????????????????????????

      No Comments on ????????????????????????

韓国では最近、ゼロデイ脆弱性を悪用するサイバー攻撃、オンラインバンキングを狙うトロイの木馬、ゲームを狙うトロイの木馬、バックドア、そして同国を狙った分散サービス拒否(DDoS)攻撃といった報道が相次ぎ、メディアの注目を集め続けています。シマンテックは、Downloader.Tandfuy を中心としてこれらの要素をすべて取り込んだ最新の攻撃活動を確認しました。

「韓国と日本を対象とする標的型攻撃で悪用された Internet Explorer の新しいゼロデイ脆弱性」と題した最近のブログでも、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を悪用した、韓国を狙う攻撃についてお伝えしました。シマンテックがこの攻撃について調査した結果、攻撃者は韓国に対する一連の攻撃で、以前は別の悪用コードを使っていたことが判明しています。また、この攻撃が 2013 年 9 月始めから韓国を標的として続いている攻撃活動の一部であることも明らかになっています。これら一連の攻撃では、何種類もの悪質コードが多数使われており、Downloader.Tandfuy を皮切りに、Trojan.SequendropBackdoor.GhostnetTrojan.Chost、および Infostealer.Gampass が続けざまにダウンロードされます。
 

image1_14.png

図. 韓国を狙った Tandfuy サイバー攻撃の図解
 

ブログサイトにアクセスすると悪質な処理が引き起こされる

最新の攻撃は、被害者が韓国で人気のあるブログサイトにアクセスすることから始まります。このサイトには、ゼロデイ脆弱性 CVE-2013-3897 の悪用コードが仕掛けられており、訪問者のコンピュータで韓国語または日本語が使われているかどうかをチェックする追加のコードも存在します。どちらの言語も見つからなければ攻撃はそこで終了しますが、標的となる言語が見つかった場合には悪用コードが実行され、Downloader.Tandfuy のダウンロードで攻撃が始まります。Downloader.Tandfuy が韓国で拡散したのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-1347)が最近悪用された結果であることが確認されています。どちらの場合も、Downloader.Tandfuy は、続いて Trojan.Sequendrop をダウンロードし、それが Backdoor.Ghostnet、Trojan.Chost、または Infostealer.Gampass で構成される別の脅威を投下します。

Backdoor.Ghostnet は広く知られている脅威で、このブログでも 2009 年に 「Ghostnet Toolset-Back Door at the Click of a Button」(英語)というブログで説明しことがあります。この脅威は過去にスパイ活動に関連して使われたこともありますが、Gh0st RAT として知られるこのリモートアクセス型のトロイの木馬(RAT)は、今では誰でも自由にインターネットからダウンロードして入手することができます。

Trojan.Chost は侵入先のコンピュータ上でホストファイルを改ざんし、Web サイトに対する DNS 要求を別のサイトにリダイレクトします。今回の場合、ホストファイルは、韓国のいくつかのオンラインバンキングサイトを攻撃者のサイト(IP アドレス 174.139.5.34 または 98.126.76.109)にリダイレクトするように改ざんされます。解析時点では、韓国のオンラインバンキングサイトから攻撃者のサイトにリダイレクトされた後で実行される処理の内容は特定できませんでした。Web サイトをリダイレクトさせようとする攻撃者の動機は、オンラインバンキングのログイン情報を狙って何らかのフィッシング攻撃を実行することだと考えられます。

Trojan.Sequendrop によって投下される最後の脅威は Infostealer.Gampass で、これはその名前が示すとおり、オンラインゲームのログイン情報を盗み出す目的で使われます。興味深いのは、先日いくつかのメディアサイトで、韓国で 16 個の Web サイトが DDoS 攻撃を受けたという報道があったことです。今回の攻撃のうち、ちょうどその報道と同時期に検出された Infostealer.Gampass の最新サンプルを解析したところ、Infostealer.Gampass は、DDoS 攻撃が報じられた 16 個の Web サイトに定期的にアクセスすることが判明したのです。Infostealer.Gampass は、djdjdava.jpg という名前のファイルをダウンロードするために、これら 16 個の Web サイトにアクセスしていました。djdjdava.jpg は、画像ファイルに偽装していますが実際には実行可能ファイルであり、Downloader.Tandfuy または Infostealer.Gampass の更新版であると見られています。さらに、アクセスしていたサイトの大半はおとりサイトであり、ファイルがホストされていなかったことも判明しています。Infostealer.Gampass によるこの活動は、報道されている DDoS 攻撃に関連すると思われ、Web サイトに対する DDoS 攻撃と誤って解釈された可能性もあります。
 

狙いは韓国に集中

シマンテックの遠隔測定では、この攻撃に関連する活動が依然として確認されていますが、現時点でメインのコマンド & コントロールサーバーは応答していません。さらに、この攻撃はまるでレーザー照準のように韓国に集中しています。攻撃の 99% は韓国から報告されており、他の地域から報告があったのは偶発的なものにすぎないからです。

これと同様の攻撃でゼロデイ脆弱性が悪用された前例はほとんどなく、今回の攻撃者が一定の高度な技術力を備えていることがうかがえます。この攻撃活動では何種類かのマルウェアが使われており、攻撃者の明確な目的はまだわかりませんが、動機は金銭の詐取にあると思われます。韓国に対するサイバー攻撃が起きると、メディアでは、とかく国家支援による何らかの攻撃ではないかと憶測されがちですが、今回確認された活動から判断する限り、この攻撃はサイバー犯罪であると考えたほうがよさそうです。

シマンテックは、この攻撃に関連する活動の監視を続けています。脅威から保護するために、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cybercriminals Serve Up a Veritable Smorgasbord of Threats for South Koreans

      No Comments on Cybercriminals Serve Up a Veritable Smorgasbord of Threats for South Koreans

South Korea has not been too far from media attention lately, with reports of cyberattacks involving zero-day vulnerabilities, banking Trojans, gaming Trojans, back doors and distributed denial-of-service (DDoS) attacks targeting the nation. Symantec h…

Staying safe online over the Christmas holiday period

      No Comments on Staying safe online over the Christmas holiday period

While we rush online to buy gifts for our nearest and dearest, scammers are looking to make their wage from your online mistakes. Learn how to stay safe online while doing your Christmas shopping this holiday season.
‘I’m dreaming of a safe…

How to carefully choose safe online shops

      No Comments on How to carefully choose safe online shops

In my previous article, I advised you on how to protect yourself against attempts to steal your money while shopping online. I promised to analyze another problem – how to find shops you can trust and recognize those you can’t. There are many e-shops and online markets on the internet. Some have a perfect reputation, […]

Operation Hangover ???????????????????

      No Comments on Operation Hangover ???????????????????
11 月 5 日、Microsoft 社は Microsoft Graphics コンポーネントに存在する新しいゼロデイ脆弱性「複数の Microsoft 製品のリモートコード実行の脆弱性」(CVE-2013-3906)に関するセキュリティアドバイザリブログを公開しました。この脆弱性の影響を受けるのは、Windows、Microsoft Office、Microsoft Lync です。アドバイザリによると、この脆弱性は特別に細工された TIFF 画像を特定のコンポーネントが処理する方法に存在し、影響を受けるコンピュータ上で攻撃者がリモートでコードを実行できる可能性があります。
 
Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、このゼロデイ脆弱性を使った攻撃から、製品をお使いのお客様を保護するために、以下の保護対策を提供しています。
 
ウイルス対策
 
侵入防止システム
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
Microsoft 社のブログによると、この脆弱性は、細工された Word 文書を電子メールに添付して送信する標的型攻撃で活発に悪用されています。シマンテックがこのゼロデイ脆弱性の悪用を調査したところ、この攻撃の過程で送信される電子メールは、Symantec.Cloud サービスによって事前に遮断されることを確認しました。この攻撃で確認されている電子メールの件名と添付ファイル名の例を以下に示します。
 
ファイル名: Details_Letter of Credit.doc
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
ファイル名: Missing MT103 Confirmation.docx
電子メールの件名: Problem with Credit September 26th 2013(2013 年 9 月 26 日に発生したクレジットカードのトラブルについて)
 
ファイル名: Illegality_Supply details.docx
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。
 
シマンテックは、Operation Hangover から続く今回の攻撃に使われている脅威の検出定義を、Trojan.MdropperDownloaderInfostealer として提供しています。お客様がこの攻撃を識別しやすいように、Operation Hangover 攻撃の最新コンポーネントは、Trojan.Smackdown.B および Trojan.Hangove.B に対応付けています。
 
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

AVAST passes 200 million users milestone

      No Comments on AVAST passes 200 million users milestone

CEO Vince Steckler announced today that AVAST Software’s antivirus products are now protecting more than 200 million PCs, smartphones and devices worldwide. “We are now securing over 200 million computers, and phones around the world,” said Mr. Steckler in a video address to avast! Antivirus users. “This is a milestone that no other software security […]

New Zero-day Vulnerability Used in Operation Hangover Attacks

      No Comments on New Zero-day Vulnerability Used in Operation Hangover Attacks
On November 5, Microsoft issued an advisory and a blog post to report a new zero-day vulnerability in the Microsoft Graphics component that affects Windows, Microsoft Office and Microsoft Lync: the Multiple Microsoft Products Remote Code Execution Vulnerability (CVE-2013-3906). The advisory states that the vulnerability exists in the way that certain components handle specially crafted TIFF images, potentially allowing an attacker to remotely execute code on the affected computer. 
 
While Microsoft has yet to release a patch for this vulnerability, it has provided a temporary “Fix It” tool as a workaround until a security update is made available. To ensure that Symantec customers are protected from attacks using this zero-day vulnerability, the following protection is being released:
 
Antivirus
  • Trojan.Hantiff
  • Bloodhound.Exploit.525
 
Intrusion Prevention System
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
The Microsoft blog post states that this vulnerability is being actively exploited in targeted attacks using crafted Word documents sent in emails. Symantec’s research into the exploitation of this zero-day flaw in the wild has shown that our Symantec.Cloud service preemptively blocks emails sent as part of this attack. Here are some examples of the email subject headings and the attached files’ names seen in the attack:
 
File name: Details_Letter of Credit.doc
Email subject: Illegal Authorization for Funds Transfer
 
File name: Missing MT103 Confirmation.docx
Email subject: Problem with Credit September 26th 2013
 
File name: Illegality_Supply details.docx
Email subject: Illegal Authorization for Funds Transfer
 
After analyzing the payloads being used in this attack, we have identified that the targeted emails are part of an attack campaign known as Operation Hangover, which we covered back in May 2013 in the blog post: Operation Hangover: Q&A on Attacks. At that time, the group behind these attacks was known to have used multiple vulnerabilities, but was not known to have used any zero-day flaws in the attacks. As predicted in our previous blog post, the exposure of Operation Hangover would not adversely affect the activities of the group orchestrating the campaign, which can be clearly seen now with these latest activities involving the zero-day vulnerability. 
 
Symantec has protection in place for the threats used in this latest wave of the Operation Hangover campaign as Trojan.Mdropper, Downloader and Infostealer. To allow customers to identify this attack, we are mapping the latest components of the Operation Hangover campaign to Trojan.Smackdown.B and Trojan.Hangove.B. 
 
Symantec will continue to investigate this attack to ensure that the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

?The Clean Theory????????

      No Comments on ?The Clean Theory????????

Clean Theory 1.png

格言に曰く…

よく知られた格言として、こんな話があります。

樽いっぱいの汚水に、きれいな水を 1 パイント注いでも、残るのは樽いっぱいの汚水だ。では、樽いっぱいのきれいな水に、汚水を 1 パイント注いでみたらどうなるかといえば、そう、できあがるのはやっぱり樽いっぱいの汚水だ。

この話に出てくる、きれいな水を「論理的に真である文」に、汚水を「論理的に偽である文」に置き換えてみれば、この格言が論理学で使われるおなじみの原理を表すことがわかります。

AND 演算子(&)を使って、いくつか連鎖した偽の文(樽いっぱいの汚水)に真である文(1 パイントのきれいな水)を 1 つ追加すると、結果として全体の文は偽になります。いくつか連鎖した真の文に偽である文を 1 つ追加しても同じようになり、全体の文は偽になります。

この格言と論理学の原理は、シマンテックのセキュリティレスポンスエンジニア(SRE)にとっても有益です。SRE の大きな責務のひとつは、特定のファイルが配備先の環境にとって脅威となるかどうかを判定し、その脅威が現実のものとならないように必要な措置を講じることです。そのために SRE は、配備先の環境で望ましくない処理や、悪質な処理を実行しうる特定のコードシーケンスあるいはコマンドがないかどうかファイルを調べる必要があります。

前述の格言や論理学の原理と同じように、解析対象となる潜在的に悪質なファイルは、以下のような(長い)論理シーケンスとして表されます。

S = P1 & P2 & P3 & … & Pi & … & Pn

ここで、各 Pi はファイルの基本ブロック(1 単位の処理を実行する)を表し、論理学で言えば 1 つの文に当たります。実際には、この式に「IF/THEN」など他の論理演算子が含まれることもあります。いずれにしても、ファイル全体を評価するためには、Pi を 1 つずつ評価しなければなりません。

ここでは、一般形としてのファイルブロックを前提に話を進めています。現実的には、ファイルはタイプによって大きく異なるからです。ファイルタイプが異なれば、ファイルブロックの意味も異なります。たとえば、スクリプトファイルにおけるファイルブロックは、スクリプトのインタープリタによって 1 ステップで実行されるコマンドの 1 単位です。それに対して、ネーティブ実行可能ファイルにおけるファイルブロックは基本的なコードブロックと見なされます。つまり、複数のエントリまたは複数のエグジットを持つ命令のブロックです。

リストに 1 つでも偽の文があれば全体の文が偽となるように、いずれか 1 つのファイルブロックが脅威の原因と特定されれば、直ちにそのファイル全体が脅威と見なされます。ファイルが脅威と判定されれば解析はそこで停止し、その脅威に対する検出シグネチャが追加されます。

ファイル全体が悪質な意図で作成された場合(ほとんどのトロイの木馬が当てはまります)、脅威は簡単に特定できます。脅威の要素がいたるところで見つかるのに加えて、不明瞭化やポリモーフィズムも、ファイルに何か問題があることを示す格好の手掛かりになるからです。現在、シマンテックが解析対象として受け取るファイルのうち 4 つに 3 つ(75%)は脅威であると見なされ、検出のためのシグネチャが追加されています。

この作業の労力がいかに大きいかを感覚的にわかっていただくために、メモ帳のように単純なアプリケーションを考えてみましょう。メモ帳でさえ、ファイルブロックの数はおよそ 1,500 に及びます。攻撃者が悪質なブロックをいくつかランダムな位置に挿入した場合、1,500 もの正常なファイルブロックの中からそれを見つけ出すのは非常に困難です。まさに、干し草の中から針を 1 本探し出すようなものです。

脅威の動作を文書化するために詳しい情報が必要な場合には、ファイル全体について詳しい解析を実行する必要があります。こうした詳しい解析を実行するには、パズルの全ピースを埋めるために、SRE は正常なブロックから悪質なブロックまでファイルのコードブロックをほぼすべて調査します。たとえば Stuxnet(これまでに確認された最も複雑な脅威のひとつです)の場合には、シマンテックのシニアセキュリティレスポンスエンジニア 3 人によるチームで約 12,000 ものコードブロックを完全に解析するのに 4 カ月以上を要しました。

多くのバイナリで再利用されることが多い既知の正常なライブラリコードの識別を自動化したり、元の正常なファイルを見つけて悪質な可能性のあるファイルとの差分を比較したりすれば、このように膨大な量の情報でも処理時間を短縮することは可能です。しかし、ブロック数が大きくなれば必ず手作業での検査が必要になります。セキュリティに関して判断を下すための労力と時間は、ファイルに含まれる情報の量に正比例します。つまり、解析作業はファイルサイズにほぼ等しいという法則が成り立つのです。

作業の膨大さを考慮して、SRE は詳しい解析に進む前に特殊なツールを利用する場合もあります。たとえば、制御下の環境に配備したファイルが示す挙動に基づいて判断を下すビヘイビア分析などは有効なツールです。こうしたツールについての詳細は別の機会に譲ります。

意図

よく考えてみると、コマンドプロンプト(cmd.exe)や同等の機能を持つツールは、複数のファイルを削除できるコードブロックを少なくとも 1 つ持っており、しかもユーザーの介在なしにそれを実行できます。このような動作は、それだけでも悪質と見なされ、スタンドアロンのアプリケーションに単独で見つかった場合には(たとえば、実行されるとシステム上で見つけたファイルをすべて削除し始める実行可能ファイルなど)、トロイの木馬と見なされます。とは言っても、cmd.exe や類似のツールは実際には正常なファイルです。では、どうやって判断するのでしょうか。

論理学の場合と同様、真/偽の文と正常/不正なファイルとの類似性が、ここでも同じように働きます。破壊的なコードが実行されるのは、cmd.exe に特定のパラメータが渡され、別の外部パラメータによってユーザー操作が抑止される場合だけです。

基本的に、cmd.exe は以下のように動作します。

del コマンドを入力した場合には、指定されたファイルを削除します。サイレントパラメータを渡すと、確認メッセージは表示されません。

この 2 つの文は、以下のように表すことができます。

S = if P then Q

つまり、P が偽のとき S は真である、つまり正常であるということです。del コマンドがコマンドラインで入力されていない(P が偽である)場合には、cmd.exe によってファイルが削除されないのと同じで、つまりこれは正常な動作です。サイレントパラメータを省略した場合には、コマンドごとに確認メッセージが表示されるということでもあります。

P が真の場合には Q が評価され、それが真であれば S もまた真になります。同じように、ファイルの削除を指示されると cmd.exe は正常に動作します。大きい仕組みの一部である場合は別として、単独では正常です。包丁が、台所で使う道具である一方で犯罪行為に使われることもあるのと似ています。このように、SRE はコマンドを発行するファイルが(正常または悪質な)処理を実行する目的を調べ、その意図を解明します。

最近の脅威や攻撃では実際、相互に対話する複数のモジュールが使われています。ほとんどの場合そのモジュールは明らかに悪質な意図を持って作成されており、悪質であると断定することも比較的容易ですが、特定の脅威に実装されているモジュールの一部が、それ自体では正規のツールであるという場合もあります。

その一例が NetCat で、これはネットワーク管理者が高度なネットワーク接続に使うコマンドラインツールです。NetCat 自体は正常なツールですが、ハッキング攻撃にもきわめて有効であり、バックドア接続を開始する目的で多用されています。悪質な利用が広まったため、シマンテックは NetCat をセキュリティ上の脅威でもありセキュリティ評価ツールでもあると分類しています。NetCat が正当な目的で使われている場合、検出されても無視することができます。

信頼性

個々のファイルを解析する長いプロセスと、日ごとに増え続ける解析対象ファイルの量から、ファイルの発生元と信頼性を特定することが、プロセスで重要な要因になっています。

たとえば、正規の企業は、品質管理の定義に合致する高品質なコンテンツを作り出すのが普通です。デジタル署名やバージョン情報といった整合性データも必ず揃っています。このような情報を使ってファイルを作成者まで追跡すれば、そのファイルの信頼性も判明します。

既知の正規の企業によって作成されたファイルであれば、(既知の副作用がある、動作に疑わしい点があるなど、完全な解析を実行する明白な理由がある場合を除き)完全な解析プロセスを経なくても、一定範囲の確度で正常であると見なすことができます。

ファイルにフラグを設定するときにも、信頼性は適用されます。今日確認されている脅威ファイルのうち 83% は実際のペイロードに重ねて 1 つ以上のパッカーを使っていますが、正常なファイルのほとんどは簡単に解析できる傾向にあります。信頼できる作成元に由来しているように見せかけたファイルでも、不明瞭化の兆候やデジタル署名の不一致がある、あるいはカスタムパッケージを使っている様子がある場合には、95% 以上の確率でセキュリティ上の問題があるでしょう。通常、信頼できる作成元からの正規のファイルであれば、不明瞭化の手法やカスタムパッカーを使ったりはしないものだからです。

次のステップ

論理学が示すように、真理が指し示すのは真理だけです。同じように、正常なファイルはあらゆるレベルで正常でなければなりません。正常なファイルとは、評価の確かな既知の存在によって作成され、正規の明確な目的のために使われるものであり、正常なブロックのみで構成されるものであるべきです。こうした原則は、ファイルの判定に有用なだけではなく、他の分野にも応用できます。

現在使われている解析手法が(比較的)遅く、その一方で処理すべきファイルの数が日々増えている現状を考えれば、セキュリティベンダーは個々のファイルの詳しい解析を減らして脅威を解析できる新しい手法を生み出す必要があります。信頼性と意図の特定に重点を置く傾向は、今後も強くなっていくでしょう。

 

ミルチャ・チュボタリュ(Mircea Ciubotariu)著「The Clean Theory」(Virus Bulletin、2013 年 8 月)。著作権は Virus Bulletin Ltd が有していますが、Virus Bulletin の許諾により、このサイトでは個人的な使用に限って無償で公開しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How to shop safely online with the new avast! Free and Premium versions

      No Comments on How to shop safely online with the new avast! Free and Premium versions

Seasonal shopping fever starts with Black Friday and Cyber Monday in a few weeks, but we’ve already seen terrific sales offered online by retailers getting an early start. Every year more people make their purchases online, with the intention of saving time and money and avoiding the crowds. There are, however, some people who love […]