Talos 読者の皆様、こんにちは。
Microsoft 社は今週、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。Talos のブログ記事には、ネットワークを保護するためにリリースされた Snort ルールとともに、特に注意を要する重要な脆弱性についての説明が記載されています。
また、TalosIntelligence.com のお客様は新しくなったコンテンツおよび脅威カテゴリのリストをご確認いただけます。今回の更新により、十分なインテリジェンス情報に基づいてより的確な意思決定を下せるようになり、生産性を低下させることなくネットワークを保護できるようになります。
今後予定されている Talos の公開イベント
件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」
イベント:CactusCon
開催日:2 月 6 〜 7 日
講演者:Edmund Brumaghin、Nick Biasini
概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。
1 週間のサイバーセキュリティ概況
- 主要アプリストア、物議を醸している右翼アプリ Parler を削除。Amazon Web Services は先週の米国連邦議会議事堂襲撃における Parler の役割を考慮し、同アプリに対するホスティングサービスを停止しました。その後、あるセキュリティ研究者が同アプリを経由して 70 TB のデータを取得し、誰でもユーザの運転免許証写真などにアクセスできる可能性があることを実証しました。
- Parler から取得されたデータには、ユーザによるすべての投稿が含まれることが判明。投稿の中には、今後数年間にわたって多くの人々を暴力的に脅迫する内容も含まれていました。
- 先週発生した連邦議会議事堂襲撃事件の後、サイバーセキュリティに関する多くの疑問が未解決のまま残る。暴動参加者は議事堂内の多くのデバイスを自由に触れたほか、一部のノート PC は行方不明のままとなっています。
- Facebook 社、ロシアが関与すると見られるウクライナを標的としたデマ攻撃を停止したと発表。同社によれば、悪意のあるユーザが偽のプロファイルやグループを作成して公的な報道機関を名乗り、誤解を招く情報やデマ情報を意図的に広めていました。
- サイバーセキュリティ企業 FireEye 社の CEO に送られたポストカードにより、SolarWinds 攻撃の捜査で新たな展開の可能性が浮上。このポストカードからは攻撃に関する広範な知識が伺われますが、先月まで公表されていませんでした。
- ジョー・バイデン次期大統領、サイバーセキュリティ関連の 2 つの役職をホワイトハウスの上級職に昇格させる予定。トランプ政権では、これらの役職が軽視されていました。
- 米国防総省、SolarWinds 攻撃の後に発見された新たな情報を踏まえ、同省が主導する 20 億ドルのサイバーセキュリティ プログラムの実施を一次中断。同プログラムは、ネットワークの統合とネットワーク侵入の検出という 2 つの要素で構成されることになっています。
- Apple 社、サードパーティ製ファイアウォールや VPN のバイパスが可能だった一部の Apple 社製アプリから問題の機能を削除。これらのアプリには、Apple Maps や iCloud など、多くの人気アプリが含まれます。
- Windows と Google Chrome を標的とした 4 種類のゼロデイ攻撃により、Android ユーザおよび Microsoft ユーザのデバイスがマルウェアに感染。Google 社の Project Zero チームによると、攻撃者は「巧妙に設計された複雑なコード」を使い、高度な技術を有していると考えられます。
最近の注目すべきセキュリティ問題
件名:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、10 件の「緊急」を含む 83 件の脆弱性を公開
説明:Microsoft 社は、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。このセキュリティ更新プログラムの対象には、Microsoft Defender ウイルス対策ソフトウェア、Microsoft Remote Procedure Call ツール、Windows デバイスとの Bluetooth 通信など、さまざまな製品とサービスが含まれています。最も深刻な脆弱性の 1 つは、Microsoft Defender に存在します。CVE-2021-1647 は、Windows 2008 以降の特定のバージョンの Windows に影響します。この脆弱性がエクスプロイトされると、侵入先のマシンで任意のコードが実行される危険性があります。Microsoft 社によると、今回の修正はマルウェア対策製品に対する同社の定例更新であるため、このセキュリティ更新プログラムをインストールして脆弱性を修正するためにユーザが操作を行う必要は特にありません。
Snort SID:56849 〜 56860、56865
件名:Lokibot が新たなドロッパーを実装
説明:Lokibot は現在最も有名な情報窃盗型マルウェアの 1 つです。多くの Lokibot 攻撃では、複数のログイン情報やその他の機密情報が攻撃者に流出します。今回発見された最新のキャンペーンでは、被害者のマシン上で Lokibot を実行するために、マルチステージ型かつマルチレイヤ型の複雑なドロッパーが使用されています。Lokibot 攻撃は、まず悪意のある XLS 添付ファイルをフィッシングメールで送り付けます。添付ファイルに含まれる難読化済みのマクロが実行されると、高度にパック処理された第 2 ステージ用のダウンローダがダウンロードされます。第 2 ステージでは暗号化された第 3 ステージが取得され、3 層構造の暗号化された Lokibot がダウンロードされます。第 3 ステージでは、権限昇格が発生した後に Lokibot が展開されます。次の図に、この攻撃の感染チェーンを示します。
Snort SID:56577、56578
今週最も多く見られたマルウェアファイル
SHA 256:20f0ce6ae08d954767bdd8445017453475d53fe1e448c07da7a8a6a1194374c6
MD5:6902aa6dd0fbd0d1b647e8d529c7ad3f
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.23nh.1201
SHA 256:a463f9a8842a5c947abaa2bff1b621835ff35f65f9d3272bf1fa5197df9f07d0
MD5:9b7c2b0abf5478ef9a23d9a9e87c7835
一般的なファイル名:INV1458863388-20210111852384.xlsm
偽装名:なし
検出名:W32.A463F9A884-90.SBX.TG
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:6fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30
MD5:0083bc511149ebc16109025b8b3714d7
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.6FDFCD0510-100.SBX.VIOC
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 01 月 14 日に Talos Group のブログに投稿された「Threat Source newsletter (Jan. 14, 2021)」の抄訳です。