エフセキュアブログ

pdf を含む記事

トロイの木馬でリモート脆弱性を見つける

  多くの読者が「Poison Ivy」をご存じだろう。様々な攻撃、特に標的型のスパイ攻撃でよく使用されるリモート・アクセス型トロイの木馬(Remote Access Trojan:RAT)だ。このようなRATアプリケーションの詳細については、この記事を参照して欲しい。

  Poison Ivy RATは、「Shapeless」という名のスウェーデンのコーダにより開発された。

Shapeless

  我々はちょうど、Signal11のAndrzej Dereszowskiによる新たなレポートを読んだところだ。

Signal11

  Andrzejはある標的型攻撃を調査し、標的からデータを盗み出すのに「Poison Ivy」が使用されたことを発見した。このことから彼は、多くの研究者がInternet ExplorerやAdobe PDF Readerから脆弱性を発見しようとしている事実について考えることになった。何故、「Poison Ivy」から脆弱性を探そうとしないのだろう?

  そして彼はまさにこれを行った。「Poison Ivy」にリモート・コード実行の脆弱性を発見し、被害者が攻撃者に攻撃を仕返すことを可能にしたのだ。

Signal11

  素晴らしい仕事だ!

  完全なレポートはここにある。

「callservice.biz」事件

  先週、ベラルーシのハッカー2人が逮捕された。これは「callservice.biz」という名のWebサイトに関連した逮捕で、同サイトは数年間運営されていた。

  起訴状によれば、このサービスの背後にいた人物は、Dmitry NaskovetsとSergey Semashkoだという。サーバ自身はリトアニアで稼働していた。

callservice.biz

  「callservice.biz」では、英語もしくはドイツ語を話す人々による、偽の確認電話が注文できるオンライン・フォームを提供していた。このような確認電話は、大きな現金取引や口座の詳細変更を確認するため、銀行がしばしば利用するものだ。オンライン犯罪者は、このような通話を本物らしくする方法が必要であり、ここで「callservice.biz」が登場することになる。

callservice.biz

  彼らの詳細ページを翻訳すると:サービスに登録して下さい…次に通話のオーダー・フォームに記入し…我々が24時間以内に電話をかけます…通話が成立しなければ、料金はお返しします…英語での価格は1通話につき10ドル。

  以下は、同サービスに関連した現金取引について、犯罪者たちがやりとりしているオンライン・チャットの断片だ:

callservice.biz

  同サイトは現在ダウンしている。「callservice.biz」を訪問すると、以下のページが表示される:

callservice.biz

  「Wired」のKim Zetterによる記事に詳細がある。

Shadows in the Cloud

  一年前にリリースされたGhostnetホワイト・ペーパーについてご記憶だろうか? 我々は、同ペーパーに関して詳細に記事を掲載した。

  同じ研究者たちが、Shadowserver Foundationの協力を得て、新たなホワイト・ペーパ−「Shadows In The Cloud: Investigating Cyber Espionage 2.0」(PDF)を発表した。

  (「Operation Aurora」流の)標的型攻撃に関するこの調査は非常に詳細なもので、読む価値がある。同調査には、攻撃者の活動方法の概要のほか、スパイ行為の技術的分析が含まれている。

Shadows in the Cloud

  同レポートは可能性のある標的にさえ触れている。

Shadows in the Cloud

  同ペーパーの冒頭を引用すれば:

主な調査結果

複雑なサイバー・スパイ行為ネットワーク
  インド、ダライ・ラマのオフィスおよび国連と、政府やビジネス、そしてアカデミックなコンピュータ・システムを危険にさらした、サイバー・スパイ行為のネットワークに関する証拠を文書化。アメリカ合衆国のパキスタン大使館など、他の多くの機関にも障害が起きた。特定できないものも存在するが、こうした機関の一部は、確実に特定することが可能だ。

機密文書の窃盗
  暗号化された外交文書と思われる1つの文書、「機密」という印のある2文書、「部外秘」とされた6文書、および「親展」扱いの5文書などを含む漏洩データの回収と分析。これらの文書はインド政府に属するものであることが確認されている。しかし、我々はそれらがインド政府のコンピュータから盗まれたものであるという直接的な証拠を持っているわけではない。パーソナル・コンピュータにコピーされた結果、漏洩したという可能性もある。回収された文書には、ダライ・ラマのオフィスから2009年1月から11月の間に送られた1500通の手紙も含まれている。これらの文書から、攻撃者が特定のシステムとユーザを標的としたことがうかがえる。

付随的なセキュリティ侵害の証拠
  一部の回収データには、アフガニスタンでインドの外交使節団に提出されたビザの申請が含まれていた。同データは通常のビザ申請プロセスの一部として、13カ国の人々によりインド使節団に自発的に提供されたものだ。アフガニスタンのような状況では、個人(あるいはオペレーショナルなセキュリティ)に対するリスクは、信任されたパートナーにより管理されている、安全なシステム上でのデータのセキュリティ侵害の結果として起きる可能性があるという、情報セキュリティの複雑な性質を示している。

クラウド・ベースのソーシャル・メディア・サービスに影響を及ぼす指揮管理基盤
  持続性を維持することを目的とした、複雑で段階的なコマンドおよびコントロール基盤のドキュメンテーション。同基盤はTwitter、Google Groups、Blogspot、Baiduブログ、blog.com、Yahoo Mailなどの無料ソーシャル・メデイア・システムを利用している。このトップ・レイヤは障害が起きたコンピュータを、無料のWebホスティング・サービス上のアカウントに向かわせ、そしてその無料ホスティング・サービスは機能しないため、中華人民共和国にある指令管制サーバの安定したコアに向かわせた。

中国のハッキング・コミュニティとのつながり
  Shadowネットワークと成都に住む2人の人物が、中華人民共和国の地下ハッキング・コミュニティとつながりがあることの証拠。

Shadows in the Cloud

仕様と脆弱性の間で

先日のミッコの記事「PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか?」で触れられていましたが、PDFの仕様により、PDFファイルを開いただけで何の警告もなく任意のコマンドを実行されてしまうことが問題視されていました。これは、仕様策定側と開発者側の意識の違いから生まれた問題だと思います。結局はアプリケーション開発者側が警告を出すように修正するそうですが、PDFの仕様策定者は仕様書を見た開発者がそこまで読み取れると、当初から思っていたのでしょうか。

同じような問題を何度か見たことがあります。
例えば、WindowsサイドバーのガジェットはHTMLやJavaScriptを用いて作成することができます。WindowsですのでおそらくInternet Explorerのセキュリティ設定が引き継がれると思われがちですが、実際にはInternet Explorerの設定とは関係なく、非常に緩いセキュリティ設定で実行されており、PDFのケースと同じようにCMD.EXEを実行することも可能です。IEのセキュリティ設定に守られていると勘違いしたまま設計すると痛い目に遭います。

sidebar

また、JavaのSWTではIEコンポーネントを使って開発することができますが、このときのセキュリティ設定もIEのものが使われるのではなく、非常に緩い設定で動作しますので、やはりCMD.EXEを実行することが可能です。

このような種類の問題は、仕様なのか脆弱性なのかといった言い合いになる場合が多く、なかなか解決にたどり着かないのが厄介なところです。

PDFからのプログラム実行をとりあえず防いでみる

Didier Stevens による PDF のデモの話題が盛り上がっているようなので、、、

mikko hypponen がお勧めしていた gPDF はネット上に公開されたもののみ有効。デスクトップ上に保存された PDF は結局Adobe Reader や Foxit Reader などを使わざるを得ません。従いまして、その他のリスク緩和策を考える必要があります。

今回問題になっているのは /Action /Launch を利用することで、PDF ファイルを介してプログラムが実行できてしまうことです。
単純に考えますと、/Launch が呼び出されなければ良さそうです。(本当にこれだけでいいのかな??)

これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して(遊んで)みました。

BEFORE
pdf_before










続きを読む

PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか?

※管理人註 : プロブレマティック(Problematic)=問題のある、問題の多い

  セキュリティが貧弱であるとして、AdobeのPDF Readerが多くの批判を受けている。しかし、問題は特定のPDFリーダー・ブランドだけのものではない。

  皆さんはPDFファイル・フォーマットの仕様書をご覧になったことがあるだろうか? ここからダウンロードできる(PDF)が、756ページもある。いや、本当に。

  PDFのスペックには、おかしなものがいくつかある。

  以下を見て欲しい

PDF specs

  ムービーや歌を埋め込むことができる。PDFファイルに。ええっ?


PDF specs

  PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備? こんなことを誰が思いつくだろう?


PDF specs

  PDFはフォームを持つことができる。それは良い。しかし、このようなフォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能が、どうして必要なのだろうか?


PDF specs

  PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか?


  このようなスペックを持っているのだから、Adobe Readerを立ち上げ、すべてのプラグインをロードするのに時間がかかるのも無理はない。

  一般のPDFリーダーに通常セキュリティ問題があるのも不思議ではない。

  最高の例は、Didier Stevensのブログに掲載されている「Escape from PDF」デモだ。

  「Foxit Reader」のユーザーは、DidierのデモPDFファイルを開いてみよう。開いた後、ファイルはシステム上でCMD.EXEを実行するだろう。何の質問も無く。そしてこれは、エクスプロイトを使用していない正当なPDFファイルなのだ。

  リスクを軽減する一つの方法は、Webから自分のマシンにPDFファイルを一切ダウンロードしないことだ。ローカル・マシンでファイルを開く代わりに、Google Docsのようなビューワでリモートに開くことができる。このプロセスはgPDF(Chrome/Opera/Firefox/Iron用)のようなプラグインを使用すれば、完全に自動化することができる。注意して欲しいのは、これは皆さんがパブリックWebでアクセスするPDFファイルでのみ通用するという点だ。

  さもなければ、できる限り一般的でないPDFリーダーを使用することを推奨する。ユーザーが少ない製品ほど、攻撃されることも少ないのだから。

オンライン株取引は危険

Online stock trading companies

  オンラインでの株の売買はビッグビジネスだが、特有のリスクも存在する。ここで言うリスクとは、投資でミスをするという意味ではない。コンピューターがキー・ロガーにより感染し、取引用アカウントにアクセスできなくなる、という意味だ。

  サンクトペテルスブルグのValery Maltsev氏の例を見てみよう。

  Maltsev氏は「Broco Investments」という名の投資会社(www.brocompany.com)を経営している。

Broco Investments

  (彼にとって)残念なことに、Maltsev氏は昨日、米証券取引委員会に起訴された。

  証券取引委員会は、Maltsev氏が時々行ったNASDAQおよびNYSE株の取引が、驚異的な利益を得ているのは単なる偶然ではないと主張している。Maltsev氏は、他の人々のオンライン取引口座にアクセスするべく、キーロガーを搭載したマルウェアを使用したように見える。そうした口座を用い、彼は暴騰した価格で株を買い、自分の本当の口座を使って、同じ株を売って即座に利益を上げていた可能性がある。

  SEC(証券取引委員会)の告訴内容から引用すると:

  2009年12月21日13時37分、BroCoがAmeriserv Financial, Inc (ASRV) の株を、1株あたり1.51ドルで購入した。およそ1分後、Scottradeの3つの口座が、不法なアクセスを受け、ASRVの株を1株あたり1.545ドルから1.828ドルで購入するのに利用された。その間に、BroCoはASRVの株式を1株あたり1.70ドルから1.80ドルで売り、13時52分に取引を終えている。障害が起きた口座を通じて、ASRVの株について行われた未許可の取引により、MaltsevとBroCoは15分間で141,500ドルを稼ぎ、17,760ドルの純益を獲得した。

  以下は、Ameriserv Financialの株式チャートだ。12月21日の取引状況が異常に高いことが分かるだろう。

Ameriserv Financial, Inc

  SECはMaltsev氏が全体で、250,000ドル以上儲けたと主張している。詳細については、オリジナルのSEC Complaint(PDFファイル)をご覧頂きたい。

  我々がこのような事例に遭遇したのは、今回が初めてではない。2006年にも、Jevgeny Gashichev氏が「Grand Logistics」という名の偽のエストニアの会社を利用して行った、非常によく似たケースが存在した。

Grand Logistics

  彼の戦術はほぼ同じだった:彼はキーロガーとフィッシング攻撃を使用して、株式取引パスワードへのアクセスを獲得し、1ペニーの株の価格をつり上げて儲けたのだ。

Aripaev

  SECによれば、Gashichevは350,000ドル以上を手にしたという。こちらも、詳細はオリジナルのSEC Complaint(PDFファイル)をご覧頂きたい。

追記(PDFベースの標的型攻撃が増加)

2010年3月10日にポストされたショーンの記事「PDFベースの標的型攻撃が増加」に記載されていた、グラフの数値の誤りが修正されましたのでお知らせいたします。

標的型攻撃メールはどのようなものか?

  長年にわたって我々は、標的型(スパイ)攻撃で、ブービートラップが仕掛けられた、どのようなドキュメント・ファイルが使用されているかという例を投稿してきた。

  例えば:



  しかし我々はこれまで、これらのドキュメントがどのように標的に配布されたか、すなわち、そのメールがどのように見えるものだったかについては、ほとんどご紹介してこなかった。

  そうした情報については、「Contagio Malware Dump」という名のブログを見ることをお勧めしたい。

  同ブログはMila & coにより運営されており、標的型攻撃を詳細に分析し、多くの場合、その攻撃のきっかけとなった、スプーフィングされたオリジナルのメールを紹介している。

  以下にいくつか例を挙げる。中には非常に説得力のあるものもある。皆さんだったら、これらのPDFを開いていただろうか?

contagio malware dump

contagio malware dump

contagio malware dump

  詳しくはcontagiodump.blogspot.comで。

PDFベースの標的型攻撃が増加

  Microsoftは第2火曜日にセキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。

  もしまだなら、そのアップデートをすぐに適用すべきだ。

  何故か?

  何故ならば現在、この脆弱性(CVE-2010-0188)が標的型攻撃で悪用されているからだ(Microsoftも同様)。

  我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20(20カ国財務大臣・中央銀行総裁会議の参加国)へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。

  このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。

  我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。

  2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。

  そして2010年の最初の2カ月はどうだろう?

  そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。

  Adobe Readerを標的とする割合は増え続けている。

  以下は、標的型(スパイ)攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ:

Targeted attacks 2008, 2009, 2010 (Jan/Feb)

  追記:何人かの読者が、グラフ内の2009年のパーセンテージが若干間違っていることに気づき、知らせてくれた。既に修正している。

モーフィングPDF

  Flashを利用したSEOは、SEOポイズニングと同等に興味をひくと考えた矢先に、事態はより卑劣になっているようだ…

  凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。

Joe Corvo

  そして開いてみても、このファイルは実際、PDFだ。内部に害のあるコードは含まれておらず、お馴染みのありきたりなPDFファイルに過ぎない。

Joe Corvo PDF

  3時間後… Googleはまだ、そのファイルがPDFだとしている。Brod(エフセキュアのいかれた面々の一人)は、この件についてGoogleのキャッシュに原因があると考えている。

Joe Corvo, 3hrs later

  しかし、今回、本当にPDFなのだろうか?

Joe Corvo HTML

  それはモーフィングしたのだから! そして今度はトピックさえ異なっている。皆さんがフォローすれば、これらのトピックから他のPDFへと導かれる:

Jay Polhill PDF

  少なくとも、それが変化するまでの2、3時間の間は…

Jay Polhill HTML

  悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウイルス詐欺となる。

  投稿はChristineとMinaによる。

リダイレクションにFlashを利用するSEOポイズニング・サイト

  一日ごとに新たなニュースがあり、そう、そして新たなSEOポイズニングが…。

PDF Google

  SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた… そして我々は以下のようなものを見た:

isitpossibletobehappy swf

  OK、これだけかもしれない。そこで我々は他のサイトをチェックした:

olympiccoverage swf

  そしてラボでは通例のマニアックなやり方で…我々は興奮した。

  解凍すると、このSWFには以下が含まれていた:

swf code

  多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。

  このSWFはもちろん、以下のことを始めるためのキーだ:

pdf scandownload

pdf security antivirus download

pdf rogue scan

  悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。

  おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。

  これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。

投稿はChristineとMinaによる。

PDFファイルを分析する

  悪意あるPDFファイル・コーディングに段階的変化が見られる(マルウェア・オーサーは自分たちのテクニックを適応させることができるし、実際適応させてきたことを考えれば当然のことだ)。

  長いこと我々は、シェル・コード、ダウンロード/実行、ドロップ、ロード等々、悪質なコードの目的を容易に判別できるような、シンプルな悪意あるPDFファイルを見てきた。

  現在は、ますます複雑な難読化が使用されており、PDFファイルを分析することが必要だ。特にこの難読化により、自動化された分析ツールやAV検出ツールさえ回避される可能性があるため、このことは、アナリストの日常生活をより惨めに、あるいは興味深いものにし得る。

  ここ数ヶ月、私が遭遇した1つのテクニックは、getPageNthWordやgetPageNumWordsのような、Adobeに特有なJavaScriptオブジェクトを使用するものだ。以下はある例のスクリーンショットだ:

Obfuscated

  保守的なスタイルのスペーシングが使用されていることに注意して欲しい。ノートパッドのコメントは、より簡単に読めるように加えられたものだ。

  いずれにせよ、一旦これが標準化されれば、読んだり分析するのが、ずっと容易なものになるだろう:

Normalized

  PDF難読化に関する興味深い分析は、SANSにも掲載されている。

  投稿はZimryによる。

「flower-show.org」に気をつけろ

  我々は今日、綺麗なPDFファイルを見た(md5: 116d92f036f68d325068f3c7bbf1d535)。

  以下のようなものだ:

flower-show.org

  素敵な花だ。

  残念なことに、このファイルを見ると、Adobe Readerに対するエクスプロイトを使用しており、「1.exe」という名のファイルを動作させる。

  この実行ファイルはPoison Ivyバックドアだ。「cecon.flower-show.org」というなのホストに「call home」する。同アドレスでコンピュータを制御している人は誰であれ、ターゲット・コンピュータへのリモート・アクセスを得る。このPDFは未知のターゲットに対する標的型諜報攻撃で使用された。

  我々は2009年の時点で、「flower-show.org」というドメインを見ている。その時、他のPDFが「posere.flower-show.org」に「call home」していた。

flower-show.org

  今日、これらのホスト名の双方が、「202.150.213.12」にリゾルブされているが、これは中国にはない。シンガポールにある。

Texacoが月給8500ポンドで職をオファー

  オンライン犯罪者たちは、自分たちが捕らえられないようにするため、金を動かす人々を必要としている。こうした人々はマネーミュールと呼ばれている。

  大部分のマネーミュール募集は、架空の会社名で行われるが、詐欺師たちは有名なブランドを利用することもある。

  以下は、最近のマネーミュール広告の例で、石油会社Texacoの名で大量送信されたものだ:

texaco

  この電子メールはもともと、ナイジェリアのラゴスにあるIPアドレスから送信された。Texacoはその辺りで掘削をしなければならないのだろう。

  このPDFはエクスプロイトを含んでおらず、以下のように見える:

texaco

  テキストの一部は以下の通り:

  Texaco/Chevron Downstream Europe
  1 Westferry Circus Canary Wharf
  London E14 4HA

Dear Job Candidate,

The TEXACO Online Employment System wish to inform you that your posted
information onlinehas been carefully and confidentially reviewed by our
Recruitment Team Professionals and we have considered under our current
vacant opportunities within the Firm to employ you for work in our company.

TEXACO Online Employment System is affiliated to various job recruitment
websites and your information was submitted to us by our online agent that
submit job candidate resumes for consideration of employment depending on
the vacancies we have in any branch of TEXACO Company Worldwide.

As regards to this, you have been automatically granted this employment to
work in TEXACO Oil & Gas Field with a monthly salary of Eight Thousand
Five Hundred Pounds (£8,500).


Kindly acknowledge the content of this message by reconfirming your interest
in working for us and indicating your area of job interest, ensuring that you
have quoted your vacancy title below or send your CV with a covering letter.

For further details relating to your employment, kindly send an email to
Texaco/Chevron Downstream Europe H/R Recruitment Service Department
texaco@post.com / http://texaco.us.ms / http://texaco.com/portal_default.asp/.

  Regards,
  Paul Matins
  HR Recruitment Manager


  「texaco@post.com」や「http://texaco.us.ms」といった、疑わしい連絡先に注意して欲しい。トップレベル・ドメインの「.ms」は、カリブ海の小国モントセラトに属している。

  texaco.us.msのWebサイトは以下のようなものだ:

texaco

  応募してはいけない… サラリーは良さそうだし、自分の興味のある仕事の分野を指定できるとあるが、その仕事には現金をピックアップし、Webmoney、ウェスタン・ユニオン、Fethard Financeで、それを遠くに送金することが含まれているのは間違いないだろう。

「Operation Aurora」をエサにした標的型攻撃

  ここへ来て興味深い事態の変化が見られた。

  「Operation Aurora」攻撃に注目が集まっているさなか、悪意ある添付ファイルを開かせるため、この出来事をエサにした新しい標的型攻撃が登場したのだ!

  以下が、我々の確認した電子メールだ:

   From: david????@gwu.edu
   Date: Wed, 20 Jan 2010 09:26:24
   To: (email addresses of the targets)
   Subject: Chinese cyberattack
   
   Colleagues,
   
   Attached is a short piece I just wrote for the Far Eastern Economic Review about Chinese cyberattack.
   I hope you find it interesting.
   
   If you have any good idea / comments, are warmly welcome to feedback.
   
   Best,
   
   David
   Attachment: .pdf Chinese cyberattack.pdf

 
 
  この添付ファイル「Chinese cyberattack.pdf(md5: 238ecf8c0aee8bfd216cf3cad5d82448)」はPDFファイルで、Adobe ReaderのCVE-2009-4324脆弱性(先週修正されたものが再び)を悪用するものだ。

  同エクスプロイトは、「Acrobat.exe(md5: 72170fc42ae1ca8a838843a55e293435)」という名のバックドアをドロップし、実行する。我々はこのエクスプロイトを「32/PoisonIvy.NQ」と、また、同PDFは「Trojan.Script.256073」と検出している。

標的型攻撃に狙われた情報産業

  軍事契約企業に対する高度な標的型攻撃について、先日記事を掲載した

  そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。

  この攻撃はPDFファイルで実行された。まただ。

  これは「CVE-2009-4324」脆弱性を標的にしている。まただ。

  オープンすると、このPDFファイル(md5: c3079303562d4672d6c3810f91235d9b)は以下のように見える:

pdf

  バックグラウンドでは実際何が起きているのか? 前回同様、同エクスプロイト・コードはUpdater.exe(md5: 02420bb8fd8258f8afd4e01029b7a2b0)という名称のファイルにバックドアをドロップする。

  さて、このドキュメントは何について語っているのだろうか? 大統領誕生日? DNI情報共有環境? 聞いたことがないので検索してみたところ、来月ドイツで「Intelligence fair & expo」が開催されるそうだ。

ncsi

  うーん。このアジェンダは、どこかで見たような。

  我々は同ファイルを「Exploit.PDF-JS.Gen」および「Trojan-Spy:W32/Agent.NBZ」と検出した。

米軍事契約企業に対する標的型攻撃が継続中

  F-Secure Labsは、新たな興味深い標的型攻撃について情報を得た。このケースでは、悪意あるPDFファイルが米軍事契約企業にメールで送られた。Googleなどに対する「Aurora」攻撃は2009年12月に起きたが、今回のものは先週起きたばかりだ。

  このPDFファイルはかなりもっともらしいもので、国防総省から来たもののように見えた:

pdf
PDF file md5 hash: c144581973fe16a6adca09e0d630bf63

  同ドキュメントは、3月にラスベガスで開催される実際のカンファレンスについて述べている。

  Adobe Readerで開かれると、このファイルはCVE-2009-4324脆弱性を悪用する。これはAdobeが先週火曜日に修正したdoc.media.newPlayer脆弱性だ。

  同エクスプロイトはUpdater.exe (md5: 3677fc94bc0dd89138b04a5a7a0cf2e0)という名称のファイルをドロップする。これはIPアドレス140.136.148.42に接続するバックドアだ。検出を避けるため、これは接続を行う際、ローカルWebプロキシをバイパスする。

  同IPをコントロールする者は誰でも、感染したコンピュータと企業ネットワークにアクセスする。この特定のIPは台湾に位置している。

taiwan

Googleに対する標的型攻撃

To the memory of Google.cn, image from i.imgur.com/5xJmy.jpg  この数年、我々は標的型攻撃、すなわちスパイ型トロイの木馬の攻撃を受けた何十もの企業と共に仕事をしてきた。これらの企業のうち、この情報を公にした所は一カ所も無い。

  驚くべきことに、Googleが情報公開を行った。彼らは標的型攻撃を受けたことを発表したのだ。この攻撃の目的は、中国の人権問題活動家のGmailアカウントへのアクセスを得ることにある。Googleはこの攻撃に関し、中国政府を直接非難し続けてもおり、その結果、彼らはgoogle.cnの検索結果を検閲するのを中止する計画だ。ワオ。

  我々は、この攻撃はエクスプロイトに支配されたPDFファイルが添付された、信頼できる電子メールを介してローンチされたと考えている。追記;我々は間違っていた。この攻撃はIE ゼロディ攻撃と関連していた。

  Adobeは昨日、いくつかの脆弱性を解決するAdobe Readerのセキュリティ・アップデートをリリースした

  驚くべき事に、Adobeは同時に、彼らもまた標的型攻撃を受けたことを発表した。もしかしたら何者かが、将来の攻撃のため、新たな脆弱性を発見するべく、Adobeの開発システムにアクセスしようとしたのだろうか?

 

  我々はこのような攻撃について、何度か警告してきた。

  これらの攻撃がどのように動作するか良く知るには、以下に標的型攻撃に関して我々が制作したYouTubeビデオがある:

YouTube

  そして、実際にブービーとラップが仕掛けられたPDFファイルを開くと、どのように見えるかが分かるスクリーンキャプチャを紹介している別のビデオが以下にある。



  そして以下は、このトピックに関する厳選したブログ記事だ:

  •  Case Ghostnet
  •  Behind Ghostnet
  •  Several examples of what the attack documents have looked like
  •  The mystery of Sergeant "nbsstt"
  •  How we found the PDF generator used in some of these attacks

位置に着いて、用意、アップデート!

  明日は「Update Tuesday」であることをお忘れ無いように。Microsoftのアップデート以上のものがある。

APSB10-02

  ご記憶かも知れないが、我々は12月15日に、Adobe Reader/Acrobatゼロデイ脆弱性に関する記事を投稿した。標的型攻撃で使用されている限定されたエクスプロイトが存在する。我々はそのエクスプロイトを「Exploit:W32/AdobeReader.Uz」として検出した。

  以来、さらなるエクスプロイトに関する報告が登場している。SANS Diaryは今月4日、素晴らしい記事を掲載した。引用されているエクスプロイトを、我々は「Exploit:JS/Pidief.CKJ」として検出している。

  PDFデコイは以下のように見える:

Exploit:JS/Pidief.CKJ

  詳細については、Adobeの「Security bulletins and advisories」を参照し、テストと配備に備えて欲しい。

—————



バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード