【日刊】ファイルレス・マルウェアの隠れた脅威、”APT28”、"FancyBear"によるセキュリティ専門家への攻撃、チェコ共和国の選挙時にDDoS攻撃--忙しい人のためのセキュリティニュース(2017/10/23)

f:id:nanashi0x:20171024220714p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

ファイルレス・マルウェアの隠れた脅威

マルウェアの急速な増加は驚異的で、一分間の間に4つ新しい種類が生まれているようだ。

エンドポイントセキュリティ等を開発するセキュリティ企業と、クラッカー達はいたちごっこを繰り返しながら、開発競争を進めている。

そんな中でも、最近話題になっているのが、ファイルを持たない”ファイルレス・マルウェア”だ。

今回紹介している記事では、そんなファイルレス・マルウェアについて解説している。ファイルレス・マルウェアについて、簡単にまとめておきたい。

ファイルレス・マルウェアとは

ファイルレス・マルウェアとは、文字通りファイルを持たないマルウェアのことを意味する。

その性質のために、従来のファイルスキャンを回避する為検知されずにターゲット端末に侵入することが出来る。

現在広く使われているエンドポイントセキュリティは、マルウェアファイルの特徴を記したシグネチャとマッチングさせて脅威を検知しているが、ファイルレス・マルウェアはそもそもスキャンするファイルが存在しないのだ。

以下、ファイルレス・マルウェアがどのような攻撃を行うのか簡単にまとめる。

ファイルレス・マルウェアの侵入・攻撃方法

まず攻撃者は、囮のワードファイル等を用意してターゲットの端末に無害なファイルをダウンロードさせる。

ユーザーがそのドキュメントを開いたり、閉じたりする等の動作をスイッチとしてPowerShellコードを実行させる。この手法は、過去の記事でも紹介した通りである。

他にもRAMやレジストリカーネル等に直接、悪意のあるコードを書き込んでしまうファイルレス・マルウェアも存在する。

PowerShell上で実行するコードに関しては、再起動される事でコードが終了してしまう可能性があるが、RAMやレジストリ等に書き込まれたコードは、再起動される毎に新たにコードに書かれたコマンドが実行される。

実際に銀行などがファイルレス・マルウェアの被害に

今年の始め頃に、40カ国以上の規模で、100を超える銀行や金融機関がファイルレス・マルウェアの被害に遭った。

その段階ではファイルレス・マルウェアを使った攻撃は一般的ではなかった為、被害にあった企業は対応に追われた。

実際に被害にあった企業を担当するあるセキュリティ専門家は、マルウェアソフト”Meterpreter”のコピーをマイクロソフトドメイン・コントローラーの物理メモリに発見したという。

この時の攻撃では、PowerShellを使ってメモリに書かれたMeterpreterを呼び出し、被害にあった銀行のATMにアクセスしようとしていたと公表されている。

他にも、今年の2月にはロシアの銀行が被害にあった。

ファイルレス・マルウェアを使って、被害にあった銀行のATM8台をコントロールし、およそ80万ドル(およそ9千万円)もの金額を盗み出した。

被害にあった企業のバックエンドネットワークや、ATMにはマルウェアが仕込まれたログは存在しなかったものの、ATMのHDDにはマルウェアが活動した痕跡を示すログがあったという。

その事から、HDDにマルウェアが直接書き込まれており、遠隔から管理者権限のあるユーザーのコマンドを使って、攻撃を実行したと思われている。

”APT28”、"FancyBear"によるセキュリティ専門家への攻撃

10月始め、ロシア系のクラッカー集団が新たなプロジェクトを起ち上げ、アメリカのサイバーセキュリティカンファレンスの参加者をターゲットにした。

この集団はAPT28、又の名をFancy Bearという。

Fancy Bearは、Conference_on_Cyber_Conflict.doc"というドキュメントを作成。ドキュメントの内容は、2ページのCyConのイベントパンフレットだったという。

ドキュメントにはマクロで書かれたスクリプトが仕込まれており、文書を開いた時にマクロ機能をONにすれば、バックエンドがターゲットの端末にダウンロードされるようになっていた。

マクロが実行された時にダウンロードされるのはFancyBearが攻撃をする際に頻繁に使用する、Reconnaissance用マルウェア"Seduploader”だという。

Seduploaderは、FancyBearによって何年も前から使われてきたマルウェアで、2つのファイルで構成される。

1つはDropper、もう1つはPayloadだ。

以下、Dropperについてまとめる。(Payloadに関しては、Cisco Talosのサイトで実際のペイロードの画像が貼り付けられているのでそちらを参照いただきたい。)

Dropperについて

Dropperは、以下の2つのファイルをインストールする。

Dropperの仕組み
  • netwf.bat・・・netwf.dllを実行する
  • netwf.dll・・・ペイロード

また、Dropperは、以下の2つの仕組みで実行される。

Dropperの仕組み
  • HKCU\Environment\UserInitMprLogonScriptが、netwf.batを実行する。
  • 世COMコンポーネントであるMMDeviceEnumeratorのハイジャック。CLSIDは{BCDE0395-E52F-467C-8E3D-C4579291692E}。

(Payloadに関してはCisco Talosのサイトを参照して頂きたい。)

そして最後に、rundll32.exeがペイロードを実行する。COMコンポーネントのハイジャックが実行された場合は、explorer.exeによって実行される。

その場合、explorer.exeはMMDeviceEnumeratorのクラスをインスタンスし、ペイロードを実行する。

このインシデントに関して、カンファレンス主催者はCyConのウェブサイトで注意喚起をしている。

カンファレンスの出席者が、主に大企業や政府機関のセキュリティ専門家達となるので、この攻撃を踏み台にしてそれらの組織のシステムへ攻撃を行う足がかり的な攻撃と見ていいだろう。

このイベントはセキュリティ専門家向けのイベントなので、マクロウイルスを使うのは正直現実的な判断とは言えないのでは無いだろうか。せめて、ゼロデイ脆弱性を使ったエクスプロイトをすべきだったのではないだろうか。

チェコ共和国の選挙を狙ったDDoS攻撃

先週の金〜土にかけて行われたチェコ共和国の議員選挙の結果を掲載するウェブサイトが、DDoS攻撃の被害に遭っていた事が明らかになった。

DDos攻撃の被害に遭ったのは、チェコ政府直轄の統計機関(CSU)のウェブサイトだ。

同ウェブサイトは、ポピュリスト系の政党である”Action of Dissatisfied Citizens(不満を抱く国民達の行動)”党から出馬した、 Andrej Babiš氏が当選した事実を掲載していた。

Andrej Babiš氏は、選挙の得票率は30%を記録し、他の候補者を圧倒した得票率を叩き出した。

DDos攻撃による選挙の結果に影響はなかった為、DDoS攻撃の目的が明確ではないが、恐らくポピュリスト系の政治家が当選した事に不満を持った何者かが攻撃を仕掛けたとみている。

当選したAndrej Babiš氏は、億を超える資産を持つ資産家である事から、アメリカのトランプ大統領のように嫌悪している人は少なからずいるに違いない。

ちなみに今年の初めにも、チェコ共和国の外務省職員を標的にしたサイバー攻撃が発生しており、当時の外務大臣であったLubomir Zaoralek氏の個人的なEメールなどが流出した被害があったようだ。

SNSを使った選挙活動が一般的になってきた今、正しい情報を取得する為に政府機関のウェブサイトにアクセスする人が増えています。

このような攻撃の被害に遭うと、政治家に対する国民からの信頼を揺るがしてしまい、選挙の影響に左右する事態になりかねません。国政にかかわる選挙だと尚更、様々な人の利権に影響するので注意が必要です。あらゆる機関も、セキュリティ対策を強化しておくべきでしょう。