« RTFに埋め込まれたマルウェア | メイン | ロシアの攻撃者(Energetic Bear)による日本への攻撃 »

2013年12月24日 (火)

検証用コードサイニングEXEと無署名EXE

凌です。コードサイニング(署名)されているマルウェアの話をします。

 最近のマルウェアは正規の証明書で署名されているものが徐々に増えています。特にAPTで利用されるマルウェアについては、その傾向が顕著に出ています。一部のセキュリティ対策では、署名されている実行ファイルを検査しない、振る舞いを見ない、と例外(ホワイトリスト)扱いにしているものが多く、攻撃者は検知を免れるために悪用しはじめているようです。

【コードサイニングとは】

文字通りプログラムに署名をすることですが、目的は2つあり、実行ファイルの開発元を証明することおよび、実行ファイルが改ざんされていないことを証明します。署名をするのは開発元であり、認証局から提供された証明書(秘密鍵含む)を用います。

Windowsでは署名がされている実行ファイルのプロパティを見ると以下の[デジタル署名]タブが表示されます。

Signed

攻撃者が正規の証明書を入手する手口は2つあります。

  • ソフトウェアを開発している組織に侵入し、コードサイニング用の秘密鍵を盗む            
  • 正規の会社と結託したり、架空の会社をでっち上げたりして、正規の手順で認証局から証明書を発行してもらう

こうしたマルウェアに対して、自社内の対策またはブラウザ、OSの振る舞いの違いを調べていただくためのテスト用実行ファイルを用意しました。 署名あり版と署名なし版があり、実行内容は全く同じで「Hello World」というポップアップを表示するだけの単純なEXEです。

【ダウンロード】

A.署名されていないEXE (MD5:670ef95dfd79c3f6c1d3f63de5e3a2a3)

   DummyPopup_notSigned.exe

B.署名されているEXE (MD5:66f65b57235f9886537bb791db6dfb14)

   DummyPopup_Signed.exe

C.ルート証明書(MD5:7c8f48160d6fdd5ebd3d3c013ffd0874)

   Sh1n0g1_CA.crt


上記は自己署名証明書(いわゆる「オレオレ証明書」)なので、正規の証明書として、テストする場合はルート証明書を「信頼されたルート証明機関」としてインストールしてください。


【テスト手順】

テスト用のクライアント端末を用意し、以下のステップを試し、警告や検知イベントなどを観察しながら、進めます。

  1. A(署名なし)をダウンロードします。
  2. B(署名あり)をダウンロードします。
  3. A(署名なし)を実行し、閉じます。
  4. B(署名あり)を実行し、閉じます。
  5. C(ルート証明書)をダウンロードし、OSにインポートします。セキュリティ対策製品側にもルート証明書のインポートが可能の場合はそちらにもインポートします。
  6. 再度B(署名あり)をダウンロードしまる。
  7. 再度B(署名あり)を実行し、閉じます。

最後にテスト結果を以下のようにまとめます。

Signed_1

もし、結果が上記の表同様、署名ありのEXEは警告や検知ログが出ないのであれば、既存のセキュリティ対策では署名ありのマルウェアはすり抜けられる可能性があるということになります。

« RTFに埋め込まれたマルウェア | メイン | ロシアの攻撃者(Energetic Bear)による日本への攻撃 »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat