Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts by Liam O Murchu remove filter
1 周年を迎えた歴史的マルウェア
Liam O Murchu | 12 Jul 2011 | 0 comments

ときおり、たった 1 つのマルウェアが世間の注目を浴びることがあります。(シマンテックのオフィスを別とすれば)給湯室の世間話で話題になるマルウェアは珍しいでしょうし、実際に歴史に残るほどのマルウェアとなれば、非常にまれです。発見から今月で 1 周年を迎えるあるマルウェアが、まさにそのまれなケースに該当します。

1 年前のほぼ今頃、ベラルーシのコンピュータセキュリティ企業が、Microsoft Windows の新しい脆弱性(.LNK の脆弱性)を悪用する悪質なコードを発見したと報告しました。同社もまさか、このマルウェアが世界を変えようとは思いもしなかったでしょう。

このマルウェアがゼロデイ脆弱性を悪用するという事実は重大でしたが、歴史に名を残すというほどではありませんでした。では、このマルウェアの何が特別だったのでしょうか。最初の発見を受けて、シマンテックは問題のマルウェアを詳しく解析しました。何千人時も費やして 500 KB のコードを解析した結果、.LNK の脆弱性は氷山の一角にすぎず、しかも氷山自体がきわめて危険であることが明らかになりました。

このマルウェアは、それまで知られていなかった .LNK の脆弱性を利用するだけでなく、さらに 3 つのゼロデイ脆弱性も悪用していました。同時に 4 つのゼロデイ脆弱性が狙われたというのも前代未聞でしたが、この脅威にはさらに、Windows のルートキット、初めて出現した PLC(プログラマブルロジックコントローラ)ルートキット、高度なウイルス対策回避技術、複雑なプロセスインジェクションとフックのためのコード、ネットワーク感染ルーチン、ピアツーピア更新、コマンド & コントロールインターフェースまで備えていました。これが、どのベンダーもかつて目撃したことのなかった複雑な脅威、Stuxnet です。

ここまででもセキュリティ関係者にとっては十分に衝撃的でしたが、それだけであれば、まだ「世界を変えた」と言うほどではなかったでしょう。Stuxnet が特に世界を震撼させたのは、それがデジタル世界を越えて一足飛びに現実の世界への侵入を図ったものだったからです。もちろん、情報を盗み出したり銀行口座情報を詐取したりするマルウェアは無数にありますが、...

Read more
A Malware Anniversary to Remember
Liam O Murchu | 11 Jul 2011 | 0 comments

Once in a while, a piece of malware will come along that grabs headlines. Rarer is malware that is talked about around the water cooler (at places other than Symantec). But the rarest of all is malware that actually makes history. It is for just such a piece of malware that we observe the one year anniversary this month.

Roughly around this time one year ago, a Belarusian computer security company reported finding malicious code designed to exploit a new Microsoft Windows vulnerability, dubbed the .LNK vulnerability. Little did they know this malware would change the world.

The fact that the malware exploited a zero-day vulnerability is significant, but certainly not history making. So, what made this malware so special? After the initial discovery, Symantec’s in-depth analysis of this particular malware ensued. Thousands of man hours analyzing 500 kilobytes of code later, the .LNK vulnerability was shown to be just the tip of the iceberg, and a very dangerous...

Read more
W32.Stuxnet コンポーネントの抽出
Liam O Murchu | 17 Nov 2010 | 0 comments

以前のブログでは、W32.Stuxnet が用いるインストールの制御フローについて説明しました。今回のブログでは、この脅威がどれほど複雑なのかをもう少し詳しく紹介し、特にこの脅威が利用するさまざまなファイルと各ファイルの目的、ファイルごとの署名の有無について説明します。

Stuxnet のメインのペイロードは UPX 圧縮された .dll ファイルであり、感染したリムーバブルドライブに存在するファイルの 1 つに、エンコードされた形で格納されています。UPX 圧縮されたこの .dll ファイルをデコードして圧縮解除すると、その中には以下のように多くのファイルが含まれていることがわかります。

UPX 圧縮された .dll ファイルには 13 種類のリソースがあり、それらのリソースファイルの種類もさまざまです。この中には、実行可能ファイルやデータファイル、エンコードされているファイルやエンコードされていないファイルもあります。

13 個のリソースのうち、8 個はエンコードされた実行可能ファイルです。これ以外にも、別の実行可能ファイルを含むエンコードされたキャビネットファイルが 1 個、エンコードされていない実行可能ファイルが 1 個、リムーバブルドライブ上に .lnk ファイルを作成するためのテンプレートとなる .lnk ファイルが 1 個あり、残り 2 つのリソースはデータファイルで構成されています。

各ファイルは、以下のカテゴリに分けられます。

  • 2 つの .sys ファイル。カーネルモードのルートキット機能に使われます(実際に、リソースには 1 つの .sys...
Read more
W32.Stuxnet - ネットワーク上の動作
Liam O Murchu | 16 Nov 2010 | 0 comments

Stuxnet に関する以前のブログ記事では、インストール手口の詳細と、この脅威に関連する多くのファイルについてご報告しました。今回は W32.Stuxnet のネットワーク通信とコマンド & コントロール機能を取り上げます。Stuxnet が実行する処理のうち一部は自動化されていますが、なかには Stuxnet がコマンド & コントロールサーバーに接続し、特定の命令を受け取ってから実行される処理もあります。今回説明するのは、この側面についてです。

自身をインストールしてファイルを投下した Stuxnet は、そのシステムに関する情報を収集した後、ポート 80 でコマンド & コントロールサーバーに接続し、侵入先のコンピュータに関する基本的な情報の一部を攻撃者に送信します。現在までに確認できたサンプルをすべて解析し、そこからコマンド & コントロールサーバーに関する情報を抽出したところ、参照されているコマンド & コントロールサーバーは今のところ次の 2 つだけであることがわかりました。

www[.]mypremierfutbol[.]com
www[.]todaysfutbol[.]com

内部に IP アドレスがハードコードされているサンプルも確認されましたが、以前のブログで示した URL も、ハードコードされた同じ IP アドレスに解決されていました。この 2 つの URL は、以前はマレーシアとデンマークにあるサーバーにリンクしていましたが、侵入されたコンピュータを攻撃者が制御することのないように、その後はリダイレクトされています。Stuxnet には、新しいコマンド...

Read more
W32.Stuxnet の亜種
Liam O Murchu | 11 Nov 2010 | 0 comments

以前のブログでお伝えしたように、W32.Stuxnet には複雑なネスト構造のファイルとコンポーネントが含まれています。シマンテックでは、流行が確認されている各種のサンプルが亜種なのか、それとも同じコンポーネントを組み込んでラッパーを変更しただけなのか、それを判定することが有意義であると考えました。W32.Stuxnet に亜種が存在するかどうかを確認するために、各サンプルを解析し、それを構成しているペイロードを調べました。その解析の結果を以下に示します。

調査したサンプルから(今のところ、対象はサンプル全体の一部だけです)、インストーラコンポーネントには以下の表のとおり 4 種類のファイルサイズがあることが確認されました。ご覧のように、4 種類のインストーラがあると言っても、最初の 3 つはジャンクまたはヌルが追加されているだけで実質的には同じです。ただ、4 つ目は他の 3 種類と大きく異なっています。

<タイプ 1 ~3 は同一で、タイプ 4 のみが異なる>

このことは、インストーラからペイロードの .dll ファイルを抽出して比較してみれば検証できます。以下の表でわかるように、タイプ 1 から 3 に含まれるペイロード .dll ファイルはサイズが同じであり、事実上同一のものです。タイプ 4 は他のペイロードより 100KB ほど大きくなっています。

<タイプ 4 のインストーラに含まれるペイロードのみ異なる...

Read more
.lnk ファイル脆弱性以前の Stuxnet
Liam O Murchu | 24 Sep 2010 | 0 comments

Stuxnet により使用されている .lnk ファイルのゼロデイ脆弱性(BID 43073)を悪用するコードは、2010 年 3 月頃にこの脅威に追加されました。このことは、これよりも前にシマンテックが確認したサンプルには、この脆弱性を悪用するコードが含まれていなかったことからわかります。このため、「Stuxnet の以前の亜種はどのようにリームバブルデバイスを介して広がったのか」という疑問が生じます。

 
その答えは、以前のバージョンでは脆弱性を利用しない代わりに AutoRun の手法を使用して広がっていたというものです。ワームは、リムーバブルドライブのルートに、2 つの異なる目的に合った autorun.inf ファイルを作成するという手法を使用していました。特別に細工されたファイルは、実行可能ファイル、または正しい形式の autorun.inf ファイルのどちらかとして解釈される可能性がありました。Windows が autorun.inf ファイルを解析するとき、その解析はかなり寛容です。具体的には、正当な AutoRun コマンドの一部として認識されないすべての文字は、不要なデータとしてスキップされ、解析が続けられます。Stuxnet は、autorun.inf ファイル内の先頭に MZ ファイルを配置することで、このことを悪用します。Windows が autorun.inf ファイルを解析すると、ファイルの末尾に付加されている正当な AutoRun コマンドが検出されるまで、MZ の内容がすべて不要なデータとして無視されます。autorun.inf ファイルのヘッダーとフッターは、次の図のようになります。
 
autorun.inf ファイルのヘッダー...
Read more
Stuxnet Before the .lnk File Vulnerability
Liam O Murchu | 24 Sep 2010 | 0 comments

Code to exploit the zero-day .lnk file vulnerability (BID 43073) used by Stuxnet was added to the threat around March 2010; we know this because the samples we observed before this date did not contain code to exploit that vulnerability. This leads us to the following question: how did previous Stuxnet variants spread through removable devices?

 
The answer is that older versions did not use a vulnerability but instead an AutoRun trick to spread. The worm’s trick was to create an autorun.inf file in the root of removable drives that served two different purposes. The specially crafted file could be interpreted as either an executable file or as a correctly formatted autorun.inf file. When Windows parses autorun.inf files the parsing is quite forgiving. Specifically, any characters...
Read more
Stuxnet 印刷スプーラのゼロデイ脆弱性はゼロデイではない?
Liam O Murchu | 18 Sep 2010 | 0 comments

最近のブログ記事でシマンテックは、W32.Stuxnet によって利用される印刷スプーラの脆弱性が存在し、それが「Microsoft Windows 印刷スプーラサービスの脆弱性により、リモートでコードが実行される(Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability)」で取り上げられたと報告しましたが、実際にこの脆弱性は 2009 年から知られていたというご指摘がありました。あるセキュリティ雑誌で発表された記事で、この脆弱性がどのように悪用されるかについて、2009 年後半にすでに紹介されていました。現在、シマンテックではこの件に関して調査中ですが、同記事を現在までに確認した限りでは、Stuxnet が印刷スプーラの脆弱性を悪用する状況とまったく同じであるようです。この記事は、詳しいことがわかりしだい更新する予定です。

更新情報: この問題は、マイクロソフトセキュリティ情報 MS10-061 のセキュリティ更新プログラムのリリースにより解決されたものであることを Microsoft に確認しました。

Read more
Stuxnet の P2P コンポーネント
Liam O Murchu | 18 Sep 2010 | 0 comments

Stuxnet に関しては現在もなお解析中で、ブログではまだ掲載していませんでしたが、今年初めに発見されて以来、Stuxnet の脅威については継続して解析を進めています。初期段階の調査では、脅威を制御する方法としてコマンド & コントロールのインフラストラクチャが指摘されました。この制御メカニズムが発見されてから、使用されるコマンド & コントロールサーバーはすぐにオフラインになりました。

その後の調査によると、この脅威はコマンド & コントロールのインフラストラクチャを介して制御されるだけでなく、ピアツーピア(P2P)コンポーネントを介して自身を更新する機能も備えていることが判明しました。

感染したコンピュータは、相互にアクセスして、どのコンピュータにこの脅威の最新バージョンがインストールされているかを調べます。最新バージョンがインストールされているコンピュータは、その最新バージョンを他のコンピュータに転送します。これにより、ワームは中央のコマンド & コントロールサーバーと通信することなく、自身を更新することができます。P2P ネットワークが頻繁に利用されている理由も、障害の中心点がないためダウンしにくいという、まさにその点にあります。Stuxnet の作成者は、コマンド & コントロールサーバーの制御が失われる可能性を考慮し、それに備えて P2P による更新機能を組み込んだのでしょう。

この P2P コンポーネントは、RPC サーバーとクライアントをインストールすることによって動作します。この脅威がコンピュータに感染すると、RPC サーバーが起動されて接続に対する応答が準備されます。ネットワーク上の他のコンピュータが感染すると、RPC サーバーに接続し、リモートコンピュータにインストールされている脅威のバージョンを確認します。

リモートバージョンのほうが新しい場合、ローカルコンピュータはその新しいバージョンを要求し、それで自身を更新します。逆にリモートバージョンのほうが古い場合、ローカルコンピュータは自身のコピーを作成してリモートコンピュータに送信し、リモート側を更新できるようにします。このようにして、...

Read more
Stuxnet Print Spooler Zero-Day Vulnerability not a Zero-Day at All?
Liam O Murchu | 17 Sep 2010 | 0 comments

We have been made aware of a recent blog posting pointing to the fact that the print spooler vulnerability used by W32.Stuxnet and addressed in the Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability was in fact known about since 2009. An article was published in a security magazine that showed how the vulnerability worked in late 2009. We are currently investigating this; however, from our initial review of that article it appears to do exactly what Stuxnet does when exploiting the Print Spooler vulnerability. We will update this article with more information shortly.

Update: We have confirmed with Microsoft that this issue is indeed one that was patched with the release of Microsoft Security Bulletin MS10...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,916