エフセキュアブログ

exploit kit を含む記事

ネットワークレピュテーションの現状はどうなっているか

ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキットだ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。

全文はBusiness Security Insider 日本語版で。 

Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増

 アドビ社は、Flash Playerのまた異なる脆弱性CVE-2016-1019に対する緊急アップデートを公開した。これは20.0.0.306以前のバージョンのFlash Playerに影響を及ぼすものだ。まず4月5日にアドビはセキュリティアドバイザリを公開し、Flashバージョン21.0.0.182に含まれる脆弱性のさらなる悪用を回避する緩和策を強調した。そして緊急アップデートが公開されたのは4月7日だった。

 ご存じのとおり、エクスプロイトキットの作者は、パッチがまだ利用できないときにこそ脆弱性につけ込む。最初にアドバイザリが公開された時点で、我々は当社のテレメトリでMagnitude EK(Exploit Kit)のヒット数が増大したのに気付いた。

Magnitude EK 2016.04.07

 Magnitude EKはCVE-2016-1019の欠陥に対応するエクスプロイトを盛り込むように更新されたが、当社ではすでに既存のFlashエクスプロイトの検知でブロックしている。

MagnitudeEK_Salama.H_20160407

 1か月前、ユーザをMagnitude EKへと押しやるマルバタイジング・キャンペーンについて記事を投稿した。今回の最新のキャンペーンでも同様の広告プラットフォームが使用されていることだけでなく、ユーザをランディングページへと導く新たなリダイレクタやゲートといった注目に値する追加部分も観察している。当社ではこうしたリダイレクタやゲートもMagnitude EKの検知の一部に含めている。

MagnitudeReferers_AdPlatforms_20160407.PNG

 さらに、一部はアダルトサイトや無料動画サイトからヒットしていることも観察している。

MagnitudeReferers_AdultSites_20160407.PNG

 Magnitude EKは現在、暗号化ランサムウェアCerber(SHA1:1f6f5c03d89a80a725cdff5568fc7b98bd2481b8)を配信している。

 このキャンペーンの影響をもっとも受けている国は、フランス、ベルギー、ドイツ、フィンランド、オランダである。

 当社のユーザは以下の検知により、CerberというランサムウェアやMagnitude EK(リダイレクタや使用する最新のFlashのエクスプロイトを含む)から保護されている。

  • Exploit:JS/MagnitudeEK.G
  • Exploit:SWF/Salama.H
  • Trojan:W32/CryptoRansom.A!DeepGuard

 当社のユーザには、最新版のFlash Playerにアップデートすることをお勧めする。

PUAが使う広告配信プラットフォームがMagnitudeエクスプロイトキットをも配信

 先月、あるマルバタイジング・キャンペーンについて投稿した。ユーザをAnglerエクスプロイトキットへと向かわせるマルウェアの攻撃に対し、たとえ非ブラウザのアプリケーション上であっても、広告プラットフォームは影響を受けやすいことを明らかにした。

 さらに別のマルバタイジング・キャンペーンに先週気付いたが、こちらはMagnitudeエクスプロイトキットにユーザを押し進める。

Magnitude EK Hits 2016.03.04

Magnitude URLs

 我々は以下の広告プラットフォームが、Magnitudeエクスプロイトキットへのリダイレクトに用いられていることに気付いた。

www.terraclicks.com 
bestadbid.com
onclickads.net
popped.biz
click2.danarimedia.com
onclickads.net
ads.adamoads.com

 その広告プラットフォームの1つであるclick2.danarimedia.comについて、興味深い点を観察した。「潜在的に迷惑(potentially unwanted)」だと考えられているConduit Toolbarsの特定のディストリビューションでも用いられているのだ。Conduit Toolbarsは一般に無料のソフトウェアとバンドルされてやってきて、ブラウザ設定の変更を強要する。

conduit_properties

conduit_strings_text

 同広告プラットフォームから当社のアップストリームを経てMagnitude EKへと差し向けられる様子を以下に示す。

magnitudeek_redirection_20160304

 これは、我々がPUA(Potentially Unwanted Application、潜在的な迷惑アプリケーション)のパワーを過小評価すべきでないことを示す。仮にあるプログラムが潜在的に迷惑なものとして始まったとして、攻撃者がユーザのマシンに他の脅威を配信するのにそうしたプログラムを活用するはずがない、なんていうことはないからだ。ユーザはエクスプロイトキットへとリダイレクトされ、最終的にマルウェア、つまりこちらの特定のエクスプロイトキットCryptoWallランサムウェアへの感染に繋がる。

cryptowall

SHA1: b9bf3131acae056144b070c21ed45623ce979eb3

 当社のユーザはこれらの脅威から保護されており、以下のように検知する。

  • Exploit:JS/MagnitudeEK.A
  • Exploit:SWF/Salama.H
  • Trojan:W32/Crowti.A!DeepGuard
  • Application:W32/Conduit.B

エクスプロイトキットAnglerの1月の休暇

 エクスプロイトキット(exploit kit、EK)に至るさまざまなリダイレクタについて、当社では昨年から監視を行ってきた。そうしたリダイレクタの1つに、AnglerエクスプロイトキットまたはNeutrinoエクスプロイトキットのいずれかへ誘導するものがある。SANS ISCでも、この2つのエクスプロイトキットを切り替えるリダイレクタを監視していた。

 今年の初め、当社のテレメトリにおいて当該リダイレクの急激かつ大幅な落ち込みがあることに気付いた。

Hits of the redirector that leads to either Angler EK or Neutrino EK.

 興味深いことに、同日、当社のAnglerのテレメトリでも急減していた。それに対して、Neutrinoは活動しているままだった。この間、Neutrinoはリダイレクタ経由ではなく、侵害されたWebサイトから直接提供されていたことが判明している。

Angler EK and Neutrino Hits 2015.12.24 - 2016.01.15

 最初に見たときには、Anglerが休暇を取っているかのように思えた。おそらく、それが大部分の真実だろう。しかし、さらに詳細に当社のテレメトリを見ていくと、休暇とされる期間中も活動していた、非常に小さな一団がいたようだ。

 以下は、当社のテレメトリで目にした例の一部だ。

Angler URLs 2016.01.03

 1月11日になりAnglerの活動が再開したが、一方でNeutrinoの活動は徐々に緩やかになっていった。この休みの前後でAnglerエクスプロイトキットに明らかな変化があったことは認められない。単にちょっと休暇を取ったようにしか見えない。

 また興味深いことには、Anglerはサブドメインを生成する際に非英語の単語を用いている。以下は、2015年および2016年にAnglerで使用されているのを目にした、フィンランド語の単語である。

Angler Finnish 2015

 「valtioneuvostossa」とは「国務院」を指す。
 「omakotirakentamisessa」は「一戸建て住宅の建築時」を意味する。

Angler Finnish 2016

 「kansatieteelliseen」は「民族的な(何か)に対し」という意味だ。
 「nauhoittamasta」は「記録から」である。

ArchieとAstrum:エクスプロイトキット市場の新たな担い手

 エクスプロイトキットは依然として、クライムウェアの増殖に重要なツールである。このポストでは、今年登場した新たなエクスプロイトキットの中から、ArchieとAstrumの2つについて論じる。

Archie EKは当初、8月には簡素なエクスプロイトキットとして説明されていた。Metasploit Frameworkからコピーしたエクスプロイトモジュールを使っているためだ。

 我々はArchie EKで使用されているエクスプロイトを検知して、当社のテレメトリーを参照した際に、当該エクスプロイトキットが7月第1週に初登場していることを確認した。以来、活動的なままだ。

Archie hits, Jul to Dec

 7月からArchie EKのトラフィックと共にCVE-2014-0515(Flash)のエクスプロイトがヒットしているのを我々は目にしてきた。続いて8月には、CVE-2014-0497(Flash)、CVE-2013-0074(Silverlight)、CVE-2013-2551(Internet Explorer)の各エクスプロイトを検知していることに気付いた。11月までにKafeineが指摘したところでは、このエクスプロイトキットに新しいFlashの脆弱性CVE-2014-0569とIEの脆弱性CVE-2014-6332が統合されている。これもまた当社の上流からも明確に示されている。

Archie vulnerability hits

 当社では、Archie EKが使用するエクスプロイトを以下のように検知する。

  •  Exploit:HTML/CVE-2013-2551.B
  •  Exploit:JS/ArchieEK.A
  •  Exploit:JS/ArchieEK.B
  •  Exploit:MSIL/CVE-2013-0074.E
  •  Exploit:SWF/CVE-2014-0515.C
  •  Exploit:SWF/CVE-2014-0569.A
  •  Exploit:SWF/Salama.D

 他のエクスプロイトキットとまったく同様に、このキットは脆弱性のサポートの範囲内だけではなく、ランディングページでも何か月にも渡って展開している。当社が遭遇した、Archieの初期のサンプルでは「pluginDet.js」や「payload」のような直接的なファイル名や変数名を使っていた。

 以下は、初期のランディングページのコード片である。

Archie Flash payload

 しかし11月中は、少々修正をして難読化を試みた新たなサンプルを目にするようになった。現在では、単純で説明的な変数名の代わりにランダムに見える文字列を使用している。以下は、最近のランディングページのサンプルのコード片である。

archie_flash_payload_v2 (28k image)

 さらに、初期のバージョンでは行っていなかった、アンチウィルスやVMwareのファイルの確認も含まれている。

archie_AVandVMcheck (46k image)

 当社ではこうしたランディングページをExploit:JS/ArchieEK.AおよびExploit:JS/ArchieEK.Bとして検知する。

 ArchieのURLのパターンでもまた、以下のようにトラフィック内で説明的なファイル名を使用していた。

  •  http://144. 76.36.67/flashhigh.swf
  •  http://144. 76.36.67/flashlow.swf
  •  http://144. 76.36.67/ie8910.html
  •  http://144. 76.36.67/silverapp1.xap

 しかし最近では、ファイル名にSHA256の文字列を用いた異なるパターンを観測している。

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8
  •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html
  •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf
  •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

 以下は、当社の上流から報告された、このエクスプロイトキットがホストされているIPアドレスだ。

Archie IP table

 当社のテレメトリーによると、もっとも影響を受けている国はアメリカとカナダである。

Archie, country hits

 Archie EKの共通のペイロードは、トロイの木馬型のクリッカーだ。以下は、当社の上流を基にしたこのエクスプロイトキットのハッシュの例と、続いて当社で検知したときの識別子だ。

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508
  •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl
  •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C
  •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

 Astrum EKはもう1つの、エクスプロイトキット市場における今年の新たな担い手である。これは9月にKafeineが初めて報告したもので、Revetonという集団が使い始めたキットのうちの1つであることが判明している。

 当初はCVE-2014-0515/CVE-2013-0634(Flash)、CVE-2013-0074/CVE-2013-3896(Silverlight)、CVE-2013-2551/CVE-2014-0322(Internet Explorer)、CVE-2010-0188(Adobe Reader)の各脆弱性をサポートしていた。10月になって、Astrum EKがFlashの脆弱性CVE-2014-8439を侵害していることをKafeineが指摘した。この脆弱性は、Kafeineと共に当社が発見したものだ。

Astrum vulnerability support

 エクスプロイトキット市場の新たな担い手の1つとなったことは、当社のテレメトリー上でもはっきりと示されており、現在も活動を活発化させ続けている。

Astrum hitcount

 エクスプロイトキットArchieと異なり、Astrumはランディングページにおいて数多くの難読化を行っている。以下は、基本的には同一の2つのランディングページのコード片だ。2つ目のほうはコードの合間に屑コメントや空白文字を追加して、一層の難読化を図り、検知されるのを阻害している。

Astrum landing page codesnippet

Astrum landing page codesnippet 2

 これもKafeineによって述べられているとおりだが、コードの難読化を解除すると、分析ツールやKaspersky社のプラグインを確認することが示されている。

Astrum tools check

Astrum, Kaspersky plugin

 当社ではランディングページをExploit:JS/AstrumEK.A and Exploit:JS/AstrumEK.Bとして検知する。

 以下はAstrum EKがホストされていると報告済みのIPアドレスだ。

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..
  •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..
  •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..
  •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..
  •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..
  •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

Below are reported IP addresses where Astrum EK is hosted:

Astrum IP table

 当社のテレメトリーに基づくと、次のような国々にてAstrum EKがヒットしている。

Astrum country hits

 ArchieおよびAstrumは、新しいキットのうちの2つに過ぎない。新しいキットはRigNull HoleNiteris(CottonCastle)のように他にもあるし、それ以外にもAngler、Nuclear、Neutrino、FlashEK、Fiesta、SweetOrange、その他のエクスプロイトキットが増殖、発達を継続している。

 こうしたエクスプロイトキットで特筆すべき1つの特徴は、いまやアンチウィルスのファイル、VMwareのファイル、その他の分析ツールを確認することが一般的になった点である。他のNuclearやAnglerのようなエクスプロイトキットも、マルウェア研究者による分析を回避するために、こうした確認を統合している。さらなる詳細については、Kafeineのブログで確認できる。

g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





世の中でのエクスプロイト・キットの分布状況

 どのエクスプロイト・キットがもっとも普及しているか、疑問に思ったことはないだろうか?

 ここ数か月間、当社で特定したエクスプロイト・キットを追跡してきた。パイの1番大きなピースを何が占めるのか、興味がわく。

exploit_kit_chart (72k image)

 たった3つのエクスプロイト・キットBlackhole、Sweet Orange、Coolで56%をカバーしている。

 Blackholeはほぼ3年に渡って存在するキットで、いまだにエクスプロイト・キットの占有率として1番目の27%と、強力な存在感を示している。Sweet Orangeが18%、Coolが11%で後に続く。

Cool Exploit KitはBlackholeと関連あり

 2ヶ月前KarminaとTimoCoolとBlackholeのエクスプロイトキット同士の明白な類似性について投稿した。Coolで用いられている技術とエクスプロイトは、Blackholeからコピーした(再現のほうが適切な単語かもしれない)ように見受けられる。この2つには密接な関連があると思われた。

 昨日Brian Krebsが、その関係を暴露した。

krebsonsecurity.com

 CoolはBlackholeの作者によるより高品質なエクスプロイトキットで、カスタマイズしたエクスプロイトを(ゼロデイ攻撃において)用いており、月額1万ドルの費用がかかる!

 Blackholeは3ヶ月で700ドル、または1年で1,500ドル「ぽっち」だ。Coolで使用されているカスタマイズされたエクスプロイトが既知のものになり、そしてもはやゼロデイではなくなると、そのエクスプロイトは廉価なBlackholeに追加される。

 歩いている場合ではない、Krebs on Securityまで走れ。そこにすべての詳細がある。「Crimeware Author Funds Exploit Buying Spree

11月の脆弱性およびゼロデイの集計

  まだ第二火曜日ではないが、すでに適用すべき重要アップデートがかなりの数に達している。そしてき重要ゼロデイの一つを、知っている必要がある。

  優先:Flash! Adobeが11月6日、7つの脆弱性を修正する重要アップデート(詳細はここ)をリリースした。

  ご自分のバージョンチェックはここでできる。

Flash 11.5.502.110

  11.5.502.110はブラウザに応じた最新版だ。実際に使用している以上のプラグインのインストールは必要ない。たとえばChromeには、自身のバージョンのFlashが含まれている。

  Chromeと言えば、Googleも6日にセキュリティアップデートをリリースした(詳細)。こちらは容易なアップデートで、About (chrome://chrome/) をチェックして、バージョン23.0.1271.64を使用しているか確認すれば良い。

Chrome 23.0.1271.64

  Appleは11月7日、Windows版QuickTimeのアップデートをリリースした(詳細)。QuickTime 7.7.3には、ドライブバイ攻撃で悪用可能と思われる脆弱性用に9つのアップデートが含まれている。iTunesではすでに、QuickTimeは必要ない。最後に使用されたのがいつか思い出せなければ、本当にQuickTimeをインストールする必要があるのか、自問して欲しい。(QuickTimeは非常にポピュラーな標的だ)。

  ポピュラーな標的と言えば…

  Java! Java Runtimeクライアントが最新版であることを必ず確認すること。(バージョンチェックはこちら)アップストリーム・データに基づくエフセキュア唯一、最大の検出は:Exploit:Java/Majava.A Java Runtimeは間違いなく、ナンバーワンの標的だ。

  我々のアップストリームデータに基づいた、二番目に一般的な検出は:Exploit:W32/CVE-2010-0188.B Adobe Readerのエクスプロイトで、CVE番号から2010年のものであることが分かるだろう。

  しかしそれでも、Group-IBで報じられているAdobe Readerのゼロデイ脆弱性があることに注意。

  Adobe Readerの現行バージョン、アップデートバージョンを悪用可能であるため、この脆弱性は重要だ。また、Readerのサンドボックスから脱獄し、ホストコンピュータを悪用できる。

Group-IB US: Zero-day vulnerability found in Adobe X

  Group-IBによれば「Blackhole Exploit Kit」の一部ハイエンド版が販売されている。よってこのエクスプロイトは広く利用されていない…今の所は。もしインストールしているなら、Readerの使用軽減を検討して欲しい。

  ここに、活動中の同エクスプロイトのYouTubeビデオがある。

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

有害とみなされるJava

  WebブラウザにJavaは必要ですか? まじめな話、あなたは必要だろうか? もし不要なら、それを削除すべきだ。

  ほとんどのユーザはもうJavaを必要としていないが、それでも動作させ続けているようだ。

  JavaとJavaScriptと混同してはいけない。JavaScript無しでWebを使用するのは難しい。しかしJavaScriptはJavaとは無関係だ。

  先頃、JavaのリスクがJava Rhino脆弱性(別名CVE-2011-3544)により見事に示された。もしJavaを動作させており、しかも最新版でないなら攻撃を受けやすい。よってその場合は、Javaの最新版を使用しているか常にチェックするか、すべて削除するかのどちらかだ。

  そしてJava Rhino脆弱性は理論上のものではない。ごくありふれたエクスプロイトキットが、そのデフォルトエクスプロイトにこの脆弱性を組み込んでおり、オンライン犯罪者のため、非常によく機能しているようだ。

  以下はBlackholeエクスプロイトキットのコントロールパネルのスクリーンショットだ。この画像から、「CVE-2011-3544」脆弱性により16,144台のコンピュータが乗っ取られているのが分かる。

Blackhole exploit kit

  よって、可能ならばJavaを捨てること。Larry Seltzerがそうしようとして気づいたように、考えているほど辛いことではないかもしれない。

  あなたは特定のWebアプリケーションのため、Javaを必要としているだろうか? オンライン銀行、あるいはイントラネットアプリなどで? システム上にJavaを残して、日頃使っているブラウザからJavaプラグインを削除することだ。次にそのサービス1つのみに利用する、他のブラウザを使えば良い。

  Chromeはサンドボックス、あるいはリスキーなアドオンおよびエクステンションの保護で上手くやっていることにも注意したい。多くのJavaエクスプロイトは、Chromeに対して作用しない。またChromeはPDFファイルを読むのにAdobe Readerプラグインを使用しない。Chromeは急速に、地上で最も一般的なブラウザになりつつあるため、これは良いニュースだ。

Wikipedia

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード