Blackgear Cyberespionage Campaign Resurfaces, Abuses Social Media for C&C Communication - TrendLabs Security Intelligence Blog

日本を標的にしているAPT攻撃者グループに関する最新の記事があったので簡単に概要をメモ。

■ グループ名

Blackgear (別名: Topgear, Comnie)

■ 標的

国: 日本、韓国、台湾

組織: 公的機関、通信、ハイテク産業

■ 使用するマルウェア

Marade (ダウンローダー)

Protux (バックドア)

Elirks (バックドア)

■ 特徴

C2サーバの通信先をブログやソーシャルメディアに投稿した記事中に隠す

■ 攻撃方法

1. ドキュメントファイル、または偽のインストーラを標的に送りつける。

(e.g. マクロ付きOfficeファイル、偽のFlash Playerインストーラ)

2. 被害者が送りつけられたファイルを実行するとMarade (ダウンローダー)が起動する。

3. Marade (ダウンローダー)はブログやソーシャルメディアからC2サーバの通信先を取得する。

4. Marade (ダウンローダー)は3.で取得した通信先からProtux (バックドア)をダウンロード・実行する。

5. Protux (バックドア)はブログやソーシャルメディアからC2サーバの通信先を取得する。

6. 攻撃者はC2サーバから命令を下してProtux (バックドア)を利用して任意の操作を行う。

■ IOC

andreafortuna.org

サンドボックスやアンチウイルス製品に検知されることを回避するためにマルウェアが使用するテクニックを解説した記事。

例として挙げられているものとしては以下（一部）。

１．サンドボックス検知

(1) CPUのコア数を確認

サンドボックスに割り当てられているCPUのコア数は少ないことが多いため、CPUのコア数がある閾値より少ない場合はサンドボックスとして検知

(2) ユーザーの活動痕跡を確認

通常の端末であれば存在するであろう、ユーザのキーボード入力やマウスの動きがない場合はサンドボックスとして検知

２．難読化

(1) 使われないコードを挿入

マルウェア内部のシグネチャが変わるため、シグネチャベースでのアンチウイルス製品だと検知できなくなる可能性

(2) レジスタの配置転換

説明を見てもよく分からなかったが、おそらく通常のレジスタの役割を無視して使用するものと推定

（ex. ループのカウンタにはecxレジスタを本来使うべきだが、eaxレジスタで代行する等）

３．パッカー（自己解凍書庫）

ソフトウェアをそのまま実行できる形で保持しながら、中身だけを圧縮するツール。

本来は正規ツールであり、プログラムのサイズを小さくするために使われたりするが、マルウェアによって悪用されている。

マルウェア内に含まれる悪性コードはパッカーによって圧縮されるため、アンチウイルス製品のシグネチャでは検知できず、またリバースエンジニアリングも困難になる。

【著名なパッカーのリスト】

• Themida
• Armadillo
• ASPack
• ASPR (ASProtect)
• BoxedApp Packer
• CExe
• dotBundle
• Enigma Protector
• EXE Bundle
• EXE Stealth
• eXPressor
• FSG
• kkrunchy
• MEW
• MPRESS
• Obsidium
• PESpin
• Petite
• RLPack Basic
• Smart Packer Pro
• Themida
• UPX
• VMProtect
• XComp/XPack

他にも様々なテクニックがあるかと思いますが、なかなか興味深いです。 

Square CTFのCrypt 50ptの問題として、以下の暗号文が出題。

The androids’ plans for domination include securing ancient artifacts relating to the animal world to be used for nefarious means. We managed to infiltrate one of their digsites and intercepted this ancient scientific tome, but it's encrypted! We think it relates to Julius Caesar's time in Rome, for he was a great friend and benefactor to the feline community. We could use your cryptanalysis skills to determine the contents of this tome and whether it will give us any leverage against our enemies.

Kyv ufdvjkzt trk (Wvczj jzcmvjkizj trklj fi Wvczj trklj) zj r jdrcc, kpgztrccp wliip, triezmfiflj drddrc. Kyvp riv fwkve trccvu yfljv trkj nyve bvgk rj zeuffi gvkj fi jzdgcp trkj nyve kyviv zj ef evvu kf uzjkzexlzjy kyvd wifd fkyvi wvczuj reu wvczevj. Trkj riv fwkve mrclvu sp yldrej wfi tfdgrezfejyzg reu wfi kyvzi rszczkp kf ylek mvidze. Kyviv riv dfiv kyre 70 trk sivvuj, kyflxy uzwwvivek rjjftzrkzfej giftcrzd uzwwvivek eldsvij rttfiuzex kf kyvzi jkreuriuj. Kyv wcrx zj kyv gyirjv nzky urjyvj: wcrx nyrk zj r ufdvjkzt trk.

まず暗号文を見て直感的に感じたのは、ROT13ではないかとのこと。

（以前にも同じような文章を見たことがあったため）

さらに出題文を読むと「Julius Caesar」の文言があることから、シーザー暗号を使っていると確信。

シーザー暗号 - Wikipedia

そのため、シフト数を適当に変更しながら復号化を行ったところ、シフト数9で以下の有意な文章に変換成功。

The domestic cat (Felis silvestris catus or Felis catus) is a small, typically furry, carnivorous mammal. They are often called house cats when kept as indoor pets or simply cats when there is no need to distinguish them from other felids and felines. Cats are often valued by humans for companionship and for their ability to hunt vermin. There are more than 70 cat breeds, though different associations proclaim different numbers according to their standards. The flag is the phrase with dashes: flag what is a domestic cat. 

フラグは

The flag is the phrase with dashes: flag what is a domestic cat. 

とのことだったので、答えは以下になります。

flag-what-is-a-domestic-cat