Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Endpoint Protection (AntiVirus) remove filter
Showing posts by Gavin O Gorman remove filter
Backdoor.R2D2: 政府関与の可能性はあるのか?
Gavin O Gorman | 11 Oct 2011 | 0 comments

10 月 9 日、Chaos Computer Club(カオスコンピュータクラブ、CCC)という名で知られるドイツのハッカー集団が、政府によるスパイソフトウェアであると主張するマルウェアに関する解析を発表しました。20 ページに及ぶ PDF ファイルで、このソフトウェアの動作が説明されています。また、CCC はこのソフトウェアのコピーも自らの Web サイトで公開しています。.dll ファイルと .sys ファイル(ドライバ)の形式です。CCC からは、これが政府が関与しているサンプルであるという主張の証拠はまだ示されていません。

シマンテックでは、このサンプルの初期解析を実施し、CCC の文書に書かれている機能の多くを確認しました。このサンプルはマルウェアであり(シマンテックでは Backdoor.R2D2 として検出しています)、感染するとバックドアが開かれ、リモートの攻撃者が、感染したコンピュータにアクセスできるようになります。

バックドア .dll ファイルである mfc42ul.dll は、チャットや VoIP のアプリケーションを監視し、着信と発信の呼び出しなどのステータス変更を傍受することができます。デスクトップのスクリーンショットを撮ってリモートのコマンド & コントロール(C&C)サーバーにアップロードする機能も持っています。

盗み出されたデータは、実行可能ファイルに格納されている静的な鍵を使って AES 暗号化されます。コマンドは、TCP ポート 443 を介して C&C サーバーから平文で取得されます。

これに伴うドライバファイル winsys32.sys には、キーロガーを実装するコードが含まれていますが、このコードはアクティブ化されていないようです。ドライバは .dll ファイルから制御が可能であり、以下の処理を実行できます。

  • ファイルを作成する
  • ファイルに書き込む
  • ファイル名を変更する
  • ファイルを削除する
  • ...
Read more
Backdoor.R2D2: The Long Arm of the Law?
Gavin O Gorman | 09 Oct 2011 | 0 comments

On October 9th a German hacker group going by the name of the Chaos Computer Club (CCC) published an analysis of what they claim to be government spying software. The analysis is a 20 page PDF file describing how the software works. In addition, CCC made available a copy of the software on their website in the form of a .dll file and a .sys file (driver file). The CCC has not offered any proof of their claims that these are government affiliated samples.

Symantec has performed an initial analysis on the samples and has confirmed much of the functionality as described in the CCC document. The samples are malware--which Symantec detects as Backdoor.R2D2--that opens a back door allowing a remote attacker to access the compromised computer.

The back door .dll file, mfc42ul.dll, monitors chat and VOIP applications and is able to intercept status changes in the software, such as an incoming or outgoing call. It...

Read more
Xpaj ボットネット、年間で最大 8,700 万回の検索を傍受
Gavin O Gorman | 26 Aug 2011 | 0 comments

W32.Xpaj.B は、シマンテックがこれまでに確認した中でもきわめて複雑で高度なファイルインフェクタの 1 つです。以前のブログ記事で、Piotr Krysiuk 氏はこれを「Upper Crust File Infector(ハイクラスのファイルインフェクタ)」と呼んでいます。この記事では、感染したサンプルの検出を困難にするために W32.Xpaj.B がとる数種類のアプローチが説明されていますが、自身を実行可能ファイルの内部に隠すために使われるテクニックは、平均的な水準をはるかに超えています。それほどの巧妙さゆえに、この脅威を詳しく解析することにしました。

解析から、コマンド & コントロール(C&C)サーバーの IP アドレスが判明しました。W32.Xpaj.B に感染した実行可能ファイルは、これらの C&C サーバーにダウンロード要求を送信します。脅威のバックエンド制御インフラを解析した結果、感染したクライアントに対してサーバーから送信されるのは、データだけではないことがわかりました。サーバーには、暗号化されたバイナリデータ、暗号化キー、データベース、Web アプリケーションが格納されていました。これらは、いくつかの国でホストされている複数のコンピュータに広がる詐欺活動を構成する要素であることが明らかになっています。

このバイナリデータをリバースエンジニアリングし、あわせて Web アプリケーションも解析したところ、実に複雑なクリック詐欺の手法の全容が解明されました。この詐欺の実装方法についての詳細は、...

Read more
Xpaj Botnet Intercepts up to 87 Million Searches per Year
Gavin O Gorman | 26 Aug 2011 | 0 comments

W32.Xpaj.B is one of the most complex and sophisticated file infectors Symantec has encountered. In an older blog post, Piotr Krysiuk calls it an “upper crust file infector.” He describes several different approaches that the infector uses to increase the difficulty in detecting infected samples. The techniques W32.Xpaj.B uses to conceal itself within an executable are far beyond the norm. Given this level of complexity, it was decided to analyze the threat in detail.

The analysis revealed IP addresses for the command & control (C&C) servers. Infected W32.Xpaj.B executables send a download request to these C&C servers. Analysis of the threat’s backend control infrastructure...

Read more
スーパーマリオ、提供は……Slice Factory?
Gavin O Gorman | 01 Jun 2011 | 0 comments

Chrome ウェブストアで公開されているゲームが過剰なアクセス許可を要求してくるという件が、最近オンラインで話題になっています。これらのゲームは、Google Chrome の拡張機能です。Chrome のさまざまな機能を利用するためには一定のアクセス許可が必要で、たとえばブックマークを更新するにはブックマークマネージャへのアクセスを許可する必要があります。アプリケーション「Super Mario 2」は、chromitude という開発者が提供していますが、chromitude は Web データをリミックスするサービスやブラウザ拡張機能を開発している Slice Factory という会社に関係しています。この拡張機能で要求されるアクセス許可が、ただゲームをプレイするためとしては過剰なようです。要求されるアクセス許可は、次のとおりです。

·         ブックマークへのアクセス

·         新しいタブの作成を通知

·         すべての URL へのアクセス

ゲームでこのようなアクセス許可が要求される理由と、この拡張機能の実際の動作を確認するために、シマンテックはこのアプリケーションを解析しました。この拡張機能は 2 つの部分で構成されています。1 つ目は「Super Mario 2」の部分です。これは害のない Flash ベースのゲームであり、アクセス許可で求められているような形で Chrome にアクセスすることはありません。

一方、2 つ目の部分は実際に追加のアクセス許可を必要としています。この部分はバックグラウンドで動作し、2 つの JavaScript コードを要求します。要求されるコードは slicefactory.com と extensionfactory.com に置かれていて(図1)、extensionfactory.com は Slice Factory...

Read more
Super Mario brought to you by... Slice Factory?
Gavin O Gorman | 31 May 2011 | 0 comments

There has been some recent online discussion about games from the Chrome Web Store requesting excessive permissions. These games are extensions for Google Chrome. To access various aspects of Chrome, certain permissions are required; for example, to allow access to the Bookmark manager to update bookmarks. The “Super Mario 2” app is offered by the developer “chromitude”, which is associated with Slice Factory, a company that develops services and browser extensions to remix Web data. The extension requests permissions which seem excessive for simply playing a game. These permissions are:

·         Access to bookmarks

·          Notification of  new tabs being created

·         Access to all URLs

To determine why these permissions are required for the game and what the extension...

Read more
ランサムウェアの猛威
Gavin O Gorman | 14 Jan 2011 | 0 comments

最近のウイルスは金儲けを目的に作成されており、その目的を達成するための手口としては脅迫、情報の盗難、詐欺が利用されています。脅迫を利用する脅威は、なかでも最も攻撃的な部類であり、場合によってはこれほど不快なウイルスもありません。このようなウイルスは一般に、「ランサムウェア(身代金を要求するマルウェア)」と呼ばれています。今回は、これまでに出現した卑劣なランサムウェアを何種類か紹介します。

大胆不敵な手口
ランサムウェアは、その本質からして控えめなものではありえませんが、一部の種類は手口が特に強引です。人から金銭を脅し取るために、ユーザーにショックを与えるとともに困惑を誘います。この最も新しい例が、Trojan.Ransomlock.F です。一連の Trojan.Ransomlock は、ランサムウェアのうち、ユーザーのデスクトップをロックするタイプです。デスクトップをロックされたコンピュータは、正常に使用できなくなります。デスクトップへのアクセスを復元するには、有料サービスのサイトにテキストメッセージを送信するよう求められるのが一般的です。この指示に従うと、ロック解除用のコードを含むメッセージが送信されますが、それも運がいい場合だけでしょう(コンピュータに侵入した上に身代金を要求してくるような人物を信用したところで、たいていは裏切られるものだからです)。

Trojan.Ransomlock.F という亜種の場合には、デスクトップがロックされるだけでなく、デスクトップの壁紙が図 1 のような露骨なポルノ画像(修正済み)に変更されてしまいます。脅威の作者がこのような手口を追加した狙いは、ユーザーの動揺をあおることにあります。ポルノ画像がディスプレイいっぱいに表示されたら、誰でも間違いなくうろたえてしまいます。恥ずかしい事態を知られたくないばかりに、誰にも問題解決のための技術サポートを求めないという可能性も高いでしょう。

...

Read more
Rampant Ransomware
Gavin O Gorman | 13 Jan 2011 | 0 comments

Contemporary viruses are written to make money. They achieve this through extortion, information theft, and fraud. Threats that use extortion can be some of the most aggressive and, in some cases, offensive viruses encountered. These viruses are generally referred to as ransomware. This blog discusses some of the nastiest variants that have been encountered so far.

In your face!
Whilst by its nature ransomware is not subtle, certain variants are very obvious in their approach. They use a combination of shock and embarrassment in order to extort money from people. The most recent example of this is Trojan.Ransomlock.F. The Trojan.Ransomlock family is a particular type of ransomware, which locks a user’s desktop. Once the desktop has been locked, it is then no longer possible to use the computer as normal. To restore access to the desktop, one typically...

Read more
Catching Flies with Honey
Gavin O Gorman | 30 Aug 2010 | 0 comments

Symantec often utilizes honeypots to acquire new samples and observe attacks in the wild. Many threats encountered on honeypots are related to botnets. However, on a rare occasion a honeypot may encounter a targeted attack. In these cases the attacker is after a specific entity, be it a person, corporation, government, or any other such body. When a computer is compromised by such a threat, the behavior can be similar to a bot, connecting to a command and control (C&C) server and awaiting commands. However, the commands received are usually not generic. They are interactive, with the attacker seeking some specific information in real-time.

 We recently encountered one of many such targeted threats on a basic honeypot and logged the activity. The attack was quite straightforward and did not utilize any new techniques. Nonetheless it is a good example of the processes such attackers use. This particular threat was targeting a corporate entity, using a tailored PDF...

Read more
ハニーポットを使用したファイルの捕獲
Gavin O Gorman | 30 Aug 2010 | 0 comments

シマンテックではよく、ハニーポットを利用して新しいサンプルを入手し、巷で行われている攻撃を監視しています。ハニーポットで検出される脅威の多くは、ボットネットと関連しています。しかし、まれに標的型攻撃がハニーポットで検出されることがあります。その場合、攻撃者は特定の実在者(個人、企業、政府、あるいは同様のなんらかの団体)を狙っています。コンピュータがそのような脅威に侵されると、コマンド& コントロール(C&C)サーバーに接続してコマンドを待機するという、ボットと似たような動作をする場合があります。ただし、受け取るコマンドは通常、一般的なものではありません。攻撃者がなんらかの特定の情報をリアルタイムで探す、インタラクティブなものです。

シマンテックでは最近、そのような標的型攻撃の1 つを検出し、活動をログに記録しました。その攻撃はかなり直接的で、新しい技術は利用していませんでした。とはいえ、そのような攻撃者が使用するプロセスの良い例となります。この脅威は企業を標的とするもので、エクスプロイトが含まれるカスタマイズされた PDF ドキュメントを使用していました。そのエクスプロイトにより、PDF 内から実行可能ファイルが投下されて実行され、2 つ目の PDF がロードされます。この 2 つ目の PDF は悪質なものではなく、何も問題はないとユーザーに思わせるための見せかけにすぎません。

投下された実行可能ファイルにより、Run レジストリサブキーに自分自身用のエントリが作成され、この結果、Windows の起動時にその実行可能ファイルがロードされ、C&C サーバーに対してレポートの返送が試みられるようになります。HTTP GET 要求(おそらくマレーシアにある感染した Web サーバーに送信されたもの)には、追加のヘッダー値(図 1)が含まれています。この GET 要求には、コンピュータ名など、感染したコンピュータに関するデータが含まれていました。ただし、この GET 要求に応答はありませんでした。脅威は、同じ要求を連続して送信し続け、応答を待機しました。2 時間後、最終的に応答(20 バイトの暗号化データ)を受信し、リモート攻撃者が活動を開始しました。

...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,918