All the news
18.08 コラム : Windows Vistaでトロイの木馬を発見する方法
2017年8月18日
株式会社Doctor Web Pacific
待ち望まれていたWindows Vistaは、美しい新しい滑らかなだけのインターフェイスではありません。
最近のインタビューで、マイクロソフトのPlatform Product and Services Groupの共同社長であるJim Allchin氏は、Windows VistaがWindows XP SP2と比べてどれほど安全であるかが尋ねられました。これに対して、VistaにはWindows XP SP2に追加できない重要なセキュリティ機能が組み込まれる予定だと回答しました。最初のものは、アドレス空間レイアウト無作為化(ASLR)です。ASLRのおかげで、重要なシステムデータは、オペレーティングシステムの起動時に常に異なるメモリ領域に書き込まれます。システムコードは常にランダムな場所に表示されるため、攻撃を仕掛けることは難しくなります。
Allchin氏によると、ASLRはWindows Vistaを実行しているマシンを他のマシンとは若干異なります。そのため、マルウェアプログラムが1台のコンピュータにアクセスし、別のコンピュータを感染させようとしても、成功する可能性は非常に低くなります。
このニュース記事は2006年11月13日付けのもので、11年が経過し、Windows Vistaおよび、後継製品のサポートはその少し前に中止されましたが、マルウェアはまだ存在しています。どうしてでしょうか?
ASLRの仕組みを見てみます。マルウェアがプロセスにコードを挿入することになっている場合、プロセスを危険にさらすためにマルウェアライターは、侵入の瞬間に関連する予測可能なメモリアドレスを使用する必要があります。この技術はWindowsにのみ関連していません。これはLinuxやmacOSでも使われています。
それでは何をすれば見つけられるのでしょうか?その答えは基本的に2つあります。最初のASLRは単独では存在しません。これを機能させるには、保護されたアプリケーションをこのテクノロジをサポートするように構築して、再起動するたびに新しいアドレスを使用してロードできるようにする必要があります。
上のスクリーンショットは同じUSER32.DLLルーチンを表示しますが、異なるメモリアドレス(760Fと75DA)を持っています。これは、USER32.DLLがカーネルライブラリであり、カーネルがASLRをサポートしているために可能です。
そして、これにより、やや軽微な攻撃が発生します。
お使いのオペレーティングシステムがASLRをサポートしていると仮定しましょう。それはおそらく、Windows Vistaで、メディアプレーヤーに欠陥があります。これはMP3.DLLなどのいくつかのライブラリを使用して動作します。
ASLRを回避する有効な戦略の1つに、ASLRをサポートしない既知のライブラリ(プロセス)のハードコードされたアドレスを使用することが含まれます。
彼らは攻撃が成功するまで、プロセスに悪用コードを注入するといった直接的なアプローチをすることができます。
Windows VistaおよびWindows Server 2008では、256の任意の場所にDLLと実行可能コードをロードできます。これは、攻撃者が必要なアドレスを取得するために256のうち1つのチャンスを持っていることを意味します。
また、レベルを1つ下げることもできます。
2016年10月中旬に、カリフォルニア大学リバーサイドとニューヨーク州立大学ビンガムトンの情報セキュリティ研究者が、インテルのCPUの欠陥がASLRを回避し、攻撃を成功させるためにどのように活用できるかを記述した論文を発表しました。研究者は、Haswell CPUの分岐予測器の欠陥を発見しました。これにより、プログラムコードをメモリに格納する場所をアプリケーションが判断できるようになりました。
あなたがハッカーのように感じたいなら、いくつかのASLRの研究をしてください。
SysInternalsユーティリティを使用すると、ASLRの動作を確認できます。www.microsoft.com/technet/sysinternals/utilities/processexplorer.mspxからダウンロードできます。 これを使用するには、Process Explorerを起動し、Show Lower Paneオプションが有効になっていることを確認します。
その後、上部のウィンドウでexplorer.exeを選択し、下部のウィンドウの基本列にntdll.dllアドレスを書き留めます。 ベース列が表示されない場合は、「表示」→「列の選択」に進み、「DLL」タブで「ベース」列を追加します。
ベースアドレスを書き留めるなどした後、システムを再起動してください。Windows XPでは、再起動後もntdll.dllのベースアドレスは変わりません(Windows XPはASLRをサポートしていません)。 Vistaでは、再起動後にベースアドレスが変更されます(Vistaはこのセキュリティ機能をサポートしているため)。
図4では、Process Explorerのインターフェイスとntdll.dllのベースアドレスを確認できます。 表2は 、ntdll.dllとuser32.dllの間に存在するプロセスエクスプローラで、XP SP2とVistaのプロセスエクスプローラを示しています。
17.08 Doctor Web:銀行ドメインの約9%が誤ったDNS設定を使用
2017年8月17日
株式会社Doctor Web Pacific
DNS (ドメインネームシステム) はドメインに関する情報の取得を可能にし、インターネットアドレスを提供します。クライアントソフトウェア、中でも特にブラウザは、入力されたURLに基づいてインターネットリソースのIPアドレスを取得するためにDNSを使用します。通常、DNSサーバーはドメイン所有者自身によって管理されます。
インターネットリソースの多くは、メインとなる第2レベルドメインに加えて第3レベルドメイン、第4レベルドメインといった追加のドメインを複数使用しています。例えば、drweb.comドメインは、ユーザーがリンクやファイルを検査したりウイルスに関する説明を確認したりすることのできるWebサイトを含んだドメイン vms.drweb.ru、 Dr.Web CureIt!のWebページ用ドメイン free.drweb.ru、 Dr.Webシステムアップデートページ用ドメイン updates.drweb.com などのサブドメインを使用しています。様々な技術的サービスやサポートサービスは、多くの場合このようなドメインを使用することで実現されています。そのようなサービスとして、Webサイト管理やマネジメントシステム、オンラインバンキングシステム、メールサーバーのWebインターフェース、社員向けのあらゆる社内Webサイトが挙げられます。そのほか、サブドメインは、バージョン管理システム、バグトラッカー、様々な監視サービス、wikiリソース、およびその他のニーズに対応する目的でも使用されます。
Webサイトを攻撃するサイバー犯罪者は、まず初めに対象となるインターネットリソースに関する情報を収集しますが、とりわけ、サイトを管理するWebサーバーの種類とバージョン、コンテンツ管理システムのバージョン、エンジンプログラミング言語、そしてサイトのメインドメインのサブドメイン一覧を含むその他の技術的な情報を特定しようと試みます。このリストを使用することで、サイバー犯罪者は、アカウントデータを取得し、内部の非公式サービスの1つログインすることによって、「バックドア」を経由してインターネットリソースのインフラストラクチャ内に侵入を試みることが可能になります。このような「内部」のWebサイトは、既知の脆弱性を含んだ古いソフトウェアを使用していたり、デバッグ情報を含んでいたり、あるいはオープンな登録が可能であったりする場合があります。これらすべてがサイバー犯罪者の仕事を容易になものにしています。
Webサイトを管理するDNSサーバーが正しく設定されていれば、サイバー犯罪者はリクエストしたドメインゾーン情報を取得することはできません。一方、DNSサーバーの設定が誤っていた場合は、特殊なAXFRリクエストによって、ドメインゾーン内に登録されたサブドメインに関する完全なデータを取得することが可能になります。DNSサーバーの誤った設定それ自体は脆弱性ではありませんが、インターネットリソースを感染させてしまう間接的な原因となり得ます。
Doctor Webでは、ロシアの銀行および政府機関のDNSサーバー設定について調査を実施しました。その結果、調査対象となったロシアの銀行のドメインおよそ1,000個のうち89個が外部AXFRリクエストに対してドメインゾーンを返していることが明らかになり、この情報はロシア銀行の金融セクターコンピューター緊急レスポンスチーム (FinCERT : Financial Sector Computer Emergency Response Team) に提供されました。また、誤った設定は複数の政府機関のWebサイトでも発見されています。サイト管理者の方には、DNSを正しく設定することはインターネットリソースのセキュリティを確保するための重要な要素の1つであるということを今一度心に刻んでいただきますようお願いいたします。
2017年8月17日
株式会社Doctor Web Pacific
その中でも特に、再起動を待機しているコンピュータ上に、silentモードでのDr.Webのインストールが不可能となりました。
アップデートは自動的に行われます。
17.08 コラム : 仮想通貨ビットコインを活用したダークネットでの犯罪行為
2017年8月17日
株式会社Doctor Web Pacific
ダークネットは、匿名性保証プロトコルによってユーザーがアクセスする多数のインターネットホストの共通名です。 ネットワーク上のホストとサイトの実際の場所は特定できないため、ブロックできません。
ダークネットでは、訪問者(売り手とその顧客)が匿名のままでいることができるため、薬物、武器などの禁止されている品物を売るためによく使用されており、情報交換やマルウェアの購入、または必要なサービスの要求に使用される犯罪管理サイトの本拠地です。
まるでダークネットが影に潜んでいる何らかの不吉で無敵の怪物であるように見えるかもしれません。
ダークネットの規模を推定することは可能ですか?
ある程度は可能です。次のようなデータがあります。
2017年2月初旬、ダークネットで人気のあるFreedom Hosting II が攻撃を受けました。その結果、10,613のonionサイトが損なわれた。2017年3月6日、継続的にダークウェブを調査しているOnionScanプロジェクトは、以前は30,000件あったTorサービスのうち、4,400件が有効であることを示すレポートを発表した。
これはダークウェブのとらえどころのないサイトの大半がひとつのプロバイダによってホストされていることを意味しているのでしょうか?違法貿易に関与している人はいつでもアクセスしやすいサイトを望み、また、少数のプロバイダは絶えず増え続けるいかがわしいサイトを盲目的にみているため、これは可能です。結局のところ、彼らはそれほど難解ではありません。
匿名のダークネット訪問者は、ビットコインを他の通貨に比べ好んで使用しています。仮想通貨のわくわくするような展望と世界中に広げようとしている方法について、かなり以前に話題になりました。ですが、そのインフラストラクチャーはどれくらい信頼できるのでしょうか?
仮想通貨については広く公表されていますが、基本的に私的なプロジェクトのままです。ビットコインネットワークは数千のノードを網羅していますが、少数のISPがそれらを接続します。たとえば、13のプロバイダがノードの30%を占め、もう1つの39がビットコインのコンピュータの計算能力50%の可用性を維持します。 少数のISPがビットコインノード間の通信を容易にするトラフィックのシェアを占めています。 ビットコインのネットワークトラフィックの60%(2/3)を処理するのは3つのプロバイダだけです。
研究者によると、毎月100台のビットコインノードがBGPハイジャックの被害を受けています。 2015年11月にはこのような事件が最も多く発生しており、当時は8%のビットコインノード(447)が侵害されていました。
したがって、ダークネットの制御には、単一のプロバイダを制御するだけでよく、ビットコインのネットワークをダウンさせるために3つのプロバイダは歩み寄る必要があります。それほど難しいことではありません!事実、警察は法律の範囲内で行動しなければならないため、ダークネットの完全な管理は確立できません。ですが、警察は公的な監視を受けますが、シークレットサービスはそうではありません。
警察はどのようにして攻撃者を捕まえるのでしょうか?
では、警察が実際にどういった手段を利用することができるか次で説明していきます。
パワフルなコンピュータは、昔ながらの警察の捜査に代わるものではありません
調査する人間は、現実世界で薬物関連の活動を発見するたびに、オンラインで何が起こっているのかを即座に調べようとします。監視と秘密捜査により、現実と仮想世界で、どこで会うかを決めることができます。たとえば、Ross Ulbrichtは、公衆Wi-Fiホットスポット経由でインターネットにアクセスした後、シルクロードのウェブサイト管理にログインしたのと同時に、2013年に逮捕されました。通常のサイトでのデータ収集
薬物の売人は、シークレットサイトをオンライン・ストアとしてのみ使用しますが、クライアントは一般に公開されているサイトで探します。これはディーラーをより攻撃しやすい状況にします。法律では、サイト所有者に警察が必要とする情報を明かすように義務付けています。 たとえば、Redditの管理者が、法務執行機関に連絡先情報を提供した後、r / darkmarketsで違法商品を購入することを検討していた5人が逮捕されました。郵便で送られた疑わしいパッケージの押収
法執行機関は、船会社や郵便局と協力して、疑わしいパッケージを検査することができます。警察は、疑わしい貨物の受取人を探すために積み荷の番号を使用することができます。ビッグデータと自己学習マシン
警察は他の方法では発見できない接続を確立するためにもビッグデータを使用します。分析ルーチンは、IPアドレスとオンラインで入手可能な情報を考慮します。そして、これらのアルゴリズムは絶え間なく稼働しています。そのシステムの維持には非常に高いコストが必要な複雑なシステムですが、それだけの費用をかけるだけの価値があるものです。お金の流れを監視
仮想通貨の利用者は高度な匿名性を維持することができますが、ビットコインを購入または販売するたびに露出させることができます。 警察は、ビットコイン証券取引所が取引情報を明らかにするよう要求することができます。 法執行機関も同様の目標を達成するために銀行と協力している。
仮想通貨の使用者は高度な匿名性を維持することができますが、ビットコインの購入や販売のたびに情報の露出をさせることができます。警察は、ビットコイン株式取引所に取引情報を明らかにするよう要求することができます。法執行機関も同様の目標を達成するために銀行と協力しています。
次に比較的最近起きたケースを紹介します。
サイバーギャングのメンバーは、彼の仕事にはかなり満足していました。彼はLinux、Pretty Good Privacy(PGP)暗号化プログラム、ビットコインなどを使って匿名で暮らしていました。彼は同僚から様々なことを学び、現在の為替レートでかなりの量のビットコインを獲得することができました。換金には銀行やオンライン決済サービスなどとのやり取りを必要としたので、現金化を急がずただ貯蓄していました。ですが結局、ガールフレンドの誕生日プレゼントとしてiPhoneを買うことにし、ビットコインで支払うおうと思っていました。彼は、ビットコイン用の本物のiPhoneを販売する中国の起業家を見つけ、注文・支払を行った後、郵便局から小包の受取に関する通知が届きました。
喜んだ彼女は郵便局に受取に行き、その2時間後にSWATチームがロメオを逮捕し、彼と彼のすべての道具を押収しました。そして数日後、SWATチームは、彼が取引した怪しいビジネスパートナーを訪問します。
16.08 宇宙ステーションがマルウェアに感染しない理由とセキュリティルール
2017年8月16日
株式会社Doctor Web Pacific
インターネットアクセスはISSで利用可能です。宇宙飛行士、宇宙飛行士、およびゲストは、Webをナビゲートできます。彼らはソーシャルメディアサイトやブログにアカウントを持っています。
宇宙ステーションがウイルスに感染してしまった場合、致命的な結果を招く可能性があるため、通常のセキュリティ方法 (ウイルス対策、ファイアウォール、ユーザー権限の制限など) だけでは十分とは言えません。これは、離れた場所にあるホストが定期的にアップデートを受信できないためです。さらに、更新セッション中にデバイスが動作しなくなり、修復ができなくなる可能性があり、代替えを用意できないというリスクもあります。
マルウェアは、リムーバブルメディア、インターネット、電子メール、または脆弱性を介してコンピューターに侵入することが知られています。 リムーバブルメディアや新しい機器を介した感染は可能ではありますが、可能性としては低いでしょう。また、宇宙飛行士は十分な訓練を受けており、宇宙ステーションには疑惑のもととなるフラッシュドライブを持ち込まないようになっています。
地球上でアップロードされた何かを二重チェックするのは、通信チャンネル上で転送するよりも簡単です。当然ながら、マルウェアと結びついているものは厳しく管理されているため、ウイルスがネットワークに侵入してすべてに感染する状況は起こりえません。しかし、ワークステーションの制御を容易にするネットワークは接続されていません。それらは独立して動作し、その間に物理的な接続は存在しません。
そのため、マルウェアがローカルネットワークに侵入する可能性はありますが、制御メカニズムは影響を受けません。
次にインターネットを介した感染についてです。ユーザーがウェブページを読み込むと、基本的に指示を含む特定のファイルへのアクセスが要求されます。ファイルが取得されると、ブラウザはそのエンジンと設定を使用して指示を処理し、追加のファイルをダウンロードし、人間が読める形式にデータを変換し、広告をダウンロードします。また、ブラウザはあらゆる種類のスクリプトも実行します。 理論的には危険なことは何も起こさず、システム情報を収集してWebコンテンツを適切に表示します。しかし、ファイルがアップロードされスクリプトが実行されるときはいつも、攻撃される可能性があります。
宇宙ステーションの居住者がページを読み込む際、ヒューストンのリモートデスクトップ上に作成されたイメージを彼らは見ています。 この方法で高いセキュリティを維持することができます。たとえば、ユーザーがネットサーフィンしている間に予期しないことが起こったとしても、地球上にあるパソコンに影響があるだけで宇宙ステーションにあるパソコンには影響しません。
つまり、訪問したページのスクリーンショットのみが軌道に送信されます。 これはトラフィックを増加させますが、セキュリティも強化します。
もちろん、ペアレンタルコントロールのラインに沿ったものも存在します。
実際、ISSからインターネットにアクセスすることはできません。NASAネットワークにのみアクセスできます。
したがって、宇宙飛行士には、そのネットワークに有効なセキュリティポリシーが適用されます。セキュリティ部門は、どのサイトが業務に関連していないかを判断し、範囲外にするかを設定します。Cosmonaut Pavel Vinogradovによると、NASAは強力なウイルス対策ソフトウェアを使用しています。
様々な人が異なるサイトを訪問します。宇宙にいる間、Scott Kellyは、地球にいるときに彼が普段閲覧するTwitterやInstagram、銀行口座の確認、ビデオの視聴をしていました。
トロイの木馬は電子メールでシステムに侵入することもできますがスクリーンショットは機能しません。そのため、特別なルーチンが適用されているのです。
メールはNASAのメールアドレスに送られます。彼らはファイアウォールを通過し、強力なアンチウィルスソフトウェアはマルウェアのメッセージをスキャンします。
08.08 Dr.Web Control Serviceをアップデート
2017年8月8日
株式会社Doctor Web Pacific
特に、Dr.Web Enterprise Security Suite および Dr.Web AV-Deskに含まれるDr.Web Control Serviceでは、ネットワークインタフェースを変更する際のDr.Web Control Serviceの挙動が改善されました。また、サーバーに接続する際、インストールされている全てのコンポーネントの設定がAgentにリクエストされるよう、必要な変更が加えられました。
アップデートは自動的に行われます。
07.08 プライム・ストラテジーが世界4拠点にてDr.Web on SaaSを標準採用
2017年8月7日
株式会社Doctor Web Pacific
弊社は世界最高速クラスで高いセキュリティを実現できるWordPress実行環境「KUSANAGI」を無料で公開してから業績が大きく伸びました。WordPressは世界のWebサーバの4台に1台が稼働しており、CMS (Contents Management System) の中では80%以上のシェアを持つ非常に普及しているWebソリューションです。WordPressはデザイン性の高さや、管理の容易さなどが評価され、高いシェアを持ちましたが、一方で表示速度とセキュリティに課題がありました。もともと弊社は国内でトップクラスのWordPressの技術力と実績がありましたので、そのノウハウを活かしてWordPressの課題であった表示スピードとセキュリティを解決する「KUSANAGI」をOSS (オープン・ソース・ソフトウェア) として公開しました。これがとても評価され、公開から2年で1万サーバに導入されるまでに至りました。また最近では、KUSANAGIやWordPressを保守するKUSANAGI公式サポートサービスやKUSANAGIフルマネージドサービスの導入が進み、現在、60サイト強の事例を公開しています。 (2017年7月現在)
※KUSANAGI:https://kusanagi.tokyo/
これにより、お取引のある金融機関から上場のお話を頂くようになり、現在、内部統制を強化しております。そのような時に提案いただいたのがDr.Web on SaaSになります。Dr.Web on SaaSは従来のアンチウイルスソフトの欠点を補うソリューションとしてプライム・ストラテジー全グループである、日本、インドネシア、シンガポール、米国拠点に標準導入することにいたしました。
| ◆会社概要 | |||
| 社名 | プライム・ストラテジー株式会社 | ||
| 代表者 | 代表取締役 中村けん牛 | ||
| 設立 | 2002年12月 | ||
| 資本金 | 4千万円 | ||
| 所在地 | 東京都千代田区大手町1-5-1 大手町ファーストスクエア イーストタワー18F | ||
| 子会社 |
|
||
| 事業内容 | 世界最高速WprdPress実行環境「KUSANAGI」に関連した以下の事業。
|
||
| URL | https://www.prime-strategy.co.jp/ | ||
Q:従来のアンチウイルスソフトと比べてDr.Web on SaaSはいかがでしょうか?
Dr.Webは従来使用していたアンチウイルスソフトと比べると、動作スピードなどストレスがない印象です。他のウイルスソフトを試したこともあるのですが、採用すると確実に遅くなる印象がありますし、良くクラッシュしていたように思えます。
また、Dr.Web on SaaSは以前使用していたアンチウイルスソフトですと、WannaCryなどのランサムウェアを検知できませんでした。ランサムウェアに強いDr.Web on SaaSを社内で推奨するようにしています。
Q:Dr.Web on SaaSの採用メリットについてお教えください。
前述と重複する部分もありますが、管理面も評価しています。内部統制を強化する一方で社員数も増えてきており、全員に対してセキュリティ対策を強化するのが難しくなってきました。Dr.Web on SaaSは全社員のセキュリティ対策を集中管理できるため、その点を評価しています。その他、他のアンチウイルスソフトより、「軽い」「検知率が高い」「クラッシュしない」という採用メリットは前述の通りになります。
Dr.Web on SaaSを導入してから問題らしい問題も起こっていなく、引き続き標準アンチウイルスとして使い続けていきたいと考えています。
※Dr.Web on SaaSについて
ディーアイエスソリューションが提供するDr.Web on SaaSは月額1ID200円の圧倒的な低価格でアンチウイルスを利用できるクラウドサービスです。
主な特徴は以下の通りです。
- Android向けのウイルス対策を無料で利用可能
- 管理サーバ不要、複数OSの一元管理が可能
- ControlCenterという管理ツールから一元管理が可能です。
詳細は以下をご覧ください。
2017年8月2日
株式会社Doctor Web Pacific
今回のDr.Web Firewall および Dr.Web Firewall Driverのアップデートにより、ネットワークアプリケーションのルールテーブルに同じ内容が重複して登録される問題が解決されたほか、各モジュールの動作の安定性向上が図られました。
アップデートは自動的に行われますが、Dr.Web Firewallがインストールされている場合には、システムの再起動が必要です。
02.08 Doctor Web、RU-CENTERを装った詐欺メールについて警告
2017年8月2日
株式会社Doctor Web Pacific
詐欺メールの配信には、RU-CENTERに登録されたドメイン管理者の連絡先データベースが使用されているものとみられます。サイバー犯罪者は、ドメイン管理者に対してICANNの規則に変更があったと告げ、特定のコンテンツを含んだPHPファイルをルートディレクトリ内に作成するよう提案します。このファイルを作成することによって、ドメインを使用する権限が確定されると考えられます。メールはRU-CENTERからのものを装い、そのロゴを含んでいます。
ルートディレクトリに保存するよう指示されたファイルには、変数で指定された任意のコードを実行するコマンドが含まれています。このコードは、GETまたはPOSTリクエストとしてサーバー上のスクリプトに送信されます。サイバー犯罪者の要求を実行することで、Webサイトを感染させてしまうことになります。このようなメールを受け取った場合は、無視するようにしてください。メールの差出人が本物のドメイン名レジストリであると考えられる場合は、同社のテクニカルサポートサービスまで問い合わせ、情報を確認することが推奨されます。
02.08 コラム : ZIP爆弾とは? その手口と仕組みを解説
2017年8月2日
株式会社Doctor Web Pacific
アンチウイルスはとりわけ汎用的な圧縮解凍プログラムです。ウイルスやトロイの木馬を検出するために、ファイルを解析し、アーカイブされた内容を抽出します。
そして問題が現れるかもしれないところはここにあります。たとえば、圧縮ファイルには、ディスク上で使用可能な容量よりも多くの領域が必要な場合があります。ゼロだけを含むファイルを取り出し、圧縮した結果、アーカイブヘッダーと繰り返しゼロからなる小さなファイルになります。では、どのようにしてディスク上の任意の容量を超えるファイルを作成できるのでしょうか? 一般的なアーカイブ形式を使用してアーカイブを自動的に作成するため、これを行う必要はありません。
PC用のマルウェアには、zip-bombsと呼ばれるプログラムがあります。これらは、ファイルを展開するとサイズが多様化するファイルを含むzipアーカイブです。たとえば、最も悪名高いZIP爆弾「42.zip」のサイズは42 KBですが、5つのネストレベルのファイルがあり、レベルごとに16ファイルあります。 最後のレベルの各ファイルのサイズは4.3 GBで、アンパックされたアーカイブ全体は4.5ペタバイトを占めます。
ZIP爆弾は電子メールで送信するために大昔に発明されましたが、アンチウイルスを中和する手段として人気がありました。
そのようなアーカイブを解凍しようとしている間、受信ノードは、解凍が完了する前にボリュームごとのファイルシステムエントリ制限 (FAT-16) に達するか、または空き領域がなくなる可能性がありました。 また、クリエイティブなテーマやテキストでメッセージに添付されるzipアーカイブにもメール爆弾がありました。 そのため、アーカイブプログラム (pkunzip.exe) によってマシンがクラッシュやフリーズが起こります。多くのノードが夜間に自動的に作動していたため、メール爆弾は拒否され、ノードの所有者には翌日にメールの一部が残されます。
アンチウイルス圧縮解答モジュールでのデータ処理エラーの影響はどういったものでしょうか? 次の例を使用して説明します。
ネストレベルの数は重要な問題の1つです。通常、最大値は3です。10のネスティングレベルはまれですが、技術的には数に制限はありません。原則として、解凍プログラムは再帰的に動作します。別のネストレベルに出会うたびに、現在の環境のデータが保存され、プログラムが再起動します。 保存された情報のサイズは通常、小さな容量になりますが、レベル数が無限に近づくと (この種のアーカイブは手作業で、好ましくはエラーで抽出され、無限に抽出される) 、スタック (一時データを格納するために割り当てられたプログラムのメモリ領域) が満杯になり、プログラムの試行スタック境界外にデータを格納します。これにより、アプリケーションがクラッシュしたり、悪質なコードが実行されたりする可能性があります。
影響を受けるバージョン :Clam AntiVirus 0.88.3以下
説明 :
この脆弱性により、リモートアクタは、サービス拒否を引き起こしたり、ターゲットシステムで任意のコードを実行したりすることができます。 これは、ライブラリlibclamav / upx.cの "pefromupx () "関数の境界チェックルーチンにエラーがあるため可能です。このライブラリは、UPXで圧縮されたPE実行ファイルを抽出するために使用されます。 リモートからの攻撃者は、バッファオーバーフローを引き起こし、ターゲットシステムで任意のコードを実行する可能性があります。
残念なことに、爆弾を使用して、アンチウイルスの動作を混乱させる以上のことをすることができます。 たとえば、このイメージを表示させます。
spark.png.bz2 ( 420バイト )
420バイトのアーカイブには、6,132,534バイト (5.8MB) を占めるPNGファイルと、225,000~225,000ピクセル (50,625ギガピクセル) の解像度を持つ画像が含まれています。ピクセルあたり3バイトを割り当てるピクセルバッファでは、イメージは約141.4GBを占有します。
01.08 コラム : トラッキング画像とJavaScriptを活用した情報漏えいの危険
2017年8月1日
株式会社Doctor Web Pacific
この画像にある赤い十字は、画像が何らかの事情で表示されなかった場合に表示される1ピクセルのイメージ画像ですが、こういった1ピクセルの画像は様々なシーンで使われています。
レスポンシブウェブデザインでは、ページがロードされている間、この類の画像がブラウザに一時的に表示されます。ほとんどのブラウザはHTTPクライアントヒントをサポートしていません。そのため、JavaScriptを使用して、適切なサイズの画像が完全に表示されるまでの間、1ピクセルの画像に置き換えて表示させることがあります。
また、1ピクセルの画像をデフォルト画像として使用することもできます。何らかの理由で必要な画像が見つからない場合は、404メッセージを表示させるよりも、別の画像を表示させるほうがよい場合があります。ユーザーは本来見れたはずの画像を見ることは決してできませんが、画像が破損していることなどを示す画像アイコンを置き、その事実を強調しない方がビジネス上ふさわしいようです。
さて、こういったピクセルサイズの画像は、トラッキングピクセルと呼ばれるウェブビーコンとして使用されることがあります。たとえば、画像をダウンロードしたことにより、メッセージが開かれた時期とIPアドレスと画像を要求したホストの名前を知ることができます。メールマーケティングの効果を計測するためにマーケティング担当者が使うこともありますが、スパム業者や詐欺などの犯罪に使用されることもある手法です。
この手法を利用すると、特定の電子メールアドレスが使用されているかどうかを判断できるため、スパマーにとっては有益な情報になります。さらに追跡することで、ターゲットが使用しているOSを特定し、Cookieファイルと受信者のメールクライアントに関する情報を取得するなど、より多くのことを知ることができます。
これを読んでいる方は、どんなJavaScriptが関係しているのかと疑問に思われたと思います。画像の要素には、画像だけでなく、システム情報を収集することを目的としたJavaScriptコードも組み込むことができます。例えば、画像を適切なサイズに拡大縮小できるように画面サイズを知らせることを要求することができるものがあります。不正行為者がJavaScriptを使用することができるなら、その情報だけではなく、彼らが必要な情報を収集したり、ファイルをアップロードしたり、厄介なことをすることもできます。
画像の要素も隠すことができます。 実際、そういった画像はちょうど1ピクセルの大きさにされている可能性があります。彼らは透明にすることも、背景色にすることもできます。あなたは分析されていても、手がかりがないので気づけません。
トラッキング用の画像はウェブサイトでよく見ます。そして、その機能のいくつかは本当にユニークであるように見えます。
サイトAが、サイトXからユーザーデータを収集する特定のイメージ (おそらくサイズが1ピクセルで透明) を表示しているとします。その後、ユーザーがサイトXと同じイメージを持つサイトBに行くと、ブラウザはイメージをダウンロードせず、そのキャッシュに保存されているコピーを使用します。したがって、サイトXはユーザーが以前にサイトAを訪問したことを認識します。そのため、キャッシュを無効にすればWebの匿名性が維持されます。
また、攻撃者がスクリプトを使用してサイトを侵害し、ホームページの画像を置き換え、サイトを危うくする危険性が常にあります。
今後このような危険を避けるために私たちは何をすべきでしょうか?
#JavaScript #cookies #monitoring #surveillance #security2017年7月31日
株式会社Doctor Web Pacific
ですが悲しいことに、このアプローチを遵守していないユーザーもいるため、ウェブ上にマルウェア作成者へのヒントが示されていることがあります。
NotPetya(別名Petya、Petya.A、ExPetr)の著者がSalsa20ルーチンの実装に間違いを起こしたことが判明しました。その結果、暗号化キーバイトの半分は未使用のままでした。 残念ながら、キーの長さを256バイトから128バイトに減らしても、すぐにクラックする可能性はありません。
ただし、Salsa20の特定の機能によって、実際のキーが分からなくてもデータを復元することができます。
この投稿はとても面白いものですが、この テキストには専門的な用語がたくさん含まれているので、広範囲に引用することはせず、この投稿の内、数点について考えてみることにします。
ここでは、マルウェア作成者が適切なインデックスの長さには不十分と思われるデータ型を使用する方法を検討します。
s20_crypt32()関数プロトタイプを見てみましょう。 この関数は、データを暗号化するために使用されます。
enum s20_status_t s20_crypt32(uint8_t *key,
uint8_t nonce[static 8],
uint32_t si,
uint8_t *buf,
uint32_t buflen) si引数(明らかにStream Index)は、ストリームバイトオフセットを定義するために使用されます。引数型で判断すると、64ビットではなく32ビットしか許されないことがわかります。この値は64ビットで割り算された後にキーストリームに渡されます。 したがって、26ビット以上は残っていません。
// Set the second-to-highest 4 bytes of n to the block number
s20_rev_littleendian(n+8, si / 64);ルーチンの実装におけるエラーは、同じパラメータを使用して異なるデータを暗号化できるようにします。
ブロック番号(オフセット0x20〜0x21)の26のうち16ビットのみがキーストリームに影響します。したがって、最大ガンマ期間は2 ^ 16 = 65536ブロック(64バイトまたは4メガバイト)になります。
それは些細な論理エラーです。
s20_crypt32()関数が呼び出されると、バイトオフセットの代わりに512バイトセクタの番号が送信されます。
暗号化パラメータを復元する方法は次のとおりです。
ランサムウェアは、1024バイトを超える各ファイルのデータを含む最初の2つのセクタを暗号化します。原則、クラスタは2つ以上のセクタを占有します(8など)。この場合、暗号化されていないファイルの開始点、1024バイトをスキップし、暗号化されていない後続の3キロバイトを取得できます。また、1024バイトのオフセットで同じ3キロバイトのファイルを保持すると、ファイルの先頭も一致する可能性が非常に高いです。結果、別の1024ガンマバイトを得ることになるでしょう。
残念なことに、ランサムウェアが管理権限を取得し、Salsa20ルーチンを使用してハードドライブ全体を暗号化する場合、使用される暗号化モジュールで間違いが起きました。 マルウェアがパーミッションの取得に失敗した場合は、AES暗号を使用してユーザーデータのみを暗号化します。 また、このルーチンを使用して侵害された情報を復元するには、RSA秘密鍵が必要となります。
#encryption_ransomware #Trojan #Trojan.Encoder2017年8月4日
株式会社Doctor Web Pacific
通常、盛夏の時期に大きなセキュリティイベントが起こることは多くありません。しかしながら、2017年の7月は異例の展開となりました。月の初め、Doctor Webのセキュリティリサーチャーによって、電子文書管理アプリケーションM.E.Docに含まれたバックドアが発見され、続けて製薬企業から医薬品の購入情報を盗む BackDoor.Dande の拡散元が特定されました。月末にはロシア連邦政府ポータル (gosuslugi.ru) が攻撃を受けていることが明らかになりました。そのほか、Androidを標的とした危険な悪意のあるプログラムが複数発見されています。
7月の主な傾向
- M.E.Docプログラム内でバックドアを発見
- Dandeバックドアの拡散元を特定
- ロシア連邦政府ポータルが攻撃を受ける
7月の脅威
M.E.Doc は Intellect Service 社によって開発された、ウクライナで広く使用されている電子文書管理アプリケーションです。Doctor Webのセキュリティリサーチャーは、 M.E.Doc のアップデートモジュールの1つ ZvitPublishedObjects.Server.MeCom に Windows システムレジストリキー "HKCU\SOFTWARE\WC" に対応するレコードが含まれていることを発見しました。
同じレジストリキーが Trojan.Encoder.12703 の動作にも使用されています。Doctor Webのカスタマーのコンピューターから取得したDr.Web Anti-virusのログを解析した結果、感染したシステム上で M.E.Doc のコンポーネントであるアプリケーション "ProgramData\Medoc\Medoc\ezvit.exe" によって Trojan.Encoder.12703 が起動されていました:
さらなる調査により、ライブラリの1つである ZvitPublishedObjects.dll には、以下の機能を実行するバックドアが含まれていることが明らかになりました:
- メールサーバーにアクセスするためのデータを収集する
- 感染したシステム上で任意のコマンドを実行する
- 感染したシステムに任意のファイルをダウンロードする
- あらゆる実行ファイルをダウンロード・保存・起動する
- 任意のファイルをリモートサーバーにアップロードする
また、M.E.Doc のアップデートモジュールは rundll32.exe ツールを使用してパラメータ#1でペイロードを実行することを可能にします。 Trojan.Encoder.12544 は、この方法によって被害者のコンピューター上で起動されていました。この脅威に関する詳細についてはこちらの記事をご覧ください。
統計
Dr.Web Anti-virusによる統計
- Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするトロイの木馬です。 - Trojan.BtcMine
感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬のファミリーです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。 - Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。 - Trojan.Encoder.6218
ファイルを暗号化し、復元するために身代金を要求する暗号化ランサムウェア型トロイの木馬ファミリーに属する悪意のあるプログラムです。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - EICAR Test File
アンチウイルスの動作をテストするための特殊なテキストファイルです。このファイルを検出したアンチウイルススキャナは、ウイルス検出時と全く同じ形で反応するようになっています。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD (Blue Screen of Death : ブルースクリーン) エラーを表示させるジョークプログラムです。 - Android.SmsSend.20784
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
暗号化ランサムウェア
2017年7月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの34.80%
- Trojan.Encoder.567 — リクエストの8.21%
- Trojan.Encoder.761 — リクエストの3.19%
- Trojan.Encoder.5342 — リクエストの3.04%
- Trojan.Encoder.11423 — リクエストの2.13%
- Trojan.Encoder.11432 — リクエストの1.98%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年7月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は327,295件となっています。
| 2017年6月 | 2017年7月 | 推移 |
|---|---|---|
| + 229,381 | + 327,295 | + 42.6% |
7月の半ば、ロシア連邦政府ポータル (gosuslugi.ru) 内に悪意のある可能性のあるコードが埋め込まれているということが、Doctor Webのスペシャリストによって発見されました。少なくとも15のドメインアドレスが未知の個人によって登録されており、そのうちの少なくとも5つがオランダの企業のものでした。悪意のあるコードが政府ポータル訪問者のブラウザをそれらの1つに密かに接続させます。ユーザーによって要求されたWebサイトのページが動的に生成される際、Webサイトコードに <iframe> コンテナが追加されます。これにより、あらゆる外部データをダウンロードしたり、ユーザーのブラウザからリクエストしたりすることが可能になります。Doctor Webのニュース記事掲載から数時間後に、 gosuslugi.ru のすべての脆弱性がサイトの管理者によって削除されました。
その他の情報セキュリティイベント
2011年、Doctor Webは製薬企業や薬局をスパイする BackDoor.Dande の発見について報告を行いました。その後、攻撃を受けた企業の1つから提供されたハードドライブについて調査を行ったセキュリティリサーチャーによって、 BackDoor.Dande は ePrica と呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されているということが明らかになりました。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは 「Spargo Tekhnologii」 のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名 「Spargo」 を持っていました。
その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントは ePrica の古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。トロイの木馬には、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。 ePrica を削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
7月の初め、Google Play上で入手可能な人気のゲームBlazBlueに組み込まれた Android.DownLoader.558.origin がDoctor Webのスペシャリストによって発見されました。この悪意のあるプログラムは未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があります。続けて、 Android.BankBot.211.origin と名付けられた危険なトロイの木馬が発見されました。このトロイの木馬は感染させたデバイスをコントロールし、銀行に関する情報のほか、パスワードを含むその他の機密情報を盗みます。7月の末には、サイバー犯罪者によって Android システムライブラリ内に埋め込まれ、モバイルデバイスの複数のモデルのファームウェアに組み込まれた Android.Triada.231 が発見されています。この悪意のあるプログラムは、実行されたすべてのプログラムのプロセス内に侵入し、トロイの木馬のモジュールを密かに起動させます。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Android デバイスの複数のモデルでファームウェアに組み込まれたトロイの木馬を検出
- Google Play上でダウンローダ型トロイの木馬を発見
- 感染させたデバイスをコントロールし、機密情報を盗む危険なバンキング型トロイの木馬の出現
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
2017年8月4日
株式会社Doctor Web Pacific
7月、Androidスマートフォンの複数のモデルにトロイの木馬がプリインストールされていることが、Doctor Webのセキュリティリサーチャーによって発見されました。サイバー犯罪者によってシステムライブラリ内に埋め込まれたこのトロイの木馬は、アプリケーションプロセス内に侵入し、追加のモジュールを密かにダウンロード・起動することができます。また、ダウンローダ型トロイの木馬の組み込まれたゲームがGoogle Play上で発見されたほか、感染したデバイスのコントロールを掌握して個人情報を盗む危険なバンキング型トロイの木馬についてアナリストによる調査が行われました。
7月の主な傾向
- Android デバイスの複数のモデルでファームウェアに組み込まれたトロイの木馬を検出。このトロイの木馬はアプリケーションプロセス内に侵入し、追加のモジュールを密かにダウンロード・起動します。
- Google Play上でダウンローダ型トロイの木馬を発見
- 危険なバンキング型トロイの木馬を発見
7月のモバイル脅威
7月、Doctor Webのセキュリティリサーチャーによって、Android モバイルデバイスのシステムライブラリ内に埋め込まれた Android.Triada.231 が発見されました。この悪意のあるプログラムはアプリケーションのプロセスに侵入し、追加のモジュールを密かにダウンロード・起動することができます。 Android.Triada.231 はAndroidデバイスの複数のモデルで同時に検出されています。
Android.Triada.231 の特徴:
- ソースコードレベルでシステムライブラリ内に侵入する
- 実行可能なすべてのアプリケーションのプロセスに侵入し、悪意のあるモジュールを埋め込む
- トロイの木馬をデバイスから削除するには、オリジナルのシステムイメージをインストールする必要がある
この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.DownLoader.337.origin
- Android.DownLoader.526.origin
- 別のアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.HiddenAds.85.origin
- Android.HiddenAds.68.origin
- Android.HiddenAds.83.origin
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Avazu.8.origin
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Batmobi.4
- Adware.Cootek.1.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不審なプログラムモジュールです。
GOOGLE PLAY上のトロイの木馬
7月、人気のゲームBlazBlueに組み込まれた Android.DownLoader.558.origin がDoctor Webのスペシャリストによって発見されました。この悪意のあるプログラムはソフトウェアのアップデートを最適化するために設計されたシステムモジュール内に含まれていました。
このトロイの木馬の危険な点は、未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるというところにあります。この脅威に関する詳細についてはこちらの記事をご覧ください。
バンキング型トロイの木馬
7月には、危険なバンキング型トロイの木馬 Android.BankBot.211.origin が検出されました。このトロイの木馬はAndroid のAccessibility Serviceへのアクセス権を取得しようと試み、感染させたデバイスをコントロールし、パスワードを含むあらゆるデータをキーボード入力から盗むことができます。また、起動されたバンキングプログラムや決済サービスソフトウェア、その他のアプリケーションの前面に機密データを入力させる偽の入力フォームを表示させます。この脅威に関する詳細についてはこちらの記事をご覧ください。
サイバー犯罪者は、依然としてAndroidモバイルデバイスのユーザーに対する攻撃の手を緩めていません。トロイの木馬の機能を継続的に向上させ、あらゆる方法で拡散しようと画策しています。Doctor Webでは、お使いのスマートフォンやタブレットを悪意のあるアプリケーションから保護するために、Dr.Web for Androidをインストールすることを推奨しています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億回以上のダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
28.07 コラム : ランサムウェアはシステムアップデートで防げる脆弱性?
2017年7月28日
株式会社Doctor Web Pacific
Trojan.Encoder.11432 (WannaCry)によって引き起こされた激変の後、外界と閉ざされた世界に住んでいる人だけがSMB v1の脆弱性について聞いたことがないように感じているかもしれません。そして、今ではパッチが適用されているか、プロトコルが無効な状態にされている必要があります。しかし、 Trojan.EternalRocks.1 と Trojan.Encoder.11536 (UIWIX) は、WannaCryの発生直後に、脆弱性の対策がされているはずであるにもかかわらず、コンピュータを壊滅させました。この状況はなぜ起こったのでしょうか?
ソフトウェアの更新を行わなかったために、旧式のまま使用できなくなったサービスがあると仮定しましょう。
SMB v1が無効になると、京セラのプリンタはスキャンした画像を共有にアップロードしなくなりました。
そして、私たちが使用していた視覚的なFoxProデータベースは1,000以上のユーザーが使用し、smb 2.0以上で動作していましたが、oplockを無効にしたことを含めた私たちの対応にかかわらず何らかの理由でファイルを破壊させました。だから、私たちはそれを無効にしませんでした。
こういった問題に対処するために、すべてのシステム管理者はいくつかのトリックを使用しなければなりませんでした。そして、それは時代遅れのプロトコルを使用して行っているだけなのですが、企業の経営陣は、まだ稼働している機器を買い替えるための予算を割り当てることはほとんどありません。その結果、古いシステムがそのまま使用されているのです。
#vulnerability #exploit #Trojan.Encoder #encryption_ransomware #corporate_security #security_updates
27.07 Dr.Web : Androidデバイスにプリインストールされたアプリケーションのプロセス を感染させ、悪意のあるモジュールをダウンロードするトロイの木馬
2017年7月27日
株式会社Doctor Web Pacific
Android.Triadaファミリーに属する他のトロイの木馬は悪意のある動作を実行するためにルート権限の取得を試みますが、 Android.Triada.231 はそれらトロイの木馬とは異なり、 libandroid_runtime.so システムライブラリ内に埋め込まれています。 Leagoo M5 Plus、 Leagoo M8、 Nomu S10、 Nomu S20を含む複数のモバイルデバイスで Android.Triada.231 の改変されたバージョンが発見されています。 libandroid_runtime.so はすべてのAndroidアプリケーションによって使用されるため、感染したシステム上で実行中のすべてのアプリケーションのメモリ内で悪意のあるコードが見つかります。
Android.Triada.231 はライブラリのソースコード内に埋め込まれています。このことから、トロイの木馬は感染したモバイルデバイスのファームウェア製造に関わっていた内部者や悪徳な提携企業によって拡散されたものと推測されます。
libandroid_runtime.so 内に埋め込まれていることから、 Android.Triada.231 はデバイス上のアプリケーションがシステムログに記録を行うたびにコントロールを掌握すると言うことができます。アプリケーション起動の前に Zygote が起動されるため、トロイの木馬の初回起動も Zygote によって実行されます。
初期化の後、この悪意のあるプログラムはいくつかのパラメータを設定し、作業ディレクトリを作成します。次に自身の実行環境を確認し、Dalvik環境であった場合はシステムメソッドの1つを横取りします。これにより、すべてのアプリケーションの起動を追跡し、それらの起動後直ちに悪意のある動作を開始することが可能になります。
Android.Triada.231 の主要な機能は、トロイの木馬の他のコンポーネントをダウンロードする悪意のある追加のモジュールを密かに起動させることです。そのために、 Android.Triada.231 は作成しておいた作業ディレクトリ内に特別なサブディレクトリがあるかどうかを確認します。サブディレクトリの名前には、プロセス内にトロイの木馬が侵入したアプリケーションの、ソフトウェアパッケージ名のMD5値が含まれています。そのようなサブディレクトリを見つけると、 Android.Triada.231 は次に、そこに含まれている 32.mmd または 64.mmd ファイル (それぞれ32ビット版および64ビット版OS) を探します。ファイルを見つけると、それを復号化して libcnfgp.so として保存し、システムメソッドの1つを使用してRAM内にロードします。続けて、復号化したファイルをデバイスから削除します。必要なオブジェクトが見つからなかった場合、 Android.Triada.231 は 36.jmd ファイルを探し、復号化して mms-core.jar として保存した後、クラスローダ DexClassLoader を使用して起動し、作成したコピーを削除します。
その結果として、 Android.Triada.231 はトロイの木馬の様々なモジュールをあらゆるアプリケーションのプロセスに侵入させ、それらの動作に影響を及ぼすことができます。例えば、ウイルス作成者は銀行のアプリケーションから機密情報を盗むためやサイバースパイモジュール用に、またはソーシャルメディアクライアントやメッセンジャーでのやり取りを横取りする目的で、悪意のあるプラグインをダウンロード・起動するトロイの木馬を作ることが可能です。
また、 Android.Triada.231 は libandroid_runtime.so からモジュール Android.Triada.194.origin を抽出することができます。 Android.Triada.194.origin は暗号化された形でライブラリ内に保存されています。その主な機能は、インターネットから悪意のある追加のコンポーネントをダウンロードし、それらのコンポーネントが相互に連携するようにすることです。
Android.Triada.231 はOSのライブラリの1つに埋め込まれ、システムセクション内に存在することから、標準的な方法では削除することができません。このトロイの木馬を削除する安全かつ確実な唯一の方法はクリーンな Android ファームウェアをインストールすることです。Doctor Webでは、この問題について、感染したスマートフォンの製造業者に対して報告を行いました。該当するデバイス向けにアップデートがリリースされると考えられます。ユーザーの皆様は、それらをすべてインストールするようにしてください。
2017年7月24日
株式会社Doctor Web Pacific
中でも特に、Scanning Engineに加えられた変更により、その安定性が向上しました。
Dr.Web Anti-rootkit APIがシステムモジュールの修復時に使用するルーチンが最適化されました。
Dr.Web for Windows、Dr.Web Enterprise Security Suite、Dr.Web AV-Deskでは、dwantispam.exeプロセスが再起動された後にプラグインがスパムをフィルタリングすることを妨げる可能性のあるDr.Web for Outlook Pluginの問題が解決されました。
また、Dr.Web Enterprise Security Suite 10.0および10.1では、Dr.WebがInfowatchソフトウェアと同時に使用されていた場合に、Preventive Protection(予防的保護)の誤検知を引き起こすエラーが修正されました。
アップデートは自動的に実行されますが、システムの再起動が必要です。
2017年7月24日
株式会社Doctor Web Pacific
当社は、2017年7月24日(月)より、東京都港区西新橋に移転いたしましたので、ご案内いたします。
| 住所 | 東京都港区西新橋1-14-10 西新橋スタービル 2F | ||
| TEL | 03-6550-8770 | ||
| FAX | 03-6550-8771 | ||
| ■アクセス | |||
| JR 新橋駅より徒歩5分 | |||
| 都営三田線 内幸町駅より徒歩2分 | |||
| 東京メトロ銀座線 虎ノ門駅徒歩より6分 | |||
24.07 Doctor Web:薬局向けソフトウェアePricaのインストーラに含まれて拡散され、 医薬品の購入に関する情報を盗むトロイの木馬BackDoor.Dande
2017年7月24日
株式会社Doctor Web Pacific
BackDoor.Dande による薬局や製薬企業に対する攻撃についてDoctor Webが最初に報告を行ったのは2011年のことでした。このバックドアは電子発注システムのユーザーから医薬品の購入に関する情報を盗んでいました。攻撃対象となったプログラムが製薬業界で使用されていたものであったことから、悪意のあるプログラムによる被害もまた同業界内に限られたものとなりました。以降、Doctor Webのスペシャリストは数年にわたってこのバックドアとその感染手法について調査を続けてきました。
最近の調査結果から、 BackDoor.Dande はePricaと呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されていることが明らかになっています。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは「Spargo Tekhnologii」のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名「Spargo」を持っていました。
その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントはePricaの古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。すなわち、ePrica開発元のセキュリティシステムが著しく損なわれているという可能性が示唆されています。ePricaは、プライベートキーによって暗号化された動的リンクライブラリ(DLL)であるプラグインNLBとEMDを持っており、それらには、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。
これらのプラグインを実行させるのがrunmod.exeモジュールです。このモジュールはサーバーから受け取ったコマンドに応じてプラグインを復号化し、メモリ内で起動させます。その後、データベースからの情報をコピーし、それらをリモートサーバーに送信します。アプリケーションのコンポーネントは、ePricaの開発元である「Spargo Tekhnologii」の含まれている企業グループ「Protek」の署名を持っています。
ePricaを削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。ePricaがアンインストールされたシステム上に未だ BackDoor.Dande が存在している可能性があるのです。
トロイの木馬のモジュールが含まれているePricaバージョン4.0.14.6のインストーラは2013年11月18日にリリースされていますが、バックドアのファイルの一部は2010年のものとなっています。このことから、薬局や製薬企業での購入に関する情報のコピーは、バックドアが初めて発見される少なくとも1年前から行われていた可能性があると考えられます。
BackDoor.Dande を含んだePricaのインストーラに関するさらなる詳細については、Doctor Webのウイルスライブラリ(英語)をご確認ください。
2017年7月20日
株式会社Doctor Web Pacific
浅はかに見えるかもしれないが、私はこの質問を抱いた。私はかなり長い間これを質問したかったが、このトピックに関する議論は出てきそうになかった。たぶんこれは私が自分自身で発見したことだが、感染を避けるために、私は受信箱にある怪しいメールやショートメッセージを決して開かない(代わりに、開かなくても読める件名とメッセージの冒頭部分だけをチェックする)。メッセージへ返信したり、メールの配信解除を試みたり、リンクや添付ファイルを開いたり、そのような愚かな行動をしないのはもちろんのこと、それらのメールやメッセージは開きもせずに削除するだけである。私の質問:これらの愚かな行動を何もしなければ、電子メールやショートメッセージを開いただけで問題が発生する可能性はあるのだろうか?メールやショートメッセージをただ開くだけでは何も起こらないと思うのだが、どんなことでも起こる可能性はあるかもしれない。
集団的意識の効力は素晴らしいですね。このユーザーが話していた脅威は確かに存在します。より正確に言えば、この質問が投げられた時点では存在していました。古き良き時代の大量メール送信ウイルスを覚えている人は、電子メールを開かなくてもメールソフトでウイルスメールを受信するだけで被害を受ける可能性があることを知っていると思います。そのためにDr.WebにはHTTPモニターのSpIDer Gate™とメールモニターのSpIDer Mailがあり、これに保護されたシステムではメールソフトによってウイルスが処理されるより前に、メールの通信がスキャンされるようになっています。
我々はこの種のウイルスが消滅し、過去の話として扱われるようになると考えていました。しかしこの数日後...
この脆弱性はMicrosoft Wordで検出された。サイバー犯罪者たちは、WordファイルでWordアプリケーションに攻撃する方法を開拓したのである。このファイルを開くと、doc.docという別のファイルが読み込まれる。doc.docにはDr.Webが PowerShell.DownLoader.72 として検出したHTAスクリプトが埋め込まれている。Windows Script構文を使って記述されたこのHTAスクリプトは、PowerShellというコマンドインタープリタを呼び出す。PowerShellは別の悪質なスクリプトを加工して、攻撃先のコンピュータに実行可能ファイルをダウンロードさせるのだ。
現在、サイバー犯罪者はこのメカニズムを使用して被害者のコンピュータに Trojan.DownLoader24.49614 をインストールしている。このトロイの木馬は、感染したマシン上で別の悪質なソフトウェアをダウンロードして実行する。
つまり、マシンを感染させるには文書を開こうとするだけで十分で、コンテンツが表示されたときにはすでにシステムが侵害されている可能性があるのです。
#vulnerability #exploit #email
19.07 Doctor Web:危険なAndroid向けバンキング型トロイの木馬が モバイルデバイスのコントロールを掌握
2017年7月18日
株式会社Doctor Web Pacific
Android.BankBot.211.origin は、Adobe Flash Playerなどの無害なプログラムを装って拡散されています。ユーザーによってインストール・起動されると、Accessibility Serviceへのアクセス権を取得しようと試みます。その際、 Android.BankBot.211.origin はアクセス許可を要求するウィンドウを表示させますが、このウィンドウは閉じようとする度に何度も開き、デバイスの使用を妨げます。
Accessibility ServiceはAndroidスマートフォンやタブレットの使用を簡易化するためのもので、障害を持つ人々でも使いやすいようにするなど、様々な方法で使用されます。このサービスによって、プログラムは様々なインターフェースエレメントを自動的にクリックすることができるようになります (ダイアログボックスやシステムメニュー内のボタンなど) 。 Android.BankBot.211.origin はこれらの権限をユーザーに要求し、取得に成功すると自身を自動的にデバイス管理者リストに加えます。次に、自身をデフォルトのメッセージマネージャーとして設定し、画面キャプチャ機能へのアクセスを取得します。これら全てのアクションでシステム要求が表示されますが、トロイの木馬によって直ちに確定されるため、多くの場合ユーザーは見落としてしまいます。後の段階で、ユーザーが Android.BankBot.211.origin の取得したいずれかの機能を無効にしようと試みた場合、トロイの木馬はそれを拒否し、ユーザーをシステムメニューに戻します。
デバイスを感染させた後、トロイの木馬はC&Cサーバーに接続し、そこにモバイルデバイスを登録してコマンドを待ちます。 Android.BankBot.211.origin は以下のアクションを実行することができます:
- コマンドで指定された番号に対し、特定のテキストを含むSMSを送信する
- デバイスメモリ内に保存されているSMSデータをサーバーに送信する
- インストールされているアプリケーション、連絡先リスト、通話データに関する情報をサーバーに送信する
- コマンドで指定されたリンクを開く
- C&Cサーバーのアドレスを変更する
また、このトロイの木馬は送受信するすべてのSMSをトラッキングし、それらをサイバー犯罪者に送信します。
標準的なコマンドに加え、サイバー犯罪者はトロイの木馬に特別な指示を送信することができます。それらには Android.BankBot.211.origin が攻撃するアプリケーションに関する暗号化された情報が含まれています。そのようなコマンドを受け取った Android.BankBot.211.origin は以下の動作を実行することができます:
- 起動されたバンキングプログラムの前面に偽のログイン入力フォームを表示させる
- クレジットカード情報を入力するようユーザーを促すフィッシングダイアログを表示させる (Google Playで何かを購入した場合など)
- アンチウイルスや、トロイの木馬の動作を邪魔するその他のアプリケーションの動作をブロックする
Android.BankBot.211.origin は、あらゆるアプリケーションのユーザーを攻撃することができます。サイバー犯罪者は攻撃対象となるプログラムのリストを設定ファイル内で変更するだけです。 Android.BankBot.211.origin はC&Cサーバーに接続すると直ちにこのリストを受け取ります。 Android.BankBot.211.origin が発見された当初、攻撃の対象とされていたのはトルコの銀行の利用者のみでした。しかしながら、その範囲は後に、ドイツ、オーストラリア、ポーランド、フランス、英国、米国を含む国々へと拡大しています。本記事掲載時点で、このトロイの木馬による攻撃を受けたプログラムには、決済システム、リモート・バンキング・サービス (RBS) 、およびその他のソフトウェアと連動するよう設計された50を超えるアプリケーションが含まれています。
以下は Android.BankBot.211.origin によって表示される偽のウィンドウの例です:
このトロイの木馬は、起動されたすべてのアプリケーションと、それらを使用するユーザーの操作に関する情報も収集します。例えば、メニューエレメントなどの入力可能なテキストフィールドをモニタリングし、ボタンやユーザーインターフェースのその他のコンポーネントのクリックを記録します。
さらに、 Android.BankBot.211.origin はユーザーがあらゆるプログラム内で、またはあらゆるWebサイト上で入力したログイン認証やその他の認証情報を盗む機能を備えています。パスワードを盗むために、 Android.BankBot.211.origin は全てのキーストロークのスクリーンショットを撮り、必要な文字列を取得した後、それらを隠します。表示されたフィールド内に入力された情報と保存されたすべてのスクリーンショットは、C&Cサーバーに送信されます。
Android.BankBot.211.origin はユーザーによる削除を阻むことから、感染してしまった場合は以下の操作を行う必要があります:
- 感染したスマートフォンまたはタブレットをセーフモードで起動する
- システム設定にログインし、デバイス管理者リストを開く
- リスト内でトロイの木馬を探し、該当する権限を無効にする (その際、トロイの木馬は重要なデータがすべて失われる旨の警告を出すことでユーザーを脅しますが、これらはただのトリックで、ファイルは安全です)
- デバイスを再起動させてアンチウイルスによるフルスキャンを実行し、スキャン完了後にトロイの木馬を削除する
Android.BankBot.211.origin のすべての既知のバージョンはDr.Web Anti-virus によって検出されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
2017年7月19日
株式会社Doctor Web Pacific
「ウイルス対策ソフトやファイアウォールはどちらもマルウェアを検出できず、ブロックもできない。そのためマルウェアは感染したホストにあるデータを自由に収集できてしまう。」
悲しいことにこの文章はITプロフェッショナルを対象としていたものであり、この意見が正確ではないと指摘できた人はいませんでした。 どこが間違っているのかを見ていきましょう。
最近、Anti-virus Timesの読者は、攻撃者がIntel AMT(Intel Active Management Technology)をどのように悪用できるかについて議論しました( https://www.drweb.com/pravda/issue/?number=237&lng=enを参照 )。我々は同様の問題について、Intelの技術は犯罪者にとって大きな可能性を秘めてはいるものの、脆弱性があるにもかかわらず、Intel AMTは未だに悪用されていないと指摘しました。
1~2ヶ月後:
ハッカーは感染したPC間でIntel AMTを利用してメッセージを転送している。
MicrosoftはIntel AMTが攻撃者によって悪用される可能性があることをユーザーに警告した。
Intel AMTは攻撃者によって悪用される可能性があるのでしょうか?
Intelマネジメントエンジン (ME) はIntelシリアルオーバーLAN (またはAMT SOL) を搭載しています。 Intel MEはIntelチップセットの一部であり、CPU、オペレーティング・システム、インストール済みのセキュリティ・ソフトウェア (ウイルス対策ソフトウェアを含む) とは独立して、内蔵プロセッサ上で独自のオペレーティング・システムを稼働します。 ウイルス対策ソフトはドライバと同時にファイルで実行されますが、Intel MEはハードウェアレベルで動作します。 さらに、Intel MEはコンピュータ (およびCPU) がシャットダウンされても管理者や攻撃者が使用することができますが、PCはネットワークを介してアクセス可能な状態のまま残ってしまいます。
内蔵のIntel MEプロセッサは、リモートにあるパワー・サイクリングやキーボード、ビデオ、マウス制御 (KVM) など、アウトオブバンド (OOB) 方式のリモート管理機能を提供する。
SOLはホスト上で接続が利用できない場合でも、ローカルネットワーク上の通信を手助けすることができる。
マルウェア自体に関する意見:
マイクロソフトによれば、SOLを使用するマルウェアは、南アジアや東南アジア地域で数年間活発に活動してきたPlatinumグループの仕業だとのことだ。そのサイバー・スパイグループは2009年に注目を集めて以来、多数の攻撃を行ってきた。昨年Platinumは、システムを再起動しなくとも更新プログラムを適用できるMicrosoftのホットパッチを悪用して、標的のホストにマルウェアをインストールしたと言われている。
まとめに入りましょう。普通のオペレーティング・システムにインストールできるマルウェアはありますが、それは特定のプロトコルを使用してネットワーク経由で通信しなくてはなりません。
確かにウイルス対策ソフトはAMT SOLプロトコルの解析や分析を行いません。 しかし、プロトコルはシステムを感染させるために使用されないため、その部分の解析や分析は必須ではありません。プロトコルは過去にインストールされたマルウェアとの通信を支援するためだけに使用されます。 つまり、この脅威を排除する方法は、コンピュータにマルウェアがインストールされないようにすることだけです。 つまりユーザーのアクセス権を制限し、ウイルス対策ソフトをインストールするだけです。
最後にもう一つ。
侵入者が攻撃を実行するためには、まずは管理者にアカウント情報を漏らさせる必要がある。
2017年7月18日
株式会社Doctor Web Pacific
中でも特に、Dr.Web Serverとのやり取りにおける更新モジュールルーチンが最適化されました。
Windows Server 2008 SP2を搭載するコンピューター上での起動時にAgentの異常終了を引き起こすエラーが修正されました。そのほか、Dr.Web Enterprise Security Suite 10.0および10.1では、Agentを管理者モードに切り替えた際に異常終了を引き起こすエラーも修正されています。
ES-Agentがインストールされているシステム上でコンピューターセキュリティ製品のアップデートを妨げてしまう Lua-script for av-service の問題が解決されました。
アップデートは自動的にダウンロード・インストールされます。
14.07 他人を騙す方がネットワークへ侵入するよりも容易である件
2017年7月14日
株式会社Doctor Web Pacific
どのような規模の企業でも攻撃者に狙われる可能性があります。大企業が狙われた場合は巨額の資金を失うかもしれませんし、中小企業はランサムウェア攻撃の被害に対処するための高価な暗号解読ツールによって破産するかもしれません。
攻撃者はネットワークに侵入しなくとも標的である企業を巧みに攻撃することができます。ネットワークに侵入する代わりに従業員に関する情報を収集し、彼らのコミュニケーション・ツールを突き止め、漏洩したパスワードを使用するなどして従業員になりすまし、周りの従業員と信頼関係を確立するのです。そして彼らと通信しながら必要な情報を拾い集め、屋外で面会する時間を設定したり、マルウェアのリンクを送信したり、送金を依頼したりします。
FBIが記録しているメールボックスへの侵入に関する詐欺事件は2013年以降約18,000件に登り、被害総額は23億ドルにもなっています。昨年は同様の事件に関する苦情件数が3倍にもなりました。
FBIはマネー・ローンダリング目的で電子メールに侵入するシナリオを主に3つ挙げています。1つ目は、会社役員のメールボックスに侵入し従業員に電子メールで送金を依頼する方法。2つ目は従業員のメールボックスに侵入して偽の請求書を提出する方法。3つ目は取引経験のある業者のふりをして偽の口座への送金を別の会社に請求する方法です。これらの書類やメールの文章、そして金額は疑われないように巧みに作成されています。
この中で一番の方法は会社役員になりすますことです。役員のメールアカウントは一般社員のメールアカウントに侵入するよりも難しいかもしれませんが、この方法が成功すればより早く結果を出すことができます。FBIは過去3年間にCEO詐欺で23億ドル以上を失ったと警告しています。2015年1月から2016年4月までこの種の不正行為は270%拡大し、少なくとも世界で79カ国に影響を与えています。例えばMattelは300万ドルを、Scoular Coは1700万ドルを、Ubiquitiは4,600万ドル以上を詐欺で失いました。
http://krebsonsecurity.com/2016/04/fbi-2-3-billion-lost-to-ceo-email-scams/
13.07 Doctor Web:ロシア連邦政府ポータル(gosuslugi.ru)が攻撃を受ける ― 今後訪問者を感染させ、情報を盗み取る可能性あり
2017年7月13日
株式会社Doctor Web Pacific
攻撃が発生した日付や、攻撃ベクターのこれまでの活動については現時点で特定することができません。少なくとも15のドメインアドレスが未知の個人によって登録されており、悪意のあるコードが政府ポータル訪問者のブラウザをそれらの1つに密かに接続させます。これらのドメインは、クレジットカード情報を入力させる偽の入力フォームから、訪問者のコンピューターへのアクセス取得を目的とした脆弱性に対するブルートフォース攻撃まであらゆるドキュメントを応答として返します。
ユーザーによって要求されたWebサイトのページが動的に生成される際、Webサイトコードに <iframe> コンテナが追加されます。これにより、あらゆる外部データをダウンロードしたり、ユーザーのブラウザからリクエストしたりすることが可能になります。現時点で、セキュリティリサーチャーは少なくとも15のドメインを確認しています。それらの中には m3oxem1nip48.ru や m81jmqmn.ru のほか、故意に意味をなさないようにした名前が含まれています。そのうちの少なくとも5つは、オランダで登録されている企業のアドレス範囲に属するものです。これらのドメイン所有者に対するリクエストは、これらWebサイトの多くでセキュリティ証明書の有効期限が切れているために不成功に終わるか、またはその応答に悪意のあるコードを含んでいませんでした。しかしながら、ドメイン所有者がいつ証明書を更新し、ドメイン上に悪意のあるコードを置いたとしてもおかしくはありません。
現時点で、gosuslugi.ruは未だ感染した状態となっています。Webサイトのテクニカルサポートサービスに対して情報が送られましたが、調査を開始したという報告や再発防止のための措置を講じたという報告は未だありません。ユーザーの皆様は、問題が解決するまでロシア連邦政府ポータルの使用に十分気を付けるようにしてください。また、gosuslugi.ruの管理者および関係当局には、Webサイトのセキュリティチェックを行っていただきますようお願い申し上げます。
ユーザーの方は、検索ツールを使用してご自身でコードの有無をチェックすることが可能です。以下のリクエストを作成してください:
site:gosuslugi.ru "A1996667054"
最新情報:悪意のある可能性のあるコードは、本記事掲載(ロシア語版)の約3時間後にgosuslugi.ruから削除されました。
