エフセキュアブログ 2012-02-05T02:14:35Z tag:blog.livedoor.jp,2009:fsecure_blog fsecure_blog livedoor Blog Copyright (c) 2012, fsecure_blog ラップトップ・ステッカー 2012:投票を! 2012-02-02T17:14:17Z 2012-02-03T01:37:08+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50651236   数週間前、我々はコミュニティ・フォーラムのメンバー、そして「News from the Lab」ブログの読者に、新しいエフセキュアラボ・ラップトップ・ステッカーのアイディアを寄せて欲しいとお願いした。それで、我々はようやく時間を見つけて、ファイナリストを選出した。  ... ヘルシンキ発 アイディアを寄せて欲しいとお願いした。それで、我々はようやく時間を見つけて、ファイナリストを選出した。

  polldaddy.comでご覧頂けるし、お気に入り10個を投票することができる。

Laptop Stickers Poll, 2012

  このアンケートは少なくとも、もう1週間行う予定なので、シェアやツイートなど自由に行って頂きたい。

  そしてもちろん、結果が出たらステッカーをプレゼントする方法を考えるつもりだ。

  では!

>>原文へのリンク
]]> sean_sullivan 本格的 2012-02-01T14:59:09Z 2012-01-31T19:57:55+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50651073   以下は米国のテレビドラマ「ボーンズ」のクリップだ。  最近のエピソードでは、コンピュータウイルスがコンピュータをクラッシュさせる。そしてそれを発火させる。ウィルスはフラクタルを介して侵入した。銃撃を受けた被害者の骨に埋め込まれていた。  本格的だ。 >... ヘルシンキ発
  最近のエピソードでは、コンピュータウイルスがコンピュータをクラッシュさせる。そしてそれを発火させる。ウィルスはフラクタルを介して侵入した。銃撃を受けた被害者の骨に埋め込まれていた。

  本格的だ。



Bones S7E6 TV series Fractal Computer virus







>>原文へのリンク
]]> mikko_hypponen 「Trojan:Android/OpFake.D」がコンフィギュレーションファイルをコード化 2012-02-01T15:54:56Z 2012-01-31T16:28:45+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50651072 我々はマルウェアが、先に他のオペレーティングシステムで登場し、Androidに移植されるケースを良く見ている。以下はその条件を満たす新たなトロイの木馬だ。  OpfakeはSymbianとWindows Mobileで、最初に発見された。最近のAndroid版では、同トロイの木馬は(まだ)Opera ... クアラルンプール発
  OpfakeはSymbianとWindows Mobileで、最初に発見された。最近のAndroid版では、同トロイの木馬は(まだ)Opera Miniアプリであるように見える…パーミッションのリクエストは、SMSメッセージを送信することだけだ:

Android OpFake, permission

  同アプリ(我々は「Trojan:Android/OpFake.D」として検出している)は、ローンチの際メッセージを送信することが分かった:

Android OpFake, SMS

  以前のケースでは通常、クラスにハードコードされたSMSメッセージを見かけたが、今回はメッセージコンテンツと電話番号は「config.xml」ファイルに保存され、エンコードされる。以下は文字化けしたコードだ:

Android OpFake, garbled code

  このストリングはbase64デコーディングを使用してデコードされると読み出し可能となり、実行時にメッセージがアプリにより送信されることを示している:

Android OpFake, decoded code /><br /><br />  このAndroid版(SHA1: 4b4af6d0dfb797f66edd9a8c532dc59e66777072)は、そのコンフィギュレーションファイルをエンコードするopFakeの「伝統」を受け継いでおり、新しいものではない。しかしこれは、分析からコードやアクションを隠すため、ますますエンコーディングや他のテクニック(他のプラットフォームで長年標準だったもの)を使用する、Androidマルウェアの現在のトレンドに当てはまっている。<br /><br />ThreatSolutions post by — Irene<br /><br /><div style=
ThreatSolutions post by — Irene

>>原文へのリンク]]> fsecure_corporation Androidマルウェアが電子透かしを使用? それほどでも… 2012-02-01T14:53:48Z 2012-01-30T16:47:29+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50651071   私がいつものようにAndroidマルウェア分析を行っている際、特定のサンプルのクラス・モジュールにざっと目を通していると、以下のようなコードを見つけた。図1  昨年後半、私はPortable Network Graphics(PNG)画像フォーマット、特にテキスト情報を持つフィールドに... クアラルンプール発

fig1_finding_tEXT_chunk (4k image)
図1




  昨年後半、私はPortable Network Graphics(PNG)画像フォーマット、特にテキスト情報を持つフィールドについて、より詳細にチェックしていた。コードを見ていると、なぜこのアプリケーションはPNGファイルの「tEXt」チャンクが存在しているかどうか、チェックする必要があるのかということについて、すぐに疑念が生じた。

  私はコードに目を通し続け、この特定コードが画像ファイルを特定するため、どこでコールされるかを発見した。

fig2_method_checking_tEXT (85k image)
図2



  同コードのこの部分は、画像ファイルがリソース名「icon.png」を使用し、アプリケーションとバンドルされていることを示している。それからこの画像は開かれ、PNGチャンク(図1)をチェックするコードがコールされる方法へと送られる。

  APKパッケージのリソースを検査することで、似たような名称の3つのファイルが現れる。これはtEXtチャンクの初回の発生にしか興味を持っていないため、私はただちにHEXビューワを取り出し、全ファイルの最初のtEXtチャンクを調べた。これらは皆、特定のチャンク用に同一のバイナリデータを含んでいた。以下は、この画像の内部表示と、HEXビューワでレンダリングの際にどう見えるかを示している。

fig3_tEXT_chunk_marker (161k image)
図3



  この画像は、アプリケーションのアイコンとしても使用されている。よって、デバイスへのインストール中もインストール後も、非常に良く目にする。

fig4_app_icon (139k image)
図4



  現時点で、図3のデータは私にはほとんど意味が無いが、tEXtチャンクがバイナリデータ、もしくは読めないストリングを持つのは普通ではない。そこで図1の残りのコードの分析を続けた。更に分析して分かったのは、これが図3の隠されたデータを読み、ハードコードされたtext stream(「キー」)に対してビットごとのXOR演算を、どのバイト読み出しでも実施することだ。

fig5_hidden_data_decryption (39k image)
図5



  私はPython派なので、図3から隠れた情報をデコードするため、以下のような小さなスクリプトを作成した。このアルゴリズムは、図5のコードで分かったことに基づいている。スクリプト(図6.a)を実行した後、驚いたことに、読み取り可能な英単語と数がいくつかあった!

  これらのプレーンテキスト情報が、アプリケーションに対して何を意味するのかは、依然としてハッキリしないが、現時点で、こえららのデータ(図6.b)をPNGファイル(図3)のtEXtチャンクデータから隠すため、電子透かしを使用していることが分かった。しかし、電子透かしの厳密な定義を見ると、このサンプルが本当に電子透かし的であると考えられるのかどうかは、議論の余地がある。PNGファイルのチャンクの一つで、エンコードされたデータのシンプルな埋め込みに過ぎないからだ。

fig6_decrypt_hidden_data(79k image)
図6



  図5の残りのコードの分析を続けると、これら隠された情報(部分的なスクリーンショットは以下の通り)が、アプリケーションの主要な動機(すなわち有料番号にSMSを送信するということ)をサポートするために使用されているという事実がさらに強固となった。

fig7_hidden_info_screenshot (125k image)
図7



  上のコードを発見したほか、SMSの送信オペレーションのため、これら情報を実際に使用していることを確かめるため、Androidデバイスエミュレータでアプリケーションの実行も行った。そしてここでは、送出されるSMSイベントが記録され、図6.bのデコードされたデータとよく似た詳細が得られた。このイベントは、私が新たにインストールされたアプリケーションのメインUIから、「Next」ボタンをヒットした途端に起こった。

fig8_outgoing_sms_event (65k image)
図8



  このアプリケーションのsha1は「ac118892190417c39a9ccbc81ce740cf4777fde1」で、「Trojan:Android/FakeRegSMS.B」として検出される。


Threat Solutions post by ? Jessie

----

2012年1月30日:電子透かしについてさらに詳述するため、タイトルとテキストに修正を加えて更新した。

>>原文へのリンク
]]> fsecure_corporation 「インターネットにつながっていないから安全」という神話 2012-01-30T00:24:05Z 2012-01-30T09:22:30+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50650583 2010年にStuxnetが見つかり、インターネットにつながっていないから安全だと思われていた制御システムがウイルスに感染していたことが明らかになりました。その際、イランの原子力施設が標的にされ、被害に遭っていたことがわかっています。たとえインターネットにつながって... オフィシャルコメント
では、制御システムは本当にインターネットにつながっていないのでしょうか。
次の地図は制御システムを運用する際に使われるソフトウェアが稼働しているサーバで、かつインターネットからアクセスでき、日本に存在するものを示しています。もちろん私が見つけたものだけですので、現実にはもっと多くのサーバが存在すると思います。

scadamapjapan

同じ場所にあるサーバは一つのピンで示していまして、私が調査した時点では合計104台のサーバが日本で稼働しているようでした。これらのサーバにアクセスするためには認証が必要なものも多いですが、インターネットにつながっていなくとも攻撃を受ける時代において、インターネットにつながっている機器はどれほどの攻撃を受けるのでしょうか。認証があれば大丈夫だといえるのでしょうか。サーバだけでなく、クライアントまで含めると一体どれほどの数がインターネットにつながっているのでしょうか。制御システムのセキュリティはまだまだ問題を抱えていそうです。

2月3日に行われるカンファレンスでは、制御システムに対して具体的にどういった攻撃が行われ、どのような被害が発生するのか、そして制御システムのセキュリティはどういう状況なのかについてお話しする予定です。

制御システムセキュリティカンファレンス 2012
http://www.jpcert.or.jp/event/ics-conference2012.html

]]> daiki_fukumori FacebookスパマーがAmazonのクラウドを利用 2012-01-30T05:58:24Z 2012-01-26T22:48:40+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50650667 Facebookはこのところ、サーベイ系スパム投稿を食い止めるため、適切な仕事をしている(全体的に見て)。  では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。  AmazonのS3... クアラルンプール発
  では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。

  AmazonのS3ファイル・ホスティングサービスを利用することで、こうした連中の問題のかなり多くが解決される。第1に、AmazonのS3ウェブサービスは非常に安価に設定できるため、サーベイから儲けを出すことができる。第2に、Facebookはスパムにリンクする疑わしいURLをブロックすることにかなり成功しているため、amazonaws.comのような安全で人気のあるドメインで自分達の詐欺のコードをホスティングすることにより、Facebookの防御をすり抜ける可能性が高くなる。

  以下の図は、アジェンダの基本的な流れを示している。

Facebook, Amazon S3, Spam diagram

  ChromeとFirefox以外の全ブラウザでは、サーベイ・ページが供されるため、スパマーのサーベイが記入され、提出されると、実際に収益を上げることができる。このマネタイゼーションは、大部分のソーシャル・メディア・スパムの背後にあるCost Per Action(CPA)マーケティング・モデル内で起きる。スパマーのサーベイ完了率を高めようと、位置情報技術が使用されている。位置によって、偽Facebookページが特定のアフィリエイト・マーケターにリダイレクトされるサーベイを表示するのだ。

Father Melts Baby's Brain With Motorboat Sounds

  FirefoxとChromeは、不正なYouTubeブラウザ・プラグインの使用により、Facebookを介して詐欺をさらに拡大するための手段として使用される。これらブラウザのどちらかからアクセスされると、偽Facebookページはプラグインのインストールを表示する。

  スパマーは最近、Facebookとのイタチごっこの戦いの一部として、プラグインを使い始めている。

Father Melts Baby's Brain With Motorboat Sounds

  プラグインをインストールすると、Amazonのウェブ・サービスでmo1torからmo15torまで、ユーザー名からランダムに選択することで、リダイレクタURLが生成される。次に生成されたリンクは、ハードコードされた5つのuserIDとAPI key-parのいずれかを使用して、bitly.comを通じて短縮される。これらのkey-parによりスパマーは、Amazonウェブ・サービスのリンク用に、自動的にbit.ly URLを生成することが可能になる。これは最終的に、偽Facebookページへのリダイレクションに導く。

  おそらくは防衛を混乱させようとして、wowvideo[random number].comのフォーマットを使用した存在しないドメインもランダムに作成される。しかしAmazon S3ウェブ・サービスとbit.ly URLのみが実際に使えるリンクだ。

  以下がこのポストの構成だ:

Title: [Video] Father Melts Baby's Brain With Motorboat Sounds
Messages:

  •  hahaha this video will bend your mind
  •  have you all seen this yet?
  •  stop it! his eyes are going to pop out!!
  •  Its eyes are black because it has no soul
  •  must be experimental technology from mother russia!
  •  im afraid i have some bad news
  •  i want you to all see this

Summary: Total meltdown! I bet you have never seen this before!
Main URL: www.wowvideo[random number].com

  以下が実際の例:

Father Melts Baby's Brain With Motorboat Sounds

  問題のあるアドオンは、Firefoxでは「Uninstall」、Chromeでは「Remove」を使用して取り除くことができる:

Chrome Extensions

Firefox Extensions

  ちなみに、配布されたFirefoxプラグインは…Macでアーカイブされた。

Mac OS X

  これが「Windows」の問題だと考えるかもしれないので念のため。 ;-)

Threats Insight post by — Karmina

>>原文へのリンク
]]> fsecure_corporation ポーランドのパスワードをクラッキング 2012-01-27T05:47:06Z 2012-01-26T02:34:21+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50650268   月曜日の記事で紹介したサイトの多くは、現在もまだDDoS攻撃による標的となって以来オフラインのままだ。ハッカーたちは26日まで継続すると宣言している。  Polskie Radioによれば:「火曜の夕方、インターネットの著作権侵害に反対するACTA合意に対抗するため、1000人... ヘルシンキ発 月曜日の記事で紹介したサイトの多くは、現在もまだDDoS攻撃による標的となって以来オフラインのままだ。ハッカーたちは26日まで継続すると宣言している。

  Polskie Radioによれば:「火曜の夕方、インターネットの著作権侵害に反対するACTA合意に対抗するため、1000人以上の人がワルシャワに集まった。トゥスク首相は木曜、ポーランドはこの条約に署名すると認めている。」

  調印は東京で実施される予定だ。

  #ここでジョークを:

  ポーランドの官僚のラップトップをハッキングする方法は?

Polish password security

  …ユーザ名とパスワードが、ステッカーに書かれているよ。

>>原文へのリンク
]]> sean_sullivan ポールポジション:アンチACTAハッカーがポーランドを攻撃 2012-01-24T15:03:16Z 2012-01-24T01:06:09+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50649910   ポーランドからの最新ニュースだ。伝えられるところではAnonymousと関係のあるハッカーたちが、今週予定されている模倣品・海賊版拡散防止条約(Anti-Counterfeiting Trade Agreement:ACTA)の調印に抗議するため、ポーランド政府のWebサイトを攻撃している。  ACTAは... ヘルシンキ発
http://blogs.wsj.com/emergingeurope/2012/01/23/hackers-hit-polish-government-websites/?mod=wsj_share_twitter

  ACTAは知的所有権に関する条約だ。ポーランドは1月19日、同条約に2012年1月26日に調印すると発表した。

  「@AnonymousWiki」というTwitterアカウントが、ポーランド政府への反対運動を呼びかけた。

  これらはすべて、FBIによるMegauploadのテイクダウンを受けて行われた、SOPAへの抗議とAnonymousの米国政府のWebサイトに対する攻撃に続くものだ。

  DDoS攻撃により標的とされたWebサイトは以下の通り:abw.gov.pl; arimr.gov.pl; ets.gov.pl; knf.gov.pl; mf.gov.pl; mkidn.gov.pl; mzios.gov.pl; pip.gov.pl; praca.gov.pl; premier.gov.pl; stat.gov.pl; uzp.gov.pl.

  以下は、現在ダウンしている「premier.gov.pl」のGoogleのキャッシュからのスクリーンショットだ:

premier.gov.pl

  改竄されたページに埋め込まれたビデオは、ヴォイチェフ・ヤルゼルスキ(ポーランド最後の共産党員リーダー)が1981年12月13日に行った、戒厳令の発表のパロディだ。

Wojciech Jaruzelski

  そして興味深くもあり、衝撃的でもあるのは — ハッカーが「premier.gov.pl」の管理パネルへのパスワードとログインは、「admin」(ログイン)と「admin1」(パスワード)だったと主張したことだ。

  ハッキングされたラップトップが、ポーランドの行政・デジタル相ミハウ・ボニの副官ものだという報告もある。

  この状況はさらに展開するだろう。

>>原文へのリンク
]]> sean_sullivan SOPAとは一体何なのか? 2012-01-19T08:52:26Z 2012-01-18T23:07:38+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50649022   ほとんどの方が、SOPAについて、少なくとも耳にしたことがあると思う。Wikipediaなどの主要Webサイトが今日、関心を高めるため、コンテンツの一部をブラックアウトしている。  いくつかの地域で、Googleはロゴを消している。  言論の自由やプライバシーの擁護団体の... ヘルシンキ発
  いくつかの地域で、Googleはロゴを消している。

Google

  言論の自由やプライバシーの擁護団体の多くが懸念しているのは、SOPA(「Stop Online Piracy Act」の略)が、著作権侵害の防止という名の元に、米国政府機関が海外でホスティングされたWebサイトを掌握する法的権限を、大幅に拡大するということだ。

This domain name has been seized by U.S. Immigration and Customs Enforcement…

  そしてこの問題は、ハリウッドと「コンテンツの著作権侵害」などという話ではない。製薬会社も参加しており、カナダベースのサイトもいくつか、今日のブラックアウトに加わっている。彼らは偽のバイアグラ・スパム関連サイトと一緒くたにされるのを恐れているのだ。

RxRights.org

  米国下院および上院の関連する法案はthomas.govで読むことができる:SOPAおよびPIPA、ProtectIP Act

  道徳や法律、政治学はさておき、エフセキュアラボの我々は、実装についてより関心を抱いている。言論の自由の擁護者(そして、そう、著作権侵害者たち)が新技術を取り入れるため、SOPAのような法律がインターネット「軍備拡張競争」を開始することは、ほとんど確実のようだ。

  そして、こうした新技術は、犯罪者によって取り込まれることになる(我々は非常にしばしか、こうしたことが起きるのを見てきた)。避けられるのならば、軍備拡張競争は始めない方が良いようだ。

  また興味深いことに、TED.comは今日、SOPAへの注意喚起の一部として、ミッコのTEDxBrusselsトークを、フロントページに掲載する予定だ。詳細に関しては、TED Blogをご覧頂きたい。

>>原文へのリンク
]]> sean_sullivan Macマルウェア・サマリー2011(Q2/Q3/Q4) 2012-01-17T12:52:45Z 2012-01-17T02:02:55+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50648724   Threat Researchチームの研究者Brodは、新興のMacベースの脅威を監視してきた。Microsoft Excelは、彼が亜種を記録するためのツールの一つだ。2011年の4月から12月まで、Macの新しい脅威は数ダース登場した。  さて、Windowsのマルウェアと比較すると大した事は無い。... クアラルンプール発
  さて、Windowsのマルウェアと比較すると大した事は無い。しかし、2011年以前に見られたMacの脅威の数と比べれば、確かにちょっとした事だ。

  「新しい」という言葉で我々が言及しているのは、固有の亜種であって、我々が目撃した固有の亜種の個数ではないことを心に留めておいて欲しい。我々はマルウェアを数える際、より保守的なアプローチを好んでいる。包括的かつファミリーベースであるほど良い。

  以下は概要だ:

Mac Malware Summary 2011

  もっと良く見たい? それならばBrodのスプレッドシートをダウンロードして欲しい:Mac Threats 2011

  我々が5月、正確に予測したように(YouTubeビデオ)、Macマルウェアはマーケットシェアが増加したために継続的に増えているのではなく、むしろ時々思い出したように新たな脅威を生み出す、ご都合主義的な「バブル経済」の結果なのだ。

  2012年も同じことがさらに続くと、我々は考えている。

>>原文へのリンク
]]> fsecure_corporation 携帯電話の秘密の機能をアンロック!…しない。 2012-01-10T16:35:22Z 2012-01-10T19:13:24+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50647648   昨日我々は、Android関連サイトから以下の広告を見つけた:  これをクリックすると、悪意あるAndroid Marketに導かれた:  ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。   通常通り、他の悪意あるサイトはこの悪意あるAndr... クアラルンプール発
android_malicious_website (65k image)

  これをクリックすると、悪意あるAndroid Marketに導かれた:

android_malicious_website_2 (106k image)

  ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。

  通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスでホスティングされている。我々の注意を引いたあるサイトは、携帯電話の秘密の機能をアンロックすると主張していた。この同じサイトは、ロシアのフォーラムでプロモートされていることも分かった。

  同サイトを訪問すると、「Phone Optimizer」であることが示される:

phone_optimizer_text (160k image)

  上のテキストは、携帯電話メーカは金をかせぐため、携帯電話の機能を隠すことが知られていると述べている。この考えは、メーカが秘密の機能をアンロックするOSアップデートを通じて、金を儲けるというものだ。同サイトは、このような秘密の機能を自分の電話でチェックし、アンロックすると主張している。

  以下はスキャン結果の例とその英訳だ:

phone_optimizer_scan (145k image) phone_optimizer_scan_translation (44k image)

  電話のモデルはUser Agentをチェックすることで、正しく識別された。ダウンロードリンクは同国のロケーションに基づいた番号に、有料課金型のSMSを送信する悪意あるファイルへと導く。

  悪意あるページは、Androidデバイスのみを標的にしているのではない。Android端末を使用してアクセスすると、「optimizer.apk」というファイルが発行される。またはファイル「optimizer.jar」をダウンロードする。

  我々はこのマルウェアを「Android/FakeNotify.A」(APK)および「Trojan:Java/FakeNotify.C」(JAR)として検出している。

  エフセキュアの「Browsing Protection for Mobile」はこの記事で特定された悪意あるリンクを、ブロックすることが可能だ:

bp_block (135k image)

  ちなみに、我々の読者に:もし皆さんが怪しいモバイル・サンプルに出会ったら、分析のため、遠慮無く我々に送って欲しい:android-labs@f-secure.com.



-   投稿はRaulfとKarminaによる(また、ロシア語と英訳ではDimaの協力を得た)






>>原文へのリンク
]]> fsecure_corporation Androidパーミッション:アプリのため?広告のため? 2012-01-10T16:33:14Z 2012-01-10T15:39:38+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50647647   Androidアプリケーションパッケージ(APK)は複数のモジュールを含むことが可能だ。一つ以上のこうしたモジュールは、広告SDKかもしれない。現在、多くのAndroid開発者が無料で自分達の製品をユーザに提供するため、こうしたモジュールを使用しているため、今日ではそれ... クアラルンプール発
  ユーザがメインのアプリに対してパーミッションを与えてインストールした場合(求められているパーミッションについて、良く理解しており、気にかけていると仮定する)、ユーザは広告モジュールにも同じパーミッションを使用することを許可することになる。時折、パーミッションはメインのアプリケーションではなく、広告モジュールによってのみ使用される。

  現在、Androidアプリはメインのアプリが使用するパーミションと、広告モジュールが使用するパーミッションとを区別しない。そしてセキュリティに関しては、ユーザとアナリストの双方にとって、それはまだ違法かどうか微妙だ。たとえば、以下は公式Android Marketからダウンロードされた、広告をサポートするアプリのパーミッション・タブのスクリーンショットで、パーミッションに関する非常に一般的な説明が書かれている:

android_market_permission (18k image)

  メインのアプリと広告モジュールの双方が、どのようにパーミッションを利用したかをパーミッション・タブが示せば、ユーザにとってより分かりやすくはないだろうか? あるいはさらに良いのは、広告モジュール用のパーミッション・タブがあるとか? そうすれば、メインのアプリ/広告モジュールが何をするか、ユーザにより分かりやすくなり、インストールを続けたいかどうか選びやすくなるだろう。

  先頃、こうしたことを示す事例があった。メインのアプリはクリーンだったが、広告モジュールに問題があった「Spyware:Android/AdBoo.A」の事例だ。これは、ユーザの機密情報を収集し、リモートサーバに送信していた。

  現在、大部分の広告サービスは、「ターゲットを絞った」広告を提供するため、携帯電話からの若干の情報を必要としているが、AdBooで我々は、同モジュールがあまりに多くの情報を要求していると考えた。そして同広告モジュールが基本的に、メインのホストアプリのパーミッションを共有していたため、広告モジュールをブロックし、メインのアプリを残す方法は無い。

  アプリにパーミッションが与えられると、広告モジュールは先に進むことができる。正規の広告を表示するだけなら、それで良い。もしそのモジュールが疑わしいルーチンを含むなら、それはあまり良いことではない。AdBooのケースでは、モジュールは電話から詳細を収集するが、以下のスクリーンショットでそのいくつかが強調されている:

spyware_adboo_leak_1 (74k image)

  そして以下は対応するSmaliコードで、これらの情報が実際、広告バナーを提供する以前に収集されている:

spyware_adboo_smali (35k image)

  現在、同アプリが広告を含んでいるかどうか、あるいはインストールの前もしくは最中に、どのような広告が表示されるか、はっきりとは分からない。一部の開発者はマニュアルで、アプリが広告を含むことを明記しているが、全ての開発者がそれほどきちんとしているわけではない。アプリが「広告入り」もしくは「広告無し」とはっきり表示されていれば、ユーザにとってより明白ではないだろうか?

  そして最終的な問題は、全ての開発者が自分達の製品で表示される広告のタイプを、コントロールできるわけではないことだ。広告モジュールは通常、サードパーティの広告プロバイダから、時には複数のサービスからマテリアルを持って来るため、表示される広告のタイプをコントロールすることは、より扱いにくくなっている。最悪の場合、子ども用のアプリに成人向けの広告が表示される場合もあるようだ。


----

ThreatSolutions post by Jessie

>>原文へのリンク
]]> fsecure_corporation コンピュータ・ウイルスの分析を学ぶ:5年目 2012-01-10T16:28:50Z 2012-01-09T23:11:37+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50647646   5年目を迎えた現在、我々はフィンランド・ヘルシンキのAalto Universityと協力し、マルウェア(悪意あるソフトウェア)分析のコースを準備している。最初の講義は1月18日、主席研究員ミッコ・ヒッポネンが行う。あなたがAaltoで学んでいるなら、コースでお目にかかれたら... ヘルシンキ発 コースでお目にかかれたら嬉しく思う!

  脅威の様相について良くご存知なら、Androidユーザがますます、マルウェア関連の詐欺の危険にさらされていることに気づいているかもしれない。これは我々のラボで、Androidマルウェア分析のハードワークが行われていることを意味している。こうした努力の一部は、エフセキュアの研究者Johannes Raveにより行われているが、彼は昨年、Aaltoのコースに参加した後、エフセキュアラボに加わった。JohannesはAndroid脅威の自動検出に関する論文に取り組んでいる。特に彼は、PandaBoard開発ボード(以下に写真がある)などのツールを用いて、分析作業を自動化する研究を行っている。

Pandaboard

  我々は同コースに、より多くのAndroidマルウェア分析技術を導入することも決定した。アジェンダには他にもいくつか変更が加えられ、今春のコースは「Reverse Engineering Malware」と呼ばれている。コース後には、学生の皆さんが古き良きWindowsであれAndroidのような他のプラットフォームであれ、あらゆるタイプのマルウェア分析に必要なスキルを獲得できることを願っている。

>>原文へのリンク
]]> fsecure_corporation 安価なプロフェッショナルDDoSサービス 2012-01-06T08:39:24Z 2012-01-06T03:26:33+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50646326   現在、日常的に見かけないもの、若い女性が微笑みながらDDoSサービスを宣伝するYouTubeビデオが公開されている。  「こんにちは、ハッカーのみなさん。」  同ビデオは攻撃者の料金をリストしたフォーラムスレッドにリンクしている:  1時間につきたった2ドル…  ...
  「こんにちは、ハッカーのみなさん。」

Professional DDoS, YouTube

  同ビデオは攻撃者の料金をリストしたフォーラムスレッドにリンクしている:

Professional DDoS, forum posting

  1時間につきたった2ドル…

  分割払いオプションもある。

>>原文へのリンク
]]> sean_sullivan あなたはドイツ人のように考えますか? それともポーランド人? 2012-01-04T17:25:47Z 2012-01-04T02:25:31+09:00 tag:blog.livedoor.jp,2012:fsecure_blog.50646040   今日、我々は208ページに渡る欧州委員会の報告書を読み通した。報告書のタイトルは「Special Eurobarometer 359、 EUにおけるデータ保護および電子アイデンティティに対する態度」(PDF)だ。一つ明らかなことがある。デジタル・プライバシーとアイデンティティに対する... ヘルシンキ発 PDF)だ。一つ明らかなことがある。デジタル・プライバシーとアイデンティティに対するヨーロッパ人の態度は、文化により非常に異なり、隣接している国でさえ、興味深い相違が見られる。

  どの国の考えが、あなたの考えに最も近いだろうか?

Special Eurobarometer 359, Page21
  画像全体を見るには、ここをクリックして欲しい。

>>原文へのリンク
]]> sean_sullivan 2012年へ秒読み開始! 2012-01-04T06:41:22Z 2011-12-31T23:00:18+09:00 tag:blog.livedoor.jp,2011:fsecure_blog.50645219 2009年5月に産声を上げたエフセキュアブログも遂に2012年で3歳を数えようとしております。これもひとえに関係者のみなさま、読者のみなさまのご支援あってのことと、2011年から2012年に移るこの機会に改めて感謝の気持ちでいっぱいでございます。略儀ではございますが、この... 東京発 続きを読む]]> risa_ozaki 2010年にドイツで容疑者追跡のために用いられた440,783の「サイレントSMS」 2012-01-04T17:24:44Z 2011-12-30T03:47:53+09:00 tag:blog.livedoor.jp,2011:fsecure_blog.50646039   現在第28回Chaos Communication Congress(28C3)がベルリンで行われているが、火曜日には研究者のKarsten Nohlが「モバイルフォンの防御」というプレゼンテーションを行った。1時間の余裕があるなら、見る価値がある。  ハッカーは潜在的に、都合の良いポイントから多... ヘルシンキ発 28C3)がベルリンで行われているが、火曜日には研究者のKarsten Nohlが「モバイルフォンの防御」というプレゼンテーションを行った。1時間の余裕があるなら、見る価値がある

  ハッカーは潜在的に、都合の良いポイントから多数の電話のIDとネットワーク認証を傍受することができ、ネットワーク認証はしばしばリフレッシュされないため(通信事業者次第で)、攻撃者は高額な有料課金型の電話をかけ、料金を他の人々に支払わせることができる、というNohlの暴露に、当初報道は集中した。GSMネットワーク仕様では、あらゆるネットワーク活動の再認証を行うことが可能だが、認証サーバへの大きな投資が必要となる。そのためオペレータは、通話の3回に1回の割合いでしか、それを行わない。あるいは10回に1回か。あるいはもしかしたら、電話がネットワークに接続する時のみか。

  H Securityが、プレゼンテーション中にカバーされた全トピックの概要を上手くまとめている

  しかし我々の観点から最も興味深いのは、Nohlがドイツのさまざまな警察当局が2010年に容疑者を追跡するため、およそ50万の「サイレントSMS」を使用したことに関する最近の報告(12月13日)に簡単に触れた点だ。

  そこで我々はWeb検索を行ったが、英語での報道では何も見つけることができなかった。しかし、WikipediaのSMSのエントリには以下のような内容がある(あった):

     しばしばサイレントSMS、ステルスSMS、あるいはStealthy Pingと呼ばれるサイレント
     メッセージは、ディスプレイには現れず、受けとった際に音声シグナルも無い。
     しかし、携帯電話会社では若干のデータが作成される(たとえば加入者識別IMSI)。
     この種のメッセージは、人を見つけるため、あるいは人の完全な活動の履歴を作成
     するため、特に警察により送信される。ドイツでは2010年、連邦警察、税関、シーク
     レットサービス「憲法擁護庁」により、およそ50万の「サイレントSMS」が送信された。

  我々は、参考リンクからHeise Onlineの記事にアクセスした。タイトルの訳は:税関、連邦警察および憲法擁護庁が2010年、44万以上の「サイレントSMS」を送信

  うーん、ドイツの税関執行局。それらはR2D2バックドア、別名「0zapftis」を使用した連中だ。

  Google TranslateとGoogle Newsを利用して、我々は「stille SMS(サイレントSMS)」という語を使用したドイツ語の記事をさらに見つけることができた。

  内務省は12月6日に詳細を公開している。(PDF)

  以下のスクリーンショットで、2006年以降、3つの当局により送信されたメッセージの数を確認する事ができる。

Andrej Hunko Report

  では、これは正確には何を意味しているのだろう?

  基本的には、さまざまなドイツの法執行機関が携帯電話の「pinging(ネットワーク接続の確認)」を行っているということだ。このようなpingは、コンピュータからのIPネットワークpingと同様、ターゲットとなったリソースがオンラインかそうでないかを返すのみだ。

  だが、pingを作成した後、これらの機関は移動体通信事業者にネットワークログを要求していた。このログは、携帯電話自体からの情報は明らかにしないが、pingが通った基地局の位置を突き止めるのに使用することが可能だ。従って、ターゲットとなる携帯電話を追跡するのに用いることができる。

  このようなネットワークログを要求することは、ドイツが電気通信監視条例を改正した2007年以前は、法的にグレーゾーンにあった。

  そして今や我々は、他にどのくらいの国が、この種のトラッキングをグレーゾーンだとみなすのか、と考えさせられるのである。







>>原文へのリンク
]]> sean_sullivan 新年の願いごと - データ収集付き 2012-01-10T00:23:25Z 2011-12-29T19:12:06+09:00 tag:blog.livedoor.jp,2011:fsecure_blog.50645413   2011年が終わろうとしている。先日クリスマスが過ぎ、新年が近付きつつあるため、当然、多くのお見舞いの言葉や季節の挨拶などが送られている。何者かが(少し遅れて)参加しようと決め、同時にちょっとしたデータ収集も行おうと決意したようだ。  「Spyware:Android/A... クアラルンプール発
  「Spyware:Android/AdBoo.A」は、気のきいた/優しい/面白いメッセージを知人に送れるようにするプログラムの一つだ。実行すると、同プログラムは新年の願いごとや友情、愛情、ジョークといった様々なカテゴリに分類されたテキストメッセージのリストを表示する:

AdBoo text

  ユーザがこれらメッセージの一つを選択すると、同アプリはユーザに連絡先、編集、キャンセルという次の行動を選ぶよう求めるダイアログボックスを表示する:

AdBoo message

  連絡先オプションを選択すると、アプリは保存されている連絡先データを読み込もうとする。おそらく同アプリはメッセージを誰に送るのかを知る必要があるのだろう:

AdBoo choices

  初期解析中、我々のテスト用携帯電話には連絡先が保存されていなかったため、同アプリはこの時点で何も回収しなかった。

  しかし、(偽の)連絡先を使用して再テストすると、テキストメッセージも送られず、ユーザは「送信失敗」というメッセージというダイアログボックスが出るだけだった:

AdBoo sending fail

  我々はしかし、同アプリが何か別のことをしているのに気づいた。連絡先オプションを選択すると、同アプリは以下の情報をこっそりと端末から取得するのだ:

1)端末のモデル
2)Androidのバージョン
3)電話番号
4)国際移動体装置識別番号(IMEI)

  収集された情報は次にリモートサーバに送信される。

  ちなみに、我々の手元にあるAdbooサンプルの証明書を見ると、「Trojan:Android/Zsone.A」と同じ開発者のものであるようだ:

AdBoo:

AdBoo SHA1

Zsone:

Zsone SHA1

Threat Solutions post by — Irene

>>原文へのリンク
]]> fsecure_corporation Suo Anteeksi:ZeuSの丁重な亜種 2011-12-30T17:01:44Z 2011-12-29T00:45:44+09:00 tag:blog.livedoor.jp,2011:fsecure_blog.50645412   フィンランドのいくつかの銀行を標的とする、ZeuS(別名Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。  ZeuS 2.x (Zb... ヘルシンキ発 Zbot)トロイの木馬が現在出回っている。そして当然、我々Threat Researchチームは関連するケースに取り組んできた。興味深いことに、彼らはSpyEyeを暗示するZeuSの新たな機能をいくつか発見した。

  ZeuS 2.x (Zbot.AVRC) のこのバージョンには、アクセプトする2つの新しいコマンドがある。すなわち「user_activate_imodule」と「user_restart_imodule」だ。

Zbot.AVRC Commands
SHA1: bf4fc1fb3bf98e1e783fb974f0b3ba622cd4b267

  「user_activate_imodule」コマンドを受けとると、Zbot.AVRCはディスクから特定のDLLをロードしようとするスレッドを開始し、もしDLLが存在しなければ、リモートサーバからダウンロードされる。同トロイの木馬は次に、DLLによりエクスポートされる3つの異なる機能TakeBotGuid、Init、Startのためにアドレスをフェッチする。同DLLは次に、DLLからコードを実行するスレッドを作成することで開始される。

  「user_restart_imodule」は、ロードしたDLLから単に「スタート」という名の機能をコールするだけだ。

  ロードしたDLLから、使用されている機能の名称がSpyEyeトロイの木馬コンポーネントが使用しているのと同じであると分かるのは興味深いことだ。これに関連するコマンドの名称も、SpyEye(imodule = eyemodule?)に言及していると解釈することも可能だ。

  このバージョンの「ZeuS/Zbot.AVRC」用コマンドの完全なリストは以下の通り:

  •  os_shutdown
  •  os_reboot
  •  bot_uninstall
  •  bot_update
  •  bot_bc_add
  •  bot_bc_remove
  •  bot_httpinject_disable
  •  bot_httpinject_enable
  •  fs_path_get
  •  fs_search_add
  •  fs_search_remove
  •  user_destroy
  •  user_logoff
  •  user_execute
  •  user_cookies_get
  •  user_cookies_remove
  •  user_certs_get
  •  user_certs_remove
  •  user_url_block
  •  user_url_unblock
  •  user_homepage_set
  •  user_flashplayer_get
  •  user_flashplayer_remove
  •  user_activate_imodule
  •  user_restart_imodule

  ZeuSボットの相応量以上のものを確認した人は、気の毒なことに、2つのよく見られるコマンドは存在しないことに気づくだろう。すなわち、FTP(user_ftpclients_get)および電子メールクライアント(user_emailclients_get)に保存されたパスワードを盗むためのコマンドだ。

  このZeuS実行で顕著な別の点は、使用されているフィンランド語の質だ。

  以下は一例だ:

Zbot.AVRC Error Message

  カスタマが銀行取引のセッションを開始すると、次のようなメッセージが表示される:

"Suo anteeksi, teknillinen palvelu tietaa virheesta ja korjaa sita."

  これは基本的に、以下のような文章に翻訳される;ご迷惑をおかけ致しますが、エラーがあり、現在修正を行っております。

  文法は実のところかなり良いが、トーンは少々…妙だ。ネイティブのフィンランド語話者ならば、この文は「申し訳ありませんが、エラーが発生しています」などのようになるだろう。エラーメッセージにしては少々丁寧すぎる。

  銀行を標的とした同トロイの木馬の一味は、ローカライゼーションをプロの翻訳者に外注したものの、どのような場面で使用されるのかを十分に説明していなかったのだろうと、我々は推測している。

Analysis by — Mikko ja Mikko







>>原文へのリンク
]]> mikko_hypponen 「Trojan:Android/FakeNotify」がアップデート 2011-12-30T16:49:50Z 2011-12-28T18:08:43+09:00 tag:blog.livedoor.jp,2011:fsecure_blog.50645409   今月はじめに我々は有料課金型のSMSトロイの木馬に関する記事を掲載した。「Trojan:Android/FakeNotify.A」として検出したものだ。現在、同トロイの木馬がアップデートされ、分析と検出をより厄介にする変更が加えられていることが分かっている。  署名証明書から分か... クアラルンプール発 記事を掲載した。「Trojan:Android/FakeNotify.A」として検出したものだ。現在、同トロイの木馬がアップデートされ、分析と検出をより厄介にする変更が加えられていることが分かっている。

  署名証明書から分かるように、新バージョンは同じ開発者が作成したものだ。トロイの木馬の全体的なふるまいに変更は無いが、コーディングアプローチはかなり変わっており、静的解析ツールなどを失敗させるのに十分だ。

  例えば分析中、私はオリジナルと現行バージョン双方からのSMS送信ルーチンを比較したが、以前のよりシンプルなコーディングアプローチがよりダイナミックになっていることに気づいた。

  「FakeNotify」のオリジナルバージョンでは、ルーチンはそれが何であるか、非常に簡単に「読む」ことができる単純な方法で実装されていた:

FakeNotify, original send
FakeNotify.A

  しかし新バージョンは、アナリストがコードを「読む」ことをより難しくするとともに、同じ目標を達成するためにJava言語のReflection/Dynamic Invocation機能を利用している。

  開発者たちは、自身のエンコーディング/デコーディングアルゴリズムを使用して、ストリング引数を混乱させることによりさらに歩を進めている(これはシンプルな換字式的な暗号に過ぎないが)。以下でコード化されたフォームを見ることができる:

FakeNotify, update encoded
FakeNotify.B, SHA1: df866cf4312cf9c929a9a7dc384eebb19d2b2c2d

  コーディングアプローチの変更は、大部分の静的解析ツールを容易に無効化することができる。

覚書:分析中、私は突然、Windows LoadLibraryとGetProcAddress combo API関数およびJava Reflectionのいくつかの機能との類似点に気づいた。他のAPI関数アドレス(Windows)およびクラス、もしくはObject handleのメソッド(Java)に関しては、双方とも開発者が最近獲得した方法もしくは関数をコールするか、実行することを可能にする。

  いずれにせよ、Androidの世界に戻ろう。新たなFakeNotifyバージョンの分析を容易にするため、私はシンプルなPythonスクリプトを作成し、難読化されたストリングのインスタンスを、悪意あるアプリケーションでデコンパイルされているJavaソース全ての平文ものと入れ替えた。

  パッチングの後、SMS送信ルーチンはclass SmsManagerとそのgetDefault method/functionのハンドリングを獲得し、その後、SmsManager classのsendTextMessageファンクションを使用するため、起動/コールされるか、適切に初期化される必要がある:

FakeNotify, update decoded

  確かに、私がAndroidマルウェアによりJava Reflection機能が使用されるのを見たのは、これが初めてではないし、ストリングの難読化は複雑ではない。しかしこれはAndroidマルウェアの開発者が自分達の「製品」を最新にし、検出されないようにするため、その技術を次々と適応させ、アップグレードする方法のかなり明快な例と言える。

Threat Solutions post by — Jessie

>>原文へのリンク
]]> fsecure_corporation