トレンドマイクロは、2012年3月29日(米国時間)、「Luckycat」と呼ばれる一連の攻撃を調査したリサーチレポートを公開しました。この攻撃に関しては、今月 Symantec により初めて情報が公開されましたが、トレンドマイクロ独自の調査によって、この攻撃そのものの詳細だけでなく、標的型攻撃がどのように行われているのかをさらに明らかにすることができました。今回の調査で明らかになった事実は、以下のとおりです。
続きを読む現在、世界を席巻している米Appleの最新スマートフォン「iPhone4」。日本でも、ソフトバンクにより、2010年6月24日発売が開始されました。その後、米国で問題視されている受信問題もどこ吹く風の勢いで、iPhone人気は一向に止む気配はありません。米金融情報サイト「Bloomberg Businessweek」によると、同年4月23日現在、日本のスマートフォン市場におけるiPhoneシェアは72%にも及ぶそうです。
続きを読むトレンドマイクロでは過去数度に渡りUSBワームの脅威と現状について言及してきましたが、現時点でもUSBワームの感染報告は留まることなく、一定の推移で継続し続けています。
2007年の感染報告以降、急激にその種類が増加している事を考えると、USB機器経由での感染経路に一定の効果があることが、ウイルス作者にも広く急速に浸透した事がうかがい知れます。
今回は、「Webからの脅威」と並び非常に効果的な感染経路の一つとして利用され続けるUSBワーム、および「Autorun.inf」について、従来とは異なった視点からより技術的に分析しレポート致します。
リージョナルトレンドラボは、日本国内に寄せられたUSBワーム被害に関する統計調査を実施しました。今回の調査は、USBワーム被害が顕著となる2007年11月から15ヶ月間のデータを使用しています。 (さらに…)
続きを読む現在、日本国内企業が設置するホームページを狙った恐喝事件報告が寄せられています。その手口は、ホームページを人質に見立て、「DDoS攻撃(Distributed Denial of Service:分散サービス拒否攻撃)」の脅威をちらつかせた上で(時には実際に攻撃を仕掛け)、攻撃からの解放と引き替えに金銭を要求するというシナリオです。
この恐喝事件で暗躍しているのが「ボットネット」です。予てよりその危険性が問題視されていた、ウイルス感染コンピュータによって組織されたネットワーク:ボットネットは如何にその攻撃スタイルを生みだし、ホームページを狙った恐喝というアンダーグラウンドビジネスの確立に至っていったのでしょうか。今回はウイルスによる攻撃スタイルを分析し、攻撃に対する対処方法について検討したいと思います。 (さらに…)
続きを読む
「ボット」と聞くと、我々ウイルス解析担当者はコンピュータを外部から遠隔操作する不正プログラム「ボットウイルス」を思い浮かべます。
日本国内においては、「サイバークリーンセンター」(* 注釈1)等の取り組みにより「ボットウイルス」の存在は広く一般へ浸透してきています。
「ボット」という名称は、まるで「ロボット(ROBOT)」のように外部からのコントロールによって動作するというのがその語源です。
不正プログラムの一分類として定着した感のある用語ですが、デジタル情報の世界においては元来、単純作業を繰り返し実施するアプリケーションのことを指す用語として使われてきました。
インターネットが世に普及する前、1994年にリリースされたゲーム内にて人の代わりとなって対戦するコンピュータプレイヤーに対して「ボット」という用語を既に使用しています。
このように「ボットウイルス」以外にも使用が見られる用語ですが、今回、「暗躍するボット」として紹介するのは「チケットボット」(自動チケット購入ソフト)です。
「チケットボット」とは一体何なのでしょうか。チケット販売の背景とともにその問題点を分析してみたいと思います。 (さらに…)
I noticed that in the past two days, there is a suspicious activity on port 80(HTTP). Our smallpot system captured packets sent to this port and after some rough analysis; it is known that the packets is exploiting the ASN.1 vulnerability (MS04-007) so un-patched machines from MS04-007 are affected. Below, I show a part of the packet when it is still Base64 encoded and the payload part of the packet after decoding.
Still base64 encoded:
After decoding:
This incident is not as proliferate as what we had way back 2005. This incident means that there are still users with machines un-patched from known vulnerabilities. On the bright side, the fact that the count of packets received is low means that users are getting educated to security threats and are applying security patches to their machines.
Again, it advised that users apply security patches provided by the software vendor to be secured from attacks exploiting known old vulnerabilities. Always have your antivirus pattern files updated. This is important if your business relies on connecting to the wild internet to have lesser chance of getting infected by malicious software.
続きを読むThe NY Times is calling it Spam 2.0 – the second wave of the e-junk mail. In the last 6 months, spam deluge is just going from bad to worse. Numbers are doubling, tripling; and there appears to be no end in sight.
Spam is evolving. Whereas text-based spam is getting filtered out easily these days, a new breed of junk called image spam is tricking traditional filters. Until last year, image spam is rare since the technology to randomize images is still young and not as widespread. However, by December 2005, image spam started spiking charts as filters falter in the face of matured and readily available techniques. Spammers started using techniques like image tiling and CAPTCHA. Image tiling takes a big image and splits it up into smaller sized “tiles” that fit together when a recipient views the message. This method confuses OCRs ( Optical Character Recognition), an often-used antispam technology. CAPTCHA ( Completely Automated Public Turing test to tell Computers and Humans Apart), on the other hand, takes a layer of text and places it on top of a layer of a randomly generated background, thus creating a new image every time it runs. Spammers use it to avoid bulk detection and fingerprinting. Ironically, CAPTCHA is developed to prevent bots from signing up in free Internet services like Yahoo! Mail.
Aside from image spam, experts are also pointing to the success of several of this year’s worms (e.g. WORM_STRATION) in turning millions of computers into zombies. The said bots can then be commanded to generate and send out spam. These new sources of spam makes it more difficult to rely on blacklists of known spammers.
Moreover, advertising is not the only force pushing spam. Industry experts, indeed a lot of users, are seeing “pump and dump” schemes that hype up penny stocks to raise their price. To make matters worse these obvious scams appear to be working. A joint study by researchers at Purdue University and Oxford University found that enough recipients buy the stock so that spammers get a 5-6% return in two days.
Spam is getting bigger and better, making it harder for antispam companies to keep up. Can stricter legislation be the key to turn the tide of the spam war? The Can-Spam Act of 2003 in the US seems to have gained some success. However, implementation in the malware and spam cesspools that are Russia, Eastern Europe, and Asia, may prove to be harder to accomplish.
続きを読むThe latest release of MoKB deals with a stack-based buffer overflow in the Broadcom BCMWL5.SYS wireless device driver. This leads to arbitrary kernel-mode code execution.
The Zeroday Emergency Response Team (ZERT) has released an FAQ discussing the vulnerability.
[snip]
Q: Why is this vulnerability dangerous? It’s local; it can not be used through the Internet.
A: Although it can not be exploited over the Internet, it can be used against your computer from a distance. If you are near other users with laptops, you are at risk. If you are at an airport, coffee shop, or using your computer with the wireless card enabled in any public place, you are at risk. It is remote by the means of RF transmissions, the distance is dependent on the attacker’s antenna and signal strength.
Windows is exploitable without the existence of an Access Point (AP) or any interaction from the user. The card’s background scan of available wireless networks triggers the flaw.
[snip]
Technical details about the vulnerability is located in the MoKBsite and the Proof of Concept code is included in the latestmetasploit module.
続きを読む