Tag Archives: Security Response

TravNet ???????????????

      No Comments on TravNet ???????????????

6 月 5 日、Kaspersky 社は「The NeTTraveler (aka ‘TravNeT’)」(英語)と題するホワイトペーパーを公開しました。このホワイトペーパーでは、政府機関、企業、民間団体など世界中のさまざまな組織を狙う、ある標的型攻撃について解析されています。この調査は、「Travnet Trojan Could Be Part of APT Campaign(Travnet Trojan は APT 攻撃の一環か)」(英語)という McAfee 社のブログにも関連しています。これは、シマンテックも監視を続けている、ある攻撃について今年の 3 月に公開されたブログです。シマンテックは、この脅威に対して以下のウイルス対策定義を追加しました。

また、以下の IPS 定義も追加しています。

この攻撃で確認された感染経路はスピア型フィッシングメールで、特別に細工されたリッチテキスト形式(RTF)のファイルが添付されています。悪質な RTF ファイルで悪用が確認されているのは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)と Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性(CVE-2010-3333)ですが、どちらも Microsoft Office などの Microsoft 製品についてパッチがすでに公開されている脆弱性です。同様の動作は、Microsoft Word を悪用して投下されるファイルでも確認されており、これは Trojan.Mdropper として検出されます。

悪用に成功するとマルウェアが投下され、そのマルウェアがさらに別のファイルを投下したうえで標的から情報を盗み出し、攻撃者のコマンド & コントロール(C&C)サーバーに送信します。シマンテック製品は、このスピア型フィッシングの Word 文書を Trojan.Mdropper として、投下されるファイルを Trojan.Travnet として検出します。

お使いのソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようにしてください。標的型攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Waledac ??: Trojan.Rloader.B

      No Comments on Waledac ??: Trojan.Rloader.B

W32.Virut に感染したシステムで W32.Waledac.D(Kelihos)のダウンロードが確認されたことを、少し前にこのブログでもご報告しました。シマンテックは Waledac の進化を何年も追い続けており、過去に実施された停止の試みに対してこのボットネットが非常に強い回復力を持っていることを確認しています。Waledac は従来、1 日に最大で 2000 通もの悪質な電子メールを送信するスパムボットネットとして知られてきました。
 

image1_1.png

図 1. W32.Waledac.D のスパム
 

過去 2 カ月間で、Waledac の感染数はますます増えており、その感染の大部分は米国が起源であることが確認されています。
 

graph.png

図 2. W32.Waledac.D に感染したコンピュータ数の多い上位 10 カ国
 

W32.Waledac.D に感染したコンピュータは、別のマルウェアも拡散していました。これは、当初 Backdoor.Tidserv として検出されていましたが、シマンテックの解析結果に基づいて、Trojan.Rloader の新しい亜種、Trojan.Rloader.B であることが確認されています。他の亜種と同様、Trojan.Rloader.B の主要機能もクリック詐欺が中心です。
 

image2_0.png

図 3. Trojan.Rloader.B の攻撃手順
 

Trojan.Rloader.B は、被害者のコンピュータ上で最初に実行されたときに物理マシン上で実行されているかどうかを確認し、仮想マシン内で実行されていることがわかると自身を終了します。仮想マシンでは、ウイルス対策ソフトウェアやマルウェアの解析に利用できるツールが実行されていることがよくあるからです。次に、Trojan.Rloader.B は侵入先のホストに関する情報を収集し、コマンド & コントロールサーバーに送信して、侵入先のコンピュータを登録します。また、この段階で Windows のホストファイルを改ざんして、多くの有名な検索エンジンが、検索結果に埋め込まれたポップアップ広告を表示する悪質な IP アドレスにリダイレクトされるようにします。

さらに、Trojan.Rloader.B は Mozilla Firefox と Internet Explorer の両方を標的として、検索要求が http://findgala.com にリダイレクトされるようにブラウザの設定を変更します。このとき同時に、感染したコンピュータ上では広告も表示されます。

シマンテックが調査を進める中で、2 つ目のクリック詐欺コンポーネントを投下する Trojan.Rloader.B の存在が判明しました。以前のブログで説明したように、以前は Trojan.Spachanel として検出されていたコンポーネントです。Trojan.Spachanel は実行されると、侵入先のコンピュータでブラウザにポップアップ広告を読み込ませる JavaScript をインジェクトします。
 

image3.gif

図 4. ポップアップ広告の例
 

シマンテックは、Rloader の新しい亜種を Trojan.Rloader.B として検出する定義を追加しました。Spachanel のクリック詐欺モジュールを Trojan.Spachanel として検出する定義も更新しています。今後も Waledac ボットネットの活動の監視を続けつつ、適切な保護対策を提供していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????? Facebook ?????????

      No Comments on ???????????? Facebook ?????????

寄稿: Avdhoot Patil

フィッシング攻撃のプラットフォームとしてソーシャルネットワークサイトを集中的に利用する例が後を絶ちません。シマンテックでも、ソーシャルネットワークに関連したフィッシング攻撃を何度も確認しています。フィッシングの餌としては、有名人を利用した宣伝、偽のアプリケーション、無料の通話時間、懸賞などが多用されています。最近では、トルコの Facebook ユーザーを標的としたフィッシング攻撃で、トルコ警察が悪用された例があります。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

Phishers_Turkish_police.png

図. トルコ警察の正規の Web ページに見せかけたフィッシングサイト

このフィッシングサイトはトルコ語で書かれており、トルコの治安局長が所有者だと謳っています。さらに、トルコ警察が最近 Facebook アカウント情報の盗難を確認したため、Facebook の情報漏えい対策として Web サイトを作成したという説明が続きます。また、トルコの刑法に従って、ユーザーは正しい情報を入力する必要があり、ログイン情報を入力すれば、ユーザーアカウントの保護申請が警察に送信されると書かれています。

フィッシングページには、アンカラにあるトルコ警察本庁の名前と住所が記され、このメッセージはトルコ警察のセキュリティシステムから送信されたことになっていますが、言うまでもなく、フィッシングサイトはユーザーのログイン情報を盗み出す目的で作成されたものです。ログイン情報を入力すると、フィッシングページは正規の Facebook サイトにリダイレクトされます。

このフィッシング詐欺に引っかかってログイン情報を入力すると、詐欺師に情報を盗み出されてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????????? Bitcoin

      No Comments on ??????????????????? Bitcoin

分散型のデジタル通貨 Bitcoin に対する関心が高くなっているのは確かです。しかし、注目を集めるものの常として、Bitcoin は詐欺師の関心も集めています。これまでの数年間に、Bitcoin ウォレットを盗むトロイの木馬がいくつか発見されています。また、Bitcoin マイナーをインストールするトロイの木馬も、もはや珍しくはありません。先週確認された例からも、犯罪者の Bitcoin に対する関心の高さがうかがえます。世界最大の Bitcoin 取引サイト Mt.Gox になりすましたフィッシングサイトについても報告されるようになっています。Mt.Gox に対する攻撃はすでに前例があります。たとえば、分散サービス拒否(DDoS)攻撃を受けたり、米国の捜査当局によって一時的に Mt.Gox の資金の一部が差し押さえられたりしたこともあります。

もちろん、フィッシングサイトのご多分にもれず、これは正規のサイトとはまったく無関係な偽の詐欺サイトです。詐欺師はセカンドレベルドメイン(SLD)名として “mtgox” を使うだけでなく、トップレベルドメイン(TLD)を変更して、たとえば .org、.net、.de、.co.uk などのドメインを使っています。詐欺サイトは、マルウェアをダウンロードしてインストールするようにユーザーを誘導します。このマルウェアには MTGOX_Wallet.exe というもっともらしいファイル名が付いており、シマンテックはこれを Downloader.Ponik として検出します。
 

z z.png

図 1. 別の TLD を使うフィッシングサイト
 

mtgox_phishing2.png

図 2. フィッシングサイト
 

このフィッシングサイトは、Microsoft の広告ネットワークなど代表的なオンライン広告サービスを利用した宣伝まで行っています。これも、できるだけ多くのアクセスを獲得するためで、詐欺広告が多くの有名サイトでも表示される結果になっています。

広告は、「New Century Gold: BITCOIN Protect your money – Buy Bitcoin(21 世紀のゴールド。BITCOIN があなたのお金を守ります – Bitcoin を購入しよう)」という宣伝文句でユーザーを誘っています。広告からリンクする詐欺サイトには、人のお金を守ること以外のありとあらゆるものが揃っていると考えれば、まったく正反対の広告です。

このフィッシングサイトでは一般的なセキュリティプロトコルである Secure Sockets Layer(SSL)が使われていません。その一点だけでも疑ってかかるには十分です。扱われている通貨の種類にかかわらず、どんな金融サービスでも、アクセス先が正規の Web サイトであることを確認してから情報を入力するように注意を払う必要があります。今回の場合は、フィッシングサイトの HTML 内にはさらに別の手掛かりも残されていました。好奇心の強いユーザーなら気づくかもしれませんが、正規サイトには記載されているパスワード変更の注意書きが隠されているのです。
 

mtgox_phishing_html-2.png

図 3. フィッシング詐欺師が書き換えた HTML
 

Mt.Gox をお使いの場合は、必ずパスワードを変更しアカウントを確認することをお勧めします。Mt.Gox でもメンバーの検証プロセスを強化し始めており、預け入れも引き出しも、検証済みのアカウントでしか行えません。Mt.Gox は、マネーロンダリング対策法を遵守するために最大限の努力を払っているように見えます。5 月に連邦検察官によって閉鎖に追い込まれた Liberty Reserve と同じ過ちを繰り返さないためでしょう。Bitcoin は分散型の P2P 構造になっているので、Liberty Reserve とは大きく異なり、またそれゆえに閉鎖することは難しいのですが、それでもサービスを保護するために万全を尽くすのはビジネスとして賢明でしょう。

シマンテックは最近、マルウェアにつながる広告をユーザーの目に触れる前に遮断するクラウドベースの Symantec AdVantage をリリースしました。Web サイトに広告を掲載しているサイト所有者に対しては、OTA(Online Trust Alliance)が推奨するマルバタイジング(悪質な広告)対策のガイドライン(英語)をお読みいただくことをお勧めします。OTA は、オンラインの信頼性を強化する一方、インターネットの革新性と活力を推進することをミッションとする非営利団体であり、シマンテックも OTA の創設メンバーです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Waledac Reloaded: Trojan.Rloader.B

      No Comments on Waledac Reloaded: Trojan.Rloader.B

Recently, we blogged about systems compromised by W32.Virut that were observed downloading W32.Waledac.D (Kelihos). Symantec has followed the Waledac evolution for a number of years and have observed the botnet showing considerable resilience against t…

Bitcoins Still a Hot Security Topic

      No Comments on Bitcoins Still a Hot Security Topic

Interest in Bitcoin—the decentralized digital currency—is definitely growing. But as with anything established, it also sparks the interest of scammers. We have seen a few Trojans stealing Bitcoin wallets over the last few years. Also, Trojans installing Bitcoin miners are not that exotic anymore. A case from last week shows how far interest has grown on the criminal side. Reports have emerged about phishing websites impersonating Mt.Gox, the largest Bitcoin exchange site. Mt.Gox has already fought battles in the past—for example when it was on the receiving end of a distributed denial-of-service (DDoS) attack and also when US authorities temporarily seized part of their money.

Of course, as with the nature of phishing websites, the real site has nothing to do with the fake scam site. The scammers just used the same second-level domain (SLD) name, “mtgox”, but with a different top-level domain (TLD)—for example, using .org, .net, .de, or .co.uk domains. The scam site tried to trick users into downloading and installing malware with the convincing MTGOX_Wallet.exe file name, which Symantec detects as Downloader.Ponik.
 

z z.png

Figure 1. Phishing website uses alternate TLD
 

mtgox_phishing2.png

Figure 2. Phishing website
 

The phishing websites were even advertised using more than one major online advertising service, for example Microsoft’s advertisement network, in order to reach as many victims as possible. This resulted in the scam ad being displayed on many prominent websites.

The ad enticed users by stating “New Century Gold: BITCOIN Protect your money – Buy Bitcoin”—a clever turn-about since the ad links to a scam site that has everything else in mind except protecting your money.

The fact that the phishing site does not use the common Secure Sockets Layer (SSL) security protocol should have been a clear giveaway for any visitor. As with any financial service, regardless of the currency behind it, people should pay due diligence to ensure they are on a real website when entering information. In this case, the scammers left an additional clue inside the HTML of the phishing website for the curious type: they hide the original site’s guidance to change passwords.
 

mtgox_phishing_html-2.png

Figure 3. Phisher-altered HTML
 

Symantec recommends all Mt.Gox users change their passwords and verify accounts. Mt.Gox has started to intensify the verification process of its members, allowing deposits or withdrawals only from verified accounts. They appear to be doing as much as possible to comply with anti-money laundry laws in order avoid the same fate as Liberty Reserve, which was shut down by federal prosecutors in May. Despite Bitcoin being substantially different to Liberty Reserve due to its decentralized peer-to-peer structure, and hence much harder to shut down, it is still good business practice to do as much as possible to ensure secure service.

Symantec has recently launched cloud-based Symantec AdVantage to help prevent ads that lead to malware from ever reaching customers. Website owners that include advertising on their websites should also check out the anti-malvertisement guidelines recommended by the Online Trust Alliance (OTA). The OTA is a non-profit organization with the mission to enhance online trust while promoting innovation and the vitality of the Internet. Symantec is a founding member of the OTA.

Phishers Pretend to Be Turkish Police in Facebook Security Scam

      No Comments on Phishers Pretend to Be Turkish Police in Facebook Security Scam

Contributor: Avdhoot Patil
Phishers have continued to focus on social networking sites as a platform for their phishing activities. Symantec is familiar with various phishing campaigns related to social networking. Celebrity promotions, fake applicatio…

??????????????????

      No Comments on ??????????????????

スーパーマーケットに向かう途中でカーラジオから流れてきたやかましい曲が耳について離れない。冷凍食品の売り場を探しながら、ふと気が付くとその曲を口ずさんでいて驚くやら恥ずかしいやら。そんな経験が誰にでもあるものです。そうなったらもう、80 年代の定番ロックを歌って、連れにも聞かせてあげるしかありません。そうやって、いつの間にか、その曲は人から人へと伝染していきます。この流れはウイルスによく似ています。ウイルスは、コンピュータにも人にも次から次へと感染して拡散していきます。シマンテックから、「80 年代ロック対策製品」が出ていないのが残念です。

冗談はさておき、音楽を通じて拡散したりコマンドを受信したりするマルウェアがあると言ったら、まるで SF 映画から飛び出てきた話のようだと思うでしょうか。ところが、アラバマ大学バーミンガム校(UAB)の研究者が最近発表した「Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices(モバイルデバイスの検出困難なコマンドおよびコントロールに感知可能な経路を利用する方法)」(英語)という論文によれば、そうでもないのです。この論文では、音声、光、磁気、振動といった、インターネット以外の経路でモバイルデバイス上のマルウェアを起動して制御する方法を検証しています。マルウェアの制御は従来、ネットワークベースの経路(たとえば TCP/IP ベースの経路)に頼っているので、検出も遮断もファイアウォールやウイルス対策ソフトウェアで簡単に行えます。一方、UAB の研究者が検証している方法では、不可能とは言えないまでも検出するのは非常に困難です。

スマートフォンやタブレットなどのモバイルデバイスには現在、カメラやマイクのほかに、加速度センサーや磁気センサーまで搭載されています。こうした機能は、元々写真を撮ったり音声を録音したりする目的で搭載されたことは言うまでもありませんが、最近では本来の用途以外の機能を実装するためにアプリケーション開発者によって採用されるようになりました。たとえば、デバイスに内蔵されているカメラを使って脈拍を測定するアプリや、加速度センサーを使って地震の検出に役立てるアプリもあります。モバイルデバイスのユビキタス性と組み込みセンサーが、攻撃者にとってもさまざまな可能性を切り拓くと、UAB の研究者は述べています。この論文で詳しく述べられているのが正にこの可能性で、概念実証用の Android アプリを作成してそのアイデアを披露までしているほどです。

研究者は、特定の信号によって起動されるまで潜伏し続けるように設計されたマルウェアを Android デバイスにインストールし、人通りの多い廊下で、17 メートルほど離れた音源から聞こえてくる音楽を使ってこのマルウェアを起動しました。また、音楽ビデオ、テレビの光や照明、磁気、そしてサブウーハースピーカーの振動によってマルウェアを起動することにも成功しています。

この攻撃方法を使えば、攻撃者は状況に応じて以下のような標的型攻撃を実行できることになります。

  • 分散サービス拒否(DDoS)攻撃。たとえば、特定の場所にあるデバイスを使って Wi-Fi ネットワークを停止させる。
  • 迷惑攻撃。たとえば、会議の出席者全員のデバイスで音楽を再生したり、相互に発着信させたりする。
  • いやがらせ攻撃。たとえば、恥ずかしいコンテンツをデバイスに表示する。
  • 危険誘発攻撃。たとえば、ユーザーが運転中にデバイスの電源を入れる。
  • 妨害攻撃。たとえば、病院でデバイスの電源を入れ、医療機器に支障をきたす。
  • かく乱攻撃。たとえば、デバイスで音楽や着信音を鳴らして、何らかの活動中のユーザーの気を散らす。

このような攻撃はきわめて高度であり、現時点では実行も困難であると研究者は認めていますが、技術が進歩するほど実行は容易になるでしょう。この種の研究が重要であると研究者が考える理由は、正にこの点にあります。セキュリティ業界やデバイスメーカーが犯罪者の先手を取ることができるからです。

研究者が論文で展開した仮説上の攻撃では、マルウェアがデバイスに侵入する際の方法は従来と同じです。従来と異なるのは、攻撃者がマルウェアと通信する方法として、新しい経路を使う点です。この研究は確かに注目に値しますが、音声などの放送に信号を隠して埋め込むのは、ステガノグラフィーの一形態にすぎません。ですから、シマンテック製品を実行しているデバイスであれば、通信の受信方法にかかわらず、マルウェアの存在や動作は検出されるのでご安心ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。