Quantcast
Channel: Symantec Connect - ブログエントリ
Viewing all 5094 articles
Browse latest View live

IoT Security and the law of unintended consequences

0
0

It’s still early days for the Internet of Things (IoT). While some are suggesting a complete revolution in 'smart' physical objects which will change our lives, I don’t think anyone will notice that much of a difference in the short term. Even so, over the next couple of years we will see all kinds of new devices connect to the internet, from plug sockets to plant pot monitors.

Each becomes not just a data source but also, potentially, a controllable device - and as such has a potential security impact. For a start, smart devices inevitably create data, which may need to be protected depending on the risks that surround it. Risk factors may not always be obvious - for example, burglars might be able to hack into a lighting control system to determine if a building is empty, before breaking and entering.

Speaking of which, we have the fact that smart devices are, in fact, tiny computers which can be hacked, corrupted or otherwise abused. We’ve already seen examples of appliances containing ‘rogue components’ such as wifi-enabled microphones - though it is unlikely they would find their way into the local Argos!

In the corporate context, a more realistic scenario is denial of service - for example, rendering a remote monitoring or control system system inoperable. Evidence suggests that Stuxnet was designed for exactly this purpose, that is, to attack SCADA-based industrial control systems. Just last month, a major security flaw was reported in SCADA, which is still to be resolved. 

Once breached, smart devices can also be used as springboards to access other systems. For example a poorly secured device could be logged onto, and used as a ‘base’ on the internal network, from which to connect to other internal systems; a compromised device could equally be used as part of a botnet, by running a malicious program or replacing the firmware.

A final thought concerns the human security impact, through accidental or deliberate use of smart devices. For example, an over-zealous manager might connect a cheap surveillance monitor to an employee’s vehicle without them knowing, or a person may be linked to an event simply through proximity, reported by a location sensor. I have no doubt that the ‘law of unintended consequences’ will apply to the Internet of Things as much as, if not more than, previous technology waves. 

So, should we just switch everything off? Even if this was a good idea, it will be nigh impossible to prevent our increasing use of increasingly smart devices so the most important thing is to keep a broad mind open to both the potential and the risks of IoT. Like it or not, the world is going to become smarter so this is no time to rely on either blissful ignorance or security by obscurity. 


DS6.9 SP6 fix for ALTIRIS_PXE_IP environment variable not being set

スパマーオフィス探訪(失敗)記

0
0

スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。

一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。

  • 差出人: [削除済み] <Leila.Day@[削除済み]>
  • 差出人: [削除済み] <CharlotteTate@[削除済み]>
  • 差出人: [削除済み] <Diana.Pope@[削除済み]>
  • 差出人: [削除済み] <SamuelLambert@[削除済み]>
  • 差出人: [削除済み] <Jackson.Garza@[削除済み]>
  • 差出人: [削除済み] <JohnathanParsons@[削除済み]>
  • 差出人: [削除済み] <EliasTaylor@[削除済み]>

これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。

Spammers Office 1.png

図 1. 2013 年 10 月 16 日以降に確認された 5,900 万通を超えるスパムメッセージ

このタイミングを詳しく調べたところ、このスパムが送信されるのは太平洋標準時の午前 6 時から午後 7 時までに限られていることがわかりました。一定の時間帯に、しかも平日だけに送信されているという事実から、この活動は業務の一環として行われていると考えられます。

2 つ目の特徴は、このスパムの実行に使われた IP アドレスにあります。前述したように、かんじきスパムは同じ IP アドレスを再利用しないのが一般的ですが、送信者の IP アドレスを解析したところ、このスパムメッセージは同じ企業が所有する複数の IP アドレスから送信されていたことがわかりました。所有者は、ペンシルベニア州スクラントンに本拠を置く「Network Operations Center」という企業で、スパムを送信することで広く知られています。

1 月になると、同じタイプのスパムメッセージが、別の企業の所有する IP アドレスから送信され始めました。そのひとつが「Nth Air, Inc.」です。

Spammers Office 2.png

図 2. Nth Air, Inc など他の企業が所有する IP アドレスから送信されたスパムのサンプル

Spammers Office 3.png

図 3. Nth Air, Inc の IP アドレスを示すメールヘッダーの一部

「Network Operations Center spam」というキーワードをオンラインで検索すると、スパムについて論じられている検索結果が多く見つかりますが、Nth Air, Inc について同様に検索してもそれほど多くの結果は見つかりません。実際には、プレスリリースにも書かれているとおり、Nth Air, Inc はかつて正規の WiMAX プロバイダだったようです。同社について報じた最近のニュースも見つからなかったため、私はこの企業はもう存在しないのではないかと考えました。一方で、ARIN の記録には、Nth Air, Inc の本拠地がカリフォルニア州サンノゼであると書かれているので、同社について詳しい情報が得られることを期待してオフィスを訪ねてみることにしました。

Spammers Office 4.png

図 4. Nth Air, Inc の所在地とされる住所にある建物を訪問

ARIN に載っている一室を訪ねてみましたが、別の会社に使われていました。

Spammers Office 5.png

図 5. 70 号室の所有者は現在、Sutherland Global Services となっている

掲載されている番号に電話を掛けても通じません。netops@nthair.com宛てに電子メールを送信しても、「the recipient does not exist(該当する受信者は存在しません)」というエラーになります。どうにもお手上げです。

「Nth Air, Inc」への訪問が失敗に終わったので、今度は「LiteUp, Inc」を訪ねてみました。

Spammers Office 6.png

図 6. LiteUp, Inc の IP アドレスから送信されたスパムのサンプル

Spammers Office 7.png

図 7. LiteUp, Inc の IP アドレスを示すメールヘッダーの一部

ARIN のリストによると、LiteUp, Inc の所在地はカリフォルニア州バークレーです。該当する住所に足を運びましたが、そこに LiteUp, Inc は見つかりませんでした。

Spammers Office 8.png

図 8. LiteUp, Inc の所在地として掲載されている住所にあったのはオートバイショップ

この 2 つの事例では、少なくとも ARIN の記録によれば、実在しない会社が所有する IP アドレスがスパマーに利用されていたということになります。

今回はスパマーにも、またスパマーを支援している可能性のある人物にも会えませんでしたが、このようなスパムメッセージがエンドユーザーの受信ボックスに届かないように、シマンテックは厳重な警戒を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Code signing 101: Why developers need digital certificates for applications

0
0
Code signing 101

Code signing does two things extremely well: it confirms who the author of the software is and proves that the code has not been altered or tampered with after it was signed. Both are extremely important for building trust from customers and safely distributing your software.

Ataques contra o setor de energia

0
0

A energia é crucial para o nosso estilo de vida moderno. Entretanto, relatos de tentativas de ataques virtuais contra as empresas fornecedoras estão aumentando a cada ano. No primeiro semestre de 2013, o setor de energia foi o quinto mais visado em todo o mundo, sendo alvo de  7,6 % de todos os ataques cibernéticos. Assim, não é surpreendente que, em maio de 2013, o Departamento de Segurança Interna dos EUA alertou para uma crescente onda de ataques que visavam sabotar processos em empresas de energia. Na Symantec, nossos pesquisadores descobriram que as concessionárias de energia tradicionais estão particularmente preocupadas com os cenários criados por ameaças como Stuxnet ou Disttrack / Shamoon, que podem danificar instalações industriais.

Nós também descobrimos que os agressores que têm como alvo o setor de energia ainda tentam roubar a propriedade intelectual sobre novas tecnologias, como geradores de energia solar ou eólica, ou ainda gráficos de exploração de campos de gás. Enquanto incidentes de roubo de dados podem não representar uma ameaça imediata e catastrófica para uma empresa, eles podem criar uma ameaça estratégica de longo prazo. Informações roubadas poderão ser usadas no futuro para realizar ações mais graves.

As motivações e origens de ataques podem variar consideravelmente. Um competidor pode “encomendar” ações danosas contra as empresas de energia para ganhar uma vantagem injusta. Há grupos de "hackers para contratar", como o grupo Hidden Lynx, que estão mais do que dispostos a se engajar nesse tipo de atividade. Hackers patrocinados pelo Estado podem ter como alvo as empresas de energia em uma tentativa de desativar sua infraestrutura crítica. Grupos “hacktivistas” também podem vitimar empresas para promover seus próprios objetivos políticos. Pesquisadores da Symantec sabem que estas ameaças podem ser provenientes de todo o mundo e, por vezes, de dentro da própria empresa. Funcionários que estão familiarizados com os sistemas podem realizar ataques para extorsão, suborno ou vingança. Além disso, interrupções podem simplesmente acontecer por acidente, como um erro de configuração ou uma falha do sistema. Por exemplo, em maio de 2013, a rede de energia austríaca quase teve um apagão devido a um problema de configuração.

Nossa pesquisa concluiu que os sistemas de energia modernos estão se tornando mais complexos. Há controle de supervisão e aquisição de dados (SCADA), ou sistemas de controle industrial (ICS) que estão fora dos padrões de segurança tradicionais. E como a tecnologia smart grid , ou rede inteligente, continua a ganhar impulso, cada vez mais sistemas de energia serão conectados à Internet das Coisas, o que abre novas vulnerabilidades de segurança relacionadas a inúmeros dispositivos conectados. Além disso, muitos países começaram a abrir seu mercado de energia e adicionar contribuintes menores para a rede de energia elétrica, como usinas de água privada, turbinas eólicas ou painéis solares. Embora essas empresas menores representem apenas uma pequena parte da grade, a entrada de energia descentralizada pode ser um desafio para gerenciar os recursos de TI limitados e precisam ser cuidadosamente monitorados para evitar pequenas falhas que poderiam criar um efeito dominó em toda a grade maior.

Vemos a necessidade de uma abordagem colaborativa, que combine o componente industrial e a segurança para proteger as informações do setor. Para ajudar neste processo, a Symantec realizou um estudo em profundidade sobre ataques focados no setor de energia que ocorreram nos últimos 12 meses. Esta pesquisa apresenta fatos e números, e abrange os métodos, motivações e história desses ataques.

Faça o download do whitepaper.

O infográfico a seguir ilustra os principais pontos a respeito dos ataques contra as indústrias do setor de energia.

infographic_attacks.jpg

Snapchat Fruit Spam Delivered by Real, Compromised Accounts

0
0

In the latest Snapchat spam developments, an increasing number of the photo-sharing app’s users have been sending out spam pictures of fruits or fruit-based drinks to their contacts, which directs them to websites called “Frootsnap” and “Snapfroot”.

Snapchat Fruit 1 edit.png

Figure 1. Fruit spam on Snapchat

While Symantec has been trackingSnapchat spam for months, this is the first case in which the spam does not originate from fake accounts, but those belonging to real users. These accounts have been compromised to push diet spam.

Instagram users might recall similar campaign last summer, where a number of accounts were compromised to post similar images and messages, extolling the virtues of a miracle diet fruit.

Snapchat users visiting the websites frootsnap.com or snapfroot.com will be redirected to a fake page which has copied the template similar to a Groupon deal website. The page also claims to offer a free 30-day supply of a weight-loss supplement, commonly referred to as diet pill spam.

Snapchat Fruit 2.png

Figure 2. Website claims to offer weight-loss supplements

The site has no affiliation with Groupon, but uses its likeness to make the offer seem legitimate. If users try to redeem these free pills, they are redirected to a secondary site called securehlthbuyer.com. This site has been associated with securebuyerpath2.com, which has received complaints about excessive charges.

As of now, Symantec does not know how the legitimate accounts were compromised. We reached out to Snapchat before this blog was published to assist them in their investigation, and while we continue to work with them, they provided us with the following statement:

“Yesterday a small number of our users experienced a spam incident where unwanted photos were sent from their accounts. Our security team deployed additional measures to secure accounts. We recommend using unique and strong passwords to prevent abuse.”

We also came across reports of Snapchat users deleting the app from their phone hoping the spam messages would cease. However, this will not stop the spam. If your account has been caught sending out these spam messages, the best thing to do is to change your password immediately.

Snapchat Fruit 3.png

Figure 3. How to change your Snapchat password

You can change your Snapchat password through the Snapchat web form or through the application itself, by navigating to the Support section under Settings, as shown in Figure 3.

Application Metering usage data for a specifc file name

0
0

If you don't like drilling down into the usage report, here is a SQL query that you can run to find usage data either for all files that have been metered or for a specifc file:

SELECT rf.Name AS [File],c.Name AS Computer,wu.UserId,
ms.[Month Year],ms.[Run Count],ms.[Last Start]
FROM vAMMonthlySummary ms
JOIN vComputer c ON ms._ResourceGuid = c.[Guid]
JOIN Inv_Global_Windows_Users wu ON ms.UserGuid = wu._ResourceGuid
JOIN RM_ResourceFile rf ON ms.FileResourceGuid = rf.[Guid]
--WHERE rf.Name LIKE '%part of filename%' --provides data for specific file
ORDER BY c.Name,wu.UserId ASC

How to create Site filters based off of manually created sites

0
0

If you have chosen to create your sites and subnets manually instead of importing them from AD, what is the easiest way to create filters that contain the computers associated with those sites?

The following query is one way of achieving this goal (another method would be to target the actual subnets contained in each site):

  SELECT ip._ResourceGuid
  FROM Inv_AeX_AC_TCPIP ip
  JOIN vSubnet sub ON sub.Subnet = ip.Subnet
  JOIN vSiteSubnetMap map ON map.SubnetGuid = sub.[Guid]
  JOIN vSite s ON s.[Guid] = map._ResourceGuid
  WHERE s.Name = 'name of site'


マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2014 年 2 月

0
0

今月のマイクロソフトパッチリリースブログをお届けします。今月は、31 件の脆弱性を対象として 7 つのセキュリティ情報がリリースされています。このうち 25 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 2 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-feb

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-010 Internet Explorer 用の累積的なセキュリティ更新プログラム(2909921)

    Internet Explorer の特権昇格の脆弱性(CVE-2014-0268)MS の深刻度: 重要

    ローカルファイルインストールを検証するとき、またはレジストリキーを安全に作成するときに、Internet Explorer に特権昇格の脆弱性が存在します。

    VBScript のメモリ破損の脆弱性(CVE-2014-0271)MS の深刻度: 緊急

    VBScript エンジンがメモリ内のオブジェクトを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。現在のユーザーが管理者ユーザー権限でログオンしている場合は、この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムを完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Internet Explorer にクロスドメインの情報漏えいの脆弱性(CVE-2014-0293)MS の深刻度: 重要

    Internet Explorer に情報漏えいの脆弱性が存在するため、攻撃者は他のドメインまたは Internet Explorer ゾーンの情報にアクセスできる場合があります。攻撃者が、特別に細工された Web ページを作成してこの脆弱性を悪用すると、ユーザーがその Web サイトを開いたときに情報が漏えいしてしまいます。攻撃者がこの脆弱性の悪用に成功すると、他のドメインまたは Internet Explorer ゾーンからコンテンツを閲覧できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0267)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0269)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0270)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0272)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0273)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0274)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0275)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0276)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0277)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0278)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0279)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0280)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0281)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0283)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0284)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0285)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0286)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0287)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0288)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0289)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0290)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  2. MS14-011 VBScript スクリプトエンジンの脆弱性により、リモートでコードが実行される(2928390)

    VBScript のメモリ破損の脆弱性(CVE-2014-0271)MS の深刻度: 緊急

    VBScript エンジンがメモリ内のオブジェクトを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。現在のユーザーが管理者ユーザー権限でログオンしている場合は、この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムを完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

  3. MS14-007 Direct2D の脆弱性により、リモートでコードが実行される(2912390)

    Microsoft Graphics コンポーネントのメモリ破損の脆弱性(CVE-2014-0263)MS の深刻度: 緊急

    影響を受ける Windows コンポーネントが、特別に細工された 2D の幾何学図形を処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、特別に細工された図形を含むファイルをユーザーが Internet Explorer を使用して開いた場合に、リモートでコードが実行される場合があります。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

  4. MS14-008 Microsoft Forefront Protection for Exchange の脆弱性により、リモートでコードが実行される(2927022)

    RCE の脆弱性(CVE-2014-0294)MS の深刻度: 緊急

    Forefront Protection for Exchange にリモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、構成されているサービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。

  5. MS14-009 .NET Framework の脆弱性により、特権が昇格される(2916607)

    POST 要求の DoS の脆弱性(CVE-2014-0253)MS の深刻度: 重要

    Microsoft ASP.NET にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、ASP.NET サーバーが応答しなくなる可能性があります。

    型トラバーサルの脆弱性(CVE-2014-0257)MS の深刻度: 重要

    Microsoft.NET Framework に特権昇格の脆弱性が存在するため、攻撃者は標的となったシステムで特権を昇格できる可能性があります。

    VSAVB7RT ASLR の脆弱性(CVE-2014-0295)MS の深刻度: 重要

    Address Space Layout Randomization(ASLR)を適切に実装しない .NET Framework コンポーネントに、セキュリティ機能回避の脆弱性が存在します。この脆弱性により、攻撃者は ASLR セキュリティ機能を回避し、その後、プロセス内に悪質なコードを追加で読み込み、別の脆弱性を悪用しようとする可能性があります。

  6. MS14-005 Microsoft XML コアサービスの脆弱性により、情報漏えいが起こる(2916036)

    MSXML の情報漏えいの脆弱性(CVE-2014-0266)MS の深刻度: 重要

    情報漏えいの脆弱性が存在するため、攻撃者はユーザーのローカルファイルシステムのファイルを読み取ったり、ユーザーが現在認証されている Web ドメインのコンテンツを読み取る可能性があります。Internet Explorer を介して MSXML を呼び出すように特別に細工された Web コンテンツをユーザーが表示した際に、攻撃者がこの脆弱性を悪用する可能性があります。

  7. MS14-006 IPv6 の脆弱性により、サービス拒否が起こる(2904659)

    TCP/IP Version 6(IPv6)のサービス拒否の脆弱性(CVE-2014-0254)MS の深刻度: 重要

    Windows における TCP/IP の IPv6 実装に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムが応答を停止する可能性があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocusポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

危殆化した実在のアカウントから送信される Snapchat のフルーツスパム

0
0

写真共有アプリ Snapchat を利用したスパムの最近の傾向として、フルーツやフルーツ系ドリンクのスパム写真がユーザーの連絡先に送信されるケースが増えています。写真のリンク先は、「Frootsnap」や「Snapfroot」という Web サイトです。

Snapchat Fruit 1 edit.png

図 1. Snapchat 上のフルーツスパム

シマンテックは数カ前から Snapchat スパム追跡していますが、偽アカウントからではなく実在するユーザーのアカウントからスパムが送信されたのは、今回が初めてです。アカウントが危殆化してダイエットスパムを送信させられているのです。

Instagram をお使いであれば、昨年の夏に同様の攻撃活動があったことを思い出されるかもしれません。大量のアカウントが危殆化し、奇跡のダイエットフルーツという謳い文句で今回と同じような画像やメッセージが投稿されたことがありました。

frootsnap.com または snapfroot.com という Web サイトにアクセスさせられた Snapchat ユーザーは、偽のページにリダイレクトされます。これは Groupon の商品案内サイトに似たテンプレートをコピーしたページで、30 日分の減量サプリメントを無料進呈するとも書かれています。典型的なダイエット薬品スパムです。

Snapchat Fruit 2.png

図 2.減量サプリメントを進呈すると謳う Web サイト

このサイトは Groupon とアフィリエイト関係があるわけではなく、信憑性を持たせるために「いいね」ボタンが設置されています。無料のサプリメントをもらおうとすると、securehlthbuyer.com という 2 番目のサイトにリダイレクトされます。このサイトは securebuyerpath2.com という、過剰な請求をめぐって苦情が寄せられているサイトと関連しています。

現時点で、シマンテックは正規のアカウントが危殆化した経緯を確認していません。シマンテックは、このブログを公開する前に Snapchat 社に連絡して調査に協力しています。調査は今も継続中ですが、Snapchat 社からは以下の声明が届いています。

「Snapchat において昨日、ユーザー数は少ないながらも、そのアカウントから不審な写真が送信されるというスパム事案が発生しました。弊社セキュリティチームはアカウントを保護するための措置を追加しました。悪用を避けるために、強力かつ固有のパスワードをお使いください」

また、スパムメッセージを止めようとして Snapchat アプリを端末から削除したが、スパムは止まらなかったというユーザーの報告も受けています。自分のアカウントからこのようなスパムメッセージが送信されていることを確認した場合は、ただちにパスワードを変更するのが最善の対策です。

Snapchat Fruit 3.png

図 3. Snapchat のパスワードの変更方法

Snapchat のパスワードを変更するには、Snapchat の Web フォームまたはアプリ内で、[Settings]の[Support]セクションに進んでください(図 3)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Security within the data centre - making things happen in business time, rather than IT time

0
0

Virtualisation brings enormous benefits to organisations everywhere, fundamentally altering the way in which they do business. It’s not a new concept, of course, but we are now seeing it being applied across areas that go way beyond simply machines and hosts.

Let’s look first at the virtualised world itself and its adoption among organisations: Enterprises are now operating at around 50-55% virtualisation in their data centres, with the goal of taking that to 90% or even higher. It’s a huge opportunity and a massive challenge, especially when it comes to security; because security has always struggled to keep up in the virtualised environment.

Generally speaking, there is a ‘tax’ to be paid when you put security into such an environment and usually that tax relates to performance – everything tends to run much slower. The upshot is that you no longer have the capacity you want and need – which runs counter to the whole point of having virtualisation in the first place. You want to be able to make things happen instantly in business time, rather than IT time.

For Symantec, security within the data centre is critical, especially as today’s threats become more advanced and more sophisticated every day. The ideal solution is to automate all of the security in the virtual environment, so it is integrated into the fabric of the virtual network itself – which is precisely what Symantec is doing today: enabling businesses to embed and apply their security policies directly within that fabric.

Compare this to a fairly typical scenario where you have, say, a physical server and 10 virtual machines. When you introduce security to that set-up, you get a significant drop in performance – anything up to 25-40% – because you have to scan all of the machines’ files to detect any potential issues. However, when you actually embed your security at the hypervisor, rather than inside each virtual machine (or workload) you get much better performance, but can still operate a different security policy for different machines that follows each of those machines right across its lifecycle. So, wherever that machine functions, wherever you move it to, the security protecting it is always ‘instant on’.

Beyond that, you can create a policy whereby you understand exactly what is required of your server and then lock it down, so it only does what it needs to do. Take a cash machine, for instance. Here, you can pre-programme it by turning off everything other than the need to dispense money – a process that is also known as ‘hardening’.

Apply this to any server and you prepare a ‘whitelist’ that disables whatever it doesn’t need to do, so it isn’t constantly searching for an infinite number of ‘bad things’ that could happen. Instead, you narrow the list down to 7-8 things that you need to watch out for. That means, if a new zero-day attack surfaces, for example, it doesn’t even come into play as far as your virtualised data centre is concerned, because your server isn’t trying to perform actions outside of the list. It has been locked down to known good behaviour.

This is what Symantec’s solutions offer, which raises the question: Why aren’t more organisations operating in this way?

 

We Asked University Students!

0
0
What Advice Would You Give Your Teenage Self About Staying Safe Online?

Earlier this week, we heard about Safer Internet Day from Anne Collier of NetFamilyNews.org. Today, Marian Merritt, Symantec's Director of Cyber Education and Online Safety Programs, shares online safety insights from college students around the country. 

 

Originally a European initiative, this year the recognition of February 11, 2014 as Safer Internet Day (SID) is a global campaign. The theme we are celebrating is, “Let’s create a better internet together.”

This theme got me thinking about the many ways having the Internet helps us. We research, we share our experiences, we find maps and directions, we plan trips – all of this is great. Yet, the technology network that connects us as individuals enables us to experience a world vastly different from what many of us grew up with.  

Consider the lives of college students or recent graduates. They have grown up with the Internet and have been the unwilling research subjects for an industry in its infancy. Their youthful mistakes can offer valuable insights for today’s youth (and even adults) and help us all to be better at this online “thing.”

I asked a few college students to share their advice to their 6th grade selves; what they wished they’d known back then that would have helped them to create a better, safer, more mindful online experience.

Social Media

  • David, Lehigh University: “Don't friend random people on Facebook. If you don't have mutual friends, you probably don't know them."
  • Kristen, University of Missouri: “Do not friend just anyone on Facebook. Make sure you actually know that person. Don't post any pictures you wouldn't want your parents to see. Be aware that companies look at Facebook and will Google you when you are interviewing for a position.”
  • Hanna, University of Arizona: “Watch what photos you put online. Once they are online (and out of your control), they are there forever.”
  • David: “Anyone can take a screenshot of anything. (Even if you think you’ve shared with just one person, there’s a chance the message or photo will be shared further.)”
  • Hanna: “Watch what you post about: topics, the language you use, what you are saying and about whom. What I've learned in school is that some employers will add you on Facebook or Twitter and then, they can see what you post. If you are using those sites to whine and complain and share all kinds of information, it can reflect poorly on you. The company may come to the conclusion that you can't keep a secret or have no filter.”
  • Nate, Johns Hopkins University: “I would say be careful about what you say on Facebook and other social media, not because when you are applying to places that they will look, but because at some point you will probably be social with your co-workers and naturally just become friends with them on social media. (They will be able to review your timeline, friends’ lists and see your history, including posts and comments.)”
  • Justin, George Washington University: “Do not get into crazy arguments with people. Almost 100% of the time, there is no way to get out of them without saying something you'd regret as a person, but that you'd also regret as it is written in ink forever online. Also, don't use social media as a screen between you and another person to say something that you wouldn't say to the person’s face. Friendships are ruined and reputations overturned because of that.”

Mobile Applications

  • Barbara, Massachusetts Institute of Technology (MIT):“I would say be careful with the information you give out. So many mobile applications link to Facebook to share authentication and other features that passwords and any content on Facebook could be insecure. I guess just be aware when you link 50 things to your Facebook that one of them is going to be insecure and anything could get out.”
  • Nate:“Also for apps specifically, I would stress that you should not only pay attention to how much of your data you are sharing but how much of your friends’ data you are sharing. For example, if you are joining some cool new messaging app and it asks for all your friends’ contact information, so it can ask them to join, you will want to think twice before allowing that permission.”
  • Nate:“Another thing I'm aware of is that anyone I spend a lot of time with (roommates, good friends, etc) will eventually learn the PIN on my phone, so what I do is install a secondary password application and use that to protect apps that I wouldn't want anyone getting into (such as email and Facebook).”

Communications (Texting, Email, etc.)

  • Jamie, University of Miami:“Don’t use apps that let you create anonymous messages, or send things to people without them knowing who it is. That always leads to trouble and people might be able to guess that it's you.”
  • Jamie: “Always check your texts before sending them. I once sent a text to my mom complaining about her, when the text was meant for a friend. Luckily, she thought it was funny but it could have been bad.”
  • Barbara: “Also, always check your email recipients! Don't send emails to the wrong people because you mistyped a name or used an old address. And the “reply all” option in email can send the email to the wrong people or annoy people with “spam”.”
  • Trevor, Harvard University:  “No Internet arguments or debates (no good can come from them). Check who you're texting with before you press “send." Triple check who you're sending emails to. Also, get into the habit of checking the subject line of your e-mails before you send them. If you're writing, even in a private e-mail, anything that, if read by anyone else would leave you mortified, consider mentioning it in privacy next time you get a chance. If you let it exist in writing in *their* inbox, it’s outside of your control.”

E-Commerce Advice

  • Kristen: “Make sure a site is secure before providing any credit card/ personal info. “
  • Elissa, Spelman College: “Being able to order clothes, shoes, handbags, food, and everything else imaginable and have it delivered right to your door might seem like it’s the best thing to ever happen to you. It’s not, especially when you are a college student on a budget. It’s so easy to lose track of how much money you’re actually spending when you shop online. Try to give yourself a reasonable amount to spend, and once you reach that amount, do not go over. Not even a little. Remember, spending limits are your friend, not your enemy!”

General Internet Advice

  • Kristen: “Everything is visible on the Internet and will not just go away. People can easily copy your photos or repost your comments. You should do a web search on your name every once in a while, especially before interviews.”
  • Barbara: “When choosing a password, you want to use a combination of capitol and lower case letters, numbers and characters. The more complex, the harder it is to hack into. And you should use different passwords for everything. Of course, remembering so many complex passwords may be harder so you want to store them down somewhere safe.”

In looking over the advice of these intelligent and thoughtful young people, you can see a common thread – you own your own online experience. It doesn’t have to be something you engage in with fear. You can enjoy online shopping, email, texting, mobile apps – you just need to do so mindfully. Pay attention to the motivation of your vendor partners. Understand how mobile apps make money from your information and usage. Consider your words and posts for a moment before you click send. Balance your need or desire to use any program with the tradeoffs you will make with your valuable information. The Internet is a powerful tool to connect the globe and empower us all. Use your good sense, consider those around you, be cautious and aware. And let’s create a better Internet together!

 

Marian Merritt is Symantec's Director of Cyber Education and Online Safety Programs. 

Why is Healthcare so Bad at IT Risk Management? (Part 1 of 2)

0
0
And how can we fix it . . .

Why is healthcare so bad at IT Risk Management?

Good question. And I certainly have my opinions about that. Last fall I moderated a panel on post-Omnibus security and I got to ask some current and active practitioners (a healthcare security consultant, a long-time healthcare attorney, and a sitting CISO from a multi-hospital system) that very question.

Why is Healthcare so Bad at IT Risk Management? (Part 2 of 2)

0
0
What will it take to make IT Risk Management a team sport in healthcare?

If I still haven’t made it clear, let me just say it: IT Risk Management is not an IT issue. Nor is it an IT problem to be solved.

Potential Internet Explorer 10 Zero-Day Vulnerability

0
0

Symantec is currently investigating reports of a potential zero-day exploit affecting Internet Explorer 10 in the wild. This appears to be a watering hole attack that was hosted on a compromised website in the United States. The watering hole attack website redirected unsuspecting users to another compromised website that hosted the zero-day attack.

We continue to analyze the attack vector and associated samples for this potential zero-day. Our initial analysis reveals that the Adobe Flash malicious SWF file contains shell code that appears to be targeting 32-bit versions of Windows 7 and Internet Explorer 10. We have identified a back door being used in this attack that takes screenshots of the victim’s desktop and allows the attacker to take control of the victim’s computer. We identify and detect this file as Backdoor.Trojan.

Symantec also has the following IPS coverage for this watering hole attack:

Symantec Security Response is currently working with Microsoft on this issue and will continue to update our protections. Please monitor our Security Response blog for further developments.

UPDATE 02/13/2014

Additional information has become available for the files involved in this potential zero-day attack.

A malicious .html page loaded by an iframe injected into the compromised Web site is detected as Trojan.Malscript. The malicious .html page runs a Flash file, detected as Trojan.Swifi, containing shell code that downloads a PNG file from a remote site. Opening the PNG file displays an innocent-looking software logo, however, two encrypted files are attached at the bottom of the image file. One file is a DLL and its sole purpose is to run the other file which is a payload desrcibed in the original section of this blog. The DLL is detected as Trojan Horse and the payload has been renamed from Backdoor.Trojan to Backdoor.Winnti.B.


In Love With Integrated Backup Appliances

0
0

By 2017, the purpose built backup appliance is estimated to be $6B in size (based on projections from IDC), essentially the same size as the enterprise backup software market. Even as it grows, this market is being transformed from one dominated by traditional deduplication storage appliances to one occupied by fully integrated appliances. Three to four years ago, Symantec was not in this market. The story today is quite different.

Internet Explorer 10 にゼロデイ脆弱性の可能性

0
0

シマンテックは現在、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査しています。これは、米国の Web サイトに侵入し、それをホストとして利用した「水飲み場型」攻撃のようです。無警戒なユーザーが水飲み場型攻撃の Web サイトにアクセスすると、ゼロデイ攻撃がホストされている別の侵入先の Web サイトにリダイレクトされます。

シマンテックはこのゼロデイ脆弱性の可能性について、攻撃経路や関連するサンプルの解析を続けています。初期の解析によって、Adobe Flash の悪質な SWF ファイルに、32 ビット版の Windows 7 と Internet Explorer 10 を標的にしていると思われるシェルコードが含まれていることがわかりました。被害者のデスクトップのスクリーンショットを撮り、攻撃者が被害者のコンピュータを制御できるようになるバックドアも特定されています。シマンテックはこのファイルを Backdoor.Trojanとして検出します。

また、今回の水飲み場型攻撃に対して以下の IPS 定義も提供しています。

シマンテックセキュリティレスポンスは現在、この問題について Microsoft 社と連携しており、保護対策の更新を予定しています。引き続き、このブログで情報更新をご確認ください。

更新: 2014 年 2 月 14 日

このゼロデイ攻撃の可能性に関連するファイルについて新しい情報があります。

危殆化した Web サイトにインジェクトされた iframe によって読み込まれる悪質な .html ページは、Trojan.Malscriptとして検出されます。この悪質な .html ページは、リモートサイトから PNG ファイルをダウンロードする Flash ファイル (Trojan.Swifiとして検出されます) を実行します。PNG ファイルを開くと、無害そうに見えるソフトウェアのロゴが表示されますが、実際には暗号化された 2 つのファイルが画像ファイルの末尾に添付されています。そのうちの 1 つは DLL ファイルで、その唯一の目的は、最初に説明したペイロードであるもう一方のファイルを実行することです。この DLL は Trojan Horseとして検出され、ペイロードの検出名は Backdoor.Trojan から Backdoor.Winnti.Bに変更されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Doing Well and Doing Good ... In Peru

0
0

As many of you may recall, we made a significant addition to our mission last year... adding corporate responsibility leadership to our overall goals because it's an integral part of our overall business success... it's about "doing well and doing good."

This week, we're making Symantec history by sending off the first employee team as part of our Symantec Service Corps.

The Corporate Responsibility team offered all employees the opportunity to apply to join the Service Corps in their inaugural mission to Arequipa, Peru. The team received an amazing 205 applications and from those, 10 employees were chosen to spend a month working with a non-profit organization or academic institution. Team members were chosen based on their applications, manager and HR business partner consultations, and alignment with non-profit needs.

Our Peru team members are: Alicia Pereira Pimentel, Allyson Gomez, Ashley Savageau, Claire Dean, Chris Brown, Craig Chan, Joseph Ferrar, Kamal LaBreche, Marq Bauman and Prakash Pereppadan Pappachan. We also selected two alternates: Patricia Christofferson and Steve Matthews... who will be offered the first spots for the next Service Corps assignment.

Over the past two months, the Service Corps members have prepared for their assignments...chosen based on their unique skillsets. Their projects involve creating marketing plans, developing secure accounting processes and designing a high-performing organizational structure.

You can learn a little more about the organizations we're supporting in Peru. And follow the team members as they blog throughout the next month at the official Symantec Service Corps website.

Join me in congratulating this team and wishing them the very best. Our assignment in Peru is a pilot effort... our goal is to support charitable organizations in the developing world to grow and operate more effectively. And it's a great step in making positive social change a part of our work here.

Steve

 

Steve Bennett is Symantec's President and Chief Executive Officer. 

Doing well and doing good...in Peru

0
0

As many of you may recall, we made a significant addition to our mission last year... adding corporate responsibility leadership to our overall goals because it's an integral part of our overall business success... it's about "doing well and doing good."

This week, we're making Symantec history by sending off the first employee team as part of our Symantec Service Corps.

The Corporate Responsibility team offered all employees the opportunity to apply to join the Service Corps in their inaugural mission to Arequipa, Peru. The team received an amazing 205 applications and from those, 10 employees were chosen to spend a month working with a non-profit organization or academic institution. Team members were chosen based on their applications, manager and HR business partner consultations, and alignment with non-profit needs.

Our Peru team members are: Alicia Pereira Pimentel, Allyson Gomez, Ashley Savageau, Claire Dean, Chris Brown, Craig Chan, Joseph Ferrar, Kamal LaBreche, Marq Bauman and Prakash Pereppadan Pappachan. We also selected two alternates: Patricia Christofferson and Steve Matthews... who will be offered the first spots for the next Service Corps assignment.

Over the past two months, the Service Corps members have prepared for their assignments...chosen based on their unique skillsets. Their projects involve creating marketing plans, developing secure accounting processes and designing a high-performing organizational structure.

You can learn a little more about the organizations we're supporting in Peru. And follow the team members as they blog throughout the next month at the official Symantec Service Corps website.

Join me in congratulating this team and wishing them the very best. Our assignment in Peru is a pilot effort... our goal is to support charitable organizations in the developing world to grow and operate more effectively. And it's a great step in making positive social change a part of our work here.

Steve

New Internet Explorer 10 Zero-Day Discovered in Watering Hole Attack

0
0

In an earlier blog, Symantec highlighted that we were investigating reports of a zero-day exploit affecting Internet Explorer 10 in the wild. Now we have further details on the attack leveraging this new zero-day, Microsoft Internet Explorer CVE-2014-0322 Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322).

IE 0 day edit.png

Figure. Watering hole attack using IE 10 0-day

Anatomy of the attack

The target of this watering hole attack was the vfw.org (Veterans of Foreign Wars) website. While this attack was active, visitors to the site would encounter an IFrame which was inserted by the attackers in order to load a second compromised page (hosted on aliststatus.com) in the background. The IFrame img.html file loads a malicious tope.swf Flash file that exploits a vulnerability in Internet Explorer 10. Symantec detects the malicious IFrame as Trojan.Malscript and detects the malicious SWF file as Trojan.Swifi.

Exploitation of the vulnerability by the SWF file leads to another download from the aliststatus.com domain in order to initiate the final stages of the payload. The first part of this download is a PNG image file named erido.jpg (detected as Trojan Horse) that contains multiple embedded binaries that are then extracted by shellcode executed by the SWF file. The embedded binaries are named sqlrenew.txt, which despite the name is actually a DLL file (also detected as Trojan Horse), and stream.exe (detected as Backdoor.ZXShell).

Additional code from the SWF file is responsible for loading the sqlrenew.txt DLL file. At this point the DLL takes over and launches a stream.exe process which is the final payload. This sample is responsible for connecting back to the attacker-controlled newss.effers.com server.

Connecting the dots

Data we uncovered during our investigation suggests a connection between this attack and the malicious actors known to Symantec as Hidden Lynx. The data indicates the same infrastructure is being leveraged as found in a previous attack by this group who used Backdoor.Moudoor.

What can I do to prevent and mitigate against this attack?

Users not running Internet Explorer 10, or running a browser native to Mac OS, are not vulnerable. For Internet Explorer 10 users on Windows, possible mitigation actions include using an alternative browser, installing Microsoft's Experience Mitigation Toolkit (EMET), or upgrading to a newer version of the browser. Symantec also encourages users to apply all relevant patches when they are available.

Symantec protects customers against this attack with the following detections:

Antivirus

Intrusion Prevention Signatures

Our telemetry also indicates that parts of the payload were detected, in various stages, by the following heuristics detections:

Viewing all 5094 articles
Browse latest View live




Latest Images