Quantcast
Channel: Symantec Connect - ブログエントリ
Viewing all 5094 articles
Browse latest View live

A note on things to come

0
0

January was a busy month with the release of aila2 here on Connect.

Interestingly enough it feels like I have spent much more time documenting the tool-kit and features than coding it, and I'm not completely done yet.

So, in order to motivate myself to publish some long awaited articles or downloads, here's a quick list of things to come:

  • A wrap-up for aila2-version 1 containing a couple of installation files and the toolkit in a single zip
  • A gauge control for Patch Compliance Trending to provide global compliance status at a glance
  • A toolkit to link multiple Patch Trending sites to provide a global view for large environments
  • A Managed Delivery execution reporting toolkit, to display software execution over time

The 1st item is almost complete and was used in a few production environment already and should be available real soon.

The 2nd and 3rd items are needed because we have large customers moving to my ZeroDayPatch and Patch Trending. This should not be very hard to document as I built something similar for one of my customer, where we have 3 child Management Platforms each with their Patch Trending site.

The 4th item should be fill-in another need to quickly and easily display software execution overtime, and I think I'll start writing this one on Connect using the blog feature to document the coding and testing process before publishing a download once the tool qualifies for release.

So if you are interested in participating feel free to Connect :D.


NOTICE OF END OF STANDARD SUPPORT AND END OF SUPPORT LIFE for Altiris Management Solutions v7.0x & 7.1x components

0
0
 
On October 7, 2013 version 7.5 of ITMS was made generally available.  Symantec Corporation will End of Life (“EOL”) the earlier releases of this product including Components, Agents, Options any Maintenance Packs (MPs) and/or patches for each version, in all released languages. This notice describes the timelines for the delivery of support services for these products that have reached their EOL.
    

Product

Version

End of Life Date

End of Limited Support and Start of Partial

End of Support Life

Altiris™ Inventory Solution

(all platforms)

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

Altiris™ Monitor Solution

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

Altiris™ Out of Band Management Component

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

Altiris™ Patch Management Solution

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

Symantec™ pcAnywhere Solution

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

Altiris™ Software Management Solution

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

Altiris™ IT Analytics

7.0 - 7.1

7, October 2013

6, March 2016

6, March 2016

 
                            
 
Altiris version 6.x: renewing maintenance or acquiring additional licenses between 3, September 2013 and 7, March 2014. 
Note:  Symantec encourages 6.x customers to upgrade to the current 7.5 version.  Should you have any questions, please contact your Symantec Account Manager. 
 
On 7, March 2014 all Altiris 6.x version products except for Deployment Solution 6.9 will reach the end of support life. (Hereafter, references to 6.x should be understood to exclude Deployment Solution 6.9.)
 
Currently, Altiris 6.x customers who wish to renew their maintenance or acquire additional licenses are able to do so using the current Altiris 7.1 product SKUs. This is because these SKUs are configured to fulfill licenses sufficient to run either 7.x or 6.x versions.
 
With the general availability of Symantec™ ITMS 7.5 and all if its subcomponent products on 7, October 2013, the new Symantec™ 7.5 product SKUs will not be configured to fulfill licenses sufficient to run 6.x versions, only 7.x versions.
As a result, Symantec 6.x customers wanting to renew maintenance or acquire additional licenses between 3, September 2013 and 7, April 2014 must use the older 7.1 SKUs which will be active during that six month period.
 
 
SUPPORT LIFE CYCLE
End of Life Products/Versions identified in the table above will receive the following support services: 
 
STANDARD SUPPORT: Provided the customer maintains a current support subscription for the product, Symantec will provide Standard Support for issues at all severity levels until the date identified in the table above, namely, 30 months after the date of EOL.  “Standard Support” means a level of Support Services that we provide to you in response to a Case. A technical support engineer and/or applicable engineering resources will provide Fixes, and error corrections for your Licensed Software. Standard Support is limited to modifications or additions to the Licensed Software that establish or restore substantial conformity with its Documentation. Standard Support also includes access to Content Updates (if applicable) as described herein. We will determine when it will be most effective to develop a new Fix, such as cases where there has been data loss, production system down, or significant security vulnerabilities identified, or other significant product defects. For other types of Problems, we will typically either provide an existing Fix, or may provide Solution Delivery through a regularly scheduled Maintenance Pack, Minor Release, or future Software Version Upgrade. Note that sometimes “Standard Support” may be referred to as “Full Support” or “Normal Support.”
 
During this thirty month period, we will determine when it will be most effective to develop a new Fix, such as cases where there has been data loss, production system down, or significant security vulnerabilities identified, or other significant defects. For other types of Problems, we will typically either provide an existing Fix, or may provide Solution Delivery through a regularly scheduled Maintenance Pack or , or we may consider the Problem in developing a future Software Version Upgrade. Customers may also access Content Updates during this thirty (30) month period as well. At the end of this thirty (30) month period, we will stop providing Standard Support.
 
PARTIAL SUPPORT: At the end of the thirty (30) month period described above, we will cease providing any Standard Support, and we will cease providing any Content Updates. Instead, we will provide “Partial Support” for all Cases at all Severity Levels. “Partial Support” is a more limited level of Support Services than you would receive under “Standard Support.” Partial Support is when our technical support engineer provides you with known Fixes/Patches/Workarounds, existing Maintenance Packs, or information from our technical knowledge base in response to your request for assistance. Partial Support does not include development of any new modifications to your Licensed Software. Nor will we attempt to reproduce the Problem or escalate issues through management channels or to our engineering resources. Such Partial Support will be subject to the availability of resources, and we may need to limit the time we are able to spend on the Problem.
 
Partial Support will end seven (7) years from GA of the applicable Major Release, and the previous versions identified in the table above will reach “End of Support Life.”
 
END OF SUPPORT LIFE: When the previous versions identified in the table above reach their End of Support Life, we will cease providing any Standard Support and any Partial Support.Please refer to the worldwide Symantec Corporation Enterprise Technical Support Policy (“Policy”) This Policy may be updated from time to time, and a current version is located at:http://www.symantec.com/enterprise/support/Symantec_Support_Policy.pdf    In the event of conflict between timelines or deliverables stated in this notice letter and those stated in the Policy, the terms of this notice letter will control to the extent of such conflict, and only with respect to the specific products and versions covered in this notice.
 
In order to receive timely notification on updates and the support lifecycle for your Symantec product please be sure to sign up at the following link to receive our Technical Support News Bulletins.   http://www.symantec.com/enterprise/support/news_bulletins/
Also we recommend that you periodically check our website by selecting your product, then release details, for information with respect to End of Life and End of Support Life for your specific Licensed Software.
http://www.symantec.com/enterprise/support
 
 
 
 
 
Article URL http://www.symantec.com/docs/TECH210632

{CWoC} Software Delivery execution trending project overview

0
0

Introduction

I have done a few project with the Google Chart API's now [1][2][[3] and I am becoming addicted to the results it provides. There's nothing like a line chart to show you at a glance what is happening in a given environment, and to help you work out if the behaviour of a given environment is standard or out of bound (indicating a problem).

I have tackled the Patch Management trending requirements, but lately I have found out that I would really need to have something similar to show the Software Delivery Execution data overtime.

For example we have started deploying the R7+ agents (Core, PAtch and Inventory) to 30,000+ computers worldwide, and 4 days in the proces I would like to be able to show how fast the environment reacted and if there was any problem (as I know there were ;-).

So here's an overview of how the tool would / should work to provde the features in a simple manner:

Data source

We want to tap on the Evt_AeX_SWD_Execution table. This table holds information for a few days or weeks (depending on how many computers you have and your dataclass max rows configuration) and has the following fields of interest (using firendly name instead of the column names for simplicity):

  • Computer guid
  • SWD Policy Name
  • Package Name
  • Execution time
  • Return Code

Data consumption

I am currently considering 2 mode of data consumption. Dynamic and Static. So lets lay down both options here. We'll decide on what to implement first at a later stage.

Static consumption

Much like aila2 and patch trending the static consumption would save data to file for consumption via a WebUI at a later point in time. This method has a few benefits:

  • Database access is done all during one daily execution
  • Static web-content is super scalable unlike database boundpages
  • Data retention could allow to trak execution over a long time period (far beyond what you would get from the data table itself)

But it also has some potential downsides:

  • You can't save data for all SWD Execution everyday (or can you?)
  • Why save data if it's never used?

Dynamic consumption

Like in the SMP console the dynamic version of this tool would connect to the database to retrieve the list of Software Delivery policies (they are not necessarily Managed Delivery, so we'll stick with the SWD term) and provide them to the WebUI. The user then selects or click on the policy he/she wishes to track and a page loads the data (execution count per hour for n days or the full table).

This is the simplest view, and most likely wil be our starting point.

Conclusion

I guess I'll be starting asap on this with a build of the dynamic consumer. I probably will get started with the SQL back-end to list the policies by execution count or names, and then the SQL needed to get the line graph data. But this, will be another post!

References

[1] aila-web (deprecated)
[2] Patch trending
[3] aila2-web2

{CWoC} Trending SWD Execution - quick samples page

0
0

Introduction:

A few hours only past since my first post [1] on this matter, but there's nothing like Connect to keep the momentum.

So this evening I have 3 elements to add to the project:

  • The generic SQL query to summarise the content of the SWD Execution table
  • The houlry exec count per Advertisement Name
  • A sample page with a chart to validate the basic look and feel

SQL Query I:

The first query I ran is very simple: list all the software delivery execution in the event table by run count. Order the result by count descending, and lilmit the data set to 100 results, albeit we could limit the dataset to any policy that has more than n execution just as well:

select top 100 AdvertisementName , COUNT(*) as '#'
  from Evt_AeX_SWD_Execution
 group by AdvertisementName, AdvertisementId
 order by COUNT(*) desc

Note that we use the AdvertisementId field in the group by as a safety measure, in case we have multiple policies with the same name.

SQL Query II:

With the first stage of our 'rocket' done (I'm into rocket nowadays), we can tackle the 2nd stage now, with a hard coded variable (the policy name) instead of dynamic data:

select AdvertisementName , COUNT(*) as '#', DATEPART(YY, e.Start) as 'Year', DATEPART(MM, e.Start) as 'Month', DATEPART(DD, e.Start) as 'Day', DATEPART(hh, e.Start) as 'Hour'
  from Evt_AeX_SWD_Execution e
 where e.AdvertisementName = 'XYZ'
 group by AdvertisementName, DATEPART(YY, e.Start), DATEPART(MM, e.Start), DATEPART(DD, e.Start), DATEPART(hh, e.Start)
 order by DATEPART(MM, e.Start) desc, DATEPART(DD, e.Start) desc, DATEPART(hh, e.Start) desc
There is nothing really special about this query. It returns execution count broken down by date(YYYY, MM, DD) and the hour of the day in descending order (most recent first).

Formatted results:

With a basic stage 1 and 2 we can now work on the payload: transforming the result set into a Javascript array that will be consumed by the Google Chart API. Here's what the results from Query II looks like after manual editing:

[
		['Hour', 'Exec #'],
		['2014-02-04 21',189], 
		['2014-02-04 20',1041], 
		['2014-02-04 19',699], 
		['2014-02-04 18',996], 
		['2014-02-04 17',3624], 
		['2014-02-04 16',6731], 
		['2014-02-04 15',1751], 
		['2014-02-04 14',2185], 
		['2014-02-04 13',2941], 
		['2014-02-04 12',11994], 
		['2014-02-04 11',3655], 
		['2014-02-04 10',5685], 
		['2014-02-04 09',13165], 
		['2014-02-04 08',21919], 
		['2014-02-04 07',5920], 
		['2014-02-04 06',2114], 
		['2014-02-04 05',734], 
		['2014-02-04 04',941], 
		['2014-02-04 03',598], 
		['2014-02-04 02',688], 
		['2014-02-04 01',820], 
		['2014-02-04 00',1613], 
		['2014-02-03 23',1328], 
		['2014-02-03 22',1493], 
		['2014-02-03 21',1528], 
		['2014-02-03 20',5135], 
		['2014-02-03 19',1190], 
		['2014-02-03 18',1264], 
		['2014-02-03 17',3099], 
		['2014-02-03 16',29990], 
		['2014-02-03 15',6941], 
		['2014-02-03 14',727], 
		['2014-02-03 13',88], 
		['2014-02-03 12',7]
]

Sample Chart rendered in Chrome:

The full html code is shown below, but rather than detailing it (it's very very simple) let's look at the output in Chrome:

swd-exec-sample.png

Conclusion:

The result is quite interesting, but a little plain.

So I wouldn't want this to be the only data displayed in a full browser page (this would be an acceptable view on a pop-up inside the console, after a right click on a policy for example).

So I'm thinking about the next step: we probably want to have two line in there: the first (blue) for success, the second (red) for failures.

And also I think that we could build up a page with 20 ~ 50 charts quite easily, to provide side by side comparison (not quite like the calendar view in aila2 but something along this line).

We shall see!

References:

[1] https://www-secure.symantec.com/connect/blogs/cwoc-software-delivery-execution-trending-project-overview

Full sample html code:

<!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Strict//EN''http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd'>
<html xmlns='http://www.w3.org/1999/xhtml'>
<head>
	<title>aila2-web: Result Viewer</title>
	<script type="text/javascript" src="https://www.google.com/jsapi"></script>
	<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js"></script>
</head>
<body>
	<h3 id ="hourly_chart">Hourly hit counts</h3>
	<div id="hourly_chart_div" style="width: 900px; height: 300px;"></div>
</body>
	 <script type="text/javascript">
		google.load("visualization", "1", {packages:["corechart"]});
		google.setOnLoadCallback(drawCharts);

		function drawCharts() {
			var table = [['Hour', 'Exec #'],['02-04 21',189], ['02-04 20',1041], ['02-04 19',699], ['02-04 18',996], ['02-04 17',3624], ['02-04 16',6731], ['02-04 15',1751], ['02-04 14',2185], ['02-04 13',2941], ['02-04 12',11994], ['02-04 11',3655], ['02-04 10',5685], ['02-04 09',13165], ['02-04 08',21919], ['02-04 07',5920], ['02-04 06',2114], ['02-04 05',734], ['02-04 04',941], ['02-04 03',598], ['02-04 02',688], ['02-04 01',820], ['02-04 00',1613], ['02-03 23',1328], ['02-03 22',1493], ['02-03 21',1528], ['02-03 20',5135], ['02-03 19',1190], ['02-03 18',1264], ['02-03 17',3099], ['02-03 16',29990], ['02-03 15',6941], ['02-03 14',727], ['02-03 13',88], ['02-03 12',7]];
			var data_hourly = google.visualization.arrayToDataTable(table);
			var options_hourly = {
			  //title: 'Hourly statistics',
			  hAxis: {title: 'Hour'}
			};

			var chart_hourly = new google.visualization.LineChart(document.getElementById('hourly_chart_div'));
			chart_hourly.draw(data_hourly, options_hourly);
		}
    </script>
</html>

Adobe Issues Patch for Exploitable Vulnerability in Flash

0
0

Adobe has published a Security Bulletin for Adobe Flash Player CVE-2014-0497 Remote Code Execution Vulnerability (CVE-2014-0497). The new Security Bulletin, APSB14-04, identifies an integer underflow vulnerability which affects various versions of Adobe Flash Player across multiple platforms. Exploitation of this critical vulnerability could allow an attacker to remotely execute arbitrary code. Adobe has acknowledged that exploitation of the vulnerability has been reported in the wild.

Per the bulletin, the following versions of Adobe Flash Player are vulnerable:

  • Adobe Flash Player 12.0.0.43 and earlier versions for Windows and Macintosh
  • Adobe Flash Player 11.2.202.335 and earlier versions for Linux

Symantec Security Response is continuing to monitor the situation for additional information related to this vulnerability and will provide further guidance once it is available. We recommend applying the vendor supplied patches to mitigate possible exploitation. Updates can be obtained directly from the Adobe Flash Player Download Center or by accepting the update prompt through the installed product. Versions of Flash Player embedded in Chrome and Internet Explorer can be updated to non-vulnerable versions by updating the respective browsers.

Adobe 社が Flash に存在する悪用可能な脆弱性に対するパッチを公開

0
0

Adobe 社は、Adobe Flash Player に存在するリモートコード実行の脆弱性(CVE-2014-0497)に対するセキュリティ情報を公開しました。この新しいセキュリティ情報 APSB14-04 によると、複数のプラットフォームで、さまざまバージョンの Adobe Flash Player に影響する整数アンダーフローの脆弱性が存在します。攻撃者は、この深刻な脆弱性を悪用して、リモートから任意のコードを実行できる可能性があります。Adobe 社では、この脆弱性がすでに悪用されていることを確認しています。

セキュリティ情報によれば、次のバージョンの Adobe Flash Player に脆弱性が存在します。

  • Windows および Macintosh 用の Adobe Flash Player 12.0.0.43 およびそれ以前のバージョン
  • Linux 用の Adobe Flash Player 11.2.202.335 およびそれ以前のバージョン

シマンテックセキュリティレスポンスは、今後も継続して状況を監視し、この脆弱性に関する追加情報が確認でき次第お知らせいたします。また、脆弱性悪用の可能性を軽減するために、Adobe 社が提供しているパッチを適用することをお勧めします。更新プログラムを入手するには、Adobe Flash Player のダウンロードセンターに直接アクセスするか、またはインストール済みの製品で表示される更新確認を承諾してください。Chrome および Internet Explorer に同梱されている Flash Player は、それぞれのブラウザを更新することで、脆弱性の存在しないバージョンに更新できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

POS マルウェアと攻撃手口の解明

0
0

POS_concept.jpg

サイバー犯罪者がクレジットカード情報を求める貪欲さには、際限がありません。オンラインで情報を盗み出す手口はいくつもありますが、なかでも狙いやすい標的が POS システムです。小売店の店頭レジ端末(POS)システムにおける購買額の 60% が、クレジットカードまたはデビットカードを使って支払われているという統計もあります。大規模な小売店では POS システムを使って毎日何千件という取引が処理されていることを考えれば、大量のクレジットカードデータを入手しようとしているサイバー犯罪者が POS 端末を集中的に狙うのも当然でしょう。POS システムに対する攻撃の手口と、その攻撃から保護する方法については、「Attacks on Point of Sales Systems(POS システムに対する攻撃)」と題したホワイトペーパー(英語)を参照してください。

今でも、クレジットカードやデビットカードのデータを各種の形式で公然と販売しているインターネットフォーラムが多数存在します。特に知られているのが「CVV2」というフォーラムで、ここではクレジットカード番号とともに、通常はカードの裏面に記載されている CVV2 セキュリティコードも売られています。カード番号と CVV2 コードだけでもオンラインショッピングは可能になりますが、一部のフォーラムではさらに儲けにつながる「Track 2」というデータまで売られています。Track 2 は、カードの磁気テープに記録されているデータの簡略形式で、このデータがあれば犯罪者はカードを複製してさらに利益につなげることができます。実店舗でもカードを使えるようになり、暗証番号まで手に入れれば ATM も利用できるからです。データの価値はオンラインフォーラムでの販売価格に反映されますが、その価格はデータの種類によって大きく異なります。CVV2 データの販売額はカード 1 枚あたり 0.1 ~ 5 ドル程度ですか、Track 2 データとなるとカード 1 枚あたり 100 ドルにも相当する場合さえあります。

 

Fig1_6.png

図. インターネット上のフォーラムで売られているクレジットカードデータ

では、犯罪者はどうやってクレジットカードのデータを手に入れるのでしょうか。よく知られているのはスキミングという手口で、POS 端末に別の装置を取り付け、そこで使われたカードから Track 2 データを読み取ります。ただし、この手口では POS に物理的に接触しなければならず、取り付ける装置の費用も掛かるため、大々的に実行するのは容易ではありません。この問題に対処するために犯罪者が注目しているのが、POS マルウェアというソフトウェアによる解決策です。POS マルウェアで大規模小売店を狙えば、1 回の攻撃で何百万枚ものカードのデータを集めるすることができます。

POS マルウェアは、カードデータの処理過程におけるセキュリティのギャップを悪用します。カードデータは、決済承認のために送信される段階では暗号化されますが、実際に支払いが処理される段階、つまり代金を支払うために POS でカードを読み取らせる瞬間には暗号化されていません。犯罪者がこのセキュリティのギャップを初めて悪用したのは 2005 年のことで、アルバート・ゴンザレス(Albert Gonzalez)が仕組んだ攻撃活動によって 1 億 7,000 万枚ものカードデータが盗難に遭いました。

それ以来、マルウェアが供給販売される市場も成長し、POS 端末のメモリから Track 2 データが読み取られるまでになっています。ほとんどの POS システムは Windows ベースであり、そこで稼働するマルウェアを作成するのは比較的簡単です。このマルウェアは、メモリの中から Track 2 データのパターンに一致するデータを検出することから、メモリ読み取りマルウェアと呼ばれます。該当するデータがメモリで見つかると(カードを読み取るとすぐに出現する)、データは POS 上のファイルに保存され、攻撃者はこのファイルを後から手に入れます。POS マルウェアのなかでも特に有名なのが BlackPOS で、これはサイバー犯罪フォーラムで売られています。シマンテックは、このマルウェアを Infostealer.Reedum.Bとして検出します。

POS マルウェアを手に入れた攻撃者が次に実行するのは、マルウェアを POS 端末に仕掛けることです。POS 端末は通常はインターネットに接続されていませんが、企業ネットワークには何らかの形で接続されています。そこで、攻撃者はまず企業ネットワークへの侵入を試みます。これには、外部向けのシステムにおける脆弱性を悪用すればよいので、たとえば Web ブラウザで SQL インジェクションを利用するか、メーカー設定のデフォルトパスワードをそのまま使っている周辺機器を探します。ネットワークにいったん侵入したら、さまざまなハッキングツールを使って、POS システムをホストしているネットワークセグメントにアクセスします。POS マルウェアをインストールすると、攻撃者は攻撃活動が気付かれないように対策を講じます。これにはログファイルの消去や、セキュリティソフトウェアの改変などの方法がありますが、いずれの場合も、攻撃が存続し、できるだけ多くのデータを収集することができるように細工を行います。

残念ながら、この手口によるカードデータの盗難は当面続くものと予想されます。盗まれたカードデータは、使える期間が限られます。クレジットカード会社は異常な消費パターンを迅速に見つけるのに加え、用心深いカード所有者もそれは同様です。つまり、犯罪者は「新鮮な」カード番号を常に手に入れる必要があるということです。

幸いなことに、小売業界は最近の同様の攻撃から教訓を学んでおり、同じ攻撃の再発を防ぐ手段を講じています。決済のテクノロジも変わるでしょう。米国では、小売店の多くが EMV あるいは「チップアンドピン」方式の決済テクノロジへの移行を進めています。「チップアンドピン」方式のカードは、複製がはるかに難しいため、攻撃者にとっては魅力が乏しくなっています。もちろん、さらに別の新しい決済方法が登場する可能性もあります。モバイルすなわち NFC による支払いがもっと一般的になれば、スマートフォンが新しいクレジットカードになるかもしれません。

サイバー犯罪者がこうした変化に対応することは明らかですが、小売業界が新しいテクノロジを導入し、セキュリティ企業による攻撃者の監視も続くことから、大規模な POS 窃盗はますます困難になり、犯罪者にとってうまみが少なくなることは間違いないでしょう。

POS システムに対する攻撃の手口と、その攻撃から保護する方法については、シマンテックのホワイトペーパー「Attacks on Point of Sales Systems(POS システムに対する攻撃)」(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

詐欺師とスパマーが 2014 FIFA ワールドカップに向けて早くもキックオフ

0
0

寄稿: Sean Butler

サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。

嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。

詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。

シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。

この電子メールのヘッダーは以下のとおりです。

差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com

件名: Copa do Mundo FIFA 2014

このヘッダーを翻訳すると次のようになります。

差出人: Congratulation you were the winner of a pair of tickets(ペアチケットの当選おめでとうございます) atendimento.promo5885631@<ドメイン名>.com

差出人: FIFA World Cup 2014(2014 FIFA ワールドカップ)

World Cup 2014 1 edit.png

図 1. FIFA ワールドカップに関連するマルウェア攻撃メール

この電子メールを翻訳すると以下のような文面になります。

You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!(2014 FIFA ワールドカップブラジル大会のペアチケットが当選しました!)

Print your e-Ticket copy and collect the ticket from the ticket center in your city(電子チケットを印刷して、お近くのチケットセンターでチケットをお受け取りください)

Print Ticket(チケットを印刷)

Check out the address of the ticket center in your city here(お近くのチケットセンターの住所確認はこちら)

このメールを受信したユーザーは、リンクをクリックして試合のチケットを印刷するよう促されます。ところが、このリンク先は eTicket.rar というファイルをダウンロードする悪質な URL になっていて、このファイルに eTicket.exe という名前の実行可能ファイルが圧縮されています。

World Cup 2014 2 edit.png

図 2. リンクをクリックすると悪質なファイルがダウンロードされる

次に、thanks.exe という名前のファイル(Infostealer.Bancos)が以下の場所に投下され、Windows を起動するたびに実行されます。

Programs/Startup/thanks.exe

このトロイの木馬はバックグラウンドで動作を続けながら、セキュリティ対策をすり抜け、金融口座などの個人情報を盗み出してログに記録し、後でリモートの攻撃者にそのデータを送信します。このマルウェアは、ブラジルの金融機関を標的にするようにカスタマイズされていることも確認されました。

電子メール内で参照されているすべての Web ページについてウイルスなどの脅威がないかどうかを確認するシマンテックの「リンク追跡」技術によって、URL の最後に含まれるマルウェアが正しく識別されるので、シマンテック製品をお使いのお客様は、この攻撃からすでに保護されています。次に検出定義が作成され、異なる URL だが同じマルウェアにつながる別のリンクを含む電子メールが今後見つかった場合には、感染しているのと同じように扱って検疫処理されます。

別の詐欺では、CIELO Brazil の偽広告が利用されています。CIELO 社は、ブラジルでクレジットカードとデビットカードを扱っている企業です。

World Cup 2014 3 edit_0.png

図 3. 2014 FIFA ワールドカップに関連するフィッシングメール

この電子メールを翻訳すると以下のような文面になります。

Congratulations, you have been chosen to take part in the Cielo Cup 2014.(おめでとうございます。2014年 シエロカップの参加資格に当選しました)

To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,(2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください)

Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)(チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも(原文ママ))

Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.(さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます)

Join this Mega Promotion and compete for these Super Prizes.(このメガ特典に参加して、特別プレゼントを手に入れよう)

Click here to unlock your promo code(プロモーションコードの申請はこちらをクリック)

[Click Here](ここをクリック)ボタンをクリックすると、ユーザーは以下のリンクにリダイレクトされます。

http://cielobrasil2014l.fulba.com/[削除済み]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html

リダイレクト先の Web ページでは、ユーザー名、生年月日、ブラジルの納税者番号(CPF)を入力するよう求められます。

World Cup 2014 4 edit.png

図 4.偽装された Web ページで個人情報を要求される

要求どおりに情報を入力すると、今度は図 5 のようなページにリダイレクトされ、銀行口座情報が要求されます。

World Cup 2014 5.png

図 5.偽装された Web ページで銀行口座情報を要求される

さらに詳しく調べたところ、このフィッシング詐欺で使われている conteudo.casavilaverde.com というドメインは、ハッキングされたものであることが判明しました。

World Cup 2014 6 edit.png

図 6. ハッキングされてフィッシング詐欺に使われているドメイン

最後に挙げる 3 つ目のサンプルは、ナイジェリア詐欺です。

World Cup 2014 7.png

図 7. FIFA ワールドカップを餌にした詐欺メール

この電子メールには、大手ブランドが協賛する宝くじと称するファイルが添付されています。最終的にユーザーの個人情報が要求される点は変わりません。また、この電子メールは正規の内容であると見せかけようとしていますが、これまでに紹介した他のサンプルに比べると、いかにも素人然としています。メール本文には画像も URL なく、Word 文書が添付されているだけというところが、誰の目から見ても疑わしい作りです。

シマンテックの高度な監視システムでこれらの詐欺メールは識別されているため、お客様に届くことはありません。

最初の 2 つのサンプルはポルトガル語が書かれ、ブラジル在住のユーザーが標的になっていましたが、カスタマイズして別の国や地域、他の言語に変更するのはごく簡単です。世界的なサッカー人気を考えれば、この手のスパムメールに多くのユーザーが引っ掛かってしまう可能性はあるかもしれません。

世界的なイベントは、興味や関心を持つ人々の数が多いことから潜在的な被害者数も多くなるため、詐欺師にとっては大きな稼ぎのチャンスです。そのため、こうした詐欺は 2014 ワールドカップが近づくほど増えてくるものとシマンテックは予測しています。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

詐欺師の手口に騙されないように、嘘のようなうまい話の場合は特にご注意ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。


Twitter 上の 100 万ドル規模のコンテストを乗っ取った詐欺師

0
0

先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。

偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。

2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。

figure1_15.png
図 1. Esurance 社のコンテストとの関連性を偽装した Twitter アカウント

同日の午後に入ると、Esurance 社のツイートから十分なフォロワーを獲得したからか、このアカウントは再びアカウントピボットを実行して、Life Hacks という名前に戻りました。

figure2_14.png
図 2. Esurance 社に偽装したアカウントは、数千人のフォロワーを獲得後、元の名前に戻った

これと同類のアカウントの多くは、リツイートやフォロワーを獲得することを特に目指しましていますが、シマンテックはそれ以上の悪用があることを確認しています。たとえば、Esurance 社を騙る偽アカウントの中には、コンテストの勝率を上げるためと称してフォロワーに寄付金を募るものもありました。

figure3_9.png
図 3.コンテストの勝率を上げると称して寄付金を募る Twitter アカウント

この活動はただちに閉鎖されましたが、その時点ですでに 261 ドルの寄付金が集まっていました。

こうしたアカウントは、フォロワーにフィッシングリンクを送りつけ、コンテストの参加者を増やすために Twitter にログインするよう求めるためにも使われている可能性があります。

そもそも、このようなアカウントが作成された目的は何なのでしょうか。コンテストの人気やそのハッシュタグに便乗することで、一部のアカウントは 1,000 人から 100,000 人ものフォロワーを集めました。その後、これらのアカウントの所有者は、本当の Twitter フォロワーを集めているアカウントを探し求めている個人に、偽のアカウントを売ることができます。そして、アフィリエイトスパムに利用されるのかもれしません。

マーケティングの目的で Twitter を利用するブランドが増えていますが、「認証済み」あるいはブランドに公式に関連付けられている Twitter アカウントからのコンテストルールを探して、その更新情報をフォローするようにしてください。今回の場合、Esurance 社は Web サイトに公式ルールFAQを公開しています。

Twitter 上でユーザーの誤解を誘おうとしている疑いがあるアカウントは、Twitter 社に報告してください。

ソーシャルメディア詐欺について詳しくは、シマンテックセキュリティレスポンスチームの Twitter アカウント(@threatintel)をフォローし、Twitter 詐欺に関するこれまでのブログもお読みください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Symantec Endpoint Management customer testimonial - Helse Nord - Smart OS Migration and Management with Workflow

Training Future Cybercrime Fighters to Protect Your Thermostat

0
0

As we saw at CES this year, the "Internet of Things" is here to stay. With more and more platforms, social networks and search engines monitoring our actions and mining our data, questions around how we manage the ownership and distribution of this data are rising. We only have to look at the targeted ads in our Facebook feed or even consider Google's recent purchase of Nest, a home hardware tech startup, to see that personal data is already a hot commodity. So how do we deal with the challenge of data privacy? And not just the current threats that are out there, how do we prepare for the data breaches we can't even fathom yet? When we look at the rapidly changing world of data privacy and compare that to the skills gap that currently exists with our students (American students ranked 32 in the world in mathematics and 22nd in science), there is a possibility the future could leave us vulnerable. This is why we in the tech space and other STEM (science, technology, engineering and math) focused industries need to continue to place a strong emphasis on investing in STEM education.

The idea of data security and data privacy is continuously expanding and changing. As Bloomberg pointed out in their coverage of the hacker economy, consumers can no longer limit their concerns to someone stealing their credit card. Cybercriminals are continuously looking for ways to benefit from hacking into people's personal data as its value grows, which is why an understanding of data management is so important. We need our next generation to not only think about data protection but how to manage the sharing of data, so we can continue to enjoy and embrace this connected world. Very simply, we must arm people with the right tools to build and protect this complex connected world of tomorrow. Combatting the declining numbers of STEM students and increasing the presence of women and minorities in the tech field is an important first step.

Continue reading on Huffington Post's Impact X blog.

 

Cecily Joseph is Symantec's Vice President of Corporate Responsibility. 

Paul Walker’s Death Used to Spread Personalized Trojan Horses

0
0

It was only a few months ago that Paul Walker that left us in a fiery car accident. These days it is common for spammers and malware writers to use a celebrity’s death to spread malware. In this case, it started with emails with links to a video of Paul Walker’s car on fire, but instead contained a link to a malicious file.

In the latest slew of emails, the sender makes a plea to the victim to find a Dodge Viper GT that was supposedly racing with Paul Walker’s car. The email asks that anyone with information call a number in the email or open the attached file to view a picture of the Viper GT’s driver. In every sample we have dealt with there is always a promise of reimbursement or compensation for helping capture the Viper GT’s driver.

These attacks are unique because of the regular change of subject lines and body text to bypass spam filters. The attacker tries to personalize the email with the recipient’s name in the body, subject, or attached file name.

Each executable file is made specifically for the email address it is sent to and is compiled just before the email is sent. The sender’s email address is always an aol.com email account that has most likely been hacked or otherwise compromised. Whenever a user is compromised, their address book is harvested to continue the chain of personalized emails.

figure1_16.png
Figure 1.
Email about Paul Walker’s death with malicious attachment from January 30, 2014

figure2_15.png
Figure 2.
Email about Paul Walker’s death with malicious attachment from January 31, 2014

Once the malicious file has been executed an error notification is sent indicating that a  32-bit or 64-bit computer is needed to run the file. It may also indicate that the user does not have sufficient permissions to run the file even though the malware continues to run in the background.  The Trojan will start to perform DNS queries through a list of domains with similar names until the malware gets a DNS query return and then it will connect to that URL to download a file into the following directory:

"%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

Once the file (kskzjmtypb.exe) is downloaded, it runs and connects to p9p-i.geo.vip.bf1.yahoo.com to download qr1aon1tn.exe. When this runs, it drops the following file:

"%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

Symantec detects this malware as Trojan Horse.

Symantec advises users to be on their guard and to adhere to the following security best practices:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

StorageOnlineOPNS issues on large scale Enterprise Vault Environment

0
0
Yesterday I encountered a rather odd issue at a customers site, whereby the storage service seemed to have gone a little bit, well, how shall we say ... mad?
 
After a little bit of troubleshooting I happened across this particular article on Symantec's knowledge base:
 
 
We were indeed seeing lots of the 6656 and 6654 error-pairs throughout the event log.  In the end the only thing that fixed it for us was a system wide reboot across 4 different EV servers.
 
Very odd, but so far (touch wood) we've not had the same issue again.

Banclip, ShadesRat, and Malware Detections

0
0

Figure_2.png

On January 23, CERT Polska posted a blog describing a piece of minimalist banking malware targeting Polish citizens. The hashes of several samples of the malware were also listed in the blog. Symantec subsequently broke out a new name for this malware, calling it Trojan.Banclip. Using Symantec telemetry it’s possible to understand more about the distribution of this malware, and what else the attackers responsible for the malware may be up to. It is also an opportunity to clear up some misconceptions about malware scanning services.

Related activity
Symantec recorded a variant of Trojan.Banclip being downloaded from a Polish website, zeus[REMOVED].cba.pl, on January 14, 2014. At least six more malware samples were downloaded from this website over time. The graph below shows the number of detections per day of the distributed malware.

Figure1_8.png

Figure. zeus[REMOVED].cba.pl infections per day

In the six samples identified, there were several other variants of Trojan.Banclip, as well as a copy of W32.Shadresrat (aka BlackShades). W32.Shadresrat is a RAT that is ‘for sale’ and offers an attacker complete control over a victim’s computer. The W32.Shadesrat samples downloaded from zeus-[REMOVED].cba.pl also used zeus-[REMOVED].cba.pl as the command-and-control server. This dual use implies that the person responsible for distributing the malware is the same person responsible for using it to attack victims’ computers. It is likely that the other malware, including Trojan.Banclip, are distributed and utilized by the same attacker. This theory is supported because the observed targets for both malware are primarily Polish.

The following samples were identified as being downloaded from the malicious server:

  • 0bec288addbe72c20fd442b38dab4867
  • 2b0198b52012adce1ad5c5a44ee1c180
  • 387fb206eb014525b9a805fbba4b2318
  • 3bf9e6fd9c20e06d0769c7a84ae21202
  • 6712b0888415fb432270f4d4dbec47a3
  • f8987a4dd66edf76f1bbf41578c35a05
  • f8dd3554e53160fec476bb8016ea12a9

Detection
When referring to the malware on their blog, CERT Polska indicated that it appeared to be poorly detected. This conclusion was based on the scan results from VirusTotal. Although it’s understandable to use VirusTotal as a test, the results may not be as clear cut as they appear.

In this particular case, the Trojan.Banclip files were actually detected and customers were protected from them. They were detected by Symantec’s Reputation technology, under the detection name of Suspicious.Cloud.2 or Suspicious.Cloud.9, during the time frame shown in the figure above. The Reputation technology uses a number of different variables, including the reputation of the website a file is downloaded from, to detect malware, and because of this it’s not always possible to replicate it with a basic scan of the file.

There are also other detection technologies in Symantec products to detect malware when it runs, or when it makes network connections. These all help to protect a user, but such systems are not reflected in the output of a simple scan. It’s important that customers enable these advanced features to be fully protected.

Protecting Your Social Accounts for Safer Internet Day

0
0

safer_internet_day.png

Whether it’s National Cyber Security Awareness Month in October or Safer Internet Day in February, it’s always important to remember to be safe online every day. As technology continues to become more integrated into our daily lives, there are settings and security features that can be used to ensure your information and digital identity remain under your control.

It’s a social world
The most dominating force on the Internet today is social. Right now, I have friends pinning their wedding ideas, instagramming lattes, snapchatting outfits, checking into restaurants on Foursquare, vining videos of their cats, sharing newborn baby photos on Facebook, and tweeting in anticipation of The Walking Dead premiere. As these services become more and more popular, they are targeted more frequently by scams, spam, and phishing attempts.

Know your settings
Symantec Security Response advises social users to familiarize themselves with the privacy settings and security services offered by each of these social networks and applications.

  1. Public or private? By default, many of these services encourage you to share updates publicly. Most offer privacy as a global setting to make your profile public or private, while some offer more options, allowing you to make individual posts public or private. Make sure you review these settings before posting to these services.
  2. Strong passwords and password reuse. Use a strong password for each service and be sure not to reuse passwords across your social networks.
  3. If available, set up two-factor authentication. Some services like Facebook and Twitter offer two-factor authentication as an added measure of security for your account. Normally, to login to a service, you input a password, which is something you know. Using two-factor authentication introduces something you have, usually in the form of a randomly generated number or token that can delivered to your phone through SMS or a number generator within the services’ mobile application. This way, if your password is compromised, the thief will need the generated two-factor authentication token before they can login.

Know your enemy
The biggest enemies of most social networking and application users are the spammers and scammers that want to hijack your social accounts to peddle spam, convince you to fill out surveys, or install applications.

  1. Free stuff is not free. Many scammers will try to entice you with the idea that you can win free gadgets or gift cards if you fill out a survey, install an application, or share a post on your social network. It just isn’t that easy and by doing so, you could give away your personal information.
  2. Want more followers and likes? There is always a price to pay for trying to get more followers and likes. Whether that’s paying money for fake followers and likes or willingly giving up your account credentials and becoming part of a social botnet. These schemes aren’t worth it.
  3. Trending topics are ripe for abuse. Whether it’s sporting events or pop stars, the death of celebrities, popular television season or series finales, or the newest gadget announcement, scammers and spammers know what’s popular and will find a way to insert themselves into the conversation to trick users into doing their bidding. Know that this is inevitable and think twice before blindly clicking on links.
  4. Is this picture or video of you? These scammers want your password and they’ll attempt to convince you to unknowingly give it to them. This is called phishing. If you click on a link and it takes you to a webpage that looks like a login page for a social networking service, don’t just type in your password. Check the address bar to make sure it’s not some long URL that has the word Twitter or Facebook in it. Open up a new browser tab and manually type in twitter.com or facebook.com to see if you’re still logged in. More often than not, you probably are.

Knowledge is power
Understand that as new social networking services and applications become popular in the mainstream, the scammers and spammers will not be far behind. If you take the time to understand the privacy settings and additional security features offered to you on these services, you are taking the first step towards being safer and more secure online. Additionally, if you know who is after your information and the various ways they will try to trick you into giving up that information, you can make better decisions about what links to click, what posts to share, and where it is safe to type in your password.

Want to help your fellow social users? Share this post with your friends and family on your various social networks.

To keep up-to-date with the latest social network scams, follow us on Twitter @threatintel and subscribe to our blog.


How customers really react to web browser security warnings

0
0

The University of California, together with Google, recently undertook a study to track real-world clickthrough rates from browser security warnings in two of the most popular web browsers Google Chrome and Mozilla Firefox. The results reveal a much more security-conscious population than you might expect.

Connect Dev Notes: 04 Feb 2014

0
0

Updates deployed to the Connect production servers as a result of the code sprint that ended 04 February 2014.

User Facing: Desktop

  • Added the ability to subscribe to email notifications for a target content type (article, blog, download ...) tagged with a target product (BackupExec, ServiceDesk, SecurityExpressions ...).
  • Added the ability to post to Connect in Turkish.
  • Fixed an issue with users in post-by-email groups not being able to unsubscribe to notification threads via the 'unsubscribe from this thread' hyperlink.
  • Fixed an issue with the display of special characters in posts submitted by users in post-by-email groups via the Outlook email client.
  • Fixed a blank subject line issue with notifications received by users in post-by-email groups when a solution is marked.

Admin Facing

  • Fixed an issue with code updating the updated dates on blog posts each time changes were made to the blog content type.

User Facing: Mobile

  • Fixed an issue with a few broken style elements that appeared after the last code push.

Behind the Scenes

  • Applied security patches to our community management framework.

ポール・ウォーカーさんの逝去を悪用して拡散する、個別設定されたトロイの木馬

0
0

ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。

最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。

今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。

実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。

figure1_16.png
図 1.
悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 30 日付)

figure2_15.png
図 2.
悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 31 日付)

悪質なファイルを実行すると、このファイルを実行するには 32 ビットまたは 64 ビットのコンピュータが必要であるというエラー通知が送信されます。また、ファイルを実行する十分な権限がないとも書かれていますが、実際にはマルウェアがバックグラウンドで実行され続けています。このトロイの木馬は、名前の似たドメインのリストを使った DNS クエリーを実行し、DNS クエリーの戻り値を取得すると、その URL に接続して、次のディレクトリにファイルをダウンロードします。

"%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe"

ファイル(kskzjmtypb.exe)がダウンロードされると、それを実行して p9p-i.geo.vip.bf1.yahoo.com に接続し、今度は qr1aon1tn.exe をダウンロードします。この実行可能ファイルが実行されると、次のファイルが投下されます。

"%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe"

シマンテックは、このマルウェアを Trojan Horseとして検出します。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Tiylon: A Modern Bank Robber

0
0

The biggest bank robbery of all time was identified in Brazil in 2005. In this case, a gang broke into a bank by tunneling through 1.1 meters of steel and reinforced concrete and then removed 3.5 tons of containers holding bank notes. This heist resulted in the loss of about 160 million Brazilian dollars (US$380 million).

Robbers today, however, don’t have to bother with drilling through walls to steal money. They can rob a bank while sitting comfortably at home behind a computer. Thanks to cybercrime, organizations have suffered financial losses in the order of millions. The Symantec State of Financial Trojans 2013 whitepaper shows that banking Trojans are becoming more prevalent. Apart from other more common malware such as Zeus and Spyeye, one of the most popular financial malware that cybercriminals currently use is a threat called Tiylon. This Trojan uses a man-in-the-browser (MITB) attack to intercept user authentications and transaction authorizations on online banking sites.

Initial infection by targeted attack
Tiylon typically arrives as an attachment in the form of a short email to attempt to evade antispam filters. Unlike most spam campaigns associated with financial Trojans (like Zeus), Tiylon emails are part of a targeted attack. Symantec telemetry shows the attack targets online banking users  in several different regions around the world, with a particular focus on the UK, US, Italy, Australia, and Japan (Figure 2).

Fig1_8.png

Figure 1. Tiylon email with a malicious attachment.

The threat consists of three different files: a downloader, a main component file, and a configuration file.

Downloader file
The downloader acts as a load point and is responsible for the installation of the main component file. When the downloader executes, it constructs system information derived by the computer’s serial number and establishes a connection to the attacker’s command-and-control (C&C) server. When the connection is established, a registry key is created.

  • Windows XP:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“WwYNcov” = “%System%\WwYNcov.exe”
  • Windows 7:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{905CC2F7-082A-4D1D-B76B-92A2FC7341F6}\“Path” = “\\xxUxqdT”

The downloader then injects code into explorer.exe and svchost.exe to initiate malicious activity.

Main component file
The main component file is downloaded and decrypted by the Tiylon downloader file. This component collects a configuration file from the C&C server to specify the parameters of the attack. The component also manipulates registry settings to reduce the security of the computer and browser. This is also the component that intercepts communications between the user and financial institution websites.

Core functionalities include the following:

  • Performs Web injection attacks
  • Logs key strokes
  • Captures screenshots
  • Starts FTP and RDP servers
  • Starts Remote Desktop Protocol (RDP)
  • Reads certificates
  • Downloads and executes files
  • Create services
  • Hook operating system APIs in order to steal network data
  • Inject code into other processes
  • Log off, restart, or shut down the compromised computer
  • Perform process injections into Web browsers

Tiylon attempts to evade detection by inspecting directories and installed applications. It also tries to find out if the computer is a virtual machine by checking the process list. If the C&C server finds any environment that could detect malicious activities, it may ban the computer’s IP address and then try to infect other users. It may also force some non Symantec antivirus software to set exclusions, helping the threat avoid detection. The malware code itself is obfuscated and has several packing cycles, which complicates analysis.

Timeline of attacks
The Tiylon attacks occured between January 1, 2012, and October 1, 2013.

Table1_0.png

Table 1. Tiylon attack numbers by country

Fig2_0.gif

Figure 2. Animation showing Tiylon attack numbers by country

Symantec protects customers against Tiylon with the following anitvirus and IPS detections:

AV:

IPS:

Symantec recommends users to have the most up-to-date software patches and definitions in place to protect against threats. In this particular case, we suggest installing an antispam solution for your email client and refrain from opening suspicious attachments.

Windows updates and SEP

0
0
Finding the hidden dangers

Windows Updates and SEP installations.

Viewing all 5094 articles
Browse latest View live




Latest Images