Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Endpoint Protection (AntiVirus) remove filter
Showing posts by Nishant Doshi remove filter
Web ベースのマルウェア拡散経路: トラフィック流通システムの概要
Nishant Doshi | 30 Oct 2011 | 0 comments

過去数カ月、シマンテックは Web ベースのマルウェアが拡散される仕組みを解明しようと試みてきました。地下経済について書かれた記事は多く、またアンダーグラウンドの Web サイトから Blackhole などの悪用ツールキットを入手する方法も知られるようになりましたが、悪用ツールキットを手にした攻撃者はいったい、どうやってコンピュータを感染させるのでしょうか。今回のブログでは、Traffic Distribution System(トラフィック流通システム)または略して TDS を利用する拡散経路を取り上げることにします。

TDS はどう機能するのでしょうか。一言で言うと、TDS ベンダーは Web トラフィックを売買しています。概念自体は古いものですが、その悪用が実際に目立つようになってきたのは、この数年間のことです。

たとえば、所有している Web サイトから収益を上げたいとしましょう。考えられるのは、ユーザーの興味をひくリンクやコンテキストリンクをいろいろとページに設置することでしょう。訪問者がこれらのリンクをクリックすると、TDS ベンダーにリダイレクトされます。原理としては、Web でのクリックがこの TDS ベンダーに売られ、ベンダーはそのクリックまたはトラフィックを最高額の入札者に売るということになります。

そこで攻撃者は、Web サイトを感染させたり、盗み出された資格情報を買ったりするかわりに、こうした TDS ベンダーからクリックまたはトラフィックを買えばいいわけです。コンバージョンレートが高く、トラフィックの購入より多くを稼げるのであれば、攻撃者は利益を得られます。

積極的な攻撃者は、利用者の多い広告ネットワークから広告スペースを購入することも知られています。そうした広告のクリックスルー URL は、TDS ベンダーにリンクしています。実際、ここには仲介で稼ぐチャンスもあり、広告スペースを安く買い、それより高いマージンで TDS ベンダーにクリックを転売すれば、そこに利益が生まれます。ポルノや偽検索エンジンのような一部の Web サイトが、TDS ベンダーに直接リンクされていることも確認されています。

...

Read more
Facebook の CSRF 対策トークンを盗み出す手口
Nishant Doshi | 28 Oct 2011 | 0 comments

過去数カ月、ソーシャルネットワークサイトへと誘導しようとするさまざまなスパム攻撃が確認されています。これらの攻撃のほとんどは、何らかのソーシャルエンジニアリング手法の特徴を備えていますが、ときとして、画期的なソーシャルエンジニアリング手法も登場しています。ここでは、そうした手法のなかでも、Facebook で特に重要な CSRF 対策トークンを盗み出そうとしてユーザーを欺く手口を紹介します。

クロスサイトリクエストフォージェリ攻撃
クロスサイトリクエストフォージェリ(CSRF)とは、ある Web サイトで認証済みのセッションを再利用して、ユーザーに気づかれないまま、または同意を得ずにその Web サイトで悪質な処理を実行する攻撃です。たとえば、ユーザーが自分のオンラインバンキングのサイトにログインしているとします。この Web サイトに CSRF の脆弱性があると、別の悪質な Web サイト(たとえば bad.com)からユーザーのブラウザに指示を送り、ユーザーに気づかれないように送金などの処理を実行させることが可能になります。ブラウザや銀行の Web サイトにとっては、ユーザーがもうひとつのタブを開いて自分で送金処理を実行したのと、何ら変わりません。CSRF 対策トークンは、このような CSRF 攻撃を防ぐために Web サイトで採用されている手段のひとつです。

一般的な CSRF 対策トークンは、Web サイトによって 1 回ごとにランダムに生成され、Web フォームで隠された入力パラメータとして送信されます。トークンは Web サイトのバックエンドで検証され、フォームやアクションの送信時に実行される CSRF 攻撃を除外します。CSRF 対策トークンを生成するには、CSRF...

Read more
Web-Based Malware Distribution Channels: A Look at Traffic Redistribution Systems
Nishant Doshi | 27 Oct 2011 | 0 comments

Over the last few months we have been trying to look deeper into how Web-based malware gets distributed. A lot has been written about the underground economy and how one can buy exploit kits, such as Blackhole, from underground websites. But once the attacker has bought the exploit kit, how do they infect computers? This blog focuses on a distribution channel that makes use of Traffic Distribution Systems or TDS for short.

How does a TDS work? In a nutshell a TDS vendor buys and sells Web traffic. While this is a very old concept, it has become really popular for exploit delivery over the last few years.

Let’s say you own a website and you want to make money from it. One way you could do that is by having various interesting and contextual links on your page. When a visitor clicks one of these links, the click is redirected to a TDS vendor. Essentially you are selling the click on your website to this TDS vendor, who in turn sells this click or traffic to the...

Read more
Please send me Your Facebook Anti-CSRF Token!
Nishant Doshi | 27 Oct 2011 | 0 comments

In the last few months we have seen a variety of spam campaigns propagating on social networking websites. Most of these attacks use some flavor of social engineering tactics. Every now and then, we see some innovative social engineering techniques used by attackers. Here is one such technique that tricks the victim into revealing their all-important Facebook Anti-CSRF token.

Cross-site Request Forgery attacks
A Cross-site Request Forgery (CSRF) is a type of attack in which attackers can re-use an already authenticated session to a website to perform unwanted actions on that website without the user’s knowledge or consent. For example, let’s say that a user is logged into his or her banking website. If this bank’s website suffers from a CSRF weakness, then another malicious website (say, bad.com) can instruct the user’s browser to navigate to the bank’s...

Read more
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 - 更新
Nishant Doshi | 11 May 2011 | 0 comments

サードパーティ(主に広告主)が、意図せずにプロフィール、写真、チャットなどの Facebook ユーザーのアカウントにアクセスし、メッセージを投稿したり、ユーザーの個人情報を取得したりできるようになっていました。幸いなことに、これらのサードパーティは、この情報にアクセスできることを認識していなかったようです。この問題は Facebook に報告され、問題を排除するための是正措置がとられました。

Facebook アプリケーションは、Facebook プラットフォームに統合された Web アプリケーションです。Facebook によれば、毎日 2,000 万本の Facebook アプリケーションがインストールされています。

シマンテックでは、特定のケースで Facebook IFRAME アプリケーションから広告主や分析プラットフォームなどのサードパーティに、アクセストークンが意図せず漏洩することに気付きました。このような漏洩が可能になるアプリケーションは 2011 年 4 月時点で、100,000 本近くに上ると推測されます。長年にわたって、数十万本のアプリケーションによって、数百万件のアクセストークンが意図せずサードパーティに漏洩していたであろうと推測されます。

アクセストークンは、ユーザーが Facebook アプリケーションに渡す「合鍵」に当たります。アプリケーションでは、このトークン(鍵)を使用して、ユーザーに代わって特定の操作を実行したり、ユーザーのプロフィールにアクセスしたりします。各トークン(合鍵)には、ウォールの読み取り、友達のプロフィールへのアクセス、ウォールへの投稿など、選択した一定の許可が関連付けられます。

このような許可の一部を図 1 に示します。

図 1

アプリケーションをインストールする場合、ユーザーは、これらの操作を実行するための許可をアプリケーションに与えるよう要求されます。これらの許可を与えると、アプリケーションは、図 2 に示すようなアクセストークンを取得します。

...

Read more
Facebook Applications Accidentally Leaking Access to Third Parties - Updated
Nishant Doshi | 10 May 2011 | 0 comments

Third parties, in particular advertisers, have accidentally had access to Facebook users’ accounts including profiles, photographs, chat, and also had the ability to post messages and mine personal information. Fortunately, these third-parties may not have realized their ability to access this information. We have reported this issue to Facebook, who has taken corrective action to help eliminate this issue.

Facebook applications are Web applications that are integrated onto the Facebook platform. According to Facebook, 20 million Facebook applications are installed every day.

Symantec has discovered that in certain cases, Facebook IFRAME applications inadvertently leaked access tokens to third parties like advertisers or analytic platforms. We estimate that as of April 2011, close to 100,000 applications were enabling this leakage. We estimate that over the years, hundreds of thousands of applications may have inadvertently leaked millions of access tokens to...

Read more
Harnessing Facebook to Reveal the Age Bracket of Website Visitors
Nishant Doshi | 04 May 2011 | 0 comments

Even before a user accepts the installation of a Facebook application, Facebook will send a limited amount of user data to the application’s website in order to help personalize your experience. Unfortunately, this user data includes information that users may not want to share without consent.

Facebook uses OAUTH2.0 as an authentication mechanism for its applications. When a user visits an iframe-based Facebook application (apps.facebook.com/yourapp) prior to installation, a POST request is sent to the third-party website hosting the application with the following data:

The ‘age object’ does not provide access to the specific age of the user, but it does provide a specific bracket. Three brackets are provided:

    13-17 (minage-13 or minage-13 and maxage-17)
    18-21 (minage-18)...

Read more
Facebook を利用して Web サイト訪問者の年齢区分が明らかに
Nishant Doshi | 04 May 2011 | 0 comments

ユーザーが Facebook アプリケーションのインストールに同意する前でも、Facebook はユーザー体験をカスタマイズするために一部のユーザーデータをアプリケーションの Web サイトに送信します。困ったことに、このデータには、同意なしには共有したくない情報が含まれています。

Facebook では、アプリケーションの認証メカニズムとして OAUTH2.0 を使用しています。ユーザーがインストール前に iframe ベースの Facebook アプリケーション(apps.facebook.com/<アプリケーション>)にアクセスすると、アプリケーションをホスティングするサードパーティーの Web サイトに POST 要求が次のデータとともに送信されます。

age オブジェクトは、特定の年齢のユーザーのアクセスを制限し、別の特定の年齢区分にはアクセスを提供します。年齢区分には、次の 3 つがあります。

    13-17(最低年齢 13 歳、または最低年齢 13 歳かつ最高年齢 17 歳)
    18-21(最低年齢 18 歳)
    21+(最低年齢 21 歳)

通常、このようなデータは、年齢制限があるアプリケーションを適切な資格年齢を持つユーザーにのみ提供するために使用されます。たとえば、米国では、投票に関連するアプリケーションを使用できるのは 18 歳以上のユーザーのみです。

この時点では、アプリケーションのインストールは承認されていません。通常、この情報がサードパーティーの Web サイトに送信された後で初めて、アプリケーションで見慣れた許可要求のダイアログが表示されます。

...

Read more
Iframes, Please Make Way for SEO Poisoning
Nishant Doshi | 12 Nov 2009 | 0 comments

If a hacker managed to hack into your blog or website, what could they possibly do? They could insert malicious iframes or JavaScript code into your Web pages. Probably even attempt to steal some data. But most likely they would "search engine optimize" your website. Can this be true? Well, let me explain more.

Search engine optimization (SEO) is a collection of techniques used to achieve higher search rankings for a given website. "Black hat SEO" is the method of using unethical SEO techniques in order to obtain a higher search ranking. These techniques include things like keyword stuffing, cloaking, and link farming, which are used to "game" the search engine algorithms.

So what does a hacker gain from all this? Why would a hacker help you achieve a higher search engine ranking? Quite the contrary; he is helping himself.

What the hacker actually does is add numerous additional Web pages to your website. Let’s call each of...

Read more
I Want More Obfuscation!
Nishant Doshi | 27 Aug 2009 | 0 comments

Did I just say that? Usually security researchers hate obfuscation. But I say, let them obfuscate more!

Obfuscation is a loosely defined term, but it basically refers to a method of concealing your exploit code to avoid detection. Attackers employ various techniques and methodologies to achieve obfuscation. Some techniques are very clever and take even the most seasoned security researcher by surprise. In most cases, attackers try to obfuscate their exploit by stretching the limits of the language or protocol they are using. Some take advantage of the detection engine limitations as well.

Today many detection engines parse files and network streams to detect vulnerabilities and odd behavior by using pattern-matching algorithms. However, in many cases the detection logic used has some limitations and assumptions built in. Some limitations stem from the architecture of the detection engine, and some stem from the risk of a false positive. In this cat and mouse game,...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,791