Tag Archives: Security Response

Microsoft Patch Tuesday – March 2014

      No Comments on Microsoft Patch Tuesday – March 2014

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing five bulletins covering a total of 23 vulnerabilities. 19 of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the March releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms14-mar

The following is a breakdown of the issues being addressed this month:

  1. MS14-012 Cumulative Security Update for Internet Explorer (2925418)

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0297) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0298) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0299) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0302) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0303) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0304) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0305) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0306) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0307) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0308) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0309) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0311) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0312) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0313) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0314) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0321) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0322) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  2. MS14-013 Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (2929961)

    DirectShow Memory Corruption Vulnerability (CVE-2014-0301) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Microsoft DirectShow parses specially crafted JPEG image files. The vulnerability could allow a remote code execution if a user opens a specially crafted image file. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

  3. MS14-014 Vulnerability in Silverlight Could Allow Security Feature Bypass (2932677)

    Silverlight DEP/ASLR Bypass Vulnerability (CVE-2014-0319) MS Rating: Important

    A security feature vulnerability exists in Silverlight due to the improper implementation of Data Execution Protection (DEP) and Address Space Layout Randomization (ASLR). The vulnerability could allow an attacker to bypass the DEP/ASLR security feature, most likely during, or in the course of exploiting a remote code execution vulnerability.

  4. MS14-015 Vulnerabilities in Windows Kernel Mode Driver Could Allow Elevation of Privilege (2930275)

    Win32k Elevation of Privilege Vulnerability (CVE-2014-0300) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

    Win32k Information Disclosure Vulnerability (CVE-2014-0323) MS Rating: Important

    An information disclosure vulnerability exists in the way that the Windows kernel-mode driver improperly handles objects in memory.

  5. MS14-016 Vulnerability in Security Account Manager Remote (SAMR) Protocol Could Allow Security Feature Bypass (2934418)

    SAMR Security Feature Bypass Vulnerability (CVE-2014-0317) MS Rating: Important

    A security feature bypass vulnerability exists when the Security Account Manager Remote (SAMR) protocol incorrectly validates the user lockout state.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

Online Stores Targeted with Information-Stealing Trojan

      No Comments on Online Stores Targeted with Information-Stealing Trojan
A new spam campaign with an information-stealing malware attachment has been circulating since March 7, 2014. While spam emails are typically sent to many people, in this campaign, the spammer has limited their targets to administrators of online Japanese shopping sites.
 
The attacker may have targeted these recipients for various reasons. As most online stores provide contact details on their Web page, they become easy targets since their email addresses can be easily harvested by crawling sites. The attacker could also have targeted the recipients to get the companies’ account details in order to steal data maintained by the stores. The attacker may have also wanted to compromise the shopping sites in order to carry out further attacks against the store’s visitors.
 
The malware, detected as Infostealer.Ayufos, is a basic information-stealing Trojan horse that is built to steal practically any data that the attacker requires. It has the following capabilities:
 
  • Captures screenshots
  • Logs keystrokes
  • Acquires clipboard data
  • Steals account credentials for several applications
  • Sends the acquired information to an email account using SMTP
 
The attacker does not appear to have put too much effort into this scam. The email merely contains a couple of basic sentences along with the attachment. The attacker doesn’t try to hide the fact that they have attached an executable to the message. In typical spam campaigns, attackers disguise the executable as an image file to make it appear legitimate. The attacker behind this campaign must have either aimed to compromise only a handful of computers or they hoped that there were enough gullible recipients out there.
 
email_figure1.png
Figure 1. An example of the spam email, which claims that the sent item is broken and requires a replacement to be sent back
 
Symantec identified earlier samples of Infostealer.Ayufos in December of last year, but we have seen a handful of variants ever since. The variants have not only targeted Japanese online stores, but stores for English-speaking regions as well.
 
email_figure2.png
Figure 2. An example of a spam message which asks the user to check the attached software
 
email_figure3.png
Figure 3. An example of spam messages targeting English-speaking regions.
 
While we don’t see attackers targeting online stores with spam campaigns every day, this occurrence is certainly not extraordinary. Cybercriminals continue to evolve and modify their strategies to catch their targets off guard. There is almost no doubt that this attacker will target users again. Online store owners should be wary when handling unsolicited emails sent from unknown senders and should follow best security practices regardless of the region.

?????????? Bitcoin ?????????

      No Comments on ?????????? Bitcoin ?????????

Bitcoin Woes 1.png

仮想通貨 Bitcoin は、この数週間というもの激しい動乱の時期を迎えています。Bitcoin のソフトウェアで新たに公表された脆弱性が攻撃者に集中的に狙われ、莫大な額が引き出されてしまったからです。これにより、かつて世界最大の Bitcoin 取引所だった Mt Gox は破綻に追い込まれ、多くの投資家がその預金を失いました。この盗難により Bitcoin の価値はいったん暴落しましたが、その後は大幅に回復しており、リスクがあるにもかかわらず投資家が依然として貪欲であることを示唆しています。とはいえ、ひとたび弱点が見つかれば攻撃者は徹底的にそこに群がり、根こそぎにしようとするということが、今回の一連の事件で明らかになったのは間違いありません。

事件の最初の兆候があったのは、Mt Gox が預金引き出しの停止を発表した 2 月 7 日のことです。Mt Gox は日本に拠点を置く交換所で、Bitcoin のソフトウェアに存在するバグの修正に取り組み中であり、預金引き出しのフローがその作業の支障になるためと説明していました。この時点では、何らかの問題があると思わせる要素はありませんでしたが、Mt Gox からの発表が Bitcoin の価値暴落の引き金になりました。これ以前には 800 ドル以上で取り引きされていた Bitcoin が、約 650 ドルにまで下落したのです。

このとき突かれたのは、「トランザクション展性」と呼ばれるバグです。攻撃者は、これを利用して取引情報を書き換え、実際には発生していた Bitcoin ウォレットへの送金を、なかったように見せかけることができます。トランザクションが正常に処理されなかったように見えるため、送金者を欺けば、Bitcoin を再送金させることも可能です。

それから数日のうちに、この問題は拡散します。脆弱性の悪用を狙った攻撃者が分散サービス拒否攻撃(DDoS)を仕掛けたため、さらに 2 カ所の Bitcoin 取引所が預金の引き出し停止を余儀なくされました。スロベニアに拠点を置く Bitstamp と、ブルガリアで営業している BTC-e の 2 つの取引所がともに攻撃を受け、どちらにもシステム全体の混乱を狙った不正なトランザクションが殺到しました。

Bitstamp と BTC-e は数日以内に平常営業に戻りましたが、Mt Gox はそうはいきませんでした。Mt Gox の預金の引き出し停止状態は 2 月 24 日まで続き、同日、取引が突然閉鎖されたのです。漏えいした社内文書によると、Mt Gox は大規模な窃盗の被害に遭い、数億ドル相当の通貨が盗み出されたものと思われます。

その 3 日後、Mt Gox は破産を申請し、5 億米ドル相当の通貨がシステムから盗み出されことを正式に認めました。同社の申し立てによると、Bitcoin のソフトウェアに存在するバグを悪用した攻撃者によって、顧客から預かっていた約 75 万枚、同社保有の 10 万枚の Bitcoin が盗まれたということです。

閉鎖後も、Mt Gox は依然として攻撃の標的になっていました。たとえば、利用者が盗まれた Bitcoin を同社が返金すると称する詐欺メールが早くも出回りました。この詐欺メールには、Bitcoin の返金請求方法についてのお知らせと称する動画へのリンクがあります。このリンクをクリックしたユーザーは、動画の再生に必要だとして Adobe Flash Player のインストールを促す Web サイトにリダイレクトされます。そこでインストールボタンをクリックすると、マルウェアが含まれている .rar 形式の圧縮ファイルがダウンロードされます。シマンテックは、このマルウェアを Trojan.Klovbot として検出します。

このフィッシング攻撃は、ある対象がいったん注目を集めたが最後、あたかも血の匂いに群がるサメのように攻撃者はあらゆる角度から悪用の可能性を検討して、実際に悪用しようとすることを示す格好の例です。

Bitcoin Woes 2.png

図 1: 攻撃後にいくぶん持ち直した Bitcoin の価値(出典: blockchain.info

こうした最近の攻撃も、Bitcoin が攻撃にさらされた初めての事件ではありません。昨年遅くには、一連の仮想銀行強盗によって、数百万ドル相当の通貨が盗まれています。しかし、Mt Gox の破綻は、これまででも最大級のセキュリティ侵害です。にもかかわらず、Bitcoin を求める投資家の熱は冷めていません。Mt Gox の取引中止が報じられた時点で、Bitcoin は 2 月 6 日時点の 800 ドルから、2 月 26 日には 528 ドルへと暴落しましたが、その後は復調し、現在では 630 ドル前後で取り引きされています。わずか 1 年前には 42 ドルで取り引きされていたことを考えると、Bitcoin に対する一定の熱は、今回の攻撃にもかかわらずまだ続きそうです。こうした楽観的な展望が、保証の限りでないことは言うまでもありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blood in the Water: Bitcoin Woes Cause Attackers to Converge

      No Comments on Blood in the Water: Bitcoin Woes Cause Attackers to Converge

Bitcoin Woes 1.png

Virtual currency Bitcoin has experienced some turbulent times in recent weeks as attackers focused their attention on a newly publicized weakness in Bitcoin’s software in an attempt to siphon off huge sums. The instability has already claimed the scalp of Mt Gox, which was once the world’s largest Bitcoin exchange and thousands of investors have lost their deposits.  The thefts caused the currency’s value to plunge but it has since recovered significantly, indicating that investors still have an appetite despite the risks. Nevertheless, this spate of incidents perfectly illustrates how attackers can swarm around a particular area once a weakness is found and attempt to pick it clean.

The first sign of trouble came on February 7, when Mt Gox announced that it had suspended withdrawals. The exchange, which is based in Japan, said that it was working to fix a bug in Bitcoin’s software and the flow of withdrawals was hindering its progress. At the time, there was no hint that anything else was awry. Nevertheless, the announcement triggered a plunge in Bitcoin’s value. Having traded at above US$800 prior to the incident, the currency fell to approximately $650.

The bug, known as “transaction malleability” makes it possible for attackers to alter transaction details to make it seem like a transfer of funds to a Bitcoin wallet did not occur when in fact it did. Since the transaction appears as if it has not proceeded correctly, the sender could be duped into sending more Bitcoins.

Within days, the problems spread. Two more major Bitcoin exchanges were forced to suspend withdrawals as attackers mounted Distributed Denial of Service (DDoS) attacks against them in a bid to exploit the vulnerability. Bitstamp, which is based in Slovenia and BTC-e, which operates from Bulgaria, were both hit by the attacks, which flooded the exchanges with malformed transactions designed to create confusion across their systems.

While Bitstamp and BTC-e were back trading normally within days, the same could not be said for Mt Gox. The company’s bar on withdrawals remained in place until February 24, when the exchange suddenly went offline. Leaked internal documents suggested that the company had been the victim of a massive theft, in which hundreds of millions of dollars’ worth of the currency had been stolen.

Three days later, Mt Gox filed for bankruptcy, confirming that nearly US $500 million worth of the currency had been stolen from its systems. The company claimed that a bug in Bitcoin’s software had allowed attackers steal approximately 750,000 Bitcoin deposited by customers and 100,000 Bitcoin owned by the company.

Even after its closure, Mt Gox remained a focus for attackers. For example, scammers were quick in circulating an email that claimed the company will be returning Bitcoins stolen from its users. The scam email contained a link to a video that is described as containing news on how people can get their Bitcoin back. When the recipient clicks on the link, they are directed to a website that prompts them to install “Adobe Flash Player” in order to play the video. Clicking on the install button will download a compressed .rar file containing malware. Symantec detects this malware as Trojan.Klovbot.

The phishing campaign is a perfect example of how once a sector falls into the spotlight, attackers can smell blood in the water and will attempt to exploit every conceivable angle before moving on.

Bitcoin Woes 2.png

Figure 1: Bitcoin’s value has recovered somewhat in the aftermath of the attacks. (Source: blockchain.info)

These recent attacks are not the first time Bitcoin has come under pressure. Late last year, a series of virtual bank robberies resulted in millions of dollars’ worth of the currency being stolen. However, the collapse of Mt Gox is one of the most significant security breaches to date. Despite this, investor demand for Bitcoin has remained strong. The currency plunged when news broke of Mt Gox’s suspension, dropping from $800 on February 6 to a low of $528 on February 26. However, since then it has rallied and it is now trading at around $630. Considering that Bitcoin was trading at $42 only a year ago, it is clear that there is still a considerable degree of enthusiasm for the currency despite the attacks. Whether this optimism is warranted remains to be seen.

??????Ransomcrypt Trojan ???

      No Comments on ??????Ransomcrypt Trojan ???

Ransomcrypt の作成者は、良心のかけらもないことで知られています。これまでも常に、被害者は脅迫的な要求に支払いで応じ、ファイルを復号してもらうしか選択の余地がありませんでした。しかし、今回出現した Trojan.Ransomcrypt.G では様子が少し違うようです。Trojan.Ransomcrypt.G の作成者が詐欺師であることに違いはありませんが、何らかの行動原理に従っているらしく、身代金を支払わなくても 1 カ月が経過すれば、被害者のファイルを無償で復号すると申し出てきます。このような行動で作成者が無罪放免されるわけではないものの、残念ながらこの詐欺の被害に遭ったユーザーにとっては、一縷の望みと言えるでしょう。

OMG_Fig1.jpg

図 1. Trojan.Ransomcrypt.G によって生成されるランサムウェアファイル「how to get data.txt」の一部

Trojan.Ransomcrypt.G の最初の例は、被害を受けたユーザーから、あるオンラインフォーラムに報告されました。侵入先のシステムでデータファイルを暗号化する、典型的な Ransomcrypt Trojan です。暗号化するファイルの拡張子は、Trojan.Ransomcrypt.G のバイナリファイルに格納されている長大なリストに照合してチェックされます。一般的な種類のデータファイルはほとんど影響を受けますが、完全なリストはこちらを参照してください。暗号化されたファイルには、.OMG! というファイル拡張子が追加されます。たとえば、hello.doc というファイルが Trojan.Ransomcrypt.G によって暗号化されると、hello.doc.OMG! という名前に変わります。

侵入を受けると、暗号化されたファイルと同じディレクトリに「how to get data.txt」というテキストファイルが生成されます。

OMG_Fig2.jpg

図 2. 暗号化されたファイルを含むディレクトリ

このファイルを開くと、暗号化されたファイルとこのテキストファイルを添付して電子メールを攻撃者に送信するようにという指示が書かれています。攻撃者からは、復号された一部のファイルが添付されたメールが返信されてきます。そのメールに、すべてのデータファイルを復号できるロック解除ツールの入手方法が記載されています。

この「how to get data.txt」ファイルの末尾には、通常とは異なる文字列が含まれています。

OMG_Fig3.jpg

図 3. ランサムウェアのファイルに含まれるバイナリ文字列

この文字列が実は、暗号化された暗号鍵と、感染のタイムスタンプ情報のバイナリダンプです。ロック用のこの鍵が、感染したシステムでファイルの暗号化と復号に使われます。鍵は、Windows 標準の暗号化機能を使って、感染したシステム上で動的に生成されます。その鍵を平文で送信するのではなく、Trojan.Ransomcrypt.G のバイナリデータの設定データに含まれる公開暗号鍵(RSA)を使って、ロック用の鍵を暗号化します。攻撃者は対応する秘密鍵を知っているので、それを使ってテキストファイルのバイナリ文字列の解読、ロック用鍵の回復、送られてきた暗号化ファイルの復号を行うことができます。また攻撃者は、暗号化された文字列から感染のタイムスタンプを取り出し、被害者が無償のロック解除ツールを使える期間になったかどうかも判定できます。

Ransomcrypt Trojan では、攻撃者が制御しているサーバーと被害者のシステムとの間のネットワーク通信によって、この種の鍵交換が自動化されているのが普通です。Trojan.Ransomcrypt.G はより単純なアプローチを使っているため、同じ処理を実行する際にユーザーとのやり取りが必要になるのです。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。ファイルは常にバックアップするようにしてください。そうすれば、必要に応じてファイルを復元することが可能です。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のトロイの木馬から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Android ? RAT ???????? Dendroid

      No Comments on Android ? RAT ???????? Dendroid

ダーウィンの進化論を支える原理のひとつは、変化への適応能力が個体の生存率を高めるという説です。マルウェアの作成者も似たようなもので、技術的な環境や市場が変化するなかで生き残るためには、それらに適応していかなければなりません。以前のブログで、Android 版のリモートアクセスツール(RAT)、AndroRAT(Android.Dandro)と、初のマルウェア APK バインダと考えられる機能についてお伝えしました。それ以来、脅威を取り巻く世界では、こうした脅威の模倣と進化が繰り返されています。なかでも、アンダーグラウンドフォーラムで波紋を広げているのが、Dendroid(Android.Dendoroid)と呼ばれる脅威です。Dendroid という名前には、樹木のような形、あるいは枝分かれする構造という意味があります。

Dendroid_Fig1_0.png

図 1. Dendroid の広告バナー

Dendroid は、ユーザーインターフェースやファームウェアインターフェースがわかりやすいとして出回っている HTTP RAT で、洗練された PHP パネルを備え、アプリケーション APK バインダがパッケージされています。Dendroid で使われている APK バインダには、元の AndroRAT APK バインダの作成者との関連性が見られます。

Dendroid_Fig2_0.png

図 2. Dendroid のコントロールパネル

アンダーグラウンドフォーラムの投稿によると、Dendroid の公式な販売者は「Soccer(サッカー)」と呼ばれています。Soccer は、前例のない豊富な機能と、24 時間 365 日のサポート体制を Dendroid の売りとしており、BTC、LTC、BTC-e、またはその他の決済方法による 300 ドル 1 回払いで販売しています。多様な機能の一部を以下に挙げます。

  • 通話記録を削除する
  • 電話番号に電話を掛ける
  • Web ページを開く
  • 通話などの音声を録音する
  • テキストメッセージを傍受する
  • 写真や動画を撮影してアップロードする
  • アプリケーションを開く
  • 一定期間、HTTP フラッド(DoS)攻撃を開始する
  • コマンド & コントロール(C&C)サーバーを変更する

Dendroid_Fig3_0.png

図 3. Dendroid APK バインダ

上述したように、アンダーグラウンドフォーラムの報告によると、このパッケージに含まれる Dendroid APK バインダは、この APK バインダを作成する際に、元の AndroRAT APK バインダの作成者の力を借りていました。

Android プラットフォームで、リモートアクセスツールの進化はいわば必然でした。Dendroid が作成され、この種の脅威がアンダーグラウンドフォーラムで歓迎されていることから、このようなツールを強力に求めるサイバー犯罪者の市場の存在が裏付けられています。PC プラットフォームでも、Zeus(Trojan.Zbot)や SpyEye(Trojan.Spyeye)といったクライムウェアツールキットは、似たような経緯で始まりました。そして、その使い安さから人気が急上昇し、これを使って実行された犯罪の知名度により悪名を馳せるようになったのです。Dendroid はまだ始まったばかりですが、シマンテックはこれを厳重に監視していく予定です。

常に安全を保つために、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、この脅威を Android.Dendoroid として検出します。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

OMG a Ransomcrypt Trojan with a Conscience!

      No Comments on OMG a Ransomcrypt Trojan with a Conscience!

Ransomcrypt authors are not known to have a conscience, and until now have always left their victims with no way out, other than paying the extortion demand to decrypt their files. This seems to have changed somewhat with the arrival of Trojan.Ransomcrypt.G. While the authors of this malware are still total scammers, they seem to have some principles and offer to decrypt the victim’s files for free after a one month period, even  if the ransom has not been paid. While this behavior does not exonerate the actions of the malware authors, it does leave some light at the end of the tunnel for any unfortunate victims of this scam.   

OMG_Fig1.jpg

Figure 1. “how to get data.txt” snippet from ransom file left behind by Trojan.Ransomcrypt.G

Trojan.Ransomcrypt.G was first reported by affected users in an online forum. It is a typical ransomcrypt Trojan that encrypts data files on the infected system. File extensions are checked against a long list stored in the Trojan binary file. Most common data file types are affected and you can see the full list here. Encrypted files are given an extra file extension, .OMG!, by the Trojan. For example, if the Trojan encrypted the file hello.doc, it would rename it hello.doc.OMG!.

Compromised users may notice a text file called “how to get data.txt” in directories containing encrypted files.

OMG_Fig2.jpg

Figure 2. Directory containing compromised files

This file informs the user that they must send an email to the attacker and attach the text file along with  some encrypted files. The attacker will reply with the decrypted files and instructions on how to obtain the unlocker tool that they can use to decrypt all of their data files.

Users may also notice an unusual string of characters at the end of the “how to get data.txt” file.

OMG_Fig3.jpg

Figure 3. Binary string from ransom file

This string is actually a binary dump of an encrypted cryptographic key and infection timestamp information. This locking key is used to encrypt and decrypt files on the infected system. It is dynamically generated on the infected system using standard cryptographic Windows functions. Rather than sending this key in plaintext, the Trojan encrypts the locking key with a public cryptographic key (RSA) that is included in the configuration data in the Trojan binary data. The attacker knows the corresponding private key and so they can use it to decrypt the binary string in the text file, recover the locking key, and decrypt the encrypted files sent to them by the victim. The attacker can also recover the infection timestamp from the decrypted string and determine if the victim is eligible for the free unlocker tool.

Most ransomcrypt Trojans automate this type of key exchange with network communications between the victim’s system and a server controlled by the attacker. Trojan.Ransomcrypt.G uses a more basic approach that requires user interaction to perform the same operation.

Users should never pay any ransom to have their files decrypted. The latest Symantec technologies and Norton consumer and Symantec enterprise solutions protect against these kinds of attacks. You should always backup your files, that way you can restore them if necessary.

Symantec customers are protected from this Trojan with the following detections:

Android RATs Branch out with Dendroid

      No Comments on Android RATs Branch out with Dendroid

Darwinism is partly based on the ability for change that increases an individual’s ability to compete and survive. Malware authors are not much different and need to adapt to survive in changing technological landscapes and marketplaces. In a previous blog, we highlighted a free Android remote administration tool (RAT) known as AndroRAT (Android.Dandro) and what was believed to be the first ever malware APK binder. Since then, we have seen imitations and evolutions of such threats in the threat landscape. One such threat that is making waves in underground forums is called Dendroid (Android.Dendoroid), which is also a word meaning something is tree-like or has a branching structure.

Dendroid_Fig1_0.png

Figure 1. Dendroid advertisement banner

Dendroid has some links to the author of the original AndroRAT APK binder and is a HTTP RAT that is marketed as being transparent to the user and firmware interface, having a sophisticated PHP panel, and an application binder package.

Dendroid_Fig2_0.png

Figure 2. Dendroid control panel

According to postings on underground forums, the official seller of Dendroid is known as “Soccer.” The seller markets Dendroid as offering many features that have never been seen before and comes with 24/7 support, all for a once off payment of $300 to be paid through PayPal, BTC, LTC or BTC-e.  Some of the many features on offer include the following:

  • Delete call logs
  • Call a phone number
  • Open Web pages
  • Record calls and audio
  • Intercept text messages
  • Take and upload photos and videos
  • Open an application
  • Initiate a HTTP flood (DoS) for a period of time
  • Change the command-and-control (C&C) server

Dendroid_Fig3_0.png

Figure 3. Dendroid APK binder

As previously mentioned, according to reports on underground forums, the author of the Dendroid APK binder included with this package had assistance writing this APK binder from the author of the original AndroRAT APK binder.  

The evolution of remote access tools on the Android platform was inevitable. The creation of Dendroid and the positive feedback on underground forums for this type of threat shows that there is a strong cybercriminal marketplace for such tools. On the PC platform, other crimeware toolkits like Zeus (Trojan.Zbot) and SpyEye (Trojan.Spyeye) started off in a similar manner and grew quickly in popularity due to their ease of use and notoriety stemming from the high profile crimes perpetrated as a result of their usage. While this may be early days for Dendroid, Symantec will be keeping a close eye on this threat.

To stay protected, Symantec recommends installing a security app, such as Norton Mobile Security, which detects this threat as Android.Dendoroid. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Darkmoon ?????????????????????????????????

      No Comments on Darkmoon ?????????????????????????????????

ソチオリンピックはどうやら平穏に幕を閉じたようですが、この一大イベントがテロリストに狙われる可能性についてメディアの注目と懸念が集まっていたことを考えると、サイバー犯罪者がその不安心理を突いて、興味を示しそうなユーザーを標的にしていたのも予想外のことではありません。

開催期間中に、シマンテックはソチオリンピックの話題を餌にした標的型の電子メール攻撃を複数確認しました。確認された電子メール攻撃は Symantec.Cloud サービスによって遮断されています。この攻撃のある例では、標的のユーザーに次のような電子メールが送り付けられました。

figure1_0.jpg

図 1. ソチオリンピックを狙うテロの脅威に関する内容と称する電子メール

この例では、攻撃者はソチオリンピックを狙うテロの脅威を題材にしたソーシャルエンジニアリングの手法を使って、ユーザーを欺こうとしていました。電子メールの作りは素人然としていますが、内容で気を引いてしまえば添付ファイルを開かせるのは簡単かもしれません。被害者がうかうかと添付ファイルを開いてしまうと、コンピュータは Backdoor.Darkmoon に感染します。Darkmoon はよく使われているリモートアクセス型のトロイの木馬(RAT)です。G20 サミットが餌に使われた経緯をお伝えした最近のブログや、2011 年のホワイトペーパー「The Nitro Attacks」(英語)でも解説しているとおり、標的型攻撃に頻繁に使われています。

ソチオリンピックを題材にした別の標的型攻撃では、攻撃者から次のような電子メールが届きました。

figure2.jpg
図 2. ソチオリンピックにおける軍事協力活動に関する内容と称する電子メール

この例でも、攻撃者はソチオリンピックをめぐる軍事協力活動を題材にしたソーシャルエンジニアリングの手法を使っていますが、今回のペイロードは Trojan.Wipbot です。これも、類似の標的型攻撃に関連したトロイの木馬で、Windows の特権昇格のゼロデイ脆弱性を悪用した攻撃で使われていました。

こうした攻撃によって、迷惑メールを受け取った場合に依然として警戒が必要であることが改めて明確になりました。従来の手口が強化されることもあります。標的型攻撃の攻撃者は最新のニュースやイベントをすかさず悪用し、ソーシャルエンジニアリングの成功率を少しでも高くしようとします。今回の攻撃で、標的型の電子メール攻撃が近い将来に一掃される気配はまったくないということも明らかになりました。

このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Sochi Olympics Terrorism Fears Used As Bait for Targeted Darkmoon Campaigns

      No Comments on Sochi Olympics Terrorism Fears Used As Bait for Targeted Darkmoon Campaigns

While the Sochi Winter Olympics may now be over without incident, considering all of the media attention and fears surrounding a potential terrorist attack at the event, it should come as no surprise that cyberattackers were preying on these uncertainties to target potential victims of interest.

During the games, Symantec saw multiple targeted email campaigns that used Sochi Olympics themes to bait potential victims. These observed email campaigns were blocked by our Symantec.Cloud service. In one such campaign, we saw that targets were being sent the following email.

figure1_0.jpg

Figure 1. Email purporting to relate to a terrorist threat at the Sochi Olympics.

In this campaign, attackers were using the social engineering ploy of a terrorist threat at the Sochi Olympics to lure in their victims. While the email does not look professional, the curiosity for the content can still be enough to persuade an individual to open the attachment. If a victim fell prey to opening the attachment, their computer became infected with Backdoor.Darkmoon. Darkmoon is a popular remote access Trojan (RAT) which is often used in targeted attacks, as seen in a recent Symantec blog about how the G20 Summit was used as bait in targeted emails and in the 2011 Symantec whitepaper, The Nitro Attacks.  

In another targeted campaign using the Sochi Olympics theme, we observed the following email that was being sent by an attacker to targets of interest.

figure2.jpg
Figure 2. Email purporting to relate to military co-operation at the Sochi Olympics

Again, as seen in the email, the attackers used the social engineering ploy of military co-operation around the Sochi Olympics. This time, the payload was Trojan.Wipbot. This Trojan is associated with another similar targeted attack campaign, which included an attack that used a Windows zero-day elevation of privilege vulnerability.

These attacks highlight the ongoing need for vigilance when receiving any unsolicited emails. They also reinforce what is already known — targeted attackers are quick to make use of the latest news or events to enhance the chances of success for their social engineering ploy. The campaigns also highlight how targeted email attacks are showing no sign of dissipating anytime soon.

As always, we advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.