マルウェアの情報

Operation ShadowHammer (ASUS証明書のみが問題?)

2019年3月25日、ASUSソフトウェアアップデートサーバーがハッキングされ、有効な証明書を含むマルウェアの拡散がKaspersky Labによって報告された。Kasperskyはこれらの攻撃を「Operation ShadowHammer」と命名し、ASUSには2019年1月31日の攻撃に関する情報を伝達したものと知られており、最初の攻撃は2018年6月から11月の間に開始されたものと推定される。攻撃を受けたASUS Live UpdateはほとんどのASUSコンピュータにインストールされており、BIOS、UEFI、ドライバ、およびアプリケーションのようなコンポーネントを自動でアップデートするために使用されるユーティリティである。 Kasperskyの統計によると、57,000人を超えるKasperskyユーザーがASUS Live Updateのバックドアバージョンをダウンロードしてインストールしたものと知られているが、実際には全世界で100万人を超えるユーザーに影響を与えるものと予想される。 Kasperskyが公開したASUS Live Updateインストールファイル(md5: aa15eb28292321b586c27d8401703494)を分析した結果、この攻撃は特定のMACアドレスを持つユーザーをターゲットにして情報流出を目的に製作されたものと推定される。問題は、公開されたインストールファイルは「ASUSTek Computer Inc」という有効な証明書が含まれているという点であり、以下の図はKasperskyが公開したマルウェアに使用された有効な証明書を示しており、シリアル番号は「05e6a0be5ac359c7ff11f4b467ab20fc」だと言及している。…

[注意] 国内で拡散しているSMB脆弱性(MS17-010)を利用した攻撃

2017年5月12日、スペイン、イギリス、ロシア等をはじめとして、全世界を「ランサムウェアの恐怖」に陥れた「WannaCryptor」(別名、WannaCry)事件が発生してからおよそ2年が経った 。当時、全世界の150ヵ国あまり、少なくとも30万台以上のコンピュータシステムが感染したことで知られており、国内では21ヵ所の機関および企業が被害を受けたとして報告がなされた。被害を受けたシステムはすべてSMB(ポート番号:445)サービスを使用しており、2017年3月に発表されたSMBの脆弱性(MS17-010)セキュリティ更新プログラムを適用していなかった。2年という歳月が流れ、「WannaCryptor」というランサムウェアは人々の頭の中から忘れられているが、当時使用されたSMBの脆弱性を利用した攻撃は「CoinMiner」という暗号貨幣採掘型マルウェアにおいて頻繁に使用されており、国内ユーザーの注意が要求されている。 AhnLab では、このMS17-010の脆弱性対応により「lsass.exe」システムプロセスによる不正なファイルのダウンロードの試みを行為ベースで検出しており、以下の[図1]は2019年1月の行為検出レポートの数を示している。 平常時とは異なり、1月10日にレポート件数が6,044件に急増していることがわかり、実際に当該期間に国内のPOS機器メーカーで被害が発生しており、脆弱性に対するパッチが適用されていないシステムであると確認された。 以下の[図2]は、2019年2月の行為検出レポートの数を示している。1月と比較すると減少傾向にあるが、絶えず攻撃が続いていることがわかり、2月21日の312件が、最も高いレポート数を示している。当該期間にも、国内POS機器メーカーへの攻撃が確認された。 以下の[図3]は、2019年3月の行為検出レポートの数を示している。今年になって最も多数の感染が確認され、3月12日に12,667件の検出数を示している。当該期間にはPOS機器メーカーではなく、国内の多数の企業をターゲットに攻撃が行われたことが確認され、MS17-010の脆弱性に対するセキュリティアップデートが適用されていないシステムがいまだに多いことがわかる。 アンラボでは、2019年に国内で発見されているSMBの脆弱性(MS17-010)を利用した攻撃に使用された手法が、2017年のWannaCryランサムウェアで使用されたEternalblueではなく、EternalSynergyという、別のNSA(U.S.National Security Agency)エクスプロイト攻撃の手法が使用されていることを確認した。  V3法人向けの製品では、変種のSMB脆弱性を利用した攻撃に対し、IPS検出ルールを配布しており、攻撃者と被害者の両方で脆弱性攻撃パケットが事前にブロックされていることがわかる。 2008年にもSMBの脆弱性(MS08-067)を利用して伝播機能を有するConfickerという名前のワーム(Worm)が国内に多数の被害を及ぼしており、数年にわたり絶えず攻撃が続いているという点を覚えておかなければならない。それだけ、国内にはSMBサービスを利用するシステムが多く、セキュリティのアップデートに脆弱なシステムを運用している所が多い状況なのである。被害を予防するためには、マイクロソフト(Microsoft) Windows OSのEternalBlue…

仮想通貨ウォレットプログラム(アリババ)と共にインストールされるマルウェア

最近 ASECは、アリババコイン(ABBC Coin)ウォレットプログラムと同時にインストールされる情報流出型マルウェアを発見した。ABBC Coin プログラムを実行すると、AppData\Roaming フォルダに以下のようなウォレットプログラムと同時に sys.exe というダウンローダー機能を持つマルウェアをドロップ、および実行する。 ダウンローダーマルウェアは、まず Anti-Sandbox の手法を使用するが、分析環境において当該ファイルを単独で実行した場合は、不正な行為を実行しないように、AppData\Roaming フォルダで「123456789」が書かれた abbc.log ファイルを読んで内容を確認する。すなわち、sys.exe…

企業ユーザーをターゲットにしてインストールされるハッキングツール、Ammyy (CLOPランサムウェア)

最近、特定機関を騙るフィッシングメールが活発に出回っている。フィッシングメールに添付されたExcel文書ファイル(証明書.xls、依頼.xls等)には、不正なマクロが含まれている。この不正なマクロが実行されると、Ammyyと命名された遠隔操作機能のマルウェアがインストールされる。最近AhnLab ASECは、このバックドアマルウェアを監視している最中に、当該マルウェアが企業をターゲットにしているというコード上の変化を捉えた。また、前回の記事で紹介したようにAmmyyバックドアプログラムとCLOPランサムウェアが同じ証明書で拡散していることから、企業ユーザーをターゲット(ADサーバーに対する奪取)にした拡散に、Ammyyバックドアが利用されているものと推定される。 前回のブログ(https://asec.ahnlab.com/1197)で述べたように、フィッシングメールによって拡散する不正Excel文書ファイルは[図1]のようにして拡散している。ここで注目する点は、最近変化したマルウェアは当該ファイルが実行された環境のワークグループ名を確認する方式によって、企業ユーザー環境を感染ターゲットにしているという点である。  ワークグループ名を確認するコードは[図1]の拡散フローのうち、最終バックドアのダウンローダー(Downloader)で発見された。 [図2]は前回のブログで分析したダウンローダー(Downloader)のコードと、最近発見されたダウンローダー(Downloader)のコードの一部である。両者のコードを比較すると、最近のコードの方で赤枠で囲んだ部分に新しい条件文が追加されたことを確認できる。さらに、実行中のプロセスを確認して、存在する場合に実行が終了されるリストに変化を示した。感染除外対象をチェックするために使用していた実行中のプロセスリストのうち、「V3LITE」、「V3MAIN」、「V3SP」がリストから除外された。すなわち、V3製品のユーザーもAmmyyバックドアの感染対象に含まれていることがわかる。 [図3]は、新しく追加された条件文の全体コードである。このコードは、以下の[表1]のような機能を実行する。一般的な個人ユーザーの場合、cmd.exe /c net user /domainコマンドを実行するとWORKGROUP文字列が出力される一方で、企業ユーザーの場合は設定されたグループ名が出力されることがある。マルウェアの製作者はWORKGROUP文字列が出力されるユーザー(一般の個人ユーザー)の場合は、以降不正な行為(Ammyyバックドアダウンロード機能)を実行せずに終了する。 1. cmd.exe /c net…

GandCrab v5.2ランサムウェアで使用された動的解析の回避手法

最近活発に出回っているGandcrabランサムウェアには、動的解析環境を回避するためのコードが挿入されている。これにより、動的解析環境で正常に作動せずに終了する、または時間遅延によって分析に長時間かかるようにして検出を回避している。 現在確認されている動的解析環境回避コードは、以下の通りである。 – SetErrorMode関数によるAnti-Sandbox – SetTimer関数による時間遅延 1.SetErrorMode関数によるAnti-Sandbox まず、Gandcrabが主に使用するPackerには、以下の[図1]のようにSetErrorMode関数を利用してCuckoo Sandboxを回避するコードが存在する。 SetErrorMode関数はProcessDefaultHardErrorModeを設定したあと、過去に設定されたErrorModeを返す関数である。ErrorModeは、システムでエラーが発生したときの処理方法について設定している。このとき、[図1]のコードを見ると一般的な状況では以下のようなフローを示す。 (1) SetErrorMode(0x400) – ErrorModeで0x400を設定し、過去に設定されたErrorMode値が返される。…