エフセキュアブログ

CVE を含む記事

いかにWindows XPが攻撃しやすいか

先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。

cve-2013-3893_onXP
[Windows XPでIE8の脆弱性を悪用し電卓を起動したところ]

攻撃が簡単な理由は、Windows 7ではASLRといってメモリアドレスをランダムに配置する機能が備わっているのに対して、Windows XPではそのような機能が無いため攻撃に利用可能な場所がそこらじゅうにあるからです。

noaslrOnXP
[Windows XPではASLRが有効ではない]

Windows 7ではASLRのおかげで攻撃に利用可能な場所はほとんどありません。

noaslrOn7withoutOffice
[Windows 7インストール直後のIEにはASLRが無効になっているDLLは無い]

しかし、「ほとんどありません」ということは、「少しはある」ということを意味します。例えば、Officeがインストールされている状態でms-help://にアクセスすると、次のように攻撃に利用可能なDLLがロードされます。

noaslrOn7withOffice
[Windows 7でIEにms-help://を読み込ませた際に、ASLRが無効になっているDLLリスト]

CVE-2013-3893で悪用された手口で、Windows 7を攻撃するのにOfficeがインストールされている必要があったのはこのDLLを強制的にロードさせて攻撃に利用するためです。この手口は2012年から報告され、実際に悪用されたこともあったのですが、残念ながらまだ修正されていません。ただ、これだけ毎回悪用されると修正されるのも時間の問題かと思います。

このようにWindows 7では脆弱性発見から攻撃成功にいたるまでは
[脆弱性発見] -> [攻撃に利用可能な場所を調査] -> [攻撃成功]
というステップを踏む必要があるのに対して、Windows XPでは
[脆弱性発見] -> [攻撃成功]
というステップだけですので、攻撃を成功させるのが容易なわけです。

2014年4月にはサポートも切れることですし、XPとのお別れの時期もいよいよ目前に迫ってきましたね。

IEの脆弱性についてのアップデート #Japan #Metasploit

 2週間以上前、Internet Explorerの脆弱性に関するマイクロソフトのセキュリティ アドバイザリ(2887505)が公表された。その直後、当社は検知するエクスプロイトを追加した。この時点で、マイクロソフトは脆弱性の悪用は限定的だと報告していた。

Microsoft Security Advisory for CVE-2013-3893

 それ以降、メディアサイト経由で日本国内の標的が攻撃されている証拠が表面化してきた。

 そして先週、当社の顧客のアップストリームデータから、台湾で限定的に悪用されていることが示唆された。

 もっとも重要なのは、今ではCVE-2013-3893についてMetasploitがサポートしている点だ。つまりBlackholeのようなよく知られたエクスプロイトキットに追加されるのは、時間の問題に過ぎない。今週でなければ、マイクロソフトが次の火曜日にパッチをリリースする1日後または2日後になるのは、ほぼ確実だ。

 我々は(可能なら)更新されるまでIEを回避することをお勧めする。ネットワークを管理しているなら、Fix itツールがマイクロソフトから提供されている。

TDLドロッパーの新たなバリアントがCVE-2013-3660を侵害

 最近、我々はTDLバリアントの新種がはやっているのを目にしている。これらのバリアントは、Bitdefender社の研究所が報告した悪評の高いTDL4マルウェアの、クローンになりそうだ。

 我々が目にした、TDLドロッパーの新しいバリアント(SHA1: abf99c02caa7bba786aecb18b314eac04373dc97)は、当社のHIPS技術(以下の画像をクリックすると拡大される)DeepGuardによって、顧客のマシン上で捉えられた。検知名から、当該バリアントはエクスプロイトキットを通じて配布されていることが分かる。

TDL4_clone_exploited_in_the_wild (295k image)

 昨年ESET社が、新しい技術を採用したTDL4バリアント(一部のアンチウィルスベンダーはPiharと呼んでいる)について言及した。新技術とは、HIPSを迂回するためのものと、プロセスの権限を上げて管理者としてのアクセス権限を得るためのものだ。我々が最近見たバリアントのドロッパーも、ESET社のブログの記事で述べられているものと同じ技術を使っているが、いくつかのマイナーな更新もなされている。

 要約:TDL4はMicrosoft Windowsのタスク スケジューラ サービスの脆弱性MS10-092を侵害して、マルウェアのプロセスの権限を上げて、ルートキットドライバを読み込む。新しいバリアントは、セキュリティ研究者のTavis Ormandy氏によって発見されたEPATHOBJの脆弱性CVE-2013-3660をかわりに侵害する。

TDL4_clone_ExploitingCVE_2013_3660 (30k image)

 新たなバリアントと、元からあるTDL4との特筆すべき違いの1つは、設定ファイルだ。これは、ドロッパーのリソース部に、RC4でエンコードされたデータとして埋め込まれている。

TDL4_clone_config_ini (6k image)

 これがCVE-2013-3660を侵害する最初のマルウェアファミリーということはほぼないが、マルウェアの作者がどれだけ早くエクスプロイトコードを一般に利用可能とするかを、はっきりと示している。今回の場合、エクスプロイトコードは3ヶ月前に公開された。

Post by — Wayne

IEの脆弱性でリモートコード実行が可能に

 どのような種類のWindowsシステムであっても、あなたがその管理者であるなら、Microsoft Security Advisory (2887505)は、おそらく必読だ。

Microsoft Security Advisory for CVE-2013-3893

 Internet Explorerの全バージョンに影響がある。

 マイクロソフトは現状「特にInternet Explorer 8および9を狙った、限定的な数の標的型攻撃」について認識している。攻撃における限定的という性質が、近い将来、変わる可能性は大いにある。エクスプロイトキットの提供者が今まさに、その脆弱性に基づいたエクスプロイトを追加サポートするように動いているからだ。当社では、そのようなエクスプロイトの検知がすでに進行している。

 一方、マイクロソフトはFix itツールをリリース済みで、パッチがリリースされる前の潜在的な攻撃を軽減できる。

Java - 与え続ける才能

 脆弱性の研究者はJavaを愛しているに違いない。最近は特にJavaの2Dサブコンポーネントが、研究者たちの愛を感じていたように思われる。なぜなら2Dサブコンポーネントは、今年3月のCVE-2013-0809およびCVE-2013-1493に対する定例外のパッチ以降、合計で18個の修正済みの脆弱性があることになり、パッチ数が最多のサブコンポーネントとなったのだ。幸運にも、世間で唯一不正利用されたのはCVE-2013-1493のみとなっている。

 8月12日月曜日、さらにもう1つのJavaエクスプロイトへのリンクが共有された。

Tweet

 ツイートの内容と異なるが、このエクスプロイトは0デイではない。2Dサブコンポーネントのさらにもう1つの脆弱性CVE-2013-2465を悪用する。この問題はJava 7のupdate 21までのバージョンに影響があるが、最新バージョンのJava 7 update 25にはパッチが当てられている。当社ではこのエクスプロイトの検知(Exploit:Java/CVE-2013-2465.A)をリリース済みだが、ここまで現実世界では検出されていない。

 CVE-2013-2465は(まだ)現実に悪用されてはいないが、Java 7 update 21に影響を与える別のJavaの脆弱性CVE-2013-2460が存在する。このエクスプロイトは7月にエクスプロイトキットPrivateにて導入され、それ以来Sweet Orangeエクスプロイトキットでも目撃されている。さらに、カスペルスキー社は、この脆弱性が水飲み場型攻撃で悪用されることを指摘している(ポストの中で言及しているJARファイルはCVE-2012-4681ではなくCVE-2013-2460を悪用する)。

 まとめると、Java 7 update 25とJava 7 update 21のどちらを実行しているかで違いがある。Javaをアンインストールすることや、少なくともブラウザのプラグインを無効にすることが選択肢に無いのなら、最新版のJavaがインストールされていることを確認するとよい。

Grumpy cat

Post by — @Timo

追記さらに与え続けている。

g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





Javaの脆弱性CVE-2013-2423に対するエクスプロイトが悪用される

 Oracleがクリティカルパッチをリリースした数日後に、CVE-2013-2423がすでに悪用されていることが分かった。履歴を確認すると、4月21日に悪用され始めたようで、数時間前まで継続して活発に発生していた。

url_list (122k image)

 もっとよく見てみるために、Metasploitモジュールで見つけたクラスと、実際に悪用されたサンプルに含まれているクラスを比較した画像を以下に挙げる。

Metasploit (95k image)

 興味深いことに、Metasploitモジュールは20日に公開されており、先に述べたように、その翌日にはこのエクスプロイトが実際に悪用されるようになった。

 PoC(概念実証、proof of concept)についての情報はここに掲載されている。

 ファイルはExploit:Java/Majava.B.として検知される。

サンプルのハッシュ:
1a3386cc00b9d3188aae69c1a0dfe6ef3aa27bfa
23acb0bee1efe17aae75f8138f885724ead1640f



Post by - Karmina および @Timo

OS X Mountain Lion v10.8.3のセキュリティコンテンツについて

 アップルはOS X Mountain Lionアップデートv10.8.3をリリースした。いつものようにセキュリティコンテンツは興味深い。

 以下はCoreTypesの詳細になる。我々が実際に注目したのはCVE-2013-0967だ。

CVE-2013-0967

 「影響:悪意を持って作られたWebサイトにアクセスすると、Javaプラグインが無効になっていてもeven if the Java plug-in is disabledJava Web Startアプリケーションが起動しうる。

 Javaプラグインが無効になっていても、だって?

 これは興味深い…。


FlashエクスプロイトがウイグルのWebサイトを標的に

 ウイグルに対する攻撃はまだ止んでいないようだ。我々は近頃、侵害されたウイグルのWebサイトに遭遇した。そこでは、CVE-2013-0634の脆弱性を突く悪意のあるFlashが再生される。

site (472k image)

 このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。

hiew (75k image)

 また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。

cert (116k image)

 MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。

 こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。


関連のあるサンプル:

  •  977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
  •  82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
  •  040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
  •  35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
  •  ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF

Post by — Karmina and @Timo







Flash:クリックして再生する

 2月の間、AdobeはFlash Playerのセキュリティ・アップデートをいくつかリリースした。

Security bulletin APSB13-04

 「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。」

Adobe APSB13-04

 FirefoxまたはSafariを経由したMacへの攻撃については、我々は2月8日に言及している。

Security bulletin APSB13-08

 「ユーザをだまして、悪意のあるFlash(SWF)コンテンツを提供するWebサイトへと誘導するリンクをクリックさせる標的型攻撃の中で、CVE-2013-0643およびCVE-2013-0648が世間で悪用されているとの報告については、当社も認知している。CVE-2013-0643およびCVE-2013-0648に対するエクスプロイトは、Firefoxを標的に設計されている。」

Adobe APSB13-08

 「このアップデートは、FirefoxのFlash Player用のサンドボックスにおける権限の問題を解消する(CVE-2013-0643)。」

 Firefoxのサンドボックスから抜け出すのか?良くないね。

 幸運なことに、Windows上ではFlash Playerは比較的よく自動更新される。

 それからMacだが、現在AppleはXProtectコンポーネントによって古いバージョンをブロックしている。

 Appleはその条件をぐらつかせており、始めはバージョン11.5.502.149以上としていた。

XProtect 2013.02.26

 現在必要な最低バージョンは11.6.602.171になっており、これは最新のものだ。

XProtect 2013.02.28

 アップデートや最低要件はすばらしいが、ChromeやFirefoxのユーザにはさらに優れたもの、つまり「Click to play(クリックして再生する)」がある。「Click to play」を有効にすると、ユーザが実際に実行したいものではない場合、プラグインが起動しないように制限される。

 Chromeの場合は「chrome://settings/content」に行って「Plug-ins(プラグイン)」を検索する。

chrome://settings/content

 Firefoxなら「about:config」の設定ページを開き、「plugins.click_to_play」を検索し、値をtrueに設定する。

Firefox, plugins.click_to_play

アップルに関連したハッキングのタイムライン

 Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。

2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。

2月1日
:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。

2月1日
:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。

2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」

2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。

2月5日:US-CERTが上述のアラートを更新。

2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。

2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」

Adobe APSB13-04, Firefox and Safari for Mac

ヒント:Mac用のGoogle Chromeはここからダウンロードできる。

2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。

2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。

2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。

ヒント:自分のFlash Playerのバージョンはここで確認できる。

2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。

2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。

2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。

2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。

2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。

2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。

2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。

2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。

2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。

2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。

iPhoneDevSDK Compromised
クリックで画像が拡大。

2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。

公開質問

Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?

Q:影響を受けた企業は何社か?

Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?

Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?

考察

 Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。

 しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。

 「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。

 最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。

改訂:2月19日に、Appleのアップデートへのリンクを追加した。

 

アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト

 新たなJavaエクスプロイトがTwitterスタッフのMacをハッキングするのに使われた可能性があるという憶測を、月曜日に伝えた。そして本日はFlash Playerのアップデートがあり、パッチを当てた脆弱性が世の中で悪用されているとAdobeが報告した。

 CVE-2013-0634はMac用のFirefoxとSafariのFlash Playerに影響がある。

CVE-2013-0634

 狙われた組織は?Adobeは言及していない。

 ただ、Lockheed Martin社のComputer Incident Response TeamがAdobeの調査に貢献したことが述べられているのは興味深い。

Lockheed Martin Computer Incident Response Team

 詳細はKrebs on Securityにある。

ダウンロード:2012年下半期の脅威レポート

2012年下半期に、我々が注意を要したことは何だったろうか?この質問の答えは、当社の2012年下半期の脅威レポートの中にある。2012年7〜12月に目にした重要な事件は、ほぼすべてまとめられている。パスワードおよび企業諜報についての短い記事で興味を刺激し、続いて以下の分野のケーススタディに移っていく。

  •  ボット
  •  ZeroAccess
  •  Zeus
  •  エクスプロイト
  •  Web
  •  マルチプラットフォームの攻撃
  •  モバイル

 コピーはここからダウンロードできる。

訂正(2013年2月8日):2012年下半期の脅威レポートが更新され、ZeroAccessの記事の記述が次のように変更となった。「A successful installation in the United States will net the highest payout, with the gang willing to pay USD 500 to 1,000 per installation in that location.(訳注:米国内でインストールされるごとに500〜1,000米ドルを支払う用意があるギャングのおかげで、同国で首尾よくインストールされたことにより、最高の支払額を記録した。)」という文を「[...] to pay USD 500 per 1,000 installations in that location.(訳注:米国内で1,000ヶ所にインストールされるごとに500米ドルを支払う用意があるギャングのおかげで、〜)」のように訂正した。

Exploits

グリーティングカードを装った標的型メールに注意

グリーティングカードを装った標的型メールが複数確認されています。
実在するサービスなので、ついクリックしてしまいそうですのでご注意ください!

greeting_card

今回、確認したケースでは記載されたURLへアクセスしますと、CVE-2013-0422(Javaの脆弱性)を悪用する攻撃コードが実行される仕組みとなっていました。
Javaの脆弱性を狙った攻撃は今後も継続することが予想されますので、特に必要のないユーザはアンインストールしておいた方が妥当かもしれません。

ちなみに、ダウンロードされる攻撃コードはmetasploitにより作成された可能性があります。
metasploit用に開発された攻撃コードの多くは研究し尽くされていますので、標的型攻撃で利用されるのは珍しいケースだなぁ、と思いました。(広範囲に対しての攻撃だったのかもしれませんが。)
もしかすると、実験的な攻撃なのかもしれませんね。

jar


すべての月がRed October

 おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。

 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてしまう。

 とりあえず、使用されているエクスプロイトは高度なようには見えない。攻撃者は古くからある有名なWordやExcel、Javaのエクスプロイトを使っていた。これまでのところ、ゼロデイの脆弱性が用いられた兆候はない。

 当社のバックエンド・システムは自動的にドキュメント・エクスプロイトを分析している。Red Octoberの攻撃で使用されたエクスプロイトの一部について、スクリーンショットを掲載する。

Red October

Red October

Red October

Red October

 我々は毎月のように、このシステム上で数千の同様のドキュメントを目にする。Red Octoberの攻撃は、長期に及ぶ、単一の存在から行われていた大規模な諜報活動という点で興味深い。しかしながら、企業や政府は同様の攻撃を多くの異なる攻撃元から定常的に受けているというのが悲しい現実だ。その意味では、これは真実、インターネット上での日常生活に過ぎない。

 Red Octoberの攻撃で用いられている、既知のエクスプロイト・ドキュメントは、エフセキュアのアンチウイルス上では、Exploit:Java/Majava.A、Exploit.CVE-2012-0158.Gen、Exploit.CVE-2010-3333.Gen、Exploit.CVE-2009-3129.Genなど、さまざまな名称で検知される。

 追伸。もしあなたがシステム管理者として自身の環境に対する同様の攻撃を防ぐ方法ついて思案しているのなら、そうした読者のために近く上級研究員のJarno Niemelaが続報を投稿する。

JavaとIEのパッチ+プロンプト

 マイクロソフトはInternet Explorer 6〜8のユーザ向けに定例外のセキュリティ更新をリリースしている。

Advisory_2704220

 マイクロソフトは次のように述べている。「この問題により影響を受ける顧客の数は限定的だとみているが、将来さらに多くの顧客に影響を及ぼす可能性がある。」

 可能性ねえ。現在、このIEの脆弱性が、Blackholeのような有名なエクスプロイト・キットに組み込まれている証拠がある。できる限り早くアップデートするように。

 次はJava。すでにアップデートをしていてしかるべきものだ(仮にいまだに使っているものとして)。

 CVE-2013-0422というJava(JRE)エクスプロイトが、我々が先週検知したものの上位陣の中でどのように見えるかを以下に示す。

java0daystats

 ご覧のとおり、感染率は中程度で留まっているが、上がっている。これは、すべての人がJavaの最新バージョン(7u11)を実行しているわけではないことと、エクスプロイト・キットがバージョン・チェックを行っていることに起因する。そのため我々はJavaの以前のバージョンに対するエクスプロイトを以前にも増して目にしている。したがって、現行バージョンにアップデートすることは重要なのだ!

 加えて、オラクルは次のように述べている。「このアラートの修正点として、デフォルトのJavaのセキュリティ・レベルの設定を「中」から「高」に変更したことが含まれる。「高」の設定では、署名がなされていないJavaアプレットやJava Web Startアプリケーションが起動する前に、常にプロンプトが表示される。」

 以下がそのプロンプトだ。

Java_7u11_prompt_unsigned

 以下は自己署名したアプリケーションのプロンプトである。

Java_7u11_prompt_signed






ダライ・ラマ関連のWebサイトでMacの新しいマルウェアが見つかる

当社Threat Researchチームの一員であるBrodは、垂れ込みに基づき調査を行った。そして、ダライ・ラマ関連のWebサイトが侵害され、新たなMacのマルウェアをプッシュしてくることを発見した。このマルウェアはDocksterと呼ばれ、Javaベースのエクスプロイトを用いている。

 以下はgyalwarinpoche.comのページのソースだ。

gyalwarinpoche.com --jar

 Googleのキャッシュにあるgyalwarinpoche.comのスクリーンショットは次のとおり。

gyalwarinpoche.com, cached image

 注意:Googleの11月27日のスナップショットにもやはり悪意のあるエクスプロイトへのリンクが含まれる(つまり踏まないように)。

 gyalwarinpocheのサイトは、以下のdalailama.comと「公式っぽさ」が違って見える(訳注:ギャルワ・リンポチェはダライ・ラマの尊称)。

dalailama.com

 しかし2009年または2010年辺りから存在し、ダライ・ラマのYouTubeチャンネルと同じ名前を持つ。

 またWhoisの情報も似ている。

whois: dalailama.com
dalailama.com

whois: gyalwarinpoche.com
gyalwarinpoche.com

 このJavaベースのエクスプロイトは「Flashback」と同じCVE-2012-0507の脆弱性を悪用する。現行バージョンのMac OS Xや、ブラウザのJavaプラグインが無効になったMac OSではエクスプロイトによる危険性はない。送り込まれるマルウェアBackdoorOSXDockster.Aは、ファイルのダウンロードやキーロガーの機能を持つベーシックなバックドアだ。

 gyalwarinpoche.comが侵害されたのはこれが初めてではないし、もちろんチベット関連のNGOが標的になったのも今回に限ったことではない。詳細についてはここここに目を通してほしい。

 さらに、CVE-2012-4681を用いた、WindowsベースのペイロードTrojan.Agent.AXMOを持つエクスプロイトも存在する。

MD5情報:

Exploit:Java/CVE-2012-0507.A — 5415777DB44C8D808EE3A9AF94D2A4A7
Backdoor:OSX/Dockster.A — c6ca5071907a9b6e34e1c99413dcd142
Exploit:Java/CVE-2012-4681.H — 44a67e980f49e9e2bed97ece130f8592
Trojan.Agent.AXMO — c3432c1bbdf17ebaf1e10392cf630847

ブラックホールよりクール?

 エクスプロイトキットはまだ広がり続けており、特に変わりはない。ただ、有名なBlackholeエクスプロイトキットに加えて、Coolエクスプロイトキットと呼ばれる新顔が現われた。 

 この2つが、実際にお互いどんな風にやって行くのかは、興味があるところだ。

 最近、Blackholeは最新のPluginDetectバージョン0.7.9に更新されたことがわかっているが、これはCoolでは既に使われている。

Blackhole plugin

 フォント脆弱性 (CVE-2011-3402) をBlackholeが攻撃していることも知られているが、これもCoolが攻撃してきた。

Blackhole font

 また、Blackholeは現在Java脆弱性 CVE-2012-5076も攻撃しているようだが、これもCoolにより攻撃されてきたものの1つだ。さらには、Blackholeはバージョン1でしたように、もう一度Flashエクスプロイトを提供している。

Blackhole vercheck

 もちろん、Coolも同じプラグインで似たようなチェックを実行しているし、同じ脆弱性を攻撃しているので、後れを取りたくないと思っているだろう。

Cool vercheck

 我々が思っているだけかもしれないが、この2つのキットのバージョンチェックは非常に似ている。我々がCoolのFlashエクスプロイトを調べたところ、Blackholeバージョン1に見られたものと同じFlashファイル名に気付かざるを得ず、どうやら偶然同じFlash脆弱性 (CVE-2011-0559, CVE-2011-2110, CVE-2011-0611) を攻撃するようだ。

Cool Flash

 それだけでは済まないらしく、ほかの機能も結構よく似ている。

Blackhole:
Blackhole getcn

Cool:
Cool getcn

 という訳で、Coolは本当により優れているのだろうか?これらの「違い」を全部考えても、CoolとBlackholeは少し関連があるというレベルではない。このことに気付いたのは我々だけではなく、@kafeineもその投稿の中で両方のキットの作者が同じである可能性は高いと言及している。

Post by — Karmina および @TimoHirvonen

11月の脆弱性およびゼロデイの集計

  まだ第二火曜日ではないが、すでに適用すべき重要アップデートがかなりの数に達している。そしてき重要ゼロデイの一つを、知っている必要がある。

  優先:Flash! Adobeが11月6日、7つの脆弱性を修正する重要アップデート(詳細はここ)をリリースした。

  ご自分のバージョンチェックはここでできる。

Flash 11.5.502.110

  11.5.502.110はブラウザに応じた最新版だ。実際に使用している以上のプラグインのインストールは必要ない。たとえばChromeには、自身のバージョンのFlashが含まれている。

  Chromeと言えば、Googleも6日にセキュリティアップデートをリリースした(詳細)。こちらは容易なアップデートで、About (chrome://chrome/) をチェックして、バージョン23.0.1271.64を使用しているか確認すれば良い。

Chrome 23.0.1271.64

  Appleは11月7日、Windows版QuickTimeのアップデートをリリースした(詳細)。QuickTime 7.7.3には、ドライブバイ攻撃で悪用可能と思われる脆弱性用に9つのアップデートが含まれている。iTunesではすでに、QuickTimeは必要ない。最後に使用されたのがいつか思い出せなければ、本当にQuickTimeをインストールする必要があるのか、自問して欲しい。(QuickTimeは非常にポピュラーな標的だ)。

  ポピュラーな標的と言えば…

  Java! Java Runtimeクライアントが最新版であることを必ず確認すること。(バージョンチェックはこちら)アップストリーム・データに基づくエフセキュア唯一、最大の検出は:Exploit:Java/Majava.A Java Runtimeは間違いなく、ナンバーワンの標的だ。

  我々のアップストリームデータに基づいた、二番目に一般的な検出は:Exploit:W32/CVE-2010-0188.B Adobe Readerのエクスプロイトで、CVE番号から2010年のものであることが分かるだろう。

  しかしそれでも、Group-IBで報じられているAdobe Readerのゼロデイ脆弱性があることに注意。

  Adobe Readerの現行バージョン、アップデートバージョンを悪用可能であるため、この脆弱性は重要だ。また、Readerのサンドボックスから脱獄し、ホストコンピュータを悪用できる。

Group-IB US: Zero-day vulnerability found in Adobe X

  Group-IBによれば「Blackhole Exploit Kit」の一部ハイエンド版が販売されている。よってこのエクスプロイトは広く利用されていない…今の所は。もしインストールしているなら、Readerの使用軽減を検討して欲しい。

  ここに、活動中の同エクスプロイトのYouTubeビデオがある。

CVE-2012-1535と核弾頭

エフセキュアの法人ビジネスチームが、「プロテクション サービス」の新たな「ソフトウェアアップデータ」機能を市場に出そうとしている。そこで彼らは、ラボのアナリスト@TimoHirvonenに、脆弱性からエクスプロイトに達するのにかかる時間を実証する例を提供してくれるよう頼んだ。

  以下はTimoによる、「CVE-2012-1535」に関するタイムラインだ:

  •  2012-08-14:脆弱性「CVE-2012-1535」を修正するAdode Flashプレイヤー用セキュリティアップデートをリリース
     (Adobe Flash Player用セキュリティアップデートを公開
  •  2012-08-15:「CVE-2012-1535」向けの組込形Flashエクスプロイトを含むMicrosoft Office Word書類がイン・ザ・ワイルドに。
     (Adobe Flashのエクスプロイトがイン・ザ・ワイルドにCVE-2012-1535—7つのサンプルと情報
  •  2012-08-17:エクスプロイトの開発と実行用のパブリックなオープンソースツールMetasploit Frameworkにエクスプロイトが追加される。
     (dobe Flash PlayerエクスプロイトCVE-2012-1535がMetasploitで利用可能に

  ご覧の通り、脆弱性がエクスプロイトに活用されるのに、大した時間はかからない。

  そして次に、Timoは興味をそそられて(彼はいつもそうなのだが)エクスプロイト自身「Exploit:SWF/CVE-2012-1535.B」を調査しようと考えた。

  彼は検索を行い、Digital4rensics Blogのこの記事を見つけた。これは「110630_AWE Platinum Partners.doc」というドキュメントファイルに関するVirusTotalのレポートにリンクしている。Symantecは、同ドキュメントが添付された、検閲済みのメール(少なくとも類似した)のスクリーンショットを、「CVE-2012-1535」の記事で紹介している。そしてContagioは、同じエクスプロイトを使用した複数のWord書類のリストを掲載している。

  そしてTimoは、2、3のサンプルを突き止めた:

CVE-2012-1535 Docs

  「110630_AWE Platinum Partners.doc」が最も興味深いことが分かった。上でリンクしているDigital4rensics Blogによれば、AWE Limitedはオーストラリアのオイル&ガス企業だ。しかしTimoにはピンと来なかった。彼はTybrinという名前を、他の書類で見たことがあり、それを米国防省の仕事をしているJacobsのTYBRIN Groupに結びつけた。

  それでは「110630_AWE Platinum Partners」ドキュメントがドロップするデコイドキュメントを見てみよう:

Working together to keep our world safe and secure by ensuring warheads are always available

  「弾頭が常に入手できるようにして、我々の世界を安全かつセキュアに保つよう強力。」

  弾頭?

  オイル&ガス企業とは関係無いような…

  デコイドキュメント中に名が挙げられている人びとをLinkedInで検索すると、今度は英国にあるAWEという別の組織に到達する:

Atomic Weapons Establishment

  AWEは「Atomic Weapons Establishment」を表しているようだ。

  ファイルのコンテンツには関係なく、誰が標的とされたのか、我々には分からないし、VirusTotalにこれらのドキュメントを提出したのが誰なのかも分からない。

「110630_AWE Platinum Partners.doc」のSHA1:51bb2d536f07341e3131d070dd73f2c669dae78e
デコイのSHA1:0eb24ffa38e52e4a1e928deb90c77f8bc46a8594








バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード