「エクスプロイトキット」の洗練度が急速に増している

『Security Affairs』

October 29, 2015 08:00
by 『Security Affairs』

人気のエクスプロイトキット(「Angler Exploit kit」や「Nuclear Exploit Kit」)が活発化していることが判明した。その理由は何か?

サイバー空間における脅威は、日に日に複雑さと洗練さを増している。人気のエクスプロイトキットの普及や有効性を否定することはできない。エクスプロイットキット「The Angler Exploit Kit」の仕組みはこの記事で公開した。ここでは、 Angler Exploit Kitの背後にいる攻撃者がランサムウェア単体で年間に約6000万ドルもの利益を得ていることを示す統計情報を明らかにしている。

現時点では、恐らくAnglerがエクスプロイトキット市場で優位に立っている。2番目に多く普及しているのが「Nuclear Exploit」だ。このNuclear Exploitが、今までのものよりも遥かに効果的で洗練されたペイロード送信のメカニズムを活用していることが最近になって判明した。

動的なペイロード送信、署名に基づく検知とヒューリスティック(もしくは“ふるまい”)検知の両方を回避

Nuclear EKグループが遂げた重要な進歩の一つは、エクスプロイトキットが配信するペイロード(編集部注:ペイロードとは、通信パケットのうちヘッダー部分を除いたデータ本体を指す)が動的であるということだ。通常のNuclear EKの動作においても、ペイロードは頻繁に交換されていたが、最近解析されたNuclear EKの接続するホストが配信するペイロードは、常に一定ではないということが判明した。

署名ベースのソリューションはハッシュに基づきマルウェアを検知する。既知のファイルが正規のものか、不正なものかどうかをハッシュ値(署名)によって識別するのだ。全く同じ内容を持つファイルに対し同じアルゴリズムを適用すれば、この値は同一のものとなる。

署名ベースのソリューションにおける問題は、ペイロードを修正したり、いくつかのバイトを追加・削除・反転すると問題のファイルのハッシュ(署名)が完全に変わると言うことだ。このため、署名ベースのみのソリューションは容易に回避できる。

署名ベースのソリューションだけに頼るのは無意味であるというのは既知の事実だ。しかし、最近の Nuclear EK の活動を分析したことにより、新たな進歩が判明した。それは、各ペイロードは同じサイズであるが、ペイロードのバイナリはその時々で作成されているということだ。個々の潜在的な被害者には、全く異なるハッシュ値を持つペイロードが送られるのみならず、内部構造(例えばペイロードが利用する変数や関数名)が各ホスト毎(むしろIPアドレス毎と言うべきか)に完全に独自のものであるペイロードが送られる。

これは次のポイントに繋がる。Nuclear EKの最新バージョンは、検知を免れるために効果的な技術を利用していることが分かったが、さらにNuclear EK がターゲットのシステムに侵入するのに失敗した際には、Nuclearが使用した感染経路の再現や追跡・分析によるマルウェア解析を防ぐための抗解析技術が用いられているのだ。

最新のNuclear EK のインスタンスは、IPアドレスのログ機能を実装している。よって、Nuclearが同じペイロードを個々のIPアドレスに送信することは決してないだろう。Nuclearは個々の標的ベースで悪意あるペイロードを送信するように設定されており、効果的に署名に基づくアンチウィルス(AV)・ソリューションや、大抵のふるまい/ヒューリスティックAV・ソリューションを回避する。

新しい関数や変数等を使用・定義して、バイナリから呼び出しをするものは以前にもあった。こういった場合にはヒューリスティック・ソリューションでも、ファイルの活動が実際に通常のものなのか、安全なのか、または不正なのかどうかをより正しく評価するために、これらの今まで見たことのないようなコンポーネントを含む疑わしいアプリケーションを吟味・解析する必要がある。つまり本質的に、通常は「最初に感染したコンピューター」が必要となる。ペイロードファイルが未知のファイルとして配信されている限りは、ペイロードが送られる群の感染成功率は上昇し、一貫性も保持されることになるだろう。

さらなる回避技術も

情報セキュリティ業界の有力企業(例えばKaspersky)は、Nuclearが送信した以前のペイロードの再現や復元、解析を行っている。ただ、マルウェアの解析者は過去に送られていたエクスプロイトを取り出したり解析するのには成功していたものの、Nuclearの最新亜種には手を焼いているようだ。そして、現状観測されているものの中で、最も直近に送信されたNuclearのペイロードから取り出されて解析されたペイロード/エクスプロイトはまだない。
 
翻訳:編集部
原文:The Rapid Increase in the Sophistication of Exploit Kits
※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…