エチオピア政府が反政府組織を監視するもC2設定ミスで全ターゲット露出。Cyberbitの合法スパイウェアを使用。
エチオピアと言えば、国民全員がIDカードを所有していたり、今後は暗号通貨を国の貨幣として導入する予定があるなど、技術革新の進んだ国として有名である。
しかしエチオピア政府のプライバシーの取扱に関して、疑問が投げかけられている。
エチオピアが反政府組織・個人を監視
実はエチオピア政府は、スパイウェアを使って反政府組織・個人を監視しているのだ。
監視だけでも信じがたいことだが、更にスパイウェアと通信を行うC&Cサーバーに設定ミスがあった。
その結果、エチオピア政府が監視下に置く全ターゲットのリストが、第三者がアクセスすれば見れる状態になっている事が明らかになった。
エチオピア政府が使用しているものは、イスラエルのセキュリティ企業から入手したものだという。
同政府による監視は、去年から開始されていた。
被害者は、標的型メールに記載されたウェブサイトへのリンクを辿ると、Adobe Flash Playerのアップデート、又はAdobe PdfWriterというプログラムのダウンロードを命じられる。
ターゲットがそれらのプログラムをダウンロードすると、スパイウェアとしてC&Cサーバーの監視下に置かれるという仕組みだ。
エチオピア政府が犯した”決定的なミス”
どうやらエチオピア政府が行なった標的型メール攻撃自体が成功しておらず、ターゲットとされた人達の中には疑問を持った人達もいた。
疑問に思った彼らの中には「Ctizens Lab」という、政治的動機で行われる監視キャンペーンを専門に調査・追跡を行う組織に標的型メールを転送した人もいる。
エチオピア政府は、その時点で”監視キャンペーン”を取りやめるべきだった。
だがその代わりに、Citizens Labの研究者に対しても標的型メールを送信してしまったのだ。そこでCitizens Labは、更に標的型メールに関して深く調査を行なった。
標的型メールに記載されたリンクを辿ったウェブサイトでダウンロード出来る、2つのプログラム(Adobe Flash Playerのアップデート、又はAdobe PdfWriterというプログラム)が、C&Cサーバーと通信している事を発見。
更に該当のC&Cサーバーが、Webフォルダを公開した状態という事も明らかになった。
そのWebフォルダを開けると、Ctizens Labは標的型メールの送り主のターゲット、IPアドレスのリストが保存されていたのだ。
”攻撃者”は国内・外問わずターゲットを追跡・監視
Citizens Labが突き止めたリストには、ジャーナリスト、政治活動家や、現行のオロミア政権に反対する反政府組織だけでなく、隣接する国であるエリトリアの政府職員等の名前が記載されていたようだ。
以下は、エチオピア政府がターゲットとした人達(又は組織)が存在する国を示した地図である。
(ターゲットの居住国マップ。日本もターゲット先として指定されていたようだ。画像はCitizens Labより引用。)
イスラエル系企業から販売”合法的な技術”として販売されたスパイウェア
またCitizens Labの調査によると、エチオピア政府が監視に使用しているスパイウェアは、Windowsシステム向けに作成されたPC Surveillance System (以下、PSS)というプログラムのようだ。
PSSは、イスラエル系サイバーセキュリティ企業のElbit Systemsの子会社、Cyberbitによって作成・販売が行われている。
Cyberbitは、PSSを世界各国のインテリジェンス組織や、法執行機関等に対して「合法的なソフトウェア」としてマーケティングを行っている。
これまでに、反政府組織を間接的に支援する形でソフトウェア開発を行なってきたセキュリティ企業には、
- Hacking Team(製品;Remote Control Systems)
- Gamma Group(製品:FinSpy)
- NSO Group(製品は複数にわたる)
の3社が代表的とされていた。
Cyberbitは今回の一件で広く名が知れ渡り、上記の三社同様に他国のインテリジェンス・法執行機関に対してサービス提供を行なっていく事が予想される。
WDのNASをターゲットに拡散する”SambaCry”ランサムウェア。
”SambaCry”というランサムウェアが発見された。
サイバーセキュリティに関するトピックを扱うメディアのBleeping Computerが管理するフォーラムで報告された。
同フォーラムでは、ユーザーがSambaCryptランサムウェアに関するスレッドが作成され、情報共有を行っている。
SambaCryptの概要
SambaCryptのターゲットとする端末は、WesternDigital等が製造したNASデバイスである。
SambaCryptは、一般的なランサムウェア同様に、感染端末のデータを暗号化し、ランサムノートを残して被害者に0.4BTCから2BTC(50万〜120万程度:執筆時点)の身代金を請求する。
また被害に遭ったユーザーの報告によれば、NAS端末上の各シェアフォルダに、以下の2つのファイルが保存されているようだ。
コンピュータがNAS上の感染フォルダをクリックするとAutorun.infが参照され、”美女与野兽.exe"の感染を拡大していく仕組みとなっているようだ。
SambaCry脆弱性をエクスプロイト
このランサムウェアが、”SambaCrypt”という名前を持つ理由は、脆弱性の”SambaCry”をエクスプロイトするからだ。
SambaCryは、Linuxの既知脆弱性(CVE-2017-7494)である。
攻撃者は、SambaCryをエクスプロイトする事で、Shellを起動し、ファイルのダウンロード、遠隔からシェルコマンドの実行をする事ができる。
エクスプロイト手法は、過去にSambaCryをエクスプロイトしてNASに暗号通貨をマイニングするバックドアが仕込まれた時に使用された手法と同じのようだ。
参考URL(外部リンク)
感染方法
まず攻撃者は、SambaCryをエクスプロイトして、”StorageCrypt”というランサムウェアをコンピュータにダウンロードする。
Sambaがエクスプロイトされる際には、以下のコマンドが実行される。
(Sambaがエクスプロイトされる時に実行されるコマンド。BleepingComputerより引用。)
最終的に、StorageCryptがNAS上にインストールされると、NAS上の全てのファイルが暗号化される。
暗号化されたファイルは、ファイル名が変更され、拡張子は”.locked”になる。
このランサムウェアは、”_READ_ME_FOR_DECRYPT.txt”というランサムノートを残す。
ランサムノートには、攻撃者の用意したメールアドレスにコンタクトする旨と、身代金を請求する指示が書かれている。
(ランサムノートの画像。BleepingComputerより引用。)
更に、前述したとおり、感染している最中にAutorun.infと美女与野兽.exeをNAS上の各フォルダに追加する。
その目的は、(まだ感染していない)他の端末が、該当のNASにアクセスした際にランサムウェアに感染させる為である。
攻撃者が用意したビットコインアドレスには、1BTCを受け取った記録が残されている。
この記録が、ランサムウェアの被害者によって支払われたものかどうかは不明だ。
感染防止方法
月並みな方法ではあるが、NASをインターネットに直接接続しないことだ。
NASをファイアウォール内に設置し、NASとの通信に於いてはVPNで通信を行う事で、SambaCryptの感染を防ぐことが出来る。
IOC
Hashes
美女与野兽.exe - 90024e7ce704b9a186964cf05bce65fa4b620fff5461036532cafd94db4ae050
3exfglYZ.so - 7ce136262994ca82b1123cde62caf69e42281eb258d641205ba59b55f5558684
sambacry - ef7ee620ce09cd8edca81dc7866fbe87405c4a8ac88f985ac350269d8d081073
ランサムノート
Warning
Your documents,photos,databases,important files have been encrypted by RSA-4096 and AES-256!
If you modify any file, it may cause make you cannot decrypt!!!
Don't waste your precious time to try decrypt the files.
If there is no key that we provide to you , NO ONE can decrypt your precious files, even Jesus.
How to decrypt your files ?
You have to pay for decryption in bitcoin
To decrypt your files,please following the steps below
1,Pay 2.0 bitcoin to this address: [bitcoin_address]
Pay To : [bitcoin_address]
Amount : 2.0
2,After you have finished paying,Contact us and Send us your Decrypt-ID via email
3,Once we have confimed your deal,You can use the tool we sent to you to decrypt all your files.
How to obtain bitcoin ?
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
https://localbitcoins.com/buy_bitcoins
https://paxful.com/buy-bitcoin
If you have any questions please do not hesitate to contact us
Contact Email : JeanRenoAParis@protonmail.com
Decrypt-ID :
攻撃者に関連したEメールアドレス
JeanRenoAParis[at]protonmail.com
URL
hxxp://45.76.102.45/sambacry
ユーザーIDとパスワードを売買できるサイト”Leakbase”が閉鎖。
https://krebsonsecurity.com/2017/12/hacked-password-service-leakbase-goes-dark/
ダークウェブ上のLeakbaseが閉鎖した。
Leakbaseとは、世界中で盗まれた数十億件以上に及ぶIDやパスワード等を販売していたダークウェブ上に存在するオンラインショップである。
Leakbaseを閉鎖に至らせたのは、今年の初旬にHansaというダークウェブのマーケットサイトを閉鎖させたのと同じ「オランダの法執行機関」による捜査の手が入った事が主な原因のようだ。
Leakbaseに現れた”異変”
Leakbase[.]pwは、2016年9月にメンバー募集を開始し、「10億件ものユーザーネームとパスワードを販売するWebサイト」として利用されてきた。
Leakbaseで取り扱われていた認証情報は、linkedin.com, mysapce.com, dropbox.com等の有名なWebサービス向けのものも含まれていたようだ。
KrebsOnSecurityの調査では、最近になって一部のLeakbaseのユーザーから同サイトのサービスに関して不満を聞く機会が増えていたという。
あるユーザーの話では、「”(それまでは普通に提供されていた)認証情報の購入やWebサイトで起きるトラブル等に対応してくれる”質の高いカスタマーサポート”が受けられなくなった”」と漏らしていたようだ。
Leakbaseへのアクセスがリダイレクト
先週末から、Leakbaseにアクセスすると、haveibeenpwned.comにリダイレクトされるようになっていた。
”haveibeenpwned.com”とは、セキュリティ研究者であるTroy Hunt氏が運営する安全なウェブサイトである。
(haveibeenpwned.comのトップページ。)
haveibeenpwned.com上の検索ボックスに、Emaiアドレスやパスワード等の認証情報を入力すると、入力された値が情報漏えいの被害に遭っていないかどうか調べることが出来る。
尚、haveibeenpwned.comは公にされている情報漏えいした認証情報を登録するデータベースを参照している。つまりhaveibeenpwned.comのデータベースには、該当の認証情報は保存されていない。
Leakbaseがサービス停止を公表
Leakbaseの運営者は、2017年4月にハッキング被害に遭ってから変わったようだ。
Leakbaseの新しい運営者は、2017年の7月にオランダの法執行機関によって閉鎖されたダークウェブの違法オンラインサイトで違法薬物の取引を行なっていたとされている(Brian Krebs調べ)。
12月2日、Leakbaseのツイッターアカウントは”サービスを停止する”と公表しており、最新のツイートでは「既に(認証情報を購入する為に)支払ったお金の払い戻しに対応する」旨が記されている。
We understand many of you may have lost some time, so in an effort to offer compensation please email, refund@leakbase.pw
— LeakBase (@LeakbasePW) December 3, 2017
Send your LeakBase username and how much time you had left.
We will have a high influx of emails so be patient, this could take a while
本記事の元になった記事でBrianは、「上記2つのツイートに興味深い点がある」とコメント。
実は、それまでのLeakbaseによって発信されたツイートは「TwitterのWebクライアント」から発信されたツイートだったのに対して、最後の2つのツイートは「Mobile Web(M2)」から発信されたものだからだ。
皮肉にも、前の運営者は管理用のパスワードを、別サービスのパスワードと使い回しをしていた事から、Leakbaseは2017年4月にハッキング被害に遭った。
前の運営者が使い回したパスワードは、x4b[.]netという、DDoS攻撃を防ぐ防弾サーバーを提供するWebサービスに使用されていたもので、防弾サーバーはLeakbaseの為に使用されていたようだ。
2017年4月にLeakbaseがハッキング被害に遭う数日前、x4b[.]netもハッキング被害に遭っていた。
同サイトに平文で保存されていた認証情報がMoney Teamを名乗るハッキング集団によってオンライン上に公開されていたのだ。
認証情報の公開は有罪なのか
そもそも、情報漏えいで公の目に晒された認証情報をネット上で公開してお金を取ることは有罪なのだろうか。
この点に関しては法の専門家によって意見が分かれる所だ。
Brianは今回閉鎖したLeakbaseと同様のサービスを行なっていたLeakedsource(既に閉鎖済)に関して調査した事がある。
その際に、Brianはジョージ・ワシントン大学のサイバーセキュリティにまつわる法律を研究するチーム”Cybersecurity Law Initiative”のディレクター、Orin Kerr氏にインタビューした。
Kerr氏は、「ネット上で漏洩したパスワードを販売する事が有罪なのか」というBrianの問いに対して、
「(それらサービスの)運営者が、(LeakbaseやLeakedsource等のサービスで販売される)漏洩したパスワードが、”犯罪の為に使われるよう運営者が販売した”と検察が認めれば、有罪と見なされるだろう」
とコメントしたという。
また、Kerr氏は
「Computer Fraud and Abuse Act (以下、CFAA)に照らせば、パスワードの売買は犯罪」
とコメント。
具体的に言えば、CFAAの第六条に、「(パスワードの売買は)理解の上で、又は、意図して、コンピューターに認証無しでアクセスを行い、パスワードの売買行為をする事は犯罪である」と明記されている。
Paypalの子会社・TIOネットワークスがハッキング被害。160万件分の顧客データが漏洩か
Paypalは、最近買収したTIOネットワークスのシステムがハッキング被害に遭い、情報漏えいが発生した事を公表。
Paypalによる公表は先週金曜日に行われ、160万件の個人情報が流出した事が明らかになった。
Paypalが2017年7月頃に約2.3億アメリカドルでTIOネットワークスを買収した。
TIOネットワークスの本社はカナダに位置し、主に通信料金や光熱費などの代金の支払いネットワーク網を持つ会社である。
TIOネットワークスのネットワークを使用する支払い請求者の数は10,000を超え、160万人が同社のネットワークを使って通信料金や光熱費を行っている。
PaypalはTIOネットワークスの業務を停止
11月10日、PaypalはTIOネットワークスの支払い業務を停止する事を発表した。
参考リンク(外部URL)
TIO Networks Suspends Operations to Protect Customers
TIOネットワークスの業務停止が発表された際に公開された文書(原文)を引用する。
This suspension of services is a result of PayPal's discovery of security vulnerabilities on the TIO platform and issues with TIO's data security program that do not adhere to PayPal's information security standards.
以上の報告を翻訳すると、
この業務停止は、PaypalがTIOネットワークスにセキュリティ脆弱性が存在する事を発見した事と、TIOネットワークスのデータセキュリティプログラムがPaypalの情報セキュリティ基準を満たしてなかった事が原因である。
既にPaypalは第三者のセキュリティ専門機関に詳細な調査を依頼。
調査の結果では、複数のサーバーに保存されたデータが漏洩した可能性があると報告されている。
実は、データが盗み取られた可能性のあるサーバーの中には、TIOネットワークスを使って支払い請求を行う顧客企業の情報、及びそれら企業に支払いを行う個人の支払い情報が保存されたサーバーも含まれているという。
今回の情報漏えいを引き起こした攻撃者がどのようにTIOネットワークスのシステムに侵入したのかは明らかにされていない。
しかし、PaypalとTIOネットワークスによって公表された情報から判断すると、顧客のクレジットカード情報やSSN(ソーシャルセキュリティナンバー)も漏洩した可能性もある。
Paypalはこのインシデントを受け、TIOネットワークスのユーザーに対して、無償でクレジット情報をモニターする事が出来る権限を付与し、漏洩したクレジットカード番号の悪用を防ぐ為に勤めている。
Miraiボットネット第二波のターゲットは南アメリカ・北アフリカ諸国。
数日前、Miraiボットネットが再び拡大している事が確認された。
今回、TrendMicroが発表した調査によれば、Miraiボットネットはアルゼンチンだけでなく、南アメリカの他の国、更には北アフリカ諸国にも拡大している事が明らかになった。
TrendMicroが収集したデータを元に、感染が確認された国々には、以下が挙げられる。
第二波のターゲットはコロンビア
11月29日の14時から20時まで、それぞれ違う9000ものIPアドレスから、合計371,640もの攻撃が検知された。
数日前にMiraiボットネットが拡大した際にはアルゼンチンがメインターゲットであったが、今回の第二波は、コロンビアがメインターゲットになっている。
(Miraiボットネットが拡大する第一波と第二波をグラフにしたもの。TrendMicroより引用。)
グラフから読み取れるタイムラインを以下に提示する。
| 11月22日16時頃〜25日1時 | 第一波(アルゼンチンをターっゲトにするMiraiボットネット拡大) |
| 11月29日4時頃〜 | 第二波(第一波と異なり、上記した国々に均等に拡大) |
更に、TrendMicroは攻撃の発信元であるIPアドレスも特定した。
以下は、攻撃発信元のIPアドレスの数を示したグラフである。
(攻撃発信元のIPアドレスの数を示したグラフ。TrendMicroより引用。)
第一波においては、発信元とされるIPアドレスの大半はアルゼンチンに所属するIPアドレスであった。
(第二波ではコロンビアに所属するIPアドレスが主だった。TrendMicroより引用。)
また、第二波では、コロンビアやパナマのIPアドレスが発信元とされている。
ボットネット拡大のターゲットになった端末は、
- IPカメラ
- デジタルビデオレコーダー
- ネットワークビデオレコーダー
- インターネットモデム
等のIoTデバイスである。
| アカウント名 | パスワード | 端末 |
| admin | CenturyL1nk | ZyXEL PK5001Z |
| admin | QwestM0dem | ZyXEL PK5001Z |
| root | vizxv | Dahua IPC-HFW4300S |
| root | xc3511 | Xiong Mai Technology IP cam, DVR, NVR |
| Wproot | cat1029 | Tenvis TH692 Outdoor P2P HD Waterproof IP Camera |
第一波と同じ様に、攻撃者はバグが存在するZyXEL社のモデムに対しての攻撃を繰り返しているようだ。
Hallowareランサムウェア。インドの17歳学生のスクリプトキディが作成。
2017年11月30日、”Luc1F3R”を名乗るマルウェアの開発者が、Halloareというランサムウェアを$40で販売し始めた。
(※ちなみに”Luc1F3R”の読み方だが、1を”i”、3を”E”に置き換えて、”Lucifer”となる。したがって「ルシファー」と脳内変換していただきたい。)
現在”Luc1F3R”は、ダークウェブ上のポータルサイトとYoutubeビデオを使ってHallowareの販売を行っている。
(ダークウェブ上のHalloware販売サイト。BleepingComputerより引用。)
Hallowareの販売が行われているサイトをみると、Hallowareは$40で買い切り型のライセンスとなっているようだ。
この”$40”という価格から、以下の3つの可能性が予想できる。
- 非常にお得なオファー
- 中身のない詐欺マルウェア
- 完成度が低い
”Luc1F3R”のサイトを追跡
BleepingComputerは、”Luc1F3R”の作成したHallowareは「中身のない詐欺マルウェア」なのではないかと予想していた。
その後も調査を進めると、”Luc1F3R”がHallowareに関連するファイルを保存しているサイトを見つける事が出来たようだ。
なんとこれらのファイルの中には、ターゲットをマルウェアに感染させる為のコードが書かれたファイルも含まれていたという。
(”Luc1F3R”のものと思われるファイル置き場。BleepingComputerより引用。)
”hmavpncreck.exe”というファイルは、SHA256アルゴリズムが使用されている。
このファイルはNoDistribute scan resultsと一致する。
更に、上記のウェブサイトは”ran.py”というファイルも保存されていた。このファイルは、Hallowareのソースコードではないかとされている。
BleepingComputerは既にこのファイルを取得し、他のセキュリティ研究者へ転送。
万が一、Hallowareに感染した被害者がいた場合は復号化できるように対策をとっているという。
(Hallowareのソースコードも閲覧可能。BleepingComputerより引用。)
Hallowareは非常にシンプルに書かれたランサムウェアでありながら、ちゃんと機能はするようだ。Bleeping Computerのテストでも、ランサムウェアに感染してファイルの暗号化が行われた。
Hallowareは、感染端末上のファイルを、ハードコードされたAES-256アルゴリズムで暗号化する。
暗号化されたファイルは、"(Lucifer)".[拡張子]というファイル名に変換される。例えば、image.jpgなら、"(Lucifer)".jpgのように変換される。
(暗号化されたファイル。BleepingComputerより引用。)
暗号化プロセスが終了すると、Hallowareによってランサムノートがポップアップウィンドウで表示される。
以下にその画像を引用するが、「データは暗号化された。データを取り戻して欲しければ以下のURLにアクセスしろ」という文言と共に、".onion"のURLが貼られている。
(ランサムノートの画像。BleepingComputerより引用。)
このURLは、ダークウェブ上のペイメント用ポータルのものである。
一般的に、ランサムウェアは感染端末にランサムノートをテキストファイル形式で保存するが、Hallowareはテキストファイルを保存しない。
感染端末のファイルはハードコードされたAES-256鍵で暗号化され、更に”Luc1F3R”は暗号化したファイルを遠隔のサーバーに”人質として”保存する事も無い。
つまり万が一感染したとしても、ファイルの復号化は可能であり、データの漏洩の可能性も無いのだ。
冒頭で$40という価格に関して予想できるのは
- 非常にお得なオファー
- 中身のない詐欺マルウェア
- 完成度が低い
の3点と述べたが、
Hallowareは、$40を支払う価値もないような”中身のない詐欺マルウェア”であると言ってよいだろう。
”Luc1F3R”を追跡
Hallowareを作成した"Luc1F3R"は、マルウェアの開発を始めたばかりでスキルも高いとは言えない。
その根拠は、”Luc1F3R”がYouTubeにアップロードしているマルウェアのチュートリアル動画である。
(”Luc1F3R”がYouTubeで公開するチュートリアル。BleepingComputerより引用。)
それら動画の殆どは、非常に基礎的な技術の説明か、洗練されていないマルウェア作成方法に終止している。
また、それら動画には”Luc1F3R”のものと思われるGitHubアカウントへのリンクも掲載されている。
(”Luc1F3R”のGitHubアカウントページ。BleepingComputerより引用。)
ここには”Luc1F3R”の個人情報が掲載されているのだが、彼(又は彼女)は、インド北東地域に住む17歳の学生のようだ。
Hallowareから伺える”ローテク感”と、$40という価格設定から見ても、この情報はあながち間違いではなさそうだ。
IOC
Hashes:
007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c
d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c
c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09
感染ターゲットとなるファイルの拡張子
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd
(この記事は、BleepingComputerの”Halloware Ransomware on Sale on the Dark Web for Only $40”を元に作成された。)
”Dirty COW”(CVE-2016-5195)。お金を盗み取るAndroid脆弱性
今回の記事では、Androidの脆弱性”Dirty Cow”に関して説明していく。
Dirty Cowの概要
LinuxのCopy on Write機能(COW)を使って、Read-Onlyのメモリマッピング情報を書き換えてしまう脆弱性(CVE-2016-5195)。
マルウェアのコードネームは、ZNIU。
Googleは2016年11月にパッチをリリースし、Androidの定期アップデートによってパッチされた脆弱性ではあったが、2017年9月になっても、Dirty Cowの被害に遭うユーザーが急増していた。
被害状況
先月(2017年8月)の段階で、ZNIUの被害は40カ国で確認されており、主に中国とインドのユーザーが被害にあっているという。
更に、アメリカ、日本等の国でもマルウェアの感染が確認されている。
対象のデバイス
エクスプロイトが機能するのは、ARM/X86 64-bitアーキテクチャのAndroid携帯のみとされている。
感染後のマルウェアの挙動
このマルウェアは、主にアダルトビデオ視聴用のアプリに偽装する。
インストールされた後、攻撃者の用意したC&Cサーバと暗号化された通信を始め、新しいバージョンがリリースされたら自動でアップデートを行う。
さらに、ルートキットをダウンロードし、Android携帯にバックドアを仕込む。
どんな被害にあうか
ZNIUは感染した携帯のキャリア情報を収集し、SMSでお金の支払いを行えるサービスを使ってお金をだまし取る。
その為、SMSで支払いを行えるサービスを提供している中国でしかお金を騙し取られる被害に遭う。
中国外でマルウェアをインストールした場合は、バックドアをインストールするのみに留まる。
PoC
PoCは以下のGitHubアカウントで管理されている。
参考URL(外部サイト)"Huge Dirty Cow" POC
脆弱性は未パッチ?
実は、あるセキュリティ研究者から、
「Dirty Cowの脆弱性を完全にパッチ出来ていないのでは無いか?」
という疑問の声が上がっている。
興味のある人は、以下のページを参照していただきたい。
バンキングトロイUrsnifのバージョン3を確認。オーストラリアの金融セクターをターゲットに拡散
バージョンを変えながら、10年以上進化してきたバンキングトロイの”Ursnif”が、最近になって感染が確認されている。
Ursnifについて
このセクションではUrsnifについて簡単に説明する。
Ursnifのバンキングトロイとしての歴史は長く、最初に発見されたのは2007年。
当時は特定のサイバー攻撃集団によって使用されていたマルウェアだったが、2010年にコードが流出した事で数種類の亜種が生み出された。
それらUrsnifのコードをベースにした亜種の例を挙げると、
- Gozi
- Vawtrak
- Neverquest
- GozNym
である。
これらUrsnifの亜種のなかで、最も頻繁に攻撃への利用が確認されたのはUrsnif v2(又の名をGozi v2)である。
特に過去2年間の内、Ursnif v2は活発に見受けられ、北米、ヨーロッパ、日本を拠点におく金融セクターの感染が見受けられている。
以下は、IBM X-Forceによって調査された、2016年〜2017年の間に金融セクターをターゲットにしたバンキングトロイの割合を示すデータである。
表を見てわかる通り、2番目にUrsnifをベースとするGozi系統のバンキングトロイの感染が多いことがわかるだろう。
(金融セクターをターゲットにしたマルウェアの統計データ。※IBM X-Forceのデータを元に作成)
Ursnif v2、そしてUrsnif v3へ
Ursnif v3が確認されたのは2017年の8月である。
マルウェアの開発者は、Ursnifの存在を出来るだけ世間に知られないようにしていた事が伺える。
例えば、テストフェーズの際に、リソースをすぐオフラインにするといった事をしていたようだ。
大まかに言うと、Ursnifのコードは変更されておらず、Ursnif v3になった段階でも大元は変更されていない事が伺える。
しかし変更点がある事も確認されていて、例えばv3では過去のバージョンで呼び出していたAPIを使用していないといった修正も見られる。
また、過去のバージョンでのターゲットが米、ヨーロッパ、日本を拠点におく金融セクターだったのに対して、Ursnif v3ではオーストラリアの金融機関がターゲットになっている。
以上の事から、Ursnifが新たな開発フェーズに達しており、今後も更なる攻撃が確認される事が予測される。
新たに実装されたリダイレクション攻撃
今回感染が確認されたのはUrsnif v3.0であるが、既存バージョンと違った機能が実装されている。
それは「リダイレクション攻撃」である。
リダイレクション攻撃は、被害者を「攻撃者が用意した偽サイト」に呼び寄せる。
マルウェアは銀行の本物のウェブページとのライブコネクションを維持している。
その目的は、URLとデジタル証明書がターゲットのブラウザのアドレスバーに表示するためだ。
この時、攻撃者はターゲットのログイン認証情報、認証コードや他の個人特定に繋がる情報を、Webインジェクションで盗み取る。
2017年11月に公開されたリストによれば、主にオーストラリアの小規模金融機関、又はクレジット情報管理会社をターゲットに感染が拡大しているとされており、それら機関の顧客が被害を受けているという。
Technical Analysis
拡散について
FireEyeのリサーチャーは、2017年の初頭からMicrosoft Sharepointのアカウントが、マルウェアのペイロードをホストしている事を確認した。
(Ursnifを拡散するスパムメール。FireEyeより引用。)
メール内の”REVIEW DOCUMENT”ボタンをクリックすると、以下のマルウェアダウンロードされる。
- ファイル名・・・YourMYOBSupply_Order.zip
- URL・・・hxxps://eacg1-my.sharepoint.com/personal/steve_robson_eaconsultinggroup_com/_layouts/15/download.aspx?docid=
&authkey=
このZIP形式のアーカイブファイルには、JavaScriptで書かれたファイルが含まれており、実行されるとUrsnifのペイロードを端末にダウンロードする。
UrsnifとC&Cサーバーの通信と、Sharepointとの通信のどちらもHTTPSで行われる為、Ursnifの拡散を検知することは難しいとされている。
UrsnifはTLSでコールバック関数を使用
FireEyeのセキュリティ研究チームによれば、Ursnif v3がTLS(Thread Local Storage)コールバックを使用しているようだ。
TLSコールバックとは、Windows端末特有の機能で、TLS(Thread Local Storage) と呼ばれるスレッド毎に固有な記憶領域を利用した場合に、スレッド起動時とスレッド終了時に呼び出されるコールバック関数のを意味する。
詳細なTLSコールバックの説明については以下を参照してもらいたい。
参考URL(外部リンク)
※また、Ursnifがプロセスをインジェクトする際に行うTLSコールバックについては、FireEyeが作成した原文記事を参照いただきたい。
Newly Observed Ursnif Variant Employs Malicious TLS Callback Technique to Achieve Process Injection
IOC
Filename: YourMYOBSupply_Order.zip
MD5: f6ee68d03f3958785fce45a1b4f590b4
SHA256: 772bc1ae314dcea525789bc7dc5b41f2d4358b755ec221d783ca79b5555f22ce
Filename: YourMYOBSupply_Order.js
MD5: c9f18579a269b8c28684b827079be52b
SHA256: 9f7413a57595ffe33ca320df26231d30a521596ef47fb3e3ed54af1a95609132
Filename: download[1].aspx
MD5: 13794d1d8e87c69119237256ef068043
SHA256: e498b56833da8c0170ffba4b8bcd04f85b99f9c892e20712d6c8e3ff711fa66c
UboatRATが東アジア(韓国)をターゲットに拡散
(引用元: Palo Alto Networksの、セキュリティ研究チームUnit 42によるブログ記事。)
エグゼクティブ・サマリ
Palo Alto NetworksのUnit42は、新しく細工されたRAT(Remot Access Trojan)である、UBoatRATを確認した。
UBoatRATは、最初は2017年5月に確認されていたが、その時は単なるバックドアであった。
最初に確認された際は、香港のパブリック・ブログサービスと、日本にある、攻撃者によって侵入されたWebサーバーにバックドアとして寄生していたようだ。
その後、開発者はUBoatRATに機能を追加し6月に再び公開。
以降はUBoatRATの亜種による感染が確認されている。
Palo Alto Networksが、UBoatRATの感染を9月に確認した際には、以下のような特徴を発見した。
- 韓国に関係する企業・団体の人員、又はゲーム業界をターゲットにする
- Google Driveを通してマルウェアを拡散する
- C&SサーバーのアドレスをGitHubから取得する
- パーシステンスを維持する為に、Microsoft Windows Background Intelligent Transfer Service(BITS)を使用する。
ターゲット
現時点で正確なターゲットが分かっていない。
だが、Palo Alto Networksは、ターゲットについて「韓国に関係する企業・団体の人員、又はゲーム業界」と仮説を持っている。
その根拠は、UBoatRAT内で使用されているファイル名である事。
韓国語で書かれたゲームのタイトルや、ゲーム会社の名前、その他ゲームに関連する語句がマルウェア内で使用されている。
以下が、そのファイル名の例である。
- 2017년 연봉인상 문의 사항관련 피드백 조사.exe(2017年 年度別昇給に関わるアンケート)
- 2017년 연봉인상 문의 사항관련 피드백 전달.exe(2017年 年度別昇給に関するフィードバック)
- [사업]roykim’s_resumeexe
- [Project W]Gravity business cooperation.exe
マルウェアのデリバリーとインストール
UBoatRATには数種類存在しているが、Google Driveからダウンロードされる事を確認している。(中にはリンク切れになってしまっているものも存在する。)
(Google Driveからのダウンロードメッセージ。Palo Alto Networksより引用。)
Google Driveに保存された.zipファイルには、Microsoft Office Excelのスプレッドシートファイルを装った、.exeファイルが含まれている。
ちなみに7月以降に発見された最新のUBoatRATの亜種は、Microsoft Office Wordのワードファイルを装っているようだ。
(MSオフィスのファイルを装うUBoatRAT。Palo Alto Networksより引用。)
上記のファイルを実行すると、UBoatRATは感染端末上で2点チェックする
- VMWare、VirtualBox、QEmu等の仮想環境であるかどうか
- ネットワーク設定からDomain Nameを取得
この2点についてチェックした際の結果によって表示されるメッセージが変わる。
感染端末=仮想環境 OR Domain Name取得失敗のケース
もしUBoatRATが仮想環境を検知したり、ドメインネームの取得に失敗した場合、以下のエラーメッセージを表示する。
(エラーメッセージ。Palo Alto Networksより引用。)
感染端末≠仮想環境 AND Domain Name取得成功のケース
UBoatRATは、自身をC:\programdata\svchost.exeとしてコピーし、C:\programdata\init.batを作成し、実行する。そして以下のメッセージを表示する。
(インストール完了後に表示されるメッセージ。Palo Alto Networksより引用。)
BTISによるパーシステンス
UBoatRATは、Microsoft Windows Background Intelligent Transfer Service(BITS)を使って端末内に寄生する。
BITSとは、異なる端末間でファイル転送を可能にするサービスである。BITSを使用しているプログラムで一番有名なのはWindows Updateであろう。
BITSのジョブを作成したり、監視する為にはコマンドラインツールのBitsadmin.exeを使用する。
Bitsadmin.exeには”/SetNotifyCmdLine”というオプションがある。このオプションは、作成されたジョブがデータの転送を完了(又は、エラーを返)した場合に、プログラムを実行する。
UBoatRATは、”/SetNotifyCmdLine”を利用することで、感染端末の再起動後も端末内に寄生する事ができる。
以下はinit.batの内容である。
bitsadmin /create d1f2g34
bitsadmin /addfile d1f2g34 c:\windows\system32\net.exe %temp%\sys.log
bitsadmin /SetNotifyCmdLine d1f2g34 “c:\programdata\svchost.exe” “”
bitsadmin /Resume d1f2g34
Del %0
二行目で、ローカルの”net.exe”を%temp%.logにコピーするコードが入力される。コピーの完了後は3行目でBITSが/SetNotifyCmdLineUBoatRATを実行する。
BITSのジョブは、マルウェアを端末の再起動後にも関わらず定期的に実行し続ける。
ジョブをキューから取り除く為には、ジョブの”コンプリート”又は”キャンセル”を明示的に命令しなければならない。
Microsoftによれば、ジョブはデフォルトで90日間残るようだ。
C&Cサーバーとの通信とバックドアとしてのコマンド
UBoatRATを操る攻撃者は、C&Cサーバーのアドレスと宛先ポートを、GitHubにポストされたファイルに、以下のURLを使って隠している。
https://raw[.]githubusercontent[.]com/r1ng/news/master/README.md
マルウェアは、上記のURLにアクセスし、BASE64を使って変数“[Rudeltaktik]”と文字”!”をデコードする。
“Rudeltaktik”とは、第二次世界大戦中にドイツ軍が潜水艦を用いた軍略のコード名である。
例えば、以下の変数“Rudeltaktik”は、115.68.49[.]179:80にデコードされる。
[Rudeltaktik]MTE1LjY4LjQ5LjE3OTo4MA==!
UBoatRATは、攻撃者によってカスタマイズされたプロトコルを使ってC&Cサーバーと通信を行う。
マルウェアは、ペイロードの頭に”488”‘488’ (16進数で0x34, 0x38, 0x38)、又はバッファの全体を静的鍵0x88を使ってXORで暗号化する。
(488マーカー。Palo Alto Networksより引用。)
(暗号化された"488"マーカーPalo Alto Networksより引用。)
攻撃者は、488という名前もドイツの潜水艦からとっている可能性があると予測される。
(マルウェアの中に記述されたUBoat_Server。Palo Alto Networksより引用。)
C&Cサーバーとの通信経路を確立した後、マルウェアは攻撃者から以下の実行コードが入力されるのを待機する。
| コマンド | 説明 |
| alive | RATがaliveか確認する |
| online | 定期的にC&Cサーバーにパケットを送信する事でRATをaliveに保つ |
| upfile | 感染端末にファイルをアップロードする |
| downfile | 感染端末からファイルをダウンロードする |
| exec | プロセスをUAC Bypass using Eventvwr.exe and Registry Hijackingを使って実行する |
| start | CMDをスタートする |
| curl | 特定されたURLからファイルをダウンロードする |
| pslist | 実行中のプロセスを一覧表示する |
| pskill | 指定されたプロセスを終了する |
UBoatRATのディベロップメント
Palo Alto Networksによってこの記事が執筆された時点において、14個のUBoatRATのサンプルファイルと、1つのダウンローダーが確認されている。
殆どのUBoatRATは、S&SサーバーのアドレスをGitHub上のファイルから参照する。
ただ、5月に確認された1つサンプルは、香港のブログサービスと感染した日本のWebサーバーをC&Cサーバーとして接続していた。
そのサンプルは、C&Cサーバーとの通信には単純にHTTPプロトコルを使っている。
C&Cサーバーとして使用された香港のブログサービスには、‘elsa_kr’というアカウントが2016年4月から存在しているが、何かしらヒントになるようなコンテンツは存在していない。
(C&Cサーバーとして使用されたブログサービス。Palo Alto Networksより引用。)
UBoatRATの開発者は、2017年6月に新しいバージョンをリリース。
そのバージョンではC&Cサーバーのアドレスを、'elsa999'が所有する'uuu'というレポジトリから取得する。
Palo Alto Networksによってこの記事が執筆された時点において、'uuu'レポジトリは削除されている。
その後は、他のレポジトリ(‘uj’, ‘hhh’, ‘enm’)に変更されており、この3つ全てのレポジトリが、エンコードされたIPアドレスとポート番号のコンビネーションを所持している。
GitHubのファイルの更新履歴を見ると、UBoatRATの開発者は7月以降、頻繁にマルウェアを更新している事がわかる。
Palo Alto Networksの調査によれば、先述した3つのレポジトリはテスト用である事が推測されるようだ。
テスト用と推測した理由は以下の3つ。
- 3つのレポジトリは‘[Rudeltaktik]’ではなく、’###NEWS###’を使っている
- エンコードされたグローバルIPアドレスが、UBoatRATのサンプルと異なる
- UBoatRATの開発者はがエンコードしたアドレスをlocakhost(127.0.0.1)に短期的に変更する時がある
(GitHub上のアカウント。Palo Alto Networksより引用。)
'elsa999'を名乗るユーザーは、以下の3つのPowerShellスクリプトをレポジトリに保管している。
- gpp_autologon.ps1
- gpp_pwd.ps1
- wmi_scan.ps1
これらのスクリプトは、ペネトレーション・テスト目的で他の開発者によって書かれたものである。
結論
最新バージョンのUBoatRATは9月にリリースされたものの、GitHubアカウント”elsa999”では、10月に複数回更新された事が確認されている。
その事から、マルウェアの開発者は、UBoatRATの開発を継続しており、テストを行っている事が予想される。
IOC
UBoatRAT SHA256
bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271 6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7 7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1 04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b 42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac 7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7 460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5 55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7 9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82 e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494 eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e 452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875 66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5
ダウンローダー SHA256
f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3
Web Access
- https://raw.githubusercontent[.]com/r1ng/news/master/README.md
- https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md
- http://www.ak(masked)[.]jp/images/ http://elsakrblog.blogspot[.]hk/2017/03/test.html
C&C
- 115.68.49[.]179:80
- 115.68.49[.]179:443
- 60.248.190[.]36:443
- 115.68.52[.]66:443
- 115.68.49[.]180:443
- 122.147.187[.]173:443
- 124.150.140[.]131:443
File
- C:\programdata\init.bat
- C:\programdata\svchost.exe
Reference
アメリカの司法省が中国人ハッカー3人を刑事告訴へ
アメリカの司法省が、中国人ハッカー3人を刑事告訴する告訴状を公開した。
告訴された中国人ハッカーの3人は、
- Wu Yingzhuo
- Dong Hao
- Xia Lei
という名前で、3人はそれぞれ以下の企業に対してハッキングを行なった。
- Wu Yingzhuo…Trimble
- Dong Hao…Siemens
- Xia Lei…Moody's Analytics
3人の被告人の共通点とは
今回アメリカの司法省に告訴された3人には、「Boyusec」という中国系のセキュリティ企業に勤めている共通点がある。
Boyusecの正式名称は、Guangzhou Bo Yu Information Technology Company Limitedである。
3人の内、WuとDongは同企業の創始者かつ株主であり、Xiaは一社員だという。
Boyusecの正体とは
2017年の5月に公表されたレポートによると、Boyusecはサイバースパイ集団のAPT3である事が指摘されている。
APT3とは、中国政府直轄のプロのサイバー攻撃集団で、2011年から活動が確認されている。
APT3の主な活動は以下の2つ。
- 企業から知的財産を盗み取り
- 他国の外交機関の機密情報の盗取
またAPT3には他の呼び名もあり、UPS、Gothic Panda、TG-011と呼ばれる事もある。
参考URL(外部リンク)
- https://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong
- Mainland Chinese hackers attack Hong Kong government departments: Security firm
- Operation Clandestine Wolf – Adobe Flash Zero-Day in APT3 Phishing Campaign
- New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
BoyusecがAPT3と発覚したのは2017年5月
Intrusion Truthが公表した以下の4つのレポートによれば、WuとDongの名前が、APT3によるサイバー攻撃発生元であるサーバーと紐付けられていた。
更なる調査によれば、Boyusecは中国政府の情報セキュリティ省(MSS)によって運営されている、中国情報セキュリティ評価センター(China Information Technology Evaluation Center、以下CNITSEC)のブランチである、(Guangdong Information Technology Security Evaluation Center、以下Guangdong ITSEC)のコントラクターである事が報告されている。
少し複雑なのでまとめると、中国政府とBuyosecの関係は以下。
(中国政府とBuysecは間接的に関係を持っている。BleepingComputerより引用。)
参考URL(外部リンク)
告訴された3人によるハッキングの概要
アメリカの司法省によって刑事告訴された3人の被告の告訴内容を以下にまとめる。
Wuへの告訴状まとめ
被告人: Wu
被害者: Trimble
告訴内容:
2015年から2016年の間、TribmleはGlobal Navigation Satellite Systems(グローバル衛星ナビゲーションシステム)を開発していた。モバイル端末上の位置情報の精度を挙げる目的だ。
このプロジェクトがまだ開発段階だった時に、WuはTribmleのネットワークに侵入し、以下のデータを盗み取ったと言われている。
WuがTrimbleのネットワークに侵入したのは、2015年12月から2016年3月までの間で、その期間256MB程度のデータを盗み取った。
盗み取ったデータの概要は、以下。
- 商業用のデータ
- 商品の技術に関する機密情報
- その他、Trimbleの社外秘情報
これらの情報は、Trimbleのライバル企業の手に渡った場合に、Trimbleのビジネスに深刻な影響を与え、同企業に何百、何千万もの損害をもたらす可能性がある。
Dongへの告訴状まとめ
被告人: Dong
被害者: Trimble
告訴内容:
2014年、DongはSiemensの従業員のIDとパスワードを入手する目的で、Siemensのネットワークに侵入。
2015年、DongのSiemens内通者の協力で、407GB相当のSiemensの社外秘データ(エネルギー、テクノロジー、交通系ビジネス等)を盗み出した。
Xiaへの告訴状まとめ
被告人: Xia
被害者: Moody's Analytics
告訴内容:
2011年頃、Xiaの協力者でありMoody's Analyticsの内通者の助けで、XiaはMoody's Analyticsの内部メールサーバーにアクセスし、同社の重要なポストに就く従業員の受け取るメールを、Xiaの所有するWebメールアカウントに転送するように設定した。
転送されたメールには、同企業が顧客向けに行なったマーケティング資料等、重要な社外秘データが含まれていた。
以前もアメリカ司法省が中国人ハッカーを告訴したことも
アメリカの司法省が、中国人ハッカーを告訴したのは今回が初めてではない。
2014年には、5人の中国軍に所属する兵士らを告訴したこともある。
その際彼らは、以下のアメリカ企業に対してハッキングを行なったとされる。
- Westinghouse
- SolarWorld
- Allegheny Technologies Inc. (ATI)
- USW
- US Steel
- Alcoa
中でも特筆すべきは、US Steelへのハッキングであろう。なぜなら、鉄鋼業はアメリカ経済の下支えする重要な工業であるからだ。
US Steelにハッキングを行なった中国軍兵士は、貿易に関する重要な資料を、中国政府の下請け企業に横領した疑いが持たれている。
このハッキングの後、US Steelは政府に中国から安価で鉄鋼を輸入する事を禁止するように求めたが、しばらくしてUS Steelはその訴えを棄却した。
この一連のハッキングが起きた後、アメリカと中国は、両国間で「知的財産データの盗取、及びサイバー空間での情報窃取を行わない」とする条約を結んだ。
Reference
- https://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong
- Mainland Chinese hackers attack Hong Kong government departments: Security firm
- Operation Clandestine Wolf – Adobe Flash Zero-Day in APT3 Phishing Campaign
- New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
- Who is behind this Chinese espionage group stealing our intellectual property?
- Who is Mr Wu?
- Who is Mr Dong?
- APT3 is Boyusec, a Chinese Intelligence Contractor
Imgurのユーザー170万件分のユーザーメールアドレスとパスワードが漏洩。
Notice of Data Breach | The Imgur Blog
Imgurがハッキング被害に
イメージ共有サイトで知られるImgurが、ハッキング被害に遭った。
オーストラリアのセキュリティ研究者、Troy Hunt氏の報告によって、Imgurは自社のサーバーがハッキング被害に遭ったことを知った。
Imgurは、世界最大規模のウェブサイトで、月間1億5千万アクティブユーザーを抱える巨大なWebサービスである。
2014年にも情報漏えいが発生したが、その時も1億3千万程の月間ユーザーのメールアドレスとパスワードが漏洩した事が明らかになっている。
迅速な対応と情報公開
Imgurは直ちにしかるべき行動を取り、プレスリリースにまで踏み切った。
今回のインシデントをImgurに報告したTroy Hunt氏は、Imgurの行動の早さについて、以下のようにコメントしている。
I want to recognise @imgur's exemplary handling of this: that's 25 hours and 10 mins from my initial email to a press address to them mobilising people over Thanksgiving, assessing the data, beginning password resets and making a public disclosure. Kudos! https://t.co/jV8MDscXLT
— Troy Hunt (@troyhunt) November 25, 2017
以下に、上記ツイートの翻訳を掲載する。
Imgurのインシデントに対する模範的な対応について賞賛したい。Thanksgiving休暇の真っ只中だったのにも関わらず、私のメールによる一報から、たった25時間10分でデータ分析、パスワードリセット、プレスリリースまで終えてしまったのだ。ーーTroy Hunt氏のTwitterの翻訳
先週記事にも書いたUberのインシデント対応の酷さが露呈した事もあってか、今回のImgurのインシデント対応の手際の良さは特に際立った。
漏洩はメールアドレスとパスワードのみ
Imgurのインシデントでは、ImgurというサービスがEメールアドレスとパスワードしかユーザーに求めていない為、漏洩した情報もEメールアドレスとパスワードに留まると言う。
ハッキングが行われた際、Imgurのユーザーアカウント用のパスワードはSHA-256でハッシュ化されてサーバーに保存されていたようだ。
例えば、MD5DDecryptのようなサービスを使えば、同サービスのデーターベースに登録されている値をマッチングした場合において、SHA-256のハッシュ値を平文パスワードに複合することが出来る。
今回インシデントが明らかになった後は、ImgurはSHA-256よりもより安全な暗号化アルゴリズムを使用し始めたと公表している。
Imgurは、同サービスのユーザーに対して情報漏えいについてアナウンスするメールを送信しており、ユーザーに対してパスワード変更を求めている。また、同社のインシデントに関する調査も継続中だ。
(※追記 ed3159さんからご指摘を頂き、被害に遭ったユーザー件数の修正をさせて頂きました。間違った情報を掲載してしまい、大変失礼致しました。)
PlayStoreで増加するAndroid用のスパイアプリ。中にはずさんなデータ管理をするベンダも
AndroidのPlay Storeを見ていると、Spy用途で使用できるアプリで溢れている。
例えば、親が子供をスマホアプリで見張るために、ペアレンタルコントロール機能を搭載したアプリも、実質的にはスパイ用途に分類していいだろう。
それらのアプリをダウンロードするためには、Torブラウザを起動してダークネットにアクセスする必要もなく、単純にGoogleで”アンドロイド スパイ アプリ”とでも検索すればいい。
(Googleの検索結果。)
CNET JAPANが2017年8月に行なった独自の調査によれば、Play Storeには1000件を超えるスパイウェアアプリが存在しているとされている。
参考URL(外部リンク)
また、Kasperskyのセキュリティ研究所が公表した調査によれば、2016年から2017年にかけて、スパイウェアの通信は1.5倍も増えているようだ。
※このデータは、Kaspersky社のアンチウイルスにおける、スパイウェア用の通信を検知するシグネチャに引っかかった通信の数を見ている。シグネチャはMonitor.AndroidOS.*。
そこで、Kaspersky社はスパイウェアに関して詳細に記事にまとめた。(リンクは原文記事のもの)
機能
スパイ用途のマルウェアとして有名なDroidJackやAdwindと違うところがある。
それは、現在Play Storeで出回っているほぼ全てのスパイウェアは、手動でAndroidスマホにインストールされなくてはならない所だろう。
アプリの使用者自身がAndroidスマホにスパイウェアをインストールし、認証情報を入力する。そうしてやっと、スマホ上からはアプリの姿が見えなくなる。
これらスパイアプリの機能は、アプリによって異なるが殆ど全てのアプリには、以下の様な機能が入っている。
以下は、代表的なスパイアプリのリストである。参考として、マルウェアに分類されるスパイウェアのPegasusAPTと、DroidJackもリスト上部に加えられている。
PegasusとDroidJackについて
Pegasusは、Advanced Persistent Threat(以下、APT)である。
またDroidJackは、RATに分類され、一昔前に$210で買い切り出来るサービスとして提供されていたものだ。
DroidJackに関しては、ヨーロッパで既に逮捕者が出た事があるのだが、法を遵守して使用するユーザーにしてみれば、DroidJackは非常に便利と言われている。
開発者であるSanjeevi氏は、「(DroidJack)はペアレンタルコントロール目的のアプリであり、他の目的をした場合はライセンスを剥奪する」とコメントしている。
参考URL(外部リンク)
メッセージアプリからデータ取得も可能
項目「SNSデータ、メッセージの取得」に至っては、リストに示されたスパイアプリの全てに搭載されている。
メッセージアプリの例としては、Facebook, Viber, Skype, WhatsAppといった代表的なメッセージアプリが該当しており、被害者はSNSメッセージアプリ上でやりとりした内容も第三者に知られてしまうのだ。
以下の画像は、OneSpyというスパイアプリのコードである。
各コードの最後にSNSの名前が書いてあるが、有名所はすべて押さえられている。
(OneSpyのコードの一部。SECURELISTより引用。)
ほとんどが”合法”として認知
驚くべきことに、スパイアプリの殆どが”合法”として認定されているようだ。
スパイアプリといえば聞こえが悪くなるが、実質のところは”ペアレンタルコントロールアプリ”として登録されており、”家族、子供、恋人等といった大切な人達の動向を確認する目的で使われる事を想定している”とされている。
中には収集データを誰でもアクセス可能な状態にしたアプリも
Kasperskyのセキュリティ研究者、Alexey Firsh氏は、あるスパイアプリ(名称非公開)のベンダサイトと、C&Cサーバーを調査した。
Firsh氏は、そのスパイアプリが収集したデータが保護もされておらず、誰でもアクセス可能になっていたという事を発見した。
親の立場にたてば、子供の事が心配でペアレンタルコントロールアプリをインストールしたくなるのかもしれない。しかし、これらスパイアプリを使用すると、予想していなかった望まない結果をもたらす可能性がある事を注意すべきだろう。
Miraiボットネットが再び拡大。ZyXEL社のPK50001ZルーターのPoC公開が原因か。
世界中に拡散して各所にDDoS攻撃の被害をもたらしたMiraiボットネットだが、最近になってPoCが公開され、再び拡大が確認されているようだ。
PoCが公開されたのは2017年10月31日で、PoCのエクスプロイトコードを使用したMiraiによるスキャンは、11月22日(水)に確認された。
Miraiのスキャンは、セキュリティ研究者であるLi Fengpei氏によって確認され、Li氏のブログに掲載されている。
Miraiボットネットが再び拡散し始めた主な原因は、無線ルーターのPoCが公開された事である。
そこでこの記事では、
・PoC該当の無線ルーターのPoCに関する説明
から始め、その次に
・最近再び拡散し始めたMiraiについての説明
をしていきたいと思う。
ZyXEL社のPK50001Zルーター対象のPoCが公開
ネットワーク機器を製造するZyXEL社の、PK50001Zというモデルのルーターを対象としたPoCが公開された。
このPoCは、脆弱性(CVE-2016-10401)をエクスプロイトするものだ。
脆弱性(CVE-2016-10401)は、ZyXEL PK5001Zの”su”用パスワードが”zyad5001”とデフォルト設定されており、この脆弱性をエクスプロイトすることで、攻撃者はrootと同等の権限でコードを実行することが出来る。
suパスワードを知っているだけでは、ルーター自体にログインすることが出来ないので意味が無い。
しかしZyXEL社の端末には、
- admin/CentryL1nk 又は
- admin/QwestM0dem
のTelnet認証情報がデフォルト設定されているようだ。
つまり、この認証情報を使用し、su用パスワードをハードコードしたスクリプトを回せば、攻撃者はZyXEL社のPK5001Zにログインすることが出来てしまう。
MiraiのターゲットにPK50001Zが追加された
さて、続いては「最近再び拡散し始めたMiraiボットネットについての説明」に移る。
上記したZyXEL社のPK5001ZのPoCは、Miraiボットネットのスクリプトにも追記されたようだ。
なぜなら、Miraiボットネットはそもそもインターネット上の脆弱なTelnetポートをスキャンするボットネットだったからだ。つまり、ZyXEL社のPK5001ZのPoCと相性が良い。
Li氏は、ポート23番と2323番に対するスキャン件数が急増したことを確認した。
スキャンでは、上記したZyXEL社のPK5001Zの、Telnet認証情報(CentryL1nk、又はQwestM0dem)を使用している事が確認されている。
(時間別にTelnetへのスキャン件数を示したグラフ。Li氏のブログより引用。)
個人でセキュリティ研究者をしているTroy Mursch氏も、自身のツイートでMiraiボットネットがTelnetポートをスキャンしている事を確認した事を報告している。
879 new unique IP addresses were found in the #Mirai-like #botnet on 2017-11-22
— Bad Packets Report (@bad_packets) November 23, 2017
Master List and pivot tables have been updated.https://t.co/IWTcqsYcmC
参照URL(外部リンク)
殆どのMiraiボットネットはアルゼンチンに位置
Li氏、Mursch氏のいずれも、今回のMiraiボットネットのスキャンによって感染した端末はアルゼンチンに位置していると報告している。
Li氏は、11/22時点で、過去60時間でおよそ100,000ものIPアドレスがTelnetポートのスキャンを行なっており、そのうち65,700件のIPアドレスがアルゼンチンのローカルISPである”Telefonica de Argentina”に属するようだ。
今のところ、Miraiのボットは端末が再起動されると取り除かれてしまう。その事から、Miraiボットネットの規模は日によって大きく変化しており、Herderは常にポートのスキャンを行わなければならない。
TelefonicaのユーザーからはMiraiボットネットによる被害レポートなどは上がっていない事から、まだ同サービスのユーザーは知らされていない事が予想されている。
ScarabランサムウェアがNECURSボットネットで拡散。に関するまとめ。
Fセキュアのブログによれば、NECURSというボットネットの利用が最近になって増加していることが確認されている。
そこでこの記事では、NECURSに関する概要をまとめ、その後今年に入ってから報道されているニュースをまとめていきたい。
NECURSに関する概要
まず、このセクションでは、以下の小セクションを作り、NECURSに関する概要をまとめていく。
- NECURSが実行されるとどうなるか
- ユーザーへの影響
NECURSが実行されるとどうなるか
NECURSがPCにダウンロードされ実行されると、以下の動作をする事が確認されている。
さらに1.「PCのアンチウイルスやセキュリティ関連サービスの主要動作に関わるコンポーネントを無効化。」に関しては、感染端末内で以下の事象が発生する可能性がある。
ユーザーへの影響
NECURSに感染すると、感染端末内のセキュリティに関するサービス・コンポーネントが終了させられる事がある。
またNECURSには亜種が存在し、以下の亜種ではそれぞれ違う動作が確認されている。
- 「BKDR_NECURS.BGSH」の場合…感染端末のファイアウォール機能を停止させる。ユーザーは端末の再起動ができなくなる。
- 「RTKT_NECURS.BGSF」の場合…感染端末で動いているセキュリティ系サービス(アンチウイルスやファイアウォール等)やドライバを無効化する。
感染端末内でいずれの動作をした場合において、他のマルウェアに感染したり、攻撃者が感染端末に対して遠隔からコードを実行する事ができるようになる。
NECURSの特徴
NECURSは、攻撃者がメインのマルウェアとして使用するツールではなく、あくまで補助的なマルウェアであるとされている。
前セクションで述べた通り、NECURSを使ってセキュリティに関するサービスやコンポーネントを無効化する事で、攻撃者はメインとなるマルウェアを感染端末にインストールしやすくなるのだ。
つまり、NECURSは攻撃者がサイバー攻撃を仕掛ける際に、マルウェアとしては「盾」のような役割を持つ。
2017年のNECURSニュースまとめ
続いて、このセクションでは、今年に入ってからランサムウェアの拡散用にボットネットとして使われ始めたNECURSに関するニュースをまとめていく。
このセクションには、以下の2つの小セクションを設ける。
- 2017年初頭から中盤までのNECURSの使用が確認されたケース
- 今月(11月)になってから確認されたNECURS使用のケース
2017年に再び確認されたNECURS
攻撃者によるNECURSの利用は、2014年から確認されて以来フェードアウトしていたが、2017年に入ってから再び確認されるようになった。
NECURSは、毎月500万〜600万程のホストをマルウェアに感染させネットワークに参加させる世界最大規模のボットネットに成長した。
今年に入ってからは、以下のケースでNECURSの使用が確認されている。
これらのケースを詳しく知りたい場合は、以下に関連ニュースがあるので参照いただきたい。
参考記事(外部リンク)
新たに確認されたスパムメールキャンペーン
さて、このセクションでは、今回Fセキュアの研究者によって確認されたNECURSを使用した新たなスパムメールキャンペーンに関してまとめていく。
Fセキュア研究所のブログ記事によれば、本日(2017/11/24)の9時(ヘルシンキ時間)、”.vbs”ファイルが”7zip”で圧縮されたファイルが、スパム送信されている事を確認した。
スパムメールは、以下の要件で送信されている。
尚、添付ファイルはDropperとして機能しており、最終ペイロードはScarabランサムウェアのようだ。
Scarabランサムウェアとは、セキュリティ研究者(@demonslay335)氏によって、2017年の6月に初めて確認された新しいランサムウェアである。
#Ransomware Hunt: ext ".scarab", note "IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT" - https://t.co/MiPOyL7Mda
— Michael Gillespie (@demonslay335) June 12, 2017
Scarabランサムウェアは、Hidden Tearという、オープンソースのランサムウェア作成キットを元にして作成された。
感染した端末のデータの拡張子を”.scarab”形式で暗号化することから、Scarabランサムウェアという名前が付けられたと言われている。
尚、Hidden TearはGitHubにソースコードが公開されているので、興味のある人は参照するといいだろう。
参考記事(外部リンク)
バージョンアップを重ねるScarabランサムウェア
また、Scarabランサムウェアが発見された翌月の7月には、Malwarebytesのセキュリティ研究者・Marcelo Rivera氏(@MarceloRivero)によって、Scarabランサムウェアのバージョン2と思われるマルウェアが確認された。
#Scorpio #Ransomware (aka #Scarab) new sample, same rescue note, new ext: [Help-Mails@Ya.Ru].Scorpiohttps://t.co/HQ28Prftse pic.twitter.com/rZ9lyYDfdd
— Marcelo Rivero (@MarceloRivero) July 10, 2017
Rivera氏(@MarceloRivero) が発見したバージョンは感染端末内に保存されたファイルを”.scorpio”という拡張子に変更して暗号化した。その後、”.scarab”拡張子に変更された。
しかし、再びマイナーバージョンアップが行われ、現在は感染端末内にあるファイルの拡張子を".[suupport@protonmail.com].scarab"に変更して暗号化する。
更にScarabランサムウェアは、感染端末(WindowsPC)のシャドウボリュームを削除し、ランサムノートを保存する。
ランサムノートの名称は”"IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"”で、Scarabに感染すると直ちに開かれる。
(自動で開かれるランサムノート。F-SecureLabsのブログから引用。)
身代金合計額を明示しないランサムノート
Scarabランサムウェアのランサムノートに関して変わっている事は、身代金請求額について触れられていない事だ。
そのため被害者は、まず攻撃者の連絡先として示されている
・suupport@protonmail.com
にメールを送らなくてはいけない。
早く連絡すればするほど身代金請求額が低くなるようだ。
この記事の執筆時点(2017/11/24)では、Scarabランサムウェアの暗号化・復号化メソッドは明らかになっていない。
また、Necurs作成者とScarabランサムウェアの拡散者が同一であるかどうかも不明のようだ。
今後Scarabに関して新たな情報が入り次第、当記事に追記していく。
Reference
- PCのセキュリティ機能を狙う「NECURS」とは
- A Case of Too Much Information: Ransomware Code Shared Publicly for “Educational Purposes”, Used Maliciously Anyway
- With a boost from Necurs, Trickbot expands its targeting to numerous U.S. financial institutions
- Necurs Botnet Distributing Locky Ransomware via Fake Invoices
- Necurs Botnet Fuels Jump in Spam Email
AmazonKeyをDeAuth攻撃で停止し配達員が家に侵入。Amazonは既にバグ修正へ
米・AmazonがAmazonKeyというサービスをローンチしてから一ヶ月。
Rhino Security Labsのセキュリティ研究者、Rhino Security Labs氏は既にAmazonKeyのバグをエクスプロイトする方法を発見したようだ。
この手法を使えば、悪意を持った配達員がAmazonの顧客の家を監視カメラに映らずに出入りすることができるようになる。
Amazon Keyとは何か
AmazonKeyとは、配達員に家のドアのスマートロックCloudCamというスマートセキュリティカメラと、スマホでロック解除可能なドアロックを組みあせて使用する。
以下に、Amazonが公開したAmazon Keyに関する動画があるので見ていただきたい。
Amazonは、2017年10月にAmazon Keyをローンチした。
AmazonKeyは従来の監視カメラのように機能する。
家主の不在時に、Amazonによって既に認証された配達員のみ専用のロックが取り付けられたドアから、家のドアを開けて荷物を届けることができるようになる。
その一部始終は全て、AmazonKeyのカメラによって録音されている。
WifiのDeauth攻撃でAmazon Keyをハック
攻撃者は、Amazon Keyに対してWifiネットワーク経由でDeAuth攻撃をすればいい。
Wifi DeAuth攻撃をすることで、攻撃者はターゲット端末をWifiネットワークから接続解除する事ができる。
DeAuth攻撃は古典的な手法であり、攻撃自体を自動化するツールキットも存在する。
家主は配達員を確認する事すらできない
まずはエクスプロイトを発見したセキュリティ研究者のデモ動画を見ていただきたい。
https://www.youtube.com/watch?v=2GSK7cIimFY&feature=youtu.be
デモ動画では以下の手順が示されている。
- AmazonKeyの認証を受けた配達員が、手持ちのスマホでドアを解錠する
- 配達員が荷物を置き、ドアの外に出る。
- 配達員の端末からDeAuthシグナルをAmazonKeyのカメラに送信する
- 配達員がドアを開けて家に入る。この時、AmazonKeyのカメラはドアが閉められた状態の静止画を映し出している。
- 配達員がDeAuth攻撃をキャンセルし、監視カメラはドアをロックする。この時、配達員はまだ家の中にいる。
Cloud Camのデザイン的な問題から、ユーザー側にはエラーメッセージが表示されることがなく、数秒前の画像で停止し、バッファリングを示すアイコンが画面に表示される。
Amazonは既に修正に動き出している模様
サービスローンチからプライバシーの問題が懸念されていたAmazon Key。
Rhino Securityの研究者によるエクスプロイト手法の発表があってから、更に多くの人の懸念を煽ることになった。
DeAuth攻撃によってWifi端末がネットワークから外されるのはAmazonKey特有ではなく、Wifi搭載端末全てに当てはまる弱点である。
Amazonは既に、今回の報告を受けて、DeAuth攻撃の対策をソフトウェアアップデートでしようとしている。
まだまだ新しいサービスな為、今後も何かしらバグが出てくるだろう。
利用者が増えればその分バグの修正スピードも早まるので、サービスの質も高まっていくと思う。
AppleがiPhoneXに搭載したFaceIDの技術を組み合わせれば、顔認証でしかドアを解錠できない仕組みを作れるかもしれませんね。両者とも普及が進んでいないので、これからの動向を見守っていきたいです。
