各位
https://www.jpcert.or.jp/at/2017/at170012.html
I. 概要
JPCERT/CC では、USB ストレージに保存されたデータを窃取するサイバー攻撃に関する情報を受け取りました。攻撃者は、何らかの方法で端末をマルウエアに感染させます。感染した端末に USB ストレージを接続した場合、USB ストレージ内のファイル一覧が自動的に生成され、情報を選別した上で窃取することが可能となります。
本手法を悪用することにより、クローズドネットワーク内で情報を管理している場合でも、USB ストレージ内に保存した機密情報の窃取を行うことが可能と考えられます。
管理者は、組織内の端末において、不正なプログラムが稼働していないかを確認するとともに、組織内におけるUSB ストレージを用いた情報の取り扱いについても見直すことをご検討ください。
II. 報告のあった攻撃手法
(1) 攻撃者はインターネット接続された端末をマルウエアに感染させます。(2) USB ストレージが、感染した端末にマウントされると、USB ストレージ内
のファイル一覧が端末内に生成されます。(3) 攻撃者は、生成されたファイル一覧を確認し、標的とするファイルのリス
トを感染している端末内に作成します。(4) (3) で作成したファイルリストに基づき、USB ストレージ内の標的とした
ファイルが圧縮された状態で感染端末内に保存されます。(5) 攻撃者は、マルウエアに感染させた別の端末から圧縮ファイルを細分化し
た上で、外部へ送信します。
USB ストレージ内のファイル一覧を確認するマルウエアの特徴は次の例に挙げた通りです。なお、攻撃対象となる端末の構成によって、ファイル構成は、変化する可能性があります。
・「C:\intel\logs」や、「C:\Windows\system32」フォルダの配下に、次のよ
うなファイルが設置される
- 正規の実行ファイルに類似した名前の実行ファイル
intelUPD.exe, intelu.exe, IgfxService.exe
- 生成されたファイルリスト
interad.log, slog.log
- 窃取のために圧縮されたファイル
III. 対策
インターネットにアクセス可能な端末にて、USB ストレージを用いて情報の取り扱いを実施している場合に、注意が必要となります。「II. 報告のあった攻撃手法」に記載したファイルが確認できた場合には、マルウエア感染の可能性があるため、JPCERT/CC までご連絡ください。
USB ストレージを用いて情報を取り扱う場合には、情報の重要度に応じて、インターネットから切り離された端末にて取り扱うことや、ファイルの暗号化を行うなど、運用を見直すことを検討してください。
遠隔からの操作など攻撃者の活動の痕跡をログから確認することも推奨します。ログ確認の方法は、次のドキュメントなどを参考にしてください。
JPCERT/CC
高度サイバー攻撃への対処におけるログの活用と分析方法
https://www.jpcert.or.jp/research/apt-loganalysis.html
IV. 参考情報
@Police
サイバー攻撃に関する注意喚起について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20170330.pdf
V. 本件に関するお問い合わせ先
JPCERT/CC インシデントレスポンスグループTel: 03-3518-4600 Fax: 03-3518-2177E-mail: info@jpcert.or.jp
JPCERT/CC 早期警戒グループTel: 03-3518-4600 Fax: 03-3518-4602E-mail: ww-info@jpcert.or.jp
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600 FAX: 03-3518-4602
JPCERT-AT-2017-0012
JPCERT/CC
2017-03-30
JPCERT/CC Alert 2017-03-30
USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起https://www.jpcert.or.jp/at/2017/at170012.html
I. 概要
JPCERT/CC では、USB ストレージに保存されたデータを窃取するサイバー攻撃に関する情報を受け取りました。攻撃者は、何らかの方法で端末をマルウエアに感染させます。感染した端末に USB ストレージを接続した場合、USB ストレージ内のファイル一覧が自動的に生成され、情報を選別した上で窃取することが可能となります。
本手法を悪用することにより、クローズドネットワーク内で情報を管理している場合でも、USB ストレージ内に保存した機密情報の窃取を行うことが可能と考えられます。
管理者は、組織内の端末において、不正なプログラムが稼働していないかを確認するとともに、組織内におけるUSB ストレージを用いた情報の取り扱いについても見直すことをご検討ください。
II. 報告のあった攻撃手法
(1) 攻撃者はインターネット接続された端末をマルウエアに感染させます。(2) USB ストレージが、感染した端末にマウントされると、USB ストレージ内
のファイル一覧が端末内に生成されます。(3) 攻撃者は、生成されたファイル一覧を確認し、標的とするファイルのリス
トを感染している端末内に作成します。(4) (3) で作成したファイルリストに基づき、USB ストレージ内の標的とした
ファイルが圧縮された状態で感染端末内に保存されます。(5) 攻撃者は、マルウエアに感染させた別の端末から圧縮ファイルを細分化し
た上で、外部へ送信します。
USB ストレージ内のファイル一覧を確認するマルウエアの特徴は次の例に挙げた通りです。なお、攻撃対象となる端末の構成によって、ファイル構成は、変化する可能性があります。
・「C:\intel\logs」や、「C:\Windows\system32」フォルダの配下に、次のよ
うなファイルが設置される
- 正規の実行ファイルに類似した名前の実行ファイル
intelUPD.exe, intelu.exe, IgfxService.exe
- 生成されたファイルリスト
interad.log, slog.log
- 窃取のために圧縮されたファイル
III. 対策
インターネットにアクセス可能な端末にて、USB ストレージを用いて情報の取り扱いを実施している場合に、注意が必要となります。「II. 報告のあった攻撃手法」に記載したファイルが確認できた場合には、マルウエア感染の可能性があるため、JPCERT/CC までご連絡ください。
USB ストレージを用いて情報を取り扱う場合には、情報の重要度に応じて、インターネットから切り離された端末にて取り扱うことや、ファイルの暗号化を行うなど、運用を見直すことを検討してください。
遠隔からの操作など攻撃者の活動の痕跡をログから確認することも推奨します。ログ確認の方法は、次のドキュメントなどを参考にしてください。
JPCERT/CC
高度サイバー攻撃への対処におけるログの活用と分析方法
https://www.jpcert.or.jp/research/apt-loganalysis.html
IV. 参考情報
@Police
サイバー攻撃に関する注意喚起について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20170330.pdf
V. 本件に関するお問い合わせ先
JPCERT/CC インシデントレスポンスグループTel: 03-3518-4600 Fax: 03-3518-2177E-mail: info@jpcert.or.jp
JPCERT/CC 早期警戒グループTel: 03-3518-4600 Fax: 03-3518-4602E-mail: ww-info@jpcert.or.jp
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600 FAX: 03-3518-4602
前
コメント
共 有
