Even with precautions like complex passwords, limiting what you share on Facebook, and avoiding banking on unsecure WiFi networks, we know now that our online searches, websites we visit, and emails we send can easily be snooped on by cybercrooks. Public WiFi at the local coffee shop or airport is convenient, but it’s not safe. […]
Tuesday, January 28 is Data Privacy Day, an international effort to empower and educate people to protect their privacy and control their digital footprint. Here at AVAST, we will take the whole week to talk about privacy, and how we can make the protection of privacy and data a greater priority in our lives. Make […]
The AVAST Free for Education team is excited to be attending FETC 2014 in Orlando, Florida for the first time! As part of our preparations we’ve been making an essentials packing list, which we thought we’d share with you… Personal essentials Comfy spring clothes We checked the weather report and were excited to see that it’s going to […]
Beware of malformed FileZilla FTP client versions 3.7.3 and 3.5.3. We have noticed an increased presence of these malware versions of famous open source FTP clients. The first suspicious signs are bogus download URLs. As you can see, the installer is mostly hosted on hacked websites with fake content (for example texts and user comments […]
AVAST Software is proud to be a champion of Data Privacy Day, celebrated every year on January 28th. We encourage you to make protecting privacy and data a greater priority. Read on to find out if you are a Privacy Pro! Find out if you are a Privacy Pro or if you need to learn more to […]
Find out if you are a Privacy Pro or if you need to learn more to protect your personal information online by taking the My Privacy IQ Quiz. You can enter our quiz directly here, however you must be a Facebook user. For a chance to win a free license for avast! SecureLine VPN for Android or iOS or an […]
エンターテインメントシステムなどの多数の家庭用デバイスや、さらには冷蔵庫までがスパムを送信していたという、Proofpoint 社による調査に基づいた報道をご覧になった方もいるでしょう。こうしたネットワーク対応デバイスの集まりは、「モノのインターネット(IoT)」と呼ばれています。もともと、この調査レポートには証拠が伴っていなかったため、シマンテックはその内容を裏付けることができませんでしたが、新たな詳細情報が公開されたことにより、最近のスパム攻撃が、冷蔵庫などの IoT デバイスから送信されたものではないことを確認できました。
シマンテックは、一般に公開された情報から、今回のスパムが Windows コンピュータの感染に起因する典型的なボットネットによって送信されていることを突き止めました。シマンテックは、エンドポイントセキュリティ製品、スパムを受信するハニーポット、スパム始動コマンドを待ち受けるボットネットハニーポットなど、多様なソースから遠隔測定データを受信しています。そうしたすべてのソースからスパムを追跡したところ、複数の Windows コンピュータに辿り着きましたが、その一部は W32.Waledac(Kelihos)に感染していました。このスパムが Windows 以外のコンピュータシステムから発信された例は今までになく、使途不明の大量スパムが他のソースから発信されていることも確認されていません。
今回の冷蔵庫は無実でしたが、IoT デバイスからのスパム送信がありえないというわけではありません。シマンテックは最近、IoT に対する初めての脅威である Linux.Darlloz を発見しました。Linux.Darlloz は、ルーター、カメラ、エンターテインメントシステムといった Linux ベースの IoT デバイスに感染します。Darlloz で注目すべき点は、IoT デバイスに感染するだけでなく、Linux.Aidra という別の脅威との間でワーム戦争を巻き起こしていることです。Darlloz は、デバイスが Aidra に感染しているかどうかを確認し、感染している場合にはそのデバイスから Aidra を削除します。
これは、ワーム作成者が IoT という縄張りを争っていることが確認された初めての例であり、2004 年のワーム戦争を連想させます。対象となるデバイスの処理能力もメモリも限られていることを考えると、同様の縄張り争いは今後も起きると予想されます。
IoT デバイスを狙うマルウェアはまだ生まれたばかりですが、IoT デバイスはさまざまなセキュリティ問題に影響されやすいという性質を持っています。したがって、近い将来に冷蔵庫が本当にスパムを送信し始めたとしても、驚くほどのことではありません。PC の場合と同様に、IoT デバイス上のソフトウェアも最新の状態に保ち、ルーターの内側にデバイスを置いて、デフォルトのパスワードはすべて安全性の高いパスワードに変更してください。
ところで、冷蔵庫が悪質化してスパムの送信を始めたという誤った結論はどこから導き出されたのでしょうか。
あいにく、インターネット上の実際の物理デバイスについて製造元やモデルを特定することは容易ではありません。多くの家庭用デバイスはホームルーターの内側に置かれており、ネットワークアドレス変換(NAT)を利用しています。外部から見ると、ルーターの内側に置かれているデバイスはすべて同じ IP アドレスを共有しているため、ネットワークトラフィックの本来のソースが、ルーターの内側に置かれているデバイスなのか、またはルーター自体なのかを判断するのは困難です。しかも、ルーターで開いているポートを調べる場合、ルーターがポート転送を採用していると、ルーターの内側に置かれている 1 つ以上のデバイスが公開されることがあります。たとえば、外出中にテレビ番組を録画できるようにインターネットを介してデジタルビデオレコーダーにアクセスする用途など、家庭用デバイスへのリモートアクセスが可能なようにルーター上でポート転送が有効になっている場合があります。その場合、ルーターが存在していることさえ気付かず、公開されたデバイスだけがその IP アドレスを使っている唯一のデバイスだと思い込んでしまう恐れがあります。
図. 見た目と実際は同じではない
今回の場合、マルウェアに感染したコンピュータは、エンターテインメントシステムや冷蔵庫のような他の家庭用デバイスと同様、ホームルーターの内側に置かれていました。感染したコンピュータがボットコントローラから新しいスパムテンプレートを受け取ると、スパムはルーターを通過し、特定の IP アドレスから送られたように見えます。その IP アドレスを調べると、感染したコンピュータには到達せず、ルーターに辿り着きます。
また、冷蔵庫がポート転送という機能を使っていて、誰かがポート 80 で IP アドレスに接続する場合、そのトラフィックはスマート冷蔵庫に到達できることになります。外部から見ると、目に見えているのは冷蔵庫だけで、そこにルーターが存在していることや、感染したコンピュータなどその他の多くのデバイスがルーターの内側に存在する可能性に気付かないかもしれません。こうした誤解こそ、冷蔵庫がスパムを送信していたと報告された理由なのです。事実としては、冷蔵庫が、感染したコンピュータとたまたま同じネットワーク上にあったに過ぎません。
今回どのような経緯で誤解が生じたかを検証するために、シマンテックは Waledac に感染したコンピュータのパブリック IP アドレスを調べました。予想どおり、検証で何度も最終的にエンターテインメントシステムやその他の家庭用デバイスに到達しましたが、それらはたまたまルーターを介して公開され、Waledac に感染したコンピュータと同じネットワークを共有していただけでした。
今回 IoT デバイスの罪は晴れましたが、将来的にはスパム送信の元凶となる恐れがあると思われます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
The team that runs AVAST Free for Education is excited to be attending this year’s Florida Educational Technology Conference (FETC 2014) in Orlando, Florida, but also a little nervous about what to expect. Here’s the top 5 things we have been alerted to about our trip to The Sunshine State – Florida, USA! 1. Everything […]
Hemos visto en otras ocasiones que el malware para Android intenta infectar los sistemas de Windows. Por ejemplo, Android.Claco descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.
Curiosamente, ahora Symantec encontró algo que funciona al revés: es decir, una amenaza de Windows que intenta infectar los dispositivos Android.
La infección comienza con un Troyano que se llama Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde el siguiente servidor remoto:
Después, analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada:
El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge).
Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android conectado a la computadora afectada:
Figura 1. Comando para instalar el APK malicioso
Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.
El APK malicioso es una variante de Android.Fakebank.B y se presenta como una aplicación de la tienda de aplicaciones de Google.
Figura 2. APK malicioso simulado en la tienda de aplicaciones de Google.
Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a la siguiente ubicación:
Figura 3. Fragmento del código APK malicioso
Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:
The name CryptoLocker makes the hairs on the back of our neck stand up, and now researchers tell us that something worse may be coming. You recall that CryptoLocker locks up users’ machines, encrypts the files, then demands a payment to unlock the encrypted files. Even if the actual malware is removed, the data remains […]