エフセキュアブログ

確認 を含む記事

Adobe Reader/Acrobat XIなどの脆弱性

 AdobeはAdobe ReaderおよびAcrobat XI(以前)のゼロデイ・エクスプロイトの調査を行っている。

Adobe Reader Vulnerability, Feb 12

 詳細はAdobe Reader and Acrobat Vulnerability Reportを参照のこと。

 Adobeからアップデートがあるまで、Adobe Readerの使用を制限することを検討してほしい。

 そしてAdobeのアップデートについて言及するなら、Flash Player用のものもある。

Flash 11.6 Update

 自分のFlash Playerのバージョンは、ここで確認できる。

 来週は(19日に)別のJavaのアップデートがある。これは、2月1日のディストリビューションに対するアップデートだ

 カレンダーにもう1つの「Patch Tuesday」も書き込んでおくこと。

 一部、関心がある人には、さらにR、3.1.11、2.3.17もリリースされている

FacebookのGraph Searchに関するさらなる提案

 昨日、Facebookのベータ版のGraph Searchを試しているとき、フィンランドのヘルシンキ近辺に住み、なおかつ寿司を「いいね!」と言っている女性を検索した(沢山の結果が返ってくる検索がしたかったのだ。そうなったが)。

 一日の終わりに、私は検索履歴を消去した

 そして今日、ヘルシンキにある寿司屋のスポンサー記事が私のNews Feed(ニュースフィード)にお目見えした。

FacebookSettingsLimits

 たぶん、偶然に過ぎない…。

 いずれにせよ、私は今日も試用を続けた。フィンランドに住み、私と同じ名前を持つ人を検索した(私ともう1人の男性という結果だった)。Graph Searchは、間違いなく、他の人があなたのFacebookのプロフィールを見つけやすくするだろう。

 何もかもが公開されてしまわないようにするための、2つの確認事項を以下に挙げる。

 まず第一に、過去のすべての投稿を制限することを考える。私が観察したプロフィールの大半は、現行のプライバシー制御についてはうまく適用されている。しかし、一部では2010年以前の過去の投稿が公開されていた。

FacebookSettingsLimits

 次に、自分のLikes(いいね!)を編集する(facebook.com/"profile.name"/favorites)。

FacebookSettingsLimits

 特に、通常は友達だけに投稿をシェアしているのなら、カテゴリごとに、少なくともPublic(公開)ではなくFriends(友達)に制限する。

FacebookSettingsLimits

 Facebookページへの「いいね!」が常に公開されることは、特筆するに値する。つまり「寿司をいいね!と言っていること」はGraph Searchではずっと検索可能のままだ。しかし少なくとも設定を調整すれば、残りのお気に入りは「ブラックボックス」になり、友達だけが閲覧することができる。

 また、プライバシーの設定を編集している最中に、何年もかけて蓄積してきたものの一部は「いいね!」を取り消すべきかもしれない。

 私に「いいね!」の設定を思い出させてくれた@rik_fergusonに、帽子を取って感謝する。

では。
ショーン







グリーティングカードを装った標的型メールに注意

グリーティングカードを装った標的型メールが複数確認されています。
実在するサービスなので、ついクリックしてしまいそうですのでご注意ください!

greeting_card

今回、確認したケースでは記載されたURLへアクセスしますと、CVE-2013-0422(Javaの脆弱性)を悪用する攻撃コードが実行される仕組みとなっていました。
Javaの脆弱性を狙った攻撃は今後も継続することが予想されますので、特に必要のないユーザはアンインストールしておいた方が妥当かもしれません。

ちなみに、ダウンロードされる攻撃コードはmetasploitにより作成された可能性があります。
metasploit用に開発された攻撃コードの多くは研究し尽くされていますので、標的型攻撃で利用されるのは珍しいケースだなぁ、と思いました。(広範囲に対しての攻撃だったのかもしれませんが。)
もしかすると、実験的な攻撃なのかもしれませんね。

jar


Universal Plug and Pray

実際には我々が驚くに値しないファイルから。UPnP(Universal Plug and Play)を有効にしたネットワーク機器が、グローバルに晒されている状況の研究について、Rapid 7は本日ホワイトペーパーを公表した。

Rapid 7, Security Flaws in Universal Plug and Play

 結果が衝撃的だ。

 「インターネット側からのUPnPの検出リクエストに応答する、8千万を超えるユニークなIPを確認した。4千万から5千万個のIPは、(略)3つの攻撃のうち少なくとも1つに対する脆弱性を持つ。2つある、最も使用されているUPnPソフトウェアのライブラリには、双方ともに遠隔から突ける脆弱性が含まれる。」

 もしあなたがネットワーク管理者なら、必ず確認するように。Rapid 7では、ScanNow UPnPというツール(Java実行環境が必要)を提供しており、これで自分のネットワークの公開されているUPnPエンドポイントを特定できる。

Slammerワームから10周年

 以下は、10年前、我々の1月25日がどのように始まったか、である。

Jan 25 05:31:54 kernel: UDP Drop: IN=ppp0 SRC=207.61.242.67 DST=80.142.167.238 TTL=117 ID=30328 PROTO=UDP SPT=2201 DPT=1434 LEN=384

 上に抜粋したのは、我々が最初に得た、後にSlammer(SapphireまたはSQL Slammer)と呼ばれるようになるワームのログだ。

 Slammerは膨大なネットワーク・トラフィックを生み出した。以下はaverage.matrix.netの古いスクリーンショットで、このワームのせいで世界中でパケット・ロスが急増した様子を示している。

slammer

 以下は当社がこのワームについて発信した最初の警告だ:

 エフセキュアはSlammerと呼ばれる新たなインターネット・ワームについて、コンピュータ・ユーザに警告する。このワームは大量のネットワーク・パケットを生成し、インターネット・サーバに過負荷をかける。メール送信やネット閲覧などすべてのインターネット機能が低速になる。

 このワームは2003年1月25日5時30分(GMT)頃、インターネット上で初めて検知された。その後、世界中に急速に拡散し、インターネット上でこれまでで最大級の攻撃を巻き起こした。報告によると、いくつかの大規模なWebサイトやメール・サーバが使用不能に陥った。

 SlammerはMicrosoft SQL Serverを実行しているWindows 2000 Serverにのみ感染する。そのためエンド・ユーザの機器には脅威ではない。しかしながら、ネットワーク・トラフィックがブロックされることによって、やはりエンド・ユーザにもその作用が見て取れる。

 このワームはUDP 1434番ポートを用いて、MS SQL Serverのバッファ・オーバーフローを突く。Slammerのサイズは極めて小さく、376バイトに過ぎない。拡散するほかに機能はないが、この拡散処理が非常に強力で、極度の負荷を招く。

 ワームはどのファイルにも感染しないので、感染した機器をリブートするだけで駆除することができる。しかしもし機器がネットワークに接続され、MS SQL ServerにSP2もしくはSP3が適用されていなければ、直ちに再感染する。

 かつてこれほど小さなウイルスが、このような速度でここまでの損害を与えた例を、当社でも見たことがない。Slammerについての技術的な解説や図表についてはhttp://www.f-secure.com/v-descs/mssqlm.shtml
(注意:このリンクは2013年でもまだ有効だ。)で確認できる。

 Slammerはその小ささにおいて特筆すべきだ。ワーム全体が単一のUDPパケットに収まる。基本的に、ワームはつぶやき5つ分に相当する。コード全体は以下のとおり。

slammer

 この年、後にBlasterやSasserがSlammerに続いた。これらはいずれも現実世界で顕著な問題を引き起こした。

slammer

 Slammerのせいで、我々は何日も忙しかった。私の古いメール・アーカイブには、第1日目に以下の残業報告がある。

slammer

 つまり、2003年の土曜日に、Slammerをデコードしたのは、私とKatrin Tocheva、Gergely Erdelyii、Ero Carrerだった。天気が悪かったと思うが、他には何も覚えていない。

ミッコ

Fix it:Internet Explorer 8の脆弱性

 1つ前の投稿で触れたとおり、Internet Explorerにはリモート・コード実行の(ゼロデイ)脆弱性があり、野生状態で悪用されている。この脆弱性は、IE 6やIE 7と同様、IE 8に影響がある。この3つのバージョンのIEは、 デスクトップ機の全ブラウザのマーケット・シェアの約3分の1を占める。

 現状ではエクスプロイトの利用は限られているが、確実性の高いエクスプロイトが、すぐにクライムウェア・エクスプロイト・キットへと発展することは、大いにあり得る。

Microsoft Security Advisory 2794220
マイクロソフトのセキュリティアドバイザリ(2794220

 IE 9およびIE 10にはこの脆弱性はない。しかしWindows XPはIE 9とIE 10をサポートしていないので、XPユーザにとっては大きな慰めにはならない。

 個人でXPを使っている場合には、Mozilla FirefoxやGoogle Chromeなど他のブラウザをインストールすることをお勧めする。

 企業ユーザには、(引き続き)XPとIE 8の使用が求められる。マイクロソフト社はFix itツールを入手できるようにした。

Microsoft Security Advisory 2794220, Fix it

 同社のSecurity Research & Defenseブログの記事「Microsoft "Fix it" available for Internet Explorer 6, 7, and 8」で詳細を確認できる。

 なお、マイクロソフト社の定例アップデートにおける次のサイクルである1月8日に、この脆弱性に対するパッチが出るかは、まだ定かではない。

強制開示された制御システムの脆弱性

今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。

調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。
ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。

その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。

以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。
dirtraversal

しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容です。
慎重派が多いICS-CERTにおいて、未修整の脆弱性に関するアドバイザリが出されることは珍しいことです。なぜ慎重派が多いかというと、制御システムは一般の情報システムと比べ、攻撃が発生した場合の影響が大きいためです。
それにも関わらず、今回ICS-CERTが強制開示という対応を取らざるを得なかったのか、私が脆弱性を報告してから公表されるまでの顛末をご紹介したいと思います。
  1. 脆弱性の種類がディレクトリトラバーサルという、攻撃手法が単純なタイプの脆弱性だったので、文書にてICS-CERTへ報告
  2. 開発元が脆弱性を理解できないと言っているという連絡をICS-CERTから受ける
  3. 私は攻撃方法についての動画を作成し、ICS-CERTへ送付
  4. 開発元の環境では再現しない、検証したバージョンが古いのではないかという連絡を受ける
  5. 英語版のWindowsを用意し、念のため再度最新版のアプリケーションをインストールして、脆弱性が再現することを確認
  6. アプリケーションのインストールからセットアップ、バージョンの確認、起動、そして最後に攻撃を行う動画を作成し、ICS-CERTへ送付
  7. それでも開発元は再現させることもできず、脆弱性について理解できないという返答
この一部始終を見ていたICS-CERTはアドバイザリの公開を決断しました。私が報告してから情報公開までに8ヶ月近くの時間を要しました。
実はICS-CERTとのやりとりの中で、ICS-CERT側の担当者がDEFCON CTFの決勝に参加することが判明し、ラスベガスのCTF決勝会場で直接話をすることができました。(DEFCON CTF決勝については、こちら。2011年の記事ですが。)

公開の理由について、「あんなに親切で単純明快な報告なのに、それでも理解できないというのは、開発者がすっとぼけようとしているとしか考えられない。今までで一番わかりやすい報告だったよ。情報を公開する以外に解決策は無いと判断した。」という話を伺いました。(余談ですが彼らのCTFチームはとても紳士的で、私のチームが停電で困っているときに助けてくれました。)

今回は報告から8ヶ月経っての公開となりましたが、ICS-CERTの脆弱性情報公開ポリシーでは強制開示までの目安は45日と定められています。
これは45日を過ぎると強制的に公開されるという意味ではなく、なんの反応もないまま45日を過ぎると公開する場合があるという意味です。45日以内に修正完了しなければならないという意味ではありません。ふつうに対応していれば45日ルールが適用されることはありませんので、ご安心を。

GhostShellの第6次プロジェクトについて

10月に世界中の100の大学(日本を含む)のサーバから窃取した情報をネット上に掲載し話題となった「GhostShell」が次のプロジェクト予告をしたことが注目されています。
#少し時間が経っていますが・・・


ghostshell_20121106


過去の攻撃手口から、恐らく今回もSQLインジェクションや管理アプリケーションの脆弱性などを狙った攻撃を行うのではないか、との見方が強いようです。
現在のところ具体的な標的などの詳細情報は掲載されていませんが、念の為公開サーバ群のセキュリティ・チェックをしておくことをお勧めします。
例えば、
・ウェブアプリケーションの脆弱性の修正
・データベースやコンテンツ管理システムなどへのアクセス制限
・IPSやWAFの動作確認(検知しなかったら意味がありませんので)
などなど、確認すべきことは多いように思います。

ちなみに、GhostSehllの過去のプロジェクトはPastbinに掲載されています。
今回もプロジェクトに関する情報がPastbinに掲載されるかはわかりませんが、気になるようでしたら参照しておくと良いかもしれません。

http://pastebin.com/u/TeamGhostShell

プロジェクトが実行されないことが一番良いのですが。。。

追記
12月10日付けで掲載されたようですね。
#ProjectWhiteFox
http://pastebin.com/agUFkEEa

11月の脆弱性およびゼロデイの集計

  まだ第二火曜日ではないが、すでに適用すべき重要アップデートがかなりの数に達している。そしてき重要ゼロデイの一つを、知っている必要がある。

  優先:Flash! Adobeが11月6日、7つの脆弱性を修正する重要アップデート(詳細はここ)をリリースした。

  ご自分のバージョンチェックはここでできる。

Flash 11.5.502.110

  11.5.502.110はブラウザに応じた最新版だ。実際に使用している以上のプラグインのインストールは必要ない。たとえばChromeには、自身のバージョンのFlashが含まれている。

  Chromeと言えば、Googleも6日にセキュリティアップデートをリリースした(詳細)。こちらは容易なアップデートで、About (chrome://chrome/) をチェックして、バージョン23.0.1271.64を使用しているか確認すれば良い。

Chrome 23.0.1271.64

  Appleは11月7日、Windows版QuickTimeのアップデートをリリースした(詳細)。QuickTime 7.7.3には、ドライブバイ攻撃で悪用可能と思われる脆弱性用に9つのアップデートが含まれている。iTunesではすでに、QuickTimeは必要ない。最後に使用されたのがいつか思い出せなければ、本当にQuickTimeをインストールする必要があるのか、自問して欲しい。(QuickTimeは非常にポピュラーな標的だ)。

  ポピュラーな標的と言えば…

  Java! Java Runtimeクライアントが最新版であることを必ず確認すること。(バージョンチェックはこちら)アップストリーム・データに基づくエフセキュア唯一、最大の検出は:Exploit:Java/Majava.A Java Runtimeは間違いなく、ナンバーワンの標的だ。

  我々のアップストリームデータに基づいた、二番目に一般的な検出は:Exploit:W32/CVE-2010-0188.B Adobe Readerのエクスプロイトで、CVE番号から2010年のものであることが分かるだろう。

  しかしそれでも、Group-IBで報じられているAdobe Readerのゼロデイ脆弱性があることに注意。

  Adobe Readerの現行バージョン、アップデートバージョンを悪用可能であるため、この脆弱性は重要だ。また、Readerのサンドボックスから脱獄し、ホストコンピュータを悪用できる。

Group-IB US: Zero-day vulnerability found in Adobe X

  Group-IBによれば「Blackhole Exploit Kit」の一部ハイエンド版が販売されている。よってこのエクスプロイトは広く利用されていない…今の所は。もしインストールしているなら、Readerの使用軽減を検討して欲しい。

  ここに、活動中の同エクスプロイトのYouTubeビデオがある。

ゆうちょ銀行の利用者を狙い、不正にポップアップを表示させるマルウェア

不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪に使われたと見られるマルウェアを入手することができました。感染後に、ゆうちょダイレクトにログインすると、不正なポップアップ画面が表示されることも確認しており、少なくとも、この事件に使用されたマルウェアの一種であることは間違いないでしょう。

セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。

ゆうちょダイレクトをご利用中の方で、お使いのアンチウイルス製品が未対応でしたら、本製品のご使用をご検討ください。
gredアンチウイルスアクセラレータFreeは他社製品と同時に利用することも可能です。詳しくは製品説明をご覧ください。
  • gredアンチウイルスアクセラレータの製品説明とダウンロードはこちらから
  • gredアンチウイルスアクセラレータFreeが同梱されたフィッシング対策製品PhishWallクライアントの製品説明とダウンロードはこちらから

11月5日 Guy Fawkes Night とアノニマス #Nov5 #5Nov

  アノニマスの被るガイ・フォークス(Guy Fawkes)のマスクは映画「V for Vendetta」を発端としていることから、Guy Fawkes Nightのある11月5日はアノニマスにとっての記念日的な存在です。そのためTwitterのハッシュタグ #Nov5 と #5Nov で今日は活発な動きが見られています。
  また今日の明け方新たなアノニマスの声明ビデオがYouTubeにアップされていました。
  このビデオでは主に政府によるサーベイランス・システムの構築への抗議が呼びかけられ #OpNov5 #OpIndect #OpTrapwire が言及されています。

  またAnonymous Australia がPayPalやAlllottoなどのサイトに侵入したと宣言しました。" ‏@AuAnon Paypal hacked by Anonymous as part of our November 5th protest https://privatepaste.com/e8d3b2b2b1 " (リンク先は消されています)

  そしてロンドンでは、Operation Vendettaとして、「V for Vendetta」の最後の場面を模してマスクを被ってイギリス国会議事堂の前に集まることが呼びかけられていて、現在5400人ほどの参加が表明されています。(9000人超にはまだ足らないですね。) 
 https://www.facebook.com/events/239966289383165/ (ログイン必要)
 ハッシュタグは #OpVendetta で、ライヴストリーミングが計画されているようです。
 http://www.ukanonymousevents.com/live-streaming.html 
 
  現在ロンドンはまだ朝9:30になったばかりですし、アメリカの西海岸の11月5日が終わるのは日本時間の明日17:00ですから、少なくともあと1日はアノニマスの動きに注意が必要かもしれません。 

  アノニマスに関しては各方面から研究されていますが、「We Are Legion」というドキュメンタリー映画も作られています。RT @YourAnonNyan: We Are Legion: The Story of the Hacktivists (Full Movie) - http://ow.ly/eZfAe  
また日本では不正確な報道をされる事が多いアノニマスについて詳しく知っておきたいならば、今月後半に秋葉原で開催のInernet Weekでセッションがあります。 https://internetweek.jp/program/b1/ 


Update1: http://zd.net/TFjffP によると、PayPalの他には、オーストラリア政府サイト、ガーナ領事館サイト、Arcelor Mittal鉱業、VMware、NBC.com、Saturday Night Live、米コメディアンJay Lenoサイト、Lady Gagaファンサイト、などが書き換えやデータ流出にあっている模様です。

Update2: 11月5日に行われたウェブ書き換えの成果がまとめられたビデオが投稿されています。
 http://www.youtube.com/watch?v=ZiIp3m_vDwo  

Update3: ロンドンでのアノニマス行進の模様の画像が多数アップされて来ています。 http://t.co/ULaeKolD http://t.co/qlF4LpBI http://t.co/DQcNik8Y http://t.co/NHbstnG6 http://t.co/WhMq1YsY http://t.co/4tHnfbVO 
今回のように実際の場に多数のアノニマス賛同者が一堂に集合したのは初めてといえるため、彼らの信念の方向性の自己確認の意味でも影響が大きいと考えられ、今後さらに連帯した活動が活発化する可能性がありそうです。
 
Update4: PayPalは調査の結果、流出したアカウント情報はホスティングZPanelからと判断、アノニマスによる侵入ではないとしています。HTPが侵入を宣言したSymantecも、調査の結果、従業員情報はアクセスされていないと結論しているようです。pyknicが書き換えたと宣言したNBCやLadyGagaファンサイトについては、アノニマスの主要なアカウントは成果公表していない模様です。 RT @BiellaColeman: Anonymous Did Not Hack PayPal http://nyti.ms/UuNR0e 

遠隔操作ウイルスの感染と痕跡調査

いわゆる遠隔操作ウイルスは "suica"命令を使うことで、自分自身を削除し感染の証拠隠滅を図ります。
それでもなるべく早めにフォレンジックという作業を行うことで削除されたファイルを復元することが可能です。

クローズドなネットワーク内で次のような環境を作成し検証を行いました。

demonetwork

一連の流れを記録した動画も作成しました。



大まかなタイムラインは次のようになっています。
0:00 - 0:51: 遠隔操作ウイルスに感染
0:52 - 2:00: 「画面キャプチャ」コマンドを実行
2:01 - 2:45: 「自己消去」コマンドを実行
2:48 - 3:21: 簡易フォレンジックソフトにて削除済ファイルを確認

左側にMac OSのFinderが表示されているのが攻撃者の情報収集用サーバで受信したファイルです。
「画面キャプチャ」命令のパラメータは5秒おきに5回実行するという設定にしましたので、左側のFinder内に5秒間隔でファイルが作成される様子を確認できます。デモとして「画面キャプチャ」命令を実行していますが、ここで任意のコマンドを実行することも可能です。

実際の業務で行うフォレンジックはもっと本格的なものですが、今回のように簡易的なフォレンジックでもファイルを復元することは十分可能です。

また、プログラム中に日本語がうんぬんという話があるようですが、起動されるダミーのアプリケーションを見ると明らかに日本語なのがわかります。ちなみにこの遠隔操作ウイルスはデバッグモードを備えており、デバッグモードで起動した場合には次のようなウインドウが表示されます。これもどう見たって日本語です。

iesys_debug

最後に、「遠隔操作ウイルス」という名前ですが、最近のウイルスはほとんど遠隔操作機能を備えていますので、今回のウイルスをわざわざ「遠隔操作ウイルス」と呼ぶのは度々混乱を招いて困ったものですね。

マルウェアの署名に使用されたAdobeの証明書

  Adobeの製品セキュリティのトップBrad Arkinが木曜日、非常に興味深い記事を掲載した。

  結局、Adobeのビルドサーバの一つに障害が生じ、Adobeのデジタル署名を持つ悪意あるファイルを作成するのに利用されたというのだ。

  アドビ・コードサイニング証明書の不適切な使用

Inappropriate Use of Adobe Code Signing Certificate

  これに伴うセキュリティアドバイザリによれば、3つのファイルを使用する2つのユーティリティがある。Adobeによると、Adobe署名のバージョンは単一のソースに隔離されており、我々のバックエンドメトリクスも一致する。我々の顧客ベースの範囲内には、Adobe署名のファイルは一つも見当たらない。

  非Adobe署名付きPwDump7.exeの事例はあったが、これらは限定されている。おそらくその名前から、PwDump7.exeが何をするのかお分かりだろうが、これはWindows OSからパスワードハッシュを盗み出す。PwDump7.exeが使用する関連ファイルはlibeay32.dllで、これはOpenSSLライブラリだ。そして、我々のバックエンドには、これ(正当でクリーンなファイル)のpingがある。

  第2の悪意のあるファイルは、「myGeeksmail.dll」と呼ばれており、AdobeはこれがISAPIフィルタであると考えている。

  このファイルの非Adobe署名バージョンは、イン・ザ・ワイルドではない。

  Adobeの署名が取り除かれた「myGeeksmail.dll」のMD5ハッシュは:8EA2420013090077EA875B97D7D1FF07

  Adobeは10月4日に障害の起きた証明書を取り消す予定で、現在、新しいデジタル証明書を使用したアップデートを発行している。

  最後に:@jarnomの「CARO 2010」のプレゼンテーションを再度お勧めする良い機会だろう:署名されているのだから、クリーンでしょう?[PDF](スライド#25を要確認)

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

ダウンロード:モバイル脅威レポート Q2 2012

  長らくお待たせしたが、F-Secure Labsが2012年4月から6月までに確認した脅威を詳述した「Q2 2012 Mobile Threat Report」を公開する。

  報告は以下からダウンロードできる:モバイル脅威レポート Q2 2012[PDF]

mtrq22012 (189k image) threat_by_type (50k image)



1992年

  ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ

Poison Ivyにみるマルウェアの隠し場所


最近、「マルウェア感染したと思うのだが、アンチウイルスソフトや不正プログラム抽出ツール等を試したが何も見つからない」といった話をよく耳にします。
その多くは、IDS/IPSやURLフィルタなどにより不正通信を検出しているのですが、いざPCを調べると何も見つからない、といったものです。
#当然、マルウェア作成側も念入りにアンチウイルスソフト等では検出されないように設計していますので、そう簡単には見つからないです。

そこで、今回は検出されずらいマルウェア隠し場所とその検出方法の一例を紹介してみたいと思います。少しでもお役に立てて頂ければ幸いです。

今年に入ってから、ときどき見かけるものとして、古典的な手法ですが、ADS(NTFS代替データストリーム)を利用してマルウェアの本体を隠す手口です。
この手口を悪用するものとして、例えば最近人気(?)のPoison Ivy(トロイの木馬)などがあります。
Poison Ivyの機能に取り込まれたのは、比較的最近のバージョン(2.3.0〜)からですので、攻撃者から見ればそれなりに効果が期待できるということなのでしょう。

Poison Ivyの場合、ファイルを隠すために利用されるフォルダは、Windowsフォルダとsystemフォルダに限定されています。
ディスクエディタ等で確認すると、下図のhkcmds.exe(C:¥Windows¥system32:hkcmds.exe)のような状態となります。
#ADSにより隠されたファイルは、通常のWindowsのエクスプローラー等の操作では見えません。

ads

この隠されたマルウェアに対し(1)〜(3)の操作により検出および抽出を試みます。
(1)Windowsのファイル検索
(2)アンチウイルスソフトによるフルスキャン
(3)ADSファイル検索ツール

これらの操作の結果は、
(1)では見つけられません。恐らく、Windows APIを利用している資産管理ツール等でも見つからないと思います。(未確認)
(2)は5つのソフトウェアをテストしたところ、2つが検出されました。いまいち確実性に乏しいです。
(3)は確実に抽出することが可能です。ADSを検出することに特化してますので当然ですね。

他にレジストリを確認することで検討をつけることは可能ですが、この作業はなかなか骨が折れます。
ちなみに、上の例ですとレジストリは次のような内容が書き加えられていました。

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Value Name: HotKeyscmd
 New Value: “C:\WINDOWS\system32:hkcmds.exe”


#感染日時がある程度目星がついており、感染端末の保全状況が良いと比較的容易に見つけられるかもしれません。

今年に入ってから、本ケースのような事例は少なくありません。もしアンチウイルスソフト等では何も検出されていないが、不審な通信を行っている、などの挙動がありましたら一応ADSもチェックしておくと良いかもしれません。
また、何か興味深い事例等ありましたら投稿したいと思います。
ではでは。

イランからのメール

  この週末、私はイランから一連の電子メールを受けとった。イラン原子力庁(AEOI)に勤務する科学者から送られたものだ。

aeoi

  この科学者は、さらに別のサイバー攻撃を受けているイランの原子力システムに関する情報を知らせるために連絡をくれた。

  彼は次のように書いている;


  我々の原子力プログラムに再び障害が起き、NatanzのオートメーションネットワークとQom近郊のFordoの施設を閉鎖させたエクスプロイトを含む、新たなワームの攻撃を受けていることをお知らせするべく、このメールを書いています。

  我々のサイバー専門家が私のチームに送信したメールによれば、彼らはハッカーツールMetasploitが使用されたと考えているそうです。ハッカーたちは我々のVPNにアクセスしました。オートメーションネットワークとSiemensのハードウェアが攻撃され、停止しました。私は科学者であってコンピュータの専門家ではないので、これらサイバーな問題についてほんのわずかのことしか分かりません。

  ワークステーションのいくつかが、夜中に最大の音量で、ランダムに音楽を鳴らすというできごともありました。AC/DCの「Thunderstruck」だったようです。



  この件について、どう考えるべきか良く分からない。我々には詳細の確認が行えない。しかし、研究者がAEOI内からメールを送受信していたことは確かだ。

ミッコ


サイバー軍備

  過去25年間、我々の情報に関する考え方が大きく変貌を遂げるのを見てきた。

  1980年代には、情報はまだ、ほとんどがアナログだった。紙に、バインダーに、棚に、そして金庫に保存された。

  今日ではもちろん、ほとんど全ての情報がデジタルだ。情報はコンピュータで作成され、保存され、コンピュータネットワークを介して送信される。

  セキュリティの観点から見ると、これは現在、世界中のどこからでも機密情報に到達できる可能性があるということを意味している。もはや物理的に、情報のある場所にいる必要が無いのだ。

  このことは、諜報活動もまた、デジタルになったことを意味している。そして我々はバックドアやトロイの木馬によって行われた、国家の諜報活動をいくつか目にしているが、マルウェアを使用してサイバー破壊活動を行っている国家レベルの事例で確認されいるのは一つしかない。それはStuxnetの事例だ。

  この業界に身を置いている間に、私はこれまで数々の謎を見てきたが、Stuxnetの事例ほど興味深いものはほとんど無かった。

  F-Secure Labsでは、Stuxnetを開発するには10マンイヤー以上の時間が必要であると概算している。DuquやFlameのような関連の攻撃は、さらに時間が掛かっているかもしれない。

  Stuxnetには2012年6月24日という「停止日」が設定されていたが、これは同ワームが現在では拡散を停止していることを意味している。しかしそのことに大した重要性は無い。オペレーションは既に長い間アクティブであり、2010年までにはほとんどの標的に到達しているからだ。

  Stuxnetは、こうした新種の攻撃的な攻撃の背景にある考えの好例だ。すなわち、もし外国の秘密の原子力プログラムを混乱させたい場合、何ができるか、ということだ。

  さて、あなたには二、三の選択肢がある。国際的な圧力やボイコットを試みることができる。しかしそれが上手くいかなかったら、次は何をするだろうか? 従来型の軍事攻撃を試みたり、彼らの施設を爆撃することができるだろう。しかし、攻撃者が誰かが特定されることが問題だ。そして、既知の施設しか攻撃できないという事実も。

  Stuxnetのようなデジタル攻撃の使用にはいくつかの利点がある。特に、否認権があることが大きい。

  Stuxnetは明らかに形勢を一変させるものだ。しかし、長い目で見るとそれは何を意味するのだろう? 我々は今、新たな軍備拡張競争の一番最初のステップを目撃しているのだと思う。すなわちサイバー軍拡競争だ。

  現代のハイテク調査が過去50年間にわたって軍事行動に革命的変化をもたらしたように、我々は情報オペレーションとサイバー戦争に関し、新たな革命を目撃しつつある。この大変革は進行中であり、今この瞬間に起きていることだ。

  もちろん我々はまだ、本当のオンライン戦争を目撃してはいない。これは我々が最近、ありがたいことに技術的先進国間の戦争に遭遇していないためだ。しかし将来のあらゆる危機には、サイバー要素も含まれる可能性がある。

  サイバー戦争は必ずしもインターネットと関係があるわけではない、ということを理解するのは重要だ。最も重要なネットワークは、公衆網には接続していないため、より破壊的なサイバー攻撃の多くは、遠隔的に開始することはできない。

  到達不能と考えられたシステムに到達することができるよう、光ファイバー・ケーブルを掘り起こすため、同行するギークたちとともに適地に侵入する特殊部隊ユニットについて考えてみれば良い。

  あらゆる軍備拡張戦争の主要なポイントは、敵が戦いを開始することを考えることさえしないよう、敵に自分たちの能力について知らせることだ。我々はこの段階ではサイバー軍拡競争中ではない。この領域での開発はほとんどすべて、公表されておらず、機密扱いなのだ。

  しかし最終的には、他の防衛技術と同程度、公のものになるだろう。もしかしたら我々はいつか、国が自分たちの攻撃能力を誇示する公のサイバー軍事演習を目撃するかもしれない。いつかサイバー軍縮プログラムを目の当たりにするかもしれない。

  軍事力マルウェアに対する防御は、コンピュータセキュリティ業界にとって真の難題だ。

  さらに、セキュリティ業界はグローバルではない。少数の国にしか集中していないのだ。その他の地域は、自分たちの日常的なデジタルセキュリティを得るのに、外国のセキュリティラボに依存している。たとえば、ヨーロッパには、約10のウイルスラボしか存在せず、大多数の国は自国にラボが無い。

  インターネット上では、国境には大した問題ではない。しかし危機が起きれば、状況は変わるのだ。

ミッコ・ヒッポネン
このコラムは当初BBCに掲載された。


いつもとは違うSkypeダウンロード

  我々は最近、Androidデバイス向けにSkypeアプリを提供するとおぼしきWebサイトを発見した。

  Androidデバイスから同サイトにアクセスすると、ダウンロード用にAPKファイル(skype52_installer.apk)が表示される:

skype_apk (25k image)

  しかし、iOSデバイスを使用して同サイトにアクセスすると、以下のスクリーンショットが示すような表示が現れる:

skype_iphone (24k image)

翻訳:
この新アプリは確認され、展開されている:skype.ipa
iphone_free_spaceをチェック


  その後、ユーザにインストールが「完了」したことが知らされる:

skype_iphone_confirm (25k image)

翻訳:
インストール完了!
新アプリskypeをいつでもインストールできる!
このアプリを違法使用から保護するため、あなたの電話番号を入力し、SMSメッセージのインストラクションに従って下さい。


  この時点で、デバイスにインストールされた新しいアプリケーションはまだ無い。案の定、電話番号を入力しても、何も起こらない。

skype_iphone_sms (47k image)

翻訳:
インストール完了!
確認のリクエストを含む無料SMSメッセージが送信されました。


  AndroidやiOS以外のデバイスから訪問すると、JARファイル(skype52_installer.jar)のプロンプトが表示される:

skype_jar (216k image)

  翻訳してくれたDmitriyに感謝する!








バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード