エフセキュアブログ

検知 を含む記事

GhostShellの第6次プロジェクトについて

10月に世界中の100の大学(日本を含む)のサーバから窃取した情報をネット上に掲載し話題となった「GhostShell」が次のプロジェクト予告をしたことが注目されています。
#少し時間が経っていますが・・・


ghostshell_20121106


過去の攻撃手口から、恐らく今回もSQLインジェクションや管理アプリケーションの脆弱性などを狙った攻撃を行うのではないか、との見方が強いようです。
現在のところ具体的な標的などの詳細情報は掲載されていませんが、念の為公開サーバ群のセキュリティ・チェックをしておくことをお勧めします。
例えば、
・ウェブアプリケーションの脆弱性の修正
・データベースやコンテンツ管理システムなどへのアクセス制限
・IPSやWAFの動作確認(検知しなかったら意味がありませんので)
などなど、確認すべきことは多いように思います。

ちなみに、GhostSehllの過去のプロジェクトはPastbinに掲載されています。
今回もプロジェクトに関する情報がPastbinに掲載されるかはわかりませんが、気になるようでしたら参照しておくと良いかもしれません。

http://pastebin.com/u/TeamGhostShell

プロジェクトが実行されないことが一番良いのですが。。。

追記
12月10日付けで掲載されたようですね。
#ProjectWhiteFox
http://pastebin.com/agUFkEEa

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

中国で開発されたHacktoolの検知に注意

HacktoolやNetToolといったウイルスが検出されたことはありませんか?
ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit(xxxはBackdoorやTrojan)のような検知名が付けられています。

lcx

これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。
例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor(HTran)などがそれにあたります。
ちなみに、Backdoor.Liondoor(HTran)は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。
※開発元は中国なのですが、他国の攻撃者も利用していますので、一概に中国邉劼砲茲觜況發箸呂い┐泙擦鵝
これらのツールは、プログラムが自動的に感染やバックドアを作成することはありません。攻撃者の操作によりバックドアに悪用されたりするプログラムです。
つまり、一般的な企業環境(?)においてHacktoolが発見された場合、往々にして既に攻撃者が侵入しており何らかの被害を被っている可能性が高いといえます。
この辺は古典的な話ですので、詳細は割愛しますね。

さて、このHacktoolですが悪用されていても中々見つけられない、という相談をよく受けることがあります。
一般に、これらのツールは大抵のウイルス対策ソフトで駆除できますが、駆除されずに悪用されているのはどういうことでしょうか。
マルウェア感染のインシデント対応全般的に言えることなのかもしれませんが、
まず考えられるのは、"検知できない状況"であるということが、理由のひとつとして挙げられると思います。
何故、駆除できないのかの理由は色々ありますが、よく見かけるのは次の3つです。
.Εぅ襯溝从ソフトが停止されている
▲Εぅ襯溝从ソフトの検索対象外の領域が利用されている
6扈すべきHacktoolが被害ホスト上に無い

,蝋況蘯圓管理サーバを不正操作していたり、ホスト上の設定が変更された可能性などが考えられます。
△魯Εぅ襯溝从ソフトの設定やユーザの利用環境などに依存することが多いです。
#製品によってリスクウェアをスキャン対象外にしていると検知できない場合があります。
は被害ホストとは異なるリモート・ホスト上にHacktoolが存在している場合などがあります。
#この場合、攻撃者が不正操作の起点となっている親玉のシステムが存在する可能性があります。その場合、親玉システムの発見に手間取り、被害が収束するまでに時間を要すことがあります。

いずれにせよ、攻撃者がすでに標的のシステムを乗っ取った後の操作となりますので、これらの操作がされていても不思議ではありません。

もしHacktool関連の検知ログが1つでも見つけた場合、(ネットワーク的に)周辺のホストやADのログを至急調査してみてください。
#業務情報などが漏洩していないことを祈りつつ
攻撃の痕跡は、あっという間に削除されますので、スピード勝負となりますが、運が良ければ邉匚具を利用した痕跡が発見されるかもしれません。

気をつけて頂きたいのは、Hacktoolの発見はネットワークトラフィックとホスト上のログとの相関分析が必要となることが多いです。
そのため、基本ではありますが事前にOSなどのログに関しても確実に取得しておくことをお勧めします。特にWindowsのログオン成功のログは重要です。

何はともあれ、Hacktoolが発見された場合はLAN内の複数のシステムが乗っ取られていることを前提に、迅速にダメージコントロールを心がけた動きが重要です。
侵入台数が少ないことを祈りつつ。

標的型攻撃メールの手口と対策

すでに注意喚起が出ましたが、巧妙な標的型攻撃メールが出回っているようですので注意してください。
ここでは具体的な手口と対策について紹介します。

まず、航空会社を騙って次のようなメールが届きます。
mail

差出人欄には正しいアドレスが入っていますし、メール本文には受信者の氏名が記載されています。頻繁に飛行機を利用している人にとっては、この段階で「怪しいメール」かどうかを判断するのは難しいかもしれません。
メールにはlzh形式の圧縮ファイルが添付されています。

解凍すると次のようなファイルが出てきます。
before_dir

ここで注意してください。これはフォルダではなく、ファイルです。実行ファイル(exeファイル)です。ウイルスです。ダブルクリックしてはいけません。
もしダブルクリックしてしまうと、次のようなWordファイルが表示されますが、裏ではウイルスに感染し、PC内の情報が海外のサーバに送信されるとともにキーロガーが仕掛けられます。
word

一度実行してしまうと、元の実行ファイルは消去され、代わりに通常のフォルダが作成されます。しかし、裏ではキーロガーが動き続け、外部に情報を送信しています。

after_dir

こういった実行ファイルをダブルクリックさせるタイプの攻撃は脆弱性を攻撃するわけではないので、OSやアプリケーションを最新版にしていても被害に遭ってしまいますし、振る舞い検知型のセキュリティ製品では防げないことが多いです。

では対策ですが、ここまで巧妙になってくると「怪しいメールを開かない」というのが難しくなってきます。
現在は発生から1ヶ月ほど経っており、多くのウイルス対策ソフトが検知してくれますので、ウイルス対策ソフトは導入しておいたほうがいいでしょう。
また、むやみに実行ファイルを実行しないように注意する、それを社員に教育するといったことも大事ですが、それでも手が滑ってダブルクリックしてしまうかもしれません。
そのような場合に備え、ソフトウェア制限ポリシーを使用して、あらかじめ指定した実行ファイルしか実行できない設定にしておくことも有効です。

secpolicy

今回紹介したのは実行ファイルを使った標的型攻撃メールでしたが、OSやアプリケーションの脆弱性を狙った標的型攻撃メールも多く存在しますので、OSやアプリケーションを最新版にしておくことも忘れないようにしてください。

Identity Theftのトレンド

 みなさんこんにちは、Rakuten-CERTの福本です。今日は、Identity Theftについて。

 警視庁のサイバー犯罪対策のHPで、「平成23年中の不正アクセス行為の発生状況等の公表について」という資料が公開されていますが、その別紙に(おそらくどこかで不正に入手した)アカウントリストを使った不正ログイン攻撃についての記載があります。

ID

 おそらくなのですが、どこかのサイトで漏洩したID/パスワードのリストが流通していて、攻撃者は他のサイトでも不正に使えないか試しているようです。実際、僕たちのサービスも、どこかで情報漏洩のインシデントが発生すると不正ログイン試行の件数が急に跳ね上がったりします。これは攻撃者が最初に、対象サイトでログイン可能なアカウントリストを作成するために不正ログイン試行をしているようで、そしてリスト作成後に違うIPアドレスからログインしてこっそり不正を試みるわけです。(ちなみに楽天では独自開発した検知ロジックがあって、不正と判定されたらパスワードが初期化されます)

 さて、侵入率が6.7%という数値をどうみるか。これはかなりの成功率だと思うので、攻撃者側の経済合理性を想像すると不正ログインによる被害は今後増えていくのではないかと思っています。他社で漏れてしまったID/パスワードが自社の脅威となる状況なので、新たな対策を考えなければならないですね。

震災情報を装ったウイルスメールの犯人を追う

東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。
攻撃の流れはだいたい以下のようになっています。

outline

添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。
この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。

痕跡1: WORDファイルのフォント
マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていました。

simsun

痕跡2: 攻撃コードファイルのプロパティ
プロパティには日本語ではない漢字が使われていました。

property2

痕跡3: 攻撃コードファイルの言語情報
言語情報は英語でも日本語でもありませんでした。

property1

痕跡4: 実行ファイルの証明書情報
実行ファイルに偽物の証明書がついていましたが、署名者名はKingsoftとなっていました。

cert1

痕跡5 : 検知するアンチウイルスソフトの種類
アンチウイルスソフトが動作しているかをチェックしていますが、以下がチェックするアンチウイルスソフトの種類です。いくつかのメジャーなアンチウイルスソフトが抜けている代わりに、聞いたことのないものがいくつか入っています。明らかに偏りがあるのがわかります。

country

痕跡6: データ収集用サーバのOS
キーロガーなどを使って盗んだ情報を送信する先のサーバのOSは以下のようになっていました。

os

すでにお分かりのとおり、共通点は「中国」です。
このキーワードは本ブログでも何度も登場しており、特にAurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど、今最も注目されているキーワードでしょう。

CDI-CIRTとして今回のマルウェアを作成した犯人がいると思われる国と情報収集用サーバをホスティングしている国のCERT機関に連絡、技術提供を行い事件解決に努めています。

情報セキュリティの日に

2月2日は情報セキュリティの日ということで、情報セキュリティへの意識と理解を深める日だそうです。由来はよくわかりませんが記念すべき日という事ですので、情報セキュリティへの意識と理解を深めるために普段私がやっている遊びを紹介します。
ウイルスを一つ、はじめに用意します。せっかくなのでなるべく誰が見てもウイルスだというもののほうがいいです。

vt_default

きれいにほぼすべてのアンチウイルスソフトでウイルスと判定されています。使用しているのは数年前のウイルスですが、なかなかいい素材です。
まずは簡単に検知できそうなものということで、メジャーなパッカーであるUPXでパックしたもので調査してみます。

vt_upx

しかし思ったより検知できないアンチウイルスソフトがあることがわかりました。単純にツールを使うだけでもアンチウイルスソフトをだますことができるようです。
今度は気を取り直して逆アセンブルして中身を少しだけ書き換えてみましょう。
例として、一番始めの命令を1バイトだけ書き換えてみます。

editbyimm

vt_imm

かなり減りましたね。
ラストは思考を変えて実行ファイルを壊してみます。

broken

vt_broken

もはやファイルは壊れていて実行できないので、検出しないほうが正しいのですが検知してしまいました。よくある誤検知(False Positive)というやつですね。

労力をかけて工夫していけば、どのアンチウイルスソフトにも検知されないようにもできると思います。試行錯誤しているとPEファイルの構造など、勉強にもなります。繰り返しいるうちに各アンチウイルスソフトの特徴も見えてきて、情報セキュリティへの意識と理解も深まるのではないでしょうか。

そのApacheのモジュールは本物ですか?

隣部屋に隔離中のSEKI隊員曰く、
Apacheのモジュールが改ざんされたウェブサイトが確認され、結構厄介とのこと。

最近のウェブサイトの改ざんといえば、iframeやJavaScriptの挿入が主流です。これらは、目視でも確認することが可能です。そのため、grepコマンドを使った簡易チェックを実施した方も多いのではないでしょうか。また、挿入の対象ファイルは、多くの場合はコンテンツフォルダ内なので、セキュリティツールなどが改ざんを検知してくれるケースもあったかと思います。

しかし、改ざん対象がApacheのモジュールとなると、話が違います。さすがに、サーバアプリケーションのモジュールまでチェックしているウェブ管理者は少ないのではないでしょうか。

以前、紹介した.htaccessの改ざんも気付きづらいですが、Apacheのモジュールはさらに気付きづらいです。しかもバイナリファイルですので、ちょっと調べてみようかな、なんて思う気合いの入ったウェブサイト管理者も多くはないはずです。

apache_module

いい加減、気が滅入ってきますよね。
現在のところ、数件(片手で数えられる程度)しか事例を確認しておりませんので、大流行というわけではありませんが、注意は必要そうです。
お宅のApacheは、大丈夫そうですか?
#特に放置されたサーバは要チェックです!

ホワイトハッカーを仲間につけろ

 何やらTwitterのXSSワームがいろいろ話題になっていましたが、F-Secure ミッコ・ヒッポネンさんの「ハッカーを味方につけろ」にてひとつ気になる所がありました。

(snip)
 私が助言するとすれば、Twitterは自分達のシステム内にある、重要なセキュリティ脆弱性を新たに発見する目的で、報奨制度を設けるべきだろう。

  たぶん、こうしたオンラインハッカーの中には、楽しみのために新たなシステム破壊ワームを書くよりは、金儲けの方に興味を持つ人達もいるだろう。
(snip)

 確かに報奨制度は脆弱性の悪用を防ぐためのひとつの手段かも知れません。ですが、脆弱性を見つけて報奨金がもらえるとなると、むしろ攻撃者の不正アクセス行為を助長させ、結果的にはリスクが増えるのではないかと思います。それと、Webサイト運用側にとっては不正アクセス行為(の可能性と検知されるアクティビティ)が増える可能性が考えられ、これをやると監視の方もひと苦労でしょう。。あくまで仮説ですが。

 個人的には報奨制度ではなく、企業内でセキュリティエンジニアを雇用、育成し、安全なソフトウェア開発のために検証工程に脆弱性チェックというプロセスを組み込む方がいいのではないかと思います。(もし、既に組み込まれているとしたら、そのプロセスを強化するということで)

 もちろん、その作業はインターネットセキュリティの専門会社にアウトソースするという選択肢もあります。ですが、可能ならセキュリティエンジニアを雇用した方が経済合理性があるのではないかと思っています。楽天ではアウトソースと自社のセキュリティエンジニアの組み合わせでセキュリティ業務をしていますが、実績としては、やはり自社の作業比率を上げた方がコスト面やリードタイムなどメリットが大きいです。

 そして、Webサイト運営の現場では様々なセキュリティの業務があり、脆弱性チェック以外でもセキュリティエンジニアを必要としていて、彼らの活躍の場は沢山あると思っています。
Rakuten-CERTの業務の一例:あんしん・あんぜんなWebサイト運営のために


 この先、インターネットサービス企業が生き残るためには、インターネットセキュリティの技術は必須になると思っています。お客様の情報は守った上でのサービスですから。楽天ではそのベースとなるセキュリティ技術、そして体制をさらに強化しているところです。僕たちはもっともっと優秀なセキュリティエンジニアを必要としています。そして、セキュリティエンジニアの方々にはもっともっとユーザ企業側でも活躍して欲しいなあと思います。
やってみると結構、面白いですよ。

have fun.

リダイレクションにFlashを利用するSEOポイズニング・サイト

  一日ごとに新たなニュースがあり、そう、そして新たなSEOポイズニングが…。

PDF Google

  SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた… そして我々は以下のようなものを見た:

isitpossibletobehappy swf

  OK、これだけかもしれない。そこで我々は他のサイトをチェックした:

olympiccoverage swf

  そしてラボでは通例のマニアックなやり方で…我々は興奮した。

  解凍すると、このSWFには以下が含まれていた:

swf code

  多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。

  このSWFはもちろん、以下のことを始めるためのキーだ:

pdf scandownload

pdf security antivirus download

pdf rogue scan

  悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。

  おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。

  これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。

投稿はChristineとMinaによる。

Waledacよ安らかに?

  Microsoftは昨年4月、「Malicious Software Removal Tool(MSRT)」に検知を追加して、Waledacボットに挑戦した。

  MSRTは、毎月のMicrosoft Updatesパッケージの一部だ。

  そして今週、Microsoftは277のdot.com Command & Controlサーバを停止させることで、Waledacボットネットをまとめて追跡している。

microsoft's waledac map

  Microsoftに賞賛の言葉を贈りたい。この努力が成功することを期待する。

  まだスパムやボット・サンプルの現象を確認していないが、それが起きることを待っている。

  頭が切り落とされても、身体が動き回るのをやめるのには、おそらくかなりの時間がかかりそうだ。

  結局、連中はゾンビなのだ…

投稿はChristineとMinaによる。

間違いだらけのGumblar対策

Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか?
A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。
修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性もありますので、数年間はAdobeのJavaScriptは無効のままにしておいたほうがいいと思います。

Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A. 細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。

Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。

Q. FTPのパスワードを変更すれば大丈夫ですか?
A. 新しいパスワードでログインするときに再び盗まれます。まず、現在感染していないかを確認してください。

Q. プライベートアドレスを使っていれば、バックドアには入られませんか? または、ファイヤーウォールで内向きの通信を遮断しておけば大丈夫ですか?
A. 違います。バックドアへの命令は外向きの通信のレスポンスの中に書かれているものもありますので、インターネットにアクセスできる環境であればバックドアの脅威があります。

Q. バックドアで何をされるのですか?
A. 任意のコマンドを実行できるようになっていますので、被害者のコンピュータから情報を盗んだり、攻撃の踏み台に使われたりする可能性があります。

Q. 更新料のかかるウイルス対策ソフトを使っていれば大丈夫ですか?
A. 残念ながら違います。亜種が出てからウイルス対策ソフトが対応するまでに少し時間がかかりますので、その間を狙われます。

Q. 一度ウイルスを検知した気がしたのですが、もう一度アクセスすると検知しませんでした。最初のは気のせいですか?
A. 違います、一度目はウイルスを検知している可能性があります。Gumblarは解析されるのを防ぐため、一度ダウンロードされたIPアドレスからは二度とダウンロードできないようになります。最初のアクセスの時にウイルスがダウンロードされたので、二度目のアクセスの時にはダウンロードされなかったのだと思われます。ちなみにこのような耐解析機能を持つのはGumblarだけというわけではありません。

Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウンロードされてないのですから検知しないのは当然です。)しかし、Webページには変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソフトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者としては変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になっています。

Q. Webサイトが安全かどうかをチェックしてくれるサイトを使って調べれば大丈夫ですか?
A. これも上記の耐解析機能により、チェック元のIPアドレスからはすでにダウンロードできなくなっている可能性が高いです。つまり、ある環境から見て安全だったからといって、別の環境から見ても安全だとは限りません。

Q. ライセンスがGNU GPLからLGPLに変わったそうですが、具体的には何が変わるのですか?
A. 何も変わりませんので、無視してください。ただ、LGPLだと検知できないウイルス対策ソフトもあるみたいです。

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。
その後は、
・OSやインストールされているソフトウェアを最新版にする
・ゼロデイ情報に注意し、暫定対応を実施する
ということになります。

Adobe Readerゼロデイの検出

昨年末からAdobe Reader/Acrobatのゼロデイ、CVE-2009-4324を攻撃するPDFファイルが出回っています。
私のところに届いたマルウェア入りPDFも検知率はあまりよくなく、9.76%でした。

1

このマルウェアはいろいろ細かい動きをするのですが、主な動きは、
・PDFファイルの中に埋め込まれたバックドアDLLを取り出す
・svchost.exeを起動し、コードインジェクションを行う
・インジェクションされたコードがバックドアDLLをインジェクションする
という部分でして、このバックドアの検知率はというと26.83%まで上がります。

2


このように見た目ほど検知率が悪い訳ではありませんが、決して高いとは言えませんので、依然として注意が必要です。

NULLED EXPLOIT PACK

Nulled Exploit Pack ??

nulledexp

また、新しいCrimewareが出てきたようです。
キリがないですね。

現在、検知が難しそうなのは、やはりPDFとTrojanのようです。
myreadme.php (PDF)
SHA1  : 6daba79c399dc9e08fb905dafaa753fc8bd4c59f
Trojan
SHA1  : 78586a3e2b2cf77f4e098d0193408148eb9e06a6

PDFは0dayの件もあり、アップデートやパッチ適用だけでは対処が難しくなってきました。
未検証ですので、どこまで効果があるかさっぱり分かりませんが、JavaScriptの無効化や閲覧ツールを変更など、まずできる対策から実施していくしかなさそうです。

困りましたね・・・

New Gumblarとその亜種に関する注意喚起

JSOCの観測によると、Gumblarの感染台数が増加しているとのことです。アンチウイルスソフトウェアによる検体検知率は、現在のところ著しく低いとのこと。

確実に感染事実を把握するためには、次のリクエストが無いか確認した方が早そうです。
216.45.48.66
195.24.76.250
67.215.246.34
67.215.238.194

参照URL
http://www.lac.co.jp/info/alert/alert20091119.html

また、追加情報によると、初代GumblerはFTPのアカウント情報が盗まれましたが、今回はウェブサイトの閲覧履歴の情報も持っていかれているようです。

twitterに追加情報が出るかもです!
http://twitter.com/lac_security

RE 「AVAR 2009」からこんにちは!

私もこっそり、先日のフェイさんのポストにあった、AVAR2009(Association of anti Virus Asia Researchers International Conference)へ参加してきました。ウイルスに特化したカンファレンスへは初参加だったので、色々新鮮でした。

残念ながら、F-Secureの方を会えませんでした。
#F-Secure以外のAVベンダーの方々との交流はありましたが(笑)

クラウド以外の内容ですと、日本人の発表はオリジナル性が高く好評だったように思います。

日本コンピュータセキュリティリサーチの岩本さんによるマルウェアの特徴抽出と分類に関する講演は、オリジナルと亜種がどの程度異なるのか数値化するといった内容。その際に利用される図は生物や進化系統樹に似ており、その考え方も生物学みたいだなと思っていましたら、講演後にお話を伺うと、DNAの距離(違い?)の考え方を応用したのだそうです。

もうひとつ興味深かったのが、シマンテックの末長さんによるIDA proを用いての難読化されたAPIの解析手法の紹介です。難読化されたAPIをIDC scripotを用いての解析方法の説明なのですが、その内容は非常に具体的且つ実践的。講演後にお話を伺いますと、IDC script生成ツールを作成したことが今回のポイントだそうで、そのためのアイデアを提供したとのこと。
#とはいうものの、末永さんは3年がかりで作ったそうです・・・
他のセッションでは具体的な話が少なかったため、本セッションは技術者ウケが良かったように思います。(たぶん)
まだまだ発展しそうな話でしたので、今後も楽しみです。

また、星澤さんの発表が予定されていましたが、"リアル"ウイルスに感染した可能性があるとのことでいらっしゃいませんでした。
代わりに神薗さんがお話されていました。近年のDrive by Downloadを利用するマルウェアの攻撃手法とそれに対する検知技術の話です。ブラックリストによる防御が限界に達している現在、次の検知技術が研究されていますが、本講演も色々参考になるところが多かったです。

技術的な話の他に印象的であったのが、ESETの「Goodware」「Policeware」の事例紹介です。
これは海外の警察(FBIとか)がサイバー犯罪者を逮捕するために、裁判所の許可を得て合法的にマルウェアを仕掛けるというもの。例えば、重要な証拠となり得るファイルの暗号化を解くために、容疑者に対し中間者攻撃を仕掛け、キーロガーをインストールしパスワード等を盗むのだそうだ。AVベンダーに検知しないように依頼したり、OS開発ベンダーにドライバーに組込んで欲しいなど頼むことがあるそうだが、道徳的・倫理的に問題があるとのことで、殆ど断られるとのこと。
#それはそうですよね・・・

フェイさんが晩餐会の模様を載せているので、私も。。。

avar2009_1

Linux R&D チームのChallenge

Moi! エフセキュアで製品に関する諸々を担当しています、富安と申します。

私からは、製品に関する情報や使い方に関するTIPS、今後の取り組み等をこのブログを借りて紹介していければと思っています。

今回お届けする内容は、Linux R&D チームの取り組みについてです。

弊社ではLinux上で動作する製品として、製品をインストールしたPC自体を保護するエンドポイントセキュリティとして「エフセキュア Linux セキュリティ フル エディション」という製品を販売しています。

この製品は、弊社のWindows製品と同様に、リアルタイムでのファイルI/Oに応じたウイルス検査が可能なのですが、これを実現するためにDazukoというカーネルモジュールを利用してシステムコールの横取りを行っています。
(参考:エフセキュア Linux セキュリティ フル エディション FAQ/リアルタイム検査の動作概要について

もしリアルタイムスキャンでウイルスを検知した場合は、システムコールテーブルを書き換えてエラーを返し、ウイルスファイルにアクセスが失敗したとシステムコールの送信元プロセスに思わせるわけです。

ところが、カーネル2.6.25以降、カーネル側でシステムコールテーブルの書き換えを禁止するようになっているため、今までの方法ではリアルタイム検査ができなくなっているのです。

DebianやUbuntuの最新バージョンでは、既にカーネル2.6.25以降が採用されており、今後リリースされる他のディストリビューションの新バージョンでも採用されることになると思います。

Linux R&D チームは、現在この問題を解決する新バージョンの開発に取り組んでいます。この新バージョンでは、同時にセキュリティに関する新しいテクノロジの搭載も検討しています。期待してお待ちください。

岩井博樹さん:エフセキュアブログメンバーご紹介

これまで、ブログメンバーの高間さん星澤さんをご紹介して参りましたが、今回はフォレンジックやインシデントレスポンスの専門家でいらっしゃる、岩井さんをご紹介申し上げます。

エフセキュアブログ試験運用中の4月に、JSOCの会議室でお話をお聞きしました。


●岩井博樹さん

岩井 博樹(いわい ひろき)
株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所 所長
岩井さんのエフセキュアブログの投稿記事一覧

主な対外活動
日本シーサート協議会運営委員
FIRST
NPO日本ネットワークセキュリティ協会

執筆関連
日経コミュニケーション セキュリティ・ウォッチ
ITPro
Scan
情報セキュリティプロフェッショナル教科書
その他

業務経歴
セキュアサーバ構築やネットワークの設計、IDS/IPSの導入設計に携わる。
その後、JSOC(Japan Security Operation Center)設立に伴い、インシデント解析業務(セキュリティ)を立ち上げる。
2004年よりコンピュータ・セキュリティ研究所に所属し、調査・研究業務を行っている。

専門分野
・デジタル・フォレンジック
・侵入検知・侵入防御システム

趣味
お酒好き。文房具好き。
最近は知人の勧めによりトイカメラ(どう写るか分からないカメラ)にはまる。

Mac Protection で遊んでみる

星澤さんの投稿にありましたが、私もMacユーザーということで、Mac Protection を試してみました。ついでに他社のものも評価中なのですが、気になった点がありました。

Mac OS を狙ったウイルスには、主に、

・実行ファイル形式のもの
・スクリプトベース(AppleScript、ShellScriptなど)のもの

があります。スクリプトベースのものは、JavaScriptの悪用に代表されるように、自由度の高さが仇となり検知が容易ではありません。例えば、JavaScriptでの難読化などがあります。

ということは、もしかしてMac版のウイルス対策ソフトウェアも同様の問題があるのでは?と気になりだしたので、試してみました!

スキャンした検体は4つで、いずれも昨年Macユーザー間では話題になったものを選択。実行ファイル形式のものを2つ、Scriptベースのものを2つを用意しました。

ScanResult0619

結果は予想通りで、上図の通りです。この辺は検知が難しいことは百も承知ですが、せめてオープンソース化されているrootkitやtrojanに関しては見つけて欲しかったです。(愚痴でスミマセン)

私はエフセキュアのムーミン・バージョンからの利用者ですので、Mac Protectionには是非がんばって頂きたいなぁ・・・と思っている次第です。早速、フィードバックを検討したいと思います。

日本の研究者も頑張っています

皆さんを守るために頑張ってます と、エフセキュアのラボの人たちは日夜コンピューターユーザーを守るために頑張っているようですが、日本の研究者も頑張っています。

本日(6月18日)と明日、機械振興会館(東京)にて電子情報通信学会のインターネットアーキテクチャ研究会が開催されています。セキュリティに関する研究発表も多数あります。筆者も「自律型クライアントハニーポットの提案」という発表をしました。ほかにもマルウェア関連の興味深い発表がありましたので、タイトルだけですが紹介しておきます。

明日もマルウェアに関する研究発表があります。
こちらは2件とも神戸大学の森井先生の研究室の発表です。森井先生といえば、昨年、CSS2008でWEPを一瞬で解読する方法を発表して話題になりました。

一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定 (GIGAZINE, 2008年10月13日)
「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定 (ITmedia, 2008年10月14日)

残念ながら筆者は他の予定があり聴講できませんが、明日の発表も期待できそうです。 

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード