Doctor Web ニュース
2017年7月20日
株式会社Doctor Web Pacific
浅はかに見えるかもしれないが、私はこの質問を抱いた。私はかなり長い間これを質問したかったが、このトピックに関する議論は出てきそうになかった。たぶんこれは私が自分自身で発見したことだが、感染を避けるために、私は受信箱にある怪しいメールやショートメッセージを決して開かない(代わりに、開かなくても読める件名とメッセージの冒頭部分だけをチェックする)。メッセージへ返信したり、メールの配信解除を試みたり、リンクや添付ファイルを開いたり、そのような愚かな行動をしないのはもちろんのこと、それらのメールやメッセージは開きもせずに削除するだけである。私の質問:これらの愚かな行動を何もしなければ、電子メールやショートメッセージを開いただけで問題が発生する可能性はあるのだろうか?メールやショートメッセージをただ開くだけでは何も起こらないと思うのだが、どんなことでも起こる可能性はあるかもしれない。
集団的意識の効力は素晴らしいですね。このユーザーが話していた脅威は確かに存在します。より正確に言えば、この質問が投げられた時点では存在していました。古き良き時代の大量メール送信ウイルスを覚えている人は、電子メールを開かなくてもメールソフトでウイルスメールを受信するだけで被害を受ける可能性があることを知っていると思います。そのためにDr.WebにはHTTPモニターのSpIDer Gate™とメールモニターのSpIDer Mailがあり、これに保護されたシステムではメールソフトによってウイルスが処理されるより前に、メールの通信がスキャンされるようになっています。
我々はこの種のウイルスが消滅し、過去の話として扱われるようになると考えていました。しかしこの数日後...
この脆弱性はMicrosoft Wordで検出された。サイバー犯罪者たちは、WordファイルでWordアプリケーションに攻撃する方法を開拓したのである。このファイルを開くと、doc.docという別のファイルが読み込まれる。doc.docにはDr.Webが PowerShell.DownLoader.72 として検出したHTAスクリプトが埋め込まれている。Windows Script構文を使って記述されたこのHTAスクリプトは、PowerShellというコマンドインタープリタを呼び出す。PowerShellは別の悪質なスクリプトを加工して、攻撃先のコンピュータに実行可能ファイルをダウンロードさせるのだ。
現在、サイバー犯罪者はこのメカニズムを使用して被害者のコンピュータに Trojan.DownLoader24.49614 をインストールしている。このトロイの木馬は、感染したマシン上で別の悪質なソフトウェアをダウンロードして実行する。
つまり、マシンを感染させるには文書を開こうとするだけで十分で、コンテンツが表示されたときにはすでにシステムが侵害されている可能性があるのです。
#vulnerability #exploit #email
19.07 Doctor Web:危険なAndroid向けバンキング型トロイの木馬が モバイルデバイスのコントロールを掌握
2017年7月18日
株式会社Doctor Web Pacific
Android.BankBot.211.origin は、Adobe Flash Playerなどの無害なプログラムを装って拡散されています。ユーザーによってインストール・起動されると、Accessibility Serviceへのアクセス権を取得しようと試みます。その際、 Android.BankBot.211.origin はアクセス許可を要求するウィンドウを表示させますが、このウィンドウは閉じようとする度に何度も開き、デバイスの使用を妨げます。
Accessibility ServiceはAndroidスマートフォンやタブレットの使用を簡易化するためのもので、障害を持つ人々でも使いやすいようにするなど、様々な方法で使用されます。このサービスによって、プログラムは様々なインターフェースエレメントを自動的にクリックすることができるようになります (ダイアログボックスやシステムメニュー内のボタンなど) 。 Android.BankBot.211.origin はこれらの権限をユーザーに要求し、取得に成功すると自身を自動的にデバイス管理者リストに加えます。次に、自身をデフォルトのメッセージマネージャーとして設定し、画面キャプチャ機能へのアクセスを取得します。これら全てのアクションでシステム要求が表示されますが、トロイの木馬によって直ちに確定されるため、多くの場合ユーザーは見落としてしまいます。後の段階で、ユーザーが Android.BankBot.211.origin の取得したいずれかの機能を無効にしようと試みた場合、トロイの木馬はそれを拒否し、ユーザーをシステムメニューに戻します。
デバイスを感染させた後、トロイの木馬はC&Cサーバーに接続し、そこにモバイルデバイスを登録してコマンドを待ちます。 Android.BankBot.211.origin は以下のアクションを実行することができます:
- コマンドで指定された番号に対し、特定のテキストを含むSMSを送信する
- デバイスメモリ内に保存されているSMSデータをサーバーに送信する
- インストールされているアプリケーション、連絡先リスト、通話データに関する情報をサーバーに送信する
- コマンドで指定されたリンクを開く
- C&Cサーバーのアドレスを変更する
また、このトロイの木馬は送受信するすべてのSMSをトラッキングし、それらをサイバー犯罪者に送信します。
標準的なコマンドに加え、サイバー犯罪者はトロイの木馬に特別な指示を送信することができます。それらには Android.BankBot.211.origin が攻撃するアプリケーションに関する暗号化された情報が含まれています。そのようなコマンドを受け取った Android.BankBot.211.origin は以下の動作を実行することができます:
- 起動されたバンキングプログラムの前面に偽のログイン入力フォームを表示させる
- クレジットカード情報を入力するようユーザーを促すフィッシングダイアログを表示させる (Google Playで何かを購入した場合など)
- アンチウイルスや、トロイの木馬の動作を邪魔するその他のアプリケーションの動作をブロックする
Android.BankBot.211.origin は、あらゆるアプリケーションのユーザーを攻撃することができます。サイバー犯罪者は攻撃対象となるプログラムのリストを設定ファイル内で変更するだけです。 Android.BankBot.211.origin はC&Cサーバーに接続すると直ちにこのリストを受け取ります。 Android.BankBot.211.origin が発見された当初、攻撃の対象とされていたのはトルコの銀行の利用者のみでした。しかしながら、その範囲は後に、ドイツ、オーストラリア、ポーランド、フランス、英国、米国を含む国々へと拡大しています。本記事掲載時点で、このトロイの木馬による攻撃を受けたプログラムには、決済システム、リモート・バンキング・サービス (RBS) 、およびその他のソフトウェアと連動するよう設計された50を超えるアプリケーションが含まれています。
以下は Android.BankBot.211.origin によって表示される偽のウィンドウの例です:
このトロイの木馬は、起動されたすべてのアプリケーションと、それらを使用するユーザーの操作に関する情報も収集します。例えば、メニューエレメントなどの入力可能なテキストフィールドをモニタリングし、ボタンやユーザーインターフェースのその他のコンポーネントのクリックを記録します。
さらに、 Android.BankBot.211.origin はユーザーがあらゆるプログラム内で、またはあらゆるWebサイト上で入力したログイン認証やその他の認証情報を盗む機能を備えています。パスワードを盗むために、 Android.BankBot.211.origin は全てのキーストロークのスクリーンショットを撮り、必要な文字列を取得した後、それらを隠します。表示されたフィールド内に入力された情報と保存されたすべてのスクリーンショットは、C&Cサーバーに送信されます。
Android.BankBot.211.origin はユーザーによる削除を阻むことから、感染してしまった場合は以下の操作を行う必要があります:
- 感染したスマートフォンまたはタブレットをセーフモードで起動する
- システム設定にログインし、デバイス管理者リストを開く
- リスト内でトロイの木馬を探し、該当する権限を無効にする (その際、トロイの木馬は重要なデータがすべて失われる旨の警告を出すことでユーザーを脅しますが、これらはただのトリックで、ファイルは安全です)
- デバイスを再起動させてアンチウイルスによるフルスキャンを実行し、スキャン完了後にトロイの木馬を削除する
Android.BankBot.211.origin のすべての既知のバージョンはDr.Web Anti-virus によって検出されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
2017年7月19日
株式会社Doctor Web Pacific
「ウイルス対策ソフトやファイアウォールはどちらもマルウェアを検出できず、ブロックもできない。そのためマルウェアは感染したホストにあるデータを自由に収集できてしまう。」
悲しいことにこの文章はITプロフェッショナルを対象としていたものであり、この意見が正確ではないと指摘できた人はいませんでした。 どこが間違っているのかを見ていきましょう。
最近、Anti-virus Timesの読者は、攻撃者がIntel AMT(Intel Active Management Technology)をどのように悪用できるかについて議論しました( https://www.drweb.com/pravda/issue/?number=237&lng=enを参照 )。我々は同様の問題について、Intelの技術は犯罪者にとって大きな可能性を秘めてはいるものの、脆弱性があるにもかかわらず、Intel AMTは未だに悪用されていないと指摘しました。
1~2ヶ月後:
ハッカーは感染したPC間でIntel AMTを利用してメッセージを転送している。
MicrosoftはIntel AMTが攻撃者によって悪用される可能性があることをユーザーに警告した。
Intel AMTは攻撃者によって悪用される可能性があるのでしょうか?
Intelマネジメントエンジン (ME) はIntelシリアルオーバーLAN (またはAMT SOL) を搭載しています。 Intel MEはIntelチップセットの一部であり、CPU、オペレーティング・システム、インストール済みのセキュリティ・ソフトウェア (ウイルス対策ソフトウェアを含む) とは独立して、内蔵プロセッサ上で独自のオペレーティング・システムを稼働します。 ウイルス対策ソフトはドライバと同時にファイルで実行されますが、Intel MEはハードウェアレベルで動作します。 さらに、Intel MEはコンピュータ (およびCPU) がシャットダウンされても管理者や攻撃者が使用することができますが、PCはネットワークを介してアクセス可能な状態のまま残ってしまいます。
内蔵のIntel MEプロセッサは、リモートにあるパワー・サイクリングやキーボード、ビデオ、マウス制御 (KVM) など、アウトオブバンド (OOB) 方式のリモート管理機能を提供する。
SOLはホスト上で接続が利用できない場合でも、ローカルネットワーク上の通信を手助けすることができる。
マルウェア自体に関する意見:
マイクロソフトによれば、SOLを使用するマルウェアは、南アジアや東南アジア地域で数年間活発に活動してきたPlatinumグループの仕業だとのことだ。そのサイバー・スパイグループは2009年に注目を集めて以来、多数の攻撃を行ってきた。昨年Platinumは、システムを再起動しなくとも更新プログラムを適用できるMicrosoftのホットパッチを悪用して、標的のホストにマルウェアをインストールしたと言われている。
まとめに入りましょう。普通のオペレーティング・システムにインストールできるマルウェアはありますが、それは特定のプロトコルを使用してネットワーク経由で通信しなくてはなりません。
確かにウイルス対策ソフトはAMT SOLプロトコルの解析や分析を行いません。 しかし、プロトコルはシステムを感染させるために使用されないため、その部分の解析や分析は必須ではありません。プロトコルは過去にインストールされたマルウェアとの通信を支援するためだけに使用されます。 つまり、この脅威を排除する方法は、コンピュータにマルウェアがインストールされないようにすることだけです。 つまりユーザーのアクセス権を制限し、ウイルス対策ソフトをインストールするだけです。
最後にもう一つ。
侵入者が攻撃を実行するためには、まずは管理者にアカウント情報を漏らさせる必要がある。
2017年7月18日
株式会社Doctor Web Pacific
中でも特に、Dr.Web Serverとのやり取りにおける更新モジュールルーチンが最適化されました。
Windows Server 2008 SP2を搭載するコンピューター上での起動時にAgentの異常終了を引き起こすエラーが修正されました。そのほか、Dr.Web Enterprise Security Suite 10.0および10.1では、Agentを管理者モードに切り替えた際に異常終了を引き起こすエラーも修正されています。
ES-Agentがインストールされているシステム上でコンピューターセキュリティ製品のアップデートを妨げてしまう Lua-script for av-service の問題が解決されました。
アップデートは自動的にダウンロード・インストールされます。
14.07 他人を騙す方がネットワークへ侵入するよりも容易である件
2017年7月14日
株式会社Doctor Web Pacific
どのような規模の企業でも攻撃者に狙われる可能性があります。大企業が狙われた場合は巨額の資金を失うかもしれませんし、中小企業はランサムウェア攻撃の被害に対処するための高価な暗号解読ツールによって破産するかもしれません。
攻撃者はネットワークに侵入しなくとも標的である企業を巧みに攻撃することができます。ネットワークに侵入する代わりに従業員に関する情報を収集し、彼らのコミュニケーション・ツールを突き止め、漏洩したパスワードを使用するなどして従業員になりすまし、周りの従業員と信頼関係を確立するのです。そして彼らと通信しながら必要な情報を拾い集め、屋外で面会する時間を設定したり、マルウェアのリンクを送信したり、送金を依頼したりします。
FBIが記録しているメールボックスへの侵入に関する詐欺事件は2013年以降約18,000件に登り、被害総額は23億ドルにもなっています。昨年は同様の事件に関する苦情件数が3倍にもなりました。
FBIはマネー・ローンダリング目的で電子メールに侵入するシナリオを主に3つ挙げています。1つ目は、会社役員のメールボックスに侵入し従業員に電子メールで送金を依頼する方法。2つ目は従業員のメールボックスに侵入して偽の請求書を提出する方法。3つ目は取引経験のある業者のふりをして偽の口座への送金を別の会社に請求する方法です。これらの書類やメールの文章、そして金額は疑われないように巧みに作成されています。
この中で一番の方法は会社役員になりすますことです。役員のメールアカウントは一般社員のメールアカウントに侵入するよりも難しいかもしれませんが、この方法が成功すればより早く結果を出すことができます。FBIは過去3年間にCEO詐欺で23億ドル以上を失ったと警告しています。2015年1月から2016年4月までこの種の不正行為は270%拡大し、少なくとも世界で79カ国に影響を与えています。例えばMattelは300万ドルを、Scoular Coは1700万ドルを、Ubiquitiは4,600万ドル以上を詐欺で失いました。
http://krebsonsecurity.com/2016/04/fbi-2-3-billion-lost-to-ceo-email-scams/
13.07 Doctor Web:ロシア連邦政府ポータル(gosuslugi.ru)が攻撃を受ける ― 今後訪問者を感染させ、情報を盗み取る可能性あり
2017年7月13日
株式会社Doctor Web Pacific
攻撃が発生した日付や、攻撃ベクターのこれまでの活動については現時点で特定することができません。少なくとも15のドメインアドレスが未知の個人によって登録されており、悪意のあるコードが政府ポータル訪問者のブラウザをそれらの1つに密かに接続させます。これらのドメインは、クレジットカード情報を入力させる偽の入力フォームから、訪問者のコンピューターへのアクセス取得を目的とした脆弱性に対するブルートフォース攻撃まであらゆるドキュメントを応答として返します。
ユーザーによって要求されたWebサイトのページが動的に生成される際、Webサイトコードに <iframe> コンテナが追加されます。これにより、あらゆる外部データをダウンロードしたり、ユーザーのブラウザからリクエストしたりすることが可能になります。現時点で、セキュリティリサーチャーは少なくとも15のドメインを確認しています。それらの中には m3oxem1nip48.ru や m81jmqmn.ru のほか、故意に意味をなさないようにした名前が含まれています。そのうちの少なくとも5つは、オランダで登録されている企業のアドレス範囲に属するものです。これらのドメイン所有者に対するリクエストは、これらWebサイトの多くでセキュリティ証明書の有効期限が切れているために不成功に終わるか、またはその応答に悪意のあるコードを含んでいませんでした。しかしながら、ドメイン所有者がいつ証明書を更新し、ドメイン上に悪意のあるコードを置いたとしてもおかしくはありません。
現時点で、gosuslugi.ruは未だ感染した状態となっています。Webサイトのテクニカルサポートサービスに対して情報が送られましたが、調査を開始したという報告や再発防止のための措置を講じたという報告は未だありません。ユーザーの皆様は、問題が解決するまでロシア連邦政府ポータルの使用に十分気を付けるようにしてください。また、gosuslugi.ruの管理者および関係当局には、Webサイトのセキュリティチェックを行っていただきますようお願い申し上げます。
ユーザーの方は、検索ツールを使用してご自身でコードの有無をチェックすることが可能です。以下のリクエストを作成してください:
site:gosuslugi.ru "A1996667054"
最新情報:悪意のある可能性のあるコードは、本記事掲載(ロシア語版)の約3時間後にgosuslugi.ruから削除されました。
11.07 Dr.Web for Windows 10.0および11.0に含まれる SpIDer Agent for Windowsをアップデート
2017年7月11日
株式会社Doctor Web Pacific
特に、SpIDer Agent for Windowsでは、ファイアウォール設定にてアプリケーションのルールを変更する際に、設定済みアプリケーションルールのリセットを引き起こす問題が解決されました。
アップデートは自動的に行われます。
2017年7月6日
株式会社Doctor Web Pacific
上記の全製品を対象に、Dr.Web Updaterでは以下の変更が加えられました。
- 更新サーバーとの連携が最適化されました。
Dr.Web Enterprise Security Suiteに含まれるDr.Web Updaterでは、以下の変更が加えられました。
- ホスト宛に更新がマルチキャスト配信される際に、トラフィックが増加する問題が解決されました。
Dr.Web Security Space、Dr.Web Anti-virus、Dr.Web Anti-virus for Windows File ServersおよびDr.Web Enterprise Security Suiteに含まれるDr.Web Control Serviceでは以下の変更が加えられました。
- Windows Security Center (Action Center)との連携が改善されました。
- 潜在的に危険なファイルを駆除する際に、SpIDer Guardの設定で脅威のタイプ毎に選択されたアクションが無視される問題が解決されました。
Dr.Web Enterprise Security SuiteおよびDr.Web AV-Deskに含まれるDr.Web Control Serviceでは以下の変更が加えられました。
- ControlCenterより「すべてのコンポーネントを更新」コマンドが実行された後、一部のホストにおいて更新を受信できないエラーが修正されました。
- また、Dr.Web Enterprise Security Suite 10.1において、サーバーとの接続が回復した後、スケジューラーで起動されたタスクに関する情報が送信されない問題が解決されました。
Dr.Web Security Space、Dr.Web Anti-virus、Dr.Web Anti-virus for Windows File Servers、Dr.Web Enterprise Security SuiteおよびDr.Web AV-DeskのWindows用Agentでは、以下の変更が加えられました。
- 隔離に移動された複数のオブジェクトを再スキャン後に、クリーンファイルのみの復元が可能になりました。
Dr.Web Enterprise Security SuiteのWindows用Agentでは、以下の変更が加えられました。
- サーバー上のコンソールで言語選択に関する問題が解決されました。
アップデートは自動的に行われます。
05.07 100万を超えるダウンロード数:Doctor Web、Google Play上で また新たなAndroid向けトロイの木馬を発見
2017年7月5日
株式会社Doctor Web Pacific
Android.DownLoader.558.origin と名付けられたこの悪意のあるアプリケーションは人気の高いゲームBlazBlueに組み込まれ、100万件を超えてダウンロードされていました。このトロイの木馬は、Android向けプログラムのアップデートを自動化・簡略化するために設計された「Excelliance」と呼ばれる特別なソフトウェアパッケージ(SDK、ソフトウェア開発キット)の一部です。
アプリケーションの古いバージョン全体を新しいバージョンと入れ替える標準的なアップデート方法とは異なり、上記のSDKは、ソフトウェアパッケージ全体を再インストールすることなく必要なコンポーネントのみを個別にダウンロードすることを可能にします。これにより、デベロッパーはユーザーが新しいバージョンのリリースを把握していない場合でも、モバイルデバイス上にインストールされたソフトウェアを常に最新のバージョンに保つことが可能になります。しかしながら、Excellianceは未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるため、ダウンローダ型トロイの木馬として動作すると言うことができます。このアップデート方法は危険であり、Google Playの規則に違反しています。
Android.DownLoader.558.origin は、自身が組み込まれているプログラムまたはゲームの初回起動と同時に動作を開始します。このトロイの木馬は、他のアプリケーションエレメントと一緒に、ディレクトリからリソースと共に抽出されて復号化されます。その後は、ユーザーが感染したアプリケーションを起動しなくとも、モバイルデバイスがインターネットに接続される度に自動的に起動します。
このトロイの木馬モジュールは、ネットワークアクティビティを追跡し、C&Cサーバーへの接続を試みます。サーバーの設定により、 Android.DownLoader.558.origin は応答として、別のプログラムコンポーネントをダウンロードするコマンドを受け取る場合があります。例えばBlazBlueの場合、欠けているファイルやアップデートがあれば、モジュールはそれらをダウンロードするよう提案します。
アプリケーションの追加のリソースやアップデートに加え、 Android.DownLoader.558.origin は個別のAPKファイル、DEXファイル、ELFファイルをダウンロードすることができます。これらのファイルはユーザーに気付かれずに起動される場合があります。例えば、ダウンロードされたDEXファイルのコードはユーザーの操作を必要とせず、自動的に実行されます。
一方、ダウンロードされたAPKファイルのインストールが行われる際は、ユーザーに対して標準的なダイアログボックスが表示されます。 ただし、 Android.DownLoader.558.origin がルート権限を持っている場合、インストールはユーザーに気付かれずに実行されます。これが、SDK「Excelliance」の最も危険な点です。その製作者によって、いつメインのアプリケーションに全く関係のないオブジェクトをダウンロードするよう指示するコマンドが送信されないとも限りません。そのようなオブジェクトとして、広告モジュールや第三者プログラム、さらにはGoogle Play以外からダウンロードされて許可なしに実行される別のトロイの木馬などが挙げられます。
Doctor Webでは、ゲーム「BlazBlue」で使用されているSDKに含まれるトロイの木馬コンポーネントの危険な動作についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、 Android.DownLoader.558.origin を含んだバージョンのBlazBlueはGoogle Play上でダウンロード可能な状態のままとなっています。
Android.DownLoader.558.origin を含んだアプリケーションはDr.Web for Androidアンチウイルス製品によって検出されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
04.07 Doctor Web:サイバー犯罪者をコンピューターにアクセスさせるバックドア を含んだM.E.Doc
2017年7月4日
株式会社Doctor Web Pacific
レポートによると、 Trojan.Encoder.12544 の最初の拡散はウクライナの Intellect Service社が開発したポピュラーなアプリケーションである M.E.Doc を利用して行われたということです。Doctor Webのセキュリティリサーチャーは、 M.E.Doc のアップデートモジュールの1つ ZvitPublishedObjects.Server.MeCom にWindowsシステムレジストリキー "HKCU\SOFTWARE\WC" に対応するレコードが含まれていることを発見しました。
このレジストリキーがDoctor Webセキュリティリサーチャーの注意を引いたのは、同じパスが Trojan.Encoder.12703 の動作に使用されていたためです。Doctor Webのカスタマーのコンピューターから取得したDr.Web Anti-virusのログを解析した結果、感染したシステム上で M.E.Doc のコンポーネントであるアプリケーション "ProgramData\Medoc\Medoc\ezvit.exe" によって Trojan.Encoder.12703 が起動されていました:
id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:\Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe
source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll
created process: \Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe:1184 --> \Device\HarddiskVolume3\Windows\System32\cmd.exe:6328
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Users\user\Desktop\, cmd: "cmd.exe" /c %temp%\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
status: signed_microsoft, script_vm, spc / signed_microsoft / clean
id: 425036 ==> allowed [2], time: 0.285438 ms
2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]
id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:\Device\HarddiskVolume3\Windows\System32\csrss.exe
source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:\Device\HarddiskVolume3\Windows\System32\csrsrv.dll
created process: \Device\HarddiskVolume3\Windows\System32\csrss.exe:692 --> \Device\HarddiskVolume3\Windows\System32\conhost.exe:7144
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:\windows\system32\, cmd: \??\C:\windows\system32\conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"
status: signed_microsoft, spc / signed_microsoft / clean
id: 425037 ==> allowed [2], time: 0.270931 ms
2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]
id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:\Device\HarddiskVolume3\Windows\System32\cmd.exe
source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:\Device\HarddiskVolume3\Windows\System32\cmd.exe
created process: \Device\HarddiskVolume3\Windows\System32\cmd.exe:1340 --> \Device\HarddiskVolume3\Users\user\AppData\Local\Temp\wc.exe:3648
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Users\user\Desktop\, cmd: C:\Users\user\AppData\Local\Temp\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe
hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown
id: 425045 ==> undefined [1], time: 54.639770 ms
感染したシステムからリクエストされたファイル ZvitPublishedObjects.dll は、Doctor Webウイルスラボで解析されたサンプルと同じハッシュを持っていました。その結果、Doctor Webセキュリティリサーチャーは、ダイナミックリンクライブラリ ZvitPublishedObjects.dll として実装されたM.E.Docのアップデートモジュールにバックドアが含まれているという結論を下すに至りました。さらなる調査により、このバックドアは感染したシステム上で以下の機能を実行することが可能であるということが明らかになりました:
- メールサーバーにアクセスするためのデータを収集する
- 感染したシステム上で任意のコマンドを実行する
- 感染したシステムに任意のファイルをダウンロードする
- あらゆる実行ファイルをダウンロード・保存・起動する
- 任意のファイルをリモートサーバーにアップロードする
M.E.Docアップデートモジュールの以下のコードフラグメントはかなりユニークで、 rundll32.exe ツールを使用してパラメータ#1でペイロードを実行することを可能にします:
NePetya、 Petya.A、 ExPetya または WannaCry-2 と呼ばれる暗号化トロイの木馬 (Trojan.Encoder.12544) は、この方法によって被害者のコンピューター上で起動されます。
ロイター通信の報道によると、インタビューに応じた M.E.Doc の開発者は M.E.Doc のアプリケーションに悪意のある機能は含まれていないと回答しています。このことと、コードの解析結果を踏まえ、Doctor Webセキュリティリサーチャーは、サイバー犯罪者によって M.E.Doc のコンポーネントの1つが悪意のあるプログラムに感染させられたものとする結論を下しました。このコンポーネントは BackDoor.Medoc としてDr.Webウイルスデータベースに追加されています。
2017年7月3日
株式会社Doctor Web Pacific
6月には、イランのモバイルデバイスユーザーを攻撃してサイバー犯罪者から受け取ったコマンドを実行するAndroid向けトロイの木馬が発見され、Google Play上に複数の悪意のあるアプリケーションが登場しました。それらのアプリケーションの1つはルート権限の取得を試み、システムライブラリに侵入し、密かにソフトウェアをインストールする機能を備えていました。その他のアプリケーションは高額な番号に対してSMSメッセージを送信し、ユーザーを有料サービスに登録させるものでした。Google Playからは、使用することで個人情報を流出させる恐れのあるリスクウェアも拡散されていました。また、Android向けの新たな暗号化トロイの木馬も発見されています。
6月の主な傾向
- サイバースパイ行為を実行するAndroid向けトロイの木馬の発見
- Google Play上で複数の脅威を発見
- Android向け暗号化ランサムウェアプログラムの拡散
6月のモバイル脅威
6月、イランのモバイルデバイスユーザーに対して攻撃を行う Android.Spy.377.origin が、Doctor Webのセキュリティリサーチャーによって発見されました。この悪意のあるプログラムは機密情報を盗み、それらをサイバー犯罪者に送信します。また、犯罪者から受け取ったコマンドを実行する機能も備えています。
Android.Spy.377.origin は以下の特徴を備えています:
- 無害なアプリケーションを装って拡散されます。
- 連絡先リスト、受信および送信SMSメッセージ、Googleアカウントデータを盗みます。
- デバイスのフロントカメラで写真を撮ります。
- Telegramプロトコルを介してサイバー犯罪者によって管理されます。
- この脅威に関する詳細についてはこちらの記事をご覧ください。
Android.Spy.377.originに関する詳細についてはこちらの記事をご覧ください
Dr.Web for Androidによる統計
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.85.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.337.origin
- モバイルデバイス上に別の悪意のあるプログラムをダウンロードするトロイの木馬です。
- Android.Triada.264.origin
- 様々な悪意のある動作を実行する、マルチコンポーネントトロイの木馬です。
- Adware.Jiubang.1
- Adware.SalmonAds.1.origin
- Adware.Batmobi.4
- Adware.Avazu.8.origin
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不審なプログラムモジュールです。モバイルデバイス上に広告を表示させます
GOOGLE PLAY上の脅威
6月、ウクライナでブロックされているソーシャルネットワークサイト「VK」や「Odnoklassniki」へのアクセスを可能にするリスクウェアがGoogle Play上で発見されました。 Program.PWS.1 としてDr.Webウイルスデータベースに追加されたこれらのアプリケーションは、サイトのブロックを回避するために匿名化サーバーを使用し、また、ログインやパスワード、その他のユーザーの個人情報を暗号化していませんでした。この脅威に関する詳細についてはこちらの記事をご覧ください。
6月には、 Android.Dvmap ファミリーに属するトロイの木馬がGoogle Play上で発見されています。これらの悪意のあるプログラムは、起動されるとモバイルデバイスのルート権限を取得しようと試みます。成功すると、システムライブラリを感染させ、追加のコンポーネントをインストールします。これらのトロイの木馬はサイバー犯罪者から受け取ったコマンドを実行するほか、ユーザーの操作なしに別のアプリケーションをダウンロード・起動させることができます。
6月にGoogle Playから拡散されたまた別のトロイの木馬は、 Android.SmsSend.1907.origin および Android.SmsSend.1908.origin としてDr.Webウイルスデータベースに追加されました。サイバー犯罪者はこれらを無害なプログラム内に組み込んでいます。これらの悪意のあるアプリケーションは高額な番号に対してSMSメッセージを送信し、サービスプロバイダのカスタマーを有料サービスに登録します。その後、トロイの木馬は、有料サービスに登録されたことを知らせる通知をユーザーが受け取ることのないよう、受信する全てのメッセージを削除していきます。
ランサムウェア型トロイの木馬
6月には、ランサムウェア Android.Encoder.3.origin が発見されました。このランサムウェアは中国のAndroidユーザーを標的とし、SDカード上のファイルを暗号化します。このエンコーダーの製作者は、2017年5月に世界中で数十万台のコンピューターを感染させた暗号化ランサムウェアWannaCryに着想を得ており、身代金を要求するメッセージに似たようなデザインを使用していました。
サイバー犯罪者は20元の身代金を要求し、その額は3日ごとに倍になります。 Android.Encoder.3.origin がモバイルデバイスを感染させてから1週間以内に身代金が支払われなかった場合、暗号化されたファイルが削除されます。
Android向けの悪意のあるプログラムやリスクウェアは、様々なウェブサイトだけでなくGoogle Playからダウンロードされることでモバイルデバイスを感染させています。未知のアプリケーションをインストールする際は十分に注意し、Dr.Web for Androidを使用することをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルス
- Google Playだけで1億回以上のダウンロード
- Dr.Webの個人向け製品のユーザーは無料
03.07 ランサムウェアが暗号化したファイルを複合化するために必要なこと
2017年7月3日
株式会社Doctor Web Pacific
では、なぜ、アンチウィルス企業は暗号化ランサムウェアによって複雑に暗号化されたファイルを元に戻すことができ、どうやって複合化しているのでしょうか?今回はこの点を取り上げていきたいと思います。
まず、暗号化アルゴリズム(プログラムまたはライブラリではなくルーチン)が関係してきます。あらゆるアルゴリズムによって、暗号解読にどれだけ耐性があるかを決定するためのテストをします。
Trojan.Encoder.398 は、最大18の異なる暗号化アルゴリズムで動作します。
もうこれは記録的な数字と言えますが、特定のアルゴリズムがソフトウェアコードでどのように実装されているかが重要で、暗号化ランサムウェアの作成者が最初の間違いを犯す可能性のある場所でもあります。ですが残念ながら、最近は、オペレーティングシステムですぐに利用できる独自のライブラリや暗号化ツールを使用する傾向があります。そういった場合には、アルゴリズム実装時に間違いを起こす可能性はほぼゼロになります。
さらに、暗号化アルゴリズムには、共通鍵暗号アルゴリズム(対称鍵)と公開鍵暗号アルゴリズム(非対称鍵)が存在します。たとえば、共通鍵暗号方式の一つであるAES(Advanced Encryption Standard)では、対称キー(暗号化と復号化に同じキー)を使用します。明らかに1つのキーしかない場合、それを取得してデータの復号に使用することができます。
公開鍵暗号方式の一つ、RSAなどは、より良い選択肢と言えます。この方式を使用するには、公開鍵と秘密鍵を生成し、公開鍵をデータの暗号化に使用、秘密鍵を復号化に使用します。キーは、通常攻撃者のサーバー上に作成され、公開キーのみが対象となる被害者のマシン上で終了します。攻撃者のサーバーへのアクセスがブロックされていると、秘密鍵を取得できない可能性があり、データを回復できません。
公開鍵暗号アルゴリズムは、犯罪者にとって明らかに魅力的です。ですが、ルーチンを実行するにはさらに多くのリソースが必要になり、悪意のあるアクティビティが検出されてしまう可能性があります。そのため、暗号化ランサムウェアの作者は、それぞれ異なる手法を用意しています。たとえば、公開RSA鍵は、あらかじめローカルで作成されたAES鍵の暗号化にのみ使用でき、RSAで暗号化されたAESキーは、パーミッションとAES初期化ベクトルとともに、暗号化された各ファイルの先頭に追加されます。
WannaCryは、AES-128(128はキーの長さ)を使用してファイルを暗号化し、テストおよび標準の暗号化モードを使用します。
CryptGenKeyルーチンはRSAキーペアを生成します。公開鍵はファイル00000000.pkyに保存され、秘密鍵は作成者の公開鍵で暗号化し、ファイル00000000.ekyに保存されます。暗号化ファイルごとに、CryptGenRandom関数を使用してキーが生成されます。
テストモードでは、トロイの木馬でハードコードされた2番目のRSAキーを使用して暗号化が実行されます。暗号化の過程で、テストモードで解読可能なファイルのリストが作成されます。これはf.wnryに保存されます。そのため、テストモードで暗号化されたファイルを復元することができます。
キーの長さ:キーが短いと、ブルートフォース攻撃でクラックすることがあります。
キーの生成:攻撃された各マシンで異なるキーを使用する必要があることは明らかです。そして、ここで攻撃者は多くの間違いを犯します。鍵がランダムに生成されるように、ランダムな素数を使用します。また、キー生成ルーチンが分かっている場合は、番号を使用してファイルを再生成することができるため、これらの数値はキーと同じように安全に保存する必要があります。そのため、WannaCryで暗号化されたファイルの複合が可能になりました。
操作の過程で、WannaCryは素数を使用して、感染したシステムの暗号化キーを生成します。ユーザーが秘密鍵にアクセスするのを防ぎ、侵害されたファイルを個別に解読するために、トロイの木馬はシステム内の鍵を削除します。しかし、暗号鍵を生成するために使用される2つの素数は、メモリから消去されず、wcry.exeプロセスのメモリ領域で見つけることができます。
このキー回復の手法は、Windows XP、Vista、Server 2003および2008では、次の条件の場合にのみ機能します。
- 感染が発生した後、コンピュータは再起動していない
- メモリ領域が割り当てられていないか、別のプロセスによってクリーニングされていない
この方法は必ずしも成功するとは限らず、ある程度の運が必要と言えます。
最後に、この方法はQuarkslabのフランスの情報セキュリティ研究者、Adrien Guinet氏によって発見されたものです。
また、興味がある方は1億ダウンロードの実績のあるアンチウイルス「Dr.Web」の製品ページも是非ご覧ください。
http://products.drweb.co.jp/biz/business_products/
#Trojan.Encoder #Windows #payment #ransom #extortion #Data_Loss_Prevention #cryptography #support #decryption #Trojan #Dr.Web_technologies #encryption_ransomware #encryption2017年7月3日
株式会社Doctor Web Pacific
2017年6月の最も注目すべきイベントは、 Petya、 Petya.A、 ExPetya、または WannaCry-2としても知られる新たな暗号化ワーム Trojan.Encoder.12544 の大量拡散です。世界中で多くの企業や個人のコンピューターが、この悪意のあるプログラムに感染しています。また、6月にはLinux向けの2つの悪意のあるプログラムが登場しました。これらプログラムの1つは感染させたデバイス上に仮想通貨をマイニングするアプリケーションをインストールし、もう1つはプロキシサーバーを起動させます。6月半ばにはまた別のマイニングトロイの木馬が検出されましたが、こちらはWindowsユーザーを狙ったものでした。そのほか、Androidを標的とする複数の悪意のあるプログラムが新たに発見されています。
6月の主な傾向
- 暗号化ワーム Trojan.Encoder.12544 の大規模拡散
- Windows向けマイニングトロイの木馬の拡散
- Linux向けの新たな悪意のあるプログラムを発見
6月の脅威
6月27日、危険な暗号化ワームの拡散を知らせる最初の一報が世界中を駆け抜けました。マスメディアはこのワームをPetya、Petya.A、ExPetya、または WannaCry-2と呼び、一方、Doctor Webのセキュリティリサーチャーは Trojan.Encoder.12544 と名付けました。実際のところ、この悪意のあるプログラムと Petya (Trojan.Ransom.369) との共通点はあまりなく、ファイルテーブルを暗号化する方法のみとなっています。このトロイの木馬はWannaCryによる攻撃の際に使用されていたものと同じ脆弱性を悪用してコンピューターを感染させていました。 Trojan.Encoder.12544 は、感染させたコンピューター上で認証されたローカルユーザーやドメインユーザーのリストを取得します。次に、書き込み可能なネットワークフォルダを探し、受け取ったデータを使用してそれらを開き、リストのコピーをそれらのフォルダ内に保存します。一部の研究者は、Windowsフォルダ内にperfcファイルを作成することで Trojan.Encoder.12544 の起動を防ぐことができると指摘しています。たしかに、ワームは拡張子を除いたトロイの木馬の名前と合致する名前を持ったファイルがシステムフォルダ内にあるかどうかによって2度目の起動をチェックします。しかしながら、トロイの木馬の名前がサイバー犯罪者によって変更されてしまえば、 "C:\Windows\perfc" ファイルを作成することでコンピューターを感染から守ることはできなくなります。さらに、 Trojan.Encoder.12544 がファイルの存在を確認するのは、十分な権限を持っている場合のみとなっています。
Trojan.Encoder.12544 はCドライブのVBR(ボリュームブートレコード)を破損させ、ドライブの最初のセクターにトラッシュデータを詰め込みます。続けて、XORアルゴリズムを使用して暗号化した元のWindowsブートレコードをドライブの別の部分にコピーし、その元のレコードをトロイの木馬のブートレコードで上書きします。その後、コンピューターを再起動させるタスクを作成し、コンピューターの固定ディスク上にあるファイルの暗号化を開始します。コンピューターが再移動された後、Windowsの標準搭載ツールCHDISKのものと類似したテキストが画面上に表示されます。
その間、 Trojan.Encoder.12544 はMFT(マスターファイルテーブル)を暗号化します。暗号化が完了すると、画面には身代金の要求が表示されます。
Doctor Webのセキュリティリサーチャーは、 Trojan.Encoder.12544 は元々身代金を要求するためではなく、感染させたコンピューターを破損させる目的で開発されたものであると考えています。その理由として、第一に、サイバー犯罪者は被害者との連絡用にメールアドレスを1つしか用意しておらず、そのアドレスは拡散が発生して間もなくブロックされました。第二に、感染させたコンピューターの画面上に表示されるキーは、実際の暗号化キーとは何の関係もないランダムな一連の記号です。第三に、サイバー犯罪者に送信されるキーはファイル・アロケーション・テーブルの暗号化に使用されるキーとは何の関係もなく、したがって、犯罪者はディスクを復号化するためのキーを被害者に提供することはできません。この脅威に関する詳細についてはこちらの記事を、ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
Trojan.Encoder.12544 の拡散は、ウクライナで広く利用されている税務会計ソフト「MEDoc」のアップデートシステムを悪用して開始されました。Doctor Webでは、同様の拡散方法を用いる悪意のあるプログラムをこれまでに既に確認しています。2012年、悪意のあるプログラム BackDoor.Dande を用いた、ロシアの薬局や製薬企業に対する攻撃がDoctor Webのセキュリティリサーチャーによって確認されました。このスパイウェア型トロイの木馬は製薬業界で使用されているプログラムから医薬品の受注に関する情報を盗むものでした。 BackDoor.Dande は http://ws.eprica.ru からダウンロードされますが、このサイトは「Spargo Tekhnologii」のもので、医薬品の価格をモニタリングするためのプログラムである ePrica をアップデートするよう設計されていました。この脅威に関する詳細についてはこちらの記事を、技術的な説明(英語)についてはこちらをご確認ください。
Dr.Web Anti-virusによる統計
- Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.Kbdmai.16
アドウェア型トロイの木馬です。その機能の1つとして、ブラウザウィンドウ内に様々なウェブサイトを開きます。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.Moneyinst.69
他のトロイの木馬を含む様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。 - Trojan.Encoder.11432
被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。WannaCryとしても知られています。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。 - Trojan.InstallCore
アドウェアや望まないプログラムをインストールするトロイの木馬ファミリーです。 - Trojan.Kbdmai.37
アドウェア型トロイの木馬です。その機能の1つとして、ブラウザウィンドウ内に様々なウェブサイトを開きます。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin, Android.Locker.1733
Android向けのランサムウェア型トロイの木馬です。デバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Win32.HLLP.Neshta
2005年よりセキュリティリサーチャーに知られているファイルウイルスです。41472バイト以上のEXE PEファイルを感染させます。感染の過程で自身をファイルの先頭に書き込み、元の先頭をファイルの末尾に移動させます。«Neshta 1.0 Made in Belarus»というストリングを含んでいます。 - EICAR Test File
アンチウイルスの動作をテストするための特殊なテキストファイルです。このファイルを検出したアンチウイルススキャナは、ウイルス検出時と全く同じ形で反応するようになっています。 - Android.Androrat.1.origin
Androidデバイス向けのスパイウェアプログラムです。
暗号化ランサムウェア
2017年6月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの28.51%
- Trojan.Encoder.10103 — リクエストの8.10%
- Trojan.Encoder.567 — リクエストの5.54%
- Trojan.Encoder.11432 — リクエストの4.10%
- Trojan.Encoder.10144 — リクエストの2.36%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年6月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は229,381件となっています。
| 2017年5月 | 2017年6月 | 推移 |
|---|---|---|
| + 1,129,277 | + 229,381 | - 79.68% |
LINUXを標的とするマルウェア
6月には2つのLinux向けトロイの木馬が発見されました。1つ目は小型コンピューターRaspberry Piのみを攻撃する悪意のあるプログラム Linux.MulDrop.14 です。このトロイの木馬は仮想通貨をマイニングするよう設計されたアプリケーションを圧縮・暗号化された形で含むスクリプトです。 Linux.ProxyM としてウイルスデータベースに追加された2つ目のトロイの木馬は2017年2月に登場しましたが、その攻撃は5月下旬以降に活発化しました。以下のグラフはDoctor Webスペシャリストによって確認された Linux.ProxyM による攻撃数です:
攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。以下のグラフは Linux.ProxyM による攻撃元の地理的分布を表しています:
この脅威に関する詳細についてはこちらの記事をご覧ください。
その他の情報セキュリティイベント
仮想通貨の登場後間もなくして、感染させたデバイスのコンピューティングリソースを使用してそれらの通貨をマイニングする悪意のあるプログラムが出現しました。そのようなトロイの木馬のファミリーである Trojan.BtcMine に属する最初のトロイの木馬が2011年にDr.Webウイルスデータベースに追加されています。そして2017年6月、このファミリーに属するまた別の亜種 Trojan.BtcMine.1259 が発見されました。このトロイの木馬は仮想通貨Monero (XMR)をマイニングするよう設計されています。 Trojan.BtcMine.1259 は Trojan.DownLoader24.64313 によってコンピューター上にダウンロードされ、さらに、この Trojan.DownLoader24.64313 はバックドアDoublePulsarによって拡散されます。
悪意のある機能を実行するほか、 Trojan.BtcMine.1259 はオープンソースコードを持ったリモート管理システムの改変されたバージョンであるライブラリGh0st RAT (Dr.Web Anti-virusは BackDoor.Farfli.96 として検出します) を復号化してメモリ内にロードします。このライブラリを使用することで、サイバー犯罪者は感染させたコンピューターをコントロールし、コマンドを実行することが可能になります。 Monero(XMR) をマイニングするモジュールは、感染させたシステムのコンピューターリソースの80%まで使用することができます。 Trojan.BtcMine.1259 には32ビット版と64ビット版の両方のマイナーが含まれています。感染したコンピューター上でいずれのトロイの木馬が実行されるかは、OSのビット数によって決まります。この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
6月、イランのモバイルデバイスユーザーに対して攻撃を行う Android.Spy.377.origin が、Doctor Webのセキュリティリサーチャーによって発見されました。この悪意のあるプログラムは機密情報を盗んでサイバー犯罪者に送信するほか、犯罪者から受け取ったコマンドを実行する機能も備えています。また、6月には、ウクライナでブロックされているソーシャルネットワークサイト「VK」や「Odnoklassniki」へのアクセスを可能にするリスクウェアがGoogle Play上で発見されました。 Program.PWS.1 としてDr.Webウイルスデータベースに追加されたこれらのアプリケーションは、サイトのブロックを回避するために匿名化サーバーを使用し、そのうえ、ログインやパスワード、その他のユーザーの個人情報を暗号化していませんでした。
6月には Android.SmsSend.1907.origin および Android.SmsSend.1908.origin もまた、Google Playから拡散されています。これらの悪意のあるアプリケーションは高額な番号に対してSMSメッセージを送信し、サービスプロバイダのカスタマーを有料サービスに登録します。そのほか、 Android.Dvmap ファミリーに属するトロイの木馬のシグネチャがウイルスベースに追加されています。これらの悪意のあるプログラムは、ルート権限の取得を試み、システムライブラリを感染させ、追加のコンポーネントをインストールします。さらに、サイバー犯罪者から受け取ったコマンドに従って、ユーザーに気付かれることなく別のアプリケーションをダウンロード・起動させることができます。
6月にはもう1つのAndroid向けトロイの木馬が発見され、 Android.Encoder.3.origin と名付けられました。このトロイの木馬は中国のAndroidユーザーを標的とし、SDカード上のファイルを暗号化して、復元するための身代金を要求します。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- イランのユーザーに対するスパイ行為を実行するAndroid向けトロイの木馬の発見
- Google Play上で複数の脅威を発見
- SDカード上のファイルを暗号化し、復元するための身代金を要求する暗号化トロイの木馬の拡散
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
30.06 ハッカーからシステムを守るために必要なセキュリティ対策
2017年6月30日
株式会社Doctor Web Pacific
両者とも、システムやネットワークで使用できる複雑な言語を駆使しており、日々攻防戦を繰り広げていますが、良いハッカーが勝利をおさめられれば成功です(米国テレビドラマ: ARROWシリーズ)
しかし、この攻防戦は深い技術や知識を持つハッカーだからできることで、普通のユーザーにはこの攻防戦ができるでしょうか? そもそも侵入やウイルス感染されていることに気づけるでしょうか?
下記は当社のテクニカルサポートに届いた一般ユーザーの身に起きた事例です。
- 電子メールを開くと、システムがフリーズたため、少し待ってから再起動しました。通常より起動が遅いと感じましたが、ブートプロセスは完了。ですが、すべてが暗号化されてしまっていました。
- 突然、OSからシステムエラーのため再起動する必要があると警告が表示されたため再起動すると、ファイルが徐々に暗号化されていきました。
- SNSでニュースを見ていただけで、ダウンロードやリンクを開くなどしていないにも関わらず、システムは減速。その後、身代金を要求するWanna Decryptorのバナーがポップアップしました。 バナーは5秒ごとにポップアップし続け、約40分後には、アンチウイルスが14のトロイの木馬を検知したと通知しました。
テクニカルサポート
このユーザーはシステムに異変を感じ、Windowsを再起動すれば問題を解決できると考え再起動したものの、すでに問題を解決するどころか大変な状況になってしまっていることにこの段階で気づきました。
このユーザーはDr.Webを残念ながら使用しておらず、この後、40分間も身代金要求がポップアップし続けていても、自然と解決するのを待っているかのように何もできなかったようです。
ほとんどの場合、ハッキングに気付くことはとても難しいのですが、サーバー側で疑わしい活動を監視し、管理者へ通知されるようにしていれば、対策を打つことができます。問題が起きた時、管理者は、すべてのサーバー・ネットワーク・インターフェイスまたはネットワークイングレスポイントを無効にしたりブロックしたりします(極端な場合、ハードウェアを取り外します)。その後、管理者はどういった問題が起きていたのかを分析するのです。これらのステップは1~2秒で実行されていきます。つまり、自分のコンピュータが不正アクセスされたと思われる場合は、まずネットワーク(インターネット)から切断し、実際に何が起きたかを判断する流れが必要と覚えていてください(アンチウイルスのインストール、Windowsの再インストールなども必要です)。
映画の演出によるサイバー攻撃やハッカーに関する誤解
また、興味がある方は1億ダウンロードの実績のあるアンチウイルス「Dr.Web」の製品ページも是非ご覧ください。
http://products.drweb.co.jp/biz/business_products/
#security #hacker #hacking #myth #encryption_ransomware2017年6月29日
株式会社Doctor Web Pacific
Trojan.Encoder.12544 について調査を行ったセキュリティリサーチャーらは、このトロイの木馬の拡散にはウクライナで利用されている税務会計ソフト「MEDoc」のアップデートが悪用されていると報告しています。MEDocのディストリビューションキットに含まれている、主なアプリケーションのアップデートを実行するよう設計された EzVit.exe と呼ばれるツールが、 Trojan.Encoder.12544 の拡散開始時にCMDコマンドを実行していたと指摘しています。このコマンドは悪意のあるライブラリのダウンロードを実行していましたが、このライブラリ内には Trojan.Encoder.12544 の主要な機能が含まれています。この暗号化ランサムウェアはSMBプロトコルの脆弱性を利用してネットワーク経由で自動的に拡散され、Windowsユーザーのアカウントデータを盗むことから、拡散が広まるには1台が感染すれば十分であるといえます。
2012年、悪意のあるプログラム BackDoor.Dande を用いた、ロシアの薬局や製薬企業に対する攻撃がDoctor Webのセキュリティリサーチャーによって確認されました。このスパイウェア型トロイの木馬は製薬業界で使用されているプログラムから医薬品の受注に関する情報を盗むものでした。起動されると、 BackDoor.Dande はシステム内に該当するアプリケーションが存在するかどうかを確認し、存在しなかった場合は自身の動作を停止します。2800を超えるロシアの薬局や製薬企業が感染の被害に遭いました。このとこから、 BackDoor.Dande は産業スパイ目的で使用されたものと考えられます。
Doctor Webのスペシャリストによって4年間にも及ぶ調査が行われました。 BackDoor.Dande による被害を受けた企業から提供されたハードディスクを調査した結果、その他全てのバックドアコンポーネントを実行するドライバの作成日が特定されました。このドライバはWindowページングファイルおよび感染したコンピューター上にインストールされたAvastアンチウイルスのログ内に含まれていました。これらファイルの解析により、悪意のあるドライバは ePrica (D:\ePrica\App\PriceCompareLoader.dll) と呼ばれるアプリケーションの起動直後に作成されているということが明らかになりました。「Spargo Tekhnologii」という企業によって開発されたこのアプリケーションは、薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。ePricaによってライブラリがシステム内にロードされ、このライブラリが BackDoor.Dande を密かにダウンロード、復号化、起動させます。このトロイの木馬は http://ws.eprica.ru からダウンロードされますが、このサイトは「Spargo Tekhnologii」のもので、 ePrica をアップデートするよう設計されていました。さらに、悪意のあるプログラムを密かにロードするモジュールは有効な電子署名「Spargo」を持っていました。 BackDoor.Dande は盗んだデータをロシア国外にあるサーバーへ送信します。つまり、 Trojan.Encoder.12544 同様、このバックドアはプログラムのアップデートモジュール内に「隠れて」いたのです。
こられの事例の類似性から、ソフトウェア開発のインフラストラクチャには情報セキュリティに対する特別な注意が必要であるということが示されています。何よりもまず、商用ソフトウェアのアップデートプロセスはデベロッパー自身か、またはユーザーにより細心の注意を払って行われる必要があります。様々なプログラムのアップデートツールには、OS内で実行ファイルを実行する権限を持つものがあり、これが予期せぬ感染の原因となることがあります。MEDocの場合、感染はサイバー犯罪者によるハッキングと更新サーバーへの侵入によって引き起こされました。 BackDoor.Dande のケースでは、感染の拡大は内部の人間によって故意に引き起こされたものであると考えられています。この手法を用いることで、サイバー犯罪者はほとんどあらゆるソフトウェアのユーザーに対して効果的な攻撃を行うことができます。
28.06 Doctor Webによる、新たな世界的エンコーダーに関する調査報告
2017年6月28日
株式会社Doctor Web Pacific
Trojan.Encoder.12544 は、Windows搭載コンピューターに対して深刻な脅威となっています。多くのメディアでは、このトロイの木馬を「Petya( Trojan.Ransom.369 )」の亜種であるとしていますが、 Trojan.Encoder.12544 とPetyaとの類似点はほんのわずかです。 Trojan.Encoder.12544 は政府機関、銀行、営利組織の情報システムを感染させているほか、いくつかの国でユーザーのコンピューターでも感染が確認されています。
現時点で、このトロイの木馬はWannaCryによる攻撃の際に使用されていたものと同じ脆弱性を悪用してコンピューターを感染させているということが明らかになっています。 Trojan.Encoder.12544 の拡散は6月27日に開始されました。コンピューター上で起動されると、 Trojan.Encoder.12544 は複数の手法を用いてローカルネットワーク上のコンピューターを探し、ポート445番および139番をスキャンします。ポートの開かれたシステムが見つかると、よく知られたSMBプロトコルの脆弱性(MS17-10)を利用してそれらを感染させます。
Trojan.Encoder.12544 は本体内に圧縮されたリソースを4つ含んでいます。それらのうち2つは、開かれたWindows セッションのパスワードを傍受するよう設計されたMimikatzツールの32ビット版と64ビット版です。OSのキャパシティに応じて、 Trojan.Encoder.12544 はMimikatzツールの適切なバージョンを解凍し、一時フォルダに保存して起動させます。 Trojan.Encoder.12544 はMimikatzとその他複数の手法を用いて、感染させたコンピューター上で認証されたローカルユーザーやドメインユーザーのリストを取得します。次に、書き込み可能なネットワークフォルダを探し、受け取ったデータを使用してそれらを開き、リストのコピーをそれらのフォルダ内に保存します。アクセスが可能となったコンピューターを感染させる際、 Trojan.Encoder.12544 はリモート管理ツールPsExecまたは標準的なコンソールツールを使用してWmic.exeオブジェクトを呼び出します。
Trojan.Encoder.12544 は "C:\Windows\" フォルダに保存したファイルを使用して2度目の起動をチェックします。ファイルの名前はトロイの木馬の名前から拡張子を除いたものとなっています。現在拡散されているワームのサンプル名は "perfc.dat" であるため、その起動を防ぐファイルは "C:\Windows\perfc" になります。ただし、トロイの木馬の名前がサイバー犯罪者によって変更された場合、 "C:\Windows\perfc" ファイルを作成すること(多くのアンチウイルスデベロッパーがアドバイスしているように)でコンピューターを感染から守ることはできなくなります。また、 Trojan.Encoder.12544 がファイルの存在を確認するのは、十分な権限を持っている場合のみとなっています。
起動されると、 Trojan.Encoder.12544 は権限を設定し、自身のコピーをメモリ内にロードし、コピーに対してコントロール権を付与します。次に、自身のファイルをトラッシュデータで上書きし、ファイルを削除します。まず初めに、 Trojan.Encoder.12544 はCドライブのVBR(ボリュームブートレコード)を破損させ、ドライブの最初のセクターにトラッシュデータを詰め込みます。続けて、XORアルゴリズムを使用して暗号化した元のWindowsブートレコードをドライブの別の部分にコピーし、その元のレコードをトロイの木馬のブートレコードで上書きします。その後、コンピューターを再起動させるタスクを作成し、次の拡張子を持つすべてのファイルの暗号化を開始します:
.3ds、 .7z、 .accdb、 .ai、 .asp、 .aspx、 .avhd、 .back、 .bak、 .c、 .cfg、 .conf、 .cpp、 .cs、 .ctl、 .dbf、 .disk、 .djvu、 .doc、 .docx、 .dwg、 .eml、 .fdb、 .gz、 .h、 .hdd、 .kdbx、 .mail、 .mdb、 .msg、 .nrg、 .ora、 .ost、 .ova、 .ovf、 .pdf、 .php、 .pmf、 .ppt、 .pptx、 .pst、 .pvi、 .py、 .pyc、 .rar、 .rtf、 .sln、 .sql、 .tar、 .vbox、 .vbs、 .vcb、 .vdi、 .vfd、 .vmc、 .vmdk、 .vmsd、 .vmx、 .vsdx、 .vsv、 .work、 .xls、 .xlsx、 .xvd、 .zip
Trojan.Encoder.12544 は固定ドライブ上のファイルのみを暗号化します。各ドライブ上のデータは別々のスレッドに暗号化されます。ファイルの暗号化にはAES-128-CBCアルゴリズムが用いられ、ドライブごとに個別のキーが生成されます(これまで他のスペシャリストによって言及されていない Trojan.Encoder.12544 の特徴です)。このキーはRSA-2048アルゴリズムを用いて暗号化され(800ビットキーが使用されるとするリサーチャーもいます)、システムドライブのルートフォルダ内にあるREADME.TXTという名前のファイルに保存されます。暗号化されたファイルには、追加の拡張子は付けられません。
作成されたタスクに応じてコンピューターが再移動された後、トロイの木馬のブートレコードに対してコントロール権が付与されます。感染したコンピューターの画面には、Windowsの標準搭載ツールCHDISKのものと類似したテキストが表示されます。
その間、 Trojan.Encoder.12544 はMFT(マスターファイルテーブル)を暗号化します。暗号化が完了すると、画面には身代金の要求が表示されます。
システム起動時にCHDISKのテキストが表示された場合は直ちにコンピューターの電源を切ってください。ブートレコードが破損しますが、Windowsリカバリーツールまたはディストリビューションディスクを使用してコンピューターを起動させる場合は回復コンソールを使用して修復することができます。Windows 7以降のOSでは、重要なデータのバックアップコピーを持った隠された部分がドライブ上に存在する場合、通常はブートレコードを復元することが可能です。また、Dr.Web LiveDiskを使用することもできます。ブートディスクまたはブートUSBを作成し、OSをブートリムーバブルメディアから起動させてください。次に、Dr.Web scannerを起動して感染したドライブをスキャンし、検出された脅威に対して「駆除」アクションを選択します。
一部のリソースによると、サイバー犯罪者が使用するメールアドレスをブロックしたため、攻撃者は被害者とやり取りを行うことができない(ファイルの復号化を提案するなど)ということです。
Trojan.Encoder.12544 による感染を防ぐため、Doctor Webでは、重要な全てのデータのバックアップコピーを個別のリムーバブルメディア上に作成し、Dr.Web Security Spaceのデータ損失防止機能を使用することを推奨しています。また、お使いのOSに対する全てのセキュリティアップデートをインストールすることも推奨されます。Doctor Webでは、スペシャリストによる Trojan.Encoder.12544 の調査を継続してまいります。
28.06 Trojan.Encoder.12544に感染してしまった場合の対処方法
2017年6月28日
株式会社Doctor Web Pacific
Trojan.Encoder.12544 は、SMB v1の脆弱性MS17-010 (CVE-2017-0144、 CVE-2017-0145、 CVE-2017-0146、 CVE-2017-0148)を悪用して拡散されています。この脆弱性は米国家安全保障局(NSA)が使用する攻撃コードの1つである「ETERNAL_BLUE」が悪用する脆弱性です。拡散にはTCPポート139番および445番が使用されています。この「リモートコード実行」脆弱性は、攻撃者がコンピューターをリモートで感染させることを可能にします。
-
Windowsへのアクセスを取り戻すために、MBRを復元する必要があります(「回復コンソール」内の標準的手順を使用し、 "bootrec.exe /FixMbr" を起動させます)。
Dr.Web LiveDiskを使用して復元することも可能です — ブータブルCDまたはUSBドライブを作成し、Dr.Web scannerを起動してください。攻撃されたハードドライブのスキャンを実行し、感染したファイルを全て「修復」してください。
-
お使いのコンピューターをネットワークから切断した後で起動させ、MS17-010パッチ(https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx)を適用してください。
- Windows XP SP3:
- download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- Windows Server 2003 x86:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
- Windows Server 2003 x64:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
- 次に、Dr.Webをインストールします。インターネットに接続してウイルスデータベースをアップデートし、システムのフルスキャンを実行してください。
Windows XP またはWindows 2003搭載のコンピューターでは、セキュリティアップデートを手動でインストールする必要があります。2017年6月28日時点では、以下のURLよりダウンロード可能です:
このトロイの木馬はMBR(マスターブートレコード)を置き換え、システムの再起動タスクを作成して実行します。マスターブートレコードが置き換えられているため、その後OSは起動しなくなります。システムの再起動タスクが作成されると、直ちにデータの暗号化が開始されます。ドライブごとに個別のAESキーが生成され、ディスクが完全に暗号化されるまでメモリ内に置かれます。このキーはパブリックRSAキーを使用して暗号化され、その後削除されます。MBRの置き換えに成功し、システムが再起動されるとMFTファイルもまた暗号化されます。このファイルにはNTFSドライブ上にある全てのファイルに関する情報が含まれています。これら全ての手順が完了すると、データはプライベートキーを使用する以外の方法で復元することができなくなります。したがって、キーがなければ、いずれのファイルも復元することはできません。
現時点では、復号化は不可能となっています。Doctor Webのアナリストによって、問題と解決策についての調査が行われています。詳細が確定次第お知らせいたします。
27.06 ロシアとウクライナの企業を攻撃する新たなランサムウェア
2017年6月27日
株式会社Doctor Web Pacific
Doctor Webの情報セキュリティスペシャリストによると、このトロイの木馬は悪名高いWannaCryと同様、自身を自動的に拡散させますが、同じ拡散方法を用いているかどうかについては明らかになっていません。現在、この新たなトロイの木馬についてDoctor Webのセキュリティリサーチャーによる調査が進められています。詳細については追ってご報告いたします。
一部のメディアでは、ランサムウェアの一見した動作の特徴から、これを「Petya(Dr.Webは Trojan.Ransom.369 として検出)」の亜種であるとしていますが、この新たな脅威の拡散方法はPetyaのものとは異なっています。
この暗号化ランサムウェアはモスクワ時間の6月27日午後4時30分に Trojan.Encoder.12544 としてDr.Webウイルスデータベースに追加されました。
ユーザーの皆様は、警戒を怠らず、疑わしいメールを開くことのないようご注意ください(ただし、これは「必要な対策」であり、「十分な対策」ではありません)。重要なデータのバックアップコピーを作成し、全てのソフトウェアについてセキュリティアップデートをインストールすることも推奨されます。また、アンチウイルスの使用が不可欠です。
2017年6月27日
株式会社Doctor Web Pacific
そして私は彼女が友人にコンピュータを壊した原因が悪いウイルスによるものだったと話したとしても気にしません。
http://computia.ru/boremsya-s-virusami/chto-ne-mozhet-virus-ili-mify-o-kompyuternyx-virusax
今回は、まれに起こるコンピュータトラブルを取り上げます。今日は、BIOSとブートセクターの感染について説明します。ではBIOSの説明から始めましょう。
BIOSファームウェアは、コンピュータのマザーボードに同梱されています。システムの電源を付け、オペレーティングシステム(OS)がロードされる前に起動されます。具体的には、BIOSはシステム診断を容易にし、使用可能なハードドライブを検出し、OSの起動のためにディスクからデータを読み取ります。
OSが起動する前にBIOSロゴを確認することができます。
BIOSは、MS-DOS時代にウイルス作成者の注意を引きました。ファームウェアには、OSハードウェアのやりとりを容易にする割り込みコードが組み込まれていたからです。割り込みルーチン13hは具体的には、ディスクセクタにデータを読み書きする役割を担っています。
犯罪者は、OSが起動したときにウイルスを復元し、ユーザーに見えないままブートウィルスを作成するために割込みルーチンを使用しました。
Windowsは、カーネルで始まるコンポーネントをロードするために、BIOS割込みルーチン(ブートプロセスの開始時に割り込みベクタテーブルをクリア)を使用しません。今日ではBIOS割込みルーチンの傍受はマルウェアにはあまり関係がなく、マルウェアは、OSが起動する前に、割込みルーチン13hを使用して任意のディスクセクタにデータを読み書きします。
2011年、Doctor Webのセキュリティ研究者は、Award SoftwareのBIOSにのみ感染する可能性があるプログラムのサンプル(Trojan.Bioskit.1)を発見、入手しました。その後、Trojan.Bioskitとは別に修正を広めるプログラムが検出されましたが、コード内のエラーのため、このバージョンのトロイの木馬は深刻な脅威にはなりません。
BIOSチップへのアクセスと再フラッシュは簡単な作業ではありません。これを達成するには、チップにアクセスするためにマザーボードチップセットと通信する必要があります。次に、チップを検出し、チップがサポートするデータ消去/書き込みプロトコルを使用しなければなりません。しかし、トロイの木馬の作者は、より簡単な方法を選択し、BIOSがすべての作業を行うようにしました。作者はアイスランドのエイリアスが行った、中国の研究者から得た情報を使用していました。Award BIOSのWinflashユーティリティを分析した結果、システム管理モードで BIOSのサービスを使ってチップをリフレッシュするという簡単な方法が明らかになったのは2007年のことです。OSはSMMおよびSMRAMコードにアクセスすることはできません(BIOSが正しく書き込まれていれば、コードへのアクセスがブロックされます)ので、コードは独立して実行されます。
システム管理モードは、OSを含むすべての通常のコード実行が一時停止される運用モードです。代わりに、特別なソフトウェアが高い特権で実行されます。通常通り、それはメモリとチップセットのエラーを処理し、過熱CPUをシャットダウンするという合理的な目的のために設計されました。しかし、OSのセキュリティ機能を迂回してルートキットを立ち上げるために使用することもできます。SMMコードは、カーネルおよびハイパーバイザーのメモリセグメントを含むすべてのシステムメモリに無制限にアクセスできます。
マルウェア「Rakshasa」は、BIOSを完全に置き換え、Corebootを使用してハードウェアを初期化し、SeaBiosを使用してBIOSのUIをエミュレートします。また、iPXEを使用してLAN、WI-FI、WIMAX、およびLTEによるネットワークブートとリモート制御を容易にし、後でWindowsおよびLinuxのカーネル変数を変更するためにブートキットKon-bootをロードします。
以下のタイプの攻撃を行います:
- SMM修正プログラムを削除します。これによりマルウェアコードが実行され、他のコードの実行は中断されます。このように、マルウェアプロセスはスーパーユーザー権限で実行されるため、コンピュータ上の任意の設定を変更してファイルを変更することができます。
- BIOS NX機能を無効化します。特定のメモリ領域を非実行可能とマークする属性です。これにより、マルウェアコードを実行してパスワード保護を回避し、ターゲットマシンをリモートコントロールすることができます。
- ASLR(Address Space Layout Randomisation)を無効化します。プロセスの重要なデータ領域にランダムアドレスを提供する手法です。攻撃者は脆弱なプロセスのアドレスを知らないため、ASLRはバッファオーバーフロー攻撃を複雑にします。ASLRを無効にすると、どのOSでも攻撃を開始するのがはるかに簡単になります。
- TrueCrypt / BitLockerパスワードを取得するためのパスワードプロンプトを置き換えます。 BIOS機能を使用して、キーボード入力をエミュレートして、変更またはコピーできるデータを復号化します。
- OSの起動前にファイルシステムを変更して、リモート管理モードを有効にし、システムに他のマルウェアを感染させます。
「Rakshasa」とは:
- Wi-FiとWIMAXを使用して、別々のモジュールまたはOSイメージ全体をダウンロードし、ファイアウォールをバイパスしてネットワークを危険にさらします。
- BIOSが再読み込みされるか、OSの再インストールをした場合、マルウェアはイーサネットアダプタ、SATAコントローラ、または信頼できるデバイスなどのPCIデバイスに以前書き込んだイメージを使用して自己修復します。
- マザーボードのファームウェアコードの実行前に起動されるため、ADM SVM、Intel Trusted Execution Technologyなどのセキュリティ機能を回避します。
典型的な「Rakshasa」の感染シナリオでは、標的システムのハードウェアにアクセスし、リムーバブルメディアからマルウェアを付属のPCハードウェアにアップロードする攻撃が含まれます。つまり、新しいコンピュータに感染させて出荷させることができます。
26.06 Linux対応 Dr.Web 11.0 for Internet Gateways Kerioをリリース
2017年6月26日
株式会社Doctor Web Pacific
新しいバージョンでは、Kerio Control バージョン 9.2.1 および 9.2.2がサポートされました。同製品の以前のバージョンについてはDr.Webプラグイン 9.0でサポートされます。
Dr.Web 11.0 for Internet Gateways Kerioをインストールするには、旧バージョンをアンインストールする必要があります。
26.06 ランサムウェア「WannaCry」がもたらした被害と拡大原因
2017年6月26日
株式会社Doctor Web Pacific
ロシアは最も影響を受けた国でした。ウクライナ、日本、インドなどでも多くのコンピュータが感染していました。
統計で議論するのは難しいですが、なぜロシアでの被害が多かったのかについて、専門家はあらゆる仮説を立てました。
最初の理由は、ソフトウェアの著作権侵害のレベルと関係があります。ソフトウェアの著作権侵害が、ロシアではよく起きていることを誰もが知っています。 違法にソフトウェアを使用している人は、コンピュータがブロックされてしまうことを恐れ、アップデートをインストールすることを非常に嫌っています。
第2の理由は、システム管理者の給料が低く、また、雇用主には多額の給料を払う余裕がありません。 そのため、多くの企業は、有能なシステム管理者を雇うことができません。
第3の理由は、ビジネスプロセスの組織化が不適切であることです。具体的には、企業のコンピュータで使用されている古いソフトウェアと、更新プログラムがインストールされていないという点です。
ヨーロッパでは、パッチが1ヶ月以内に適用されますが、ロシアでは平均2ヶ月かかります。
ここでは、私たちがロシアの抱えている問題のリストにするのを止め、真実を公開することができると思います。
「WannaCry」は、その作業を進めながら、特定のURLにクエリを送信します。MalwareTechとして知られているセキュリティ専門家は、対応するドメインを登録しました。その結果、ドメインを現在制御しているKryptos Logicは、ランサムウェアからのクエリを分析することができました。
Kryptos Logicは、過去2週間にキルスウィッチドメインに送信されたリクエストに関する統計を収集するために、セキュリティ研究者は、約14億1,600万件のクエリを登録しました。以前は、「WannaCry」に感染したマシンの50%~75%がロシアに存在していたと言われていますが、収集された情報によると、中国が最大の感染数(620万件)となっていることがわかりました。それに続くのが、米国(110万)、ロシア(100万)、インド(54万)、台湾(37万5,000)、メキシコ(30万)、ウクライナ(23万8000)、フィリピン(231万)、香港(192万)、ブラジル(19万1,000)です。
どうしてアメリカでの発生件数がロシアをしのぐ結果となったのでしょうか? ソフトウェア著作権侵害のレベルが低いからでしょうか?それとも システム管理者のプロ意識や業務プロセスの質でしょうか? 専門家による意見を待っています。
#Windows #malware #ransom #extortion #myth #damage #encryption_ransomware
26.06 Dr.Web製品に含まれるコンポーネントをアップデート
2017年6月26日
株式会社Doctor Web Pacific
その中でも特に、Dr.Web Shellguardでは、Office Tabと一緒にMS Word 2016を使用した際、エクスプロイトに対するプロテクションシステムが誤検知する問題が解決されました。
また、Dr.Web SelfPROtectでは、Windows Server 2008 R2が動作するシステムにおいて異常終了(BSOD)が発生する問題が解決されました。
アップデートは自動的に行われますが、システムの再起動が必要です。
23.06 セキュリティ強化するならユーザー権限の見直しが鍵?
2017年6月23日
株式会社Doctor Web Pacific
研究者Matt GraeberとMatt Nelsonは、Windowsのユーザーアカウント制御機能をバイパスする新しい方法を発見しました。これは、不正な変更がシステムに行われないようにするために開発されました。
研究者は、Windows 10スケジューラでいくつかのデフォルトタスクを分析した際、プロセスの1つ(SilentCleanup)で、特権を持たないユーザーによって起動される可能性があるが、それは高い権限を持つことで実行されることを確認しました。専門家の説明によると、SilentCleanupファイルは、ディスククリーンアップユーティリティまたはCleanmgr.exeに関連付けられています。cleanmgr.exeを実行すると、プロセス権限は自動的にタスク設定で定義、関連付けられている最大レベルまで増加します。
ユーティリティを実行すると、ディスククリーンアップによって、 C:\Users\AppData\Local\TempにGUIDという新しいフォルダが作成されます。ここには、いくつかの.dllファイルとdismhost.exeがコピーされます。dismhost.exeを起動したら、 C:\Users\AppData\Local\Temp\<guid>から特定の順序で.dllファイルのアンロードを開始します。現在のユーザーは%TEMP%ディレクトリへの書き込みアクセス権を持っているため、dismhost.exeプロセスで使用されている.dllを偽装することは可能です。
研究者は資料をMicrosoftに提供し、また、UACのメカニズムはセキュリティ機能に属していないため、この問題は脆弱ではないと指摘しました。
https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/
このニュースでわかることは以下の点です。
- ユーザーが権限を下げて作業しているにもかかわらず、いくつかのユーティリティでは、より高度な権限を使用している。
- 管理者の特権とは異なるユーザー特権での作業は、感染のリスクを大幅に低減するものの、救済策ではない。
- 許可されたプログラムのホワイトリストの使用は救済策にはならず、攻撃はライブラリを置き換えることによって実行される。
- 実行中のアプリケーションの完全制御は万能薬ではない。コードは実行中のプロセスに注入されず、プロセスはすぐに悪意のある機能で起動する。
23.06 Doctor Web:脅威にさらされる122,000人を超えるソーシャルネットワークユーザーの個人データ
2017年6月23日
株式会社Doctor Web Pacific
ウクライナでは、2017年5月に複数のロシアのサイトに対するアクセスが大統領令によって遮断され、それらのサイトの中にはソーシャルネットワークサイトである「VK」や「Odnoklassniki」が含まれていました。その結果、TorブラウザやVPNサービス、アノニマイザーなどといった、ブロックを回避するための方法が人気を集めるようになり、同様の機能を持った新しいプログラムが登場し始めました。しかしながら、これら最新のプログラムは全てが安全なわけではありません。
この度、ウェブサイト「VK」および「Odnoklassniki」のブロックを回避することを可能にする複数のアプリケーションがDoctor WebのスペシャリストによってGoogle Play上で発見されました。これらのソーシャルネットワークサイトにアクセスするために、Androidユーザーはログイン情報を入力するよう求められます。その後、プログラムがブロックを回避してユーザーのアカウントにログインします。Doctor Webでは、次のデベロッパーによって配信されている同様のプログラムを8つ確認しています:JDX Studio、Soukaina Bousfiha、Zikolabs、Boubakri yassir、affzakanab、simon faiz。
発見された8つのアプリケーションは全て、驚くほど似ています。それぞれ「ВК В Украина」、「ВК Украина」、「ВК Украина 2」、「ОК Украина」、「Украина ОК」、「ВК VPN Украина.」、「ВК Украiна」、 「ВК Украина VPN」という名前のプログラムとしてモバイルデバイス上にインストールされ、似たようなショートカットを作成します。少なくとも122,000人のユーザーがこれらのアプリケーションをダウンロードしており、個人データ流出の危険に晒されています。
問題となるのは、ソーシャルネットワークサイトのブロックを回避するために、このプログラムはオンラインアノニマイザー経由でトラフィックをリダイレクトするという点です。アノニマイザーは、ネットワークリクエストを処理し、ブロックされたインターネットサイトへのアクセス制限を回避するためにコンピューターやモバイルデバイスに関する情報を隠す特殊なサーバーです。このようなサービスは、ソーシャルネットワークドメインへのアクセスをゲートウェイレベルで制限されているシステム管理者といった、企業ネットワークユーザーなどの間で需要が高くなっています。
ユーザーによって入力された暗号化されていないログイン情報は匿名化サーバーに送信されます。そのため、サーバーの所有者が、受け取ったそれらの情報を違法な目的で使用しないという保証はありません。例えば、サーバーの所有者はユーザーに成りすましてソーシャルネットワークサイトにログインし、ユーザーの許可なしにメッセージを送信することができます。そのほか、友達を追加したり、グループに参加したり、やり取りを読んだり、写真を見たりすることも可能です。アプリケーションはアドレスバーを表示させないため、ユーザーは第三者のドメインを経由して自分がソーシャルネットワークサイトにログインしていることに気が付きません。「VK」または「Odnoklassniki」上でプログラムによって行われるその後の操作もまた暗号化されません。そのため、これらソーシャルネットワークサイト上での全ての活動をモニタリングすることが可能になります。
匿名化サーバーの所有者が機密データに対するこのような無責任なアプローチを取っているのは上記のような犯罪が目的ではなく、単なるエラーや情報セキュリティに関する基礎知識の欠如が原因であると仮定した場合であっても、暗号化されていないネットワークトラフィックをサイバー犯罪者が傍受しないという保証はありません。
その使用が個人情報の流出を招く危険性があるため、Dr.Web Anti-virusはこれらの潜在的に危険なアプリケーションを Program.PWS.1 として検出します。Doctor Webでは、上記ソフトウェアが機密データを流出させる危険性についてGoogle社に報告を行いましたが、本記事掲載時点でアプリケーションは未だダウンロード可能な状態になっています。
ブロックされたサイトのユーザーの方は、アクセス制限を回避するための疑わしいアプリケーションやサービスを使用しないようにすることでご自身の身を守るようにしてください。商用の無料VPN(バーチャル・ネットワーク・プロバイダーまたはバーチャル・プライベート・ネットワーク)サービスやプロキシサーバーなど、十分なレベルの保護を提供する、より安全なソリューションがあります。
Dr.Web for Android は、 Program.PWS.1 の全ての既知のバージョンを検出します。これらは潜在的に危険なプログラムであるため、Doctor Webでは、これらのプログラムを削除し、デベロッパーによって必要な措置が取られるまで使用しないようにすることを推奨しています。
22.06 「WannaCry」を始めとしたランサムウェアの成り立ちと対策
2017年6月22日
株式会社Doctor Web Pacific
意外な広がりを見せる「WannaCry」:
-
通常のランサムウェアプログラムとは異なり、「WannaCry」はスパムメールによって広がるため、迷惑メールを送った量に比例して感染が拡大していきます。 他のプログラムとは対照的に、「WannaCry」はねずみ講に似ています。感染したすべてのマシンは、ローカルネットワークとインターネットの両方で他のホストに感染しようとします。今回の件は、2000年代初めに大流行した「メリッサ」の感染拡大状況に非常によく似ています。「メリッサ」は、わずか数時間で数百万のPCを感染させ、その感染率は世界中のコンピュータの20%にまで上りました。では、現在のインターネットは、当時に比べ安全に使用されるようになったのでしょうか?
PCの18%以上が海賊版Windowsを搭載しており、また、23%のコンピュータはWindows Updateを無効にしている。
では「WannaCry」はどうでしょうか。推計、20万台から40万台のコンピュータが感染しているとされています。
MalwareHunterによると、5月19日、ウクライナでの「XData」による被害は、「WannaCry」が1週間で感染させたマシンの4倍に上ったと発表。
Dr.Webメディア内、XData(Trojan.Encoder.11526)についてもお読みください。
-
中小企業への影響より、大企業と個人への影響大きかった。
Dr.Webのパートナーによる、中小企業の顧客に影響があったかに関する質問への回答方法(企業名は非公開)
M..:not yet А..:no А..:no В..:no В..:no one was affected, but everyone is scared :)マルウェアが高度な技術を使用して標的コンピュータに感染するという事実を考えると、それは奇妙なことではありませんか? 一方、世間からの注目は大きかったのです。
何故、この特定の暗号化ランサムウェアがメディアで広く議論されたと思いますか? 陰謀論?
ウェブセミナー中のDr. Webのパートナーへの質問
- 他のファイルを危殆化するために使用されるキーと、復旧が可能であることをユーザーに示すために使用される暗号化キーは異なるため、復号化は保証されていません。
- ランサムウェア感染で請求される身代金(ビットコインでは300米ドルから)はかなり手頃な金額でしたが、被害を受けたほとんどの企業は、評判を損なわないために支払いませんでした。
結局、「WannaCry」は、多くの報道と少数の感染、犯罪者に多少の収入を生み出しましたが、誰が最も利益を上げたのかは不明なままです。
しかし、被害がこれだけの最小限にとどまったのは、ビジネスにつなげたい人々が以下のように観察したからでした。
- 世界のコンピュータの少なくとも4分の1を攻撃する方法があること。
- ターゲットマシンに侵入するには、ユーザーがリンクをクリックすることに頼る必要はなく、トロイの木馬を使用すれば自動的に管理者権限を取得できること。
また、「WannaCry」は、複雑で悪質なプログラムではなく、その欠点が世界中のメディア機関によって議論されています。
- 再暗号化は使用しない。
- ウイルス対策ソフトで検出できる。
- コマンドとコントロール(C&C)サーバーと通信するのに脆弱な手順を使用する。
次に起こることを予測するために占い師になる必要はありません。
1:
セキュリティ研究者であるMiroslav Stamparは、NSAから漏えいしたとみられる7つのハッキングツール、「EternalBlue」、「EternalChampion」、「EternalRomance」、「EternalSynergy」、「Doublepulsar」、「Architouch」、「SMBtouch」を同時に使用するマルウェア「EternalRocks」を発見しました。
セキュリティ研究者を欺くために、「EternalRocks」は「WannaCry」と見せかけています。ただし、後者とは異なり、ターゲットマシンにはランサムソフトウェアをダウンロードせず、さらなる攻撃の標的となるシステムの準備に使用されています。
「EternalRocks」は匿名通信システムTorを介してC&Cサーバーと通信します。ワームから最初のクエリを受信した後、サーバーは24時間後に shadowbrokers.zip というファイルを送信します。ワームは、ファイルの内容を抽出すると、インターネット上のホストをスキャンして、ポート445が開いているシステムを検出します。「WannaCry」とは異なり、ドメイン名の形式でキルスイッチはありません。「EternalRocks」は、感染したシステムの管理者特権を取得し、後々脆弱性パッチがマシンに適用されても、ワームは引き続き動作します。
Dr.WebによってTrojan.EternalRocks.1として検出されたマルウェアは、より洗練されたコード(7つのハッキングツール)を享受していることは明らかです。
2:
「WannaCry」が活用している「EternalBlue」の攻撃ベクトルは、ハッカーに仮想通貨を送金する「Adylkuzz」を広めるためにも使われました。
3:(最も高度なオプション)
「UIWIX」は新しいマルウェアです。「WannaCry」と同様に、このマルウェアはMS17-010のセキュリティ情報に基づいて修正されたSMBの脆弱性を悪用しています。Shadow Brokersによって、一般市民が利用できるようになるまで、この脆弱性(EternalBlue)の悪用は、おそらくNSAの自由でした。
「UIWIX」と「WannaCry」には同じ脆弱性を利用する以外に、共通点はありません。「WannaCry」と違って、「UIWIX」はファイルとして存在しません。 悪用コードが適用された後、残りの悪意のあるコードはメモリ内でのみ実行されます。攻撃の過程で、コンポーネントファイルがハードドライブに書き込まれることはなく、悪質なプログラムの検出を複雑にします。「UIWIX」は「WannaCry」よりも潜んで活動をします。マルウェアが仮想マシンやあらゆる種類のサンドボックスで動作していることが判明した場合、マルウェアはそれを破壊します。また、ランサムウェアが、ロサンゼルス、カザフスタン、ベラルーシのコンピュータ上で終了すると、自己破壊メカニズムが起動されます。
「WannaCry」とは異なり、「UIWIX」は再起動後もシステムに残らず、コードにはドメイン名の強制終了スイッチが含まれていません。「UIWIX」の作者は、身代金として、300ドルから600ドルではなく、より少ない200ドルを要求しています。
「UIWIX」のコードを分析すると、ブラウザー、電子メール、インスタントメッセンジャー、FTPサーバーの承認データを収集できることが明らかになりました。
http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php
Dr.Webは、このランサムウェアプログラムをTrojan.Encoder.11536として検出します。 アンチウィルスによる検出を回避し、仮想マシンとサンドボックスを検出します。
脆弱性の悪用が感染の一般的な手段になるかどうかは時が教えてくれます。
#encryption_ransomware #ransomware #Trojan.Encoder #cybercrime #cyber-crime #virus-maker #security_update #vulnerability #extortion
