???????: ????????????????????????

      No Comments on ???????: ????????????????????????

ここ最近、いくつものゼロデイ脆弱性が矢継ぎ早に出現しており、セキュリティ業界も世界中の IT 管理者も、その対応に追われています。集中攻撃の後で一息つく暇もなく、また新しいゼロデイ攻撃が登場し、問題を起こそうとしています。その対象は主として日本のユーザーです。今回の脆弱性は、日本のワープロソフトウェア「一太郎」に存在するからです。

一太郎の開発元、ジャストシステム社は先日、「複数の一太郎製品に存在する未解決のリモートコード実行の脆弱性」(CVE-2013-5990)により任意のコードが実行されることを発表しました。シマンテックは、2013 年 9 月にこの脆弱性の悪用を試みる攻撃が活動中であることを確認しましたが、シマンテックのテスト環境では、その悪用は機能せず、システムへの侵入は果たせませんでした。いつものとおり、シマンテックはこの発見に続いて、必要な脆弱性開示の手続きを取りました。

シマンテックの解析によると、今回の攻撃で Trojan.Mdropper として検出されるサンプルにはすべて、Backdoor.Vidgrab として検出される同じバックドア型のトロイの木馬が含まれていることが判明しています。悪用に成功すると、理論上はシェルコードが実行され、簡体字中国語版のメモ帳が投下されて起動する一方、システムが危殆化してバックドアがリモートサイトに接続します。これと同時に、同じ Backdoor.Vidgrab の亜種が、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3893)を悪用する水飲み場型攻撃のペイロードとして使われていました(この脆弱性に対しては 2013 年 10 月にパッチが公開済み)。このことから、Internet Explorer の脆弱性を悪用する攻撃と、一太郎の脆弱性を悪用する攻撃の背後には、同じマルウェアグループ、あるいは密接な関係にある別のグループが関与していると考えてもよさそうです。Backdoor.Vidgrab はアジア太平洋地域を狙っており、特に政府関連機関が主な標的となっていることがトレンドマイクロ社の調査によって明らかになっています。シマンテックの遠隔測定も、その見解と矛盾しません。

標的に Trojan.Mdropper が送信される際、電子メールには一太郎のファイル拡張子である .jtd の付いたファイルが添付されていますが、これは実際には .rtf(リッチテキスト形式)ファイルです。.jtd は一太郎専用のファイル形式なので、Microsoft Word でこのファイルを開くことはできません。この攻撃活動で注目に値するのは、マルウェアグループが電子メールに使っている件名も本文も、一般的な標的型攻撃の場合とは異なっていることです。この標的型攻撃で使われている電子メールの例を以下の図に示します。

Figure_1.png

図. 標的型攻撃に使われている電子メール

この電子メールは、日本で人気のあるオンラインショッピングサイトで各種の商品を購入するようユーザーを誘導します。また、会員が購入した場合にはもれなく通常の 2 倍のポイントを獲得でき、送料も無料になると謳っています。電子メールの添付ファイルは、一太郎の悪用コードを含むチラシです。

2013 年 6 月、シマンテックは .jtd 拡張子を使う類似の Trojan.Mdropper の亜種を確認しましたが、その送り先も上記のマルウェアを受け取った組織でした。異なっているのはファイル形式で、今回の攻撃ではリッチテキスト形式が使われていますが、以前の攻撃では Microsoft Graph グラフを埋め込んだ Microsoft Word 文書が使われていました。特別に細工された Word 文書は、簡体字中国語版の Microsoft Office で作成されたものです。シマンテックの調査によると、この悪用コードも脆弱性の悪用に失敗しています。悪用に成功していれば、シェルコードによって以下の URL からマルウェアがダウンロードされるはずでした。

http://googles.al[削除済み]my.com/index.html

このドメインをホストしているサーバーは、Mandiant 社が「APT12」と呼ぶグループに関連しており、そのマルウェア自体は Trojan.Krast として検出されます。

APT12 グループに属していると思われる攻撃者は、BackdoorVidgrab も開発した可能性があり、同一ではないものの類似の標的を執拗に狙って、一太郎の悪用を試みているようです。この攻撃者は、悪用コードがうまく動作するかどうかをテストするための実験材料として標的を利用している可能性もあります。また、今回の攻撃はただの前哨戦であり、電子メールの効果的な本文や件名、たとえば標的を欺いて悪質な添付ファイルを開かせるだけの説得力がある本文や件名を見つけるために実施されたテストである可能性もあります。

今回ご報告した .jtd ファイルは Trojan.Mdropper として検出されます。また、シマンテックの .Cloud 製品でも、悪質な一太郎ファイルが添付された電子メールは安全に遮断されます。

一太郎をお使いのユーザーは、感染を防ぐために、ジャストシステム社から最新のパッチをダウンロードして適用するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????? Linux ?????

      No Comments on ?????????????? Linux ?????

 

今年 5 月、攻撃者が巧妙な手口を使って、大手のインターネットホスティングプロバイダに侵入し、内部の管理システムへのアクセスに成功しました。この攻撃者は、ユーザー名、電子メールアドレス、パスワードなどの顧客情報を狙っていたようです。内部の管理システムから顧客情報にアクセスしていましたが、攻撃が露見し、一定のセキュリティも実装していたため、侵害の範囲は抑えられました。顧客のパスワードはアクセス可能でしたが、ハッシュ化と salt 処理が行われていたため大量クラッキングは困難な状態でした。また顧客の財務情報にもアクセス可能でしたが、暗号化されていました。残念ながら、暗号化キーへのアクセスを防ぐことはできません。企業に対するデータ侵害と顧客データの大量ダンプがほぼ毎日のように報告されていますが、今回の攻撃はこれまでよりはるかに巧妙です。

攻撃者は、標的の環境が通常は十分に保護されていることを把握していました。特に、疑わしいネットワークトラフィックやファイルのインストールがあるとセキュリティ確認のきっかけになることがあるため、そのようなトラフィックやインストールを回避する方法が必要でした。その巧妙さを示すように、攻撃者はステルス性を備えた独自の Linux バックドアを考案し、セキュアシェル(SSH)や他のサーバープロセス内に自身を忍ばせていました。

攻撃者は、このバックドアを利用して(リモートコマンドの実行など)通常の機能を実行できますが、ここではネットワークソケットを開いたり、コマンド & コントロール(C&C)サーバーへの接続を試みたりすることはありません。代わりに、バックドアコードを SSH プロセスにインジェクトし、ネットワークトラフィックを監視してコロン、感嘆符、セミコロン、ピリオド(:!;.)という文字のシーケンスを探します。

このパターンが見つかると、バックドアは残りのトラフィックを解析し、Blowfish で暗号化され Base64 エンコードされたコマンドを抽出します。

3357137-fig.png

図. インジェクトされるコマンドの例

こうすると、攻撃者は SSH やその他のプロトコルを介して通常の接続要求を行い、正規のトラフィック内に秘密のシーケンスを埋め込んで検出を回避できるようになります。コマンドが実行されると、結果が攻撃者に送り返されます。このバックドアコードは、セキュリティレスポンスがこれまでに解析してきた他の Linux バックドアと類似性はありません。

断片化されたファイルがライブラリを共有し、多くの関数をフックしているようです(read、EVP_CipherInit、fork、ioctl など)。コードが実行されると、以下の操作が実行されます。

  • 以下の形式で、攻撃者が発行した任意のコマンドを実行する。
    exec sh -c ‘[攻撃者のコマンド]’ >/dev/null 2>/dev/null
  • 事前に設定されたコマンドのいずれかを実行し、そのコマンドから出力を取得する。
  • 個々の SSH 接続から以下のデータを取得する。
    • 接続しているホスト名、IP アドレス、ポート
    • ユーザー名とパスワードまたは SSH キー
  • 盗み出したデータまたはコマンドの応答を blowfish で暗号化し、攻撃者に送信する。

このバックドアがネットワークに存在するかどうかを特定するには、”:!;.” という文字列(引用符を除く)が含まれるトラフィックを探してください。この文字列を含むトラフィックは、SSH ログには記録されません。SSHD プロセスをダンプし、その中から以下の文字列を検索する方法もあります([値] はさまざまな値を示します)。

key=[値]
dhost=[値]
hbt=3600
sp=[値]
sk=[値]
dip=[値]

シマンテックは、このバックドアを Linux.Fokirtor として検出し、お客様を保護します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Malvertising and OpenX servers

      No Comments on Malvertising and OpenX servers

Malvertising is an abbreviation of malicious advertising and means that legitimate sites spread malware from their infected advertisement systems. There were many malvertising campaigns in last few years, some of them confirmed even on big sites like The New York Times, but most of them go unnoticed because they are well hidden and served only […]

Yet Another Zero-Day: Japan Hit with Ichitaro Vulnerability

      No Comments on Yet Another Zero-Day: Japan Hit with Ichitaro Vulnerability

The security industry, as well as IT administrators across the globe, has been busy recently dealing with multiple zero-day vulnerabilities emerging in quick succession. Before anyone has time to draw a breath after the barrage, yet another zero-day ha…

The Power to Destroy: How Malware Works

      No Comments on The Power to Destroy: How Malware Works

This blog post is based on the new Symantec Website Security Solutions free white paper, The Power to Destroy: How Malware Works which pulls together statistics from across Symantec’s global security network. The white paper is available in Frenc…

?????????????Microsoft Patch Tuesday?- 2013 ? 11 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2013 ? 11 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、19 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 9 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 11 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Nov

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS13-089 Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される(2876331)

    Graphics Device Interface の整数オーバーフローの脆弱性(CVE-2013-3940)MS の深刻度: 緊急

    Windows Graphics Device Interface(GDI)が、特別に細工された Windows Write ファイルをワードパッドで処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

  2. MS13-088 Internet Explorer 用の累積的なセキュリティ更新プログラム(2888505)

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3871)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の情報漏えいの脆弱性(CVE-2013-3908)MS の深刻度: 重要

    Internet Explorer が印刷プレビューを生成するとき、特別に細工された Web コンテンツを処理する方法に情報漏えいの脆弱性が存在します。この脆弱性が悪用されると、ユーザーが閲覧している任意のページから情報が収集される可能性があります。

    Internet Explorer の情報漏えいの脆弱性(CVE-2013-3909)MS の深刻度: 警告

    Internet Explorer が CSS の特殊文字を処理する方法に、情報漏えいの脆弱性が存在します。攻撃者が、特別に細工された Web ページを作成してこの脆弱性を悪用すると、ユーザーがその Web サイトを開いたときに情報が漏えいしてしまいます。この脆弱性を悪用すると、他のドメインまたは Internet Explorer ゾーンからコンテンツを閲覧できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3910)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3911)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3912)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3914)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3915)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3916)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3917)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  3. MS13-092 Hyper-V の脆弱性により、特権が昇格される(2893986)

    アドレス破損の脆弱性(CVE-2013-3898)MS の深刻度: 重要

    Windows 8 と Windows Server 2012 の Hyper-V には、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、共有 Hyper-V ホスト上の別の仮想マシン(VM)でシステムとして任意のコードを実行できる場合があります。攻撃者は、Hyper-V ホストでコードを実行することはできず、同じホスト上のゲスト VM でのみ実行できます。この脆弱性により、同じプラットフォーム上の Hyper-V でサービス拒否が発生し、攻撃者が Hyper-V ホストの応答停止や再起動を引き起こす可能性もあります。

  4. MS13-093 Windows Ancillary Function ドライバの脆弱性により、情報漏えいが起こる(2875783)

    Ancillary Function ドライバの情報漏えいの脆弱性(CVE-2013-3887)MS の深刻度: 重要

    Windows カーネルモードドライバがカーネルメモリとユーザーメモリの間のデータコピーを正しく処理しない場合に、情報漏えいの脆弱性が存在します。

  5. MS13-095 XML デジタル署名の脆弱性により、サービス拒否が起こる(2868626)

    XML デジタル署名の脆弱性(CVE-2013-3869)MS の深刻度: 重要

    X.509 証明書解析の実装にサービス拒否の脆弱性が存在するため、サービスが応答しなくなる可能性があります。この脆弱性は、X.509 証明書の検証操作が、特別に細工された X.509 証明書の処理に失敗した場合に起こります。

  6. MS13-094 Microsoft Outlook の脆弱性により、情報漏えいが起こる(2894514)

    S/MIME AIA の脆弱性(CVE-2013-3905)MS の深刻度: 重要

    Microsoft Outlook が S/MIME 証明書メタデータを適切に処理しない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となったシステムや、標的となったシステムとネットワークを共有している他のシステムから IP アドレスなどのシステム情報を確認し、TCP ポートを開くことができます。

  7. MS13-090 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム(2900986)

    InformationCardSigninHelper の脆弱性(CVE-2013-3918)MS の深刻度: 緊急

    InformationCardSigninHelper クラスの ActiveX コントロール(icardie.dll)に、リモートコード実行の脆弱性が存在します。攻撃者は特別に細工された Web ページを作成してこの脆弱性を悪用する可能性があります。ユーザーがこの Web ページを閲覧すると、この脆弱性により、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得する可能性があります。

  8. MS13-091 Microsoft Office の脆弱性により、リモートでコードが実行される(2885093)

    WPD ファイル形式のメモリ破損の脆弱性(CVE-2013-0082)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書(.wpd)ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Word のスタックバッファ上書きの脆弱性(CVE-2013-1324)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Word のヒープの上書きの脆弱性(CVE-2013-1325)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

2013 ???????

      No Comments on 2013 ???????

ことの始まりはたいてい、求人情報へのリンクが掲載された無害そうに見える電子メールです。もしくは、管理職クラスを名乗る相手から突然電話が掛かってきて、電子メールで送られてきた請求書を処理するように依頼される場合もあるかもしれません。さらには、仕事で頻繁にアクセスする Web サイトの背後に潜んでいる可能性もあります。

標的型攻撃は、さまざまな点で実業界を脅かす最大最悪の敵となってきました。攻撃が成功すれば大混乱が起きるという、その恐れだけでも十分な脅威です。知的財産の盗難、顧客からの信用の失墜、単なる迷惑など、どれも標的型攻撃が起こしうる結果のほんの一面にすぎません。

9 月号のシマンテックインテリジェンスレポートでは、2013 年の標的型攻撃を詳しく取り上げています。今年も、脅威を取りまく世界には新しい手口が登場していますが、既存の手法を改良したり、水飲み場型攻撃やスピア型フィッシングといった攻撃方法に新しい工夫を加えたりして、狙った標的が罠に掛かる確率を高くしようという動きも目立っています。

シマンテックは、攻撃者の活動の実態を確実に把握するために、標的型攻撃について過去 3 年間の傾向を分析しました。1 日当たりの攻撃件数は昨年に比べて減少していますが、3 年間で見ると攻撃は 13% 上昇していることがわかります。

また、攻撃の目標にも変化が見られます。2012 年には、製造業に対する攻撃が標的型攻撃全体の 4 分の 1 を占めていましたが、攻撃者はサービス業に狙いを移したようで、今年は標的の 3 分の 1 はサービス業です。

1 年を通じて標的型攻撃の活動が開始される可能性が高い時期や、使われている悪質なペイロードのタイプについても調査しました。たとえば、実行可能ファイルを添付した電子メールは、2013 年にどのくらい効果を上げているでしょうか。数字を見たらきっと驚くことでしょう。

以前、シマンテックにおける脅威研究の第一人者スティーブン・ドハーティ(Stephen Doherty)と一緒に Hidden Lynx(謎の山猫)グループに関する Q&A ディスカッションに参加しました。Hidden Lynx は、世界でも特に防護の強固な企業に対して標的型攻撃を仕掛けて侵入に成功したグループです。シマンテックセキュリティレスポンスは最近、『Hidden Lynx – Professional Hackers for Hire』と題したホワイトペーパー(英語)でこのグループの詳細を報告しています。このときのディスカッションの一部をご紹介します。

“Hidden Lynx グループの活動はまさに最先端を行っている。最新の悪用コードを手に入れ、スピア型フィッシング攻撃を行っていることが確認されているほか、VOHO は大規模な水飲み場型攻撃だ。難しい場所にまで侵入を果たすべく、サプライチェーン攻撃も行っている。”

そして、Hidden Lynx の正体、活動の方法と目的、グループが今後どうなっていくか、といったことについて説明しています。

シマンテックインテリジェンスレポートの 9 月号が皆さまのお役に立つことを期待しています。レポートはこちらからダウンロードいただけます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

AVAST donates to Typhoon Haiyan recovery efforts

      No Comments on AVAST donates to Typhoon Haiyan recovery efforts

The Foundation arm of AVAST Software announced today that it will make a donation of 500,000 CZK (approximately $25,000) to support relief and recovery efforts in the Philippines following Typhoon Haiyan. “The greatest needs are for water, food and hygiene kits, and this will be coordinated through our main partner, People in Need, the biggest humanitarian […]

AVAST helps celebrate Czech company achievements in Silicon Valley

      No Comments on AVAST helps celebrate Czech company achievements in Silicon Valley

AVAST was invited by the Czech School of California to participate in a panel discussion on Saturday 9 November about Silicon Valley Trends for 2014. The panel consisted of three successful Czech companies operating in the US and featured Jonathan Penn, Director of Strategy from AVAST, Martin Viktora from KERIO Technologies, which distributes software that allows businesses to connect, […]

Linux Back Door Uses Covert Communication Protocol

      No Comments on Linux Back Door Uses Covert Communication Protocol

 

In May of this year, sophisticated attackers breached a large Internet hosting provider and gained access to internal administrative systems. The attackers appear to have been after customer record information such as usernames, emails, and passwords. While these internal administrative systems had access to customer records, discovery of the attack and certain security implementations mitigated the scope of the breach. Customer passwords were accessible, but these passwords were hashed and salted making mass password cracking difficult. Customer financial information was also accessible, but encrypted. Unfortunately, access to the encryption key cannot be ruled out. While breaches of organizations and mass customer record dumps are posted almost daily, this particular attack was more sophisticated than we have seen in the past.

The attackers understood the target environment was generally well protected. In particular, the attackers needed a means to avoid suspicious network traffic or installed files, which may have triggered a security review. Demonstrating sophistication, the attackers devised their own stealthy Linux back door to camouflage itself within the Secure Shell (SSH) and other server processes.

This back door allowed an attacker to perform the usual functionality—such as executing remote commands—however, the back door did not open a network socket or attempt to connect to a command-and-control server (C&C). Rather, the back door code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).

After seeing this pattern, the back door would parse the rest of the traffic and then extract commands which had been encrypted with Blowfish and Base64 encoded.

3357137-fig.png

Figure. Example of injected command

The attacker could then make normal connection requests through SSH or other protocols and simply embed this secret sequence within some otherwise legitimate traffic to avoid detection. The commands would be executed and the result sent back to the attacker. This back door code is not similar to any other Linux back door that Security Response has previously analysed.

The fragmented file is a shared library and appears to hook a number of functions (read, EVP_CipherInit, fork, ioctl, etc.). Once the code is activated, it can perform the following actions:

  • Execute any command the attacker submits through;
    exec sh -c ‘[ATTACKER_COMMAND]’ >/dev/null 2>/dev/null
  • Execute one of several preconfigured commands and retrieve output from those commands
  • Retrieve the following data from individual SSH connections:
    • Connecting hostname, IP address, and port
    • Username and password or SSH key
  • Encrypt stolen data or command responses using blowfish, and then send to attacker

To identify the presence of this back door on your network, look for traffic that contains the “:!;.” string (excluding quotes). Traffic which contains this string will not appear in SSH logs. Another identification method is to dump the SSHD process and search for the following strings within the dump (where [VALUE] can be various values):

key=[VALUE]
dhost=[VALUE]
hbt=3600
sp=[VALUE]
sk=[VALUE]
dip=[VALUE]

Symantec protects customers by detecting this back door as Linux.Fokirtor.