I am alive

セキュリティ関連の記事を中心に投稿してきます。発言は個人の責任で、所属する組織を代表するものではありません。

今後のブログ運営について

先日セキュリティ業界で有名な方にツイートして頂きアクセス数が伸びて非常に嬉しかったものの、翻訳元のサイトへのアクセス数を奪ってしまっているのではないかとも同時に感じました。

海外の記事を要約して付加情報も追記して投稿しているのであれば、このサイト自身の意味もあるかもしれませんが、私の知識不足のためほぼ翻訳になってしまっていたため更新頻度を落とし、その代わりに内容をもう少し濃くしようかと思います。

私の知識がいきなり増えるわけではないので、最初のうちは今まで通りのような内容になってしまうかもしれませんが長い目で見守っていただければ幸いです。

 

WebLogicの脆弱性(CVE-2018-2628)スキャンを検知 修正パッチのバイパス方法も発覚 

www.bleepingcomputer.com

Oracle社のWebLogicであったリモートから任意のコード実行が可能な脆弱性(CVE-2018-2628)の修正パッチが4月17日(アメリカ時間)に出ました。それ以降、CVE-2018-2628の脆弱性が残っているサーバを探すスキャンが始まったようです。 

スキャンが増えるまでの経緯 

このWebLogic脆弱性は、NSFOCUS Security TeamのLiao Xinxi と個人の研究者のloopx9により発見されました。その後、Xinxi氏が修正パッチが出た後にブログにCVE-2018-2628の解説を投稿し、それを見たBrianwrfというユーザによりPoCがGithubに公開され、すぐにスキャンが始まりました。  

ただし、BleepingcomputerがGrecyNoise社から聞いた情報によると、まだ実際に攻撃が行われた通信は確認されていないようです。(2018年4月30日時点(アメリカ時間))

f:id:anoymask:20180430233835p:plain

引用:Netlab

修正パッチのバイパス方法 

修正パッチのバイパス方法は、Alibaba Cloud社のpyn3rdにより報告されました。

どうやら、Oracle社は問題部分をブラックリストに追加しただけだったためバイパス出来たようです。(バイパス方法は、1つ目のツイートのリプライを参照してください。)

Kevin Beaumontによると、対策としてはWebLogicのT3プロトコルで使用しているport 7001/tcp宛てへのインバウンド通信(外から内への通信)を防ぐことのようです。

※デフォルトはport 7001/tcpですが、デフォルト設定から変更しているのであれば変更したportを防ぐべきでしょう。

 まとめ

Drupalも私の記憶が正しければブラックリストでの修正だったため再度修正パッチを出していたような気がします。こういった緊急を要する修正パッチは早めに適用すべきだとは思いますが、適切なアクセス制御等で脅威の軽減をすることも可能なため、修正パッチ以外での対策も考えて焦らず少し様子を見たほうがいいのかもしれませんね。

 

最後まで読んでいただき、ありがとうございました。

今日、明日仕事や学校がある方は頑張ってください!

参考

Oracle Critical Patch Update - April 2018

NVD - CVE-2018-2628

Oracle botches CVE-2018-2628 patch and hackers promptly start scanning for vulnerable WebLogic installsSecurity Affairs

Windowsをクラッシュさせ、ブルースクリーンにする脆弱性が公開された(PoCも公開済み)

www.bleepingcomputer.com

 Bleepingcomputerによると、セキュリティ会社であるBitdefender Marius TivadarがWindowsをクラッシュさせてブルースクリーンにする脆弱性を発見したようです。しかも、GithubにPoC(Proof of Consept)もTivadar氏により公開済みです。

脆弱性について

Tivadar氏が発見した脆弱性は、NTFSと呼ばれるファイルシステムの処理方法による問題のようです。Windowsでは、USBを指すとUSB内のNTFSイメージが自動で読み込まれてしまいます。これを悪用し、悪意のあるNTFSイメージを作成してUSBに保存します。その後、標的のPCにUSBを刺すとクラッシュさせることが出来ます。

Windowsでは、画面ロック(ログイン前)状態でも自動でUSB内のNTFSイメージを読み込むためクラッシュさせることが出来るようです。また、Tivadar氏によると、USBを刺さずともマルウェア等で相手のPCに悪意のあるNTFSイメージを仕込むとウイルス対策ソフト等でスキャンした時にクラッシュさせることもできるようです。 

いちよ、デモ動画を載せておきますね。

www.youtube.com

 

対象となるバージョン

対象となるバージョンに関する情報を記載しますが、Githubに記載されているTivadar氏が実験した製品のみとなります。

そのため、この他のバージョンも対象になる可能性はあります。

  1. Windows 7 Enterprise 6.1.7601 SP1, Build 7601 x64
  2. Windows 10 Pro 10.0.15063, Build 15063 x64
  3. Windows 10 Enterprise Evaluation Insider Preview 10.0.16215, Build 16215 x64

対策

対策は現状のところありません。強いて言えば、不審なUSBを使わないこととかでしょうか?

Tivadar氏は、2017年の7月にマイクロソフトにこの脆弱性を報告したようですが修正を拒否されたようです。そのため、修正パッチ等は出ておらず放置されたままです。(2018年4月27日時点)

Tivadar氏がこの脆弱性の詳細とPoCを公開したのはこのこともあってだと思われます。

まとめ

 筆者自身の意見としては、この脆弱性マイクロソフトが修正しなかったのもなんとなく分かるなと思いました。攻撃を成功させる条件が厳しく、影響を受けるとしてもブルースクリーン程度です。

もし、マルウェア等で悪意のあるNTFSイメージを標的PCに仕込んで、起動時に毎回読み込ませてPCを使わせないことが出来れば修正されるべき脆弱性と言っても良いかもしれません。または、クラッシュさせるだけでなく任意の操作をさせることが出来れば間違いなく修正されるべきでしょう。

 

最後までお読みいただき、ありがとうございました。

GW中は帰省中のため書けるときに書くことになるかと思います。

それでも、2日に1回以上は更新したいと思います。

参考

GitHub - mtivadar/windows10_ntfs_crash_dos: PoC for a NTFS crash that I discovered, in various Windows versions

windows10_ntfs_crash_dos/ntfs_crash.pdf at master · mtivadar/windows10_ntfs_crash_dos · GitHub

世界最大のスパムボットである「Necurs」で新たな検知回避手法が見つかる

blog.trendmicro.com

世界最大のスパムボットである「Necurs」に、検知を回避する新たな手法が見つかりました。

今回見つかった手法では、.URLファイル(Internet Shortcut)を使い検知を回避するようです。

簡単に「Necurs」について確認して、今回見つかった手法を見ていきまーしょ!

Necursとは?

Necursとは、スパムメール投げるボットネットです。また、そのボットネットを形成するためのマルウェアも指します。

2012年頃に発見されて以降、LockyやTrickbotと呼ばれるバンキングマルウェアのばらまきキャンペーンなどを行ってたびたび話題になっていました。

Ciscoのブログによると、バンキングマルウェア以外にも、ランサムウェア、出会い系スパム、仮想通貨ウォレットの認証情報のフィッシングなど数多くの種類があるようです。モジュラ型のマルウェアのようなので、攻撃者の目的ごとによって簡単にカスタマイズが出来るようになっているみたいです。

※Necursの説明を非常に簡単にしましたが、さらに詳しい内容はCiscoのブログに分かりやすく書かれているのでそちらをご参照ください。

今回見つかった検知回避の手法

今回見つかった検知回避の手法は、標的端末にマルウェアを感染させるための第一段階での手法です。

説明を始める前に、下図を見ていただいた方がイメージして頂けるかもしれません。

f:id:anoymask:20180428012756j:plain

引用:TrendMicro Blog

それでは全体の流れを説明します。

まず、Necursからスパムメールを飛ばします。その際、C2サーバのアドレスが記載されているファイルのアイコンを偽造した.URLファイルをZIPファイルに内包して送ります。次に、スパムメールを受信したユーザが、.URLファイルをクリックするとC2サーバへアクセスしに行き2個目のダウンローダーであるQUANTLOADERをダウンロードします。(ファイルを取り行くときは、SMBプロトコルを使うようです。)

最後に、QUANTLODERが本元のマルウェアをダウンロードして標的端末に感染します。

検知回避のポイントは、.URLファイルにスクリプトが記載されていないことです。PDFにjavascriptが組み込まれていたり、Wordにマクロが組み込まれていると不正なコードであった場合はウイルス対策ソフトに検知されてしまいます。ですが、今回の.URLファイルはURLのみしか書いていないため検知されにくくなります。検知されるとしても、ある程度通信が確認されてシグネチャに追加されてからでしょう。

QUANTLOADERについても触れておきます。

Necursが.URLファイルを使っていなかったときは、javascriptで直接本元のマルウェアをダウンロードしていたようです。しかし、今回は検知されにくくするためにQUANTLOADERを挟んでいたようです。また、もう一つQUANTLOADERには役割があり、QUANTLOADERはレジストリにコピーして起動時に毎回実行されるようにしているようです。つまり、本元のマルウェアを消しても起動するたびに復活します。

面倒くさいですね。。。

対策

不審なファイルを開かないことや適切なポート制御をすることです。

勿論、被害に合うことを前提で他の対策も講じるべきでしょう。

TIPS

トレンドマイクロのブログに偽装された.URLファイルを見分けるポイントがあったのご紹介します。

.URLファイルは、Internet Shortcutとも呼ばれておりショートカットファイルの一種です。そのため、下記の画像のように普通のショートカットファイルと同じくアイコンの左下に矢印が出ます。

一度覚えておくと忘れてしまっても、ふとした瞬間に思い出して救われると思いますw

f:id:anoymask:20180428022739j:plain

引用:TrendMicro Blog

まとめ

今回は、Trendmicroのブログを元にNecursで使われていた新たな検知回避方法について書きました。記事を書くにあたって、筆者自身の理解のために色々調べていたところ参考2、3でも.URLファイルを使った方法のものを見つけたと書いてあったので現在の主流のようです。それか、今後流行っていく可能性があるものかと思われます。

不審なファイルを開かないようにして、PCやネットワーク機器のアクセス制御を一度ご確認してされるのも良いかと思います。

 

最後までお読みいただき、ありがとうございました。
毎日投稿すると言いながら2日ごとのペースになってきています。

これ以上は更新頻度落とさないように、とりあえず一か月は続けていこうと思います。

 

参考
  1. World's Largest Spam Botnet Finds a New Way to Avoid Detection... For Now
  2. Quant Loader Trojan Spreads Via Microsoft URL Shortcut Files | Threatpost | The first stop for security news
  3. Payload delivery via SMB - SANS Internet Storm Center

ウクライナのエネルギー省へDrupalの脆弱性(CVE-2018-7600)を使った攻撃 ランサムウェの被害にも?

threatpost.com

ウクライナのエネルギー省(Energy Ministry)がランサムウェの被害に合いました。

この記事によると、どうやら先日話題になったDrupal脆弱性(CVE-2018-7600)を使って攻撃が行われていたようです。また、今回の攻撃はどこかの国に支援された攻撃グループではなく、アマチュアハッカー集団だと予想されています。

攻撃方法

今回行われた攻撃は2段階ありました。

最初は、Drupal脆弱性を使ってサーバに侵入してバックドアを設置し、Webサイトの改ざんが行われました。

次に、侵入した際に設置したバックドアを利用してサーバ内のファイルをランサムウェにより暗号化しました。要求した金額は、たったの0.1bitcoin(約10万円)のようです。

影響範囲

今回行われた攻撃の影響範囲は、かなり限られているようです。

ウクライナのサイバー警察に所属しているYulia Kvitko氏がロイター通信の取材に対して、今回の被害はエネルギー省のみであり他の政府機関には影響はないと言っています。

攻撃グループ

この攻撃は、2つの攻撃グループが何らかの形でコミュニケーションを取りながら行われた可能性があるとThycotic社の最高セキュリティ研究者 Joseph Carson氏は言っています。

また、もっと大きな攻撃に備えるための準備か自分たちのスキルを証明するために行ったのではないかとも言っています。

まとめ

ウクライナの政府機関が狙われたというニュースを見て急いで記事を書きましたが、Joseph Carson 氏が言うようにテストか自分たちのスキル表明のような攻撃で拍子抜けしました。今回の攻撃は、被害がとても少なかったですが、テストであったならば今年中に大きな攻撃が来ても可笑しくないと思います。

今回使われたDrupal脆弱性(CVE-2018-7600)は、Threat postの記事にも書いてありますが、Botnetでもうすで使用されています(参考2と3)。そのため、今後は無差別で攻撃が行われて被害が増えることが予測されるでしょ。現在は、コインマイナーを設置する攻撃が流行っていますが、いつ傾向が変わってまたランサムウェに移るのか、または全く新しい攻撃に変わるのか分からないため早めのパッチ適用や適切なポート制御(現在確認されている攻撃では、port 7001/tcpが使われます)をした方が良いでしょう。

 

最後までお読みいただき、ありがとうございました。

急いでまとめたため、読みづらい記事になっているかと思いますがご了承ください。

参考

1) Ransomware infects Ukraine energy ministry website - BBC News

2) Muhstik Botnet Exploits Highly Critical Drupal Bug | Threatpost | The first stop for security news

3)【セキュリティ ニュース】「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる(1ページ目 / 全2ページ):Security NEXT

 

 

ランサムウェアSatanでEternal Blueを使った新種を発見 WannaCry再来か?

 

bartblaze.blogspot.jp

Satanというランサムウェアはご存知でしょうか?

RaaS (Rasomware as a Service)とは、ランサムウェアを提供するサービスのことです。SaaSやIaaSのランサムウェアバージョンだと思ってください。ダークウェブ上で、展開されているRaaSはお金さえ払えば誰でもランサムウェアを買えてしまいます。

このRaaSで提供されるランサムウェアの一つがSatanであり、このSatanでEternal Blueを使う新種が見つかったようです。

WannaCryで振り返るEternal Blue

WannaCryのことを覚えているだろうか?

ホンダの狭山工場やマクドナルド等が感染して騒いでいたのを鮮明に覚えている方もいるのではないでしょうか。

でも、なぜあんなに騒がれていたのか覚えている方は少ないと思うためおさらいしたいと思います。

WannaCry以前にも、ファイルを暗号化して復号するために金銭を要求するランサムウェアはありました。しかし、WannaCry以前のランサムウェアは感染した端末のみしか被害に合いませんでした。もう分かったと思いますが、WannaCryは他の端末にも感染する初のランサムウェアだったため騒がれました。

前振りが長くなりましたが、WannaCryで使われた他の端末にも感染する攻撃方法(脆弱性)がEternal Blueです。

Eternal Blueを使ったSatan

Eternal Blueを使ったSatanは、2017年11月からあったようです。

特徴としては、Eternal Blueが使われたということぐらいで正直あまり最初に取り上げたブログを見る限り、目新しい特徴はないかと思います。UAC(ユーザーアカウント制御)が有効であれば、Satanが実行された際にポップアップが表示されて実行するか聞かれるため洗練されたものでもありません。

ここまで読ませておいてそれはないだろ?と思うかもしれませんが、まだ話は終わっていません。このSatanが見つかったのは2017年の11月です。今は、2018年4月下旬です。当然、今回取り上げたものよりも進化しており実行する際にポップアップを表示させるなど、ユーザーに実行中に気づかれるようなことはしないでしょう。

RaaSという誰でも使えるサービスで提供されているSatanがこの様な特徴を持ったということは、これからは一部の犯罪組織のみではなく、遊び半分の人も使えるようになるということです。WannaCryでの教訓を活かして早めの対応をするべきでしょう。

ランサムウェアへの対策

  • UACを有効にすること
  • Windowsの定期的なアップデートを行うこと
  • 特に、Eternal Blueへの対策として出たMS17-010は行うこと
  • アンチウィルスソフト使用し、定期的なアップデートを行うこと
  • ACLへのアクセスを制御すること
  • バックアップを取ること
  • SMBv1を使わないこと(使用する場合は、適切な制御を行うこと)

これ以外にもありますが、長くなるため代表的なものをあげました。

Wannacryに感染しないような設定になっているか確認できる自診くんというものもあるので試してみると良いかもしれません。

※社内ネットワークから試すとネットワーク機器が攻撃と勘違いしてアラートをあげる可能性があるのでご注意ください。

 

参考

ランサムウェア「WannaCry」対策ガイド rev.1 | セキュリティ対策のラック

サイバー犯罪を支援するクラウド、やっかいなことに人気 | 日経 xTECH(クロステック)(RaaS)

Windows 10でユーザーアカウント制御の有効/無効を設定する方法

CIA長官のメールをハッキングした少年 懲役2年が決定

thehackernews.com

Kane Gambleという少年をご存知だろうか?

2015年、当時15歳だった彼はCIA長官の電子メールへ不正アクセスを行った。その後、自分の攻撃を自慢するためにTwitterなどでメールに添付されていた機密情報などを公開した。

今週の金曜日、その彼に対して懲役2年が言い渡された。

Kane Gamble

Kane Gambleは15歳という若さでありながら、Crackas With Attitudeと呼ばれるパレスチナのハッキンググループのリーダーをしていた。彼らの活動目的は、アメリカ政府機関への攻撃だったようです。まず、彼らはCIA長官の電話番号からキャリアがVerizonであることを突き止め、Verizon従業員にCIA長官の銀行口座の番号を含む個人情報を聞き出した。その後、AOLにアカウントがロックされていると嘘の電話し、CIA長官本人であるか確かめられた際に口座番号を伝えパスワードのリセットをさせた。

CIA長官のAOLのメールアカウントには機密情報が添付された電子メールなどがあったようだ。最後は、自分の攻撃成功を自慢するためにTwitterなどで証拠写真や機密情報を公開して逮捕された。

今回の判決について

彼は、2015年後半から2016年の頭まで犯行に及んでいました。そして、2016年2月に逮捕され、昨年10月に10件の容疑で裁判にかけられました。その後は、1月に最初の判決が出て、金曜日にあった最終判決で懲役2年が言い渡されました。

まとめ

大きな罪を犯したことは確かではあるものの当時15歳だった彼に対して、懲役2年というのは少し長い気がしています。MOTHERBOARDによると、彼は判決まで母親と暮らしながら学校に行き、ホワイトハッカーとしてWebサイトの脆弱性報告をしていたようなので、反省して自分の能力を活かして社会のために活動していることを尊重してあげるべきかなと個人的に思いました。

 

最後までお読みいただき、ありがとうございました。

今回の事件を詳しく知らなかったため色々調べてはみましたが、間違っている点もあるかもしれません。もし、何か間違っている点などありましたらコメントください!

参考

Teen Who Hacked CIA Director's Email Tells How He Did It | WIRED

A young hacker violated the CIA Director's private AOL emailSecurity Affairs