先日下記内容がYahooから届いた。
YahooとTポイントの提携が終わることは知っていたが、Tポイントがたまっていたことが衝撃だった。
33ポイントなんて何の使い道もないと思っていたのだが、Yahooでウクライナ募金をやっており、しかも1ポイントから募金できるというではないか!
という訳で早速支援させていただきました。雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
YahooとTポイントの提携が終わることは知っていたが、Tポイントがたまっていたことが衝撃だった。
33ポイントなんて何の使い道もないと思っていたのだが、Yahooでウクライナ募金をやっており、しかも1ポイントから募金できるというではないか!
という訳で早速支援させていただきました。株式会社ユニメディアは2022年3月2日、同社が運営するふるさと納税支援サイト「ふるさとプレミアム」への不正ログインについて発表した。
これは2022年2月17日午後1時に、同社にて「ふるさとプレミアム」管理画面の異常に気付き調査を開始したところ、ディスク使用量が100%に到達していたため、原因を確認したところ膨大な回数のパスワードリスト型攻撃を受けた可能性が判明したというもの。
同社によると、攻撃推定日は2022年2月13日から2月17日で、日本国内の2,000以上のIPアドレスから分散攻撃の形跡があり、その攻撃回数は約600万回に及んでいる。
不正ログインに成功したのは推計2,099ユーザーで、住所、氏名、性別、誕生日、電話番号、並びにAmazonギフトコードを閲覧または画像撮影できた可能性がある。
同社ではまず、大量アクセスを自動的に遮断できるシステムを導入しbotによるパスワードリスト攻撃を遮断し、続いて不正ログインと見做し得る攻撃対象5,774件について、利用者IDに紐づくパスワードの強制リセットを実施し、利用者にはパスワード強制リセットの連絡を2月17日午後21時38分までに行っている。
同社では既に、管轄の警察署に相談し捜査依頼が受理されており、その他監督省庁や専門機関への報告も完了している。
同社では現在、セキュリティを専門とする第三者機関に事態の解析を依頼しており、報告結果を受けて抜本的かつ恒久的な再発防止策の実施を決定しているとのこと。
2022年2月24日、Avast Threat Labs はデータワイパー「HermeticWiper」に付随する新しいランサムウェアを発見しました。このマルウェアはESETの仲間がウクライナで出回っているのを発見しました。この命名規則に従い、私たちはこのワイパーに付随するランサムウェアを HermeticRansom と命名することを決定しました。CrowdstrikeのIntelligence Teamが行った分析によると、このランサムウェアは暗号スキーマに弱点があり、無料で復号化することが可能です。
お使いのデバイスが HermeticRansom に感染しており、ファイルを復号化したい場合は、ここをクリックして Avast decryptor を使用してファイルを復元する方法に進んでください。
このランサムウェアはGO言語で書かれています。実行されると、ローカルドライブやネットワーク共有を検索して、潜在的に価値のあるファイルを探し、以下の拡張子のいずれかを持つファイルを探します(順番はサンプルからの抜粋です)。
.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb |
被害者のPCの動作を維持するために、ランサムウェアはProgram FilesとWindowsフォルダのファイルの暗号化を避けています。
ランサムウェアは、暗号化するファイルを指定するごとに、32バイトの暗号鍵を作成します。ファイルはブロック単位で暗号化され、各ブロックは1048576 (0x100000) バイトです。最大で9つのブロックが暗号化されます。9437184バイト(0x900000)を超えるデータはプレーンテキストのまま残されます。各ブロックは、対称暗号方式であるAES GCMによって暗号化されます。データの暗号化後、ランサムウェアはRSA-2048で暗号化されたファイルキーを含むファイルの末尾を追加します。公開鍵は、Base64でエンコードされた文字列としてバイナリに格納されています。
暗号化されたファイル名には、特別なサフィックスが付きます。
.[vote2024forjb@protonmail.com].encryptedJB
完了すると、"read_me.html "というファイルがユーザーのDesktopフォルダーに保存されます。
ランサムウェアのバイナリには、政治的な志向を持つ文字列が興味深いほど多く含まれています。2024年のJoe Bidenの再選に言及したファイル拡張子に加え、プロジェクト名にも彼への言及があります。
実行中、ランサムウェアは、実際の暗号化を行う子プロセスを大量に作成します。
ファイルを復号化するには、以下の手順で行ってください。
SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
サイバーセキュリティのスキル不足はピークレベルに達しており、大規模なサイバー攻撃が迫る中、この分野では50万人以上の求人が出ています。その結果、企業はサイバーセキュリティを強化するために、「ホワイトハッカー」を活用するようになっています。このホワイトハッカーは、バグや脆弱性を積極的に発見することで生計を立てている経験豊富なプロフェッショナルです。
では、このホワイトハッカーはどのようにして始めるのでしょうか。
従来の技術職の仕事に縛られることなく、彼らはオンラインリソースを活用して独学し、他のハッカーを観察し、既存のプロフェッショナルから戦術を学ぶことができるのです。これらのリソースを活用することで、初心者ハッカーはサイバーセキュリティの領域で特定の情熱を見出し、最終的にホワイトハッカーの専門家として自分の足跡を残すことができます。
初心者はここを見るべし
ハッキングの世界に足を踏み入れたばかりの初心者は、基本的な資料を活用し、用語やベストプラクティス、脆弱性報告など、組織で求められる知識を身につける必要があります。
自分で手を動かして学ぶ
時には、学ぶための最良の方法は、実行することです。以下のラボは、ハッカーが様々なタイプの倫理的ハッキングを実際に体験する機会を提供します。
専門家(プロ)から学ぶ
ホワイトハッカーはしばしばプロの発見を共有することに熱心で、初心者は彼らをよくフォローする必要があります。プロがどのようにバグバウンティ作業に取り組んでいるかを理解することは、 新米ハッカーが効果的に習慣を形成するのに役立ちます。(注意: これらのリソースの中には、かなり長い間更新されていないものもありますが、古い資料でも非常に有益な場合があります!)
動画で学ぶ
既存のハッカーを観察するためのもう一つの素晴らしいリソースは、YouTubeのコンテンツです。多くの著名なハッカーは、知識共有のために自分の仕事に関するコンテンツを投稿します。新しいハッカーは、キャリア、新しい発見、企業の報奨金プログラムとの連携方法について理解することができます。
ロシアのウクライナ侵略は、必然的にサイバー空間にも影響を及ぼすことになりました。
ランサムウェアによる攻撃は続いており、このタイムラインでも少なくとも1件の非常に有名な犠牲者が出ていますが、より高いレベルの活動を示しているのはロシア・ウクライナ戦線であり、ウクライナの企業に対する追加攻撃が DDoS、スピアフィッシングキャンペーン、HermeticWiper という新しい破壊的マルウェアによって実施されています。そして、もう一方の戦線では、ロシア政府に宣戦布告し、データを流出させ、複数のロシア機関(主に報道機関、銀行、さらにはクレムリン)に長期にわたるDDoS攻撃を加えているAnonymous集団があります(そして、この攻撃も次のタイムラインを特徴付けることになると思われます)。
ランサムウェアは引き続き脅威を特徴づけています。
また、フィンテック分野の企業に対する大規模な攻撃も続いています。NFT OpenSeaプラットフォームのユーザー17人が、200万ドル相当の損害を受け、大変な目にあいました。
例によって、このタイムラインには複数のサイバースパイ活動が登場します。中国発の新しいステルス型バックドア「Daxin」が発見され、2年以上隠されて、複数の組織に対して展開されました。同様に、このタイムラインには、以下のような複数の既知のアクターが登場します。OilRigとMuddyWater(イラン)、APT10とAPT27(中国)、Sandworm(ロシア)。このリストには、TunneVisionと呼ばれるイランの攻撃者(VMware Horizonサーバー上のLog4jを悪用)と、米国の防衛関連企業(CDC)を標的としたロシアの攻撃者による2つの新しいオペレーションも含まれています。
日本関連は2件でした。
美容製品のeコマースを展開するACROが公表した情報漏えい事件で、10万枚以上の決済カードの情報が流出した。この情報漏洩は、第三者である決済処理ベンダーの脆弱性が利用された結果です。
トヨタ自動車は、重要部品のサプライヤーの1つである小島工業がランサムウェア攻撃を受けたと報じられ、システム障害により自動車の生産業務を停止することを発表しました。
最近のサイトは特に広告やアクセス分析などで色々なAPI、プラグイン等を使っていますが、攻撃者にそうしたソフトウェアサプライチェーンを狙われている事を考えると、自社でサードパーティサービスを把握しきれていない場合は、このbuilt withを棚卸に使う事も有効なのではないかと思います。
サイトを外部から調査する場合も、手動で調べるよりはこうしたサイトを使う方が、求める情報(例えば何のECサイト構築パッケージを使っているか・・・)にたどり着くのが早い時があります。
下記は先日紹介した詐欺サイトの調査結果
概要
ホストが感染した、または侵害されたとき、セキュリティ専門家は、ネットワークトラフィックのパケットキャプチャ(pcaps)にアクセスして、活動の内容を理解し、それがどのような種類の感染であるかを特定しなければなりません。
本チュートリアルでは、Trickbotを特定する方法についてのヒントを提供します。Trickbotは情報窃取を行うバンキングマルウェアで、2016年以降、感染被害が確認されています。Trickbotは悪意のあるスパム(マルスパム)を介して、またはEmotet、IcedID、Ursnifなどのマルウェアによって配信されます。
Trickbotには明確なトラフィックパターンがあります。本チュートリアルでは、2つの異なる経路で起こったTrickbot感染pcapsを確認していきます。1つめはマルスパム経由でのTrickbot感染、2つめはほかのマルウェア経由で配信されたTrickbot感染です。
注意: 本チュートリアルの解説は、この回で行ったカスタマイズ済みWireshark列表示を前提としています。またこの回で解説したWiresharkディスプレイフィルタもすでに実装されているものとしています。まだ完了していない場合はこれらの内容を完了してから読み進めてください。
マルスパム経由のTrickbot
Trickbotは多くの場合マルスパム経由で配信されます。マルスパムには、請求書や文書を偽装したリンクが含まれていて、そのリンクから悪意のあるファイルをダウンロードさせようとします。ダウンロードされるファイルは、TrickbotのWindows実行可能ファイルの場合もあれば、Trickbot実行可能ファイルのためのダウンローダーである場合もあります。あるいは、電子メール内のリンクを使い、Trickbotの実行可能ファイルや、ダウンローダーを含むzipアーカイブを返してくる場合もあります。
下図は、2019年9月に発生した感染事例のフローチャートです。この事例では、メールにリンクが含まれていて、クリックするとzipアーカイブを返すようになっていました。このzipアーカイブには、Windowsショートカットファイルが含まれていて、そのショートカットファイルがTrickbot実行可能ファイルをダウンロードします。このTrickbot感染に関連するpcapは、こちら(バックアップ)に保存してあります。
このトラフィックからは、最近のTrickbot感染でよく見られる次の活動が確認できます。
このTrickbot感染に特有なのは、www.dchristjan[.]comに対するHTTPリクエストがzipアーカイブを返していること、そして144.91.69[.]195に対するHTTPリクエストがWindows実行可能ファイルを返していることでしょう。
ではここで、下図に示す手順でwww.dchristjan[.]comあてのリクエストを確認してみましょう。パケットを右クリックしてコンテキストメニューを開き、[Follow(追跡)]、[HTTP Stream(HTTPストリーム)]の順に選択してトラフィックを確認します。
表示されたHTTPストリームから、zipアーカイブが返されている痕跡を確認できます(下図参照)。
上図からは、zipアーカイブに含まれるファイル名が「InvoiceAndStatement.lnk」であることも確認できます。
Wiresharkでは、トラフィックからzipアーカイブをエクスポートすることができます。
[File(ファイル)]、[Export Objects(オブジェクトをエクスポート)]、[HTTP]を選択
HTTPオブジェクトのリストからContent Typeがapplication/zipの行を選んで[Save(保存)]をクリック
さて、144.91.69[.]195へのHTTPリクエストはWindows実行可能ファイルを返していました。これはTrickbotが初期に利用するWindows実行可能ファイルです。このHTTPリクエストのHTTPストリームを追跡すると、これが実行可能ファイルであることを示す痕跡を見つけることができます。
またpcapからは、この実行可能ファイルを抽出することができます。
初期感染トラフィックに見られるのは、443/tcp、447/tcp、449/tcp経由のHTTPS/SSL/TLSトラフィックと、感染WindowsホストからのIPアドレス確認です。この例での感染の場合、Trickbot実行可能ファイルのHTTPリクエストの直後に443/tcp経由で複数のIPアドレスに対してTCP接続が試行され、その後449/tcp経由で187.58.56[.]26へのTCP接続が成功している様子が確認できます。
以前の講座で作成したディスプレイフィルタ「basic+」を使うと、これらのTCP接続試行を確認できます。
447/tcp、449/tcp経由で行われたさまざまなIPアドレスへのHTTPS/SSL/TLSトラフィックからは、まともなものではない証明書のデータが見つかります。
証明書の発行者を確認するには、Wireshark 2.xでは「ssl.handshake.type == 11」でフィルタリングします。Wireshark 3.xを使っている場合は、「tls.handshake.type == 11」でフィルタリングします。次に、フレームの詳細セクションに移動して情報を展開し、下図に示した手順に従って証明書発行者データを見つけます。
上図からは、以下の証明書発行者データが、449/tcpを介した187.58.56[.]26へのHTTPS/SSL/TLSトラフィックで使用されていることがわかります。
まともなHTTPS/SSL/TLSトラフィックであれば、州や県の名前が「Some-State」であったり、組織名が「Internet Widgits Pty Ltd」になっていたりすることはありえません。これらは、これが悪意のあるトラフィックであることを示す痕跡です。また、証明書発行者データにこうした異常が見られるのは、Trickbotに限ったことではありません。
では、まともなHTTPS/SSL/TLSトラフィックの正常な証明書発行者とは、どのように見えるものなのでしょうか。これについては、同じpcap内で先に発生していたMicrosoftのドメイン72.21.81.200への443/tcpのトラフィックを見るとよいでしょう。これは、下図に示すような内容であることがわかります。
Trickbotに感染したWindowsホストは、さまざまなIPアドレス確認用サイトを使用してIPアドレスを確認します。これらの確認サイト自体は悪意があるものではありませんし、トラフィックそのものも本質的には悪意はありません。ただし、この手のIPアドレス確認行為は、Trickbotその他のマルウェアファミリ全般によく見られるものです。なおTrickbotの場合、以下を含む正当なIPアドレス確認サービスを利用しています。
繰り返しますが、IPアドレスの確認自体はとくに悪意のある行為ではありません。ただ、IPアドレスの確認と他のネットワークトラフィックでの行為があわされば、本事例で見てきたとおり、感染の指標として使えるようになります。
現時点のTrickbotによる感染は、8082/tcp経由のHTTPトラフィックを生成します。このトラフィックは、感染ホストからのシステム情報、ブラウザキャッシュとメールクライアントのパスワードといった情報を送信します。この情報は、感染ホストからTrickbotが使うコマンド&コントロール(C2)サーバーに送信されます。
C2とのトラフィックを確認するには、次のWiresharkフィルタを使用します。
http.request and tcp.port eq 8082
このフィルタを適用すると、以下のHTTPリクエストを確認できるようになります。
「81」で終わるHTTP POSTリクエストは、webブラウザや電子メールクライアントなどのアプリケーションにキャッシュされたパスワードデータを送信しています。「83」で終わるHTTP POSTリクエストは、webブラウザなどのアプリケーションが送信したフォームデータを送信しています。また、「90」で終わるHTTP POSTリクエストは、システム情報を送信していることが確認できます。これらHTTP POSTリクエストのどれか1つをTCPストリームないしHTTPストリームとして追跡すれば、この感染で窃取されたデータを確認できます。
TrickbotはHTTP GETリクエストを使い、「.png」で終わるWindows実行可能ファイルをさらに送信してきます。Trickbotのフォローアップを行うこれらの実行可能ファイルは、感染WindowsホストがActive Directory環境のクライアントの場合、脆弱なドメインコントローラ(DC)に感染するために使用されます。
次のWiresharkフィルタを使うと、pcap内にあるこれらHTTP GETリクエストのURLを見つけることができます。
http.request and ip contains .png
フィルタリングで見つかった3つのGETリクエストそれぞれについて、TCPストリームないしHTTPストリームを追跡してください。Windows実行可能ファイルの痕跡が見つかるはずです。ただしこの事例でのHTTPレスポンスヘッダは、それが明らかにWindows実行可能ファイルやDLLファイルであっても、返されたファイルを「image/png」だと識別しています。
これらのファイルについても、先に説明した手順でWiresharkからエクスポートし、Windows実行可能ファイルであることを確認し、SHA256ファイルハッシュを取得することができます。
他のマルウェアによって配信されるTrickbot
Trickbotはほかのマルウェアによって配信されることも多くあります。たとえばTrickbotはEmotetによる感染でフォローアップ用マルウェアと見なされることが多いですし、IcedIDやUrsnifなど別のマルウェアに感染した場合のフォローアップにもよく使われます。
ただやはりEmotetがTrickbotを配信する例が多いので、ここではEmotetとTrickbotの感染について確認してみることにしましょう。本チュートリアルではTrickbotの活動に焦点を当てたいと思います。
対応するpcapはこちらのページ(バックアップ)からをダウンロードしてください。このpcapは、パスワードで保護されたzipアーカイブファイル「2019-09-25-Emotet-infection-with-Trickbot-in-AD-environment.pcap.zip」内にあります。パスワードには「infected」と入力し、zipアーカイブからpcapを抽出してWiresharkで開いてください。前回までの講座で作成したディスプレイフィルタ「basic」を適用して、webベースの感染トラフィックを確認します(下図参照)。
経験豊かなアナリストであれば、Emotetの生成するトラフィックとTrickbotの生成するトラフィックとをひと目で識別できるでしょう。Emotetによる感染後活動は、HTTPトラフィックでサーバーからエンコードデータを受信する内容となっています。これはコマンド&コントロール通信にHTTPS/SSL/TLSトラフィックを使うTrickbotの感染後の活動とは明らかに異なります。たとえば、下図に2019年9月の感染事例で確認されたEmotetとTrickbotの感染トラフィックを示していますが、この図からも両者が極めて異なっていることがわかります。
この特定の感染例は、感染Windowsクライアントが10.9.25.102、DCが10.9.25.9というActive Directory環境で発生したものです。トラフィックの最後のあたりに、DCがTrickbotに感染した兆候が見られます(下図参照)。
では、クライアントからどのようにしてDCに感染が広がったのでしょうか。Trickbotはある特定のEternalBlueエクスプロイトを使い、MicrosoftのSMBプロトコルを介して横展開します。この事例で感染Windowsクライアントは、445/tcp経由で10.9.25.9のDCに情報を数回送信した後、Trickbot実行可能ファイルを185.98.87[.]185/wredneg2.pngから受信していました。
「basic+」フィルタを使い、DCが185.98.87[.]185に通信を張る直前の、10.9.25.102のクライアントと10.9.25.9のDCとのトラフィックのSYNセグメントをフィルタリング表示してみましょう(下図参照)。
TCPストリームをどれか1つ選び、右クリックしてコンテキストメニューから[追跡]を実行してください。ここでは、接続元が10.9.25.102、接続元のTCPポートが49321、接続先が10.9.35.9、接続先TCPポートが445の行を追跡しています。このトラフィックはクライアントがDCに送るものとしてはかなり特異な内容であるため、EternalBlueエクスプロイトに関連したものと考えられます。このトラフィックを表示したのが下図です。
この特異なSMBトラフィックとDCの感染を除けば、こちらのpcapで見られたTrickbot特有の活動は、マルスパムのpcapで見られた内容と非常によく似ています。