2014年03月03日

Torを利用するマルウエアが増加!次に狙われるのは恐らくI2Pだ!

Torを利用するマルウエアが増加!次に狙われるのは恐らくI2Pだ!

Torを利用するマルウエアが増加
http://itpro.nikkeibp.co.jp/article/COLUMN/20140210/535786/
2014/02/13

セキュリティベンダーが公開しているブログから、今回は、最近の攻撃手法に関する話題を3つ紹介する。まずはトレンドマイクロのブログ。匿名通信システム「Tor(The Onion Router)」を利用するマルウエアに関するものだ。サイバー犯罪者は、明らかにTorの可能性に目を向けている。ネットワーク管理者はTorを利用するマルウエアが自社ネットワークに現れる可能性を想定する必要があると、トレンドマイクロは注意を促している。

 Torは、ネットワーク管理者やインターネットサービスプロバイダー(ISP)、あるいは国家などが、ユーザーの訪れるサイトを特定したり遮断したりできないようにするために設計されている。「Onion Routing」の概念を取り入れたもので、インターネット上にある多数のノードがインターネットトラフィックをリレー中継する。Torを利用するには、クライアントをマシンにインストールする。

 クライアントはTorのディレクトリーサーバーにアクセスし、ノードのリストを取得する。目的地であるサーバーまでさまざまなノードを経由するインターネットトラフィックのパスを選ぶ。パスを追跡するのは難しい上に、ノード間のすべてのトラフィックは暗号化される。

 これによって、ユーザーの身元、少なくともIPアドレスは、ユーザーが訪れたサイトから分からなくなる。ユーザーのネットワークトラフィックを探っている潜在的な攻撃者からも隠蔽する。これは、痕跡を残したくない訪問者や、何らかの理由でIPアドレスをアクセス拒否されているユーザーがサーバーに接続しようとしている場合などに都合が良い。

 合法あるいは非合法どちらの動機もあり得るが、残念ながら不正な目的に使われる可能性があり、実際これまでも不正な目的に使われている。

 2013年後半に、トレンドマイクロはTorを使ってネットワークトラフィックを隠蔽するマルウエアの増加を確認した。2013年9月に同社はマルウエア制御(C&C)サーバーとの通信のバックアップにTorコンポーネントをダウンロードする「Mevade」マルウエアについてブログに記述し、10月にはTorを使ってC&C通信を実行する「TorRAT」マルウエアを利用していた4人がオランダの警察に逮捕された。2013年最後の数週間は、Torをあらかじめ設定してあるブラウザーの使用をユーザーに迫る「Cryptorbit」と呼ばれるランサムウエアの亜種が複数確認された。
2014年1月に入るとトレンドマイクロは、C&Cサーバーとの接続にTorを使うだけでなく、通常の32ビット版に不正な64ビットバージョンを埋め込む複数の「ZBOT」サンプルについてブログで報告している。
Torを利用するマルウエアの増加は、ネットワーク管理者がさらなる措置を検討せざるを得なくなることを意味している。Torを認識し、Torの使用を察知し、必要であれば阻止しなければならない。Torが不正に利用されれば、IT対策が迂回されたり、機密情報が流出したりなど、さまざまな問題に発展するおそれがある。
2つめは、クロスプラットフォームのJavaボット「HEUR:Backdoor.Java.Agent.a」について。ロシアのカスペルスキーラボが分析した結果をブログで発表した。

 HEUR:Backdoor.Java.Agent.aは、同社が今年の初めに入手した不正なJavaアプリケーションから検出したマルウエアで、Windows、OS X、Linuxに対応する。すべてJavaで記述され、Java脆弱性「CVE-2013-2465」を利用する。

 分析や検出をより困難にするために、マルウエア作成者は難読化ツール「Zelix Klassmaster」を使って、バイトコードを難読化するほか、命令定数を暗号化する。Zelixは各クラスにそれぞれ異なるキーを生成する。これにより、アプリケーション内のすべての文字列を解読するには、すべてのクラスを分析して暗号解除キーを見つけ出さなければならない。

 ボットは感染すると、自身の複製をユーザーのホームディレクトリーに作成し、システムが立ち上がるときに起動するよう設定する。ボット本体には暗号化した設定ファイルが組み込まれている。

解読済みの設定ファイル

 ボットは自動起動の設定が済むと、これを攻撃者に報告する。各ボットを特定できるよう、それぞれのマシン上でユニークなボットIDを生成する。ボットIDは被害マシンのホームディレクトリーの「jsuid.dat」ファイルに保存される。

 ボットはJavaフレームワーク「PircBot」を使って、IRC経由でサーバーとの通信を確立する。感染後に、IRCサーバーとの通信を開始し、定義済みチャネルに接続して攻撃者のコマンドを待つ。

 ボットは感染マシンから分散型サービス拒否(DoS)攻撃を実行することを主な目的とし、HTTPフラッド攻撃とUDPフラッド攻撃に対応する。どちらの攻撃を仕掛けるかは、攻撃者が指定する。標的となるコンピュータのアドレス、ポート番号、攻撃期間、攻撃に使うスレッド数なども攻撃者が決められる。

 HTTPリクエストに挿入されるユーザーエージェント値は、ボット自体に暗号化されて保存されたリストからランダムに選ばれる。

 またカスペルスキーラボは、同ボットを分析している中で、大規模電子メールサービスを攻撃する機能も確認したという。

3つめは、セキュリティ対策を迂回する攻撃について。最近ますます巧妙化しているとして、米マカフィーがブログで注意を呼びかけている。

 現在、一般的な検知機能や防御機能を回避するよう設計されたマルウエアがいくつも確認されている。中には驚くほど抜け目がなく、知恵を巡らせた手口もあり、セキュリティ企業とその顧客である大企業、エネルギーグリッド、政府、ジャーナリスト、人権擁護団体などに厳しい課題を突きつけている。

 このような攻撃の背後にいるサイバー犯罪者は、セキュリティ対策の仕組みをよく理解し、それを欺くために何をすればいいかよく分かっている。

 セキュリティ機能を認識する攻撃の一例では、スプレッドシートやワープロソフトのような一般的なプログラムがある環境下でのみ攻撃コードを開く命令セットを備えている。一般的なプログラムが何もない場合、攻撃コードは休眠状態になる。これにより、疑わしいファイルを分析するための隔離環境であるサンドボックスの検知機能を回避する。

 最近、さらに巧妙な手口が複数確認されている。あるものは攻撃コードを分割し、一見無用なコードの断片として「.gif」ファイルに埋め込み、複数のファイルで送信する。個々の断片はまったく無害に見える上、あまりに小さいためほとんど検知されない。しかし、これらすべてのファイルがファイアウォールをすり抜け、ターゲットに入り込むと、自己組成し、完全な攻撃機能を持つプログラムになる。

 この手口の本当に怖ろしい点は、マルウエアは被害コンピュータ内で組み立てられるまで存在しないことだ。いったん企業環境に入り込むと、検出される前に重大な損害を企業に与える可能性がある。

 このような攻撃は単にサンドボックスやファイアウォールを迂回するだけではない。サーバー、モバイル端末、リモートコンピュータシステム、POSなど、さまざまなアクセスポイントにおけるセキュリティスタックを失敗させることも意図している。

 こうした攻撃により、企業や顧客の財務データが不正アクセスを受け、重要な知的財産が盗まれたり、ネットワークアクティビティが監視されたりするおそれがある。

 対策の一環としてマカフィーは、エンドポイント、サーバー、データベース、モバイル端末、クラウドベースのリソースなどをカバーする高度なネットワークセキュリティシステムの導入を推奨している。状況や文脈を理解する高度な管理システムにこれらすべてを統合することで、企業は不審な行動の検知と攻撃の特定を強化できる。

 しかし、単に企業ネットワークに入り込む攻撃コードを見つけるだけでは十分ではないと、マカフィーは強調する。被害を最小限にとどめるには、攻撃プログラムを隔離または凍結し、あらゆるダメージを軽減し、修復しなければならない。



Tor を利用する不正プログラムへの対策 Part 1
http://blog.trendmicro.co.jp/archives/8492
(2014年2月3日)

匿名通信システム「The Onion Router(Tor)」は、2013年後半、さまざまな理由で話題になりました。おそらく最も不名誉な話題は、現在は閉鎖されている「Silk Road」で利用されたことでしょう。トレンドマイクロでは、「Deep Web(ディープWeb)」について、リサーチペーパー「Deep Webとサイバー犯罪」で詳しく調査しました。また、「脅威予測−2014年とその後」では、多くのサイバー犯罪者が Tor を利用することで、「Deep Web」がさらに活発になると予測しています。

サイバー犯罪者たちは、Tor の可能性に明らかに気づいています。ネットワーク管理者は、Tor を利用した不正プログラムがネットワーク上に現れることを考慮しなければなりません。このような状況に、どう対応すればよいでしょうか。

■Torとは何か
Tor は、ある特定の問題を解決するために設計されています。それは、ネットワーク管理者やインターネット・サービス・プロバイダー(ISP)、さらには国家といった「Man-In-The-Middle(中間者)」が、ユーザの訪れる Webサイトを特定したりブロックするのを阻止することです。それは、どのような仕組みになっているのでしょうか。

かつては「The Onion Router」として知られていた Tor は、米海軍調査研究所(NRL)が開発したオニオンルーティング(Onion routing)の概念を取り入れ、インターネット上の多数のノードを中継してインターネットトラフィックを送信する匿名通信システムです。Torネットワークを利用するには、ユーザは自身の PC にクライアントをインストールします。

この TorクライアントはTorディレクトリサーバに接続し、そこでノードのリストを取得します。ユーザの Torクライアントは、さまざまな Torノードを経由して、目的地となるサーバへのネットワークトラフィックのパスを選択します。このパスによって、追跡が困難になります。また、ノード間のトラフィックはすべて暗号化されます。なお、Tor についての詳細は、「Tor project」の公式Webサイトをご参照下さい。

こうした技術により、Torネットワークは、ユーザが訪れた Webサイトから、少なくとも IPアドレスといった身元を隠ぺいします。また、対象とするネットワークトラフィックを調査しているあらゆる潜在的な攻撃者も隠します。これは、痕跡を残したくないユーザや、何らかの理由により、自身の IPアドレスからの接続を拒否しているサーバに接続したいユーザには、非常に便利です。

Tor は、正規の目的だけでなく、違法な目的でも利用することができます。つまり、Tor は悪用される可能性があり、また実際にされています。

■Torはどのように悪用されるか
不正プログラムも、一般ユーザと同様に、容易に Tor を利用することができます。弊社は、2013年後半、自身のネットワークトラフィックを隠ぺいするために、Tor を利用する不正プログラムが増加しているのを確認しています。2013年9月9月の記事では、コマンド&コントロール(C&C)サーバへの通信のバックアップのために Torコンポーネントをダウンロードする不正プログラム「MEVADE」について取り上げました。また、2013年10月には、「TorRAT」と呼ばれる不正プログラムを用いて、Torで匿名化したC&Cサーバを利用したサイバー犯罪者 4人が、オランダで逮捕されています。オランダのユーザの銀行口座を対象としていたこの不正プログラムのファミリは、検出を回避するためにアンダーグラウンドで提供されている暗号化サービスや Bitcoin(ビットコイン)のような暗号化された仮想通貨を利用していたために、調査が難航しました。

弊社では、2013年末の数週間に渡って、「Cryptorbit」と呼ばれる「身代金要求型不正プログラム(ランサムウェア)」の亜種を複数確認しました。このランサムウェアは、被害者となったユーザが身代金を支払う際、あらかじめ設定された Torを組み込んだ「Torブラウザ」を利用するように明確に要求します。「Cryptorbit」という名前は、同じような不正活動を行う悪名高いランサムウェア「CryptoLocker」から着想を得たと考えられます。

図1:Tor を利用したランサムウェアによる警告画面
図1:Tor を利用したランサムウェアによる警告画面

2014年1月10日の記事では、自身の C&Cサーバとの通信に Tor を利用し、通常の 32ビット版に 64ビット版の不正プログラムを埋め込んだオンライン銀行詐欺ツール「ZBOT」の検体について取り上げました。

図2:実行中の64ビット版「ZBOT」
図2:実行中の64ビット版「ZBOT」

この不正プログラムは、64ビット環境で問題なく動作し、一般的な不正プログラムと同様に、実行中のプロセス「svchost.exe」に自身を組み込みます。

Tor を利用した不正プログラムが増加しているということは、ネットワーク管理者は Torに対してさらなる対策を検討する必要があるということです。Tor について理解し、Torの利用を検知し、必要によっては、その利用を阻止しなければなりません。Tor の不正利用は、IT対策の回避から機密情報の流出まで、さまざまな問題を起こす可能性があります。

本ブログの Part2 では、Torを利用する不正プログラムへの対策について考察します。

参考記事:
「Defending Against Tor-Using Malware, Part 1」
by Jay Yaneza (Technical Support)

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)


アノニマスJP.PNG




Anonymous OpA.C.S. @Operation_ACS
違法ダウンロードの抑制を口実に、我々のプライバシーは侵害されつつあります。憲法で定められている通信の秘密は今や守られないのでしょうか。プライバシーを守るためのキーワードとして、tor や i2p が役に立つかもしれません。 #opACS #anonymous



Torを狙うマルウェアが既に発見されています。
TorがダメならI2Pを使おうと検討している方々、次のターゲットはI2Pです。
悪意を持ったハッカーはセキュリティーホールを探して脆弱な部分から入って来ます。
つまりTorからI2Pに替えても同じことの繰り返しだぜ・・・という意味です。
私の読みが当たるとすれば、I2Pを狙うマルウェアが現れるでしょう。
申し訳ござませんが、私は、確定申告を終わらせなければならないので、今は、「Torとは何?」「I2Pとは何?」という定義には触れないこととします。
2chの方々は、韓国のVANKに不特定多数でもって攻撃を仕掛けたのですから、その程度のことぐらい教えてくれますよ。
なので、ヒントだけは与えましたので、Gooleでも何でも良いので、検索して調べてみて下さい。
皆さん、ごきげんよう。
ラベル:TOR I2P
【関連する記事】
posted by hazuki at 16:33| Comment(1) | TrackBack(0) | インターネット全般 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
ブログオーナーが承認したコメントのみ表示されます。
Posted by ブログオーナーが承認したコメントのみ表示されます。 at 2014年03月05日 08:22
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック