マルウェアの情報

MBR感染機能のCoinMiner(コインマイナー)、国内で拡散中(DarkCloud Bootkit)

AhnLab ASECは2月、国内外のセキュリティ製品を無力化させ、感染システムのMBR(Master Boot Record)を改ざんするCoinMinerが拡散していることを確認した。海外では「DarkCloud Bootkit」として問題視されたこのタイプのマルウェアは、従来の暗号貨幣採掘型マルウェアとは異なり、MBRを感染させる機能を持っており、「ZwCreateSection」APIのパッチによって一般ユーザーが感染したMBRコードを確認できないようにする特徴を持つ。AhnLab ASECは、MBRを感染させようとする行為を検出して防御を行っており、確認の結果、2019年3月20日前後からMBR感染に関する行為の検出数が急増していた。 もちろん、MBRの感染させようとすることがすべて「DarkCloud Bootkit」マルウェアによるものとは考えられない。しかし、この時期に当該形式のマルウェアが国内で集中的に出回っていたことが確認されたため、ユーザーの注意が必要である。(3月22日に80件ほどを確認) 「DarkCloud Bootkit」マルウェア内の感染対象となるOSに関する情報は以下の[表]の通りであり、ほとんどのOSが感染対象であることがわかる。 OS Version…

拡張子ごとに暗号化方式の違いを示すGandCrab v5.2

当社ブログで以前から掲載してきたように、GandCrab は様々な方式で拡散している。これまでに GandCrab はバージョンをアップデートして変化してきたが、現在までに確認されている最新の内部バージョンはv5.2である。当社では、このv5.2バージョンの暗号化対象の拡張子を確認する方法と、これにより暗号化方式が以前のバージョンと異なるという点を発見した。 GandCrab v5.2 は拡張子リストを3つのグループに分類して管理および確認しているが、その構成は以下の通りである。 上で述べたように、一番上の拡張子リストは該当する拡張子の場合に暗号化から除外し、2つ目の拡張子リストの場合、事実上内部コードで比較した後に使用される部分がないため、フェイクとしてリストのみを持っていることが推測される。したがって、実際に暗号化を実行し、3つ目の拡張子リストに含まれていないため、0x100000サイズの暗号化を実行する。 (この内容は後で詳しく説明する)また、最後の3つ目の拡張子リストの場合、この拡張子にマッチする場合とそうでない場合に応じて、暗号化を行う方式に違いがあることが分かった。 GandCrab v5.2 の暗号化に必要なキーを使用する方式は、過去に当社が公開した従来のv4.xと変わらない。ただし、従来は暗号化されたSalsa20キーやローカルの秘密鍵をレジストリに保存していたが、現在は保存せずにランサムノートにのみBase64で暗号化して保存するため、攻撃者に復旧を要求するときにランサムノートが不可欠であるものと考えられる。 ファイルを暗号化する際、従来のバージョンと同じくSalsa20アルゴリズムを利用する。ファイルの前から0x100000のサイズに分けて暗号化を実行する。3つ目の拡張子リストにマッチした場合はファイル全体を暗号化し、マッチしない場合はファイルの一番最初から0x100000の位置までを暗号化する。そして、ファイルの下位に「暗号化されたサイズ」が保存されるとき、最終的に3つ目の拡張子リストにマッチする場合は暗号化対象の元のファイルのサイズと同じデータが保存され、マッチしない場合は0x100000が保存(ファイルサイズが0x100000よりも小さい場合)される。したがって、ファイルサイズが0x100000より大きく、上の3つ目のリストにマッチしない場合は、データが保存される。 そして、拡張子ごとに暗号化を区別して実行するルーティンによって暗号化除外条件を追加で確認できるのだが、その内容は以下の通りである。…

[注意] 国内仮想通貨業者をターゲットにした「Amadey」マルウェアの攻撃試行

AhnLab ASECは最近、国内の仮想通貨業者をターゲットとした電子メールの添付ファイル(DOC、RTF、VBS、EXE等、様々)による形で「Amadey」という名前のマルウェア攻撃が頻繁に試行されていることを確認した。現在までに攻撃に使用された文書ファイルおよび実行ファイル名は次の通りである。 – Crypto Market Predictor for Desktop V2.13.exe – Price list on blockchain…

Operation ShadowHammer (ASUS証明書のみが問題?)

2019年3月25日、ASUSソフトウェアアップデートサーバーがハッキングされ、有効な証明書を含むマルウェアの拡散がKaspersky Labによって報告された。Kasperskyはこれらの攻撃を「Operation ShadowHammer」と命名し、ASUSには2019年1月31日の攻撃に関する情報を伝達したものと知られており、最初の攻撃は2018年6月から11月の間に開始されたものと推定される。攻撃を受けたASUS Live UpdateはほとんどのASUSコンピュータにインストールされており、BIOS、UEFI、ドライバ、およびアプリケーションのようなコンポーネントを自動でアップデートするために使用されるユーティリティである。 Kasperskyの統計によると、57,000人を超えるKasperskyユーザーがASUS Live Updateのバックドアバージョンをダウンロードしてインストールしたものと知られているが、実際には全世界で100万人を超えるユーザーに影響を与えるものと予想される。 Kasperskyが公開したASUS Live Updateインストールファイル(md5: aa15eb28292321b586c27d8401703494)を分析した結果、この攻撃は特定のMACアドレスを持つユーザーをターゲットにして情報流出を目的に製作されたものと推定される。問題は、公開されたインストールファイルは「ASUSTek Computer Inc」という有効な証明書が含まれているという点であり、以下の図はKasperskyが公開したマルウェアに使用された有効な証明書を示しており、シリアル番号は「05e6a0be5ac359c7ff11f4b467ab20fc」だと言及している。…

[注意] 国内で拡散しているSMB脆弱性(MS17-010)を利用した攻撃

2017年5月12日、スペイン、イギリス、ロシア等をはじめとして、全世界を「ランサムウェアの恐怖」に陥れた「WannaCryptor」(別名、WannaCry)事件が発生してからおよそ2年が経った 。当時、全世界の150ヵ国あまり、少なくとも30万台以上のコンピュータシステムが感染したことで知られており、国内では21ヵ所の機関および企業が被害を受けたとして報告がなされた。被害を受けたシステムはすべてSMB(ポート番号:445)サービスを使用しており、2017年3月に発表されたSMBの脆弱性(MS17-010)セキュリティ更新プログラムを適用していなかった。2年という歳月が流れ、「WannaCryptor」というランサムウェアは人々の頭の中から忘れられているが、当時使用されたSMBの脆弱性を利用した攻撃は「CoinMiner」という暗号貨幣採掘型マルウェアにおいて頻繁に使用されており、国内ユーザーの注意が要求されている。 AhnLab では、このMS17-010の脆弱性対応により「lsass.exe」システムプロセスによる不正なファイルのダウンロードの試みを行為ベースで検出しており、以下の[図1]は2019年1月の行為検出レポートの数を示している。 平常時とは異なり、1月10日にレポート件数が6,044件に急増していることがわかり、実際に当該期間に国内のPOS機器メーカーで被害が発生しており、脆弱性に対するパッチが適用されていないシステムであると確認された。 以下の[図2]は、2019年2月の行為検出レポートの数を示している。1月と比較すると減少傾向にあるが、絶えず攻撃が続いていることがわかり、2月21日の312件が、最も高いレポート数を示している。当該期間にも、国内POS機器メーカーへの攻撃が確認された。 以下の[図3]は、2019年3月の行為検出レポートの数を示している。今年になって最も多数の感染が確認され、3月12日に12,667件の検出数を示している。当該期間にはPOS機器メーカーではなく、国内の多数の企業をターゲットに攻撃が行われたことが確認され、MS17-010の脆弱性に対するセキュリティアップデートが適用されていないシステムがいまだに多いことがわかる。 アンラボでは、2019年に国内で発見されているSMBの脆弱性(MS17-010)を利用した攻撃に使用された手法が、2017年のWannaCryランサムウェアで使用されたEternalblueではなく、EternalSynergyという、別のNSA(U.S.National Security Agency)エクスプロイト攻撃の手法が使用されていることを確認した。  V3法人向けの製品では、変種のSMB脆弱性を利用した攻撃に対し、IPS検出ルールを配布しており、攻撃者と被害者の両方で脆弱性攻撃パケットが事前にブロックされていることがわかる。 2008年にもSMBの脆弱性(MS08-067)を利用して伝播機能を有するConfickerという名前のワーム(Worm)が国内に多数の被害を及ぼしており、数年にわたり絶えず攻撃が続いているという点を覚えておかなければならない。それだけ、国内にはSMBサービスを利用するシステムが多く、セキュリティのアップデートに脆弱なシステムを運用している所が多い状況なのである。被害を予防するためには、マイクロソフト(Microsoft) Windows OSのEternalBlue…