US-CERTが北朝鮮HIDDEN COBRAのマルウェア”FALLCHILL”に関する注意喚起(TA17-318A)を発表。(前編)
US-CERTは、現地時間11月14日、北朝鮮のサイバー犯罪集団に関する注意喚起を発表。
US-CERTとは、United States Computer Emergency Readinessの略で、米コンピューター緊急対策チームという意味だ。
発表された注意喚起は、以下の2つ。
これら声明は、米国土安全保障省(DHS)と米連邦捜査局(FBI)が協力してアメリカ政府と行なってきた調査データを元に作成される。
”HIDDEN COBRA”に続く注意喚起
実は、今年の夏にもUS-CERTは、北朝鮮のサイバー犯罪集団の活動に「HIDDEN COBRA」と称して注意喚起(TA17-164A)を発表していたようだ。
北朝鮮のサイバー犯罪集団は、「Lazarus Group(ラザルスグループ)」という名前があるのだが、HIDDEN COBRAと同義である。
言い換えると、アメリカ政府が「Lazarus Group」がサイバー空間における隠密行動に対して、コブラ(毒蛇)が獲物をコソコソ狙う様子に喩えて、HIDDEN COBRAと呼んでいる。
簡単に言えば、ニックネームのようなものだ。
これまでHIDDEN COBRAは、アメリカだけでなく、世界各国に対してサイバー攻撃を仕掛けてきた。
主にターゲットとされたのは、メディア、宇宙・航空、金融業界や、発電所等の社会インフラに関するシステムだったようだ。
HIDDEN COBRAに関しては、江添佳代子さんの以下の記事にわかりやすく説明されているので参照して頂きたい。
2種類の注意喚起を発表
さて、冒頭にも書いたとおり、US-CERTはTA17-318AとTA17-318Bの2種類の注意喚起を発表した。
それぞれ以下のように、北朝鮮のサイバー犯罪集団が使用したマルウェアについて詳細に記載されている。
- TA17-318A: FALLCHILLに関する説明
- TA17-318B: Volgmerに関する説明
そこで今回の記事では、”前編”として、「TA17-318A」で報告されている内容に関して説明することにする。
(TA17-318Bに関しては、明日の記事に”後編”としてまとめる。)
TA17-318Aの概要
TA17-318Aは、HIDDEN COBRAが使用したマルウェア・「FALLCHILL」に関するIOC、関連IPアドレス、マルウェアの説明、シグネチャに関する記述がされている。
また、TA17-318Aには、FALLCHILLへの対策方法や、インシデントのレポート方法も記述してある。
もし万が一、FALLCHILLの被害に遭った場合、直ちにDHSかFBI Cyber Watch(CyWatch)に報告してほしい旨が書かれている。
TA17-318Aの概要欄には、IOC、並びにマルウェア分析レポート(MAR)に関する文書が記載されているので、興味のある人は参照するといいだろう。
直リンクを貼るのはセキュリティ的に問題があるので、ダウンロードリンクのある場所を、実際のページのスクリーンショット画像として示しておく。
(TA17-318Aの”Overview”配下にIOCのリンクがある。)
FALLCHILLについての説明
調査によれば、Hidde CobraはFALLCHILLを2016年から使用していたとされる。
FALLCHILLのターゲットは、主に以下の業界。
- 航空宇宙
- テレコミュニケーション
- 金融業界
FALLCHILは、RAT(Remote Access Trojan)で、攻撃者はC&Cサーバーからターゲット端末に潜伏させたFALLCHILLに対してコマンド命令を送信できる。
HIDDEN COBRAは、Dropper(詳細は不明)を使ったり、細工の施されたサイトをターゲットに訪問させる等して、FALLCHILLを端末に感染させるようだ。
以上の事から、ターゲット端末にはFALLCHILLの他にもHIDDEN COBRAによって作成されたマルウェアが潜伏している可能性があるという。
Technical Details
間には2層からなるProxyマルウェア
HIDDEN COBRAは、FALLCHILLに対してコマンドを送る際、2段階のProxyマルウェアを噛ませている。
US-CERTに以下の画像が掲載されている。
(HIDDEN COBRAのコミュニケーション・フロー。TA17-318Aのページから引用。)
攻撃者とターゲットの間に2段階のProxyマルウェアを噛ませているのは「ターゲット端末から送信される通信の送信元を特定しづらくする目的」である事が予想される。
通信をフェイクTLS暗号処理
また、FALLCHILLは、偽の証明書を用意し、RC4形式で暗号化したTLS通信行っているようだ。
RC4暗号化に使用されているキーは、以下。
・[0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]
ちなみに、RC4暗号方式に関する脆弱性は報告されており、既にTLSプロトコル全てのバージョンで使用禁止されている。
参考: Transport Layer Security(Wikipedia)
FALLCHILLの収集する情報
FALLCHILLは、ターゲット端末に関する以下の情報を収集、C&Cサーバーに送信する。
FALLCHILLに実装された機能
FALLCHILLには、以下のような機能が実装されている。
- 感染端末にマウントされた全てのディスク情報(ディスクの種類、空き容量等)の取得
- プロセス・スレッドの作成、開始、終了
- ファイルの検索、読み込み(read)、書き込み(write)、移動(move)、実行(execution)
- ファイル、又はディレクトリのタイムスタンプの取得
- プロセス、又はファイルのカレントディレクトリの変更
- 感染端末内のマルウェア、及び関連ファイルの削除
検知とレスポンス
TA17-318Aに記載されているIOCには、HIDDEN COBRAを検知する為に必要な情報を記載している。
DHSとFBIは、ネットワーク管理者は、IOCを参照し、そこに記載されているIPアドレスが自身の管理するIPアドレスに該当するかどうかチェックすることをお薦めしている。
ネットワークシグネチャとHost-Basedルール
TA17-318Aには、ネットワークシグネチャも記載されている。
ネットワークシグネチャを使うにあたって、誤検知アラート(False Positive)が上がる可能性は拭いきれないので、「あくまで参考として使用してもらいたい」と述べている。
ネットワークシグネチャ
※最大限注意を払ってコピペして掲載しているが、誤記入している可能性もあるので、念のためシグネチャは元ページから参照頂きたい。
以下は参考としてコピペしたものを掲載しておく。
alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)
alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)
alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)
alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|"; pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)
YARA Rule
rule rc4_stack_key_fallchill
{
meta:
description = "rc4_stack_key"
strings:
$stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}
rule success_fail_codes_fallchill
{
meta:
description = "success_fail_codes"
strings:
$s0 = { 68 7a 34 12 00 }
$s1 = { ba 7a 34 12 00 }
$f0 = { 68 5c 34 12 00 }
$f1 = { ba 5c 34 12 00 }
condition:
(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}
対策方法
- アプリケーションのホワイトリストを設定し、組織で認証されていないアプリケーションによって通信が行われるのを防ぐ
- OSとソフトウェアを最新の状態にアップデートする
- アンチウイルスソフトと定義データベースを最新の状態にアップデートする
- 組織内のユーザーのアクセスコントロールを行い、アプリケーションのインストール制限を行う。
- Eメールに添付されていた文書のマクロの実行を制限する
- Eメールに書かれている行き先不明のリンクを踏まない
FALLCHILLによる感染被害を確認した場合
直ちにDHSかFBIオフィスに連絡する事。
- DHS NCCIC(NCCICCustomerService[at]hq.dhs.gov)又は+1-888-282-0870
- FBI’s Cyber Division(CyWatch[at]fbi.gov)又は+1-855-292-3937