Overview
In the past four years there have been several major cyber attacks against South Korea. We have identified a particular back door (Backdoor.Prioxer) that surfaced during the 2011 attacks. A modified version of this back door was also discover…
寄稿: Avdhoot Patil
フィッシングサイトの裏では、ユーザーを誘い込み、個人情報を渡すようにそそのかす手口が次々と生み出されています。そこでよく使われているのが、偽装したソーシャルネットワークアプリケーションです。
先月の統計では、フィッシング全体の 8.6 パーセントがソーシャルメディアサイトで行われたものでした。そのうち 0.8 パーセントを占めていたのが、無料携帯通話時間、アダルト動画、ビデオチャット、アダルトチャットなどを謳い文句にした偽装アプリケーションです。
2013 年 3 月、フィッシング詐欺師は、無料 Web ホスティングサイトにフィッシングサイトを置き、偽のアジア系チャットアプリケーションを立ち上げました。
図 1. ソーシャルネットワークサイトを偽装したフィッシングページ
このフィッシングサイトは有名なソーシャルネットワークサイトを偽装しており、タイトルには「Pakistani chat room – Pakistani girls & boys chatting room(パキスタン人チャットルーム – パキスタンの男女のためのチャットルーム)」とあります。ページの右側には、チャットルームへの参加方法が稚拙な英語で書かれています。それによれば、ログイン情報を入力すると、パキスタンやインドの女性と無料でチャットできるようになるそうです。また、国内や海外の友だちを探してチャットする機能もあると書かれています。実際には、次のページに進むと、パキスタン、インド、アラブを含むアジア系向けを装った偽のチャットページが現れます。
おなじみのアプリケーションを備えた偽装サイトにリダイレクトするという手法は、ユーザーを信じ込ませるためにフィッシングサイトではよく使われるものです。このサイトの場合、インドの映画女優の壁紙に混ざって、偽のチャットルームへのリンクが仕掛けられています。この撒き餌に食いつくと、ログイン情報がまんまと盗まれてしまうわけです。
図 2. 偽装チャットサイト。個人情報を入力すると、ここにリダイレクトされる
フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Avdhoot Patil
New methods to entice victims into handing over their personal information are always being devised by the people behind phishing websites and the use of fake social networking applications is always popular.
During the past …
マルウェアの多くは、自身を変化させる機能を持っています。侵入先のコンピュータに自身をコピーするときにセキュリティソフトウェアの目を逃れること、あるいは解読したメモリ領域を実行したり解読したメモリ値を読み取ったりしてマルウェアを解析しようとするエンジニアの試みを阻害することが目的です。今回のブログでは、メモリを共有して自身の姿を変えるトロイの木馬の動作について説明します。
マルウェアのプロセスは、図 1 の赤線のように進みます。
図 1. 脅威のプロセスを示すコード
ebx-4 というアドレスは、.data セクションの先頭を示しています。初期状態では、ebx-4 は 0 なので、31h や 32h と比較すると失敗になります。
コードによってアドレス ebx-4 に 31h が書き込まれると、トロイの木馬は自身のファイル名を使って WinExec 関数を実行し、自身を実行します。次に、ExitProcess 関数を使って自身を終了します。実行時には ebx-4 の値が常に 0 なので、プログラムは単に実行と終了を繰り返しているだけのように見えますが、実際には悪質な処理を実行しています。ここが、このマルウェアの巧妙なところです。
このファイルのサンプルには、以下のような構造の .data セクションがあります。
図 2. ファイルサンプルの構造
Characteristics の rw- d0000040 は異例な構成で、以下のように設定されています。
IMAGE_SCN_MEM_SHARED 設定が行われているのでメモリ値が共有されています。
このマルウェアが初めて実行されたときには、アドレス ebx-4 が 0 のため、コードはこのアドレスに 31h を書き込んで自身を再実行します。再実行されたときには、ExitProcess の実行前なので、このアドレスで 31h を保持しているメモリが共有されます。
図 3. 再実行されるとプロセスは異なるルートを進む
新しく実行されたプログラムはこのアドレスに 32h を書き込み、自身を再実行します。新しいプログラムは、このアドレスで 32h を保持しているメモリを共有します。
図 4. プロセスが復号ルーチンに達する
アドレスが 32h なので、プログラムは _decrypt 関数を実行し、暗号化されたコードを復号したうえでアドレス esi にジャンプします。この動作を順に示すと、以下のようになります。
図 5. 実行順で示した動作
攻撃者は、自動の脅威解析システムから悪質な動作を隠そうとしていると考えられます。自動の脅威解析システムを搭載している 8 つの Web サイトにサンプルファイルを送信してみたところ、結果は以下のとおりでした。
自動の脅威解析システムは、図 5 の赤い枠線で示したセクションしか監視していないようです。このタイプの特殊コードが自動の解析システムをすり抜けることは、たびたび確認されています。
シマンテックは、このタイプの悪質なコードと手口を引き続き監視していく予定です。疑わしいプログラムは実行しないようにし、オペレーティングシステムとウイルス対策ソフトウェアは最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
A lot of malware modify themselves to either hide from security software when they copy themselves to the compromised computer or to hinder engineers attempting to analyze the malware by executing the decrypted memory area and reading the decrypted mem…
Com a renúncia de Bento XVI e da eleição do novo pontífice da Igreja Católica, Francisco I, nas últimas semanas o Vaticano tem aparecido nos principais noticiários. O interesse gerado por este tema tem chamado atenção dos spammers, que aproveitam o momento para espalhar malware na web.
O Symantec Security Response tem observado que atacantes estão distribuindo spams que direcionam os usuários a um site que hospeda o ‘Kit Exploit Blackhole’. A boa notícia é que a Symantec já oferece proteção para esta ameaça.
A mensagem maliciosa afirma ser de um canal de notícias bem conhecido. As seguintes linhas de assunto são usadas neste ataque:
Os domínios utilizados no e-mail foram recentemente registados. Ao clicar no link da mensagem, o usuário é direcionado para um site malicioso que hospeda o malware. A imagem seguinte é uma captura de tela do e-mail malicioso (em inglês):
Abusar da popularidade de uma agência de notícias conhecida aumenta as chances de um ataque bem sucedido. No entanto, a Symantec oferece proteção multinível adequada contra essa ameaça. As recomendações dos especialistas da companhia são não abrir e-mails não solicitados e manter o software de segurança atualizado, a fim de manter-se protegido contra as ameaças on-line.
イースターサンデー(復活祭期間の日曜日)は、キリスト教暦でもとりわけ重要な祝祭日です。毎年 3 月 22 日から 4 月 25 日のいずれかの日曜日ですが、今年は 3 月 31 日がイースターサンデーに当たります。イースターに関連するスパムが Symantec Probe Network で検出され始めており、予想通り、スパムサンプルのほとんどは、名前入りの電子カードや、車の在庫一掃セール、高級腕時計のコピー商品といったお買い得商品を宣伝してユーザーを誘うものです。URL をクリックすると、偽の売り文句が掲載された Web サイトにリダイレクトされます。
図 1. イースターにちなんだ偽広告のスパム
「イースターボンネット」の名を使ってカジノに誘うスパムメールを送ってくる手口もあります。イースターボンネットは、イースターの祝祭日になると新調した服を着るという伝統の名残です。
以下のスパムサンプルには、「ボーナス」を受け取るための手順が書かれています。
図 2. イースターボンネットを利用したカジノスパム
次に示すスパムサンプルは、商品購入を誘う偽広告でユーザーを誘っています。URL をクリックすると、偽の医薬品販売 Web サイトにリダイレクトされます。
図 3. 偽の医薬品販売 Web サイト
図 4. イースターを狙った名前入りカード
イースター関連のスパムで確認されたヘッダーは、わかりやすいものばかりです。
迷惑メールや心当たりのない電子メールの扱いにはご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、24 時間 365 日の態勢でスパムの監視を続けています。
楽しく安全なイースターをお過ごしください!
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Tidserv(別名 TDL)は、検出をすり抜けるためにルートキット機能を採用している複雑な脅威です。発見は 2008 年に遡り、それ以来シマンテックの監視網で検出され続けています。拡散が確認されている Tidserv の新しい亜種では、正規の CEF(Chromium Embedded Framework)が利用され始めました。マルウェアが正規のフレームワークを不正な目的に利用する例はこれが初めてではありませんが、Tidserv の今回の新しい亜種は、正常に機能するために 50 MB ものフレームワークをダウンロードする必要があり、マルウェアとしては異例です。
Backdoor.Tidserv の亜種はモジュール式のフレームワークを利用して、新しいモジュールをダウンロードし、正常なプロセスにインジェクトすることができます。これまでの亜種は、リンクのクリックや広告のポップアップといったネットワーク操作の実行に serf332 というモジュールを使っていました。serf332 は COM(Component Object Model)オブジェクトを利用して Web ページを開き、ページコンテンツを検査します。先週シマンテックは、Tidserv が cef32 という新しいモジュールをダウンロードしていることを確認しました。新しい cef32 モジュールは、serf332 と同じ機能を持っていますが、CEF の一部である cef.dll を必要とします。そのため、異例なことに 50 MB の CEF すべてを侵入先のシステムにダウンロードしなければなりません。
CEF のダウンロード数は、過去 18 日間でかなりの増加を示しています。そのうち何件が Tidserv の感染活動に関係しているかは不明ですが、これらのダウンロードがマルウェアに起因するとすれば、Tidserv に感染したコンピュータは相当の数にのぼります。
図 1. 過去 18 日間における CEF のダウンロード数
CEF は、Google Chromium プロジェクトに基づいた Web ブラウザコントロールを提供します。開発者はそれを利用して、Web ブラウザウィンドウを持つアプリケーションを作成できます。HTML の解析や JavaScript の解析と実行など、ブラウザの実行に必要なすべての機能を実行するのが CEF ライブラリです。
図 2. CEF ライブラリに渡される Tidserv の JavaScript
CEF を使うことで、Tidserv は基本的な Web ブラウザ機能の多くを自身のモジュールから CEF ライブラリに移行できるため、より小さなモジュールを使って、新機能の追加更新をより簡単に行えるようになります。CEF を使う場合の欠点は、cef32 モジュールをロードするために cef.dll が必要なことです。CEF の zip ファイルをダウンロードする URL は現在、serf332 バイナリにハードコードされているので、この URL を変更するたびに、serf332 モジュールの更新も必要になります。
CEF とその作成者は、不法または不正な目的に CEF フレームワークを利用することを承認も推奨もしていません。このような悪用を阻止するために、CEF の関係者は可能な範囲であらゆる措置を講じる予定です。そのため、マルウェアに悪用されていたバイナリは Google Code プロジェクトのページから削除されています。現在、今回のような悪用を可能な限り防止する無償のバイナリをユーザーに提供する別の方法が検討されています。
シマンテックは、Tidserv のような脅威の進化を常に追跡しています。最新の STAR マルウェア対策技術を利用して、できる限りの保護対策を講じることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Trojan.Jokra は、先日韓国の放送局や銀行で大規模なシステム停止を引き起こした脅威ですが、この Trojan.Jokra を解析したところ、別の Wiper が確認されました。
セキュリティ研究者が過去数日間、このトロイの木馬で確認された Wiper コンポーネントについて、特に各バージョンと実行のタイミングについて検証を続けてきました。その結果、4 つの亜種で以下の文字列が見つかっています。
Wiper のうち 3 つは PIE(位置独立実行可能ファイル)として、残りの 1 つは DLL(ダイナミックリンクライブラリ)インジェクションとしてパッケージ化されています。実行のタイミングについても違いが見られます。
表. Trojan.Jokra の Wiper
2 つの亜種は、実行後ただちにコンピュータの内容を消去するように命令されており、他の 2 つは、2013 年 3 月 20 日午後 2 時と日時を指定して内容を消去するように命令されていました。
図. Trojan.Jokra の Wiper のカウントダウン
Trojan.Jokra などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Easter Sunday is one of the most important festivals in the Christian calendar and it is observed anywhere between March 22 and April 25 each year; this year it falls on March 31. Spam messages related to Easter have begun flowing into the Symantec Probe Network. As expected, most of the spam samples are encouraging users to take advantage of products offers, personalized letters, e-cards, as well as clearance sales of cars and replica watches. Clicking the URL will automatically redirect the user to a website containing some bogus offer.
Figure 1. Spam product offer related to Easter
Spammers are also exploiting the event by sending casino spam email using the name “Easter bonnet”. The Easter bonnet represents the tail-end of a tradition of wearing new clothes at an Easter festival.
The following spam sample provides instructions for ways that users can acquire a “bonus”.
Figure 2. Casino spam targeting the Easter bonnet
In the next spam sample, users are encouraged to take advantage of the bogus offers for purchasing a product. By clicking the URL it directs the user to a fake pharmaceuticals website.
Figure 3. Spam website selling fake pharmaceutical products
Figure 4. Personalized letter targeting the Easter festival
Some of the headers observed for Easter related spam can easily be recognized:
Symantec advises our readers to be cautious when handling unsolicited or unexpected emails. We at Symantec are monitoring spam attacks 24×7 to ensure that readers are kept up-to-date with information on the latest threats.
Wishing everyone a happy and safe Easter!
