Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Malicious Code remove filter
ルートキットにご注意
John H | 19 Jan 2012 | 0 comments

 

最近、主要メディアでルートキットの話題がよく登場します。メディアに取り上げられることで、多くの人に悪質な行為が知られるようになってきてはいますが、気が付かないうちに自宅や職場のコンピュータに脅威が感染するのを防ぐ方法は、まだあまり浸透していません。
広い意味でルートキットとは、通常のオペレーティングシステム(OS)の動作を妨害することによって、自身の存在を隠しながら、OS への特権アクセスを取得、維持するソフトウェア全般を指します。一般に、ルートキットには以下の 3 つの目的があります。
 
  1. 標的のコンピュータ上で、ルートキットが制限なしで動作できるようにする。
  2. コンピュータやインストール済みのセキュリティ製品によってルートキットが検出されないようにする。
  3. (パスワードやネットワーク帯域幅の盗用、他の悪質なソフトウェアのインストールなどを実行する)ペイロードを転送する。
 
では、感染が疑われる場合には、(その都度コンピュータを復元するのではなく)何をすればよいのでしょうか。また、自分のコンピュータに問題はないと思われる場合でも(そのように装うのがルートキット作成者の目的です)、悪質なコードが潜んでいないことを確認するにはどうすればよいのでしょうか。この種の脅威に関するニュースでは大抵、セキュリティソフトウェアが実行され、最新の状態になっていることを確認するよう呼びかけられますが、そもそもすでにルートキットがセキュリティソフトウェアから身を隠して動作している場合、セキュリティソフトウェアを最新の状態に保つことがどのように役立つのでしょうか。
 
ノートン インターネットセキュリティや Symantec Endpoint Protection など、シマンテックのセキュリティ製品には、ルートキットが身を隠すためのトリックにだまされることなく、ルートキットの予防、検出、駆除を行うための技術が多く組み込まれています。これらの製品では、さまざまな技術が個別に機能したり互いに連携したりすることで、...
Read more
A Reminder about Rootkits
John H | 18 Jan 2012 | 0 comments

 

Rootkit stories show up in the mainstream media on a regular basis these days. While these stories raise public awareness about what the bad guys are doing, they usually leave readers wondering what they can do to protect themselves from silent threats infecting their computers at home and in the office. 
Broadly defined, a rootkit is any software that acquires and maintains privileged access to the operating system (OS) while hiding its presence by subverting normal OS behavior. A rootkit typically has three goals: 
 
  1. A rootkit wants to be able to run without restriction on a target computer. 
  2. It wants to elude being detected by the computer or an installed security product. 
  3. It wants to deliver its payload, such as stealing passwords or network bandwidth, or installing other malicious software.
 
So what can you do (other than re-build your computer...
Read more
悪用された韓国のオフィスソフトウェア
Symantec Security Response | 14 Nov 2011 | 0 comments

2011 年 9 月下旬、それまで知られていなかった、Hancom Office (主に韓国で使用されているワープロソフト)の未修正の脆弱性が悪用されたという報告がありました。世界中で使用されているソフトウェアを狙う新たな悪用についてはよく耳にします。こうした悪用は人々の注目を集めがちですが、限られたユーザーが使用している地域性の高いソフトウェアが悪用の標的となるケースもあります。同じように地域性の高いソフトウェアがマルウェア攻撃で悪用された例として、一太郎があります。一太郎は、主に日本の政府機関やその関連機関で使用されているワープロソフトです。

今回のケースでは、Hancom 製品の報告済みの脆弱性を悪用するマルウェアのサンプルをいくつか突き止めました。サンプルは、文書ファイル(ファイル拡張子 .hwp)に含まれており、脆弱なバージョンの Hancom Office がインストールされているコンピュータで文書を開くと、この脆弱性の悪用が試みられます。悪用に成功すると、マルウェアがコンピュータに投下され、あらかじめ設定されたサイトへのバックドアが開きます。
 
地域性の高いソフトウェアを使用しているからといって、マルウェア攻撃のリスクがないとは言えません。今回の Hancom 製品を使った攻撃や、過去に一太郎が攻撃に利用されたことが、それを証明しています。悪質な攻撃者は、マルウェア攻撃に利用できる新たなセキュリティホールを常に探しています。そのため、地域性の高いソフトウェアは、マルウェア作成者の攻撃手段として重要な役割を持つ可能性があります。これはニッチな手法ですが、今後の攻撃において拡大していく領域であると考えられます。
 
 
脅威の検出とリスク軽減

悪質な文書ファイルは、...

Read more
Korean Office Software Exploited
Symantec Security Response | 06 Nov 2011 | 0 comments

In late September 2011, it was reported that a previously unknown and un-patched vulnerability in Hancom Office (a word processing software predominantly used in Korea) was exploited in the wild. We often hear of new exploits targeting software used worldwide and while these incidents tend to grab all the attention, we also encounter instances of regional software, which often have a limited user base becoming an exploit target. One example of a similar regional software that was also exploited in malware attacks is Ichitaro - a word processing software mostly used in government organizations and their associates in Japan. 

In this case, we managed to track down a couple of malware samples that exploited the reported vulnerability in the Hancom products. The samples are in document files (file extension .hwp) and an exploit attempt is made when the document is opened on a machine installed with vulnerable...
Read more
Duqu 更新情報: ゼロデイ脆弱性を悪用したインストーラの発見
Vikram Thakur | 01 Nov 2011 | 0 comments

最初の Duqu バイナリを発見した CrySyS が、続いて Duqu のインストーラを発見しました。これまで、この脅威のインストーラが復元されたことはなかったため、Duqu が最初にどのようにしてシステムに感染するのかは判明していませんでした。幸い、CrySyS チームの多大なるご尽力によって、このインストーラがついに復元されたのです。

インストーラファイルは Microsoft Word 文書(.doc)で、これまで知られていなかったカーネルの脆弱性を悪用することによってコードの実行が可能になります。この脆弱性については Microsoft 社に連絡済みであり、同社もパッチとアドバイザリを公開するように鋭意対応中です。このファイルを開くと悪質なコードが実行され、メインの Duqu バイナリがインストールされます。以下の図は、Word 文書に含まれる脆弱性の悪用により最終的に Duqu がインストールされるまでの過程を示します。

 

1: Duqu の感染プロセス

Word 文書は、意図した送信先の組織のみを限定的に標的とするように作成されています。また、8 月中の 8 日間だけ Duqu がインストールされるようにシェルコードが使われていました。このインストーラは、この記事の執筆時点で復元されている唯一のものであり、他の組織に対する感染には別の方法が使われた可能性もあるという点に注意してください。残念ながら、現時点では、送信者の不明な文書は開かずに別のソフトウェアを使用するなどの一般的なベストプラクティスに従う以外、確実な回避方法はありません。ただし、幸いなことに...

Read more
Duqu: Status Updates Including Installer with Zero-Day Exploit Found
Vikram Thakur | 01 Nov 2011 | 0 comments

The group that initially discovered the original Duqu binaries, CrySyS, has since located an installer for the Duqu threat. Thus far, no-one had been able to recover the installer for the threat and therefore no-one had any idea how Duqu was initially infecting systems. Fortunately, an installer has recently been recovered due to the great work done by the team at CrySyS.

The installer file is a Microsoft Word document (.doc) that exploits a previously unknown kernel vulnerability that allows code execution. We contacted Microsoft regarding the vulnerability and they're working diligently towards issuing a patch and advisory. When the file is opened, malicious code executes and installs the main Duqu binaries. The chart below explains how the exploit in the Word document file eventually leads to the installation of Duqu.

 

...

Read more
Urchin の素顔
Karthikeyan Kasiviswanathan | 27 Oct 2011 | 0 comments

最近、特定の大量埋め込みキャンペーンについて書かれたブログを見かけるようになりました。この機会に、シマンテックで判明した事実をご報告します。

この攻撃は、すでにペースを速めており、多くの無防備なユーザーが感染しています。攻撃の始まりは特定のサイトに埋め込まれたスクリプトで、このスクリプト自体は http://[削除済み]/urchin.js という特定のサイトをポイントしています。今回のブログでは、悪質なファイルを侵入先のコンピュータにインストールするためにこの攻撃で使われている、いくつかの悪用コードを見ていこうと思います。

スクリプトが埋め込まれたサイトにアクセスすると、ユーザーは悪質なサイトにリダイレクトされます。さらにリダイレクトが続き、最終的には不明瞭化されたスクリプトが含まれるサイトに誘導されます。このスクリプトをデコードすると、iFrame タグが埋め込まれていることがわかります。このサイトに埋め込まれている iFrame タグの不明瞭化を解除すると、次のようになっています。

ページには再生ボタンの付いたビデオが表示されますが、このボタンをクリックすると、次の図のように Adobe Flash Player の更新を推奨する偽のメッセージが出現します。

[Don’t Install(インストールしない)]をクリックしても、更新のインストールを求めるメッセージが繰り返されるだけです。

i.html ページには、多数の悪用コードも潜んでいます。不明瞭化解除への対抗策として、スクリプトでは argument.callee 関数が利用されています。これは、多くの悪質なスクリプトで確認されている関数で、次の図の赤い線で囲んだ部分がこれに当たります。

...

Read more
The True Face of Urchin
Karthikeyan Kasiviswanathan | 26 Oct 2011 | 0 comments

In recent days, we have seen blogs about a specific type of Mass Injection campaign. We take this opportunity to publish our findings in this blog.

This particular campaign has already picked up pace and it is infecting a lot of innocent users out there. It all starts with a script that is injected into certain sites. The script itself points to one particular site: “http://[REMOVED]/urchin.js”. Throughout this blog, we will see the different exploits that this particular campaign uses in order to install malicious files on to a compromised computer.

Upon visiting a site with the injected script, the user is redirected to a malicious site. A subsequent redirection takes the user to a site that contains an obfuscated script. When the script is decoded, it reveals an embedded iFrame tag. Below is an example of the de-obfuscated iFrame tag embedded in the site.

...

Read more
Duqu: 標的に関する最新情報
Eric Chien | 24 Oct 2011 | 0 comments

Duqu の発見について報告した最初のブログ記事は、私が執筆を担当しました。その際に「産業用制御システムメーカー(industrial control system manufacturers)」という言葉を使いましたが、多くの関係者と協議した結果、Duqu が発見された業種をより正確に定義するために、「製造産業メーカー(industrial industry manufacturers)」という用語に変えようと思います。ホワイトペーパーではすでにこの用語に変更しています。

適切な用語を見つけるのは、ときに困難を伴います。Stuxnet に関する最初の記事を書いたときにも、当初は SCADA(Supervisory Control and Data Acquisition)という用語を使いましたが、その後すぐに、「産業用制御システム」としたほうが適切であると判明しました。コンピュータセキュリティ産業では、「ウイルス」、「ワーム」、「トロイの木馬」のそれぞれに具体的な定義がありますが、一般のユーザーはどんなマルウェアも単に「ウイルス」としか呼びません(まったくの偶然ながら、シマンテックは Duqu をトロイの木馬ではなくワームであると誤って判定し、その後修正しました。今のところ自己複製の機能は見つかっていないためです)。

もちろん、用語を「製造産業メーカー」に変えたところで、シマンテックが危険と考えている組織にとっての脅威が変わるわけではありません。Duqu には多数の亜種が見つかっていますが、その標的はまだ判明していません。

Stuxnet がたどった経緯や Duqu も同じ攻撃者であるという可能性、そして現在までに知られている標的を考えあわせると、産業用制御システムメーカーも、産業施設にソリューションを供給しているあらゆる企業も、ネットワークで Duqu の監視を怠るべきではありません。現在までに検出されたどの亜種でも、...

Read more
Duqu 更新情報、その 1
Symantec Security Response | 24 Oct 2011 | 0 comments

以前のブログでお伝えしたとおり、W32.Duqu に関する第一報は、別の組織に対する標的型攻撃を調べていた、ある研究所からもたらされました。この調査を行ったのは、Budapest University of Technology and Economics(ブダペスト工科経済大学)の電気通信部門に所属する Laboratory of Cryptography and System Security(CrySyS)です。CrySyS は感染を特定し、W32.Stuxnet との共通点を調べましたが、この攻撃によるデータの漏えいはないと報告しています。

CrySyS に感謝の意を表します。同研究所が発見した結果を共有していただいたおかげで、将来的に想定される攻撃を特定することができました。シマンテックではすでに、当初の標的とされたのが、製造インフラ産業に該当するごく少数の組織のひとつだったことを確認しています。CrySyS の分析についての報告は、こちらのサイト(http://www.crysys.hu/)に掲載されています。

侵入を受けたコンピュータにダウンロードされることが確認された後続のコンポーネントについての詳報など、新しい情報はシマンテックの最新版ホワイトペーパー(英語)にも掲載されています。さらに詳しいことがわかりしだい、このホワイトペーパーは引き続き更新する予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,850