タグ別アーカイブ: Symantec

Covert Redirect は OAuth の欠陥であり第二の Heartbleed ではない | Symantec Connect コミュニティ

Covert Redirect は注意すべきセキュリティ上の欠陥ですが、Heartbleed と同レベルというわけではありません。アクセスを許可するアプリケーションは慎重に判断すべきであり、Covert Redirect はそのことを再認識する格好のきっかけとなりました。

パッチの公開は期待できません。それぞれの実装を保護して Covert Redirect の欠陥に効果的に対処するかどうかはサービスプロバイダ次第です。

引用元: Covert Redirect は OAuth の欠陥であり第二の Heartbleed ではない | Symantec Connect コミュニティ.

クリープウェア: 誰かに見られているかもしれない | Symantec Connect コミュニティ

クリープウェアとは

RAT とは、リモートからコンピュータを制御できるソフトウェアを総称するときによく使われる頭字語です。次のいずれの用語を表すときにも使われます。

リモートアクセス/管理ツール(Remote Access/Administration Tool)

リモートアクセス型/管理型のトロイの木馬(Remote Access/Administration Trojan)

「リモートアクセス型のトロイの木馬」は、ユーザーの知らないうちにインストールされて悪質な目的に利用されるという点で「リモートアクセスツール」とは異なります。リモートアクセスツールには多くの種類があり、テクニカルサポートや、旅行先から自宅または職場のコンピュータへの接続といった正規の用途で利用されています。ところが、リモートアクセスツールが備えている便利な機能そのものが、皮肉なことに悪質な行為にも利用できるため、そのような機能を想定した大量のマルウェアが設計されることになってしまいました。そうしたプログラムを「リモートアクセス型のトロイの木馬」と呼びます。攻撃者は、トロイの木馬がインストールされたコンピュータをほぼ完全に制御できるようになります。トロイの木馬の存在はなかなか気付かれることがなく、実際にコンピュータの前に座っているのとほとんど同じ操作が可能なので、Web カメラで映像を録画するのも簡単です。このように悪質で「いつの間にか忍び寄る」性質の活動が最近の事件で注目を集めたことから、リモートアクセス型のトロイの木馬を指して「クリープウェア」という名前が使われ始めました。

クリープウェアはクライアントサーバーモデルを採用していますが、クライアントサーバーシステムの設定を論じるときに想定する通常のモデルとは大きく異なっています。クリープウェアはこのプロセスを反転して、被害者のコンピュータをサーバーに、攻撃者のコンピュータをクライアントにします。被害者のコンピュータがクリープウェアに感染すると、攻撃者はそのコンピュータに要求を送ってファイルを取得したり、その他のさまざまな悪質な行為を実行したりできるようになります。

引用元: クリープウェア: 誰かに見られているかもしれない | Symantec Connect コミュニティ.

クリープウェア: 誰かに見られているかもしれない | Symantec Connect コミュニティ

クリープウェアを使って、被害者のコンピュータ画面に「Web カメラの内部センサーのクリーニングが必要」だという警告メッセージを表示させる手口も大きく報道されました。この事件の場合、被害者は、Web カメラの内部センサーをクリーニングするにはコンピュータに蒸気を当てる必要があると指示され、何人かの女性はコンピュータを浴室に持ち込んだため、シャワーを浴びている映像を盗撮されてしまいました。

引用元: クリープウェア: 誰かに見られているかもしれない | Symantec Connect コミュニティ.

ATM から大金を盗み出す犯罪者 | Symantec Connect コミュニティ

あなたの身近なところで ATM から現金が引き抜かれているかも…

今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではありません。実際に、もしかしたら皆さんの身近な ATM で起きているかもしれない現実なのです。

引用元: ATM から大金を盗み出す犯罪者 | Symantec Connect コミュニティ.

物理的な鍵の 3D コピー | Symantec Connect コミュニティ

先々週に相次いで開催されたセキュリティカンファレンス OHM2013 と DEFCON では、錠前破り(ピッキング)に関して類似のプレゼンテーションが 2 つ行われました。どちらも、物理的な鍵の複製を 3D プリンタで作成できることを実証したもので、必要なのは元の鍵の ID 番号と、精巧な写真数枚だけです。たったそれだけで、実際に使える 3D モデルの鍵を複製できてしまうというのは、考えるだけでも心配です。3D モデルのファイルの一部は、一般に入手可能で、変更も改造も簡単です。これは別に新しい概念ではありません。手錠の鍵の 3D モデルは、1 年以上前から一般に出回っています。数年前には、高解像度のカメラで撮影した数枚の写真から鍵を複製する方法を実証した本も何種類か出版されました。もちろん、熟練した腕前の攻撃者であれば、通常のピッキング道具で錠を開けることもできます。3D プリンタが一般にも利用できるようになり、対応する鍵ファイルがオンラインで流通すれば、多くの人々がますます簡単に複製を作れるようになります。新聞やテレビ番組で鍵の写真が映しだされた例は数多くあり、それが複製につながる恐れがあります。たとえば、消防士がさまざまなエレベータや非常口を操作できる特殊な鍵や、警察官%2

引用元: 物理的な鍵の 3D コピー | Symantec Connect コミュニティ.

暗号化ファイルシステム(EFS)を悪用してフォレンジック解析を妨害する Backdoor.Tranwos | Symantec Connect コミュニティ

セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。

この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。

引用元: 暗号化ファイルシステム(EFS)を悪用してフォレンジック解析を妨害する Backdoor.Tranwos | Symantec Connect コミュニティ.

パスワードの管理について | Symantec Connect コミュニティ

レインボーテーブルでもパスワードを簡単に破ることができないように、ソルト(salt)を使う方法があります。ソルトとは、ランダムな長い文字列で、これをハッシュ化する前にパスワードと組み合わせます。ユーザー単位でこれを使うと、文字列は一気に複雑になります。仮に 2 人のユーザーが同じパスワード(たとえば、123456)を使ったとしても、結果的にテーブルでは異なるハッシュとして生成されます。しかも、攻撃者は想定されるソルトごとにレインボーテーブルが必要になるので、多数のユーザーのパスワードを同時に解析することは大幅に難しくなります。それでも、特定の 1 ユーザー(たとえば管理者)のパスワードを総当たりで突き止めることは、依然として可能です。

引用元: パスワードの管理について | Symantec Connect コミュニティ.

新しい手口で自動の脅威解析システムをすり抜けるマルウェア作成者 | Symantec Connect コミュニティ

もうひとつのマルウェアは、コードが実行されると、300,000 ミリ秒(5 分間)待機してから DecryptCode サブルーチンを実行します(図 2)。次に、さらに 20 分間待機してから ModifyRegistry サブルーチンを実行します。Network_main サブルーチンの実行後は、さらに 20 分間の待機に入ります。

自動の脅威解析システムは、1 つのファイルに対して短時間しか費やさないため、こうしたコードはマルウェアとして検出されない可能性があります。

引用元: 新しい手口で自動の脅威解析システムをすり抜けるマルウェア作成者 | Symantec Connect コミュニティ.

新しい手口で自動の脅威解析システムをすり抜けるマルウェア作成者 | Symantec Connect コミュニティ

マルウェアが自身の動作している環境を検出し、自動の脅威解析システムから自身を隠す機能は新しいものではありません。マルウェアが動的な解析システムによる検出の目をくぐり抜ける手口を、以下に示します。

レジストリで特定のエントリを確認し、仮想環境で動作していることを検出した場合には動作を停止する。

ビデオやマウスのドライバを確認し、仮想環境で動作していることを検出した場合には動作を停止する。

システムサービスのリストを列挙し、仮想環境で動作していることを検出した場合には動作を停止する。

特別なアセンブラコードを実行し、仮想環境で動作していることを検出した場合には動作を停止する。

レジストリで通信ポートを確認し、仮想環境で動作していることを検出した場合には動作を停止する。

特定のプロセス名を確認し、監視されていることを検出した場合には動作を停止する。

仮想環境で動作していることを検出してマルウェアが自身を停止すると、自動の脅威解析システムはそれを正常なプログラムと誤認する恐れがあります。特定のプロセス名を発見し、監視されていることを検出した場合にも、自身の動作を停止します。つまり、マルウェアは自動の脅威解析システムだけでなく、マルウェアに侵入されたコンピュータがないか警戒している企業のシステム管理者をも欺く可能性があるということです。

引用元: 新しい手口で自動の脅威解析システムをすり抜けるマルウェア作成者 | Symantec Connect コミュニティ.

犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名 | Symantec Connect Community

犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名 | Symantec Connect Community: 特定された各種の機能から、作成者はマルウェアに命令して上記のような犯行予告を作成できることがわかりました。また、作成者との暗号化通信の処理に使われる文字列が日本語で書かれており、コードは日本語の Web サイトから取られていることも判明しました。以上のことから、作成者は日本語に精通した人物である可能性が高いとシマンテックは考えています。