Archive for 3 月 12th, 2010

2010.03.12 金曜日

Posted in security on 3 月 12th, 2010 by gnome

半ドンの日
1876年、官公庁で日曜日を休日・土曜日を半休(半ドン)とする太政官布告が実施された。週休二日制の採用で、「半ドン」という言葉自体、死語化しつつある。
モーリシャス 独立記念日 1968年サイフの日 「さ(3)い(1)ふ(2)」
スイーツの日 「ス(3)イ(1)ーツ(2)」 also?:(笑)
モスの日 not モス

----------
ゼロデイ情報は秘匿されるべきか? #
When too much is not enough too much.
McAfeeのblogで、URIの全情報とそのステップが公表されたことで、Exploitコードの拡散を招いたのではないか?というお話。

It seems pretty reasonable to list that information in a blog post, right? Surely someone writing IDS signatures would find the URL used by the malware useful, and other anti-virus researchers might gain benefit from knowing the file names associated with the attack.

My suggestion for researchers writing about live threats is simple. If the domain(s) hosting un-patched exploits are still active, don’t post the URL or filenames associated with the exploit: frequently Google will happily locate the page for you.
は、完全に二律背反する話で、非常にデリケートな部分でもあります。今回はSecuniaSANSも蚊帳の外に置かれていた様子ですので、McAfeeとMicrosoftはよほど仲がいいのかもしれませんね。

ともあれ、既にMetasploit にモジュール登録されていますので、別のマルウェア作者が近日中にこの脆弱性を「利用」してくる事態は避けられないと思われます。

IE6/7をどうしても使用しなければならない方は、対策を講じる必要がありそうです。

IE -- FFXI(仮)
「女子自衛官の写真冊」。写真冊とは写真集のことのようです(標的型ということで、実際はメールが主力と思われます)。
もし 20100305rss.htmというファイル名が日時だとすればこちらのほうが早かったことになります。
もし防衛省や自衛隊を狙ったのだとすればAurora作戦の一環でしょうか。
2chのスレッドにも貼られていた様子です。
そういえば、IE6/7のTridentを使用しているブラウザも同じ脆弱性攻撃を受ける可能性があるのではないでしょうか?

Researcher publishes exploit for new IE hole
He was able to create the exploit code after figuring out where an existing exploit was in the wild, based on information in a McAfee blog post, he told Ryan Naraine of the Zero Day blog at CNET sister site ZDNet. It took him about 10 minutes to de-obfuscate the exploit and pinpoint the vulnerability, he said.
イスラエルの研究家はMcAfeeのblogを見て、10分でPoCが出来たと言及しています。

Zero-Day Attack on IE6 – JS.Sykipot Doesn’t Spare Retired Software
"retired"ですか・・
Internet Explorer 6 may have taken its path to retirement but it still remains a good target for exploits, as we can see from JS.Sykipot. This zero-day was found on March 8th and it exploits a vulnerability in some Internet Explorer versions (CVE-2010-0806 , BID 38615) that can lead to remote code execution. Upon successful exploitation, JS.Sykipot will download and run Backdoor.Sykipot, which is a back door capable of communicating with its control server to receive and run several commands.
相変わらずsymantec は自分のシグネチャを主張しますね。ポリシー的なものでしょうか?(苦笑)
So, seeing as IE6 is no longer supported by Microsoft, it is time to update your browser to a newer version or to use a different one.
さっさとに入ってほしいものです・・・

Demonstrating the Latest IE 0-day Vulnerability

Exploit for new IE hole
At the recent RSA conference, the creator of Metasploit, H.D. Moore, accused software vendors of only responding fast once an exploit is in circulation – it will be interesting to see if he's right again.
きたきた~

----------
Safari 4.0.5 #

About the security content of Safari 4.0.5
あ・・相変わらず山のようなCVE・・・

CVE-2009-2285
LZWDecodeCompat function in libtiff 3.8.2

CVE-2010-0205
解凍爆弾とよばれた The png_decompress_chunk function in pngrutil.c in libpngは入っていないようですが・・・影響ないのかな?

----------
Who res'ed? #
One-third of orphaned Zeus botnets find way home
Troyak の遮断により多数のZeuS C&C がテイクダウンされた・・・と思いきや結局は元にもどってしまいました。
Cyber security's short-lived victory
*sigh*

----------
Koobfaceもサーバ移動 #
Koobface gang refresh botnet to beat takedown
Twitter scourge changes pants
英国人的センスなの?・・・

Command and Control servers associated with the infamous Koobface worms have gone through a complete refresh over the last fortnight. Russian net security firm Kaspersky Lab reckons the change up might be aimed at making takedown efforts by cybercrime fighters more difficult.
一連のBot掃討作戦を受け、先手を打ってC&C などの悪意サーバの移転を図っているようです。
「逃がすかっ!」って意気込みでやってほしいのですけどね~

Koobface Worm Doubles C&C Servers in 48 Hours

関連:
New Twitter Feature Looks For Malicious URLs
ツイッター、フィッシング遮断サービスを提供開始
Twitterが提供する新しいサービスのなかには、短縮URLを可能にするツールがある。これはほかのユーザーから送付される通知メールやダイレクト・メッセージに含まれるURLを、「twt.tl」という短いリダイレクトURLに変換するというものだ。

関連注意?
212.175.173.88 via MDL search:Facebook
AS9121

Malicious Web Attack Using Executable With facebook.com in Name

----------
go JAIL! #
Allaple Virus Author Sentenced
Allapleウイルスの作者に判決
エストニアのウイルス・ライターが、エストニアのハリュで実刑判決を受けた。
Allapleウイルス・ファミリの作者、44歳のArtur Boiko氏は無罪を主張した。
とは言え、彼は有罪であるとされ、2年7カ月の懲役を言い渡された。
YES
なんか、「個人的な復讐のためにWORM作ったら蔓延しちゃったよ(てへっ)」って感じなんでしょうか?

Allaple worm -- 2007-03-14

----------
go JAIL! 2 #
PKK Hackers Arrested in Turkey
こっちは政治色強そうなので突っ込みはやめておきます・・・

----------
Bot involved Skype #
Cert write up on Skype IMBot Logic and Functionality.
SkypeやICQ(ふるっ!)のようなIMを使った新しい手法が、cert.at(オーストリア)から発表されたそうで・・・なんか面白(失礼)そうです。
This is a fairly new vector. I have seen other IM based malware using skype IM so it’s not brand new but not too common yet either. The malware detects many Reverse Engineering applications and attempts to make the system unbootable if any type of RE is detected. It uses a new (novel) method to hide its processes/files. It scans local networks for 445 probably to exploit one of the many Microsoft vulnerabilities that can be exploited via that service. It uses "conficker like" encryption. It had logic to "infect" usb drives.
うは・・それWormじゃないですか?

An Analysis of the Skype IMBot Logic and Functionality

更に FakeAVへの誘導も行われているようです。
Interesting SKYPE SPIM.

コンタクトリストに無いユーザからのメッセージは「受け取らない」ことが重要です。

----------
PITs #

ispCP Omega "net2ftp_globals[application_skinsdir]" File Inclusion 4
Successful exploitation requires that "register_globals" is enabled.
またか・・

Skype URI Handling "/Datapath" Vulnerability 3
Update to version 4.2.0.1.55 (v4.2 hotfix #1).

ViewVC Query View Cross-Site Scripting Vulnerabilities 2
Update to version 1.0.10 and 1.1.4.

----------
Other #

A new setting file for the .....
爆弾付きmailも最近増えてますね・・・
settings.zip 25/42 (59.52%)
2010.03.11 19:01:53 (UTC)

ネット上で健康食品の虚偽・誇大表示~消費者庁が320業者に指導

Cryptanalysis of the Sasfis Registry Key
Sasfis (Botnet/Trojan)の暗号化解析

Is that a bot in your pocket? Or does it just look like one?
"MOBOTS" SmartPhone Bot のテスト結果

PayPal restores Cryptome for real
"Your Account Access is Fully Restored"

Most malicious websites are hosted in the US
今に始まったことでは・・・

Foxit Reader 3.2
リリースノートはどこ?

Consoles for old games come with new malcode
PlayStation Malware

読み物:
Top 25 Series

----------
Crash at ..? #
Secret Obsession: Odd Windows Crash Alerts
笑っちゃいけないんでしょうが・・・

Bill Gates, Windows 98, Blue Screen of Death

----------
8080 #
countASN登録更新
91.121.24.13985321 AS16276 02/17 10:35:2003/12 09:10:16
91.121.108.5383320 AS16276 02/17 10:35:2003/12 09:10:16
91.121.7.2664732 AS16276 02/20 05:50:3403/12 09:10:16
91.121.64.214459 AS16276 03/12 07:40:3003/12 09:10:16
91.121.147.163322 AS16276 03/12 08:10:2703/12 09:10:16
91.204.116.7940762 AS44976 02/20 04:50:5903/12 08:00:24
78.41.156.23613333 AS6908 02/18 20:00:4303/12 08:00:24
62.75.218.19249582 AS8972 02/17 12:30:2703/12 07:40:30
84.200.227.1447228 AS31400 02/17 12:30:2703/12 06:40:27
87.106.247.1933381 AS8560 02/17 19:40:5003/12 05:00:33
213.251.133.1595967 AS16276 02/17 18:00:5003/12 02:40:55
91.204.116.1145416 AS44976 02/24 23:30:0703/11 22:00:45
188.40.118.683591 AS24940 02/17 10:35:2003/09 06:10:24
86.58.190.93808 AS16095 02/26 10:50:0803/07 00:00:14
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 7日経過:[50]IPs

新IP 2個追加・・またおまえかっ!

----------
Google Safe Browsing #
| 1268337632 | B | [goog-black-hash 1.52843 update]
| 1268337603 | M | [goog-malware-hash 1.19972 update]
| 301120 | -1256(302376) 30万切り目前!
| 1465874 |

----------
明日は更新できない可能性があります。

EoF

2 Comments »

ホットワード padding margin 金曜日 半ドン 官公庁
割引クーポンまとめ情報 - クー割