のタイムスタンプにかなり近いことがわかります。

さらに、cp:lastModifiedByファイルには、Scarfoというユーザー名が含まれています。この段階で、このファイルが以前の調査と関連性のあるものであることを我々はほぼ確信しました。Scarfoは、最初の調査の対象となったBltcointalk.orgの2つのページで使用されていた名前です(詳細は、こちらのブログ記事を参照してください)。

図6:sourcecode.xlsmのプロパティ(時刻はUTC+08:00での表示)

このファイルそのものは、VBSスクリプトを作成するための「テスト用ポリゴン」のようであり、VBAプロジェクトが含まれています。ユーザーがこのコンテンツの実行を許可すると、Excelが、セルI2でハイパーリンクされているオブジェクトをダウンロードして実行しようとします。このセルには、既知であるファイル共有ホスティングサイト、desfichiers.comへのハイパーリンクが設定されています。ただし、我々が調査したときには既にこのオブジェクトは削除されていました。

セルI3にはメッセージが含まれており、これは、埋め込みマクロを有効にするようにユーザーを誘導する目的で使用されるものと考えられます。

画像内テキスト訳:

Gunbotのソースコードは商標登録されているため、商用目的での複製には法的責任が伴います。これを理解した上で、マクロを有効にし、Gunbotのソースコードを表示してください。

図7:sourcecode.xlsmの内容

この文書にはさらに、意味のない画像やゼロが入力されているセルがいくつかあります。次のシート(Sheet1) には、3つのセルがあり、ドメインrevryl.comにある画像への同じハイパーリンクがすべてに設定されています。このハイパーリンクは通常のPNGファイルにリンクされており、いかなるマクロでも使用されません。このリンクは、以前のテストフェーズで使用されていたものと思われます。

FortiGuard Labsチームは、このrevryl.comというドメインを調査しましたが、不正な活動の痕跡や犯罪者に結び付く手掛かりは何も見つかりませんでした。しかしながら、このWebサイトには不自然さがあり、1年以上も更新されていないことがわかりました。このドメインが完全な休眠状態にはあるものの、脆弱性が存在し、ハッカーによって悪用されてしまう可能性もあるため、FortiGuard Labsは今後も、このドメインの監視を継続することにしています。

sourcecode.xlsmの「media」ディレクトリに、名前が「image」で始まるいくつものオブジェクトが見つかりました。これらのオブジェクトで拡張子がVBSであるものはすべて、以前の攻撃で使用された同じVBSマクロのバリエーションでした。

興味深いことに、「media」ディレクトリのいくつかのオブジェクトは、拡張子が正しくありません。たとえば、image4.pngは、以前に見つかったVBSスクリプトの別の亜種です。

図8:「media」ディレクトリの内容(左)と「image4.png」の実際の内容(右)

さらに、いくつかの.VBSファイルは、実際にはVBSスクリプトではなく、HTMLページでした。これらのファイルの中で我々が特に注目したのが、image6.vbsです。

Image6.vbs

このファイルは、前述のファイル共有ホスティングサイト、desfichiers.comから保存されたHTMLページです。ここで興味深いのは、アップロードに使用されるサーバーの名前がru-3で始まっている点です。

我々は実験を行い、いくつかの異なるIPを使用してdesfichiers.comに接続してみることにしました。ロシア以外の国にロシアのIPを使用した場合、我々の通常のサーバーがup2であるにもかかわらず、常にru-3サーバーが選択されました(ただし、稀ではあるものの、ロシア以外のIPでru-3サーバーが選択されることもあります)。

このことから、これらのエクスプロイトの背後にいる犯罪者は、現時点でロシアのIPを使用しているものと思われます(ただし、プロキシを使用している可能性は否定できません)。

図9:image6.vbsの内容


結論

FortiGuard Labsは今回、ビットコインのユーザーを標的にする第2の攻撃を発見し、確認しました。また、将来の攻撃に使用される可能性のある文書も見つかりました。そして、これらの攻撃を最初のシリーズの同じ犯罪集団に結び付ける確かな証拠も見つかりました。さらには、この犯罪集団の何人かがロシアのメールサービスの電子メールボックスを使用する可能性が高く、(少なくとも1回は)ロシアのIPを使用しているらしいこともわかりました。

FortiGuardは今後も、この犯罪集団の活動を監視し、いくつかの怪しいドメインとの関連性の分析を続ける予定です。

このブログ記事の執筆にあたり、Evgeny Ananinが電子メールサンプルを提供してくれました。心より感謝します。

-= FortiGuard Lion Team =-


IOC

36c0edccd4d28be9ecf7cfd225dee2bb05c9cbe7a36f021404b8fb73da885572 - VBS/Agent.NYT!tr.dldr
4b6b18067b7e5de5688e8b3d66308fdf9751ecdcb067f16343a0cf563d68c464 - VBS/Agent.NYT!tr.dldr
66029723f3c3430e9f68c1af829e75dc97638aab4a67d20aa1e458121feb66ba - VBS/Agent.NYT!tr.dldr
8f2a34f1f2be2beebe957ba8702915ef9065a74d755abea9097d33d10791e4ab - VBS/Agent.NYT!tr.dldr
b3f3f2b9e7239b773a588161f4bac8ac34754cda56b68b6236b1346804b4968a - VBA/Agent.QEXK!tr.dldr
c0547082272b94a2f28c0c681188edac865631bff6eabc3ff3e5845f9d4eb51d - MSIL/Orcus.KAD!tr
e0d0c28ef46088813289a7b483c15b0cc5dde130cb377eb9ebbcf44b82175475 - VBS/Agent.NYT!tr.dldr
d1f5d611c83d381c9430d5a8b0eb9058702defdf5f0da10bb4f35598177bc50c - AdobeFlashPlayer28pp_ka_install.exe.docm(有害性なし)

有害なURL:

mailpaths.org/link.php?M=108592&N=83&L=19&F=H
desfichiers.com/?j5xf39acp5
desfichiers.com/?b4ufv8mg9q
desfichiers.com/?5a43jbi93p
github.com.sb
bitcointclk.org
bltcointalk.com
qunthy.org


私はサイバーセキュリティのランドスケープ全体を注意深く観察してきましたが、そこには現在、厄介なトレンドがあります。対処されなければ、これまでにない深刻なレベルの損害と極めて不安定な状況を生み出す可能性があると考えています。サイバー犯罪者はデジタルトランスフォーメーションに伴うアタック・サーフェスの拡大、既製のマルウェアと新たな利益を得るマルウェアの卓越した容易さとアクセスのしやすさを活用します。さらに、ITチームが変更管理に忙殺されるなか、適切なパッチを更新しシステムを強化し続けるために必要なリソースが不足している状況も彼らにとっては好都合です。

厳しい問題ではありますが、賢明で体系的なアプローチを取れば、解決に天才は必要ありません。結局のところ、天才は1%のひらめきと99%の努力なのです。


問題

単にスピードを上げる以外の方法で追いつく

マルウェアの速度と種類の増加はサイバー防衛を危機にさらしますが、これはクモが後で捕食するために完全武装の犠牲者を捕まえる方法と非常に良く似ています。私たちはこれらの攻撃に対抗する新たな方法を見つけなければなりません。明らかな選択肢は、敵のスピードに自分のスピードに合わせることです。しかし、それは処理能力を抑制することになり、重要ではありますが、不完全なこともある提案です。デジタルトランスフォーメーションを何とか達成すべく変化のスピードについて行くだけですでに疲弊しきっているITチームは、システムに適切なパッチを当て強化するため、可能な限り最も効率的な方法で手持ちのリソースをかき集めて展開しようと奮闘しています。

攻撃のコストは低いが、防御のコストは高い

いかにベテランを集めても、簡単にアクセスしてくるダークウェブ全体のマルウェアに1つのITチームで対抗するのは現実的ではありません。この怪しいデジタルブラックマーケットは、カスタムコードの作成から、マルウェアを生成できる市販のアプリケーション、オンライン上でマルウェアやランサムウェアアプリケーションを選ぶだけで良いmalware-as-a-service (サービスとしてのマルウェア) など、犯罪者のための多数のサービスを提供しています。そこにはヘルプデスクさえあるのです。CISOとITチームは、時には不可能であると思えることを達成するという任務を負っています。この状況は、サイバーセキュリティ業界においてすでに不足している専門家たちの燃え尽き症候群、離職、落胆につながる危険な道筋なのです。

永遠のゼロデイ

それだけでも大変ですが、さらに急速なポリモーフィズムの問題があります。マルウェアが公開されると、ハッカーは自分の目的に合わせてマルウェアを修正します。WannaCryが公開されてから12時間も経たないうちに、アラインされた亜種のマルウェア群がネットワーク上に解き放たれました。もともとランサムウェアとして設計されたWannaCryの亜種の1つは、実際にはビットコインマイニングのボットネットでした。合法的なオープンソース開発を兵器化した突然変異のように、多様なトランスフォーメーションはほんの数時間のうちに何百回も起こり得るのです。そしてそれは数週間または数ヶ月続きます。さらに、永遠にゼロデイになるようそのシグニチャを変えるよう設計されている自己書き換えコードの存在もあります。

現在直面している脅威の高度化に対抗するために、最もすばやく最も人目につかない脅威さえ見つけて対応するというネットワークセキュリティ事業者の意図を実施できるよう、センサー、センスメーカー、アクチュエーターを統合して支える必要があります。インテリジェントな対応の精巧さを活用する情報の収集、処理、行動のための統合的な手段がなければ、『AI』に見るべき夢はありません。

これに関連することですが、サイバーセキュリティの熟練アナリストやエンジニアの数が不足している状況下では、優れた人的専門知識のリソースを賢明な方法で活用しなければなりません。単純な意思決定と処理は自動化されたシステムに任せ、人間の能力は最も重要な決定に集中させる必要があります。

多くのものと同様に、AIの真の能力は主要な構成要素に基づいて出現します。

スピード

その完成があまりに遅れるとAIには価値がなくなります。スピードは不可欠なイネイブラーです。

高度な分析サービス

アンチウイルスシグネチャなどの従来のマルウェア検出法は必要なものですが、十分ではありません。特に敵の攻撃速度に基づく相対的な値において作成、生成される圧倒的な攻撃に追いつくためには不十分なのです。シグネチャは1対1で一致する必要があるため、マルウェアの数字の文字列を変更するとシグネチャを無効にできる場合には、高度な技術がコンテンツパターン認識言語(CPRL)を利用します。CPRLは、マルウェアをサンドボックス内で分解して、動作とコードを調べ、コードブロックを使って変更されたマルウェアさえも特定します。素晴らしい技術です。

組織化された分析

しかし、サンドボックス技術は確かにサイバーセキュリティに欠かせないもので、きちんとした企業であればこの技術は必須のものですが、サンドボックスも常に改善される必要があります。フォーティネットでは、未知のマルウェアを見つけるだけでなく、ネットワーク上で他の人々に自動的に警告を送信し、何が悪意のあるものなのか、何がそうでないのかを見分ける見識を養ってもらえるようサンドボックスを使用しています。また、他の分析論を活用して洞察を生み出し、個々の分析論の結果を統合することで、単独の分析から逃れてしまう可能性のある攻撃を特定します。安全な組織化の商業的規律は、現在事業者が手動で実施する必要のある多くのものをシステムが自動的に実行可能にするソリューションとして浮上しています。

マシンが最も得意なことをさせるためにマシンを利用する

サイバーセキュリティの熟練アナリストやエンジニアの数が不足している状況下では、優れた人的専門知識のリソースを賢明な方法で活用しなければなりません。自動化されたシステムに単純な意思決定と処理を任せ、人間の能力を最も重要な決定に集中させる必要があります。つまり、人間をループから外し、ループの上に配置するリスクベースの意思決定エンジンを開発して展開する必要があります。迅速で専門的な分析と統合に次いで、リスクエンジンはAIへの第3の大きなステップとなります。エンジンはほとんどの状況に対して『OODAループ』(Observe(観察)、Orient(状況判断)、Decide(意思決定)、Act(行動))を実行します。あらかじめ用意された行動指針(COA)によって、貴重なサイバーセキュリティ専門家は人間の認知と介入が最も必要とされる、より困難な決定に集中できるようになります。そのようなエンジンの中でも最も洗練されたエンジンは、あらかじめ定義されたものに依存するのみならず、実際にCOAを提案します。


言われたことではなく、意味をくんで行動しなさい:意図に基づくネットワークセキュリティ

リスクベースの意思決定エンジンにより可能となる、速度、統合、および自動化の中核的なサイバーセキュリティアーキテクチャ戦略に、高度な分析を組み合わせれば、意図に基づくサイバーセキュリティを実現することができます。意図に基づくセキュリティは、人間の認知レベルを超えた複雑さを管理するという負担をかけることなく、ネットワーク事業者の目標を達成します。

ですから、AIへの最終的なステップは、実際には実現可能なのです。組織が、速度、統合、高度な分析、リスクベースの意思決定エンジンといった戦略的なイネイブラーに対して速やかに優先順位付けするならば、それぞれが最も得意なことを驚くべき速さで実行するために、人とマシンのリソースの両方を活用する非常に効率的なセキュリティモデルを作成する準備は整っているのです。しかし、ますます洗練されてゆく力をつけた脅威アクター勢力の成長に追随しようと歩調を合わせるために突き進めば、やがて自分たちが静止しているように感じ、すでに別の攻撃に移ったサイバー犯罪者に後れを取ることになるでしょう。


この記事はCSOに掲載されたものです。


2018年3月にスペインのマドリッドで開催予定のRootedConセキュリティ会議における「IoT:ボットの戦い」と題する講演の準備をする中で、FortiGuard Labsチームは新たなMiraiの亜種に遭遇しました。

Miraiボットネットのソースコードが公開されて以来、FortiGuard Labsチームは複数の開発者によるいくつかの変種と改変されたマルウェアが、IoT脅威ランドスケープに加わるのを目にしています。これらの改変されたMiraiベースのボットは、オリジナルのtelnet ブルートフォースログインに、エクスプロイトの使用やターゲットとするアーキテクチャを増やすことを含め、新たな技術を追加しオリジナルとは違ったものとなっています。また、Miraiに加えられる変更点の動機としては、より多くの金銭を得ようという意図があることも観察しています。Miraiは当初DDoS攻撃目的で設計されましたが、その後仮想通貨のマイニングのために脆弱なETHマイニングリグをターゲットとして改変されました。この記事では、OMG と呼ばれるMiraiベースのボットがどのようにIoTデバイスをプロキシサーバーとして利用するのかについて説明します。

2016年10月にブライアン・クレブスは、サイバー犯罪者たちがどのようにIoTデバイスをプロキシサーバーとして利用し、金銭を得ているかについてまとめたブログ記事を公開しました。サイバー犯罪者たちはサイバー窃盗やシステムのハッキングなど、さまざまな犯罪行為を手がける際にプロキシを使用して匿名性を高めます。プロキシサーバーで利益を得る方法の1つは、これらのサーバーへのアクセスを他のサイバー犯罪者に売ることです。これがMiraiベースの最新のボットの隠れた動機であると私たちは考えています。この記事ではまた、オリジナルのMiraiと比較しながら改変された亜種との類似性も見ていきます。


MiraiとOMG

それではまず、OMGの構成テーブルから検討しましょう。このテーブルは、当初暗号化されていたものを、0xdeadbeefを暗号キーシードに使用して、オリジナルのMiraiでも採用されていたものと同じ手順で解読したものです。最初に目が留まったのは、 /bin/busybox OOMGAOOMGA: applet not found という文字列でした。Mirai という名前は、 /bin/busybox MIRAIMIRAI: applet not found という文字列からMiraiボットに与えられたものですが、これは、ターゲットのIoTデバイスへのブルートフォースによる進入に成功したかどうかを判断するコマンドです。これらの文字列はSatori/OkiruやMasutaなどの他の亜種でも同じように見られます。

このため、この亜種をOMGと名付けることを決めました。

この亜種ではオリジナルのMirai コードに追加が加えられたり、いくつかの設定が削除されたりしています。注目すべき2点の追加は、2つのランダムなポート上のトラフィックを許可するためにファイアウォールルールを追加する2つの文字列ですが、これについては記事の後半で説明します。

図1. OMGの構成テーブル

OMGは攻撃、キラー、スキャナモジュールを含む、Miraiのオリジナルのモジュールをそのまま残しているようです。これはつまり、元のMiraiに可能であったこと、つまりプロセスを(開いているポートをチェックしてtelnet、ssh、httpに関連するプロセス、また他のボットに関連するプロセスを)強制終了し、拡散するためにtelnetブルートフォースログインし、そしてDOS攻撃をすることです。

図2. Miraiのメインモジュール

モジュールを初期化した後、OMGはコマンド&コントロール(CnC)サーバーに接続します。以下の構成テーブルには、188.138.125.235へと分解されるCnCサーバー文字列ccnew.mm.myが含まれています。

図3. CnCドメイン分解

構成テーブルにはCnCポート50023も含まれています。

図4. CnCポート50023

残念ながら、CnCサーバーは私たちが分析を行った時点では応答していませんでした。したがって、多くの調査結果は静的分析に基づくものとなっています。

接続されると、OMGは定義されたデータメッセージ(0x00000000)をCnCに送信し、それ自体を新しいボットと認識します。

図5. 送信されたデータがそれ自身を新しいボットとして認識する

コードに基づいて、ボットはサーバーから5バイト長のデータ文字列を受け取りますが、最初のバイトはIoTデバイスの使用方法に関するコマンドです。予想される値は、プロキシサーバーとして使用する場合は0、攻撃の場合は1、接続を終了する場合は1より大きくなります。

図6. CnCサーバーからの予想される選択肢


3proxyを使用するOMG

このMiraiの亜種はプロキシサーバーとして利用するために3proxyというオープンソースソフトウェアを使用します。設定は、http_proxy_portおよびsocks_proxy_portが使用する2つのランダムなポートを生成することから始まります。ポートが生成されると、CnCに報告されます。

図7. プロキシの設定

プロキシが正常に動作するためには、生成されたポート上のトラフィックを許可するためにファイアウォールルールを追加する必要があります。先に述べたように、これを有効にするためにファイアウォールルールを追加・削除するコマンドを含む2つの文字列が構成テーブルに追加されています。

TABLE_IPTABLES1 -> used to INSERT a firewall rule.
iptables -I INPUT -p tcp --dport %d -j ACCEPT;
iptables -I OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -I PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -I POSTROUTING -t nat -p tcp --sport %d -j ACCEPT

TABLE_IPTABLES2 -> used to DELETE a firewall rule.
iptables -D INPUT -p tcp --dport %d -j ACCEPT;
iptables -D OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -D PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -D POSTROUTING -t nat -p tcp --sport %d -j ACCEPT

図8. ファイアウォールの有効化と無効化機能

ランダムに生成されたHTTPおよびSOCKSポートをトラフィックが通過することを許可するようにファイアウォールルールを有効にした後、コードに事前定義された設定を埋め込んだ3proxyを設定します。

図9. プロキシ構成

分析中はサーバーが応答を停止していたため、このOMG の作者がIoTプロキシサーバーへのアクセスを販売し、アクセスクレデンシャルを提供しているというのは私たちの仮定です。


結論

私たちは今回初めてDDoS攻撃ができるよう変更されたMiraiの亜種と、脆弱なIoTデバイス上へのプロキシサーバーの設定を確認しました。このような事実から、より多くのMiraiベースのボットが新たな収益化の方法とともに登場すると考えられます。

今後も、FortiGuard LabsはMiraiとその亜種を引き続き監視し、調査から得た興味深い洞察を共有します。

すばらしい洞察を提供してくれた同僚のArtem SemenchenkoとDavid Maciejakに感謝します。

-= FortiGuard Labsチーム =-


IOC

Linux / Mirai.A!trとして検出された全サンプルは以下の通りです。

  • 9110c043a7a6526d527b675b4c50319c3c5f5c60f98ce8426c66a0a103867e4e
  • a5efdfdf601542770e29022f3646d4393f4de8529b1576fe4e31b4f332f5cd78
  • d3ed96829df1c240d1a58ea6d6690121a7e684303b115ca8b9ecf92009a8b26a
  • eabda003179c8499d47509cd30e1d3517e7ef6028ceb347a2f4be47083029bc6
  • 9b2fe793ed900e95a72731b31305ed92f88c2ec95f4b04598d58bd9606f8a01d
  • 2804f6cb611dc54775145b1bb0a51a19404c0b3618b12e41b7ea8deaeb9e357f

CC

  • 54.234.123.22
  • ccnew.mm.my
  • rpnew.mm.my