THREAT ANALYSIS IDENTITY THEFT 自動ログインの利便性とそのリスク最新の統計によると 1 人当たり平均 3つのソーシャルメディアを利用しているというまた使用中のメールアカウントも 3つ以上が最も多かったこのように複数のアカウントを利用するうえでそれぞれの IDやパ

Size: px

Start display at page:

Download "THREAT ANALYSIS IDENTITY THEFT 自動ログインの利便性とそのリスク最新の統計によると 1 人当たり平均 3つのソーシャルメディアを利用しているというまた使用中のメールアカウントも 3つ以上が最も多かったこのように複数のアカウントを利用するうえでそれぞれの IDやパ"

ときしんまつ
5 years ago
Views:

1 Vol.44 自動ログインの利便性とそのリスク

THREAT ANALYSIS IDENTITY THEFT 自動ログインの利便性とそのリスク最新の統計によると 1 人当たり平均 3つのソーシャルメディアを利用しているというまた使用中のメールアカウントも 3つ以上が最も多かったこのように複数のアカウントを利用するうえでそれぞれの IDやパスワードを記憶することや

2 THREAT ANALYSIS IDENTITY THEFT 自動ログインの利便性とそのリスク最新の統計によると 1 人当たり平均 3つのソーシャルメディアを利用しているというまた使用中のメールアカウントも 3つ以上が最も多かったこのように複数のアカウントを利用するうえでそれぞれの IDやパスワードを記憶することや頻繁に利用するサービスに毎回ログインすることが面倒だと感じるユーザーも多いはずだからこそ多くのユーザーは自動ログイン機能を利用しているだが本機能を利用する際にセキュリティリスクが高まる点を忘れてはならない今回のコラムでは自動ログイン機能を利用して個人情報を盗むマルウェアについて紹介するマルウェアの作成者らは金銭的な利益を得るためさまざまな手法を駆使する最近はデータを人質に身代金を要求するランサムウェアが多くなったがオーソドックスな手法も依然存在している代表的なケースはユーザーのログイン情報を盗むマルウェアだ直近ブラウザメールクライアントを対象にログイン情報を盗むマルウェアが相次いで発見されているマルウェアの主な感染経路は一般的なマルウェア同様メールであるほとんどはスパムメールから大量に配布されるが一部特定の対象を狙った標的型攻撃の様相を見せることもあるログイン情報横取り攻撃者がログイン情報を盗む手法は大きく 2 つあるユーザーが入力したキーの値を横取りしたりシステムに保存されたログイン情報を盗む方法だ 1. キー入力情報を横取りする有名なサービスプログラムの画面を装ってユーザーにログイン情報を入力するように仕向けたりキーロガー (key-logger) を利用してユーザーのアカウント情報を盗む手法だだがこの手法にはユーザーが直接入力する情報のみ横取りできるという限界がある [ 図 1] PayPal を装ったフィッシングプログラム 2. 保管されたログイン情報を盗むアプリケーションの自動ログイン機能を使用するとユーザーが初回入力したアカウント情報がファイルまたはデータベースの形でどこかに暗号化されて保存されるしかし一部では暗号化方式ではなくエンコードでやパスワードをそのまま平文形式で保存したりするこうなると攻撃者が目的とする情報の保管場所さえ事前に把握していれば簡単にログイン情報を盗むことができる 2

パスワード復元プログラムと自動ログインの脆弱性ユーザーが忘れてしまったパスワードを探すために使用するパスワード復元プログラムを利用する場合もあるパスワード復元プログラムはアカウント情報を忘れてしまったユーザーが利用するプログラムだ問題はパスワードの復元原理が解析され攻撃者がログイン情報を盗むマルウェアを作るために活用することだろう代表的なものとしては Windows

これもまた忘れてしまったパスワードを探すためのプログラムだ攻撃者はこれらのプログラムを利用してユーザー情報を入手することができる [ 図 3] 実際のハッキングに悪用されたブラウザのパスワード復元プログラム 1.

3 パスワード復元プログラムと自動ログインの脆弱性ユーザーが忘れてしまったパスワードを探すために使用するパスワード復元プログラムを利用する場合もあるパスワード復元プログラムはアカウント情報を忘れてしまったユーザーが利用するプログラムだ問題はパスワードの復元原理が解析され攻撃者がログイン情報を盗むマルウェアを作るために活用することだろう代表的なものとしては Windows のログイン情報を確認する Pwdump というプログラムがあるこれはセキュリティアカウントマネージャー (SAM) のローカルユーザーアカウントのパスワードハッシュ値を出力するプログラムだ攻撃者がハッシュ値を入手すればログインに必要な情報を把握して攻撃対象のシステムを掌握できる [ 図 2] Pwdump 実行画面このほかブラウザのログインパスワードを表示するプログラムがあるがこれもまた忘れてしまったパスワードを探すためのプログラムだ攻撃者はこれらのプログラムを利用してユーザー情報を入手することができる [ 図 3] 実際のハッキングに悪用されたブラウザのパスワード復元プログラム 1. 攻撃対象プログラムごとにログイン情報を保管する位置と方法が異なるため攻撃者は盗もうとするプログラムを分析してログイン情報の保管位置を調べた後で情報にアクセスする主にログイン情報奪取の対象となるプログラムは以下の通りだ分類メールクライアント FTP クライアントブラウザメッセンジャーその他プログラム名 Foxmail, Gmail Notifier, IncrediMail, Outlook, ThunderBird, Windows Live Mail Alftp, Dreamweaver, FileZilla, FlashFXP, FTPCommander, SmartFTP, WS_FTP Avant, Chrome, Chrome Canary or SXS, Comodo Dragon, CoolNovo, Firefox, Flock, Internet Explorer, Maxth on, Opera, Safari, SeaMonkey AIM(AOL Instant Messenger), Beyluxe Messenger, BigAnt Messenger, Camfrog Video Messenger, Digsby IM, Google Talk(GTalk), IMVU Messenger, Meebo Notifier, Miranda, MSN Messenger, MySpaceIM, Nimbuzz Messe nger, PaltalkScene, Pidgin, Skype, Tencent QQ, Trillian, Windows Live Messenger, XFire, Yahoo Messenger Google Desktop Search, Heroes of Newerth, Internet Download Manager(IDM), JDownloader, Orbit Downloa der, Picasa, RemoteDesktop, Seesmic, SuperPutty, TweetDeck [ 表 1] 主な攻撃対象 3

$php Internet Explorer IE はログイン情報をレジストリに保存する HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 Chrome Chrome は Login Data ファイルにログイン情報を保存する$ $C:\Users\<user_name>\Appdata\Local\Google\Chrome\UserData\Default\Login Data Outlook Outlook はレジストリにログイン情報を暗号化して保存する HKEY_CURRENT_USER\Software\Microsoft\Office\( バージョン )\Outlook\Profiles\Outlook$

4 2. ログイン情報の保管場所ユーザーが保存したログイン情報はファイルやレジストリに暗号化されて格納されることもあるが平文や簡単なエンコード形式で保存される場合もあるログイン情報の保管位置は次のサイトで確認できる ( 英 ) Internet Explorer IE はログイン情報をレジストリに保存する HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 Chrome Chrome は Login Data ファイルにログイン情報を保存する C:\Users\<user_name>\Appdata\Local\Google\Chrome\UserData\Default\Login Data Outlook Outlook はレジストリにログイン情報を暗号化して保存する HKEY_CURRENT_USER\Software\Microsoft\Office\( バージョン )\Outlook\Profiles\Outlook Filezilla 代表的なファイル送信プロトコル (File Transfer Protocol FTP) プログラム Filezilla はログイン情報を sitemanager.xml などのテキストファイルとして保存するもとは平文のまま保管したが今は Base64 でエンコードされ Base64 デコーダによって簡単にパスワードを確認できる [ 図 4] Filezilla のログインパスワードを保存する [ 図 5] Base64 変換結果パスワードに使用された値を Base64 でにデコードすると [ 図 5] のように password というパスワードを確認できる 3. ログイン情報横取りタイプのマルウェアシステムに保管されたログイン情報を盗む代表的なマルウェアは次の通りだ Decoloader(Tkhawk.exe) RAR SFX(Self-Extractor) ファイルでファイル内に実行ファイルと暗号化されたデータファイルが存在するファイル名 Esvxamvena.bin と Fb ulmigrmkwhr.bin は暗号化されたデータファイルである 4

[ 図 6] 暗号化されたデータファイル Osslpjuy.exe は.NET で作成されたファイルだが実行されると.NET 関連ファイルの RegAsm.

exe 内メモリ [ 図 7] の 0x1f0000 アドレスをみると次のような疑わしい文字列を確認できる

5 [ 図 6] 暗号化されたデータファイル Osslpjuy.exe は.NET で作成されたファイルだが実行されると.NET 関連ファイルの RegAsm.exe が実行されて終了する RegAsm.exe のメモリをみるとコードが Private 属性で実行されることが分かる [ 図 7] RegAsm.exe 内メモリ [ 図 7] の 0x1f0000 アドレスをみると次のような疑わしい文字列を確認できる C:\Users\Jovan\Documents\VisualStudio2010\Projects\Stealer\CMemoryExecute\CemoryExecute\obj\Release\CMemoryExecute.p db [ 図 8] マルウェアの特徴的な PDB 情報メモリには他の実行ファイルも存在するがこれらはブラウザのログイン情報を確認する WebBrowserPassView とメールのログイン情報を知る M ail PassView である同マルウェアは従来のパスワード復元プログラムをこっそり実行してログイン情報を取得した後で流出する 5

6 Trojan/Win32.Loginstealer(fontwow64.exe) Trojan/Win32.Loginstealer と診断された fontwow64.exe は 2017 年 3 月に発見されたログイン情報を盗むマルウェアであり関連する変種は年 10 月にも発見されたこれらのサンプルは双方ともにまだ Virus Total などのマルウェアスキャンサービスにアップロードされていない大量のメールによる拡散よりは標的型攻撃に利用された可能性がある同マルウェアが実行されると暗号化された Username と Password のパスワードを解いてログイン情報を盗む関数を実行する主な文字列は暗号化され保存されている [ 図 9] Trojan/Win32.Loginstealer コードの先頭保存されたログイン情報を盗む関数が実行されると drf2eporevhn.jpg drf2eporexkk.jpg などの任意の名前と JPG 拡張子を持つファイルを作成する以後様々なブラウザメッセンジャーメールクライアントなどのログイン情報を収集して保存する [ 図 10] ログイン情報を収集盗まれたログイン情報 APT 攻撃に使用される可能性も攻撃者は盗んだログイン情報を利用してユーザーのメールやコミュニティ活動の履歴を覗き見できる先日メールアカウント情報をハッキングされたユーザーがさらにメールボックスに保管しておいた個人情報履歴を盗まれたケースがあった盗まれたログイン情報は第二次三次攻撃に利用されることもあるのでユーザーのログイン情報は狙われやすいのだ企業でこれらの悪質なマルウェアが継続的に発見される場合ターゲット攻撃や標的型攻撃 (APT) を成就させるための下準備である可能性もあり厳重な注意が求められる実際に米国の政治団体への攻撃にもログイン情報の横取りマルウェアが使用されていたことが分かったログイン情報を横取りするマルウェアに感染していた場合は周期的なパスワード変更も用無しになってしまうこれらのマルウェアによる被害を減らすためには自動ログイン機能をなるべく使用しないことが望ましい幸いなのは保存されたログイン情報を流出するパターンは決まっているという点だもしもあるプログラムからログイン情報の保管位置にアクセスする場合ログイン情報を盗むマルウェアと判断することができる 6

http://jp.ahnlab.com/site/main.do http://global.ahnlab.com/site/main.do http://www.ahnlab.com/kr/site/main.

7 アンラボとは株式会社アンラボは業界をリードする情報セキュリティソリューションの開発会社です 1995 年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました今後もお客様のビジネス継続性をお守りし安心できるIT 環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいりますアンラボはデスクトップおよびサーバー携帯電話オンライントランザクションネットワークアプライアンスなど多岐にわたる総合セキュリティ製品のラインナップを揃えておりますどの製品も世界トップクラスのセキュリティレベルを誇りグローバル向けコンサルタントサービスを含む包括的なセキュリティサービスをお届け致します東京都港区芝 4 丁目 13-2 田町フロントビル 3 階 TEL: ( 代 ) 2016 AhnLab, Inc. All rights reserved.

Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

2019.11 Vol.71 政府機関を狙う連続ターゲット攻撃の目的は? THREAT ANALYSIS State Targeted Attack 政府機関を狙う連続ターゲット攻撃の目的は? 日韓輸出規制北朝鮮の相次ぐミサイル発射ロシア軍用機の領空侵害など韓国を取り巻く周辺国との対立が深刻化していた 7 月再び韓国政府機関を狙った標的型攻撃が発見されたアンラボがサンプルを分析したところ実はこの攻撃が