[投稿日時 : 2010.01.31 AM 9:40]
生命保険の日
1882年、日本初の生命保険金支払いが行われたことに因み、
MDRT日本会が制定。
これとは別に、生命保険協会は生命保険の日を11/1と定めている。
の日
[あい(I)さい(31)]
晦日正月,晦日節
----------
これが最後の記事になったら笑ってやってください。
----------
CVE-2010-0249 in Operation Aurora
CVE-2010-0249 Exploit コード生成ツール
CVE-2010-0249 Exploit コード生成ツール (by
暗黒工作組) を使ったExploitの作成とその実証。
非常に詳細な検証に、いつも頭が下がります。
生成された Exploit コード ie.html を同環境の Internet Explorer 6(IE6)で開くと、cmd.exe が起動しました。この日記での Exploit コードの実行については、おまけ程度です。成功しちゃいましたよ~ぐらいですね。
成功しちゃうのですね~
一応、MSサイドは、
MS10-002を適応していれば大丈夫! ということになっては居るのですが、色々な意見があって評価待ちになっています。
Researcher to reveal more Internet Explorer problems
'Aurora' Exploit Retooled To Bypass Internet Explorer's DEP Security
特にVUPENのDEP Bypassは、成功するならクリティカルヒットなのですが、PoCも不明ですのでなんとも・・・
参考(際限なく増え続ける汚染散布元の情報):
IE 0day CVE-2010-0249 – Blocking and Tracking
必須
1/21適用の Microsoft パッチを適応してください。
運用回避策
Windows XP SP2 以前のものは SP3にあげてください
Internet Explorer 6は Internet Explorer 8に上げてください。
DEPを有効にしてください。
----------
Pushdo(cutwail) scatter DDoS it owns
Pushdo DDoS'ing or Blending In?
What's going on here? Well it seems the 
Pushdo botnet recently made changes to its code to cause infected nodes to create junk SSL connections to approximately 315 different websites.
かなり広範な、BFA(with SSL というかほとんどDDoS)が検知されているようです。
www.sans.org:
Got PushDo SSL packets?
ZeusTracker:
secure.skype.com:
Skypeのフィッシングサイトの報告が
今月頭にありましたが、特に大きく広まっては居ないようです。
影響を受けるシステム:
攻撃対象になっているサーバ(IP/ドメイン)
対策:
DDoS対処
自システム・環境の汚染調査
自管轄ISP内に攻撃ノードが存在しないかどうか
※PushdoはBredlab(Bredolab)に陥落した結果のzombie-nodeである可能性があります。
----------
FileZillaの見解
FFFTP同様、8080系マルウェアによってID/PASS/接続先を抜かれているとされる FileZillaですが以下のような見解です。
私の意見は差し挟まないことにしておきます。
Filezilla security virus exploit
1) Is the Filezilla team aware
Naturally.
This isn't a vulnerability in FileZilla. If you get infected by Gumblar it's through other means, not because you are using FileZilla. To my knowledge the attack vector of Gumblar is through malicious PDF and Flash documents. If you are worried about getting infected, stop using proprietary programs that have a track record of tons of vulnerabilities. This includes all software made by Adobe.
2) Is there going to be an encryption upgrade to the package for the stored FTP details.
Gumblar actually fetches the user's FTP credentials by sniffing the outgoing network traffic. Even if no passwords are ever stored on an infected computer, as soon as you use it to connect to some FTP server, your credentials are compromised.
Here's a simple rule: If your computer got infected, you've lost already, it's game over. You need to prevent the infection in the first place.
yikes!
----------
「ガンブラー」対策
これももう、自分の意見は何もいわないことにしておきますか
ガンブラー型ウイルス猛威、サイト改ざん悪質化
さらに、同じ攻撃手法の“新型”も登場。ウイルス対策会社によると、この1か月間で400近い企業サイトの改ざんが確認された。新タイプでは、従来型と違い、クレジットカード番号を盗む仕組みが加わるなど、犯罪の意図が明確になってきているという。
!?
ガンブラーは昨春、世界的に出回り始め、いったん沈静化したものの昨年10月頃に再燃。改ざんされたサイトを閲覧すると、不正サイトに誘導され、IDやパスワードなどを抜き取られるというものだったが、実害が報告されないまま同12月中旬に攻撃は静まった。
ところが、この頃から今年にかけて“第3波”が来襲。今度は、不正サイトに誘導された後、偽のウイルス対策ソフトをインストールさせて、クレジットカード番号などを盗んだり、スパムメール(迷惑メール)配信に利用されたりする恐れがあるという。
*sigh*
住民などの個人情報が盗まれる恐れがあるとして、総務省では、所管の財団法人「地方自治情報センター」が作成したガンブラー専用の検知システムを利用するよう全国の自治体に呼びかけている。
Web感染型マルウェア能動的検知事業
?
※詳細は、『「Web 感染型マルウェア能動的検知事業」開始に当たって』をダウンロードし、ご参照ください。(LGWAN接続環境が必要です。)
総合行政ネットワーク
*shrug*
ガンブラー対策とは
クライアントサイド:
Microsoft Updateを常に自動で行ってください。
Adobe Flashを使用している場合、最新版にしてください。
Adobe (Acrobat) Readerを使用している場合、最新版にしてください。
Oracle(SUN) JAVA JRE を使用している場合、最新版にしてください。
Apple QuickTime を使用している場合、最新版にしてください。
Adobe Acrobat/Reader のJavaScript機能は、必要ある人以外はOFFにしてください。
古いOracle(SUN) JAVA JREを確実に削除してください。
平文によるFTP送受信を行わないでください。
FTPクライアントのパスワードを保存しないでください。
その他、インターネット上に送受信するアプリケーションを最新にするか、不要なものは削除してください。
適切な対ウィルスソフトを導入し、定期的にスキャンを実行してください。
適切なファイアウォールを導入してください。
インターネットへの接続は必ず物理的障壁を(ルータでも可)を経由し、直結しないでください。
HIPSの動作を理解した上で、導入を検討してください。
ブラウザのJavaScriptをサイト毎に制約する環境を構築してください。
サイトを跨るスクリプトの実行を防止してください
サーバーサイド:
----------
Day-2 : RFI
SANSの新シリーズ「Weblogを解析する」
第2回は RFI です。
Weathering the Storm Part 2: A Day of Weblogs at the Internet Storm Center
RFIはPHPの脆弱性を元にサーバにテキストファイルの形でスクリプトを注入する攻撃で、数年前に大流行しましたが、現在は下火になっているように見受けられます。
参考:
サーバーも狙われる ~RFI攻撃によるボットの感染~ 2008/04/07
下火になったといっても、完全に攻撃が収束しているわけでもなく、.gif .txt .doc .dat のような拡張子で差し込まれている例が
ちらほら散見されます。
まずは、phpinfo();を取ってみて、以下を確認してみましょうか?
There are a number of simple configuration choices which will prevent exploitation of most of these problems, even if the old software is still install. For example:
- turn off register_globals
- turn off allow_url_include
ちなみに第一回は GET,POST,OPTION以外のクエリメソッドのお話
Weathering the Storm: A Day of Weblogs at the Internet Storm Center
\x81って何だ!?
AN HTTPD ゲストブック/コメント集(2002年6月27日17:51)
考察その他:
Hardened-PHP Project
register_globals boolean
警告
この機能は PHP 5.3.0 で 非推奨となり、PHP 6.0.0 で削除されます。この機能を使用しないことを強く推奨します
PHP と Web アプリケーションのセキュリティについてのメモ : wv7y-kmr氏
----------
・・・・・・
ぐったり
ここまで書いて音を上げました。
とてもこんな感じでは毎日続けられそうにありません。
やはり私のような根がいいかげんな人間がセキュリティを語るのがおこがましかったようですネ。
----------
その他:リンクのみ
部内にキーロガーを仕組んだ男性社員――不正を生ませない人的対策
ガンブラー対策とクラウド型セキュリティ―G Data Software
ドイツのセキュリティベンダーである G Data は、当時、
GENO ウイルスという名称で注意喚起を行い、かつワクチンが対応していたベンダーの一つだった。
BoA Offline?
it works
Simmering Over a ‘Cyber Cold War’
Weaning the Web off of Session Cookies
Google DocsとGoogle Sitesが3月からIE6のサポートを停止
The Flash is always greener: Why the iPhone won’t have Flash anytime soon
iPadと石ころを比較する
Welcome(?) back
ガンブラー 感染動画2
なぜか最近感染したくてもできない状態が続いていたいわゆるガンブラー(8080系)が、元気になってあなたの元へかえってきましたよ!
FFFTPの「設定をINIファイルに保存」を有効にしている場合どうなるの?なんて質問もあったので、今回はレジストリに登録されている情報を削除して、その設定を有効にしておきました!
これで様子を見て改ざんされないようなら、今の所INIファイルの情報までは読みに行ってないっていう事かもしれないけど結局ハッキリした事は言い切れないので微妙なところだよね!
----------
8080
*NEW*
81.28.96.129 
AS41770(IMINGO) 
77.68.44.169 AS15418(FASTHOSTS) 
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(ONEANDONE-AS) 
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)
やはりラウンドロビンに2系統ある模様です。
----------
Google Safe Browsing
| 1264881614 | B | [goog-black-hash 1.49962 update]
| 1264881601 | M | [goog-malware-hash 1.19012 update]
| 296154 | -628(296782) 微減
| 1295312 |
--------------------------
お詫びに書いていたものを移動しました。
一応、お詫びのお詫びということで、FFFTPの作者のSota様から、何かポストやメールがあったわけではないことを(必要ないとは思っていたのですが)明確にお知らせしておきます。
作者のsota様には重ねてお詫び申し上げます。
直接の対象である某Li●○にはいろいろ言いたいことはありますが、あえて何もいわないことにします。
以下、お詫びから移動した部分
--------------------------
と書いて閉鎖しようかなとか思ってますけどダメですか?
--------------------------
Nifty-serveの一件のときもそうですが、記事の一部を抽出して前後関係を見ずに広めるのはやめていただけませんか?
今後もそうなるというのなら、私はその日その日、1件の記事に必ず前後関係の問題を書かなければならないのでしょうか?
ウィルスに感染しないとか、コンポネンツ系のアップデートを必ず行うとか、大前提を毎日数行書かなければなりませんか?
当該記事の修正を迫るなら、自分はこう書くべきだという模範解答を自分のblogに書いて、それを公開してください。謹んでこちらからリンクを貼らせて頂きます。
--------------------------
EoF
SQLインジェクション検出ツール「iLogScanner」を機能強化
I love Steven Ballmer!
Flash Player 10.0.45.2
KILL Acrobat JavaScript
Java 6 update 19
Apple QuickTime 7.5.6
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Pidgin 2.6.6
Wordpress 2.9.2
WireShark 1.2.7
Secunia PSI
MyJVN VerChk
2010.05.31
2010.06.30
BEFORE BURNER
焼却炉