Tag Archives: security

À jouer avec le feu…

Hacker Medic July 3, 2013 No Comments

Dans mon cercle d’amis, je suis de facto l’expert en sécurité/informatique. C’est pourquoi, la semaine dernière, l’une de mes amies m’a appelé pour savoir comment réagir au message ci-dessous qu’elle rencontrait pour la première fois. Comme vous pouvez le voir, ce message d’avertissement indique que la sécurité du site est peut-être compromise du fait d’un certificat SSL expiré.

D’emblée, j’ai dit à mon amie de n’accéder à ce site sous aucun prétexte. En cas de doute, il est préférable de se rendre sur un autre site Web, d’aller au magasin ou de le contacter par téléphone ou par e-mail. Mais, quoiqu’il arrive, n’accédez pas au site Web en question. La réponse de mon amie m’a quelque peu surpris… lorsqu’elle a demandé des explications via Twitter, un représentant du site lui a affirmé que « cet avertissement n’avait rien d’inquiétant ». Je suis resté bouche bée. On ne peut donner plus mauvais conseil ! Qu’est-ce qui pourrait donc bien pousser un site de confiance à faire de telles déclarations ?

Raison n° 1 : le site ne veut perdre aucun client.

Raison n° 2 : les propriétaires du site ne saisissent pas les principes fondamentaux de la confiance client.

Raison n° 3 : ils ignorent toute l’ampleur des conséquences de tels conseils.

Par défaut, j’optai pour la troisième et rappelai à l’ordre les propriétaires du site en question. Puis, je me mis à examiner le problème de ce site pour découvrir ce qui s’était produit. Il s’agissait en réalité d’une négligence de l’équipe chargée du site d’e-commerce. Prise au dépourvu par l’expiration inattendue d’un des certificats, elle tentait de minimiser l’impact de son oubli. Toutefois, conseiller aux clients d’ignorer les messages d’avertissement va à l’encontre du bon sens. Dans ce cas, pourquoi ne pas aussi les laisser répondre aux e-mails leur demandant leur numéro de carte bancaire et leur adresse postale ? Soyons sérieux… D’autant que le site pourrait très bien être infecté par malware. Nous savons en effet que 61 % des sites infectés sont des sites Web légitimes compromis par du code malveillant. Les sites Web des entreprises, de même que les cybermarchands et les sites spécialisés dans les technologies, figuraient dans le Top 5 des sites les plus infectés en 2012 (source : Symantec ISTR 2013 (en anglais)). Or, l’antivirus de mon PC a bloqué ce site – selon ses propriétaires, devrais-je aussi ignorer cet avertissement ?

Certes, il s’agit là d’un cas extrême. Mais, à mon avis, le fait de conseiller aux internautes d’ignorer les avertissements de sécurité relève d’une très mauvaise pratique. En aucun cas les sites marchands ne devraient inciter leurs clients à passer outre de telles alertes conçues pour leur protection, au risque d’une érosion de la confiance en ligne.

Pour conclure, voici ce que je recommanderais aux internautes en général, et à mon amie en particulier : plaignez-vous et n’y allez pas de main morte ! Chat en direct, standards téléphoniques, médias sociaux… vous avez l’embarras du choix ! Alors, ne laissez pas s’en tirer à si bon compte ceux qui abusent de votre confiance au risque de compromettre votre sécurité. Exigez des sites qu’ils vous offrent des garanties, à commencer par une marque de confiance comme le sceau Norton Secured, témoin visuel d’une analyse anti-malware régulière du site visité. Faites-leur savoir que vous n’allez pas faire affaire avec eux tant que votre navigateur remet en question leur dispositif de sécurité. Les consommateurs représentent un groupe de pressions important. Si nous exprimons notre mécontentement et boycottons ces sites, ils n’auront pas d’autre choix que de réagir. Bien entendu, nous sommes nombreux à fermer la fenêtre de notre navigateur en cas de message d’avertissement. Mais les plus hésitants d’entre nous sont tout à fait prêts à ignorer ces alertes et à suivre des recommandations de mauvaise foi.

En incitant sans cesse les internautes à ignorer les avertissements, nous courons le risque de dévaloriser les notions de confiance et de sécurité en ligne. Or, au vu de l’extraordinaire potentiel de l’économie du Net (article en anglais), pourquoi prendre un tel risque ? Les éditeurs de solutions de sécurité s’efforcent d’intégrer des dispositifs d’alerte et de protection aux outils de transactions en ligne. Aucun acteur de ce secteur ne devrait recommander d’ignorer un avertissement. Un site d’e-commerce adoptant cette attitude ne mérite pas la confiance de ses clients. Et une fois cette confiance perdue, il est quasiment impossible de la regagner. Au final, tout le monde y perd.

Auf dünnem Eis …

Hacker Medic July 3, 2013 No Comments

Vorige Woche rief mich eine Freundin an. (Meine Freunde halten mich für ihren persönlichen IT- und Sicherheitsberater.) Diesmal wollte sie meine Meinung zu der unten abgebildeten Nachricht hören, die sie noch nie gesehen hatte. Wie Sie s…

Walking on thin ice…

Hacker Medic July 3, 2013 No Comments

A friend of mine called me last week (I’m the de facto security/IT guy in my circle of friends) her question was what to do when faced by the message below as it was something she’d not seen before. The warning message as you can see below …

The Java Autorun Worm, Java.Cogyeka (3 of 3)

Hacker Medic July 3, 2013 No Comments

As I wrote in parts one and two of this series of blogs, Java.Cogyeka uses an autorun.inf file to propagate and download an additional module. I was able to get the downloaded module, based on a Java application, even though it took over a week because of the difficulty in establishing a connection with the server. The downloaded module, like the main module, tries to protect itself through obfuscation with Zelix KlassMaster. After investigating the downloaded module, I discovered that the purpose of Java.Cogyeka is to steal information from a video game on the compromised computer.

The targeted game
The game being targeted by Java.Cogyeka is League of Legends, a free-to-play video game published by Riot Games. While the game is free-to-play, users can purchase additional characters and character skins with real money. Java.Cogyeka may target League of Legends because of these real money transactions.

Infostealer
The downloaded module attempts to steal the League of Legends player’s account information and keystrokes to gain control of their account. While the purpose of the threat is to steal information related to the League of Legends game, it may also steal additional information because of its keystroke-stealing capabilities.

Stealing keystrokes
The downloaded module drops two types of DLL files, a 32-bit version and a 64-bit version. This is done using the same technique that the threat uses for obtaining the drive letters of the removal drive in the main module, as described in the second Java.Cogyeka blog. The Java system does not permit Java applications to obtain keystroke information from other processes. The malware may steal passwords, but it needs a native call, so it drops the Windows DLL file from the Java application.

The SetWindowsHookEx API is used to log keystrokes and mouse operations while WH_KEYBOARD_LL and WH_MOUSE_LL are used as hook types. The stolen keystrokes and mouse operations are then sent to a remote server.

Figure 1. Downloaded module steals keystrokes and mouse operations

Stealing account information
The malware steals keystrokes in the hopes of obtaining a player’s League of Legends user name and password. However, the League of Legends login window has an option to remember a player’s user name and, if a player has selected this option, Java.Cogyeka cannot obtain the player’s user name. To get around this, the malware also attempts to steal a file that contains the user’s account information.

Figure 2. League of Legends login screen

To steal the user’s account information, the malware tries to search for the following folder on all drives:

Riot Games/League of Legends/RADS/projects/lol_air_client/releases

This folder contains a folder with the name of the version number of the game, for example “0.1.2.0.” The malware traverses folders at the version folder searching for the following path:

deploy/preferences/global/global.properties

This file contains the game settings as well as the player’s user name that is used to log in to the game.

Sending the stolen information
Once the downloaded module has obtained the login information, it sends it to the domain Jkl.no-ip.biz on TCP port 1087.

This server name has been deactivated and is no longer accessible. However, both the server name and port number are hardcoded into the module unlike the command-and-control server name and port number, and the stolen information is encrypted.

Figure 3. Malware observed worldwide as the targeted game is played all over the world

Conclusion
In this series of blogs, I have discussed the propagation and information-stealing functions of Java.Cogyeka and how it uses an obfuscation tool to protect itself from detection by security scanners. While the malware has a specific target, the video game League of Legends, other information may also be stolen through the captured keystrokes and mouse operations. Java.Cogyeka may also update itself because it downloads an additional Java module. We will continue to observe and investigate this malware.

I am left wondering why the malware requires the USB spreading functionality. The purpose of this malware is to steal information from an online game. The League of Legends is a type of game whereby users connect to a game server in order to play online. There is a possibility that it attempts to infect computers at Internet cafés. In this case, game players or administrators of the Internet café may use a USB storage device. On the other hand, a user may play the game with his or her friends at the same place and use USB storage devices to share files. It is possible that the malware aims to take advantage of such a situation.

Symantec detects these files as Java.Cogyeka, Java.Cogyeka!autorun, and Java.Cogyeka!gen1. We recommend that users keep their security software up to date.

Tinder: ??????????????????????

Hacker Medic July 3, 2013 No Comments

過去数年間に、このブログではさまざまなソーシャルネットワークサイトやアプリを介して拡散する数々のスパム活動についてお伝えしてきました。どのようなソーシャルサービスでも同様ですが、人気が高くなってくるとスパマーはその人気につけ込んで、あの手この手でサービスの利用者を狙おうとします。

以前、出会い系サイトの人気について報告したブログでは、出会い系サイトをワナに使う悪質な攻撃の例について注意を促しました。最近人気を集めている出会い系サービスは Web サイトではなく、Tinder というモバイルアプリです。

Tinder は、自分を気に入っている近所のユーザーを探し、お互いに関心を持ったらつないでくれるモバイルアプリです。非常に簡単な仕組みですが、出会い系サービスの中でも特に人気が高くなっているのも、その簡単さが理由と考えられます。最近のレポートによると、Tinder のユーザーどうしが出会った回数は 5,000 万回を超え、プロフィールの評価は 45 億件にも達しています。

最近、このサービスを利用しているスパムアカウントを発見したという報告が、多くのユーザーから寄せられています。

図 1. Tinder の偽アカウントの例

詳しく調べたところ、Tinder では確かに多くのスパムアカウントが作成されていることが確認されました。

図 2. 相性マッチングの通知

予想どおり、こうしたスパムアカウントのいずれかに「いいね」を付けると、すぐに相性がいいと通知されます。スパムアカウントは、先にユーザーから接触しないかぎり応答しないようです。

スパムアカウントは、Tinder ユーザーと会話するときに同じような台本を使います。

図 3. スパムボットの自動応答は同一

いずれかのスパムアカウントに話しかけると、欠陥があることがわかります。

図 4. スパムボットは一瞬で 2 歳年を取る

スパムアカウントのプロフィールには年齢が 26 歳と書かれているにもかかわらず、スパムボットは年齢を 2 度も誤って報告するようです。

ボットが使う台本の典型的な文面は以下のとおりです（欠陥も含む）。

ボット: hey … have we spoken before? 22..female here…you ?（あら、前にも話したことがあるかしら。こちらは 22 歳、女性です。あなたは?）
ボット: hey ….. have we chatted before?? 24..female here…..u?（あら、前にもチャットしたことがあるかしら。こちらは 24 歳、女性です。あなたは?）
ボット: i’m sorry…I get to be forgetful at times! how’re u??（ごめんなさい、最近忘れっぽくて。最近どう?）
ボット: Just got online….long week been kind of busy! But I’m feelin’ aroused!! So what’s up …. Wanna have some fun ?? :)（今オンラインに戻ったところ。1 週間ずっと、なんだか忙しかったけど、もう元気よ。そっちはどう…… 遊ばない?）
ボット: I need a guy who can [REMOVED]..have u ever [REMOVED]?? hahaa（[削除済み]してくれる男の人が必要なんだけど、[削除済み]したことある??）
ボット: going to change my underwear….. want to see?? =)（下着を着替えるわね… 見たい?）

ここまで進んだところで、スパムボットは Web カメラの映像を見られるという言葉でユーザーを誘惑し始めます。

図 5. 誘惑を始めるスパムボット

ここからは、スパムボットによって短縮 URL が示され、Web カメラの映像にアクセスするための手順が指示されます。

図 6. Tinder スパムで使われているランディングページ

このランディングページの招待を承諾すると、会員登録を促す別のサイトにリダイレクトされ、個人情報のほか、年齢確認のためと称してクレジットカード番号も要求されます。

図 7. 会員登録でクレジットカード情報が要求される

スパムボットが、Web サイトやクレジットカード情報に関する疑問を先取りして答えるところは注目に値します。

図 8. 疑問に応答するスパムボット

ここでもボットには欠陥があり、ユーザーがサイトに登録済みかどうかを確認するときに、台本の中で「sexy（セクシー）」と「handsome（ハンサム）」を置き換えていました。

図 9. スパムボットの間違いと「ゴールド」の要求

ユーザーがサイトへの登録を済ませると、スパムボットは「ゴールド」と称するものも要求してきます。「ゴールド」とは、このサイトで使われている通貨を指していると思われ、ユーザーはそれを購入する必要があります。

では、詐欺師はこれをどうやって収益化しているのでしょうか。ソーシャルネットワークサイトで出回っているスパムは、大半がアフィリエイトプログラムを動機としています。今回の例では、いわゆる「ただし書きをよく読む」ようにしましょう。

図 10. 無料アクセスにはプラチナメンバーへのアップグレードが含まれている

デフォルトでは、［Upgrade me to a platinum membership（プラチナメンバーにアップグレードする）］というチェックボックスにチェックマークが付いています。このチェックマークを付けたままにすると、さらに別の 2 つのサイトに登録されます。2 つのサイトでは、それぞれ 10 日間と 7 日間のお試し会員期間が用意されていますが、アカウントを取り消さないでいると、1 カ月あたり最大 80 ドルが請求されます。あいにく、ユーザーはこれらのサイトにも登録されたことに気づかないことが多く、詐欺師は登録したアフィリエイトプログラムから報酬を得られるようになります。

図 11. Tinder の偽アカウントをブロック

現在、Tinder アプリ内でスパムアカウントを報告する機能はありません。ただし、ユーザーをブロックする方法は用意されているので、相性がいいとされたスパムアカウントはブロックすることをお勧めします。

図 12. Android 用 Tinder アプリも準備中

Tinder で見つかったスパムは今のところ限られているものの、今後はこのサービスでもスパムボットアカウントが増えるだろうと懸念されています。現時点で、Tinder アプリはまだ iPhone 版しかありませんが、Android 版もリリースされる予定です。昨年 1 年間の傾向からすると、新しい Android アプリがリリースされると、Tinder のような人気のサービスではスパム件数が増加するようです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????

Hacker Medic July 2, 2013 No Comments

中国では、今年の全国大学統一入試を終え、高校生たちは大学選びと願書の記入という忙しい時期を迎えています。大学の選択は、大学入学を決める大切な問題です。

このような一大イベントと金儲けのチャンスを、フィッシング詐欺師も見逃すはずはありません。フィッシングによって個人情報を盗み出されてしまうと、受験生とその親は大量のスパムメッセージや迷惑電話を受け取るはめになります。私立大学や海外教育機関の広告、あるいは金融詐欺の場合もあります。フィッシングサイトによっては、入学願書の提出が完了したと受験生に思い込ませるものまでありますが、もちろん実際にはそんなことはなく、人生の重大な岐路に立っている受験生が将来を台無しにされかねません。また受験生の情報は、海外の教育機関や証明書の偽造業者、再出願サービスなどに営利目的で売買されます。

フィッシング詐欺師が使う手口は、以下のとおりです。

教育機関の Web サイトを複製
偽の Web ページは正規サイトとほとんど変わりませんが、悪質なスクリプトが埋め込まれていたり、大学の連絡先情報が偽物だったりすることもあります。偽ページにあるリンクも、本物のリンクを真似たものです。受験生が検索エンジンで大学を検索すると、検索結果には偽 Web ページのリンクが表示される可能性があります。そのようなリンクをクリックすると、悪質なフィッシングページに誘導されてしまいます。

pic1.png.jpg
図 1. 「北京経済管理学院」と称するフィッシングサイト

図 2. 正規のサイト

偽の「スマート」カード
これは、「大学入試出願スマートカード」を購入するように受験生を欺く手口です。出願書類の記入にこのスマートカードを使えると謳うのが一般的ですが、大学の選び方といったスキルの学習に利用できる、あるいは出願用の練習フォームも付いたスキル評価に参加できると称している場合もあります。もちろん、実際の出願には省の正規の出願用 Web サイトを使う必要があり、それ以外の方法はありません。こうした、いわゆる「大学入試出願スマートカード」も、受験生を欺いて金銭を引き出そうとするワナです。

pic3.png.jpg
図 3. 「大学入試出願スマートカード」詐欺

偽の入学ガイダンスサービス
これは、受験生にサービス料金を支払わせようとするタイプのフィッシングサイトです。実際に料金を払っても何かのガイダンスを受けられることはなく、お金を失うだけです。

図 4. 偽の入学ガイダンスサービス

裏口入学
大学入学試験で得点が足りなかった受験生に、入学の「近道」があると称する Web サイトも存在します。出願に必要な個人情報を送信するようにという説明が表示されますが、フォームに個人情報を入力すると、個人情報を盗み出されて営利目的に利用されてしまいます。

図 5. 大学入学の「近道」と称する偽の申請フォーム

フィッシングサイトのほとんどは、検索エンジン、フォーラム、教育相談サイトなどを使って詐欺を拡散しています。受験生や保護者の方は疑わしい URL をクリックしないようにしてください。特に、大学入試の出願中には注意が必要です。

Amazon Android ??????????????

Hacker Medic July 2, 2013 No Comments

以前のブログでもお伝えしたように、アプリストアから悪質なアプリを除外するのはなかなか難しい目標です。特に、偽アプリやミスリーディングアプリは特定が容易ではありません。これは、謳っているとおりの機能を実行するかどうかが常に明確に判断できるわけではないためです。

シマンテックの自動システムによって、明らかに悪質なミスリーディングアプリが Amazon Android アプリストアで公開されていた例が見つかっています。

これは「Password Wifi Hacker Plus」という名前で、付近の Wi-Fi ネットワークのパスワードをクラックできると謳っていますが、実際には、そのように動作すると見せかけて、偽のダイアログボックスを表示するだけです。

Figure. Password Wifi Hacker Plus fake dialog box.png

図. Password Wifi Hacker Plus の偽ダイアログボックス

さらに、このアプリには 6 種類のネットワーク広告コンポーネントもバンドルされ、その一部はきわめて攻撃的なものです。これらの広告コンポーネントは、ユーザーの所在地などの情報を漏えいするほか、通知パネルに広告を表示し、ホーム画面にアイコンを作成します。また、ブックマークを追加して頻繁にポップアップ広告を表示します。

シマンテックから Amazon 社に対して、Amazon アプリストアにこのアプリが公開されていることを通知済みです。

ノートンモバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートンモバイルセキュリティは、今回のアプリを Android.Fakeapp として検出します。

スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト（英語）を参照してください。

Spammers Kickoff Sale for United States Independence Day

Hacker Medic July 2, 2013 No Comments

Independence Day in the United States is a federal holiday, commonly known as the 4th of July. It is traditionally celebrated with various political speeches, ceremonies, fireworks, and parades. Spammers are exploiting the holiday by sending numerous s…

Fake Application Found on Amazon Appstore for Android

Hacker Medic July 2, 2013 No Comments

Keeping an app store free of malicious applications can be a hard task as we have discussed in our previous blogs. Fake or misleading applications, in particular, are often the hardest to spot because it is not always obvious whether they do what they …

The Java Autorun Worm, Java.Cogyeka (2 of 3)

Hacker Medic July 2, 2013 No Comments

Obfuscations
In my previous blog, I discussed some stealth techniques Java.Cogyeka uses. These stealth techniques are not effective at deceiving users or security researchers, but their use proves that Java malware is continuously improving.

Aside from the stealth techniques, Java.Cogyeka is designed to evade security researchers through various obfuscation techniques. Some are effective, some are overdone. Overdone obfuscation techniques will often cause malware to be less effective.

Java.Cogyeka uses three obfuscation techniques:

1. Autorun.inf obfuscation
The autorun.inf file helps Java.Cogyeka spread through removable drives. This file is made up of three parts:

Action
Icon
ShellExecute

It must contain a ShellExecute function in order to execute itself in the removable drive Recycler folder. As I wrote in my previous blog, Java.Cogyeka employs a folder icon and also displays the message “Open folder to view files.”

Java.Cogyeka uses an obfuscation technique to ensure that security scanners do not detect autorun.inf. The obfuscation technique inserts garbage between entries. The garbage consists of a control character between 0x00 and 0x1F. This obfuscation technique is often found in malicious .inf or .html files.

Figure 1. Obfuscation technique fills in garbage

Uppercase and lowercase capitalization is used randomly in the ASCII characters to create inconsistency. The volume of the garbage is between 0 and 50 bytes and it is in clusters located alongside the tokens in a crafted autorun.inf file. Symantec detects the autorun.inf file crafted by Java.Cogyeka as Java.Cogyeka!autorun.

2. Zelix obfuscation tool
This Java malware spreads itself as a JAR file with 15 class files (a.class to o.class). Originally, these classes may have been named based on the functionality of each class. The Java obfuscation tool—named Zelix KlassMaster—modifies class names, method names, Java byte codes, and strings.

Figure 2. Zelix bitmap of encrypted and decrypted strings with XOR table

The Java obfuscation tool is not malware but rather a legitimate tool. Java developers may want to hide important data and code in Java class files. It is difficult to decompile a Java class file if Zelix obfuscation has been applied.

Java.Cogyeka is not the only object to use this tool; many malicious Java applets that exploit Java vulnerabilities, for instance, are also use this tool.

3. Network connection obfuscation
Determine server name and port number
To download an additional module from the command-and-control (C&C) server, Java.Cogyeka has to connect to it. However, it is difficult to successfully connect an existing server while also attempting to connect many fake servers. It takes a long time to download an additional module this way. The difficulty results from the complicated server name and port number.

The C&C server’s host name is made up of five to eight random letters and the randomly selected domain is based on a dynamic DNS. A random seed based on the time the malware is run is used to select the random letters. The domain is selected from 22 famous dynamic services by the same random seed used to obtain the random letters. The port number is also randomly generated by the same random seed. The seed number is based on a 64-bit integer.

Figure 3. Random seed used to determine host name, domain name, and port number

There is a possibility that the generated C&C server name is the same as a legitimate one hosted by another user in the dynamic DNS service. If so, the malware tries to connect the server name with a generated TCP port number. If the server denies connection with the port the connection will be closed immediately, but the malware has to wait until it knows the connection cannot be established.

Negotiation
The protocol used to download an additional module is the original one, but it is obfuscated. The protocol will likely establish a secure connection because it uses a stream cipher created by a pseudo-random generator.

Java.Cogyeka and the server program have the same random seed and pseudo-random generator. The malware negotiates by exchanging two byte streams.

Figure 4. Java.Cogyeka and server program negotiation

Java.Cogyeka generates the first byte stream, and its length, with a pseudo-random generator and then sends it to the server through a TCP connection. The server then receives the data. If the server was created by the malware author, the server program runs and has the same random seed and pseudo-random generator as the malware. The server can verify the byte stream, and the length, by using the same generator. To perform a double check, the server creates a second byte stream. The malware receives the second byte stream and verifies the data with a byte stream it has generated.

If the negotiation is successful, the malware has confirmed the server has the same random seed and pseudo-random generator.

Downloading a module
After a successful negotiation Java.Cogyeka downloads the settings, including the size of the module to download, but the settings are encrypted by the stream cipher. After obtaining the size, it downloads a module encrypted by the stream cipher. The settings include a hash value of the downloaded module. The malware can make sure the download is successful by using SHA-512.

Made with a purpose
I discussed three obfuscation techniques used by Java.Cogyeka. The obfuscation techniques used by the malware are somewhat complicated, but the autorun.inf file in the malware should be easy to detect by security scanners. Part of the obfuscation technique used for the server name and port number is ineffective because of too much obfuscation. The streaming cipher may be effective against network-type security scanners. This obfuscation technique demonstrates that this malware was not created as a hobby, but instead, made with a specific purpose.

To be concluded…
The third and final blog in this series will show the purpose of the malware as well as what information it obtains and how it obtains it.