ソーシャルメディアをターゲット化する、サイバー犯罪

ソーシャルメディアは、インターネット上でコミュニケーションをとる手段として、既に一般的なものとなっています。ソーシャルメディアには様々な種類のものが存在しており、その人気も地域によって異なっているのが実情です。その一方で、サイバー犯罪者にとっても徐々に一般的なターゲットとなっており、これらの人気に便乗する様々な攻撃が現在行われています。今回は、その中でもドイツで人気のあるソーシャルメディア「StudiVZ」をターゲットとした攻撃を紹介します。

攻撃はStudiVZ用ツールバーのインストーラを装って、バックドア「Backdoor-CEP」の亜種を仕掛けるトロイの木馬です。このバックドアは、様々な悪事を働くと共に、ユーザーの使用しているPC画面のスクリーンショットを取得・保存し、キー入力を記録します。一見したところ、この改造版インストーラは無害に思えます。何故なら、ある種のセキュリティ製品の存在を検出するか、サンドボックス内やデバッガ上で動かされていて監視対象になっている可能性があると判断すると、全く悪さをしないからです。

このような隠蔽工作の裏では、不正な行為が大量に実行されています。このインストーラが動き出すと、その時点で内蔵している攻撃用コードを実行中のプロセスに挿入したり、停止中の無害なプロセスを実行させたりします。そして、自らのコードとプロセスのマッピング解除を行い、別の攻撃用コードをプロセスにマッピングし直して、同プロセスを再開します。この攻撃用コードは暗号化されており、挿入時に復号するだけでハードディスクには書き込まないため、検出が非常にされにくいという特徴があります。

怪しいプロセスを作る同バックドアの逆アセンブル結果

このツールバー用インストーラは、動作を終了するとWebブラウザ「Internet Explorer(IE)」のインスタンスを自動実行し、上記ソーシャルメディアのログインサイト「http://studivz.net」にアクセスさせます。IEにツールバーがインストールされ、上部に新たなボタンとロゴが追加されますこのような状態では、ユーザーはほぼ確実にこのソーシャルメディアにログインするでしょう。

この時点で、バックドアはメモリー上にある実行中のプロセスに既に大量感染しており、キー入力を漏れなく取得・保存するためのコールバック関数も設定済の状態となっています。

バックドアのキー入力取得・保存コードの一部

今回のBackdoor-CEPの亜種を作った人物は、StudiVZユーザーのログイン情報に高い関心を持っていると思われます。さらにこのトロイの木馬は、ドイツでホスティングされているサーバーと定期的に通信しようとします。ただマカフィー製品を使用することで、これらの悪質なインストーラをブロックすることができます。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。