Providing a sound disaster recovery (DR) strategy is important for any company to avoid the risk of downtime and lost $$$.  Smart businesses usually have some sort of mirroring, replication or clustering technology in place to keep mission critical applications and tier 1 servers up and running and always available.  But what about DR for the customer’s backup infrastructure? Backup and recovery is looked at as a non-revenue generating “insurance” policy for a company, and has no real business value.  That is, until you lose everything and rely on that backed up data to bring your company back to life.  With that sobering thought in mind, should a DR strategy be considered for backups?  

If your entire data-center goes down, you’ve lost all your production servers, backup catalog and images if you did not plan ahead for off-site copies of your data.  Many companies do plan, but are still caught up in the old fashioned method. That solution for DR recovery is centered on shipping tapes to off-site location(s), and then waiting for a disaster to occur, but the risk of shipping tapes is just too great. Unfortunately, there are a high number of restore failure rates when tape is involved; some claims say greater than 40%, but that’s an estimate at best, many say it could be higher.  The problem is that not only can tapes get damaged, but they also are easily misplaced, lost or even destroyed.  In addition, there are inherent time delays with shipping backs back and forth.  Together, it is painful, costly and complex.  What if your backup and recovery solution had an integrated DR feature built in, and that the only cost would be to have a secondary site with a backup server to fail over to?  What if you could stop putting tapes on trucks?

Symantec NetBackup has a differentiating DR feature built in called “AIR”.  Auto Image Replication.  It is a feature that can be configured within your backup policies that tells NetBackup to not only backup your data as usual, but replicate the associated catalog and images to another NetBackup server (separate NetBackup domain/environment) in a remote/secondary site.  There is no need to import catalogs and images from tape.  Those days are long gone.  Once replication is complete, the secondary site owns that copy of the backed up images, and customers can immediately perform restores in the secondary site when an outage at the primary site occurs.  This significantly reduces your OpEx and CapEx from the traditional method, and gives you the benefit of immediate recoverability.

Our competitors use some less efficient methods that squeeze customers for extra storage costs. What do I mean by extra storage?  Once their catalog data is replicated over, it becomes part of a limited accessible “sealed store”.  That’s because the competitor keeps the replicated catalog in a read-only mode.  That means you can only recover your systems from that store, and it no longer accepts writes.  What now?  After you recover, the next thing is to start backing everything up again.  But because of the sealed store, you never get it to run day-to-day database operations for the backup server.  It will always be a “pre-disaster” representation of the backup database.  You now have to create a separate working database and catalog for you backup server on a separate volume of storage. This becomes your “post-disaster” copy of the backup catalog/database.  Now take what I just laid out and apply it to the process of replicating the catalog/DB back to the original site once it’s up and running.  You need both the pre-disaster and post-disaster copies just to get the site all synced up and current again.  And yes…they will BOTH be sealed stores.  Another second post recovery catalog/database will need to be created.  This one will end up being the day-to-day copy going forward.  Does anyone see the efficiency or lack of it in this process? More complexity, more administrative overhead and headache, and 4x the storage…where’s the OpEx and CapEx benefits?

Many NetBackup customers have stated how pleased they are with the simple implementation and configuration of AIR, the reliability of it, and the cost savings it has provided.  AIR works with both form factors of NetBackup (appliances and software), and is one of the most popular differentiating features that helps Symantec beat the competition. Wouldn’t you want the best solution that’s the easiest to setup and friendliest to your CTO’s wallet? If you would like more information about AIR and other benefits NetBackup offers, please visit us at:

www.betterbackupforall.com

www.netbackup.com

www.netbackupappliances.com

www.netbackupdemo.com

Microsoft has released the Internet Explorer 10 for Windows 7, 32-bit and 64-bit versions. IE 10 is currently available for more than 35 different languages including Spanish, German, French, Italian and others.  You can choose the English or language of your OS and the system version (32/64bit) of your choice. 

Official download : Microsoft Internet Explorer 10 for Windows 7

System Requirements

Processor:

• Computer with a 1 gigahertz (MHz) 32-bit (x86) or 64-bit (x64) processor

Operating system:

• Windows Vista 32-bit with Service Pack 2 (SP2) or higher

• Windows Vista 64-bit with Service Pack 2 (SP2) or higher

• Windows 7 32-bit or higher

• Windows 7 64-bit or higher

• Windows Server 2008 32-bit with Service Pack 2 (SP2) or higher

• Windows Server 2008 64-bit with Service Pack 2 (SP2) or higher

• Windows Server 2008 R2 64-bit

Hard drive space

• Windows Vista 32-bit with Service Pack 2 (SP2) or higher—70 MB

• Windows Vista 64-bit with Service Pack 2 (SP2) or higher—120 MB

• Windows 7 32-bit or higher—70 MB

• Windows 7 64-bit or higher—120 MB

• Windows Server 2008 32-bit with Service Pack 2 (SP2) or higher—150 MB

• Windows Server 2008 64-bit with Service Pack 2 (SP2) or higher—200 MB

• Windows Server 2008 R2 64-bit—200 MB

Please note that Internet Explorer 10 will not be released for Vista or previous versions of the Windows operating system.

We’ve all read books or stumbled on to what seemed to be a great web site only to close the cover or our browser and find another topic. Why? Because the content, the story, what we were reading, just didn’t grab us or deliver on our expectations.

It’s not terribly different with social media. If the tweet or the post doesn’t resonate, readers/fans won’t like it or retweet it and eventually, they may stop reading that author altogether. This is one of the major things that makes our roles as social media managers—whether as part of a bigger job or as a dedicated gig—the most challenging, finding what our audience—our customer—will respond to, today, tomorrow and next week.

Ultimately though, it doesn’t have to be that hard, and we can always benefit from experimentation and refinement. Few companies enjoy the luxury of enough budget to do deep customer research, but customer research doesn’t have to be extensive or expensive. One of the very best ways to find out who your customer is and what their pain points are and what they’re asking for is your sales team and/or account managers. If you don’t have the resources to do customer research, identify a few sales folks to sit down with you, even once a month, and tell you what they’re hearing in the “customersphere.”

You can also—and always should—curate content from other sources, including:

• Industry news
• Your own company news and announcements
• Company press releases and third-party coverage
• Relevant Symantec information, including product updates
• Fun/interesting posts from others

Since most of our customers are using Symantec products, consider product tips or knowledgebase articles, product updates, new releases, information on trainings and webinars. Talk about your own new services and offerings and updates to existing offerings, share trends that might affect your customers’ businesses and technical environments.  And by all means, share your own insights—after all it’s about being social.

If you have time and resources, consider creating your own assets, such as:

• Infographics
• Photos
• Slideshares
• White papers
• Blog posts

If you don’t have time and resources, find a source or sources whose social resources are relevant to your customers and share or retweet those. And watch the competition. Seeing what others are doing and how well their own audiences receive what they’re doing can give you good ideas for what you might try on your own channels.

At the end of the day, experiment and experiment some more. Once you find the right mix of content for your audience, you’ll see increased engagement and know you’re on the right track.

See the complete Symantec Partner Social Media Series.

SC Magazine hosts an annual awards dinner at the RSA Conference where they honor the information security industry’s most effective solutions, addressing the biggest security challenges facing organizations. Symantec earned 3 SC Awards on February 26, 2013:

• Symantec Web Gateway for Best Anti-Malware Gateway
• Symantec Data Loss Prevention for Best Data Leakage Prevention
• Symantec Endpoint Protection 12 for Best UTM Security

Hundreds of vendors who offer a product for the commercial, government, educational, nonprofit or other industries entered the Reader Trust Award category. Symantec’s solutions were selected by a panel representing a cross-section of SC Magazine readership, comprised of large, medium and small enterprises from all major vertical markets, including financial services, health care, government, retail, education and other sectors.

“Our readers are the most knowledgeable security professionals in the industry, so it is quite a statement to be selected by SC Magazine readers as the best,” said Illena Armstrong, VP of editorial, SC Magazine.

The SC Awards, now in its 16th year, is the premier recognition for information-technology (IT) security professionals and products that fend off the myriad security threats in today’s corporate world. The annual awards showcase the best solutions, services and professionals while recognizing achievement and technical excellence. SC Magazine distinguishes the achievements of the security professionals in the field, the innovations happening in the vendor and service provider communities and the fervent work of government, commercial and nonprofits. For more information and a detailed list of categories and winners, please visit www.scmagazineus.com/awards.

Adobe Flash is one of the most widely distributed products on the Internet. Because of its popularity and global install base, it is often a target of cybercriminals. Cybercriminals are using social engineering methods to distribute their malware through fake Flash update sites, often compelling unsuspecting users, who may be in need of a software update, to unknowingly install malware.

Recently, we came across the following site masquerading itself as an Adobe Flash Player update page:

http://16.a[REMOVED]rks.com/adobe/
 

Figure 1. Fake Adobe Flash update page
 

The attacker has created what appears to be a rather convincing landing page; however, there are a few inconsistencies. Most of the links resolve back to the attacking domain and all of the links within the page—besides the link to the malware itself—resolve back to the root directory of the site, resulting in a 404 error.

The attacker’s main goal is to make sure that a successful installation occurs, and presents two options to the user for maximum return.

Option 1 is a pop-up message that requests the user to download a file named flash_player_updater.exe.

Option 2 is the “Download Now” button that requests the user to download a file named update_flash_player.exe.

Symantec currently detects both of these files as Downloader.Ponik.

During our analysis we found that, in addition to stealing passwords, these files appear to be looking for FTP/telnet/SSH credentials for all of the popular clients currently in use. They also monitor for SMTP, IMAP, and POP3 credentials.

Although these files are the same, they exhibit different behaviors. Option 1 installs ransomware, while Option 2 installs an ad-clicking component, both for illegal revenue generation.
 

Option 1
 

Figure 2. Command-and-control (C&C) server
 

The flash_player_updater.exe file opens a /POST request on port 8080 to the following URL:

http://lum[REMOVED]th.com/forum/viewtopic.php

The Trojan then receives commands to download files from the following locations:

• http://ocean[REMOVED]ba.co.za/
• http://sys[REMOVED]55.info/
• http://topaz[REMOVED]al.net/

All three files are identical and are used by the attacker to enhance the resilience of the threat by providing further locations for the threat to contact should any one particular site be inaccessible for any reason. Symantec detects these files as Trojan.Ransomlock.Q.

Once these files are executed on the computer, a new variant of Trojan.Ransomlock.Q appears on the compromised computer.

Next, the Trojan connects to the following command-and-control (C&C) server in order to download an encrypted file onto the compromised computer before the computer is locked:

http://c[REMOVED]l.ru
 

Figure 3. Downloading an encrypted file
 

Figure 4. Ransomlock screen displayed after several minutes
 

Figure 5. Note the misspelling of “cibercrime” at the bottom of the page
 

Another interesting observation is that the malware will detect what brand of antivirus is running on the compromised computer, and will overlay the default Windows logo with the logo of relevant anti virus company. As we already have protection in place for this threat, to test this feature properly we had to temporarily disable Norton 360 during analysis.
 

Figure 6. Ransomware with the Norton logo overlaying the Windows logo
 

Out of curiosity, we wanted to see what would happen if we were to enter some random 14-digit code, as MoneyPak uses 14 digits. A random 14-digit code was entered and the following screen was displayed:
 

Figure 7. A promise to unlock the computer that will be unfulfilled
 

This communication data is then sent back encrypted to the C&C server at the following location and stored for retrieval:

http://c[REMOVED]l.ru

Good luck getting your computer unlocked.
 

Option 2

The update_flash_player.exe file opens a /POST request on port 8080 to the following URL:

http://lum[REMOVED]th.com/forum/viewtopic.php

The Trojan then receives commands to download files from the following locations:

• twinp[REMOVED] ng.com/
• labos[REMOVED]ra.eu/
• ftp.calm[REMOVED]ge.com/

These files are then installed on the compromised computer and run silently in the background to perform click fraud.
 

Figure 8. Click-fraud traffic
 

Symantec has protection in place and detects these files as Trojan Horse.

To ensure that you do not become a victim in the first place, please ensure that your antivirus definitions are constantly updated and that your software packages are also regularly updated. Do not download updates from third-party sites and always double check the URL of the download that is being offered.

Any idea what’s the average number of website logins that someone in your organisation might have? The answer? 25 apparently. Impressive. What isn’t such good news, though, is that most people use just 6.5 passwords to protect them, each of which is shared across 3.9 different sites, according to the same landmark study, ‘A Large Scale Study of Web Password Habits’ (https://research.microsoft.com/pubs/74164/www2007.pdf). It’s convenient, yes, but far from insecure. And, if your employees are that careless about keeping themselves safe, what impact might it be having on your business when they’re logging in at work?

You should really ensure that they use different passwords for all their logins, at all times. That way, you can avoid the situation where the domino effect kicks in – e.g., of one site being compromised, leading to more being accessed with the same credentials and we know that many people really do reuse passwords across multiple sites.

But is that enough? No, it isn’t. You may feel that simply having different passwords amounts to a stout defence against hack attacks. However, a determined hacker will soon crack through your code, if it isn’t extremely resilient. How do they do it? They use various techniques, including lists of already known passwords, dictionary words, personal information etc.

If you want to guard against being easily cracked, your passwords – and, for company exes, those of your workforce –should, ideally, be a random string of lowercase, uppercase, digits and symbols –  to force the hacker into a ‘brute force’ attempt – and also one that is as long as is practicable, in order to increase the number of possible permutations. Of course, nothing is 100% secure, given enough time and money; the aim is to make your passwords so hard to crack that it isn’t worth the hackers’ time and effort. A 25-character password, for example, which uses lowercase, uppercase, digits and symbols contains so many permutations that even a supercomputer using a brute force attack to make millions of guesses a second would still take millions of years to work through every permutation. These types of password are key to good network security.

What you most certainly want to avoid within your organisation is the popular, yet problematic, solution of people writing complex passwords down, storing them in spread sheets, within the notes on a phone, emailing reminders or relying on the browser to remember them. While these are often adopted because of their convenience, they are innately insecure.

So, what can you/your employees do to easily create and remember strong passwords that are different for all sites? Traditional on-premise, two-factor authentication (2FA) solutions have generally been too costly for organisations to deploy universally across their operations. But there is another way – without turning yourself into Memory Man or Woman. And it’s a solution that also obviates the significant investment required to purchase, implement and manage 2FA (two factor authentication) in-house, which has often compelled organisations to pick and choose isolated areas of their businesses to secure.

Symantec’s Validation and ID Protection Service is cloud based, and enables you to defend your sensitive networks, applications and data against unauthorised access with a two-factor authentication solution, and a variety of supported 2FA credentials, ranging from security hardware tokens to software-generated credentials.

So, for stronger passwords and unified sign-on solutions, check out Symantec’s Validation and ID Protection (VIP) Service and for more information on website security download the Symantec website security threat report

Connaissez-vous le nombre moyen de comptes en ligne détenus par vos collaborateurs ? Vingt-cinq ! Impressionnant, non ? Problème : la plupart des utilisateurs utilisent tout juste 6,5 mots de passe pour les protéger, ce qui signifie qu’un même mot de passe sert en moyenne à se connecter à 3,9 sites différents. C’est ce que nous révèle une étude majeure intitulée A Large Scale Study of Web Password Habits (https://research.microsoft.com/pubs/74164/www2007.pdf). Pratique sans aucun doute, mais surtout très imprudent. Par ailleurs, si vos collaborateurs prêtent aussi peu d'attention à leur propre sécurité, imaginez les risques qu’ils font courir à votre entreprise à chaque connexion sur le lieu de travail.

Il est donc préférable de vous assurer qu’ils utilisent des mots de passe différents pour chacun de leurs comptes. Ainsi, vous pourrez prévenir tout effet domino, à savoir la compromission d’un identifiant qui permet l’accès à un autre site, puis à un autre, etc., car trop d’internautes réutilisent encore le même mot de passe sur plusieurs sites.

Mais cette mesure suffit-elle ? Eh bien, pas vraiment. Bien qu’elle puisse apparaître comme un barrage solide contre le piratage, sachez qu’un hacker déterminé pourra toujours trouver votre mot de passe s’il n’est pas assez fort. Pour cela, il dispose de diverses techniques : listes de mots de passe déjà connus, mots du dictionnaire, informations personnelles, etc.

Pour compliquer la tâche des pirates et les obliger à procéder à des attaques par force brute, vos mots de passe – et le cas échéant, ceux de vos salariés – devraient être des chaînes aléatoires de caractères minuscules et majuscules, de chiffres et de symboles, aussi longues que faisable, afin d'augmenter le nombre de permutations possibles. Bien entendu, avec suffisamment de temps et d'argent, les pirates pourront toujours percer votre code. L’objectif ici est simplement de rendre leur tâche si difficile qu'elle n'en vaille plus la peine, compte tenu des efforts à déployer. Par exemple, un mot de passe de 25 caractères contenant des minuscules, des majuscules, des chiffres et des symboles présente tellement de permutations possibles que, même en lançant une attaque par force brute de l'ordre de millions de tentatives par seconde, un superordinateur aurait besoin de millions d'années pour essayer toutes les combinaisons possibles. Des mots de passe de ce type offrent une excellente protection du réseau.

Autre problème : beaucoup tendent à créer des pense-bêtes pour leurs mots de passe complexes – sur papier, dans des tableurs, sur leur téléphone, dans des e-mails – ou laissent à leur navigateur le soin de les mémoriser pour eux. Il va de soi que vous devrez dissuader ce genre de procédés, certes très pratiques, mais intrinsèquement dangereux.

Mais alors, comment créer et mémoriser facilement des mots de passe forts propres à chaque site ? Les solutions traditionnelles d’authentification à deux facteurs s’avèrent généralement trop coûteuses pour un déploiement universel à travers toute l’entreprise. Heureusement, il existe un autre moyen qui, rassurez-vous, ne repose pas sur une mémoire d’éléphant. Cet autre moyen ne requiert pas non plus les mêmes investissements que pour l’achat, l’implémentation et la gestion d’une solution d’authentification à deux facteurs sur site. Ainsi, les entreprises n’auront plus à choisir de sécuriser un pôle plutôt qu’un autre.

Basé dans le Cloud, Symantec Validation and ID Protection Service (VIP) vous permet de protéger vos réseaux, applications et données sensibles contre les accès non autorisés. VIP offre une solution d’authentification à deux facteurs, ainsi qu’une variété d'identifiants compatibles ‒ des jetons d’accès matériels aux identifiants générés par ordinateur.

En conclusion, pour des mots de passe forts et des solutions d’authentification unifiées, faites appel à Symantec Validation and ID Protection (VIP) Service. Pour plus d’infos sur la sécurité en ligne, téléchargez le rapport Symantec sur les menaces de sécurité des sites Web

¿Sabe en cuántos sitios web inician sesión por término medio los empleados de su empresa? Al parecer, en 25. Increíble, ¿verdad? Lo malo es que el número medio de contraseñas distintas utilizadas es 6,5, lo que significa que cada una de ellas se usa en 3,9 sitios web diferentes, según ha revelado un amplio estudio de referencia sobre las costumbres relativas al uso de contraseñas en Internet: A Large Scale Study of Web Password Habits (https://research.microsoft.com/pubs/74164/www2007.pdf). Sin duda, reutilizar contraseñas es cómodo, pero deja mucho que desear desde el punto de vista de la seguridad. Además, si sus empleados son tan descuidados cuando se trata de su propia protección, cabe preguntarse qué consecuencias puede tener su actitud para la empresa.

Garantizar que usen siempre una contraseña distinta en cada sitio web es la única forma de evitar el efecto dominó, que permite a los hackers acceder a varios sitios web atacando solo uno de ellos, gracias a la costumbre generalizada de usar la misma contraseña en distintos lugares.

Entonces, ¿basta con usar contraseñas distintas? No, no basta. No caiga en el error de creer que eso constituye una defensa férrea frente a cualquier ataque. Si la contraseña no es lo bastante compleja, un hacker perseverante conseguirá dar con ella. ¿Cómo? Existen varias técnicas, como probar con listas de contraseñas conocidas, palabras recogidas en el diccionario, datos personales, etc.

Si no quiere que su empresa sea un blanco fácil, lo ideal es usar contraseñas formadas por una sucesión aleatoria de letras mayúsculas y minúsculas, números y símbolos. Los directivos deberán asegurarse de que los empleados respeten esta norma, de manera que los hackers tengan que recurrir a los ataques de fuerza bruta. Además, la contraseña debe ser tan larga como sea factible, para aumentar el número de combinaciones posibles. Obviamente, la protección absoluta es inalcanzable: el objetivo es utilizar contraseñas tan eficaces que los hackers renuncien a intentar descifrarlas porque el gasto de tiempo y dinero sería excesivo. Por ejemplo, para descifrar una contraseña de 25 caracteres formada por una combinación de letras mayúsculas y minúsculas, números y símbolos, incluso un potentísimo ordenador capaz de crear millones de combinaciones distintas por segundo tardaría millones de años en probar todas las posibilidades. Para garantizar una buena seguridad de la red, es fundamental usar este tipo de contraseñas.

Lo que sin duda conviene evitar son costumbres muy extendidas pero problemáticas, como anotar las contraseñas difíciles de recordar, guardarlas en hojas de cálculo o en las notas de un teléfono, enviar recordatorios por correo electrónico o pedir al navegador que recuerde la contraseña. Se trata de prácticas habituales porque resultan cómodas, pero son inseguras por naturaleza.

Entonces, ¿qué pueden hacer usted y sus empleados para crear contraseñas seguras para cada sitio web y recordarlas fácilmente? Una solución consiste en recurrir a la autenticación tradicional de dos factores (2FA) en las instalaciones, pero por lo general estas medidas son demasiado costosas, por lo que las empresas las usan para proteger solo áreas concretas en lugar de implantarlas en todas las operaciones. Sin embargo, existe una alternativa que permite evitar la considerable inversión necesaria para adquirir, implantar y gestionar los sistemas de autenticación de dos factores en las propias instalaciones, y tampoco requiere una memoria de elefante.

El servicio en la nube Symantec Validation and ID Protection Service protege la confidencialidad de las redes, las aplicaciones y los datos, pues evita los accesos no autorizados mediante un sistema de autenticación de dos factores compatible con distintos tipos de credenciales, como tokens de hardware y credenciales generadas por software.

Si busca una solución de inicio de sesión unificado y quiere empezar a usar contraseñas más seguras, infórmese sobre el servicio Symantec Validation and ID Protection (VIP) Service. Para obtener más información sobre protección de sitios web, descargue el informe de seguridad web de Symantec.

Wissen Sie, wie viele Website-Kennwörter Ihre Kollegen im Durchschnitt haben? Sie werden es kaum glauben: 25. Beeindruckend, nicht wahr? Weniger beeindruckend ist, dass sich die meisten Internetnutzer mit nur 6,5 Kennwörtern schützen, die sie jeweils auf 3,9 Websites einsetzen. Die Zahlen stammen aus der wegweisenden UntersuchungA Large Scale Study of Web Password Habits (https://research.microsoft.com/pubs/74164/www2007.pdf). Die Beschränkung auf wenige Kennwörter ist praktisch, aber alles andere als sicher. Und überlegen Sie einmal, welche Folgen es für Ihr Geschäft haben kann, wenn Mitarbeiter diese laxe Einstellung in puncto Sicherheit auch bei Kennwörtern im Büro walten lassen.

Sie sollten also darauf achten, dass sie für jedes Konto ein eigenes Kennwort verwenden – ausnahmslos. Nur so können Sie den gefürchteten Dominoeffekt vermeiden, dass also mit den auf einer gehackten Website erfassten Zugangsdaten weitere Websites gehackt werden können. Wir alle wissen, dass dies nur zu oft geschieht.

Haben Sie damit genug getan? Nein. Ein eigenes Kennwort für jedes Konto schützt Sie nur oberflächlich. Ein entschlossener Hacker knackt früher oder später jedes nicht extrem ausgeklügelte Kennwort. Wie macht er das? Hacker arbeiten mit Listen bekannter Kennwörter, mit Wörterbüchern, personenbezogenen Informationen und ähnlichen Methoden.

Damit Ihre Kennwörter – und die Ihrer Mitarbeiter, falls Sie in leitender Position tätig sind – nicht leicht geknackt werden können, sollten sie aus einer zufälligen Folge von Groß- und Kleinbuchstaben, Ziffern, Satz- und Sonderzeichen bestehen (so zwingen Sie den Hacker zu einem Brute-Force-Angriff) und möglichst lang sein, weil die Zahl der möglichen Permutationen mit jedem Zeichen um ein Vielfaches steigt. Absolute Sicherheit gibt es natürlich nicht; mit Zeit und Geld kann alles geknackt werden. Sie können Ihre Kennwörter jedoch so sicher machen, dass sich der Aufwand für den Hacker nicht mehr lohnt. So enthält zum Beispiel ein 25-stelliges Kennwort mit Groß- und Kleinbuchstaben, Ziffern, Satz- und Sonderzeichen so viele Permutationen, dass selbst ein Supercomputer, der in einem Brute-Force-Angriff pro Sekunde mehrere Millionen Kombinationen ausprobiert, zum Durchlaufen aller Permutationen mehrere Millionen Jahre braucht. Solche Kennwörter sind das A und O solider Netzwerksicherheit.

Eine weitere beliebte, aber gefährliche Verhaltensweise, die Sie in Ihrem Unternehmen unterbinden sollten, ist das Aufschreiben der Kennwörter. Häufig werden komplexe Kennwörter in Arbeitsblätter oder Telefonnotizen geschrieben, per E-Mail verschickt oder im Browser gespeichert. Das alles ist zwar sehr praktisch, aber unweigerlich unsicher.

Die Frage ist also: Wie können Sie und Ihre Mitarbeiter mit wenig Aufwand für jede Website ein eigenes sicheres Kennwort erfinden und sich merken? Die herkömmlichen intern installierten Lösungen mit Zwei-Faktor-Authentifizierung (2FA) sind für die lückenlose unternehmensweite Implementierung meist zu teuer. Für die Anschaffung, Implementierung und Verwaltung einer 2FA-Lösung im eigenen Haus fallen so beträchtliche Kosten an, dass sich viele Unternehmen darauf beschränken, nur einzelne Bereiche zu schützen. Zum Glück gibt es jedoch noch eine Möglichkeit, die weder Ihr Budget noch Ihr Gedächtnis übermäßig strapaziert.

Der cloudgestützte Symantec Validation and ID Protection Service schützt vertrauliche Netzwerke, Anwendungen und Daten mit einer Zwei-Faktor-Authentifizierung vor unbefugtem Zugriff, wobei er verschiedene 2FA-Identitätsnachweise unterstützt – von Sicherheitshardware-Tokens bis zu mit Software erzeugten Zugangsdaten.

Wenn auch Sie die Bedeutung hochgradig sicherer Kennwörter und durchgängiger Anmeldelösungen erkannt haben, sehen Sie sich den Symantec Validation and ID Protection Service (VIP) an. Ausführliche Informationen über die Website-Sicherheit finden Sie im Symantec Website Security Threat Report.

Capitalize On The Market’s Rapid Adoption Of Mobile Devices

Drive increased revenue and become your customers’ trusted advisor by providing the integrated mobile management, protection, and security solutions they need to confidently deliver and manage applications to users anywhere, anytime.

More:

Increase Revenue byHelping Customers Realize the Promise of Virtualization

Help your customers’ take decisive steps in extending the benefits of virtualization to even their most business-critical applications and build desired private cloud services on existing infrastructure that are both secure and compliant.

Learn about the latest trends and best practices in selling virtualization solutions.

More:

The modern organization is highly dependent on information technology, simultaneously and quite unintentionally, information technology has introduced new exposures which have deceptively seeped into every layer of the financial organization.  The likelihood that an organization will experience a catastrophic loss from an IT-service interruption caused by an IT issue is far greater than an interruption coming from some disaster or ‘black swan’ event.  Still, the key to survival is allocating the appropriate amount of resources to the “right” risks; while that may include planning contingencies for a worse-case scenario, to be rational about risk more guidance regarding the investment tradeoffs that mitigate risk.

The “Big Question” is how to optimize scarce resources today, to achieve the greatest reduction in future losses.  The Big Question two components: (1) which risks are the serious ones and (2) what are the optimal risk-reduction actions.  The real problem for `traditional’ approaches like the Business Impact Analysis (BIA) and qualitative High-Medium-Low Risk analysis, is not that they are wrong, but that they offer no guidance on how to improve the situation. These traditional methods offer little advice for answering the Big Question.  In fact, they can be dysfunctional.  The unintended consequence of these outdated methods has been that the operational aspects of IT have been systematically neglected: This might be the biggest blunder in business today.  

The value of operational risk management lies not in identifying risks and exposures; the value lies in determining the optimal ‘investment’ to mitigate the most serious risks.  The cost-of-downtime and the BIA neither help identify causes nor help prioritize preventative actions.  The BIA provides little value for controlling operational risks because its primary purpose is to respond and recover, not prevent.  It overlooks the causal relationship of risk because it was never intended to treat a cause or a symptom.  It is an after-the-fact approach to produce contingencies for worse-case circumstances and not a preemptive, proactive approach to strengthen operations.

While traditional methods have inherent disconnects and do not answer the Big Question, there are things that can be done today to keep the odds in our favor.  A loss-expectancy risk model that economically quantifies operational risk will not only identify the serious risks but it also will provide the important cause-and-effect correlation needed to rationally evaluate risk-reduction tradeoffs through cost-benefit balancing. Visit the link below to read the details in Beyond Luck & Guesses: Overcoming the High Cost of Worthless Op Risk Models Click Here to Read.

はじめに

Stuxnet はコード内にバージョン番号を格納しています。コードを解析した結果、バージョン 0.5 について新しい事実が判明しました。Web サイトのドメイン登録情報によると、Stuxnet 0.5 は 2005 年には活動を開始していた可能性があります。バージョン 0.5 が拡散し始めた正確な日付は不明ですが、この初期バージョンは 2009 年 7 月 4 日にコンピュータへの感染活動を停止しています。これはバージョン 1 の作成日のわずか 12 日前です。
 

表 1. Stuxnet の既知の亜種（メインモジュールの PE タイムスタンプに基づく）
 

ここでは、Stuxnet の歴史と、Stuxnet 0.5 がその歴史のどこに位置付けられるかに焦点を当て、Stuxnet バージョン 1 までの進化をまとめてみます。
 

進化

Stuxnet 0.5 は、現在までに解析された Stuxnet で最も古い亜種です。この亜種は 2009 年 7 月 4 日にコンピュータへの感染活動を停止し、コマンド & コントロール（C&C）サーバーとの通信も同年 1 月 11 日に停止しています。コードの随所でコンパイルのタイムスタンプが見つかっており、当てにはなりませんが、ほとんどが 2001 年のようです。

Stuxnet 0.5 とそれ以降のバージョンの主な違いは、以下のとおりです。

1. 後続のバージョンは、拡散機能と脆弱性の悪用が大幅に強化されている。
2. Flamer プラットフォームのコードから Tilded プラットフォームのコードに移行した。
3. 後続のバージョンは、ウラン濃縮のバルブ破損から、遠心分離機の速度改変へと攻撃の戦略が変わっている。

1. 拡散機能と脆弱性の悪用の大幅な強化

Stuxnet は、複数の脆弱性を悪用することにより、その拡散機能と攻撃性が大幅に強化されました。Stuxnet 0.5 で確認された複製機能は、Siemens Step 7 プロジェクトファイルの感染による方法だけでした。バージョン 1.x と違い、Stuxnet 0.5 は、コンピュータ間を移動するときに Microsoft 製品のの脆弱性を悪用していません。

表 2 と表 3 に、悪用される脆弱性と拡散メカニズムの相違点をまとめました。
 

表 2. Stuxnet の脆弱性悪用の進化
 

表 3. Stuxnet の複製メカニズムの進化
 

2. Flamer から Tilded への移行

これまで Stuxnet は、Flamer プラットフォームのソースコードすべてではなく、一部のコンポーネントを利用できる何者かによって開発されたプロジェクトであると考えられてきました。しかし Stuxnet 0.5 の発見により、Stuxnet の開発者は Flamer プラットフォームの全ソースコードにアクセスできたことが明らかになっています。

Stuxnet 0.5 が部分的に Flamer をベースにしているのに対して、バージョン 1.x は主に Tilded プラットフォームをベースにしています。この間に、開発者は Tilded プラットフォームへの移行を進めたものと見られます。実際には、後のバージョンになると Tilded プラットフォームを使って Flamer プラットフォームのコンポーネントが再実装されています。

Flamer プラットフォームと Tilded プラットフォームではコードベースがまったく異なることから、別々の開発者が関与したものと推測されます。
 

3. 攻撃戦略の変化

Stuxnet バージョン 1 には、遠心分離機の回転速度を制御する Siemens 315 PLC を標的としたコードが含まれるほか、Siemens 417 PLC を標的としたコードシーケンスが不完全ながら含まれています。後者がどんな意味を持つか、当時は判明していませんでした。

Siemens 417 PLC を攻撃する完全機能版は、バージョン 0.5 ですでに発見されており、これはウラン濃縮時のバルブ動作に手を加えることを目的としています。

Stuxnet 0.5 には、この 417 を攻撃するコードしか含まれず、315 を攻撃するコードは含まれていません。

417 攻撃コードについて詳しくは、「Stuxnet 0.5: ナタンズのウラン濃縮施設に対する攻撃」を参照してください。
 

まとめ

Stuxnet 0.5 の発見により、Stuxnet の進化についてかなり解明することができました。この進化を全体の状況の中で把握するために、イランのナタンズにおける低濃縮ウラン（LEU）の生産量を表すグラフに、Stuxnet の開発上の主な日付を重ね合わせてみました。このグラフで興味深いのは、六フッ化ウラン（UF6）の供給量や LEU の生産量が落ち込んでいる部分があるほか、供給量と生産量の間で差が開いている部分があることです。
 

図 1. LEU 生産量（出典: ISIS）
 

まだ発見されていないバージョンの Stuxnet が、バージョン 0.5 より前にも、また特にバージョン 0.5 と 1.001 の間にも存在する可能性があります。2010 年に発見された部分的なコンポーネントも、依然として既知のバージョンの Stuxnet とは一致を見ていません。既知の各バージョンの主な相違点を、表 4 にまとめました。
 

表 4. Stuxnet の各バージョンの比較
 

Stuxnet 0.5 の主な特徴について詳しくは、以下のブログ、ビデオ、テクニカルホワイトペーパーを参照してください。

• Stuxnet 0.5: ミッシングリンク見つかる
• Stuxnet 0.5: コマンド & コントロールの機能
• Stuxnet 0.5: ナタンズのウラン濃縮施設に対する攻撃
• ビデオ: Stuxnet Timeline and Attack Strategy（Stuxnet の歴史と攻撃戦略）

Stuxnet 0.5 について詳しくは、シマンテックのホワイトペーパー（英語）をご覧ください。
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

バージョン 1.x と同様、Stuxnet 0.5 にも限定的ながらコマンド & コントロール（C&C）の機能が備わっています。詳しく言うと、作成者が Stuxnet 0.5 を細かいレベルまで制御できるわけではなく、Stuxnet 0.5 が新しいコードをダウンロードし、自身を更新するだけです。Stuxnet は分離されたネットワーク上で拡散させる必要があるため、自律性を前提に設計されており、細かい調整が可能なしっかりとした C&C 機能を持つ必要はありません。また Stuxnet 0.5 は、インターネットにアクセスできないネットワーク上のピアにコードの更新を伝播するために、予備としてピアツーピア（P2P）のメカニズムも利用します。

Stuxnet 0.5 には 4 つの C&C サーバーがありますが、いずれも現在は使用不可になっているか、すでに無関係の第三者によって登録されています。

Stuxnet 0.5 は 2009 年 1 月 11 日に C&C サーバーへの接続を停止するようプログラムされていますが、拡散を停止する期日はそれより数カ月も遅い 2009 年 7 月 4 日にプログラムされているという点が興味深いところです。

C&C サーバーのドメインは 2005 年に作成されており、最初に表示されるページはすべて共通です。Media Suffix という名前のインターネット広告代理店のサイトと称し、「Believe What the Mind Can Dream（夢見る心を信じよう）」というキャッチフレーズが掲載されています。
 

図 1. Stuxnet の C&C サーバーのトップページ
 

サーバーのホストは、米国、カナダ、フランス、タイに置かれた商用ホスティングプロバイダのものでした。

ほとんどの場合、Stuxnet 0.5 の最終的な標的は、インターネットから分離されたネットワークです。分離された環境にあるコンピュータで更新を実行するために、Stuxnet 0.5 は P2P のメカニズムを使っていました。更新されたバージョンのいずれかが、たとえば USB メモリを介してネットワークに侵入すると、同じネットワーク上の他の感染コンピュータもすべて、更新や新しいコードモジュールを受信します。

Stuxnet 0.5 は、P2P 通信に Windows のメールスロットを利用します。メールスロットを使うと、リモートコンピュータ上のプロセス間でメッセージを受け渡すことができます。Stuxnet 0.5 はネットワーク上のすべてのコンピュータを列挙し、以下の名前のメールスロットに接続しようとします。

\\\mailslot\svchost

次に、以下のコールバックメールスロット名を指定します。

\\\mailslot\imnotify

Stuxnet 0.5 はこのようなメールスロットを使って P2P 通信を実現し、他のバージョンに更新を配布します。しかも、匿名ログインを許可して 4 つのファイル共有（temp$、msagent$、SYSADMIN$、WebFiles$）を開くようにシステムを設定できるので、一連のファイルを共有してピア感染によって取り込めるようになります。

Stuxnet 1.x でも P2P による更新メカニズムは採用されていますが、実装方法が異なり、リモートプロシージャコールが使われています。

Stuxnet 0.5 の各コンポーネントについて詳しくは、以下のブログ、ビデオ、テクニカルホワイトペーパーを参照してください。

• Stuxnet 0.5: ミッシングリンク見つかる
• Stuxnet 0.5: その進化の過程
• Stuxnet 0.5: ナタンズのウラン濃縮施設に対する攻撃
• ビデオ: Stuxnet Timeline and Attack Strategy（Stuxnet の歴史と攻撃戦略）

Stuxnet 0.5 について詳しくは、シマンテックのホワイトペーパー（英語）をご覧ください。
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

select name, compatibility_level from sys.databases

イランのナタンズにあるウラン濃縮施設で使われているプログラマブルロジックコントローラ（PLC）に Stuxnet が及ぼす影響について初めて詳しく報告したとき、シマンテックは 2 つの攻撃戦略を文書にまとめました。また、417 PLC 機器を標的とする亜種が無効化されていたことも指摘しています。今回シマンテックは、417 PLC 機器に対する完全機能版の攻撃コードを備えた初期バージョンの Stuxnet を入手しました。

綿密な解析の結果、417 PLC 機器に対する攻撃コードは、気化した UF6（六フッ化ウラン）をウラン濃縮遠心分離機に供給するときに使われるバルブの状態を変化させることが確認できました。この攻撃でバルブが閉鎖されると、給気が停止され、遠心分離機と関連システムの破損につながります。しかも、このコードはシステムの通常の運転状態についてスナップショットを作成し、攻撃中にこの通常運転の値を再生するので、オペレータはシステムが正常に動作していないことに気づきません。また、攻撃サイクルの途中でオペレータが設定の変更を試みても、バルブの状態は変更できないようになっています。
 

図 1. Stuxnet 0.5 の攻撃戦略の概要
 

Stuxnet 0.5 が Stuxnet の初期バージョンだとすれば、417 に対する攻撃が当初の戦略であり、その後は Stuxnet 1.x バージョンで使われていたように、遠心分離機の速度を変える方法に方向転換したようです。

Stuxnet 1.x にはコードに欠落がありましたが、それが Stuxnet 0.5 に存在します。この欠落部分は、417 攻撃戦略を展開する前に標的システムのフィンガープリンティングを実行し、必須の PLC データブロック（DB8061）を作成するコードです。これでようやく、意図されていた 417 攻撃戦略の全容を解き明かせるようになりました。
 

標的となるシステム構成のフィンガープリンティング

このバージョンの Stuxnet は、幅広く標的システムのフィンガープリンティングを実行したうえで、ペイロードを発動する前に、そのシステムが正しい場所にあるかどうかを確認します。これを判断するために、Stuxnet は侵入先のシステムで Step 7 ソフトウェアが実行されているかどうかを調べ、標的システムのシンボルテーブルを解析します。シンボルテーブルには、標的システムの物理機器それぞれに関する識別ラベルが記録されています。たとえば、バルブ、ポンプ、センサーなどに重複しない識別子が付けられています。シンボルラベルは、配管/計装図（P&ID）に使われる計装記号と識別情報（Instrumentation Symbols and Identification）に関する ANSI/ISA-5.1の規格に緩やかに従っています。
 

図 2.イランのウラン濃縮施設で使われている P&ID 図の例（出典: PressTV）
 

Stuxnet がこのシンボルテーブルで検索する機器とラベルを、以下の表に示します。
 

表 1. Stuxnet の標的になった機器のタイプとラベル
 

各機器に対するラベルは、以下に示す特定のフォーマットに従っています。

たとえば、モジュール A21 のバルブはカスケード 8 にあり、遠心分離機 160 に対応するので、ラベルは「PV-A21-8-160」となります。

このような文字列の解析に使われるロジックから、さらに興味深い手掛かりも得られます。たとえば、カスケードモジュールは A21 から A28 の間でなければなりません。これが、イランのナタンズにおけるカスケードモジュールの既知の構成に一致する範囲だからです。Stuxnet は、モジュールごとに最大 18 段のカスケードを想定し、164 台の遠心分離機をカスケードごとに 15 のステージにグループ分けします。これも、ナタンズの施設について公開されている構成と一致しています。

さらに遠心分離機の数は、以下の表のように、ステージごとに配分されることになっています。
 

表 2.処理ステージと遠心分離機の構成
 

各ステージでは、遠心分離機がさらに 4 台ずつのサブクラスタにグループ分けされます。

フィンガープリンティングの際、Stuxnet は想定した構成に一致する機器ごとにカウンタを記録します。このカウンタが一定のしきい値を超えると、Stuxnet はフィンガープリンティング中のシステムが標的システムの構成に一致したと見なし、攻撃用の PLC コードをインジェクトします。また、最大 18 段のうち値の大きい順に 6 段のカスケードを特定し、その情報を機器のアドレスや構成情報とともに、データブロック DB8061 に保存します。
 

攻撃のプロセス

バージョン 1.x の Stuxnet と同様、417 PLC 機器に対する攻撃コードは、8 種類の状態をとりうるステートマシンで構成されています。これらの状態が、18 段中 6 段のカスケードのバルブを閉鎖することで攻撃を実行します。
 

図 3. 417 PLC 機器に対する攻撃コードの状態フロー図
 

• 状態 0 - 待機: システムの識別を実行し、攻撃の前に濃縮プロセスが定常状態に達するまで（およそ 30 日間）待機する。
• 状態 1 - 記録: 周辺機器のスナップショットを作成し、後で再生する偽の入力ブロックを構築する。
• 状態 2 - 遠心分離機のバルブを攻撃: 偽の入力信号の再生を開始する。最初の給気ステージバルブを除き、大部分の遠心分離機でバルブを閉鎖する。
• 状態 3 - 二次圧力を読み取り: 1 段のカスケードの最終ステージでバルブを開き、低圧力の値を読み取る。
• 状態 4 - 圧力変化を待機: 所定の圧力変化または制限時間まで待機する。所要時間は最大 2 時間。
• 状態 5 - 補助バルブを攻撃: 最初の給気ステージ（ステージ 10）に近いと考えられるバルブを除き、すべての補助バルブを開く。この状態で 3 分間待機する。
• 状態 6 - 攻撃の完了を待機: いっさいの状態変更をさせないようにしたまま 6 分間待機する。
• 状態 7 - 終了: リセットして状態 0 に戻る。

ほぼすべてのバルブを閉鎖しますが最初の給気ステージバルブは例外なので、UF6 は引き続きシステムに流入します。この動作だけでも遠心分離機そのものを破損するには十分ですが、Stuxnet は運転圧力が通常の 5 倍に達することを想定しています。圧力がそのレベルに達した場合、ウラン濃縮システムに甚大な損害が発生し、UF6 は気体から固体に戻ることもあります。

こうした想定どおりに攻撃が成功するのかどうかは、依然として不明です。仮に攻撃に成功したとしても、攻撃者は別の戦略に転じることを決定し、Stuxnet バージョン 1.x では、遠心分離機そのものの速度に対して攻撃を仕掛けることにしました。

遠心分離方式のウラン濃縮システムについては、ISIS（Institute for Science and International Security）から継続的に情報をご提供いただきました。ここに感謝の意を表します。

Stuxnet 0.5 の主な特徴について詳しくは、以下のブログ、ビデオ、テクニカルホワイトペーパーを参照してください。

• Stuxnet 0.5: ミッシングリンク見つかる
• Stuxnet 0.5: その進化の過程
• Stuxnet 0.5: コマンド & コントロールの機能
• ビデオ: Stuxnet Timeline and Attack Strategy（Stuxnet のタイムラインと攻撃戦略）

Stuxnet 0.5 について詳しくは、シマンテックのホワイトペーパー（英語）をご覧ください。
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

大きな行事や休日は、いつもお祝い気分で迎えたいものです。残念ながら、わずかな隙さえ狙ってくるスパマーも、ここぞとばかりに群がってきます。シマンテックでも確認されているとおり、スパムメールの急増は、こうした休日と切っても切り離せない縁があります。

2 月 23 日の「祖国防衛の日」も、そのような機会のひとつです。これはロシアの祝日ですが、ベラルーシやタジキスタンなど旧ソビエト連邦の諸国でも祝われます。退役軍人などに敬意を表するパレードや行進が催されるほか、女性から、父親や夫、同僚など身近な男性にささやかな贈り物をする習慣もあります。そこから、この日は「男性の日」とも呼ばれています。

そのため、スパムメールのほとんどは記念品やプレゼント、あるいはバイアグラのような男性向け医薬品が関係しています。このような電子メールの例を以下に示します。

件名: Волшебные подарки на 23 февраля
翻訳: 2 月 23 日に魔法の贈り物

バレンタインデー、祖国防衛の日、国際女性デー（3 月 8 日）はいずれも、異性に対する感謝の気持ちを分け合うという共通点があるので、スパムに掲載される偽の商品や広告のタイプも自然と似たようなものになります。

迷惑メールや心当たりのない電子メールに注意し、このような広告からはプレゼントや商品を買わないようにしてください。スパマーの多くは、こうした手口で収集した口座情報や個人情報を他のスパマーやハッカーに売り渡すので、さらに別のグループからのマルウェアやフィッシング、スパム攻撃が増える結果になります。このようなリスクから身を守るために、セキュリティソフトウェアは常に最新の状態に保つようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Adobe Flash は、インターネットで最も普及している製品の 1 つですが、その世界的な普及度のために、頻繁にサイバー犯罪者の標的にされています。犯罪者はソーシャルエンジニアリングの手法を用いて、偽の Flash 更新サイトからマルウェアを配布します。ソフトウェア更新を探しにきた無防備なユーザーが、それに騙されて知らないうちにマルウェアをインストールしてしまうわけです。

最近も、Adobe Flash Player の更新ページに偽装している次のサイトを発見しました。

http://16.a[削除済み]rks.com/adobe/
 

図 1.偽の Adobe Flash 更新ページ
 

攻撃者は、もっともらしいランディングページを作成していますが、つじつまの合わないところもいくつかあります。大半のリンクは攻撃側のドメインに戻されて解決します。マルウェア自体へのリンクを除けば、ページ内のすべてのリンクはサイトのルートディレクトリに戻されて解決し、404 エラーになります。

攻撃者の主な目的は、インストールを成功させて、2 つのオプションをユーザーに提示し、どちらに転んでも思い通りの結果を得られるようにすることです。

オプション 1 は、flash_player_updater.exe というファイルのダウンロードを要求するポップアップメッセージです。

オプション 2 は、update_flash_player.exe というファイルのダウンロードを要求する［Download Now（今すぐダウンロード）］ボタンです。

シマンテックは現在、どちらのファイルも Downloader.Ponikとして検出します。

この脅威を分析する中で明らかになったのは、2 つのファイルが、パスワードを盗むだけでなく、一般的なクライアントすべてを対象に FTP/telnet/SSH の証明書を探しているらしいということです。さらに、どちらのファイルも SMTP、IMAP、POP3 のクレデンシャルを監視しています。

この 2 つのファイルは同じものですが、動作が違います。いずれも不正な利益を狙ったものですが、オプション 1 はランサムウェアをインストールし、オプション 2 は広告クリック処理コンポーネントをインストールします。
 

オプション 1
 

図 2.コマンド & コントロール（C&C）サーバー
 

flash_player_updater.exe ファイルは、次の URL に対する /POST 要求をポート 8080 で開きます。

http://lum[削除済み]th.com/forum/viewtopic.php

このトロイの木馬は、次の場所からファイルをダウンロードするためのコマンドを受信します。

• http://ocean[削除済み]ba.co.za/
• http://sys[削除済み]55.info/
• http://topaz[削除済み]al.net/

3 つのサイトにあるファイルはまったく同じものであり、場所が 3 つも用意されているのは、攻撃力が弱まらないようにするためです。何らかの理由でいずれかのサイトにアクセスできなくなっても、他の場所から通信できるようにしているのです。シマンテックは、これらの 3 つのファイルを Trojan.Ransomlock.Qとして検出します。

このファイルがコンピュータで実行されると、Trojan.Ransomlock.Q の新しい亜種が侵入先のコンピュータにコピーされます。

次に、このトロイの木馬は、次のコマンド & コントロール（C&C）サーバーに接続して、侵入先のコンピュータがロックされる前に暗号化済みのファイルをダウンロードします。

http://c[削除済み]l.ru
 

図 3.暗号化済みファイルのダウンロード
 

図 4.数分後に表示される Ransomlock の画面
 

図 5.ページの最後にある「cibercrime」というスペルミス
 

さらに興味深いことに、このマルウェアは、侵入先のコンピュータで実行されているウイルス対策ソフトウェアのブランドを検出し、デフォルトの Windows ロゴの上にそのウイルス対策ソフトウェアメーカーのロゴを重ねて表示します。シマンテックは、この脅威に対する保護対策をすでに提供しているため、マルウェアの機能を正しくテストするために、ノートン 360 を一時的に無効にせざるをえませんでした。
 

図 6. Windows ロゴの上にノートンのロゴを重ねて表示するランサムウェア
 

MoneyPak は 14 桁の数値を使用しているので、試しに 14 桁のコードを適当に入力してみたところ、次のような画面が表示されました。
 

図 7.コンピュータのロックを解除することを約束する偽のメッセージ
 

この通信データは暗号化されて、次の場所にある C&C サーバーに送り返され、検索用に格納されます。

http://c[削除済み]l.ru

当然ながら、これでロックが解除されることはありません。
 

オプション 2

update_flash_player.exe ファイルは、次の URL に対する /POST 要求をポート 8080 で開きます。

http://lum[削除済み]th.com/forum/viewtopic.php

このトロイの木馬は、次の場所からファイルをダウンロードするためのコマンドを受信します。

• twinp[削除済み] ng.com/
• labos[削除済み]ra.eu/
• ftp.calm[削除済み]ge.com/

侵入先のコンピュータにファイルがインストールされ、クリック詐欺がバックグラウンドで秘かに実行されます。
 

図 8.クリック詐欺のトラフィック
 

シマンテックは、これらのファイルに対する保護を提供しており、Trojan Horseとして検出します。

そもそも被害に遭わないようにするために、ウイルス対策の定義ファイルやソフトウェアは定期的に更新するようにしてください。また、無関係の第三者のサイトから更新をダウンロードするのではなく、表示されたダウンロード URL は常に入念に確認してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

While managing Operational Risk for a large IT organization, one of my responsibilities was to work with Corporate Operational Risk to define Key Risk Indicators (KRIs) KRIs were monitored at a corporate level.  We took the easy route by using canned reports that were already in production rather than taking the time to evaluate what may be useful to measure. We looked at things such as spam activity and external firewall activity.  These KRIs provided very little value, as they were not actionable.  If blocked spam activity went up or down, what could be done about it? If the firewalls were being scanned more frequently, was there much, if anything, we could do?   When I speak with clients today about reporting and KRIs, I encourage them to measure and report on areas where action can be taken and is useful to the organization.
 
I recently dealt with a number of customers who experienced MAJOR Severity 1 issues.  The impact and duration of the issues could have been drastically reduced if simple monitoring and reporting had been in production. For this exercise, let’s look at the endpoint protection environment, what can be measured and monitored with KRIs, how KRIs can help reduce major issues and alert you to other issues within your environment.  The frequency to review KRIs and take actions to correct is an organizational preference, but I would recommend no less than monthly.
 
Metrics to Review
 
Viruses detected-Is there a virus activity with the environment that is being detected?  Even if there is a small amount of activity you need to ask the question, “How is the malware getting in?”  Email, web downloads, USB?  Are there issues with other layers of protection are not working and should be addressed to stop this activity from entering your environment?
 
Definition age- How old are the definitions? Are there clients with definitions that are out of date by 3, 5, 7 days or longer? What is the root cause?  Server issues? Connectivity issues?  If you need to rapidly release definitions to your clients and they are not getting regularly updated, this will cause additional issues and may compound things in a time of crisis.
 
Versions of clients\ Features Enabled- Are all of your clients on a consistent version and feature set enabled?  If not, why? If there is an outbreak, having inconsistent versions can lead to more confusion when trying to correct the issue.
 
Number of clients with protection running- Do the majority of your clients have endpoint protection installed and running?  Compare the numbers from your report to things like active directory and look for the gaps.  If there are major gaps, determine why then correct it.
 
When discussing Endpoint Protection Environments with customers, I typically make a couple of other recommendations outside the area of monitoring\KRIs.  They have to do with the feature set that is enabled as well as the version of protection you are running.   If you are not running the full feature set, you are severely limiting the protection provided and may experience issues.  When was the last time you had a health check conducted on your Endpoint Protection Environments endpoint protection environment? Symantec offers this service that can identify issues before you are in an emergency situation.
 
In closing what I’ve mentioned are just a few of the many metrics\KRIs that can be monitored to instantly add value and potentially reduce or eliminate the severity of incidents within your environment.  Are there other metrics or KRIs that you find value in monitoring?  If so, I would love to hear about what you are monitoring. 

We are in the planning process for the next Salt Lake City Endpoint Management User Group meeting, and would like your feedback on what the Symantec presentation should be. Please take a few seconds to vote on one of the suggested topics. If the topic you're interested isn't listed, please offer suggestions in the comment section below.