Hacking Teamの侵害がセキュリティ研究者に予想外の洞察をもたらす - TechRepublic

今年 7 月のある週末、セキュリティの専門家やテクノロジーメディアはほとんど眠れなかった。

「日曜の夜、正体不明のハッカーたちが、ミラノに拠点を置くハッキングチームの内部文書を400ギガバイトに及ぶ膨大な量のデータとしてBitTorrentで公開した。同社は長年、政府が標的のコンピューターや携帯電話に侵入するのを支援するツールを不正に販売したとして非難されてきた企業だ」とWIREDのアンディ・グリーンバーグは記している。「流出したデータには、幹部のメール、顧客への請求書、さらにはソースコードまで含まれていた。同社のTwitterフィードもハッキングされ、侵入者によって12時間近く制御され、ハッキングされたファイルのサンプルを配布するために利用された。」

Malwarebytes の上級セキュリティ研究者 2 人、Jean Taggart 氏と Jérôme Segura 氏は、この猛攻撃を回避し、デジタル暗黒街の仕組みを観察できる貴重な機会を活用しました。特に、攻撃者がエクスプロイトの概念実証情報をいかに速く入手し、それを実用的なマルコードに変換するかを観察しました。

Hacking Teamの400ギガバイトに及ぶデータの中から、研究者たちはこれまで知られていなかった3つのエクスプロイトを発見しました。2つはFlash Playerに関するもので、1つはWindowsカーネルに関するものでした。タグガート氏とセグラ氏は、Flash Playerの脆弱性の一つであるCVE-2015-5119に注目しました。

タグガート氏は電話での会話の中で、「私たちが最初に気付いたことの 1 つは、ハッキングチームが、ゼロデイマルウェアを独自に発見して開発する技術的能力がない顧客も対象ユーザーであるかのように、エクスプロイトに関する情報 (以下に示す ReadMe ファイルの一部) を明確かつ簡潔に提示していたことです」と述べています。

1. BACKGROUND http://en.wikipedia.org/wiki/Adobe_Flash_Player


2. DESCRIPTION

The UaF memory coruption exists inside the AS3 "opaqueBackground property

setter of the flash.display.DisplayObject class.

http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/display
The DisplayObject source code is not published like the core AS3 classes, so

you have to view opaqueBackground setter in your dissassembler.
TODO: low-level details.

3. AFFECTED SOFTWARE Adobe Flash PLayer 9+ 32/64-bit (since Jun 2006)

そして善人と悪人の競争が始まった

セグラとタガートはすぐに、絶好のチャンスが訪れたことに気づいた。悪意のある者と善意の者が同時にエクスプロイトの存在を知ったのだ。パッチかマルウェアか、どちらが先になるだろうか？以下は、CVE-2015-5119の脆弱性をめぐる競争のタイムラインだ。

2015年7月6日（太平洋夏時間12時頃）： Hacking Teamのデータ漏洩と400ギガバイトのデータが盗まれたことが公表された。タグガートとセグラはデータをダウンロードし、何か有用な情報を探し始めた。

2015 年 7 月 6 日: セキュリティ研究者の webDEViL (@w3bd3vil) が、CVE-2015-5119 Flash ゼロデイと上記の ReadMe ファイルを参照するツイートを送信しました。

その後、セグラとタガートは作業に取り掛かりました。二人は複数のテスト用コンピュータにMalwarebytes Anti-Exploitプログラムを追加しました。こうすることで、テスト用コンピュータが乗っ取られた場合、Anti-Exploitが研究者にテレメトリを送信し、マルウェアの起動をブロックしてくれるはずです。そして研究者たちは、テスト用コンピュータを特定のウェブサイトに誘導しました。（これらのウェブサイトについては、私が知っている限りでは、避けるのが最善です。）

CVE-2015-5119エクスプロイトはゼロデイ脆弱性であるため、タグガート氏にAnti-Exploitがどのように脆弱性を発見するのかを尋ねた。「Anti-Exploitはコードの一部を特定することに依存しません」とタグガート氏は述べた。「Anti-Exploitはコンピューターの正常な動作を基準とし、異常な動作をすべて報告します。」

2015年7月7日（太平洋夏時間15時23分）：マルウェアが報告されました。SeguraはNeutrinoエクスプロイトキットによる攻撃を記録しました。さらに重要なのは、このエクスプロイトキットがCVE-2015-5119の脆弱性を悪用していたことです。下のスクリーンショットでは、左側に「保護技術：ヒープメモリからのエクスプロイトコードの実行がブロックされました」と囲む赤い四角形に注目してください。これは興味深いもので、その理由は後ほど説明します。

2015年7月7日（太平洋夏時間15時40分）：新たなエクスプロイトキットを発見しました。Taggart氏によると、すぐに「保護技術：エクスプロイトスタックピボットの試みをブロック」という異なるメッセージに気づいたとのことです。これは別のエクスプロイトキットの存在を示しており、今回の場合はAnglerと呼ばれるもので、CVE-2015-5119も組み込まれていました。

日が進むにつれて、さらに多くのエクスプロイトキットが捕捉されました。

2015年7月8日（太平洋夏時間12:13）：ついにパッチが公開されました。ブライアン・クレブス氏によると、AdobeがFlash Player 18.0.0.203の脆弱性を修正するアップデートを公開したとのことです。タグガート氏によると、AdobeのアップデートによってCVE-2015-5119のゼロデイ脆弱性は解消されたとのことです。しかしながら、誰もがプログラムを最新の状態に保つことに熱心ではないため、この脆弱性は当面の間、有効なままとなるでしょう。

これはどういう意味ですか？

これが何を意味するのかと尋ねられたタガート氏は、私がデジタル市民として尋ねているのか、セキュリティ研究者として尋ねているのかによって答えは異なると警告した。インターネット利用者として、彼は懸念を抱いている。犯罪者は、ほとんどの人が想像するよりも早く、機能するマルウェアを作り上げ、世界中に拡散させることができるのだ。

セキュリティ研究者である彼は、彼らが発見した事実に大変興奮しています。具体的な内容を尋ねたところ、彼が挙げたリストがこれです。

エクスプロイトキットが発見されてから動作するまでに要した時間は 1 日であったため、アンダーグラウンドには有能なコーダーのチームが待機しているに違いありません。
攻撃者は、マルコードのスニペットを自由に追加できる、侵害された Web サーバーの大規模なネットワークを持っている必要があります。
エクスプロイトキットの開発者は、パッチが利用可能かどうかについてそれほど懸念していません。Adobeがアップデートを公開してから約2週間後に、新たなエクスプロイトキットが発見されました。

これがシステムにとって何を意味するかというと、善良な人々にとって良い兆候とは言えません。公平な競争であれば、善良な人々はパッチのリリース、というかパッチの提供開始（まだインストールが必要です）に丸一日遅れていることになります。問題は、悪者がほとんど、あるいは全くフェアな行動をとらないことです。