エフセキュアブログ

2012年04月

ネブラスカ州オマハはサイバー犯罪捜査の基地

  「Krebs on Security」を定期的に読んでいる方なら、中小規模の企業や組織がここ数年、サイバー犯罪ギャングたちの標的となっていることをご存知だろう。しかしこれらの犯罪を捜査しているのが、どこの法執行機関なのかはご存知ないかもしれない。

  ZeuSバンキング型トロイの木馬の多くの捜査は、(ほとんど知られていないが)オマハ(米国ネブラスカ州)のFBIオフィスにより行われていることが分かっている。担当のFBI特別捜査官Weysan Dunが金曜に引退し、Omaha World-Heraldでインタビューを受けた

omaha.com. FBI Special Agent Dun

  良い記事だ。そしてSMBのために働いている人にとって、目をさまさせるようなものだ。

Wanted, Money Mules
指名手配:マネー・ミュール

  同記事のちょっとした話の中で我々が気に入ったのは、Brian Krebsは飛行機で隣に小規模企業の経営者が座ると、バンキング型トロイの木馬の恐ろしい話を聞かせて、彼ら震え上がらせているらしいというところだ…


サイバー犯罪に関する映画を制作

  映画製作者のCharles & Walker Koppelmanが、サイバー犯罪に関する新しい映画プロジェクトに取り組んでいる。我々はCharlesに会ったが、非常に興味深いプロジェクトだ。

  同プロジェクトはまだ進行中で、現在、彼らはクラウドソーシングを介してさらなる資金を求めている。Kickstarterでプロジェクトの現在のステータスをチェックして欲しい。気に入ったら、映画に出資することができる。

Kickstarter - Koppelman


悪党のTumblr

  不正なAVは最近、あまり注意を引いていないが、おそらく、最新のトピックが大量のブラックハットSEOポイズニングURLを発生させている場合と比較して、もはや大声で叫んではいないためだろう。

  では、この頃どこに潜んでいるのだろうか?

  不正AVはもちろん、いまもSEOポイズニングの手法を使用している。結局、ある程度の可視性が必要なのだ。しかし、障害が起きた通常のドメインに加え、それらは現在Tumblrに潜んでいる。

  下のスクリーンショットはいくつかの不正なTumblrアカウントの一つからとられたものだ:

tumblr2

  そしてインターネットのユーザとして、ビデオとプレイボタンが中央に表示されたら、我々はどうするだろう? クリックする! でしょう? そしてビデオがすぐにプレイされる…今回は違うが。その「ビデオ」は実のところ画像なのだ。よって無邪気にクリックするとマルウェアが起動し、エクスプロイトページに、そして最終的に不正なAVにリダイレクトするページへと導かれる。

tumblr

  それは「YvMiN.jar」というファイルをダウンロードするが、これはJava脆弱性「CVE-2012-0507」を悪用するものだ。さらに、使用しているブラウザがChromeでなければ、追加のファイル(「DoNbI.pdf」および「hCJkApns.pdf」という名称の)もダウンロードされ、次にAdobe Readerの脆弱性、特に「CVE-2008-2992」「CVE-2007-5659」および「CVE-2010-0188」を悪用する。

exploit

  悪用が成功すると、現在、「Windows Performance Adviser」という不正なソフトに導かれる。

windows_performance_adviser

  だから…今日の助言は…すばらしいビデオが信頼できるドメイン上に無いなら…クリックしないこと…。でも…でも…しないこと;)

  安全なサーフィンを!

警察のランサム型トロイの木馬に関する混乱したニュース

  コンピュータセキュリティは分かりにくい。簡単に書けるトピックではない。マスメディアはしばしば、詳細を誤解することがある。

  しかし、警察をテーマとしたランサムウェアほど混乱したニュース記事はめったにみたことがない。

  では、警察をテーマとしたランサムウェアとは何なのか? それはオンライン犯罪者が拡散する、悪意あるトロイの木馬だ。

  何をするのか? それらは人々のPCをチェックして、システム上に違法なコンテンツがあるため、警察によりロックされたとつげ、PCを使えるようにするために支払いを要求する。

  我々は以前、このような警察をテーマとしたランサムウェアについて書いたことがある。詳細については、この記事をご覧頂きたい。

  明らかに、警察を装うこうしたトロイの木馬は、ドイツ連邦警察局とも、ニュー・スコットランドヤードとも、米司法省とも無関係で、こうしたブランドを盗んでいるに過ぎない。

  しかし今日、我々はANIという通信社が、このトピックに関する混乱した記事を出したのを見かけた。

  この記事は、「詐欺はスコットランドヤードのサイバー犯罪専門の警官たち、Police Central e-Crime Unitによるものと考えられ」「スコットランドヤードは、警察がウイルスの背後で小児性愛者もしくはテロ活動を検出した」と述べている。

aninews

  この記事はThe Telegraphに先に掲載された記事を引用しているが、こちらは詳細を正確に捉えている。

  ANIは通信社なので、この記事は既にWebのあちこちに再掲載されている。

aninews

  いや、これら警察を装うトロイの木馬は、警察によるものではない。我々を信用して欲しい。


OWASP AppSec APAC 2012

 みなさんこんにちは。Rakuten-CERTの福本です。
 先日、OWASP AppSec APAC 2012に参加してきました!楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられています!!トレーニングにそこまで投資してもらえるのはエンジニアとしては大変ありがたいことで、会社からの期待に応えるべく今回はシドニーに行って来ました。(笑)

DSC_0070DSC_0068
#パネルディスカッションにはWhiteHat SecurityCTOJeremiah Grossmanも。あのCSS history hackを見つけた。


 
一応、今回のカンファレンスはOWASPGlobalイベントなのですが、参加者は100人もいなかったでしょうか。(日本人は僕たち3名だけ)でも、こじんまりした感じでコミュニケーションも取りやすかったのでけっこう良かったです(笑)

 セッションの内容についてですが、引き続き
security auditingをいかに効果的に、効率的にやっていくか、という話が多かったように思います。Black box testingでは見つけられる脆弱性やスケーラビリティにも限界があるので、ソースコードを診断に利用するアプローチが進んでいて、守り側としては今後もソースコードにアクセス出来る利点を最大に活かしていこうという流れは加速して行きそうです。実際、楽天も社内の診断ではGray box testingに変えつつあります。診断していてどうも挙動がおかしいな?と思ったとき、いろいろ動きを試してみるよりもソース見た方が手っ取り早いので。他にもクラウド型のソースコード診断の話や、モバイルアプリケーションのセキュリティの話など、いろいろ参考になりました。あと、今回のAppSecの参加者はpen testerの方が多かったような気がします。Pen testerが参考になるネタも結構あったからでしょうか。

 社内にずっといると視野が狭くなりがちなので、自分達の対策を客観的に捉え、新しい方向性を考えるうえで、こういう機会は大事にしたいですね。

 

おまけ:

せっかく来たのでカンファレンス最終日にロブスターをいただきました!w
DSC_0076DSC_0082DSC_0085 

Java MIDletをインストールしたデバイスを標的とする「Trojan:Java/SmsSy.A」

  Java MIDletをインストールしたモバイルデバイスを標的とする、SMS送信型トロイの木馬がマレーシアで出回っている。一部の被害者は、Samsungからのアップデートのように見えるSMSメッセージを受信したと報告している。


samsung_update_trojan
Samsungからのアップデートのお知らせのように見えるメッセージ



  しかしリンクをクリックすると、JARファイルに導く他のリンク(http://mmgbu[...].com:90/[...].jar)にリダイレクトされる。このJARファイルは、同マルウェアが複数の短いナンバーにSMSメッセージを送信するよう、詳細を実行する。

  実行されると、同トロイの木馬は3つのSMSメッセージを(たいていは有料課金番号に)ユーザの同意無しで送信する。コンテンツと受信番号は以下の通り:
- “On GB” to 39914
- “On DF” to 39914
- “On HB” to 33499


  次に、「HOT WEB DL」というタイトルと、「DANCE CLUB」「BEACH GIRLS」「FUNNY VIDEO」「GT MODEL」「HOT CAM」という5つのセクションに分類された女性の画像が示される。オプションが選択されると、「On(コンテンツ)」というストリングを含むSMSメッセージを、(ナンバー)に送信する。コンテンツは以下の通り:
- HB
- MODEL
- LY
- AV
- GA


  これらのメッセージは、後で以下のナンバーに送信される:
- 33499
- 33499
- 36660
- 36660
- 36989



smssy_manifest
メッセージコンテンツと受信番号の詳細を含むファイル



smssy_picladies
「SmsSy.A」が使用する画像



  同じトロイの木馬の別のサンプルを分析したところ、異なるコンテンツと受信番号が割り当てられていることが分かった:


smssy_manifest2
「SmsSy.A」の他のサンプルには異なるコンテンツとナンバーが割り当てられていた



smssy_picmtv
「SmsSy.A」により使用された異なる画像



  我々は問題のあるURLを適切に査定し、「Trojan:Java/SmsSy.A」として検出している。

Sha-1: 75a91ac99cb5bc2a755d452393d29fa66a323c3f
Sha-1: bca72058af2a7ddb9577ecb9a61394a31aea5767



Blog post by - Jordan and Raulf

Ransomcrypt復号化スクリプト

  先週、文書、画像、ビデオなどを暗号化し、ファイルを人質に50ユーロ要求する、「Trojan:W32/Ransomcrypt」という名のランサム型トロイの木馬について書いた

CRYPTED!

  Ransomcryptは、Tiny Encryption Algorithm(TEA)を使用してファイルを暗号化する。キーは「ファイル固有キー」を作成するために暗号化されているファイル名の先頭の文字に基づいて変更される、「ベースキー」から作成される。ベースキーもファイル固有キーも、どちらも16バイト長だ。

  エフセキュアのアナリストが、サポートチームのために、Pythonで書かれた復号化スクリプトを作成した。幸いなことに、我々が遭遇した顧客の事例は少数だった。この復号化スクリプトはRansomcryptの2つの亜種で機能する。

  •  Trojan:W32/RansomCrypt.A, SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf
  •  Trojan:W32/RansomCrypt.B, SHA1: 1e41e641e54bb6fb26b5706e39b90c93165bcb0b

fs_randec.zip

  EULTはここで読める。

  ダウンロード:fs_randec.zip, SHA1: 9ab467572691f9b6525cc8f76925757a543a95d8

  最初に、暗号化ファイルのコピーにこのスクリプトを使用するようにという指示には、特に注意して欲しい。

  「オリジナル」に使用しないこと。

Javaを悪用するさらなるMacマルウェア

  「CVE-2012-0507」を悪用する新しMacマルウェアの亜種に関する報告が、先週浮上した。このJava脆弱性は、60万台以上のMacを感染させるのにFlashbackが使用したのと同一のものだ。

  最初の新たな脅威はTrend Microの人々により分析された。Mac用Javaアプレットは実際、「CVE-2012-0507」を悪用し、成功すれば、ペイロードはAlienVault Labsが先月発見した(人権擁護NGOに対する標的型攻撃で使用された)のと同じマルウェアだ。

  第2の脅威は、最初のうちは完全に新しいマルウェアの一部であるように見える。しかし、収集された次のサンプルで、同マルウェアも「Backdoor:OSX/Olyx.C」および「Backdoor:OSX/MacKontrol.A」をドロップするのに用いられた、「MS09-027/CVE-2009-0563」を悪用する同一のWord書類によりドロップされたことが明らかになった。これも先月、AlienVaultにより報告されたものだ。

  どちらのマルウェアも現在アクティブなようで、ESETおよびKasperskyがそれぞれ観測しているように、マニュアルでコントロールされている。どちらも同一の悪意あるJavaクラス・ドロッパ・コンポーネントを使用する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

  エフセキュア アンチウイルスはこれらの脅威を「Backdoor:OSX/Olyx.B」および「Backdoor:OSX/Sabpab.A」として検出する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (別名Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (別名Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

  これらマルウェアの亜種は、チベット関連のNGOに対する標的型攻撃で使用されており、したがって日常的なMacユーザーが「イン・ザ・ワイルド」で遭遇することは無さそうだ。もしあなたがMacを使用している人権問題専門の弁護士なら…リスクを被る確率は全く異なる。まだ感染していないなら、Macにアンチウイルスをインストールすべき時だ。

Trojan:W32/Ransomcrypt

  我々はランサム型トロイの木馬の報告を受けているが、これはここ2日に広まっているものだ。

  システムで最初に動作する際、このランサムウェアはシステム上の全フォルダを反復する。全てのドキュメント、画像、ショートカット(.lnk)ファイルが「.EnCiPhErEd」の拡張子で暗号化され、追加される。各フォルダに、どのように進めるかのインストラクションを含む「HOW TO DECRYPT.TXT」というテキストファイルがドロップされる。詐欺師たちは50ユーロ要求している。

  同ランサムウェアはシステムの一時フォルダに、ランダムな名称で自身のコピーをドロップする。「.EnCiPhErEd」エクステンションを自身に結びつけるため、レジストリ・エントリを作成する。そうすることで、一時フォルダのコピーはそれらファイルが実行される際には、復号化パスワードを要求するため常に開始されるのだ。5回試行すると、それ以上パスワードを受け付けない。そして次に自身を削除し、ユーザのデータは暗号化されたままになる。

  エフセキュアの脅威ハンターたちは、このランサムウェアのソースは、サイト、特にフォーラムに挿入された悪意あるタグからのものだと考えている。

  以下は、同トロイの木馬が作用した後、暗号化されたファイルがどのように見えるかだ:

CRYPTED!

  以下はテキストファイルのコンテンツ:

Attention! All your files are encrypted! You are using unlicensed programs! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail [removed]@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!

  「注意!」

Attention!

  間違ったパスワードをインプットすると、ユーザが受けとる「「エラー!」メッセージ:

Error!

  別のエラーメッセージ。.txtファイルにある要求を繰り返す:

Error

  このトロイの木馬が使用する暗号化は、Gpcodeなど、我々が分析した他の一部ランサムウェアほど複雑ではない。その暗号化がクラック可能かどうかを見極めるための調査が進行中だ。

SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf

Analysis by — K.M. Chang

中国で開発されたHacktoolの検知に注意

HacktoolやNetToolといったウイルスが検出されたことはありませんか?
ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit(xxxはBackdoorやTrojan)のような検知名が付けられています。

lcx

これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。
例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor(HTran)などがそれにあたります。
ちなみに、Backdoor.Liondoor(HTran)は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。
※開発元は中国なのですが、他国の攻撃者も利用していますので、一概に中国邉劼砲茲觜況發箸呂い┐泙擦鵝
これらのツールは、プログラムが自動的に感染やバックドアを作成することはありません。攻撃者の操作によりバックドアに悪用されたりするプログラムです。
つまり、一般的な企業環境(?)においてHacktoolが発見された場合、往々にして既に攻撃者が侵入しており何らかの被害を被っている可能性が高いといえます。
この辺は古典的な話ですので、詳細は割愛しますね。

さて、このHacktoolですが悪用されていても中々見つけられない、という相談をよく受けることがあります。
一般に、これらのツールは大抵のウイルス対策ソフトで駆除できますが、駆除されずに悪用されているのはどういうことでしょうか。
マルウェア感染のインシデント対応全般的に言えることなのかもしれませんが、
まず考えられるのは、"検知できない状況"であるということが、理由のひとつとして挙げられると思います。
何故、駆除できないのかの理由は色々ありますが、よく見かけるのは次の3つです。
.Εぅ襯溝从ソフトが停止されている
▲Εぅ襯溝从ソフトの検索対象外の領域が利用されている
6扈すべきHacktoolが被害ホスト上に無い

,蝋況蘯圓管理サーバを不正操作していたり、ホスト上の設定が変更された可能性などが考えられます。
△魯Εぅ襯溝从ソフトの設定やユーザの利用環境などに依存することが多いです。
#製品によってリスクウェアをスキャン対象外にしていると検知できない場合があります。
は被害ホストとは異なるリモート・ホスト上にHacktoolが存在している場合などがあります。
#この場合、攻撃者が不正操作の起点となっている親玉のシステムが存在する可能性があります。その場合、親玉システムの発見に手間取り、被害が収束するまでに時間を要すことがあります。

いずれにせよ、攻撃者がすでに標的のシステムを乗っ取った後の操作となりますので、これらの操作がされていても不思議ではありません。

もしHacktool関連の検知ログが1つでも見つけた場合、(ネットワーク的に)周辺のホストやADのログを至急調査してみてください。
#業務情報などが漏洩していないことを祈りつつ
攻撃の痕跡は、あっという間に削除されますので、スピード勝負となりますが、運が良ければ邉匚具を利用した痕跡が発見されるかもしれません。

気をつけて頂きたいのは、Hacktoolの発見はネットワークトラフィックとホスト上のログとの相関分析が必要となることが多いです。
そのため、基本ではありますが事前にOSなどのログに関しても確実に取得しておくことをお勧めします。特にWindowsのログオン成功のログは重要です。

何はともあれ、Hacktoolが発見された場合はLAN内の複数のシステムが乗っ取られていることを前提に、迅速にダメージコントロールを心がけた動きが重要です。
侵入台数が少ないことを祈りつつ。

Flashback除去ツール

  エフセキュアは広まっているMac OS Xマルウェア「Flashback」を自動的に検出、除去する無料ツールを作成した。

F-Secure Flashback removal tool

  同ツールの使い方は:

1)「FlashbackRemoval.zip」をスキャンしたいMacにダウンロードする。
2)ZIPパッケージをダブルクリックして現行フォルダで解凍する。
3)「FlashBack Removal」アプリをダブルクリックしてツールを実行する。
4)インストラクションに従ってシステムをチェックし、感染を除去する。

  同ツールはユーザのデスクトップにログファイル(RemoveFlashback.log)を作成する。もし感染が見つかれば、現行のホームフォルダで、暗号化されたZIPファイル(flashback_quarantine.zip)が隔離される。このZIPは、「infected」というパスワードで暗号化される。

  Appleは同マルウェアのための修正に取り組んでいることを発表しているが、いつになるかは述べていない。

About Flashback malware, support.apple.com/kb/HT5244

  意外なことに、AppleはビルトインのXProtect OS Xアンチウイルスツールに、これまでに最も流布しているOS XマルウェアであるFlashbackの検出を加えていない。

  また注意すべきは、AppleがOS X v10.5およびそれ以前のシステムで、Flashbackによって使用されるJava脆弱性のパッチを提供していないということだ。現在もOS X 10.5を実行しているMacは16パーセント以上あるのだが。

Chitika, March 2012, Mac OS X Verions

  もしあなたが古いバージョンのMac OS Xを使用しているなら、現行バージョンにアップデートした方が良い。もしくはブラウザでJavaを使用停止すること。あるいはJavaをアンインストールすることだ。そして我々の無料ツールを実行して欲しい。そして我々は本格的な「F-Secure Antivirus for Mac」も用意している。

追記:擬陽性を修正。上でリンクしているツールは4月12日にアップデートされている。

韓国のセキュリティカンファレンス「CODEGATE」に行ってきました

4/2、4/3に、韓国ソウルでセキュリティカンファレンス「CODEGATE」が開催されました。日本からは、CTFチームの「Sutegoma2」がハッキングコンテストで参加、私がカンファレンスでの講演とパネルディスカッションで参加していました。

gate


YUTやカンファレンス、パネルの様子などは、以下に少しまとめていますので、興味のある方は参照して下さい。
http://www.facebook.com/FourteenfortyResearchInstitute  

CODEGATEの参加者は主に韓国内の方でしたが、スピーカーやYUTの参加者は韓国含めワールドワイドでした。2000人以上の来場者数との事で、韓国内でのセキュリティに関する関心の高さが伺えます。

韓国内でもセキュリティベンダーは沢山ありますが、国際競争を常に意識しながらそれぞれのコアコンピタンスを磨き続ける文化が根付いている感じがしました。

ただ、やはり現状は日本と同様、現場はいつも大変みたいです。元eEyeの同僚のMattと一緒にパネルディスカッションに出ていたのですが、「現場のエンジニアが現状を変えたいと思うなら、国を出てアメリカに行くのが一番いい」と言っていたのが印象的です。

しかし、 少なくとも日本は元々、さまざまな産業分野で高い技術を武器に世界で戦ってきた国です。ITやセキュリティの分野でも実はしっかり戦える力を持っていますので、 「チャレンジし続ける文化」を 日本のセキュリティ業界でもしっかりと作って行ければと思っています。

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

Mac Flashback感染

月曜、我々はその時点で未パッチだったJava脆弱性(CVE-2012-0507)を悪用するMac Flashbackトロイの木馬の亜種について書いた。Appleは火曜日、セキュリティ・アップデートをリリースした。もしMacにJavaをインストールしているなら—すぐにアップデートすること。

  昨日Dr. Web(ロシアのアンチウイルスベンダ)が、Flashbackは50万台以上のMacに感染しているかもしれないと報告した。

  Flashbackがインストールされると、それぞれに固有のユーザ・エージェントが作成される。Dr. WebのIvan Sorokinは、現在、感染の試算を60万台以上としている。




  エフセキュアの「Anti-Virus for Mac」は、Flashbackの最新の亜種を「Trojan-Downloader:OSX/Flashback.K」として検出する。

  Flashbackに関する我々の最近の説明は以下の通り:

  •  Flashback.I
  •  Flashback.K

  Mac関連の以前の記事には、Javaを停止する方法、Flashbackの感染について調べる方法、手動での削除方法がある:

  •  目下のMacマルウェア
  •  (Mac)Flashbackはあるか?
  •  未パッチのJava脆弱性を悪用するMac Flashback

  この週末、イースターホリデーを祝う人は、もしご両親を訪問し、彼らがMacを持っているなら、Javaクライアントプラグイン/インストールをアップデートするか、停止するか、削除してあげるべきだ!

  (そしてそれはWindowsにも当てはまる。)

警察を装うランサムウェアが継続

この数週間、我々はヨーロッパ全域でランサムウェアが横行するのをモニタリングしてきた。地元警察からのものとおぼしきメッセージが表示され、コンピュータをアンロックするには罰金を払わなければならないと要求するものだ。先月は、フィンランド語の亜種についてお知らせしている。我々の統計を見る限り、攻撃者達は現在もまだ非常に活発な動きを見せている。

Police warning

  このメッセージが偽だと気づけるだけの知識があっても、ユーザのハードドライブに不快な素材があるという同マルウェアの告発が萎縮効果を生みだし、外部の助けを求めようとしない人が出る可能性がある。

  以下は、最近の亜種を用いて今日、我々がとったスクリーンショットだ:

Poliisi

  コンピュータをアンロックするには、ユーザは地元のコンビニエンスストア・チェーン(フィンランドではR-Kioskiだ)でPaysafecardを100ユーロ分購入するよう求められる。このテクニックは効果的だ。WebmoneyやeGoldといったオンラインペイメントサービスを使用することができない可能性のある、技術的なことに疎い人々でも、支払いを行うために近所のストアには歩いていけるだろうからだ。

  このケースで、スクリーンショットに表示されている「talletus@cybercrime.gov」というメールアドレスは、攻撃者に属するものではない。「cybercrime.gov」というドメインは有効で、米司法省に属している。

  この亜種(SHA1: e6e330614c46939b144cff9bd627ba098dce9873)では、手動で停止させる最も容易な方法は以下の通りだ:

1 – 「Ctrl-O」(大文字のOで、数字の0ではない)を押す。
2 – 「Browse」を選択し、「c:\windows\system32」へ行き「cmd.exe」を開く。
3 – 新たに開いたウィンドウに「explorer.exe」とタイプする。すると、デスクトップを再び使う事ができるはずだ。
4 – 「Startup」フォルダをブラウズする。パスは言語設定およびWindowsのバージョンにより異なる。以下のスクリーンショットでは、英語版Windows XPでのパスが示されている。このパスで「Administrator」を自分のユーザ名で置き換える必要もある(既にAdministratorを使っているのでなければだが、それには触れないでおこう…)。

Startup

5 – 見覚えのないエントリは全て削除しよう。悪意あるエントリの名は、スクリーンショットで示されているものとは違うかもしれない。自信がなければ、全てのエントリを削除することもできるが、他の有効なアプリケーションが自動的に開始されなくなるリスクがある。
6 – コンピュータを再起動する。

  この後、脅威は停止されるが、悪意あるファイルはまだコンピュータ上にある。アンチウイルス製品でコンピュータをスキャンすることを強くお勧めする。

  ステップは亜種によって若干、異なるかもしれない。CERT-FIが別の亜種を少々異なるステップで削除するインストラクションを掲載しており、Microsoftも彼らの説明に情報を掲載している。

4月5日の追記:我々の「Trojan:W32/Reveton」に関する説明に、削除のインストラクションがある。

—————

Security Response Post by — Antti and Karmina

不可解なJavaエクスプロイト

  先週、Kahu SecurityがJava攻撃の拡大に関する記事をブログに掲載した。Kahuの記事は、2つのJavaエクスプロイトを分析している。

Kahu Security, Java Attacks

  第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。

  最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。

  さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。

  土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。

Kahu Security, Mihi

  私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。

  Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。

  Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp

  私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa

  「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。

—————

では
Timo

あまり知られていないBlackholeのエクスプロイト

  調査され、何度も分析されているにも関わらず、Blackholeにはまだ思いがけない驚きがある。我々が発見したばかりなのが、「CVE-2011-0559」のエクスプロイトで、これは現在Blackholeが使用している2つのFlashエクスプロイトの一つだ。

Flash code

  他のエクスプロイトと比較して、これはかなり以前から使用されているが…様々なセキュリティ製品を使用してもカバー率は非常に低い。

VirusTotal results

  アンチウイルスのカバー範囲が低く、Metasploitが存在せず、そしてPoCを見つけるのが極めて困難なため、悪用の可能性が高まることになる。BlackholeはAdobe Flash 10.0およびそれ以前のバージョン、10.1、10.0.x(xは40以降)の悪用を目的としている。脆弱性は2011年3月に修正されている。「エフセキュア アンチウイルス」では、「Exploit:W32/CVE-2011-0559.A」として検出される。

  Blackholeの驚きは止まらない。

—————

Threat Insight Post by — Karmina and Timo








未パッチのJava脆弱性を悪用するMac Flashback

  「CVE-2012-0507」(Java脆弱性)を悪用する、Flashbackの新たな亜種(Macマルウェア)が発見された。我々はここしばらく、このようなことが起きるだろうと予想していた。

Flashback.K

  Oracleは2月、この脆弱性にパッチを当てるアップデートをリリースした。ただしWindows用を…

  しかし — AppleはOS Xのアップデートを(まだ)リリースしていない。

  Flashbackギャングはエクスプロイト・キット開発の最新の状況を追っているようだ。先週Brian Krebsが、Blackholeエクスプロイト・キットの最新版に「CVE-2012-0507」エクスプロイトが組み込まれたことを報告した。そしてそれで終わりではない。未確認ではあるものの、「まだパッチを当てていないJavaの深刻な欠陥」に対する、さらに別のエクスプロイトが利用可能だという噂があるのだ。

  よって、もしまだJavaクライアントを停止していないのなら、これが広まる前にそうして頂きたい。MacでJavaを停止する方法に関するインストラクションは、我々の前回の記事でチェックして欲しい。

  Flashbackに感染しているかどうかをチェックする方法に関する以前のインストラクションも適用可能だ。しかしこの亜種では、感染したユーザのホームフォルダで作成される、別のアップデータコンポーネントがある。デフォルトでは、「~/.jupdate」として作成される。

  対応する属性リストファイルも作成され、感染したユーザがログインするたびに実行される。デフォルトでは、この属性リストは「~/Library/LaunchAgents/com.java.update.plist」として作成される。

Flashback.K

Flashback.K

  しかし、これらのファイル名は感染したシステムにより異なるかもしれない。これらは、エクスプロイトを与える悪意あるWebページにより設定可能だからだ:

Flashback.K

  詳細については、エフセキュアによる「Flashback.K」の説明をご覧頂きたい。

MD5: 253CAE589867450B2730EF7517452A8B

クラウドの軌跡をまとめた美しいインフォグラフィック

エフセキュアは今年で24歳。日本では13歳を迎えるフィンランド生まれの老舗セキュリティ企業です。

そのエフセキュアが先月、通信事業者経由で提供されるパーソナルクラウド ソリューション 「F-Secure Content Anywhere」を発表、コンテンツクラウド事業への参入を明らかにしました。

エフセキュアは、これまで世界中でPCやモバイル端末向けのセキュリティ対策やバックアップソリューションを提供しており、グローバルなセキュリティ事業者として成長して参りました。そんな中、セキュリティ事業で培った実績・経験を礎に、セキュリティ企業としての既存概念を超えようとしている、といえます。
続きを読む

タイタニックAPT

ジェームズ・キャメロン監督の先頃のダイビングで収集された情報にもとづいた、タイタニック号に関するニュース速報がある。

Titanic APT

  新たな調査結果は、海底から引き上げられた遺物に基づくものだ。

  以下は、タイタニック号のブリッジからの画像で、謎の物体がクローズアップされている。

Titanic APT

  似たような物体が、船長のキャビンで見つかった。

Titanic APT

  以下は海上に引き上げられた後、謎の物体をクローズアップしたもの。

Titanic APT

  この物体には片側にスライドがある。さびているが、このスライドは現在も使用可能だ。

Titanic APT

  以下はスライドを押してみた画像。ご覧の通り、コネクタは現代のUSBプラグに若干似ている。

Titanic APT

  エフセキュアのフォレンジック&ピンポンラボは現在、同USBスティックのコンテンツを分析している。

  このUSBドライブは、タイタニック号の蒸気エンジンのコントロールユニットを標的とするPLCマルウェアをドロップする、ゼロデイ・エクスプロイトを含んでいるようだ。

  我々はまもなく、おそらくは4月1日の終業時までに、本件の詳細が判明するものと考えている。

  ジェームズ・キャメロン、Cerrious Designおよびナショナル・ジオグラフィックに感謝する。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード