Category Archives: Security Response News

?????????? Microsoft Windows XP ?????????

最近、Microsoft Windows XP 上では動作しないバックドア型のトロイの木馬プログラム(Backdoor.Trojan として検出されます)が確認されました。今回はこの脅威について、なかでもマルウェア作成者がこのトロイの木馬の機能に組み込んだ特殊なテクニックについて詳しく報告しようと思います。このマルウェアを標的型攻撃で使うために設計されたと思われるテクニックです。

fseek 関数

この脅威で作成者は fseek 関数を使っています。通常はデータ処理に使われる関数なので、これは異例なことです。たとえば、ファイルの先頭から 100 バイトのデータを読み込むプログラムでは、fseek 関数のプロセスを使って 100 バイトを移動します。

Loop-clip_2.png

図 1. マルウェアで使われている fseek コードのテクニック

ところが、今回見つかったマルウェアには、ループで連続する 3 つの関数が存在します。

  1. 別の文字列に文字列を追加する(strcat)。
  2. ファイルの末尾から 0 バイトを移動する(fseek)。
  3. 文字列をトークンに分割する(strtok)。

通常、コードは fseek 関数の後でデータを読み書きしますが、このマルウェアの場合にはそのプロセスが発生していません。このような関数がループで記述されているのも奇妙です。

このコードをさらに詳しく見てみると、fseek 関数はファイルハンドルに NULL ポインタを指定して動作していることがわかります。つまり、制御するファイルがないということです。fseek 関数が存在しないファイルを制御するため、このマルウェアは Windows XP 上で実行されるとクラッシュします。

Error_message_443px.png

図 2. Windows XP 上で実行されるとマルウェアがクラッシュする

同じファイルを Windows Vista 以降で実行すると、正常に動作します。では、Windows XP と Vista 以降の Windows では何が違うのでしょうか。

Microsoft Visual Studio 2005 以降の MSDN ライブラリによれば、fseek 関数は次のように説明されています。

stream が null ポインタの場合、または origin が次に説明するいずれの値でもない場合、「パラメータの検証」に説明されているように、fseek および _fseeki64 は無効なパラメータ ハンドラを呼び出します。実行の継続が許可された場合、これらの関数は errnoEINVAL に設定し、-1 を返します。」

しかし、Microsoft Visual Studio .NET 2003 の MSDN ライブラリには、この説明がありません。

以上のことから、NULL ポインタを指定したファイルハンドルをパラメータとして渡されたときの fseek コードの動作が変更されたのだと考えられます。マルウェア作成者は、この変更を意図的に利用して、Windows XP 上では動作しないプログラムを作成したのです。

Windows XP は、2013 年 3 月の時点でもオペレーティングシステム市場において 40% を若干下回る程度のシェアを保っています。Windows XP で動作しないプログラムを作成したら、大量のコンピュータに感染させる絶好のチャンスを逃していることになります。とすれば、わざわざそのようなマルウェアを作成した理由はどこにあるのでしょうか。

Windows XP で動作しない理由

1 つ考えられるのは、マルウェアの真の動作がサンドボックスで明らかにされるのを回避しようと試みている可能性です。インターネット上で見つかった 8 つの自動脅威解析システムにサンプルファイルを送信してみたところ、どのシステムでもサンプルファイルの動作はログに記録されませんでした。これは、fseek 関数によるテクニックの後で悪質なコードが見つかったためと考えられます。サンプルのテストに使われるサンドボックスが Windows Vista など、Windows XP よりも新しいオペレーティングシステムで実行されている場合、マルウェアの動作が記録されない可能性があります(セキュリティ企業が自動の脅威解析システムを利用してマルウェアを解析する方法について詳しくは、以前のブログを参照してください)。

有害あるいは破壊的な活動を実行することなく密かに動作するマルウェアは、長期にわたってコンピュータへの侵入を続けることができるので、マルウェア作成者にとってそのメリットは無視できません。

バックドア型のトロイの木馬プログラムは通常、オペレーティングシステムや CPU のクロック数、インストールされているウイルス対策ソフトウェアを調べますが、今回のマルウェアは、以下の情報も収集する点で独特です。

  • 侵入先のコンピュータに無線ネットワークカードが搭載されているかどうか
  • シンクロナス DRAM、キャッシュ DRAM、3DRAM、SDRAM など、ダイナミックランダムアクセスメモリ(DRAM)のタイプ
  • BIOS のメーカー設定、シリアル番号、バージョン
  • プリンタのキャプション
  • バッテリの詳細とデバイス ID

通常、マルウェア作成者はコンピュータ上のバッテリのことまで考えたりしません。ところが、今回のマルウェアの作成者は明らかに、標的企業に強い関心を示しているようです。

まとめ

このブログの執筆時点で、シマンテックの大口のお客様からこのマルウェアのサンプルが集まったのはわずかに 2 例だけで、大規模な感染は記録されていません。

これまでの解析結果から言えるのは、このマルウェアは標的型攻撃に使われ、作成者は、標的企業のコンピュータで Windows Vista 以降が使われていることを知りつつ、Windows XP では動作しないマルウェアでネットワークへの感染を試みたということです。

標的企業の管理者が、疑わしいファイルの不審な動作に気付き、自動の脅威解析システムでそのファイルをテストしたとしても、テスト段階で悪質な活動は見られず、管理者もこのファイルの本当の動作については何もわからなかった可能性があります。

シマンテックは、今回ご報告した悪質なコードとそのテクニックを引き続き監視していく予定です。疑わしいプログラムは実行しないようにして、オペレーティングシステムやウイルス対策ソフトウェアを最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fraudsters Continue to Show Interest in Football

Contributor: Avhdoot Patil

Phishers have recently gained a lot of interest in football. Various phishing attacks using football were observed in 2012. Phishers have already shown their interest in the 2014 FIFA World Cup, football celebrities, and football clubs. Scam for LIONEL MESSI Fans and Scam for FC Barcelona are good examples of phishers using football celebrities and football clubs. Fraudsters understand that choosing celebrities with a huge fan base offers the largest amount of targets which could increase their chances of harvesting user credentials. In April 2013, the trend continued with phishers using the same strategy. The phishing sites were in French on a free web hosting site.

The phishing sites prompted users to enter their Facebook login credentials on pages designed to highlight Lionel Messi, FC Barcelona, or Cristiano Ronaldo. The phishing pages contained images of Lionel Messi, FC Barcelona, or Cristiano Ronaldo and tried to create the false impression that they were the official Facebook page for either Messi, FC Barcelona, or Ronaldo. Some of the fake sites were titled, “first social networking site in the world”. Users were prompted to enter their Facebook login credentials in order to connect to the Facebook page. After a user’s login credentials have been entered, users are redirected to a legitimate Lionel Messi, FC Barcelona, or Cristiano Ronaldo community page to create the illusion of a valid login. If users fell victim to the phishing site by entering their login credentials, phishers would have successfully stolen their information for identity theft purposes.
 

Fraudsters Repeatedly 1.jpeg

Figure 1. Fake Facebook phishing page featuring Lionel Messi
 

Fraudsters Repeatedly 2.jpeg

Figure 2. Fake Facebook phishing page featuring FC Barcelona
 

Fraudsters Repeatedly 3.jpeg

Figure 3. Fake Facebook phishing page featuring Cristiano Ronaldo
 

Internet users are advised to follow best practices to avoid phishing attacks:

  • Do not click on suspicious links in email messages
  • Do not provide any personal information when answering an email
  • Do not enter personal information in a pop-up page or screen
  • Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https”, or the green address bar when entering personal or financial information
  • Use comprehensive security software such as Norton Internet Security or Norton 360, which protects you from phishing scams and social network scams
  • Exercise caution when clicking on enticing links sent through email or posted on social networks
  • Report fake websites and email (for Facebook, send phishing complaints to phish@fb.com)

Rise of .pw URLs in Spam Messages

      No Comments on Rise of .pw URLs in Spam Messages

Symantec has observed an increase in spam messages containing .pw top-level domain (TLD) URLs.  While it was originally a country code top-level domain for Palau, it is now available to the general public through Directi, who branded it as “Professional Web”.
 

pw tld blog 1.png

Figure 1. .pw TLD URL spam message increase
 

Looking back at the last 90 days, .pw ranked #16 on our TLD distribution list:
 

pw tld blog 2_0.png

Figure 2. TLD distribution list – last 90 days
 

However, the .pw URL jumps to the fourth spot when looking at the last 7 days:
 

pw tld blog 3.png

Figure 3. TLD distribution list – last 7 days
 

Examining messages found in the Global Intelligence Network, Symantec researchers have found that the vast majority of spam messages containing .pw URLs are hit-and-run (also known as snowshoe) spam. 

These are the top ten subject lines from .pw URL spam over the last two days:

  • Subject: How to sell your Timeshare
  • Subject: Reusable K Cup for Keurig or single-brew coffee maker
  • Subject: Reusable single-brew coffee cup you can fill with your coffee blend.
  • Subject: Are your home possessions covered in case of a  catastrophe?
  • Subject: Elmo’s Learning Adventure Gift Package
  • Subject: Make Learning Fun – With Elmo & the Sesame Street Gang!
  • Subject: Are your appliances and home systems covered?
  • Subject: Refinance Today, Save Tomorrow
  • Subject: Nothing is more EFFECTIVE for High Blood Pressure
  • Subject: Mortgage Rates

pw tld blog 4.png

Figure 4. .pw URL spam message example
 

Symantec will continue to monitor this trend and create additional filters to target these attacks.  In addition, Symantec also advises enterprises and consumers to adopt the best practices found in the Symantec Intelligence Report.

Save the Date: #ISTR Twitter Chat on Symantec Internet Security Threat Report

Join Symantec Security Response experts Kevin Haley and Paul Wood on Twitter (using the #ISTR hashtag) on Tuesday, April 30, at 9 a.m. PT / 12 p.m. ET to chat about the key trends highlighted in Symantec’s recently released Internet Security Thre…

Microsoft Windows XP Support Also Ending in the Malware Community!?

Recently, I discovered a back door Trojan horse program that does not work on Microsoft Windows XP. I would like to present some of the details of this threat, especially as the malware author encoded a special trick into the functionality of the Trojan. The trick appears to have been designed to allow the threat be used in targeted attacks.

The fseek function

In this threat, the author uses the fseek function, which is unusual as it is normally used to process data. For example, if the program reads 100 bytes of data from the top of the file, the fseek function process is used to move the 100 bytes.

Loop-clip_2.png

Figure 1. The fseek code trick used by the malware

However, in the case of this Trojan, there are three functions that continue in a loop:

  1. Append one string to another string (strcat)
  2. Move zero bytes from the end of the file (fseek)
  3. Split a string into tokens (strtok)

Usually, code reads or writes data after the fseek function, but in this case this process does not happen. It is also strange that such a function is written in a loop.

Looking at the code in greater detail, the fseek function works with a NULL pointer as a file handle. This means that there is no file to control. Because the fseek function controls a non-existent file, the threat crashes when it is executed on Microsoft Windows XP.

Error_message_443px.png

Figure 2. The threat crashes when it runs on Microsoft Windows XP

If the file is executed on Microsoft Windows Vista or later, it works fine. So what is the difference between Microsoft Windows XP and later versions of Windows?

According to the MSDN Library for Microsoft Visual Studio 2005 or later, the fseek function is documented as follows:

“If stream is a null pointer, or if origin is not one of allowed values described below, fseek and _fseeki64 invoke the invalid parameter handler, as described in Parameter Validation. If execution is allowed to continue, these functions set errno to EINVAL and return -1.”

However, there is no mention of this in the Microsoft Visual Studio .NET 2003 MSDN Library.

I think the fseek code changed when a file handle with a NULL pointer is passed as a parameter to the function. The malware author used this change intentionally in order to create a program that doesn’t run on Microsoft Windows XP.

Microsoft Windows XP has just under 40% usage share of the operating system market as of March 2013. If a malware author creates a program that doesn’t run on Microsoft Windows XP, valuable opportunities to compromise a large number of computers will be lost. So, why would someone create malware such as this?

Why not run on Microsoft Windows XP?

One possibility is an attempt to avoid revealing the true behavior of the threat in sandboxes. I submitted a sample file to eight Automated Threat Analysis Systems found on the Internet and none of these systems logged the sample file behavior. I believe the reason for this is that the malicious code is found after the fseek function trick. If the sandboxes used for testing samples ran on Microsoft Windows Vista, or rather any operating system later than Microsoft Windows XP, they may not have logged the malware’s behavior. (Please see this blog for further details regarding how Automated Threat Analysis Systems are used by antivirus companies to analyze malware.)

If malware runs without performing any destructive or disruptive activities in silence, it can continue to compromise computers for a long time, for which the merits to the malware author cannot be overstated.

Back door Trojan horse programs usually check the operating system, CPU clock, and the installed antivirus product, if any. This threat is unusual because it also gathers the following information:

  • Whether the compromised computer has a wireless network card
  • The dynamic random-access memory (DRAM) type, such as Synchronous DRAM, Cache DRAM, 3DRAM, or SDRAM
  • The BIOS manufacturer settings, serial number, and version
  • The printer caption
  • The battery description and device ID

Normally malware authors wouldn’t worry about the battery on the computer. However, the author of this threat evidently has a strong interest in the targeted company.

Conclusion

At the time of writing this blog, Symantec has only received two samples of this threat from large customers and no major infections have been recorded.

From what I can gather from my analysis of this threat, it was used in a targeted attack and the author knew that the targeted company uses Microsoft Windows Vista or later on their computers and hence attempted to infect their network with malware that does not work on Microsoft Windows XP.

If the administrator of the targeted company were to notice suspicious behavior in a suspect file and decide to test it on an Automated Threat Analysis System, it is possible that malicious activity may not be seen at all during the testing and the administrator would be none-the-wiser about the file’s true behavior.

Symantec will continue to monitor malicious code and techniques outlined in this blog. We also recommend that users not run suspicious programs and keep their operating system and antivirus software up to date.

??????????????????????????

      No Comments on ??????????????????????????

寄稿: Avdhoot Patil

フィッシング詐欺師は、混迷の続くシリア情勢を依然として悪用しています。メッセージは書き換えられていますが、使われているのは定番のフィッシング用テンプレートです。3 月には、以前のフィッシングサイトで確認されたのと同じ、湾岸諸国の組織の Web サイトが偽装されました。ただし、偽装の内容は、シリアの反対運動を支持するものではなく、シリア国民を支援する国連の計画です。フィッシングページはアラビア語で書かれており、サイトは米国のテキサス州ダラスに置かれたサーバーでホストされていました。

つい最近も、フィッシング詐欺師はシリア現政権を糾弾してユーザーを誘導しようとしましたが、今回は特に、バッシャール・アル・アサド大統領が利用されています。シマンテックが確認したフィッシングサイトには、シリア大統領を戦争犯罪人として糾弾することに賛同するよう求めるメッセージが、アラビア語で書かれています。そこに、賛同するか賛同しないかを投票するオプションがあり、投票できるのは 1 回だけという注意書きまでありました。
 

image1.jpeg

図 1. バッシャール・アル・アサド大統領の糾弾に賛同するかどうかの投票
 

賛同するオプションを選択すると、次のページでは、投票を送信して有効票として認識させるために、4 種類の電子メールサービスプロバイダから 1 つを選択するよう求められます。
 

image2.jpeg

図 2. 投票するために電子メールサービスプロバイダを選択
 

いずれかを選択すると、その電子メールサービスプロバイダのログインページに偽装したフィッシングページにリダイレクトされます。ログイン情報を入力すると、フィッシングページから確認ページにリダイレクトされ、投票が正常に処理されたことと、結果が 2013 年 4 月 5 日に発表されることが伝えられます。不幸にも、このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
 

image3.jpeg

図 3. 投票の確認ページ
 

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Java ???? CVE-2013-2432 ???????

      No Comments on Java ???? CVE-2013-2432 ???????

Java の脆弱性は、サイバー犯罪者(悪用ツールキットの作成者)の間で常に悪用の対象となってきました。Java はオペレーティングシステムやブラウザの種類を超えて動作し、大量のユーザーに感染させられる可能性が非常に高いためです。

4 月 16 日に Oracle 社は、サポート対象の多数の製品で見つかった脆弱性に対処する 2013 年 4 月版の Java Critical Patch Update(CPU)をリリースしました。興味深いことに、それらの脆弱性のひとつ CVE-2013-2432 は、この翌日に公表され、続く 4 月 20 日に Metasploit の概念実証が公開されています。

悪用ツールキットの作成者は、一般に公開されたこの脆弱性をさっそく悪用し始めています。現在確認されているのは、Redkit と Cool 悪用ツールキットが今回の新しい Java 脆弱性を利用するケースですが、その他の悪用ツールキットにも波及するものと予測されます。

Redkit と Cool 悪用ツールキットを使ってこの脆弱性を悪用する攻撃を遮断するために、以下の侵入防止シグネチャ(IPS)が提供されています。

シマンテックのウイルス対策技術では、これらの悪質なファイルは Trojan.Maljava として検出されます。

現在この脆弱性は重大度が高いと考えられているので、Oracle 社からリリースされている Java Critical Patch Update を適用することをお勧めします。また、上記のように、脅威を未然に検出する新しい IPS シグネチャがリリースされていますので、シマンテックのセキュリティ製品を更新して最新のセキュリティコンポーネントをインストールすることもお勧めします。ただし、ソフトウェア更新やパッチに偽装するマルウェアに注意して、パッチは必ず公式 Web サイトからダウンロードしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Campaign for More Votes Against Syrian Regime

Contributor: Avdhoot Patil
Phishers are not letting go of the chaos in Syria. They are using a common phishing template and modifying the messages. In March, phishers mimicked the same website of an organization in the Arab Gulf States observed in a pr…

Java Exploit CVE-2013-2432 Coverage

      No Comments on Java Exploit CVE-2013-2432 Coverage

Java vulnerabilities have always been popular among cybercriminals (exploit kits authors) since they can work across multiple browsers and even multiple operating systems, the potential for infecting large numbers of users is very high.
On April 16, Or…