Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Endpoint Protection (AntiVirus) remove filter
Showing posts by Eric Chien remove filter
Duqu: Updated Targeting Information
Eric Chien | 21 Oct 2011 | 0 comments

I wrote Symantec's original blog post describing the discovery of Duqu. In that blog I use the term "industrial control system manufacturers" and (after discussions with a variety of parties) we want to change that term to "industrial industry manufacturers" to more accurately define where Duqu has been found. We already made this change to our paper.

Finding the correct term can sometimes be a challenge. When we first wrote about Stuxnet, we originally used the term SCADA (supervisory control and data acquisition) and quickly discovered the proper term was "industrial control systems". In the computer security industry, we actually have specific definitions of viruses, worms, and trojans, while the general public often refer to any malware as just a virus. (In an unrelated...

Read more
Stuxnet: 画期的な解明
Eric Chien | 13 Nov 2010 | 0 comments

私たちの支援要請に応えてオランダの Profibus の専門家からいくつかのヒントをお寄せいただいたことで、パズルの重要なピースをはめることができました。

シマンテックでは、Stuxnet が潜在的な妨害行為を引き起こすように実際に PLC のコードを改変することを発見して以降、Stuxnet の真の目的が何であり、標的をどこに定めているのかを特定できないでいました。

しかし、Stuxnet には、2 つの特定のベンダー(1 社はフィンランドに、もう 1 社はイランのテヘランに本社を置きます)の少なくともいずれか 1 社の周波数変換ドライブが産業用制御システムに必要であることをようやく確認できました。これは、S7-300 CPU および CP-342-5 Profibus 通信モジュールについて説明したこれまでの要件に加えられるものです。

標的システムは、次の図のようになると考えられます。

周波数変換ドライブは、出力周波数を変換することで、モーターの速度を制御できる電源です。周波数が高くなればなるほど、モーター速度が上昇します。

新しくわかった重要なポイントは次のとおりです。

  • すべての Stuxnet コードの目的を説明できるようになりました。
  • Stuxnet には、特定のベンダーの特殊な周波数変換ドライブが必要です。製品によっては、一部の国では入手できないものである可能性があります。
  • Stuxnet には、非常に高速(807 Hz ~ 1210 Hz)で動作する周波数変換ドライブが必要です。...
Read more
Stuxnet: A Breakthrough
Eric Chien | 12 Nov 2010 | 0 comments

Thanks to some tips from a Dutch Profibus expert who responded to our call for help, we’ve connected a critical piece of the puzzle.

Since our discovery that Stuxnet actually modifies code on PLCs in a potential act of sabotage, we have been unable to determine what the exact purpose of Stuxnet is and what its target was.

However, we can now confirm that Stuxnet requires the industrial control system to have frequency converter drives from at least one of two specific vendors, one headquartered in Finland and the other in Tehran, Iran.  This is in addition to the previous requirements we discussed of a S7-300 CPU and a CP-342-5 Profibus communications module.

The target system would potentially look something like the diagram below:

...

Read more
Stuxnet: 標的は依然として不明
Eric Chien | 03 Nov 2010 | 0 comments

シマンテックは依然として、Stuxnet に狙われている標的を特定できていません。そのため、PLC コードの動作を詳しいレベルで公開することを決定しました。もっとも、この程度の情報では、注目には値するものの、標的となる可能性のある対象を見きわめるにはまだ不十分だろうと思います。詳しくは、最新版のホワイトペーパーの 38 ページ以降を参照してください。

私たちは前回、STL コーディングの専門資格と、複数の重要インフラ産業での業務経験があり、複数の産業の大規模な産業用制御システムで大きな工数の STL プログラムのコーディングに携わった経験のある方にご協力を呼びかけましたが、これは不首尾に終わりました。ご協力いただける方がいらっしゃいましたら、引き続き、ご連絡をお待ちしております。上部にある私の名前をクリックしていただければ、私宛に電子メールを送信できます。 

当初は、今回の改版でタスクスケジューラに関する権限昇格の脆弱性についても詳しく解説する予定でしたが、この脆弱性は現在もパッチ修正されていません。

『W32.Stuxnet Dossier(W32.Stuxnet の調査詳細)』の 1.2 版は、こちらからご覧いただけます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Read more
Stuxnet: Target Still Unknown
Eric Chien | 03 Nov 2010 | 0 comments

Since we still haven’t had much success in determining the likely target of Stuxnet, we have decided to release at a high level the behavior of the PLC code. However, we suspect this level of detail while interesting probably still is not enough to identify the potential target.  You can find the additional information starting on page 38 of the latest revision of our paper.

Our previous call for verifiable experts in STL coding that have worked in multiple critical infrastructure industries and coded large STL programs for large industrial control systems in those multiple industries was unsuccessful.  If anyone still wishes to help, they can contact me by clicking on my name at the top to send me a private message.  

Originally this revision would have also described in more detail the remaining Task Scheduler privilege escalation vulnerability, but the vulnerability...

Read more
W32.Stuxnet Dossier
Eric Chien | 30 Sep 2010 | 0 comments

We’re pleased to announce that we’ve compiled the results of many weeks of fast-paced analysis of Stuxnet into a white paper entitled the W32.Stuxnet Dossier. On top of finding elements we described in the ongoing Stuxnet summer blog series, you will find all technical details about the threat’s components and data structures, as well as high level information, including:

  • Attack scenario and timeline
  • Infection statistics
  • Malware architecture
  • Description of all the exported routines
  • Injection techniques and anti-AV
  • The RPC component
  • Propagation methods
  • Command and control feature
  • The PLC infector

The paper is scheduled to be delivered at the Virus Bulletin 2010 conference and can be downloaded...

Read more
W32.Stuxnet の調査詳細
Eric Chien | 30 Sep 2010 | 0 comments

シマンテックは、何週間にもわたり急ピッチで Stuxnet を解析してきましたが、その結果を『W32.Stuxnet Dossier(W32.Stuxnet の調査詳細)』というホワイトペーパーにまとめることができたことを、ここにご報告いたします。ホワイトペーパーには、Stuxnet について、この夏から一連のブログで継続的にお伝えしてきた内容に加え、この脅威のコンポーネントやデータ構造に関する技術的な詳細がすべて盛り込まれ、次のような高度な情報も記載されています。

  • 攻撃のシナリオと時系列
  • 感染の統計
  • マルウェアのアーキテクチャ
  • エクスポートされた全ルーチンの説明
  • インジェクション手法とウイルス対策への対抗
  • RPC コンポーネント
  • 感染方法
  • コマンド & コントロール機能
  • PLC 感染機能

このホワイトペーパーは、Virus Bulletin 2010 のカンファレンスで配布される予定ですが、こちらからもダウンロードできます。

シマンテックによる Stuxnet の調査は今年 6 月 17 日に開始されました。このときから、驚きと試行錯誤、苛立ちと検証に満ちたシマンテックセキュリティレスポンスチームの長い道のりが始まったのです。ベラルーシのセキュリティ企業である VirusBlokAda 社は、パッチの適用されていない脆弱性を突いてリムーバブルドライブに拡散する、驚くべき威力のマルウェアのサンプルを新たに発見したと発表し、多くのメディアがこのゼロデイ脆弱性を大きく取り上げました。ところが、問題はそれだけではなかったのです。その後 Stuxnet...

Read more
Two Arrested in Connection with Zeus Botnet Package
Eric Chien | 18 Nov 2009 | 0 comments

Zeus is a botnet package that allows for the easy creation and command and control of a botnet.  We've discussed Zeus previously in Zeus, King of the Underground Crimeware Toolkits. The main purpose of Zeus is to steal online credentials such as online banking passwords, but it can be configured to steal passwords from any online site. 

Today, the BBC is reporting that police in the UK have arrested two suspects in relation to Zeus. While the details are preliminary, the two likely appear to be users of the Zeus botnet package rather than the actual creators, and thus the prevalence and usage of Zeus is likely to continue.

We've created a research paper providing more in-depth information on Zeus, including how the bot is created, what functionality it has, and additional screenshots on...

Read more
Anatomy of a SMSishing Attack
Eric Chien | 22 Jul 2009 | 0 comments

SMS phishing (“SMSishing”) occurs when you receive an SMS message that is purportedly sent from a reputable source, such as your bank, asking for personal details. Although SMSishing first started a few years ago, a couple of recent SMSishing attempts directed at some colleagues of mine provided a good opportunity to document the attack.

The attacks start when attackers use automated services that allow sending many SMS messages at once and send messages such as the following:

FRM:3106******@*********.com
MSG:H*****FCU Notice: Please contact us immediately at 6366******

Or:

FRM:F**
SUBJ:Alert
MSG:F****** Alert. Unusual activity - Call now at 1-(888)3**-****

In the above two cases, the bank names and phone numbers are censored, but the messages typically follow the same pattern of specifying a bank and that there is some type of urgent need for you to contact them. When you call the number you...

Read more
Downadup Motivations
Eric Chien | 23 Mar 2009 | 0 comments

As the April 1 payload delivery date nears for W32.Downadup.C (also known as Conficker) speculation continues on whether the payload will be one big April Fool’s joke, or the equivalent of a cyber Pearl Harbor. While we can’t predict the future with certainty, we can look at the motivations of past Downadup variants to postulate that the payload will likely be something between the two extremes.

The first Downadup variant (.A) provides the best evidence of the motivations of the Downadup authors. In a similar fashion to the recent Downadup variant, Downadup.A had a payload delivery date after its initial release, on December 1, 2008. Downadup.A attempted to download its payload file from hxxp://trafficconverter.biz/4vir/antispyware/loadadv.exe. While Downadup.A was never able to download its payload because the payload site was shut down, the...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,898