無償のオンラインセキュリティテストツール4選 / 4 Free Online Cyber Security Testing Tools For 2021（転載）

4 Free Online Cyber Security Testing Tools For 2021:

サイバーセキュリティプログラムに真の変化をもたらし、2021年の予算計画を改善する可能性があると思われる、必携のオンラインセキュリティツールのセットです。

9月、ガートナーは「2020年のセキュリティとリスクのトレンドトップ9」のリストを発表し、現代の脅威の状況が複雑化し、規模が大きくなっていることを強調しました。

外部からの攻撃面の不完全な可視化により、2020年には悲惨な侵害やデータ漏洩が劇的に増加し、何百万人もの犠牲者のPIIやその他の機密データが危険にさらされることになりました。これらのインシデントは、悪意のある国家権力者やAPTハッキンググループによる巧妙な侵入、人為的なミス、そして機密データを含む保護されていないクラウドストレージやデータベースをインターネットに公開する広範な誤設定に起因しています。

ガートナーのセキュリティアナリストは、サイバーセキュリティのスキル不足が続く中、面倒なセキュリティ作業やプロセスを自動化し、新たに出現するクラウドやコンテナのセキュリティリスクに迅速に対応することを推奨しています。

また、ガートナーは、厳しい罰金やその他の制裁を回避するために、プライバシーや規制要件に特別な注意を払い、組織の規模にかかわらず、組織内でゼロトラストモデルの導入を開始することを推奨しています。

渦巻くパンデミックは、世界中の多くの組織や企業に壊滅的な影響をもたらしましたが、ほとんどの企業は無秩序に、影響を受けないデジタル空間にビジネスプロセスを移行しようとしたり、移動させたりしていました。しかし、ほとんどのサイバーセキュリティ予算は、全体的な景気後退の付随的な影響としても打撃を受けました。縮小した予算は、当然のことながら、微妙なプロセスのセキュリティとプライバシーの成分を完全に無視することで、ストレスの多いデジタルトランスフォーメーションを悪化させました。

それにもかかわらず、サイバースセキュリティの支出は2021年には回復し、再び急増すると予測されており、疲れ果てたCISOとそのITセキュリティチームに安堵感を与えています。それまでの間に、サイバーセキュリティプログラムや2021年の予算計画に大きな違いをもたらすと思われる無料のセキュリティツールを紹介したいと思います。

先週、アプリケーションセキュリティ会社のImmuniWebは、無料で利用できるCommunity Editionのメジャーアップデートを発表しました。これは、ガートナーが言及した多くのセキュリティとプライバシーの優先事項を十分にカバーする4つの無料セキュリティテストを提供し、また、セキュリティインシデントや企業を標的とした外部サイバー脅威を監視するための強力な機能を提供しています。

我々はすでに、RSA 2020 Conferenceの直後に、最も革新的なサイバーセキュリティベンダーの1つであるImmuniWebについて書いています。それ以来、同社は多くの方向性と我々が監視する情報セキュリティ分野で目覚ましい進歩を遂げているようです。私たちは、ImmuniWeb Community Editionをテストすることにしたので、まだ使い慣れていない方は今すぐ試すことをお勧めします。

Website Security and Compliance Test

特定のユースケースでは、この Webサイトセキュリティテストは、商用の Web 脆弱性スキャナーの代わりになるかもしれません。驚くべきことに、この無料のテストは非侵入的であり、本番環境でも安全です。

ImmuniWebによると、ソフトウェア構成分析（SCA）モジュールには、オープンソースのWordPressやDrupalから、MicrosoftやOracleによるプロプライエタリなWeb製品や商用Web製品に至るまで、多様なWebソフトウェアの広範なデータベースがあるとのことです。SCAモジュールには、300以上のCMSやWebフレームワーク、16万個のプラグインや拡張機能、8,900個のJavaScriptライブラリが含まれていると報告されています。また、埋め込まれた脆弱性データベースは12,000件以上のCVE脆弱性をカバーしています。

ウェブアプリケーションの脆弱性や欠落したソフトウェアの更新に加えて、無料のテストでは、ウェブサイトの構成がGDPRとPCI DSSの特定の要件に準拠しているかどうかをさらにチェックします。

1回のテストでは、あなたのウェブサイトのセキュリティを強化し、ウェブサーバーの回復力を向上させ、適用されるプライバシーとコンプライアンス要件を強化する方法についての包括的な画像を同時に取得します。

Dark Web Exposure and Phishing Detection Test

脅威アナリストやブルーチームが、ダークウェブでの議論や、組織や主要なサプライヤーが関与する盗難データの販売オファーなど、進行中のセキュリティインシデントの可視性を強化したいと考えている場合には、無料で利用できる貴重なツールのようです。

法律上およびプライバシー上の理由から、無料テストでは、盗まれた平文パスワードや侵害されたデータベースの完全なコピーなど、インシデントの詳細は公開されません。しかし、十分に詳細で測定可能な概要は、Dark Web モニタリングソリューションに投資する前の意思決定プロセスをサポートし、強化するためにすぐに利用できます。

包括的なダークウェブのスナップショットと同様に、Pastebin のリーク、進行中のフィッシングキャンペーン、ドメインスクワット（サイバースクワットとタイポスクワット）、そしてソーシャルネットワークの偽アカウントまでもが、あなたのアイデンティティの簒奪に利用されているという、かなり良い概要が得られます。

この便利な無料ツールをサードパーティ・リスク管理（TPRM）プログラムに使用することで、機密データへの特権的なアクセスを持つ外部のベンダーやサプライヤーを評価することをお勧めします。

Mobile App Security and Privacy Test

この無料のモバイルセキュリティテストは、今ではGoogle Playの上にある異なるパブリックApp Storeから直接モバイルアプリをダウンロードすることができ、さらにCydiaが含まれているので、iOSデバイスの脱獄ユーザーはまた、プライバシーとセキュリティ上の懸念のために彼らのモバイルアプリをテストすることができます。

モバイルテストは、動的(DAST)と静的(SAST)の両方のモバイルアプリのスキャンを実行し、モバイルの脆弱性と弱点の幅広いスペクトルに光を当てます。このスキャンは、OWASP モバイルのトップ 10 のリスクと、OWASP モバイルセキュリティテストガイド（MSTG）プロジェクトで言及されているいくつかの特定のセキュリティ問題をカバーしています。

モバイルアプリのプライバシーに特別な注意が払われています。テストしたアプリケーション、モバイルアプリがデータを送信する外部のウェブホストとサーバーから要求された許可の包括的なリストが表示されます。内蔵のソフトウェア構成分析（SCA）モジュールは、モバイルアプリで使用されているサードパーティ製およびネイティブライブラリを表示します。

重要なことは、その非侵入的な性質のため、無料のモバイルスキャナは、APIやWebサービスなどのモバイルエンドポイントテストをカバーしていないことです。

SSL Security and Compliance Test

多くの競合サービスとは異なり、この無料の SSL セキュリティテストでは、普遍的な HTTPS だけでなく、電子メールサーバや SSL VPN を含むあらゆる TLS 暗号化の実装をテストすることができます。

メールサーバについては、テストはまた、今日のメールセキュリティのための事実上の最も一般的なベストプラクティスである適切に設定されたSPF、DMARC、およびDKIMをチェックします。

これに加えて、テストは自動的にサブドメインの迅速な自動検出をタイムリーに実行し、メインの "www "ウェブサイトだけではなく、注意が必要であることを皆に思い出させます。

このテストは、Heartbleed、ROBOT、BEAST、POODLE、および転送中のデータの傍受や復号化を可能にする可能性のある他の多くの欠陥を含む、現在知られているすべてのSSL/TLS実装または暗号化の脆弱性を綿密に通過します。

もう一つの大きな利点は、TLS 構成を PCI DSS、NIST、および HIPAA の特定の要件にマッピングすることで、暗号化強度が規制要件を適切に満たしているかどうかを検証し、コンプライアンス違反に対するペナルティを回避することができます。

すべてのテストは更新することができ、無料のアカウントを作成した場合には、PDF 文書としてダウンロードすることができるので、社内で共有したり、顧客と共有したりして、顧客のデータセキュリティを重視していることを証明することができます。

適切に強化された HTTPS と安全な Web サイトは、E コマースビジネスにとって説得力のある競争上の優位性となります。特に、ブラックフライデーの大量ハッキング・キャンペーンでは、知らず知らずのオンライン買い物客の財布を空にするという不気味なハッキングの話が出ています。

ImmuniWeb Community Editionをテストしている間、私たちは特に彼らの技術サポートの対応に感謝していました：私たちはテストの1つにいくつかの小さなバグを発見したが、翌朝にはすぐに修正されていました。

私たちに送られてきたメールの中で、ImmuniWebは、成長を続ける利用者の声に耳を傾け、受け取ったフィードバックや提案に基づいてコミュニティ版を継続的に改善していくことに熱心であると述べています。ウェブインタフェースを使用して直接メッセージを送ることができ、今では毎日10万以上のテストを実行している素晴らしいコミュニティの一員になることができます。

ImmuniWeb Community Editionの無料テストは、APIまたはWebインターフェースを介してアクセスすることができます。

1日に大量のテストを実行したい組織や、商用目的でImmuniWeb Community Editionの技術的な能力を活用したいサイバーセキュリティベンダーのために、オンラインで購入できるプレミアムAPIもあります。

ImmuniWebチームは非常にクールで素晴らしいことをしていると思います。2021年の彼らの成長と発展に期待しています。

【転載】CAMPARIのランサム被害

CAMPARIのランサム被害

イタリアの飲料メーカーCAMPARI社がRagnarLockerランサムウェアの被害（2重恐喝）に遭い、２TBの情報が窃取され、1500万ドルの身代金が要求された様です。

www.zdnet.com

Campari、Cinzano、Appletonなどのブランドの背後にある有名なイタリアの飲料ベンダーであるCampari Groupは、ランサムウェア攻撃に見舞われ、ITネットワークの大部分を破壊しました。
Pancak3という名前でオンラインに接続しているマルウェア研究者がZDNetと共有した身代金メモのコピーによると、攻撃は先週の日曜日の11月1日に発生し、RagnarLockerランサムウェアギャングに関連付けられています。
RagnarLockerギャングは現在、ファイルを復号化するための身代金要求を支払うように会社を恐喝しようとしています。
しかし、ランサムウェアグループは、企業が最初の侵入から1週間以内に身代金要求を支払わなかった場合、Campariのネットワークから盗んだファイルを解放すると脅迫しています。
Campariの内部ネットワークと企業文書のスクリーンショットは、侵入の証拠として、RagnarLockerギャングが「リークサイト」を運営しているダークウェブポータルに投稿されています。これらの証拠には、カンパリがワイルドターキーバーボンブランドのために米国の俳優マシューマコノヒーと署名した契約書のコピーも含まれています。
RagnarLockerの被害者が利用できるテキストチャットウィンドウで、Campariの担当者はランサムウェアギャングに返信していません。身代金の需要は現在1500万ドルに設定されています。
(ZDNet記事より引用）※機械翻訳

公式発表

Campari Group vittima di un attacco malware（CampariGroupがマルウェア攻撃の犠牲者）11/3

キタきつねの所感

リリースを見ると、カンパリはどうやら身代金（1500万ドル＝約15.5億円）を払わない事を選択した様です。

Campari Groupは、おそらく2020年11月1日に、それがマルウェア攻撃（コンピューターウイルス）の対象であったことを通知し、それは即座に特定されました。グループのIT部門は、ITセキュリティの専門家の支援を受けて、データおよびシステムでのマルウェアの拡散を制限するための措置を直ちに講じました。そのため、一部のシステムは、通常の運用をタイムリーに復旧するための安全条件でのサニタイズと段階的な再起動を可能にするために分離されているため、同社はITサービスの一時的な停止を実施しました。同時に、攻撃の調査が開始されましたが、現在も進行中です。ITシステムの一時的な停止は、グループの業績に重大な影響を与えることはないと考えられています。
（イタリア証券のリリースから引用）※機械翻訳

しかし、ZDNetの記事では11/1（日）に被害が発生して5日後の、11/5（木）の段階でWebサイト、電子メールサーバー、電話回線がダウンしたままでZDNetがカンパリの担当者とコンタクトが取れないと書かれています。この事から、被害は深刻だった様に思えます。

※本日（11/7）の時点ではWebサイトは復旧している様でした。但し、ランサムに関する事についての記載はない様です。

魚拓サイトに11/5のデータがあったので見てみたのですが、502エラーの魚拓を確認しましたので、やはり落ちていた様です。

f:id:foxcafelate:20201107072027p:plain

ZDNet記事から、RagnarLockerの脅迫画面を引用しますが、

個社名（Campari_Group）が入り、ランサムグループの名前（by RAGNAR LOCKER）の入ったタイトル、ランサム側から見れば”降伏勧告”の様なものかも知れません。

まず気になったのが、侵害が成功した対象が「全てのインターナショナルオフィスのネットワークの全てのサーバー」であると書かれている所でしょうか。CAMPARI社がバックアップからデータを復旧するとしても、影響範囲が全世界のオフィス（恐らく日本も含まれます）だとしている事から、かなり完全復旧まで時間がかかりそうです。

f:id:foxcafelate:20201107073459p:plain

次に気になるのが、窃取された機密データの中身です。これは２TBあると書かれており、結構持っていかれたな、という印象です。

f:id:foxcafelate:20201107073532p:plain

- 会計ファイル、銀行取引明細書、政府文書、ライセンス証明書
- 機密および/または専有事業情報、有名人契約、クライアントおよび従業員個人情報（社会保障を含む番号、住所、電話番号など）
- 販売業者、輸入業者、小売業者との企業契約および契約、非開示契約
- また、私たちはあなたの個人的な企業通信、電子メールとワークブック、マーケティングプレゼンテーション、監査レポートと他の多くの機密情報を持っています

サンプルURLからは銀行の取引明細、英国のパスポート、従業員の納税申告書、SSN（公的ID）を含むスプレッドシート、契約書のコピーなどが確認できたようです。

脅迫文の最後の方には、身代金を払わないのであれば機密データを公開するか、オークションにかけてしまうよ・・・という脅し。これもランサム手法の”進化”と言えるかも知れません。

経済的に余裕がある企業、あるいはサイバー保険対象とできる企業の中には、こうした脅しに屈して身代金（ランサム）を払う選択をする企業が多い中、CAMPARIはランサムオペレーターとコンタクトしない（支払わない）という選択をした様です。

正直、完全復旧までかなりの労力が必要だと思われますし、漏えいしてしまうであろう機密データ、個人データをどう影響範囲を小さくしていくか、セキュリティ専門家や弁護士などの協力の上での慎重な対応が必要かと思いますが、その判断には敬意を表したいと思います。

2重脅迫が当たり前になり、以前より身代金（ランサム）を払う選択をする企業が増えてきている気がします。しかし、Covewareの調査データでは、一部のランサムオペレーターは、身代金を払っても機密情報を削除してないと公表しています。

www.coveware.com

同じランサムオペレーターが、数週間後にまた脅迫してくるケースや、他のハッカーグループにデータを横流ししたと思われるケースなどもある様です。機密データを窃取したハッカーがデータを本当に削除したかを被害者は知る事が出来ない。この事は覚えておいた方が良いかも知れません。

Sigcheckでファイルのバージョン番号、タイムスタンプ情報、証明書チェーンを含むデジタル署名の詳細を表示する（転載）

tike retweeted: 『攻撃を確認した事例の1つでは、攻撃者は標的組織への侵入経路として、SSL-VPN製品の脆弱性を悪用後、端末を侵害しSigLoaderを設置』 <span class="ssssschl">【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する</span>「SigLoader」による標的型攻撃を確認 | セキュリティ対策のラック lac.co.jp/lacwatch/repor…:

2020年7月ごろから、Microsoft社のデジタル署名（コードサイニング証明書）されたDLLファイルを悪用するマルウェア「SigLoader」が使われた標的型攻撃を複数確認しています。攻撃者によって、正規のデジタル署名されたファイルを攻撃に悪用された場合、セキュリティ対策製品による検知をすり抜け、広範囲にわたる攻撃活動を容易に実行される恐れがあります。

今回は、このMicrosoft社のデジタル署名されたファイルを悪用するSigLoaderの特徴を紹介します。なお、このSigLoaderを利用する攻撃者は、2020年12月1日に、APT10の可能性があることが@Int2e_氏によってTwitter※1で報告されています。

※1 https://twitter.com/Int2e_/status/1333501729359466502

図1は、SigLoaderで悪用されたDLLファイル（wiaky002_CNC1755D.dll）のデジタル署名をWindowsのファイルプロパティまたはSigcheck※2で確認したものです。

※2 Sigcheck - Windows Sysinternals | Microsoft Docs

青線枠で示すように、署名の有効期間が2019年7月27日で失効しているため、エラーメッセージが出力されていますが、赤線枠のように「Signed」と検証されており、署名は正しいものであることがわかります。

また、図2に示すように、このDLLファイルは、Windows 10で利用される「pkeyhelper.dll」のファイルメタ情報やPDBファイル情報を持つことが確認できます。

「wiaky002_CNC1755D.dll」のPDBファイル情報 — 図2 「wiaky002_CNC1755D.dll」のファイルメタ情報およびPDBファイル情報（一部抜粋）

デジタル署名されたファイルの改ざん手法

SigLoaderは、前述の通りMicrosoft社のデジタル署名されたDLLファイルを読み込み、攻撃に悪用します。一般的にデジタル署名が有効である場合は、署名した組織が実在することやデータが改ざんされていないことなどが証明されており、万一、デジタル署名のあるファイルを改ざんした場合、デジタル署名が無効であると検出されます。

しかし、SigLoaderを利用する攻撃者は、デジタル署名されたDLLファイル内に存在する証明書テーブル（Certificate Table）のサイズを拡張し、そのテーブル内のデータを変更することで、デジタル署名に影響を及ぼさずに、DLLファイルを改ざんしています。

Windowsでは、デジタル署名のハッシュ計算にあたって証明書テーブルを対象範囲外としているため、証明書テーブルを改ざんしたとしてもハッシュ値が一致し、デジタル署名が有効であると表示されます。この手法は、2009年にHugo氏のブログで報告※3されており、その後、2016年にはBlack Hat USAでも発表※4されています。

※3 Changing a Signed Executable without Altering Windows Digital Signatures | Aymeric on Software

※4 Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable | Deep Instinct

図3は、Microsoft社のデジタル署名された正規の「pkeyhelper.dll」とSigLoaderが悪用するMicrosoft社のデジタル署名された「wiaky002_CNC1755D.dll（pkeyhelper.dll）」を比較したものです。SigLoaderが悪用する改ざんされたDLLファイルには、正規のDLLファイルには存在しない、赤線枠の領域にデータが含まれていることが確認できます。

「pkeyhelper.dll」改ざんされたDLLファイル — 図3 「pkeyhelper.dll」の比較（上：正規DLLファイル／下：改ざんされたDLLファイル）

SigLoaderを使用した攻撃手口の概要

SigLoaderは、DLL Side-Loadingを悪用して実行されます。正規の実行ファイルによって読み込まれたSigLoaderは、最初に実行ファイルと同じディレクトリ内にあるMicrosoft社のデジタル署名がされたDLLファイル、または暗号化されたペイロード（DATファイル）を読み込みデータを復号します。その後、復号したペイロードをメモリ領域に展開し実行します。最終的に実行されるペイロードは、2020年11月20日時点で3種類が確認できています。

図4は、SigLoaderの挙動を示したものであり、SigLoaderを2段階で使用するケース（青矢印）と1段階のみのケース（赤矢印）の2パターン存在することを確認しています。

以降では、VMware製品の正規実行ファイル（ResolutionSet.exe）を悪用して、実行されるSigLoader（vmtools.dll）の攻撃手口を詳しくみていきます。

SigLoaderが読み込むファイル

SigLoaderには図5に示すように、Sigという文字列を起点に読み込むファイルや暗号化方法などがファイル内にハードコード※5されており、このハードコードされた内容を利用してペイロードが展開されていきます。

※5 別のSigLoaderでは、Sigという文字列や暗号化方法などが未記載のものも確認しています。このようなSigLoaderでは、暗号化方法が記載された箇所に暗号化キーなどが含まれています。

まずSigLoaderはMicrosoft社のデジタル署名されたDLLファイル「wiaky002_CNC1755D.dll」を読み込み、ファイル内のオーバーレイ領域に含まれるデータを取得します。今回のケースでは、先ほど紹介した図3の赤線枠に示すオフセット0xBA488からデータ末尾（0xF4090）までを読み込み、そのコードをメモリ領域上に展開します。このオフセット値0xBA488は、データ末尾から図6に示すように、0x39C08（0x39C05から値を1増やし8の倍数で割り切れる値）バイト遡った値から算出されています。

SigLoaderが利用する暗号化方法

読み込まれたオーバーレイ領域に含まれるデータは、XOR＋カスタムDES＋AESによって暗号化されています。暗号化キーは図7に示すように、SigLoader自体にハードコードされており、AESキーと初期化ベクトル（赤線枠）、カスタムDESで利用するキー（橙線枠）です。また、このSigLoaderには、2段目で利用されるSigLoader（2nd）のAESキーや初期化ベクトル（青線枠）、カスタムDESで利用するキー（緑線枠）もハードコードされています。

SigLoaderはこれらの暗号化キーを使用して、オーバーレイ領域に読み込まれた暗号化データを図8の順で復号※6し、シェルコードをメモリ領域に展開します。復号は、AESでは鍵長256ビット、ブロックチェイニングとしてCBCモードを使用し、カスタムDESでは、鍵長64ビット、ECBモードを使用します。復号後は、Call命令でシェルコードが展開されたメモリ領域を呼び出します。

※6 別のSigLoaderでは暗号化アルゴリズムの適用順序や適用回数が異なる可能性があります。

SigLoaderには、XOR、カスタムDES、AESの3種類の暗号化アルゴリズムが実装されています。これらのうち、SigLoaderで実装されているカスタムDESは、使用される定数に異常はないものの、サブ鍵生成アルゴリズムやラウンド関数などが標準のものと異なっており、標準の暗号化ライブラリでは暗号化されたデータを復号することができません。

また、これらのデータをエンコードするための処理が多数みられ、サブ鍵生成アルゴリズムやラウンド関数などは、攻撃者が自ら実装している可能性があります。また、コード内にRSAの実装を見据えた箇所があることから、今後RSAの処理に関しても実装される可能性があります。

シェルコードによる2段目のSigloader（2nd）作成

復号されたシェルコードは、SigLoader（2nd）を作成するために用いられます。図9は、シェルコードを一部デコンパイルしたものです。特徴的な文字列ecipekac（Cakepice）をチェックするコードが含まれていることが確認できます。

このシェルコードには、自身のコード内に以下の3つのコードが分割されて含まれており、これらを組み合わせて、次のDLLファイルを読み込む2段目のSigloader（2nd）を作成します。分割されたデータの組み合わせ方法は、シェルコードに含まれる文字列ecipekacを起点に行われます。

また、この文字列以降の16バイトには、PEファイルを作成する際のメモリ領域を確保する際のサイズ0x39000（図10：橙線枠）およびSection Headersおよびプログラムコードのサイズ0x038E18（図10：紫線枠）が指定されています。

Section Headersおよびプログラムコード（図10：緑線枠）
NT Header（PE Header）（図11：青線枠）
MS-DOS Header/Stub（図11：赤線枠）

これらのデータの組み換えに際して、最初に図11に示すように赤線枠のMZヘッダが含まれるMS-DOS Header/Stub（0xE0バイト）を事前に確保したメモリー領域にコピーし、次に青線枠のPE Header（0x108バイト）、最後にtextセクションなどが含まれるSection Headersおよびプログラムコード（0x038E18）をコピーし、PEファイル（SigLoader）を作成します。その後は、Call命令で2段目のSigLoaderが展開されたメモリ領域を呼び出します。

SigLoader（2nd）が読み込むファイルと暗号化方法

2段目のSigLoader（2nd）は、前述したSigLoader（1st）とほぼ同様な作りです。SigLoader（2nd）は、図12に示すように、正規実行ファイルと同じディレクトリにあるMicrosoft社のデジタル署名されたDLLファイル「c_apo_ipoib6x.dll」のオーバーレイ領域に含まれるデータを読み込み、データを復号します。その後、復号したシェルコードをメモリ領域上に展開し、Call命令で呼び出します。

このDLLファイルは、図13に示すように、Windows 10で利用される「wintrust.dll」を改ざんしたものです。展開されたシェルコードは、SigLoader（1st）によって作成された文字列Cakepiceを含むシェルコードとは異なります。

なお、データの暗号化方法については、SigLoader（1st）と同様のものが利用されており、データの復号順序は、SigLoader（1st）とは逆順のAES＋XOR(Key=0x0)＋カスタムDES＋XOR(Key=0xBC)です。また、AESおよびカスタムDESの暗号化キーについては、図7に示した青線枠と緑線枠のものが利用されています。

図12 SigLoader（2nd）にハードコードされたファイル名や暗号化方法（一例）

「wintrust.dll」のPDBファイル情報 — 図13 「wintrust.dll」のファイルメタ情報およびPDBファイル情報（一部抜粋）

シェルコードによる最後のペイロード作成

SigLoader（2nd）によって復号されたシェルコードは、最後のペイロードを作成するために用いられます。最後のペイロード（図14：青線枠）は、シェルコード内にRC4で暗号化されて含まれており、図14の赤線枠で示すRC4キーで復号することで最終的なペイロードをメモリ領域に展開します。復号後は、Call命令でペイロードが展開されたメモリ領域を呼び出します。

最終的に実行されるペイロード（DelfsCake）

最終的に実行されるペイロード（DelfsCake）は、DLL形式で、C2サーバからデータやペイロードなどを受信して実行する機能を有します。

DelfsCakeには、図15に示すようにRSA公開鍵（1024bit）がハードコードされており、この鍵を使用して送信するデータを暗号化します。初期通信時に送信する内容は、図16の通りです。ユーザ名やコンピュータ名、プロセスID、OSバージョン、ビルド番号、ソケット名、実行日時、ランダムに生成した文字列などがC2サーバに送られます。

DelfsCakeには、表1に示すコマンドが実装されています。なお、コマンド「d」に関しては、コマンドの受信時のデータを使用してライブラリのロードと関数アドレスの取得を行い、その関数をCall命令で呼び出します。Call命令の際に引数として受信したデータを指定することから、単純なコマンド実行を行う命令ではないと考えます。

表1 DelfsCakeのコマンド一覧

命令コマンド	説明
d	詳細不明
f	C2通信の終了
l	Sleep間隔の設定
s	シェルコードの実行

また、このDelfsCakeを実際に動作させてみましたが、2020年10月30日に確認した時点では、図17に示すように、C2サーバに接続後、RSTパケットが戻ってきており、C2サーバからデータは取得できていないため、最終的にどのようなマルウェアが実行されるか不明です。

SigLoaderによって展開される最終的なペイロードは、DelfsCakeの他にも2種類確認しています。1つは、ペネトレーションツールであるMetasploit Framework※7 やCobalt Strike※8で作成されたシェルコードです（図18）。シェルコードは、C2サーバと通信を確立した後、Cobalt Strike Beaconなど次のステージのマルウェアをダウンロードし、実行します。このシェルコードには、特徴的な文字列（baidu.com）が複数ハードコードされていることが確認できます。

※7 Metasploit | Penetration Testing Software, Pen Testing Security | Metasploit

※8 Adversary Simulation and Red Team Operations Software - Cobalt Strike

もう1つも、次のステージのマルウェアをダウンロードし、実行することが主な機能と考えられるマルウェア（GreetCake）です。図19に示すようにRC4キーがハードコードされており、この鍵を使用して送信するデータを暗号化します。また、表2のような、いくつかのコマンド機能が実装されています。

GreetCakeは、C2サーバから特定の命令コマンドを受信することによって、C2サーバからデータをダウンロードし、復号後、PEファイルを実行します。図20に示すように、実行する前にPEファイル内に「hello」という文字列が含まれているか確認するというコードが特徴的です。

表2 GreetCakeのコマンド一覧

命令コマンド	説明
0x12C	C2通信の終了
0x12D	スレッドを作成し、PEファイルの実行
0x12F	データ送信（詳細不明）
0x130	PEファイルの実行
0x131 - 0x134	C2通信制御の設定（スリープ時間、タイムアウトなど）

GreetCakeにハードコードされたRS4キー — 図19 GreetCakeにハードコードされたRC4キー（一例）

これら2種類のペイロードについても、DelfsCakeと同様にC2サーバからダウンロードされるデータは取得できていないため、最終的にどのようなマルウェアが実行されるかは不明です。

まとめ

今回は、Microsoft社のデジタル署名されたDLLファイルを悪用するSigLoaderについて紹介しました。

SigLoaderは、デジタル署名されたDLLファイルの悪用、ペイロードの多段利用や攻撃者が独自に開発した暗号化方法の利用と高度な技術が組み込まれたローダです。暗号化方法では、RSAのコードが未実装であり、開発途中の可能性が窺えるため、今後も、さらに機能が向上したSigLoaderによる攻撃が続く可能性があります。

加えて、今回のデジタル署名されたファイルの改ざん手法を悪用した攻撃は、実際のサイバー攻撃の事例としてあまり報告されておらず、既存のセキュリティー対策製品で検出できない可能性があり、注意が必要です。

私たちがSigLoaderの攻撃を確認した事例の1つでは、攻撃者は標的組織への侵入経路として、SSL-VPN製品の脆弱性を悪用後、端末を侵害しSigLoaderを設置していました。SSL-VPN製品を悪用する攻撃は、標的型攻撃に限らず、金銭目的である攻撃者なども悪用しており、これらの製品の脆弱性を悪用されないためにも、日々の脆弱性情報の管理と修正パッチの適用や緩和策の適用などの早急な対応が求められます。

また、2020年10月ごろからZerologonの脆弱性※9が標的型攻撃で悪用されていることが、CISA※10やSymantec社※11から報告されていますので、この脆弱性についても十分に注意する必要があります。

※9 CVE-2020-1472 - セキュリティ更新プログラムガイド - Microsoft - Netlogon の特権の昇格の脆弱性

※10 APT Actors Chaining Vulnerabilities Against SLTT, Critical Infrastructure, and Elections Organizations | CISA

※11 Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign | Symantec Blogs

バックアップ（Sigcheck v2.80）

【転載】「Google ドライブ」を悪用したフィッシング詐欺が急増中、メールの監視をすり抜ける新たな手口の中身

「Google ドライブ」を悪用したフィッシング詐欺が急増中、メールの監視をすり抜ける新たな手口の中身:

【ニュース】

◆「Google ドライブ」を悪用したフィッシング詐欺が急増中、メールの監視をすり抜ける新たな手口の中身 (WIRED, 2020/11/04 08:00)

「Google ドライブ」を悪用したフィッシング詐欺が急増している。迷惑メールのフィルターをすり抜けて不正なリンクをユーザーに届けてしまう今回の新たな詐欺は、いったいどんな手口なのか。
特定のファイルをほかのユーザーと共有するよう設定すると、そのユーザーに通知が送られるようになっている

https://wired.jp/2020/11/04/beware-a-new-google-drive-scam-landing-in-inboxes/

ーー

ネットの犯罪者たちは、新たな“釣り餌”を見つけたようだ。「Google ドライブ」を悪用したフィッシング詐欺が報告されており、特に問題はなさそうに見える電子メールやポップアップ通知を開くと、不正なウェブサイトに誘導されてしまう。

危険なリンクをクリックさせようとする詐欺行為はインターネットの創世記から存在するが、うっかり罠にはまってしまう人もいるだろう。今回のフィッシング詐欺で特徴的なのは、電子メールや通知はグーグルのシステムから送られてくるという点である。

スマートフォンの場合、ファイル共有を知らせる通知をクリックすると、悪意のあるリンクを含んだドキュメントが表示される。電子メールも同じで、ハッカーが作成した不正なリンクを含むメールがグーグルから送られてくるのだ。

悪用されたファイルの共有設定

Gmailのフィルター機能は非常に優れており、普通の迷惑メールならうまくブロックしてくれる。ところが、このメールはきちんと受信箱に入っているだけでなく、送信元がグーグルであることで詐欺メールには見えない。電子メールのフィルター機能が改良されたことで、犯罪者たちはどうすれば標的に不正なリンクをクリックさせられるか模索しており、今回はGoogle ドライブが選ばれたというわけだ。

Google ドライブの初期設定では、特定のファイルをほかのユーザーと共有するよう設定すると、そのユーザーに通知が送られるようになっている。仕事でプレゼン資料や新プロジェクトの概要を確認してもらいたい場合には便利な機能だが、一方で狙った相手に不正なリンクを見せる格好の手段にもなりうる。

犯罪者たちは膨大な量のGmailアカウントのリストを利用したようで、ここ数週間でかなりの数の被害が報告されている。『WIRED』UK版でもこのフィッシング通知を受け取ったことがあり、そのうち1件にはロシア系の名前のGmailアカウントによって作成されたGoogle スライドのファイルへのリンクが含まれていた。

ファイルの編集履歴を確認したところ、別のファイルのコピーとして作成され編集が繰り返されており、犯罪者たちが犠牲者を増やすために頻繁に新しいユーザーを追加していたことがわかる。『WIRED』UK版はこのメールアドレスの主と連絡をとろうとしたが、返事は来ていない。また問題のファイルは、グーグルの利用規約違反で削除されている。

監視をすり抜けた新たな手法

不正な電子メールや通知には、ロシア語もしくはつたない英語で特定のファイルを共有したいと書かれている。ファイル名はでたらめで、なかには悪意のあるリンクが含まれている。試しにリンクをクリックすると、10月26日に作成されたとみられるウェブサイトが開き、特別なオファーや賞品が当たるくじを宣伝するポップアップが大量に表示された。また、何らかの支払いを受け取るために銀行口座の詳細を確認するよう求めるサイトに飛ぶこともある。

洗練された手口ではないが、電子メールの受信箱やスマートフォンに不正なリンクを届けるには効果的なやり方だ。フリーランスのサイバーセキュリティ専門家で、Twitterで@JCyberSec_のアカウントをもつジェイクは、「リンクを送り付けるのはそう簡単ではありません」と語る。

ジェイクは長年にわたりフィッシング詐欺の調査を続けており、今回のGoogle ドライブ詐欺のメールも受け取ったという。だが、「電子メールはシステム側で厳しく監視されており、大量の迷惑メールが受信箱に届く前の段階で検出されます」と指摘する。ただ、攻撃者は常に新しい方法を試しており、今回はそうはならなかった。

また、フィッシング詐欺はスマートフォンで特に威力を発揮する。ジェイクは「セキュリティ面の管理権限が小さいので、モバイル機器を標的にしたフィッシング攻撃は増えています」と説明する。

完全なブロック方法は存在しない

グーグルの広報担当者は、Google ドライブでの不正を検出するために新たな対策をとったとする一方で、すべてを完全にブロックできる方法は存在しないと説明している。また、セキュリティの回避を困難にするよう方策を講じており、今回のフィッシング詐欺の標的になったユーザーはサポートページから連絡するよう呼びかけている。

ただ、サイバーセキュリティ会社カスペルスキー・ラボのデヴィッド・エムは、「電子メールや通知がグーグルのアカウントからのものである場合、対策を施すのは難しいでしょう。そして、グーグルのアカウントは誰でも簡単につくれます」と話す。

エムはGoogle ドライブ詐欺について、ほかのフィッシング詐欺と同様に、リンクをクリックする前に注意することが重要だと指摘する。「出どころの不明なリンクはクリックしないでください。リンクが送られてくる予定がなく、また送信者を知らないのであれば、反応してはいけません」

なお、昨年は「Google カレンダー」の通知機能に絡んだフィッシング攻撃が増えたことがあったが、今回の手法はこれに似ている。ここではカレンダーの招待を自動で追加する機能が初期設定でオンになっていることが悪用され、危険なリンクを含む通知が送られてきた。通知の送信元は、やはりグーグルのシステムだった。

グーグルのコミュニティフォーラムやSNSへの投稿を見ていると、複数の不正な通知を受け取っているユーザーもいるようで、ここ数週間でGoogle ドライブ関連のフィッシングが急増していることがわかる。一方で、不正なリンクを含むファイルの多くは利用規約違反で削除されている。

.tsファイルの攻略法【InviDownloader】【Xmedia Recode】【動画ゲッター】

以前vimeo攻略の記事を書いたが、別サイトの攻略が必要となり、メモがてら残しておく。

今回はm3u8（動画プレイリストファイル）とそれに含まれる.tsファイルをダウンロードし、MP4など使いやすい動画ファイルに変換する方法となる。

途中まではコチラのサイトを拝借させていただいている。

そもそもm3u8とは何？　

簡単に説明すると、そもそもm3u8とはプレイリストファイルのことで、中身はテキストファイルと同様で動画のリンク先URLを、このm3u8の中に書き込んでいます。
よって動画ファイルではなく、動画のリンク先を書き込んでいるファイルのことです。
また、動画ファイルはtsファイルとなり、そのファイルパスを書き込んでいます。
（tsファイル自体は動画ファイルです）

イメージ的にm3u8の中身は

https://www.xxxxxx.com/aaa01.ts
https://www.xxxxxx.com/aaa02.ts
https://www.xxxxxx.com/aaa03.ts
https://www.xxxxxx.com/aaa04.ts
https://www.xxxxxx.com/aaa05.ts

この５本のtsファイルを連結し、一つの動画として再生しています。
よって長い動画ファイルも連結することにより再生することができ、またWEBサーバーなどに負荷をかけることがなく便利な形式のようです。

このようにm3u8自体は動画ファイルではありませんので、m3u8単体をダウンロードしても通常の動画ファイルのように再生することができません。

m3u8(.ts)をダウンロード　

m3u8のダウンロードについて、目的が動画のダウンロードの場合はm3u8に記載されているtsファイルをダウンロードしないと意味がありません。
ダウンロードツールを色々と試しましたが、対応できるツールは動画ゲッターでした。
（動画ゲッターはこのm3u8に記載されているtsもダウンロードできるよう日々更新されている素晴らしいダウンロードツールです。

動画ゲッターでのダウンロード方法を解説。
ダウンロードしたい動画の再生画面を表示し動画ゲッターを押すと動画を解析し、m3u8ファイルをダウンロードできます。（はじめはこのm3u8をダウンロードします）
m3u8変換　shot2

m3u8ファイルをダウンロードすると自動で解析し、続いてtsファイルを同じ画面からダウンロード可能となります。

この際、ブラウザの設定でダウンロード先は事前に指定しておくようにします。（都度指定する1ファイルずつ保存場所を聞かれます。数ファイルなら問題ないですが、数千ファイルだと地獄を見ます。）
m3u8変換　shot3

ｔｓファイルを結合　

.tsファイルの結合を色々調べるとffmpegなど色々あります。ffmpegの場合はコマンド入力にて動画を連結するようなので、入力する手間がかかります。それに入力間違いもあるかもしれません。

そこで、InviDownloaderのファイル結合機能を使って対応します。

使い方は下記参照

tsファイルからMP4など他の動画ファイルに変換　

連結されたtsファイルは動画ファイルとして再生は可能ですが、対応する再生プレイヤーが限定されるので、場合によってはMP4など使いやすい形式に変換する必要があります。

動画変換ソフトは色々ありますが、ここではシンプルで使いやすい、Xmedia Recodeを使って説明します。

Xmedia Recodeを立ち上げ、ファイルを開くより連結したtsファイルを選択します。
m3u8変換　shot16

変換したい動画形式を選択します。例えばMP4など。
m3u8変換　shot17

リストに追加を押し、エンコードを開始します。
m3u8変換　shot18

エンコード作業中、終わるとエンコードが完了します。
m3u8変換　shot19