Author Archives: Hacker Medic

????????????????????????

      No Comments on ????????????????????????

寄稿: Avdhoot Patil

フィッシングサイトの裏では、ユーザーを誘い込み、個人情報を渡すようにそそのかす手口が次々と生み出されています。そこでよく使われているのが、偽装したソーシャルネットワークアプリケーションです。

先月の統計では、フィッシング全体の 8.6 パーセントがソーシャルメディアサイトで行われたものでした。そのうち 0.8 パーセントを占めていたのが、無料携帯通話時間、アダルト動画、ビデオチャット、アダルトチャットなどを謳い文句にした偽装アプリケーションです。

2013 年 3 月、フィッシング詐欺師は、無料 Web ホスティングサイトにフィッシングサイトを置き、偽のアジア系チャットアプリケーションを立ち上げました。

fig1.jpg

図 1. ソーシャルネットワークサイトを偽装したフィッシングページ

このフィッシングサイトは有名なソーシャルネットワークサイトを偽装しており、タイトルには「Pakistani chat room – Pakistani girls & boys chatting room(パキスタン人チャットルーム – パキスタンの男女のためのチャットルーム)」とあります。ページの右側には、チャットルームへの参加方法が稚拙な英語で書かれています。それによれば、ログイン情報を入力すると、パキスタンやインドの女性と無料でチャットできるようになるそうです。また、国内や海外の友だちを探してチャットする機能もあると書かれています。実際には、次のページに進むと、パキスタン、インド、アラブを含むアジア系向けを装った偽のチャットページが現れます。

おなじみのアプリケーションを備えた偽装サイトにリダイレクトするという手法は、ユーザーを信じ込ませるためにフィッシングサイトではよく使われるものです。このサイトの場合、インドの映画女優の壁紙に混ざって、偽のチャットルームへのリンクが仕掛けられています。この撒き餌に食いつくと、ログイン情報がまんまと盗まれてしまうわけです。

fig2.jpg

図 2. 偽装チャットサイト。個人情報を入力すると、ここにリダイレクトされる

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートンインターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Targeted Attacks the Next Step in Mobile Malware

      No Comments on Targeted Attacks the Next Step in Mobile Malware

The Android threat landscape continues to evolve in 2013. To distribute Android threats, malware authors are transitioning away from attacking traditional vectors like the Google Play Market and third-party Android markets to vectors like spam and phishing emails and SMS. Recently a new information-stealing Android malware was found being distributed as an attachment in emails Read more…

Bogus Asian Chat App Steals Login Information

      No Comments on Bogus Asian Chat App Steals Login Information

Contributor: Avdhoot Patil
New methods to entice victims into handing over their personal information are always being devised by the people behind phishing websites and the use of fake social networking applications is always popular.
During the past …

Botnets Remain a Leading Threat

      No Comments on Botnets Remain a Leading Threat

One threat has evolved and dominated the threats landscape like no other: botnets. Practically every day a new set of online criminals attempt to exploit users in some way or the other. The best way to stop this threat at the perimeter is to identify its communication channel and block the bot from connecting to Read more…

Botnets Remain a Leading Threat

      No Comments on Botnets Remain a Leading Threat

One threat has evolved and dominated the threats landscape like no other: botnets. Practically every day a new set of online criminals attempt to exploit users in some way or the other. The best way to stop this threat at the perimeter is to identify its communication channel and block the bot from connecting to Read more…

???????????????????????Ransomlock ??????

      No Comments on ???????????????????????Ransomlock ??????

マルウェアの多くは、自身を変化させる機能を持っています。侵入先のコンピュータに自身をコピーするときにセキュリティソフトウェアの目を逃れること、あるいは解読したメモリ領域を実行したり解読したメモリ値を読み取ったりしてマルウェアを解析しようとするエンジニアの試みを阻害することが目的です。今回のブログでは、メモリを共有して自身の姿を変えるトロイの木馬の動作について説明します。

マルウェアのプロセスは、図 1 の赤線のように進みます。

new ransomlock 1 edit.png

図 1. 脅威のプロセスを示すコード
 

ebx-4 というアドレスは、.data セクションの先頭を示しています。初期状態では、ebx-4 は 0 なので、31h や 32h と比較すると失敗になります。

コードによってアドレス ebx-4 に 31h が書き込まれると、トロイの木馬は自身のファイル名を使って WinExec 関数を実行し、自身を実行します。次に、ExitProcess 関数を使って自身を終了します。実行時には ebx-4 の値が常に 0 なので、プログラムは単に実行と終了を繰り返しているだけのように見えますが、実際には悪質な処理を実行しています。ここが、このマルウェアの巧妙なところです。

 

ファイル構造

このファイルのサンプルには、以下のような構造の .data セクションがあります。
 

new ransomlock 2.png

図 2. ファイルサンプルの構造
 

Characteristics の rw- d0000040 は異例な構成で、以下のように設定されています。
new ransomlock 3 edit.png
IMAGE_SCN_MEM_SHARED 設定が行われているのでメモリ値が共有されています。

 

実際の動作

このマルウェアが初めて実行されたときには、アドレス ebx-4 が 0 のため、コードはこのアドレスに 31h を書き込んで自身を再実行します。再実行されたときには、ExitProcess の実行前なので、このアドレスで 31h を保持しているメモリが共有されます。
 

new ransomlock 4 edit.png

図 3. 再実行されるとプロセスは異なるルートを進む

 

新しく実行されたプログラムはこのアドレスに 32h を書き込み、自身を実行します。新しいプログラムは、このアドレスで 32h を保持しているメモリを共有します。
 

new ransomlock 5 edit.png

図 4. プロセスが復号ルーチンに達する
 

アドレスが 32h なので、プログラムは _decrypt 関数を実行し、暗号化されたコードを復号したうえでアドレス esi にジャンプします。この動作を順に示すと、以下のようになります。

  1. Windows でファイルがロードされる。
  2. アドレスはファイルの初期値として 0 をとる。
  3. 値を 31h に書き換える。
  4. 自身を実行する。
  5. Windows で共有メモリを除くファイルイメージがロードされる。元のファイルのディスクイメージでは 0 のまま。
  6. 値 31h でプログラムが実行される。
  7. 最初のプロセスを終了する。
  8. 値を 32h に書き換える。
  9. 自身を実行する。
  10. Windows で共有メモリを除くファイルイメージがロードされる。元のファイルのディスクイメージでは 0 のまま。プログラムが復号ルーチンに達し、コンピュータが危殆化する。
  11. 2 度目に実行されたプロセスを終了する。

new ransomlock 6.png

図 5. 実行順で示した動作
 

サンドボックスでのプロセスの動作

攻撃者は、自動の脅威解析システムから悪質な動作を隠そうとしていると考えられます。自動の脅威解析システムを搭載している 8 つの Web サイトにサンプルファイルを送信してみたところ、結果は以下のとおりでした。

  1. ThreatExpert では、ファイルの作成、レジストリの改変、予想外のネットワークアクセスが記録されました。この結果からこのサンプルの動作を特定し、マルウェアであると判定しました。
  2. 3 つの Web サイトでプロセスの実行が記録されましたが、そのほかの異常はありませんでした。
  3. 残る 4 つの Web サイトでは、何も記録されませんでした。

自動の脅威解析システムは、図 5 の赤い枠線で示したセクションしか監視していないようです。このタイプの特殊コードが自動の解析システムをすり抜けることは、たびたび確認されています。

シマンテックは、このタイプの悪質なコードと手口を引き続き監視していく予定です。疑わしいプログラムは実行しないようにし、オペレーティングシステムとウイルス対策ソフトウェアは最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Netflix Slow Today? Global “Biggest Attack Ever” May Be to Blame

      No Comments on Netflix Slow Today? Global “Biggest Attack Ever” May Be to Blame

Users experienced widespread delays and outages in Internet service around the world this week after a group called Spamhaus made a new addition to its spam blacklist—a Dutch company called Cyberbunker. Email service providers (like Gmail or Hotmail) use blacklist services like Spamhaus to separate likely spam messages from legitimate mail, and as it turns Read more…

New Ransomlock Variant Bypasses Automated Threat Analysis Systems’ Sandboxes

      No Comments on New Ransomlock Variant Bypasses Automated Threat Analysis Systems’ Sandboxes

A lot of malware modify themselves to either hide from security software when they copy themselves to the compromised computer or to hinder engineers attempting to analyze the malware by executing the decrypted memory area and reading the decrypted mem…

Online Safety for Kids – The App Your Kids are Using Now: Snapchat

      No Comments on Online Safety for Kids – The App Your Kids are Using Now: Snapchat

The #1 question asked by parents when I present for McAfee’s Online Safety for Kids program, is “Where do I go to find out information about what my kids are doing online?” It’s no secret that kids (especially teenagers) can be less than forthcoming about their online behavior. That’s where I come in. I have Read more…