電子メール本文の分析 昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しました キャンペーンは数日間続きましたが 最近 同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されました このキャンペーンでは 同じ空白の件名と本

Similar documents
マルウェアレポート 2017年12月度版

マルウェアレポート 2018年4月度版

マルウェアレポート 2018年2月度版

マルウェアレポート 2018年1月度版

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

迷惑メールフィルタリングサービス フィードバック機能マニュアル

P.2 もくじ 8. ファイルのアップロードとダウンロード 8-. ファイルのアップロード 8-2. ファイル指定でアップロード 8-3. Zip 解凍アップロード 8-4. ドラッグ & ドロップで一括アップロード 8-5. ファイルのダウンロード 9. ファイルの送信 ( おすすめ機能 ) 9-

バージョンアップにおける変更点 バージョンアップにおける変更点 07 年 月 7 日に実施したバージョンアップにおける変更点は次の通りです ) 最新 OS/ ブラウザへの対応 次の OS とブラウザの組み合わせが動作環境となりました [Windows 7 SP/8./0] Microsoft Edg

マルウェアレポート 2018年7月度版

SQLインジェクション・ワームに関する現状と推奨する対策案

マルウェアレポート 2018年3月度版

マルウェアレポート 2017年10月度版

迷惑メールフィルタリングサービス フィードバック機能マニュアル

困ったときにお読みください

DTPer のスクリプトもくもく会スピンオフ! VBScript の概要 Excel VBA から InDesign を動かす お ~ まち

大阪ガス株式会社 情報通信部 御中


フォルダ構成例 (BIB-J) は必須ファイル は任意ファイル ( 電子付録等をアップロードする際に作成する ) 資料コード巻号記事識別子 XML ファイル { 記事識別子 }.xml { 記事識別子 }_{ 連番 }.{ 拡張子 } { 記事識別子 }.txt { 記事識別子 }_{ 連番 ].{

マルウェアレポート 2017年9月度版

ログインする ブラウザを使ってログイン画面 を表示します ユーザー名とパスワードを入力し ログイン をクリックします メールアドレス : パスワード : メールアドレスのパスワ

ZIPパスワードメールプロフェッショナル版マニュアル

目 次 1. Windows Live Mail を起動する 1 2. Windows Live Mail の画面構成 1 3. 電子メールを別ウインドウで表示する 2 4. メールを作成する 2 5. メールを送信する 4 6. メールを受信する 5 7. 受信したメールに返信する 5 8. 受信

目次 1. はじめに... 1 動作環境... 1 その他 他の人が利用する ID を発行したい... 2 ユーザー ID 作成を作成しましょう パソコンのデータを自動でアップロードしたい... 4 PC 自動保管機能を使用してみましょう 不特定多数の

PowerPoint プレゼンテーション

製品を使う前に基本操作インターネットアプリケーション Q&A 付録 Web Internet Explorer の使い方 1 Web Web Windows Internet Explorer Web Internet Explorer Internet Explorer を ❶ 起動する Inte

農業・農村基盤図の大字小字コードXML作成 説明書

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

目次 セキュアメッセージを開く... 3 Proofpoint Encryptionへの登録... 4 セキュアメッセージへの返信... 5 セキュアメッセージの保存... 6 パスワードを忘れた... 7 Bank of Americaへの新しいセキュアメッセージの開始... 7 ログアウト...

CubePDF ユーザーズマニュアル

Mozilla Thunderbird アカウント設定手順 株式会社アマダアイリンクサービス

マルウェアレポート 2017年6月版

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

もくじ 6. ファイルの共有 6-1. Group Disk 6-2. グループに参加する 6-3. グループへのファイルアップロード 6-4. グループへファイル指定でアップロード 6-5. グループへ Zip 解凍アップロード 6-6. グループへドラッグ & ドロップで一括アップロード 6-7

Simple Violet

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

メール利用マニュアル (Web ブラウザ編 ) 1

ファイル宅配便サービス 利用マニュアル

Web Gateway資料(EWS比較付)

Microsoft Word - koutiku-win.doc

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

f-secure 2006 インストールガイド

POWER EGG V2.01 ユーザーズマニュアル 汎用申請編

Office365迷惑メール対策について

目次 1. ログイン P2 2. 送受信管理 P メールの新規送信 P 未送信 ( 保存 ) メールの編集 削除 P 送信済みメールの状況確認 P6 3. メンバー ( 送信先 ) 管理 P メンバーの新規登録 編集 P メンバーの削除 P

Microsoft Word - BJ-Trans_JW_SXFInstallguide.doc

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

ZipTheRipper のページへ移動したら ダウンロードの文字をクリックして下さい 使用許諾書を確認の上 同意チェックを入力し ダウンロードボタンを押して下さい サブウィンドウが表示されたら 保存 を選択して下さい ダウンロードが開始されます ダウンロードフォルダの中にある ZipTheRipp

PALNETSC0184_操作編(1-基本)

1. ログイン 1. インターネットに接続をします 2. ご利用のブラウザー (Internet Explorer,Netscape など ) を起動し アドレスバーに ( www は不要 ) と入力します 3.Log-in 画面にお客様のユーザー I

ご利用のコンピュータを設定する方法 このラボの作業を行うには 事前設定された dcloud ラボを使用するか 自身のコンピュータをセットアップします 詳細については イベントの事前準備 [ 英語 ] とラボの設定 [ 英語 ] の両方のモジュールを参照してください Python を使用した Spar

PowerPoint プレゼンテーション

スライド 1

FAX配信サービス 利用マニュアル

LCV-Net ファイルコンテナ ユーザーマニュアル

Microsoft Word - XOOPS インストールマニュアルv12.doc

Trend Micro Cloud App Security ご紹介資料

EPSON PM-D600 活用ガイド

Windows CE 3.0 端末のスクリプトウイルスの危険性に関する調査・検討報告書

アルファメールプラチナのについてご案内します この度は アルファメールプラチナをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

1. メールにファイルを添付する メールには画像や文書ファイルなどを添付することができます ファイルをドラッグ & ドロップで添付する方法と ファイルを指定して添付する方法があります 1.1. ファイルをドラッグ & ドロップで添付する この機能は ブラウザバージョンおよび設定によっては ご利用いた

KSforWindowsServerのご紹介

FileZen(めるあど便) 利用マニュアル

目次 目次 2 著作権 3 免責事項 3 更新履歴 4 文書情報 4 1. はじめに 5 2. SpyEye の概要 動作概要 システムへのインストール 感染活動 他プロセスへの影響 SpyEye 隠ぺいルーチン H

<4D F736F F D20834E DD92E88E9197BF5F8EE893AE90DD92E895D25F959F93878CA72E646F63>

Microsoft Word - Outlook Web Access _IE7_ Scenario.doc

REX-USB56 「FAX送信」編 第6.0版

WES7シンクライアントIE11アップデート手順書

OSI(Open Systems Interconnection)参照モデル

Microsoft Word - Mac版 Eclipseの導入と設定.docx

重要インフラがかかえる潜在型攻撃によるリスク

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

SciFinder エラーへの対処法

Sea-NACCS 利用者研修 【通関編】

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

intra-mart EX申請システム version.7.2 事前チェック

Microsoft Word - プリンタ設定手順_改

Design with themes — Part 1: The Basics

Microsoft Word - WebMail.docx

プロキシ Pac ファイルとそのサンプルについて

Microsoft Word - spam_manual2.docx

ek-Bridge Ver.2.0 リリースについて

Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

迷惑メールフィルタリングサービス フィードバック機能マニュアル

新OS使用時の留意事項

IBM SPSS Amos インストール手順 (サイト ライセンス)

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

ZIPパスワードメールマニュアル

Microsoft PowerPoint ï½žéł»å�’å–¥æœ�ㇷㇹㅃㅀ㇤ㅳㇹㅋㅼㅫ曉逃.ppt [äº™æ‘łã…¢ã…¼ã…›]

新規インストールガイド Microsoft Office Professional Plus 2016 本書は Download Station から Microsoft Office Professional Plus 2016( 以下 Office) をダウンロ ドし 新規インストールを行う手順

Webセキュリティサービス

マルウェアレポート 2018年8月度版

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

f-secure 2006 インストールガイド

迷惑メールフィルタリングコントロールパネル利用者マニュアル

Outlook on the のログイン方法 作成日 :2019/08/15 更新日 :2019/08/15 中央大学都心 IT センター ( 後楽園 ) 1 / 21

1. はじめに 1. はじめに 1-1. KaPPA-Average とは KaPPA-Average は KaPPA-View( でマイクロアレイデータを解析する際に便利なデータ変換ソフトウェアです 一般のマイクロアレイでは 一つのプロー

Alfa-Products_installguide

Indyを利用したメール送信機能開発

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Transcription:

スパム JavaScript ランサムウェアのトライア ングル はじめに 私たちのグローバルスパムハニーポットセンサーは 悪質な JavaScript を含む Zip 圧縮された添付ファイルを利用する世界中に拡散された電子メールキャンペーンを検出しました そのファイルが開かれた場合 JavaScript が犠牲者にランサムウェアを感染させるために使用されます このキャンペーンは 2017 年 7 月 17 日の遅くに開始され 120 万件以上のメッセージでピークに達し 2017 年 7 月 19 日に終了しました 同様のバーストが図 1 と表 1 のタイムラインに示すように 数日後の 7 月 25 日から 2017 年 7 月 27 日かけて観測されました 図 1: スパムのピークを示すスパムキャンペーンのタイムライン 表 1: このキャンペーンの原産国別のスパム

電子メール本文の分析 昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しました キャンペーンは数日間続きましたが 最近 同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されました このキャンペーンでは 同じ空白の件名と本文が使用されましたが 圧縮された JavaScript(JS) ファイルの添付ファイルが異なります このキャンペーンで使用される Zip ファイルは 2 種類あり それぞれに別々の JavaScript コードセットが含まれています どちらの JS ファイルも同じコードテンプレートを使用していたようですが 異なるマルウェアを指す別の URL が含まれていました 添付ファイルを含む 2 つのスパムメッセージの匿名化されたスクリーンショットを図 2 と図 3 に示します ここでは両方のメッセージで 件名フィールドと本文が空白または空でした 空白の件名と本文を使用してスパム対策のシグネチャベースの検出を難しくし スパム発信者のための簡単なテンプレートとして機能するのは一般的なテクニックです 図 2: 添付ファイルが添付されたサンプルの電子メールメッセージ 図 3: 同様の圧縮された添付ファイルを含むサンプルの電子メールメッセージ

添付ファイルの分析 悪質な JavaScript(JS) 添付ファイルをディスクに保存して解凍すると JavaScript ファイルが表示されます この JavaScript ファイルをダブルクリックすると スパマーの目的が実行されます この JavaScript のサンプルは 読みやすいテキストの段落に埋め込まれている点がユニークです 異なる国に関する Wikipedia の記事から明らかにコピーされています パラグラフはスクリプトの一番上に置かれ 自動スキャナとそれをテキストエディタでプレビューできる人間の熟練者の両方を回避するため 良質のテキストファイルの外観を持たせていると考えられます そのようなサンプルのスクリーンショットが図 4 と図 5 に示されています このケースでは 明らかに中国に関するウィキペディアの記事からテキストの文章がコピーされています 図 4: 中国に関する長い Wikipedia の記事を含む JavaScript ファイルの先頭 図 5: 記事のテキスト内とその下に埋め込まれた JavaScript 関数 この悪質な JavaScript サンプルには 攻撃者によって作成された難読化された JS 関数が 30 以上あります これらの 関数は図 6 に示すように トリガー関数呼び出しによって実行されると その悪意のあるアクティビティを実行します

図 6: 他のすべての悪質な JS 関数を再帰的に呼び出すトリガー関数 トリガー機能は悪意のあるペイロードをダウンロードするために 最初に URL の難読化を解除します このスクリプトでは 難読化された URL からカンマを削除するという単純な非難読化手法を採用しています フェイルセーフ手法として 攻撃者はこの機能に 5 つの異なる URL を埋め込んで 他のものがオフラインになった場合に備えて少なくとも 1 つの悪質なペイロードをダウンロードさせるようにします 一つのコードの断片を図 7 に示します 図 7: 悪意のあるペイロードをホストしている URL の難読化が解除された これらの悪質な URL は ダウンローダー機能に供給されます ダウンローダー関数は MSXML2.XMLHTTP という Microsoft ActiveX オブジェクトを使用します このオブジェクトは 任意の HTTP 要求を送信し 応答を受信し その応答を Microsoft XML 文書オブジェクトモデル (DOM) で解析するために使用されます ここで Open メソッドを使用して MSXML2.XMLHTTP 要求を初期化し 図 8 に示すようにメソッドと URL を指定します Microsoft ActiveX オブジェクトの使用は スパマーが Microsoft Windows の犠牲者を対象としていることを示します このスクリプトは Windows OS でダブルクリックするだけで実行できます これは WScript.exe を使用して GUI から あるいは CScript.exe を使用してコマンドラインからスクリプトを実行および自動化するためのフレームワークである Microsoft Windows Scripting Host(WSH) によって助けられます WSH は Jscript や VBScript などのスクリプトエンジンをサポートしています さらに このスクリプトは Web ブラウザ 特に Microsoft Internet Explorer と Edge によって解釈され実行される可能性があります ActiveX オブジェクトをサポートする IE 拡張機能を実行する他のブラウザも脆弱です 図 8:HTTP 経由でのファイルダウンロードを開始する Downloader 機能と いくつかのインラインコメント 次に 攻撃者は ActiveX ストリームとファイルシステムオブジェクトを利用して ダウンロードしたファイルをランダムに名 前を付けた JPG として一時フォルダに保存し 図 9 10 図 11 に示すように EXE に名前を変更します

図 9:Temp フォルダに悪質なペイロードを JPG として保存し コードがインラインコメントとともに表示される 図 10: ダウンロードしたファイルをディスクに保存するための Stream オブジェクト 図 11: 悪意のあるファイル拡張子が.JPG から.EXE に変更され コードがインラインコメントとともに表示される 最後に 図 12 に示すように ダウンロードしたマルウェアペイロードサンプルを実行する ActiveX WScript Shell オブジェ クトを使用して 悪意のあるペイロードが実行されます つまり この JavaScript サンプルはダウンローダーおよびエグ ゼキュータです

図 12:WScript Shell ActiveX オブジェクトによるコードの実行 JS によって削除された悪意のあるペイロードの分析 2 つの異なる JavaScript サンプルがありました これらのサンプルは 同じコードテンプレートでパッケージ化されていましたが 異なる URL を使用して構成されていました これにより 2 つの異なるランサムウェアファミリ すなわち "FakeGlobe" ランサムウェアと "Cerber" ランサムウェアがダウンロードされます ペイロード IOC( 痕跡 ) FakeGlobe Ransomware これは *.dat 拡張子で終わる埋め込み URL でホストされていました JS ファイルから抽出された URL の例を以下に示します URL:hxxp://astromfghqmo.com/error.php?f = 1.dat ダウンロードしたファイルのハッシュ : MD5:D885A811324370FD2CA8ED9075A71652 SHA1:DF799BC0225C5391DAE2F0044AAAE745A2C64E14 FakeGlobe の暗号化ファイルと Ransom ノート : 実行後 FakeGlobe ランサムウェアサンプルはファイルを暗号化して名前を変更します 暗号化されたファイルは 図 13 に示すように *.crypt 拡張子名を使用してリネームされ 図 14 に示すように ランサムウェアのメモは HTML として設定 されます 図 13:*.crypt 拡張子で名前を変更したファイル

図 14:FakeGlobe Ransomware ノート Cerber ランサムウェア Cerber ランサムウェアは * doc 拡張子で終わる URL 上でホストされていました JS ファイルから抽出されたいくつか の URL がここにリストされています : URL: hxxp://asopusforums.date/1.doc hxxp://ariadnerevolution.date/1.doc hxxp://asbetosgem.trade/1.doc hxxp://phaennabazaar.trade/1.doc hxxp://dolopolesasz.com/1.doc ダウンロードしたファイルのハッシュ : MD5:FE1BC60A95B2C2D77CD5D232296A7FA4 SHA1:C07DFDEA8DA2DA5BAD036E7C2F5D37582E1CF684 暗号化されたファイルとランサムノート :

実行後 Cerber ランサムウェアサンプルはファイルを暗号化して名前を変更します Cerber ランサムウェアによって暗号化されたファイルはランダムなファイル名と拡張子を使用します このサンプルでは 図 15 に示すように この拡張子 *.ab22 を持つランダムファイルを使用していました 通常の Cerber は "*.hta" 図 16 および図 17 に示すように txt 形式に変換されます 図 15: ランダムな名前と *.ab22 拡張子を持つ暗号化ファイル 図 16: ランサムノートのテキストファイルの内容 ファイルとは別に Cerber の典型的な動作である身代金メモを表示するように壁紙を変更します

図 17: ランサムノートの HTML ファイルの内容 まとめ 攻撃者は電子メールのシンプルさを利用して 世界中の犠牲者にトランスクリプトを配布しています 私たちは 攻撃者が分散ハニーポットセンサーによって検出された何百万ものスパムメッセージを送信したそのようなキャンペーンの 1 つを検出しました これらのスパムメッセージには空白の件名が含まれていて メッセージ本文は空です メッセージは 2 つの異なるセットに分類され それぞれが異なる zip 添付ファイルを提供し 同様の難読化された JavaScript ファイルを含んでいます JS ファイルには同じコードテンプレートが含まれていますが 別のトランスコードを指す別個の URL のセットが設定されています 一度実行されると ランサムウェアが感染し 被害者のコンピュータ上のファイルを身代金のために暗号化します 緩和策として メールのゲートウェイで JS ファイルをブロックすることを検討する必要があります 最近 マルウェアがこのようなスクリプトを介して配布されているためです Trustwave の Secure Email Gateway は このキャンペーンを効果的に検出して阻止し サイバー犯罪者の脅威からお客様を守ります 謝辞 Phil Hay の有益な貢献と貴重なフィードバック アドバイスに感謝します

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック