Tag Archives: Endpoint Protection (AntiVirus)

Windows ????????????????????

      No Comments on Windows ????????????????????

11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。

シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。

この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
 

image1_17.png
図. この脆弱性を悪用する攻撃の分布図
 

シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。

この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。

いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Windows ????????????????????

      No Comments on Windows ????????????????????

11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。

シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。

この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
 

image1_17.png
図. この脆弱性を悪用する攻撃の分布図
 

シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。

この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。

いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Attack Exploits Windows Zero-Day Elevation of Privilege Vulnerability

      No Comments on Attack Exploits Windows Zero-Day Elevation of Privilege Vulnerability

On November 27, Microsoft issued a security advisory regarding the recent discovery of a zero-day vulnerability in a kernel component of Windows XP and Windows Server 2003. The advisory states that the Microsoft Windows Kernel ‘NDProxy.sys’ Local Privilege Escalation Vulnerability (CVE-2013-5065) can allow an attacker to execute arbitrary code with kernel-level privileges. Successful exploits will result in the complete compromise of affected computers.

Symantec is aware of the attacks attempting to exploit the vulnerability and confirms the attacks have been active since the beginning of November. The attack arrives as a malicious PDF file with file names such as syria15.10.pdf or Note_№107-41D.pdf, likely by an email attachment, although there is a possibility that targeted users are being enticed to download the malicious file from a website prepared by the attacker.

Upon successful exploitation of the vulnerability, another malicious file, observed since mid-October, is dropped onto the compromised computer which Symantec detects as Trojan.Wipbot. This Trojan collects system information and connects to a command-and-control (C&C) server. Symantec telemetry is currently reporting a small number of detections for malicious PDFs in various countries including India, Australia, United States, Chile, Hungary, Germany, Norway, and Saudi Arabia.
 

image1_17.png
Figure. Distribution of attacks exploiting the vulnerability
 

Symantec may also detect this attack as Trojan.Pidief and Suspicious.Cloud.7.F. The following antivirus detection and Intrusion Prevention System (IPS) signature has also been added to detect the exploit code and block any downloads:

No patch is available for the Windows vulnerability, however, Microsoft has provided a workaround in its security advisory.

As always, we recommend computers be kept up to date with the latest software patches and to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

?????????????: Facebook ?????????

      No Comments on ?????????????: Facebook ?????????

スイスで、ある裁判官が、ソーシャルネットワークに投稿したコメントについて罰金の支払いを若者に命じる判決がありました。報道によると、この若者はソーシャルネットワーク上の 290 人の友人から自分の誕生日に届いたお祝いのコメントが足りないと感じたと言います。若者が投稿したコメントは、ざっと翻訳するとこんな内容でした。「誰も僕の誕生日を祝ってくれないんだな(中略)みんな、ぶっ殺してやる。今さら後悔しても、もう手遅れだよ。バーン、バーン、バーン」若者は後から、このコメントはただの嫌みのつもりで殺人の意図はなかったと釈明しましたが、裁判官はこのコメントにユーモアを認めず罰金の支払いを命じました。

これは、最近頻繁に起きている偽の脅迫的な投稿のほんの一例にすぎません。なかには、「Facebook で脅迫的な内容」を投稿したとしてテキサス州の 10 代の若者が禁固 5 カ月の判決を受けたように、もっと重い処罰を受けた例もあります。脅迫と受け取られかねないコメントは、たちまち地元当局の目にとまって手痛い結果をもたらす可能性があります。

ウインクの顔文字を付けたところで、冗談だという意図を示すには足りないということを忘れないでください。司法当局は脅迫を冗談とは見なさず、顔文字は通用しません。写真でもコメントでも、ソーシャルネットワークに投稿する前には十分に考慮することが肝心です。

ソーシャルネットワーク上のコンテンツは、またたく間に広まります。たとえば今年の初めにも、人気のスマートフォンアプリに関するデマメールが飛び交いました。デマにはいくつものパターンがありましたが、あるメッセージはコンピュータで生成された音声で「Send this message in the next 20 minutes to 20 friends or you will be dead by tomorrow.(20 分以内に 20 人の友人にこのメッセージを転送せよ。さもないと明日までの命だ)」と告げるものでした。通常であれば、これほど露骨であれば、受信したユーザーは誰も相手にせずメッセージを削除して終わるはずでした。ところが、このとき使われたのは 10 代に非常に人気のあるインスタントメッセージサービスだったため、多くの学生が怖がり、心配して次々とメッセージを転送したのです。ドイツではこのデマが山火事のように広まり、あまりに多くの未成年者の間に広がったため、このデマメールについて警察が警告を始めたほどです。

どのような内容でも、オンラインに投稿する場合にはその影響を考えることが重要です。きわどい冗談は本物の脅迫と受け取られかねないと心得るべきでしょう。投稿内容について自信がない場合には、常に控え目にしておく(あるいは可愛いネコの写真を投稿する)ほうが無難です。もちろん、自信がないのなら、そもそも投稿しないに越したことはありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????? Linux ???

      No Comments on ?????????????? Linux ???

シマンテックは、「モノのインターネット」を狙う目的で設計されたと思われる新しい Linux ワームを発見しました。このワームは、従来のコンピュータだけでなく、さまざまな種類の小型のインターネット対応デバイスも攻撃する機能を備えています。家庭用ルーター、セットトップボックス、防犯カメラといったデバイスに通常搭載されているチップアーキテクチャごとに亜種が存在します。このようなデバイスへの攻撃はまだ確認されていないものの、その危険性があることに多くのユーザーは気付いていません。これは、自分が所有するデバイス上で Linux が稼働していることを知らないためです。

ワーム Linux.Darlloz は、PHP の脆弱性を悪用して自身を拡散します。ここで利用されているのは、「PHP の「php-cgi」に存在する情報漏えいの脆弱性」(CVE-2012-1823)で、2012 年 5 月にはパッチが公開されている古い脆弱性です。攻撃者は最近、2013 年 10 月末に公開された概念実証(PoC)コードに基づいてこのワームを作成したようです。

Linux.Darlloz は、実行されるとランダムに IP アドレスを生成し、よく使われている ID とパスワードの組み合わせでデバイス上の特定のパスにアクセスして、HTTP POST 要求を送信します。これが脆弱性を悪用しています。標的にパッチが適用されていない場合には、悪質なサーバーからワームをダウンロードして次の標的を探します。現在、このワームは Intel x86 系システムにしか感染しないようです。というのは、悪用コードのダウンロード URL が、Intel アーキテクチャ用の ELF バイナリにハードコード化されているからです。

Linux は、最もよく知られているオープンソース OS で、各種のアーキテクチャに移植されています。Intel ベースのコンピュータに限らず各種の CPU を搭載した小型デバイス、たとえば家庭用ルーターやセットトップボックス、防犯カメラから、産業用制御システムなどでも稼働しています。デバイスによっては、Apache Web サーバーや PHP サーバーなど、設定や監視に使う Web ベースのユーザーインターフェースも用意されています。

シマンテックは、この攻撃者が、同じサーバー上で ARM、PPC、MIPS、MIPSEL など Intel 以外のアーキテクチャ用の亜種をすでにホストしていることも確認しています。

ARM_0.png

図. ELF ヘッダーの “e_machine” 値を見ると、このワームが ARM アーキテクチャ用であることがわかる

これらのアーキテクチャのほとんどは、前述したようなデバイスで使われています。攻撃者は、Linux が稼働している各種のデバイスに攻撃範囲を広げることで、感染の可能性を最大限に拡大しようと試みているようですが、PC 以外のデバイスに対する攻撃はまだ確認されていません。

組み込みのオペレーティングシステムとソフトウェアを使うデバイスの製造元では、ユーザーに確認することなく製品を設定しているので、事態が複雑になっています。多くのユーザーは、家庭やオフィスで脆弱なデバイスを使っているとは認識していません。デバイスの脆弱性を仮にユーザーが認識していたとしても、製品によっては製造元から更新版が提供されないという別の問題もあります。これは、デバイスのメモリが不足していたり CPU が低速すぎたりして新しいバージョンのソフトウェアをサポートできないなど、旧式の技術やハードウェアの制限が原因となります。

Linux.Darlloz への感染を防ぐために、以下の処理を実行することをお勧めします。

  1. ネットワークに接続されているすべてのデバイスを確認する。
  2. デバイスのソフトウェアを最新のバージョンに更新する。
  3. デバイスで使用できる場合には、セキュリティソフトウェアを更新する。
  4. デバイスに強力なパスワードを設定する。
  5. 以下のパスに対する着信 HTTP POST 要求が不要な場合には、ゲートウェイまたは各デバイスで遮断する。
  • -/cgi-bin/php
  • -/cgi-bin/php5
  • -/cgi-bin/php-cgi
  • -/cgi-bin/php.cgi
  • -/cgi-bin/php4

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????????????

      No Comments on ?????????????????????????????
寄稿: Vivek Krishnamurthi
cyber_monday_graphic.png
 
2013 年 12 月 2 日はサイバーマンデーに当たります。ヨーロッパではメガマンデーとも呼ばれ、ホリデーシーズンのオンラインショッピング客が増えるため、インターネット上の小売店でトラフィックが急増する 1 日です。サイバーマンデーという考え方が始まったのは、2005 年のことです。小売業界によれば、感謝祭が終わった直後の月曜日になると、仕事に戻った人々が職場のコンピュータからクリスマスプレゼントを購入するのです。サイバーマンデーをマーケティング的な誇大広告にすぎないとして一蹴する向きもありますが、大手小売店の多くが競争を繰り広げてきた結果、この 1 日の意味は無視できないほど大きくなっています。2012 年のサイバーマンデーには、米国内の小売店大手 500 社が 2 億 680 万ドルを売り上げ、ヨーロッパでもおよそ 5 億 6,500 万ユーロが消費されました。今年は、実店舗からオンラインストアに移る消費者がさらに増え、サイバーマンデーの売上が 13.1% 増加するものと専門家は予測しています。
 
一方、サイバーマンデーをめぐる誇大広告や、電子商取引サイトでこの日に予想されるトラフィックを考えると、攻撃者がサイバーマンデーを悪用して消費者と小売店の両方を狙う恐れがあります。RSA Security 社と Ponemon Institute 社の最近の調査によると、小売業界の IT 専門家のうち 64% が、サイバーマンデーのようにトラフィックの多い日に攻撃や詐欺行為が増えることを経験しています。にもかかわらず、そうした IT 専門家の 3 分の 1 は、高可用性と Web サイトの整合性を保証する特別な対策を取っていないのが現状です。しかも、ホリデーシーズン中のサイバー攻撃による直接のコストは、1 分間当たり 8,000 ドルとも言われています。
 
小売店に対する攻撃
サイバーマンデーに攻撃者が小売店や消費者を狙うには、いくつかの方法があります。個人情報の窃盗はその代表的な脅威で、ここ数年多くの店舗と消費者に被害をもたらしています。サイバーマンデーのトラフィックが増加することを考えると、小売店のインフラの脆弱性を狙い、消費者の情報を盗み出すマルウェアを仕掛けようとする攻撃者も、つられるようにして増える可能性があります。シマンテックの調査では、シマンテックによってスキャンされた Web サイトの 53% に、悪用の恐れがある脆弱性がパッチ未適用のまま残っていることが判明しています。
 
サイバーマンデーに企業を狙う脅威としては、分散サービス拒否(DDoS)攻撃も想定されます。小売店の多くはこれまでに DDoS 攻撃の影響を経験しており、2012 年に DDoS 攻撃を受けた英国企業のうち 43% は小売業でした。サイバーマンデーは、攻撃者が小売店に DDoS 攻撃を仕掛けるのに格好の日と言えそうです。攻撃者は、重要な意味のある日付に DDoS 攻撃を仕掛けることで知られていますが、それはサイバーマンデーのようにトラフィックが増える日に自分たちの行為が耳目を集めるとわかっているからです。攻撃者が DDoS 攻撃を利用するのは、Web 管理者の注意をそらしておき、裏で別の悪質な行為を実行する目的かもしれません。DDoS 攻撃の頻度が高くなってきていることは、今年の第 2 四半期に攻撃が 54% 増加したという報告からも明らかです。
 
エンドユーザー
サイバーマンデーを控えて保護対策を考えなければならないのは、もちろん小売店だけではありません。消費者もオンラインショッピングの安全性に注意する必要があります。今年は、モバイルデバイス経由で商品を検索する消費者が増えるだろうとアナリストは予測しています。マーケティング調査企業の eMarketer 社によれば、今年の電子商取引による総売上 2,623 億ドルのうち、モバイルでの売上は 416 億 8,000 万ドルに達し、2012 年比で 68.2% も上昇するでしょう。ところが、スマートフォンユーザーの 38% が過去 12 カ月間にモバイル対象のサイバー犯罪を経験していながら、モバイルデバイス所有者のおよそ半数は、パスワードやセキュリティソフトウェア、データバックアップといった基本的な保護対策すら実装していないことが、最新の 2013 年ノートン レポートで示されています。消費者によっては、PC よりもモバイルデバイスでのオンラインショッピングを好むのかもしれませんが、サイバー犯罪の脅威に対しては依然として無防備だということです。
 
詐欺師がサイバーマンデーに企業を狙うにしても消費者を狙うにしても、そこで利用するのは、従来型の定番の手口でしょう。シマンテックは最近、サイバーマンデーで一儲けするのであればその日に備えるべきと言ってユーザーを誘うスパム活動を確認しています。この電子メールには、その方法についてのアドバイスと称して 2 つのリンクが含まれています。これらのリンクをクリックするとスパムの Web ページにリダイレクトされますが、そのページにはユーザーが正規のサイトと思い込ませるためのビデオが含まれています。
 
CyberMonday_edit2.png
図. 受信したユーザーがサイバーマンデーで一儲けできると誘うスパムメール
 
安全のために
サイバーマンデーを安全に過ごすために、消費者と小売店は以下の注意点を守るようにしてください。
 
  • Web 管理者は、サイバーマンデーに先立って、インフラの脆弱性がすべて修正されていることを確認し、攻撃者に脆弱性を悪用されないようにしてください。また、怪しい活動がないか、ネットワークトラフィックの監視を怠らないでください。
  • 小売店は、システムへの侵入を狙ったソーシャルエンジニアリング攻撃に伴うリスクを従業員が理解するように教育する必要があります。攻撃が消費者にも影響を与える恐れもあります。同様に、小売業以外の企業も、従業員が職場のコンピュータからオンラインショッピングをする可能性に備えて、サイバーマンデーをめぐるフィッシング詐欺に注意するよう従業員を教育してください。
  • 消費者は、オンラインショッピングに最新バージョンのブラウザを使うよう心掛け、ウイルス対策ソフトウェアを含めて各ソフトウェアを常に最新の状態に保つようにしてください。シマンテックは、PC およびモバイルデバイス向けに最新のノートン製品を提供しています。
  • 消費者は、信頼できるオンラインショップだけから商品を購入し、ショッピングしている Web サイトが Secure Sockets Layer(SSL)で保護されていることを確認してください。保護されているサイトは、URL に「http」ではなく「https」が含まれているので区別がつきます。保護されていないサイトでは、口座情報を入力しないでください。
  • 迷惑メールにあるリンクは決してクリックしないでください。特に、信じられないほどお得な商品を宣伝している場合には注意が必要です。正規の小売店の公式 Web サイトを常に確認しておけば、どのような商品が提供されているかわかります。重要な口座情報などを電子メールで送信することも厳禁です。
  • 消費者は、ホリデーシーズンの間、銀行口座やクレジットカード情報を監視し、疑わしい購入記録や不正な送金記録があった場合にはただちに報告してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

A Winky Face Emoticon Is Not Enough: Man Fined for Facebook Comment

      No Comments on A Winky Face Emoticon Is Not Enough: Man Fined for Facebook Comment

In Switzerland, a judge sentenced a young man to pay a fine for a comment he made on a social network. According to news reports, he felt he didn’t receive a sufficient number of birthday congratulations from his 290 friends on the social network…

Linux Worm Targeting Hidden Devices

      No Comments on Linux Worm Targeting Hidden Devices

Symantec has discovered a new Linux worm that appears to be engineered to target the “Internet of things”. The worm is capable of attacking a range of small, Internet-enabled devices in addition to traditional computers. Variants exist for chip architectures usually found in devices such as home routers, set-top boxes and security cameras. Although no attacks against these devices have been found in the wild, many users may not realize they are at risk, since they are unaware they own devices that run Linux.

The worm, Linux.Darlloz, exploits a PHP vulnerability to propagate itself in the wild. The worm utilizes the PHP ‘php-cgi’ Information Disclosure Vulnerability (CVE-2012-1823), which is an old vulnerability that was patched in May 2012. The attacker recently created the worm based on the Proof of Concept (PoC) code released in late Oct 2013.

Upon execution, the worm generates IP addresses randomly, accesses a specific path on the machine with well-known ID and passwords, and sends HTTP POST requests, which exploit the vulnerability. If the target is unpatched, it downloads the worm from a malicious server and starts searching for its next target. Currently, the worm seems to infect only Intel x86 systems, because the downloaded URL in the exploit code is hard-coded to the ELF binary for Intel architectures.

Linux is the best known open source operating system and has been ported to various architectures. Linux not only runs on Intel-based computers, but also on small devices with different CPUs, such as home routers, set-top boxes, security cameras, and even industrial control systems. Some of these devices provide a Web-based user interface for settings or monitoring, such as Apache Web servers and PHP servers.

We have also verified that the attacker already hosts some variants for other architectures including ARM, PPC, MIPS and MIPSEL on the same server.

ARM_0.png

Figure: The “e_machine” value in ELF header indicates the worm is for ARM architecture.

These architectures are mostly used in the kinds of devices described above. The attacker is apparently trying to maximize the infection opportunity by expanding coverage to any devices running on Linux. However, we have not confirmed attacks against non-PC devices yet.

Vendors of devices with hidden operating systems and software, who have configured their products without asking users, have complicated matters. Many users may not be aware that they are using vulnerable devices in their homes or offices. Another issue we could face is that even if users notice vulnerable devices, no updates have been provided to some products by the vendor, because of outdated technology or hardware limitations, such as not having enough memory or a CPU that is too slow to support new versions of the software.

To protect from infection by the worm, Symantec recommends users take the following steps:

  1. Verify all devices connected to the network
  2. Update their software to the latest version
  3. Update their security software when it is made available on their devices
  4. Make device passwords stronger
  5. Block incoming HTTP POST requests to the following paths at the gateway or on each device if not required:
  • -/cgi-bin/php
  • -/cgi-bin/php5
  • -/cgi-bin/php-cgi
  • -/cgi-bin/php.cgi
  • -/cgi-bin/php4

Cyber Monday Shoppers and Retailers Beware of Scams and Attacks

      No Comments on Cyber Monday Shoppers and Retailers Beware of Scams and Attacks

Contributor: Vivek Krishnamurthi

 
December 2, 2013 marks Cyber Monday, the day when Internet retailers expect to experience a major surge in traffic thanks to people shopping online for the holiday season. The concept of Cyber Monday, or Mega Mo…

?????????????? Blackshades RAT ???

      No Comments on ?????????????? Blackshades RAT ???
2012 年 7 月、有名なリモートアクセスツール(RAT)、Blackshades RAT に関与していた中心人物が逮捕されたと報じられました。主犯格が逮捕され、2010 年にはそのコードが漏えいしたにもかかわらず、Blackshades RAT は今もなお販売され、サイバー犯罪に使われています。それどころか、シマンテックセキュリティレスポンスは、過去 5 カ月の間に Blackshades RAT の使用が増加していることさえ確認しています。
 
Blackshades RAT(シマンテック製品では W32.Shadesrat として検出されます)は、侵入先のシステムからパスワードなどのアカウント情報を収集し、悪質なコマンド & コントロール(C&C)サーバーに送信します。最近の増加傾向を踏まえて、今回の感染活動を管理している C&C サーバーを調査したところ、Cool 悪用ツールキットとの関係が明らかになりました。Cool 悪用ツールキットは W32.Shadesrat やその他のマルウェア群の拡散に使われています。
 
Shadesrat and Cool Exploit 1.png
図 1. 2013 年 7 月以降の Shadesrat の推移
 
最近見つかった脆弱性を悪用して、産業界やシンクタンク、政府機関、一般ユーザーを狙う、Web サーバーへの攻撃がここ数年、目に見えて増加しています。どの場合でも攻撃者の目標は非常にはっきりしており、ユーザーのコンピュータ上で悪質なペイロードを実行することにあります。攻撃者がそのために使っているのが、各種の悪用ツールキットです。
 
W32.Shadesrat による感染件数の増加を調べるなか、シマンテックは感染したコンピュータからアカウント情報を収集する際に使われている数百の C&C サーバーを特定しました。W32.Shadesrat は、電子メールサービス、Web サービス、インスタントメッセージアプリケーション、FTP クライアントなどのさまざまなアカウント情報を狙っています。スパマーが新しい電子メールアカウント情報を求める場合でも、攻撃者が新しいサーバーやサービスへのアクセスを狙ってセキュリティ侵害を試み続けたり、特定の情報の抽出を狙ったりする場合でも、目的はこの手の情報です。
 
シマンテックの調査によると、ほぼすべての C&C サーバーがいずれかの時点で悪用ツールキットをホストしており、Blackhole 悪用ツールキットと Cool 悪用ツールキットの作成者が逮捕されるまでは、後者が最も有力でした。これらのツールキットは、ユーザーのコンピュータでさまざまな脆弱性を悪用し、悪質なペイロードを実行して感染を試みます。アンダーグラウンドのグループは、こうした攻撃を実行できるだけの多様なリソースを抱えています。
 
Shadesrat and Cool Exploit 2.png
図 2. 作成者逮捕までの 9 月から 10 月の間に C&C サーバーで使われた悪用ツールキット
 
また、Blackhole 悪用ツールキットと Cool 悪用ツールキットの作成者が逮捕された後で、この 2 つの悪用ツールキットがほぼ姿を消し、新たな選択肢として Neutrino が浮上したことも確認されています。
 
Shadesrat and Cool Exploit 3.png
図 3. 作成者逮捕後の 10 月から 11 月の間に C&C サーバーで使われた悪用ツールキット
 
無防備なユーザーが感染してしまうと、複数のペイロードがダウンロードされ、RAT によって制御を乗っ取られるか、ダウンローダによって別の機能を持つ後続のマルウェアがインストールされてしまいます。
 
C&C サーバーは、以下のように他のマルウェアも拡散します。
 
Shadesrat and Cool Exploit 4.png
図 4. 9 月から 10 月の間に C&C サーバーによって拡散された脅威
 
シマンテックは遠隔測定システムを使って、C&C サーバーの所在地と、W32.Shadesrat の感染が多い国や地域を特定しました。
 
Shadesrat and Cool Exploit 5.png
図 5. C&C サーバーの所在地
 
Shadesrat and Cool Exploit 6.png
図 6. W32.Shadesrat の感染状況
 
C&C サーバーのホストが最も多く置かれていたのは、リトアニアと米国です。感染件数が最も多いのはインドで、米国、英国がそれに次いでいますが、W32.Shadesrat の被害は世界中に広がっています。
 
W32.Shadesrat の感染状況を見ると、攻撃者は可能なかぎり多くのコンピュータに感染することを試みているようです。特定のユーザーや企業を標的にしている様子はありません。
 
以上のことから、W32.Shadesrat の完成度の高さと、攻撃者がふんだんに使えるリソースの豊富さがうかがえます。お使いのソフトウェアは常に最新の状態に保ち、ウイルス対策ソリューションについても最新の定義に更新するようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。