スライド 1

Similar documents
マルウェアレポート 2017年12月度版

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

マルウェアレポート 2018年1月度版

マルウェアレポート 2018年2月度版

マルウェアレポート 2017年10月度版

マルウェアレポート 2018年4月度版

マルウェアレポート 2017年9月度版

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

目次 はじめに... 2 本書の対象読者 ランサムウェアの脅威 ランサムウェアのタイプ ランサムウェアの種別 ランサムウェアによるファイル暗号化 ファイル暗号化型のランサムウェア感染時の影響範囲... 5

マルウェアレポート 2018年3月度版

スライド 1

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

KSforWindowsServerのご紹介

MP:eMeeting インストールマニュアル Version /06/30 株式会社デジタル ウント メア

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

PowerPoint プレゼンテーション

プレゼンテーション

【ドコモあんしんスキャン】サービスマニュアル

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

Microsoft PowerPoint _A4_予稿(最終)

OSI(Open Systems Interconnection)参照モデル

Maple 12 Windows版シングルユーザ/ネットワークライセンス

PowerPoint プレゼンテーション

スライド 1

NOSiDEパンフレット

ヘルスアップWeb 簡単操作ガイド

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

SOC Report

UCSセキュリティ資料_Ver3.5

SlinkPass ユーザマニュアル

Microsoft PowerPoint - Android+TPMによるセキュアブート_KDDI研_後日配布用

LAN DISK NarSuSの登録方法

目次 1 はじめに アンインストール前の注意点 Sophos アンインストール手順 アンインストーラの場所を確認する アンインストーラの実行 F-Secure Client Security for Mac インストー

クライアント証明書導入マニュアル

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

1. 新パソコンの準備 新パソコンに 障害者総合支援電子請求受付システムを利用するうえで必要な 動作環境の確認及びセキュリティの設定等を行います (1) 動作環境の確認新パソコンの OS 等ソフトウェアのバージョンが障害者総合支援電子請求受付システムの動作環境を満たしていることを確認します 1 新パ

かぐや3Dムーンナビ起動障害対応手順書_

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

ログを活用したActive Directoryに対する攻撃の検知と対策

目次 1. はじめに... 1 動作環境... 1 その他 他の人が利用する ID を発行したい... 2 ユーザー ID 作成を作成しましょう パソコンのデータを自動でアップロードしたい... 4 PC 自動保管機能を使用してみましょう 不特定多数の

内容環境... 3 対応 OS の変更... 3 関連アプリケーションの追加... 4 機能追加... 5 グラフ機能... 5 稼働率... 8 サービス一括削除 自動復旧エスカレーションコマンド AWS カスタムメトリックス監視 NRPE 任意監視... 11

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

SQLインジェクション・ワームに関する現状と推奨する対策案

<4D F736F F F696E74202D208C928D4E95DB8CAF81458CFA90B6944E8BE095DB8CAF94ED95DB8CAF8ED28E918A698EE693BE93CD81698EA58B43947D91CC93CD8F918DEC90AC D834F A82F097E182C682B582BD652D476F E71905C90B

マイナンバー対策マニュアル(技術的安全管理措置)

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

<4D F736F F F696E74202D20838A B E AC888D D836A B81698A7790B691CE899E

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

BACREX-R クライアント利用者用ドキュメント

侵入挙動の反復性によるボット検知方式

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

UCCX ソリューションの ECDSA 証明書について

McAfee MVISION

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

文書番号 :17026 初版制定日 :2013 年 03 月 02 日最終改訂日 :- 株式会社ダンゴネットサポートセンター 重要 必ずご確認ください 賃貸名人 古いバージョンの SQL Server からのデータベース移行に関する問題 1)SQL Server 互換性の問題 ) この問

[重要]WindowsUpdate で公開された MS15-058:セキュリティ更新プログラム

置などに関する乙が保有する情報を提供します 5. サービス時間帯乙の甲に対する本サポートサービスの実施時間帯は以下のとおりとします (1) 前項第 (1) 号の問題解決支援の実施時間帯は 以下のとおりとします a. 電話での質問 相談の受付の時間帯は 9:00~17:00( ただし 土日 祝日 当社

(3)Safari6.1.4 および Safari 以降で Java アプレット動作時 カード AP ライブラリ (JNI ) および ローカルファイルにアクセスできない問題 発生事象 Safar i6.1.4 および Safari7.0.1 以降で java アプレット動作時 カード

<90568A838E E7193FC8E AE8DEC8AC28BAB82CC92C789C182C68F9C8A4F82C982C282A282C A8926D82E782B9816A5F8A6D92E894C52E786477>

OP2

Microsoft PowerPoint - DNSSECとは.ppt

MC3000一般ユーザ利用手順書

クライアントソフトの導入方法 (macos 版 ) 日本医師会 ORCA 管理機構株式会社

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

Microsoft Word - VPN...[.U.K.C.hLinux doc

PowerPoint プレゼンテーション

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV


はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

Windows Server 2003 Service Pack 適用手順書

TFTP serverの実装

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

iStorage ソフトウェア VMware vCenter Plug-in インストールガイド

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

中小企業向け サイバーセキュリティ対策の極意

1.indd

研究室LANの設定方法

MotionBoard Ver. 5.6 パッチ適用手順書

ドメインコントローラを冗長化していてもバックアップは必要です! Active Directory データベースの複製の仕組み DC1 2 変更された情報を定期的に他の DC に複製 DC2 同期 1 ドメインコントローラ (DC) で変更が行われる Active Directory データベース上で

証明書インポート用Webページ

<4D F736F F D DEC90E096BE8F E C E312E30816A2E646F63>

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

OSI(Open Systems Interconnection)参照モデル

バーコードハンディターミナル BT-1000 シリーズセットアップガイド ( 第 1 版 ) CE ***

サイボウズ リモートサービス ユーザーマニュアル

<4D F736F F D B98AE091538D91936F985E DEC837D836A B>

PowerPoint Presentation

Transcription:

Mac OS X を狙う新たなランサムウェアの登場 Fourteenforty Research Institute, FFRI, http://www.ffri.jp

目次 背景 KeRanger 概要 特徴に関する技術情報 感染経路 XProtect 対応状況確認 Linux.Encoderとの共通点 ランサムウェア対策 まとめ 2

3 背景 2015 年末から vvv ウイルスで知られる Teslacrypt 3.0 や Locky などのランサムウェアによる被害が国内で相次いでいる これらは 主に Windows PC をターゲットにしており スマートフォンをはじめ Windows OS 以外では動作しない しかし 2015 年 10 月頃に Linux サーバをターゲットにしたランサムウェア (Linux.Encoder) が発見され 2016 年 3 月には OS X では初とされる完全に動作するランサムウェア (KeRanger) も確認されている 本スライドでは OS X のランサムウェア KeRanger にフォーカスして解説をする

KeRanger 概要 パロアルト社が発見した OS X で初めて完全に機能するランサムウェア 特徴 BitTorrent のクライアントアプリ (Transmission) に偽装 (Trojan) サイバー攻撃によって公式サイトのインストーラが上記差し替えられていた 有効な証明書による署名が付与されていたことから OS X 標準のセキュリティ機能である GateKeeper を回避して実行される 感染後 3 日間の潜伏期間を経て特定領域の暗号化が行われる 現在の状況 Apple 証明書の無効化 XProtect にシグネチャを追加 BitTorrent クライアントアプリ 正規のアプリケーションに差し替え済み Source: https://www.transmissionhttps://www.transmissionbt.com/bt.com/ 4

KeRanger 特徴に関する技術情報 <Trojan> 不正ファイルの混入 マルウェアが混入された Transmission.app のパッケージ内容を観察すると /Contents/Resources の中にリッチテキストファイル (*.rtf) に偽装した Mach-O ファイルが存在する ファイルは UPX 3.91 でパックされているため解析するには事前にアンパック処理を行う必要がある 5

KeRanger 特徴に関する技術情報 < 署名 > 署名情報 OS X では codesign コマンドを使用することで署名情報をダンプする事が可能 $ codesign -d -vvvv Transmission.app ---- 省略 ---- Authority=Developer ID Application: POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) Authority=Developer ID Certification Authority Authority=Apple Root CA Signed Time=2016/03/04 11:03:57 ---- 省略 ---- 上記から マルウェアが混入されたパッケージは Apple による正式な証明書を使用して 2016 年 3 月 4 日に署名されている事が分かる 6

KeRanger 特徴に関する技術情報 < 潜伏期間 > 潜伏期間について KeRanger は Windows PC でよく見られるランサムウェアとは異なり 実行直後に暗号化は行わずに 3 日間の潜伏期間を経て活動を始める 潜伏期間中は 5 分間隔で実行される time 関数で取得した時間の差分チェックが行われる 暗号化は /Users と /Volume 以下のファイルを対象に行われる 登録されている拡張子は 300 個 7

8 KeRanger 感染経路 (1) 署名情報から 2016 年 3 月 4 日以降に不正な DMG ファイルがアップロードされた可能性がある 海賊版等ではなく 正規の公開サーバ上のファイルが置き換えられていたため ユーザは気付く事が出来ない (2) インストール直後は 何もしない ( 潜伏期間 ) Tor ネットワークを介してアクセス可能なサーバ (3)3 日間 (259,200 秒 ) の潜伏期間を経て onion ドメインにアクセスし C2 サーバに Mac のハードウェア ID などを送信し 公開鍵や脅迫状を受け取る (4) 取得した公開鍵による暗号化や脅迫状 (README_FOR_DECRYPT.txt) の生成を行う

9 XProtect 対応状況の確認 今回のマルウェア発見を受けて Apple では既に該当の証明書を失効させたほか アップデートによる XProtect のシグネチャ追加も行っている

Linux.Encoder との共通点 KeRanger は 2015 年 10 月に発見された Linux サーバ向けのランサムウェアである Linux.Encoder との類似性が指摘されている 例えば 以下の通りである 暗号化に使用しているライブラリが同じ 関数シンボル名が mbedtls_ となっていることから どちらのマルウェアも軽量ライブラリとして知られている PolarSSL を使用している可能性 暗号化を行うロジックが類似している 脅迫状のテキストファイルがほぼ同一 10

ランサムウェア対策 ランサムウェアに感染してしまった場合 要求に従うことで復号する旨の脅迫文が生成されるが 確実な復旧が保証されていないことから従うべきではない 上記を踏まえ まずは感染しないための対策と感染してしまった後の被害を最小限に抑えるための対策の一例を以下に挙げる OS やアプリのセキュリティアップデートは定期的に実施する Apple が発行していない等 信頼されない発行元の証明書によって署名されているアプリをインストール 実行しない 今回の KeRanger は Apple が正式に発行した証明書による署名が行われたため 上記の対策だけでは不十分といえる 一方で Developer ID が以前の版と異なっていた事から 署名の差分チェックを行うことで正式な証明書を使用していたとしても不審アプリとして判断する事ができる TimeMachine 等によるバックアップを定期的に実施し リカバリー可能なポイントを増やす KeRanger は TimeMachine のバックアップファイルに対しても暗号化試みる動きがあるとの事なので TimeMachine だけでなくファイルサーバなども活用を検討する 11

12 まとめ 近年 猛威を振るっているランサムウェアのほとんどは Windows PC をターゲットにしていたが 今回紹介した KeRanger や Linux.Encoder の発見によって OS X や Linux もランサムウェアの脅威に晒されている事が明らかとなった KeRanger と Linux.Encoder の類似性を踏まえると コードがブラックマーケット等に流出もしくは同じ開発者によるものと考えられる 署名に使われる正規の発行元による証明書もブラックマーケット上で販売されている事を指摘している研究者もいることから 今後も GateKeeper を回避する OS X マルウェアが登場する可能性がある マルウェアの中でも ランサムウェアはその性質上マネタイズしやすいといえることから 今後も様々な形で被害が増加することが想定されるため注意が必要である

References TRANSMISSION A Fast, Easy, and Free BitTorrent Client https://www.transmissionbt.com/ NEW OS X RANSOMEWARE KERANGER INFECTED TRANSMISSION BITTORRENT CLIENT INSTALLER http://researchcenter.paloaltonetworks.com/2016/03/new-os-xransomware-keranger-infected-transmission-bittorrent-clientinstaller/ Mac 上で完全に動作するランサムウェア KeRanger を実行させてみた http://applech2.com/archives/48035822.html KeRanger Is Actually A Rewrite of Linux.Encoder https://labs.bitdefender.com/2016/03/keranger-is-actually-arewrite-of-linux-encoder/ サイバー犯罪者に人気の商品 コード証明書 http://asmarterplanet.com/jp-security/blog/2015/10/97.html 13

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック