エフセキュアブログ

hydra を含む記事

Dridexの解体

 先日、英国NCA(National Crime Agency、国家犯罪対策庁)はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

 Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている(Trojan:W97M/MaliciousMacro.GEN)。

 当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

 当社の顧客は、Hydra(スキャンエンジン)およびDeepGuard(ビヘイビアベース)の両技術にて守られている。

Virus and spyware history Trojan:W97M/MaliciousMacro.GEN
Trojan:W97M/MaliciousMacro.GENの検知

F-Secure Internet Security, Harmful file removed
害のあるファイルが削除された

 一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

F-Secure Internet Security, Application blocked
不正なビヘイビアのためにブロックされたアプリケーション

 Wordドキュメントが実行ファイルをドロップするって?そうだ、それに良いことなんか1つもない。

 Q:こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか?
 A:当社では分からない。

誤検知:Exploit:JS/HuanJuanEK.A

 たった今、当社は誤検知を修正した。数多くのクリーンなWebサイトのコンテンツをExploit:JS/HuanJuanEK.Aとしてしまっていた。

 誤検知が起きるデータベースは、F-Secure Hydra 2014-12-31_02である。F-Secure Hydra 2015-01-01_01には修正がなされており、すでに公開もされている。この誤検知は、WebサイトからダウンロードされたコンテンツをスキャンするWeb Traffic Scanning機能にのみ影響を及ぼす。いまだこの検知が認められるようなら、最新のアップデートを受け取っているか確認をお願いしたい。

Hydra update

 ご面倒をかけて申し訳なく思う。それはそうと、皆様明けましておめでとう!

 -- Antti

Exploit.PDF-Dropper.Gen

  ラボは現在、PDFエクスプロイトを転送するスパムが出回っているのを確認している。

  そのメールは以下のようなものだ:


   From: random addresses
   To: random recipients
   Subject: New Resume
 
   Please review my CV, Thank You!
 
   Attachment: resume.pdf


  このPDF添付ファイルは、昨日の記事で紹介した重大なFlash脆弱性を利用してはいない。その代わり、PDF/launch機能を使用しようとしている。

  現行の脆弱性を使っていないため、このスパムのタイミングは少々奇妙だが、おそらく、この特定の方法を使用しているギャングたちは、Adobe Readerをアップデートする大きな動きが、まもなくやってくることを知っているのだろう。Adobe Readerの現行バージョンは、Trust Manager機能を含んでおり、このギャングたちにとっての絶好の機会は、すぐに制限されることになるだろう。

  エフセキュアは「インターネット セキュリティ 2010」で既に、この脅威を「Exploit.PDF-Dropper.Gen」として検出している。

  このPDFのMD5は「cff871a36828866de1f42574be016bb8」だ。動作すると、このエクスプロイトはalureon/dnschanger trojanをドロップする。

  我々のテレメトリーによれば、数千のカスタマが既に同エクスプロイトにさらされている。ペイロード上ではノーヒットであり、我々のジェネリックな検出が、この脅威をブロックしていることが分かっている。

  添付ファイル/ペイロード用のHydra検出は、バージョン2010-06-08_03のデータベースで公開された。

追記:以下は同PDF添付ファイルのスクリーンショットだ。このPDFは、インターネットから取り出されたresume/CVをベースとしており、/launchプロンプトはかなり派手だ。

Pidief.CPY

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード