エフセキュアブログ

windows7 を含む記事

AV-Comparativesによる現実世界のテスト結果

 AV-Comparativesは月次で「Whole Product Dynamic Real-World Protection」というテストを実施している。この組織は、2016年4月を対象とした3回目のテスト結果を今しがた公表した。そして今年これまでのところ、当社製品はよくやっており、非常に喜ばしく思っている。

AV Comparatives April Real-World test results
AV Comparativesの4月の「Whole Product Dynamic Real-World Protection」テストの結果

 AV-Comparativesの人たちは極めて網羅的なテストを実施している。現実世界の脅威に対し、セキュリティ製品がどれほど機能するかをきっちりと確かめるべく、実際に侵害されたサイトを求めてインターネットを調査して回るのだ。大抵の場合、侵害されたサイトは発見されると速やかに削除されることを考えると、これはきつい仕事だ。今回の最新のテストでは、彼らはWindows 7 SP1と、完全に更新した最新版のサードパーティ製のソフトウェア群をシステムに導入した。完全にパッチを当てられたソフトウェアを侵害し得る悪意あるサイトを見つけるのは大変だ。我々は彼らの勤勉さを称賛する。

 AV-Comparativesの今年のこのテスト全般において、当社は投げつけられた脅威を100%ブロックした(3回連続でブロックした、わずか2社のうちの1社だ!#hattrick)。しかしながら、わずかな誤検知に苦しめられた。これは主に、当社製品はサンプルの普及に基づいて決定を行うロジックを使用しているという事実による。テスト対象のサンプルの1つを目撃したことのある顧客がいなかったり、あるいは非常に少なかったりした場合には、サンプルの特異性に基づいてこれをブロックする可能性がある。当社の顧客がいまだ遭遇したことがないクリーンなサンプルを見つけたときに、Andreas Clementiと(彼らのクレジットによれば)彼のチームは、非常に狡猾なのだ。それが当該テストにおいて、当社がしばしば過検知してしまう理由である。しかし、それについて我々は大きなストレスを感じているわけではない。サンプルはいずれも重要なシステムファイルではなく、また当社製品に特別なロジックを組み込んでおり、システムやソフトウェアを破壊しかねないファイル群を決して誤検知と判定しないようにしている。結局我々にとっては、潜在的なちょっとした問題をすべて回避するよりも、出会う脅威をすべてブロックするほうが重要なのだ。

 しかし我々はそのロジックに基礎を置くわけではない。過去の投稿を思い出して頂きたい。我々は正規のファイルの収集および分析の自動化を改善する開発プロセスの途上にある。クリーンなサンプルを追い詰めたときには、Clementiと彼のチームを出し抜きたいと考えている。

 Andreasや、AV-Comparativesのすべてのスタッフに対し、彼らの行っている大変な仕事に謝意を示したい。彼らのテストは当業界には重要だ。そしてこうしたテストが我々にとって、顧客をどれだけ保護しているかについて、計り知れないほど貴重な測定結果となる。

PowerShellを悪用したマルウェアが徐々に増加の予感!?

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。

shortcut with powershell

その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル(.ps1拡張子)の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/


F-Secure SAFE、Windows 10をサポート、さらにNetwork Checkerを提供

エフセキュアは、人気の高いセキュリティソフトウェアF-Secure SAFEの最新バージョンをリリースしました。この最新バージョンはWindows 10搭載デバイスをサポートします。これにより、今夏リリース予定の期待の大きいWindows 10オペレーティングシステムにデバイスをアップグレードした後も引き続き、エフセキュアが提供する最高のプロテクションのメリットを享受することができます。最新バージョンではさらに、Network Checkerと呼ばれる新しいネットワークレイヤセキュリティツールも併せて提供しています。Network CheckerはF-Secure SAFEをインストールしたWindows PCでご利用いただけます。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「F-Secure SAFEがWindows 10をサポートすることを発表でき、とてもうれしく思っています。F-Secure SAFEは、オンライン上の脅威に対する、使いやすい包括的なセキュリティソリューションを提供します。多くの方々がご自身のデバイスやデジタルライフ、そしてご家族を守る上で、F-Secure SAFEに信頼を寄せてくださっています。エフセキュアはこの信頼を裏切ることなく、Windows 10にアップグレードした後も引き続き、これまでと同様のプロテクションを提供していきます」

マイクロソフトはWindows 10のリリースを7月29日に予定しており、現在Windows 7またはWindows 8.1をインストールしているPCに無償でアップグレードを提供すると発表しています*。

PCユーザ向けにNetwork Checkerを提供

F-Secure SAFEの最新バージョンでは、PCユーザ向けにエフセキュアの最新かつ革新的なネットワークレイヤセキュリティであるNetwork Checkerも提供しています。Network Checkerはインターネットに接続する際に使用しているネットワークの設定を検証し、設定が攻撃に対し無防備な状態に変更されることを防ぎます。高度なプロテクションレイヤを追加し、ご家庭でも、小さなカフェでWi-Fiホットスポットを利用するときでも、人々を安全に守ります。

デバイスがより「スマート」になっているため、ルータのハッキングといったテクニックが一般的になりつつあります。最近の調査では、ウイルスに感染している何万台ものルータがボットネットの作成に使われていることが明らかとなっています。ボットネットは大規模なDDoS(分散型サービス拒否)攻撃に不可欠な構成要素です**。 エフセキュア セキュリティ研究所によれば、設定が変更されていたことが判明した家庭用またはオフィス用ルータは2014年だけでも30万台を超えています***。

エフセキュアのシニアリサーチャーであるデビッド・ヘンティネンは、ルータやスマートデバイスは潜在的なリスクとして認識されていないため、攻撃者にとってますます魅力的になっていると言います。「ルータは放っておかれがちです。一度設定した後は部屋の隅に置かれ、二度と顧みられません。人々はファームウェアのアップデートのことなどまるで考えておらず、デフォルトのパスワードさえ変えていないこともあります。このため、ルータは攻撃者の標的となりやすく、攻撃者はルータをハイジャックすることにより、そこを通過するすべてのトラフィックを操作できるようになります」

Network Checkerはバックグラウンドで稼働し、所定の間隔で、または設定の変更を検知したときにネットワークをチェックします。潜在的なセキュリティの問題を検知した場合にはユーザに通知し、トラブルシューティングまたは問題の修復方法を提示します。Network CheckerはF-Secure SAFEをインストールしたWindows PCで利用することができます。Windows PC以外のデバイスをお使いの方には、オンデマンド型のF-Secure Router Checkerがウェブベースで同様の機能を提供します。

F-Secure SAFE、すべてのデバイスでクラウドセキュリティを実現

最新バージョンのF-Secure SAFEではMac版、iOS版、Android版を対象にいくつかの改善も行い、すべてのデバイスでクラウドセキュリティを実現しました。改善点は以下のとおりです。
  • Mac版にクラウドベースのレピュテーションスキャニングを追加。リアルタイムでファイルおよびウェブサイトのレピュテーションをチェックします。
  • Android版に次世代バージョンのエフセキュアのクラウドベースのマルウェアスキャニングを追加。クライアントベースとクラウドベースのアンチウイルス・プロテクションを組み合わせています。
  • Android版およびiOS版のペアレンタルコントロールを設計し直し、ユーザビリティを改善。

F-Secure SAFEはセキュリティとオンラインプライバシーの侵害から人々を守るオールインワンのセキュリティソリューションを提供します。エフセキュアの受賞歴のあるテクノロジーが組み込まれ、Windows PC、Mac、Android、iOS、Windows Phoneを搭載したデバイスにインストールすることができます。

*出典:http://news.microsoft.com/2015/06/01/windows-10-available-as-a-free-upgrade-on-july-29/
**出典:http://news.softpedia.com/news/DDoS-Botnet-Relies-on-Thousands-of-Insecure-Routers-in-109-Countries-480940.shtml
***出典:https://www.f-secure.com/documents/996508/1030743/Threat_Report_H1_2014.pdf

詳細情報:  
F-Secure SAFE  https://www.f-secure.com/ja_JP/web/home_jp/safe

DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906

 水曜日、我々はマイクロソフトのグラフィックコンポーネントにおけるゼロデイの脆弱性について取り上げた。この脆弱性は、Wordドキュメントを用いた標的型攻撃で活発に悪用されている。

 かいつまんでいうと、このエクスプロイトが当社のInternet Securityに敗北する動画が以下にある。


DeepGuard 5 vs. Microsoft Graphic Component Zero-Day Exploit CVE-2013-3906

 動画内のWordドキュメントは実際の攻撃で使われてきたもので、McAfeeAlien Vaultが分析したエクスプロイトの1つだ。分離された試験用ネットワーク上で、64ビット版Windows 7でOffice 2007を実行する脆弱なシステムを用いて、攻撃を再生成した。動画で実演している通り、DeepGuard 5(当社のビヘイビア・エンジン)のエクスプロイトを捕捉する機能によって、システムを感染から防いでいる。

 さらにDeepGuardは、マイクロソフトのアドバイザリよりも前に、誰も最初のサンプルを目にしたことがなくても、先手を打ってこのゼロデイエクスプロイトから顧客を保護していた。

 その上、DeepGuardの検知機能に何ら追加や修正は必要なかった。約1か月前の、先のマイクロソフトのゼロデイ用と同じ検知ルールセットで、今回のゼロデイがブロックされた。

 これがビヘイビアベースのプロアクティブなエクスプロイト検知の力だ。

 Post by — Timo*

 * 編集メモ:ティモは上級研究員で、(正当に言って)当社が誇るDeepGuardサービスの責任者だ。あっぱれ、ティモ!

いかにWindows XPが攻撃しやすいか

先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。

cve-2013-3893_onXP
[Windows XPでIE8の脆弱性を悪用し電卓を起動したところ]

攻撃が簡単な理由は、Windows 7ではASLRといってメモリアドレスをランダムに配置する機能が備わっているのに対して、Windows XPではそのような機能が無いため攻撃に利用可能な場所がそこらじゅうにあるからです。

noaslrOnXP
[Windows XPではASLRが有効ではない]

Windows 7ではASLRのおかげで攻撃に利用可能な場所はほとんどありません。

noaslrOn7withoutOffice
[Windows 7インストール直後のIEにはASLRが無効になっているDLLは無い]

しかし、「ほとんどありません」ということは、「少しはある」ということを意味します。例えば、Officeがインストールされている状態でms-help://にアクセスすると、次のように攻撃に利用可能なDLLがロードされます。

noaslrOn7withOffice
[Windows 7でIEにms-help://を読み込ませた際に、ASLRが無効になっているDLLリスト]

CVE-2013-3893で悪用された手口で、Windows 7を攻撃するのにOfficeがインストールされている必要があったのはこのDLLを強制的にロードさせて攻撃に利用するためです。この手口は2012年から報告され、実際に悪用されたこともあったのですが、残念ながらまだ修正されていません。ただ、これだけ毎回悪用されると修正されるのも時間の問題かと思います。

このようにWindows 7では脆弱性発見から攻撃成功にいたるまでは
[脆弱性発見] -> [攻撃に利用可能な場所を調査] -> [攻撃成功]
というステップを踏む必要があるのに対して、Windows XPでは
[脆弱性発見] -> [攻撃成功]
というステップだけですので、攻撃を成功させるのが容易なわけです。

2014年4月にはサポートも切れることですし、XPとのお別れの時期もいよいよ目前に迫ってきましたね。

AndroidのハッキングツールがPCの情報を盗む

 週末、当社のセキュリティレスポンスアナリストの1人であるYehが、あるAndroidアプリに関する中国語のフォーラムで興味深い分析に遭遇した。そのアプリは、接続したWindowsマシンから情報を盗むハッキングツールへと携帯端末を根本的に変貌させるものだ。

 さらに調査するため、Yehはどうにかサンプル(MD5:283d16309a5a35a13f8fa4c5e1ae01b1)を手に入れた。実行すると、当該サンプル(Hack-Tool:Android/UsbCleaver.Aとして検出)はUSBCleaverという名前のアプリをデバイスにインストールする。

Android Hack-tool, USBCleaver

 このアプリを起動すると、リモートサーバからzipファイルをダウンロードするようにユーザに指示をする。

USBCleaver, Download Payloads

 続いてダウンロードしたファイルを/mnt/sdcard/usbcleaver/systemフォルダに解凍する。

 保存されたファイル群は基本的に、USB経由でデバイスがWindowsマシンに接続された際、特定の情報を取り込むために使われるユーティリティだ。注意:当社の古い検知で大半のファイルが検知される。

 接続されたPCからは、以下の詳細情報を取り込む。

  •   ブラウザのパスワード(Firefox、Chrome、IE)
  •   PCのWi-Fiのパスワード
  •   PCのネットワーク情報

 このアプリケーションは、取り込みたい情報の選択肢をユ―ザに提示する。

USBCleaver

USBCleaver

USBCleaver

 ユーティリティを実行するため、サンプルは/mnt/sdcardにautorun.infとgo.batを作成する。デバイスをWindowsコンピュータに接続すると、autorunスクリプトが発動する。続いてスクリプトはバックグラウンドで黙ってgo.batファイルを起動し、次にusbcleaver/systemフォルダのファイルを実行する。

 収集された詳細情報は、Androidデバイス上の/mnt/sdcard/usbcleaver/logsに保存される。アプリケーションのユーザは「Log Files」ボタンをクリックすると、PCから取得した情報を参照できる。

USBCleaver

 PCを感染させる機能があるAndroidのトロイの木馬が報告されたのは、これが今年初めて、というわけではない。この「特徴」を持つトロイの木馬型のアプリケーションファミリーは、当社ではSscul(2013年第1四半期のMobile Threat Reportで言及)として検出済みだ。

 しかし遠隔からの盗聴に、より焦点を合わせているSsculマルウェアと異なり、USBCleaverは後日潜入を試みる際の一助とすべく詳細情報を収集することで、標的型攻撃を円滑に進められるように設計されたように見える。

 運が良いことに、USBCleaverのWindows感染ルーチンは、ここ2年間の標準的なセキュリティ勧告に沿った簡単な方法でブロックできる。デフォルトでautorunを無効にする方法だ(これはすでにWindows 7マシンでは標準になっている)。別の軽減要因として、大半の古いWindowsシステムの場合、この攻撃を機能させるには、手作業でモバイルドライバをインストールする必要がある点が挙げられる。

—————

Yehが分析

クローズアップ現代のいう"巧妙"とは?

先月(2013年6月6日)にNHKで放送されたクローズアップ現代では「国家の“サイバー戦争”〜情報流出の真相〜」というタイトルで国家間のサイバー戦争が取り上げられました。
放送内容はNHKのサイトで読めるようになっています。

番組の中で、私が調査したウイルスが仕事に関係する文書を巧妙に装っていたとして紹介されました。
malwarename

「こんなのひっかかるやつのレベルが低い!」と思われるかもしれませんが、これは解析環境上での表示であって、実際に被害者が目にする表示ではありません。

例えば、Windows 7をデフォルト設定で使っている人のPCでは次のように表示されます。
この中でどれがウイルスなのかわかりますか?
malwares

ファイルの種類がアプリケーションやスクリーンセーバーとなっているものは明らかにウイルスです。malwares_detail

実行ファイル(exeファイル)を使用した攻撃は今でも頻繁に行われています。
(一年ほど前にも同様の手口をエフセキュアブログで紹介しています。)

このような昔ながらの手口がいまだに使われているということは、まだまだ引っかかる人がいるということを意味しているのでしょうね。

「Red October」のような攻撃を防御する

 Red Octoberと呼ばれる標的型攻撃作戦は、企業セキュリティの前線で働く人々に興味深い問題を提起した。自身の組織に対するこうした攻撃は、どのように防御すべきだろうか?良い知らせがある。少なくともRed Octoberのような作戦に関しては、すでに長期間に渡って情報が得られている。

 技術的な観点からすると、Red Octoberを用いた標的型攻撃は、企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者に必要なのは、関心を持ちそうなドキュメントをユーザにクリックさせることと、そのときドキュメントの閲覧に使われるプログラムが、攻撃に対して脆弱であることだ。その後、ディスクに対するペイロードの書き込みをシステムが許し、さらにその後にペイロードがC&Cサーバと通信できる必要がある。

 したがって攻撃をくじくには、我々は防衛側として、いずれかの段階を阻止できなければならない。そうすれば、クリーンアップの必要はあるかもしれないが、データ窃盗の観点からは攻撃は失敗する。

 まず最初の、そして最も明らかな防護は、もちろんユーザ教育だ。全ユーザは外部の情報源からくるドキュメントに対しては、すべて疑いの目を持つように訓練されるべきだ。その相手がドキュメントを送付してくることを予期していないのなら、なおさらだ。しかし残念ながら、削除すべきものを開くには、一瞬の不注意があればいい。つまり教育単独では不十分だ。

 防護の第2階層は、もちろん企業のセキュリティ・ソフトウェアを更新し、適切に構成することだ。当社のエフセキュア クライアント セキュリティはRed Octoberのエクスプロイトのペイロードによって実行されるアクションについて警告をしてきただろう。だが忘れてはならない重要な点は、現代のセキュリティ・ソフトウェアにもっとも効率を発揮させるには、そのソフトウェアがバックエンドのサーバと対話できるようにしなければならないことだ。企業がブラウザのインターネット接続を許す一方で、ワークステーションのセキュリティ・ソフトウェアがリアルタイム防護ネットワークの一部になるように構成されていないというのは、非常によくある状況ではあるが、もどかしいものだ。

 防護の第3階層は、マイクロソフトのEMETを使うことだ。このアプリケーションはメモリ・ハンドリングを堅固にし、エクスプロイトを軽減するツールだ。我々はEMETが有効になり、推奨の設定値が用いられた環境で、Red Octoberに関連するエクスプロイト・ファイルを実行してみた。その結果、エクスプロイトは停止され、システムを乗っ取ることはできなかった。

EMET, Red October

 防護の第4階層はマイクロソフトのApplockerを使用して、署名がなされていないファイルや、あるいはシステム管理者に馴染みがなく信頼していないファイルの実行を阻止することだ。Applockerを用いると、Windows XPでは%programfiles%\Windows NT\svchost.exe、またWindows VistaやWindows 7では%appdata%\Microsoft\svchost.exeに放り込まれたペイロードは実行できなくなる。

 防護の第5階層は、DNSのホワイトリストを使うことだ。ユーザからの初回の問い合わせ時に、既知のドメイン名のみ、プロンプトなしでの名前解決を許可する。より望ましくはCAPTCHAも併用する。我々は企業への既知の諜報攻撃で使用されるC&Cのドメインを調査してきたが、エクスプロイトによるC&C通信を阻止する目的において、DNSのホワイトリストは最大99%の有効性がある。

 ここに挙げた方法をもっと知りたい場合や、当社の製品を用いることに加えて他にどういったことをお勧めしているかに興味がある場合には、マルウェアや標的型攻撃に対する、情報や企業のセキュリティ強化に関するプレゼンテーションのスライドを読むことを提案する。

 「Making Life Difficult for Malware (PPTX)」は元々2011年10月のt2 infosec conference(訳注:フィンランドで開催されている技術志向の情報セキュリティのカンファレンス)にて、また後に2012年5月のBlackhatにて発表された。これは標的型その他のエクスプロイト・ベースの攻撃に対して、OSやアプリケーションを技術的に強化する方法を扱っている。

 「Protecting against computerized corporate espionage (PPTX)」は最初は2012年のt2で発表され、標的型攻撃に対して組織内でもっと回復力を持たせて運用するには何をすべきかについて取り上げている。

@jarnomn

Internet Explorerの複数のバージョンにいまだ脆弱性あり

 1週間前は、マイクロソフト社がただちにInternet Explorerの最新の脆弱性に対するパッチを用意するかは、まだ明らかになっていなかった。

Microsoft Security Advisory 2794220
マイクロソフトのセキュリティアドバイザリ(2794220

 今では、当該パッチは1月のセキュリティ・アップデートには含まれなかったことが分かった。これで定例外でパッチが出る可能性が持ち上がった。とはいうものの、まだ限定的なエクスプロイトしか見られない(標的型攻撃の報告については現在調査中)。

 以前のガイダンスを繰り返し示す。

 Windows 7なら、Internet Explorerのバージョンを9以上にアップデートする。

 個人でXPを使っている場合には、Mozilla FirefoxやGoogle Chromeなど他のブラウザをインストールすることをお勧めする。

 XPとIE 8の使用が求められる、企業や他組織のユーザには、マイクロソフトはFix itツールを入手できるようにした。

 詳細はこちら。「Microsoft "Fix it" available for Internet Explorer 6, 7, and 8

Gauss:オリンピックの最新イベント

  Kaspersky Labの人々が最新の「国民国家が支援する」発見を昨日明らかにし、それを…Gaussと呼んでいる。そのように名付けられたのは、その「モジュールがクルト・ゲーデル、ヨハン・カール・F・ガウス、J・ラグランジュといった著名な数学者、哲学者に敬意を表しているらしい内部名を有している」からだ。

  Gaussは「Flame」の調査中に発見されたものだ。それ自身、Stuxnetと関連があり、「Olympic Games」というコード名を持つ米国の諜報プロジェクトの一環だった。

  興味深い。

  以下は、Gaussに関するその他の興味深い点だ。

  分析によれば、Gaussはレバノンの銀行をいくつか標的にしており、(バンキング型トロイの木馬が行うような)トランザクションのモニタを行う。

  4月に掲載されたWall Street Journalの記事との関連で考えると、かなりのものだ。

U.S. Probes Lebanon Banking Deals

  そのほかに注目に値する点は、Gaussはアンチウイルスソフトが存在する場合、自身をインストールしない、ということだ。

  またGaussは、Windows 7 SP 1を好まない。

Gauss exits if Antivirus is found.
ソース:Kaspersky Lab [PDF]

  次にちょっとした、こんな情報がある:

Gauss Traffic Encryption, ACDC
ソース: Kaspersky Lab

  ACDC?

  それがミッコの注意をひいた。




  最後に、Olympic Gamesの報道の展開を見る限り、我々のように「偏執的な」傾向のある人々は、イランの資金2500億ドル相当のロンダリングをしていると言われる、スタンダード・チャータード銀行に関するWall Street Journalの8月6日の記事に対して、新しい見方をしてしまう…

N.Y. Regulator Accuses Standard Chartered of Illegal Transfers

  WiredのKim Zetterが、Kasperskyの調査結果を上手くまとめている。FlameおよびStuxnetの親類がレバノンの銀行の顧客を標的に不可解なペイロードをもたらす

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳)

遅ればせながら、2011年11月29日にフィンランドの本社が発表したニュース "A Growing and Diverse Device Market Presents New Security Challenges in 2012" を翻訳してみました。(注: 一部超訳してあります)

20111213_blog


続きを読む

「Windows Server 2008」を使用している? ならばパッチを。

  今月のMicrosoft Updateには、興味深い脆弱性が含まれている:

MS11-083
マイクロソフト セキュリティ情報 MS11-083

  「このセキュリティ更新プログラムは非公開で報告されたMicrosoft Windowsに存在する1件の脆弱性を解決します。この脆弱性により、攻撃者が対象システムの閉じられたポートに特別な細工をしたUDPパケットの連続フローを送信した場合、リモートでコードが実行される可能性があります。」

  UDPパケットの連続フロー? なるほどリモートでのコード実行だ。

  これはWindows Vista、Windows 7およびWindows Server 2008に影響を与える。幸い、大部分のVistaと7は、同社の自動アップデートにより、すぐに修正されるだろう。しかしServer 2008は? サーバ管理者は、リスタートが必要なアップデートを予定に入れる必要がある。このアップデートはなるべく早く行った方が良い。

  Microsoftは「不安定なエクスプロイトコードの可能性」のみを予測している。しかしこの脆弱性の重大な性質を鑑み、適用のプライオリティをトップにするよう忠告している。詳細は便利な表を見て欲しい。

  「このセキュリティ更新プログラムは非公開で報告された脆弱性を…」

  これはおそらく、Microsoftのバグ報奨金プログラムのことを行っているのだろう。この情報をブラックマーケットではなく、Microsoftに報告した正義の味方に称賛を。

—————

  UDPジョークの一番良いところは、相手が受けとろうが、受けとるまいが、こちらはどうでもいい、ということだ。

Windows XP

  現在の主要なコンピュータオペレーティングシステムを比較してみよう。我々にはWindows XP、Windows VistaおよびWindows 7がある。さまざまなLinuxディストリビューションがある。そしてMac OS Xがある。

  これらのうち明らかに、Windows XPのセキュリティが最も弱い。

  そしてWindows XPのマーケットシェアは最大でもある。世界的に見て、全コンピュータの半数近くが現在もXPを使用している。

  そして今日、Windows XPは10年目を迎えた。

  10年はこの業界では非常に長い時間だ。だからXPのセキュリティアーキテクチャが最新で無いのは無理もない。

  その結果、攻撃者達が他のオペレーティングシステムを標的に、時間や金を費やすのは「愚か」としか言いようが無い。この巨大で簡単に手に入る標的がある限り、そうすることは理にかなわぬことだ。

  明らかにXPは退場しつつある。以下のチャートから分かるように、Windows 7が近い将来XPを追い越し、最も一般的なオペレーティングシステムとなるだろう。

Operating system market shares (c) Statcounter

  そしてXPのマーケットシェアが十分に少なくなった時、攻撃者達は周囲を見回し始める必要がある。ある者はWindows 7にフォーカスするだろう。そして他の者はOS XやAndroid、iOS等に目を付けるだろう。

  攻撃者達がこれほど恵まれていたことはかつて無い。最も容易な標的は、最も一般的な標的でもある。これはそう簡単に変わることは無い。

  今日は良き行いをしよう。XPをアンインストールせよ。

「Update Rollup 1 for Windows XP SP3」は入手できますか?

Microsoft殿

  我々のあるパートナーが、苦痛を感じています。このパートナーは中央ヨーロッパに本拠地を置いており、そのカスタマの中にはハードウェアの予算が限られている所もあります。それで… 結局、多くのWindows XP SP3をインストールすることになるのです。(ええ、Windows 7がクールであることは分かっていますが、正しいのは常に顧客であり、彼らが欲するものを与える必要がありますから。)

  そして苦痛が生じるのはそこ、すなわち「Windows/Microsoft Updates」です。

  SP3後のアップデートは沢山ありますが、それらをインストールするのには多大な時間がかかります。それはパートナーの生産性、すなわち利益の減少につながります。

  我々のバーチャルマシンテスト画像の一つをチェックしてみたところ、SP3後のアップデートが157個インストールされていました。そしてそれは、極めて基本的なインストールです(計算機さえインストールされていません)。

Review_your_update_history

  「Service Pack 3 for Windows XP」は基本的に「更新ロールアップ」であり、「SP4」はおそらく、オプションではないことは分かっています(マーケティング的な理由のため)…

Windows_XP_software_updates

  しかし、もしかしたら貴社は、「Update Rollup 1 for Windows XP SP3」を検討されるのでは? それは(自分達の手段の範囲内で)セキュアなシステムを構築、設定、維持するべく努力している人々にとって、非常に役立つでしょう。

  Windows XPの延長サポートの終了まで、2年半以上あります… そのインストールベースは縮小していますが、世界にはまだ同OSを使用している顧客が大勢います。我々の要望について考慮して頂けると幸いです。経済状況の厳しい現在、中小規模の企業は貴社が与えうるあらゆる援助を必要としているのです。

よろしくお願い致します。
エフセキュアラボ

Krebs/Danchevトロイの木馬がアダルトサイトをプッシュ

  徹底したマルウェア分析は、現実の状況により、制限されることが多々ある。

  我々が分析するトロイの木馬の多くは、さらなるインストラクションのため、リモートサーバに接続しようとする。我々はここまでで、そのソフトウェアが合法的なものではなく、カスタマのコンピュータでインストールされないよう、ブロックすべきだと分かる。それ以上、そのソフトウェアを調べる必要な無い(それにしばしば、サーバはオフラインだ)。しかし、そのトロイの木馬が、リモートマスタにアクセスするだけである場合、それは何をするのだろうか?

  我々は孤立したネットワークでマルウェアをテストするため、オートメーションを使用している。通常、実際のインターネット接続でマルウェアのテストをすることは無い。世界のネット市民へのエクスポージャーを制限したいからだ。しかし時折、我々の興味をひくケースがあり、手動のテストを行うことがある。

  たとえば先週の木曜日に記事にした、以下のミューテックスを作成するトロイの木馬などだ:

DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED

  我々が最初、このトロイの木馬に遭遇した際、そのサーバ「fatgirlsloveme.com」はオフラインで、2日後に始動した。

  そこで我々はWindows 7テストコンピュータを設定して「Trojan-Downloader:W32/Agent.DTBM」に感染させ、インターネットに接続し、「Internet Explorer」を開いた。

  Bingで検索すると、ポップアップウィンドウが開き、以下のWebサイトをプロモートした:

www.russiansexbrides.com

  ロシアのセックスブライド?

  アダルトサイトのポップアップ?

  もう少し興味深いものを期待していたのに。あーあ…

  同サイトはマーケティング活動の一部として、アフィリエイトを使用しているようには見うけられない。このトロイの木馬の作者が、サイトオーナーであるThunder Road社とどのような関係があるのかは不明だ。

www.russiansexbrides.com Whois

  同トロイの木馬はまだ広まっていないが、エフセキュアカスタマの統計では、それが現在インザワイルドでアクティブであることが分かっている。

我々の知る限りSamsungラップトップにキーロガーは無い

  「Network World」が、Samsung Electronicsがデフォルトで、ラップトップにWindowsキーロガーをインストールしているとする記事を発表した。Samsungのサポートまでが、「マシンのパフォーマンスをモニターし、どのように使用されているかを見る」ため、商用のStarLoggerキーロガーがデフォルトでインストールされていると言って、これを認めたようだったため、騒動が巻き起こった。

  こういうことは、少々信じがたい。「エフセキュア アンチウイルス」はStarLoggerを(「Trojan.Generic.5223315」として)検出している。他の多くのアンチウイルスベンダも同様だ。我々はStarLoggerの報告のピークは見ていない。

  これらの主張を否定する声明が「samsungtomorrow.com」に掲載されている。しかし、このサイトは公式なSamsungサイトではないようだ。

  では、どうするべきか? 我々は地元のITストアに行き、何台かのSamsungラップトップをチェックしてみた。

Samsung Laptops

  いや、我々はテストしたラップトップから、StarLoggerも、他のいかなるキーロガーも発見できなかった。それにはSamsungの「R540」「RF710」「QX310」「SF510」「X125」および「NF310」が含まれる。これらのモデルはみな、異なるバージョンのWindows 7を搭載していた。リストに「Samsung R540」が含まれていることに注意して欲しい。これは「Network World」の記事で指摘されていたラップトップモデルの一つだ。

  要約すれば、そうでないと証明されるまで、我々はSamsungがデフォルトでラップトップにキーロガーをインストールしてきたという話は信じない。

  「Verkkokauppa.com」のEero Järvilehtoの助力に感謝する。

P.S. 今回のケースとSonyルートキットのケースとの類似点を感じる人もいるかもしれない。しかし、Sony BMGは有罪だったが、Samsungは無罪だと我々は確信している。

追記:Samsungが無実であることが確認された。我々のアップデート記事はここにある。

USBオートランを制限する:Windows用アップデート(KB971029)

  Microsoftによる昨日のオプショナルソフトウェアアップデートには、Windows XP/Vista/non-Windows 7用のアップデート(KB971029)が含まれている。

KB971029

  これは「AutoPlayダイアログでのAutoRunエントリを、CDおよびDVDドライブのみに」制限する「重要な非セキュリティアップデート」だ。

  素晴らしい。これはAutoRunワーム抑制するのに実際役立つだろう。もし古いWindowsコンピュータを使用しているなら、このオプショナルアップデートを適用することを強くお勧めする。

  「update.microsoft.com」にアクセスし、「Custom」アップデートを選択する必要がある。

Express and Custom

  そして「Software, Optional」カテゴリで「KB971029」を見つけることができる。

Optional software updates

  このアップデートは、AutoPlayダイアログでUSB AutoRun機能を制限する。さらなる処置をとりたいなら、AutoPlayを完全に無効にすることだ。ここおよびここで、このトピックに関する記事をご覧頂きたい。

2011年初のWindows脆弱性

  新しい年にWindowsの新しい脆弱性が登場した。昨日Microsoftは、「最近発見された」脆弱性の調査を行っていることを認めた。同脆弱性のエクスプロイト・コードは既に入手可能であると報告されている

  セキュリティアドバイザリによれば、この脆弱性はWindows Graphics Rendering Engineを含んでいる。影響のあるWindowsのバージョンは各種XP、Vista、Server 2003およびServer 2008だ。Windows 7は影響を受けない。

  同脆弱性の悪用には、特別に作成されたサムネイル画像(フォルダもしくはプログラム)が必要だ。エクスプロイトが成功すると、攻撃者がそのコンピュータのコントロールをほぼ奪うことになる。

注意;ブービートラップを仕掛けられたサムネイルがサイトにあるか、電子メールで送られてきたかに関わらず、感染にはユーザがアクティブにそのサイトを訪問するか、メール内のリンクをクリックする(あるいは添付ファイルを開く)必要があるため、安全なサーフィンおよびコンピュータ使用に関する標準的な予防策はまだ有効だ。

  影響を受けるバージョンのユーザに対し、アドバイザリはパッチがリリースされるまで、少なくとも「既知の攻撃ベクタをブロックするのを助ける」回避方法を用意している。あるいは、新たな始まりにふさわしい新年ということもあり、Windows 7へのアップグレードを考える良い時期かもしれない。

  定例外のアップデートリリースが出されるようではないので、最短でパッチが入手可能になるのは1月11日の可能性がある。注目していてほしい。

メリー・クリスマス & ハッピー・セキュリティアドバイザリ 2488013

  パッチを当てていないInternet Explorer 6、7および8の脆弱性が存在する。ドライブバイエクスプロイテーションにより、リモートコードの実行が可能になる。Metasploitは既に、活用可能なモジュールを有していると報告されている。「SANS Diary」に簡潔な記事が掲載されており、MicrosoftのSecurity Response Centerは、さらに詳細を掲載している。

  もしあなたがこの週末にかけて家族と過ごし、誰かがサンタから新しいコンピュータを受けとり、そしてそのコンピュータはデフォルトでIEを使用していないなら、Windows 7のInternet Explorerターンオフオプションを試してみてはいかがだろう?

Turn Windows features on or off

  使用しければ、無駄になってしまう。

  エフセキュアラボは、皆さんが安全で楽しい休日を過ごされることをお祈りしている。

  ここヘルシンキでは、ホワイトクリスマスだ(そして摂氏マイナス21度、華氏マイナス6度と寒い。)

The view from F-Secure's Helsinki headquarters

  Hyvää joulua(メリー・クリスマス)

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード