« 「Scanbox」が日本を偵察中 | メイン | MNCTF2015 WriteUp 回答案 »

2015年6月 8日 (月)

Emdiviを使う攻撃者の素性

世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。

なお、この記事は、Emdiviと呼ばれるRAT(Remote Access Tool)に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。

弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ(ドロッパおよびRAT本体)、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示します。

Maltego

図1 Emdivi RAT検体とC2サーバとの相関

多くの検体は、複数のC2サーバへ接続するように実装されており、そのうちの多くが日本国内にある正規サイトが悪用されています。しかし、一部は海外にあり、当初から攻撃者が運用管理していると思われるC2サーバも見つかっています。

図2は、合計65個のRAT検体に残されたコンパイル年月日を、月毎に集計したものです。(ドロッパは含まない。)

Compile_month

図2 Emdivi RATがコンパイルされた年月日

検体に残されるコンパイル日時は、技術的に詐称可能です。しかし、一部の事案において、検体内に残された別のタイムスタンプと、攻撃が実行された日(攻撃メールが送信された日)との相関を見ることで、一連のEmdivi検体に限っては、検体から確認できるコンパイル日時が正しいだろう、と考えています。つまり図2は、攻撃者が2013年9月には既に活動をしていた可能性を示しています。直近では、2015年6月2日に攻撃が実行された(メールが送られた)痕跡を確認しています。報道されている被害は氷山の一角であり、かなり前から、すでに多くの国内組織が攻撃を受け、情報を搾取されています。また全てのRAT検体は体系化されたバージョン管理がされており、いずれも同一の組織にて作成されたと考えています。

ドロッパに含まれていたデコイファイルは様々ですが、「医療費通知のお知らせ」を装った件では、図3に示すように、中国語のフォントが確認されています。

Decoy01_mask_line2

図3 「医療費通知」を装ったデコイファイル

そこで、コンパイル時刻を北京時間(UTC+8)で集計してみます。(図4)

Compile_time

図4 Emdivi RATがコンパイルされた時刻(UTC+8)

10:00AM付近を中心に午前中に作成された検体が多いようですが、全体的に、だいたい一般的な民間企業や公的機関の労働時間に収まっているようです。曜日で集計すると、やはり土日に作成された検体が少ないことが確認できました。(図5)

Compile_day

図5 Emdivi RATがコンパイルされた曜日

さらに、図1のコンパイル年月日に戻ってみると、弊社が観測できた限りにおいては、2015年2月にコンパイルされた検体が1つしかなく、さらに春節(旧正月)の期間にコンパイルされた検体は見つかっておらず、前後の月に比較して少なくなっていることが分かります。

以上の事実は、あくまで弊社が捕獲できたEmdivi検体(65個)に限ったものでありますので、氷山の一角である可能性があり、全体像とは違う可能性を否定することはできません。しかし、限られた情報の中から得られた解析結果として皆様に共有をさせて頂きます。

« 「Scanbox」が日本を偵察中 | メイン | MNCTF2015 WriteUp 回答案 »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat