Category Archives: Security Articles

Weak Passwords Can Cost You Everything

If your computer or mobile was hacked or your passwords were cracked and your data was lost or if all the websites you have an account with were hacked and all that information was the hands of a criminal, how devastated will you be? In McAfee’s study on the value of digital assets, consumers estimated Read more…

Operation Hangover の攻撃に関する Q&A

5 月 20 日、Norman 社と Shadowserver Foundation は「Operation Hangover」と題する詳細なレポートを共同で公開しました。このレポートは、インドから発信されていると思われる標的型のサイバースパイ攻撃に関する先日の ESET 社のブログに関連しています。シマンテックも先週この事案について短いブログを公開しましたが、以下の Q&A では、このグループについて特にシマンテックに関連のある追加情報をお届けします。

Q: シマンテック製品やノートン製品は、このグループによって利用されている脅威に対する保護を提供していますか?
はい。シマンテックは、ウイルス対策と IPS シグネチャ、さらには評価ベースや振る舞いベースの技術などの STAR マルウェア対策技術によって、Operation Hangover が関与する攻撃から保護しています。また、Symantec.cloud も、このグループによる標的型電子メールを検出します。

Q: シマンテックは Operation Hangover の活動に気づいていましたか?
はい。前回のブログでも指摘したように、複数のセキュリティベンダーがその活動を追跡していますが、シマンテックは、長年にわたってこのグループに関する情報を捕捉しており、その活動を追跡しています。また、Operation Hangover によって利用されているさまざまな脅威に対して常に最善の保護対策を提供しています。

Q: Operation Hangover という名前の由来は何ですか?
Norman 社と Shadowserver Foundation が Operation Hangover という名前を使ったのは、このグループによって特に頻繁に利用されているマルウェアに、この名前を含むプロジェクトデバッグパスが使われていたからです。

Q: この攻撃の被害者はどのように感染するのですか?
最初の感染は、標的に送りつけられたスピア型フィッシングメールから始まります。この電子メールには、その標的に関連するテーマに沿ったファイルが添付されています。図 1 に、Operation Hangover による攻撃の各段階を示します。

NewHangove_0.png

図 1. Operation Hangover による攻撃

この電子メールには悪質なファイルが添付されており、開くと標的のシステムに感染するか、標的のシステムの脆弱性を悪用しようとします。成功すると、第 1 段階のマルウェアが侵入先のシステムにロードされます。このマルウェアは大部分が、Smackdown として知られる Visual Basic ダウンローダからのものです。

侵入先のシステムの調査を済ませると、攻撃者は第 2 段階のマルウェアをダウンロードするかどうかを決定できるようになります。これは、大部分が C++ で記述された情報窃盗マルウェアで、HangOve というマルウェアグループに属します。HangOve グループでダウンロードされるモジュールはいくつかあり、以下の処理を実行します。

  • キーロガー
  • 逆接続
  • スクリーングラバー
  • 自己複製
  • システム情報収集

Q: シマンテックは、このグループがどのような組織を標的としているか把握していますか?
はい。シマンテックの遠隔測定によれば、この攻撃は主としてパキスタンを標的にしていることが確認されています。一連の攻撃では防衛関連の文書が餌として使われていることから、特に狙われているのは政府のセキュリティ機関と考えられますが、同じグループがパキスタン以外では産業スパイ活動に関与していることも確認されています。

Q: この脅威はどのように拡散するのですか?
図 2 と 3 に示すように、シマンテックの遠隔測定によると、このグループの被害が最も大きいのはパキスタンです。これは、同グループに関する他の調査結果とも一致しています。すでに述べたように、このグループの活動は 1 つの標的または地域に限定されてはいません。

HeatMap.png

図 2. シマンテックの遠隔測定で検出された Operation Hangover 関連の分布図

Pie.png

図 3. シマンテックの遠隔測定で Operation Hangover の攻撃が検出された上位 10 カ国

Q: このグループによって利用されている脅威に対するシマンテックの検出定義にはどのようなものがありますか?
シマンテックは、このグループによって利用される脅威に対して以下の名前で検出定義を用意しています。

シマンテック製品をお使いのお客様がこのグループを特定できるように、この攻撃活動の主なコンポーネントは、以下のように再定義されています。

以下の IPS(侵入防止シグネチャ)も用意されています。

  • System Infected: Trojan.Hangove Activity

Q: シマンテック製品やノートン製品は、このグループによって利用されている悪用から保護されていますか?
はい。このグループが悪用している既知の脆弱性と、それに対するシマンテックの保護定義を以下に示します。現時点で、このグループがゼロデイ脆弱性を攻撃に利用している、またはこれまでに利用した形跡はありません。

Table1.png

Q: 今回のレポートは、Operation Hangover を実行しているグループの活動にどう影響するでしょうか?
これまでの例と同様、ここまで情報が明らかになりながらも、Operation Hangover のグループは今後も活動を継続するものとシマンテックは考えています。シマンテックでは、Operation Hangover の活動について監視を続け、各種の攻撃に対する万全の保護を引き続き提供します。いつものことですが、このようなグループの攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Riddle: What’s the One Password You’ll NEVER Forget?

Last week during his keynote speech at the Interop IT conference, PayPal’s Chief Information Security Officer Michael Barrett pointed to a slide depicting a tombstone for passwords with the dates 1961-2013. According to Barrett, while passwords are still required for so many applications and services, they have simply outlived their usefulness. Barrett predicted that we Read more…

Bank Account Logins for Sale, Courtesy of Citadel Botnet

Financial theft is one of the most lucrative forms of cybercrime. Malware authors continue to deliver sophisticated tools and techniques to unlock online bank accounts. Attackers design and develop botnets to perform financial fraud, targeting banks and other institutions for profit. These botnets traditionally have monitored victims’ Internet activities and intercepted banking transactions to extract Read more…

When Web Servers Serve Evil

      No Comments on When Web Servers Serve Evil

In the last few months, we have witnessed a rise in the number of cases of modified Web servers that inject malicious redirections into every website that it hosts. One example was the malicious Apache module (Linux.Chapro and Trojan.Apmod) that we blo…

Are you Hackable or Uncrackable? “Password Day” is Today!

Yes, such a day exists and it’s today, May 7th 2013. Intel and McAfee are working to make sure consumers increase their security awareness and front line of digital protection by asking everyone to change their passwords today. Reuse of passwords across multiple sites is a big problem. In the digital world, many of us Read more…

Password Safety In A Connected World

It has become increasingly common for personal and professional social media accounts to become ‘hacked’, or taken over by someone who doesn’t own the account. Twitter’s help center points out that this occurs from weak passwords, a pre-existing password-collecting virus on your computer or by entrusting your login credentials to malicious third-party websites and applications. Read more…

Selbst-signierte Zertifikate – Wann und wie verwenden | Symantec

Sinnvoller Einsatz von Open SSL: wo und wie?
 
SSL Zertifikate (Secure Sockets Layer) gehören zur Grundausstattung jedes Unternehmens für den Schutz seiner Systeme. Das Protokoll mit integrierter Datenverschlüsselung ist die Standar…

Le certificats auto-signés – Comment les utiliser | Symantec

OpenSSL : quand et comment ?

 

La technologie SSL – Secure Socket Layer – représente une arme redoutable pour toutes les entreprises qui souhaitent assurer la sécurité de leurs systèmes. En intégrant la cryptographie de données au protocole, elle s’impose comme la référence absolue en matière de sécurisation des communications par Internet.

Vos différentes recherches à travers les méandres de la sécurité en ligne vous ont certainement conduit un jour vers la célèbre bibliothèque libre de sécurisation des communications : OpenSSL (OpenSecure Socket Layer). Il se peut même que votre entreprise l’utilise – sans toutefois que vous en connaissiez réellement les mécanismes. Steve Marquess, de la OpenSSL Software Foundation, est d’ailleurs le premier à reconnaître sa complexité. En ce sens, il me confessait récemment : « Il est très difficile de décrire [un tel système de] cryptographie de manière succincte aux non-initiés ». Tous ceux qui ont un jour tenté d’approfondir le sujet vous le diront ! Après tout, nul besoin de connaître tous les rouages d’un outil pour pouvoir l’utiliser correctement. Pour autant, il pourrait vous être très utile de mieux savoir quand y avoir recours.

Qu’est-ce donc exactement que l’OpenSSL ? En substance, OpenSSL désigne une implémentation open source des certificats SSL et TLS (Transport Layer Security) – un utilitaire gratuit, compris dans la plupart des déploiements MacOS X, Linux, BSD et Unix. Une copie binaire est également disponible en téléchargement pour les environnements Windows.

Quelle est sa vocation exacte ? OpenSSL contient tout ce dont vous avez besoin pour créer votre propre autorité de certification privée. Écrite en langage C, la bibliothèque principale implémente les fonctions basiques de cryptographie et fournit diverses fonctionnalités utilitaires. Au menu : valeurs de hachage, cryptage et décryptage de fichiers, certificats et signatures numériques, et nombres aléatoires. Il s’agit également d’un outil de ligne de commande. Il peut donc effectuer les mêmes activités que l’API (interface de programmation applicative), avec en prime la possibilité de tester les serveurs et clients SSL.

Toutefois, les solutions open source manquent d’une véritable crédibilité et souffrent d’un déficit d’image auprès des utilisateurs finaux. Si bien que la question se pose : OpenSSL fait-il le poids face aux certificats émis par des autorités de certification (AC) reconnues ? Pour les applications commerciales et financières, la réponse est clairement « non ». Certes, l’utilisation de l’OpenSSL prend (surtout du point de vue financier)  tout son sens lorsque vous souhaitez créer et gérer votre propre certificat auto-signé pour un réseau interne. En revanche, si vous cherchez à instaurer une externe relation de confiance et à rassurer vos clients ou utilisateurs quant à votre dispositif de sécurité, il vous faudra prendre d’autres dispositions et surtout une certification reconnue.

Éditeur de solutions réputées dans le monde entier, Symantec a fait de la confiance son cœur de métier. Ses produits de sécurisation des sites Web intègrent une technologie SSL (et SSL EV) leader, ainsi que des fonctionnalités de gestion des certificats, de détection des vulnérabilités et d’analyse anti-malware. Avec Symantec, non seulement vous bénéficiez de nos savoir-faire en matière de sécurité, mais vous profitez également des faire-savoir que sont le sceau Norton Secured et la fonction Symantec Seal-in-Search. Résultat : vos clients se sentent en sécurité tout au long de leur expérience en ligne – des moteurs de recherche à l’acte d’achat, en passant par la navigation sur votre site.

Dans le monde de l’entreprise, il est d’usage de ne travailler qu’avec des personnes en qui vous avez totalement confiance. Dans l’univers de la sécurité en ligne, où les enjeux sont colossaux, ce précepte tient lieu de règle d’or.

Pour en savoir plus, téléchargez gratuitement notre document technique intitulé Les coûts cachés des certificats SSL autosignés

Self-Signed Certificates – How and When to Use Them | Symantec

How and when to use self-signed SSL Certificates
SSL – Secure Socket Layer – is a vital weapon in the armory of any organisation intent on ensuring its systems are safe. It is the standard behind ensuring secure communication on the Interne…