RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する
一般的な脆弱性と暴露

ホラのテクニカル分析

2015年6月1日
Vectra AI セキュリティ・リサーチ・チーム
サイバーセキュリティ
ホラのテクニカル分析

2015年6月3日 11:00更新

最近、Holaとして知られる人気のあるプライバシーとブロッカー解除アプリケーションは、Luminatiと呼ばれる姉妹サービスを通じて、実質的にボットネットとして動作することを可能にするさまざまな脆弱性と非常に疑わしい慣行のために、セキュリティコミュニティから注目を集めている。Vectra 研究者は、過去数週間にわたって顧客のネットワークでそれを観察した後、このアプリケーションを調査しており、その結果は興味をそそると同時に厄介なものである。現在公開されているボットネットを実現するさまざまな機能に加えて、Holaアプリケーションには、標的型サイバー攻撃を実行するための理想的なプラットフォームとなるさまざまな機能が含まれています。

基本的なことから始めよう。

Holaは、匿名のブラウジングを提供し、あらゆる場所からあらゆるコンテンツにアクセスできるアンブロッカーであることを売りにしている。「ブロック解除」には2つの形がある。ひとつは、ホラのユーザーが好きな国にいるふりをすることで、その国でしか見られないコンテンツにアクセスできるというものだ。よくある例は、カナダ人が米国版ネットフリックスにアクセスすることだ。もうひとつは、特定のアウトバウンド・トラフィックをブロックしている会社の従業員が、ホラを使ってそのブロックを突破できることだ。

このソフトウェアは、ブラウザの拡張機能またはスタンドアロンのアプリケーションとして利用可能で、すべての主要なオペレーティングシステム用のバージョンがあり、Holaは世界中で4600万人のユーザーを擁していると主張している。Vectra 研究者は、Windows用のHolaのWindows 32ビット版、および2015年5月27日以前に利用可能なモバイル用のHolaのAndroid ARM版とAndroid x86版を分析した。

ひとたびインストールされると、このサービスは内部的には「Zon」として知られる巨大なピアツーピアネットワークとして機能し、ユーザーのインターネットトラフィックは他のHolaユーザーを経由してバウンスされる。Zonネットワークでは、未払いのユーザーはすべて出口ノードとして使用される。つまり、アプリケーションをインストールすると、他の匿名ユーザーからのトラフィックを運ぶことになる。さらに悪いことに、Holaはユーザーのデバイスにコンテンツをキャッシュするため、あなたが知らないうちに他人のトラフィックを運ぶだけでなく、そのコンテンツをキャッシュするためにも使われる可能性がある。これらはすべて、Holaがそのウェブサイトと使用許諾契約書で公言していることだ。このことに気づいたユーザーからは衝撃の声が上がっているが、話はそれだけでは終わらない。

私たちがこのソフトウェアを分析しようと決めたのは、このソフトウェアが、私たちが「外部リモート・アクセス」と呼んでいるタイプの検知を、一部の顧客のネットワークで引き起こしたからです。この検知の背後にあるアルゴリズムは、顧客のネットワーク内部からインターネットへの接続が確立され、その後のやり取りが明らかに顧客のネットワークの外部にいる人間によって行われていることを検知します。このパターンは、ピアツーピアの匿名ネットワークの仕組みと一致している。Holaがインストールされた従業員のコンピューターは、ファイアウォールにピアの接続を許可させるためによく知られたテクニックを使用する必要があり、これらのテクニックは、ファイアウォールとVectra 、接続が従業員のマシンから利用を希望するピアに開始されたように効果的に見せかける。いったん接続が開始されると、ピアを操作する外部の人間がすべてのアクションを実行する。

オニオン・ルーターを利用するサイバー攻撃者に関するブログを読む

より深く掘り下げる︕200D

Hola (会社) がLuminatiというセカンドブランドを運営し、Holaネットワークへのアクセスをサードパーティに販売していることに気づくと、事態はもう少し面白くなる。これがボットネットのレシピのように聞こえるなら、あなただけではない。実際、物議を醸しているサイト8chanのモデレーターは、Hola/Zonネットワークから発信されたDDoSを経験したと主張している。

さらに、サードパーティの研究者は、ユーザーを追跡できるだけでなく、Holaユーザーのマシン上で任意のコードを実行するために悪用することができるHolaソフトウェアのさまざまな脆弱性を発見した。ほとんどのソフトウェア・パブリッシャは、セキュリティ脆弱性を防ぐプログラマーの能力と、報告された脆弱性への対応の速さで判断される。脆弱性は5月29日に公表された。6月1日、ホラ社は脆弱性にパッチを当てたと発表し、サードパーティの研究者が元の投稿の更新で反論した。

また、ハッカーがHolaを悪意のある活動に利用しようとしたのは、上記のDDoSが初めてではないようだ。Holaが使用するプロトコルを分析したところ、Vectra の研究者はVirusTotalでHolaプロトコルを含む5種類のマルウェア・サンプルを発見した。これらのサンプルのSHA256ハッシュを以下に示します:

  • 83fd35d895c08b08d96666d2e40468f56317ff1d7460834eb7f96a9773fadd2d
  • 2f54630804eeed4162618b1aff55a114714eeb9d3b83f2dd2082508948169401
  • 65687dacabd916a9811eeb139d2c2dada1cefa8c446d92f9a11c866be672280b
  • 43498f20431132cd28371b80aed58d357367f7fa836004266f30674802a0c59c
  • 59a9fedeb29552c93bb78fff72b1de95a3c7d1c4fc5ad1e22a3bbb8c8ddbfaba

当然のことながら、これは悪者たちが、最近になって善者たちによって公に報告される前に、ホラの可能性に気づいていたことを意味する。

人間による攻撃を可能にする

Vectra Threat Labsの研究者は、Holaを分析する中で、Holaがボットネットを可能にするという報告に加え、Holaユーザーのマシンが存在するネットワーク上で、標的を絞った人間主導のサイバー攻撃を可能にするさまざまな機能を含んでいることを発見した。

第一に、Holaソフトウェアは、ユーザーが知らないうちに追加ソフトウェアをダウンロードしてインストールすることができる。これは、有効なコード署名証明書で署名されることに加えて、Holaがインストールされると、ソフトウェアがユーザーのシステムに独自のコード署名証明書をインストールするからです。Windowsシステムでは、証明書は信頼された発行者証明書ストアに追加されます。システムへのこの変更により、オペレーティングシステムやブラウザからユーザーに通知されることなく、追加コードをインストールして実行することができます。

さらに、Holaには、ユーザーがHolaサービスを介してブラウジングしていないときでもアクティブなままである組み込みコンソールが含まれています - それは他のピアのトラフィックのためのフォワーダーとして動作するプロセスに含まれています。zconsole "と呼ばれるこのコンソールの存在は、それだけで驚くべきもので、システムのユーザーによってサービスがアクティブに使用されていないときでも、Holaノードと人間が直接対話することを可能にする。では、システムの外部にいる人間がこのコンソールにアクセスした場合、何ができるのだろうか?

  • 実行中のプロセスをリストアップして終了させる
  • アンチウイルス(AV)チェックを迂回するオプション付きのファイルをダウンロードする。
  • ダウンロードしたファイルを実行する:
  • 別のプロセスのトークンを使ってファイルを実行する
  • バックグラウンドプロセスとして実行する
  • 任意のIPアドレス、デバイス、guid、エイリアス、Windows名にソケットを開く
  • ソケットからコンソールやファイルへのコンテンツの読み書き

これは、コンソールで利用可能な機能のほんの一部である。コンソールの開発者は、コマンドに不慣れな人のために、親切にもマニュアルページを用意してくれています。

これらの機能により、有能な攻撃者はほとんど何でも成し遂げることができる。このことは、議論をボットネットを可能にするリーキーな匿名ネットワークからずらし、代わりに攻撃者がHolaソフトウェアを含むネットワーク内で標的型攻撃を開始するプラットフォームとしてHolaを使用できる可能性を認めさせる。

そのため、Holaがネットワーク内でアクティブかどうかを判断し、このブログで取り上げたリスクが許容できるかどうかを判断することを、組織には強くお勧めする。これを支援するために、Holaがシステム上に存在するかどうかを識別するためのYaraルールを作成しました。侵入防御システム (IPS) を導入しているお客様には、ネットワーク内のHolaトラフィックを識別するのに役立つSnortシグネチャも作成しました。

初出時からの追加と明確化

  • Holaと関連したボットネットに関する記述があったところでは、Holaはボットネットを有効にするために使用されたものであり、それ自体はボットネットではないことが明らかにされた。
  • 段落3に、このブログのために分析したHola for WindowsとHola for mobileの特定のバージョンに関する情報を追加した。この情報は「分析したHolaソフトウェアのWindows版およびAndroid版のSHA256ハッシュ」と題した後のセクションにすでに存在していた。当ブログが公開された後に入手可能となった、Holaがソフトウェアにパッチを適用することに関する情報を追加した。
  • VirusTotalに掲載されているサンプルは、Holaを使用しようとする悪意のある試みであることを明らかにした。
  • 最終段落の組織への勧告を更新

HolaまたはLuminatiトラフィックを検知するSnortシグネチャ (ファイルへのリンク)

alert tcp any any -> any any (msg: "VECTRA TROJAN Zon Network Encrypted"; content:")