■ このスレッドは過去ログ倉庫に格納されています
【PC】WAVファイルに隠されたマルウェア(クリプトマイナー)に注意
- 1 :樽悶 ★:2020/03/16(月) 01:42:18 ID:nC/nVcsL9.net
- Guardicore Labsによると、被害者のネットワークをクリプトマイナーに感染させる媒体としてWAV形式の音声ファイルが悪用され、インターネットに拡散されているという。同社は2020年1月、某医療テクノロジー企業を襲ったインシデント(2019年12月)に関する発表を行った。
WAVファイル(またはWAVEファイル)はWindowsの他形式のファイルと同様、コンテナを使ってデータに手を加えず、多くの場合各単位を圧縮しないで音声データを格納する。MP3などの他の音声ファイルよりサイズが圧倒的に大きくなることが多いが、最適な音質が保たれるためプロのミュージシャンやプロデューサーに広く利用されている。
Guardicore Labsの研究者オフィール・ハーパズ氏とダニエル・ゴールドバーグ氏によると、ネットワークに感染したのはWAVファイル内に人気の高い暗号通貨「Monero」のクリプトマイナーを隠し、高度に難読化されたマルウェアだったという。
ハッカーは、2017年の「WannaCry」の大流行によってその名を広めた攻撃ツール「EternalBlue」を悪用することで、「Windows 7」PCにマルウェアを感染させて標的の企業での増殖を試みた。
2019年10月、標的企業の複数のWindows 7 PCがカーネルモードのエラーを示す「Blue Screen of Death」(BSoD、死のブルースクリーン)の犠牲になった。これをきっかけに、各企業はGuardicore Labsの支援を受けた。
これらのPCは、アナリストの役に立つカーネルメモリダンプを保存するように構成されていなかった。だが詳しい検査により、不審なデータにアクセスする長いコマンドラインが実行されていたことが1台のPCのレジストリキーで分かった。他の800台を超えるPC(被害を受けたネットワークのPCの半数)にも異常なデータが存在していた。
これは、Base64でエンコードされたPowerShellスクリプトの結果であることが判明した。スクリプトのタイトルは「An Unknown Malware」で、エンコード後でもデコード後でもオンラインで利用できることが分かった。
調査の結果、攻撃者はポート445でサブネットスキャンを実行し、悪意のあるペイロードを他のホストに拡散しようと試みたことが判明した。ネットワーク全体を水平方向に拡散するためにEternalBlueを使っていたことも分かった。
ハーパズ氏とゴールドバーグ氏は情報を公開したブログに次のように記している。「この発見によって、今後エンドポイントにあるPCの全てのSMB(Server Message Block)トラフィックをブロックすることが推奨される」
「当社はマルウェアペイロードをリバースエンジニアリングして、多層化された実行可能ファイルを検出した。このペイロードを実行すると、ペイロード自身のモジュールを次々と展開してその展開済みコードを各イテレーションで実行する」
「このマルウェアは、オープンソースのCPUマイナー『XMRig』をベースとするクリプトマイニングモジュールを含む。このモジュールはMoneroのマイニングに『CryptonightR』アルゴリズムを使用する。さらに、マルウェアはステガノグラフィーを利用して悪意のあるモジュールを無害そうなWAVファイルの内部に隠す。この手口は最近報告されたものだが、完全な攻撃フローの一部として発見されたのはこれが初めてだ」
Guardicore Labsはこの攻撃から修復するために、まずマルウェアを削除して悪意のあるプロセスを停止して、バイナリペイロードを含むレジストリキーを削除した。その結果、セキュリティ侵害を示す兆候は見られなくなった。
ハーパズ氏とゴールドバーグ氏は、類似の攻撃を調査して修復するための一連のステップを詳しく説明している。その説明の中で、WindowsおよびLinuxマシンから一元管理される堅牢(けんろう)なサーバへのログ転送を有効にしてログを保護すること、将来の分析に備えて完全なクラッシュダンプを保存するようシステムを構成すること、有益かもしれない証拠を破棄しないように、感染したPCを直ちにクリーンアップするのではなく隔離することを推奨している。
3/14(土) 9:00配信
https://headlines.yahoo.co.jp/hl?a=20200314-00000001-zdn_tt-sci
https://amd.c.yimg.jp/amd/20200314-00000001-zdn_tt-000-1-view.jpg
- 2 :名無しさん@1周年:2020/03/16(月) 01:42:48 ID:cb1tMCys0.net
- MS?
- 3 :名無しさん@1周年:2020/03/16(月) 01:42:54 ID:iBzVY1O70.net
- 産業で頼む
- 4 :名無しさん@1周年:2020/03/16(月) 01:43:35 ID:MwnKalz10.net
- ほんと中国って最低の国だな
- 5 :名無しさん@1周年:2020/03/16(月) 01:44:19 ID:0eTDDUJN0.net
- 通貨ほるだけ?
- 6 :名無しさん@1周年:2020/03/16(月) 01:44:39 ID:fKZHcDEd0.net
- これにもアビガン効く?
- 7 :名無しさん@1周年:2020/03/16(月) 01:45:21 ID:ZDD5mECG0.net
- き…脆弱性…
- 8 :名無しさん@1周年:2020/03/16(月) 01:46:20 ID:6/2BpFr10.net
- 知ってる。最後まで見てたら怖い顔と「ギャー!」って声がでる奴でしょ
- 9 :名無しさん@1周年:2020/03/16(月) 01:46:55 ID:/bZoxd9M0.net
- >>1
▼コロナ汚染国世界トップ10
1 中国・・・・・・・80,849人 ・死 3,199
2 イタリア・・・・・21,157人 ・死 1,441
3 イラン・・・・・・13,938人 ・死 724
4 韓国・・・・・・・8,162人 ・・死 75
5 スペイン・・・・・7,753人 ・・死 291
6 ドイツ・・・・・・5,620人 ・・死 11
7 フランス・・・・・4,499人 ・・死 91
8 アメリカ・・・・・3,123人 ・・死 62
9 スイス・・・・・・2,217人 ・・死 14
10 イギリス・・・・・1,372人 ・・死 35
17 日本・・・・・・・814人・・・・死 24
ダイヤモンド P ・・・696人・・・・死 7
▼国内コロナ居住地トップ10
1 北海道・・・・146人
2 愛知県・・・・118人
3 大阪府・・・・109人
4 東京都・・・・90人
5 兵庫県・・・・78人
6 神奈川県・・・57人
7 埼玉県・・・・32人
8 千葉県・・・・29人
9 京都府・・・・16人
10 和歌山県・・・15人
※中国人・・・・・18人
- 10 :名無しさん@1周年:2020/03/16(月) 01:50:44 ID:GFD0eenw0.net
- WAVなんかでもあるんだな
もう十数年ぐらい前にID3タグに仕込まれたスクリプトでMACに感染するウイルスは聞いたことあるけど
- 11 :名無しさん@1周年:2020/03/16(月) 01:50:48 ID:4M5hmKp80.net
- ちょっとなにいってるのかわかんないです
- 12 :名無しさん@1周年:2020/03/16(月) 01:56:58 ID:MuBfz0tC0.net
- WAV再生すると感染するってこと?
だとしたらプレイヤーによると思うんだけど
それかWAVに見せかけた実行ファイルなのかな
- 13 :名無しさん@1周年:2020/03/16(月) 01:57:23 ID:a0M5khBf0.net
- go windows 10!
- 14 :名無しさん@1周年:2020/03/16(月) 01:59:31 ID:oshQfWSU0.net
- なんとか.wav .exe
- 15 :名無しさん@1周年:2020/03/16(月) 02:01:16 ID:eacBcu8S0.net
- >>1
長い 産業で教えて
- 16 :名無しさん@1周年:2020/03/16(月) 02:04:53 ID:/nNq/VlU0.net
- >>12
再生しなくても、
PCにそのwavファイルが入り込んだだけで悪さし始めるように思えるけど
- 17 :名無しさん@1周年:2020/03/16(月) 02:09:35 ID:ZDD5mECG0.net
- バッファオーバーフロー?
- 18 :名無しさん@1周年:2020/03/16(月) 02:09:59 ID:Kg00Tpmc0.net
- 太刀悪いな
- 19 :名無しさん@1周年:2020/03/16(月) 02:15:49 ID:LA95eUPz0.net
- 注意して判るもんじゃねえだろ
- 20 :名無しさん@1周年:2020/03/16(月) 02:26:23 ID:6G72lbOy0.net
- WAVなんて今やめったに見かけないだろ
- 21 :名無しさん@1周年:2020/03/16(月) 02:37:01 ID:Kg00Tpmc0.net
- >>20
大容量時代になってMP3が廃れてむしろ増えた
- 22 :名無しさん@1周年:2020/03/16(月) 02:50:24 ID:uVRuxlhg0.net
- 訳者意味分かってなさそうwww
- 23 :名無しさん@1周年:2020/03/16(月) 03:03:07 ID:ix+ezdd50.net
- そういえばwinnyやってるときにwaveとかmo3のアルバムアート情報にノートンが反応してたが特に実害がなかったので気にしてなかった
あれキーロガーだったかもしれないな
- 24 :名無しさん@1周年:2020/03/16(月) 03:52:08 ID:vNnqqWSz0.net
- 長々と書いてあるけど、EternalBlueっていう脆弱性を利用して任意のコードを実行感染するけど、
その際のコードをwavファイルに埋め込んであるって話だよね
でそのEternalBlueはもう何年も前に修正されてるみたいだから、心配する必要はないってことでいいのかな
- 25 :名無しさん@1周年:2020/03/16(月) 03:52:33 ID:v54qrt5y0.net
- どうせエクスプローラのプレビュー機能あたりに脆弱性があってwavの中のコードが実行されちゃうんだろ。
エクスプローラは余計なことし過ぎなんだよ。
- 26 :名無しさん@1周年:2020/03/16(月) 05:07:37 ID:ON4H4vqK0.net
- wavはプレーンデータに近いけど、ファイル末尾にbase64(ishみたいなもの)埋め込んでセキュリティホールでそれを実行?
- 27 :名無しさん@1周年:2020/03/16(月) 06:09:07 ID:JeMXL3rB0.net
- >>24
それっぽい
- 28 :名無しさん@1周年:2020/03/16(月) 06:34:36.24 ID:PSF+rbI80.net
- >>24
なるほど
ありがと
- 29 :名無しさん@1周年:2020/03/16(月) 07:24:49 ID:02ziXWHy0.net
- 動画ファイルを扱う機会がない
- 30 :名無しさん@1周年:2020/03/16(月) 08:26:56 ID:UqNYVRj10.net
- swf形式でやり取りすべきだな
- 31 :名無しさん@1周年:2020/03/16(月) 08:37:26.20 ID:r4IBqkPz0.net
- これの事じゃないの?
3/13Microsoft、SMBv3の脆弱性を修正するパッチを緊急リリース
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
記事はBSoDの脆弱性を利用した例で任意のコードを実行できるとあるので危険性は高い。
Windows7からWin10に切り替えざるをえないような脆弱性が出るとは思っていたがこれか
- 32 :名無しさん@1周年:2020/03/16(月) 08:48:38 ID:TzbhIhOa0.net
- ???『Eマイナーでギンガナム部隊の初陣の花火を上げる!』
- 33 :名無しさん@1周年:2020/03/16(月) 08:58:26 ID:EKBa6DtU0.net
- 弱ったな。 SMBオフにすると生産ログが収集できなくなる。
ポート445をモニターしてブロックするようにプログラム変更すればいいのか?
- 34 :名無しさん@1周年:2020/03/16(月) 09:08:35 ID:3r+O9Aye0.net
- これってフリーのギターIRに隠されてたりする
- 35 :名無しさん@1周年:2020/03/16(月) 09:19:29 ID:RsJCjgF80.net
- .flacは?
- 36 :名無しさん@1周年:2020/03/16(月) 09:37:22 ID:kBUHa4nN0.net
- ポート137-139と445は昔から塞いであるな
- 37 :名無しさん@1周年:2020/03/16(月) 10:29:58 ID:v54qrt5y0.net
- >>31
それは違うんじゃない?
それは偽装パケットを投げて誤動作させる手法でしょ。
- 38 :名無しさん@1周年:2020/03/16(月) 13:45:31 ID:vNnqqWSz0.net
- >>31
https://www.kaspersky.com/blog/smb-311-vulnerability/33991/
ここ見るとそれはWin7は大丈夫そう
あと攻撃に使われたのはまだ確認されてないってあるから、記事のやつとは別ぽい
- 39 :名無しさん@1周年:2020/03/16(月) 13:51:40 ID:v7Feve7K0.net
- 別にファイルはなんだっていいんだろ。
wavファイルは、デカいし、コンテナだからやりやすいんだろうけど。
総レス数 39
11 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★