McAfee Labs 2015 5
McAfee Labs 1 2 McAfee Labs McAfee Labs Web McAfee Labs Intel Security www.mcafee.com/jp/mcafee-labs.aspx McAfee Labs Equation Group HDD/SSD Black Hat DefCon Adobe Flash McAfee Labs CTB-Locker CTB-Locker Flash Flash Flash McAfee Labs 2015 5 2
: RSA Conference 2015 Intel Security Chris Young Intel Security Intel Security IT McAfee Labs Intel Security McAfee Global Threat Intelligence Web IP Intel Security 1 1 McAfee GTI 1 100 Intel Security DAT McAfee Labs DAT DAT DAT 5 Vincent Weafer /McAfee Labs McAfee Labs 2015 5 3
McAfee Labs 2015 5 : Christiaan Beek Alexander Matrosov François Paget Eric Peterson Arun Pradeep Craig Schmugar Rick Simon Dan Sommer Bing Sun Santosh Surgihalli James Walter Adam Wosotowsky 5 6 Equation Group: /SSD 7 : 14 Adobe Flash: 24 34
Equation Group: /SSD Equation Group 2 Equation Group Equation Group /SSD McAfee Labs : McAfee Labs 1 CTB-Locker McAfee Labs : 2014 11 2015 CTB- Locker IRC P2P.zip.zip.zip.zip CTB-Locker 1 Adobe Flash: 1 Adobe Flash 317% Adobe Flash Angler McAfee Labs : 2015 2 McAfee Labs 1 Adobe Flash 200,000 2014 4 47,000 317% Adobe Flash Flash McAfee Labs 2015 5 5
Equation Group: /SSD : Adobe Flash:
Equation Group: /SSD James Walter Alexander Matrosov 2 Equation Group Equation Group Equation Group RC6 Intel Security HDD SSD Solid State Drive HDD/SSD McAfee Labs 2015 5 7
Equation Group Intel SecurityBIOS CIH/Chernobyl Mebromi BIOSkitMcAfee Labs 2012 Equation Group HDD/SSD Equation Group Equation Group Equation Group DoubleFantasy EquationDrug HDD EquationLaser OS Windows 95/98 Equestre EquationDrug Fanny GrayFish HDD TripleFantasy 2001 HDD/SSD 2010 32 64 Microsoft Windows Apple ios OS X Windows Equation Group McAfee Labs 2015 5 8
2 HDD/SSD / HDD/SSD 2 HDD SSD APIAPI Equation Group Equation Group Equation Group HDD/SSD OS : : HDD/SSD : HDD/SSD : DLL ATA HDD/SSD Western Digital Samsung Maxtor IBM Seagate nls_933w.dll x86 20KB ATA 1 ATA 2 ATA / Maxtor : Check power mode Download microcode Flush cache Device configuration identify Security erase unit Security unlock Smart write log McAfee Labs 2015 5 9
ATA nls_933w.dll 2010 2001 win32m.sys MD5: 2b444ac5209a8b4140dd6b747a996653 %WINDIR%\ System32\drivers\win32m.sys HDD 3.0.1 HDD/SSD Equation Group HDD/ SSD Web Equation Group Web DoubleFantasyDoubleFantasy 2 EquationDrug GrayFish 2 HDD/SSD Equation GroupのHDD/SSD 攻 撃 の 流 れ Webベース の 攻 撃 段 階 の インストール/ 侵 入 (DoubleFantasy) 段 階 の インストール/ 侵 入 (EquationDrug またはGrayFish) HDD/SSD ファームウェア モジュール McAfee Labs 2015 5 10
Equation Group Equation Group Flame Duqu Stuxnet Gauss RC5 RC6 Equation Group Flame TripleFantasy / Equation Group McAfee Labs 2015 5 11
Flame TripleFantasy McAfee Labs 2015 5 12
Intel Security /BIOS HDD/SSD Intel Security /BIOS 2 Equation Group CD USB : OS OS URL Web McAfee Labs 2015 5 13
: Christiaan Beek McAfee Labs : 2014 11 2015 9 CTB-Locker CryptoWall TorrentLocker BandarChor 1 Teslacrypt 新 しいランサムウェア 750,000 McAfee Labs 1 165% CTB-Locker CryptoWall TorrentLocker BandarChor 1 Teslacrypt 700,000 650,000 600,000 550,000 500,000 450,000 400,000 350,000 300,000 250,000 200,000 150,000 100,000 50,000 0 2013 年 2014 年 2015 年 McAfee Labs 2015 5 14
3 / Web McAfee Labs 2015 5 15
1996 5 IEEE Symposium on Security and PrivacyAdam Young Cryptovirology extortion-based security threats and countermeasures : 1996 Gpcode.ak 2008 CryptoLocker 2013 GameOver Zeus 2014 5 CryptoLocker CryptoWall 2 3 TorrentLocker 2 CTB-Locker McAfee Labs McAfee Labsk : 2014 8 CryptoLocker GameOver Zeus : Tor : Tor Tor : 2014 6 Android Pletor AES Tor SMS HTTP : 2014 8 Synolocker Synology NAS NAS RSA 2,048 256 このレポートを 共 有 McAfee Labs 2015 5 16
主 なランサムウェア ファミリの 新 しいサンプル 16,000 14,000 12,000 10,000 8,000 6,000 4,000 2,000 0 2013 年 2014 年 2014 年 2014 年 2014 年 2015 年 CTB-Locker CryptoWall TorrentLocker CryptoLocker CTB-Locker 2014 12 CryptoWall 1 2 3 2014 9 Dyre Dyre ネットワークの 攻 撃 手 順 1 2 3 4 リンクを 含 むメールを 送 信 する Upatreマ ルウェア サンプルを ダウンロー ドする Upatreが Dyreマル ウェアを ダウン ロードす る Dyreマル ウェアが CryptoWall のペイロー ドを 読 み 込 む Dyre McAfee Labs 2015 5 17
Curve-Tor-Bitcoin-Locker CTB-Locker CTB-Locker Curve RSA Tor Tor Bitcoin Locker CTB-Locker CTB-Locker CTB-Locker CTB-Locker CTB-Locker CTB-Locker IRC P2P Dalexis.zip.zip.zip.zip.scr CTB-Locker CTB-Locker McAfee Labs 2015 5 18
5 CTB-Locker 5 600 CTB-Locker CTB-Locker2014 12 2015 1 CTB-Locker a_la_clinique_vtrinaire_lavalle.scr aliments_universelles_lolivier.scr alte_poststr_25_72250_freudenstadt.scr an_der_wassermhle_3_28816_stuhr.scr andros_consultants_limited.scr b_n_r_roofing_2000_ltd.scr b_van_brouwershaven_and_zn_bv.scr bill39c6113.scr fairview_rehab_and_sports_injury_clinic.scr fashioncrest_ltd.scr feedback_instruments_ltd914.scr McAfee Labs CTB-Locker CTB-Locker の 被 害 者 の 分 布 3% 3% 2% 7% 50% 北 米 ヨーロッパ 35% アジア 太 平 洋 / 中 東 中 米 南 米 アフリカ McAfee Labs 2015 5 19
CTB-Locker 2014 8 CTB-Locker CTB-Locker CTB-Locker Tor Bitcoin 1 $15,000 $18,000 $8,000 $10,000 7 7% CryptoWall 3 CryptoWall 3) Tor URL I2P P2P CryptoLocker CryptoWall CTB-Locker CryptoWall JavaScript CryptoWall.zip.jpeg : Teslacrypt 1 Teslacrypt McAfee Labs 2015 5 20
2015 2 Teslacrypt Teslacrypt CryptoLocker Tor Bitcoin Teslacrypt 50 Teslacrypt Teslacrypt PayPal My CashCards Teslacrypt McAfee Labs CoinVault Kaspersky CTB-Locker Windows VSS Windows XP Windows 7 Windows Server 2008 Windows 8 Windows 8 Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Vssadmin list shadows VSS McAfee Labs 2015 5 21
CryptoWall 3 Crypto-Fortress Teslacrypt vssadmin delete shadows /all /quiet RansomWeb Web Web McAfee Labs 10 1 このレポートを 共 有 McAfee Labs 2015 5 22
Intel Security Tor Tor Tor RSA Java Adobe Reader Flash.scr.zip.zip 2 McAfee Labs 2015 5 23
Adobe Flash: Arun Pradeep Santosh Surgihalli Adobe Flash Adobe Flash Player / 3 / Flash Adobe Flash Macromedia Flash Shockwave Flash Flash Adobe Flash Adobe Flash 3 ActionScript Adobe Flash Professional ActionScript.fla Flash.swf Adobe Flash Player.swf Web.swf Flash Flash Player McAfee Labs 2015 5 24
Flash National Institute of Standards and Technology National Vulnerability Database CVE Common Vulnerabilities and Exposures 1 Flash 42 CVE 2014 4Flash 28 50% Flash 2014 1 Flash 42 2014 4 Flash 28 50% Flash 45 40 35 30 25 20 15 10 5 新 たに 検 出 されたAdobe Flashの 脆 弱 性 0 2014 年 2015 年 出 典 : National Vulnerability Database Flash Web Adobe 2014 1 Flash 42 Adobe CVE Flash Adobe Adobe このレポートを 共 有 McAfee Labs 2015 5 25
Flash.swf : Flash Player Windows : : NULL : : 攻 撃 された Adobe Flash の 脆 弱 性 コードの 実 行 7% 19% 24% 回 避 サービス 拒 否 の 実 行 コードによる メモリー 破 損 コードの 実 行 による オーバーフロー 13% 22% サービス 拒 否 コードの 実 行 によるオーバー フローとメモリー 破 損 15% その 他 McAfee Labs 2015 5 26
Flash Flash2014 4 Flash McAfee Labs Flash Flash.swf Flash 新 しい Adobe Flash.swf のサンプル 250,000 1 Adobe Flash.swf 317% 200,000 150,000 100,000 50,000 0 2014 年 2015 年 McAfee Labs 2015 5 27
Flash Angler McAfee Labs : 2015 2 Angler.jar Java Microsoft Silverlight Flash Java Microsoft Silverlight Adobe Flash エクスプロイト キットが 狙 う 脆 弱 性 2014 年 2014 年 2014 年 2015 年 7% ANGLER キット 79% 14% 54% 46% 17% 83% 17% 83% NUCLEAR キット 19% 81% 22% 78% 100% 100% SWEET ORANGE キット 17% 83% 13% 27% 60% 17% 83% 100% MAGNITUDE キット 33% 100% 100% 67% 100%.swf.jar Silverlight 4 Flash McAfee Labs 2015 5 28
45 40 35 30 25 20 15 10 5 エクスプロイト キットが 狙 う Adobe Flash の 脆 弱 性 0 2014 年 2015 年.swf.jar Silverlight Flash Flash swf Flash McAfee Labs 2015 5 29
Flash.swf ActionScript CVE-2014-0497 Flash Player ROP ROP Return Oriented Programming 2014 Pixel Bender Pixel Bender ActionScript 2 McAfee Labs 2015 5 30
Flash RC4 Web CVE-2015-0311 CVE-2015-0312 CVE-2015-0313 loadbytes _loc3_ 158l467o395a839d024B304y549t110e672s730 NULL loadbytes Flash Player.swf.gif.jpeg.png _loc1_ new Loader() new Loader McAfee Labs 2015 5 31
ggew jytk RC4 60KB RC4 Loader.LoadBytes(RC4_decode(RC4_encrypted_data)) Flash DLL ROP McAfee Labs 2015 5 32
Intel Security Flash Flash McAfee Labs Flash Flash Flash CVE Flash.swf iframe.swf URL URL Web Flash McAfee Labs 2015 5 33
Web
新 しいモバイル マルウェア 2015 年 に 見 つかった 新 しいモバイル マルウェアのサンプ ル 数 は2014 年 から49% 増 加 しています 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 2013 年 2014 年 2015 年 モバイル マルウェアの 合 計 8,000,000 6,000,000 5,000,000 4,000,000 3,000,000 1,000,000 0 2013 年 2014 年 2015 年 McAfee Labs 2015 5 35
地 域 別 のモバイル マルウェアの 感 染 率 (2015 年 ) 12% 10% 8% 6% 4% 2% 0 アフリカ アジア オーストラリア ヨーロッパ 北 米 南 米 世 界 のモバイル マルウェアの 感 染 率 25% 20% 15% 10% 5% 0 2013 年 2014 年 2015 年 McAfee Labs 2015 5 36
新 しいマルウェア 60,000,000 4 SoftPulse 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 0 2013 年 2014 年 2015 年 マルウェアの 合 計 450,000,000 2014 4 2015 1 McAfee Labs 13% 4 400,000,000 350,000,000 300,000,000 250,000,000 200,000,000 150,000,000 100,000,000 50,000,000 0 2013 年 2014 年 2015 年 McAfee Labs 2015 5 37
新 しいルートキット マルウェア 120,000 100,000 80,000 60,000 40,000 20,000 0 2013 年 2014 年 2015 年 ルートキット マルウェアの 合 計 1,600,000 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 0 2013 年 2014 年 2015 年 McAfee Labs 2015 5 38
署 名 付 きの 新 しい 不 正 なバイナリ 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 2013 年 2014 年 2015 年 署 名 付 きの 不 正 なバイナリの 合 計 18,000,000 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0 2013 年 2014 年 2015 年 McAfee Labs 2015 5 39
Web 新 しい 不 審 な URL 35,000,000 2014 3 URL URL 2015 1 URL 30,000,000 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 0 2013 年 2014 年 2015 年 URL 関 連 ドメイン 不 審 なコンテンツが 存 在 するサーバーの 場 所 2% 1% <1% 15% 52% 北 米 ヨーロッパ/ 中 東 29% アジア 太 平 洋 ラテンアメリカ アフリカ オーストラリア McAfee Labs 2015 5 40
新 しいフィッシング 詐 欺 URL 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 2013 年 2014 年 2015 年 URL 関 連 ドメイン フィッシング 詐 欺 ドメインが 存 在 する 国 の 上 位 米 国 ドイツ 25% 英 国 フランス 53% オランダ 2% 2% カナダ 3% ロシア 3% 3% 4% 5% ブラジル その 他 McAfee Labs 2015 5 41
新 しいスパム URL 700,000 600,000 500,000 400,000 300,000 200,000 100,000 0 2013 年 2014 年 2015 年 URL 関 連 ドメイン スパム ドメインが 存 在 する 国 の 上 位 米 国 24% ドイツ 中 国 3% 3% 3% 3% 54% オランダ 英 国 ロシア 日 本 その 他 5% 5% McAfee Labs 2015 5 42
12 世 界 で 発 生 したスパムとメールの 量 (1 兆 通 単 位 ) 10 8 6 4 2 0 2013 年 2014 年 2015 年 スパム 正 規 のメール スパム メールを 送 信 するボットネットの 上 位 10 (100 万 通 単 位 ) 1,400 1 Snowshoe Festi Darkmailer2 Dyre Dridex Darkmailer3 Slenfbot 1 1,200 1,000 800 600 400 200 0 2013 年 2014 年 2015 年 Kelihos Slenfbot Dyre その 他 Gamut Darkmailer Dridex Cutwail Asprox Darkmailer 3 McAfee Labs 2015 5 43
ネットワーク 攻 撃 の 上 位 2014 4 SSL SSL Shellshock 2% 2% 6% 7% 9% 12% 25% 37% サービス 拒 否 総 当 り 攻 撃 ブラウザー Shellshock SSL バックドア ボットネット その 他 ボットネット 制 御 サーバーの 所 在 地 米 国 5% 21% ウクライナ アルジェリア 6% 38% 6% 9% ロシア 中 国 ドイツ スウェーデン 韓 国 3% 3% 3% 3% 4% 5% 5% オランダ エジプト その 他 McAfee Labs 2015 5 44
Intel Security 5 McAfee is now part of Intel Security.Intel Security Security Connected Global Threat Intelligence Intel Security Intel Security www.intelsecurity.com McAfee Labs 1. https://msdn.microsoft.com/en-us/library/windows/hardware/ff559309%28v=vs.85%29.aspx. 2. http://www.cse.scu.edu/~tschwarz/coen252_07/resources/foi-computer-forensics.pdf. 3. http://en.wikipedia.org/wiki/adobe_flash. McAfee. Part of Intel Security. 150-0043 1-12- 1 20F TEL 03-5428-1100 FAX 03-5428-1480 530-0003 2-2-2 18F TEL 06-6344-1511 FAX 06-6344-1517 450-0002 4-6-17 13F TEL 052-551-6233 FAX 052-551-6236 810-0801 5-3-8 5F TEL 092-287-9674 www.intelsecurity.com Intel IntelIntel Corporation McAfee McAfee McAfee, Inc. Copyright 2015 McAfee, Inc. 61956rpt_qtr-q1_0615