エフセキュアブログ

windows 7 を含む記事

2012年の#yearinreview パート2

 2012年#yearinreviewのパート2、7〜9月分を挙げる。

2012年7月4日
(訳注:CERNよ、ありがとう。Webサイトを作ってくれたことに。そしてボソンを見つけてくれたことに。#science

2012年7月10日
(訳注:Googleで検索する際に考えてほしい。Googleの年間の電気料金は約1億2千万ドルだ。しかし、みなさんはそのサービスに対してお金を支払っていない。)

2012年7月12日
(訳注:Yahooから45万件のユーザ・パスワードが流出したのは実に驚きだ。Yahooがまだそんなに多くのユーザを抱えていたとは、思いも寄らなかった。)

2012年7月16日
(訳注:"Milware" [mil-we:r] ― 名詞。軍によってプログラミングされたマルウェア。)

2012年7月16日
(訳注:本日のオモシロ情報:Yahooは、Googleと呼ばれる、あるスタートアップ企業に初期段階で投資を行っていた。)

2012年7月22日
(訳注:Linuxには取り戻すべき遅れが多々ある。Linuxはバージョン3.5をリリースしたばかりだが、Windowsはすでにバージョン7なのだ。)

2012年7月26日
(訳注:#Blackhatで小耳に挟んだこと。「アイツはつまらないヤツなんだ。アイツのアイデンティティを盗んだハッカーが、後で返してよこしたほどだよ。」)

2012年7月30日
(訳注:科学的に高度な釣りは、ソート・リーダーシップ(考え抜かれたリーダーシップ)と区別が付かない。- Cliff Moon)

2012年7月29日
(訳注:またしても#Blackhatのバッジで、私の名前のスペルが違っていた。twitpic.com/ad84sv こっちは2011年の私のバッジだ。twitpic.com/6055l8

2012年7月31日
(訳注:3Dプリンタで印刷された物体から、それを作ったプリンタを突き止めることはできるだろうか?純粋な質問。)

2012年7月31日
(訳注:これは「Bullet Point(箇条書き、の意。bulletには銃弾の意味がある)」と呼ばれている。PowerPointにより死を招くからだ。)

2012年8月6日


2012年8月6日
(訳注:火星探査機キュリオシティに搭載されたコンピュータのスペック。CPU:200MHz、RAM:256MB、SSD:2GB。iPhoneのスペック。CPU:800MHz、RAM: 512MB、SSD:64GB。#MSL

2012年8月16日
(訳注:Facebookにアカウントがないと、奇妙なやつだと思われ、多少疑われるかもしれないことが分かった。あるいはテロリストかも。隠せねばならないことが絶対にあるのだ。)

2012年8月23日
(訳注:本日のヒント:Windowsの「ファイルを開く」ダイアログでURLをペーストできる。たとえばペイントを開始してCtrl-Oと入力し、http://i․imgur․com/gdILk.jpgを貼り付ける。)

2012年8月28日
(訳注:Linuxディストリビューションは、Windowsではもっとも一般的なソフトウェアへの対応が実に欠如している。たとえばマルウェアの大半は動かない。)

2012年9月10日
(訳注:今年最高の情報漏洩 pastebin.com/2qbRKh3R

2012年9月12日
(訳注:シルバー・サーファー ― 名詞。インターネットを使用する高齢の、特に退職した人々。Collins English Dictionary c HarperCollinsより)

2012年9月19日
(訳注:ヒント:本番データベースに偽の珍しいユーザ名や顧客名を登録して、Google Alertをセットしておくと、漏洩した場合に通知がくる。)

2012年9月20日
(訳注:新しいルール:もしパスワードの強度が低いせいであなたのTwitterのアカウントがハックされたら、スパムを受け取った人全員にビールを奢ること。)

2012年9月21日
(訳注:iOS 6 MapsでのJFK国際空港。twitpic.com/awzcoo

2012年9月28日
(訳注:Stuxnet、Duqu、Flameの作者を割り出すための犯罪捜査は一切行われてない。政府がやったときには、明らかに犯罪ではないのだ。)

強制開示された制御システムの脆弱性

今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。

調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。
ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。

その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。

以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。
dirtraversal

しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容です。
慎重派が多いICS-CERTにおいて、未修整の脆弱性に関するアドバイザリが出されることは珍しいことです。なぜ慎重派が多いかというと、制御システムは一般の情報システムと比べ、攻撃が発生した場合の影響が大きいためです。
それにも関わらず、今回ICS-CERTが強制開示という対応を取らざるを得なかったのか、私が脆弱性を報告してから公表されるまでの顛末をご紹介したいと思います。
  1. 脆弱性の種類がディレクトリトラバーサルという、攻撃手法が単純なタイプの脆弱性だったので、文書にてICS-CERTへ報告
  2. 開発元が脆弱性を理解できないと言っているという連絡をICS-CERTから受ける
  3. 私は攻撃方法についての動画を作成し、ICS-CERTへ送付
  4. 開発元の環境では再現しない、検証したバージョンが古いのではないかという連絡を受ける
  5. 英語版のWindowsを用意し、念のため再度最新版のアプリケーションをインストールして、脆弱性が再現することを確認
  6. アプリケーションのインストールからセットアップ、バージョンの確認、起動、そして最後に攻撃を行う動画を作成し、ICS-CERTへ送付
  7. それでも開発元は再現させることもできず、脆弱性について理解できないという返答
この一部始終を見ていたICS-CERTはアドバイザリの公開を決断しました。私が報告してから情報公開までに8ヶ月近くの時間を要しました。
実はICS-CERTとのやりとりの中で、ICS-CERT側の担当者がDEFCON CTFの決勝に参加することが判明し、ラスベガスのCTF決勝会場で直接話をすることができました。(DEFCON CTF決勝については、こちら。2011年の記事ですが。)

公開の理由について、「あんなに親切で単純明快な報告なのに、それでも理解できないというのは、開発者がすっとぼけようとしているとしか考えられない。今までで一番わかりやすい報告だったよ。情報を公開する以外に解決策は無いと判断した。」という話を伺いました。(余談ですが彼らのCTFチームはとても紳士的で、私のチームが停電で困っているときに助けてくれました。)

今回は報告から8ヶ月経っての公開となりましたが、ICS-CERTの脆弱性情報公開ポリシーでは強制開示までの目安は45日と定められています。
これは45日を過ぎると強制的に公開されるという意味ではなく、なんの反応もないまま45日を過ぎると公開する場合があるという意味です。45日以内に修正完了しなければならないという意味ではありません。ふつうに対応していれば45日ルールが適用されることはありませんので、ご安心を。

2013年の7大予想

2013 Forecast

1. 我々が知っているインターネットが終焉を迎える?

 ITR(the International Telecommunications Regulations)条約の変更を仕上げるためのWCIT(the World Conference on International Telecommunications)が、ITU(the International Telecommunication Union)によって開催される。

 出席者は世界各国の政府や企業の代表で、全員がインターネットの自由に関心があるわけではない。結局、米国はWCITで策定されたITR条約に署名しないことを発表する。他に数カ国が米国に続く。

−詳細−

Foreign Policy: Official: U.S. won't sign Internet treaty
Ars Technica: Why the ITU is the wrong place to set Internet standards
.Nxt: Internet humbles UN telecoms agency
GulfNews.com: Web under closer state watch

 GulfNews.com(訳注:アラブ首長国連邦の英字新聞社)はこの問題について、西洋メディアとは異なる見解を持つようだ。

2. 情報流出により、さらに多くの政府出資の諜報ツールが暴露される

 Stuxnet、Flame、Gaussなどなど。これらは氷山の一角なのだろうか?

 サイバー兵器競争はかなり本格化している。国民国家の内密なサイバー軍事作戦について、我々はすべてを認識できているわけではないが、当該国家の政府がそのような行動にますます乗り出していくことは予期できる。2013年、これまで攻撃元として見なされていなかった国々から、これを確実に示す情報が流出する可能性はかなり高い。兵器競争が過熱するにつれて、情報流出の確率は上がるのだ。

3. モバイル端末のマルウェアのコモディティ化が進む

 Android OSは、電話機からタブレット、テレビ、特化したバージョンのタブレットに広がっており、これまでのモバイル端末OSとは異なる方法で強固なものになっていく。ユビキタス化が進むにつれて、最上位にマルウェアを構築するのは容易になり、犯罪者にとってビジネスに取り込む機会が増えてくる。サイバー犯罪者が構築したツールキットを伴ったモバイル・マルウェアのコモディティ化が進み、ハッキングのスキルが実際にはない別の犯罪者が購入、使用することができる。言い換えると、Android用のMalware as a Serviceだ。

4. 新たなマルウェアの発生がMacを襲う

 2011年はMac Defenderと呼ばれるスケアウェアが見られ、2012年はFlashbackがJavaの脆弱性を悪用した。F-Secure Labは、2013年は別のMacのマルウェアが発生し、Macコミュニティ内である程度の成功を収めると予測する。

 Flashback Trojanの作者は相変わらず逃亡中で、他のことに取り組んでいると噂されている。またMac OSにセキュリティ上の高度な変更がなされてきた一方で、Macが直面している脅威に基本的に無関心なMacユーザのグループがあり、彼らは新たなマルウェアの発生に弱い。

5. スマートTVがハッカーの攻撃対象になる

 スマートTVがインターネットに接続され、処理能力を得たが、一般にセキュリティを備えておらず、攻撃に対して無防備である。脆弱性に加え、数多くのスマートTVは家庭のコンピュータと異なり、望まないトラフィックを逸らすルータという緩衝なしにインターネットに直結している。さらに、消費者は多くの場合、Web管理のために設定された、工場出荷時のデフォルトのユーザ名とパスワードを変更しない。これではハッカーがアクセスするのは簡単だ。

 インターネット上のスマートTVを走査するのは、ハッカーにとっては非常に容易だ。発見したら、デフォルトのユーザ名とパスワードを使うだけで、簡単に入れる。セットトップ・ボックスに伝染するLightAidraが、2012年にすでに目撃されている。2013年はスマートTVがクリック詐欺やBitcoinマイニング、DDoS攻撃に悪用されるのを目にする可能性がある。

−詳細−

CERT-FI: Onko digi-tv-laitteesi bottiverkon orjakone?
CERT-FI: Digitv-virittimistakin tavattu haittaohjelmia
Computerworld: Samsung TV vulnerability could let a hacker change the channel

6. モバイル・スパイ・ソフトウェアが主流に加わる

 2013年は、ペアレンタル・コントロール目的以外にも、トラッキング・ソフトウェアの人気の高まりが見られるかもしれない。子供のFacebook上での言動など、子供の行動を監視する、子供の安全性のためのアプリケーションは、すでに成長してきている。この種のソフトウェアは子供のみならず、もちろん誰でも対象に見張るのに使用できる。スマートフォンの数が増加するにつれて、より多くの人がこのようなソフトウェアを探し求める。たとえば配偶者が何をたくらんでいるのかを見つける目的で。

7. コンテンツの優良顧客にタブレットが無料で提供される

 タブレットや電子書籍が大流行しており、またiPadとiTunes、KindleとAmazonのように閉鎖的な生態系が非常によく見られる。Kindleの価格は下がり続けている。2013年、AmazonやBarnes & Noble(訳注:米国の大手書店)といったコンテンツに課金する企業は、優良顧客に無料の電子書籍やタブレットを提供するかもしれないと、F-Secure Labは予想している。閉鎖的な生態系はよりセキュアだが、プライバシー保護は提供元を信頼するしかない。

 したがってセキュリティにとって良いことは、プライバシーにとってはすばらしいことではないかもしれない。

 またAmazonは最近、子供向けのコンテンツとゲームが無制限の、定額プランを発表した。専用性や閉鎖性が高まるにつれて、デバイスはより入手しやすくなる。また、Windowsベースのコンピュータの使用を子供に制限することを選択する保護者は、ますます増える。これは、ペアレンタル・コントロール・ソフトウェアの必要性に影響するだろう。

セキュリティうどん(かまたま)にて

12/8(土)に、香川県にて「セキュリティうどん(かまたま)」(URLはこちら http://sec-udon.jpn.org/
)という勉強会が開催され、講師としてお招きいただきましたので、今回は本勉強会の概要をご報告したいと思います。

本勉強会は今回で第7回(7杯目)で、第1回は2009年より開催されています。比較的新しいセキュリティ系の勉強会なのですが、四国では非常にアクティブに活動されております。私は徳島出身で、香川にも高専在学中に5年ほど住んでいたという事もあり、以前から「うどん(かまたま)」という勉強会のタイトルにひかれていました。今回、お呼び頂いた関係者の皆様には、この場を借りてお礼申し上げます。

私は、「AndroidやWindows Phoneの解析調査結果とAndroidマルウェアの検知」と題して発表させて頂きました。セキュリティに関連する現状を各スマートフォンOS(Android、iOS、Windodws Phone)ごとに解説し、弊社の技術戦略室による調査分析結果(参考:http://www.fourteenforty.jp/research/index.htm)や、BlackHat等国外コミュニティで発信されている情報などを交えながらお話させて頂きました。また、弊社で研究開発しているAndroidマルウェアのヒューリスティック検知エンジンの概要なども合わせてお話させて頂きました。2時間という比較的長い時間でしたが、質疑応答では参加者の皆様と活発な議論が出来て大変嬉しく思いました。

私の講演以外にも4名の方がLTにエントリーされておりました。モチベーションマネージメントに関連するお話や、HDD復旧に関する実務的なお話、日本Androidの会の紹介など、こちらも活発な意見交換がなされておりました。

本勉強会で驚いた事は、予想以上に参加者の皆様が積極的で、「何かを得て帰ろう」という意気込みを持たれている方が非常に多いと感じた事です。私の講演が参加された皆様にとって有意義なものとなったのか非常に気になる所ではございますが・・・。

弊社も地方の技術パワーと人の活性化に少しでも貢献して行ければと常々考えております。他の勉強会などについても、レポートなど随時上げていきたいと思います。

20121208140145

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

Shylockはスマート・カードがお好き

読者の皆さんは自分のラップトップのスマート・カード・リーダーを使ったことはあるだろうか?使ったことはない?そうか、そうは思っていなかった。

 (読者の半数は、そもそもあることに気づいてさえいなかったのでは。)

 Windowsユーザなら、コントロール パネルを開いて、管理ツール、サービスと進み、Smart Cardサービスを停止する。また、スタートアップの種類を変更して、システムと同時に起動しないようにする。

Smart Card Properties

 完了しただろうか?よろしい。

 これで使っていないサービスでリソースを浪費することがなくなった。おまけにShylockと呼ばれるマルウェアがシステムに悪影響を及ぼすこともない。

 それはなぜか?

 Shylockは実行時にSmart Cardサービスをチェックし、存在しなければ終了するのだ。

Shylock Smart Card check
Shylock 1

 そして、それだけではない。当社Threat ResearchチームのMarkoは、Shylockがメモリやハード・ディスクの空きをチェックすることも突き止めた。

 メモリ・チェックは以下のとおり。

Shylock memory check
Shylock 2

 最低256MBが要求される。

Shylock memory check
Shylock 3

 続いて以下が、ハード・ディスク関連のチェックだ。

Shylock logical drives check
Shylock 4

Shylock drives check
Shylock 5

 そして「Shylock 3」の図より、合計のディスク容量が少なくとも12GBなければならないことが分かる。

 ここで、読者の皆さんは疑問に思っているかもしれない。Shylockはなぜこんなに細かいのか?

 もっともありそうな答えは、アンチウイルス・ベンダーにデバッグされるのを回避しようとしている、というものだ。アンチウイルス・ベンダーは一般に調査に仮想環境を用いる。そしてそのような仮想環境には、仮想スマート・カード・リーダーのようなものが常に含まれるわけではないのだ。とはいうものの…、時には含まれる。

 次はがんばれ、Shylock。

 SHA1:386ccfc028ac4986def3954cfce8af541330fa36

ダライ・ラマ関連のWebサイトでMacの新しいマルウェアが見つかる

当社Threat Researchチームの一員であるBrodは、垂れ込みに基づき調査を行った。そして、ダライ・ラマ関連のWebサイトが侵害され、新たなMacのマルウェアをプッシュしてくることを発見した。このマルウェアはDocksterと呼ばれ、Javaベースのエクスプロイトを用いている。

 以下はgyalwarinpoche.comのページのソースだ。

gyalwarinpoche.com --jar

 Googleのキャッシュにあるgyalwarinpoche.comのスクリーンショットは次のとおり。

gyalwarinpoche.com, cached image

 注意:Googleの11月27日のスナップショットにもやはり悪意のあるエクスプロイトへのリンクが含まれる(つまり踏まないように)。

 gyalwarinpocheのサイトは、以下のdalailama.comと「公式っぽさ」が違って見える(訳注:ギャルワ・リンポチェはダライ・ラマの尊称)。

dalailama.com

 しかし2009年または2010年辺りから存在し、ダライ・ラマのYouTubeチャンネルと同じ名前を持つ。

 またWhoisの情報も似ている。

whois: dalailama.com
dalailama.com

whois: gyalwarinpoche.com
gyalwarinpoche.com

 このJavaベースのエクスプロイトは「Flashback」と同じCVE-2012-0507の脆弱性を悪用する。現行バージョンのMac OS Xや、ブラウザのJavaプラグインが無効になったMac OSではエクスプロイトによる危険性はない。送り込まれるマルウェアBackdoorOSXDockster.Aは、ファイルのダウンロードやキーロガーの機能を持つベーシックなバックドアだ。

 gyalwarinpoche.comが侵害されたのはこれが初めてではないし、もちろんチベット関連のNGOが標的になったのも今回に限ったことではない。詳細についてはここここに目を通してほしい。

 さらに、CVE-2012-4681を用いた、WindowsベースのペイロードTrojan.Agent.AXMOを持つエクスプロイトも存在する。

MD5情報:

Exploit:Java/CVE-2012-0507.A — 5415777DB44C8D808EE3A9AF94D2A4A7
Backdoor:OSX/Dockster.A — c6ca5071907a9b6e34e1c99413dcd142
Exploit:Java/CVE-2012-4681.H — 44a67e980f49e9e2bed97ece130f8592
Trojan.Agent.AXMO — c3432c1bbdf17ebaf1e10392cf630847

ベルリン警察:Android版銀行口座向けトロイの木馬を警戒

ベルリン警察局は先週火曜日、現金引き出し詐欺に対する刑事告訴関して、プレスリリースを発表した。すべての事件に、SMS mTansとAndroidスマートフォンが関与している。

Pressemeldung #3628
オリジナルGoogle翻訳

 このことは、Mobile ZeuS Man(Zeus Mitmo)とも呼ばれることがある、Mobile ZeuSの事件(Zitmo)に似ていると思われる。我々がZitmoのことを最初に書いたのは、2010年9月に遡る。Zitmoに関して気を付けなければならないことは、それが「モバイル」マルウェアの類のものではないということだ。それより、ZitmoはWindowsベースのZeuSボットと同類/補足コンポーネントなのだ。Zitmoは、銀行の顧客が認証用の追加レイヤーにSMS mTansを使用する際に、WindowsベースのZeuSと一緒に実行される。

 セキュリティの mTansレイヤーに対応するために、ZeuSボットは口座取引中に顧客に電話機のモデルや番号を尋ねる「セキュリティ上の注意」画面を挿入する。悪意ある者は続いて、いわゆる「セキュリティの更新」にSMSリンクを送信するが、これは、実際にはmTansの裏をかくために必要なMobileコンポーネントのManなのだ。

 実害が発生しているZeuSボットにはさまざまなものがある。たとえば、2か月前に我々はZeuSのP2PバージョンであるGemaoverについて書いた。1つのZeuSベースのボットネットだけでも、ドイツで4千9百万近い感染がある。この感染は、どれをとってもZitmoの標的になり得るのだ。

 それでは、Zitmoに対する最適な防御とは何であろうか?ベルリン警察局は、市民が自分の銀行から要請される「セキュリティ更新」に疑念を持ち、ホームコンピュータを防御することを推奨する。

 このことは、最新のウィルス駆除ソフトをインストールすることも含まれる。

-----

 自己プロモーションには次のように書かれている:

 Zitmoのような脅威は、弊社がインターネットセキュリティとモバイルセキュリティをセットとしてご提供する理由の1つです。

 そして、ZeuSのような脅威こそが、弊社の最新のインターネットセキュリティ機能を、中間介在者をブロックしインジェクション攻撃するように設計し、銀行口座防御と呼ぶこととなった原因です。

 ご利用のデバイスはすべて繋がっています。安全を心掛けてください。

活動中の第3四半期モバイル脅威

  エフセキュアの「2012年第3四半期モバイル脅威レポート」は、我々が第3四半期中、51,000サンプル以上のAndroidマルウェアを発見したことを示している。

Android Samples Q3, 2012

  そして、それらのうちどのくらいがGoogle Playで発見されたかを尋ねられる。

  以下が内訳だ:28,398の悪意のあるサンプルがあり、146はGoogle Playからのもの、そして23,049の怪しいプログラム(PUA)サンプルがあり、13,639がGoogle Playから来たものだった。

注記:サンプルは必ずしも脅威に等しい訳ではない。我々の発見に基づけば、イン・ザ・ワイルドな「ファミリー」の数は、実際、2011年第3四半期と比較して下回る。

Q3MTR chart

  Androidエコシステムは、多くの「起業家たち」で忙しくなっているが、まだMicrosoft Windowsのように日常化されたエコシステムとはほど遠い。

11月の脆弱性およびゼロデイの集計

  まだ第二火曜日ではないが、すでに適用すべき重要アップデートがかなりの数に達している。そしてき重要ゼロデイの一つを、知っている必要がある。

  優先:Flash! Adobeが11月6日、7つの脆弱性を修正する重要アップデート(詳細はここ)をリリースした。

  ご自分のバージョンチェックはここでできる。

Flash 11.5.502.110

  11.5.502.110はブラウザに応じた最新版だ。実際に使用している以上のプラグインのインストールは必要ない。たとえばChromeには、自身のバージョンのFlashが含まれている。

  Chromeと言えば、Googleも6日にセキュリティアップデートをリリースした(詳細)。こちらは容易なアップデートで、About (chrome://chrome/) をチェックして、バージョン23.0.1271.64を使用しているか確認すれば良い。

Chrome 23.0.1271.64

  Appleは11月7日、Windows版QuickTimeのアップデートをリリースした(詳細)。QuickTime 7.7.3には、ドライブバイ攻撃で悪用可能と思われる脆弱性用に9つのアップデートが含まれている。iTunesではすでに、QuickTimeは必要ない。最後に使用されたのがいつか思い出せなければ、本当にQuickTimeをインストールする必要があるのか、自問して欲しい。(QuickTimeは非常にポピュラーな標的だ)。

  ポピュラーな標的と言えば…

  Java! Java Runtimeクライアントが最新版であることを必ず確認すること。(バージョンチェックはこちら)アップストリーム・データに基づくエフセキュア唯一、最大の検出は:Exploit:Java/Majava.A Java Runtimeは間違いなく、ナンバーワンの標的だ。

  我々のアップストリームデータに基づいた、二番目に一般的な検出は:Exploit:W32/CVE-2010-0188.B Adobe Readerのエクスプロイトで、CVE番号から2010年のものであることが分かるだろう。

  しかしそれでも、Group-IBで報じられているAdobe Readerのゼロデイ脆弱性があることに注意。

  Adobe Readerの現行バージョン、アップデートバージョンを悪用可能であるため、この脆弱性は重要だ。また、Readerのサンドボックスから脱獄し、ホストコンピュータを悪用できる。

Group-IB US: Zero-day vulnerability found in Adobe X

  Group-IBによれば「Blackhole Exploit Kit」の一部ハイエンド版が販売されている。よってこのエクスプロイトは広く利用されていない…今の所は。もしインストールしているなら、Readerの使用軽減を検討して欲しい。

  ここに、活動中の同エクスプロイトのYouTubeビデオがある。

Q3 2012モバイル脅威報告を公開!

  2012年の第3四半期を通じて見つかったモバイル脅威をカバーする、エフセキュアのモバイル脅威報告を公開した。既存のファミリーの新しいファミリーと亜種が67種発見され、以前は平穏だった一部のプラットフォーム(たとえばiOS、Windows Mobile)が、現在、マルチプラットフォームFinSpyトロイの木馬のために、平和を乱されている。

Q3MTR chart

  詳細については、完全な報告書にある。コピーはここ[PDF]からダウンロードできる。

Q3MTR cover

最近気になる Remote Administration Tool(RAT)

何かと話題の「遠隔操作ウイルス」事件により、ようやく RAT(いわゆるトロイの木馬) が一般的に認知されました。
RAT 自体は10年以上前から存在しますし、世界中で開発されていますので、日本もその例に漏れず、といったところでしょう。
RAT 開発者の職業もここ数年で非常に幅広くなったように思います。2年前にとあるアンダーグラウンド・マーケットで RAT の開発者にインタビューしたところ、その開発者は高校生でした。4、5年前は、職業プログラマの開発者しか(ネット上で)会えなかったことを考えると、時代は変わったなぁ、とつくづく感じます。
SYSIE の作者が何者かは分かりませんが、学生から職業プログラマ、国家機関など誰がマルウェアを開発していても不思議ではない状況下ですので、犯人像の特定は今後ますます難しくなっていくように思います。

さて、そんな誰もがマルウェアを開発できる環境が整いつつあるなか、ここ数年間注目しているのは Java で開発された RAT です。

理由は幾つかあるのですが、例えば、
.泪襯船廛薀奪肇侫ーム対応なので標的となる OS が幅広く、近い将来に流行するかもしれない

java_rat


⊆孫團侫.ぅ襦EXE や DLL)ではなく JAR ファイルが利用
(防御レベルが少々手薄)

0貳未Javaプログラムの実行と区別が付きづらい

javaw


などが挙げられます。マルチプラットフォーム対応のマルウェアは、Java RAT の他には今年8月にW32.CrisisOSX.Crisis が報告されています。マルウェア開発の流れは、マルチプラットフォームへと動いていることは、間違いなさそうです。そういった観点からも、Java RAT が近い将来に普及し始めるのではないか、と考えています。
(とはいえ、Windows 実行ファイルの RAT が主流であることには変わらないと思いますが・・・)

これらの脅威に対し、新たな対策があるわけではありませんが、あえて補足しておくとすれば、検体が抽出しやすい環境を整えておくことを推奨します。

・OS等のバックアップ機能を利用
・ネットワーク・トラフィックからファイル抽出
・怪しいと思ったら証拠保全(フォレンジック)
※ウェブレピュテーション機能がアラートを挙げる、覚えの無いソフトウェアのフォルダが作成されている(空のWinRARフォルダなどあったら即保全)等

などがあります。RAT の検体が抽出困難な場合でも、状況によっては感染事実を推測することは出来ます。しかし、駆除や被害範囲の特定、対策面の検討等を考慮しますと、検体の入手は非常に重要になってきます。 RAT の場合は、その特性から攻撃者の目的が明確である場合が多いです。そのため、単に検体を駆除するだけではなく、その背後関係まで考えて対策を実施する必要があると思います。
今後、マルウェア対策を行ううえで、その辺りも踏まえて考えるとサイバー・セキュリティの重要性が改めて感じられるのではないでしょうか。


マルウェアの署名に使用されたAdobeの証明書

  Adobeの製品セキュリティのトップBrad Arkinが木曜日、非常に興味深い記事を掲載した。

  結局、Adobeのビルドサーバの一つに障害が生じ、Adobeのデジタル署名を持つ悪意あるファイルを作成するのに利用されたというのだ。

  アドビ・コードサイニング証明書の不適切な使用

Inappropriate Use of Adobe Code Signing Certificate

  これに伴うセキュリティアドバイザリによれば、3つのファイルを使用する2つのユーティリティがある。Adobeによると、Adobe署名のバージョンは単一のソースに隔離されており、我々のバックエンドメトリクスも一致する。我々の顧客ベースの範囲内には、Adobe署名のファイルは一つも見当たらない。

  非Adobe署名付きPwDump7.exeの事例はあったが、これらは限定されている。おそらくその名前から、PwDump7.exeが何をするのかお分かりだろうが、これはWindows OSからパスワードハッシュを盗み出す。PwDump7.exeが使用する関連ファイルはlibeay32.dllで、これはOpenSSLライブラリだ。そして、我々のバックエンドには、これ(正当でクリーンなファイル)のpingがある。

  第2の悪意のあるファイルは、「myGeeksmail.dll」と呼ばれており、AdobeはこれがISAPIフィルタであると考えている。

  このファイルの非Adobe署名バージョンは、イン・ザ・ワイルドではない。

  Adobeの署名が取り除かれた「myGeeksmail.dll」のMD5ハッシュは:8EA2420013090077EA875B97D7D1FF07

  Adobeは10月4日に障害の起きた証明書を取り消す予定で、現在、新しいデジタル証明書を使用したアップデートを発行している。

  最後に:@jarnomの「CARO 2010」のプレゼンテーションを再度お勧めする良い機会だろう:署名されているのだから、クリーンでしょう?[PDF](スライド#25を要確認)

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Javaランタイム環境 = 常に脆弱なマシン

  さて皆さん…常に脆弱なマシン、OracleのJavaランタイム環境(JRE)には高度に悪用可能な新しい脆弱性(CVE-2012-4681)がある。たった今、共有化されたところなので、遠からずBlackholeのようなポピュラーなエクスプロイトキットに到達するだろう。

  また、もしあなたがJava(JRE)をインストールしているなら、そしてブラウザプラグインをオンにしているなら…ドライブバイダウンロードの危険にさらされている。我々がこれまでに調査した詳細にもとづけば、あらゆるブラウザに悪用される可能性がある(Chromeは若干、議論の余地があるようだが)。

No Java (JRE)

  そしてJava(JRE)はクロスプラットフォームのため、もし攻撃者が適切に設定したペイロードをドロップするなら…非Windows攻撃に結びつく可能性がある。

  必要としない(もしくは使っていない)なら、Java(JRE)をアンインストールして欲しい。もし必要(そしてそうしたい)なら、少なくとも使用しない時は、ブラウザのプラグインをオフにして欲しい。Javaベースのサイト閲覧だけのために、別のブラウザをインストールすることを考慮しても良いだろう。

  こうした変わらぬ脆弱性を、あなたはどのように緩和するだろうか? 以下のアンケートに回答して欲しい:




BlackHat 2012/Defcon 20 レポート

フォテイーンフォティ技術研究所 鵜飼です。

BlackHat/Defconに今年も行ってまいりました。
私はContent Review Boardとしての参加ですが、弊社からは技術戦略室の大居がWindows Phone 7関連のトピックで講演して参りました。

大居の現地レポートなどは弊社のBlog(本記事の下段にリンク参照)に掲載されていますが、私の現地レポートは少々遅ればせながらこちらで掲載させていただきたいと思います。

私は、BlackHat/Defconに2003年から参加しています。弊社が設立された2007年以降は、行く年もあれば行かない年もあるという状況ですが、昨年度からはBlackHatの論文審査を行うReviewerになった事もあり、Las Vegasは昨年度に続いての参加です。最近は、Black Hatも日本から参加される方が増え、現地の状況なども国内で共有されるようになってきました。そこで今回は、まだ国内ではあまり共有されていない話をお伝えしたいと思います。

■ BlackHat Speakerになるという事

BlackHat(特にLas Vegas)の魅力は、何と言っても厳しい査読を通過した全9トラックのプレゼンテーションが見られるBriefingsだと思います。世界中の研究者が、このステージに立つために日々研究を行い、成果をまとめあげます。方々で言われている通り、BlackHatではベンダーニュートラルな最新の研究成果が発表される正解最大規模のカンファレンスですが、この日のために時間と人を費やし、研究資金を投入し、論文審査を通過させ、発表を行う研究機関やベンダーは世界中に数多く存在します(弊社もその中の一つです)。論文審査も特にLas Vegasは厳しく、なかなか発表できません。ですので、かなり気合が入っているスピーカーも沢山います。

何故ここまで気合を入れるのか。それは、BlackHatで発表する事が、企業として、あるいは個人の研究者として、特に米国のセキュリティ業界では非常に高いステータスになるという事です。BlackHat Speakerになる事が一つの憧れであり、それに向けて挑戦を続ける研究者は少なくありません。このようなステータス性が、逆に発表内容のクオリティを維持している要因になっているものと思います。

■ BlackHatはオフ会、Defconはパーティ?

しかし一方で、BlackHatは「オフ会」としての側面も非常に強いです。こちらはあまり日本国内で共有されていないのですが、「BlackHatは超巨大なオフ会であり、高いクオリティの研究発表が並行して行われ」る、といった雰囲気を合わせ持っています。オフ会的要素と、研究発表的要素、どちらが欠けてもBlackHatは成立しないのではないかと思います。米国ではご存じのとおり転職が非常に盛んで、今どこで誰が何をしているのかを把握するのは、Linked InやFacebookが登場するまではとても大変でした。しかし、SNSが普及した現在でも、やはり細かい事はface to faceじゃないとなかなか共有できません。このため、年に一度Black Hatでお互いの近況を共有するのが恒例となっています。BlackHat期間中は、参加者の溜り場になっているバーやベンダーパーティなどに人が集まりますが、特にGalleria Barは色々な人たちのオフ会会場になっています。そういった交流の中でネットワークも広がっていきます。今年は、多くの知人が独立起業した事が大きな変化の一つでした。

BlackHat終了後のDefconは、パーティーとしての側面があります。BlackHatとDefconの両方に参加されている方はお分かりかと思いますが、参加費用が全く異なるという事もあり、明らかに参加者の年齢層や雰囲気が違います。こちらは、個人的な印象としては「巨大なパーティ」であり、参加者同士の交流などに主眼が置かれている印象です。プレゼンは非常に技術レベルの高いものもありますが、玉石混合状態です。しかし、Defconには楽しい雰囲気を醸し出すイベントや仕掛け、展示などが沢山あり、BlackHatとは違った楽しみ方があります。今年は、日本のCTFチーム「Sutegoma2」の応援も兼ねて参加しましたが、各国の研究者やカンファレンスのオーガナイザーと新しい交流を持つ事ができ、大変有意義でした。

■ BlackHatで講演しませんか?

日本からもBlackHatで喋るスピーカーが沢山出てほしいという思いから、H23年9月から、インターネット協会で「Black Hatでの国際論文発表に向けたアドバイス」を提供しています。
http://www.iajapan.org/press/isec_20110901press.html

BlackHatでスピーカーになると世界中の研究者と交流を持つ事ができ、一気にネットワークが広がります。我こそはと思われる方は、是非ご連絡くださいませ。


[BlackHatレポート]
・2012-07-30 Black Hat USA 2012 現地レポートその1
 http://www.fourteenforty.jp/blog/2012/07/2012-07-30-1.htm
・2012-07-31 Black Hat USA 2012 現地レポートその2
 http://www.fourteenforty.jp/blog/2012/07/2012-07-31-1.htm
・2012-08-6 Black Hat 技術報告 前編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-06-1.htm
・2012-08-10 Black Hat 技術報告 中編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-10-1.htm
・2012-08-15 Black Hat 技術報告 後編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-15-1.htm

問いかけるZeuS亜種:奇妙? とんでもない。

  我々はマルウェアとの戦いで、かなりオートメーションと仮想化に依存している。我々の敵であるマルウェア作者たちはこれを知っており、しばしば我々のバックエンドシステムで処理されぬよう、新しい戦術を採用する。

  とりわけ一般的な脅威の一つに、ZeuSと呼ばれる「バンキング型トロイの木馬」がある。過去に我々は、積極的なアンチデバッグ技術の結果、低速なコンピュータには感染しない可能性のあるZeuS亜種について書いたことがある。

  さて、我々は今日、新しいZeuSの亜種を分析し、それがWindowsレジストリからオーディオカードの存在を探すことで、環境が「ノーマル」かどうかをチェックすることを発見した。

ZeuS, audio_check

  チェックされるエントリは:

  •  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW{96E080C7-143C-11D1-B40F-00A0C9223196}

  エントリが見つからなければ、それは無限再帰に入ることでスタックオーバフローを作りだす。このようなことを行う可能性が高いのは、アンチ仮想化の手段としてだ。たとえば、それはVMwareの一部標準構成で動作しない。我々(そしておそらく他の多くのAVベンダ)は、オートメーションで標準的な可視化ソフトウェアを使用していない。しかしこれは、銀行のセキュリティに携わる人々のようなアナリストには歯がゆいことだろう。

  以下はこの亜種のSHA1だ:73a7c4af7f0d9bc28e1a9f9c293009515dbb65ad

Analysis by — Marko and Mikko S.

Gauss:オリンピックの最新イベント

  Kaspersky Labの人々が最新の「国民国家が支援する」発見を昨日明らかにし、それを…Gaussと呼んでいる。そのように名付けられたのは、その「モジュールがクルト・ゲーデル、ヨハン・カール・F・ガウス、J・ラグランジュといった著名な数学者、哲学者に敬意を表しているらしい内部名を有している」からだ。

  Gaussは「Flame」の調査中に発見されたものだ。それ自身、Stuxnetと関連があり、「Olympic Games」というコード名を持つ米国の諜報プロジェクトの一環だった。

  興味深い。

  以下は、Gaussに関するその他の興味深い点だ。

  分析によれば、Gaussはレバノンの銀行をいくつか標的にしており、(バンキング型トロイの木馬が行うような)トランザクションのモニタを行う。

  4月に掲載されたWall Street Journalの記事との関連で考えると、かなりのものだ。

U.S. Probes Lebanon Banking Deals

  そのほかに注目に値する点は、Gaussはアンチウイルスソフトが存在する場合、自身をインストールしない、ということだ。

  またGaussは、Windows 7 SP 1を好まない。

Gauss exits if Antivirus is found.
ソース:Kaspersky Lab [PDF]

  次にちょっとした、こんな情報がある:

Gauss Traffic Encryption, ACDC
ソース: Kaspersky Lab

  ACDC?

  それがミッコの注意をひいた。




  最後に、Olympic Gamesの報道の展開を見る限り、我々のように「偏執的な」傾向のある人々は、イランの資金2500億ドル相当のロンダリングをしていると言われる、スタンダード・チャータード銀行に関するWall Street Journalの8月6日の記事に対して、新しい見方をしてしまう…

N.Y. Regulator Accuses Standard Chartered of Illegal Transfers

  WiredのKim Zetterが、Kasperskyの調査結果を上手くまとめている。FlameおよびStuxnetの親類がレバノンの銀行の顧客を標的に不可解なペイロードをもたらす

1992年

  ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ

Poison Ivyにみるマルウェアの隠し場所


最近、「マルウェア感染したと思うのだが、アンチウイルスソフトや不正プログラム抽出ツール等を試したが何も見つからない」といった話をよく耳にします。
その多くは、IDS/IPSやURLフィルタなどにより不正通信を検出しているのですが、いざPCを調べると何も見つからない、といったものです。
#当然、マルウェア作成側も念入りにアンチウイルスソフト等では検出されないように設計していますので、そう簡単には見つからないです。

そこで、今回は検出されずらいマルウェア隠し場所とその検出方法の一例を紹介してみたいと思います。少しでもお役に立てて頂ければ幸いです。

今年に入ってから、ときどき見かけるものとして、古典的な手法ですが、ADS(NTFS代替データストリーム)を利用してマルウェアの本体を隠す手口です。
この手口を悪用するものとして、例えば最近人気(?)のPoison Ivy(トロイの木馬)などがあります。
Poison Ivyの機能に取り込まれたのは、比較的最近のバージョン(2.3.0〜)からですので、攻撃者から見ればそれなりに効果が期待できるということなのでしょう。

Poison Ivyの場合、ファイルを隠すために利用されるフォルダは、Windowsフォルダとsystemフォルダに限定されています。
ディスクエディタ等で確認すると、下図のhkcmds.exe(C:¥Windows¥system32:hkcmds.exe)のような状態となります。
#ADSにより隠されたファイルは、通常のWindowsのエクスプローラー等の操作では見えません。

ads

この隠されたマルウェアに対し(1)〜(3)の操作により検出および抽出を試みます。
(1)Windowsのファイル検索
(2)アンチウイルスソフトによるフルスキャン
(3)ADSファイル検索ツール

これらの操作の結果は、
(1)では見つけられません。恐らく、Windows APIを利用している資産管理ツール等でも見つからないと思います。(未確認)
(2)は5つのソフトウェアをテストしたところ、2つが検出されました。いまいち確実性に乏しいです。
(3)は確実に抽出することが可能です。ADSを検出することに特化してますので当然ですね。

他にレジストリを確認することで検討をつけることは可能ですが、この作業はなかなか骨が折れます。
ちなみに、上の例ですとレジストリは次のような内容が書き加えられていました。

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Value Name: HotKeyscmd
 New Value: “C:\WINDOWS\system32:hkcmds.exe”


#感染日時がある程度目星がついており、感染端末の保全状況が良いと比較的容易に見つけられるかもしれません。

今年に入ってから、本ケースのような事例は少なくありません。もしアンチウイルスソフト等では何も検出されていないが、不審な通信を行っている、などの挙動がありましたら一応ADSもチェックしておくと良いかもしれません。
また、何か興味深い事例等ありましたら投稿したいと思います。
ではでは。

Intel OS Xバイナリを持つマルチプラットフォームバックドア

  月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。

  その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。

Social-Engineering Toolkit (SET) attack files

  まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。

  ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。

  Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:

Windows payload in shellcode form

  シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。

  これらのファイルは以下のように検出されている:

Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)

  バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード