MBR感染機能のCoinMiner(コインマイナー)、国内で拡散中(DarkCloud Bootkit) Posted By ATCP , 2019년 04월 22일 AhnLab ASECは2月、国内外のセキュリティ製品を無力化させ、感染システムのMBR(Master Boot Record)を改ざんするCoinMinerが拡散していることを確認した。海外では「DarkCloud Bootkit」として問題視されたこのタイプのマルウェアは、従来の暗号貨幣採掘型マルウェアとは異なり、MBRを感染させる機能を持っており、「ZwCreateSection」APIのパッチによって一般ユーザーが感染したMBRコードを確認できないようにする特徴を持つ。AhnLab ASECは、MBRを感染させようとする行為を検出して防御を行っており、確認の結果、2019年3月20日前後からMBR感染に関する行為の検出数が急増していた。 もちろん、MBRの感染させようとすることがすべて「DarkCloud Bootkit」マルウェアによるものとは考えられない。しかし、この時期に当該形式のマルウェアが国内で集中的に出回っていたことが確認されたため、ユーザーの注意が必要である。(3月22日に80件ほどを確認) 「DarkCloud Bootkit」マルウェア内の感染対象となるOSに関する情報は以下の[表]の通りであり、ほとんどのOSが感染対象であることがわかる。 OS Version…
拡張子ごとに暗号化方式の違いを示すGandCrab v5.2 Posted By ATCP , 2019년 04월 15일 当社ブログで以前から掲載してきたように、GandCrab は様々な方式で拡散している。これまでに GandCrab はバージョンをアップデートして変化してきたが、現在までに確認されている最新の内部バージョンはv5.2である。当社では、このv5.2バージョンの暗号化対象の拡張子を確認する方法と、これにより暗号化方式が以前のバージョンと異なるという点を発見した。 GandCrab v5.2 は拡張子リストを3つのグループに分類して管理および確認しているが、その構成は以下の通りである。 上で述べたように、一番上の拡張子リストは該当する拡張子の場合に暗号化から除外し、2つ目の拡張子リストの場合、事実上内部コードで比較した後に使用される部分がないため、フェイクとしてリストのみを持っていることが推測される。したがって、実際に暗号化を実行し、3つ目の拡張子リストに含まれていないため、0x100000サイズの暗号化を実行する。 (この内容は後で詳しく説明する)また、最後の3つ目の拡張子リストの場合、この拡張子にマッチする場合とそうでない場合に応じて、暗号化を行う方式に違いがあることが分かった。 GandCrab v5.2 の暗号化に必要なキーを使用する方式は、過去に当社が公開した従来のv4.xと変わらない。ただし、従来は暗号化されたSalsa20キーやローカルの秘密鍵をレジストリに保存していたが、現在は保存せずにランサムノートにのみBase64で暗号化して保存するため、攻撃者に復旧を要求するときにランサムノートが不可欠であるものと考えられる。 ファイルを暗号化する際、従来のバージョンと同じくSalsa20アルゴリズムを利用する。ファイルの前から0x100000のサイズに分けて暗号化を実行する。3つ目の拡張子リストにマッチした場合はファイル全体を暗号化し、マッチしない場合はファイルの一番最初から0x100000の位置までを暗号化する。そして、ファイルの下位に「暗号化されたサイズ」が保存されるとき、最終的に3つ目の拡張子リストにマッチする場合は暗号化対象の元のファイルのサイズと同じデータが保存され、マッチしない場合は0x100000が保存(ファイルサイズが0x100000よりも小さい場合)される。したがって、ファイルサイズが0x100000より大きく、上の3つ目のリストにマッチしない場合は、データが保存される。 そして、拡張子ごとに暗号化を区別して実行するルーティンによって暗号化除外条件を追加で確認できるのだが、その内容は以下の通りである。…
[注意] 国内仮想通貨業者をターゲットにした「Amadey」マルウェアの攻撃試行 Posted By ATCP , 2019년 04월 02일 AhnLab ASECは最近、国内の仮想通貨業者をターゲットとした電子メールの添付ファイル(DOC、RTF、VBS、EXE等、様々)による形で「Amadey」という名前のマルウェア攻撃が頻繁に試行されていることを確認した。現在までに攻撃に使用された文書ファイルおよび実行ファイル名は次の通りである。 – Crypto Market Predictor for Desktop V2.13.exe – Price list on blockchain…
Operation ShadowHammer (ASUS証明書のみが問題?) Posted By ATCP , 2019년 03월 27일 2019年3月25日、ASUSソフトウェアアップデートサーバーがハッキングされ、有効な証明書を含むマルウェアの拡散がKaspersky Labによって報告された。Kasperskyはこれらの攻撃を「Operation ShadowHammer」と命名し、ASUSには2019年1月31日の攻撃に関する情報を伝達したものと知られており、最初の攻撃は2018年6月から11月の間に開始されたものと推定される。攻撃を受けたASUS Live UpdateはほとんどのASUSコンピュータにインストールされており、BIOS、UEFI、ドライバ、およびアプリケーションのようなコンポーネントを自動でアップデートするために使用されるユーティリティである。 Kasperskyの統計によると、57,000人を超えるKasperskyユーザーがASUS Live Updateのバックドアバージョンをダウンロードしてインストールしたものと知られているが、実際には全世界で100万人を超えるユーザーに影響を与えるものと予想される。 Kasperskyが公開したASUS Live Updateインストールファイル(md5: aa15eb28292321b586c27d8401703494)を分析した結果、この攻撃は特定のMACアドレスを持つユーザーをターゲットにして情報流出を目的に製作されたものと推定される。問題は、公開されたインストールファイルは「ASUSTek Computer Inc」という有効な証明書が含まれているという点であり、以下の図はKasperskyが公開したマルウェアに使用された有効な証明書を示しており、シリアル番号は「05e6a0be5ac359c7ff11f4b467ab20fc」だと言及している。…
[注意] 国内で拡散しているSMB脆弱性(MS17-010)を利用した攻撃 Posted By ATCP , 2019년 03월 26일 2017年5月12日、スペイン、イギリス、ロシア等をはじめとして、全世界を「ランサムウェアの恐怖」に陥れた「WannaCryptor」(別名、WannaCry)事件が発生してからおよそ2年が経った 。当時、全世界の150ヵ国あまり、少なくとも30万台以上のコンピュータシステムが感染したことで知られており、国内では21ヵ所の機関および企業が被害を受けたとして報告がなされた。被害を受けたシステムはすべてSMB(ポート番号:445)サービスを使用しており、2017年3月に発表されたSMBの脆弱性(MS17-010)セキュリティ更新プログラムを適用していなかった。2年という歳月が流れ、「WannaCryptor」というランサムウェアは人々の頭の中から忘れられているが、当時使用されたSMBの脆弱性を利用した攻撃は「CoinMiner」という暗号貨幣採掘型マルウェアにおいて頻繁に使用されており、国内ユーザーの注意が要求されている。 AhnLab では、このMS17-010の脆弱性対応により「lsass.exe」システムプロセスによる不正なファイルのダウンロードの試みを行為ベースで検出しており、以下の[図1]は2019年1月の行為検出レポートの数を示している。 平常時とは異なり、1月10日にレポート件数が6,044件に急増していることがわかり、実際に当該期間に国内のPOS機器メーカーで被害が発生しており、脆弱性に対するパッチが適用されていないシステムであると確認された。 以下の[図2]は、2019年2月の行為検出レポートの数を示している。1月と比較すると減少傾向にあるが、絶えず攻撃が続いていることがわかり、2月21日の312件が、最も高いレポート数を示している。当該期間にも、国内POS機器メーカーへの攻撃が確認された。 以下の[図3]は、2019年3月の行為検出レポートの数を示している。今年になって最も多数の感染が確認され、3月12日に12,667件の検出数を示している。当該期間にはPOS機器メーカーではなく、国内の多数の企業をターゲットに攻撃が行われたことが確認され、MS17-010の脆弱性に対するセキュリティアップデートが適用されていないシステムがいまだに多いことがわかる。 アンラボでは、2019年に国内で発見されているSMBの脆弱性(MS17-010)を利用した攻撃に使用された手法が、2017年のWannaCryランサムウェアで使用されたEternalblueではなく、EternalSynergyという、別のNSA(U.S.National Security Agency)エクスプロイト攻撃の手法が使用されていることを確認した。 V3法人向けの製品では、変種のSMB脆弱性を利用した攻撃に対し、IPS検出ルールを配布しており、攻撃者と被害者の両方で脆弱性攻撃パケットが事前にブロックされていることがわかる。 2008年にもSMBの脆弱性(MS08-067)を利用して伝播機能を有するConfickerという名前のワーム(Worm)が国内に多数の被害を及ぼしており、数年にわたり絶えず攻撃が続いているという点を覚えておかなければならない。それだけ、国内にはSMBサービスを利用するシステムが多く、セキュリティのアップデートに脆弱なシステムを運用している所が多い状況なのである。被害を予防するためには、マイクロソフト(Microsoft) Windows OSのEternalBlue…
仮想通貨ウォレットプログラム(アリババ)と共にインストールされるマルウェア Posted By ATCP , 2019년 03월 15일 最近 ASECは、アリババコイン(ABBC Coin)ウォレットプログラムと同時にインストールされる情報流出型マルウェアを発見した。ABBC Coin プログラムを実行すると、AppData\Roaming フォルダに以下のようなウォレットプログラムと同時に sys.exe というダウンローダー機能を持つマルウェアをドロップ、および実行する。 ダウンローダーマルウェアは、まず Anti-Sandbox の手法を使用するが、分析環境において当該ファイルを単独で実行した場合は、不正な行為を実行しないように、AppData\Roaming フォルダで「123456789」が書かれた abbc.log ファイルを読んで内容を確認する。すなわち、sys.exe…
企業ユーザーをターゲットにしてインストールされるハッキングツール、Ammyy (CLOPランサムウェア) Posted By ATCP , 2019년 03월 08일 最近、特定機関を騙るフィッシングメールが活発に出回っている。フィッシングメールに添付されたExcel文書ファイル(証明書.xls、依頼.xls等)には、不正なマクロが含まれている。この不正なマクロが実行されると、Ammyyと命名された遠隔操作機能のマルウェアがインストールされる。最近AhnLab ASECは、このバックドアマルウェアを監視している最中に、当該マルウェアが企業をターゲットにしているというコード上の変化を捉えた。また、前回の記事で紹介したようにAmmyyバックドアプログラムとCLOPランサムウェアが同じ証明書で拡散していることから、企業ユーザーをターゲット(ADサーバーに対する奪取)にした拡散に、Ammyyバックドアが利用されているものと推定される。 前回のブログ(https://asec.ahnlab.com/1197)で述べたように、フィッシングメールによって拡散する不正Excel文書ファイルは[図1]のようにして拡散している。ここで注目する点は、最近変化したマルウェアは当該ファイルが実行された環境のワークグループ名を確認する方式によって、企業ユーザー環境を感染ターゲットにしているという点である。 ワークグループ名を確認するコードは[図1]の拡散フローのうち、最終バックドアのダウンローダー(Downloader)で発見された。 [図2]は前回のブログで分析したダウンローダー(Downloader)のコードと、最近発見されたダウンローダー(Downloader)のコードの一部である。両者のコードを比較すると、最近のコードの方で赤枠で囲んだ部分に新しい条件文が追加されたことを確認できる。さらに、実行中のプロセスを確認して、存在する場合に実行が終了されるリストに変化を示した。感染除外対象をチェックするために使用していた実行中のプロセスリストのうち、「V3LITE」、「V3MAIN」、「V3SP」がリストから除外された。すなわち、V3製品のユーザーもAmmyyバックドアの感染対象に含まれていることがわかる。 [図3]は、新しく追加された条件文の全体コードである。このコードは、以下の[表1]のような機能を実行する。一般的な個人ユーザーの場合、cmd.exe /c net user /domainコマンドを実行するとWORKGROUP文字列が出力される一方で、企業ユーザーの場合は設定されたグループ名が出力されることがある。マルウェアの製作者はWORKGROUP文字列が出力されるユーザー(一般の個人ユーザー)の場合は、以降不正な行為(Ammyyバックドアダウンロード機能)を実行せずに終了する。 1. cmd.exe /c net…
GandCrab v5.2ランサムウェアで使用された動的解析の回避手法 Posted By ATCP , 2019년 02월 27일 最近活発に出回っているGandcrabランサムウェアには、動的解析環境を回避するためのコードが挿入されている。これにより、動的解析環境で正常に作動せずに終了する、または時間遅延によって分析に長時間かかるようにして検出を回避している。 現在確認されている動的解析環境回避コードは、以下の通りである。 – SetErrorMode関数によるAnti-Sandbox – SetTimer関数による時間遅延 1.SetErrorMode関数によるAnti-Sandbox まず、Gandcrabが主に使用するPackerには、以下の[図1]のようにSetErrorMode関数を利用してCuckoo Sandboxを回避するコードが存在する。 SetErrorMode関数はProcessDefaultHardErrorModeを設定したあと、過去に設定されたErrorModeを返す関数である。ErrorModeは、システムでエラーが発生したときの処理方法について設定している。このとき、[図1]のコードを見ると一般的な状況では以下のようなフローを示す。 (1) SetErrorMode(0x400) – ErrorModeで0x400を設定し、過去に設定されたErrorMode値が返される。…
国内アンチウイルスソフトに対する新たな無力化の試み (GandCrab v5.0.4) Posted By ATCP , 2019년 01월 07일 最近 ASECは、GandCrab の拡散スクリプトを監視している最中に、国内のアンチウイルスソフトを対象とする新たな無力化の方式を使用していることを捉えた。以前のバージョンでは以下の [図1] のように「Uninst.exe」の実行によって製品の削除を試みていたが、最近拡散スクリプトでは、当該方式を削除して V3 サービスを終了しようとする新たな試みが発見された。 作動方式にも変化が確認され、従来は*.JSの JavaScript ファイルによって GandCrab ランサムウェア実行ファイル(*.EXE)が生成および実行される構造だったが、現在拡散している形式は以下の [図2] のように…
CVE-2018-8174 脆弱性分析 Posted By ATCP , 2018년 11월 26일 AhnLab ASEC 分析チームは、ランサムウェアを含む国内でのマルウェア拡散に広く使用されているIEの脆弱性、CVE-2018-8174 に対する分析を行った。この脆弱性はマグニバー(Magniber)ランサムウェアの拡散にも使用されており、セキュリティパッチの適用によって被害を予防する作業が必要である。 MS セキュリティアップデートページ (CVE-2018-8174) – https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8174 01.要約 1) CVE-2018-8174の概要 CVE-2018-8174の脆弱性は VBScript エンジンの…
