Tag Archives: Endpoint Protection (AntiVirus)

Citadel ???????????

Hacker Medic June 7, 2013 No Comments

寄稿: Piotr Krysiuk

6 月 5 日、Microsoft 社は金融業界および FBI との協力により、オンラインバンキングを狙う Citadel というトロイの木馬プログラムの活動を停止に追い込んだことを発表しました。この停止措置により、1,000 以上の Citadel ボットネットがオフラインになりました。

Citadel はオンラインバンキングを狙うトロイの木馬のひとつで、2011 年に登場しました。オンラインバンキングを狙う他のトロイの木馬と同様に、Citadel も、すべてが揃ったクライムウェアキットであり、ペイロードビルダー、コマンド & コントロール（C&C）サーバーのインフラストラクチャ、さまざまな銀行を標的にする設定スクリプトを攻撃者に提供します。Citadel は、金融業界を狙うトロイの木馬として大きな存在である Trojan.Zbot（Zeus）の末裔です。2011 年に Zeus のソースコードが漏えいした後で、犯罪者グループがそのコードを引き継ぎ強化する形で登場しました。

図 1. トロイの木馬 Citadel のインターフェース

先駆けとなった Zeus が広範囲に出回ったのに対し、Citadel はより「資金力のある」攻撃者を市場として対象にしています。SpyEye や、漏えいした Zeus のキットがわずか 100 ドルで取引されているのに対して、Citadel キットはロシアの地下フォーラムで通常 3,000 ドル前後で販売されています。Citadel のユーザーは、標的にしようとする銀行に合わせた Web インジェクションコードを購入するたびに、30 ～ 100 ドルを追加で支払う必要もあります。しかも、攻撃者に資金の余裕があったとしても、新規購入の場合には紹介が必要であり、厳格な審査プロセスがあります。

Citadel の感染は全世界に広がっていますが、過去 6 カ月で多数の感染が確認されているのは、オーストラリア、イタリア、米国でした。

図 2. 2013 年 1 月から 6 月までの Citadel の感染件数

シマンテックは、Citadel ボットネットの活動停止という今回の報道を歓迎します。この停止措置で Citadel の脅威を完全に排除できるわけではありませんが、現在の活動が停止することは確かであり、攻撃者に対しても、その活動がいつも監視されているという明確なメッセージになったはずです。この脅威の排除にあたって官民の協力態勢が取られたことも称賛に値します。

金融業界を狙うトロイの木馬について詳しくは、シマンテックのホワイトペーパー（英語）をお読みください。シマンテックの最新のウイルス対策と侵入防止シグネチャを使用することで、Citadel の感染を防ぐことができます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

What to Wear

Hacker Medic June 6, 2013 No Comments

Many high-tech companies are researching wearable technologies, i.e. things that you can wear and help to make your life easier. Probably causing the biggest stir in the technology community recently are smart glasses, with Google Glass being the prima…

Citadel’s Defenses Breached

Hacker Medic June 6, 2013 No Comments

Contributor: Piotr Krysiuk

On June 5, Microsoft announced that they had worked together with members of the financial services industry and the FBI to disrupt the operations of a banking Trojan horse program called Citadel. The takedown operation resulted in over 1,000 Citadel botnets being taken offline.

Citadel is a banking Trojan that has been in existence since 2011. As with most banking Trojans, Citadel is a full crimeware kit, providing the attackers with payload builders, a command and control (C&C) server infrastructure, and configuration scripts to target various banks. Citadel is a descendant of that other behemoth of the financial Trojan world, Trojan.Zbot (Zeus). It came into existence after the Zeus source code was leaked in 2011, with criminal groups taking that code and enhancing it.

Figure 1. The Citadel Trojan interface

Citadel is aimed at a more “exclusive” attacker market than its more widespread predecessor, Zeus. The Citadel kit is sold through underground Russian forums and typically costs around $3,000, compared to $100 for the SpyEye and leaked Zeus kits. Citadel users will also have to fork out a further $30-$100 to purchase Web inject code for the banks that they wish to target. Additionally, even if attackers have that money to spend, there is a strict vetting process with referrals required for new purchasers.

Citadel infections have spread around the globe, but in the past six months the majority of infections have been in Australia, Italy and the US.

Figure 2. Citadel infections from January to June 2013

Symantec welcomes news of the takedown of these Citadel botnets. While these takedowns may not eliminate the threat of Citadel completely, it certainly disrupts current campaigns and sends out a clear message to attackers that their actions are being monitored. Symantec also welcomes the cooperation between the public and private sector in taking action against this threat.

For more information about the world of financial Trojans, read our whitepaper. Symantec’s current antivirus and intrusion prevention signatures provide protection against Citadel infections.

Citadel’s Defenses Breached

Hacker Medic June 6, 2013 No Comments

Contributor: Piotr Krysiuk

Figure 1. The Citadel Trojan interface

Citadel infections have spread around the globe, but in the past six months the majority of infections have been in Australia, Italy and the US.

Figure 2. Citadel infections from January to June 2013

For more information about the world of financial Trojans, read our whitepaper. Symantec’s current antivirus and intrusion prevention signatures provide protection against Citadel infections.

TravNet ???????????????

Hacker Medic June 5, 2013 No Comments

6 月 5 日、Kaspersky 社は「The NeTTraveler (aka ‘TravNeT’)」（英語）と題するホワイトペーパーを公開しました。このホワイトペーパーでは、政府機関、企業、民間団体など世界中のさまざまな組織を狙う、ある標的型攻撃について解析されています。この調査は、「Travnet Trojan Could Be Part of APT Campaign（Travnet Trojan は APT 攻撃の一環か）」（英語）という McAfee 社のブログにも関連しています。これは、シマンテックも監視を続けている、ある攻撃について今年の 3 月に公開されたブログです。シマンテックは、この脅威に対して以下のウイルス対策定義を追加しました。

また、以下の IPS 定義も追加しています。

この攻撃で確認された感染経路はスピア型フィッシングメールで、特別に細工されたリッチテキスト形式（RTF）のファイルが添付されています。悪質な RTF ファイルで悪用が確認されているのは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性（CVE-2012-0158）と Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性（CVE-2010-3333）ですが、どちらも Microsoft Office などの Microsoft 製品についてパッチがすでに公開されている脆弱性です。同様の動作は、Microsoft Word を悪用して投下されるファイルでも確認されており、これは Trojan.Mdropper として検出されます。

悪用に成功するとマルウェアが投下され、そのマルウェアがさらに別のファイルを投下したうえで標的から情報を盗み出し、攻撃者のコマンド & コントロール（C&C）サーバーに送信します。シマンテック製品は、このスピア型フィッシングの Word 文書を Trojan.Mdropper として、投下されるファイルを Trojan.Travnet として検出します。

お使いのソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようにしてください。標的型攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

TravNet ???????????????

Hacker Medic June 5, 2013 No Comments

また、以下の IPS 定義も追加しています。

Waledac ??: Trojan.Rloader.B

Hacker Medic June 5, 2013 No Comments

W32.Virut に感染したシステムで W32.Waledac.D（Kelihos）のダウンロードが確認されたことを、少し前にこのブログでもご報告しました。シマンテックは Waledac の進化を何年も追い続けており、過去に実施された停止の試みに対してこのボットネットが非常に強い回復力を持っていることを確認しています。Waledac は従来、1 日に最大で 2000 通もの悪質な電子メールを送信するスパムボットネットとして知られてきました。

図 1. W32.Waledac.D のスパム

過去 2 カ月間で、Waledac の感染数はますます増えており、その感染の大部分は米国が起源であることが確認されています。

図 2. W32.Waledac.D に感染したコンピュータ数の多い上位 10 カ国

W32.Waledac.D に感染したコンピュータは、別のマルウェアも拡散していました。これは、当初 Backdoor.Tidserv として検出されていましたが、シマンテックの解析結果に基づいて、Trojan.Rloader の新しい亜種、Trojan.Rloader.B であることが確認されています。他の亜種と同様、Trojan.Rloader.B の主要機能もクリック詐欺が中心です。

図 3. Trojan.Rloader.B の攻撃手順

Trojan.Rloader.B は、被害者のコンピュータ上で最初に実行されたときに物理マシン上で実行されているかどうかを確認し、仮想マシン内で実行されていることがわかると自身を終了します。仮想マシンでは、ウイルス対策ソフトウェアやマルウェアの解析に利用できるツールが実行されていることがよくあるからです。次に、Trojan.Rloader.B は侵入先のホストに関する情報を収集し、コマンド & コントロールサーバーに送信して、侵入先のコンピュータを登録します。また、この段階で Windows のホストファイルを改ざんして、多くの有名な検索エンジンが、検索結果に埋め込まれたポップアップ広告を表示する悪質な IP アドレスにリダイレクトされるようにします。

さらに、Trojan.Rloader.B は Mozilla Firefox と Internet Explorer の両方を標的として、検索要求が http://findgala.com にリダイレクトされるようにブラウザの設定を変更します。このとき同時に、感染したコンピュータ上では広告も表示されます。

シマンテックが調査を進める中で、2 つ目のクリック詐欺コンポーネントを投下する Trojan.Rloader.B の存在が判明しました。以前のブログで説明したように、以前は Trojan.Spachanel として検出されていたコンポーネントです。Trojan.Spachanel は実行されると、侵入先のコンピュータでブラウザにポップアップ広告を読み込ませる JavaScript をインジェクトします。

図 4. ポップアップ広告の例

シマンテックは、Rloader の新しい亜種を Trojan.Rloader.B として検出する定義を追加しました。Spachanel のクリック詐欺モジュールを Trojan.Spachanel として検出する定義も更新しています。今後も Waledac ボットネットの活動の監視を続けつつ、適切な保護対策を提供していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術（英語）をお使いいただくことをお勧めします。

??????????????????? Bitcoin

Hacker Medic June 5, 2013 No Comments

分散型のデジタル通貨 Bitcoin に対する関心が高くなっているのは確かです。しかし、注目を集めるものの常として、Bitcoin は詐欺師の関心も集めています。これまでの数年間に、Bitcoin ウォレットを盗むトロイの木馬がいくつか発見されています。また、Bitcoin マイナーをインストールするトロイの木馬も、もはや珍しくはありません。先週確認された例からも、犯罪者の Bitcoin に対する関心の高さがうかがえます。世界最大の Bitcoin 取引サイト Mt.Gox になりすましたフィッシングサイトについても報告されるようになっています。Mt.Gox に対する攻撃はすでに前例があります。たとえば、分散サービス拒否（DDoS）攻撃を受けたり、米国の捜査当局によって一時的に Mt.Gox の資金の一部が差し押さえられたりしたこともあります。

もちろん、フィッシングサイトのご多分にもれず、これは正規のサイトとはまったく無関係な偽の詐欺サイトです。詐欺師はセカンドレベルドメイン（SLD）名として “mtgox” を使うだけでなく、トップレベルドメイン（TLD）を変更して、たとえば .org、.net、.de、.co.uk などのドメインを使っています。詐欺サイトは、マルウェアをダウンロードしてインストールするようにユーザーを誘導します。このマルウェアには MTGOX_Wallet.exe というもっともらしいファイル名が付いており、シマンテックはこれを Downloader.Ponik として検出します。

z z.png

図 1. 別の TLD を使うフィッシングサイト

図 2. フィッシングサイト

このフィッシングサイトは、Microsoft の広告ネットワークなど代表的なオンライン広告サービスを利用した宣伝まで行っています。これも、できるだけ多くのアクセスを獲得するためで、詐欺広告が多くの有名サイトでも表示される結果になっています。

広告は、「New Century Gold: BITCOIN Protect your money – Buy Bitcoin（21 世紀のゴールド。BITCOIN があなたのお金を守ります – Bitcoin を購入しよう）」という宣伝文句でユーザーを誘っています。広告からリンクする詐欺サイトには、人のお金を守ること以外のありとあらゆるものが揃っていると考えれば、まったく正反対の広告です。

このフィッシングサイトでは一般的なセキュリティプロトコルである Secure Sockets Layer（SSL）が使われていません。その一点だけでも疑ってかかるには十分です。扱われている通貨の種類にかかわらず、どんな金融サービスでも、アクセス先が正規の Web サイトであることを確認してから情報を入力するように注意を払う必要があります。今回の場合は、フィッシングサイトの HTML 内にはさらに別の手掛かりも残されていました。好奇心の強いユーザーなら気づくかもしれませんが、正規サイトには記載されているパスワード変更の注意書きが隠されているのです。

図 3. フィッシング詐欺師が書き換えた HTML

Mt.Gox をお使いの場合は、必ずパスワードを変更しアカウントを確認することをお勧めします。Mt.Gox でもメンバーの検証プロセスを強化し始めており、預け入れも引き出しも、検証済みのアカウントでしか行えません。Mt.Gox は、マネーロンダリング対策法を遵守するために最大限の努力を払っているように見えます。5 月に連邦検察官によって閉鎖に追い込まれた Liberty Reserve と同じ過ちを繰り返さないためでしょう。Bitcoin は分散型の P2P 構造になっているので、Liberty Reserve とは大きく異なり、またそれゆえに閉鎖することは難しいのですが、それでもサービスを保護するために万全を尽くすのはビジネスとして賢明でしょう。

シマンテックは最近、マルウェアにつながる広告をユーザーの目に触れる前に遮断するクラウドベースの Symantec AdVantage をリリースしました。Web サイトに広告を掲載しているサイト所有者に対しては、OTA（Online Trust Alliance）が推奨するマルバタイジング（悪質な広告）対策のガイドライン（英語）をお読みいただくことをお勧めします。OTA は、オンラインの信頼性を強化する一方、インターネットの革新性と活力を推進することをミッションとする非営利団体であり、シマンテックも OTA の創設メンバーです。

Symantec Protections for TravNet

Hacker Medic June 4, 2013 No Comments

Today, Kaspersky published a paper titled “The NeTTraveler (aka ‘TravNeT’).” The paper provides analysis on a targeted attack campaign that is targeting various organizations worldwide, such as governments, industries, and non-g…

Waledac Reloaded: Trojan.Rloader.B

Hacker Medic June 4, 2013 No Comments

Recently, we blogged about systems compromised by W32.Virut that were observed downloading W32.Waledac.D (Kelihos). Symantec has followed the Waledac evolution for a number of years and have observed the botnet showing considerable resilience against t…