Last year saw a shift in website threats, with more targeted attacks emerging that were aimed at small and medium businesses. While website security should always be at the forefront of any online business, a new Symantec infographic emphasises the imp…
So, you’ve finally convinced your teen to accept your friend request. What an exercise! So, what now? Do you immediately like their every post and start to scan and post all their old baby photos on their wall? NO, YOU DO NOT!! Here are my top tips for remaining friends with your teen on Facebook. Read more…
寄稿: Roberto Sponchioni
シマンテックセキュリティレスポンスは最近、Alusinus という新しいリモートアクセスツール(RAT)を発見しました(Backdoor.Alusins として検出されます)。これは、スペイン語圏のアンダーグラウンド向けのプログラムで、ビルダー自体はいくつかの標準機能を備えた単純なものですが、その中に興味深く、特筆に値する機能が 1 つあります。このビルダー機能により、Backdoor.Alusins は検出をすり抜けやすくするために、calc.exe、svchost.exe、notepad.exe といった正常なプロセスに自身をインジェクトすることができます。
図 1. Backdoor.Alusins のコントロールパネル – ユーザー名、コンピュータ名、ウイルス対策やファイアウォールの情報が攻撃者に報告される
リアルタイムのデスクトップ監視
攻撃者は、Backdoor.Alusins を使って、被害者のデスクトップを表示し、ユーザーの活動をリアルタイムで監視することができます。
図 2. 侵入先のコンピュータのデスクトップ表示
Web カメラの監視
また、リアルタイムで Web カメラの動作の監視とキャプチャが可能です。
図 3. Web カメラのセッション
キーロガー機能
さらに、Backdoor.Alusins には、ログイン情報などを盗み出すために、侵入先のコンピュータ上のキーストロークをリアルタイムで監視する機能もあります。
図 4. キーロガー
迷惑行為
攻撃者は、この RAT を使って、システムエラーメッセージをカスタマイズして被害者に直接メッセージを送ることができます。このメッセージ送信機能によって、悪質ないたずらやリモートからの迷惑行為が引き起こされる恐れがあります。攻撃者はいつでも、被害者に煩わしいメッセージやポップアップを送信し、同時に Web カメラを通じて被害者の反応を観察できるからです。このツールの作成者は、対話型のオンライン詐欺を想定してこの機能を実装した可能性もあります。
図 5. 侵入先のコンピュータで任意のエラーメッセージを表示できる
加えて、Backdoor.Alusins を使えば攻撃者は侵入先のコンピュータで以下の処理を実行することも可能です。
Backdoor.Alusins はそれほど普及している RAT ではなく、スペイン語圏のハッカー層を対象としていますが、それに限定されるものではありません。シマンテックは、このバックドアビルダーとバックドアを Backdoor.Alusins として検出します。
この RAT やその他の脅威から保護するために、ウイルス対策定義、オペレーティングシステム、およびソフトウェアを常に最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Roberto Sponchioni
Symantec Security Response has recently come across a new remote administration tool (RAT) called Alusinus, which we detect as Backdoor.Alusins. The program was intended for the Spanish speaking underground and the buil…
In a recent survey, we found that over 96%[1] of schools in the United States are likely to face a major technology crisis in the new year when Windows XP will no longer be supported by Microsoft. Educational institutions of all sizes around the world are going to have to foot the bill of upgrading […]
The top active members in one of our largest and most active communities, the AVAST forum, are called evangelists. These evangelists are technically skilled people who love to help and guide our users, free or paid, through the technology and security jungle. They try to keep things simple for all levels and in this blog, […]
Identity theft in the form of new account fraud can happen to anyone with a Social Security number, which includes virtually any American with a pulse…as well as some who no longer do. Identity theft can even happen to your newborn baby shortly after a Social Security number has been issued to him or her Read more…
今週ロシアのサンクトペテルブルクで開催が予定されている G20 サミットを目前にして、攻撃者はサミットの知名度を標的型攻撃に利用しています。
シマンテックが検出したある攻撃では、金融機関、金融サービス企業、政府機関、経済開発関連の組織など複数のグループを標的としています。
図 1. G20 の代表から送信されたと騙る電子メール
この電子メールは、G20 代表に代わって送信されたと称しています。そのうえで、以下のような文面が続きます。
Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
(更新版のビルディングブロックを回覧していただき、大変ありがとうございます。英国のコメントは添付ファイルでご覧ください。それでは、サンクトペテルブルクでお会いできることを楽しみにしています。)
ここで言われている「ビルディングブロック」とは、開発、汚職防止、雇用に対処する一連のビルディングブロックに対する英国政府のフィードバックを議論している複数の文書のテーマです。
図 2. 悪質な添付ファイル内のファイル
この電子メールに添付されているのは、RAR 形式のアーカイブファイルで、アーカイブファイルには 5 つのファイルが含まれています。そのうち 2 つは、ファイルタイプが偽装されており、実際には、文書ファイルの 1 つが実行可能ファイルであり、.msg ファイルが .lnk ファイルです。.lnk ファイルは、これまでにも攻撃に使われたことがあります(参照 1、参照 2)。被害者が .msg ファイルを実行しようとすると、悪質な実行可能ファイルと、悪質ではない文書の 1 つが実行されます。アーカイブファイルに含まれている 5 つのファイルとその MD5 ハッシュ値は、以下のとおりです。
| ファイル名 |
MD5 ハッシュ値 |
|
UKcomments.msg.lnk |
7960F23DC79D75005C1C98D430FAC39B |
|
UK_Building_block_TRADE.docx |
53C60480254BCEB41660BD40AA12CECB |
|
UK_Building_block_ANTICORRUPTION.doc |
099A1C43677FD1286B380BCBF9BE90F4 |
|
UK – Building block_EMPLOYMENT – Aug.docx |
05BC1C528E6CD49C9B311C25039FC700 |
|
UK – Building block_DEVELOPMENT – Aug.docx |
C9F0DFAD687F5700325C4F8AEAEFC5F8 |
図 3. 被害者に送信される悪質ではない文書
被害者には、悪質でない文書の内容が表示されます。これらの文書で注目に値するのは、いずれも変更履歴が有効になっており、元の電子メールで言及されていた、英国からのコメントが記入されていることです。現時点で、これらの文書の正当性は確認できませんが、シマンテックの調べによると変更は今月の初めに行われており、最終更新者は「UK Government(英国政府)」という名前のユーザーでした。
図 4. 文書の作成者情報
バックグラウンドで実行される悪質な実行可能ファイルは、Poison Ivy として知られるものです。シマンテックは、この実行可能ファイルを Backdoor.Darkmoon として検出します。
Backdoor.Darkmoon は、悪名高いリモートアクセス型のトロイの木馬(RAT)のひとつで、過去数年間にさまざまな標的型攻撃に使われてきました。たとえば、シマンテックが 2011 年に報告した Nitro 攻撃でも使われています。
Backdoor.Darkmoon のこの亜種は、実行されると自身を winupdsvc.exe として %Windir% ディレクトリにコピーしたうえで、ポート番号 80、8080、443 で以下の URL に接続しようと試みます。
今回の攻撃では Darkmoon が利用されていますが、同じグループによる攻撃で別の脅威が使われた例も確認しています。先月には、Java リモートアクセスツール(jRAT)を使う例を確認しており、シマンテックは Backdoor.Jeetrat および Backdoor.Opsiness として検出します。また。この脅威は Frutas RAT としても知られています。
セキュリティレスポンスは、他のグループも標的型攻撃に G20 サミットを利用していることを確認しており、今回のサミットが攻撃者にとっては絶好の素材になっていることが裏付けられています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Lately, we have seen a good number of samples generating some interesting network traffic through our automated framework. The HTTP network pattern generated contains a few interesting parameters, names like “&av” (for antivirus?) and “&vm=”(VMware?), The response received looked to be encrypted, which drew my attention. Also, all the network traffic contained the same host Read more…