HACKER MEDICINE – Page 362 – …a valuable resource for securing websites, PCs and mobile devices

??????????????????????????

Hacker Medic March 12, 2014 No Comments

2014 年 3 月 7 日以降、情報を盗み出す目的のマルウェアが添付された新しいスパム攻撃が確認されています。スパムメールは、通常、多数のユーザーに送信されるものですが、今回の攻撃は、日本のオンラインショッピングサイトの管理者に狙いを絞っているようです。

攻撃者が今回のように特定のユーザーを標的にする理由はさまざまです。多くのオンラインストアは、Web サイト上で連絡先の情報が公開されており、サイトをクロールして電子メールアドレスを簡単に収集できるので、容易に標的として狙うことができます。企業のアカウント情報を入手して、ストアで管理されているデータを盗み出す目的とも考えられます。あるいは、ショッピングサイトに侵入し、ストアへの訪問者に対してさらに攻撃を仕掛けようとしているのかもしれません。

Infostealer.Ayufos として検出されるこのマルウェアは、情報を盗み出すトロイの木馬としては基本的なものですが、攻撃者が狙っているデータをほぼ何でも盗み出すように作成されており、以下のような機能を持っています。

スクリーンショットを取得する
キーストロークを記録する
クリップボードのデータを取得する
複数のアプリケーションのアカウント情報を盗み出す
ある電子メールアカウント宛てに、取得した情報を SMTP で送信する

ただし、詐欺の手法としてはあまり手が込んでおらず、電子メールにはごく短い数行の文と添付ファイルがあるだけです。実行可能ファイルが添付されているという事実を隠そうともしていません。典型的なスパム攻撃の場合、攻撃者は実行可能ファイルを画像ファイルなどに偽装して、正規の電子メールを装うものです。今回の攻撃を仕掛けた攻撃者は、ごく一部のコンピュータに侵入することだけを狙っていたか、あるいは騙されやすいユーザーがあちこちにいると期待したに違いありません。

図 1. スパムメールのサンプル。届いた商品が破損していたと主張して交換を求めている

Infostealer.Ayufos の初期のサンプルは昨年の 12 月に特定されていますが、それ以降に確認されている亜種はほんの少しです。日本のオンラインストアを狙う亜種だけでなく、英語圏のストアを標的とするものもあります。

図 2. 添付したソフトウェアの確認を求めるスパムメッセージの例

図 3. 英語圏のストアを標的にしたスパムメッセージの例

スパムを使ってオンラインストアを狙う攻撃は毎日のように見つかるわけではありませんが、今回の攻撃が例外ということでもありません。サイバー犯罪者は常に進化し、狙った相手の油断につけ込もうと戦略を練り続けています。今回の攻撃者が、再度ユーザーを狙うことはほぼ間違いありません。オンラインストアを運営している場合は、不明な送信者からの迷惑メールの取り扱いに注意してください。また、国や地域にかかわらず、基本的なセキュリティ対策（ベストプラクティス）に従うようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

AVAST gets Smart Choice award from FindTheBest

Avast Blog March 11, 2014 No Comments

You have probably read reviews on Amazon when buying a book or electronics, and Yelp helps greatly when looking for a new restaurant to visit. These two are popular examples of rating and review sites that help consumers get information about products and services. FindTheBest is a research platform that attracts 20 million visitors monthly. […]

Microsoft Patch Tuesday – March 2014

Hacker Medic March 11, 2014 No Comments

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing five bulletins covering a total of 23 vulnerabilities. 19 of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

Install vendor patches as soon as they are available.
Run all software with the least privileges required while still maintaining functionality.
Avoid handling files from unknown or questionable sources.
Never visit sites of unknown or questionable integrity.
Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the March releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms14-mar

The following is a breakdown of the issues being addressed this month:

MS14-012 Cumulative Security Update for Internet Explorer (2925418)

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0297) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0298) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0299) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0302) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0303) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0304) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0305) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0306) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0307) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0308) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0309) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0311) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0312) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0313) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0314) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0321) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0322) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
MS14-013 Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (2929961)

DirectShow Memory Corruption Vulnerability (CVE-2014-0301) MS Rating: Critical

A remote code execution vulnerability exists in the way that Microsoft DirectShow parses specially crafted JPEG image files. The vulnerability could allow a remote code execution if a user opens a specially crafted image file. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS14-014 Vulnerability in Silverlight Could Allow Security Feature Bypass (2932677)

Silverlight DEP/ASLR Bypass Vulnerability (CVE-2014-0319) MS Rating: Important

A security feature vulnerability exists in Silverlight due to the improper implementation of Data Execution Protection (DEP) and Address Space Layout Randomization (ASLR). The vulnerability could allow an attacker to bypass the DEP/ASLR security feature, most likely during, or in the course of exploiting a remote code execution vulnerability.
MS14-015 Vulnerabilities in Windows Kernel Mode Driver Could Allow Elevation of Privilege (2930275)

Win32k Elevation of Privilege Vulnerability (CVE-2014-0300) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Information Disclosure Vulnerability (CVE-2014-0323) MS Rating: Important

An information disclosure vulnerability exists in the way that the Windows kernel-mode driver improperly handles objects in memory.
MS14-016 Vulnerability in Security Account Manager Remote (SAMR) Protocol Could Allow Security Feature Bypass (2934418)

SAMR Security Feature Bypass Vulnerability (CVE-2014-0317) MS Rating: Important

A security feature bypass vulnerability exists when the Security Account Manager Remote (SAMR) protocol incorrectly validates the user lockout state.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

Online Stores Targeted with Information-Stealing Trojan

Hacker Medic March 11, 2014 No Comments

A new spam campaign with an information-stealing malware attachment has been circulating since March 7, 2014. While spam emails are typically sent to many people, in this campaign, the spammer has limited their targets to administrators of online Japanese shopping sites.

The attacker may have targeted these recipients for various reasons. As most online stores provide contact details on their Web page, they become easy targets since their email addresses can be easily harvested by crawling sites. The attacker could also have targeted the recipients to get the companies’ account details in order to steal data maintained by the stores. The attacker may have also wanted to compromise the shopping sites in order to carry out further attacks against the store’s visitors.

The malware, detected as Infostealer.Ayufos, is a basic information-stealing Trojan horse that is built to steal practically any data that the attacker requires. It has the following capabilities:

Captures screenshots
Logs keystrokes
Acquires clipboard data
Steals account credentials for several applications
Sends the acquired information to an email account using SMTP

The attacker does not appear to have put too much effort into this scam. The email merely contains a couple of basic sentences along with the attachment. The attacker doesn’t try to hide the fact that they have attached an executable to the message. In typical spam campaigns, attackers disguise the executable as an image file to make it appear legitimate. The attacker behind this campaign must have either aimed to compromise only a handful of computers or they hoped that there were enough gullible recipients out there.

Figure 1. An example of the spam email, which claims that the sent item is broken and requires a replacement to be sent back

Symantec identified earlier samples of Infostealer.Ayufos in December of last year, but we have seen a handful of variants ever since. The variants have not only targeted Japanese online stores, but stores for English-speaking regions as well.

Figure 2. An example of a spam message which asks the user to check the attached software

Figure 3. An example of spam messages targeting English-speaking regions.

While we don’t see attackers targeting online stores with spam campaigns every day, this occurrence is certainly not extraordinary. Cybercriminals continue to evolve and modify their strategies to catch their targets off guard. There is almost no doubt that this attacker will target users again. Online store owners should be wary when handling unsolicited emails sent from unknown senders and should follow best security practices regardless of the region.

Trend Micro Earns 2014 CRN Channel Champions Award

Hacker Medic March 11, 2014 No Comments

Innovative endpoint solution recognized for best technical satisfaction

2934088 – Vulnerability in Internet Explorer Could Allow Remote Code Execution – Version: 2.0

Hacker Medic March 11, 2014 No Comments

Revision Note: V2.0 (March 11, 2014): Advisory updated to reflect publication of security bulletin.Summary: Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS14-012 to address this issue. For more in…

Vulnerability in Internet Explorer Could Allow Remote Code Execution – Version: 2.0

Hacker Medic March 11, 2014 No Comments

Update for Vulnerabilities in Adobe Flash Player in Internet Explorer – Version: 21.0

Hacker Medic March 11, 2014 No Comments

Severity Rating: Revision Note: V21.0 (March 11, 2014): Added the 2938527 update to the Current Update section.Summary: Microsoft is announcing the availability of an update for Adobe Flash Player in Internet Explorer on all supported editions of Windo…

Microsoft Security Advisory (2934088): Vulnerability in Internet Explorer Could Allow Remote Code Execution – Version: 2.0

Hacker Medic March 11, 2014 No Comments

Severity Rating: Revision Note: V2.0 (March 11, 2014): Advisory updated to reflect publication of security bulletin.Summary: Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS14-012 to address this i…

?????????? Bitcoin ?????????

Hacker Medic March 10, 2014 No Comments

Bitcoin Woes 1.png

仮想通貨 Bitcoin は、この数週間というもの激しい動乱の時期を迎えています。Bitcoin のソフトウェアで新たに公表された脆弱性が攻撃者に集中的に狙われ、莫大な額が引き出されてしまったからです。これにより、かつて世界最大の Bitcoin 取引所だった Mt Gox は破綻に追い込まれ、多くの投資家がその預金を失いました。この盗難により Bitcoin の価値はいったん暴落しましたが、その後は大幅に回復しており、リスクがあるにもかかわらず投資家が依然として貪欲であることを示唆しています。とはいえ、ひとたび弱点が見つかれば攻撃者は徹底的にそこに群がり、根こそぎにしようとするということが、今回の一連の事件で明らかになったのは間違いありません。

事件の最初の兆候があったのは、Mt Gox が預金引き出しの停止を発表した 2 月 7 日のことです。Mt Gox は日本に拠点を置く交換所で、Bitcoin のソフトウェアに存在するバグの修正に取り組み中であり、預金引き出しのフローがその作業の支障になるためと説明していました。この時点では、何らかの問題があると思わせる要素はありませんでしたが、Mt Gox からの発表が Bitcoin の価値暴落の引き金になりました。これ以前には 800 ドル以上で取り引きされていた Bitcoin が、約 650 ドルにまで下落したのです。

このとき突かれたのは、「トランザクション展性」と呼ばれるバグです。攻撃者は、これを利用して取引情報を書き換え、実際には発生していた Bitcoin ウォレットへの送金を、なかったように見せかけることができます。トランザクションが正常に処理されなかったように見えるため、送金者を欺けば、Bitcoin を再送金させることも可能です。

それから数日のうちに、この問題は拡散します。脆弱性の悪用を狙った攻撃者が分散サービス拒否攻撃（DDoS）を仕掛けたため、さらに 2 カ所の Bitcoin 取引所が預金の引き出し停止を余儀なくされました。スロベニアに拠点を置く Bitstamp と、ブルガリアで営業している BTC-e の 2 つの取引所がともに攻撃を受け、どちらにもシステム全体の混乱を狙った不正なトランザクションが殺到しました。

Bitstamp と BTC-e は数日以内に平常営業に戻りましたが、Mt Gox はそうはいきませんでした。Mt Gox の預金の引き出し停止状態は 2 月 24 日まで続き、同日、取引が突然閉鎖されたのです。漏えいした社内文書によると、Mt Gox は大規模な窃盗の被害に遭い、数億ドル相当の通貨が盗み出されたものと思われます。

その 3 日後、Mt Gox は破産を申請し、5 億米ドル相当の通貨がシステムから盗み出されことを正式に認めました。同社の申し立てによると、Bitcoin のソフトウェアに存在するバグを悪用した攻撃者によって、顧客から預かっていた約 75 万枚、同社保有の 10 万枚の Bitcoin が盗まれたということです。

閉鎖後も、Mt Gox は依然として攻撃の標的になっていました。たとえば、利用者が盗まれた Bitcoin を同社が返金すると称する詐欺メールが早くも出回りました。この詐欺メールには、Bitcoin の返金請求方法についてのお知らせと称する動画へのリンクがあります。このリンクをクリックしたユーザーは、動画の再生に必要だとして Adobe Flash Player のインストールを促す Web サイトにリダイレクトされます。そこでインストールボタンをクリックすると、マルウェアが含まれている .rar 形式の圧縮ファイルがダウンロードされます。シマンテックは、このマルウェアを Trojan.Klovbot として検出します。

このフィッシング攻撃は、ある対象がいったん注目を集めたが最後、あたかも血の匂いに群がるサメのように攻撃者はあらゆる角度から悪用の可能性を検討して、実際に悪用しようとすることを示す格好の例です。

Bitcoin Woes 2.png

図 1: 攻撃後にいくぶん持ち直した Bitcoin の価値（出典: blockchain.info）

こうした最近の攻撃も、Bitcoin が攻撃にさらされた初めての事件ではありません。昨年遅くには、一連の仮想銀行強盗によって、数百万ドル相当の通貨が盗まれています。しかし、Mt Gox の破綻は、これまででも最大級のセキュリティ侵害です。にもかかわらず、Bitcoin を求める投資家の熱は冷めていません。Mt Gox の取引中止が報じられた時点で、Bitcoin は 2 月 6 日時点の 800 ドルから、2 月 26 日には 528 ドルへと暴落しましたが、その後は復調し、現在では 630 ドル前後で取り引きされています。わずか 1 年前には 42 ドルで取り引きされていたことを考えると、Bitcoin に対する一定の熱は、今回の攻撃にもかかわらずまだ続きそうです。こうした楽観的な展望が、保証の限りでないことは言うまでもありません。