Tag Archives: Endpoint Protection (AntiVirus)

Opera Breach – When Cybercriminals take on Targeted Attacks

Hacker Medic June 28, 2013 No Comments

On June 26 2013, browser manufacturer Opera announced that they had been breached as a result of a targeted attack against their infrastructure. However, this was no ordinary targeted attack. The attackers in this case weren’t looking to steal intellectual property. They wanted to use Opera’s auto-update mechanism in order to propagate a piece of malware normally associated with financial Trojans.

When attackers breached the Opera network sometime around June 19 2013, they first stole an expired Opera code signing certificate to sign a piece of malware. Signing the malware allowed them to distribute it via Opera’s auto-update mechanism. Users would receive the malware as part of a browser update. The malware in question is Downloader.Ponik, a downloader Trojan typically used to propagate cybercrime-related malware, such as financial Trojans and infostealers.

Opera, in their statement, estimates that a few thousand users may have automatically received the malware sometime between 01:00 and 01:36. Opera spotted the breach and were able to halt any further propagation of the malware. As the attackers only had a small window in which to operate they had limited success. Had they had more prolonged access to the Opera network they would have been much more successful. Or would they?

Had the attackers had access to the Opera servers for a longer period they would have been able to propagate their malware to a much larger number of users. However, such an attack would be very noisy, drawing the attention of security companies who would quickly provide protection and lead a concerted effort to take down command-and-control (C&C) servers. All of this would render the malware effectively useless. This is reminiscent of Conficker, a threat which spread to millions of computers and was due to trigger a payload on April 1, 2009. However, by that time, security organizations and hosting providers had worked together to take control of the C&C servers. The threat was being so closely monitored that the attackers were unable to leverage it.

When attackers try aggressive propagation methods they become victims of their own success. For now this attack has been neutralized. Opera recommends that users update their browsers as proactive measure against further attacks. Symantec provides protection for this as Downloader.Ponik. We also recommend that users who think they may have been affected reset their passwords.

??????????????? Wiper

Hacker Medic June 28, 2013 No Comments

「DarkSeoul」と名付けられたグループによって韓国の Web サイトに対して実行された先日の分散サービス拒否（DDoS）攻撃については、昨日詳しくご報告したばかりです。韓国に対する以前の攻撃も同一のグループによる犯行と特定されており、なかでも 2013 年 3 月の Jokra 攻撃は、韓国の銀行やテレビ局にある膨大な数のコンピュータでハードディスク上のデータが消去されるという破壊的な被害をもたらしました。これらの攻撃についてその後も調査を進めた結果、類似のデータ消去攻撃を仕掛けようとする新しい脅威が確認されました。シマンテックはこれを Trojan.Korhigh として検出します。

韓国に対するこれまでの攻撃でシマンテックが確認した Wiper と同様、Trojan.Korhigh は侵入先のコンピュータで体系的にファイルを削除し、マスターブートレコード（MBR）を上書きしてそのコンピュータを使用不能にするという機能を持っています。Trojan.Korhigh は、侵入先のコンピュータでユーザーのパスワードを「highanon2013」に変更する、あるいは以下のファイルタイプに関連して特定のデータ消去命令を実行する、といった機能を追加するためのいくつかのコマンドラインスイッチを受信します。

asp
aspx
avi
bmp
dll
do
exe
flv
gif
htm
html
jpeg
jpg
jsp
mp4
mpeg
mpg
nms
ocx
php
php3
png
sys
wmv

Trojan.Korhigh は、侵入の証拠としてコンピュータの壁紙を変更する場合もあります。現時点で、攻撃者の正体は特定できていません。

図. Trojan.Korhigh の壁紙

また、侵入先のコンピュータについてシステム情報（オペレーティングシステムのバージョン、コンピュータ名、現在の日付など）を収集し、以下の IP アドレスに送信しようとする場合もあります。

112.217.190.218:8080
210.127.39.29:80

シマンテックはこの脅威の解析を続けており、韓国に対する攻撃も引き続き監視しています。保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????

Hacker Medic June 27, 2013 No Comments

ドイツの連邦情報セキュリティ庁（BSI）は、Fraunhofer SIT 社および ]init[ 社と共同で、Web サイトに使われている一般的なコンテンツ管理システム（CMS）のリスクに関する研究結果を発表しました。CMS は主に Web サイトの管理に使われており、テキストやその他のコンテンツを簡単に更新できるため、IT の専門家でなくても更新作業をこなすことができます。その反面、Web サーバーへのアクセスを試みようとする攻撃者から見れば、狙いやすい弱点であることも確かです。CMS を制御できれば、攻撃者は Web サイトを改ざんすることができます。これまでにも、パッチ適用されていない CMS の脆弱性によって多くの Web サイトが侵入を受け、コンテンツに悪質な iFrame を挿入されてドライブバイダウンロードのホストサイトとして悪用されてきました。たとえば、昨年出現した Lizamoon のケースでは、数十万の Web サイトが SQL インジェクション攻撃による侵入を受けました。

今回の研究では、Drupal、Joomla!、Plone、TYPO3、WordPress といったオープンソースのコンテンツ管理システムに焦点を当て、それらのシステムで公式に発表されている脆弱性について解析し件数を調べました。平均すると、特定されたすべての脆弱性のうち 75% が、アプリケーションのコアパッケージに追加でインストールされる拡張機能やアドオンモジュールに存在していました。管理者は、メインシステムをアップグレードするときにアドオンモジュールを更新することを忘れがちなため、脆弱性が残ったままになってしまいます。それでも、アドオンが重要な機能を提供する以上、ユーザーはアドオンモジュールの使用をやめないでしょう。たとえば、総当たりによるパスワード推測を防ぐ、遅延や CAPTCHA のような対策が実装されていない CMS もあります。こういった機能は拡張機能で追加することができ、インターネット上をスキャンして脆弱なパスワードを探している攻撃者に対する確実な防御策になります。

図 1. CMS で脆弱性が存在する部分

脆弱性の内訳をタイプ別に見てみると（図 2）、最も一般的な脆弱性は、全体の 65% を占めるクロスサイトスクリプティング（XSS）であることがわかります。さらに、コード実行の脆弱性は平均で 41%、SQL インジェクションは平均で 34% と、どちらも少なくない比率を占めています。SQL インジェクションは、OWASP による上位 10 件の Web 脆弱性リストに何年間もランクインしており、その緩和対策についても情報が広く公開されています。

図 2. 脆弱性のタイプ別の内訳

この研究の結論として、CMS はデフォルト設定のまま導入しないこと、新しいバージョンが公開されたときには必ずアップグレードすることが推奨されています。相手がいわゆるスクリプトキディ程度であれば、管理フォルダを変更するだけでも十分な対策になることがあります。システムスキャンで見つかる程度の簡単な標的しか狙われない可能性が高いため、システムへのアクセスを防ぐことができるからです。「隠蔽によるセキュリティ」では根本的な解決にはならないことは言うまでもありません。以上のことから、CMS を使う場合には CMS をパッチプロセスに組み入れ、対応するソフトウェアの脆弱性情報を購読することをお勧めします。

Chrome ????????????????????

Hacker Medic June 27, 2013 No Comments

Google 社は、Chrome ウェブストアに新しくアップロードされるアプリケーションと拡張機能に対してスキャンを実施するようになりました。Google Play では、すでに類似の機能が導入されています。

悪質な拡張機能にソーシャルネットワークユーザーが欺かれるケースについては、これまでにいくつも紹介してきました。自分のプロフィールに誰がアクセスしたかを確認できるなど、新しい機能をソーシャルネットワークに追加すると謳うのが典型的な手口です。すべてが公式の Chrome ウェブストアで公開されているわけではないので、Google 社の新しいプロセスでも、侵入を果たそうとする悪質な拡張機能をすべて遮断できるわけではありません。それでもなお、悪質な Chrome 拡張機能をできるだけ排除しようとする Google 社の取り組みをシマンテックは歓迎します。また、マルウェアを含む項目の検出率が上がるように自動システムを改善してきた姿勢も評価できます。

悪質なブラウザ拡張機能は、きわめて強力です。拡張機能をインストールしてアクセスを許可すると、ブラウザ内部から悪質なタスクを実行できます。それが、金融業界を狙うトロイの木馬、たとえば Zeus などによる MITB（Man-in-the-Browser）攻撃を引き起こす場合もあり、Web コンテンツを入れ替える、ログインフォームからパスワードを盗み出す、あるいはバックグラウンドでクリック詐欺を実行することも可能になります。現在、こうした悪質な拡張機能はソーシャルネットワーク詐欺としてごく一般的です。Firefox の拡張機能におけるマルウェアの危険性については 2009 年にホワイトペーパー（英語）を公開しましたが、同じ危険性が Chrome の拡張機能にも当てはまります。

図 1. 新機能を追加すると称する悪質なブラウザ拡張機能

ソーシャルメディアに出現する悪質な拡張機能に関連して、ソーシャルネットワークで無料を謳う商品を見かけたら、特にそれが人気の高い商品であるほど、十分に注意してください。ソーシャルネットワークで現在利用できない機能があるとしたら、利用できないそれなりの理由があるのです。発行元が不明なブラウザ拡張機能はインストールしないようにしてください。無料商品の提供や、未実装の機能の追加を謳っている場合は言うまでもなく、ソーシャルネットワークで盛んに宣伝されている場合には特に疑ってかかりましょう。

New Disk Wiper Found in Korean Attacks

Hacker Medic June 27, 2013 No Comments

Yesterday, Symantec published details about a new distributed denial-of-service (DDoS) attack carried out by a gang dubbed “DarkSeoul” against South Korean websites. We identified their previous attacks against South Korea, including the devastating Jokra attacks in March 2013 that wiped numerous computer hard drives at South Korean banks and television broadcasters. As a result of our continued investigations into attacks against South Korea, we have come across a new threat—detected as Trojan.Korhigh—that attempts to perform a similar wiping action.

Similar to previous wipers encountered by Symantec in attacks against South Korea, Trojan.Korhigh has the functionality to systematically delete files and overwrite the Master Boot Record (MBR) on the compromised computer, rendering it unusable. The Trojan accepts several command line switches for added functionality, such as changing user passwords on compromised computers to “highanon2013” or executing specific wipe instructions related to the following file types:

asp
aspx
avi
bmp
dll
do
exe
flv
gif
htm
html
jpeg
jpg
jsp
mp4
mpeg
mpg
nms
ocx
php
php3
png
sys
wmv

The Trojan may also change the computer wallpaper as an indication of compromise. At this time, we cannot confirm the identity of the attackers.

Figure. Trojan.Korhigh wallpaper

The threat may also attempt to gather system information about the compromised machine (operating system version, computer name, current date) which it sends to the following IP addresses:

112.217.190.218:8080
210.127.39.29:80

Symantec is continuing its analysis of this threat and is monitoring on-going attacks against South Korea. To ensure the best protection, Symantec recommends that you use the latest Symantec technologies and up-to-date antivirus definitions.

Norton Mobile Insight Discovers Facebook Privacy Leak

Hacker Medic June 26, 2013 No Comments

Today we released a new version of Norton Mobile Security for Android devices that contains our new Norton Mobile Insight technology. Mobile Insight has analyzed over 4 million Android applications and processes tens of thousands of new applications ev…

Four Years of DarkSeoul Cyberattacks Against South Korea Continue on Anniversary of Korean War

Hacker Medic June 26, 2013 No Comments

Yesterday, June 25, the Korean peninsula observed a series of cyberattacks coinciding with the 63rd anniversary of the start of the Korean War. While multiple attacks were conducted by multiple perpetrators, one of the distributed denial-of-service (DD…

Chrome Web Store Apps Now Automatically Scanned

Hacker Medic June 26, 2013 No Comments

Google has started to scan newly uploaded applications and extensions in its Chrome Web Store, similar to what they already do in the Android Play Market.
We have written about quite a few cases where malicious extensions were pushed on social network …

The Risk with Content Management Systems

Hacker Medic June 26, 2013 No Comments

The federal Office for Information Security in Germany (BSI) together with the “Fraunhofer SIT” and “]init[ AG” released a study on the risk with common content management systems (CMS) for websites. A CMS is typically used to a…