2010.01.08 金曜日
Posted in security on 1 月 8th, 2010 by gnome
平成スタートの日 1989年、昭和天皇の崩御、皇太子明仁親王の皇位継承
当時、故小渕恵三総理が掲げた「平成」の額を記憶している人は多いかな
外国郵便の日 1875年、日本初の郵便条約がアメリカと結ばれた。
正月事納め (正月の終わり)
3学期の始業式 でも明日から3連休(笑)
----------
坂道を転がり落ちるように
Pre-Notification - Quarterly Security Update for Adobe Reader and Acrobat
the upcoming Adobe Reader and Acrobat updates scheduled for January 12, 2010.
と、Adobeがのんびりパッチを作成している間に事態はどんどん悪化しています。
Static analysis of malicious PDFs
While we are still waiting for the patch and the malicious PDFs which exploit 
CVE-2009-4324 become more and more nasty
このMalformed PDF はペイロードを自分自身の中からドロップするため、バッファオーバーランの後にShellcodeでwgetする必要がありません。
Backdoor:Win32/Poison.A [Microsoft]
not-a-virus:RemoteAdmin.Win32.PoisonIvy.20 [Kaspersky Lab]
いや・・notじゃないとおもう・・
接続先:
cecon・flower-show・org as 202.150.213.12
NEWMEDIAEXPRESS 
過去暦のあまりないASなので注意が必要です(
PART2:
Static analysis of malicous PDFs (Part #2)
PDFのMalcodeのチェックは
Wepawetを使うことが多いのですが、今回のタイプは検出できません。
But given that more and more users no longer reboot their PC, and just basically put it into sleep mode between uses, the bad guys do not really need to strive for a persistent (on-disk) infection anymore.
多くのAVは再起動しないと挙動検知できず、一般ユーザの多くがあまり再起動せず(Sleepで)恒常的に電源が入った状態で使用しています。
この問題解決の方法はあるのでしょうか?
IDApro Disassemblerを使った検証:
PDF file loader to extract and analyse shellcode
Unpatched Adobe Vulnerability Is Still Being Exploited in the Wild
TROJ_PIDIEF.WIA :solution
Step 3: Disable JavaScript for Acrobat and Adobe Reader
Detectしても実行阻害できてないような?
----------
セキュリティ・ベンダーの名称不統一問題
一般紙やメディアが 8080系と Gumblarを混同してるのは、この際ショウガナイのかもしれませんが、セキュベンダーがコレでいいんでしょうかね?
急増するサイト改ざんとGumblar感染、対策の速やかな実施を
HTMLファイルや外部.js(JavaScript)ファイルに「/*GNU GPL*/ try」や「<script>/*CODE1*/try」(<、*、/は半角)といった不審な文字列が追記されていないかを確認する
ふむふむ・・
TSPY_KATES.SMOD
67.215.238.194
マテ・・・
こっちは確かに Gumblar.x ですが・・・
トレンドマイクロが2009年の不正プログラム動向を総括
トレンドマイクロは1月7日、不正プログラムの傾向と対策をテーマとした報道向けセミナーを開催した。
(中略)
これに対して同社は、まずFTP接続時の認証を強化し、電子証明書など、ベーシック認証以外の手段を採用することを対策として挙げた。ただ、「こうした手段が浸透すれば、今後は証明書を盗み出そうとするウイルスが登場するだろう。そう考えると認証の強化は、一時的な対策にしかならない。より根本的には、アクセスコントロールを確実に行うことが必要だと考えている」(同氏)。もちろん、Webアプリケーションの脆弱性を修正するなど、それ以外にも対策を取るべき項目は多いという。
もうぐちゃぐちゃ・・・
「電子証明書を使ったFTP認証」って、要はFTPSの話なんでしょうか? 証明書を盗むとかイミフメイすぎます。そもそも、Gumblarも8080(QuickSilver)もFTPクライアントのコンフィギュレーションファイルを盗む機能が指摘されているので、SSL Certなんか見向きもしないと思います。また、アクセスコントロールは定められたIPアドレスのみしか Uploadを許さないって話であって、そんなものサーバーを自社運用しているWeb系会社はどこでもやってると思っていたのですが、私の認識と世間一般はひょっとしたらかなり乖離しているのかもしれません。
別記事:
「ガンブラー被害を食い止めるには?」---トレンドマイクロが不正プログラム動向を報告
新ウイルス Gumblar(ガンブラー/別名 GENO)にご注意ください -- 2010.01.05更新
コレなんか、Kasperskyが意図的にやってるのか、浮川夫妻のいなくなった Justの暴走なのか知りませんが、意図的なミスリードであり、少なくともセキュ会社がやっていいことじゃない気がします。
※本家Kasperskyを弁護しておきますが、Gumblar.xに関する最大のエキスパートは間違いなく Kasperskyです。
The Gumblar system
Nortonは今回は沈黙するしかなさそうですね(苦笑)
そろそろブログパーツはやめた方がいいんじゃね?
今回の Gumblar.x, 8080の台頭は、どうみても AdobeやJavaの脆弱性放置が原因であって、もっというならバッファランした後デフォルトでDEPを有効にできない Windows XP あたりの根源的問題だと思っています。
Windows7を安く提供すればいいだけなんじゃない? > バルマー先生
更に続く
----------
再掲:
急増するサイト改ざんとGumblar感染、対策の速やかな実施を
HTMLファイルや外部.js(JavaScript)ファイルに「/*GNU GPL*/ try」や「<script>/*CODE1*/try」(<、*、/は半角)といった不審な文字列が追記されていないかを確認する
は
/*LGPL*/
に変更されています(苦笑)
今日のラウンドロビン:
themobilewindow・ru. 424 IN A 62.75.218.192 PLUSSERVER 
themobilewindow・ru. 424 IN A 91.121.49.129
themobilewindow・ru. 424 IN A 91.121.142.111
themobilewindow・ru. 424 IN A 94.23.14.110
themobilewindow・ru. 424 IN A 94.23.206.229
下の4つは調べるまでも無く OVH(AS16276) ですね(苦笑)
----------
もうそんな時期
Microsoft Security Bulletin Advance Notification for January 2010
January 12, 2010
Critical 1 のみ
Microsoft planning quiet Patch Tuesday this month
静かです・・・
というかAdobeの日と一緒ですから、そっちのほうが重要です。
----------
PowerDNS
1und1で採用されていることで微妙に有名な PowerDNSですが・・・
Critical security update for PowerDNS Recursor
PowerDNS Recursor Spoofing and Buffer Overflow Vulnerabilities 4
Update to version 3.1.7.2.
セキュリティホールの多かった BINDから乗り換えということで喧伝されてきた PowerDNSも、DNSSECの本格導入を前に躓いてしまいました。
がんばれ! 逆境に負けるな~!
第1回 RDBMSが使えるPowerDNS
----------
Googleスパイウェア!?の翻訳
Researcher exposes Google spyware connections
昨日ナナメ読みして投げた記事の翻訳:
グーグル、スパイウェアプログラムメーカーWhenUを断ち切れず--研究者が明らかに
なんだ・・ポップアップが嫌い(二重課金)なだけの話だったのか・・
Edelman also called on the search marketing giant to pay restitution to affected advertisers.
とかかかれてたので大事なのかと思ってしまいました。
----------
Juniper JUNOS
大型ネットワーク機器のもう一方の雄、Juniper(JUNOS)にもなにやら暗雲が・・・
Juniper routers may crash on certain malformed packets
Juniper JUNOS routers can be crashed or made to reboot with easily spoofed malformed packets.
IOS(Cisco)が落ち着いてきたかと思えば・・・
JUNOS (Juniper) Flaw Exposes Core Routers to Kernel Crash
JUNOSは触ったことすら無いので詳細はなんとも・・
Affected Devices がかなり多いです。
参考:
勝者はどっち!? 激闘! シスコ IOS×ジュニパー JUNOS スイッチ/ルータは搭載OSで比較せよ!
----------
時間切れ:その他
2010年は「サービスとしての犯罪(CaaS)」が本格化--フォーティネット脅威予測
参照:
CaaS、MaaS
Western Union を騙るスパム 2
westernunion.comの偽サイト -- Jan 07
そういえば、そろそろ
Open season on tax-payers
USのTax Seasonでまた増えそうです
Rootkit:
Some Observations on Rootkits
Win32/Rustock
かなり古いタイプのものですね。
Gumblar/Daonal/KATESなんかも挙動的にはrootkitsにあたると思うのですが、まだまだ正確な解析が出てきません。
チェックしておきたいぜい弱性情報<2010.01.07>
[CG]iFixItがNexus Oneを恒例のバラシ
もう解体ですか・・・
----------
:最近またドクが強くなってきたといわれてちょっと反省:
----------
| 1262894414 | B | [goog-black-hash 1.48311 update]
| 1262894402 | M | [goog-malware-hash 1.18473 update]
| 307344 | -1091(308435) さらに漸減中
| 1212467 |
EoF
ガンブラーウイルスについての誤った情報にご注意ください。 
Quicksilver Malware Network -- 2009.09.17
I love Steven Ballmer!
KILL Acrobat JavaScript
Java 6 update 19
Apple QuickTime 7.5.6
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Skype 4.2.0.155
Pidgin 2.6.6
Wordpress 2.9.2
WireShark 1.2.7
MyJVN VerChk
2010.05.31
2010.06.30
BEFORE BURNER
焼却炉