Analyst’s Choice
「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
・Sudoの脆弱性はmacOSにも影響
・「Trickbot」がオープンポートをスキャンする「Masscan」モジュールを追加
・M1チップ上で動作するようコンパイルされたバイナリを含む新たなmacOSマルウェア、「Silver Sparrow」
Sudoの脆弱性はmacOSにも影響
・最近発見されたSudoアプリ内のヒープベース・オーバーフローの欠陥(「CVE-2021-3156」として識別)が、Sudoインストール済みの新しいバージョンのmacOSにも影響を及ぼすことを、セキュリティ研究者Matthew Hickey氏が発見しました。このバグのLinuxバージョンをいくつか修正することで、macOSの root アカウントへのアクセスを攻撃者に付与できると、報告されています。
出展:https://www.zdnet.com/article/recent-root-giving-sudo-bug-also-impacts-macos/?_hsmi=109329579&_hsenc=p2ANqtz–_2kLO6yHxE1NwfIUqmnO5hdPenkMLpSjUJ8idZeAyAS0YZLei6pjowNM801rimIbyn-xjzt0sM0008WdZhFBEDSKM5w
Analyst’s Comments
影響範囲:
「1.9.5p2」より前のバージョンのSudoアプリケーションがインストールされたMacOS(あるいはLinux)を使用する全ての人。
見解:
・攻撃者は、脆弱なOSへのアクセスを得るだけで、この脆弱性を悪用することができます。
・攻撃者らは、マルウェアやクレデンシャル・フィッシング、あるいはリモート・デスクトップ・プロトコルのセキュリティの甘さといった、数多くの手段を用いてこうしたアクセスを獲得します。
・この脆弱性は10年以上存在し続けています。アップデートすることで、脆弱性が利用されてしまう可能性を薄めることはできるものの、長きに渡ってこの脆弱性が悪用されていた可能性があるため、積極的なセキュリティ対策が必要となります。
緩和戦略:
アップデートされたバージョン「1.9.5p2」は、この脆弱性を修正済みです。ご自身のアプリケーションのバージョンを確認するには、ターミナルウィンドウを開いて「Sudo –version」と入力してください。
最新のmacOSアップデート、つまり「Big Sur 11.2.1」「macOS Catalina 10.15.7 Supplemental Update」「macOS Mojave 10.14.6 Security Update 2021-002」をインストールすると、Sudoアプリケーションはパッチ済みバージョンへアップデートされます。
「Trickbot」がオープンポートをスキャンする「Masscan」モジュールを追加
・新たな「Trickbot」モジュールがローカルネットワークの偵察に使用されていることを、Kryptos Logicの研究者たちが確認しました。「masrv」と称されるこのコンポーネントは、開いたポートを持つシステムがないかローカルネットワークをスキャンするオープンソース・ユーティリティ「Masscan」のコピー版です。研究者たちは、このモジュールがまだテスト運用中であると考えています。
・このコンポーネントは、ローカルネットワークをスキャンし、その結果を「Trickbot」C2にアップロードする目的で、新たに感染したデバイスにドロップされます。
・またこのモジュールには、「Anchor」マルウェアによるものとされる参照されていないC2通信の関数と、以前「Anchor」マルウェアと「Bazar」マルウェアに関連付けられていた、ハードコードされたIPのリストも含まれています。
出展:https://www.kryptoslogic.com/blog/2021/02/trickbot-masrv-module/?_hsmi=109145598&_hsenc=p2ANqtz–p0KcTfFEJDXJbL3vB6cqdxxYU6yaztPJ2tOKGjvcCqitzyvfVnheShJqYotAzZlFZEzdUQGY30eIRrOx9jIpdbRCmaA
Analyst’s Comments
影響範囲:
「TrickBot」は、「TrickLoader」としても知られているバンキング型トロイの木馬で、銀行取引情報、アカウント認証情報、個人情報(PII)などのデータを目当てに、企業と消費者の両方を狙っています。
「TrickBot」はWindows OSに限定されているわけではありませんが、新しく確認されたモジュールはWindowsのプラットフォームでの利用を前提に作成されたオープンソースツールです。
見解:
・「TrickBot」は今回のアップデートに先だち、すでに日本での攻撃に成功しています。
・このモジュールは、脅威アクターの攻撃における初期の偵察フェーズの一部のため、早期に検出することで、より深刻なインシデントを予防できるかもしれません。
緩和戦略:
「TrickBot」マルウェアに実装された追加の「Masscan」モジュールの検出には、以下のIOCを使用することができます。
PDB パス:
D:\Project\masrv\build-masrv\debug\Desktop_msvc_15_0_32bit\masrv.pdb
D:\Project\masrv\build-masrv\debug\Desktop_msvc_15_0_64bit\masrv.pdb
モジュール名 | SHA256 | 説明 |
masrvDll32 | 2c29de91a5be3bffafb521e04b88819d23c6f71843c8f2d54516ec2afefd24c6 | 32-bit DLL |
masrvDll64 | e1c5a377450d04372bfe9d943d322fbdd53c274c3772836eb044fd2a4b08a870 | 64-bit DLL |
「TrickBot」そのものを防御したり、軽減させたりするには、以下のような戦略を用いる必要があります。
- 最新のパッチを使用して、デバイスをできるだけ早く更新するとともに、更新できないデバイスは適切かつ早急に隔離します。
- マルウェアに対する複数形態の保護を採用します (例: アンチウイルス、メールフィルタリング、最小限のアクセス権)。
- アクセスするサイトや返信するメールに関しては、スタッフ全員に正しいセキュリティ・ハイジーンの情報を提供しましょう。
- 攻撃が成功した場合に備えて、複数の最新のバックアップを常に用意しておきましょう。
M1チップ上で動作するようコンパイルされたバイナリを含む新たなmacOSマルウェア、「Silver Sparrow」
・macOSマルウェアの新種を Red Canaryの研究者が発見し、 「Silver Sparrow」 と名付けました。「Silver Sparrow」はコマンドを実行するために macOS Installer JavaScript API を使用します。これは、今まで他のmacOSマルウェアでは見られなかったことです。
・研究者たちは、このマルウェアの2つのバージョンを確認しており、2つ目にはAppleの新しい M1 ARM64 アーキテクチャ上で作動するようコンパイルされたバイナリが含まれています。持続性(persistence)は、LaunchAgent を通じて実現します。研究者たちは、このマルウェアによって追加のペイロードが配信される様子がまだ確認されていないことに注目しています。
・「Silver Sparrow」はPKGファイルを介して拡散されますが、どのように配布されているのかは未だ不明です。Malwarebytes によると、同マルウェアにはすでに153カ国で29,139件のエンドポイントが感染しており、米国、英国、カナダ、フランス、ドイツでの検出率が高いとのことです。
出典:https://redcanary.com/blog/clipping-silver-sparrows-wings/?_hsmi=111906358&_hsenc=p2ANqtz-_Yrn4DEvPVsiN7kXyWJewid0qiypHru9lx2Toh62LglHt17xdEi9t4NrDK6UwVuLPgqjK3oMIaDYP0kEy8bQpBGGhIVw
Analyst’s Comments
影響範囲:
新たに開発されたCPU「M1」を搭載したApple社の最新の機器を使用している、またはこうした機器へのアップグレードを検討している企業や個人。
見解:
・2月17日現在、同マルウェアには全世界で約3万台のマシンが感染しています。
・このマルウェアはAmazon Web ServiceをC2として利用しています。これは、その料金の高さから通常、資金力の高いまたは成熟した脅威グループが使う戦術です。
・このマルウェアの最終目標は現在のところ不明ですが、概念実証(proof of concept)か、あるいはまだ開発中なのでないかと疑われています。
緩和戦略:
「Silver Sparrow」をはじめとするmacOSマルウェアを特定するために、調査チームが推奨する戦略は以下の通りです。
・「LaunchAgents、RunAtLoad、trueを含むコマンドラインと連動して実行されているPlistBuddyと見られるプロセスを探してください。この分析は、LaunchAgentの持続性を確立している、複数のmacOSマルウェアファミリーを発見するのに役立ちます。」
・「LSQuarantine を含むコマンドラインと連動して実行されているsqlite3と見られるプロセスを探してください。この分析は、ダウンロードしたファイルのメタデータを操作または検索する、複数のmacOSマルウェアファミリーを発見するのに役立ちます。」
・「s3.amazonaws.com を含むコマンドラインと連動して実行されているcurlと見られるプロセスを探してください。この分析は、配布のためにS3バケットを使用している、複数のmacOSマルウェアファミリーを発見するのに役立ちます。」
これらの方法により疑わしい結果が出た場合は、ソース記事の一番下にSilver Sparrowに特に関連するIOCのリストがありますので、そちらを参照してください。
Writer