除去不可能なマルウェアと【DOUBLEFANTASY-Equation Group】

2017年4月8日

2015年2月にショッキングなニュースが届いた。アメリカの保険会社Anthemからの8000万件の情報漏洩し、NSAが大手SIMメーカーのGemaltoハッキングしていたのだ。

Ads by Google

Ads by Google

ターゲット

ハードディスクのファームウェアを書き換え、除去も不可能なマルウェアで、これは、Reginをも超える脅威だが、現時点で普通の民間人が対象になるとは考えにくい。

OSの初期化、フォーマットして再起動する事で以前の様に正常に使えるのが従来のウィルスであったりマルウェアだった。今回Equation Groupが実行した事はこれら全てが無意味になり、そのPCをHDを破棄し、新たに新品のPCを用意しなければならないことだ。つまり、一度感染すれば、検知不能、除去不能というその機器ごと破棄する必要がる。

EQUATIONDRUGのプラグイン:Seagate、Maxtor、Western Digital、Samsung

GRAYFISHのプラグイン:HGST、Toshibaなども加えた12カテゴリ

  • セミナーが開催され主催者から郵送されたCD-ROMからの感染(主催者から送られたCDのすり替え)
  • OracleのインストールCDから感染

ロイターは、Equation GroupをNSA(米国家安全保障局)と断定している。

サイトRussian researchers expose breakthrough U.S. spying program

ターゲットが政府や外交機関、重工業企業、軍、イスラム活動家や学者などである事やStuxnetが使用するゼロデイ攻撃などを類推した結果だ。

エドワード・スノーデン氏が暴露した情報にEquation Groupの正体がNSAであることを示唆する内容がある。

Equation Group

Equation Groupの使用するマルウェア/プラットフォームを7種類紹介し、そのうち4つ解説されている。

1.DOUBLEFANTASY

DOUBLEFANTASYは、PCにバックドアを設けてCommand & Controlサーバーと通信する。感染したPCが興味深い相手であるかどうか評価する。ターゲットになる価値がある可能性があるPCならバックドアを維持。

2.EQUATIONDRUG

OSのWindows 7以降には対応していないが、DOUBLEFANTASYが感染PCを価値ある相手と評価した場合、EQUATIONDRUGのインストーラーを送信。

EQUATIONDRUGが盗み取った情報は、Windows\Fontsフォルダーに暗号化しフォントファイルに偽装した上で置かれ、後に、Command & Controlサーバーに送信。秀逸なのは、Command & Controlサーバーとの通信が数カ月途絶えると自己破壊し痕跡を消す機能も付与される周到さだった。

3.GRAYFISH

OSのWindows NT 4.0~Windows 8の32bit/64bitに対応。OSの起動時に確実にマルウェアを実行させる為PCの起動時にブートレコード介入しコードを追加しVBR(Volume Boot Record)を書き換える。今後はOS単体での起動が出来なくなり、GRAYFISHが各起動プロセスを実行支配し、動的に必要な変更していく。

万が一エラーで起動できない場合も自分を自動で破壊する。

4.FANNY

外部ネットワークから遮断されたクローズドネットワークに効果的なマルウェア。USBメモリを利用する。FANNYに感染したUSBメモリがPCに挿されると、システムやネットワークの情報を収集し、USBメモリ上に作成された隠し領域に保存する。最終的にUSBメモリがインターネットに接続しているPCに挿され瞬間、情報をCommand & Controlサーバーに送信、Command & Controlサーバーから必要な応答指令を受けてUSB内の隠し領域に保存する。同様にクローズドネットワークのPCに接続され同様の手順を繰り返す。

この動作手順はStuxnetと類似性が高いものである。

終わりに

現在のWindowsでは、信頼できないコードのカーネルモードでの実行はブロックされるため、ドライバーの脆弱性を悪用してこれを回避する。

サイトEQUATION GROUP:QUESTIONS ANDANSWERS