サイバースパイを行うハッカー達は盗んだデジタル認証使ってデータを盗んでいます。ハッカーたちはどのようにして一連の攻撃でPleadマルウェアの署名を行ったのか、専門家のマイケル・コブがその手口をお伝えします。

あるスパイグループは盗んだデジタル認証を使ってPlaedマルウェアに署名して、東アジアでの攻撃にも使用されたパスワードスティーラーコンポーネントを使っていました。今回の攻撃の手口とは、また、どのようにデジタル認証を盗んだのでしょうか。

ユーザがインターネットからダウンロードするソフトウェアの信頼性の保証求める機運がだんだんと高まっています。コード署名認証がコンテンツのソースを承認することで、開発者はダウンロード・インストールされるソフトウェアに対して、ある程度の保証を加えることができます。誰がそのソフトウェアを公開しているのか、そしてソフトウェアの内容の完全性について、署名された時点から改変されていないことを証明して担保します。これはいわばソフトウェアを仮想的に梱包する仕組みであり、署名された後にコードに変更があるとデジタル署名は失効します。

ウェブサーバのTLS認証とは違い、コード署名認証は無料ではありません。CA（認証局）が詳細な検査を行い、開発者または開発企業が提供する情報が正しく、信頼できるものか確認します。

コード署名認証ではコード開発者を特定する情報は確認できるものの、彼らが信用できるのか必ずしも保証するものではありません。しかし悪意のあるコードを配布している開発者の特定と追跡がとても簡単になるので、CAへの登録義務は攻撃主たちの回避に非常に有効なのです。しかしそれはまた、盗んだコード署名認証の魅力を高めることにもなります。盗まれたにも関わらず有効な認証署名を使って、ハッカーは悪意のあるコードを外見上信頼できるものに仕立てられます。

こうして署名を受けたマルウェアは、ユーザとウイルス対策ソフトといったセキュリティ管理の両方から認証されているように見えるため、ダウンロードされて使用される見込みが格段に増します。2010年に発見されたあのStuxnetワームには台湾に拠点を置くテクノロジー会社のRealtek社とJMicron社から盗まれたデジタル認証がいくつか使用されていました。

盗まれたデジタル認証は台頭しているフィッシング攻撃の一部に使用され、遠隔操作でバックドアを仕掛けるPleadマルウェアと、Google Chrome、Microsoft Internet Explorer、Microsoft Outlook、Mozilla Firefoxで保存されているパスワードを収集するように設計されたパスワードスティーラーの拡散に繋がっていることをESET社の研究者たちが発見しました。

Pleadマルウェアは小さく暗号化されたバイナリ・ブロブを遠隔のサーバからダウンロードしたり、ローカルディスクから展開したりします。このバイナリブロブはシェルコードを含み、完全なバックドアモジュールをダウンロードし、それを実行することで感染したシステムのパーシステンスを維持します。

PleadがダウンロードしたファイルはD-Link Systems社および Changing Information Technology社のコード署名認証を使って、有効なデジタル署名がされていました。なので、D-Linkは悪用されたデジタル認証を取り消し、さらにChanging Information Technology社の認証も2017年7月4日に取り消されました。

Plead攻撃の背後にいると思われる、卓越した技術を持つサイバースパイチームBlackTechグループは、取り消された認証を使ったマルウェアの署名を引き続き利用可能にしています。一部のプログラムはただコードが署名済みか否かをチェックするだけで、本当に妥当なコード署名認証なのかをチェックしないからです。

本物の企業によるコード署名認証を盗むには相当な技量が要求されます。そしてTrend Micro社は韓国の企業群を狙ったサプライチェーン攻撃を明らかにしました。攻撃主はまずサポートソリューションプロバイダの認証を盗んだ後に、アップデートプロセス内で主要なターゲットに遠隔アクセスツールを仕込めるよう、マルウェアに署名します。
始めに小規模の企業に攻撃・侵入することで、攻撃主は署名済みマルウェアで厳重に保護されたネットワークに侵入して、狙いとする評価の高いコード署名認証を盗み出します。

searchsecurity.techtarget.com