【PC】ＷＡＶファイルに隠されたマルウェア（クリプトマイナー）に注意

1 ：樽悶 ★：2020/03/16(月) 01:42:18 ID:nC/nVcsL9.net

　Guardicore Labsによると、被害者のネットワークをクリプトマイナーに感染させる媒体としてWAV形式の音声ファイルが悪用され、インターネットに拡散されているという。同社は2020年1月、某医療テクノロジー企業を襲ったインシデント（2019年12月）に関する発表を行った。

　WAVファイル（またはWAVEファイル）はWindowsの他形式のファイルと同様、コンテナを使ってデータに手を加えず、多くの場合各単位を圧縮しないで音声データを格納する。MP3などの他の音声ファイルよりサイズが圧倒的に大きくなることが多いが、最適な音質が保たれるためプロのミュージシャンやプロデューサーに広く利用されている。

　Guardicore Labsの研究者オフィール・ハーパズ氏とダニエル・ゴールドバーグ氏によると、ネットワークに感染したのはWAVファイル内に人気の高い暗号通貨「Monero」のクリプトマイナーを隠し、高度に難読化されたマルウェアだったという。

　ハッカーは、2017年の「WannaCry」の大流行によってその名を広めた攻撃ツール「EternalBlue」を悪用することで、「Windows 7」PCにマルウェアを感染させて標的の企業での増殖を試みた。

　2019年10月、標的企業の複数のWindows 7 PCがカーネルモードのエラーを示す「Blue Screen of Death」（BSoD、死のブルースクリーン）の犠牲になった。これをきっかけに、各企業はGuardicore Labsの支援を受けた。

　これらのPCは、アナリストの役に立つカーネルメモリダンプを保存するように構成されていなかった。だが詳しい検査により、不審なデータにアクセスする長いコマンドラインが実行されていたことが1台のPCのレジストリキーで分かった。他の800台を超えるPC（被害を受けたネットワークのPCの半数）にも異常なデータが存在していた。

　これは、Base64でエンコードされたPowerShellスクリプトの結果であることが判明した。スクリプトのタイトルは「An Unknown Malware」で、エンコード後でもデコード後でもオンラインで利用できることが分かった。

　調査の結果、攻撃者はポート445でサブネットスキャンを実行し、悪意のあるペイロードを他のホストに拡散しようと試みたことが判明した。ネットワーク全体を水平方向に拡散するためにEternalBlueを使っていたことも分かった。

　ハーパズ氏とゴールドバーグ氏は情報を公開したブログに次のように記している。「この発見によって、今後エンドポイントにあるPCの全てのSMB（Server Message Block）トラフィックをブロックすることが推奨される」

　「当社はマルウェアペイロードをリバースエンジニアリングして、多層化された実行可能ファイルを検出した。このペイロードを実行すると、ペイロード自身のモジュールを次々と展開してその展開済みコードを各イテレーションで実行する」

　「このマルウェアは、オープンソースのCPUマイナー『XMRig』をベースとするクリプトマイニングモジュールを含む。このモジュールはMoneroのマイニングに『CryptonightR』アルゴリズムを使用する。さらに、マルウェアはステガノグラフィーを利用して悪意のあるモジュールを無害そうなWAVファイルの内部に隠す。この手口は最近報告されたものだが、完全な攻撃フローの一部として発見されたのはこれが初めてだ」

　Guardicore Labsはこの攻撃から修復するために、まずマルウェアを削除して悪意のあるプロセスを停止して、バイナリペイロードを含むレジストリキーを削除した。その結果、セキュリティ侵害を示す兆候は見られなくなった。

　ハーパズ氏とゴールドバーグ氏は、類似の攻撃を調査して修復するための一連のステップを詳しく説明している。その説明の中で、WindowsおよびLinuxマシンから一元管理される堅牢（けんろう）なサーバへのログ転送を有効にしてログを保護すること、将来の分析に備えて完全なクラッシュダンプを保存するようシステムを構成すること、有益かもしれない証拠を破棄しないように、感染したPCを直ちにクリーンアップするのではなく隔離することを推奨している。

3/14(土) 9:00配信
https://headlines.yahoo.co.jp/hl?a=20200314-00000001-zdn_tt-sci
https://amd.c.yimg.jp/amd/20200314-00000001-zdn_tt-000-1-view.jpg

2 ：名無しさん＠１周年：2020/03/16(月) 01:42:48 ID:cb1tMCys0.net

MS?

3 ：名無しさん＠１周年：2020/03/16(月) 01:42:54 ID:iBzVY1O70.net

産業で頼む

4 ：名無しさん＠１周年：2020/03/16(月) 01:43:35 ID:MwnKalz10.net

ほんと中国って最低の国だな

5 ：名無しさん＠１周年：2020/03/16(月) 01:44:19 ID:0eTDDUJN0.net

通貨ほるだけ？

6 ：名無しさん＠１周年：2020/03/16(月) 01:44:39 ID:fKZHcDEd0.net

これにもアビガン効く？

7 ：名無しさん＠１周年：2020/03/16(月) 01:45:21 ID:ZDD5mECG0.net

き…脆弱性…

8 ：名無しさん＠１周年：2020/03/16(月) 01:46:20 ID:6/2BpFr10.net

知ってる。最後まで見てたら怖い顔と「ギャー！」って声がでる奴でしょ

9 ：名無しさん＠１周年：2020/03/16(月) 01:46:55 ID:/bZoxd9M0.net

>>1
　
▼コロナ汚染国世界トップ１０
　
１ 中国・・・・・・・８０,８４９人 ・死 ３,１９９
２ イタリア・・・・・２１,１５７人 ・死 １,４４１
３ イラン・・・・・・１３,９３８人 ・死 ７２４
４ 韓国・・・・・・・８,１６２人 ・・死 ７５
５ スペイン・・・・・７,７５３人 ・・死 ２９１
６ ドイツ・・・・・・５,６２０人 ・・死 １１
７ フランス・・・・・４,４９９人 ・・死 ９１
８ アメリカ・・・・・３,１２３人 ・・死 ６２
９ スイス・・・・・・２,２１７人 ・・死 １４
10 イギリス・・・・・１,３７２人 ・・死 ３５

17 日本・・・・・・・８１４人・・・・死 ２４
ダイヤモンド Ｐ ・・・６９６人・・・・死 ７

　
▼国内コロナ居住地トップ１０

１ 北海道・・・・１４６人
２ 愛知県・・・・１１８人
３ 大阪府・・・・１０９人
４ 東京都・・・・９０人
５ 兵庫県・・・・７８人
６ 神奈川県・・・５７人
７ 埼玉県・・・・３２人
８ 千葉県・・・・２９人
９ 京都府・・・・１６人
10 和歌山県・・・１５人

※中国人・・・・・１８人
　

10 ：名無しさん＠１周年：2020/03/16(月) 01:50:44 ID:GFD0eenw0.net

WAVなんかでもあるんだな
もう十数年ぐらい前にID3タグに仕込まれたスクリプトでMACに感染するウイルスは聞いたことあるけど

11 ：名無しさん＠１周年：2020/03/16(月) 01:50:48 ID:4M5hmKp80.net

ちょっとなにいってるのかわかんないです

12 ：名無しさん＠１周年：2020/03/16(月) 01:56:58 ID:MuBfz0tC0.net

WAV再生すると感染するってこと？
だとしたらプレイヤーによると思うんだけど
それかWAVに見せかけた実行ファイルなのかな

13 ：名無しさん＠１周年：2020/03/16(月) 01:57:23 ID:a0M5khBf0.net

go windows 10!

14 ：名無しさん＠１周年：2020/03/16(月) 01:59:31 ID:oshQfWSU0.net

なんとか.wav　　　　　　　.exe

15 ：名無しさん＠１周年：2020/03/16(月) 02:01:16 ID:eacBcu8S0.net

>>1
長い 産業で教えて

16 ：名無しさん＠１周年：2020/03/16(月) 02:04:53 ID:/nNq/VlU0.net

>>12
再生しなくても、
PCにそのwavファイルが入り込んだだけで悪さし始めるように思えるけど

17 ：名無しさん＠１周年：2020/03/16(月) 02:09:35 ID:ZDD5mECG0.net

バッファオーバーフロー？

18 ：名無しさん＠１周年：2020/03/16(月) 02:09:59 ID:Kg00Tpmc0.net

太刀悪いな

19 ：名無しさん＠１周年：2020/03/16(月) 02:15:49 ID:LA95eUPz0.net

注意して判るもんじゃねえだろ

20 ：名無しさん＠１周年：2020/03/16(月) 02:26:23 ID:6G72lbOy0.net

WAVなんて今やめったに見かけないだろ

21 ：名無しさん＠１周年：2020/03/16(月) 02:37:01 ID:Kg00Tpmc0.net

>>20
大容量時代になってMP3が廃れてむしろ増えた

22 ：名無しさん＠１周年：2020/03/16(月) 02:50:24 ID:uVRuxlhg0.net

訳者意味分かってなさそうwww

23 ：名無しさん＠１周年：2020/03/16(月) 03:03:07 ID:ix+ezdd50.net

そういえばwinnyやってるときにwaveとかmo3のアルバムアート情報にノートンが反応してたが特に実害がなかったので気にしてなかった
あれキーロガーだったかもしれないな

24 ：名無しさん＠１周年：2020/03/16(月) 03:52:08 ID:vNnqqWSz0.net

長々と書いてあるけど、EternalBlueっていう脆弱性を利用して任意のコードを実行感染するけど、
その際のコードをwavファイルに埋め込んであるって話だよね
でそのEternalBlueはもう何年も前に修正されてるみたいだから、心配する必要はないってことでいいのかな

25 ：名無しさん＠１周年：2020/03/16(月) 03:52:33 ID:v54qrt5y0.net

どうせエクスプローラのプレビュー機能あたりに脆弱性があってwavの中のコードが実行されちゃうんだろ。
エクスプローラは余計なことし過ぎなんだよ。

26 ：名無しさん＠１周年：2020/03/16(月) 05:07:37 ID:ON4H4vqK0.net

wavはプレーンデータに近いけど、ファイル末尾にbase64(ishみたいなもの)埋め込んでセキュリティホールでそれを実行？

27 ：名無しさん＠１周年：2020/03/16(月) 06:09:07 ID:JeMXL3rB0.net

>>24
それっぽい

28 ：名無しさん＠１周年：2020/03/16(月) 06:34:36.24 ID:PSF+rbI80.net

>>24
なるほど
ありがと

29 ：名無しさん＠１周年：2020/03/16(月) 07:24:49 ID:02ziXWHy0.net

動画ファイルを扱う機会がない

30 ：名無しさん＠１周年：2020/03/16(月) 08:26:56 ID:UqNYVRj10.net

ｓｗｆ形式でやり取りすべきだな

31 ：名無しさん＠１周年：2020/03/16(月) 08:37:26.20 ID:r4IBqkPz0.net

これの事じゃないの？
3/13Microsoft、SMBv3の脆弱性を修正するパッチを緊急リリース
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

記事はBSoDの脆弱性を利用した例で任意のコードを実行できるとあるので危険性は高い。
Windows7からWin10に切り替えざるをえないような脆弱性が出るとは思っていたがこれか

32 ：名無しさん＠１周年：2020/03/16(月) 08:48:38 ID:TzbhIhOa0.net

???『Eマイナーでギンガナム部隊の初陣の花火を上げる！』

33 ：名無しさん＠１周年：2020/03/16(月) 08:58:26 ID:EKBa6DtU0.net

弱ったな。　SMBオフにすると生産ログが収集できなくなる。
ポート445をモニターしてブロックするようにプログラム変更すればいいのか？

34 ：名無しさん＠１周年：2020/03/16(月) 09:08:35 ID:3r+O9Aye0.net

これってフリーのギターIRに隠されてたりする

35 ：名無しさん＠１周年：2020/03/16(月) 09:19:29 ID:RsJCjgF80.net

.flacは？

36 ：名無しさん＠１周年：2020/03/16(月) 09:37:22 ID:kBUHa4nN0.net

ポート137-139と445は昔から塞いであるな

37 ：名無しさん＠１周年：2020/03/16(月) 10:29:58 ID:v54qrt5y0.net

>>31
それは違うんじゃない？
それは偽装パケットを投げて誤動作させる手法でしょ。

38 ：名無しさん＠１周年：2020/03/16(月) 13:45:31 ID:vNnqqWSz0.net

>>31
https://www.kaspersky.com/blog/smb-311-vulnerability/33991/
ここ見るとそれはWin7は大丈夫そう
あと攻撃に使われたのはまだ確認されてないってあるから、記事のやつとは別ぽい

39 ：名無しさん＠１周年：2020/03/16(月) 13:51:40 ID:v7Feve7K0.net

別にファイルはなんだっていいんだろ。
wavファイルは、デカいし、コンテナだからやりやすいんだろうけど。