Windows向けHola Browser(バージョン1.251.91.0)に、後にクリプトマイナーと判明した未申告の実行ファイルが同梱されていたことが明らかになりました。
この実行ファイルは、影響を受けたインストール環境のC:\Program Files\Hola\me.exeに書き込まれており、認定済みのファイルセットには含まれていませんでした。コード署名もタイムスタンプも存在せず、難読化されたコードとメモリ書き込み機能を備えていました。
分析の結果、マイナー関連の文字列やXMRigの痕跡、そして持続化のための動作が確認されました。管理者権限で実行された場合、自身をC:\Program Files\Hola\HolaMonitorService.exeにコピーし、アイドル時に自動起動するよう設定されたhola_monitor_svcサービスをインストールします。さらに、Windows Defenderのスキャンから自身を除外しようと試みます。Sophosはこのサンプルを「Troj/GoMiner‑B」として分類しています。
Sophosが確認したテレメトリのSHA256ハッシュ値はe3541caf708c075f0bb22fc68b03acd8457fea7cf0732ea935b1eb016d1c7721です。
AppEsteemは以前、特定のハッシュ値(SHA256: 17408653…7bdb、SHA1: 8046735d…61f2、MD5: 8462f61e…)でHola Browserを認定していました。これは、テスト時のスナップショットが既知かつ検証済みのコンポーネントのみで構成されていたことを示しています。
Sophosによると、この問題はAMTSO認定機関であるAppEsteemが実施した定期認定テストによって発見されました。AppEsteemは、ベンダーが申告したバイナリと実際に配布されるものが一致しているかを検証する機関です。
me.exeは一部のテスト実行では確認されたものの、別のケースでは確認されなかったことから、静的なインストーラーへの仕込みではなく、配送経路のばらつきに起因することが示されました。これは典型的なサプライチェーンの完全性問題であり、ビルドチャンネルやCDNの挙動、インストール後の追加取得、またはリリースパイプラインの設定ミスによって、表面上は同一のリリースであっても異なる出力が生じる可能性があります。
Hola BrowserのWindowsデリバリーパイプライン
Holaは報告を受けた後、me.exeは同社のインストーラーから配布される意図のものではなかったと認めました。
同社によれば、内部監視システムがアップデート配信パイプラインにおける異常な活動を検知したとのことです。Holaは該当する配信経路を停止して不正なコンポーネントを除去し、Sygniaにフォレンジック調査を依頼するとともに、コード署名の強化、アクセス制御の厳格化、継続的な監視体制の整備を経てデリバリーパイプラインを再構築しました。
Holaは今回のインシデントの影響を受けたユーザーは全体の約0.1%であり、ユーザーデータへのアクセスや外部への持ち出しは発生していないと発表しています。
技術的な観点から見ると、このインシデントはいくつかの重大なシステムリスクを浮き彫りにしています。第一に、署名やタイムスタンプのない難読化された実行ファイルがメモリ書き込みや持続化の機能を持つ場合、個々の要素だけでは悪意の証明にならないとしても、極めてリスクの高い成果物です。
第二に、テスト実行間での配信内容のばらつきは、ビルドからCDNを経てクライアントに至るまでのエンドツーエンドの再現可能なビルド、成果物の不変性(イミュータブルストレージと成果物レジストリ)、そして暗号学的に担保された来歴管理の必要性を改めて示しています。
第三に、AppEsteem認定のような継続的なサードパーティ検証とSophosのような独立系ベンダーのテレメトリを組み合わせることで、ベンダー自身のテストでは見逃しやすいデリバリーパイプラインの逸脱を検出するための重要なカバレッジが提供されます。
ベンダー向けの運用上の対策としては、ハードウェアバックキーを用いた厳格なコード署名ポリシーの適用、すべてのリリース成果物への署名とタイムスタンプの付与、再現可能なビルドとマニフェストベースのインストーラーの導入、強固なID管理とアクセス権制御によるパイプラインへのアクセス制限、そしてアップデーターへのランタイム完全性チェックの実装が挙げられます。
防御側の企業やセキュリティ担当者がマイナー活動を検出するには、新規サービスの登録、アイドル時の異常なCPU使用率の急上昇、プログラムディレクトリ内の未署名実行ファイル、Defenderの除外設定作成の試みを監視することが求められます。また、シグネチャベースの検知を補完するために、振る舞い検知の活用も重要です。
今回のケースは、認定制度とマルチベンダーのテレメトリが連携することで、被害が広範囲に及ぶ前にサプライチェーン侵害を表面化できることを示しています。
Holaによるパイプラインの修復と再構築によって、今回の直接的な問題は解消されました。しかしこのインシデントは、配信の完全性を維持するには暗号学的な来歴管理、厳格なパイプライン衛生管理、そして継続的な独立検証が不可欠であることを技術的に再確認させるものです。
翻訳元: https://gbhackers.com/hola-browser-windows-delivery-pipeline/
