UnderForge of Lack

2010.02.01 改修

知り合いから相談を受けたのでちょっと・・・

----------
FTP
File Transfer Protocol（ファイル・トランスファー・プロトコル、略称：FTP）
を知らない人はあまり居ないかもしれませんが、そのセキュア転送に関してはIT企業でも混乱している様子ですので・・・

----------
SFTP
SFTPは SSH File Transfer Protocolの略称で、実はFTPではありません。
例えば、SourceForgeには
Windows用SCP/SFTPクライアント「WinSCP」で安全なファイル転送
最近では、セキュリティ向上のためファイル転送にFTPではなく、SCPやSFTPを推奨しているサイトも多い。
と記述されていますが、ここに大きな陥穽が潜んでいます。

SSHを外部に開くということは、Windows リモートデスクトップを外部に開放するのと同じということを理解していますか？

SFTPは、要するに SSH -- Secure Shellの仕組みを使ったファイル転送であって、旧 rcpコマンドのセキュア版（別名 scp）です。Portは TCP/22を使用します。

逆に言えば、SFTP/SCPを使用したいということになれば、DMZからWANにPort22をピアスすることになり、これはSSH辞書攻撃などに晒されることになります。
もちろん、id_rsa/dsa の鍵＋パスフレーズをきちんと管理し、一般のshell modeを許可しない方法で開けるのであれば、セキュリティ的には問題がないレベルですが、往々にしてそうはなっていません。
※SCPの場合、認証鍵の作成の際に no-pty オプションを使用することにより、端末の割り当てを明示的に禁止することが可能・・・・かも
SSHD (8) -- AUTHORIZED_KEYS ファイルの形式(※注1)

また、SSHログインとFTPログインのユーザ情報(Credential)は同じになってしまうため、一部ユーザのためだけに FTP を許可したりすると、そこから SSHで侵入、完全に制御を奪われてしまうというケースが多々あるものと推測されています。

----------
SCPとSFTP 2010.02.01追記
SCP
　SSH1でシェルコマンドを使用する（しかない）
SFTP
　SSH2のサブシステムとして動作可能
SCPではシェルコマンドを必ず実行しなければならないため実際問題としてはセキュアではないかもしれません。
WinSCPはその名称で SCP しか対応していないと見られがちですが、そうでは無いことを併記しておきます。

参考：
WinSCP : サポートしている転送プロトコル -- 2004.11.03

----------
FTPS (FTP over SSL/TLS) (※TLSは以降省略します)
FTPSは、従来のFTPで送受信するデータを SSLで暗号化するプロトコルで、SSHを使用する SFTP や SCP とは全く別のものです。 制御通信は Port21を使用し、実際のデータ送受信は、複数のポートをランダムに使用する PASVモードが一般的です。

FTPSには更に２つのモードがあります。
Explicit
　サーバ接続時は非SSLで接続し、ハンドシェイクが完了した後SSL通信に移行
Implicit
　最初からクライアントがSSLハンドシェイクを要求する

一見、Implicitのほうがセキュアに思えますが、Implicitの場合は、基本的にサーバ側のプロトコルに完全合致した設定を理解できる FTPS クライアントが必須となります。またTCP/990や989 を使用することもあるため、環境に依存することが多く、大抵すんなりとは動きません。ExplicitでもAUTHハンドシェイク完了後のID/PASS応答はSSLとなるため、どうしてもサーバ情報を秘匿したい場合以外は問題ないと考えています。

尚、PASVでの動作が前提となる場合、PASV用のポートに対してもケアが必要になります（特にNAT越えの場合）
※PORTモード(データ転送 : Port 20) はあまりお奨めしません。

2010.02.01 追記
Explicitモードのことを「明示的なFTPS」と翻訳され、FTPESと表記されることもあります。
Implicitは「暗黙的なFTPS」と翻訳されています。
用語から受ける印象と実際の通信手順に若干のズレがある点に注意してください。
No.6432　explicit, implicitの違い
誤解されているのでしょうか？　implicitは、SSLでセッションを張るための仕組みなのでそれ以外有り得ず、選択の余地がありません。
以前はこの部分がネックとなっていたわけですが、逆説的表現を使えば、Port21を塞いでPort990のみを開け、明確にFTPoverSSLのみしか受け入れないほうが良いと考える向きもあるかもしれません。

----------
結論
いずれにせよ、現在FTP で何も考えずにデータ転送をしている環境が大きく変更されることは間違いありません。しかし、インシデントはたった１回で致命傷になります。

今回のGumblar、ガンブラー™の蔓延は、セキュリティを見直す又とないチャンスです。

これを他山の石とし、社内のセキュリティ・ポリシーを再度見直し、クライアントに対してFTP通信の危険性を説き、Web全体のセキュリティの向上を目指す一助になれば、これに勝る幸いはありません。

参考：
FTP, FTPS, SFTP -- 更新日：2005.05.07
FTPの暗号化の種類
FTPサーバ(vsftpd)の構築(RedHat系編)
Fedora/CentOS - FTPサーバの構築(vsFTPD)

※注1
ssh scp sftp の正しい自動実行方法
via:
_ ssh scp sftp の正しい自動実行方法
あと、これも時々目にする勘違いだけど、「no-pty」は仮想端末とれなくなるだけで、シェルが取れなくなるわけじゃないので、仮想端末取らないで「ssh remotehost '/bin/sh' < 悪のスクリプト」とかやるだけの話。
という感じで、実際にはカナリ頭痛のタネ系の問題が多いことも事実です。

------------------------------------------------------------
追記：
ah様より、
restricted shell for scp/sftpってのぢゃだめ？
と、教えていただきました。

ありがとうございます。

rsshは実は使ったことがなかったので、今回勉強のため VMに入れてみます。
特に chroot が可能なのは初めて知りましたので、うまくいけば FTPSよりも楽かもしれません。
が、
相談してきた人は、IIS だったことに気が付いたのは内緒にしておきます（爆）
※正確には、運用中のサーバの中に 2003/IISのものが混じってる

あと、
企業のセキュリティ・ポリシーとして 22番を外向きに開けるのはどうか？と思うぞ？
という意見も頂きました。
ま・・やっぱりそうですよね・・・

------------------------------------------------------------
rssh homepage(日本語訳)
RSSH.CONF
chrootpath

rssh (実際には補助プログラム)が chroot() システムコールを呼んで、指定されたディレクトリにファイルシステムのルートディレクトリを変更する。例えば、
chrootpath=/usr/chroot
は仮想的なファイルシステムのルートを /usr/chroot に変更し、ファイルシステムの /usr/chroot の下以外にユーザがアクセスできないようにし、 /usr/chroot がルートディレクトリとして見えるようにする。 chroot jail を適切に設定するように注意すること。どのようにしたらよいかのヒントについては、rssh ソースとともに配布される CHROOT ファイルを見ること。また chroot(2) の man ページも参照すること。
もし(/etc/password で指定される)ユーザのホームディレクトリが、このキーワードで示されるパス以下であれば、ユーザはホームディレクトリへと chdir される。そうでなければ、chroot jail の / へと chdir される。

rsshによるセキュアなファイル転送

chipの左下の十文字は、8080の設計者、嶋正利氏の家紋
サーバ拒否リスト強化

えーっと、まず WepawetのIPそのものをリジェクトした模様（コノヤロ～！）
jsunpackもダメなので、かなり厳しいチェックを入れている様子です・・・

さすがに怖いので wget でやったら案の定
hXXp://uimserv-net.pantip.com.guardian-co-uk.worldwebworld・ru:8080/index.php?ys
とナンバー無しのURLを返してきました。
2回目はもう 403 返答だし・・・

個々のスクリプトに一喜一憂してもしょうがないけど・・・
index_wordlwideworld.ru.htmlx 結果: 1/41 (2.44%)
Kasperskyのユーザが欣喜雀躍しそうなので貼っておこう（笑）

----------
一方旅行先も変化が
worldwebworld・ru
16：30
worldwebworld・ru. 432 IN A 62.75.218.192 AS8972(PLUSSERVER)
worldwebworld・ru. 432 IN A 91.121.142.111 AS16276(OVH)
worldwebworld・ru. 432 IN A 94.23.206.229 AS16276(OVH)
worldwebworld・ru. 432 IN A 95.168.170.89 AS28753(NETDIRECT)
worldwebworld・ru. 432 IN A 188.72.211.253 AS28753(NETDIRECT)

18:30
worldwebworld・ru. 432 IN A 62.75.218.192 AS8972(PLUSSERVER)
worldwebworld・ru. 432 IN A 91.121.86.130 AS16276(OVH)
worldwebworld・ru. 432 IN A 91.121.142.111 AS16276(OVH)
worldwebworld・ru. 432 IN A 94.23.206.229 AS16276(OVH)
worldwebworld・ru. 432 IN A 95.168.170.89 AS28753(NETDIRECT)

18:50
worldwebworld・ru. 432 IN A 62.75.218.192 AS8972(PLUSSERVER)
worldwebworld・ru. 432 IN A 91.121.142.111 AS16276(OVH)
worldwebworld・ru. 432 IN A 94.23.206.229 AS16276(OVH)
worldwebworld・ru. 432 IN A 95.168.170.89 AS28753(NETDIRECT)
worldwebworld・ru. 432 IN A 188.72.211.253 AS28753(NETDIRECT)

という感じで、fast-flux とは言わないまでもかなりの頻度で変更してる模様
OVHがテイクダウンされはじめているのかな？
個別のサーバ（あるいはVPS)毎に斬られてるような印象です。

いずれにせよ、完全にいたちごっこですね～

AS8972(PLUSSERVER)
62.75.128.0/17 [intergenia AG]

AS28753(NETDIRECT)
95.168.160.0/19 [ORG-nA8-RIPE]
188.72.192.0/18 [ORG-nA8-RIPE]
NETDIRECTのbgpは巨大なので、必要におおじて・・・

----------
後悔先立たず
62.75.218.192 に収容されている他のサイトをちょっと覗いてみて後悔 orz....

----------
後悔先立たず rev.2
あと、こんなリンクをよこしてきやがった友人に呪い祝福を
オメガ-8080　×２個セット
「オメガ-8080」って変わった名前…と思ったら、これは何と試作の回数が【8080回】だったことから命名！それも「人並み以上のブヨブヨに悩む人のために、いつでも専門家のあいだで販売できるよう、とりあえず名前をつけておこう」というもくろみからなんですって。

みなさん、リンクを踏む前には気をつけましょうね。

EoF

え？　マジだったのコレ（笑）
ブログパーツ改ざんに関する報告とお詫び
弊社「Ameba」にて提供しているブログパーツにおいて、外注先が運営管理するサーバーに改ざんが確認され、当該期間に改ざんされたブログパーツを閲覧された方に、ウィルス感染の可能性があることが弊社の社内調査で判明いたしました。

「Norton Police City in Ameba」容疑者捜査ブログパーツ　該当のブログパーツは1月6日より利用停止としております。（「Norton Police City in Ameba」キャンペーンは2009年12月9日に終了しております。）

※株式会社シマンテックおよび株式会社ワタナベエンターテインメントは、本件ブログパーツの作製・管理に関して一切携わっておりません。両社に、ご迷惑おかけしたことを重ねてお詫びいたします。

あ～あ～あ～

Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
Amebaでは1月1日、芸能人ブログ450件のパスワードが流出しているほか、昨年12月には「Amebaなう」でクロスサイトリクエストフォージェリ（CSRF）の脆弱性を突かれた問題が起きるなど、セキュリティ関連の不祥事が続いている。

最初メールで一報もらったとき、さすがに野呂圭介さんがプラカード持って出てくるような印象だったので放置してたのですが・・・

Nortonセンセイも泣いてますよ、きっと・・・

現時点ではどのインジェクションだったのかは不明ですが・・・・

----------
8080とGumblar
Gumblarとガンブラー
ほぼ、その通りなのですが、8080系がもっとも厄介なのは、感染＝Security Tool では無いという点でしょうか？

8080系に感染すると、MultiDropperという系統のダウンローダを埋め込まれます。
これは環境の構成により、C&Cからの遠隔操作で様々な悪意ツールを自由自在に出し入れさせられることになります。

特定のFTPクライアントの全環境ファイルを抜き取られ～
FTP送信の形跡があれば、それを抜かれてサーバーを悪用され～
あるときはメールサーバ化してspamの送信元になり～
明くる日はDDos攻撃に加担し～
偽セキュソフトを入れられてクレジットカードをスキミングし～
（これをスキミングと呼ぶかどうかは微妙ですが・・）
パケットスニファを入れて別のPCの通信の監視も行い～

と殴られ放題のサンドバッグ状態になってしまいます。

また、rootkit的な性質をもっており、いくつかのファイルを不可視にしたり、レジストリの痕跡を隠したりもしているようです。

さらに、バッファ・オーバーランを悪用したdrive-by-download は本来ならば、Vista以降のASLR機能によって緩和されていたはずなのです。

しかし今回、JavaJRE (CVE-2008-5353) の悪用により メモリマップのNXビット保護が関係なくなり、UAC回避（なんでもかんでもOKを押す人）されてしまえば、Vista/Win7 も攻撃に晒されることになってしまいました。
※厳密に言えば Windows7 の場合は自分で脆弱性のあるバージョンの JRE を入れない限り大丈夫です。

このへんが、8080/GNU GPL の爆発的な感染拡大につながったのではないか？と推測されます。

ガンブラーウイルスについての誤った情報にご注意ください。

----------
8080系の名称候補として

QuickSilver
命名： Unmask Parasites
Quicksilver Malware Network -- 2009.09.17
※この頃は "rncsys32.exe" を使用していた

というのがあります。

あまりにカッコよすぎるので、個人的にはイヤなんですがね～（笑）

あるいは・・
nginxの8080portリバースプロキシを使っているので、nginx インジェクションでもいいかもしれません（笑）

ウチの周辺では
Java JREと JR east をカケて JRE8080 と呼ばれていますが・・

----------
BTW.....
/*GNU GPL*/、/*CODE1*/ の次は
/*LGPL*/
だそうです・・・

----------
EoF

-----------
2010.01.4 書初め
-----------


あなたの所持しているサイトがこうなってしまったら？

あるいは、不審な iframeなどのインジェクションコードが挿入されていたら？

----------
1. サイト閉鎖

あなたにできることは、できるだけ早いサイトの閉鎖を行うことです。

本来ならアナウンスが最初だと思われがちですが、最近のインジェクションはそのアナウンスにも容赦なく改ざんを仕掛けてきます。

Virtual Host単位で運用しているのならば、Apache上のVirtual Host定義ファイルをディレクトリを一時的に変更するか、BASIC 認証を掛け、一時的にサイトをアクセス不能の状態にしてください。

上述の意味がわからない場合、FTP(恐らく)でアクセスし、全てのファイルを（必要ならバックアップをとって）削除するか、Webルートのフォルダ名を（変更可能なら）変更します。
※感染コードが入っているファイルの可能性が極めて高いため、バックアップファイルには細心の注意が必要です。
※Web Rootフォルダのパーミッションを 600 にする方法もありますが、userが apache の場合あまり意味がありません。

それでも再インジェクションされているようでしたら、プロバイダに連絡して一時的にアカウントの停止措置を取ってもらってください。

----------
2. ウィルスの除去

感染源を特定し、ウィルスを除去します。
が・・・最近のインシデントは単純にはいかないケースがあります。

2-1. 単独PCの場合
明らかにそのPCがウィルスに汚染され、かつLANが存在しない場合

速やかにウィルスを除去し、完全に安心できる環境を構築します。

2-2. 小規模LANの場合
LANが組まれていて、同一ネットワーク内に複数のノードが存在する場合、その全てのチェックが必要になります。

感染ノードが見つかれば、そのPCの駆除を行ってください。
worm型に侵されていた場合、同一ネットワーク内の全てのPCに被害が及んだ可能性があります。
慎重にチェックを行ってください。

2-3. 大規模LANの場合
※大規模環境のインシデント回復はそれなりに大変です。
Firewallのログをチェックし、不審なトラフィックがないかどうかチェックしてください。
IDSが導入されている場合、IDSの定義が適切に導入されているかチェックしてください。
DMZ内側からのOutgoingルールを再度チェックしてください。
DMZに設置されているサーバのログを慎重にチェックしてください。

インシデント用に、すべてのOutを塞いだルールを定義し、どのノードからOutgoing要求が出されているのかログを見て判断する方法が有効です。
敵はそこにいる

感染ノードが特定できたら、そのノードのセグメント全てを疑ってかかってください。
特に telnet や SSHトンネルコマンドを使用していた場合、それらが漏洩した危険性があります。

Squid導入の環境の場合、FTPのログを慎重にチェックしてください。
nginxでサーバーが駆動している場合、そのリバースプロキシの設定を確認しログをチェックしてください。
以後、大規模環境下の話は割愛します（長くなるため）

----------
3. FTPなどのPassword変更

環境がクリーンになったと確信が持てたならば（100%はありません。90%くらいでOKです）、サイトへの告知を行います。
※この段階で全てのコンテンツを再解放しないでください。

FTPのPasswordを変更します。
ISPのPasswordを変更します。
その他、自分の思いつく全てのPasswordを変更します。
※落ち着いてメモを取りながら行ってください。

サイト内のファイルを消していない場合：
サイトにFTPで入り、現在存在する全てのファイルを一旦ローカル（自分のPC）にバックアップします。
※当然、汚染コードを含んでいます。
　将来、感染していたページの詳細リストを作成する際に必要になるでしょう。

全てのコンテンツを一度抹消し、TOPページに、ウィルス感染の報告、並びに閲覧者への再感染の危険性およびウィルスチェックの呼びかけを行ってください。
※この時点で、報告のページはできる限り簡素なものにしてください。

２４時間以内に何度かチェックを行い、告知ページが再改ざんされていないことを確認してください。

----------
4. 連鎖の阻止

感染サイトの閉鎖が完了したら、自分の管理する（あるいは過去に管理したことのある）全てのサイトをチェックしてください。

CMSを使用している場合、インジェクションが一見しただけでは判らない位置にある場合があります。

特に .js, .php, .pl, .css ファイルを重点的に調べてください。
これらのファイルは、よほどのことがない限り、勝手に変化することはありません。

----------
5. インシデントからの回復

一部重複する部分もありますが、

インシデントからの回復

を参照してください。

----------
6. Google Blockedからの修復

最初の（血のような）真っ赤なエラーを快復するためには、Google WebMaster Tool への登録が必要です。

Google Accountを取得し

Google Webmaster Toolを申請し、

サイトの再審査をリクエストします。

サイトが本当に快復していれば、ブロックは解除されます。

----------
逐次加筆訂正されます

EoF

PFW: Personal Fire Wall
昔はこんなもの必要なかったのですが、最近は怪しげなプロセスが多いので、Outgoingやらアプリケーション間通信を監視しないと危険な世の中になってしまいました。
ちなみに、一般的に言われる Firewall とは別物です。(Firewallは WAN-LAN-DMZの間に設けられる物理的障壁です）

尚、Vista/Windows7 の方はよほどのこと（UACを斬ってるとか）がない限り、追加の Firewall は不要だと個人的には考えていますが、HIPSが大好きな方は入れてみてください。

--------------------
Comodo Firewall
昔から堅牢さに定評のある Comodo Firewall です。
現在は、必ず CIS (Comodo Internet Security) からしかインストールできないため、何でもかんでも [OK] してしまう人にはインストール時のインストラクション的に注意する必要があります。

ダウンロード：
Comodo Firewall

日本語ガイド：
Comodo Firewall @ Wiki

インストール方法：
Comodo Firewall インストール手順
内の
Comodo Firewall インストール手順 : 構成を選ぶ
ここで、COMODO ファイアウォールをインストールするのみチェックし、残りはチェックをはずして下さい。

Defence+に関して
Comodo Firewallの肝となる部分が Defence+ です。これは HIPS という進入防護システムですが、前述したように何でもかんでも [OK] を押す人には無意味になる危険性があります。
また、Defence+導入後最初の 1～2週間は、ひっきりなしにアラートボックスが開くようになりますので、そういうのが嫌いな人にもお勧めできませんが、現在の混沌としたPC環境化で自分を守ってくれる防壁になります。
自分の起動しているタスクがどのプロセスに対してアプリケーション間通信を行っているのがよくわかりますので、（私のように）自分のシステムを信用していない人には必須です。
詳細：
Comodo Firewall Defense+の設定

ThreatCastについて
ThreatCastは、CISアラートに関する情報について、世界中のCISユーザの意見を元に判断し、自分の判断を送るというクラウド･コミュニティを形成します。
しかし、ThreatCast通信で固まってしまう事例が多発していますので、必要に応じて ON/OFFできない人にはお勧めできません。
詳細：
Comodo Firewall Threatcast

--------------------
Outpost Firewall Free
ロシア、サンクトペテルブルク生まれのFirewallです。
Outpost Firewall FREE
Free版を落とそうとすると、Trial Trial言われますが、Free版を落としてください（笑）

日本語解説：
Outpost Firewall -- ｋ本的に無料ソフト・フリーソフト

インストール後、しばらくは外部通信が発生すると
Application is requesting an outbound connection （外向き）
Application attempts to listen a port （内向き）
という警告が現れますので、その通信が本当に自分として許可していいのかどうか熟考したうえで
Allow all activities for this application（外向き許可）
Allow acting as a server（内向き許可）
してください。

特に内向きの場合、本当にその機能が必要なのかどうか、バックドアになっていないのか考えましょう。

Defence+ 同様、HIPSの動作等に知識が必要ですので、よい機会と思って導入してみるのもよいかもしれません。

--------------------
Online Armor Personal Firewall Free
リークテストで常に上位をキープする HIPS統合型PFWです。更新が頻繁に行われており、発展途上でもあります。
最新版：4.0.0.15
Download Online Armor and Online Armour ++ - Free or Trial

日本語FAQ:
Online Armor Security Suite にようこそ

HIPS 機能が便利なパーソナルファイアウォール！「Online Armor Free」

ホワイトリストがかなり多く、導入後もそのまま使用でき、あまり手を煩わせません。アップデートもほぼ自動で行っていきます。
静かに駆動するタイプのPFWです。

--------------------
PC Tools Firewall Plus
PC Toolsのファイアウォールです。
64ビットにも対応しています。

が、Symantecに吸収されてしまったため、今後無料のプロダクツをどうするのかよくわかりません。
Symantec，PCユーティリティ・ソフトのPC Toolsを買収へ

また、Spyware Doctorの記憶がどうしても邪魔して、個人的にはなかなか踏み切れません。
使ってる友人の話では、「問題なし」とのこと

PC Tools Firewall Plus™ 6

--------------------
以上、比較的評価が高く、無料で使用可能な PFW を選定してみました。

参考になれば幸いです。

セキュリティホール推奨システム（有料）

大阪府の電子調達システム、どうしてこうなった。

大阪府ホーム＞大阪府電子調達(電子入札)システム＞パソコンの環境設定

大阪府の電子入札や電子申請に使う端末には、「Internet Explorer 6 SP3」「Internet Explorer 7(以下 IE7)」「Internet Explorer 8(以下 IE8)」並びに「Windows XP SP3」「Windows Vista(以下 Vista)」「Windows 7」を使用しないでください。
は？

大阪府電子調達（電子入札）システムをIE7、Vistaにて利用できるようにするには大規模なプログラム改修が必要となります。
大阪府では平成21年末にリプレイス（機器入替）を予定しており、そのときにIE7、Vistaにて利用できるようにプログラム改修する計画ですので、IE7、Vistaでの利用は、今しばらくお待ち下さい。
はい？

Windows 2000 Professional、Windows XP（Professional/Home Edition）
ただし、Windows 2000 Professional、WindowsXP（Professional/Home Edition）を推奨します。
はいぃ？

JAVA実行環境 : JRE 1.3.1_06、JRE 1.3.1_08
はいぃぃぃぃぃぃ？

JRE 1.3.1-06 って J2SE の時代じゃないですか？

政府機関の20システムがJREの脆弱性のあるバージョンを指定--NISCが緊急調査結果を発表 -- 2007.07.21
内閣官房情報セキュリティセンター（NISC）の報告書:2007.07.20
JRE等を利用する政府機関の公開情報システムに係る緊急調査

つまりアレですね
電子入札したければ、古いOSを用意して、古いブラウザを準備して、古いJava JREを落として脆弱性だらけのシステムでインターネットに繋げと推奨してるわけですね。
Archive: Java[tm] Technology Products Download
こんな危険な代物、VM環境内から起動するしかないですね。
いっそ、そのIP以外は一切接続できない専用端末でも用意したほうがいいんじゃないですか？

電子入札コアシステム開発コンソーシアム
会員名簿あたりを見て笑わないように・・・

e-Japanあたりの残照なのか、インパクの呪いなのか・・はてさて・・

あ～～～またこの話が連続してしまってる・・・
ま、旬なので（多少、薹が立ってますが）しょうがないかな？


今回の Gamblaroid 本体の解析ですが、最初に解析を出したのは ScanSafeでした。

Malware Manipulating Google SERPs -- 04/17/2009
このとき既に、
the malware is its ability to monitor traffic and steal FTP credentials
トラフィックをモニタし、FTP情報を盗む
となっています。

ここでいう、 trafficというのが具体的に何を指しているのか、あまり深く考えていなかったのですが


「感染すると、さまざまな被害に」――最新Webウイルスを徹底解説
原文：
Inside the Massive Gumblar Attack

FTPアカウントを盗み出す対象となるのは、感染パソコンだけではない。感染パソコンが接続しているネットワーク（サブネット）が対象となる。ウイルスは、ネットワークを流れるデータを収集するソフトを特定のサイトからダウンロードしてインストール。そのソフトを使ってネットワークを流れるデータを監視し、FTPアカウントと思われるデータを記録する。

As mentioned earlier, the malware downloads software to sniff network traffic, winpcap. With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.

An entry is made in the registry for winpcap: HKLM\SOFTWARE\WinPcap

え？
ちょっと待った

と、思った人も多いはずです。
こうなると話がかなり変わってきます。

今、出向中の身なので、まさか VM 入れて感染状態をつくるわけにもいかないわけですが（笑）
友人の環境下（わざわざ環境再構築してもらいました・感謝）では、このキーの登録は確認できませんでした。

となると、この人はいったい何（いつ、どこから落ちてきたバージョン）の解析をしているんだろう？とかなり疑問になるわけです。


まぁ、ウチも個人ですし、この人も個人のラボっぽいので、
どこまで何を信じるかは、捉えた人次第ということにしておきましょう。


------------
ノートン大先生の解析結果：

Infostealer.Daonol
危険度 1: ほとんど影響なし

影響ないのかぁ・・


--------------
そういえば、今回の一連の騒ぎの最中、もっとも静かだった TrendMicroですが

Gumblar Finds Successor, Continues Info Stealing Spree
なんかもう、自分たちも検出してたんだぜ！　みたいなこと言わなくてもねぇ・・
しかも、本体の解析はおろか、検出名すら出してないって・・・

この辺は、シグネチャベースを重視しているセキュ・ベンダーの悲しいところですね。

埋め込み JavaScriptの検出だけでも・・
JS_AGENT.ASWE　JS_AGENT.ASXB　JS_AGENT.ASYC　JS_AGENT.ASWF
JS_AGENT.ASXC　JS_AGENT.ASYD　JS_AGENT.ASWG　JS_AGENT.ASXD
JS_AGENT.ASYE　JS_AGENT.ASWH　JS_AGENT.ASXE　JS_AGENT.ASYG
JS_AGENT.ASWI　JS_AGENT.ASXF　JS_AGENT.ASYH　JS_AGENT.ASWO
JS_AGENT.ASXG　JS_AGENT.ASYL　JS_AGENT.ASWP　JS_AGENT.ASXI
JS_AGENT.ASYM　JS_AGENT.ASWQ　JS_AGENT.ASXK　JS_AGENT.ASYN
JS_AGENT.ASWR　JS_AGENT.ASXL　JS_AGENT.ASYO　JS_AGENT.ASWS
JS_AGENT.ASXN　JS_AGENT.ASYP　JS_AGENT.ASWT　JS_AGENT.ASXR
JS_AGENT.ASYQ　JS_AGENT.ASWV　JS_AGENT.ASXS　JS_AGENT.ASYR
JS_AGENT.ASWX　JS_AGENT.ASXT　JS_AGENT.ASYS　JS_AGENT.ASWY
JS_AGENT.ASXU　JS_AGENT.ASXA　JS_AGENT.ASXX
こんな感じだったらしいです・・・・

Signature Spammerですか？（苦笑）

--------------
余談：
zolkon って何ですか？ってメールが来たんですが、何かの符丁かと思ったらコレだった・・
被害が多発する「Gumblarウイルス」への対策を実施しよう

なんというか、隣に zlkon.lvって書いてるのは何？って感じですね（苦笑）


余談ついでに・・・
E-Wordsに項目ができていました（笑）
Gumblar　【GENOウイルス】

ポツポツと質問が舞い込んでくるようになりました。

普段のIRCでは
「しらんわｗ」
みたいな地の対応をしてるんですが、ちょっと真面目に・・・

といっても、Botnetを本当に構成しているのかどうかは未確定ですので、落ち着いて行動してくださいますようお願いします。

----------
Botnet

これじゃよくわかりませんよね

ボットとは？

総務省のサイトに書いてあるボットは、いわいる旧来のタイプで、DDoSを行うことを主目的としていました。

----------
しかし、ここ最近は様相が変わってきています。
Black Hat SEO
という用語があります。

SEO～サーチエンジン最適化～の旧来的な手法は SEO SPAM と呼ばれるクエリの大量発行でした。当然ながら、単独あるいは一群のIPからの発行クエリが集中していることをサーチエンジン側が感知すると、SEO SPAM として順位を落とされてしまうようになり、すぐに廃れてしまいました。しかし、不特定多数の広範なIP群から一斉に検索クエリが発行されればどうなるでしょう？
FaceBookフィッシングの際に悪用された BLACK HAT SEOの例
まさにこうしたことが可能になってしまいます。

----------
少し前の zlkon では、この応用（より悪用）として BLACK SEO SERP(Search Engine Result Page) と呼ばれる 検索結果改ざんの手法を使用していたと見られています（Malware Manipulating Google SERPs参照）。感染したシステムは「何を検索しても」マルウェアによって「定義された」検索結果を返すようになり、不審に思いつつもその検索結果をクリックしてしまうようになったと解析されています。
また、感染したサイトは自分の登録しているサーチエンジンに対して頻繁に PING を撃つようになり、（心ならずも）検索結果が上昇するという皮肉な結果になっていました（そのことによって、さらに感染者を増やす結果になってしまいましたが・・・・・・）。

さて、問題の gumblarですが、これは更に C&C(Command & Control : BotのPuppet Masterからの命令受諾) 能力を持つようになったとScanSafeが指摘しています（参照：Google SERPs Redirections Turn to Bots）。zlkon型では陥落した後、ID/PAssword の送信や、SEO SPAM 発行などの「定型業務」は行っていたものの、BOT Master側の指示を受けるのかどうかは「？」でした。少なくとも、当初の解析結果や、ビヘイビア・チェックでもそのような報告はありませんでした。もっとも、単に解析が不十分だった可能性もあります。

そして Gumblar によって散布された Malwareは IRCもしくはそれに類するものによるコマンド待機を行っていることが確認されたため、感染PCは、BOT C&Cの 命令に従ってしまう可能性があります。最悪のケースとしては、PCがBOT C&C を受け自動的にマルウェアを定期的にアップデートし、待機IPを変更し、場合によっては RootKitを勝手にインストールしてしまうかもしれません。また、現在の主流となっている P2P クロス待ち受け型 C&C を使用されたら、手がつけられなくなります（参考：The DOWNAD/Conficker Jigsaw Puzzle）。

そんなPCは、もう自分のものではなく BOT 傀儡師の意に従って動いているゾンビです。

----------
今回はまだ ScanSafeの解析と、 ThreatExpertのビヘイビアチェックのみの報告ですので、大手セキュベンダーの解析を待ちたいのですが、もし本当にそんなタチの悪いものだった場合、パニックに陥らないために早めに予防策を取っておきましょう。

Adobe Flash Player のアップデート
Adobe Acrobat Reader のアップデート
NoScriptの導入（Firefoxの導入も含めて）
危険IPのブロック（Firewall登録／IPベースのブロッカーの導入）
Adobe Acrobat Readerの
JavaScript OFF

----------
参考：
Pakes.kmm
以前発見された "78.109.29.112:2111"を C&C とするボットネットの散布ファイル

digiwet.dll
78.109.29.112:2111 BotNet の散布ファイル（と思われる）

Web site compromised?
2009.05.01 Google に寄せられた挙動解析・・・ Anubis のものと一致する点が多い

念を押しておきますが、あくまでも類推に過ぎません。

----------
参考２：Botnetwork
What a Botnet Looks Like
Botnetがどんなつながりを持っているのか、個人が追跡調査した結果・・・

恐ろしい

---------
ひとりごと：

ヨシ、赤い部分が無かった（笑）

実ファイル検査結果：

Analysis Report for gumblar.exe
Registry Values Modified:
HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32
- AUX to C:\..\kft.blc

Files drop:
C:\DOCUME~1\user\LOCALS~1\Temp\667a_appcompat.txt
C:\kft.blc

Files Modified:
C:\DOCUME~1\user\LOCALS~1\Temp\667a_appcompat.txt
C:\WINDOWS\system32\sqlsodbc.chm
C:\kft.blc

Processes Created:
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe -x -s 156

Files Deleted (dwwin.exe):
C:\DOCUME~1\user\LOCALS~1\Temp\1EC3BB.dmp
C:\DOCUME~1\user\LOCALS~1\Temp\667a_appcompat.txt

Files Created (dwwin.exe):
C:\DOCUME~1\user\LOCALS~1\Temp\1EC3BB.dmp

Files Modified (dwwin.exe):
C:\DOCUME~1\user\LOCALS~1\Temp\1EC3BB.dmp

Registry Keys Created (service.exe):
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TAPISRV000\Control
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RASMAN000\Control

Registry Values Modified (service.exe):
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RASMAN000\Control
- ActiveService to RasMan
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TAPISRV000\Control
- ActiveService to TapiSrv

基本的にはzlkonのコレとあまり変わってないようです。

例によって "AUX=" に "kft.blc" という怪しげなファイルを投下していますが、このファイルは恐らくランダムです。

そして（たぶん）キーログ情報のコンテナに "sqlsodbc.chm" を使用しています。

あと、噂されていた画面キャプチャの送信用かな？と思われる 1EC3BB.dmp というファイルへの書き込みが顕著ですね。

gumblar.exe (4/39)

MD5: 29148682df9c5a693b35b2b4529925b2

----------
SWFの方は、wepawetが「解析不能だけどVirusTotalでMalicious判定されてるよ」と返してきました（笑）

Analysis report for 5ae22276f03881082a2956b062ad0d3f.swf

gumblar.swf (4/40)

MD5: 5ae22276f03881082a2956b062ad0d3f

----------
PDFは入手できてません・・誰かクダサイ（笑）

TrendMicroのインターネット・セキュリティ・ナレッジに、新コンテンツ

新社会人に贈る「ビジネスマンが知っておきたい情報セキュリティの基本」

が開設されました。

読み物としても楽しいので、ヒマな人（とＴさん）はアクセスしてみてください