記事
-
脅威リサーチ注目の調査:Qbot の復活
この投稿の執筆者:Ben Baker Qbot(Qakbot とも呼ばれます)は、少なくとも 2008 年には出回っていましたが、最近になって開発や使用が急増しています。現在の Qbot の主なターゲットは、銀行取引のクレデンシャルのような機密情報になりつつあります。このブログでは、一般にはまだ知られていないこのマルウェアの最近の変化について報告します。 Qbot の主な感染手段は、ブラウザのエクスプロイト キット内のペイロードの形を取ることです。Web サイトの管理者は自分のサーバへのアクセスに FTP を使用する場合が多く、Qbot は FTP のクレデンシャルを盗み、これらのサーバにマルウェアをホスティングするインフラストラクチャを追加しようと試みます。Qbot は SMB を使用して拡散する場合もあります。このため、保護されていないネットワークから…
続きを読む
-
-
脅威リサーチ注目の脆弱性:NTPD にさらなる脆弱性が存在
Linux Foundation の Core Infrastructure Initiative のメンバーであるシスコは、Network Time Protocol デーモン(ntpd)のセキュリティの不具合を評価することで、CII の活動に貢献しています。当社はこれまでにも、ソフトウェアのさらなる脆弱性を特定する調査を継続的に実施しており、ntpd の一連の脆弱性
続きを読む
-
脅威リサーチランサムウェア:過去、現在、そして未来
「過去は序章に過ぎない」 — William Shakespeare『テンペスト』より はじめに この 1 年間におけるランサムウェアの急増は非常に大きな問題です。多くの企業は、身代金を支払うことがデータを取り返す最もコスト効率の良い方法だと考えています。そしてそれが現実かもしれません。私たちが直面している問題は、ファイルを取り返すために身代金を支払っているすべての企業が、次世代のランサムウェアの開発に直接出資しているということです。その結果として、ランサムウェアは驚くべき速度で進化を遂げているのです。 このブログ記事では、これまでに発生した非常に効果的な自己増殖型マルウェアの特徴と、攻撃の水平展開を促進するツールの進化について探ります。この研究が重要なのは、敵対者が今後ランサムウェアでこうした機能を活用し始めることが予想されるためです。このブログ記事では、過去に成功を収めた多数のマルウェア、そして有能なサイバー恐喝者が過去のマルウェアを参考に新たな脅威を築く可能性という 2 つの事柄に焦点を当てます。 今日知られているランサムウェアの考え方は「ばらまき」方式で、攻撃者はできるだけ多くの標的にできるだけ短時間で攻撃を仕掛けます。通常ペイロードは、エクスプロイト キットまたは大規模なフィッシング キャンペーンによって配布されます。最近では、意図的に企業ネットワークを狙った多数のランサムウェア キャンペーンが行われたことが発覚しました。私たちは、この動向は今後起きることの前兆、つまり将来登場するランサムウェアの前触れであると確信しています。 従来マルウェアは、データの破壊やデータのコンテンツへのアクセスを不能にすることにはまったく無関心でした。有名な例外事例はいくつかありますが、データの損失はたいていマルウェア キャンペーンの副次的な影響でした。ほとんどの攻撃者は、目的を達成するために、データやシステムが提供するリソースへの継続的なアクセスを狙っていたのです。しかしランサムウェアによってこの状況に変化が現れ、攻撃者の目的はシステムの弱体化から大胆な脅迫へと変わりました。攻撃者はデータへのアクセスを不能にし、データへのアクセスを回復させるのと引き換えに金銭を要求しています。この文書では、最新のランサムウェアの傾向と、この脅威から企業を防御する方法について解説していきます。
続きを読む
-
-
脅威リサーチOracle OIT Image Export SDK libvs_pdf XRef Index にコード実行の脆弱性
この記事は、Aleksandar Nikolic、Jaeson Schultz が執筆しました。 Talos は最近、Oracle Outside In Technology の Image Export SDK に脆弱性があることを発見しました。これが悪用されると、攻撃者がヒープをオーバーフローさせて、任意のコードを実行できる可能性があります。この脆弱性は、Image Export SDK の PDF(Portable Document Format)ファイルの解析処理の部分に存在します。 Xref オブジェクトを含んだ…
続きを読む
-
脅威リサーチJBoss バックドアが深刻な脅威として拡散中
最近の SamSam による大規模なランサムウェア キャンペーンによって、ランサムウェアの配布における脅威の状況が一変しました。サーバの脆弱性を標的とするランサムウェアの拡散によって、すでに流行しつつある脅威は新たな次元へ突入しています。最近のカスタマー エンゲージメントをもとにシスコの IR サービス チームから提供された情報をふまえ、私たちは JBoss が侵入経路の起点として用いられている点に注目して調査を始めました。まず、インターネット上の脆弱な端末を探すことから始めたところ、リスクのある端末が約 320 万台もみつかりました。 さらに私たちは、すでに侵害され、ランサムウェアのペイロードに対して潜在的な待機状態となっている端末についても調査を行いました。結果、1,600 個近い IP アドレスにわたって、2,100 を超えるバックドアがインストールされていることが確認されたのです。ここ数日の間に、Talos は、学校、政府、航空会社など、影響を受ける関係各所への通知を行っています。 これらのシステムの中には、Follett 社の「Destiny」というソフトウェアがインストールされているものが複数ありました。
続きを読む
-
脅威リサーチMicrosoft Patch Tuesday – 2016 年 4 月
2016 年 4 月度の Patch Tuesday が発表されました。Microsoft 社は、製品内のセキュリティの脆弱性に対応するための、月次セキュリティ報告をリリースしました。今月のリリースには、31 の脆弱性に関連する 13 の報告が含まれています。6 つの報告が緊急と評価され、Edge、Graphic Components、Internet Explorer、XML Core Service、Microsoft Office、Adobe Flash Player の脆弱性に対応しています。その他の 7 つの報告が重要と評価され、Hyper-V、Microsoft Office、その他の Windows コンポーネントの脆弱性に対応しています。
続きを読む
-
脅威リサーチ脆弱性の詳細:Apple グラフィックス ドライバの不正利用と KASLR のバイパス
Cisco Talos で脆弱性の調査を担当する Piotr Bania が最近 Apple Intel HD 3000 グラフィックス ドライバの脆弱性を発見しました。それについては、こちらのブログで紹介しています。 今回の記事では、この調査をさらに深く掘り下げて、この脆弱性と、 任意のコードがローカルで実行される可能性のある KASLR のバイパスとカーネルの不正利用について詳しく取り上げます。これらの手法は、ソフトウェアのサンドボックス技術を回避しようとするマルウェア作成者によって悪用される可能性があります。それは単純にソフトウェア プログラム(ブラウザやアプリケーションのサンドボックス)の中でも、カーネル レベルでも起こり得ます。 調査を進める課程で、Intel HD グラフィックス 3000 GPU を内蔵する Apple OS X コンピュータには、次に示す…
続きを読む
-
脅威リサーチToR を実行して逃げ隠れする Nuclear キット
はじめに エクスプロイト キットは常にユーザに被害を及ぼしています。感染源はマルバタイジングであったり感染した Web サイトであったり色々ですが、大量のユーザとの間で日々やり取りが行われています。Talos は継続的にこれらのエクスプロイト キットを監視し、セキュリティの確保、不正が発生した際の変化の分析、ペイロードの変遷の調査を進めています。チームは昨日、Nuclear キットの新しい技術を確認し、これまで見たことのない新たなペイロードや技術を発見しました。 詳細 Nuclear エクスプロイト キットについて取り上げるのは久しぶりなので、ユーザがどのように感染するかを簡単に説明するところから始めましょう。大半のエクスプロイト キットと同様に、Nuclear キットにも重要なコンポーネントがいくつかあります。つまり、ゲート、ランディング ページ、ペイロードを含んだエクスプロイト ページです。まず、これまでチームが Nuclear キットとの関連で監視してきたゲートについて、特に新種のペイロードを含んだ今回のインスタンスについて説明します。
続きを読む
