日曜日, 5月 30, 2010

【サイバー犯罪ツール】PCエクスプロイトをチェックするソフト


現在のサイバー犯罪の人々がマルウェア攻撃の為に現在ユーザ達のPCセキュリティ問題をちゃんとチェックしています。PCセキュリティ問題情報は短くにすると「エクスプロイト/exploit」と言います。サーバー犯罪人達は現在のユーザのPCエクスプロイト情報が分かったら、作られたマルウェアはどうやって感染仕方が当たるのか分かって、マルウェアのウェブページ用意されて、ページのURLをメール、PhisingURL、又はインスタント・メッセージンッグ(Messenger, Twitter, facebook)又はその他方法でURLを投げます。
セキュリティ問題が入っているPCはターゲットになり、この犯罪人々のボットネットセンター(サイバー犯罪ネットワーク)に繋がれて、次のPCに感染される事になる可能性が高いです。基本的にマルウェア仕組みはこの説明の流れで動いております。

では、サイバー犯罪人々はずっとセキュリティ情報を見るわけありませんが、どうやって最新PCエクスプロイト情報が分かるかと?このブログ内容になります。
ブラックマーケットでエクスプロイト情報をオンライン販売されてます。形的にはソフトウェアパッケージとなります。このソフトは「exploit pack」と呼ばれて、かなり高い金額で売っているけれども結構売れている状況です。下記は現在一番有名なexploitソフトソフトの説明です。ソフト名、exploit-DB情報と最新版スナップショット画像を用意しました、ぜひご覧下さい↓

1)CrimePack




 
一番沢山使われているソフトは「Crimepack」です。
結構最新セキュリティ問題情報が持っています。現在の最新バーションは「3.0 alpha」、今年3月から販売始めた。前回のバーション(2.2.1)はUS$400で販売されます。下記はスナップショットです。このソフトの元の目的はIISウェブサーバのエクスプロイトをチェックする事です、さらに最新バーションで追加新しい機能が発見されました。Crimepackからのマルウェアをvirustotalでチェックしたらこんな漢字です。CrimepackのexploitDBは下記となります
1)mdac/IE6 COM CreateObject Code Execution" CVE-2006-0003
2)msiemc/IE7 Uninitialized Memory Corruption" CVE-2010-0806
3)java/JRE getSoundBank Stack BOF" CVE-2009-3867
4)iepeers/IEPeers Remote Code Execution" CVE-2010-0806
5)pdfexpl/PDF Exploits [collectEmailInfo (CVE-2007-5659), getIcon (CVE-2009-0927), util.printf (CVE-2008-2992)]"
6)opera/Opera TN3270" CVE-2009-3269
7)aol/AOL Radio AmpX Buffer Overflow" CVE-2007-5755
8)iexml/Internet Explorer 7 XML Exploit" CVE-2008-4844
9)firefoxdiffer/Firefox 3.5/1.4/1.5 exploits" CVE-2009-355
10)libtiff/Adobe Acrobat LibTIFF Integer Overflow" CVE-2010-0188
11)spreadsheet/OWC Spreadsheet Memory Corruption" CVE-2009-1136
12)activexbundle/Bundle of ActiveX exploits" CVE-2008-2463
Crimepackはself-defense機能ウイルス対策チェック機能が持っています。

2)Phoenix Exploit Kit




 
次は「Phoenix Exploit Kit」のソフトです。このソフトの有名の所は使いやすいって言われてます。このソフトでPC情報とブラウザーセキュリティ問題情報のチェックが出来ます。下記のexploit情報確認が出来ます↓
1)IE6 MDAC
2)MS Office Snapshot
3)PDF Collab / printf / getIcon in Adobe Reader
4)IE7 MEMCOR in Internet Explorer 7, Windows XP and Windows Vista
5)FF Embed
6)Flash 9 in plugin vulnerable of Shockwave Flash
7)IE6/IE7 DSHOW
8)JAVA in JRE
9)Flash 10(10.0.12.36)とFlash Player 10.0.22.87

今年頭では「Phoenix Exploit Kit」の価格は$400ぐらいです。左側でスクリーンショットがあり、GUIとPC結果情報を見えます。Phoenix 2.0はこのソフトの最新バーションです、Phoenix2.0のパッケージをウイルス対策でスキャンしたら結果はこちらとなります。この結果を見たら色んなマルウェアコードが発見されました。

3)Eleonore Exploit Pack



 
昨年6月から発売されてEleonore Exploit Packが色んなウェブ犯罪の事件で使われております、有名なのはアメリカ政府サイトハッキング事件でこのソフトを使われておりました。Eleonore の使い方は簡単ではないけど、ネットワーク情報が詳しいハッカーの為にこのソフトを作られたそうです。今迄6回ぐらいバーションアップされて、現在の値段は大体US$1,000ぐらいです。今年2月に最新バーションはUS$1,200で販売されます。先月クライアントボットネット対応をリリースされてUS$1,500で販売されてます。Eleonore犯罪ソフトのexploitに感染されたらPCにトロイが感染してしまう状況となり、チェックしたらscareware経由マルウェアが発見されます。
Eloenoreのソフトに入ったのexploitDBは下記となります(最新版には追加exploit情報が入ったって聞いてますが現在確認最中です)
1)MDAC for MSIE
2)MS009-02 for MSIE
3)ActiveX pack. Funciona en MSIE
4)compareTo for Firefox
5)JNO (JS navigator Object Code) for Firefox
6)MS06-006 for Firefox
7)Font tags for Firefox
8)Telnet for Opera
9)PDF collab.getIcon for all browser
10)PDF Util.Printf for all browser
11)PDF collab.collectEmailInfo for all browser
12)PDF Doc.media.newPlayer for all browser
13)Java calendar for all browser

他のexploitソフトは山ほど沢山あります、例えば「Fragus」($800), 「Yes Exploit Kit」($900) と「Siberia」($600)です(Siberiaexploitソフトは先月から無くなりました)

それでは、ちゃんと最新版のセキュリティアップデートをインストールしましょう。メールやブラウザーで疑わしいURLが見つかりましたらクリックはしないで下さい。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿