Video Screencast Help
Search Video Help Close Back
to help
Not able to make it to Vision this year? Get a sampling in the Best of Vision on Demand group.

Security Response

チベット問題を利用するマルウェアに侵された正規のアプリケーション
Symantec Security Response | 17 hours 18 min ago | 0 comments

解析担当: 篠塚大志

チベット関連の問題を餌として使った最近のマルウェア攻撃は広く知られているので、チベット問題を題材として、悪質な Word 文書を使った新しい攻撃が登場しても特に驚くには当たりません。この攻撃に使われている電子メールは英語で書かれており、米国の衣料品会社に宛てて送信されていました。

チベットに関係のある組織から送信されたように見えますが、メールのヘッダーを見れば、ロシアにあるメールサーバーから送信されていることがわかります。

今回発見されたファイルが他のマルウェアと異質なのは、有名なグラフィックカードメーカーの正規の署名があるプログラムを攻撃経路に使っているという点です。

添付された文書ファイルを開くと脆弱性(CVE-2012-0158)が悪用され、悪用に成功すると NvSmart.exe、NvSmartMax.dll、boot.ldr という 3 つのファイルが投下されます。この 3 つのファイルのうち、NvSmart.exe はデジタル署名されたプログラムです。

解析を始めた時点では、NvSmart.exe ファイルの署名はおそらくはどこかで盗み出されたものだろうと考えられましたが、解析を進めていくと、実際には正規のファイルであることが判明しました。

...

Read more
Strange Case of W32.Xpaj.B: Patient Zero
Andrea Lelli | 24 May 2012 | 0 comments

A number of days ago, we observed a new variant of the W32.Xpaj.B virus and we blogged all of the initial details about its new features and how the outbreak sample is the patient zero of the infection. We have now done more analysis and the conclusion is in: there is no outbreak and W32.Xpaj.B is not coming back, at least for now.

From the analysis we uncovered the following:

  • Samples infected by patient zero do not have the capability to infect other samples
  • A 64-bit kernel mode payload injects a Dynamic-Link Library (DLL) into the target processes, but the DLL is empty
  • Infected samples do not carry a copy of the virus body from patient zero, but they are infected with a substantially smaller version of the virus...
Read more
Tibetan-Themed Malware Subverts a Legitimate Application
Symantec Security Response | 24 May 2012 | 0 comments

Analysis by: Hiroshi Shinotsuka

Recent malware campaigns that used Tibet-related issues as bait have been well documented and it should come as no surprise that we have seen another Tibetan-themed attack using a malicious Word document. The emails involved in the attack are in English and were sent to a clothing company in the United States.

While they appear to come from Tibet-related organizations, the email headers revealed that they were sent from a mail server in Russia.

Recently, we discovered a file that differs to other malware in that it uses a well-known graphics card manufacturer’s legitimately signed program as an attack vector.

After opening the attached...

Read more
ZTE Score: いとも簡単に権限昇格が可能
Val S | 24 May 2012 | 0 comments

寄稿者: Branko Spasojevic

Pastebin への最近の投稿により、ZTE 社製の Score 携帯端末は、簡単なコマンドだけで root アクセスが可能になることが明らかになりました。この権限昇格を利用すると、Android 2.3.4(Gingerbread)を搭載している ZTE Score M 携帯端末の完全な制御が可能になります。シマンテックは、この端末の MetroPCS 版と Cricket Wireless 版を解析し、権限昇格の再現に成功しました。

Android セキュリティモデルは、アプリケーションが他のアプリケーションと対話できないように、また特定の権限がない限りシステムレベルのコマンドを直接実行できないように、アプリケーションをサンドボックス化して、悪影響を防いでいます。権限昇格を使うと、このようなデフォルトの Android セキュリティモデルをすり抜け、デバイス上で任意のコードを実行して自由に改変することが可能になります。

このデバイスの場合、権限昇格はコード上のバグではなく、通信キャリアによる管理あるいはトラブルシューティングを目的とした設計上の機能だと考えられます。どんな理由でこのコードが含まれていたにせよ、残念ながら任意のアプリケーションに root シェル(システムレベル権限)の取得を許可すれば、悪質なアプリケーションも root シェルを利用できることになり、本来は Android セキュリティモデルによって阻止されるはずの悪質な行為さえ実行できるようになるのです。

通信機器メーカーである ZTE 社は、この問題に対応するパッチがあることを発表し、近日中にリモート配信する予定としています。

この問題が存在するのは、システムシェル(/system/bin/sh)をスーパーユーザー権限で実行する機能を持つ、インストール済みの実行可能ファイルでした。この実行可能ファイルは、まず引数の最初の部分が "ztex" に等しいかどうかをチェックします。このチェックに成功すると、今度はユーザー引数(argument[4:])の 2 番目の部分が "1609523" という数値に等しいかどうかをチェックします。...

Read more
ZTE Score: Privilege of Escalation in a Nutshell
Val S | 23 May 2012 | 0 comments

Contributor: Branko Spasojevic

A recent post on Pastebin revealed that a simple command can provide root access to the ZTE Score mobile device. This escalation of privilege can give you full control of a ZTE Score M phone running Android 2.3.4 (Gingerbread). We analyzed both the MetroPCS and Cricket Wireless versions of the device and we were able to reproduce the privilege escalation.

The Android security model sandboxes applications so they cannot interact with other applications nor directly perform system level commands without specific authorization preventing undesired affects. The privilege escalation allows one to bypass the default Android security model and run any code on the device and make any modifications unchecked.

The privilege escalation was not a bug in code on the device, but instead likely a design feature for carrier administration purposes or troubleshooting. Unfortunately, irrespective of the reason this code was included, by...

Read more
少しのスペースもスパマーに譲らないために
Paresh Joshi | 22 May 2012 | 0 comments

スパム対策ソフトウェアでコンテンツベースのフィルタを使ってスパムを遮断するのは特に難しいことではありません。そのためスパマーは、URL ベースのフィルタをすり抜けるためにさまざまな不明瞭化の手法を編み出しています。以前このブログで取り上げたソフトハイフン(shy(シャイな)文字)の挿入もそのひとつですが、最近では、従来のスパム対策技術に見られるごく小さな盲点を狙って利益を得ることも試みられています。スパマーが試しているのは、大きさの異なるスペース(空白)文字を挿入する、あるいは通常の「.」(ドット)文字を「。」(句点)に置換することによってスパムメッセージ中の URL を不明瞭化しようという方法です。

具体的にはどうするのか、そのテクニックを紹介しましょう。

HTML では、大きさの異なるスペース文字を使えます。ほとんどの言語では単語の区切りにスペースを使いますが、スペース文字の大きさは言語によって異なります(詳しくはこちらを参照)。Unicode では、字体のデザインに応じてさまざまな幅のスペース文字を使うことができます。次の表に、スペース文字の一部をまとめました。

スパマーは、このようなスペース文字をメッセージ本文中の URL に挿入して、スパム対策フィルタをすり抜けようとします。ふつうに表示すると、この URL は次の画像のように見えます。

...

Read more
Not Allowing Spammers the Slightest Space
Paresh Joshi | 21 May 2012 | 0 comments

For anti-spam software, it is quite easy to prevent spam by using content-based filters. So spammers come up with different obfuscation techniques to bypass URL-based filters such as inserting “shy characters”, as we have discussed previously. Recently, spammers have been trying to cash-in on the smallest of gaps that they could find in conventional anti-spam technologies. Spammers are now attempting to obfuscate the URLs in spam messages, either by inserting white space characters of varying sizes or by replacing the conventional “.” (dot) character by “。” (An ideographic full-stop, mostly used in Asian languages)

How did they do it? Let’s take a look at both of these techniques.

Using different size white space characters is allowed in HTML. All languages use spaces to separate words. However, the size of the white space characters...

Read more
Facebook の IPO を悪用する 419 詐欺
Nick Johnston | 21 May 2012 | 0 comments

現地時間の 5 月 18 日、ソーシャルネットワークサイトの Facebook は待望の IPO(新規株式公開)を果たしました。株式の需要が発行株数を大幅に上回っていたので、この IPO は応募超過になるとたびたび予測されていました。

これほど注目を集めている IPO が、いわゆるナイジェリアの手紙詐欺や「419」詐欺といった先払い詐欺を狙う犯罪者の目にとまらないはずがありません。簡単に再確認しておくと、この種の詐欺は何らかの支援を要請し、その見返りとして莫大な資金を約束するというのが常套手段です。ただし、約束された金額を受け取るためには、あの手この手で求められる料金や手数料を前払いしなければなりません。請求は続きますが、約束された資金が現実化することは決してありません。

シマンテックは最近、「FACEBOOK (IPO) SUBSCRIPTION PARTNERSHIP PROPOSAL(Facebook の IPO 共同購入のご案内)」と称した 419 詐欺を確認しました。見出しをすべて大文字で書くのは、この手の 419 詐欺でおなじみの特徴です。

メッセージでは世界中にいくつもの拠点を持つ金融会社から送信していると謳っていますが、詐欺の真意は不明です。詐欺の本文では、「ソフトな」つまり条件のゆるい貸し付けを受けて Facebook 株を購入し、元の購入額より高い価格で金融会社に売り戻すという方法が紹介されています。

この金融会社はロンドン、香港、ドバイにオフィスを構えているとも書かれていますが、メッセージの本文に書かれた電話番号は、カリフォルニア州サクラメントにある電話応答代行サービスのもので、この会社の Web サイトを見ると、その登録オフィスはウェールズのカーディフにあります。

これが詐欺であることの最大の証拠は、返信を促しているその宛先のメールアドレスです。Web ベースの無料メールプロバイダによくある、まるで素人のようなアドレスです。正規の企業であれば、無料 Web メールのアドレスなどではなく、独自ドメインのメールアドレスを使うのが普通でしょう。メッセージの「差出人」ヘッダーに書かれたメールアドレスと名前も、メッセージ本文で使われているアドレスや名前と一致していません。...

Read more
SNS サイトに投稿し、他の脅威を攻撃するワーム
Takashi Katsuki | 21 May 2012 | 0 comments

W32.Wergimog はリムーバブルドライブを介して拡散し、バックドアを開こうとするワームです。その亜種を調べているときに興味深いサンプル(W32.Wergimog.B と命名)が見つかりました。どちらも同じソースコードをベースにしていますが、.B 型の亜種にはさらに注目すべき機能が含まれていたので、ここで詳しくお伝えしたいと思います。
 

正規のアプリケーションに対する攻撃

W32.Wergimog.B は、Internet Explorer や Mozilla Firefox などの正規のアプリケーションに自身をインジェクトします(図 1)。
 

図 1: W32.Wergimog.B は特定のアプリケーションに自身をインジェクトしてインターネットに接続する
 

インジェクト先のアプリケーションにネットワーク接続機能があることを確認すると、W32.Wergimog.B は以下にまとめた一連の機能を実行します。
 

ソーシャルネットワークサービス(SNS)サイトへの投稿

W32.Wergimog.B には、ユーザーが以下のいずれかの SNS サイトにアクセスしたときにチャットメッセージ、...

Read more
Google Play 上の無料アプリに対して料金を請求するマルウェア
Joji Hamada | 20 May 2012 | 0 comments

Android.Opfake は、モバイルデバイスの所有者を騙して、少額ながらアプリの料金を支払わせようとするマルウェアです。そのために、Android デバイスからプレミアム SMS メッセージを送信するという手口を使っています。Android.Opfake は成長を続け、今やロシア語圏で相当数の Android ユーザーに影響を与えかねない脅威へと進化しています。インターネットをちょっと検索しただけでも、人気のあるアプリの専用サイトなど、さまざまなアプリを入手できるアプリマーケットを装ったサイトが何百と見つかります。こうしたサイトでホストされている Android.Opfake の中には、犠牲者を最初に引き込むときの手法も、詐欺に用いる手順も異なる亜種がいくつか存在しています。

最近でも、実に興味深い方法で処理を実行する亜種が確認されています。最終的な結果を見れば Android.Opfake が詐欺であることは明白ですが、デバイスの所有者を Google Play に誘導し、すでにインストールが済んでいるにもかかわらずアプリをインストールさせようとする手口です。この場合、アプリは専用のサイトにホストされていることも、偽アプリマーケットにホストされていることもありますが、これは Android.Opfake では一般的です。人気のあるアプリをホストしているサイトの一例を次に示します。
 

ダウンロードとインストールが終わってアプリを起動すると、再度インストールが実行されるように見えます。
 

...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
269,992