マルウェアの活動
名古屋大学 情報基盤センター
情報基盤ネットワーク研究部門
嶋田 創
概要
マルウェア概要
ネットワークを介したマルウェアの送り込み
メールベース ウェブベース
ネットワークを介したマルウェアの活動
スパイウェア系 ボットネットクライアント系 バックドア系 Remote Administration Trojan系
ランサムウェア(末尾に長めに説明)
マルウェアとは
MALicious softWARE(悪意のあるソフトウェア)の略
かつてはよくコンピュータウイルスと呼ばれていたが、最近は
マルウェアと称すことが多い
コンピュータウイルスとの違い
愉快犯や技術誇示からサイバー犯罪の道具へ おおっぴらに感染/拡散しない 特定のグループ/ネットワークのコンピュータにのみ感染 そもそも、あまりばらまくと発見される可能性が高くなる おおっぴらに怪しい通信したりしない 他の通信にまぎれて通信したりします おおっぴらに破壊活動をしたりしない 発見されると証拠隠滅することはありますマルウェアの分類
(1/2)
複数の機能を持っているマルウェアは珍しくない点に注意
ドロッパ
(ダウンローダ)
より高度なマルウェアを送り込む 他のファイル形式の脆弱性を利用した実行ファイルのカプセル化
スパイウェア
金融関係情報や各種サービス用ユーザ名/パスワードの窃取 キーロガーやスクリーンショット取得などの機能
バックドア作成
遠隔で司令を受けて動作可能な口をインターネットに向けて開く 他にも悪用に便利なツールセット導入も、→ルートキット
ボットネットクライアント
司令を受けての一斉の外部攻撃などの動作を目的としたマルウェアマルウェアの分類
(2/2)
RAT(Remote Administration Trojan)
トロイの木馬、バックドア作成、ボットネットクライアントの発展
Poison Avy, PlugX, など
ランサムウェア
ファイルを暗号化して解除キーを脅迫
アドウェア
広告を大量に表示させることで収益につなげる ソフトウェアインストール時に付属ソフトウェアとして入る事例も多い
昔ながらのもの
ワーム: ひたすら他PCに感染して増殖 ウイルス: PCに何らかの異常を発生させる(デモ画面を出すなど)マルウェアの識別
バイナリ全体のハッシュ値
部分コード列との一致
埋め込みデータとの一致
→まとめてシグネチャにする
→シグネチャ型IDS/IPS、一般的なアンチウイルスソフトウェア
マルウェアの名付け
Antivirusメーカごとに名付けが違う
例
Kaspersky: Trojan-Ransom.Win32.Agent AVG: Trojan.Generic35
それどころか、ファミリ分けも違う
例
AVG Trojan.Win32.Agent Trojan.CoinMiner.AKQ Trojan.Dropper.Generic_r.AF Kaspersky: 全部Trojan.Inject2.MDEVirusTotalによるマルウェアの識別
様々な
Antivirusの結果を見ることができるサイト
マルウェアらしき物をアップロードすると結果を出してくれる 検体は利用されるので、間違って重要ファイルをアップしない
URL(ウェブサーバ)に対しても評価してくれる
というか、ちょこちょこ巡回しているらしいマルウェアの送り込み方
ウェブからのダウンロード
攻略されたウェブサイトから配布 ウェブ広告にまぎれて配布
昔ながらのメール
本体に添付することは減ってきてウェブからのダウンロードが中心に 複数のダウンロードを繰り返すDrive by Downloadに
標的型攻撃
(APT: Advanced Persistent Threat)
上記を標的に合わせて洗練させた、近年話題を攻撃
標的(機密情報サーバなど)にマルウェアを送り込むまでに複数の踏 み台PCを経由することもある
信頼性の高い攻撃用メールアカウント
の準備
従来だったら
セキュリティのゆるいフリーメールアドレスを利用する ただし、あまりにも評判が悪くなると後述のブラックリストで対策され る
近年では
そこそこメジャーな組織のメールアカウントを乗っ取って送信 できれば、その組織に対して関係が深い組織のメールアドレス 知り合いからのメールと見せかければ開封される可能性は数十倍高い 部署までやりとりに関係する所があればさらに好ましい 多段階でメールアドレス乗っ取りをかけることもメールアカウントの乗っ取り
「ウェブメールの認証変わったよ
(移行してね)」なフィッシング
メールはよく来る
信頼性の低いネットワークで
POP3/IMAP4などのパスワード
を暗号化したいプロトコルを使う
フリーWiFiなど注意(というか、いくらでも偽基地局は作れる) 今一度、暗号化されていないプロトコルを使っていないか確認しま しょう 暗号化されていない通信するのはHTTPS対応していないページぐらい にしましょう
他のサービスとユーザ名とパスワードを共有していて、他の
サービスでパスワード漏洩が起こる
普通はパスワードはハッシュ化した値を保存するが、生パスワードを 保存しているサービスも多々あると考えておく(生パスワード保存の 実例あり)送り込みメールの実例
2017/4に送られてきたもの
マルウェアを
zip圧縮ファイルで添付
----From: 日本人姓名 <[email protected]> Subject: ご注文ありがとうございます 各位 完成しております。 宜しくお願い致します。 ----実在しそうな日本人姓名と 政府系を装ったメールアドレス をFrom欄で騙る 内容を長く書かないことで ボロを出さないように している物が最近多いウェブからのマルウェア送り込み
送り込み方
ソフトウェア脆弱性の利用(Adobe Flash Playerなど)
メール中のURL MS OfficeマクロやJavaScriptからのダウンロード処理 他のソフトウェア(フリーウェア等)の中にパッキング
送り込むまでのやり口
マルヴァタイジング(Malvertizing) 水飲み場型攻撃 Drive by Downloadマルヴァタイジング
(Malvertizing)
MALware + adVERTIZING
インターネット広告を使ってマルウェアを送り込む
よく
Adobe Flashの脆弱性が使われる
Adobe Flashは使うならば最新の物にしましょう
クリックしないとFlash Playerが動作しないFlash Block系のアドオン などを使うのもあり
最近だと、「広告業者がマルウェア配布広告を排除できない
ならば、
AdBlockされるのはしかたがない」と言われることも
水飲み場型攻撃
特定のユーザがよく見るウェブサイトにマルウェアをしかける
水飲み場に集まる装飾動物を狙う肉食動物から由来 例: 特定の業種の入札関係のまとめページ
例
: アップデートハイジャックと合わせた攻撃
以下の様な.htaccessファイルがアップデート配布ディレクトリに置い てあった 指定したIPアドレスの範囲からアップデート要求があれば別ファイルを配 布 [1] https://jp.emeditor.com/general/ 今回のハッカーによる攻撃の詳細について / SetEnvIf Remote_Addr “106¥.188¥.131¥.[0-9]+” installSetEnvIf Remote_Addr “133¥.6¥.94¥.[0-9]+” install (… 同様に70行 …)
SetEnvIf Remote_Addr “124¥.248¥.207¥.[0-9]+” install RewriteEngine on
RewriteCond %{ENV:install} =1
Drive by Download
キーロガー系
以下の物を窃取してネットワークを介して送出
認証に関わる入力
キー入力 画面のスナップショット ブラウザのどの欄に入力したか確認可能 マウスのクリックをトリガとしてスナップショットを取ることで、ソフトウェア キーボードなどのどこをクリックしたかを確認可能
直接認証情報を取ることも
アプリケーションの認証情報保存ファイル 認証済みセッションのHTTP Cookieボットネットクライアント来
指令を受け取って攻撃などの動作を取る
最近では、
PCだけでなく組込系やIoT系のネットワーククライ
アントも利用される
2016年秋に話題となったMiraiとその亜種など ブロードバンドルータとかはグローバルIPアドレスを持っている組込 系なのでよく狙われる(アップデートしていますか?) 指令サーバ攻撃
指令
バックドア系
PC等を遠隔操作可能なように裏口を開ける
正規に動いているSSHやMicrosoft Remote Desktopを利用すること も
PC等をマルウェア配布サイトやボットネットの司令サーバな
どに利用
クライアントよりもやることが悪どいので、見つかった後の対応がめん どくさい
踏み台にしてさらなる悪さをすることも
どこぞから盗んだクレジットカードの悪用とかRAT(Remote Access Trojan)
トロイの木馬、バックドア、ボットネットクライアントの発展
指令を受け取って攻撃、自身の更新
/消去などの動作を取る
司令受信には、昔は独自プロトコルやInternet Relay Chat悪用が多 かったが、最近はHTTPやHTTPS経由が増えている
Twitter, github, gmail(のメールボックス), slack, なども
指令サーバ
攻撃
更新版配布サーバ
指令
代表的な
RAT: Poison Ivy
バージョンアップしながら今も利用されている
機能
スクリーンショット、音声、Webカメラの画像の取得 アクティブなポートの表示 キー入力操作情報の収集 開いているウィンドウの管理 パスワードの管理 レジストリ、プロセス、サービス、デバイス、インストールされているア プリケーションの管理 ファイル検索、同時に多数のファイル移動の実行 リモートシェルの実行 サーバの共有 自身の更新、再起動、終了RATを体験してみよう
体験用
RATとして(会社上層部へのへのデモなど) 、マクニカ
ネットワークスの凌さんが
ShinoBOTを作って公開している
悪用されないよう、常にShinoBOT動作中のウィンドウがトップに出る し、C&Cは固定https://shinobot.com/
ShinoSec Suiteと
いう、脆弱性を利
用してマルウェアを
送り込むドロッパ
作成から体験でき
る物も
脆弱性の監査や Exploitテストでは、 Metasploitも有名ランサムウェア系
ファイルを暗号化して復号用の鍵を有料で売りつける
(脅迫)
ネットワーク経由で鍵を送出したり決裁したり
今年、特に話題になっているので、末尾で長めに説明
2. 共通鍵を公開鍵で暗号化 3. 共通鍵を外部に送信(元ファイルは消去) 1. 共通鍵を 生成 4. メモリ中の共通鍵でファイルを暗号化標的型攻撃とその進行
英語では
Advanced Persistent Threat(高度な執拗な脅威)
失敗しても何度も攻撃を試みる
代表的な標的型攻撃の進行
侵入前に組織の内部構成を調査することもある 長いものだと攻撃に数ヶ月かけることもある 1. 組織内部潜入 2. 内部での拡散 3. 外部との通信基盤構築 4. 機密情報窃取 5. 情報送出 1, 2. 3. 4. 5.標的型攻撃の時間軸
標的型攻撃の実例
三菱重工への標的型攻撃
発覚
: 2011/8/11にサーバが再起動を繰り返すため
影響範囲
サーバー 45台、従業員用PC 38台 8種類のウイルスを発見 11の事業所から発見
発端
: “原発のリスク整理”という添付ファイル
東日本大震災(2011/3)の直後 Adobe Flashの脆弱性を利用 送信元は内閣府実在の人物の名前、メールアドレスを騙る 三菱重工は原発を作っている(いた)ので、受け取った人は疑わないさらに発展した標的型攻撃
やりとり攻撃
複数回のメールのやりとりの後にマルウェ ア送付
水飲み場型攻撃
「ある仕事をしている人が頻繁に見るペー ジにマルウェアを仕掛ける」ことによる特 定業種の業社への標的型攻撃 例: 政府のある機関のプレスリリース、入 札公告ページ その機関に関連する会社に対して攻撃 さらにIPアドレスを制限する事例もある 営業 攻撃者 発注仕様書 送りますので これで見積もりを こんな製品あります? カタログ カタログもらえます? ありますよランサムウェア被害の増加
(1/2)
ランサムウェア被害は昨年あたり
から急増
IPAが2016/3に直近の2ヶ月比数
倍の被害数を記録して注意喚起
(*1)
ちょうどTeslaCrypt(vvvウィルス)の 被害が広まった時
年間を通しても
2016年は2015年
の
3倍以上の被害報告(*2)
(*1) IPA, "【注意喚起】ランサムウェア感染を狙った攻撃に注意," 2016年4月. https://www.ipa.go.jp/security/topics/alert280413.html (*2) トレンドマイクロ, "2016年国内サイバー犯罪動向 速報版," 2017年1月. http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20170106014256.html (*1)より引用した、2016年1月から3月 のランサムウェア相談件数と被害数 11 17 96 10 15 84 0 20 40 60 80 100 120 2016/1 2016/2 2016/3 相談件数 被害相談ランサムウェア被害の増加
(2/2)
攻撃者も味を占めたのか多種のランサムウェアが出現
2016年前半に亜種も含めて多数出現(*1, スライド5)
Android OSやMac OSに感染する物も出現
2017/5にはWannaCryという通信処理の脆弱性を利用した
物により爆発的な流行を
今まではメール添付ファイルやウェブサイトからの感染 →脆弱なままのWindowsをネットワークにつなげているだけで感染 世界中で20万件以上の被害(欧州警察機関発表) (*2) セキュリティ更新が未適用なWindows 7が多数被害 (*1) IPA, "ランサムウェアの脅威と対策," 2016年10月 https://www.ipa.go.jp/files/000055582.pdf (*2) 日本経済新聞, "サイバー攻撃、150カ国で20万件以上被害 欧州警察機関," 2016年5月. http://www.nikkei.com/article/DGXLASGM14H5W_U7A510C1000000/ランサムウェアの動作
--ランサムウェアが使う暗号技術--
共通鍵暗号
: 暗号化と復号に同じ鍵を利用
暗号化/復号の処理が高速という特徴
公開鍵暗号
: 鍵を「暗号化のみ」と「復号のみ」に分割
暗号化しかできない鍵は公開する(公開鍵) 復号しかできない鍵は自分で持つ(秘密鍵) 共通鍵で暗号化 共通鍵で復号 公開鍵で暗号化 秘密鍵で復号
共通鍵は暗号化した状態でしかファイルなどに残さない
メモリの上のみに残して実行終了や電源断で消滅 --感染時の動作--2. 共通鍵を公開鍵で暗号化 3. 暗号化した 共通鍵を 攻撃者に送信 1. 共通鍵を 生成 4. メモリ中の 共通鍵で ディスク内の ファイルを 暗号化 ディスク内 メモリ内 攻撃者と秘密鍵ランサムウェアの動作
--被害範囲--被害にあった
OSから見えていたドライブ
1.
PC本体のディスク
2.
PCに挿していたUSBにメモリやUSB接続HDD
3.
PCから読み書き可能としていたネットワークドライブ
これでファイルサーバ側のデータまでやられた事例あり ファイルサーバ 本体ディスク ネットワークドライブ USBメモリランサムウェア対策
感染後にできることは確実性が無い
ので、事前に対策
日常的なデータのバックアップ
ソフトウェア更新
(セキュリティ関係)の迅速な適用
制限ユーザの有効活用
怪しいメールを開かない訓練
感染を
100%防ぐ方法は無いので、バックアップが最重要
感染後にかかるコスト
(もしくは損失)を低減させるために、
適切なコストをかけることを意識する
日常的なバックアップ
(1/2)
ランサムウェアにやられて困るデータは日常的にバックアッ
プする
バックアップ用メディアを常時接続していると感染時にやられる点に 注意
どれだけの間隔でバックアップを取るかはデータの重要性と
コストの兼ね合いで決める
バックアップ用のメディアも適切に管理
USB バックアップ用 メディアの管理 バックアップ日常的なバックアップ
(2/2)
PC故障によるデータ損失にも効果があることを考えて実施
復旧時に慌てて感染
PCにバックアップメディアを接続して、
バックアップを破壊されないように注意
書き込み禁止処理ができるようなバックアップメディアが好ましい
特に重要なデータならば、バックアップメディアの多重化や世
代バックアップなどを組み合わせる
バックアップメディアの多重化 世代バックアップ 5月第2週 5月第1週 5月第3週OS側の設定
ソフトウェア更新の迅速な適用
WannaCryは2017/3に出たソフトウェアアップデート(Windows Update)を適用していない所がやられた アップデートが業務用ソフトウェアへ影響することが怖いのであれば、 テスト用の環境を準備しておく
ユーザーアカウント制御をちゃんと適用
TeslaCryptなど一旦停止するラ ンサムウェアは存在する 右のポップアップが出て、「はい」 を選択しなければ動作しない もちろん、ユーザーアカウント制 御を切らないと業務用ソフトウェ アがまともに動かないこともある ので、リスクとコストの判断怪しいメールを開かない訓練の実施
種々の防災訓練のように事前の訓練はいざという時に有効
訓練回数によって開封率は低下
(*1, スライド7)
ただし、開封数0にはならない むしろ、0になるレベルだったら業務に多大な影響が出ているのでは
怪しいメールは他の人に相談する文化を作るのも重要
1人で考えるより複数人で考えた方が抑止力が働く 他の人にも同様のメールが来る可能性もあるので情報共有は重要 (*1) NRIセキュア, "サイバーセキュリティ傾向分析レポート 2016," 2016年8月. https://www.nri.com/jp/event/mediaforum/2016/pdf/forum240.pdfGmail, Yahoo mail などの外部メール
閲覧元を確認できる ウェブサーバ
