Pages

2014年1月23日木曜日

Francis法王を想起させる新たなOSX/Crisisの亜種

Hacking Teamの有名なDa Vinciルートキット、OSX/Crisisの新たなサンプルが、この週末中に弊社のマルウェア研究所にも届きました。現時点では、 VirusTotal上でのファイル名「Frantisek」について情報がありませんが、これ は東欧でFrancisを意味する名前です。Francis法王のことでしょうか?

以前の 亜種同様、このOSX/Crisis.Cも、パスワード不要でユーザ に気付かれずにインストールを行うドロッパーを使用し、Mac OS X 10.5、 10.6、および10.7で動作します。ただし、Hacking Teamによってドロッパーの コードおよびバックドアの構成ファイル形式はアップデートされています。

ドロッパーは、一般的でない__INITSTUBセグメントを実行します。オリジナルの エントリポイントEIPは、プログラム内のほぼ空である_main関数に到達する前に このコードセグメントを指しています。そのため、デバッガを使っている研究者 が注意していないと、気づかない内に感染する可能性があります。システムシン ボルの解決に異なる方法を用いていますので、OS X Mountain LionあるいはOS X Mavericksをクラッシュさせます(segmentation fault)。これは、マルウェア 内の64-bitバグによるものと思われます。

下図は、ドロッパーの解決されたシンボルハッシュの画面です。IDA:
OSX/Crisis.C - screenshot of the resolved symbols hash of the dropper in IDA

ドロッパーが正常に実行されると、ユーザのホームディレクトリ(ライブラリ /Preferencesフォルダ内)のOvzD7xFr.appという偽のアプリケーションバンドル 内に次のファイルを隠します:

その後、バックドアを起動し、LaunchAgentファイルcom.apple.mdworker.plistを作成してインストールを終了 します。

前出のOSX/Crisis.B同様に、このバイナリはMPressパッカーを 使って難読化されています。また、現在では64-bit専用となっているAppleのシ ステムプロファイラのプライベートフレームワーク、SPSupportにリンクされて いるためOS X 10.9では動作しません。「Image not found」例外が起きてクラッ シュします。さらに、対応する標的上で、バックドアは自らのファイルをアンイ ンストールしてから終了します。これは破損した構成ファイルに関連していると 考えられます(サンプルでは、NULLバイトから始まっています)。

いくつかの新しい技術を除くと、バックドアコンポーネントが実行する機能は、 以前の亜種と同様です: アクティビティモニタアプリケーションをパッチして自 らを隠し、スクリーンショットを撮影し、オーディオとビデオをキャプチャし、 ユーザの位置情報を取得し、WiFiホットスポットに接続し、収集したデータを指 令管制サーバと同期させ、ソーシャルエンジニア技術を使ってユーザを騙してシ ステム管理者権限を奪取して、ルートキットをインストールします。

この記事執筆時点で、VirusTotalでの総合検出率は低いです。

IntegoのVirusBarrierは、最新のマルウェア定義ファイルでこのマ ルウェアをOSX/Crisis.Cとして検出し、ユーザを守ります。

Posted on January 20th, 2014 by

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

2014年1月17日金曜日

なぜFlashbackボットネットが今でも危険なのか

先週、Integoのマルウェア・リサーチチームが、少なくとも22,000台のMacに感 染したFlashbackボットネットが現在も稼働中であることを示す OSX/Flashbackに関する最新の情報を公開しました。この報告に対しては、読者 やセキュリティジャーナリストから多くの問い合わせをいただきました。そこ で、もう少し詳細な情報を提供すると共に、なぜFlashbackボットネットが今で も危険なのかを説明したいと思います。このマルウェアに関してよくある質問へ の回答も掲載しておきます。

まず、Flashbackボットネットが現在でも危険であるとする弊社の判断には、す べての方が賛同しているわけではありません。ZDNetのLarry Seltzer氏は、 Flashbackボットナットは、「大きな問題ではない」としています。Seltzer氏曰く:

この数字だけを見ると眼が釘付けになるかも知れませんが、現 在実際に使われているOS Xのバージョンに関する最近の研究結果を見ると納得で きる数字なのです。[…] 22,000台というのは、感染したとされる600,000の5% 以下ですから、全Macの約5%に当るバージョン10.5以前を使っているユーザが 感染したままの可能性が高いでしょう。あとは、10.6のユーザ(全Macの20%)の いくらかは、XProtectがFlashbackをブロックし始める前に感染し、その後も Appleが提供する除去ツールを使っていないでしょうから感染したままだと考え られます。すべてのユーザが常に最新アップデートを適用しているなら、そうい うことになるのです。ちなみに、今後も最新アップデートが提供されるのは、 10.9のユーザだけです。

確かに22,000台のボットネットは、当初感染した600,000台と比較すれば小さい 数ですが、ボットネットを構成するコンピュータの台数としてはかなりの数で す。ましてや、それがMacだけで構成されていると考えればなおさらです。Computerworldによれば、20,000台のボットネットが一日 に送出できる迷惑メールは50億通だそうです。

この問題を軽視する人は、他にもいます。弊社の最新の報告に対し、Tech Night OwlのGene Steinberg氏は、Macのマルウェア に対する彼の考えを表明し、「確かに、まだ感染したMacが存在するのでしょう が、既に述べた通り、お使いのMacに最新のJavaがインストールされていて、OS Xアップデートもすべて適用していれば感染はしないでしょう。Javaを使うプロ グラムをすべて排除しておけば、心配ありません」と言っています。しかし問題 は、新品の、あるいはクリーンなMacがこれからFlashbackに感染するかどうかで はありません。感染したままのMacには、今後悪意を持った誰かがドメイン名を 管理するようになった時に危険が生じるのであり、そうなってしまえば新たなマ ルウェアに感染する可能性も出てくると言うことなのです。

Ars TechnicaのDan Goodin氏は、このボットネットが抱え るリスクについて「このマルウェアがどのように動作するのか知っている誰か が、Flashbackのアルゴリズム内にプログラムされている多くのドメイン名の1 つにアクセスできるようになったとき、感染したMacが悪用される可能性があり ます」とコメントしています。一方で、Goodin氏と弊社のマルウェア研究者との 次のやり取りにあるように、良いお知らせもあります:

Appleは、ドメイン生成アルゴリズムをリバースエンジニアし、 2013末までに該当するすべてのドメインを入手することで危険に対処しました。 これにより、Apple以外のIntegoや他の第三者がFlashbackボットネットを監視す ることができなくなりました。[…] そして、ここ数日でAppleは2014年分のすべ てのドメインも入手しています。

Appleが2014年分のドメイン名を入手したことで、ボットネットはもう1年間何 も問題を起こさないでしょう。感染したままのMacもこれでとりあえずは安全で す。しかし2015年1月1日以降、Flashbackに感染したコンピュータが通信を行う サーバが誰でも入手できるようになると、そこで真の脅威になりうるのです。

とは言うものの、Larry Seltzer氏は、これは大きな問題ではないと指摘しま す。このマルウェアに対抗する方法は、比較的単純だからです。Appleあるいは 他の良心的な誰かが、該当する大量のドメインを登録し、ボットネットが悪者に 悪用されないようにすれば良いのです。しかし逆に言えば、マルウェアの作者以 外に誰もドメインを買う人がいなければ大問題ということです。

なぜFlashbackボットネットが危険かに関する追加情報として、Integoのマル ウェアリサーチチームによる、このマルウェアに関するよくある質問への回答を ご紹介します:

なぜIntegoは、1年半も前のマルウェアであるFlashbackに感染した マシンの数を知ることができたのでしょう?

感染したMacによって要求されるドメイン名を登録できたことで、それらのドメ インに対する通信と接続されたマシンの数を分析することが可能となったので す。これらのドメイン名を入手できなければ、弊社でそのボットネットの動作を 知ることはできませんでした。

IntegoがFlashbackをさらに分析することはできるのでしょうか?

必要なドメインを入手できない限り、それは不可能です。Appleが2014年分のす べてのドメインを入手したわけですが、彼らが2015年分も購入することに期待し ています。対応が遅くなれば、それらのドメインが悪意のある誰かに入手される 可能性が高くなります。ただし、特定のドメインがApple以外の誰かによって登 録されれば、ドメインの登録情報からそれが分かってしまうので、ハッカーが1 年も前からドメインを登録することはありません。

なぜIntegoのシンクホールサーバのログに、Windows NT 6.1マシン が表示されているのですか?

このマルウェアは、ネットワーク上での識別情報を隠すためにユーザエージェン トを偽装します。該当するログ内のユーザ情報の次の情報は、
World of Warcraftの動作に対応する64-bit Windowsを意味する“WOW64”ですが(Josh Long氏の指摘によって修正しました)、実際にはラ ンダムに表示されます。この文字列が、Windowsを意味すると判断してはいけな いのです。

この文字列自体は、Windows用のInternet Explorer(IE)やHTTPを使う他のどの プラットフォームでも使われますが、ログ内の文字列はユーザのブラウザが指定 しているものではありません。これはブラウザが通常のHTTP要求でサーバに送る ユーザエージェント文字列ではないのです。その文字列はWindows用IEが使われ ているから記録されたのではなく、指令管制サーバが認識できるように、マル ウェア作者が(文字通り)ランダムに特定の文字列を送信するように決めたもの です。

さらに言えば、その文字列はマルウェアとサーバの通信プロトコルの一部です。 この文字列は、感染したマシンからその指令管制サーバに送信されて認証に使わ れます。該当する文字列が指令管制サーバに送られないと、あるいは異なる文字 列が送られると、指令管制サーバは送信側のマシンをブラックリストに入れる仕 組みです。

Flashbackに対抗する方法は何ですか?

感染したマシンに対して新たな指示が送られないように、生成されるすべてのド メイン名を5つのTLD(.com、.net、.info、.in、.kz)で登録することです。た だし、それで感染したMacからマルウェアが除去されるわけではありません。除 去するには、最新バージョンのOSをプログラムのアップエートやセキュリティ アップデートなどを適用して最新の状態に保つか、セキュリティソフトウェア (例えば、弊社のVirusBarrier)をインストールすることです。

将来、悪意のある誰かがドメイン名を入手したら、どうなるので しょうか?

ハッカーは、痕跡を隠すためにボットネットに対して新しい指示を送ることがで きます。ドメイン名を生成する現在のアルゴリズムは解明されているので、どの ドメインがいつ要求されるか分かっています。しかしアルゴリズムがアップデー トされれば、次に要求されるドメインも変更されてしまうでしょう。そうなれ ば、新たなアルゴリズムが解析できるまで、ドメインを入手してその接続を防ぐ ことができなくなります。

このマルウェアは、ユーザのハードディスクを消去したり、ファイルにアクセス したり、パスワードやクレジットカード情報を盗むためにキーロガーをインス トールすることなどができます。最悪の場合、新たなマルウェアの感染を誘導す ることもできます。



Integoでは、お使いのMacがFlashbackに感染していないか確認することを、すべ てのMacユーザに強くお勧めします。Macユーザは、検出率で1位に輝くアンチウイルス製品Intego VirusBarrierをダウンロードし、Flashbackとその 亜種、あるいはその他のマルウェアを対象にスキャンを行うことが可能です。

Posted on January 16th, 2014 by

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

2014年1月11日土曜日

Flashbackボットネットは現在も稼働中

ソーシャルエンジニアリング技術を使ってユーザを騙し、危険なFlashプレイヤ パッケージをインストールさせるトロイの木馬、OSX/Flashback.AをIntegoのマルウェアリサーチチームが 見つけたのは、2011年でした。2011年初頭には、Javaの弱点を突いてダウンロードさせる手口でFlashback は拡散し、600,000万台のMacに感染したのです。そして、今日、弊社の最新の調 査により、そんなFlashbackに感染したボットネットが現在も存在し、稼働し続 けていることが分かりました。

Macにインストールされると、Flashbackは裏口を設置し て、感染したマシン上でほとんどなんでも実行できる状態になります。ハッカー が感染したMacに侵入し、ユーザの情報を嗅ぎ回ってユーザ名やパスワードをコ ピーすることもできますから、感染したMacのユーザは、考えられるあらゆる危 険にさらされることになります。

Apple Product Security Responseチームは、2012年にXProtectとセキュリティ アップデート(Malware Removal Toolを含む)を使ってこの脅威に対抗しました。しかし、弊社のシンクホール調査によれば、ボットネットの数は1 /6になったに過ぎません。それ以降、Appleは特に発表はしていませんが、2013 年末までに生成されたすべてのドメインを購入し始め、該当するドメインを閉鎖 してきました(つまり、毎回、.com、.net、.info、.in、.kzの5ヶのTLDで1つ のドメイン名を登録しています)。

一方、2014年になっても、Flashbackに感染したボットネットは静かに稼働し続 けています。

Integoも、Flashbackの脅威を監視するために、数千台のMacに感染した指令管制 サーバのドメイン名をいくつか購入しています。この1月2日から、こうしたド メインおよび弊社のシンクホールサーバが、いまだに動作し続けるFlashbackに 感染したMacからこうした指令管制サーバへ接続しようとするすべての通信を記 録しています。

以下は、Apache Serverログのコピーです:

Apache Server log screenshot shows the date of the http packet, the domain name used by the flashback malware, the URL, the Flashback version, and more

5日間で、最低22,000台の感染したMacが記録されています。今朝の時点では、 14,248ヶの最新のFlashbackの亜種の識別子が見つかります:

バージョン
sv:1 1,556
sv:2 1,813
sv:4 955
sv:5 9,924

今ではドメイン名はAppleが登録しており、他の研究者も監視していますが、作者が将来それらのドメイン名を買い直す可能性もありま すし、セキュリティ研究者による指令管制サーバの監視が終われば、他の犯罪者 がそのボットネットを悪用する可能性もあります。

Flashbackは、汎用性が高い設計になっています。本当に厄介なマルウェ アなのです。自己暗号化しますし、感染したMacのUUIDを使ってマシンの所有者 に関する情報を指令管制サーバに送出します。

Integoでは、すべてのMacユーザがFlashbackに感染していないか今一度確認する ことをお勧めします。検出率で一位に輝いた弊社のアンチウイルスソフト、Intego VirusBarrierをダウンロードして、お使いのMacに Flashbackの亜種が存在しないか確認することが可能です。もちろん、同時にそ の他のマルウェアの有無についても確認できます。

Posted on January 7th, 2014 by

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/