【転載】ハッカー事典 v2.0 をリリースしました。

Masafumi Negishi retweeted:





Threat Group Cards: A Threat Actor Encyclopedia v2.0 is released.

Download: thaicert.or.th/downloads/file…
:

Masafumi Negishi retweeted:

Threat Group Cards: A Threat Actor Encyclopedia v2.0 is released.



Download: thaicert.or.th/downloads/file…

EcZW6IAUEAE5wG5.jpg:largeEcZW7TeVcAAaFPG.jpg:large
バックアップ

【転載】本日(28日)観測されている日本語メールを参考程度に追記しました。/ マルウェア「Emotet」が再度、日本の組織を標的に


Emotet」に感染させるばらまき型メールに注意、9月から拡散活動が再び ...



本日(28日)観測されている日本語メールを参考程度に追記しました。/ マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。 

:

watoly retweeted:

本日(28日)観測されている日本語メールを参考程度に追記しました。/ マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。

sugitamuchi.hatenablog.com/entry/2020/07/…



マルウェア「Emotet」が再度、日本の組織を標的に


どうも@sugimuです。 ※Twitterでも情報を共有しています。
つい先日、Emotetの拡散活動が再開されたということで以下のブログを更新しました。
sugitamuchi.hatenablog.com
そして、本日(07/23)の8:30頃から日本語の件名、本文、添付ファイル名のメールを観測し始めましたので共有します。

f:id:SugitaMuchi:20200723100614p:plain
観測した日本語メール


目次

日本語のEmotetへ感染させる目的のスパムメール

Twitter上でも注意喚起をしています。
僕以外にも、ばらまきメール回収の会のbom氏が注意喚起情報を発信しているので、注意して確認する必要があります。(2020/07/23 10:20時点)

7/28 追記分

28日、朝から日本語メールを多数観測しており、複数組織が受信していることも確認しています。
参考として、観測したメールの一部(全体では数万通ほど)を紹介します。
以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。

f:id:SugitaMuchi:20200728122112p:plain
メール1

以下は記載されているリンクをクリックすることでEmotetに感染させる目的の悪意ある文書ファイルがダウンロードされます。

f:id:SugitaMuchi:20200728120100p:plain
メール2

以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。
過去に拡散が確認されたハッキングを騙るメールを悪用しているものと考えられます。

f:id:SugitaMuchi:20200728120547p:plain
メール3

以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。

f:id:SugitaMuchi:20200728122634p:plain
メール4

以下はEmotetに感染させる目的の悪意ある文書ファイルが添付されています。

f:id:SugitaMuchi:20200728121601p:plain
メール5

以下はいわゆる返信型と呼ばれるメールで、Emotetに感染させる目的の悪意ある文書ファイルが添付されています。
過去のメール等のやり取りに返信する形で送られてくることが特徴で、件名や本文などは決まっていないため、注意が必要です。

f:id:SugitaMuchi:20200728124338p:plain
メール6

上記以外にも多数観測していますが、現在確認されている件名はbom氏がまとめてくれていますので参考にしてください。
(こちらに記載されている件名は全て観測しています...)

上自分のメールアカウントに上記のような件名もしくはファイル名のメールなどが届いた場合や、
本文においても、内容が途中で内容が切れている、英語を直訳したような文面、日常会話で使わないような文面、何か違和感を感じる(人によりけりですが・・・)などのメールは注意が必要です。
なお、上記以外のメールも多数存在することを確認しております。
観測したメールに話を戻しますが、メールにはEmotetに感染させる目的の悪意あるドキュメントファイル(Maldoc)が添付されています。

f:id:SugitaMuchi:20200723110346p:plain
添付ファイル

この添付ファイルを開きマクロを有効にしてしまうと、悪意あるマクロが実行されてしまいます。
以下はサンドボックスで実行した結果です。

f:id:SugitaMuchi:20200723110557p:plain
サンドボックスでの実行画面

その後、この検体ではPowerShellが実行されて外部からEmotetがダウンロードされ、実行されてしまいます。

f:id:SugitaMuchi:20200723110701p:plain
プロセス遷移

実行されるPowerShellの通信先は以下のようにCyberChefで取り出すことができます。

f:id:SugitaMuchi:20200723111424p:plain
CyberChefでのデコード結果

今回はbom氏がブログで紹介している以下のCyberChef レシピ実装済URLを活用しています。
bomccss.hatenablog.jp気になる方はbom氏のブログを参照して活用ください。
現時点では、添付ファイルは以下の拡張子を確認しています。
.doc
.rtf
.pdf
pdfに関しては、リンク先が記載されており、リンク先を開くことによって悪意あるドキュメントファイル(Maldoc)がダウンロードされます。
ダウンロードされたドキュメントファイルは開かないように注意しましょう。
加えて、添付ファイルは存在せずにメール本文にリンクが記載されているパターンも存在します。
リンク先を開くことによって悪意あるドキュメントファイル(Maldoc)がダウンロードされるため、ドキュメントファイルは開かないように注意しましょう。

現在の日本国内での感染状況は?

上述したように、7/17の深夜からEmotetの拡散活動が再開されてからというもの、メール本文や添付ファイル、件名などの一部に日本語が混じることはSNS上で何度か確認はしておりましたが、
今回のように全て日本語が含まれているメールは前回の攻撃(2019年10月頃~2020年2月まで)以来かと思います。
メールのFromについても日本のドメインからのものであることから、日本の組織に属する端末が既にEmotetに感染しているものと考えられます。
観測している限りでは、200メールアドレス近くの国内のアカウントが侵害されており、20以上の国内組織がラテラルムーブメントしている可能性があります。
以下は関連する業種です。
化学工業
建設
福祉
食料品
運輸
不動産(7/28追記)
法律(7/28追記)
比較的取引やメールの頻度が多い同業種間での感染被害が多いと考えられるため、現状これらの業種の方々は注意が必要であると考えます。

まとめ

前回の攻撃(2019年10月頃~2020年2月まで)を振り返ると、日本語メールが確認され始めてからの日本国内の感染数の増加は異常であったと感じています。
今回においても、既に数十の組織で数百の端末が感染している可能性が考えられ、十分な注意が必要であると考えています。
Emotetに感染すると、メールの認証情報をはじめ、過去にやりとりしたメールの内容も不正に収集されます。
不正に収集された情報は攻撃者に渡ってしまうだけではなく、悪用されて世界中へばらまかれる危険性も孕んでいます。
過去には不動産系の企業が感染し、引っ越し者の個人情報が悪用されて配信されていたケースも知っています。
また、TrickBotやQBot、最終的にはランサムウェアのRyukなどに二次感染する可能性もあり、さらなる二次被害を受けることもあります。
マルウェア(コンピュータウイルス)はよくわからないと思うのではなく、ほんとにこれは身近な問題であると認識してほしいです。
感染しないために適切な対策を行ったり、仮に感染しても早急に適切な対処を行うことで感染被害を減らすことができます。
感染していない組織も含め、以下のような公開されている情報を一読し、感染する前から対応方法の検討や相談するべき組織等を把握しておくだけでもよいと思います。
ばらまきメール回収の会のにゃん☆たく氏のブログです。
mkt-eva.hateblo.jpタイトルはふざけてますが、中身は「Emotetに感染しないためにはどうすれば良いか」が紹介されていますので、こういう情報を活用するとよいでしょう。
また、JPCERT/CC EyesやIPAも対応方法等について情報を出しているため、しっかり確認しておくとよいでしょう。blogs.jpcert.or.jp
以上

<更新履歴>
7/23 公開
7/28 日本で観測されている日本語メールに関して追記

【転載】その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには

その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには | ハフポスト日本版:

©ザ・ハフィントン・ポスト・ジャパン株式会社
漏洩防止のため、重要なファイルをメールを送付する際、こんなやり方で送っていませんか。ファイルをパスワードを使って暗号化ZIPファイルにして送信。そのあとに、ファイルを開けるための、パスワードを同じメールアドレスに送るーー。銀行や弁護士、大企業なども使っている方法だ。

これは「意味がないだけではなく有害だ」。そう指摘するのは、アイデンティティ管理とプライバシー保護に詳しい「NATコンサルティング」代表の崎村夏彦さんだ。

多くの企業でセキュリティ強化の目的で、ZIPファイルを添付したメールとパスワードの通知をそれぞれ別のメールで送信することを内規などで推奨している。だが、ZIPさえ使っていればセキュリティ強化だと思い込む「盲信」に警鐘を鳴らす。

パスワードを送るのに同じ流通経路のメールを使うと、セキュリティは担保されない。同じ通信経路であるメールでパスワードを送ると、攻撃者がいた場合、同じ通信経路に流れるものは一挙に盗み見られるので、セキュリティは担保されないのだ。

また、ZIPファイル自体は問題ないとされているが、ZIPファイルの暗号化には複数の方式があり、一般に使われている方式は弱い暗号であるため、悪意のある攻撃者に対しては、脆弱だという指摘もある。

パスワードをSMSで送ったり、事前のオフラインで共有したりするなど、メール以外の流通経路を使えば問題はない。ただ、現状そのように周知徹底されることはほとんどないという。

情報処理学会2020年7月号の「さようなら,意味のない暗号化ZIP添付メール」の小特集の中で、ZIPファイルの使い方について、崎村さんらはこのように疑義を唱えた。

実は、ZIPファイル方式の無効性は以前から言われてきたことだ。このやり方が、過去にも様々なところで指摘されても、メールでパスワードを送ることが続いている。崎村さんは「セキュリティやプライバシーの監査基準で、メールなどのデータ転送の際に重要なデータは暗号化するようにと書いてあることを表面上満たすための最も安易な方法として実施されている可能性はある」と指摘する。この日本のZIPファイルをめぐる慣習は、もはや「おまじない」を信じているに過ぎない、という。

さらに崎村さんが「有害」と言う点。それは、メールの添付ファイルを使った攻撃に対して、暗号化されたZIPファイルは、中身がわからないが故に、企業が有害な中身がないかチェックする「マルウェア対策」を無効にしてしまう。そのため、かえって受信者のセキュリティリスクを高めている。

さらに、テレワークが増える今、会社支給のiPadやパソコン以外で仕事をすることも多くなっている。そんな中、デバイスによってはZIPファイルが開かないこともあるという。

受信者にとっては、開けるのに一手間かかるため面倒で、さらに、デバイスによっては開けられない状況に陥る可能性があるZIPファイルは業務の生産性の阻害にもなる。

今多く使われているZIPファイル方式では、2度メールを送るため、誤送信防止の効果があるという見方もあるが、「(2度の送信を)ツールで自動的にやっていたら意味ないですし、誤送信対策であったら、より効果的な方法が他にありますからそちらを採用すべきです」と崎村さんは指摘する。

情報処理学会誌などによると、識者の間ではこのZIPファイル方式を揶揄して、“PPAP”方式と呼ぶ。それは、
PasswordつきZIPファイルを送る

Passwordを送る

Aん号化(暗号化)する


Protocol (データ通信の手順)

だからだ。

識者の間では、PPAP方式が変わらない状況に危機感を覚えているという。「意味のない対策にお金を使ってしまって、本来やるべき対策が疎かになっています。干ばつに備えるには、貯水池と灌漑設備を作らなければいけないのに、そのお金を使って神殿をつくって祈りを捧げるようなもの」と崎村さんは懸念する。

新しい動きも一部にはある。セキュリティ改善のため、ある企業では、外部からの暗号化のファイルは見られなくしたり、ファイルはDropboxやGoogleDriveで利用者認証付きで共有するなど、メール添付ではない方法で受け取るよう指導するところも出てきている。

【転載】VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点:

1594206459

本日、日課にしているTwitterを眺めていたら、気になる投稿が目に留まりました。

ちょっと扱いこまるやつなので。
標的型メール訓練、開封、報告率とか「だけ」にフォーカスするのは訓練として足らない。そういった不審なモノが送られてきたら、それを約款に基づく外部サービスに対して提供をしない、といった社内リテラシ徹底がむしろ重要です。https://t.co/6fQrROEeBH

— hiro_ (@papa_anniekey) July 8, 2020
ANY.RUNにとある企業で利用したと思われる標的型訓練のファイルがアップロードされていたようです。

ANY.RUNやVirusTotalなどのオンライン検査サイトの使い方を誤ると重大な情報漏洩が発生してしまいます。

そこで今回は、この問題を簡単にですがまとめてみました。

【目次】

VirusTotalやANY.RUNとは大雑把に言ってしまうと、無料でファイル・サイトが危険なものかどうかを判定してくれるオンラインのサービスになります。

以下にいくつかのサービスを紹介します。

VirusTotalはWebサイトにファイルをアップロードすることにより、複数のアンチウイルス製品(記事投稿時には73種)による検査を行ってくれるサービス。

ファイルの検査のほかにドメイン/IPを指定するとウェブサイト検査製品による検査も行ってくれる。
ANY.RUNはアップロードした検体を操作してファイルの挙動を見ることができるオンライン型のサンドボックスサービス。
ANY.RUN
HybridAnalysisはアップロードしたファイルの挙動情報などの詳細な解析結果が得られるサービス。
Hybrid Analysis
指定したウェブサイトを代理アクセス・スキャンし、分析してくれるサービス。過去のページや現在のライブ映像を確認することができる。
昨今、標的型メールやランサムウェア、フィッシングサイトについてセキュリティの専門家やTV・新聞などのメディアが取り上げてきたことにより、セキュリティに詳しくない人にも少しずつ認知されてきました。そして、より一歩進んだ人はVirusTotalやANY.RUNといったファイルを上げるだけでマルウェアかどうかを判定してくれる無料のオンラインサービスがあることを知っています。

そのため、不審なファイルがメールに添付されていたり、ダウンロードしたりすると安全を確認するためにVirusTotalにファイルをアップロードしてマルウェア判定が出ないことを確認したのちにファイルを開くことが考えられます。(VirusTotalマルウェア判定が出ないからといって安全とは限りませんが今回は言及しません。)

しかしながら、このサービスについての仕組みを理解していないと企業の機密情報の漏洩につながりかねません。

というのも、上記に示したサービスの大半はアップロードしたファイルの結果だけを残しているのではなくアップロードしたファイルもデータベースに残されているのが大半です(ANY.RUNに至っては、動画としても残っているためファイルを開いたら中身も映像・画像として記録される)。そして大半のサービスでは、セキュリティ研究のために有償のサービスを提供しており、各サービスに保存された検体ファイルをダウンロードすることができます(VirusTotalではVirusTotal Intelligence)。

つまり、企業の社外秘の資料などをアップロードしてしまうと有償サービスを利用している人はダウンロードできてしまい企業の情報が漏洩してしまいます。
じゃあ、上記のサービスは使用しない方がいいのでしょうか。

私は、オンラインの検査サービスの仕組みと利用するリスクをきちんと理解したうえで利用する分にはとても便利なサービスだと思っています。

以下の意見を述べる専門家の方もいらっしゃいました。

(続き)大事なことは3つだと僕個人は思っていて、①『個人の判断でファイルを外部の調査サイトで調べない』②『不審なものだと感じた時に組織内のどこに連絡すれば良いか知っておく』③『組織に所属している人間が②をしたいと思った時にすぐ知れる状態にしておく』だと思っています。

(続く)

— にゃん☆たく (@taku888infinity) July 8, 2020
私の上記サービスの利用方法について記します。

  1. 不審なファイルのハッシュ値を取得(Windows:certutil -hashfile、Unix:md5sum)
  2. 1.で取得したハッシュ値を各サービスで検索
  3. 検索結果がなかった場合、組織内のセキュリティ対策部門などの対策・通報先に連絡
  4. 対策部門の指示に従う
ファイルのアップロードは本当に最後の手段であり、対策部門や上司などの許可を取ったうえで、行うべきであります。

明らかにマルウェアとわかるものであっても安易にアップロードすることはお勧めしません。なぜなら、標的型攻撃に使用されるマルウェアの場合、組織の内部NWに合わせて調整している可能性もあるため、アップロードして第三者がダウンロードしてしまうと、攻撃者しか知らない内部NW情報が知られてしまい。また別の攻撃者に利用されることも考えられるからです。
というか、VTとかanyrunとかそういうサービス紹介するんだったら併せてそういうリスクも紹介して欲しい(自分はいつもそうしてる

— ほよたか (@takahoyo) July 8, 2020
VirusTotal でやってしまった事例 (想定) より 3例

(事例1) 標的型メール攻撃訓練において、被験者が騙されやすいように実在の社内組織、担当者個人名、連絡先を記載した攻撃メールを送付したところ、受信者のうち 1名が VirusTotal に提出してしまった。

— Neutral8✗9eR (@0x009AD6_810) June 13, 2018
(続き)しかし、こういったVTや最初の引用ツイートで使われているAnyrun等はアップロードされたファイルを自分以外の誰かに確認されてしまう(ダウンロードされてしまう)可能性が十分にあるので注意が必要です。ではこういう事態にならないためにはどうすれば良いのでしょうか。

(続く)

— にゃん☆たく (@taku888infinity) July 8, 2020
「怪しいメールを受け取った・開いたと思ったらどうしたらよいか?」が社内に浸透してないのに、なんで標的型メール訓練やろうとするんだ?避難経路とか避難時の手順とか知らないのに避難訓練やるようなもんだろ。

— Sen UENO (@sen_u) July 8, 2020
VirusTotalやANY.RUNなどのマルウェアを判定してくれるオンラインサービスは便利である反面、情報漏洩のリスクが伴います。
各サービスの特徴や仕組み、リスクを調査したうえで利用しましょう。

また、安易に企業のファイルなどをオンラインサービスに上げないように社内リテラシーを上げることも重要になります。

拙い文章になりますが、ここまで読んでくださりありがとうございました。

【更新履歴】

2020/07/08 PM 公開

【転載】親愛なる、って書いてあるメールは全部スパムフィルタで叩き落として欲しい

bom retweeted:





日本語のばらまきメールを観測しています。
#malspam in Japanese
(親愛なる、って書いてあるメールは全部スパムフィルタで叩き落として欲しい)

subject : RE: DHL Awb: 1334537013 / 出荷書類 24.07.2020
sample : app.any.run/tasks/40111880…
virustotal.com/gui/file/ae543… (4/59)
tria.ge/reports/200726…
:

bom retweeted:

日本語のばらまきメールを観測しています。

#malspam in Japanese

(親愛なる、って書いてあるメールは全部スパムフィルタで叩き落として欲しい)



subject : RE: DHL Awb: 1334537013 / 出荷書類 24.07.2020

sample : app.any.run/tasks/40111880…

virustotal.com/gui/file/ae543… (4/59)

tria.ge/reports/200726…

Ed48-iWU4AEcJmM.png:large