マルウェア解析奮闘記 Powershell多用マルウェアの解析
先月、複数の情報ソースから同様のフィッシングメールの報告を受けました。メール本文は日本語、おとりのファイルも受信組織の業種に関連するものでした。そして、添付ファイルはPowerShellスクリプトを含むショートカットでした。
以下に、概要および解析結果を記します。
| | | 
|
APT
2016年10月20日 (木)
2015年11月26日 (木)
フリーメールを使った差出人メールアドレスの詐称
標的型攻撃において、攻撃者はフリーメールサービスをよく使うことが知られています。Backdoor.Emdiviのケースでも、*****@excite.co.jp や *****@yahoo.co.jp などのフリーメールアドレスが差出人となっている攻撃メールを多数確認しています。
一方、差出人メールアドレスで取引先ドメインを詐称した標的型攻撃メールや詐欺メールもよく見られます。多くの方がご存じのように、メールヘッダの偽装は極めて簡単なため、詐称メールを送る技術的な敷居は低く、そのためツール類も出回っておりますが、弊社では、ここ最近、一部の攻撃者/犯罪者が“フリーメールサービス”を使って、取引先メールアドレスを詐称していることを、標的型攻撃や詐欺の事案で確認しました。ここで言う「詐欺」とは、取引先になりすまして、送金先口座の変更を依頼する旨のメールを送り金銭を横取りする犯罪などです。以降、読者の皆様の組織における防衛強化のための知見として、詐称の具体的な手口を共有させて頂きます。
| | |
|
2015年6月 8日 (月)
Emdiviを使う攻撃者の素性
世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。
| | |
|
2015年4月 1日 (水)
「Scanbox」が日本を偵察中
去年8月に米国AlienVault社のブログ(*1)で報告されたScanboxという偵察ツールがあります。これは、JavaScriptだけで書かれた偵察ツールで、Webサイトへ訪問しただけで、OS、ブラウザ、ウイルス対策ソフトを含む各種ソフトウェアの種別やバージョン情報が収集されてしまうものですが、弊社では、去年の秋くらいから、このツールが日本でも使われたことを数件確認しています。
| | |
|
2015年1月26日 (月)
医療費通知に偽装した攻撃(Backdoor.Emdivi) その後
昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。
| | |
|
2014年11月 7日 (金)
健康保険組合になりすました不審なメールについて
ここ数日の間に、多くの日本企業宛に、健康保険組合になりすまし、医療費通知を装った不審なメールが送られています。メールに添付されたマルウェアは、図1のようにWordドキュメントを装った実行ファイル(exe)で、実行後に図2のデコイファイルが表示され、RAT本体がドロップされます。
| | |
|
2014年9月 2日 (火)
Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~
先月、米国で病院経営を手掛けるCommunity Health Systemsが、中国からのサイバー攻撃を受け、450万人分の患者情報が流出したとのニュースは記憶に新しいところです。有識者の見解によると、攻撃グループは、Dynamite Panda(Mandiant社の呼称ではAPT18)と見られています。報道内容によると、侵入の発端は、VPN装置のOpenSSLの脆弱性(Heartbleed)を突き、認証情報を盗み、VPNでリモートログインしたようです。
さて、ここで一つ疑問があります。攻撃者は、どのようにしてVPN装置の存在、そのIPアドレスを知ったのでしょうか。
| | |
|
2014年7月 3日 (木)
中国人民解放軍61486部隊(PUTTER PANDA)に関する情報
ブログ初投稿となる客員研究員の柳下です。一部国内でも既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、中国の上海を拠点に活動する中国人民解放軍61486部隊の攻撃者のレポートを公開しています。この攻撃者は、CrowdStrike社によってPUTTER PANDAと呼称されており、米政府の防衛部門や科学技術研究部門、とりわけ米国防総省と欧州の衛星技術/航空宇宙業界を標的にサイバースパイ活動を行ってきた事が報告されています。
| | |
|
2014年5月28日 (水)
APT1より危険な攻撃者グループ
5/22~5/24の三日間、和歌山県にて開催された「サイバー犯罪に関する白浜シンポジウム」に参加してきました。知見を持った業界の人々が一つの場所に集結し、昼夜問わず、サイバー犯罪に関するインテリジェンスの共有を図ることには大きな意義と重要性を感じました。来年も機会があれば、ぜひ参加したいと思います。また今回は、光栄にも講演者としてご招待頂き、弊社の持っている知見の一部を発表させて頂く機会を得ましたので、ここで、その一部を共有したいと思います。
| | |
|
2014年4月 1日 (火)
Network Indicators of C2 / C2の兆候を発見するためのCheat Sheet
端末に感染したマルウェアは、C2サーバ(C&Cサーバ)に接続し、様々な遠隔操作を受けながら、ほとんどの場合、追加で別のマルウェアやツールをダウンロードします。そして組織内LANへの侵入を拡大しながら、入手したい機密情報を探索し、最終的に攻撃者のサーバへ機密情報をアップロード(Data Exfiltration)します。
| | |
|
政本 憲蔵
セキュリティ研究
センター センター長
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。
凌 翔太
セキュリティ研究
センター
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。
