Tag Archives: Security Response

Malware Attacks Targeting Hugo Chavez’s Death

Rumors of Venezuelan President Hugo Chavez’s death were rampant on the news and Internet over the past month, and last Tuesday, the Venezuelan Vice President confirmed that Chavez died after a two year battle with cancer. Chavez’s death has…

Phishers Target Myanmar with Wut Hmone Shwe Yee

Contributor: Avdhoot Patil
Phishers have already made their mark in Southeast Asia by targeting Indonesians. For the past couple of years, celebrities have been their key interest in the region. Aura Kasih and Ahmad Dhani are good examples. In March 20…

Latest Java Zero-Day Shares Connections with Bit9 Security Incident

Symantec recently received information on a new Java zero-day, Oracle Java Runtime Environment CVE-2013-1493 Remote Code Execution Vulnerability (CVE-2013-1493).  The final payload in the attack consisted of a DLL file, detected by Symantec as Tro…

Fake Antivirus Renewal Email Rises from the Dead

Over the last few years, many reports, white papers, and blogs have been released detailing targeted attacks. For example, some attacks employ sophisticated infection methods, such as watering hole attacks, and some rely on exploit code hidden in docum…

WinHelp ????????????????

      No Comments on WinHelp ????????????????

昨年シマンテックは、Windows Help ファイル(.hlp)が標的型攻撃の攻撃経路として悪用されていることについて報告しました。シマンテックの遠隔測定によると、製造業や政府機関に対する標的型攻撃で、この攻撃経路が使われる件数が増えてきています。シマンテックは、この標的型攻撃で使われている不正な WinHelp ファイルを Bloodhoud.HLP.1 および Bloodhound.HLP.2 として検出します。
 

図 1. 悪質な .hlp ファイルが含まれている ZIP 形式の添付ファイル
 

攻撃経路として WinHelp ファイルを使う手口が増えている一因は、攻撃者が脆弱性を悪用せずにコンピュータに侵入できることにあります。攻撃者はソーシャルエンジニアリングを使って被害者を欺き、標的型の電子メールに添付した Windows ヘルプファイルを開かせようとします。Windows ヘルプファイルには Windows API を呼び出す機能があり、これを利用すればシェルコードの実行と悪質なペイロードファイルのインストールが可能になります。この機能は脆弱性の悪用ではなく、本来の仕様です。Microsoft 社はこの機能がセキュリティ上問題であることをすでに認識しており、2006 年からは WinHelp のサポートを段階的に廃止しています。しかし、こうした段階的な措置を経てもなお、WinHelp が攻撃者にとって有力な標的型攻撃の手段であることは変わっていません。
 

図 2. Bloodhound.HLP.1 と Bloodhound.HLP.2 の検出分布図
 

この攻撃経路による被害は今も増え続けていますが、この手法を使う主な 2 つの脅威を特定しました。Trojan.EcltysBackdoor.Barkiofork です。どちらも、製造業や政府機関に対する標的型攻撃に使用が限定されていることがわかっています。

いつものように、ウイルス定義を更新するとともに、この手の脅威に対する最適な保護を得るためにシマンテックの最新技術をお使いいただくことをお勧めします。前述のような脅威に感染した疑いがあり、さらにサポートが必要な場合には、シマンテックまでお問い合わせください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

W32.Flamer.B: ???????????

      No Comments on W32.Flamer.B: ???????????

以前、W32.Flamer のコマンド & コントロール(C&C)サーバーに関する共同解析についての記事でお伝えしたように、このサーバー上のコードにはいくつかの C&C サーバープロトコルが存在します。確認されたプロトコルのひとつは W32.Flamer に関連していることがわかりましたが、残りのプロトコルについては今までに使用例が確認されておらず、これらのプロトコルを使うサンプルも入手できていません。
 

図 1. W32.Flamer C&C サーバー上に存在するプロトコル
 

サンプルが長いあいだ未確認のままなのは、極度の標的型の性質のためですが、さらにもう 1 つ別のプロトコルが特定され、実際に使われていることも確認されました。このプロトコルは、W32.Flamer から独立して動作できるモジュール用のものです。

シマンテックは、この脅威に対する検出定義を W32.Flamer.B として追加しました。

サンプルをご提供いただいたカスペルスキー社に感謝します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????? JavaScript ???

      No Comments on ??????????? JavaScript ???

日頃の業務の中で、ときとして新しいタイプのマルウェアを発見することがあります。ファイルに感染する、仮想マシンに感染する、あるいは特定の文書を標的にするなど、新しい手法はさまざまですが、その多様性を生んでいるのは、ひとえにマルウェア作成者の想像力です。

JS.Proslikefan にその実例を見ることができます。マルウェアは JavaScript や VBScript などを使って作成できますが、いずれにしても解凍後のサイズは数キロバイトほどしかない場合がほとんどです。ところが JS.Proslikefan は、自己解凍後に 130 キロバイトという法外なサイズになります。上層ではカスタムの不明瞭化と、一般公開されている Dean Edwards JavaScript パッカーが使われています。図 1 に、解凍後のマルウェアの最下層を示します。
 

図 1. 解凍後の最下層
 

このファイルを解析するには、まず変数名と関数名の不明瞭化をすべて解除する必要がありました。これが完了すると、このマルウェアの意図する全体像が少しずつ明らかになってきます。まず、このマルウェアの標的は Windows コンピュータです。Web ブラウザ上でこのマルウェアを実行するには、ブラウザで ActiveX がサポートされている必要があり、通常は Internet Explorer がそれに該当しますが、他のブラウザもプラグインを介して ActiveX をサポートすることはすでに知られています。また、このマルウェアは他の悪質なプログラムによってコマンドラインで実行することもできます。

今回の脅威には、JavaScript で作成されたマルウェアには通常見られない機能がほかにもあります。たとえば、マルウェアにハードコード化されたキーワードを Google で検索し、検索結果からすべての URL を収集することができます。
 

図 2. SQL インジェクション
 

図 2 からわかるように、この脅威は URL の収集後にそれぞれの結果を解析し、Web サイトで SQL インジェクションが可能かどうかの目安になる特定のエラーを探します。エラーが見つかった場合には、いずれかのコマンド & コントロール(C&C)サーバーに接続し、関連情報を返信します。

JS.Proslikefan の動作は、これで終わりではありません。Google 検索の結果を調べて、WordPress を使ったブログサイトが見つかるかどうかを確認する機能も備えています。
 

図 3. WordPress の TimThumb の脆弱性をチェック
 

JS.Proslikefan は、サイトのテーマディレクトリを調べて、TimThumb 拡張機能が使われているかどうかを確認します。TimThumb を使っているサイトは、ある種のファイルアップロードの脆弱性による影響を受ける恐れがあります。攻撃者はこれを利用してファイルをアップロードし、Web サーバーで実行できます。昨年発見されたこの脆弱性について詳しくは、こちら(英語)を参照してください。

しかし、このマルウェア作成者はこれでもまだ満足しないようです。JS.Proslikefan にはさらに、侵入先のコンピュータで Cookie のディレクトリをスキャンし、有効な Facebook セッションを探そうとする機能もあります。Facebook セッションが存在する場合には、一度に複数の処理を内部で実行します。C&C サーバーから指令されるコマンドに応じて、「いいね」を押すか、特定ページのファンになることができます。他の Facebook ユーザーにチャットメッセージを送信することさえ可能です。ただし、Facebook は最近、このマルウェアの検出機能を追加しており、感染したデバイスをユーザーが修復できるようになっています。詳しくは、Facebook Security のページを参照してください。

このように多様な機能をマルウェアに詰め込んだところを見ると、作成者は可能な限り多くのコンピュータに拡散させようと目論んだようです。拡散方法のひとつとして、利用者の多い何種類かのファイル共有アプリケーションが使うフォルダに、自身のコピーを zip ファイルとして配置する手口も使われています。このときのファイル名の選び方も独特で、人気のある Torrent サイトで特定の RSS ページにアクセスし、XML ファイルの内容を解析して zip ファイルの名前として使っています。
 

図 4. PirateBay にアクセス
 

拡散を試みるとき、ウイルス対策ソフトウェアのレーダーをかいくぐろうとしていることは言うまでもありません。従来型のウイルス対策シグネチャをすり抜けるために、JS.Proslikefan はファイル共有アプリケーションのフォルダを含めたいくつかの場所に、ポリモーフィズムを利用して自身をコピーします。ウイルス対策アプリケーションのリストも持っており、侵入先のコンピュータにそのいずれかがインストールされているかどうかも確認します。この情報もやはり、C&C サーバーに送信されています。何らかのウイルス対策アプリケーションが見つかった場合には、ネットワークセキュリティ企業とは無関係な IP アドレスにユーザーをリダイレクトするために、ホストファイルを書き換えます。リダイレクト先の IP アドレスはクラス A のアドレスであり、エネルギーや技術インフラ、金融投資などの部門を擁する多国籍複合企業に属しています。本稿の執筆時点で、問題の IP アドレスは悪質な Web コンテンツにはいっさいリンクしていませんでした。

他の脅威と同様、このマルウェアもリムーバブルドライブに拡散する機能を備えています。さらに、コンピュータの起動時に毎回実行する、特定のプロセスを終了する、他のプログラムやスクリプトをダウンロードして実行する、自身を更新する、コマンドを処理するなどの機能まで揃っています。日頃のマルウェア解析で、作成者がこれほど多くの機能を盛り込んだマルウェアが見つかるのは、きわめて異例のことです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????Microsoft Patch Tuesday?- 2012 ? 2 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月のパッチリリースは規模が大きく、21 件の脆弱性を対象として 9 件のセキュリティ情報がリリースされています。

このうち 6 件が「緊急」レベルであり、Internet Explorer、.NET、Windows、GDI がその影響を受けます。その他の脆弱性は、Internet Explorer、Windows、Visio、SharePoint に影響します。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 2 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-feb

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS12-010 Internet Explorer 用の累積的なセキュリティ更新プログラム(2647516

    CVE-2012-0010(BID 51931)Microsoft Internet Explorer のコピーと貼り付けの操作にクロスドメインの情報漏えいの脆弱性(MS の深刻度: 警告/シマンテックの重大度: 6.7/10)

    Internet Explorer におけるコピーと貼り付けの操作に影響する、クロスドメインでの情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、攻撃者自身が制御するページのコンテンツを標的となるページにコピーすることができます。漏えいした情報は、さらに別の攻撃に利用されることがあります。

    対象: Internet Explorer 6、7、8、9

    CVE-2012-0011(BID 51933)Microsoft Internet Explorer(CVE-2012-0011)にリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.1/10)

    正しく削除されていないオブジェクトの処理方法が原因で Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

    対象: Internet Explorer 7、8、9

    CVE-2012-0012(BID 51932)Microsoft Internet Explorer の Null バイト処理に情報漏えいの脆弱性(MS の深刻度: 重要/シマンテックの重大度: 6.7/10)

    プロセスメモリが適切に保護されないことにより Internet Explorer に影響する、情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。漏えいした情報は、さらに別の攻撃に利用されることがあります。

    対象: Internet Explorer 9

    CVE-2012-0155(BID 51935)VML にリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.1/10)

    正しく削除されていないオブジェクトの処理方法が原因で Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

    対象: Internet Explorer 9

  2. MS12-016 .NET Framework Microsoft Silverlight の脆弱性により、リモートでコードが実行される(2651026

    CVE-2012-0014(BID 51938)Microsoft Silverlight と .NET Framework のアンマネージオブジェクトにリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.5/10)

    アンマネージオブジェクトが適切に処理されないことが原因で Microsoft .NET Framework と Silverlight に影響するリモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。また、攻撃者はこの脆弱性を悪用して、共有ホスティング環境などにおいて、脆弱なサーバーに悪質なコードをアップロードする場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーまたは影響を受けるサービスのコンテキストで実行されてしまいます。

    CVE-2012-0015(BID 51940)Microsoft Silverlight と .NET Framework にヒープ破損によるリモートコード実行の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.5/10)

    バッファのサイズが適切に計算されないことが原因で Microsoft .NET Framework と Silverlight に影響するリモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。また、攻撃者はこの脆弱性を悪用して、共有ホスティング環境などにおいて、脆弱なサーバーに悪質なコードをアップロードする場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーまたは影響を受けるサービスのコンテキストで実行されてしまいます。

  3. MS12-013 C ランタイムライブラリの脆弱性により、リモートでコードが実行される(2654428

    CVE-2012-0150(BID 51913)Microsoft Windows の ‘Msvcrt.dll’ にリモートバッファオーバーフローの脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 7.1/10)

    ユーザー指定の入力が適切にバウンドチェックされないことが原因で msvcrt DLL ライブラリに影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、特別に細工されたメディアファイルを開かせるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。

  4. MS12-008 Windows カーネルモードドライバの脆弱性により、リモートでコードが実行される(2660465

    CVE-2011-5046(BID 51122)Microsoft Windows の ‘win32k.sys’ にリモートからのメモリ破損の脆弱性(MS の深刻度: 緊急/シマンテックの重大度: 9.2/10)

    Windows カーネルの GDI コンポーネントに影響する、リモートコード実行の脆弱性がすでに知られています(2011 年 12 月 19 日)。攻撃者はこの脆弱性を悪用して無警戒なユーザーを狙い、悪質な Web ページを閲覧させたり悪質な電子メールを開いたりするよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、カーネルのコンテキストで実行されてしまいます。これによって、システムが完全に危殆化する場合があります。

    CVE-2012-0154(BID 51920)Microsoft Windows カーネルの ‘Win32k.sys’ によるキーボードレイアウトにローカル特権昇格の脆弱性(MS の深刻度: 重要/シマンテックの重大度: 6.6/10)

    一部のキーボードレイアウトの管理方法が原因で、Windows カーネルに影響するローカル特権昇格の脆弱性が存在します。ローカルの攻撃者はこの脆弱性を悪用して、カーネルレベルの特権で任意のコードを実行できる場合があります。これによって、システムが完全に危殆化する場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

SMS ?????????? Android ?????????

      No Comments on SMS ?????????? Android ?????????

シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。

少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。

 

詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。

実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。

しかし、このページは本物ではなく、このページからダウンロードされるアプリももちろん本物ではありません。以下に示したのは、同一のアプリケーションを数分間隔で 3 回ダウンロードした結果です。ファイルサイズが大きく異なることに注目してください。このサイトが、セキュリティソフトウェアによる検出をすり抜けるために、サーバーサイドポリモーフィズムを利用してパッケージの内容を変更していることが、この事実からわかります。3 つのファイルごとに差があるだけではなく、3 つのファイルのいずれも以前の亜種よりサイズがはるかに大きくなっていることも興味深い点です。以前の亜種は、サイズがおよそ 50 ~100 KB 程度でしたが、この図でわかるとおり、現在のファイルサイズは 1 MB 前後に膨らんでいます。サイズを大きくすることも、正規のアプリケーションらしく見せる手口と考えられます。機能の点では以前の亜種とまったく変わりがないので、ではいったいサイズが大きくなった原因は何なのでしょうか。

その犯人は、”resraw” フォルダに含まれるファイルです。以下の図に示したとおり、まったく同一の 24 KB のファイルが無数に存在し、それがパッケージを膨らませています。24 KB とは、ファイルをパッケージ解除した後のサイズである点に注意してください。3 つのパッケージの “resraw” フォルダに含まれるファイルの数は、それぞれ 3,544、3,748、2,664 でした。このファイル数にファイルサイズを掛け、圧縮解除の比率で計算すれば、各ファイルについて前述のようなファイルサイズになるということです。したがって、これらのパッケージが相互に一意性を持つ原因は、ひとえに “resraw” フォルダに含まれているファイル数の違いということになります。

しかも、これらのファイルには、以下の図のように意味のないテキストしか含まれていません。

SMS 詐欺に利用される悪質な Android アプリケーションの常套として、このマルウェアも SMS メッセージを送信する機能の許可を求めてきます。アプリケーションの実際の名前は、ダウンロードページにあるアプリケーション名ではなく “Installer” です。これも、この種のマルウェアに共通する特徴です。”Installer” という名前、あるいはこの単語のロシア語訳を見かけた場合や、アプリケーションが SMS 送信の許可を求める場合には、せっかく入手したはずのアプリケーションが正規のものではない可能性が高いと言えます。

今回のアプリケーションは、ロシア語を読めるユーザーを標的にしていますが、各種のマーケットやファイル共有サービスに混入したり、メールの添付ファイルとして利用されたりする可能性も、わずかながら残っています(あるいは最終的にそうなります)。したがって、スマートフォンにアプリケーションをインストールするときには常に注意が必要です。いつものことですが、アプリケーションは信頼できるソースからダウンロードするようにし、アプリケーションのインストール時に要求される許可にも注意を払うようにしてください。シマンテックのノートン モバイルセキュリティをお使いであれば、Android.Opfake としてブログで報告されている亜種からは保護されます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。