脅威リサーチ
- 脅威リサーチ
注目の脅威:エクスプロイト キットが世界中に拡散、150 ヵ国以上が被害に
150 ヵ国以上におよぶ 10,000 以上の都市で Nuclear の活動を検出…
続きを読む
- 脅威リサーチ
Oracle OIT Image Export SDK libvs_pdf XRef Index にコード実行の脆弱性
この記事は、Aleksandar Nikolic、Jaeson Schultz が執筆しました。 Talos は最近、Oracle Outside In Technology の Image Export SDK に脆弱性があることを発見しました。これが悪用されると、攻撃者がヒープをオーバーフローさせて、任意のコードを実行できる可能性があります。この脆弱性は、Image Export SDK の PDF(Portable Document Format)ファイルの解析処理の部分に存在します。 Xref オブジェクトを含んだ…
続きを読む
- 脅威リサーチ
JBoss バックドアが深刻な脅威として拡散中
最近の SamSam による大規模なランサムウェア キャンペーンによって、ランサムウェアの配布における脅威の状況が一変しました。サーバの脆弱性を標的とするランサムウェアの拡散によって、すでに流行しつつある脅威は新たな次元へ突入しています。最近のカスタマー エンゲージメントをもとにシスコの IR サービス チームから提供された情報をふまえ、私たちは JBoss が侵入経路の起点として用いられている点に注目して調査を始めました。まず、インターネット上の脆弱な端末を探すことから始めたところ、リスクのある端末が約 320 万台もみつかりました。 さらに私たちは、すでに侵害され、ランサムウェアのペイロードに対して潜在的な待機状態となっている端末についても調査を行いました。結果、1,600 個近い IP アドレスにわたって、2,100 を超えるバックドアがインストールされていることが確認されたのです。ここ数日の間に、Talos は、学校、政府、航空会社など、影響を受ける関係各所への通知を行っています。 これらのシステムの中には、Follett 社の「Destiny」というソフトウェアがインストールされているものが複数ありました。
続きを読む
- 脅威リサーチ
Microsoft Patch Tuesday – 2016 年 4 月
2016 年 4 月度の Patch Tuesday が発表されました。Microsoft 社は、製品内のセキュリティの脆弱性に対応するための、月次セキュリティ報告をリリースしました。今月のリリースには、31 の脆弱性に関連する 13 の報告が含まれています。6 つの報告が緊急と評価され、Edge、Graphic Components、Internet Explorer、XML Core Service、Microsoft Office、Adobe Flash Player の脆弱性に対応しています。その他の 7 つの報告が重要と評価され、Hyper-V、Microsoft Office、その他の Windows コンポーネントの脆弱性に対応しています。
続きを読む
- 脅威リサーチ
脆弱性の詳細:Apple グラフィックス ドライバの不正利用と KASLR のバイパス
Cisco Talos で脆弱性の調査を担当する Piotr Bania が最近 Apple Intel HD 3000 グラフィックス ドライバの脆弱性を発見しました。それについては、こちらのブログで紹介しています。 今回の記事では、この調査をさらに深く掘り下げて、この脆弱性と、 任意のコードがローカルで実行される可能性のある KASLR のバイパスとカーネルの不正利用について詳しく取り上げます。これらの手法は、ソフトウェアのサンドボックス技術を回避しようとするマルウェア作成者によって悪用される可能性があります。それは単純にソフトウェア プログラム(ブラウザやアプリケーションのサンドボックス)の中でも、カーネル レベルでも起こり得ます。 調査を進める課程で、Intel HD グラフィックス 3000 GPU を内蔵する Apple OS X コンピュータには、次に示す…
続きを読む
- 脅威リサーチ
ToR を実行して逃げ隠れする Nuclear キット
はじめに エクスプロイト キットは常にユーザに被害を及ぼしています。感染源はマルバタイジングであったり感染した Web サイトであったり色々ですが、大量のユーザとの間で日々やり取りが行われています。Talos は継続的にこれらのエクスプロイト キットを監視し、セキュリティの確保、不正が発生した際の変化の分析、ペイロードの変遷の調査を進めています。チームは昨日、Nuclear キットの新しい技術を確認し、これまで見たことのない新たなペイロードや技術を発見しました。 詳細 Nuclear エクスプロイト キットについて取り上げるのは久しぶりなので、ユーザがどのように感染するかを簡単に説明するところから始めましょう。大半のエクスプロイト キットと同様に、Nuclear キットにも重要なコンポーネントがいくつかあります。つまり、ゲート、ランディング ページ、ペイロードを含んだエクスプロイト ページです。まず、これまでチームが Nuclear キットとの関連で監視してきたゲートについて、特に新種のペイロードを含んだ今回のインスタンスについて説明します。
続きを読む
- 脅威リサーチ
注目の調査:わずかな小銭で不正が可能
執筆者:Tazz 概要 2 月末に、チームの調査員の 1 人が、ドメイン再販業者から 1 通の勧誘電子メールを受信しました。調査員はその電子メールを 3 月の第 1 週に閲覧しています。この電子メールは Namecheap から送信されたもので、88 セントという破格の値段でドメインを販売していました。電子メールは、これ以上ない皮肉なタイミングで届きました。というのも、マルウェア/フィッシング/スパムに関係のあるドメインの集団とその価格との間に何らかの関係があるかを究明する調査をしていた時期とちょうど重なったのです。この記事では、格安のドメインと不正な活動との関係について説明していきます。この記事中に出てくる「悪意のある」という言葉には、マルウェア/フィッシング/スパムに関する活動が含まれています。
続きを読む
- 脅威リサーチ
緊急ニュース Adobe Flash に新たなゼロデイ脆弱性が見つかる
残念ながら、現在の脅威の状況では、Adobe Flash Player は依然としてシステム侵害の格好の攻撃媒介です。ここ数年、Talos は、攻撃者がゼロデイ脆弱性を悪用してシステムに侵入し侵害した事例を複数確認してきました。また、Talos は CVE-2016-1019(Adobe Flash のゼロデイ脆弱性)の報告が現在環境で侵害を受けており、Windows 10 もしくはそれ以前のバージョンを実行するシステムに影響を与えていることも認識しています。 4 月 5 日に公開された Adobe Flash Player セキュリティ アドバイザリによると、Flash…
続きを読む
- 脅威リサーチ
TeslaCrypt 3.0.1 – 暗号化の仕組み
執筆者:Andrea Allievi、Holger Unterbrink 概要 ランサムウェアとは、ユーザのファイル(写真、ドキュメント、音楽など)を身代金目的で暗号化し、その復号のために金銭を要求する、悪意のあるソフトウェアです。ユーザは一般的に、電子メールのフィッシング キャンペーンやエクスプロイト キットを通じてランサムウェアの被害を受けます。TeslaCrypt…
続きを読む
- 脅威リサーチ
注目の脆弱性:LHASA における整数アンダーフローの脆弱性
本脆弱性は Cisco Talos のMarcin Nogaが発見しました。 Talos は、Lhasa LZH/LHA 圧縮解除ツールおよびライブラリにおける脆弱性TALOS-2016-0095/CVE-2016-2347 を発見したことを発表します。この脆弱性は整数がアンダーフロー状態になることが原因で起こります。Lhasa はヘッダー値が大き過ぎないことは確認しますが、ヘッダーの長さが小さ過ぎるかどうかはチェックしません。圧縮解除する LHA または LZH ファイルに整数型の最小値よりも小さいヘッダー…
続きを読む
