8カ月にわたる調査の結果、FinFisherの開発者が用いた4層からなる難読化や解析回避の高度な手口、および標的に感染させるためのUEFIブートキットの使用が明らかになりました。特に注目すべきことは、標的側の防御を回避する機能に重点が置かれていることで、FinFisherはこれまでで最も検知が難しいスパイウェアの一つとなっています。
[本リリースは、2021年9月28日にKasperskyが発表したプレスリリースに基づき作成したものです]
このたびKasperskyのリサーチャーは、Windows、Mac OS、Linuxに向けたスパイウェア「FinFisher」とそのインストーラーに実装された最新アップデートについて、包括的な調査結果を発表しました。8カ月にわたる調査の結果、FinFisherの開発者が用いた4層からなる難読化や解析回避の高度な手口、および標的に感染させるためのUEFI(Unified Extensible Firmware Interface)ブートキットの使用が明らかになりました。特に注目すべきことは、標的側の防御を回避する機能に重点が置かれていることで、FinFisherはこれまでで最も検知が難しいスパイウェアの一つとなっています。
FinFisher(別名:FinSpy、WingBird)は有名な監視用ツールで、さまざまな認証情報やファイルリスト、削除されたファイル、各種ドキュメント、ライブストリーミング、レコーディングデータの収集だけでなく、Webカメラやマイクにもアクセスすることができます。当社では2011年から追跡を続けてきました。2018年までにWindows向けのインプラントを複数回検知し、調査を行いましたが、それ以降、FinFisherの目立った活動は捕捉されずにいました。
その後、当社のセキュリティソリューションが、TeamViewer、VLC Media Player、WinRARなど正規アプリケーション用の疑わしいインストーラーを検知しましたが、これらのインストーラーには悪意のあるコードが含まれていたものの、既知のマルウェアとの関連性は確認できませんでした。しかし、ある日、感染したインストーラーとAndroid向けのFinFisherの検体を、あるビルマ語のWebサイトから発見しました。このことにより、これまでに見つかっていた感染したインストーラーが、Finfisherに関連するトロイの木馬であるとの結論に至りました。この発見がきっかけとなり、当社のリサーチャーはFinFisherの調査をさらに行うことにしました。
以前のFinFisherのバージョンとは異なり、今回のマルウェアの検体は、非永続型のプレバリデータ(Pre-Validator)およびポストバリデータ(Post-Validator)と呼ぶ二つのコンポーネントによって保護されていました。プレバリデータコンポーネントは、セキュリティチェックを複数回実行し、感染させるデバイスがセキュリティリサーチャーのものではないことを確認します。そのチェックにパスした場合のみ、ポストバリデータのコンポーネントがサーバーから提供されます。このコンポーネントは、感染させたデバイスが意図した標的であることを確認し、その後、サーバーからのコマンドによって本格的なトロイの木馬のプラットフォームが展開されます。
今回発見したFinFisherは、カスタムメイドの四つの複雑な難読化ツールによって高度に難読化されています。この難読化の主な役割は、スパイウェアの分析を遅らせることです。そのほかにも、このトロイの木馬はブラウザーの開発者モードを使用して、HTTPSプロトコルで保護されたトラフィックを傍受するなど特異な手法で情報を収集します。
さらに、当社のリサーチャーは、WindowsのUEFIファームウェア起動後にOSを起動するコンポーネントを悪意のあるものに置き換えたFinFisherの検体も発見しました。この感染方法により、攻撃者はUEFIファームウェアのセキュリティチェックを回避する必要なくUEFIブートキットをインストールすることができました。UEFIへの感染は極めてまれで一般的には実行が難しく、その回避性と持続性によって際立った存在となっています。今回の場合は、UEFIファームウェアそのものではなく、その次の起動段階のブートローダーへの感染でしたが、悪意のあるモジュールが別のパーティションにインストールされていることで特にステルス性の高いものとなっていました。
KasperskyのGlobal Research & Analysis Team(GReAT)でプリンシパルセキュリティリサーチャーを務めるイゴール・クズネツォフ(Igor Kuznetsov)は次のように述べています。「セキュリティリサーチャーに見つからないために、どれだけFinFisherが労力を費やしたのかは印象深く、また、懸念点でもあります。開発者は、トロイの木馬そのものを作成するときと同じくらいの労力を、難読化と解析回避の手法に注いでいるようです。その結果、このスパイウェアを追跡して見つけ出すことは特に困難になっており、標的となったデバイスが攻撃される確率は極めて高いと言えます。リサーチャーはすべてのサンプルを一つ一つ解明していくために、膨大なリソースを投入しなければならないという特殊な課題に直面しています。FinFisherのような複雑な脅威は、セキュリティリサーチャーたちが協力して知識を交換すること、同様に、このような脅威に対抗できる新しいタイプのセキュリティソリューションに投資することの重要性を示していると思います」
・FinFisherに関する調査結果は、Securelistブログ「FinSy : unseen findings」(英語)でご覧いただけます。
FinFisherのような脅威から身を守るために、次のことを推奨しています。
個人の方:
・使用するアプリやプログラムは、信頼できるWebサイトからダウンロードする。不明なソースからソフトウェアをインストールしない:このようなソフトウェアには悪意のあるファイルが含まれている可能性があり、多くの場合、実際に含まれています。
・OSとすべてのソフトウェアの定期的なアップデートを習慣づける:安全性に関する問題の多くは、ソフトウェアの最新バージョンをインストールすることで解決できます。
・基本的に、メールの添付ファイルは信用しない:添付ファイルやリンクを開く前に、送信者は自分が知っている信頼できる人か、添付ファイルやリンクは来ることが予想されていたか、クリーンなものか、といった点に注意してください。リンクや添付ファイルの上にマウスポインターを重ねて、名前や実際の移動先を確認しましょう。
・すべてのコンピューターとモバイルデバイスに、カスペルスキー セキュリティのような強力なセキュリティソリューションを使用することをお勧めします。
企業や組織:
・企業内でのソフトウェア使用に関するポリシーを設定する:信頼できないソースから未承認のアプリケーションをダウンロードすることのリスクを従業員に教育しましょう。
・従業員にサイバーセキュリティの基礎的なトレーニングを実施する:標的型攻撃の多くは、フィッシングなどのソーシャルエンジニアリングから始まります。
・アンチAPT(高度サイバー攻撃)およびEDRソリューションを導入する:脅威の発見・検知、調査、インシデントのタイムリーな修復が可能になります。また、SOCチームに最新の脅威情報を提供するとともに、定期的に専門的なトレーニングを実施することも推奨します。
・エンドポイントプロテクションに加えて、専用サービスを利用する:Kaspersky
Managed Detection and Responseサービスは、攻撃者が目的を達成する前に、攻撃を初期段階で特定し、阻止することができます。