エフセキュアブログ

javascript を含む記事

ブラウザとメール:マルウェア配信における最大の攻撃経路

 エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。

 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。

top10_worldmap_20160428

 まず、最上位にランクされた検知について見ていこう。

ブラウザ経由での攻撃:Angler EK(エクスプロイトキット)

 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つになっていることが多い。

 ここ24時間で、同エクスプロイトキットは攻撃的なキャンペーンを再開したように見える。

AnglerEK_hits_20160428

 ユーザは大抵の場合、侵害されたWebサイトを訪れることで感染する。こうしたWebサイトには、インジェクションするリダイレクタのスクリプトや、悪意ある広告(マルバタイジング)が含まれている。このキャンペーンでは、ヒットするのは侵害されたWebサイトからだが、一部はOpenXの広告プラットフォーム経由でもやってくる。

angler_adplatform_blur

 Angler EKは、ワンクリック詐欺のトロイの木馬をインストールすることで知られているBedepを配信し続けている。また、最近ではランサムウェアCryptXXXもインストールする。

angler_saz_20160427_blur

メール経由での攻撃:JavaScriptのダウンローダ

 当社の統計で2番目に多く検知したのは、JavaScriptのダウンローダであるTrojan:JS/Kavala.Dだ。このJavaScriptのダウンローダは、大抵の場合スパムメールに添付されたzipファイルに格納されて届く。当社のテレメトリー上で急上昇を引き起こした、現行のスパムキャンペーンのメールのサンプルを以下に示す。

locky_spam1

locky_spam2

 Locky、TeslaCryp、Dridex、GootKit、Kovter、Boaxxe、Gamarueのようなマルウェアを配信するスパムキャンペーンにおいて、過去数か月の間、ダウンローダとしてJavaScriptを使用するケースが増加しているのを当社では目撃してきた。通常、このようなスパムは様々なテーマで届く。「請求」「写真共有」「支払・注文」「履歴書」「スキャン画像」「VISAの景品」「宅配便の通知」「保険」「Amazonの注文」といったものだ。攻撃者は被害者の範囲を広げるべく、より大きな網を打とうとしているのだ。

 JavaScriptのダウンローダで使用されているファイル名の例を以下に挙げる。

0061705_006774.js
CAN0000013502.js
20160403_914618_resized.js
01c4b975.js
details.jse
63e0f3bc.js
2016 Sales Invoice 700422016.pdf.js
bill.js
copy.js
ADCWYuEi.js
dino kennedy.js

 今回のキャンペーンでは、JavaScriptのダウンローダはランサムウェアLockyの配信を試みる。

locky_blur
Lockyの脅迫メッセージ

 当社の世界地図上でのこれら2つの検知は、マルウェアを配信する最大の攻撃経路がブラウザとメールであることを示唆している。

 顧客の皆さんには、常にブラウザおよび、Flash PlayerやSilverlightといったプラグインを最新バージョンに更新するように注意喚起する。また使用しないのであればプラグインを無効にすることをお勧めする。スパムについては、メールの添付ファイルには慎重になるようにアドバイスする。

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

Locky:明らかによろしくない振る舞い

 ここ1週間、「Locky」と呼んでいる新たなる暗号化ランサムウェアの脅威が大きなニュースになっている。

 これまでのところ、Locky感染の媒介としてもっとも一般的なのはメールである。Wordファイルを添付した、請求書だというメールが送付される。このファイルを開くと暗号化されているように見え、表示するためにマクロを有効にするように促される。もしここでマクロを有効にすると、実行ファイル(ladybi.exe)がドロップされる。その後、実行ファイルは128ビットAES暗号によるデータファイルの暗号化を開始する。

_Locky_recover_instructions

 今回のキャンペーンでは、世界中広く展開するために多数のローカライズがなされており、非常に組織立っているように見える。また、それをサポートする大規模で堅牢なインフラが整えられている。数多くの報告で示唆されているのは、現在Lockyを拡散しているスパムキャンペーンの背後にいるのは、バンキング型トロイの木馬Dridexを拡散したのと同一の集団ではないかということだ。

 Lockyは、C&Cに用いるドメイン名を自動生成する。ドメイン生成アルゴリズムについては、Forcepoint社が詳細を掲載している。

 当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。以下に述べるような当社で十分に試験された阻止戦略により、DeepGuardはコンテンツをダウンロードしたり、ファイルをドロップしたり、コードを実行したりするOfficeドキュメントのような、悪意のある振る舞いを検知する。DeepGuardでは、こうした類の脅威があなたのマシンを感染させるようなメカニズムをその場で阻止する。

 Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。

  • Trojan-Dropper:W32/Agent.D!DeepGuard
  • Trojan:W32/Pietso.A!DeepGuard
  • Trojan:W32/TeslaCrypt.PE!DeepGuard

 この3つの検知により、Pony、Vawtrakおよび最新版のTeslaCryptからも顧客を保護する。

 週末の間に、Lockyの感染を媒介するものが他に表面化した。JavaScriptのファイルを含むzipの添付ファイルだ。もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

ハロウィンのRAT:PageFairのサービス経由でNanoCoreが提供される

 広告ブロックへの対抗ソリューションを提供するPageFairが、この週末を挟んでスピアフィッシング攻撃により侵害された。攻撃者はパスワードのリセットを行い、これにより彼らはCDN(Content Distribution Network)サービスのPageFairのアカウントにアクセスできるようになった。続いて攻撃者は、PageFairのJavascriptを悪意のあるものに置き換えた。


悪意のあるJavascript:ads.min.js

 以下は、このPageFairのサービスを利用しているWebサイトを訪れたときに表示されるものだ。

Fake Flash Player Warning
Flash Playerの偽の警告

 PageFairがいかに人気か示すため、少なくとも当社のユーザベースに関して言えば、ヒット数の統計情報を取り出したところこれまでの14日間で293位にランクされていることが分かる。これはflickr.com(295位)、spotify.com(399位)、steampowered.com(406位)、paypal.com(413位)よりも上位である。つまりこのドメインは大した有名人なのだ。これが、侵害のさなかにグラフ上に山があったことの説明になる。

Telemetry
テレメトリ

 この間、我々は悪意のあるadobe_flashplayer_7.exe6ad0393f506bc6e0a84f1325b3d75cca019c21bc)が以下の場所からダウンロードされているのを目にした。

  • 75.126.160.35
  • 192.155.192.104
  • 184.173.28.170
  • 184.173.28.174
  • 184.173.28.175
  • 184.173.28.176
  • 168.1.88.118

 上記リンクから提供されるマルウェアは、NanoCoreと呼ばれるRATだ。NanoCoreはNetwork、Security、Surveillanceに関係があるプラグインを提供する。


NanoCoreのプラグイン

 PageFairの侵害に関係のある、特定のマルウェアサンプルのC&Cサーバはalotpro2.dynu.com45.35.34.148)である。

Network Events
ネットワークイベント

 当社製品を有効にしているユーザは、この侵害の最中も脅威から保護されていた。検知はTrojan:W32/Golroted.6ad0393f50!Onlineとしてなされる。

 PageFairの侵害や状況についての詳細な情報は、こちらのリンクから確認できる。

Apple iOS 9のセキュリティ機能

 アップル社の2015年のスペシャルイベントが本日開催される。つまり、9月9日=iOS 9の発表、だ。

 アップルはiOS 9においてセキュリティが向上していることを確約している。Touch ID用に6桁のパスコードを実装したことは、広く報道されているものの一例だ。

iOS 9 improved security
ソース:アップル

 セキュリティ研究者のFrederic Jacobsによる、ドキュメントにある変更点についての秀逸な要約がMedium上にある。

 私がiOS 9のパブリックベータ版をテストしている際に気付いた細かい変更点は、Windowsに関連するものだ(*1)。

 iTunesがインストールされているコンピュータ(OS Xを実行しているあらゆるコンピュータを含む)に、iOS 9のデバイスを接続した際に目にするプロンプトを以下に示す。

iOS 9, Trust This Computer?
Trust This Computer?(このコンピュータを信頼しますか?)

 そして以下は、iTunesのドライバがインストールされていない(Windows)コンピュータに、iOS 9のデバイスを接続した際に見られるプロンプトだ。

iOS 9, Allow this device to access photos and videos?
Allow this device to access photos and videos?(このデバイスが写真およびビデオにアクセスすることを許可しますか?)

 これは些細だが、興味深い差異だ。「Allow」は制限されたアクセスを示唆する一方で、「Trust」ではより重要な何かを示唆している。かつて、iOSを狙ってクロスプラットフォームのマルウェアが試みられたことがあった。このAllowプロンプトがあることで、注意深い観察者なら、そうしたクロスプラットフォームのマルウェアがそこに存在していることを判定できるだろう。iTunesがインストールされていないと分かっているWindowsコンピュータにiOS 9デバイスを接続したとして、信頼する(Trust)かどうかを尋ねられたら…、信頼してはならない。

 もう1つ、細かいが大歓迎の変更点は、7月にブログに書いたSafariの新たな機能だ。

 SafariをJavaScriptによる警告ダイアログの無限ループに陥らせようとする詐欺サイトは、Safariの新たなオプション「Block Alerts(警告をブロックする)」によって、彼らの努力が無になったことを知るだろう。

iOS 9 Safari, Block alerts from?
Block alerts from?(〜からの警告をブロックしますか?)

 全般的に見て、iOS 9は良い感じだ。今日のアップルのイベントの最中に、さらにセキュリティに関する情報が出てくることを望んでいる。また9月16日に予定されている、iOS 9の一般公開を楽しみにしている。

 @5ean5ullivan

 (*1) Kali Linuxでテストしたところ「Trust」プロンプトが得られた



SofacyがCarberpとMetasploitのコードを再利用する

1. まえがき

 Sofacy Group(Pawn StormまたはAPT28の別名でも知られる)は、彼らの仕掛けるAPTキャンペーンにおいてゼロデイエクスプロイトをデプロイすることでよく知られている。一例を挙げると、Sofacy Groupが最近利用した2件のゼロデイは、Microsoft OfficeのCVE-2015-2424とJavaのCVE-2015-2590という脆弱性の悪用だった。

 この悪用が成功するとSofacyのダウンローダコンポーネントがインストールされるが、我々が今まで目にしてきたダウンローダとは異なっている。このダウンローダは悪名高きCarberpのソースコードをベースにしている。当該コードは2013年の夏に漏えいし、パブリックドメインとなったものだ。

1.1 Firefoxのブートストラップ型アドオン

 我々は今年の春、ゼロデイエクスプロイトとは別に、Firefoxのブートストラップ型アドオンなど別の手段でデプロイされた、Carberpベースのダウンローダにも遭遇した。だがブートストラップ型のアドオンとは何だろうか?Mozillaによれば、ブラウザを再起動することなくインストールおよび使用が可能なアドオンの一種とのことだ。

 このSofacyのアドオンのインストールは、主にソーシャルエンジニアリングに頼っている。ユーザが悪意のあるWebサイトや侵害されたWebサイトを訪れると、このアドオンをインストールするように促されるのだ。

HTML5 Rendering Enhancements 1.0.
図1:Sofacyのアドオン「HTML5 Rendering Enhancements」

 メインのコードは、アドオンのパッケージ内にあるbootstrap.jsに格納されている。アドオンが有効になった時点で、前述のJavaScriptはSofacyのCarberpベースのダウンローダを次のURLからダウンロードする。

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

 ペイロードはvmware_manager.exeとしてローカルに保存される。

 このブートストラップ型アドオンの技術は、完全に新規のものというわけではない。2007年にはドキュメント化されており、主に潜在的に迷惑なアプリケーションで使われている。しかしながら、Sofacyがこの手法を使っているのを目にするのは、初めてのことだ。Sofacyのbootstrap.jsファイル内のコードの大半は、Metasploitから直接コピーされたもので、{d0df471a-9896-4e6d-83e2-13a04ed6df33}というGUIDや「HTML5 Rendering Enhancements」というアドオン名が含まれている。その一方で、ペイロードをダウンロードする部分はMozillaのコード片の1つからコピーしていた。

2. ドロッパーとDLLに関する技術情報

 このエクスプロイトを使用した文書ファイルやアドオンは、PE実行ファイルを運んでくる。この実行ファイルは、自身に組み込まれているDLLをシステムにインストールするものだ。実行ファイルの大きさは100KB内外で、ファイル圧縮はされていない。一方、インストールするDLLは標準的なWindows APIを用いて圧縮されており、ディスクにドロップする前にRtlDecompressBufferで展開する。我々が見てきた全サンプルが有する重要かつ共通の特徴は、「jhuhugit.temp」という名前の一時ファイルだ。このファイル名は、実行ファイル内にあるほぼ唯一の平文の文字列だ。他の文字列は、固定の11バイトのキーを使ったXORアルゴリズムにより難読化が図られている。一部のサンプルに現れる興味を引く別の文字列は、「bRS8yYQ0APq9xfzC」という暗号キーだ。GitHubにあるCarberpのソースツリーで見つかった固定の「メインパスワード」の1つと一致するものだった。

 このDLLは、OSの実行ファイルであるrundll32.exeを使い、「init」という名前でエクスポートされているものが実行される。DLL自体には多くの機能はない。単純にループし続けて、30分ごとに決まったC2サーバ群のうちの1台に問い合わせを行う。我々は生きているペイロードをこれらのサーバからいまだ取得できていないが、コードに基づくと、DLLは最初に自身が実行されたときとまったく同じ方法でペイロードの実行のみを行う。C2サーバのアドレスや他の設定データは、同じ11バイトのXORキーアルゴリズムを用いて難読化されている。これまでのところ手が込んでいるようなことは何もないが、同じCarberpのパスワードが、しかも我々が見てきたすべてのDLLで使われている。我々はこの関連性を発見しようとするほど、好奇心をそそられた。

 DLLのリバースエンジニアリングを注意深く行うことで、このファミリーはCarberpのソースコードをベースとしていることが明確になった。コードのレポジトリはGitHubで見つかるものとまったく同じではないが、後述する主張をするのに十分なほど似通っている。今回Sofacyが使ったCarberpのソースをベースにした機能には、API解決アルゴリズムとコードインジェクションメカニズムが含まれる。またランダムなURLを生成するために用いたアルゴリズムも、大まかにはCarberpに基づいている。

3. Carberpのソースコードとの比較

3.1. API解決アルゴリズム

 公開されているCarberpのソースコードでは、実行時にAPIが解決される。これには以下のようなコードの構造を用いている。

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

 例では、pLoadLibraryAという関数が別のpushargEx関数で定義されている。この関数には以下の引数が与えられている。

  • モジュールの識別子として、この例ではDLL_KERNEL32
  • 関数名のハッシュ値としてC8AC8026。これは実行時に計算される
  • 関数のキャッシュのインデックスとして「2」

 このpushargEx関数は複数の定義により、見込まれる引数の数のすべてに対応する。引数が5個の場合の定義を以下に例示する。

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

 PushargExGetProcAddressEx2に行きつく。この関数は名前のハッシュ値に基づきAPIの関数アドレスを割り出すものだ。その後、当該アドレスの関数が実行される。このような構造にした目的は、通常コード内にある標準的なWin32のAPI関数を、「p」という文字を関数名の先頭に追加して使えるようにすることだ。その結果得られるコンパイル後のコードは、あまり読みやすいものではない。したがってリバースエンジニアリングの過程に時間がかかるようになる。また、このような完全な位置独立コードによる恩恵もある。コードインジェクションには都合が良いのだ。

 CarberpのソースツリーにはAPIのハッシュ値と、対応するキャッシュのインデックスのリストが含まれる。以下のような素敵なリストだ。

Carberp API list.
図2:CarberpのAPIリスト

 ここでSofacyのバイナリコードに戻ろう。逆コンパイルしたコード片の実例から、Sofacyが同じハッシュアルゴリズムとインデックスの採番方式を採用していることは明白だ。

Sofacy GetModuleHandleA
図3:SofacyのGetModuleHandleA

 GetModuleHandleAは、Sofacyが動的に解決する数多くの関数の1つに過ぎない。ただしそれらの関数はすべて、Carberpのソースコードと完全に一致する。ハッシュ値や引数、インデックス値までもだ(図2のインデックス番号の#43を見てほしい)。

 API解決部分までさらに観察していくと、GetProcAddressExおよびGetProcAddressEx2と名付けられた関数に著しい類似性が見られた。CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressEx2のスクリーンショットを、以下に並べて示す。

GetProcAddressEx2 from Carberp and Sofacy.
図4:CarberpおよびSofacyのGetProcAddressEx2

 CarberpのソースとSofacyのバイナリを逆コンパイルしたコードのGetProcAddressExの類似性の比較は以下のようになる。

GetProcAddressEx from Carberp and Sofacy
図5:CarberpおよびSofacyのGetProcAddressEx

 上記の逆コンパイルしたコード片においては、意図的にすべての関数と変数の名前がCarberpのソースに従うようにした。これは単に説明のためだ。

3.2. コードインジェクション

 Sofacyは、ネットワーク周りのコードすべてにおいてコードインジェクションを用いている。自身の関数をブラウザのプロセス群にインジェクションするのだ。プロセス群を探すために、Carberpのプロセス名ハッシュアルゴリズムを用いている。このような仕組みにした目的は、十中八九パーソナルファイアウォールやその他のビヘイビア検知システムを迂回するためだ。

 コードインジェクションはInjectIntoProcessという名前の関数から開始する。この関数はプロセスをオープンしてInjectCode4 によりコードを注入し、CreateRemoteThreadで実行する。以下にCarberpのコード片を示す。

InjectCode4 from the Carberp source.
図6:CarberpのソースにあるInjectCode4

 SofacyのバイナリにあるInjectIntoProcessInjectCode4が、この機能を結び付けている。

InjectIntoProcess from Sofacy
図7:SofacyにあるInjectIntoProcess

Figure 8: InjectCode4 from Sofacy
図8:SofacyにあるInjectCode4

3.3. ミステリアスなメインパスワード

 Carberpのソースには、MainPassword、あるいはRC2_Password、DebugPasswordと呼ばれるパスワードが存在する。このパスワードの取り得る値の1つが「bRS8yYQ0APq9xfzC」というもので、Sofacyでも使用されている。Carberpにおけるこのパスワードの目的は、たとえばHTTPトラフィックの暗号化だ。一方Sofacyでは、まったく異なる方法で使用されている。SofacyではAPI解決のためのアルゴリズムに手が加えられており、そこでこのパスワードを用いている。Carberpでは、API解決部分において平文でDDL名のリストを持っている。GetProcAddressEx2が参照するインデックスパラメータのことだ。Sofacyではこのリストは、Carberpの「メインパスワード」を用いて単純なXORベースのアルゴリズムで難読化がなされている。

4. 結論

 本ブログ記事で示された分析に基づけば、新たなSofacyのダウンローダはCarberpのソースコードをベースにしている。しかしながら非常に大きな違いもある。たとえばAPIの解決や、Carberpのメインパスワードの使用といったものだ。その関連について我々が下せる結論とは?Sofacyの一味は、Carberpのソースコードのプライベートなソースツリーを保有していることを意味すると、我々は考えている。APIの解決部分でDDL名を保護するためにパスワードを使用していることは、GitHubで一般公開されているソースよりも新しいことを示唆するものだ。これはSofacy一味は単にソースツリーをコピーして開発を継続していることを意味するのだろうか?あるいは、舞台裏で誰か別の人物がさらに開発を重ねているのだろうか?これについては、我々はまだ把握していない。しかしSofacyとのつながりや、さらに加えて(Carberpをベースにしている)AnunakやCarbanakによる最近のインシデントにより、Carberpがいまだに健在であることが示唆される。

5. ハッシュ値

bootstrap.js:

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

ドロッパー:

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL:

5c3e709517f41febf03109fa9d597f2ccc495956 (逆コンパイルされたコードの例)
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


「iOSクラッシュレポート」について更新:Safariがブロック機能を追加

 求めなさい。そうすれば、与えられる。こともある。

 先週の金曜日、iOSを標的にしたコールセンター詐欺について取り上げた。そして本日、アップル社はこれについて役立つであろう新機能(ベータ版)をリリースした。

 以下は同社が公開したiOS 9 Public Beta 2だ。

iOS 9 Public Beta 2, Install

 Safariの新機能の1つにより、詐欺に重きをおいたJavaScriptをブロックできるようになった。

iOS 9 Public, Safari Block Alerts

 我々は詐欺サイトをテストした。JavaScriptのダイアログを数回消そうとしたところ、Safariは「Block Alerts」というボタンを提示するようになった。これで簡単にページを閉じることができる。

 アップルに賞賛を!一般向けのiOS 9のリリースにもこの機能がお目見えするのを待っている。

 Rosyna Kellerに帽子を取って深くお礼する。

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

Coremexが検索エンジンハイジャックを取り入れる

 検索エンジンの結果を標的にするマルウェアは、なにも新しいものではない。悪意あるブラウザ拡張もおなじみだ(一般にFacebook詐欺のキャンペーンのようなものに使われる)。しかしごく最近、その双方を試みる、特筆すべきマルウェアファミリーを識別した。我々はCoremexと名付けた。これはブラウザが提供するプラグイン機能を悪用し、GoogleやYahooといった巨大オンライン広告企業を相手に、様々な検索エンジンの結果をハイジャックする。

 Coremexは単独のNullsoftInstaller実行ファイルとして提供され、ドロッパーもしくはダウンローダのいずれとしても動作する。当該実行ファイルの実行時に、ダウンローダは感染したマシンから基本的な情報の収集を始める。たとえば、ユーザ名、感染したワークステーションの名前、プロセッサ、メモリなどだ。情報はC&C(command-and-control)サーバのアドレス178.86.17.32に送付される。これは、バイナリにハードコーディングされている。情報は「2AJQ8NA4」というキーを用いてRC4で暗号化され、最終結果はBase64でエンコードされる。

 ブラウザ拡張スクリプトなどのメインペイロードをC&Cサーバからダウンロードするのを妨げるサンドボックスに対抗する機能が、Coremexにいくつか実装されている。これらの機能は、ブラックリスト化されたプロセスの名前を確認し、感染したマシン上でWMI(Windows Management Instrumentation)を使って「VMware」といった文字列のような、よく知られたサンドボックスのフィンガープリントを検索する。

図1:ハッシュ内のブラックリスト化されたプロセスの名前

Coremex_Blacklisted_ProcessName_By_Hash

図2:ハッシュ内の対サンドボックスの名前

Coremex_AntiSandbox_By_Hash

 対サンドボックスのコンポーネントが非常警報を上げなかったら、Coremexは次にC&Cサーバからペイロードを追加ダウンロードする段階に進む。ただし、マルウェア作者はペイロードのダウンロードに別のC&Cサーバを用いている(少なくとも当社の分析時には)。

 C&Cサーバのアドレスは以下だ。

  •  178.250.245.198
  •  174.127.82.213
  •  192.154.94.253

 以降被害者がChromeやFirefoxを開くと、常にブラウザプロセス内に当該エクステンションが存在するようになる。

 CoremexのJavaScriptは、分析を困難にするため、3階層の高度な難読化がなされている。同スクリプトは水面下でブラウザから提供されるAPIを用いていくつかのイベントを登録し、イベントの発生を待つ。

図3:悪意のあるブラウザ拡張が複数のイベントリスナーを登録

Coremex_Scripts_Event_Listener

 イベントリスナーの1つは1時間に1回起動される。callbackファンクションイベントの実行時に、以下のインチキな検索エンジンのWebサイトへの接続を開始する。

  •  onlinetrack.org
  •  zvtracker.com

 一方、他のイベントリスナーは、感染したブラウザが訪問しようとするURLを解析する役割を持つ。これらのイベントリスナーのcallbackファンクションは、以下の検索エンジンプラットフォームに入力された検索クエリを探す。

  •  Google
  •  Bing
  •  Yahoo
  •  ASK
  •  AOL
  •  AVG
  •  MyWebSearch
  •  Search-Results
  •  Comcast
  •  Delta-Search

図4:Coremexが標的とする検索エンジンプラットフォームの一覧

Coremex_Search_Engine_Hijack

 狙っている検索エンジンプラットフォームが見つかり、URLから検索クエリの解析が成功すると、Coremexは最初に犠牲者が入力した検索クエリをJSON形式に変換する。

Coremex_yoursearchquery

 続いて「http」というキーを用いてJSONオブジェクトがRC4アルゴリズムで暗号化され、結果がBase64でエンコードされる。Base64でエンコードした文字列は、おそらくマルウェア作者が制御する検索エンジンプラットフォームへ送られる。

Coremex_RC4

 サーバからの応答の中には、接続先のWebサイトのリストが入っている暗号化されたJSONオブジェクトが含まれている。これらWebサイトは広告っぽいURLを持つWebページがどこへリダイレクトされるかを規定する。GoogleアドワーズのURLの例では、以下のように見えるだろう。

Google Adwords URL

図5:GoogleアドワーズのURLのパターンを解析する役割を持つコード

Coremex_Google_Ads_URL_Hijacked

 復号したJSONオブジェクトは、以下のような感じだ。
 
decrypted JSON objet

 以下の画面キャプチャは、犠牲者が広告のURLをクリックしたときに動作するCoremexのスクリプトを示している。クリックすると、ハイジャックされた広告のページに導かれ、マルウェア作者が意図した接続先のWebサイトへリダイレクトされる。

図6:GoogleアドワーズのURLがハイジャックされている

Coremex_Google_Ads_Url_Car_For_Sale_768x335
画像クリックで拡大

図7:GoogleアドワーズのページがIFRAMEでハイジャックされている

Coremex_Google_Ads_Page_Hijacking_With_IFrame_768x333
画像クリックで拡大

 ハイジャックされた広告のページへ挿入されたIFRAMEに関して言うと、分析中はサーバが接続先のWebサイトについて応答することはなかった。したがって、ハイジャックされた広告のリダイレクト先の例について、我々はまだ目にしていない。しかし、人気のあるオンライン広告サービスを悪用しようとする、マルウェア作者の意図は明確だ。

SHA1: 62b5427b10f70aeac835a20e71ab0d22dd313e71

—————

Post by — Wayne

アイシスを使って非表示でアプリケーションを起動させることができるか

iesysには、感染PCのプログラムを起動する命令(run)がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。
ではこれも検証してみましょう。

これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。
iesys_notepad

たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。

しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面をよく見かけます。
どうやっているかというと、次のようなVBScriptを作成し実行すれば、ユーザに見えない状態でメモ帳が起動されます。
CreateObject("WScript.Shell").Run "notepad.exe",0

dlコマンドでVBScriptファイルをダウンロードし、runコマンドで実行した結果です。
iesys_vbs

ユーザに見えない状態でメモ帳を起動することができました。

お決まりの「パーカーを着たハッカー」の写真

 すでにご存じかもしれないが(「Poika」を連れて街を練り歩く:2014)、当社のクライアント セキュリティが最近AV-TESTのBest Protection Award 2013を受賞した。

 2014年をもってAV-TESTのBest Protection Awardを3年連続で勝ち取ったことになり、努力を注いできた同志たち(自分たちのことをこう呼んでいる)のためにパーティーでお祝いすることにした。

 パーティーのために、パーカーなどの衣装を受け取った。

Karmina in a hoodie. Karmina and Sarogini

 このパーカーの当社のロゴについて、ちょっと違っているところがあることに気付いただろうか?間近ではこう見える。

ASCII version of logo.
(画像クリックでコード表示)

 動作するJavaScriptコードでロゴができていることに気付くだろう。つまり「コードを走らせる」ことも可能だ!

 おっとコースターやステッカーもある。



 これらのグッズはオフィス中で超人気だ。セキュリティ研究所のEero Kurimoの素晴らしいデザインに感謝!

 それから(予算を付けてくれた)Millaにも。
 
Post by — Andy and Eero

ファイルサイズだけで悪性文書ファイルを検出するツールをリリース

残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。
ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した
http://www.codeblue.jp/speaker.htmlより引用

ファイルサイズだけで、というのはすごいですね。
後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。
user@local:~/Product$ cat f-checker.py
#!/usr/bin/python
import os, sys
print "malicious" if os.path.getsize(sys.argv[1]) % 512 else "benign"

使い方は簡単で、次のように検知対象ファイルを指定するだけです。ちなみに指定しているのはRed Octoberという日本も標的となったスパイ活動で使用されたファイルです。
user@local:~/Product$ python f-checker.py 'WORK PLAN (APRIL-JUNE 2011).xls'
benign

それでは検知率を調べてみましょう。エフセキュアブログではミッコや他のエンジニアがマルウェアのハッシュ値を公開してくれていますので、その中から検査対象をリストアップすることにします。ファイルサイズに着目する方法はPDFや最近よくマルウェアに使われるdocx形式のファイルに対しては効果がありませんので、今回はdoc、xls、pptファイルだけに絞ってリストアップします。合計で12個のマルウェアが見つかりました。エフセキュアブログでフォーカスされるだけあって、悪質な標的型攻撃で使われたマルウェアばかりです。

検知率は次のとおりになりました。
f-checker75%
T社AV92%
S社AV92%
M社AV100%

私のツールはまだまだ改善の余地がありそうです。

検知対象としたファイルのハッシュ値:
0c1733b4add4e053ea58d6fb547c8759
362d2011c222ae17f801e3c79e099ca7
3c740451ef1ea89e9f943e3760b37d3b
4031049fe402e8ba587583c08a25221a
46d0edc0a11ed88c0a39bc2118b3c4e071413a4b
4bb64c1da2f73da11f331a96d55d63e2
51bb2d536f07341e3131d070dd73f2c669dae78e
7ca4ab177f480503653702b33366111f
8f51b0e60d4d4764c480af5ec3a9ca19
97a3d097c686b5348084f5b4df8396ce
d8aefd8e3c96a56123cd5f07192b7369
ee84c5d626bf8450782f24fd7d2f3ae6

フランカ市のWebサイトが侵害

 当社製品が検知した悪意あるリダイレクタのURLを分析しているとき、.gov.brドメイン上にホストされたFlashオブジェクトが目に留まった。私のポルトガル語の腕はちょっと鈍ってしまったので、ブラジルの当社オフィスにいる同僚に頼ったのだが、彼女は当該ドメインがブラジル サンパウロ州フランカ市に属するものであることを確認した。

 このWebサイト上のJavaScriptファイルの1つに、Flashリダイレクタを読み込む悪意あるコードが書き加えられていた。以下はFiddlerによるセッションの一部だ。

Screenshot of Fiddler session

 黄色で強調したのがリクエストで、悪意あるFlashオブジェクトを読み込み、別のドメインへブラウザをリダイレクトするiflameを挿入する(画面キャプチャのぼかした部分)。

 オープンソースのコンテンツマネジメントシステムJoomlaの、古くなったバージョン1.5の弱点を突かれてWebサイトが侵害されたように見受けられる。これはおそらく、パッチが当てられていないバージョンを稼働している.gov.brのWebサイトに限った話ではない。シニアセキュリティリサーチャーFabio Assolini氏は、Twitterで.gov.brドメイン上のインシデントは非常によくあると指摘している。

 当社は今回のインシデントについて、CSIRT、CTIR Govに連絡を取った。

 当社はこの悪意あるFlashオブジェクト(SHA1:b0c68dbd6f173abf6c141b45dc8c01d42f492a20)をTrojan:SWF/Redirector.EQとして検知する。加えて、このWebサイトが正常になるまで、当社のBrowsing Protectionコンポーネントは侵害されたURLへのアクセスをブロックする。

Post by — @Timo

DODAからの挑戦状に隠された画像

先月まで「DODAからの挑戦状」という企画でハッキング問題を掲載しておりました。(現在、企画は終了しており、こちらに解答を掲載しています。)

DODAChallengeFromWired

初級、中級、上級と全部で3部構成の問題となっており、最後の上級問題の正答率を1%にしてほしいという要望をいただいておりました。過去のCTF参戦の経験から考えても難易度の調整は難しいものでして、「DODAからの挑戦状」の裏で、個人的に「1%への挑戦」がありました。

最終的には、初級問題の正答者数(アクセス数)が8232でした。これはユニークを取っていない数字なのですが、ユニークを取ると半分くらいの4000名くらいになるでしょうか。
4000名の1%だと40名になりますが、実際に上級問題を正解した方は32名でしたので、難易度の設定はうまくいったと思います。

さて、この挑戦状は普段からデコンパイルに慣れ親しんでいる方には退屈に思われるかもしれないので、上級問題の後に超上級問題として追加で一問隠しておきました。

ここではその解法を紹介します。
続きを読む

DeepGuard 5 vs. IEのゼロデイエクスプロイトCVE-2013-3893

 ネタバレ注意:DeepGuardが勝利。

 今日はPatch Tuesdayで、この後マイクロソフトが月例のセキュリティアップデートをリリースする。

 このアップデートは、直ちにインストールすることを強くお勧めする。なぜならパッチが当てられるInternet Explorerの脆弱性の1つCVE-2013-3893は、すでに現実に悪用されているからだ。CVE-2013-3893を悪用するMetasploitモジュールもリリース済みだ。しかし今日がカギになる。悪い奴らが、他の脆弱性に対するエクスプロイトを開発する目的で、このパッチをリバースエンジニアリングするのはほぼ確実だ。

 ある脆弱性に特化した防御策を1つずつ施して、エクスプロイトから保護し続けるのは、本当の意味で可能なわけではない。より先を見越した防御は、悪用する技術に焦点を合わせることで実現できる。これを念頭に、当社のビヘイビア技術DeepGuardのバージョン5では、主要な機能としてビヘイビアベースのエクスプロイトの遮断が導入された。Webブラウザのようなよく侵害されるソフトウェアのビヘイビアを監視することで、ゼロデイエクスプロイトを含め、まだ目にしたことのない脅威からユーザを保護することができる。

 CVE-2013-3893の脆弱性に基づくエクスプロイト経由でシステムが侵害されるのを、DeepGuardが防ぐ短い動画を以下に掲載する。システムに今日のアップデートがインストールされていないなど、動画中のIEのバージョンは脆弱である。動画内のエクスプロイトは実際の攻撃で使われてきており、FireEye社やDell社で言及されていたもの、つまり0x95というXORキーで暗号化されたrunrun.exeのペイロードに非常に似通っている。なお、この攻撃は分離した試験用ネットワーク上のWebサーバから実施した。

 エクスプロイトはcookieをセットして確認することで、同一システムを2度侵害するのを回避している。一度DeepGuardがエクスプロイトをブロックし、強制的にタブを閉じると、IEはタブを再度開くように試みる。cookieがセット済みのため、JavaScriptコードは当該エクスプロイトを飛ばして、単純にユーザをnaver.comへリダイレクトする。


YouTube: DeepGuard 5 vs. IE Zero-Day Exploit CVE-2013-3893

 言い換えると…、当社の技術により、顧客に卓越した防御機能を提供できる。第0日目に。

 このホワイトペーパー(日本語)で、当社のDeepGuard技術についてさらに詳細に確認できる。今日のアップデートをインストールする間に、読んで楽しんでほしい。

 Post by — Timo

「FBI」の「ランサムウェア」とMacについて

 AppleのMac OS Xのユーザを狙った、FBIを騙った身代金詐欺について、月曜日、Malwarebytesの研究員Jerome Segura氏が秀逸な記事(と動画)を投稿した。

 主なポイントは次のとおり。
  • Segura氏はBing ImagesでTaylor Swiftについて検索をしていて詐欺を発見
  • 画像をホストする侵害されたサイトから、警察を騙ったランサムウェアのWebページへリンク
  • 通常の感覚では、トロイの木馬型のランサムウェアで、これ単独では真の「ウェア」ではない
  • 罰金とされるものを支払うように人を陥れようとする際に、この詐欺では巧妙で持続するタイプのJavaScriptを使用
 そしてこれから、我々は何点かの注意を追加することで貢献したいと思う。

 Segura氏はカナダにいて、FBIを模したWebページに飛ばされた。これはおそらくSegura氏のIPアドレスが北米のものだったか、あるいは米国にあるプロキシサーバを使っていたのだろう。

 ヨーロッパでは、Europolを騙ったものになった。 

Europol_Ransom_Scam_Mac

 そしてこの詐欺では、EuropolのようなURLを使用している。

Europol_Ransom_Scam_Mac_Locked

 また、Safe Macからのこのコメントが説明するところによると、こうした詐欺ではMacのみを標的にしているのではない。

TheSafeMac_FBI_Ransomware

 クライムウェアキットは常にすべてのものをターゲットにしている。Windows、Macなど各OSだ。

 しかし大半は…、マルウェアでMacを狙うための、都合のいいエクスプロイトのベクターが存在せず、そのため代わりに「スパム的な」ものへリダイレクトしている。たとえば、先ほどの身代金詐欺が明らかになったところなので、FBIやEuropolのURLから現状どこにリダイレクトしているかを以下に挙げる。

Find Your Adult Friend

 Find your Adult Friend:スクレイピングした画像を使っているサイトだ(避けるように)。

WordPress Premium Theme XSS脆弱性

  火曜日に、Webサイトをセキュアに保つ必要性について、まじめな指摘を行っている、かなりバカバカしいビデオをご紹介した。

  残念なことに、Webサイトの潜在的な脆弱性を制限するのは、必ずしも直感的ではないようだ。考慮する必要がある新たな点が、常に存在するのだ。

  たとえば、非常にポピュラーなWordPress(.org)パブリッシング・プラットフォームを取り上げてみよう。WordPress自体は、セキュリティに関しては非常に良い仕事をしている。残念ながら、WordPressサイトを運営している人びとが、みな同様だとは言えない。多くのWebサイト管理者が、WordPressのインストールを期限切れのままにしており、その結果、障害の起きたWordPressサイトが数多くオンラインに存在する。

  しかし、プラットフォームを最新にしている管理者でさえ、まだ心配すべきものがある。テーマだ。

  製品セキュリティのプロで侵入テスターであるJanne Ahlbergは、ParallelusによるいくつかのWordPressテーマが、クロスサイト・スクリプティング(XSS)脆弱性の影響を受けることを発見した。

  以下は同XSS脆弱性のスクリーンショットで、Uniteテーマについて示している:

Para.llel.us Unite

  Ahlbergのテストによれば、同XSS脆弱性はリモートJavaScriptの実行に使用することができる。影響を受けるサイトには個人のブログの他、企業Webサイトも含まれる。詳細については彼のブログ「Janne's corner」で読める。

  WordPressのインストールを安全に保つための詳細に関しては、以下の記事を参照して欲しい:WordPressの強化

アップデート:開発者によれば、——影響を受けたParallelusテーマは、現在修正されている。

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Javaランタイム環境 = 常に脆弱なマシン

  さて皆さん…常に脆弱なマシン、OracleのJavaランタイム環境(JRE)には高度に悪用可能な新しい脆弱性(CVE-2012-4681)がある。たった今、共有化されたところなので、遠からずBlackholeのようなポピュラーなエクスプロイトキットに到達するだろう。

  また、もしあなたがJava(JRE)をインストールしているなら、そしてブラウザプラグインをオンにしているなら…ドライブバイダウンロードの危険にさらされている。我々がこれまでに調査した詳細にもとづけば、あらゆるブラウザに悪用される可能性がある(Chromeは若干、議論の余地があるようだが)。

No Java (JRE)

  そしてJava(JRE)はクロスプラットフォームのため、もし攻撃者が適切に設定したペイロードをドロップするなら…非Windows攻撃に結びつく可能性がある。

  必要としない(もしくは使っていない)なら、Java(JRE)をアンインストールして欲しい。もし必要(そしてそうしたい)なら、少なくとも使用しない時は、ブラウザのプラグインをオフにして欲しい。Javaベースのサイト閲覧だけのために、別のブラウザをインストールすることを考慮しても良いだろう。

  こうした変わらぬ脆弱性を、あなたはどのように緩和するだろうか? 以下のアンケートに回答して欲しい:




FBIはDNSChangerサーバの継続で再認可されるべきか?

  DNSChangerの最新のデッドラインである7月9日が、急速に近付きつつある。(前回のデッドラインは3月8日だった。)あとたったの1週間だ!

  DNSChangerとは何か?

  DNSChangerは、F.B.I.とエストニア当局が昨年後半、「Operation Ghost Click」で壊滅させた広告詐欺ボットネットだ。

  「Operation Ghost Click」?

  「Click」はクリック詐欺を意味している。DNSサーバの設定を変更することで、ギャングたちは中間者広告インジェクションを実行することが可能になった。

  中間者広告インジェクションとは? 悪党たちはそれでどのように利益を得たのか?

  そう、2006年頃には、広告詐欺では「クリックボット」が使用され、この問題がメディアの注目を集め始めると…広告主はGoogleがクリック詐欺防止のため、十分な手を打っていないと文句を言い始めた。そして彼らは、クリック単価の損害について訴訟を起こすと威嚇した。

  そこでGoogleは、この問題に技術者を投入し、現在では、事前に準備したクリックボットは、かなりのアンチ詐欺防御に直面している。Googleの自動化の方が、詐欺師よりもはるかに優れているのだ。さよなら、クリックボット。

  すると賢い広告詐欺師たちは、「オフスクリプト」に向かう必要を感じ、人間を関わらせることになった。すなわち広告インジェクションだ。人間の「被害者」は、広告を見た際、クリックを強要されないため、ある意味では、それはGoogleが自動化した防衛によって予測可能な「広告詐欺」とは言えない。そんなわけで、マン・マシンボット(サイボーグと呼ぶべき?)の組み合わせが金儲けに使用された。

  非常に賢い。

  そう。そしてそれがおそらく、F.B.I.の関心を引いた理由の一つだろう。感染したコンピュータの数は、ある時点で50万台以上を数えた。

  うわー、それはたくさんだ。現在も感染しているコンピュータは何台あるのだろうか?

  6月11日現在、30万以上のIPアドレスが「仮の」DNSサーバに登録されている。

  以下は、トップ25カ国の内訳だ:

Unique DNSChanger IPs, June 11
ソース:国ごとのDNS Changer上位感染ランキング

  すると7月9日のデッドラインはどういうことになるのだろう?

  3月、ニューヨーク南部地区の米連邦地裁が、代用のクリーンな「一時的」DNSサーバの認可を延長した。この認可が再度延長されなければ、DNSサーバをシャットダウンする必要がある。

  すると何が起きるのか?

  その時点で、影響を受けたコンピュータはすべて、DNSサーバから切断される。コンピュータはそれでもインターネットに接続しているが、インターネットリソースを探すのに必要な「アドレス帳」により設定されることは無い。

  アドレス帳?

  DNSサーバは、google.comのようなURLを、173.194.32.7といったIPアドレスに変換する。

  DNSが無ければ、数字のアドレスを知っている必要がある?

  その通り。

  代用サーバが打ち切られたら、とんでもない混乱が起きそうだ。法廷は再認可を与えるだろうか?

  イエス。しかし…そうすべきだろうか?

  そうすべきでは無いのか?

  6カ月で、感染したコンピュータの半数以下が修正された。F.B.I.がこれらのゾンビコンピュータを使用可能にするのに、あとどのくらいかけるべきだろうか? 確かに、DNSサーバの切断は若干の混乱を引き起こすだろうが、現時点では、残りの感染を解決する最も速い方法かもしれない。そして率直に言えば、早ければ早いほど良い。これらのコンピュータはボットのままでいる限り、他の感染にも脆弱だからだ。

  このアンケートに参加して欲しい:F.B.I.は7月9日以降も継続するよう再認可されるべきか?




  コンピュータのチェックは以下で行える:http://www.dcwg.org/detect/

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード