Author Archives: Hacker Medic

U.S. Law Firms Continue to be the Target of Counterfeit Check Scheme

      No Comments on U.S. Law Firms Continue to be the Target of Counterfeit Check Scheme

The IC3 continues to receive reports of counterfeit check schemes targeting U.S. law firms. The scammers contact lawyers via e-mail, claiming to be overseas and requesting legal representation in collecting a debt from third parties located in the U.S. The law firms receive a retainer agreement and a check payable… Read more »

?????????????Microsoft Patch Tuesday?- 2012 ? 2 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2012 ? 2 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月のパッチリリースは規模が大きく、21 件の脆弱性を対象として 9 件のセキュリティ情報がリリースされています。

このうち 6 件が「緊急」レベルであり、Internet Explorer、.NET、Windows、GDI がその影響を受けます。その他の脆弱性は、Internet Explorer、Windows、Visio、SharePoint に影響します。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 2 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-feb

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS12-010 Internet Explorer 用の累積的なセキュリティ更新プログラム(2647516

    CVE-2012-0010(BID 51931)Microsoft Internet Explorer のコピーと貼り付けの操作にクロスドメインの情報漏えいの脆弱性(MS の深刻度: 警告/シマンテックの重大度: 6.7/10)

    Internet Explorer におけるコピーと貼り付けの操作に影響する、クロスドメインでの情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、攻撃者自身が制御するページのコンテンツを標的となるページにコピーすることができます。漏えいした情報は、さらに別の攻撃に利用されることがあります。

    対象: Internet Explorer 6、7、8、9

    CVE-2012-0011(BID 51933)Microsoft Internet Explorer(CVE-2012-0011)にリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.1/10)

    正しく削除されていないオブジェクトの処理方法が原因で Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

    対象: Internet Explorer 7、8、9

    CVE-2012-0012(BID 51932)Microsoft Internet Explorer の Null バイト処理に情報漏えいの脆弱性(MS の深刻度: 重要/シマンテックの重大度: 6.7/10)

    プロセスメモリが適切に保護されないことにより Internet Explorer に影響する、情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。漏えいした情報は、さらに別の攻撃に利用されることがあります。

    対象: Internet Explorer 9

    CVE-2012-0155(BID 51935)VML にリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.1/10)

    正しく削除されていないオブジェクトの処理方法が原因で Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

    対象: Internet Explorer 9

  2. MS12-016 .NET Framework Microsoft Silverlight の脆弱性により、リモートでコードが実行される(2651026

    CVE-2012-0014(BID 51938)Microsoft Silverlight と .NET Framework のアンマネージオブジェクトにリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.5/10)

    アンマネージオブジェクトが適切に処理されないことが原因で Microsoft .NET Framework と Silverlight に影響するリモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。また、攻撃者はこの脆弱性を悪用して、共有ホスティング環境などにおいて、脆弱なサーバーに悪質なコードをアップロードする場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーまたは影響を受けるサービスのコンテキストで実行されてしまいます。

    CVE-2012-0015(BID 51940)Microsoft Silverlight と .NET Framework にヒープ破損によるリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.5/10)

    バッファのサイズが適切に計算されないことが原因で Microsoft .NET Framework と Silverlight に影響するリモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。また、攻撃者はこの脆弱性を悪用して、共有ホスティング環境などにおいて、脆弱なサーバーに悪質なコードをアップロードする場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーまたは影響を受けるサービスのコンテキストで実行されてしまいます。

  3. MS12-013 C ランタイムライブラリの脆弱性により、リモートでコードが実行される(2654428

    CVE-2012-0150(BID 51913)Microsoft Windows の ‘Msvcrt.dll’ にリモートバッファオーバーフローの脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.1/10)

    ユーザー指定の入力が適切にバウンドチェックされないことが原因で msvcrt DLL ライブラリに影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、特別に細工されたメディアファイルを開かせるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

  4. MS12-008 Windows カーネルモードドライバの脆弱性により、リモートでコードが実行される(2660465

    CVE-2011-5046(BID 51122)Microsoft Windows の ‘win32k.sys’ にリモートからのメモリ破損の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 9.2/10)

    Windows カーネルの GDI コンポーネントに影響する、リモートコード実行の脆弱性がすでに知られています(2011 年 12 月 19 日)。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質な Web ページを閲覧させたり悪質な電子メールを開いたりするよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、カーネルのコンテキストで実行されてしまいます。これによって、システムが完全に危殆化する場合があります。

    CVE-2012-0154(BID 51920)Microsoft Windows カーネルの ‘Win32k.sys’ によるキーボードレイアウトにローカル特権昇格の脆弱性(MS の深刻度: 重要/シマンテックの重大度: 6.6/10)

    一部のキーボードレイアウトの管理方法が原因で、Windows カーネルに影響するローカル特権昇格の脆弱性が存在します。ローカルの攻撃者はこの脆弱性を悪用して、カーネルレベルの特権で任意のコードを実行できる場合があります。これによって、システムが完全に危殆化する場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

SMS ?????????? Android ?????????

      No Comments on SMS ?????????? Android ?????????

シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。

少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。

 

詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。

実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。

しかし、このページは本物ではなく、このページからダウンロードされるアプリももちろん本物ではありません。以下に示したのは、同一のアプリケーションを数分間隔で 3 回ダウンロードした結果です。ファイルサイズが大きく異なることに注目してください。このサイトが、セキュリティソフトウェアによる検出をすり抜けるために、サーバーサイドポリモーフィズムを利用してパッケージの内容を変更していることが、この事実からわかります。3 つのファイルごとに差があるだけではなく、3 つのファイルのいずれも以前の亜種よりサイズがはるかに大きくなっていることも興味深い点です。以前の亜種は、サイズがおよそ 50 ~100 KB 程度でしたが、この図でわかるとおり、現在のファイルサイズは 1 MB 前後に膨らんでいます。サイズを大きくすることも、正規のアプリケーションらしく見せる手口と考えられます。機能の点では以前の亜種とまったく変わりがないので、ではいったいサイズが大きくなった原因は何なのでしょうか。

その犯人は、”resraw” フォルダに含まれるファイルです。以下の図に示したとおり、まったく同一の 24 KB のファイルが無数に存在し、それがパッケージを膨らませています。24 KB とは、ファイルをパッケージ解除した後のサイズである点に注意してください。3 つのパッケージの “resraw” フォルダに含まれるファイルの数は、それぞれ 3,544、3,748、2,664 でした。このファイル数にファイルサイズを掛け、圧縮解除の比率で計算すれば、各ファイルについて前述のようなファイルサイズになるということです。したがって、これらのパッケージが相互に一意性を持つ原因は、ひとえに “resraw” フォルダに含まれているファイル数の違いということになります。

しかも、これらのファイルには、以下の図のように意味のないテキストしか含まれていません。

SMS 詐欺に利用される悪質な Android アプリケーションの常套として、このマルウェアも SMS メッセージを送信する機能の許可を求めてきます。アプリケーションの実際の名前は、ダウンロードページにあるアプリケーション名ではなく “Installer” です。これも、この種のマルウェアに共通する特徴です。”Installer” という名前、あるいはこの単語のロシア語訳を見かけた場合や、アプリケーションが SMS 送信の許可を求める場合には、せっかく入手したはずのアプリケーションが正規のものではない可能性が高いと言えます。

今回のアプリケーションは、ロシア語を読めるユーザーを標的にしていますが、各種のマーケットやファイル共有サービスに混入したり、メールの添付ファイルとして利用されたりする可能性も、わずかながら残っています(あるいは最終的にそうなります)。したがって、スマートフォンにアプリケーションをインストールするときには常に注意が必要です。いつものことですが、アプリケーションは信頼できるソースからダウンロードするようにし、アプリケーションのインストール時に要求される許可にも注意を払うようにしてください。シマンテックのノートン モバイルセキュリティをお使いであれば、Android.Opfake としてブログで報告されている亜種からは保護されます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Waledac ???? 2012 ?????????????????

      No Comments on Waledac ???? 2012 ?????????????????

最近、あるボットネットの亜種(Kelihos)が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合(例外もあります)悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

メールの翻訳(概要訳)

「Rospres は今年、開設 5 周年を迎えます。

私たちは一貫して、入手できるかぎりの最新情報を完全な形でお伝えしようと努めてきました。今後も愛読者のみなさまのために尽力するつもりです。これからも当社 Web ポータルへのアクセスをお忘れなく。http://www.rospres.com/ へのアクセスを心より歓迎します。

みなさまのご多幸をお祈りします、Rospres より」

スパムメールに書かれている Rospres.com のリンク先は、Rospres.com のサイトに掲載されている、以下の図のような中傷記事です。このスパムメールに書かれたリンクが脅威の拡散に使われているという証拠は見つかっていません。Rospres.com のサイトには、政治家や財界人などロシア国内の著名人について中傷的と思える記事が多数掲載されています。

この記事で取り上げられているのは、オリガルヒ(ロシア新興財閥)のひとりに数えられる資本家であり、今年 3 月のロシア大統領選の無所属候補でもあるミハイル・プロホロフ氏です。今回の Waledac スパムによる攻撃が、Rospres.com サイトの宣伝を目的としているのか、それとも大統領選候補の個人的な中傷を狙っているのかは明確になっていませんが、W32.Waledac.C の亜種を操っているマルウェア集団の正確な動機を曖昧にする機能は果たしているようです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Office ????????????????

      No Comments on Office ????????????????

寄稿者: 中山雄克

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db を使う理由は、サムネイルビューの使用時に Windows によって作成される共通ファイルがこのファイル名であるためです。また、このファイルは、デフォルト設定ではコンピュータの標準ビューに表示されません。

シマンテックでは、この文書ファイルを Trojan.Activehijack として検出しています。この攻撃で悪用されている脆弱性についての詳細がわかり次第、その更新情報を提供する予定です。ユーザーの方々は、特に理由がない限り、電子メールに添付された .dll ファイルには用心してください。また、標的型攻撃を受けるリスクを低減するため、MS11-073 のパッチと最新のパッチをすべて適用することをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How Valuable Is Your Time?

      No Comments on How Valuable Is Your Time?

Do you remember that time my husband clicked on scareware? Or that story I tell about before I started blogging for McAfee, the kids downloaded a virus onto the computer that we couldn’t get rid of and we had to send the pc back to the store? I bet I never told you about how Read more…