The Dark Power of Windows PowerShell

      No Comments on The Dark Power of Windows PowerShell

Windows PowerShell, the Microsoft scripting language, has made the headlines recently due to malware authors leveraging it for malicious purposes. Symantec has identified more PowerShell scripts being used for nefarious purposes in attacks. Unlike other PowerShell scripts that we have identified previously, the new script, which Symantec detects as Backdoor.Trojan, has different layers of obfuscation and is able to inject malicious code into “rundll32.exe” so that it can hide itself in the computer while still running and acting like a back door.

Powershell 1.png

Figure 1. The original Microsoft Windows PowerShell script

As seen from the previous image, the script is obfuscated to prevent users from seeing the clear text. However, the attacker has used the parameter “-EncodedCommand” in order to encode the entire script in base64. Once decoded, the script is still obfuscated and it looks like the following:

Powershell 2.png

Figure 2. PowerShell script’s first layer of decryption

After this, the script will again decode a portion of itself from base64 to plain text and the decoded part of the script is passed through a decompression function. The decompressed data is the latest stage of the deobfuscated PowerShell script, which will be executed through the “Invoke-Expression” command.

Powershell 3.png

Figure 3. A deobfuscated PowerShell script

The attacker uses the command “CompileAssemblyFromSource” so that they can compile and execute on-the-fly embedded code which hides itself on the computer. The compiled code will then try to execute “rundll32.exe” in a suspended state, inject malicious code into the newly created process and restart the “rundll32” thread. This method is used to prevent detection on the computer.

The injected code will then try to connect to a remote computer and it then waits to receive a buffer of instructions. The code will subsequently store these instructions with EXECUTE_READWRITE permissions, so that they can be executed in a stealthy way.

The following picture shows how the injected code allocates the memory and receives the instructions that are later executed.

Powershell 4.png

Figure 4. Malicious code injected into rundll32.exe

Symantec customers are currently protected from this attack with the detection Backdoor.Trojan. To avoid being infected, we recommend that customers should use the latest Symantec technologies and update their virus definitions. Users should avoid running unknown PowerShell scripts and should not lower PowerShell’s  default execution settings in order to prevent potential malicious scripts from executing.

The Dark Power of Windows PowerShell

      No Comments on The Dark Power of Windows PowerShell

Windows PowerShell, the Microsoft scripting language, has made the headlines recently due to malware authors leveraging it for malicious purposes. Symantec has identified more PowerShell scripts being used for nefarious purposes in attacks. Unlike other PowerShell scripts that we have identified previously, the new script, which Symantec detects as Backdoor.Trojan, has different layers of obfuscation and is able to inject malicious code into “rundll32.exe” so that it can hide itself in the computer while still running and acting like a back door.

Powershell 1.png

Figure 1. The original Microsoft Windows PowerShell script

As seen from the previous image, the script is obfuscated to prevent users from seeing the clear text. However, the attacker has used the parameter “-EncodedCommand” in order to encode the entire script in base64. Once decoded, the script is still obfuscated and it looks like the following:

Powershell 2.png

Figure 2. PowerShell script’s first layer of decryption

After this, the script will again decode a portion of itself from base64 to plain text and the decoded part of the script is passed through a decompression function. The decompressed data is the latest stage of the deobfuscated PowerShell script, which will be executed through the “Invoke-Expression” command.

Powershell 3.png

Figure 3. A deobfuscated PowerShell script

The attacker uses the command “CompileAssemblyFromSource” so that they can compile and execute on-the-fly embedded code which hides itself on the computer. The compiled code will then try to execute “rundll32.exe” in a suspended state, inject malicious code into the newly created process and restart the “rundll32” thread. This method is used to prevent detection on the computer.

The injected code will then try to connect to a remote computer and it then waits to receive a buffer of instructions. The code will subsequently store these instructions with EXECUTE_READWRITE permissions, so that they can be executed in a stealthy way.

The following picture shows how the injected code allocates the memory and receives the instructions that are later executed.

Powershell 4.png

Figure 4. Malicious code injected into rundll32.exe

Symantec customers are currently protected from this attack with the detection Backdoor.Trojan. To avoid being infected, we recommend that customers should use the latest Symantec technologies and update their virus definitions. Users should avoid running unknown PowerShell scripts and should not lower PowerShell’s  default execution settings in order to prevent potential malicious scripts from executing.

[2014] April Fools’ Day joke in AVAST – prank for COO and CTO

      No Comments on [2014] April Fools’ Day joke in AVAST – prank for COO and CTO

We prepared a special office equipment for our COO and CTO this year on 1st April. They didn’t expect that we were able to prepare better prank than last year. This year the prank consisted of several stages office moved to a new location office filled up with balloons hints of new office location hidden […]

[2014] April Fools’ Day joke in AVAST – prank for COO and CTO

      No Comments on [2014] April Fools’ Day joke in AVAST – prank for COO and CTO

We prepared a special office equipment for our COO and CTO this year on 1st April. They didn’t expect that we were able to prepare better prank than last year. This year the prank consisted of several stages office moved to a new location office filled up with balloons hints of new office location hidden […]

New AVAST survey shows people not so smart with smartphone security

      No Comments on New AVAST survey shows people not so smart with smartphone security

Smartphone owners are careless about security, says smartphone survey. Guys are more likely to get a virus on their smartphone than girls (36% vs 32%), and more than one third (34%) of survey respondents don’t have any anti-theft or antivirus security on their smartphones. Add to that nearly half of the people AVAST polled in […]

Fake Voting Campaign Steals Facebook Users’ Identities

      No Comments on Fake Voting Campaign Steals Facebook Users’ Identities

Contributor: Parag Sawant

Phishers continuously come up with various plans to enhance their chances of harvesting users’ sensitive information. Symantec recently observed a phishing campaign where data is collected through a fake voting site which asks users to decide whether boys or girls are greater.

The phishing page, hosted on a free Web hosting site, targets Facebook users and contains a fake voting campaign, “WHO IS GREAT BOYS OR GIRLS?” along with the “VOTE” button to register votes. The page is also embedded with pair of bar charts representing voting ratio and displays the total votes gained for the last four years. These give a more legitimate feel to the fake application.

figure1_1.jpg
Figure 1. The Facebook application asks  users to register their votes

The first phishing page contains a button to initiate the voting process. After the button is clicked, a pop-up window appears, asking for a user’s login ID and password, as shown below:

figure2_0.jpg
Figure 2. A popup window requesting for user account information

The pop-up also contains two option buttons to vote for either male or female, and a button to submit the vote. After all the details and fields have been entered and filled up, the page then redirects the user to an acknowledgement page to confirm his or her voting information.

figure3.jpg
Figure 3. A voting confirmation message is displayed after user information is entered

We then tried returning to the first page and found that the vote count increases periodically. The number was previously 4,924,055 but has now increased to 4,924,096.

figure4.jpg
Figure 4. A comparison of the previous vote count and the current vote count

The phishers used the following phishing URL, and a subdomain to indicate that it is an application:
http://smartapps[DOMAIN NAME].com

If any user falls victim to the site, the phishers would then have successfully stolen personal user information for identity theft purposes.

The use of fake applications as bait is not uncommon, and Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks:

  • Check the URL in the address bar when logging into your account to make sure it belongs to the website that you want to visit
  • Do not click on suspicious links in email messages
  • Do not provide any personal information when replying emails
  • Do not enter personal information in a pop-up page or window
  • Ensure that the website is encrypted with an SSL certificate by looking for the padlock image/icon, “HTTPS”, or the green address bar when entering personal or financial information
  • Use comprehensive security software, such as Norton Internet Security or Norton 360, to be protected from phishing and social networking scams
  • Exercise caution when clicking on enticing links sent through emails or posted on social networks

Twitter ???: ???????????? Web ????????????????

      No Comments on Twitter ???: ???????????? Web ????????????????

先週、Twitter アカウントが大量に侵入を受け、「miracle diet(奇跡のダイエット)」スパムを拡散するスパマーに悪用されました。侵入されたのは、有名人のアカウントだけではなく、一般の Twitter ユーザーのアカウントも被害に遭っています。

Figure1_10.png
図 1. Twitter の「奇跡のダイエット」スパム

見覚えのある攻撃
ダイエットスパムは珍しいものではなく、さまざまなソーシャルネットワークサイトに登場しており、Twitter も例外ではありません。シマンテックは何年にもわたって、最近のダイエット熱に乗じようと多種多様な活動が繰り返されていることを確認しています。今回のケースでは、スパマーは Women’s Health の Web サイトに酷似したデザインのページで、ガルシニアの抽出物を売り込もうとしています。

Figure2_6.png

図 2. この攻撃のスパマーが使っている偽の宣伝ページ

侵入を受けた著名なアカウント
今回のスパム攻撃では、スポーツ選手、政治家、テレビプロデューサー、ブロガー、コメディアンといった有名人のアカウントが侵入を受け、何十万というフォロワーに向けて爆発的な勢いで拡散に利用されました。

Figure3_4.png
図 3. 侵入を受けた 2 人の有名人のアカウント

ツイートの多くには、「I couldn’t believe it when I lost 6 lbs(信じられない、3 キロも痩せるなんて!)」、「I was skeptical, but I really lost weight!(半信半疑でしたが、本当に痩せられました!)」などというメッセージが記され、Bitly.com を使った短縮 URL が続いています。

有名人、著名人が商品の推薦役として利用されるのはよくあることです。今回侵入を受けたアカウントのなかには、世界最高の筋肉美モデルと言われるジェイミー・イーソン(Jamie Eason)さんも含まれていました。ジェイミーさんのようなアカウントに侵入したスパマーは、ユーザーをそそのかしてリンクをクリックさせ、スパムを拡散させたうえで、あわよくばダイエット商品を購入させようとしています。

被害を受けた有名人の中には、単にスパムツイートを削除した人もいれば、アカウントが侵入を受けたことを率直に認めている人もいます。

Well, I *did* lose some weight recently. (No idea where that came from.)

— Jason Kottke (@jkottke) 2014 年 4 月 1 日

Thank you for tweeting about your recent weight loss strange hacker but please stop. Sorry for those tweets, I got hacked!

— Sebastian Vollmer (@SebVollmer) 2014 年 4 月 1 日

Looks like I got hacked. Sorry about that folks. I was not truly amazed by that diet link.

— JJ Redick (@JJRedick) 2014 年 3 月 31 日

侵入を受けた Web サイト
今回のスパム攻撃が過去のスパムに比べて際立っているのは、大量の Web サイトにも侵入を果たしており、それが「奇跡のダイエット」宣伝ページへのリダイレクトに使われていることです。

Figure4_5.png
図 4. 侵入を受けた Web サイト。サポート対象外の Joomla が稼働している

侵入を受けていることをシマンテックが確認した Web サイトでは、コンテンツ管理システム Joomla の古いバージョンが稼働しています。具体的にはバージョン 1.5 で、これは 2012 年 9 月に、開発者によるサポートが終了しています。

Figure5_2.png

図 5. スパムのリンクから、脆弱な Joomla の拡張機能が明らかに

このスパマーは、Joomla 用の jNews 拡張コンポーネントに存在する脆弱性も標的にしている節があります。シマンテックは、多くのサイト管理者に接触して、侵入を受けていることを通知しました。

Pinterest スパムとの関連
3 月の末には TechCrunch が Pinterest 上のスパムに関する記事を公開しました。TechCrunch 共同編集人のひとりがアカウントに侵入を受け、ダイエットの写真をピンするために使われたのです。シマンテックの調査によると、リダイレクトとして機能している画像の説明と感染サイトは、今回の Twitter に対する攻撃で使われていたものと似ているため、この 2 つの攻撃は、同じスパマーによるものと思われます。

Figure6_0.png
図 6. TechCrunch 共同編集人が侵入を受けた Pinterest アカウント

結論
ダイエットスパムは今やおなじみになり、ソーシャルネットワークはスパマーが無防備なユーザーから金銭を巻き上げる格好の場となっています。今回のスパマーが一連の Twitter アカウントに侵入した手口はまだ判明していませんが、このページの手順に従って自身のアカウントを保護することをお勧めします。Web サイトを運営している場合には、コンテンツ管理システムを最新バージョンに移行することを検討してください。また、セキュリティパッチをすべて適用して拡張機能を更新し、Web サーバーでディレクトリのアクセス許可も再確認してください。

シマンテックは、今回の攻撃の監視を続けており、Twitter 社にも Bitly 社にもサポートを依頼したところです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????: ?????????????????????????

      No Comments on ???????????????????: ?????????????????????????

bankeiya_concept.png
ここしばらく、日本のインターネットユーザーは SpyEye(Trojan.Spyeye)や Zeus(Trojan.Zbot)といった、オンラインバンキングを狙うトロイの木馬への対応に悩まされ続けています。これらのマルウェアによる被害件数も、銀行口座から引き出された金額も、驚くほどの割合で急増しています。警察庁によれば、オンラインバンキングでの不正な引き出しの件数は、2012 年の 64 件から、2013 年には 1,315 件へと跳ね上がりました。これだけでも、その深刻さがうかがえるでしょう。預金の被害額も、2012 年には 4,800 万円だったものが、2013 年には約 14 億円にのぼっています。

先日は、日本のユーザーから銀行口座に関する情報を盗み出そうとする複数のマルウェアファミリーも見つかっています。最近確認されたものとして Infostealer.AyufosInfostealer.TorpplarInfostealer.Bankeiya がありますが、今回は Infostealer.Bankeiya について詳しく説明します。

シマンテックが Infostealer.Bankeiya に注目し始めたのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃の拡散が確認された 2 月のことです。この脆弱性についても、以前のブログでお伝えしています。当時はまだ、この脆弱性に対するパッチが公開されていなかったため、Internet Explorer 9 と 10 のユーザーは無防備なままになっていました。Infostealer.Bankeiya の開発者は、その状況につけ込み、さまざまな正規の Web サイトに侵入してドライブバイダウンロード攻撃を仕掛けたのです。3 月 11 日にパッチが公開されてもなお、盛んな攻撃が続きました。攻撃された正規サイトには、旅行代理店、テレビ局、宝くじのサイトのようにアクセス数の多いものから、少数ながらオンラインショップ、コミュニティサイト、個人 Web サイトなど小規模なサイトも含まれています。

Infostealer.Bankeiya の調査をさらに進めたところ、これは新しいマルウェアファミリーではないことが判明しました。実際に最初の亜種が発見されたのは 2013 年 10 月のことで、それ以来多くの亜種が確認されています。Infostealer.Bankeiya の目的は、侵入先のコンピュータからオンラインバンキングに関する情報を盗み出すことだけです。システムに感染するときに、Internet Explorer の脆弱性だけでなく、「Oracle Java SE に存在するリモートコード実行の脆弱性」(CVE-2013-2463)も悪用されていることをシマンテックは確認しています。他の脆弱性が悪用されている可能性も否定できません。

Infostealer.Bankeiya による典型的な攻撃の手順は、以下のとおりです。

  1. 攻撃者が正規の Web サイトに侵入し、訪問者のコンピュータに感染するための悪用コードを仕掛けます。
  2. 脆弱性が残っているコンピュータを使ってユーザーがこのサイトにアクセスすると、システムが Infostealer.Bankeiya に感染します。
  3. Infostealer.Bankeiya は、IP アドレス、Mac アドレス、OS のバージョン、インストールされているセキュリティソフトウェアなど、侵入先のコンピュータに関する情報をアップロードします。
  4. 次に、暗号化された設定データをダウンロードします。これには、Infostealer.Bankeiya の更新版が置かれている場所として、次のいずれかの情報が指定されています。
    1. 暗号化されたデータホストすることだけを目的としたブログページ上のプロファイル
    2. 侵入先 Web サイトの特定の URL
  5. 更新が見つかった場合には、新しいバージョンをダウンロードし、自身を置き換えます。更新版には、新しいコマンド & コントロール(C&C)サーバーの場所に関する情報が含まれています。
  6. 標的となったオンラインバンキングサイトに被害者がログインすると、偽のポップアップウィンドウが表示されます。言うまでもなく、被害者にオンラインバンキングの情報を入力させることを狙ったものです。
  7. ここで入力した情報は C&C サーバーに送信されて保存され、攻撃者が取得できるようになります。

figure1_19.png
図 1. Infostealer.Bankeiya の C&C サーバーのログインページ

シマンテックは、コンピュータに侵入した Infostealer.Bankeiya からそれ以上のデータが攻撃者に送信されないように、既知の C&C サーバーをシンクホールに捕捉しました。また、被害者のコンピュータからのアクセスログを記録してサーバーを監視し、この攻撃の拡散状況も概算しました。シマンテックがこれを実行したのは 3 月中旬のある 1 週間ですが、その結果によると最大 20,000 台のコンピュータが感染していたことになります。その大多数が日本国内の IP アドレスからのアクセスで、そのことに驚きはありませんが、感染件数を考えるといささか深刻です。以下に示す数字はインターネット上でサーバーにアクセスしていたデバイスの数に基づいており、一部のデバイスは感染していないシステムのため除外されていることに注意してください。

figure2_18.png
図 2. C&C サーバーにアクセスしていたデバイス

シンクホールのデータによれば、日本に次いで被害が多かったのは香港です。これは、CVE-2014-0322 の悪用コードに狙われたコンピュータについて以前のブログで示したデータとも一致していますが、それには理由があります。シマンテックの調査では、ファイルを使って Bitcoin をマイニング(採掘)する別種の攻撃との関連性も確認されています。侵入を受けた香港のフォーラムサイトにアクセスするユーザーを標的とした攻撃もあります。このケースでは、コンピュータのハードウェアを悪用して Bitcoin を採掘するために、jhProtominer という Bitcoin マイニングソフトウェアを被害者のコンピュータにダウンロードして実行する目的で CVE-2014-0322 の悪用コードが使われています。攻撃者は、国境を越えた別のユーザーを標的にすることにも意欲的なようで、利益のためならどのような機会も利用しようと狙っています。

マルウェア感染の多くは、侵入を受けた正規のサイトにアクセスしたために起きています。あらゆるソフトウェア製品は、最新のパッチを適用して頻繁に更新することが重要です。Infostealer.Bankeiya に悪用された脆弱性のケースのように、パッチが公開されていない場合もあります。そのような場合でも、セキュリティソフトウェアはコンピュータのセキュリティを強化するために効果があるので、セキュリティソフトウェアをインストールして最新の状態に保つようにしてください。こうした推奨事項に従えば、ほとんどの感染は予防できるものです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How do I fix an incorrect Microsoft Action Center warning?

      No Comments on How do I fix an incorrect Microsoft Action Center warning?

Question of the week: After the latest avast! update, I got a warning from the Microsoft Action Center that my antivirus is not working. It is working fine. How can I get this warning to go away? The Microsoft Action Center is a central place to view important messages about security and maintenance and take […]

Applying for an SSL certificate? Do your homework first!

      No Comments on Applying for an SSL certificate? Do your homework first!

homework-blog-1.png

If you need an SSL certificate to protect your website or some other business-critical application such as email or storage systems, then you need to remember your ABCDs.

A is for the Appropriate certificate

There are a few different types of SSL certificate out there for different applications. For example, there are Unified Communications Certs (UCC) and code signing certificates. But the most common type is designed to secure a website, authenticate it and encrypt the traffic between the site and the user.

Within this group there are SSL Wildcard certificates that are ideal if you want to protect multiple subdomains of the same address, for example if you had multiple sites for different languages such as uk.company.com and us.company.com.

For other certificates, you have a choice of Extended Validation certificates which give site visitors visible reassurance about the provenance of the site and regular certificates. Within the Symantec SSL portfolio, there are different levels of encryption, different types of the encryption algorithm and security but they all include daily website malware scanning and Symantec Seal-in-Search.

More information about Symantec SSL certificates.

homework-blog-2.png

B is for Best support

Before you buy a certificate, it’s important to check that you’ll get the support you need. Sometimes, even the most proficient IT managers needs help with a particularly complex certificate problem. With Symantec, you’ve got multi language 24/7/365 support on tap.

C is for Certificate Authority

Not all SSL is the same because not all CAs are the same. Founded as VeriSign in 1995, we support the world’s largest and most critical certificate deployments. Our validation services process on average over four and a half billion hits per day – with zero downtime in more than ten years. This is why 97 of the world’s 100 largest financial institutions and 75 percent of the 500 biggest e-commerce sites in North America use SSL Certificates from Symantec.

D is for Documentation

Before you request a certificate, especially an Extended Validation (EV) certificate, it helps to have all your documentation ready. You’ll need to authenticate your organisation, prove you have authority to request a certificate, authenticate your domain and, in some cases, verify the organisation with additional documentation.

The more you know the better prepared you can be to enrol and install your certificate. Read on to find out how SSL and using the Norton Secured Seal on your site can help you succeed online.

For SSL download our interactive SSL resource, ‘SSL Explained’ now.