エフセキュアブログ

クアラルンプール発

Internet Explorerゼロデイと安全なブラウジング

  Javaゼロデイ「CVE-2012-4681」の背後にいる人びとは忙しくしている。このJava脆弱性が公表されたのは、わずか2、3週前のことで、現在彼らはInternet Explorerバージョン6、7、8および9で、再びセキュリティホールを発見した。

  この脆弱性を悪用するコードがイン・ザ・ワイルドで発見されており、悪意あるWebページが、ヒープスプレーにより他のファイルをロードさせるFlashファイルをロードする。その後、こうした他のファイルが悪用可能なIEのバージョンをチェックし、悪意あるペイロードのダウンロードを招く脆弱性を利用する。この問題については、ここで詳細に議論されている。

  Microsoftはこれに対応し、アドバイザリをリリースしている。しかし、まだフィックスのETAは明記していない。

  エフセキュアでは、この脆弱性を標的とするエクスプロイトに関連するサンプル用の検出をリリースした:

Exploit:W32/Defeater.B
Exploit:W32/Defeater.C
Exploit:W32/SWFdloader.R
Trojan.Dropper.UIU

  現在はMetasploitモジュールが存在し、同コードは既に非常に明らかになっているが、我々はこれらの検出のみに頼るのではなく、今後、他のインプリメンテーションの可能性から身を守るため、絶えず警戒を怠らないことも強く推奨する。IEとゼロデイでは、すべての非常ベルがなり響き、管理者は悪用により引き起こされるかもしれない騒動の可能性になすすべもなくパニックを起こしたものだ。しかし時代は変わり、現在は誰にとってもより多くのオプションが存在する。同脆弱性が修正されない間は、どうか他のブラウザを使用して頂きたい。いまのところChrome、Firefox、Internet Explorer 10から選択できる。

  IE 10は、この脆弱性の影響を受けない。

Gameover ZeuS

  エフセキュアの「Threat Report H1 2012」から抜粋:

  昨年、version 2.0.8.9のソースコードが流出した後、ZeuSは別途開発された複数のクライムウェアファミリに別れた。興味深い開発はピア・ツー・ピアバージョンで、「Gameover」と呼ばれている。

  このGameoverピア・ツー・ピア(P2P)バージョンは、イン・ザ・ワイルドで現れたZeuSの第2の派生物で、ピア・ツー・ピア・ネットワークを使用して、感染したコンピュータからコンフィギュレーションファイルとアップデートを取り出す。この派生物に組み込まれた広範な変更は、ほとんどがもっぱらコンフィギュレーションファイルに集中しており、回復や分析を妨害することを目的としているようだ。変更の多くは、2008年(バージョン1.2)以来変わっていなかったバイナリ構造や圧縮方法など、長年変更の無かったコードセクションに加えられている。

  このバージョンが一般にリリースされた日付は、そのDomain Generation Algorithm(DGA)により作成されたドメインの登録データから推定することができる。このトロイの木馬は、P2Pネットワーク上で他のマシンに接続できない場合は、これらのドメインを「バックアップ・サーバ」として使用する。最初のドメイン登録が2011年9月5日に行われているので、同トロイの木馬はこの日付近くに解き放たれた可能性が高い。これらのバックアップ・サーバは、同トロイの木馬が実際のコンフィギュレーションファイルを読み出すことのできる感染したマシンの、別のリストをホスティングしているのみだ。このバックアップシステムは、コンフィギュレーションファイルが外部のWebサーバには保存されていないが、完全にボットネット自身の内部で取り扱われていることを意味している。

  分析されたすべてのP2Pサンプルには、着信するファイルのデジタル署名チェックに用いられる、同一のRSAパブリックキーが含まれていた。

  他のボットネットに特有な暗号化キーも同様だ。したがって、このP2Pバージョンはプライベートなものであり、これらトロイの木馬を作成するのに使用されたキットは、それ以上再販されなかった、というのが我々の結論だ。このことは、これらトロイの木馬のすべてが同一のボットネットにつながっており、一つの団体によりコントロールされていることを意味している。広範囲な変更が加えられたことと、ソースコードがリークした後にこのバージョンが現れるのに比較的短期間しか掛からなかったことから、このP2Pバージョンは漏洩したコードから作業をした部外者により作成されたものではないと見られる。ZeuSコードの論理的で、慎重に作成された進化形であり、おそらく「ZeuS 3」と呼ぶことも可能だろう。その作者を特定する方法は無いが、オリジナルの「ZeuS 2」の背後にいる人物であるということは、大いにあり得る。

ZeuS Distribution, April - May2012

  完全な脅威レポートはここからダウンロードできる。








偽物を改良 - Android版

  偽AVがスポットライトを浴びた際、そのユーザインタフェースはかなり安っぽく明らかに不正なAVから始まり、非常に説得力のあるデザンに至った。悪党たちがそのレベルに到達するにはしばらく時間がかかったが、より多くの犠牲者集団を獲得するために、デザインを完璧にしようと実に労力をかけた。

  偽Androidアプリケーション用Webサイトは同じ道を辿っているようだ。かなり前から、これらは同じWebサイトレイアウトテンプレートを使用している。模倣している最新のアプリケーション例は、「Android Office」「Winamp」「Doodle Jump」「DrWeb」「Mass Effect,」および「Nova 3」だ。

android_template2

  しかし、そのトレンドは変化している。我々はすでに、より洗練されたデザインを生み出すため、テンプレートを使用していない偽アプリケーションもいくつか見かけている。

skype_instagram

  たとえば、このChromeと偽Chrome Webサイトだ。私が「FAKE(偽)」と入れいなかったら、違いがお分かりだったろうか?

chrome_fake_real

  こうしたサイトはますます説得力が増している。これらWebサイトのルック&フィールは2、3ヵ月後にはどうなるのだろうと考えさせられる。

  かなり見栄えが良いものが良いというわけではない。Androidの世界では、デバイスに何かをインストールする場合、我々は慎重になければならない。

  我々はこれらのサイトの悪意あるアプリケーションを「Trojan:Android/Fakeinst」ファミリーとして検出している。さらにエフセキュアでは、Browsing Protectionを通じて、このような悪意あるWebサイトへのアクセスからモバイルカスタマを保護している。








ダウンロード:モバイル脅威レポート Q2 2012

  長らくお待たせしたが、F-Secure Labsが2012年4月から6月までに確認した脅威を詳述した「Q2 2012 Mobile Threat Report」を公開する。

  報告は以下からダウンロードできる:モバイル脅威レポート Q2 2012[PDF]

mtrq22012 (189k image) threat_by_type (50k image)



Intel OS Xバイナリを持つマルチプラットフォームバックドア

  月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。

  その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。

Social-Engineering Toolkit (SET) attack files

  まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。

  ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。

  Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:

Windows payload in shellcode form

  シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。

  これらのファイルは以下のように検出されている:

Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)

  バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。

コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








いつもとは違うSkypeダウンロード

  我々は最近、Androidデバイス向けにSkypeアプリを提供するとおぼしきWebサイトを発見した。

  Androidデバイスから同サイトにアクセスすると、ダウンロード用にAPKファイル(skype52_installer.apk)が表示される:

skype_apk (25k image)

  しかし、iOSデバイスを使用して同サイトにアクセスすると、以下のスクリーンショットが示すような表示が現れる:

skype_iphone (24k image)

翻訳:
この新アプリは確認され、展開されている:skype.ipa
iphone_free_spaceをチェック


  その後、ユーザにインストールが「完了」したことが知らされる:

skype_iphone_confirm (25k image)

翻訳:
インストール完了!
新アプリskypeをいつでもインストールできる!
このアプリを違法使用から保護するため、あなたの電話番号を入力し、SMSメッセージのインストラクションに従って下さい。


  この時点で、デバイスにインストールされた新しいアプリケーションはまだ無い。案の定、電話番号を入力しても、何も起こらない。

skype_iphone_sms (47k image)

翻訳:
インストール完了!
確認のリクエストを含む無料SMSメッセージが送信されました。


  AndroidやiOS以外のデバイスから訪問すると、JARファイル(skype52_installer.jar)のプロンプトが表示される:

skype_jar (216k image)

  翻訳してくれたDmitriyに感謝する!








ZeroAccessの自己削除法

  我々は通常、長年にわたってマルウェアが発展、進化するのを見ている。我々がフォローしてきたマルウェアにはZeroAccessがあるが、これは2010年後半に初めて検出して以来、常に改良されている。代表的なのは、最新のサンプルで、自己削除ルーチンが変化している点だろう。

  これは実行後、ユーザから自身の存在のあらゆる痕跡も隠すための、手早くシンプルな方法として、ZeroAccessが自身を削除するのに使用されるシンプルなWindowsバッチファイルだ(クリックすると拡大):

zeroaccess_selfdelete (11k image)

  他の多くのマルウェアが、このバッチファイル自己削除メソッドを使用している。しかし最近、ZeroAccessは変貌しようとしており、アナリストの作業がより複雑になっているようだ。そのため、以下のコードが使用されている(コメント無しで表示):

zeroaccess_selfdelete_nocomments (20k image)

  現在、ZeroAccessは他のプロセスのコンテクストで、ひねりをきかせてコードを実行するため、Win32 EXEのダイナミックフォーキングを使用する。Win32 EXEを他のプロセスのメモリスペースにロードする代わりに、ZeroAccessは基本的に、カスタマイズしたスタックを準備して、それを他のプロセスのコンテクストに挿入し、そこでスタックスタックのシーケンスに従って実行される。

  以下のコメント付きコードは、ZeroAccessが使用する方法と従来の方法との違いを示している:

zeroaccess_selfdelete_commented (40k image)

  これが上手くいくには、ZeroAccessはWindowsのネイティブAPI「ZwWaitForSingleObject」を示すよう、命令ポインタレジスタの修正も行う。修正とカスタマイズしたスタックが整うと、同マルウェアは悪事を働きはじめ、消え去る。

  ResumeThreadがコールされ、リモートプロセスが実行されると、最初に修正された命令ポインタレジスタにより示されたZwWaitForSingleObjectを実行する。

  このファンクションは、コーラプロセスが停止するまで待たれ、リモートプロセスで実行を再開する。それは停止したプロセスハンドルを閉じるため、スタックのトップで次のインストラクションを実行し、スタックが増大すると次のファンクションを実行する。

  最終的にこれはZwSetInformationFileにFileDispositionInformationパラメータを用いて、自身を削除するファンクションを実行する。以下の図はカスタムスタックのオペレーションをまとめたものだ(クリックすると拡大):

zeroaccess_selfdelete_customized_stack (64k image)

  ちなみに最新のZeroAccessは以前のルートキット対応亜種と互換性を持つ。我々はどちらにも類似したコードを見つけており、これはルートキットデバイスオブジェクト「\??\ACPI#PNP0303#2&da1a3ff&0」をチェックする:

zeroaccess_selfdelete_check_existence (21k image)

  ZeroAccessルートキットがインストールされたマシンでは、特別に作成された値「STATUS_VALIDATE_CONTINUE」が返される。そうでない場合は「STATUS_OBJECT_NAME_NOT_FOUND」が返される。このチェックにより、マシンが既に以前のルートキット対応の亜種に感染していることを発見した場合、最新の亜種はルーチンの一部をスキップすることが可能になる。

  最後に、我々のカスタマはさまざまなシグネチャ、ヒューリステックおよびクラウドベースの検出により、新旧双方のZeroAccess亜種から保護されている。



Post by — Wayne



Rescue CD Betaをリリース

  昨日、我々は「Rescue CD」ツールのベータ版をリリースした。

  同ベータ版はKnoppix OSのversion 6.7.1へのアップデートや、USBから起動可能になるなど、主として既存の機能に変更を加えたものだ。

Rescue CD

  通常通り、ベータ版はテストを目的としたものであり、プロダクションマシンでは使用しないようお勧めする。通常のRescue CDツールについては、こちらをご覧頂きたい。

  詳細はRescue CDベータ版のダウンロードページにあり、パッケージは直接ここからもダウンロードできる(ISO、143MB)。インストール前にリリースノートユーザガイドをお読み頂きたい。

新しいZsoneが開発中か? #Android

  Androidマルウェアのニュース:Zsoneが発見されて1年経ったが、我々は新しい亜種に遭遇した。あるいは少なくとも、新たな亜種が開発中なのだろうかと、我々に疑問を持たせたサンプルに。この新しいZsoneは、SMS送信ルーチンにネイティブコンポーネントを使用している。

  以下は、SMS送信用バイナリコンポーネントのコードの一部だ。

Zsone

  しかし、「10086」もしくは「1066185829」から来るメッセージの伝播を防止するためのSMS妨害ルーチンは実装されていないか、ネイティブライブラリの一部ではない。

Zsone

  最初の亜種「Trojan:Android/Zsone.A」は、公式のAndroidマーケットに存在することが知られていた。

  うまく行けば、この新たな亜種はGoogle Playまでたどり着かないだろう。この開発のモチベーションが何か、不思議に思う人がいるだろう。我々には同マルウェアがこの新たなテクニックを利用できた方法について、いくつかの可能性が見えている。おそらくGoogleのBouncerを破るため?

  エフセキュアのモバイルセキュリティはこれを「Trojan:Android/Zsone.C」として検出する。

SHA1: a251bc753405d44f2902aca3f470006f77bf9e79

—————

Analysis by — Zimry

ZeuSランサムウェア機能:win_unlock

  今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。

  この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。

  システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。

  受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

ZeuS, ransom feature

  したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:

  1. セーフモードでシステムを起動
  2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
  3. syscheckキーの下に新しいDWORD値を作成
  4. 新しいDWORD値の名称をCheckedに設定
  5. Checked値のデータを1に設定
  6. 再起動

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko

Java Drive-by Generator

  今日、非常に興味深い感染に遭遇した。あるサイトにアクセスしたところ、未知の発行者から「Microsoft」アプリケーションに関するセキュリティ警告を表示された。このサイトは実際、「Gmail Attachment Viewer」のふりをしている。Microsoft+Gmail? 失敗だ。

Google attachment

  同アプリケーションを実行させると、Cisco Foundationのインビテーションにリダイレクトされ、バックグラウンドでマルエウェア・バイナリがダウンロードされる。

Cisco invite

  このメッセージも同じマルウェアをダウンロードする悪意あるリンクを含んでいる。おそらく確実に感染させるためだろう。

  いずれにせよ、この感染はiJava Drive-by Generatorを使用して生成されるが、これは明らかにここしばらく見かけるものだ。

  同ジェネレータにより攻撃者はJavaファイルとドロップされるWindowsバイナリの双方に、ランダムな名称を使用するか、自身のプリファランスを指定することができる。

iJava main

  iJavaは感染の記録も行う。以下は上記の感染からのデータだ:

iJava 2ndp

  そしてこれは、この特定のマルウェアで感染が昨日始まったことを示している。これまで、Java Drive-byリンクに訪問したのは、たった83名だ。

  そしてありがたいことに、彼はあまり成功していない(くわばらくわばら):

iJava stats








また新たなSQLインジェクション攻撃

  どういうわけか、ASP/ASP.netサイトを標的とする、こうしたSQLインジェクションはまったく衰える気配が無い。

  最初にLizamoonがあった…何百万ものWebサイトが感染し、驚かされた。

  次にnikjju.comhgbyju.comといった、2、3の事例が続いた…

  そして今やnjukolだ…

google_results (256k image)

  その名はもはやLizamoonほどキャッチーではないが、そのアイディアは変わらない。

  このnjukol.comは、まだかなり新しいものだ。同ドメインは4月28日に登録されている。面白いのはドメインの登録者が以前のもの全てと同じままだということだ。

registrant (6k image)








Java MIDletをインストールしたデバイスを標的とする「Trojan:Java/SmsSy.A」

  Java MIDletをインストールしたモバイルデバイスを標的とする、SMS送信型トロイの木馬がマレーシアで出回っている。一部の被害者は、Samsungからのアップデートのように見えるSMSメッセージを受信したと報告している。


samsung_update_trojan
Samsungからのアップデートのお知らせのように見えるメッセージ



  しかしリンクをクリックすると、JARファイルに導く他のリンク(http://mmgbu[...].com:90/[...].jar)にリダイレクトされる。このJARファイルは、同マルウェアが複数の短いナンバーにSMSメッセージを送信するよう、詳細を実行する。

  実行されると、同トロイの木馬は3つのSMSメッセージを(たいていは有料課金番号に)ユーザの同意無しで送信する。コンテンツと受信番号は以下の通り:
- “On GB” to 39914
- “On DF” to 39914
- “On HB” to 33499


  次に、「HOT WEB DL」というタイトルと、「DANCE CLUB」「BEACH GIRLS」「FUNNY VIDEO」「GT MODEL」「HOT CAM」という5つのセクションに分類された女性の画像が示される。オプションが選択されると、「On(コンテンツ)」というストリングを含むSMSメッセージを、(ナンバー)に送信する。コンテンツは以下の通り:
- HB
- MODEL
- LY
- AV
- GA


  これらのメッセージは、後で以下のナンバーに送信される:
- 33499
- 33499
- 36660
- 36660
- 36989



smssy_manifest
メッセージコンテンツと受信番号の詳細を含むファイル



smssy_picladies
「SmsSy.A」が使用する画像



  同じトロイの木馬の別のサンプルを分析したところ、異なるコンテンツと受信番号が割り当てられていることが分かった:


smssy_manifest2
「SmsSy.A」の他のサンプルには異なるコンテンツとナンバーが割り当てられていた



smssy_picmtv
「SmsSy.A」により使用された異なる画像



  我々は問題のあるURLを適切に査定し、「Trojan:Java/SmsSy.A」として検出している。

Sha-1: 75a91ac99cb5bc2a755d452393d29fa66a323c3f
Sha-1: bca72058af2a7ddb9577ecb9a61394a31aea5767



Blog post by - Jordan and Raulf

Javaを悪用するさらなるMacマルウェア

  「CVE-2012-0507」を悪用する新しMacマルウェアの亜種に関する報告が、先週浮上した。このJava脆弱性は、60万台以上のMacを感染させるのにFlashbackが使用したのと同一のものだ。

  最初の新たな脅威はTrend Microの人々により分析された。Mac用Javaアプレットは実際、「CVE-2012-0507」を悪用し、成功すれば、ペイロードはAlienVault Labsが先月発見した(人権擁護NGOに対する標的型攻撃で使用された)のと同じマルウェアだ。

  第2の脅威は、最初のうちは完全に新しいマルウェアの一部であるように見える。しかし、収集された次のサンプルで、同マルウェアも「Backdoor:OSX/Olyx.C」および「Backdoor:OSX/MacKontrol.A」をドロップするのに用いられた、「MS09-027/CVE-2009-0563」を悪用する同一のWord書類によりドロップされたことが明らかになった。これも先月、AlienVaultにより報告されたものだ。

  どちらのマルウェアも現在アクティブなようで、ESETおよびKasperskyがそれぞれ観測しているように、マニュアルでコントロールされている。どちらも同一の悪意あるJavaクラス・ドロッパ・コンポーネントを使用する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

  エフセキュア アンチウイルスはこれらの脅威を「Backdoor:OSX/Olyx.B」および「Backdoor:OSX/Sabpab.A」として検出する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (別名Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (別名Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

  これらマルウェアの亜種は、チベット関連のNGOに対する標的型攻撃で使用されており、したがって日常的なMacユーザーが「イン・ザ・ワイルド」で遭遇することは無さそうだ。もしあなたがMacを使用している人権問題専門の弁護士なら…リスクを被る確率は全く異なる。まだ感染していないなら、Macにアンチウイルスをインストールすべき時だ。

不可解なJavaエクスプロイト

  先週、Kahu SecurityがJava攻撃の拡大に関する記事をブログに掲載した。Kahuの記事は、2つのJavaエクスプロイトを分析している。

Kahu Security, Java Attacks

  第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。

  最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。

  さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。

  土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。

Kahu Security, Mihi

  私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。

  Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。

  Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp

  私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa

  「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。

—————

では
Timo

あまり知られていないBlackholeのエクスプロイト

  調査され、何度も分析されているにも関わらず、Blackholeにはまだ思いがけない驚きがある。我々が発見したばかりなのが、「CVE-2011-0559」のエクスプロイトで、これは現在Blackholeが使用している2つのFlashエクスプロイトの一つだ。

Flash code

  他のエクスプロイトと比較して、これはかなり以前から使用されているが…様々なセキュリティ製品を使用してもカバー率は非常に低い。

VirusTotal results

  アンチウイルスのカバー範囲が低く、Metasploitが存在せず、そしてPoCを見つけるのが極めて困難なため、悪用の可能性が高まることになる。BlackholeはAdobe Flash 10.0およびそれ以前のバージョン、10.1、10.0.x(xは40以降)の悪用を目的としている。脆弱性は2011年3月に修正されている。「エフセキュア アンチウイルス」では、「Exploit:W32/CVE-2011-0559.A」として検出される。

  Blackholeの驚きは止まらない。

—————

Threat Insight Post by — Karmina and Timo








未パッチのJava脆弱性を悪用するMac Flashback

  「CVE-2012-0507」(Java脆弱性)を悪用する、Flashbackの新たな亜種(Macマルウェア)が発見された。我々はここしばらく、このようなことが起きるだろうと予想していた。

Flashback.K

  Oracleは2月、この脆弱性にパッチを当てるアップデートをリリースした。ただしWindows用を…

  しかし — AppleはOS Xのアップデートを(まだ)リリースしていない。

  Flashbackギャングはエクスプロイト・キット開発の最新の状況を追っているようだ。先週Brian Krebsが、Blackholeエクスプロイト・キットの最新版に「CVE-2012-0507」エクスプロイトが組み込まれたことを報告した。そしてそれで終わりではない。未確認ではあるものの、「まだパッチを当てていないJavaの深刻な欠陥」に対する、さらに別のエクスプロイトが利用可能だという噂があるのだ。

  よって、もしまだJavaクライアントを停止していないのなら、これが広まる前にそうして頂きたい。MacでJavaを停止する方法に関するインストラクションは、我々の前回の記事でチェックして欲しい。

  Flashbackに感染しているかどうかをチェックする方法に関する以前のインストラクションも適用可能だ。しかしこの亜種では、感染したユーザのホームフォルダで作成される、別のアップデータコンポーネントがある。デフォルトでは、「~/.jupdate」として作成される。

  対応する属性リストファイルも作成され、感染したユーザがログインするたびに実行される。デフォルトでは、この属性リストは「~/Library/LaunchAgents/com.java.update.plist」として作成される。

Flashback.K

Flashback.K

  しかし、これらのファイル名は感染したシステムにより異なるかもしれない。これらは、エクスプロイトを与える悪意あるWebページにより設定可能だからだ:

Flashback.K

  詳細については、エフセキュアによる「Flashback.K」の説明をご覧頂きたい。

MD5: 253CAE589867450B2730EF7517452A8B

タイタニックAPT

ジェームズ・キャメロン監督の先頃のダイビングで収集された情報にもとづいた、タイタニック号に関するニュース速報がある。

Titanic APT

  新たな調査結果は、海底から引き上げられた遺物に基づくものだ。

  以下は、タイタニック号のブリッジからの画像で、謎の物体がクローズアップされている。

Titanic APT

  似たような物体が、船長のキャビンで見つかった。

Titanic APT

  以下は海上に引き上げられた後、謎の物体をクローズアップしたもの。

Titanic APT

  この物体には片側にスライドがある。さびているが、このスライドは現在も使用可能だ。

Titanic APT

  以下はスライドを押してみた画像。ご覧の通り、コネクタは現代のUSBプラグに若干似ている。

Titanic APT

  エフセキュアのフォレンジック&ピンポンラボは現在、同USBスティックのコンテンツを分析している。

  このUSBドライブは、タイタニック号の蒸気エンジンのコントロールユニットを標的とするPLCマルウェアをドロップする、ゼロデイ・エクスプロイトを含んでいるようだ。

  我々はまもなく、おそらくは4月1日の終業時までに、本件の詳細が判明するものと考えている。

  ジェームズ・キャメロン、Cerrious Designおよびナショナル・ジオグラフィックに感謝する。

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード