今回の記事では、Androidの脆弱性”Dirty Cow”に関して説明していく。

Dirty Cowの概要

LinuxのCopy on Write機能（COW）を使って、Read-Onlyのメモリマッピング情報を書き換えてしまう脆弱性(CVE-2016-5195)。

マルウェアのコードネームは、ZNIU。

Googleは2016年11月にパッチをリリースし、Androidの定期アップデートによってパッチされた脆弱性ではあったが、2017年9月になっても、Dirty Cowの被害に遭うユーザーが急増していた。

被害状況

先月(2017年8月)の段階で、ZNIUの被害は40カ国で確認されており、主に中国とインドのユーザーが被害にあっているという。

更に、アメリカ、日本等の国でもマルウェアの感染が確認されている。

対象のデバイス

エクスプロイトが機能するのは、ARM/X86 64-bitアーキテクチャのAndroid携帯のみとされている。

感染後のマルウェアの挙動

このマルウェアは、主にアダルトビデオ視聴用のアプリに偽装する。

インストールされた後、攻撃者の用意したC&Cサーバと暗号化された通信を始め、新しいバージョンがリリースされたら自動でアップデートを行う。

さらに、ルートキットをダウンロードし、Android携帯にバックドアを仕込む。

どんな被害にあうか

ZNIUは感染した携帯のキャリア情報を収集し、SMSでお金の支払いを行えるサービスを使ってお金をだまし取る。

その為、SMSで支払いを行えるサービスを提供している中国でしかお金を騙し取られる被害に遭う。

中国外でマルウェアをインストールした場合は、バックドアをインストールするのみに留まる。

PoC

PoCは以下のGitHubアカウントで管理されている。

脆弱性は未パッチ？

実は、あるセキュリティ研究者から、

「Dirty Cowの脆弱性を完全にパッチ出来ていないのでは無いか？」

という疑問の声が上がっている。

興味のある人は、以下のページを参照していただきたい。

(引用元: Palo Alto Networksの、セキュリティ研究チームUnit 42によるブログ記事。)

エグゼクティブ・サマリ

Palo Alto NetworksのUnit42は、新しく細工されたRAT(Remot Access Trojan)である、UBoatRATを確認した。

UBoatRATは、最初は2017年5月に確認されていたが、その時は単なるバックドアであった。

最初に確認された際は、香港のパブリック・ブログサービスと、日本にある、攻撃者によって侵入されたWebサーバーにバックドアとして寄生していたようだ。

その後、開発者はUBoatRATに機能を追加し6月に再び公開。

以降はUBoatRATの亜種による感染が確認されている。

Palo Alto Networksが、UBoatRATの感染を9月に確認した際には、以下のような特徴を発見した。

• 韓国に関係する企業・団体の人員、又はゲーム業界をターゲットにする
• Google Driveを通してマルウェアを拡散する
• C＆SサーバーのアドレスをGitHubから取得する
• パーシステンスを維持する為に、Microsoft Windows Background Intelligent Transfer Service(BITS)を使用する。

ターゲット

現時点で正確なターゲットが分かっていない。

だが、Palo Alto Networksは、ターゲットについて「韓国に関係する企業・団体の人員、又はゲーム業界」と仮説を持っている。

その根拠は、UBoatRAT内で使用されているファイル名である事。

韓国語で書かれたゲームのタイトルや、ゲーム会社の名前、その他ゲームに関連する語句がマルウェア内で使用されている。

以下が、そのファイル名の例である。

• 2017년 연봉인상 문의 사항관련 피드백 조사.exe（2017年 年度別昇給に関わるアンケート）
• 2017년 연봉인상 문의 사항관련 피드백 전달.exe（2017年 年度別昇給に関するフィードバック）
• [사업]roykim’s_resumeexe
• [Project W]Gravity business cooperation.exe

マルウェアのデリバリーとインストール

UBoatRATには数種類存在しているが、Google Driveからダウンロードされる事を確認している。(中にはリンク切れになってしまっているものも存在する。)

(Google Driveからのダウンロードメッセージ。Palo Alto Networksより引用。)

Google Driveに保存された.zipファイルには、Microsoft Office Excelのスプレッドシートファイルを装った、.exeファイルが含まれている。

ちなみに7月以降に発見された最新のUBoatRATの亜種は、Microsoft Office Wordのワードファイルを装っているようだ。

(MSオフィスのファイルを装うUBoatRAT。Palo Alto Networksより引用。)

上記のファイルを実行すると、UBoatRATは感染端末上で2点チェックする

• VMWare、VirtualBox、QEmu等の仮想環境であるかどうか
• ネットワーク設定からDomain Nameを取得

この2点についてチェックした際の結果によって表示されるメッセージが変わる。

感染端末=仮想環境 OR Domain Name取得失敗のケース

もしUBoatRATが仮想環境を検知したり、ドメインネームの取得に失敗した場合、以下のエラーメッセージを表示する。

(エラーメッセージ。Palo Alto Networksより引用。)

感染端末≠仮想環境 AND Domain Name取得成功のケース

UBoatRATは、自身をC:\programdata\svchost.exeとしてコピーし、C:\programdata\init.batを作成し、実行する。そして以下のメッセージを表示する。

(インストール完了後に表示されるメッセージ。Palo Alto Networksより引用。)

BTISによるパーシステンス

UBoatRATは、Microsoft Windows Background Intelligent Transfer Service(BITS)を使って端末内に寄生する。

BITSとは、異なる端末間でファイル転送を可能にするサービスである。BITSを使用しているプログラムで一番有名なのはWindows Updateであろう。

BITSのジョブを作成したり、監視する為にはコマンドラインツールのBitsadmin.exeを使用する。

Bitsadmin.exeには”/SetNotifyCmdLine”というオプションがある。このオプションは、作成されたジョブがデータの転送を完了(又は、エラーを返)した場合に、プログラムを実行する。

UBoatRATは、”/SetNotifyCmdLine”を利用することで、感染端末の再起動後も端末内に寄生する事ができる。

以下はinit.batの内容である。

bitsadmin /create d1f2g34

bitsadmin /addfile d1f2g34 c:\windows\system32\net.exe %temp%\sys.log

bitsadmin /SetNotifyCmdLine d1f2g34 “c:\programdata\svchost.exe” “”

bitsadmin /Resume d1f2g34

Del %0

二行目で、ローカルの”net.exe”を%temp%.logにコピーするコードが入力される。コピーの完了後は3行目でBITSが/SetNotifyCmdLineUBoatRATを実行する。

BITSのジョブは、マルウェアを端末の再起動後にも関わらず定期的に実行し続ける。

ジョブをキューから取り除く為には、ジョブの”コンプリート”又は”キャンセル”を明示的に命令しなければならない。

Microsoftによれば、ジョブはデフォルトで90日間残るようだ。

C&Cサーバーとの通信とバックドアとしてのコマンド

UBoatRATを操る攻撃者は、C&Cサーバーのアドレスと宛先ポートを、GitHubにポストされたファイルに、以下のURLを使って隠している。

https://raw[.]githubusercontent[.]com/r1ng/news/master/README.md

マルウェアは、上記のURLにアクセスし、BASE64を使って変数“[Rudeltaktik]”と文字”!”をデコードする。

“Rudeltaktik”とは、第二次世界大戦中にドイツ軍が潜水艦を用いた軍略のコード名である。

例えば、以下の変数“Rudeltaktik”は、115.68.49[.]179:80にデコードされる。

[Rudeltaktik]MTE1LjY4LjQ5LjE3OTo4MA==!

UBoatRATは、攻撃者によってカスタマイズされたプロトコルを使ってC&Cサーバーと通信を行う。

マルウェアは、ペイロードの頭に”488”‘488’ (16進数で0x34, 0x38, 0x38)、又はバッファの全体を静的鍵0x88を使ってXORで暗号化する。

(488マーカー。Palo Alto Networksより引用。)

(暗号化された"488"マーカーPalo Alto Networksより引用。)

攻撃者は、488という名前もドイツの潜水艦からとっている可能性があると予測される。

（マルウェアの中に記述されたUBoat_Server。Palo Alto Networksより引用。)

C&Cサーバーとの通信経路を確立した後、マルウェアは攻撃者から以下の実行コードが入力されるのを待機する。

UBoatRATのディベロップメント

Palo Alto Networksによってこの記事が執筆された時点において、14個のUBoatRATのサンプルファイルと、1つのダウンローダーが確認されている。

殆どのUBoatRATは、S&SサーバーのアドレスをGitHub上のファイルから参照する。

ただ、5月に確認された１つサンプルは、香港のブログサービスと感染した日本のWebサーバーをC&Cサーバーとして接続していた。

そのサンプルは、C&Cサーバーとの通信には単純にHTTPプロトコルを使っている。

C&Cサーバーとして使用された香港のブログサービスには、‘elsa_kr’というアカウントが2016年4月から存在しているが、何かしらヒントになるようなコンテンツは存在していない。

(C&Cサーバーとして使用されたブログサービス。Palo Alto Networksより引用。)

UBoatRATの開発者は、2017年6月に新しいバージョンをリリース。

そのバージョンではC&Cサーバーのアドレスを、'elsa999'が所有する'uuu'というレポジトリから取得する。

Palo Alto Networksによってこの記事が執筆された時点において、'uuu'レポジトリは削除されている。

その後は、他のレポジトリ(‘uj’, ‘hhh’, ‘enm’)に変更されており、この3つ全てのレポジトリが、エンコードされたIPアドレスとポート番号のコンビネーションを所持している。

GitHubのファイルの更新履歴を見ると、UBoatRATの開発者は7月以降、頻繁にマルウェアを更新している事がわかる。

Palo Alto Networksの調査によれば、先述した3つのレポジトリはテスト用である事が推測されるようだ。

テスト用と推測した理由は以下の3つ。

• 3つのレポジトリは‘[Rudeltaktik]’ではなく、’###NEWS###’を使っている
• エンコードされたグローバルIPアドレスが、UBoatRATのサンプルと異なる
• UBoatRATの開発者はがエンコードしたアドレスをlocakhost(127.0.0.1)に短期的に変更する時がある

(GitHub上のアカウント。Palo Alto Networksより引用。)

'elsa999'を名乗るユーザーは、以下の3つのPowerShellスクリプトをレポジトリに保管している。

• gpp_autologon.ps1
• gpp_pwd.ps1
• wmi_scan.ps1

これらのスクリプトは、ペネトレーション・テスト目的で他の開発者によって書かれたものである。

結論

最新バージョンのUBoatRATは9月にリリースされたものの、GitHubアカウント”elsa999”では、10月に複数回更新された事が確認されている。

その事から、マルウェアの開発者は、UBoatRATの開発を継続しており、テストを行っている事が予想される。

IOC

UBoatRAT SHA256

bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271 6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7 7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1 04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b 42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac 7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7 460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5 55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7 9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82 e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494 eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e 452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875 66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5

ダウンローダー SHA256

f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3

Web Access

• https://raw.githubusercontent[.]com/r1ng/news/master/README.md
• https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md
• http://www.ak(masked)[.]jp/images/ http://elsakrblog.blogspot[.]hk/2017/03/test.html

C&C

• 115.68.49[.]179:80
• 115.68.49[.]179:443
• 60.248.190[.]36:443
• 115.68.52[.]66:443
• 115.68.49[.]180:443
• 122.147.187[.]173:443
• 124.150.140[.]131:443

File

• C:\programdata\init.bat
• C:\programdata\svchost.exe

Notice of Data Breach | The Imgur Blog

Imgurがハッキング被害に

イメージ共有サイトで知られるImgurが、ハッキング被害に遭った。

オーストラリアのセキュリティ研究者、Troy Hunt氏の報告によって、Imgurは自社のサーバーがハッキング被害に遭ったことを知った。

Imgurは、世界最大規模のウェブサイトで、月間1億5千万アクティブユーザーを抱える巨大なWebサービスである。

2014年にも情報漏えいが発生したが、その時も1億3千万程の月間ユーザーのメールアドレスとパスワードが漏洩した事が明らかになっている。

迅速な対応と情報公開

Imgurは直ちにしかるべき行動を取り、プレスリリースにまで踏み切った。

今回のインシデントをImgurに報告したTroy Hunt氏は、Imgurの行動の早さについて、以下のようにコメントしている。

I want to recognise @imgur's exemplary handling of this: that's 25 hours and 10 mins from my initial email to a press address to them mobilising people over Thanksgiving, assessing the data, beginning password resets and making a public disclosure. Kudos! https://t.co/jV8MDscXLT

— Troy Hunt (@troyhunt) November 25, 2017

以下に、上記ツイートの翻訳を掲載する。

Imgurのインシデントに対する模範的な対応について賞賛したい。Thanksgiving休暇の真っ只中だったのにも関わらず、私のメールによる一報から、たった25時間10分でデータ分析、パスワードリセット、プレスリリースまで終えてしまったのだ。ーーTroy Hunt氏のTwitterの翻訳

先週記事にも書いたUberのインシデント対応の酷さが露呈した事もあってか、今回のImgurのインシデント対応の手際の良さは特に際立った。

漏洩はメールアドレスとパスワードのみ

Imgurのインシデントでは、ImgurというサービスがEメールアドレスとパスワードしかユーザーに求めていない為、漏洩した情報もEメールアドレスとパスワードに留まると言う。

ハッキングが行われた際、Imgurのユーザーアカウント用のパスワードはSHA-256でハッシュ化されてサーバーに保存されていたようだ。

例えば、MD5DDecryptのようなサービスを使えば、同サービスのデーターベースに登録されている値をマッチングした場合において、SHA-256のハッシュ値を平文パスワードに複合することが出来る。

今回インシデントが明らかになった後は、ImgurはSHA-256よりもより安全な暗号化アルゴリズムを使用し始めたと公表している。

Imgurは、同サービスのユーザーに対して情報漏えいについてアナウンスするメールを送信しており、ユーザーに対してパスワード変更を求めている。また、同社のインシデントに関する調査も継続中だ。

（※追記 ed3159さんからご指摘を頂き、被害に遭ったユーザー件数の修正をさせて頂きました。間違った情報を掲載してしまい、大変失礼致しました。）

世界中に拡散して各所にDDoS攻撃の被害をもたらしたMiraiボットネットだが、最近になってPoCが公開され、再び拡大が確認されているようだ。

PoCが公開されたのは2017年10月31日で、PoCのエクスプロイトコードを使用したMiraiによるスキャンは、11月22日(水)に確認された。

Miraiのスキャンは、セキュリティ研究者であるLi Fengpei氏によって確認され、Li氏のブログに掲載されている。

Miraiボットネットが再び拡散し始めた主な原因は、無線ルーターのPoCが公開された事である。

そこでこの記事では、

・PoC該当の無線ルーターのPoCに関する説明

から始め、その次に

・最近再び拡散し始めたMiraiについての説明

をしていきたいと思う。

ZyXEL社のPK50001Zルーター対象のPoCが公開

ネットワーク機器を製造するZyXEL社の、PK50001Zというモデルのルーターを対象としたPoCが公開された。

このPoCは、脆弱性(CVE-2016-10401)をエクスプロイトするものだ。

脆弱性(CVE-2016-10401)は、ZyXEL PK5001Zの”su”用パスワードが”zyad5001”とデフォルト設定されており、この脆弱性をエクスプロイトすることで、攻撃者はrootと同等の権限でコードを実行することが出来る。

suパスワードを知っているだけでは、ルーター自体にログインすることが出来ないので意味が無い。

しかしZyXEL社の端末には、

• admin/CentryL1nk　又は
• admin/QwestM0dem

のTelnet認証情報がデフォルト設定されているようだ。

つまり、この認証情報を使用し、su用パスワードをハードコードしたスクリプトを回せば、攻撃者はZyXEL社のPK5001Zにログインすることが出来てしまう。

MiraiのターゲットにPK50001Zが追加された

さて、続いては「最近再び拡散し始めたMiraiボットネットについての説明」に移る。

上記したZyXEL社のPK5001ZのPoCは、Miraiボットネットのスクリプトにも追記されたようだ。

なぜなら、Miraiボットネットはそもそもインターネット上の脆弱なTelnetポートをスキャンするボットネットだったからだ。つまり、ZyXEL社のPK5001ZのPoCと相性が良い。

Li氏は、ポート23番と2323番に対するスキャン件数が急増したことを確認した。

スキャンでは、上記したZyXEL社のPK5001Zの、Telnet認証情報(CentryL1nk、又はQwestM0dem)を使用している事が確認されている。

(時間別にTelnetへのスキャン件数を示したグラフ。Li氏のブログより引用。)

個人でセキュリティ研究者をしているTroy Mursch氏も、自身のツイートでMiraiボットネットがTelnetポートをスキャンしている事を確認した事を報告している。

879 new unique IP addresses were found in the #Mirai-like #botnet on 2017-11-22

Master List and pivot tables have been updated.https://t.co/IWTcqsYcmC

— Bad Packets Report (@bad_packets) November 23, 2017

殆どのMiraiボットネットはアルゼンチンに位置

Li氏、Mursch氏のいずれも、今回のMiraiボットネットのスキャンによって感染した端末はアルゼンチンに位置していると報告している。

Li氏は、11/22時点で、過去60時間でおよそ100,000ものIPアドレスがTelnetポートのスキャンを行なっており、そのうち65,700件のIPアドレスがアルゼンチンのローカルISPである”Telefonica de Argentina”に属するようだ。

今のところ、Miraiのボットは端末が再起動されると取り除かれてしまう。その事から、Miraiボットネットの規模は日によって大きく変化しており、Herderは常にポートのスキャンを行わなければならない。

TelefonicaのユーザーからはMiraiボットネットによる被害レポートなどは上がっていない事から、まだ同サービスのユーザーは知らされていない事が予想されている。

米・AmazonがAmazonKeyというサービスをローンチしてから一ヶ月。

Rhino Security Labsのセキュリティ研究者、Rhino Security Labs氏は既にAmazonKeyのバグをエクスプロイトする方法を発見したようだ。　

この手法を使えば、悪意を持った配達員がAmazonの顧客の家を監視カメラに映らずに出入りすることができるようになる。

Amazon Keyとは何か

AmazonKeyとは、配達員に家のドアのスマートロックCloudCamというスマートセキュリティカメラと、スマホでロック解除可能なドアロックを組みあせて使用する。

以下に、Amazonが公開したAmazon Keyに関する動画があるので見ていただきたい。

www.youtube.com

Amazonは、2017年10月にAmazon Keyをローンチした。

AmazonKeyは従来の監視カメラのように機能する。

家主の不在時に、Amazonによって既に認証された配達員のみ専用のロックが取り付けられたドアから、家のドアを開けて荷物を届けることができるようになる。

その一部始終は全て、AmazonKeyのカメラによって録音されている。

WifiのDeauth攻撃でAmazon Keyをハック

攻撃者は、Amazon Keyに対してWifiネットワーク経由でDeAuth攻撃をすればいい。

Wifi DeAuth攻撃をすることで、攻撃者はターゲット端末をWifiネットワークから接続解除する事ができる。

DeAuth攻撃は古典的な手法であり、攻撃自体を自動化するツールキットも存在する。

家主は配達員を確認する事すらできない

まずはエクスプロイトを発見したセキュリティ研究者のデモ動画を見ていただきたい。

https://www.youtube.com/watch?v=2GSK7cIimFY&feature=youtu.be

デモ動画では以下の手順が示されている。

1. AmazonKeyの認証を受けた配達員が、手持ちのスマホでドアを解錠する
2. 配達員が荷物を置き、ドアの外に出る。
3. 配達員の端末からDeAuthシグナルをAmazonKeyのカメラに送信する
4. 配達員がドアを開けて家に入る。この時、AmazonKeyのカメラはドアが閉められた状態の静止画を映し出している。
5. 配達員がDeAuth攻撃をキャンセルし、監視カメラはドアをロックする。この時、配達員はまだ家の中にいる。

Cloud Camのデザイン的な問題から、ユーザー側にはエラーメッセージが表示されることがなく、数秒前の画像で停止し、バッファリングを示すアイコンが画面に表示される。

Amazonは既に修正に動き出している模様

サービスローンチからプライバシーの問題が懸念されていたAmazon Key。

Rhino Securityの研究者によるエクスプロイト手法の発表があってから、更に多くの人の懸念を煽ることになった。

DeAuth攻撃によってWifi端末がネットワークから外されるのはAmazonKey特有ではなく、Wifi搭載端末全てに当てはまる弱点である。

Amazonは既に、今回の報告を受けて、DeAuth攻撃の対策をソフトウェアアップデートでしようとしている。

まだまだ新しいサービスな為、今後も何かしらバグが出てくるだろう。

利用者が増えればその分バグの修正スピードも早まるので、サービスの質も高まっていくと思う。

このブログでは、何度も脆弱性情報について記事を書いてきた。

例えば、先月はWifiのWPA2ハンドシェイクに関する脆弱性をエクスプロイトするKRACKSに関して記事にまとめた。

過去は、たった1つの脆弱性をエクスプロイトする様なサイバー攻撃が発生していたのだが、最近はそのように”たった1つ”の脆弱性をエクスプロイトするような攻撃は減っている。

その理由は、主に以下の2つが考えられる。

• あるシステムにおけるゼロデイ脆弱性が明るみに出たとしても、ベンダのパッチ当てが迅速に行われている。
• CVE等で脆弱性の情報共有が国境をまたいで盛んに行われるようになった。

以上の状況から、”スクリプトキディ”と呼ばれるアマチュア・ハッカーが攻撃を仕掛けて成功する事例は見なくなったと言えるだろう。

その流れとともに、昨今のサイバー攻撃は、ある国の政府がバックについたサイバー攻撃グループにより、サイバー攻撃の手法が「複雑化」してきている。

そこで、この記事では、先月発生したBadRabbitというランサムウェアが拡散されたランサムウェア・キャンペーンの例を使って、サイバー攻撃が複雑化している事を示していく。

BadRabbitに関してのおさらい

当ブログでも取り上げたが、BadRabbitは、ロシアとウクライナに拠点を置く、およそ200の企業や団体のネットワークにある端末を暗号化する被害を及ぼした。

BadRabbitは、サイバー攻撃集団”ShadowBrokers”がNSAから流出させたマルウェアのコードを使用していており、CVE-2017-0145でCVE登録されているWindowsサーバーに関する脆弱性をエクスプロイトした攻撃だった。

ちなみに、CVE-2017-0145をエクスプロイトすると、攻撃者は感染したWindowsPC間でデータの転送をすることが出来るようになり、遠隔から細工されたコードを実行することが出来る。

BadRabbitによる攻撃が最初に確認された時、BadRabbitによる感染経路はに関しては、主にロシア系マスメディアのウェブサイトだったとされていた。

被害に遭ったウェブサイトから訪問者の端末に、攻撃者が細工した偽のAdobeFlashPlayerがダウンロードされていたのだ。（→ドライブバイダウンロード）

BadRabbitの本当の目的は”標的型メール攻撃”

実は、最近の調査では、先月発生したBadRabbitの本当の目的は、標的型メールだった事が報告されている。

ウクライナ政府直轄のサイバー犯罪を取り締まる法執行機関のマネージャーであるSerhiy Demedyuk氏によれば、BadRabbitの感染が拡大していたのと同時期に、ウクライナ国内で標的型メール攻撃の被害に発生していたというのだ。

Demedyuk氏は、ロイター通信のインタビューで以下のように答えている。

（BadRabbitによる攻撃の最中）私たちは非常に強力な標的型メール攻撃が、金融機関やその他個人情報を取り扱う企業に対して発生しているのを確認した。

Demedyuk氏は、BadRabbitは、ランサムウェアと標的型メール攻撃の”ハイブリッドな”サイバー攻撃だったと結論している。

戦国時代の映画を見ていると煙幕を使用して相手の目をくらませるシーンがあるが、BadRabbitにおいては、ランサムウェア感染拡大が煙幕として機能した。

先月ウクライナで発生したサイバー攻撃は、多くの人の注意をランサムウェアに向けさせて、標的型メール攻撃が本来の目的だったのだ。

サイバー攻撃を重ねて”複雑化” BadRabbitの例をから学べる通り、最近のサイバー攻撃は単体で行われず、複数の攻撃を同時に行って成功確率を高めていると言えるだろう。 セキュリティ企業・ObsidianSecurityのCTOであるBen Johnson氏はこう語っている。

攻撃者の技術がどんどん巧妙になっているのに伴い、サイバー攻撃が発生した時は表層だけを見るのではなく、裏で何が起こっているのか・本当の目的は何かも考えるべきである。

BleepingComputerのMalwareHunterTeamsが、CryptoMixから派生して作成されたランサムウェアを発見した。

このランサムウェアは、感染端末内に保存されているファイルを".0000"という拡張子に変更し、暗号化する。

この記事内では、便宜上このランサムウェアを”0000”と呼ぶことにする。

ランサムノートはCryptoMixとほぼ同じ

今回発見された0000は、CryptoMixで使用されていものと同じ暗号方式であるRSA-1024を使用して、感染端末内のファイルを暗号化するようだ。

CryptoMixでは、

感染端末の所有者に身代金を要求する脅迫文を記した”ランサムノート”のファイル名は、”_HELP_INSTRUCTION.TXT”のままのようだ。

(0000のランサムノート。BleepingComputerより引用。)

しかし、0000のランサムノートに記載されている、攻撃者との連絡用のメールアドレスは変更されているようだ。

• y0000@tuta.io
• y0000@protonmail.com
• y0000z@yandex.com
• y0000s@yandex.com

ファイル名をランダムに変更し".0000"を拡張子に

冒頭でも紹介した通り、このランサムウェアは感染端末のファイルの拡張子を.0000に変更する。

ファイル名は、ランダムな文字列に変更されるようだ。

Bleeping Computerが行なったテストでは、以下のような文字列に変更されたという。

・0D0A516824060636C21EC8BC280FEA12.0000

(0000によって暗号化されたファイルを含むフォルダ。BleepingComputerより引用。)

また、0000は11個のRSA-1024公開鍵で感染端末のファイルを暗号化する。

このRSA-1024公開鍵の目的は、既にAES暗号鍵で暗号化したファイルをさらに暗号化する為のようだ。

ちなみに、0000に含まれる11個のRSA公開鍵を使用するこの手法は、同じCryptoMixから派生した亜種であるXZZXランサムウェアと同じと言われている。

今年の夏、ダークウェブ上にある闇取引サイト、AlphaBay, Hansa, RAMPがアメリカ、オランダ、ロシアの法執行機関に摘発された事は記憶に新しい。

以上のダークウェブ・ポータルは、経験の積んだプログラマによって作り込まれていたので、ベンダはクリックのみで違法商品を出品できた。

AlphaBay等のダークウェブ・ポータルが閉鎖した事で、それまでポータルを使っていたベンダは、Dream Market、Valhalla、Wall Street Market等のポータルに流れたようだ。

他にも、TelegramやXMPP等のオンライン・メッセージング・プラットフォームに流れたベンダもいる。

実は、他サイトに流れず、メッセージアプリも使わずに自前で販売サイトを開設したベンダもいるのだ。

しかしその多くのベンダが作成したサイトには設定ミスが存在するケースが後を絶たず、サーバーのIPアドレスが漏れてしまっている事も多い。

サーバーのIPアドレス情報が知られてしまうのは、致命的である。

なぜなら、ダークウェブ上では、サーバーのIPアドレス等、本人特定に繋がる情報が漏れてしまっている事は、法執行機関による摘発を意味するからだ。

言い換えると、警察はサーバーを押収し、サーバー所有者の情報を調べ、更にはサイトの顧客情報までも収集する事が出来るのだ。

ダークウェブ調査を得意とする日本人セキュリティ研究者

過去二ヶ月以上の間、とある一人のセキュリティ研究者によって、ダークウェブ上で非常に効果的な調査が行われている。

その研究者のオンライン上のハンドルネームは”$h1ttyKids”(@Sh1ttyKids)という。

彼は、自身のブログで、違法で大麻販売を行うVendor Shop(売人が持つ専用の販売サイト)、ElHerbolarioに関する調査を報告した。

詳細は@Sh1ttyKids氏のブログに書いてあるので省くが、彼はElHerbolarioをホストするサーバーに関連する2つのオランダのIPアドレスを突き止めた。

IPアドレス

• 188.209.52.177
• 185.61.138.73

彼は、これらのIPアドレスはBlazingFastというサーバーホスティングサービスのサーバーのものである事を発見。

BlazingFastは、ウクライナの匿名化を売りにしているサーバーホスティングサービスで、サイバー犯罪者を守る”防弾サーバー”として使われる事が多いようだ。

$h1ttyKids氏が公開した情報を使えば、オランダの法執行機関はサーバーを押収する事ができるようになる。

10月にはイタリアのダークウェブサイトの調査も

実は、$h1ttyKids氏は、10月下旬にはイタリア系のダークウェブ上のコミュニティ”Italian Darknet Community(IDC)”の調査も行なっており、IPアドレス(176.123.10.203)漏洩を確認したようだ。

その件に関しては、既にイタリアの法執行機関と連携がとれたようで、既に適切な方法で報告がなされたようだ。

以下、$h1ttyKids氏のブログ記事から引用する。

前回IDC2.0について書きましたが、私のTwitterのフォロワーを通じてイタリアの法執行機関の方を紹介してもらい適切に情報を提出することができました。今後も管理者について一緒に追いかけていくつもりです。今回の件に関しても法執行機関に提出をしていきたいと思います。

個人でもセキュリティ調査は充分に可能

@Sh1ttyKids氏は、本件に関する情報をブログで公開した上で、記事の最後に以下のように書いている。

近年Tor上に違法なサイトを構築している人が多くなってきていますが、セキュリティに関していえばそこまで頑丈と言うことではないことが前回と今回の記事でわかるかと思います。あまり技術を持っていない人でも簡単に見つけられるのでみなさんにもやってみてほしいです。このような手法は法律に一切触れることなく扱うことができるのでもっと認知してもらえれば嬉しい限りです。(どこかでハンズオンができればやりたいですね)

@Sh1ttyKids氏のブログで、ダークウェブにあるサイトのIPアドレス情報を見つける手順も詳細に記入されているので、関心のある人は是非同じように調査してみて欲しい。

また、セキュリティ研修で有名なSANSのポッドキャストでも、本件について触れられている。

SANS ISC (4:40あたり)

https://isc.sans.edu/podcast.html