Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Zeus remove filter
Zeusbot/Spyeye の新しい P2P 型亜種の分析
Andrea Lelli | 30 Nov 2011 | 0 comments

シマンテックでは最近、ピアツーピア(P2P)アーキテクチャを使って通信する Zeusbot/Spyeye の亜種を確認しました。元々の Zeusbot は C&C サーバーと直接通信して、設定データをダウンロードしたり、盗み出した情報をアップロードしたりしていましたが、これはボットにとって重大な障害点になっていました。なぜなら C&C サーバーが遮断されたりダウンしたりすると、攻撃者がボットネットを制御できなくなるためです。ボットには代替手段として、C&C サーバーがダウンすると、疑似ランダムなドメイン名を生成して通信するという手法が採用されていました。もちろん、攻撃者がこれらのドメイン名を予測して登録し、ボットの制御を取り戻すことは可能ですが、この手法はあまり効率的ではありません(用語に関する注記: ここでは、攻撃者によって制御されるメインサーバーを指して「C&C」という用語を使っていますが、このサーバーは機能面では典型的な C&C ではなく、主にドローンから情報を収集します)。

これらの制限を解消するために、攻撃者は P2P を用いるようになりました。この Zeusbot/Spyeye の亜種には、通信する IP アドレスのリストが組み込まれています。これらの IP アドレスはサーバーではなく、他の感染したクライアント(ピア)を表しています。これらのクライアントは、メインの C&C サーバーの URL が含まれた設定データを提供します。この新しい方法であれば、C&C サーバーがダウンしても P2P ネットワークは稼動しているので、新しい C&C サーバーの新しい URL を指す新しい設定ファイルを取得することができます。P2P ネットワークをシャットダウンすることは不可能に近く、シャットダウンできるとしても簡単なことではありません。P2P ネットワーク内の IP アドレスを遮断することはできません。なぜなら、多くの場合、これらは通常のブロードバンド IP アドレス(ホームユーザーや業務用コンピュータなど)であり、遮断すると正当なネットワークトラフィックまで遮断されてしまうためです。また、ピアのリストはかなり頻繁に更新されるため、ピアを追跡するのは明らかに困難です。このように...

Read more
Cracking into the New P2P Variant of Zeusbot/Spyeye
Andrea Lelli | 28 Nov 2011 | 0 comments

Recently, Symantec observed a modified variant of Zeusbot/Spyeye which uses peer-to-peer (P2P) architecture to communicate. The original Zeusbot communicated directly with its C&C server to download configuration data and upload stolen information. This was a major point of failure for the bot because the C&C server could be blocked or taken down, and the attacker would lose control of the botnet. The bot did have a fallback strategy: if the C&C server was down it generated pseudo-random domain names to contact. The attacker could of course predict those domain names and register one in order to gain back control of the bot, but the solution was not very efficient. (Terminology note: although we use the term “C&C” for the main server controlled by the attackers, this server is not a typical C&C in its functionalities, but is mainly a collector of information from the drones.)

To overcome these limitations the attackers have now decided to use...

Read more
プロキシを利用してオンラインバンキングを操作する Trojan.Tatanarg
Hon Lau | 02 Mar 2011 | 0 comments

オンラインバンキングを狙うトロイの木馬は新しいものではなく、2003 年に初めて検出された Infostealer.Bancos グループのように、かなり以前から出回っています。オンラインバンキングを利用する人が増えるにつれ、犯罪予備軍が悪用しやすい巨大で儲けの大きい標的になってきたからです。

これまで、オンラインバンキングを狙ったトロイの木馬は一般的に、利用客とオンラインバンキング Web サイトの間で交わされるデータトラフィックを捕捉するだけでした。捕捉された認証データなどの情報は、トロイの木馬によって収集されて攻撃者に送信され、攻撃者自身によって利用されるか、収益源として他者に売却されます。オンラインバンキングを狙うトロイの木馬が出現してきた歴史を見ると、銀行と攻撃者が相手の動向に対応してお互いを妨害し合うという、追いつ追われつの繰り返しでした。さらに巧妙化した種類になると、MITB(Man In The Browser)と呼ばれる手法を採用し、SSL 暗号化や多要素認証などの防御を破ろうとします。MITB は、ユーザーのブラウザ操作をリアルタイムで監視し、傍受することで実現されます。ブラウザのコンテキストで HTML コンテンツを変更して、偽の情報を表示したり、ユーザーから銀行に送信される取引情報を操作したりできるようになります。

最近シマンテックが注視しているのは、Trojan.Tatanarg という種類です。Trojan.Tatanarg は、オンラインバンキングを狙うトロイの木馬として予想されるすべての機能を備えているほか、さらに多くの機能も持っています。Trojan.Tatanarg はコンポーネントベースなので、最初のインストーラがさまざまな機能を持つ複数のコンポーネントをダウンロードします。たとえば...

Read more
Banking by Proxy with Trojan.Tatanarg
Hon Lau | 01 Mar 2011 | 0 comments

Banking Trojans are nothing new. They have been around for many years, considering detections such as the Infostealer.Bancos family date back to 2003. As more and more people moved to perform banking transactions online, Bancos created a huge and lucrative target for would be criminals to exploit.

Traditionally, banking Trojans typically just captured data traffic exchanged between the user and the online banking website. The captured information included the authentication information, which is collected and sent to the attacker by the Trojan for their use or to sell on to other parties for a profit. For as long as there has been banking Trojans, there has been a cat and mouse game between the banks and the criminals as each side respond to each other’s move to thwart the actions of the other. More sophisticated banking Trojans employ a man-in-the-browser (MITB) method...

Read more
BlackHole の原理
Hardik Suri | 18 Feb 2011 | 0 comments

シマンテックは、強力な悪用機能を備えた BlackHole ツールキットの監視を続けています。BlackHole は野火のように広がりつつあり、今や世界で最も流行している悪用ツールキットです。感染ユーザー数の点では Neosploit や Phoenix といった同類にもひけをとりません。

最近では、BlackHole は明らかに、ハッカーの間で最もよく使われるツールキットとなっています。この事実は、次に示す IPS のグラフにも端的に表れており、毎日 100,000 件以上の悪質な攻撃が報告されています。

 

BlackHole 悪用ツールキットの全容の解析

 

•    悪質な iframe が埋め込まれた正規のサイトにアクセスすると、ユーザーはこの iframe によって BlackHole 悪用ツールキットのサーバーにリダイレクトされます。次の図に、不明瞭化された iframe スクリプトを示します。

...

Read more
The BlackHole Theory
Hardik Suri | 18 Feb 2011 | 0 comments

Symantec has been monitoring the BlackHole toolkit, which has a powerful set of exploits and is spreading like wildfire. At present, it is the most prevalent exploit toolkit in the wild and can easily be compared with the likes of Neosploit and Phoenix in terms of the number of affected users.

In recent times, BlackHole has clearly emerged as the most used toolkit among hackers. The following IPS graph proves this fact, since more than 100,000 malicious hits are reported each day:


 

End-to-end Analysis of the BlackHole Exploit Kit

 

•    When a victim visits a clean...

Read more
マルウェア業界の M & A
Hon Lau | 26 Oct 2010 | 0 comments

 

ボットネットの世界でも、状況が少しずつ厳しくなり始めているようです。今年になって有名なボットネットの閉鎖やそのオーナーの逮捕が相次いでおり、マネーミュール(送金仲介人)や、さらに重要なことにはトロイの木馬作成キット(Mariposa Butterfly ツールキット)の作成者までもが逮捕されています。こうした昨今の状況から、ボットネット界の食物連鎖に属する関係者が一様にプレッシャーを感じ始めているのは明らかです。他のビジネスと同じように、逆境に陥ると、それが引き金となって、ボットネットの勢力図においてもしばしば運営者の整理統合が見られます。数日前に Brian Krebs 氏が発表したレポートは実に興味深く、Zeus(Zbot)ツールキットの開発者が廃業(おそらくはビジネスを売却)して、SpyEye ツールキットの開発者が、Zeus ツールキットのサポートおよび開発を引き継いだというのです。さまざまな角度から見てこれはおもしろい展開です。
 
まず、この 2 つのボットネットキット開発陣営の間には、これまで常に多少のライバル意識がありました。当初から SpyEye には、これから感染しようとするコンピュータにすでに Zeus が感染していた場合、Zeus を検出して駆除するように設計された機能が組み込まれていました。この機能は、Zeus が蔓延していることを踏まえて追加されたことは明らかです。SpyEye が感染しようとするコンピュータでも Zeus に出くわす可能性が高かったからでしょう。...
Read more
Mergers and Acquisitions in the Malware Space
Hon Lau | 26 Oct 2010 | 0 comments

 

Things are starting to get a little tougher in the botnet world. This year we have witnessed many shutdowns of major botnets and their owners arrested. We have also seen money mules arrested and - more importantly - arrests for the creators of the Trojan creation kits (Mariposa Butterfly toolkit). Clearly everybody in the botnet food chain is beginning to feel pressure these days and as in any business, tough times often trigger the consolidation of operators in the competitive landscape. According to an interesting report by Brian Krebs a couple of days ago, he noted that the Zeus (Zbot) toolkit creator has left (or perhaps sold) his business and the creators of the SpyEye toolkit have now...
Read more
オンラインバンキング、情報漏えい、ブランド - サイバー犯罪者が会社を苦境に追い込む 3 つの方法
Kevin Haley | 17 Sep 2010 | 0 comments

「自分には起こり得ないこと」

攻撃者と情報詐取者。ほとんどの人が、ビジネスに対するサイバー犯罪を、標的の会社に侵入して窃盗を働くサイバー犯罪者などの攻撃者の仕業であると考えています。新聞を読めば、こうした攻撃者は大きな獲物を狙っていて、中小企業はこのような標的型攻撃については心配いらないと思いがちです。しかし、ここでは、このことについて取り上げたいと思います。サイバー犯罪者の大半は情報詐取者と呼ぶのがふさわしいかもしれません。彼らは大きな網を投げ入れ、網にかかった獲物を徹底的に利用します。中小企業であっても、情報詐取者には本当に警戒が必要です。

この種の犯罪には簡単に加わることができるため、多くの情報詐取者が存在します。情報詐取者は犯罪の天才である必要はありません。高度なコンピュータスキルすら不要です。ツールキットを購入する方法さえ知っていれば、専門的な知識は必要ありません。ツールキットがあれば、それほどスキルがない犯罪者でも、情報を収集し、それを転売することができます。


 
図 1. 全マルウェアのおよそ 4 分の 3 に複数の種類の攻撃手法が存在

上の図は、ツールキットがユーザーに与えた影響を示しています。2009 年のシマンテックの報告では、およそ 75 パーセントのマルウェアが、感染したコンピュータ上で 5 種類の攻撃を仕掛ける能力があることが示されています。現在の一般的なツールキットは、感染したコンピュータから金になる情報をあらゆる方法で盗み出せるように作られています。ユーザーがシステムに入力した内容を記録する(キーロガー。ユーザーが入力したパスワードを取り込むための簡単な方法)だけでなく、コンピュータ上にある電子メールアドレスを盗み出したり(スパマーに転売したり、他のユーザーを攻撃するため)、いつでもコンピュータに別のマルウェアを追加する(リモートアクセスにより、犯罪者は自分がほしいファイルをダウンロードし、実行できます)こともできます。...

Read more
Banking, Breaches, and Brands – Three Ways Cybercriminals Can Put You Out of Business
Kevin Haley | 15 Sep 2010 | 0 comments

“It can’t happen to me”

Hunters and gatherers. Most people think of cybercrime against business to be the work of hunters such as cybercriminals who target then infiltrate a company to steal from it. Reading the newspaper, it’s easy to convince yourself that these hunters are after big game and a small business does not have to worry about these targeted attacks. Maybe; however, we’ll talk more about that later. The majority of cybercriminals can best be described as gatherers. They throw wide nets and take advantage of whatever victims land in those nets. Small businesses really must watch out for the gatherers.

Because the barrier of entry is low, there are many gatherers. A gatherer doesn’t have to be a criminal genius. They don’t even need advanced computer skills. They really don’t need to know much at all—except where to buy a toolkit. Toolkits allow criminals with limited skills to get...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,850