「FireEye」の下のエントリフィールド

ブログ(脅威調査)

セキュリティ脅威の分析、サイバー攻撃、脅威情報などのトピックについて、FireEye Labsチームが技術的な観点から解説します。


    ファイア・アイ ブログ:ランサムウェア「Cerber」のC2サーバー遮断について

    次の日付まで FireEye
    概要 2016年6月10日、ファイア・アイのエンドポイント・セキュリティ製品「FireEye HX」は、ランサムウェア「Cerber」による攻撃キャンペーンを検知しました。その後、ファイア・アイはオランダのCERTとWebホスティングプロバイダーと協力することで、検知から数時間以内にCerberのインストーラーを保有していたC2サーバーを特定し、遮断することに成功しました。 ファイア・アイはCerberが意図的にロシアと旧ソビエト連圏の複数の国を攻撃対象から外していたことから、東ヨーロッパ由来の攻撃であると推測しています。サーバーが遮断された6月10日以降、Cerberへの新たな感染は観測されていませんが、攻撃者が新たなC2サーバーを立ち上げ、攻撃を再開する可能性は否定できません。ファイア・アイでは引き続きCerberの動向に警戒するとともに、包括的なセキュリティ対策でお客様の情報資産を守っていきます。 ランサムウェア「Cerber」について Cerberは電子メールにワードファイルとして添付され、誤って開封すると不正なマクロが実行されます。感染したPCには身代金を要求するメッセージが表示され、暗号化されたファイルを復号するにはビットコインの支払いを求められます。Cerberは日本語を含む12か国語に対応しており、ある攻撃キャンペーンでは5,000にもおよぶインストールが報告されていました。今年5月に「TeslaCrypt」ランサムウェアが突然の終息をむかえて以来、最も活発的なランサムウェアの一つとして世界中で猛威をふるっていました。 <Cerberに感染したPC画面> このたび公開したブログ全文(英語)では、Cerberに関する詳細を解説しています。本件に関するご質問やご不明な点がございましたら下記ご連絡先までお問い合わせください。 続きを読む...


    世界で猛威を振るうランサムウェア「Locky」の再来

    次の日付まで FireEye

    ファイア・アイは、世界で猛威を振るっているランサムウェア「Locky」について、今年3月に顕著な上昇を観察していました。図1の通り、4月から5月にかけては増減を繰り返しながらも活動が途切れることはありませんでしたが、6月1日から3週間近くにわたり一時停止しました。しかし、ファイア・アイのDynamic Threat Intelligence(DTI)は、6月21日に新たな分析・サンドボックス回避機能が追加された「Locky」によるスパム・キャンペーンを検知し、現在の活動量は2016年上半期の水準まで回復しています。

    続きを読む...


    ファイア・アイ、検出が困難で危険なブートキットによりカード決済情報を狙う脅威グループを確認

    次の日付まで FireEye

    ファイア・アイの一部門であるマンディアント・コンサルティングは、今年9月、OS起動前に実行される高度なマルウェアを使用してカード決済情報を狙う、金銭目的の脅威グループを確認しました。この脅威グループは「ブートキット(bootkit)」と呼ばれる極めて特殊な手法を使用し、下位レベルのシステムコンポーネントにマルウェアを感染させるため、その特定・検出が非常に困難です。したがって、この手法が使われると、マルウェア根絶の最も有効な手段として広く認められているOSの再インストールを実施しても、マルウェアを削除できないことになります。

    続きを読む...


    XcodeGhost S -米国企業を襲うXcodeGhostの亜種

    次の日付まで FireEye
    iOSデバイスのユーザーに対し、XcodeGhostマルウェアによる脅威の警告があったのは、約1カ月前のことでした。App Storeから感染アプリを削除し、悪意のあるアクティビティを阻止する新たなセキュリティ機能を公開するなど、アップル社の対応は迅速でした。しかし、ファイア・アイの調査チームがお客様のネットワークを継続的に監視した結果、XcodeGhostの脅威は未だ根強く、同マルウェアが進化していることも判明しました。 今回判明したのは、主に以下の3点です。 XcodeGhostは米国企業に侵入しており、未だ根強いセキュリティ・リスクであること ボットネットは現在も一部活動中であること ファイア・アイがXcodeGhost Sと呼ぶ亜種から、より高度な未検知のサンプルが検出されたこと XcodeGhostのアクティビティを4週間にわたって監視したところ、210の企業でXcodeGhostに感染したアプリケーションが社内ネットワーク上で実行され、2万8,000回以上もXcodeGhostコマンド&コントロール(CnC)サーバーへの接続が試みられていました。攻撃者のコントロール下にこそなかったものの、脆弱性を悪用して攻撃者から攻撃を受け、ハイジャックされやすい状況にあったことになります。同期間中にXcodeGhostがコールバックを試みた上位5カ国を図1に示します。 図1:XcodeGhostが4週間中にコールバックを試みた上位5カ国 XcodeGhostの感染が検出された210の企業が属する業界は多岐にわたります。ネットワーク内部からXcodeGhost CnCサーバーへのコールバックを試みた割合から、XcodeGhostの影響を受けた上位5業界を図2に示します。 図2:コールバックの試みから見た、影響を受けた上位5業界 調査チームは、XcodeGhost CnCトラフィックにハイジャックされた場合、以下のようなことが起こることを示しました。 App Store外のアプリを配布  URLへ強制的な誘導 ダウンロードページを直接起動し、App Store内の任意のアプリを積極的に宣伝 フィッシング・ウィンドウのポップアップ表示 ファイア・アイのDTIクラウドが検出した152種類のアプリのうち、最も活動的な感染アプリの上位20種を図3に示します。 図3:感染アプリ上位20種 大半のベンダーはすでに、App Storeで自社アプリをアップデートしているものの、下記の図4から多くのユーザーが感染したバージョンのアプリを実際に使い続けていることがわかります。バージョンの分布状況はアプリによって異なります。例えば、最も一般的なアプリである「网易云音乐」と「WeChat」の感染バージョンの状況は図4の通りです。 App Name Version Incident Count (in 3 weeks) WeChat 6.2.5.19 2963 网易云音乐 Music 163 2.8.2 3084 2.8.3 2664 2.8.1 1227 図4:感染アプリのバージョンのサンプル 感染したiPhoneのiOSのバージョンは、6.x.xから9.x.xです(図5)。特筆すべきは、ファイア・アイの顧客においても、感染が確認された企業の約70%が、現在も旧バージョンのiOSを使用していることです。旧バージョンをお使いの皆様は、一刻も早く最新のiOS 9へアップデートしてください。 図5:感染アプリを実行するiOSのバージョン分布 一部企業では、従業員のiPhoneと攻撃者のCnCサーバーの通信を遮断することで、自社ネットワーク内でXcodeGhost DNSクエリをブロックし、ハイジャックを防いでいます。しかし、従業員がデバイスやアプリをアップデートするまでの間、依然、XcodeGhost CnCトラフィックの潜在的なハイジャックに対して脆弱な状態であり、特に企業ネットワークの外では脆弱性が高まります。 多くの米国企業で短期間の     うちに検出された感染デバイスの数を考えると、XcodeGhostは引き続き企業にとって進行中の脅威であると考えられます。 XcodeGhostの亜種がiOS 9を悪用 ファイア・アイはアップル社と協力し、弊社で検出したXcodeGhostとXcodeGhost Sの全サンプルをApp Storeから削除しました。 XcodeGhostは、Xcode 7(iOS 9の開発用に公開)を含む、Xcodeの各バージョンに仕掛けられています。ファイア・アイがXcodeGhost Sと呼ぶ最新の亜種は、iOS 9を感染させて静的な検出を迂回するための機能が追加されています。 アップル社によると[1]、同社はクライアント・サーバー接続のセキュリティを向上するためにiOS 9向けに「NSAppTransportSecurity」を導入しました。初期設定では、セキュアな接続(固有の暗号化を持つhttps)のみがiOS 9上で許可されます。この制限により、従来版のXcodeGhostでは、httpを使用したCnCサーバーへの接続は不可能となります。しかし、アップル社は、開発者がアプリのInfo.plistに例外(「NSAllowsArbitraryLoads」)を追加することで、http接続を許可することも認めています。図6の通り、XcodeGhost Sのサンプルは、アプリのInfo.plistの「NSAppTransportSecurity」エントリ下で「NSAllowsArbitraryLoads」の設定を読み込み、この設定に基づき、異なるCnCサーバー(http/https)を選択します。 図6:XcodeGhost SでのiOS 9の選択   さらに、CnCのドメインストリングは文字単位で連結しており、図7の動作のようにXcodeGhost S内の静的な検出を迂回します。 続きを読む...


    北朝鮮からの脅威が疑われる、ハングルワードプロセッサー(HWP)に対する最新ゼロデイ攻撃について

    次の日付まで FireEye

    ファイア・アイは今回、ハングルワードプロセッサー(HWP)の未知の脆弱性(CVE-2015-6585)を悪用した複数の悪意ある文書を実環境において発見しました。韓国企業によって開発されたHWPは韓国語のワードプロセッサー・ソフトウェアで、韓国では主に政府機関や公共機関で広く利用されています。

    続きを読む...