Archive for 2 月 3rd, 2010

[NOTICE] がんぶらー'ed される FTP list

Posted in Announce, security on 2 月 3rd, 2010 by gnome

FTP アカウント情報を盗むマルウエアに関する注意喚起
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07 ※公式サイト http://www.ultrafxp.com 消失
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

JPCERT/CCが、自信を持って名指ししてますので、十分に検証したのでしょうネ。
以前に Unmask Parasitesが挙げた「 使用すべきでない10のFTPクライアント」と比較すると、さらに使用すべきでないFTPクライアントが増えてしまいます。

こうなると、印象的に安心して使える FTPクライアントがすごく限られてしまうような・・・

何度も言っているように、まずは「感染しないこと」が重要なのは言うまでもありません。

※どっちのマルウェアの検証結果なのか謎ですが、恐らくは 8080/QuickSilver のことを指していると思われます

------
結果的に、key(id_rsaなど)を登録できる環境下にあるなら FTP を捨て、SFTP(SSH L2) による鍵認証+パスフレーズが一番いいような気がしてきました。
公開鍵認証と認証エージェントを併用する
FileZilla 側には一切パスワードを入力せずに接続できるようになります。

これなら FileZillaでも、WinSCPでもOK・・・かな
問題は 22 番をどこか別のPortに移動して、shellを抑制する(rsshなど)をきちんと設定することですが・・

Leave A Comment »

2010.02.03 恵方巻

Posted in security on 2 月 3rd, 2010 by gnome

slugは冗談ですので、本気にしないでね(苦笑)

節分
のり巻きの日
1987年、全国海苔貝類漁業協同組合連合会が制定
大岡越前の日
1717年2月3日に、大岡忠相南町奉行に就任した。
チューリップ・バブル崩壊。(1637)
オープンソース誕生の日 (1998)
History of the OSI
The 'open source' label was invented at a strategy session held on February 3rd, 1998 in Palo Alto, California

----------

今日は、大きな話は無いんですが、細かいのが沢山・・・

----------
C.I.A
C.I.Aサイバー・インテリジェント・エンジェルズ
presented by TBS, Microsoft and Yahoo

秘密組織“C.I.A”がネットの平和を守る!---TBSなど3社が情報セキュリティ啓発キャンペーン
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
小野寺さんは脱がないのかっ(笑)
サイバー・インテリジェント・エンジェルズ
ネットの安全特集2010春
インターネットと情報セキュリティの基礎知識

2月は情報セキュリティ月間です。
スルー力を発揮して、余計なことそれにしてもすごいコラボ・・・は言わないでおこう・・

----------
MASS Password Reset via Twitter
@safety
Got an email from us saying we've reset your password? A small # of accts seemed possibly affected offsite & we took a precautionary step.
ご注意―Twitter、フィッシング攻撃を受けたと認める
Twitter Mass Password Reset due to Phishing
フィッシングではなく本当にパスワード変更が行われています。
メールがやってきた方は、まずメールを破棄、以下のサイトからパスワードの変更を行ってください。
https://www.twitter.com

do not reuse the password, do not use a simple password scheme (like "twitterpassword" and "facebookpassword")
also don't "123456" and similar =) and of course not "password"

関連:
Most consumers reuse banking passwords
Online security firm Trusteer reports that 73 per cent of bank customers use their online account password to access at least one other, less sensitive website. Even worse, around half (47 per cent) use the same online banking username and password for other website logins.
Reused Login Credentials

----------

About the security content of iPhone OS 3.1.3 and iPhone OS 3.1.3 for iPod touch
Code execution holes in iPhone OS, iPod Touch
The most serious flaw could allow remote code execution if an iPhone/iPod Touch user opens audio and image files.

This iPhone/iPod Touch update is only available through iTunes and will not appear in the software update utility available in Mac and Windows systems.
iPod Touchは無償で受けられるのかな?

続く
----------
iPhone Certの脆弱性?
iPhones Vulnerable to New Remote Attack
ナナメ読みなのでアレですが、
Appleのroot CAが iPhone用とその他でIDが違うと、違う証明書発行元(CN)、違うシリアル番号なのに、KeyIDが同じっては、同一の証明書をIDだけ変えて使い回ししてるんじゃない?
という話かな?
即、リモートコード実行や、不正規なソフトの自動アップグレードにつながる性質のものでは無いようですが、何とも言えない脆弱性(?)ですね・・
"You can make any part of the phone not work. You definitely don't get to run code, but there's lots of nasty things you can do. You can make applications not work, make it so that you can't remove this config file," Miller said. "At the very least, you can make someone's day miserable."

ソース:匿名のpost
iPhone PKI handling flaws -- Cryptopath

微妙に続く
----------
Koobface thru MacOS
How the Koobface Gang Monetizes Mac OS X Traffic
MacOSからのアクセスだけを別の場所に飛ばすKoobfaceの新手法
MacOS系のウィルス・マルウェアはあまり聞かないですが、こういった形でアフィ踏み台になってる人は意外と多いのかも?

AS9394(CRNET-CHINA RAILWAY)
相変わらず、謎なBGP運用してるなァ・・

こっちはウクライナの(偽)デートサイト
62.90.136.237 AS1680(NV-ASN 013)

アクセスログにこういったのが残っていたら注意しましょう。

----------
Pushdo rampage continues
Pushdo Update
続いているようですね・・国内の感染ノードも存在するようですので、注意しましょう(どうやって!?)
※自自律系の中に 443を撃ちまくってるノードが無いか確認カナ

----------
Conficker
Manchester cops clobbered by Conficker
Greater Manchester Police's computer network has been infected by the infamous Conficker worm, leaving beat cops unable to run computer checks on suspected criminals and vehicles for the last three days.
やっぱりまだ居るんですね・・
天然痘とか、コレラみたいな印象ですが・・・

Conficker cause of Greater Manchester Police disconnection
Conficker virus hits Manchester Police computers

----------
イカ君
Squid update fixes DoS vulnerability
Squid DNS Packet Processing Denial of Service Vulnerability 2
Squid DNS Packet Processing Denial of Service Vulnerability 2
Update to Squid 3.0.STABLE22 or apply patch.

----------
WordPress
Wordpress injection attack and “affiliate ping-pong”
激しく既視感のあるインジェクションコードですね・・

WordPressの現行バージョンは 2.9.1 です
なのですよ! > ATWORDさん

----------

On the Trustworthiness of the AV Industry and AV Tests
で・・?(とか書くと、またあちこちで物議を醸すのカナ?

AMTSOに権限をもっと持たせろ!という点にだけは賛成!

----------
オンラインヘルプにご注意
Be careful on help files
Earlier variants of “Muster” drop encoded copies of main backdoor components in filenames with the extension “.hlp”. These “.hlp”files are later decrypted with Microsoft CryptAPI with hardcoded keys and executed by loaders.
“upgraderUI.exe”with the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch

----------
Zimuse
Password-Protected Word Document In W32.Zimuse
こないだの、チェコ語のパズルウィルスですね

----------
やばい!
Anatomy of a free Starbucks gift card scam
コーヒー狂な(私)人は、こーいうのに引っかかってしま・・・わないですよね(苦笑)
スタバだとちょっと開きそうだなとか思ったのは内緒

----------
P2P共有
年末年始のP2P(つづき)
減ってるのか、減ってないのか・・
喉元すぎれば・・とか言いますしね~

----------
ああ GreaseMonkey
Firefox出し抜かれる。Greasemonkeyの作者が、Chromeにネイティブサポートを追加
TechCrunchの見出しは相変わらず上手いナァ

----------
Flashホール?
Adobe Flash Security on Menu at Black Hat
抽象的なので、なんとも・・
「Adobeですから」、で終わってしまいそうな今日この頃・・

----------
もぐら叩きの果てに・・・
第13回 「脆弱性根絶なんてできっこない」と嘆く前に
私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場はなくなる」と考えていました。しかし、脆弱性検査はすっかり定着して、不況にもかかわらず、市場規模は縮小する気配がありません。
いま、一番儲かるとこですしね・・(嘆息)
※ムシられる側の愚痴です、ええ・・

関連?
名古屋市長が住基ネットの侵入実験を構想「今ならもっと面白い実験ができる」
「オープンソースの注意点」、オープンソースを利用する際はまず開発企業を調べろ?
私もわかりません・・

----------
ふむ~
ベネッセが中高生に「安心・安全に携帯電話を使う」ためのサービスを提供
ベネッセモバイル FREO

自ら決めたルールの中に、本当の自由はある
このコピーはちょっと感心しました。

----------
な・・なんじゃこりゃ
URGENT! Help needed w/ Virus
また新しいタイプですね・・・
デコードする時間がなかったのでこのまま・・

----------
AS47560
trojan Gozi?
search:47560
91.200.164.44 AS475601(VESTEH)
なんか IDSに引っかかってたらしいので、注意喚起です。

----------
8080
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
94.23.199.154 AS16276(OVH Paris)
*NEW(2010.02.02 23:00 +9 JST)
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

1個 NEW IP/ISP が発生・・・って NETZNERか・・

----------
Google Safe Browsing
| 1265140838 | B | [goog-black-hash 1.50178 update]
| 1265140802 | M | [goog-malware-hash 1.19084 update]
| 293522 | -1271(294793) なんとなく膠着状態・・
| 1302894 |
EoF

Leave A Comment »

ホットワード padding margin アカウント 情報 注意
割引クーポンまとめ情報 - クー割