ISPを巻き込んで感染を広げる監視マルウェア「フィンフィッシャー」亜種

この記事をシェア

基本的にISP(インターネットサービスプロバイダー)はユーザーに対してマルウェア感染の防護対策を行うことはあっても、攻撃側に加担することはない。だが、悪名高いスパイウェアの亜種が何らかの形でISPを悪用し、攻撃側が被害者を偽サイトへと誘導するという手口を使った疑いがある。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

ISPを巻き込んで感染を広げる監視マルウェア「フィンフィッシャー」亜種

「フィンフィッシャー」(FinFisher)を用いた新たな監視活動が活発化している。フィンフィッシャーは「フィンスパイ」(FinSpy)としても知られる悪名高いスパイウェアであり、世界中の政府関連機関に販売された。その亜種のうちの幾つかは、技術面の改善が見られると同時に、インターネットサービスプロバイダー(ISP)の関与を強く示唆するような、これまでにない感染経路を持っている。

フィンフィッシャーはスパイ活動に有益な幅広い機能を有している。例えば、Webカメラやマイクを通じたライブ監視、キーロギング、そしてファイルの抽出などができる。とはいえ、フィンフィッシャーが他の監視ツールと大きく異なるのは、利用のされ方が大きな議論を引き起こしている点である。警察のためのツールとして宣伝されたばかりか、独裁政権などにも使われていたという疑いがある。

これまでESETでは7カ国で最新のフィンフィッシャーの亜種を発見した。誰かを危険にさらすわけにはいかないため、国名の公表は控えることにする。

標的への感染

フィンフィッシャーは複数の感染メカニズムを持つことが知られている。例えば、スピアフィッシング、デバイスへの物理的アクセスに基づく手動インストール、ゼロデイのエクスプロイト、そして、いわゆる水飲み場型攻撃などがある。水飲み場型攻撃とは、特定の標的にこだわらず、Webサイトにウイルスを仕込んでおく攻撃で、例えばフィンフィッシャーの亜種を仕込んでおくこともできる。

この感染経路に新たなものが加わった。それは、中間者攻撃を利用して拡散させるものであり、とても煩わしい。そして、ここで言う中間者はおそらくISPレベルと考えられる。ESETのシステムが最新のフィンフィッシャーを検知した7カ国のうち、2カ国では、この感染経路が用いられていることをESETは確認した(残りの5カ国においては、従来の感染経路を用いた攻撃であった)。

ユーザー(監視対象となっている標的)が人気のある(正規)アプリをダウンロードしようとすると、彼らはフィンフィッシャーに感染したバージョンへとリダイレクトされてしまうのだ。

フィンフィッシャーを拡散するのに悪用されているアプリとしてESETが確認したものは、WhatsApp、Skype、Avast、WinRAR、VLC Playerなどであるが、どのアプリであっても同様に悪用可能であることには留意されたい。

その攻撃は、ユーザーが正当なWebサイトにおいて、影響を受けるアプリを検索するところから始まる。ユーザーがダウンロードリンクをクリックすると、彼らのブラウザーは改ざんされたリンクを受け取ることとなり、攻撃者のサーバー上にある、トロイの木馬が仕込まれたパッケージへとリダイレクトされてしまう。それをダウンロードし実行すると、正当なアプリケーションだけでなく、一緒に入っていたフィンフィッシャーをもインストールされてしまうのである。

図1: 最新のフィンフィッシャー亜種の感染メカニズム

図1: 最新のフィンフィッシャー亜種の感染メカニズム

このリダイレクトは正当なダウンロードリンクが不正なものへと置き換えられることで実現する。不正リンクはユーザーのブラウザーにHTTP 307 Temporary Redirectステータスのレスポンスコードを返すことにより、配信される。本来、このステータスコードは、要求されたコンテンツが別のURLに一時的に移動されたことを伝えるためのものである。このリダイレクトのプロセスは全てユーザーには見えないところで知らないうちに処理される。

図2: 最新のフィンフィッシャー亜種の感染メカニズムの詳細 図2: 最新のフィンフィッシャー亜種の感染メカニズムの詳細

図2: 最新のフィンフィッシャー亜種の感染メカニズムの詳細

フィンフィッシャー――マルウェア監視網から逃れるための工夫

フィンフィッシャーの最新版は技術的な改良においても注目すべき点がある。作者はいかにこのスパイウェアの存在に気付かれないようにするかということに注力している。例えば、カーネルモードのドライバーを含むコンポーネントの大半を保護すべく、カスタムコードの仮想化を実施している。また、コード全体にわたり、逆アセンブリ対策がなされている。サンドボックス対策、デバッグ対策、仮想化対策、そしてエミュレーション対策など、さまざまな対策がそのソフトウェアには施されている。これらは全て、そのスパイウェアの分析を複雑にしている。

最初の保護(逆アセンブリ対策)を突破すると、次にコードの仮想化が待っている。バーチャルマシン・ディスパッチャーは34個のハンドラーを持っており、そのスパイウェアは1つのインタプリターの中でほぼ全て実行される。すなわち、もう1つのレイヤーについて追加で分析が必要になる。

図3: コード分析を複雑化する多数の仮想マシン・ハンドラーの可視化

図1: 最新のフィンフィッシャー亜種の感染メカニズム

プライバシーを意識したユーザーに対する特別な対応

最近の攻撃を分析している際に、ESETは興味深いサンプルを発見した。フィンフィッシャーが「トゥリーマ」(Threema)という名前の実行ファイルを装っているのである。このファイルは、プライバシーを意識したユーザーを標的として利用された可能性がある。というのもトゥリーマは本来、エンド間で暗号化ができる安全性の高いインスタントメッセージ・アプリケーションであるからである。皮肉なことに、だまされて感染したファイルをダウンロード・実行してしまうと、プライバシーを求めているユーザーが監視されることになる。

暗号化ソフトウェアを求めるユーザーに着目すると、その対象となるのはもちろん、単にエンド間の通信だけではない。ESETの調査の中では、フィンフィッシャーに感染した「トゥルークリプト」(TrueCrypt)のインストールファイルも発見した。トゥルークリプトは以前とても人気のあったディスク暗号化ソフトである。

中間者攻撃の中間者とは誰か

標的コンピューターと正当なサーバーの経路上に存在していれば、中間者攻撃の「中間者」になることは、技術的には可能である。例えば、乗っ取られたWi-Fiのホットスポットなどが中間者になることも考えられる。しかし、ESETが最新のフィンフィッシャー亜種を検知した場所が地理的に分散していることを鑑みると、中間者攻撃はかなりネットワークの上位(内部)にて実施されている可能性が高い。すなわち、中間者はISPではないかと考えられる。

この仮定はさまざまな事実により裏付けられている。第一に、WikiLeaksにより公表された内部資料によると、フィンフィッシャーの作成元はISPネットワークへの展開用に「フィンフライISP」(FinFly ISP)というソリューションを提供していたことが挙げられる。このソリューションは、今回のような中間者攻撃を実行するのに必要な機能を持っているとのことである。第二に、(HTTP 307リダイレクトを利用した)感染技術は今回感染が確認された2カ国において全く同じ方法で実装されていたことが挙げられる。同一の組織やチームにより実装もしくは提供されたのでなければ、こういったことはほぼ生じないであろう。第三に、片方の国において感染した標的は全員同一のISPを利用していたことが挙げられる。最後に、その国において、ISPがインターネットコンテンツのフィルタリングに全く同一のリダイレクション方式とフォーマットを利用していることが挙げられる。

漏えいした文書にある、ISPレベルでの中間者攻撃技術の展開については、今のところ確認されていない。もし確認されれば、これらのフィンフィッシャーの攻撃は、方法と到達範囲の観点から、これまでに類を見ないほど高度かつステルス性の高い監視プロジェクトの代表格となるだろう。

感染や監視の確認

ESETの商品はこの脅威を全て「Win32/FinSpy.AA」および「Win32/FinSpy.AB」として検知することができる。ESETのユーザーはもちろん自動的に守られている。

感染の疑いを確認するための指標 (= 危殆化指標、IoC)

ESETによる検出名
Win32/FinSpy.AA
Win32/FinSpy.AB
リダイレクト先
HTTP/1.1 307 Temporary Redirect\r\nLocation:URL\r\nConnection: close\r\n\r\n
ESETの調査によって発見されたURL一覧
hxxp://108.61.165.27/setup/TrueCrypt-7.2.rar
hxxp://download.downloading.shop/pcdownload.php?a=dad2f8ed616d2bfe2e9320a821f0ee39
hxxp://download.downloading.shop/pcdownload.php?a=84619b1b3dc8266bc8878d2478168baa
hxxp://download.downloading.shop/pcdownload.php?a=ddba855c17da36d61bcab45b042884be
hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
hxxp://download.downloading.shop/pcdownload.php?a=95207e8f706510116847d39c32415d98
hxxp://download.downloading.shop/pcdownload.php?a=43f02726664a3b30e20e39eb866fb1f8
hxxp://download.downloading.shop/pcdownload.php?a=cb858365d08ebfb029083d9e4dcf57c2
hxxp://download.downloading.shop/pcdownload.php?a=8f8383592ba080b81e45a8913a360b27
hxxp://download.downloading.shop/pcdownload.php?a=e916ba5c43e3dd6adb0d835947576123
hxxp://download.downloading.shop/pcdownload.php?a=96362220acc8190dcd5323437d513215
hxxp://download.downloading.shop/pcdownload.php?a=84162502fa8a838943bd82dc936f1459
hxxp://download.downloading.shop/pcdownload.php?a=974b73ee3c206283b6ee4e170551d1f7
hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d
hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf
hxxp://download.downloading.shop/pcdownload.php?a=0ebb764617253fab56d2dd49b0830914
hxxp://download.downloading.shop/pcdownload.php?a=f35e058c83bc0ae6e6c4dffa82f5f7e7
hxxp://download.downloading.shop/pcdownload.php?a=64f09230fd56149307b35e9665c6fe4c
hxxp://download.downloading.shop/pcdownload.php?a=b3cc01341cb00d91bcc7d2b38cedc064
hxxp://download.downloading.shop/pcdownload.php?a=5fc0440e395125bd9d4c318935a6b2b0
hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a
hxxp://download.downloading.shop/pcdownload.php?a=f761984bb5803640aff60b9bc2e53db7
hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a
hxxp://download.downloading.shop/pcdownload.php?a=514893fa5f3f4e899d2e89e1c59096f3
hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c
hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf
hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c
hxxp://download.downloading.shop/pcdownload.php?a=395ce676d1ebc1048004daad855fb3c4
hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d
hxxp://download.downloading.shop/pcdownload.php?a=49d6d828308e99fede1f79f82df797e9
hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
サンプル(SHA-1)
ca08793c08b1344ca67dc339a0fb45e06bdf3e2f
417072b246af74647897978902f7d903562e0f6f
c4d1fb784fcd252d13058dbb947645a902fc8935
e3f183e67c818f4e693b69748962eecda53f7f88
d9294b86b3976ddf89b66b8051ccf98cfae2e312
a6d14b104744188f80c6c6b368b589e0bd361607
417072b246af74647897978902f7d903562e0f6f
f82d18656341793c0a6b9204a68605232f0c39e7
df76eda3c1f9005fb392a637381db39cceb2e6a8
5f51084a4b81b40a8fcf485b0808f97ba3b0f6af
4b41f36da7e5bc1353d4077c3b7ef945ddd09130
1098ba4f3da4795f25715ce74c556e3f9dac61fc
d3c65377d39e97ab019f7f00458036ee0c7509a7
c0ad9c242c533effd50b51e94874514a5b9f2219
a16ef7d96a72a24e2a645d5e3758c7d8e6469a55
c33fe4c286845a175ee0d83db6d234fe24dd2864
cfa8fb7c9c3737a8a525562853659b1e0b4d1ba8
9fc71853d3e6ac843bd36ce9297e398507e5b2bd
66eccea3e8901f6d5151b49bca53c126f086e437
400e4f843ff93df95145554b2d574a9abf24653f
fb4a4143d4f32b0af4c2f6f59c8d91504d670b41
f326479a4aacc2aaf86b364b78ed5b1b0def1fbe
275e76fc462b865fe1af32f5f15b41a37496dd97
df4b8c4b485d916c3cadd963f91f7fa9f509723f
220a8eacd212ecc5a55d538cb964e742acf039c6
3d90630ff6c151fc2659a579de8d204d1c2f841a
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!