発行元の識別情報をもとに信頼性を高め、完全性を確保するためにファイルにデジタル署名を行う過程を、コードサイニング(Code Signing)という。ファイルの作成者は、公認の認証局(CA、Certificate Authority)を通してデジタル証明書(Digital Certificate)の発行を受け、作成したファイルをその証明書で署名する。
コードサイニングが行われたファイルは認証局によって認証されたファイルであるため、Web ブラウザのダウンロード検証段階やファイルの実行段階でアンチウイルスソフトの検出を回避するのが容易である。これによって、マルウェアの攻撃者はファイルに有効なデジタル署名(Digital Signature)情報を追加して拡散を試みることもあるが、このような試みはすでに2010年のスタクスネット(Stuxnet)等、過去から確認され続けている。
注目する点は、今年上半期に国内で活発に拡散された不正なファイルのうち、有効なデジタル証明書によって署名されたファイルが非常に多く、現在も活発に作成されているという事実である。また、国際的なハードウェアメーカーである ASUS が発行を受けた証明書により署名されたファイルの中にも、情報流出機能があるマルウェアが発見され、大きな話題となった。
識別情報が確認され、信頼可能な認証局を通してのみデジタル証明書の発行を受けることが可能だが、どのようにして有効な証明書により署名された不正なファイルが作られるのだろうか?証明書がある不正なファイルは、証明書の発行シナリオによって次の3種類に分かれる可能性が高い。
① 発行済みの他の企業の証明書を奪取
② 正常な企業のように装う、またはペーパーカンパニーの名前でCAを通して証明書を直接発行
③ ブラックマーケットを通して②に該当する証明書を取引
2019年に確認された不正なファイルのうち、有効な証明書により署名されたファイルの大多数は②、または③のタイプに該当し、これに比べてわずかだが、①と確認されたファイルもある。ここで、発見された事例をもとに不正なファイルの種類と機能、そして証明書情報を確認する 。
[1] 証明書の直接発行 – AD サービスドメインに接続されたシステムを攻撃する「Ammyy」遠隔操作バックドアと「Clop」ランサムウェア
最近、国内で最も問題となっているマルウェアは、主に企業をターゲットとして拡散している Ammyy 遠隔操作バックドアと、これによってインストールされる Clop ランサムウェアである。バックドアファイルはオンラインに公開されている Ammyy 遠隔操作プログラムのソースを利用して作成され、これを攻撃対象のPCに埋め込んだ後、リモートでシステムにアクセスする。攻撃者が掌握したシステムにおいて最終的に実行しようとする不正なファイルは、Clop ランサムウェアである。
特徴として、この攻撃は拡散過程において攻撃対象の PC がドメインコントローラを利用している AD(Active Directory) サービス構造のユーザーであることを確認する。該当する場合にのみ拡散プロセスを実行するが、これは一般的に、ユーザーをドメインで構成してシステムを運用する企業を攻撃対象とすることを意味している。
AhnLab では、Clop ランサムウェア追跡段階でバックドアファイルをダウンロードするファイル、Ammyy バックドアファイル、そして Clop ランサムウェアファイルまで、計3段階の主要な PE 実行ファイルがコードサイニングされていることを確認した。署名に利用されたデジタル証明書は、ファイルの機能ごとに証明書情報を変えたものではなく、ファイルごとに様々な証明書が混在して利用された。ダウンローダーからランサムウェアまで、すべて同じ攻撃者がファイルを作成して拡散させていることがわかる。
現在までに上記の攻撃に使用されたものと把握されている証明書情報(認証局CAと発行元情報)は以下の通りである。すべて、イギリスに実際に存在する零細企業の名前で証明書を発行している。対象企業がソフトウェアの開発や証明書発行業務と無関係な企業が多いという点を考慮すると、これは企業の事業者情報等を盗用、または違法に取引したものと推定される。
COMODO RSA Code Signing CA |
ALCOHOL LTD ALLO’ LTD AWAY PARTNERS LIMITED VAL TRADEMARK TWO LIMITED VERY TELE LIMITED |
Sectigo RSA Code Signing CA |
ALISA L LIMITED WINTER AEROSPACE LTD THE COMPANY OF WORDS LTD DELUX LTD COME AWAY FILMS LTD MAN TURBO (UK) LIMITED ANGEL AID LTD DE&GO LTD MARIA’S PEGASEAL LTD D.E.PLANT LIMITED STYLE DESIGN & BUILD LTD |
Sectigo RSA Code Signing CA |
DVERI FADO, TOV MEGAPOLIS SERVICES LTD |
thawte SHA256 Code Signing CA |
PRIMA ASTRA LTD JIN CONSULTANCY LIMITED FLOWER DELI LTD VIEW DESIGN LIMITED BURGER AND BEATS LIMITED LIMIT FORCE LIMITED ANG APPCONN LIMITED REBROSE LEISURE LIMITED 3AN LIMITED A&D DOMUS LIMITED BEAR ADAMS CONSULTING LIMITED SLOW COOKED VENTURES LTD ICE ACTIVATION LIMITED PIZZAZZ LTD |

[2] 証明書の奪取 – ASUS証明書により署名されたマルウェア – Operation 「ShadowHammer」
国際的なハードウェアメーカーとして有名な ASUS の有効な証明書により署名された不正なファイルが存在するという事実が今年3月、Kaspersky Lab を通して発表された。マルウェアの自体は、昨年から作成されているものだと知られている。ASUS のソフトウェアアップデートサーバーがハッキングされて証明書が流出した件であり、Kaspersky によると不正なファイルのダウンロード件数だけでも全世界で57,000人であり、実際には約100万人を超えるユーザーに影響があるものと述べた。
AhnLab は問題の証明書情報を確認した後、その証明書に署名されたファイルを詳しく分析した。分析の結果、有効な証明書により署名された一部のファイルが、正常な ASUS プログラムの機能以外にも、マルウェアが追加された形で作成されたことが確認された。追加されたコードは、ASUS のサイトに偽装したマルウェア配布元である asushotfix.com にアクセスし、別のファイルをダウンロードする機能を持っている。そして、分析の過程において同じ部類の変種 ShadowHammer ファイルが、期限切れの ASUS 証明書と異なる証明書でも発見された。
既存の証明書が奪取され、マルウェアの作成に利用されるこのような事例は、上記の事例とはいくつかの違いがある。まず、ASUS のように波及力が大きいサプライチェーンを対象とする場合、被害の規模がはるかに大きい。そして、もともと正常なコードサインを通して配布されたファイルが存在するため、不正なファイルが作成されても、直ちに不正なファイルであるかどうかを判断することが難しい。攻撃者の立場においても、証明書の発行を受けるコストがかからない。しかし、証明書を奪取するまでは困難があり、不正なファイルであることが確認されれば直ちに発行者が廃棄することがあるため、持続性は相対的に落ちる。
現在までに ShadowHammer の攻撃に使用されたものと把握されている証明書情報(認証局 CA と発行元情報)は以下の通りである。ASUS 以外にも、シンガポールや韓国にあるゲーム会社の証明書を奪取してマルウェアを作成および配布している。現在、ASUS の証明書は廃棄され、それ以外のシンガポールや韓国の証明書は有効である。
DigiCert SHA2 Assured ID Code Signing CA |
ASUSTeK Computer Inc.(Serial Number: 55A7AA5F0E52BA4D78C145811C830107) ASUSTeK Computer Inc.(Serial Number: 0ff067d801f7daeeae842e9fe5f610ea) |
VeriSign Class 3 Code Signing 2010 CA |
Garena Online Pte Ltd (Serial Number: 4881c660940900f949fe4d60fa7f937e) |
COMODO RSA Code Signing CA |
ZEPETTO Co.(Serial Number: 00fdf2837dac12b7bb30ad058f999ecf00) |
有効なデジタル証明書によって署名されたファイルは、そのファイルが信頼できるものとして署名されたのと同じ意味があるため、アンチウイルスソフトでファイルの行為だけを監視し、それを不正行為であると認知することは容易ではない。実際に流出、盗用された証明書であるとはいえ、その真偽を判断するのが難しいためである。そのため、有効な証明書を持つファイルの場合、マルウェアのアナリストによる、より詳細な確認が必要である。
AhnLab は、ファイルのデジタル証明書情報に対するデータベースを個別で構成し、有効な署名がある不正なファイルが発見された場合、自動的にその証明書の信頼度を下げる。そして、不正なファイルが繰り返し収集される場合、証明書情報(発行元、シリアル番号等)をもとに対象ファイルをマルウェアとして一括で検出している。また、ハッキング等を理由として証明書が奪取された場合、既存の正常に作成されたファイルと区別するため、ファイルが作成された時間情報(タイムスタンプ)を参照することもある。以下は、この記事で述べた事例に対するアンラボの診断情報である。診断情報は、不正なファイルが確認され次第、継続的に追加している。
– Win-Trojan/Suspig.Exp
– Win-Trojan/ALLColour.Exp
– Win-Trojan/Logi.Exp
– Win-Trojan/Craydoor.Exp
– Win-Trojan/ShadowHammer.Exp
Categories:マルウェアの情報