Tag Archives: vulnerability

Shellshock: Bash Bug ????????????????

      No Comments on Shellshock: Bash Bug ????????????????

新たに確認された脆弱性は、Linux、Unix、および Mac OS X の多くのバージョンに影響を与える可能性があるため、Web サーバーはリスクにさらされています。

Shellshock: All you need to know about the Bash Bug vulnerability

Web servers at risk as new vulnerability potentially affects most versions of Linux and Unix, as well as Mac OS X.
Read more…

Shell Shock: Todo lo que debes saber sobre la vulnerabilidad Bash Bug

Se ha detectado una nueva vulnerabilidad que puede afectar potencialmente a casi todas las versiones de los sistemas operativos Linux y Unix, además del OS X de Mac (basado en torno a Unix). Se conoce como “Bash Bug” o “Shell Shock”.

Shellshock: Tudo que você precisa saber sobre a vulnerabilidade Bash Bug

Web servers at risk as new vulnerability potentially affects most versions of Linux and Unix, as well as Mac OS X.
Read more…

Adobe Flash ????????????????????????????

シマンテックは 5 月中旬、Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)を悪用する攻撃が徐々に増加していることを確認しましたが、この傾向はまだ続いています。シマンテックの調査によると、現在この攻撃は大規模な範囲で行われており、その大部分は日本を標的としていることがわかっています。

4 月にさかのぼると、CVE-2014-0515 は当初、特定の組織や業界を狙った水飲み場型攻撃で悪用されていました。その後同じ 4 月に Adobe 社はこの脆弱性に対するパッチをリリースしましたが、シマンテックの遠隔測定によると、それから数週間が経った現在では、当初の標的ではなく幅広いインターネットユーザーを狙って悪用コードが使われていることが判明しています。

Figure1_12.png
図 1. Adobe Flash Player の脆弱性を悪用する攻撃の大部分は日本を標的に

図 1 に示すように、この脆弱性を悪用する攻撃の 90% 以上は日本のユーザーを標的としています。攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規の Web サイトが利用されています。そういった Web サイトから、攻撃者が用意した悪質なサイトにトラフィックがリダイレクトされます。

日本での攻撃を引き起こすように侵害された Web サイトは次のとおりです。

  • his-jp.com(旅行代理店)
  • jugem.jp(ブログサービス)
  • pandora.tv(動画共有サービス)

上記の Web サイトに加えて、JUGEM レンタルサービスを使用しているブログサイトも影響を受けていました。

ブラウザが悪質なサイト(IP アドレス 1.234.35.42)にリダイレクトされると、CVE-2014-0515 の悪用を試みる悪用コードが読み込まれます。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、マルウェア Infostealer.Bankeiya.B に感染してしまいます。このマルウェアがユーザーから銀行口座情報を盗み取るのです。

Figure2_8.png

図 2. 日本のユーザーを狙う攻撃件数の推移

Figure3_6.png

図 3. 日本のユーザーを狙う攻撃の累積件数

Infostealer.Bankeiya.B は、Google Chrome、Mozilla Firefox、および Microsoft Internet Explorer を監視し、通常オンラインバンキング取引で使われる特定のユーザーデータを収集します。

また、Infostealer.Bankeiya.B は自身を更新して、さらにほかの銀行を標的にしたり別の悪質な処理を実行するための機能を追加したりすることができます。

Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)は広範囲に悪用されているため、Adobe Flash を最新のバージョンに更新することをお勧めします。オペレーティングシステムやコンピュータにインストールされているアプリケーションだけでなく、ブラウザで使用しているプラグインにもパッチを適用することが重要です。

保護対策
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

侵入防止システム

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Recent Exploit for Adobe Flash Vulnerability Targeting Users in Japan for Financial Information

In mid-May, Symantec observed a gradual uptick in attacks exploiting the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515), and we continued to monitor this trend. Symantec’s research now indicates that the attacks are being performed on a massive scale and that majority of them are focused on Japan.

Back in April, CVE-2014-0515 was originally being exploited in watering-hole attacks against specific organizations or industries. Later in the same month, Adobe released a patch for the vulnerability. However, just a few weeks later Symantec telemetry indicated that instead of the initial targets, the exploit was now being used to target a wider range of Internet users.

Figure1_12.png
Figure 1. Attackers using the Adobe exploit mostly targeting Japan

As seen in Figure 1, more than 90 percent of the attacks exploiting the vulnerability are targeting Japanese users. The attacks are typically carried out through drive-by-download and leverage compromised legitimate websites to host malicious code. The websites then redirect traffic to a malicious site prepared by the attacker.

The following websites were compromised to trigger attacks in Japan:

  • his-jp.com (travel agency)
  • jugem.jp (blog service)
  • pandora.tv (video sharing service)

In addition to the above websites, blog sites that use the JUGEM rental service are also affected.

Once the browsers are redirected to the malicious site, which has the IP address 1.234.35.42, they render the exploit code that attempts to exploit CVE-2014-0515. If an older version of the software is installed on the computer, the attack will execute a series of malicious files to compromise the computer with the malware Infostealer.Bankeiya.B, which steals banking information from users.

Figure2_8.png

Figure 2. Daily number of attacks on Japanese users

Figure3_6.png

Figure 3. Cumulative number of attacks on Japanese users

Infostealer.Bankeiya.B monitors the Web browsers Google Chrome, Mozilla Firefox and Microsoft Internet Explorer. The Trojan gathers specific user data typically found in online banking transactions.

The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions.

Since the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515) is used heavily in the wild, Symantec advises users to update Adobe Flash to the latest version. It is important to patch not only the operating system and applications installed on computers, but also any plug-ins used by browsers.

Protection
Symantec customers are protected against this attack with the following detections:

AV

IPS

2014 ??????????????? Elderwood ????????

シマンテックは 2012 年、さまざまな業種に対するスピア型フィッシングや水飲み場型攻撃に利用された Elderwood プラットフォームについて調査しました。Elderwood プラットフォームは基本的に一連の悪用コードから構成されており、それらが「ユーザーフレンドリーな」形で作成されパッケージ化されているため、技術力の高くない攻撃者でも、標的に対して簡単にゼロデイ悪用コードを使うことができます。

軍需産業、軍事関係のサプライチェーン、製造業、IT、人権問題など幅広い分野に対して、Elderwood プラットフォームを使った攻撃が確認されています。特に注目すべきなのは、「Operation Aurora」として知られる攻撃活動で一連の悪用コードが使われたことです。

Elderwood プラットフォームが初めて確認されたのは 2012 年のことですが、それ以来、最新のゼロデイ悪用コードをいくつも取り入れながら更新が続けられています。2014 年に入ってから最初の 1 カ月だけでも、Elderwood プラットフォームは 3 件のゼロデイ脆弱性の悪用に利用されており、このプラットフォームが依然として手ごわい脅威であることが証明されました。

当初の調査では、Elderwood プラットフォームは単一の攻撃グループによって使われていると思われていましたが、最新の調査結果を踏まえると、複数のグループによって利用されていると考えられます。1 つの供給元がプラットフォームの販売に関与しているか、あるいは大きな 1 つの組織が、その内部の攻撃チームのために一連の悪用コードを開発しているかのいずれかであるという証拠もあります。どちらにしても、今なお活動している最大規模の攻撃グループが、これほど早くゼロデイ悪用コードを利用できる理由を解明する手掛かりになりそうです。

Elderwood を作成したのは誰か
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成については、いくつかの仮説が立てられていますが、シマンテックの調査ではさらに 2 つのシナリオも想定しています。

  • 1 つの上位グループがあって、複数のサブグループから構成されているケース。この場合、各サブグループは特定の業種を標的にするタスクを割り当てられています。それぞれが個別に開発したマルウェアファミリーを使っており、利用しているネットワークインフラも独自のものです。上位グループがゼロデイ悪用コードを入手し、その配布と利用をサブグループ間で調整します。

 elderwood_blog_groups_diagram1.png

図 1. 複数のサブグループを束ねる上位グループを通じてゼロデイ悪用コードが配布される

  • 攻撃グループが、目標も異なる別々の組織であるというケース。この場合、各グループが共通して接触している供給元があり、そこからゼロデイ悪用コードが各グループに同時に配布されます。供給元は、一部の攻撃グループを優遇して、他のグループより数日早くそのグループにゼロデイ悪用コードを渡している可能性もあります。

elderwood_blog_groups_diagram2.png

図 2. 共通する 1 つの供給元から複数のグループにゼロデイ悪用コードが配布される

シマンテックがつかんだ証拠(後述)から、何者かが 1 つの仲介組織に、または複数のグループに直接、Internet Explorer や Adobe Flash のさまざまなゼロデイ悪用コードを供給している可能性が高いと考えられます。これだけでも、攻撃者が確保しているリソースのレベルの大きさがうかがえます。

悪用コードがサードパーティの供給元を通じて販売されている場合、購入するグループはそれを支払えるだけの潤沢な財源を持っていることになります。悪用コードが組織の内部で開発されている場合、グループは技術力の高い個人を何人も雇っていることになります。こうした技術者は、相当額の報酬を受け取っているか、あるいは何か別の理由があって自分自身では公開市場で悪用コードを販売できないかのいずれかです。

Elderwood による顕著な悪用例
2012 年には、Internet Explorer と Adobe Flash に対する複数の悪用コードが Elderwood プラットフォームによって利用されました。以下の脆弱性を含め、数多くの脆弱性が悪用されています。

最近も、以下の脆弱性に対する新しいゼロデイ悪用コードが利用されていることを確認していますが、その多くは以前に利用された悪用コードと類似しています。

Elderwood プラットフォームで利用されている悪用コードはこれらに限りませんが、後述するように、これこそ Elderwood 攻撃活動間のつながりを示す証拠なのです。それでは、過去数年間にわたって Elderwood プラットフォームを使ってきた代表的な攻撃グループについて見てみましょう。

Elderwood プラットフォームを使ってきたのは誰か
最近確認された、Elderwood プラットフォームを使う目立った攻撃活動を時系列に並べてみます。

figure3_update_LOB.png

図 3. 最近ゼロデイ脆弱性の悪用が確認された活動の時系列

以下の攻撃グループの多くは、Elderwood プラットフォームだけを使っているわけではありませんが、この数年間の主な活動では一貫して Elderwood を使っていることが確認されています。Elderwood プラットフォームで利用されていることが判明している脆弱性を悪用しているだけでなく、「Microsoft Internet Explorer の ‘CDwnBindInfo’ に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2012-4792)や 「Microsoft Internet Explorer に存在するリモートコード実行の脆弱性」(CVE-2014-1776)など、その他の欠陥も悪用しています。

攻撃グループ 標的 関連する攻撃活動 悪用されている脆弱性 使われているマルウェア
Hidden Lynx 軍需産業 Operation Snowman CVE-2014-0322(Internet Explorer) Backdoor.ZXshell
Vidgrab

日本のユーザー

ウイグルの反体制派

 

CVE-2014-0322(Internet Explorer)

CVE-2014-0502(Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog 製造業 Icefog

CVE-2012-0779(Adobe Flash)

CVE-2014-0324(Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel 航空エンジンメーカー  

CVE-2014-0322(Internet Explorer)

CVE-2012-4792(Internet Explorer)

CVE-2014-0502(Adobe Flash)

CVE-2014-1776(Internet Explorer)

Trojan.Sakurel

表 1. Elderwood プラットフォームを使っている攻撃グループ

Elderwood との関連性
攻撃グループがその活動を通じてこれらの脆弱性を悪用していたことに加え、悪用コードのインフラにも関連性があるようです。

最近確認された Internet Explorer の脆弱性、CVE-2014-0322 と CVE-2014-0324 に対する 2 つのゼロデイ悪用コードは多くの機能を共有しており、シェルコードもそのひとつです。どちらも、イメージから取得したマルウェアを復号し、%Temp% フォルダ内の .txt 拡張子のファイルに復号後のマルウェアを書き込むことができます。

そのほか、CVE-2014-0502 と CVE-2014-0322 に対する悪用コードは、同じサイトをホストとして利用していました。さらに、CVE-2014-0324 に対する悪用コードが Backdoor.Linfo の投下に使われていたことを示唆する痕跡もあります。同じマルウェアは、2012 年に CVE-2012-0779 に対する悪用コードによって投下されていました。

これらの攻撃グループが Elderwood プラットフォームを利用している状況の全体像を以下の図に示します。

ewood4_large_update_LOB.png

図 4. 過去と現在におけるゼロデイ悪用コードの相関図

結論
ゼロデイ悪用コードの使用と、中心的な 1 つのグループまたは組織との関係を断定することはできません。ひとたび攻撃に利用されたゼロデイ悪用コードは、リバースエンジニアリングもコピーも、他の攻撃への転用も可能だからです。Elderwood プラットフォームは、悪用コードがコンパクトにパッケージ化され、ペイロードと分離されているため、リバースエンジニアリングが特に容易です。Elderwood の悪用コード実装は、攻撃者が使いやすいように、意図的にこのような手法で作成されたものかもしれません。

とは言え、最近確認された攻撃活動では、Internet Explorer や Flash のゼロデイ悪用コードを利用して同じマルウェアファミリーを拡散するという、攻撃グループの共通パターンが繰り返されています。それだけでなく、これらの悪用コードは実装方法にも多くの類似点が見られます。こうした証拠から、悪用コードが単にリバースエンジニアリングされているだけの場合と比べて、はるかに緊密なコミュニケーションが攻撃グループ間で交わされているものと考えられます。

Elderwood を作成しているのがサードパーティの供給元であるにせよ、自前のチームを抱えた大きな組織であるにせよ、Elderwood のゼロデイ悪用コードを利用している各グループは潤沢なリソースと十分な動機を持っています。標的となりうる企業や組織にとって深刻な脅威であることは間違いありません。

シマンテック製品をお使いのお客様は、ウイルス対策、侵入防止システム、振る舞い検知やレピュテーション(評価)技術によって、今回のブログで取り上げたさまざまなマルウェアファミリーから保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How the Elderwood Platform is Fueling 2014’s Zero-Day Attacks

Back in 2012, Symantec researched the Elderwood platform, which was used in spear-phishing and watering-hole attacks against a wide variety of industries. The Elderwood platform essentially consists of a set of exploits that have been engineered and packaged in a “consumer-friendly” way. This allows non-technical attackers to easily use zero-day exploits against their targets.

We observed attackers using the Elderwood platform against a large number of sectors, including defense, defense supply chain manufacturing, IT, and human rights. Most notably, attackers used this set of exploits in a high-profile campaign known as Operation Aurora.

The Elderwood platform may have first been documented in 2012, but it has continuously been updated with some of the latest zero-day exploits. Within just one month at the start of 2014, the Elderwood platform was used to exploit three zero-day vulnerabilities, proving that this exploit set is still a formidable threat.

Initially, our research suggested that the Elderwood platform was being used by a single attack group. Our latest research leads us to believe that several groups could be using this platform. The evidence suggests that either one distributor is responsible for selling the platform or one major organization developed the exploit set for its in-house attack teams. Either scenario could shed light on how some of the biggest attack groups in action today get such early access to zero-day exploits.

Who could have created Elderwood?
There are several theories which may describe the makeup of the attackers utilizing the Elderwood platform’s zero-day exploits. Our research suggests that there are two more probable scenarios.

  • There is a single parent organization broken into a number of subgroups. Each subgroup is tasked with targeting a particular industry. They each use individually developed malware families and operate their own network infrastructure. The parent organization obtains the zero-day exploits and coordinates the distribution and utilization of these exploits amongst the subgroups.

 elderwood_blog_groups_diagram1.png

Figure 1. Zero-day exploits distributed throughout an organization consisting of multiple teams

  • The attack groups are separate entities with their own agendas. These groups all have contact with a single zero-day exploit supplier which delivers the exploits to the groups at the same time. The supplier may give certain groups preferential treatment, offering zero-day exploits to some attack groups a few days before others. 

elderwood_blog_groups_diagram2.png

Figure 2. Zero-day exploits distributed to different groups but by a common supplier

Based on our evidence, which we will discuss in this blog, it seems likely that someone is supplying various Internet Explorer and Adobe Flash zero-day exploits to an intermediate organization or directly to the various groups. This alone is a sign of the level of resources available to these attackers. 

If the exploits are being purchased from a third party distributor, the purchasing organization must have substantial financial resources to pay for the exploits. If the exploits are developed in-house, this would indicate that the organization has hired several highly technical individuals to do so. These employees are either being well compensated for their work or have some other motivating factor that prevents them from selling exploits on the open market themselves.

Elderwood’s notable exploits
In 2012, several Internet Explorer and Adobe Flash exploits were part of the Elderwood platform, which took advantage of a number of vulnerabilities, including the following bugs.

Recently, we have seen the platform use new zero-day exploits against the following vulnerabilities, many of which are similar to the previously used exploits.

These exploits are not the only ones used in the platform, but as we will discuss, they show a connection between Elderwood campaigns. Let’s take a look at some of the major attack groups who have used the Elderwood platform over the past few years.

Who has been using the Elderwood platform?
The following is a timeline of the most recent high-profile use of the Elderwood platform. 

figure3_update_LOB.png

Figure 3. Timeline of known activities of recent zero-day exploits

While many of the following attack groups do not use the Elderwood platform exclusively, they have been observed using it throughout many of their major campaigns over a number of years. Along with taking advantage of vulnerabilities that are known to be covered in the Elderwood platform, the attackers also exploited other flaws, such as the Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792) and the Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).

Attack group Targets Associated operation names Exploited vulnerabilities Malware used
Hidden Lynx Defense industry Operation Snowman CVE-2014-0322 (Internet Explorer) Backdoor.ZXshell
Vidgrab

Japanese users

Uyghur dissidents

 

CVE-2014-0322 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog Manufacturing firms Icefog

CVE-2012-0779 (Adobe Flash)

CVE-2014-0324 (Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel Aerospace engine manufacturers  

CVE-2014-0322 (Internet Explorer)

CVE-2012-4792 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

CVE-2014-1776 (Internet Explorer)

Trojan.Sakurel

Table 1. The attack groups using the Elderwood platform

The Elderwood connection
Along with the attack groups’ use of these exploits through their campaigns, the exploits’ infrastructure also appear to be linked.

The two recent Internet Explorer zero-day exploits for CVE-2014-0322 and CVE-2014-0324 share a number of features, including common shellcode. They both can also decrypt malware retrieved from images and write the decrypted malware to a file with a “.txt” extension in the %Temp% folder. 

Along with this, exploits for both CVE-2014-0502 and CVE-2014-0322 were hosted on the same site. Finally, there are indications that suggest that a CVE-2014-0324 exploit was used to drop Backdoor.Linfo. The same malware was dropped in 2012 with the CVE-2012-0779 exploit. 

The following image gives an overall look at how these attack groups’ use of the Elderwood platform are connected.

ewood4_large_update_LOB.png

Figure 4. Some of the connections between recent and previous zero-day exploits

Conclusion
It’s difficult to definitively link the use of zero-day exploits back to one central group or organization. Once a zero-day exploit has been deployed in an attack, it can be reverse-engineered, copied and re-purposed for other attackers to use. The Elderwood platform is particularly easy to reverse-engineer, as its exploits are neatly packaged and separated from the payload. Elderwood’s exploit implementations may have been purposely created in this manner to make it easier for its customers to use. 

However, in these observed attack campaigns, there is a repeating pattern of attack groups using Internet Explorer and Flash zero-day exploits to deliver the same malware families. Not only that, but these exploits share many similarities in their implementation. This evidence indicates that there is a greater level of communication between attack groups than if the exploits were simply being reverse-engineered. 

Whether Elderwood’s creator is a third-party supplier or a major organization equipping its own teams, the various groups using ‘Elderwood’ zero-day exploits are well resourced and motivated. They present a serious threat to potential targets.

Symantec protects customers from the various malware families listed in this blog through our antivirus, IPS, behavioral and reputation technologies.