エフセキュアブログ

2013年08月

Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




広範な攻撃ツールFinFisher

 FinFisherGamma Groupという企業によって開発、販売されている広範な攻撃ツールだ。

 最近、FinFisherの販売用のパンフレットやプレゼン資料がネット上に流出した。そこには、このようなツールに関する数々の興味深い詳細が記されている。

 FinFisherのプレゼン資料での背景のパートでは、Gamma社の攻撃ツール群を構築するために、同社がどのようにBacktrack Linuxの(当時の)中心的な開発者を雇ったかの説明に続いている。これはMartin Johannes Munchを指している。同社はまた、自社の開発者達がBlack HatやDEF CONにどれくらい参加したかを自慢している。

FinFisher

 FinUSBツールはUSBスティック経由でコンピュータを感染させるために使用される。「Can be used e.g. by housekeeping staff(たとえば家政婦でも使用可能)」

FinFisher

 このドキュメントによれば、FinIntrusionキットは、たとえサイトがSSLを採用していたとしても、無線ネットワーク経由でユーザ名とパスワードを記録するために使えるそうだ。

FinFisher

 Gamma社はまた、ユーザのネット口座の認証情報の窃取に、FinIntrusionが使えることを強調している。

FinFisher

 バックドアFinFly(USBドライブからデプロイ)は「can even infect switched off target systems when the hard disk is fully encrypted with TrueCrypt(ハードディスク全体がTrueCryptで暗号化されている場合、標的のシステムの電源が切られていても感染可能)」とのことだ。

FinFisher

 FinFly Webエクスプロイトは、自動的に気付かれず感染させる(drive-by-infection)ために使用できる。また地域のISPが当該エクスプロイトを組み込むと、被害者がGmailまたはYoutubeへアクセスする際に、これらの「信頼された」サイトへモジュールを注入することが可能だ。

FinFisher

 被害者を感染させる別のメカニズムでは、被害者がダウンロードする度に、マルウェアを含めるように、被害者のISPが汚染させるようにする。また、これは自動ソフトウェア更新に手を入れることでも実現可能だ。

FinFisher

 興味深いことに、FinSpy Mobileの説明でWindows Phoneをサポートしていることに特に言及している。これは我々が気付いた、初のWindows Phoneのマルウェアへのリファレンスになる。

FinFisher

気の毒なTeam Lokki、日の光を楽しむ時間がない

 ヘルシンキでは夏のような美しい気候が1週間近く続いている(8月下旬はいつもそう、というわけではない)。

 それなのに、一体全体「Team Lokki」はどうしてブラインドを閉めて部屋の中で座しているのだろうか?

Team Lokki

 日の光を楽しむ時間がないのだ。なぜなら、守らねばならぬ厳しいスケジュールがあるからだ。彼らはLokkiの最新版の開発をしている。

iPhone, Lokki splash

 Lokkiとは?

 これは一種のトラッキングを行わないトラッキングアプリだ。言い換えると、選択した何人かの間であなたの現在地を共有する、ライフスタイルアプリである。

 ソーシャルネットワークなし。ビッグデータなし。履歴なし。

 あなたと、近親者、そして現在は幾人かの友人だけが、あなたの現在地を共有できる。

 詳細情報はlok.ki/blogで確認できる。

 Team Lokkiはスタートアップ企業のように活動している。「この夢を飛び立たせるためにクレジットカードを限界まで使ってきた」という感じで、カッコいいベンチャーキャピタルからの資金提供といったものではない。おそらく上の写真から分かると思う(Harriの机の上の空のボトルは気にしないように)。しかし、ともかくこのチームのプロジェクトは初期段階にあり、フィードバックを喜んで受け入れ、また非常に感謝するだろう。そして、フィードバックがアプリケーションの開発パスに直接的な影響を与える。

 Lokkiは現在、Android用とiOS用のものが用意されている。

 まだ、すべての国で利用できるわけではない(法的ななんやかやは現在処理中)。

 カナダ向けのiTunesのページはこちら。

 Google Playでこのページを見ると、次のようになる。

Lokki_US__Google_Play

 AndroidアプリのポータルAppBrainへのリンクが使える。

 ありがとう!

 追伸 ― アメリカ在住の方のために注意点を少々。Googleの検閲を迂回するためにリファラーにAppBrainを用いると、CFAA法違反(Computer Fraud and Abuse Act、コンピュータ詐欺および不正行為防止法)と見なされる可能性がある。

 冗談だろう。いや、そうでもない。たぶん。CFAAは改正する時期が来た。

クラウド上では目立たぬ男女差

エフセキュアが行った最近の調査によると、男性や女性に対するステレオタイプな観方に対して、両者には若干の差異があるものの類似点も数多くありました。
デバイスに保存している写真やビデオ、ドキュメントなどのデジタルコンテンツについて、46%の女性が「わからない」と回答しています。男性は半分の23%でした。
Facebookのプライバシー設定については、23%の男女が設定方法を知らず、また子供のプライバシー設定について懸念する男女の割合も同じで57%が懸念を示しています。

この他、詳細はエフセキュアのプレスリリース「クラウド上では目立たぬ男女差」をご覧ください。

レンタルサーバ向けにWebサーバの保護を提供開始

株式会社paperboy&co.が運営する個人向けレンタルサーバ「ロリポップ!」のWebサーバのセキュリティ対策に、エフセキュアのLinux向けセキュリティ製品「エフセキュア Linux セキュリティ」が採用されました。

「ロリポップ!」は個人向けレンタルサーバで、月額105円(税込)からという低価格でありながら、専門的な知識や経験がない初心者でも簡単にWebサイトやブログを構築することができます。

詳細はこちらのニュースリリースをご覧ください。
http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1071776/

Facebookの透明性

 Facebookは、2013年の上半期を対象とした透明性レポートを昨日リリースした。

Global Government Requests Report

 すべてひっくるめて、71の国が38,000超人の情報を請求した。データが生成された請求の割合に基づくと、Facebookは法が適用されたものについて約25,473人分の情報を提供したことになる。

 計算(やグラフ作成)を行いたいと思うのなら、私がCSVファイルに数値をコピーしておいた。

 では、どういった種類の情報をFacebookが提供しているのだろうか?ああ、アカウントがあれば、これを自分自身で試せる。facebook.com/settingsに行って、「Download a copy of your Facebook data.(Facebookデータをダウンロード)」というリンクをクリックする。

 データのアーカイブの中に、いくつか興味深い詳細情報が見られる。

Data archive, security

 推測された位置情報が含まれている。



 しかし、この推測は完璧には程遠い。

 私は4月に、実際にドイツを訪れた。

Germany

 しかし、カリフォルニア南部には長期間立ち寄っていない。

southern California

 少なくとも私の知る限りでは…。

 この未来は突然、信用調査と同じようにログファイルの間違いを検査せざるを得なくなったようだ。なぜだろう?

@Sean

動画:政府公認の監視

 IBTimes TV:Government-Endorsed Surveillance(政府公認の監視)

Mikko on IBTimes TV

 「我々がインターネットを作り上げたのは、このようなことのためではない。」―ミッコ・ヒッポネン

自由度の高いセキュリティポリシーを集中監視で保護

ホテルの運営、レストランウェディングのプロデュースや運営受託などのコンサルティング業務を展開している株式会社 Plan・Do・See。






1,000名以上の従業員がおり、全社でWindowsやMacBookを500台弱使用しています。WebブラウザもIEのほかFirefoxやGoogle Chromeを混在して自由に利用。
こうしたIT環境をエフセキュア プロテクション サービス ビジネス(PSB)で一元管理されています。
いち早く「ソフトウェア アップデーター」機能も活用し、OSやWebブラウザ、プラグインなどの脆弱性対策にも取り組んでいます。
PSBを使用開始されてからおよそ一年経った今、詳しく状況をお聞きし事例にしました。
是非ご一読ください。

http://www.f-secure.com/ja/web/business_jp/references/case-studies/view/story/1071759/

AndroidマルウェアPincerの作者

 インターネットセキュリティのジャーナリストBrian Krebs氏はなぜ@sennecoをフォローしているのだろうか?

https://twitter.com/senneco

 答は今日のKrebs on Securityの記事「Who Wrote the Pincer Android Trojan?」にある。

Wi-FiのハニーポットとMacアドレスの監視

 ロンドンのシティにてリサイクル用ゴミ箱を活用して、通りすがりの電話機のMacアドレスが収集されていた、というレポートが、8月8日、Quartz誌で報じられた。このスキームは8月12日に中止された。13日には、私はデンマークのレポーターJakob Mollerhoj氏に対し、同国で行われた同様のBluetoothおよびWi-Fiの追跡について語った。道路上の交通の流れや、空港での人の流れを予測するためのものだった。

 こうした交通の流れの分析はプランナーにとっては非常に価値あるものだが、「PRISM」の視点からみると、この種のメタデータの収集は大変懸念すべき傾向だ。

 数年前、当社にてBluetoothハニーポットプロジェクトがあった。

Bluetooth Honeypot

 我々がこれを押し進めていたら、Macアドレスを匿名で格納する方法を見つける必要に迫られていただろう。なぜなら今日では、第三者が関連のある「ビジネスの記録」を探して売ることは、まったくもって簡単すぎるのだ。あなたの街の個々のCCTV(訳注:監視カメラとして使われることが多い)が、あなたの電話機のWi-Fi用のMacアドレスも記録しているか、想像できるだろうか。

 実験の実施に関心のある方は、Linux Journalの3月号「Wi-Fi Mini Honeypot」を確認するとよい。

 しかし何を、そしてどのように収集するかには、本当に注意が必要だ。危険なまでに無法な景色が広がる。

 では。
 @Sean

仮想アプライアンスによるゲートウェイ層でのマルウェア対策

今後サポート終了が予定されているWindows XPを使い続ける必要がある場合、未対策の脆弱性からどのようにPCを守るかが鍵となってきます。こうした観点からもゲートウェイレイヤでのマルウェア対策は、今日のセキュリティを考える上では必須の要件です。マルウェアの多くはOSやソフトウェアの脆弱性を悪用して感染するため、脆弱性が発見されても修正されないサポート終了後のOSは、マルウェアにとって格好の標的となります。OSやアプリケーションに脆弱性が存在する場合、エンドポイントでマルウェア対策を行っていても感染を防げないリスクもあります。

サポートが終了したOSを守る最適な方法は、PC上のウイルス対策に加え、マルウェアを近づけさせないことです。マルウェアの多くは、Webからのダウンロードやメールの添付ファイルとして配布されるため、Webとメールのゲートウェイでマルウェア対策を行うことが最も重要です。PCにマルウェアが到達した場合、PC上でマルウェア対策を行っていたとしても、修正されていない脆弱性を悪用して感染してしまうリスクがあります。

このような環境を考えて、「エフセキュア アンチウイルス
Linuxゲートウェイ」を、従来のソフトウェア版Ver4.11に加え、同等の機能を有した仮想アプライアンス版で提供することになりました。OSを含めて提供されるため、ユーザはOSそのものの導入やメンテナンスの手間を省くことができます。また仮想サーバとして動作するため、既存の仮想基盤があればハードウェアの追加投資無く構築することが可能です。

詳細は
、 http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1053302/ をご覧ください。

NASDAQのコミュニティフォーラム

 7月18日、私はV3.co.ukのAlastair Stevenson氏に次のように述べた

 「考えてみてください。NASDAQのコミュニティフォーラム用のユーザパスワードのために当該フォーラムを侵害するだけでなく、水飲み場型攻撃で使うことも目的にしていたとしたらどうでしょう。iPhone Dev SDKフォーラム経由で行われた、Twitterや、Facebook、アップル、マイクロソフトへの水飲み場型攻撃は、良くないことだとお考えでしょう?そして、私が思いますに、NASDAQ経由で攻撃されたときの損害の類は、これとは比べものにならないでしょう。」

http://grahamcluley.com/2013/07/nasdaq-hackers/
画像のソース:grahamcluley.com

 2月に遡って、複数の巨大インターネット企業が、フォーラム上の水飲み場型攻撃を通じて侵害されたことを考えると、NASDAQのコミュニティフォーラムのハッキングについて、当事者がほんのちょっとだけでも気になっていないことは、本当に大きな驚きだ(休暇シーズンだからか?)。NASDAQのフォーラムは、水飲み場型攻撃を展開するために使われていなかったのか?

 そして今週、ゴールドマン・サックスのオプション誤発注NASDAQの取引停止が…。

 今現在、私は心の底から、水飲み場はなかったという確証を得たいと思っている!

 読者の皆さんはどうだろうか?

Post by — @Sean

AndroidマルウェアがSMTPに向かう

 Androidマルウェアの世界では新しいことは何もない、と思う間もなく、小さなことだが、非常に興味深いと驚くことがあった。SMTPサーバに接続してメール送信するAndroidマルウェアだ。

 SMTPを使用すること以外、このマルウェアはまったくもってありきたりのものだ。インストールすると、モバイル機器上に永続的に留まるために、アプリケーションはデバイス管理をアクティベートするかどうかユーザに尋ねる。この脅威はアプリケーションメニュー内に重要なアイコンを何も追加しない。むしろユーザは、アプリケーションマネージャを確認しないと、「Google Service」と偽装しているアプリケーションがあることに気付かない。

mobile1 (138k image)

 インストール後、当該アプリケーションは電話番号や、送受信したSMS、録音された音声のような慎重に扱うべきユーザ情報を、あるメールアドレスに向けて収集する。続いて、SMTPサーバ、特定したところではsmtp.gmail.com、smtp.163.com、smtp.126.comを用いて、盗んだデータを送信する。以下には、非常に中国臭がするものを感じている…。

code (169k image)

 この脅威がSMTPサーバに接続しようと試みているところのスクリーンショットを次に示す。

smtp (161k image)

 この脅威は、大抵の場合サードパーティーのAndroid市場や悪意あるWebサイトからダウンロードされることがわかっている。我々は1ヶ月前に初めてこのマルウェアファミリを目にしたが、以来活発に活動している。当社では既にこの脅威をTrojan:Android/SMSAgentとして検知する。

msms_android (59k image)

Post by — Swee Lai

DEFCON CTFネットワークを可視化せよ

今年のDEFCON CTFでもsutegoma2は予選を突破し、決勝に進みました。(CTFについては、こちらを参照)
私も五度目の決勝出場を果たす予定でしたが、直前で体調を崩してしまいドクターストップのため渡米すら叶いませんでした。
しかしチームメンバーが健闘してくれて、今までの中では最高となる6位という成績を収めることができました。

そんな中、今年はCTFネットワークを可視化するという試みを行いました。
日本のサイバーセキュリティで可視化と言えば、テレビでもおなじみのNICT(情報通信研究機構)が開発したnicterです。
そこで今回のDEFCON CTF決勝ではNICTの協力を得て、CTFでの攻防の様子を可視化することにしました。
やるからには見ておもしろいだけではなく、実戦で役に立つことを目標に開発が行われました。

実際に今年のCTFを可視化した動画をご覧ください。(音声あり)



CTFでは各サーバからキーと呼ばれるファイルを取得するか、上書きすることで得点が加算されていきます。そのため防御面ではキーが盗まれたことをいち早く察知し対応することが求められますので、キーが盗まれた場合には「警」マークを表示しています。

可視化することで、
  • どのサービスが攻撃の標的にされているのかを一目で把握できる
  • どこから攻撃が来ているのかを一目で把握できる
  • 侵入後の攻撃者の活動を観察することができる
  • 意図しないサービスが攻撃されていることを検知できる
  • 重要な情報の流出を検知できる
などのメリットがあることがわかります。

これらのメリットがあるということは、可視化が役に立つのはCTFだけではなく、企業のセキュリティにも応用できるということだと思います。

以上、参加してないのに今年のDEFCONレポートでした。

我々は話し合う必要があるようです、Googleさん

 Google御中。悪いように取らないで頂きたいのですが、しかしどうにも…、御社は最低ではないかと存じます。

 常にそうだったわけではありません。実際にかつて私は、Googleのサービスを楽しんでおりました。

Google_Products

 しかし昨今、いや本日、私は単純に当研究所のYouTubeチャンネル古い動画をアップロードしたいと考えていました。悲しいことに、ログイン直後とアップロード前、YouTubeチャンネルをGoogle+プロフィールにリンクするように「request」によりお誘いがありました。そして知らぬ間に「fslabs」氏という人がGoogle+プロフィールを作成していました。これは酷い!

 以下に考えを述べます。YouTubeアカウントにGoogleプロフィールを紐づけようとする「前に」、おそらく、そのYouTubeアカウントが「個人」のものかどうか最初に尋ねるべきではないでしょうか。

 尋ねられなかったので、「私」が使いもしない新しいプロフィールを作って終わりになりました。そして、その「個人」のプロフィールから「グループ」のチャンネルへのリンクをアンドゥ(削除)することは、チャンネルを無効化することにつながりました。さらに、再度有効にして元の状態に戻すのにかなりの時間を費やす必要がありました。その上、続いて既存の動画すべてについて、プライバシーの設定を指定しなおさなければならなかったのです。

 恐喝されているかのように感じました(不道徳です)。

 今では、このGoogle+のばかげた「プロモーション」のすべてに、御社にはもっともな理由があったのだと確信しています。そして、おそらく正当でない理由もありました。

 私が間違いを犯したのは確かです。処理の途中で小さなキャンセルボタンを見落としたに違いありません。また、Google+プロフィールを削除することでチャンネルを無効化した後のどこかで、私はYouTubeの設定の中の「unlink」オプションを示していたのだと思います。

 しかしね?

 もはや本当に気にしていません。私は、Googleその他には見切りを付けました。代替手段を調査します(Vimeo、Dailymotionなど)。

 私個人のGoogleアカウントですか?これは使用中ですが、「無料」なので手元に置いておきます。

 以上です。私の話は終わりです。

 もはや面倒なことをする価値はありません。

 そして明確にしておきますが、Gmailの使用時にプライバシーへの法的な期待を持てないとする最近の申し立てとは、なんら関係はありません。

 またGoogleのサーバ群にNSAが直接アクセスできるようにしているという懸念の類とも、一切関係はありません。

 (Googleのセキュリティエンジニアは信頼できると、私は考えています)

  Googleアカウントを削除するという私の決断は純粋に、私がうんざりしているということに関係します。忌々しいサーチエンジンのランキングと、関連する広告機能のためだけに、Googleは私をもう1つの望まない「ソーシャル」ネットワークへと追い込もうとしています。

 問題なのは私ではありません。

 御社です。

—————

ではまた。
ショーン

エフセキュア セキュリティ研究所 セキュリティ・アドバイザー
twitter.com/5ean5ullivan

お勧め:ポーランドCERTによるZeus P2Pのレポート

 銀行を狙ったトロイの木馬についての秀逸な分析に、ご興味をお持ちの方のために…。

 ポーランドCERTによる、ZeuSのGameover版(訳注:P2P版と同義)に関するレポート。

CERT Polska, ZeuS-P2P internals – understanding the mechanics: a technical report

ZeuS-P2P internals – understanding the mechanics: a technical report(ZeuS-P2Pの内部 - 構造を理解する:テクニカルレポート)

BlackHat 2013 - セキュリティカメラのハッキング

今年もBlackHatに行って参りました。今回は、前職のeEye時代に住んでいたカリフォルニアのオレンジカウンティから車でラスベガスまで移動しました。オレンジカウンティに居た頃は友人と何度かラスベガスまで車に遊びに行きましたが、道中は相変わらずの風景でとても懐かしかったです。

BlackHatは年々規模が拡大傾向にあり、今年も去年に増して参加人数が増えていました。これ自体は大変喜ばしい事なのですが、反面、参加人数が増えたため交流がやや大変だという声もちらほら聞かれました。時代と共にカンファレンスのスタイルも変わってきますので、それに合わせて参加者の方も意識を変えていく必要があるのかもしれません。

今回もさまざまなトピックで研究成果が報告されていました。今回私からは一つだけ、「Exploiting Surveillance Cameras - Like a Hollywood Hacker」と題された発表を簡単にご紹介します。なお、FFRIではBlackHatのペーパーサーベイも行っていますので、いくつかその内容が近くWebで公開されるかもしれません。成果などはFacebookで随時アナウンス致しますので、もしよろしければ、FFRIのFacebookページも今後チェック頂ければと思います(https://www.facebook.com/FFRI.1440)

本発表では、複数のネットワーク対応セキュリティカメラを調査した結果が報告されています。脆弱性を悪用する事で、外部からカメラを自由自在に制御したり、あるいは、映像の不正閲覧や映像の差し替えなどが可能になるというものです。副題にもあるとおり、まさに"Like a Hollywood Hacker"です。

資料はこちらから入手できます。

基本的に、脆弱性は非常に古典的かつ簡単に攻略できるものばかりであり、また、Googleやshodan等で直接インターネットに接続しているものの一部は簡単に検索できてしまうようです。発表者は、製品ベンダーが公開しているアップデート用のファームウェアを解析して調査を行ったそうです。

攻略例では、カメラに実装されているWebサーバ上で動作するCGIのバッファオーバーフロー脆弱性や、あるいは、ハードコードされているバックドアアカウントを攻略する、といったものが紹介されています。また、それら脆弱性を攻略し、ストリーミング配信を実現しているデーモンを停止して「最後に映った映像」を流し続け、物理的な人の侵入を分からなくさせてしまうといった例も紹介されています。

今回発表された脆弱性は非常に古典的なものですので、簡単なトレーニングや簡単な検査で製品出荷前に対策できる可能性は十分にあると思います。IPAでも、製品出荷前に機械的に脆弱性をみつけるための手法としてファジングが紹介(http://www.ipa.go.jp/security/vuln/fuzzing.html)されていますので、組み込み機器などを開発されている方は是非一度確認頂ければと思います。

「MiniDuke」型の脅威を阻止するため、エクスプロイトのインターセプトを用いる

 MiniDukeは巧妙にコーディングされたAdobe PDFのエクスプロイトで、遡ること2月にニュースになった 。これはヨーロッパのいくつかの国の政府を狙うために使用された。

 現在、エクスプロイトの阻止は、防御においてかつてないほど重要なレイヤとなっている。そしてそれこそが、Timo Hirvonenのようなエフセキュアラボのアナリストが、エクスプロイトに関するエキスパートになった理由だ。そのため(Jose Perezといった開発者も絡むが)当社の技術力は上がった。

 以下のスクリーンショットは、当社の最新のビヘイビア検出技術DeepGuard™における、MiniDukeに対する反応だ。

Miniduke vs F-Secure Internet Security 2014

 ブロックされた。シグニチャベースのスキャンも、バックエンドのヒューリスティックも使わずに、プロアクティブに。

 すばらしい。

 エクスプロイトのインターセプトは、我々の主な目的の1つだ。なぜなら、エクスプロイトは攻撃プラットフォームの最前にあるからだ。

 当社の技術についての詳細情報や、ボットZeroAccessのケーススタディは、ホワイトペーパーに掲載されている…。

 F-Secure DeepGuard: Proactive on-host protection against new and emerging threats(新たに出現した脅威に対し、プロアクティブにホスト上で保護)

DeepGuard, Behavioral Protection, Exploit Interception

ランサムウェアBrowlockが新たな国々を標的に

 ここ数週間、当社は比較的新しい「警察ランサムウェア」ファミリを追っている。これは当社ではTrojan:HTML/Browlockと呼んでいる。このランサムウェアは非常に簡素で、被害者に偽の罰金の支払いを要求するロック画面を表示するためにブラウザを用いていて、そのブラウザのタブが閉じられてしまうのを避けるために策を弄しているだけだ。

 最初にアメリカ、カナダ、イギリスの人々を標的にするのを目撃したときから、新しい国々へと拡大していくことを予期していた。予期したとおり、現在ではその他の地域のユーザも、現地の法執行機関からのローカライズされたメッセージを目にしている。

 以下は、異なる国々で見られるBrowlockのロック画面だ。

Browlock in UK

Browlock in AU

Browlock in NL

Browlock in ES

 このランサムウェアファミリのほぼすべてについて、ロック画面を高品質でローカライズする翻訳者を見つけるのは、非常に難しかったように見受けられる。細心の注意を払って読めば(いや、おそらくどの程度の注意であっても十分だ)、ドイツ語のローカライズにいくつか細かな問題があることに気づく。

Browlock in DE

 カナダ人向けのロック画面のデザインも、概ね似通ったままだ。

Latest Browlock in CA

 気が付いたのだが、以下に挙げる以前のロック画面と見比べると、罰金が250カナダドルから150カナダドルへと下がっている。昨今の経済情勢の中で、ランサムウェアの犠牲者に対してさえ、このような高額の支払いを期待できないようだ。

Old Browlock in CA

 ドメイン名は変わるものの、現在ロック画面はすべてサンクトペテルブルクにある1台のサーバにホストされている。

Browlock Server

 当社はこのロック画面をTrojan:HTML/Browlock.Aとして検知する。

Post by — アンティおよびカルミナ

Java - 与え続ける才能

 脆弱性の研究者はJavaを愛しているに違いない。最近は特にJavaの2Dサブコンポーネントが、研究者たちの愛を感じていたように思われる。なぜなら2Dサブコンポーネントは、今年3月のCVE-2013-0809およびCVE-2013-1493に対する定例外のパッチ以降、合計で18個の修正済みの脆弱性があることになり、パッチ数が最多のサブコンポーネントとなったのだ。幸運にも、世間で唯一不正利用されたのはCVE-2013-1493のみとなっている。

 8月12日月曜日、さらにもう1つのJavaエクスプロイトへのリンクが共有された。

Tweet

 ツイートの内容と異なるが、このエクスプロイトは0デイではない。2Dサブコンポーネントのさらにもう1つの脆弱性CVE-2013-2465を悪用する。この問題はJava 7のupdate 21までのバージョンに影響があるが、最新バージョンのJava 7 update 25にはパッチが当てられている。当社ではこのエクスプロイトの検知(Exploit:Java/CVE-2013-2465.A)をリリース済みだが、ここまで現実世界では検出されていない。

 CVE-2013-2465は(まだ)現実に悪用されてはいないが、Java 7 update 21に影響を与える別のJavaの脆弱性CVE-2013-2460が存在する。このエクスプロイトは7月にエクスプロイトキットPrivateにて導入され、それ以来Sweet Orangeエクスプロイトキットでも目撃されている。さらに、カスペルスキー社は、この脆弱性が水飲み場型攻撃で悪用されることを指摘している(ポストの中で言及しているJARファイルはCVE-2012-4681ではなくCVE-2013-2460を悪用する)。

 まとめると、Java 7 update 25とJava 7 update 21のどちらを実行しているかで違いがある。Javaをアンインストールすることや、少なくともブラウザのプラグインを無効にすることが選択肢に無いのなら、最新版のJavaがインストールされていることを確認するとよい。

Grumpy cat

Post by — @Timo

追記さらに与え続けている。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード