About a year ago, we published this analysis about a pharming attack against Korean bank customers. The banks targeted by cybercriminals included NH Bank, Kookmin Bank, Hana Bank, ShinHan Bank, and Woori Bank. With the rise of Android-powered devices, these attacks now occur not only on the Windows platform, but also on the Android platform. […]
先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃について詳細が判明しました。
図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃
攻撃の手口
この水飲み場型攻撃で標的になったのは、vfw.org(海外戦争復員兵協会)の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ(aliststatus.com でホストされています)がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを Trojan.Swifi として検出します。
SWF ファイルによって脆弱性が悪用されると、aliststatus.com ドメインから次のダウンロードが実行され、ペイロードの最終段階が開始されます。ここで最初にダウンロードされるのは、erido.jpg という名前の PNG 画像ファイルです(Trojan Horse として検出されます)。この画像ファイルに埋め込まれている複数のバイナリが、SWF ファイルによって実行されるシェルコードによって抽出されます。埋め込まれているバイナリは sqlrenew.txt と stream.exe です。sqlrenew.txt は、その名前とは違い実際には DLL ファイルであり、同じく Trojan Horse として検出されます。stream.exe は Backdoor.Winnti.C として検出されます。
SWF ファイルに含まれるコードが DLL ファイル sqlrenew.txt の読み込みを実行し、この時点で DLL が処理を引き継いで、最終的なペイロードである stream.exe を起動します。このサンプルは、攻撃者が制御する newss.effers.com サーバーへの接続を実行します。
過去の攻撃との関連性
調査を進める過程で明らかになったデータから、今回の攻撃は、シマンテックが Hidden Lynx(謎の山猫)と呼んでいる悪質なグループと関係することが示唆されます。Backdoor.Moudoor を使ったこのグループによる以前の攻撃で確認されたインフラが今回も使われていることが、データに示されています。
今回の攻撃に対する防止策と緩和策
Internet Explorer 10 を使っていないユーザーや、Mac OS 向けのブラウザを使っているユーザーは、この脆弱性の影響を受けません。Windows で Internet Explorer 10 を使っている場合には、別のブラウザを使うか、Microsoft の Enhanced Mitigation Toolkit(EMET)をインストールする、またはブラウザを新しいバージョンにアップグレードするなどの緩和策が考えられます。また、関連するパッチが公開され次第、速やかに適用することもお勧めします。
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。
ウイルス対策
侵入防止シグネチャ
シマンテックの遠隔測定によると、ペイロードの一部は以下のヒューリスティック検出定義によって各段階で検出されていることも判明しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In an earlier blog, Symantec highlighted that we were investigating reports of a zero-day exploit affecting Internet Explorer 10 in the wild. Now we have further details on the attack leveraging this new zero-day, Microsoft Internet Explorer CVE-2014-0…
Most people who are using an online dating site will tell you that their goal is to get off of it as soon as possible. But you have to get on before you can find success, so if you’re just starting, you picked a good time. The two months between Christmas and Valentine’s Day see […]
シマンテックは現在、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査しています。これは、米国の Web サイトに侵入し、それをホストとして利用した「水飲み場型」攻撃のようです。無警戒なユーザーが水飲み場型攻撃の Web サイトにアクセスすると、ゼロデイ攻撃がホストされている別の侵入先の Web サイトにリダイレクトされます。
シマンテックはこのゼロデイ脆弱性の可能性について、攻撃経路や関連するサンプルの解析を続けています。初期の解析によって、Adobe Flash の悪質な SWF ファイルに、32 ビット版の Windows 7 と Internet Explorer 10 を標的にしていると思われるシェルコードが含まれていることがわかりました。被害者のデスクトップのスクリーンショットを撮り、攻撃者が被害者のコンピュータを制御できるようになるバックドアも特定されています。シマンテックはこのファイルを Backdoor.Trojan として検出します。
また、今回の水飲み場型攻撃に対して以下の IPS 定義も提供しています。
シマンテックセキュリティレスポンスは現在、この問題について Microsoft 社と連携しており、保護対策の更新を予定しています。引き続き、このブログで情報更新をご確認ください。
更新: 2014 年 2 月 14 日
このゼロデイ攻撃の可能性に関連するファイルについて新しい情報があります。
危殆化した Web サイトにインジェクトされた iframe によって読み込まれる悪質な .html ページは、Trojan.Malscript として検出されます。この悪質な .html ページは、リモートサイトから PNG ファイルをダウンロードする Flash ファイル (Trojan.Swifi として検出されます) を実行します。PNG ファイルを開くと、無害そうに見えるソフトウェアのロゴが表示されますが、実際には暗号化された 2 つのファイルが画像ファイルの末尾に添付されています。そのうちの 1 つは DLL ファイルで、その唯一の目的は、最初に説明したペイロードであるもう一方のファイルを実行することです。この DLL は Trojan Horse として検出され、ペイロードの検出名は Backdoor.Trojan から Backdoor.Winnti.B に変更されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Symantec is currently investigating reports of a potential zero-day exploit affecting Internet Explorer 10 in the wild. This appears to be a watering hole attack that was hosted on a compromised website in the United States. The watering hole attack website redirected unsuspecting users to another compromised website that hosted the zero-day attack.
We continue to analyze the attack vector and associated samples for this potential zero-day. Our initial analysis reveals that the Adobe Flash malicious SWF file contains shell code that appears to be targeting 32-bit versions of Windows 7 and Internet Explorer 10. We have identified a back door being used in this attack that takes screenshots of the victim’s desktop and allows the attacker to take control of the victim’s computer. We identify and detect this file as Backdoor.Trojan.
Symantec also has the following IPS coverage for this watering hole attack:
Symantec Security Response is currently working with Microsoft on this issue and will continue to update our protections. Please monitor our Security Response blog for further developments.
Innovative offering provides comprehensive web app vulnerability detection and protection
Love is in the air! People are going out to buy boxes of chocolates and flowers for their loved ones, preparing for romantic dinners, and some are hoping that a secret admirer will confess their love. Some seek help from the Internet to make Valentine’s Day as romantic as possible and since many people check […]
More than 20,000 people entered our Referral Program last month, giving us a lot of entries to go through and a lot of data to tally. In the end, our grand prize winner came from Brazil, bringing in the largest share of the more than 145,000 new people who joined the AVAST community as a […]
写真共有アプリ Snapchat を利用したスパムの最近の傾向として、フルーツやフルーツ系ドリンクのスパム写真がユーザーの連絡先に送信されるケースが増えています。写真のリンク先は、「Frootsnap」や「Snapfroot」という Web サイトです。
図 1. Snapchat 上のフルーツスパム
シマンテックは数カ前から Snapchat スパムを追跡していますが、偽アカウントからではなく実在するユーザーのアカウントからスパムが送信されたのは、今回が初めてです。アカウントが危殆化してダイエットスパムを送信させられているのです。
Instagram をお使いであれば、昨年の夏に同様の攻撃活動があったことを思い出されるかもしれません。大量のアカウントが危殆化し、奇跡のダイエットフルーツという謳い文句で今回と同じような画像やメッセージが投稿されたことがありました。
frootsnap.com または snapfroot.com という Web サイトにアクセスさせられた Snapchat ユーザーは、偽のページにリダイレクトされます。これは Groupon の商品案内サイトに似たテンプレートをコピーしたページで、30 日分の減量サプリメントを無料進呈するとも書かれています。典型的なダイエット薬品スパムです。
図 2. 減量サプリメントを進呈すると謳う Web サイト
このサイトは Groupon とアフィリエイト関係があるわけではなく、信憑性を持たせるために「いいね」ボタンが設置されています。無料のサプリメントをもらおうとすると、securehlthbuyer.com という 2 番目のサイトにリダイレクトされます。このサイトは securebuyerpath2.com という、過剰な請求をめぐって苦情が寄せられているサイトと関連しています。
現時点で、シマンテックは正規のアカウントが危殆化した経緯を確認していません。シマンテックは、このブログを公開する前に Snapchat 社に連絡して調査に協力しています。調査は今も継続中ですが、Snapchat 社からは以下の声明が届いています。
「Snapchat において昨日、ユーザー数は少ないながらも、そのアカウントから不審な写真が送信されるというスパム事案が発生しました。弊社セキュリティチームはアカウントを保護するための措置を追加しました。悪用を避けるために、強力かつ固有のパスワードをお使いください」
また、スパムメッセージを止めようとして Snapchat アプリを端末から削除したが、スパムは止まらなかったというユーザーの報告も受けています。自分のアカウントからこのようなスパムメッセージが送信されていることを確認した場合は、ただちにパスワードを変更するのが最善の対策です。
図 3. Snapchat のパスワードの変更方法
Snapchat のパスワードを変更するには、Snapchat の Web フォームまたはアプリ内で、[Settings]の[Support]セクションに進んでください(図 3)。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。