土曜日, 4月 23, 2011

【マルウェアレポート】日本国内にメールに添付されたマルウェアの情報(3月~4月)

本件のレポートはK-SHIELDメールフィルターアプライアンスでフィルターされたマルウェア情報となります。
マルウェアスキャンエンジンはKaspersky(リアルタイム)とClamAV(隔離スキャン)を使っています。
今回全国データの参考が出来るように3台K-SHIELDフィルターデータが集めました、①関西(神戸)、②関東(東京)と③東北(福島)です。詳細情報は下記となります

(1)最近のボットネット動き情報

Background:
何故かボットネットの動きを参考にしなければならないかというと、経験ではボットネットとマルウェアのトレンドの関係が非常にあります。ボットネットはご存知なようにイコールマルウェア感染センターとスパムメールディストリビューションセンターですね、ボットネットのトレンドが越えた時に何だかマルウェア事件とスパムメールの数も超えると確認が何回も出来ました。
前回のアップしたブログ内容を見たら分かりやすいかと思います。重要なデータは下記となります。

1.1.ボットのコントロールセンター(CC)の数とトレンド情報

※↑左側は最新6ヶ月のトレンド、右側は週間のトレンドの中に最新情報です。

先ずはボットネットCCとは、ボットネットセンターと思って下さい。このグラフの意味は発見されたCCの数です。上記のグラフ情報を見たら4月頭からボットネットCCの数が増えて来ました。
週間のグラフを開いたらトレンドが明確に見えます。1日大体~30本のCC動きが越えて発見されています。http://www.blogger.com/img/blank.gif

1.2.ボットネット軍団の数とトレンド情報

※↑左側は最新6ヶ月のトレンド、右側は週間のトレンドの中に最新情報です。

ボットネット軍団の数とは(分かりやすくように「軍団」との単語を使わせて頂きますね)、英語ですとボットネットぼボリュームだと言うんです。これは単純にボットネットの大きさ数です、どのぐらいボット・マシンの台数があります。
ボットネットワークの中に台数が多いほど感染力が強くなり、スパムメールをもっと沢山送れます。
上記の2つグラフを見たらボットネット軍団の台数が下げました、ですが、大した下がった数字になってません、現時点では大体平均で55,000台数ボットネットマシン(zombieマシン)が動いています。

この数だけを見たら、どんな問題が起きるかと、例えば1台のボットマシンが1時間当たり20通スパムメールを送ると1日では55,000台ボット軍団だと26,400,000通スパムメールを送れます!
※結論では、ボットネットのCCが増えた、ボットネットネットワークにあるボット台数が未だ多い状況です。

(2)マルウェアメールのトレンド

上記にはボットネットの情報を説明しました。その状況の上でメールに添付されたマルウェア(マルウェアメール)がどの状況でしょうか?
下記最新スキャンされたメールマルウェア情報、honeypotプロジェクトからの情報です。http://www.blogger.com/img/blank.gif

※↑左側はスキャンが出来たマルウェア、右側はスキャンが出来ないマルウェア
※上記のグラフの中に4月が未だ途中ですので未だ参考になりません。
※新しいマルウェア種類が沢山出ていました。スキャン出来ないマルウェアとは、直ぐに検知が出来ないマルウェアです、昨年後半から増えて来たが今年頭から数が少なくなりますが、スキャンが出来たの数も今年頭から増えて来ました。これの意味合いではマルウェア犯罪とマルウェア対策会社が頑張っていますね、昨年頭よりも今年の頭から沢山マルウェアが発見されていますが、アンチマルウェア会社のレスポンスが良くなるかと思われます。
※↑マルウェア犯罪グルップ対マルウェア対策グルップのバトルの中にどれが勝ちかと現時点の状況です。3月と4月のトレンドを見たら新規マルウェアのトレンドが強いと感じます。

(3)日本のマルウェアメールの状況は?

3.1.3月のマルウェアメール譲許↓

日本は3月マルウェア平均レートは0.2%から0.5%迄です。色んなフィルター環境を確認したら非常に少ない数で良かった事かと思います。グラフではこんな感じです↓


3.2.4月のマルウェアメール譲許↓

私は7件位あちこちの全国環境の4月のグラフを見てみましたが、①一番高い感染レートは1.28%です。②一番少ない感染レートは1.13%です。
日本国内には3月からと比べたら大体平均で3倍以上マルウェアメールが発見されています。データ通りでこういう事で明確に確認が出来ました。
次の質問は、何時から?どのマルウェアですか?詳しくは①と②のグラフを下記で一緒に見ましょう↓

①一番高い感染レートの参考環境↓


②一番少ない感染レートの参考環境↓


説明か下記となります↓
※4月の11日~13日にはマルウェアメールの数が非常に超えてしまいました。
※↑その時に疑わしい警告が沢山出てきてリアルタイムでスキャンが出来たマルウェアは下記となります↓

※隔離してからスキャンをすると下記の結果が出ます、新規マルウェア種類です↓

↑上記の2つグラフを見たら、疑わしいオブジェクトが殆ど新規マルウェアですね、全体の検知されたメールマルウェアの~15%です。さらにリアルタイムで検知されたマルウェアが結構世界にあちこちはやっているメールマルウェアだと確認が出来ました。
※全世界も同じマルウェアが流行っている証拠は下記の画像となります↓
※NetworkBoxレスポンスセンター(アジア・オーストラリアとヨロッパ情報)


※NetPilot Gmbhのマルウェアメール情報(ヨロッパ、西ヨロッパ、アメリカサンプルが多い)↓


(4)4月のマルウェアメールのOUTBREAK

この画像をもう一度見て頂きたいです↓

マークされた時期に、実はその時に何かあったのか?アンサーは下記ポイントになります↓
丁度全世界にはPDF添付されたマルウェアのOUTBREAKが流行った時期でした。その時のグラフは下記のようになりました↓


マルウェア数対されたZOMBIEマシン/ボットネットの台数が急に70%迄に増えてきました。それぞれZOMBIEマシンじゃら沢山マルウェアメールのスパムが出していた時期でした。色々データが集まって見ると、インターネットにはその時に、20%~40%のメールトラフィックがマルウェアメールとなりました。
どんなマルウェアかと、このブログに入れた画像通り、ボットネットのトロイと偽AVソフトダウンロードのマルウェアが多かった。どんな形のマルウェアメールかというと、皆さんが見た事があると思いますが⇒①「UPSのDELIVERY」確認の関係のメール又は②「DHL」関係のメール、又は③注文キャンセル確認内容のメールですね。
それぞれのサンプルの中身を見たらPDFマルウェアが添付されていました。
※ご注意ですが、丁度Microsoft社とAdobe社が同じタイミンッグで大きいアップデートがやっている所ですね。
※海外のセキュリティ会社でも同じ時期で似たようなトレンドが起きました

もっと見たいなら、その時のメールサンプルが例えば下記となります↓

↑似たようなサンプルは日本のお客さんに届いたのは多かったです。

又は下記のHTMLメールのサンプルが多いです↓

↑その時期では、このサンプルでは海外で一番発見されていると言われます。ZIPの中にPDFマルウェアが入っています。

さっき迄色んなPDFマルウェアの中身見たら、マルウェアバイナリーはコンパイラーで作られた(Delphi)、面白いのは、バイナリーが暗号化されて、アイコンを変更されたの物と確認しました。詰り、出来たマルウェアバイナリーはそのままでPDFファイル形式に変更して、メールに添付するじゃなくて、暗号されて⇒新しいバイナリーが出来てならアイコンとファイル形式を変更されていると。暗号された目的はウイルス対策ソフトのスキャンをバイパスする為ですね。

ハッカーの世界に良く調べたら上記のプロセスが一発(ワン・クリックで)のマルウェアツールが沢山あります、例えば下記の画像↓

※下記のツールは一番シンプルなルーツ、基本的な暗号機能が入っている、と、EXEからPDFファイル変更が綺麗に出来るマルウェアツール↓


※下記の画像は一番使いにくいツールと思われ、色んなウイルス対策スキャンバイパス機能が持っています、それと、ファイル形式の変更はPDFだけじゃなくて、色んなファイル形式に変更が出来そう↓


(5)レポートの結論

短くにしますので、結論は下記となります↓

5.1. メールに添付されマルウェアにはマルウェアの種類が超えています、新しいマルウェア開発動きがあると確認が出来ました。種類的に第一はトロイ、偽PDF/MSオフィスファイル、それで、ボットネットからRogueAVの関係マルウェアです。
5.2. 日本には4月11日からこのトレンドの影響で始めて把握しています。
5.3. マルウェア対策会社/グルップが4.1.の状況が分かった上で頑張って対応しています。
5.4. 現時点ではしっかりメールマルウェアのフィルター仕組みをちゃんとチェックするべきかと思います。
5.5. ここで詳細証拠が出さないけど、マルウェアメールのソースはボットネット意外なソースですと中国からが多いです。詳しい証拠が欲しいならツイッターでご連絡下さい。
5.6. 日本にあるマルウェア状況が海外の状況にリンクされていますが、海外があるトレンドをしっかりモニターすれば日本はもっと色々守れます。

レポート以上、何かご確認したい事があればツイッターでご連絡して下さい、どうぞ宜しくお願い致します。

----------------------------------------------------
追加情報@Thu Apr 28 18:51:40 JST 2011
----------------------------------------------------
本件のメールマルウェア追加情報ですが下記のポイントとなります↓
⇒4月の感染率が0.7~0.75迄に下がりました、大分落ち着いたみたいです。
⇒新しいメールマルウェアのトロイ種類が発見さました「Trojan-Downloader.Win32.FraudLoad.zbei」、スパムメールscript(@PDF)経由のトロイ・ダウンローダーです。レベルが低いので1台辺りのhoneypotには2~3通サンプルしか発見されてません。
⇒Trojan.Win32.Oficla.mjgの種類が出てきました、新しい種類ではありませんが(3月中旬にITWで発見した)、前回Trojan.Win32.Oficlaと同じ機能が発見さてています。MS-OfficeにembeddedされたVBのトロイですね。このサンプルはパー1台K-SHIELD製品には6~7通が発見しました。


----------------------------------------------------
追加情報@Fri Apr 29 16:22:11 JST 2011
---------------------------------------------------
⇒OUTBREAKの時の説明を増やしました、結構ツイッターで聞かれている質問の内容が入れています。
⇒ボットネット追加台数の割合がshadowserverに確認が取れて、追加内容で書きました。
⇒少しあちこち日本語を直したけど…あんまり時間が無くて…
⇒ゲットしたサンプルのマルウェアの説明を追加しました、マルウェア作ったツールの情報を追加しました

---
本件のレポートがコラボレーションで作りました。
ゼロデイ・ジャパン http://0day.jp ⇒ レポートコンパイル作成
株式会社ケイエルジェイテック http://www.kljtech.com ⇒ 情報ソース
compiled by:アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿