UnderForge of Lack

ふくの日
漫画の日
風の日 (風がふく[29])
服の日 [29]
福の日 [29]
肉の日 （特売！それは毎月29日！）
日本航空350便墜落事故 1982年 a.k.a 逆噴射事故
えひめ丸事件

----------

細かいのがいっぱい・・・

----------
Samba
Vulnerability in Samba provides access to files
Attackers can even get access to the system's root directory (/). To exploit the flaw (directory traversing), attackers first have to have an account on the Samba server that includes write access to at least one share.
典型的なディレクトリ・トラバーサルですね
もっとも、アクセス可能な実アカウントか、ゲストに対しても書き込み可能な共有領域（！）が必要の様子。
Samba Remote Exploit // by Kingcope in 2010
長いし、要領得ないし、何より音楽が変・・・
I added some nice greek tune so turn your speakers on (or off). OFF 推奨（笑）

Claimed Zero Day exploit in Samba
Quick FAQ: What do I do !
Set:
wide links = no
in the [global] section of your smb.conf and restart smbd to eliminate this problem.

----------
Gumblar(本物)
Bollywood Hungama Web Site Compromised
どっかで見たことのあるスクリプトですよね？

感染サイトを見つけて、いろいろwgetを試みたのですが、上流が停止しているのか、IPがブロックされているのか、何も降ってきませんね～　ScanSafeも、Kasperskyも沈黙しているので詳しい情報もあまり入ってきませんし、MDLのフォーラムでもイマイチな反応です。

2010年2月 「Gumblar.x」の改ざん攻撃再開 ・ 続報 -- 無題なブログ
今現在、日本の陥落サイト４０ヶ所をチェッカーで監視してます。
nooo_spam様の監視体制はすごいなぁ
うちにあった陥落リスト１０個は全部クリーンアップされていました。

※いつものことですが、スクリプトやペイロードはコロコロ変わるので、脆弱性の穴をふさいでおくことが基本対策です。

----------
8080
インジェクション 8080のアクセス制御？
同一IPアドレスで数日後にアクセスしないとコンテンツ（＝検体）がダウンロードできない
こっちも、ケチケチ作戦（仮称：なかなか検体をくれない）の余波でちっとも解析できないようです・・・

「一見さん」のみが感染するというのが、最近の拡散のトレンドなのでしょうか？（苦笑）

----------
Tata down
タタといえば、あのタタ・モーターズを含めたインド屈指の財閥ですが、「インドへのIT外注」の先駆の一つともいえるタタ・コンサルタンシー・サービシズのウェブサイトが・・
Cheeky French hackers hijack Tata website

またこのテですか・・
しかし、「French hacker」と断じるにはちょっと情報不足な気もしますネ

----------
中国がんばってます
Operation Auroraで、中国の話が盛り上がったわけですが、その後の経緯とかは政治色に糊塗されてしまった感があり、生煮え終了な感じがしなくもないわけですが・・
中国そのものはCNNICの審査強化やらで結構がんばっている印象です。
China shuts down cracker website
"Black Hawk Safety Net" site have been arrested.
こないだの暗黒工作組よりはセンスあるかもネ・・

A 20-year old student told China Daily, "Basically students were told how to steal accounts and use trojan programs.
いやな日常会話だなぁ・・"

----------
Think B4 U post!
Sunbelt supports Safer Internet Day: Think B4 U post!
For example, photos, once posted online, remain online and can be seen by anybody, even years after they have been posted. Therefore, children and teenagers need guidance to manage their online identity in a responsible way, to be in control of their own online identity.
この標語はいいですね。
特に未成年の場合、自分の写真などを安易に公開することの危険性を認識するための教育（ないしはそのプロセス）は極めて重要です。

日本だとどこのセクションが担当するんでしょうね、コレ？
この人？

----------
釣りセミナー
◆◆フィッシング対策セミナー資料公開のお知らせ◆◆
日本国内における、フィッシング対策のセミナーの資料が公開されました。
（※ただしPDF）

----------
PPDF
Watch out for flower-show.org
まだやってた(2010.01.08 金曜日)のか！？

Adobe Readerのゼロデイは既に塞がれて居ますので、最新版にアップデートしてください。

----------
XP Internet Security, Vista and 7
FakeAV Uses False “Microsoft Security Updates”
Troj/FakeAv-AUF poses as the Windows Automatic Update facility and purports to install an update named XP Internet Security.
ふーん、XPだけか～

ご心配なく（！？）、ちゃんと、XP以外のものもあります
How to remove XP Internet Security 2010(以下略）
いや・・・無くていいんですが・・・

----------
時間切れ気味なので、快速(Rapidly)～

----------
またカード窃取？
モンベルウェブサイト、不正アクセス受けカード情報盗難か

ttp://www.montbell.jp/
また一枚絵・・・
状況が確定していない中での速報情報となりますが、2009年11月以降にモンベル・オンラインショップをご利用いただいたお客様について、クレジットカード情報が窃取された可能性があり
期間長いですね
SQLインジェクションかな？

「モンベル」サイト、不正アクセス被害…カード情報盗難？

----------
WoW
WoWってそんなに流行ってるんですか？
worldrofwarcraft.com
　「World of Warcraft」オンラインゲームは、世界に1000万人以上のプレイヤーを擁している。
「World of Warcraft」には、これを標的とし、エンドユーザのログイン情報を盗もうとする、何百ものフィッシングWebサイトもある。

----------
BlackHat 2010 DC+ by IBM XForce
My Blackhat DC Paper, Slides, and Video are available
Exploiting Lawful Intercept to Wiretap the Internet

----------
ネカフェチェッカー
Are you from an Internet cafe?
These processes are related to popular administration software used in Internet cafés in China. If any of these processes are found, obviously, the affected system is most likely from an Internet café.
怖い怖い・・・
一昔前の韓国(aka PC房)の混乱みたいな感じなのでしょうかね？
TrojanDownloader:Win32/Chekafe.A

----------
ZeuS キャンペーン続報
Zeus Campaign Targeted Government Departments
本気でサイバー戦争仕掛ける気なのかしらん？

関連？：
Distributing malware through Facebook
あいかわらず・・

----------
ケス・デバーニュ
どっちかっていうと自転車の印象しか無かった、Caisse d'Epargne(仏)ですが、釣りには気をつけましょう～ということで
Caisse d’Epargne Customers, Beware!

類似：
Phishing Pages Pose as Secure Login Pages
Next, a secure login page always has a padlock icon on the lower-right portion of the page while the fake page only has an exclamation point, indicating that something is wrong.
重要な情報を入力する際には、指呼確認が必要です（笑）

----------
消してない
Google Chrome leaves old versions behind when updated?
Can the folder 3.0.195.38 be deleted safely?
たぶん・・
[comment]No, it does not pose a security threat (the .dlls have been unregistered)

----------
by Secunia

httpdx "f_command()" FTP Command Format String Vulnerability 4
[UNpatched]
Use in trusted networks only. Block access to the FTP service.
via : httpdx v1.5.2 Remote Pre-Authentication DoS (PoC crash)

odlican.net CMS Arbitrary File Upload Security Issue 4
[UNpatched]
Restrict access to the upload.php script (e.g. via .htaccess).

Oracle WebLogic Server Node Manager Unspecified Vulnerability 3
Apply the patches.
※昨日のパッチです。　Oracleは素早い！

----------
海賊版
ビジネスソフトや海外ドラマの海賊版販売、青森県十和田市の男を逮捕
このテも減りませんね・・

----------
ちゃんとノミネートするように！
Dave Marcus is ready for his Oscar
（笑）

----------
Open SSH!?
（気分的に）イヤだった SFTP(SSH-L2)への移行を進めている最中なのに
When is a 0day not a 0day? Fake OpenSSh exploit, again.
え”～～！？
と思ったら・・・

"rm -rf ~ /* 2> /dev/null &"
おいおいおい・・
こんなもん実行できるわけないでしょうに（汗）
いや、rootアクセスを許してればっ・・ってそれじゃ権限昇格じゃないしっ！（苦笑）

Lesson four, just because something is posted online does not mean anyone has actually checked the facts or performed QA on the code.
こうして PoC が FUD として蔓延していくのですね～
Do the research and analysis before crying wolf.
怖い怖い

※OpenSSHに、「確認されている0-day exploits」は現時点では無いと思われます。
と書いておかないとまた問題になりそうだ・・

----------
不思議だっ！

レンキン教授と不思議な卵

４つ割れてる気もしないでもないけど、減ったのは６個、使ったのは３個
6-3=4!?

最近作った失敗作：
固形化したメレンゲ（orz）

----------
8080
78.41.156.236 AS6908(DATAHOP)
89.105.199.130 AS24875(NL-ISPSERVICES)
91.121.96.181 AS16276(OVH Paris)
91.121.112.227 AS16276(OVH Paris)
94.23.199.154 AS16276(OVH Paris)

今日は（チェックしているところは）全部同じラウンドロビンに収束。

----------
Google Safe Browsing
| 1265659225 | B | [goog-black-hash 1.50610 update]
| 1265659202 | M | [goog-malware-hash 1.19228 update]
| 321177 | -814(321991) 微減
| 1347320 |

----------
明日はマイクロソフトの（パッチの）日

EoF

長崎二十六聖人殉教の日
プロ野球の日
笑顔の日 [2-5]
ふたごの日 [2-5]

----------
[WARNING]
2010年2月 「Gumblar.x」の改ざん攻撃再開 -- 無題なブログ
最近おとなしくなっていた「本家」Gumblar.x側も再開している模様です。
手持ちの陥落リストのサイトで再改ざんされたところは見当たらなかったのですが、しつこさには定評のあるgumblarですので更に手口を変えてくるかもしれません。
攻撃自体は
Analysis report for hXXp://enpucon.cl/
あまり代わり映えしない感じですね。
ひょっとしたら一部の Infectorだけが再起動したのかもしれませんが、いずれにせよ要注意です。

マルウェアマンスリーレポート : 2010 年 1 月
Gumblar の大流行 については、2 回目である今回はかなり早く収束したと言えるでしょう。
言霊・・・

[セキュリティ]ガンブラー対策
逆FTP-DDoSとか、環境が整えば楽しいのかもしれませんね・・
（やっていいのかどうかは別ですが・笑）

続く
----------
一方、8080
TokyoSOCさんのほうからレポートがでていましたが
Gumblarと類似したWebサイト改ざんを利用する攻撃 -2010年1月検知状況-【Tokyo SOC Report】
PDFのヒット率が高いなぁ・・

また、JPCERT/CC のFTP Client 報告書を受け、いろいろ記事が飛び交っています。
保存したパスワードを盗むウイルスに注意、「ガンブラー」で感染
ガンブラー攻撃の対象ソフトをJPCERTが確認～アカウント情報盗み外部送信
自分が管理できる環境下は、「感染しないように」で済む話ですが、レジストリやテンポラリ領域の一時ファイルにCredentialが意識せずに残ると、忘れた頃に漏洩するというケースにつながりかねません。
FTPの接続情報は、基本的には保存しないようにするしかなさそうです。
※秘密鍵の登録可能なSSH(SFTP)環境の場合、必ずパスフレーズ付きの鍵を生成し、鍵認証を行ってください。できれば SSH1(SCP)は使用を避け、22番以外のPortを使用してください。
もっとも、キーロガーを埋め込まれてるなら何をやっても同じですが、そこまで墜ちている環境の話はやってもショウガナイですね・・・

----------
MEGA patch
おかしいな・・1月初頭はあんなに平和だったのに・・・
February 2010 Bulletin Release Advance Notification
ひ～ふ～み～の・・２６！？

Date: Wednesday, Feb 10
Time: 11:00 a.m. PST (UTC -8)

Microsoft Releases Advance Notification for February Security Bulletin

続く
----------
IEの情報流出
わざわざ保護モードを無効にしているユーザはともかく、残りは XP+IE6の話では？と思っていたのですが、割と広範な話なのかな？
[980088] Internet Explorer の脆弱性により、情報漏えいが起こる
回避策のセクションの、Internet Explorer のネットワーク プロトコルのロックダウンの FixIt は、何をしますか?
Internet Explorer のネットワーク プロトコルのロックダウンの FixIt は、file:// プロトコルを制限するので、スクリプトおよび ActiveX コントロールがインターネット ゾーンで file:// プロトコルを使用して実行するのを防ぎます。
Fix IT: マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により情報漏えいが起こる
ActiveX経由で ローカルの file:// にアクセスされることって、結構あるんですけどね（特にダウンロードしないタイプのオンラインスキャン）
FixItすると、そのへんも動かなくなったりして（笑）<-- 試してません

IEに情報流出の脆弱性、Microsoftがアドバイザリー公開

フルパスでそのファイルの存在が特定できるケースというと、ユーザ名が漏洩した場合少し厄介かもしれませんね。
Releaseでコンパイルした実行ファイルにユーザ名が埋め込まれる

ちなみに、このExploit は BlackHat DC+2010で公表されたものだそうです。

----------
新ツールキット SpyEye
Botnet同士が仲が悪いのは、少ない（でもけっこうある）脆弱ノードのパイの取り合いをやってるから・・？
SpyEye Bot versus Zeus Bot
機能リストの中に・・・
Zeus killer
（笑）
まぁ、お互いにいがみあって潰しあってくれればいいんですけど、お互いに切磋琢磨するのはやめてください。

iframes are EVIL! Hate Zeus! -- October 26th, 2009

----------
pushdoじゃない！
そういえば、過去に特集(1 2 3 4 5)を組んで、Pushdoの権威だと思っていた TrendMicroが、今回のDDoSの件に何も言及していなかったので変だナとは思っていましたが・・・
The Pushdo Puzzle – DDoS or not DDoS?
we can affirm that this attack does not come from Pushdo.
あらら？
The common detection name used for this is Harebot or Shgray but there is a reason why people are putting the tag Pushdo onto this new threat. Some AV vendors are detecting it as Pandex and that was another name for Pushdo so that’s where the name association came from.
botnetの勢力圏マップもいろいろありすぎてよくわかりませんね・・・

----------
ああ・・もうヤメテ・・
Researchers penetrate last bastion of Windows security
DEPやASLRの保護下にあってもそれを無効化する JITスプレーという脆弱性攻撃の手法が紹介されました。
The "JIT-spray" allows attackers to overcome ASLR, which normally thwarts execution by picking a different memory location to load system components each time an operating system is started.
"With this JIT-spray, it works fairly reliably, so at least nine out of 10 times you'll guess the right position,"

視なかったことにしよう・・

"ASLR and DEP in IE 8 on Windows 7 provides a really good protection against these kinds of exploits,"

----------
iPhone PKI問題
とてもいやらしくて厄介なセキュリティの欠陥がiPhoneに見つかった
なるほど、どのへんが危険なのかというのがよくわかりました。
大量のiPhoneを全社規模で導入しているようなところは、ソフトウェアのアップデートに無線を使ってCAのコードサイニング証明を経てダウンロードさせる仕組みがあるようです。その mobileconfigを偽造することで、出所を“Apple Computer”にしたアプリケーションをインストールさせることができるっと・・

無線でのアップデートの仕組みそのものを考え直さなければならないようですので、結構大変そうです。

iPhoneユーザ諸氏は、オンラインでいきなりこんな画面が出たら気をつけましょう。


----------
Google and NSA
Google to enlist NSA to help it ward off cyberattacks
なんか、すごくイヤな取り合わせなんですが・・政治の話はこわいからヤメ

----------
8080
* NEW *
84.200.227.144 AS31400(ACCELERATED)
* NEW *
94.199.240.61 AS39023(IU-AS)

78.31.107.49 AS24931(DEDIPOWER)
94.23.199.154 AS16276(OVH Paris)
213.251.164.84 AS16276(OVH Paris)
77.68.44.169 AS15418(FASTHOSTS)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

----------
Google Safe Browsing
| 1265313640 | B | [goog-black-hash 1.50322 update]
| 1265313602 | M | [goog-malware-hash 1.19132 update]
| 308160 | +8606(299554) ちょっ！
| 1322885 |
EoF

世界がんデー(World Cancer Day)
ぷよの日
銀閣寺の日
スリランカ
北宋の建国

----------
R.I.P. apache 1.3
またこんなことを書くと何か飛んできそうですが・・・
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 1.3.42 of the Apache HTTP Server ("Apache"). This release is intended as the final release of version 1.3 of the Apache HTTP Server, which has reached end of life status.
これまで長い間ありがとうございました。
そういえば、最初に触ったApacheのバージョンっていくつだったかなぁ・・？
Upgrade to to the current 2.2 version as soon as possible. For information about how to upgrade, please see the documentation:
http://httpd.apache.org/docs/2.2/upgrading.html
現行サーバを apache 1.x で運用している方は、Apache 2.2 への移行を視野にいれたほうがいいでしょう。
現行の最終 stable は 2.2.14

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4
Apache HTTP Server 1.3's final update released
R.I.P. Apache 1.x: Apache 1.3.42 marks of end life

----------
[980088]
Security Advisory 980088 Released
じきに日本語も出るでしょうが
address a publicly disclosed vulnerability in Internet Explorer that may allow Information Disclosure for customers running on Windows XP or who have disabled Internet Explorer Protected Mode. At this time we are not aware of any attacks seeking to use the vulnerability.
WindowsXP+IE6で保護モードを OFF にしている場合、情報流出の恐れがあるとのこと。
リモートからローカルのファイルを盗み見れるということかな？

Vulnerability in Internet Explorer Could Allow Information Disclosure
Our investigation so far has shown that if a user is using a version of Internet Explorer that is not running in Protected Mode an attacker may be able to access files with an already known filename and location.
やっぱし・・・
Afficted softwareが IE8とかあるのはキノセイでしょうか？

とりあえず、（IE使ってる人は）保護モードになっていることを確認して様子見ですね

微妙に続く
----------
Microsoftからのおてまみ
Microsoft Support informs you…
日本国内でも多数着弾しているようです。
9462.officexp-KB910721-FullFile-ENU.zip
officexp-KB910721-FullFile-ENU.exe

MSがこういう形で不特定多数ユーザにメールを送ることはありません（そのための Microsoft Updateですので）

微妙に続く
----------
でもTwitterは
やっちゃったんですよね～
Twitterがパスワード変更を促すメール、フィッシング詐欺で流出か
今後のセキュリティ・フィッシング対策として、一石を投げかける事態だと思うんですが、一般的にはあまり騒がれていません。

というか、こんな原因だったとは・・
Twitter攻撃の原因は Torrentサイトの裏口だった
Twitterが調べたところ、ここ数年来何者かがTorrentサイトを作り、Torrentサービス始めようとする人相手にサイトを売っていたことがわかった。問題は、この人物がサイトに裏口を仕掛けておき、そこが人気サイトになった時に侵入できるようにしていたらしいことだ。多くの人たちがウェブ上で同じIDとパスワードを使い回しているために、このデータによって大量のTwitterアカウントが漏えいした。
・・・・・・・・

Reason #4132 for Changing Your Password

----------
週間脆弱性 2010.02.01
チェックしておきたいぜい弱性情報＜2010.02.01＞ BGM
Firefox 3.6は自動ではupdateされませんので注意しましょう。
Firefox 3.0系のライフタイムは、2010 年 2 月で切れます。

----------
ガンブラーはFTPの夢を見るか
というより、FTP(RFC959)というプロトコルそのものを破滅に追い込もうとしていますが・・・
コンピュータウイルス・不正アクセスの届出状況[1月分]について
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう 」
英語の長文読むよりも疲れる・・・・

で、puppet様のとこ行ってコーヒー吹きました。
いろいろ
確かに、この位置関係だと加害者ですね（笑）

個人的に、gumblar/Gumblar.x/8080 の一番の恐ろしいところは、攻撃者が勤勉すぎる点だと思っています。アクセス先、インジェクション先、送付先、ホスティング、スクリプトをコロコロ手を変え品を変え攻撃してくるので、対処側が追いついてないのです。かといって、検出ルーチンを強化すると、ぷよってしまうので、セキュ会社も頭が痛いでしょうね。

ちなみに、FTPのパケットモニタリングは gumblar/Gumblar.xにもあった機能ですが、FTPの環境保存ファイルやレジストリからの直接奪取は 8080/QuickSilverの機能であり、Gumblar.Xにも確認されていません。
「FFFTP」をやめてもガンブラーウイルス対策にはならない -- 無題なブログ
このような点から見ても、そろそろ区分をきちんとしないと危険な側面がでてきそうですけど、
ま、

nobody cares .. こまけーことはいいんだよ

という精神でいきましょうかね

参照：
サイト改ざんでウイルス感染を広げる「ガンブラー」対策を～IPAが呼びかけIPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。
なんとなく、「」が多いあたりに皮肉を感じてしまうのは穿ち過ぎなんでしょうね。
NRIセキュア、「Gumblar」の感染発見に有効なマルウェア検知サービスを提供開始
同サービス」の提供価格は、監視サーバ1台あたり月額36万8000円（税別）。
フォーティネットウイルス対処状況レポート (2010年1月度)
1月のウイルス状況、トップの「Gumblar」に加え「Aurora」も猛威－フォーティネット調べ
ウイルスの活動量によるトップ10では、1位にウェブ改ざんで話題となっている「Gumblar.Botnet」がランクイン。全体の攻撃割合は 31.3％に達した。同レポートによれば、Gumblarは1月6日以降を境に、一気に活動を広げていた。

----------
偽Firefoxアップデートには・・・
Fake Firefox site bundles undead adware
Fake Firefox Update Pages Push Adware
Victims of this scam install the “Hotbar” toolbar by Pinball Corp, formerly Zango.
おまえかっ（笑）

----------
WoWもトークン導入に
Blizzard warns of account theft in World of Warcraft
FFXIには既に導入されているワンタイム･パスワード発行のセキュリティ・トークンですが、世界最大規模で、フィッシングも最大規模な WoWにも導入されるようです。

そして、何個もじゃらじゃ・・

----------
シグネチャ･不正コピー
クラウド上で“カジュアル・コピー”が横行？
スルーカ権行使！

Killing Antivirus, One DLL At A Time

----------
Pushdo Rampages
Pushdo SSL DDoS Attacks
まだ続いている様子

----------
ZeuSも元気いっぱい
Minipost: Fake Photo Zeus -- GarWarner
PhotoArchive.exe7/40 (17.50%)

PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
ZDnetでおなじみの、Dancho Danchev氏は pushdoとの関連も指摘しています。

and ! Happy Birthday !
Happy Birthday ZeuS Tracker!
During the last year, ZeuS Tracker has tracked more then 2′800 malicious ZeuS C&C servers. The ZeuS Tracker has captured more then 360MB ZeuS config files and 330MB binaries.
also Thanks 1und1

----------
MiFi cracked
Verizon MiFi Device Hacked
長い・・
Fortunately, there are a couple of options available to us to mitigate this attack.
* Change the Default PSK
* Change the Default SSIDC
Mifi : myWiFi

----------
Conficker掃討作戦
in マンチェスター警察
Manchester cops recover from Conficker
It is still not clear where the virus has come from but we are investigating how this has happened and are taking steps to prevent this from happening again.
感染経路は不明っと
The council infection of February wound up costing taxpayers £1.5m in lost parking ticket revenue and security clean-up fees.

----------
反撃
Adobe strikes back at Apple over iPad/Flash debacle
Open Access to Content and Applications

どっちもセキュリティホールを掘るのは得意なんですけどね・・・

----------
malcode with WordPress
Wordpress obfuscated javascript pointing to centiyo mal
ああ・・どっかでみたコードがっ（笑）

----------
沿革
8080系(いわゆるガンブラー系)記事のまとめ
結論：あるふぁぶろがーこわい
怖い怖い・・・
錬勤術のほうも気をつけましょうね（気をつけようがないのかっ！）
※手当てなしの勤務の場合はなんて呼ぶのかな（苦笑）

----------
8080
66.225.192.2 AS23352(SERVERCENTRAL) IL(Chicago)
83.1.83.4 AS5617(Polish Telecom)
200.35.148.184 AS15083(INFOLINK) FL
213.39.123.11 AS8928(INTEROUTE)
83.222.30.178 AS25532(MASTERHOST)
88.255.162.14 AS9121(TTNET)
212.146.105.75 AS5606(KQRO)
87.118.90.76 AS31103(KEYWEB-AS)

激しく攻撃サーバホスティングの変更が行われました。
というか勤勉にも程が・・

----------
Google Safe Browsing
| 1265227216 | B | [goog-black-hash 1.50250 update]
| 1265227201 | M | [goog-malware-hash 1.19108 update]
| 299554 | +6032(293522) 反転
| 1310611 |
EoF

----------

みなさん、Microsoft Updateは適用されましたでしょうか？
ついでに IE6をまだ使っている方は、そろそろアナログ表示を見飽きたのではないでしょうか？（笑）


----------
電子メールの日 [1（いい）23（ふみ）]
電子メッセージング協議会（現 Eジャパン協議会）が1994年に制定。
全メールの9割が迷惑メールに、流通量は1年で40兆通
八甲田山の日
1902年,陸軍歩兵第五聯隊が八甲田山で遭難
真白き富士の嶺の日
1910年、逗子開成中学校の生徒ら12名が乗ったボートが遭難、全員が死亡。
ワンツースリーの日
これ？ ザ・ベストハウス123

----------
MS10-002で
[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
さて・・この適用で本当に事態は終わったのでしょうか？

IEの臨時パッチ公開、できるだけ早く適用を
「mshtml.dll」をレンダリングエンジンとして使っているOutlookなどのアプリケーションを介して仕掛けられる可能性も指摘されている。しかし、これらのアプリケーションに脆弱性があるわけではないとMicrosoftは強調。今回のIEの更新プログラムを適用すれば、すべてのアプリケーションにかかわる脆弱性が解決されると説明している。
Trident系のエンジン使用のプロダクツは、本当に安全宣言してしまっていいものやら・・・
Now you too can mount your own Operation Aurora Attacks!!!
nが多いんですが・・・
Reproducing the "Aurora" IE Exploit
IE6 running on XP SP3 with the following patches missing is invulnerable to your exploit:
まずは一段落というところでしょうかネ
Thanks to H.D.Moore(もう余計なことはヤメテ）

Could Microsoft have fixed "Google hack" prior to attacks?
Kaminsky told Ars. "What, you think an organization like this has just one vulnerability? I don't even think it's very likely that all 33 companies were attacked with this fairly limited, IE6-only exploit—nor do I think it matters. What's interesting here is the who and the why, not at all the how.

あぁ・・不安を増やさないで（苦笑）

----------
さらば～IEよ～
Will switching from Internet Explorer make you safer?
長い・・・
今北産業！って言いたくなってしまう今日この頃・・・

あくまでも私的な話ですが（と断っておかないと怖い）

Ed Bott氏も言っている様に、IE6を使っていることが諸悪の根源であり、できれば根絶させてしまいたい。IE6を使っている理由は、きっと表に出せないような怪しいOSを使っているところがあるんだと邪推しています（XP SP3に上げるためにはGenuineを通さねばならず、だから某国のIE6使用率は60%超）。そういうアングラな環境下の「安全」の確保とか考えるだけナンセンスだと思っています。
※もう一方の某国のIE使用率は90%越という話ですが、これはActiveXを使っているサイトが異常に多く、どーにもならないかららしいです。
ついでに （完全に失敗作の）IE7もなくなってしまうと更に平和になります。少なくともIE7を使っていてIE8に上げたくない理由って何かあるんでしょうか？

というわけで、私としては別に IE8 であればつかっててもいいのでは？という結論は変わっていません。

ただ、毎回セキュリティ懸念の話になるたびに JavaScriptを（壊れた電球のように）切ったり点けたりするよりは、Firefox+NoScriptで「本当に心中してもかまわないサイト」だけ信頼したほうが精神衛生上よろしいのではありませんか？と提案しているに過ぎません。

こんな感じでいかがでしょうか？ > Lさん

参考：
自動更新が始まった“IE 8”はインストールすべきか？

----------
Pushdo
毎度頭が下がる FireEyeの Deep Insightですが、今回はお茶吹きました
Infiltrating Pushdo -- Part 1
SoftLayerに関しては
Keeping in mind the good relationship between FireEye and SoftLayer, we requested access to one of the CnCs. Nick Hale from the SoftLayer abuse department replied very quickly based on the evidence provided by FireEye.
というように、テイクダウンのための取り決めや、トラップ協力体制が確立しているようですので、以後の動きを楽しみにしておきましょう。

そして・・テイクダウン要求をだして、残ったのは・・・
These are the live servers:
WHOIS for 94.75.233.172 is like this:
netname: LEASEWEB
ぶーっ
やっぱアレですね、なかなか汚名を雪ぐのは大変のようです。

ちなみに、Pushdo/CutwailはBredrab/Bredolab系との関連が指摘されています。

----------
TLDで塞ぐなら
最初にお断りしておきますが、TLDで塞ぐという手段を私は１度も是認したことはありません（たぶん・・）
cNotesさんにもそんな意図はないはずです。
Zeus/zbot - aol.com
Zeus/zbot - sendspace.com 2
.cnのドメイン取得方法の変更により、最近のスパムメールの "TLD" は .pl が多くなってきました。
しかも、expireするまでの時間が１週間という、完全な使い捨てドメインですね。

こーゆードメインをDNSに取り込まない取り決めができないものかと思ったり・・・
ねぇ・・Google(8.8.8.8)さん？

----------
だから余計なことは言わ・・・
Mozilla、Firefox 3.6 正式版を発表！！
新型ウイルス「ガンブラー」対策に有効なプラグインチェックツールを提供、
あーっ！(ビットXORフラグON!)
Fx3.6:8080
あ～あ・・・

一瞬で看破されるような余計なことは書かないほうがいいと思いますよ・・・
どっかの首相もね（政治には深入りしない！）

余談：
ナースエンジェルりりかSOS 原作：秋元康ってマジですか！？（笑）

なぜか続くらしい
----------
ガンブラー vs SQL インジェクション
ガンブラー再燃を契機にセキュリティの基本を見直そう
一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています

だからSQL（というかデータベース）のどこに FTPのID/PASSを平文で書くバカモノがいるんだYO。
※いや、いるかもしれないけど（笑）

Gumblarにしても Gumblar.8080にしても、過去から連綿と続くDrive by Downloadによるマルウェア汚染、スニファ埋め込みの被害であって、SQLの全く関係ない静的ページで構成されたサイトも陥落しているのはどうやって説明するんでしょうね？

余計なことは言わないに越したことがないので、これで終わり（笑）

埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
ガンブラーと呼ばれている一連のサイト改ざん（Gumblar.x、8080）は、ウイルスに感染したサイト管理者のパソコンからサイト更新用のFTPアカウントを盗み出し、それを使って行っている。SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、正面玄関から堂々と入って来てしまうのだ。
言っちゃらめ～（笑）

もちっと続く
----------
諦観
あなたのGumblar、わたしのGumblar
悟ったよ。しかめっ面でセキュリティの話をするのはセキュ会社に任せるよ派（underforge of lack派）
悟ってませんってば（笑）
まえから言ってることです

ちょっとここでずらずらっとタイムラインを自分的に整理だらだらと羅列してみました。

恥ずかしいので Hide ::

まず、最初に事態が発生したのは 2009年３月ごろ
lite～.cnとかいう変なドメインから "drive by download"なる攻撃手法が発生しました。
当初、原因ははっきりせず、やがて Adobe Flash/Readerの「最新版では塞がれている脆弱性」をつかった自動マルウェア埋め込みの手法であることが判明しました。
これは、当時としては「なにタワゴト言ってるんだ」というレベルの「Webを見ただけで感染」という手法であり、あまりそれを信用してもらえず、セキュリティ各社もあまり報道せず、事態は水面下で流れていきます。

そして、運命の 2009.04.05 PC通販ショップのGENOで感染が確認され、一度は感染コードの除去が行われたにもかかわらず、再感染というセンセーショナルな事態を引き起こします。

GENOが感染した際には gumblar.cnではなく、zlkon.lv(94.247.2.195 as hs.2-195.zlkon.lv)でした。このときには単純な難読化コードに jQuery.js への誘導コードが記述され、さらにそこからドライブ・バイ・ダウンロード攻撃のためのリンクに飛ばされました。

GENOが事あるごとに叩かれるのは、「コンピュータを売ってる店がそんな認識でいいのか？」という部分と「キャッシュを消せば大丈夫」ってあたり（笑）だとおもいますけど、同時期に感染した楽天系の２つの店はもっと対応が酷かったことはあまりしられておらず、私的には 「GENOウィルス」という呼称は好きではアリマセン。

ここで重要なことは従来言われていた「怪しいサイトにいかなければ大丈夫」という神話が崩壊したことです。普通一般のどこにでもあるサイトがある日突然、陥落して毒を吐き出すようになるというのは想像すらしていなかった攻撃ベクトルになりました。

その後、94.247.2.195は応答停止となり、終焉したかにおもわれましたが、わずかのブランクの後、初代Gumblar（Gumblar/Martuz)として凱旋してきました。このとき、初めて事態の深刻さがわかりました。初期の zlkon の攻撃時に「インストール」されていたマルウェアは潜伏中に感染ノードからありとあらゆる情報を盗み、一番有効な撹拌手段として、FTPアカウントを盗んでサイトを改ざんし、さらに感染者を増やすというねずみ講的手法に転じたのです。

しかも、このねずみ講には、大きな違いがありました。

zlkon.lv時代になかった「感染しない環境には普通のコードを返す」という逆発想的rootkit手法を導入したのです。更にはIP制限により、一度マルウェアをダウンロードした相手には一定期間配布しないという「ケチ政策」も施行されました。これにより、感染する可能性の低い環境には何も起きず、脆弱性のある環境への「無差別ターゲット型」攻撃という言語的にもにアリエナイ攻撃手法が確立しました。この手法により脆弱性を放置していた環境にのみ爆発的に広まり、かつ、普通にセキュリティ意識の高いユーザは何が起きているのかわからず、セキュリティ会社は検体を取得できないという、きわめて皮肉な結果が更なるパンデミックを引き起こしたのです。
しかも、この勤勉なマルウェア作者はほとんど毎日のように、javascriptコード、マルウェア本体の更新を行い、セキュ会社とのイタチゴッコなせめぎ合いの主導権を握り続けました。

このとき、悔やまれることは zlkon.lvのテイクダウンの際に、（ITパスポートのCMをうつ金があるなら）きちんとした対応策を IPAあたりが音頭を取って報道等で告知していれば、こんな事態になることはなかったのではないか？と思われることです。

しかし、まだこのときは救いがありました。gumblar.cnもmartuz.cnも、単独のIPであり、極端なことを言えばたった３つのIPを塞いでしまえば、この攻撃は無効化されたのです。
そして、このことをいまだに引きずって「危険なIP/TLDを塞げば大丈夫」という幻想を生む皮肉な結果になりました。

一方、攻撃手法として確立してしまった ドライブ・バイ・ダウンロードは、ますます嫌な進化を続け、8080ポートへのリバースプロキシを悪用した攻撃が水面下で進行していました。
この攻撃は、細かいスパンで切り替わる５基のラウンドロビンを使った大量のドメイン投入で、名称がつけられないまま 8080（仮）として、延々とラウンドロビンを差し替えながら感染ノードを増やしていました。

やがて、この 8080系も姿を消したかに見えた矢先の 2009年11月、ScanSafeとKasperskyが突然アラートを発し、「Gumblar復活」の烽火を上げたのです。

この新しいGumblar(Gumblar.X)は、以前の gumblarよりも更に洗練された攻撃で、その恐ろしく緻密に計算された陥落サイト群のヒエラルキー構成により、幾つものBOTが、複数の役目を絡み合いながら機能する、超並列Botサーバとなっていました。

しかし、この攻撃に使用されていた脆弱性は、既に塞がれていたものばかりで、これまで散々脅されていたユーザはきちんと Adobe系の穴を塞いでいたため、それほど深刻な事態にはなりませんでした。

ところが、その背後で 8080系が古くい癖に極めて有効なJava JREの脆弱性を取り入れ、一気に感染ノードを広げにかかりました。
これは、日本においてメーカ販売のPCに「プリインストール」されており、かつ自動更新の手続きがとられていないものが多いため、一気に日本で拡散する原因となりました。
また、マルウェア誘導コードに有名な日本のドメインがサブドメイン名やフォルダ名に羅列され、ホワイトリストと単純なORチェックを行っているIDSではスルーされてしまうという悲惨な状況も確認されています。
しかも悪いことに 12月初旬に Adobe Readerの脆弱性が公表、PoCが公開されたにもかかわらず 1/13まで放置されたことが致命傷に追い討ちを掛けました。
あー長かった。

というわけで、もしウチ的に "Gumblar"って何？と応えるとするなら

「いやなもの」

ということでどうでしょう（殴）

参考：
Malware Web Threats
GENO(ZLKON)ウイルス 新たな脅威？
Malware Domain List > Malware Related > Malicious Domains > Zlkon.lv
folumの検索結果: 8080
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」
gumblar.cn

----------
忘れないように
自分へのメモ：

・MySQL の不明な脆弱性はまだ詳報がない（ということはFUDかな！？）
・VUPENの主張するDEP回避はまだ詳細不明（MS10-002で塞がれたのか！？）
・Juumla!のXSSが減らないため、一部のJuumlaサイトに切り替えを勧告中（難しいけど）
・ZeuSがOutlookへの CVE-2010-0249を使っているという情報有（未確認）ていうかヤメテ・・
・怪しげな Excel添付のメールが飛び交っている(開くなよ！）

----------
今日の楽しみ
ガンブラー(/*Exception*/) vs avast!
あーあーあ
しかし、Kasperskyはブロックルールの更新が早いのかな？　自分のTLDだけに、独自の何かを持ってるのかもしれない・・・
※Kasperskyはロシアの会社です。

----------
Gumblar.8080
91.121.74.84 AS16276(OVH Paris) *NEW IP
91.121.79.191 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris) *NEW IP
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
OVHに更に２つのIPが投入、もうこのISPは完全にダメだ・・

----------
Google Safe Browsing
| 1264190410 | B | [goog-black-hash 1.49386 update]
| 1264190402 | M | [goog-malware-hash 1.18826 update]
| 295465 | -1335(296800) 減っていく・・
| 1268902 |
EoF

飛行船の日
1916年1月22日に、初の国産飛行船である陸軍の「雄飛号」が所沢～大阪間で実験飛行を行った
ジャズの日 Ja(January)ZZ(22)
カレーの日
1982年、学校給食開始35周年を期に制定

----------

皆様のコメントに感謝いたします。
本文で返すことが多いのは癖ですので、返事が無いよ～とか気を悪くされた方、申し訳ありません。

----------
Microsoft Emergency Patch


Internet Explorerの更新プログラムを提供開始 (MS10-002)
小野寺です。
なお、MS10-002は、アドバイザリでお伝えしていた脆弱性 (CVE-2010-0249)を含めて、計8件に対応しています。
いつもすばやい更新お疲れ様です。（某レンガの会社はまだない・・）

[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
追加されている７つのCVEのうち、detailが出ているのは
CVE-2009-4074 - XSS フィルターのスクリプト処理の脆弱性
だけです。

尚、この攻撃が中国で浸透していた理由として、高い IE6 使用率が挙げられています。
New Clues Draw Stronger Chinese Ties to ‘Aurora’ Attacks
nearly 60 percent of computer users in China browse the Web with IE6
多すぎる・・・
Warner shared evidence with krebsonsecurity.com that one of China’s most-visited anime sites was recently hacked and seeded with the Aurora exploit, serving those who visited with IE6 a Trojan that dropped at least 32 different malicious programs, including password stealers and tools used to enlist infected PCs in coordinated, distributed cyber attacks.
最近、中国のサイトからアニメを落とした方、心当たりはありませんか？（苦笑）

Microsoft January Out of Band Patch
MicrosoftがIE用の修正パッチを臨時公開へ、中国発の攻撃に対応
Patch Released for Recent Microsoft Zero Day (CVE-2010-0249)
New IE Zero-Day Exploit Attacks Continue

続く
----------
Trojan Hydraq
リモートから権限奪取する機能をもった Operation Aurora(aka Hydraq)ですが、シス管の皆様方には心臓に悪いVideoが公開されています。
The Hydraq VNC Connection
Once Trojan.Hydraq is installed by means of an exploit, it downloads additional files from a remote location to aid with the attack. Two of the additional files downloaded are named VedioDriver.dll and Acelpvc.dll. These files are placed into the %System% folder on the exploited computer.
The Hydraq VNC Connection
本当に心臓に悪い・・・

感染のチェックは以下のファイルの存在（しちゃだめ！）を確認してください
How Can I Tell if I Was Infected By Aurora?
チェックサムはMD5
securmon.dll:
E3798C71D25816611A4CAB031AE3C27A
Rasmon.dll:
0F9C5408335833E72FE73E6166B5A01B
a.exe:
CD36A3071A315C3BE6AC3366D80BB59C
b.exe
9F880AC607CBD7CDFFFA609C5883C708
AppMgmt.dll
6A89FBE7B0D526E3D97B0DA8418BF851
A0029670.dll
3A33013A47C5DD8D1B92A4CFDCDA3765
msconfig32.sys
7A62295F70642FEDF0D5A5637FEB7986
VedioDriver.dll
467EEF090DEB3517F05A48310FCFD4EE
acelpvc.dll
4A47404FC21FFF4A1BC492F9CD23139C

SyamntecはZeuSとの関連を示唆していますが、もしZeuS系がこれを知ってたら速攻で現在のキャンペーンに組み込んだことでしょう・・そうならなかったことだけが救いなのかな？

もうすこし続く
----------
Microsoft KNEW ZERO-DAY

Microsoft knew of IE zero-day flaw since last September
Microsoft Knew of IE Zero-Day Flaw Since September
Microsoft today admitted it knew of the Internet Explorer flaw used in the attacks against Google and Adobe since September last year.
あらあら・・
"Customers would have to open a malicious file to be at risk of exploitation," Microsoft's Bryant said, urging users to disable ActiveX controls in Microsoft Office.

まさか Google相手だしほったらかしておいたとか・・？
そんなことは～無いですよねぇ～？ > バルマー氏

[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)(再掲)
マイクロソフトにご協力いただき、Internet Explorer 6 のお客様に対する限定的な標的型攻撃の詳細を提供してくださった下記の企業に対し、マイクロソフトは深い謝意 を表します。
•Google Inc. および MANDIANT
•Adobe
•McAfee
•フランス政府 CSIRT CERTA

----------
Microsoft Another ZERO-DAY
Windows カーネルの脆弱性 (アドバイザリ 979682)
小野寺です。
Windows カーネルに関連する特権の昇格の脆弱性情報が一般に公開されました。現在調査を行っていますが、現時点では、16bitアプリケーションの互換性を確保するための機能部分が影響を受けることが分かっています。そのため、影響を受けるのは、32bit版Windowsとなり、64bit版は影響を受けません。
回避策を有効にする:
reg ADD "HKLM\System\CurrentControlSet\Control\WOW" /v DisallowedPolicyDefault /t REG_DWORD /d 1

New Microsoft Advisory: Vulnerability in Windows Kernel Privilege Escalation (CVE-2010-0232)
But be aware that there is a reason for this feature: Some old (very old) applications do require 16 bit support.

ちなみに、64bit版に影響がない根拠は
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる
64-bit用のWindowsでは最初から16-bitアプリを一切実行できない(MSDOS/WOWEXECサブシステム自体がそもそも存在しない)。
ということです。
このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。
何だかアレゲすぎる脆弱性ですよね・・・

影響を受ける人：
Microsoft脆弱性
というか、何ですかそのボリューム名(0dayWAREZ)は・・・・

最強の運賃計算ツール、mars.exe [swa.gr.jp]がいまだにDOSアプリです。
Windows 3.1 時代のエロゲとか。
なるほど納得・・・・

Windowsの脆弱性は32ビット版のみに影響、MSがアドバイザリー公開

私もチキンなので、速攻で倒しましたよ (at 64bit Win7)

----------
PPDF spreading fast
PoisonedPDFの拡散が激しくなっています。
「Operation Aurora」をエサにした標的型攻撃
だから、レポートとかをPDFで頒布するのはもうヤメましょうよ・・・
※じゃ何がいいんだ！？って言われると困るわけですが・・・

Targeted Email Examples Relating to Microsoft Internet Explorer 0-day CVE-2010-0249
MSも、せめて今回のパッチに Adobe Readerの脆弱性チェックくらいは入れてもよかったのでは・・・

Adobe Reader 9.3.0
どうしても 8.2 ぢゃないとイヤという駄々っ子へ
http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.2/jpn/AdbeRdr820_ja_JP.msi

----------
Mozilla release and update

Released:
Firefox 3.6

Updated:
Thunderbird 3.0.1
Thunderbird 3.0.1 で修正済み

管理者モードで起動しないと通知すら来ないのは問題ですね・・・

----------
穴ぼこっ

Rockwell Automation Allen-Bradley MicroLogix PLC に複数の脆弱性
PLC が設置されているネットワークにアクセス可能な第三者によって、PLC の設定を変更されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
2010年1月20日現在、対策方法はありません。
solution: PLC が設置されているネットワークへのアクセスを制限する

IBM Lotus Domino Buffer Overflow Vulnerability 3
Unpatched: Restrict network access to the LDAP service.

Cisco IOS XR SSH Denial of Service Vulnerability 2
update to fixed virsion:
Cisco Security Advisory: Cisco IOS XR Software SSH Denial of Service Vulnerability

----------
ガンブラー™

Symantec:
Gumblar Botnet Ramps Up Activity
だから、あなたのとこは、Gumblar.xとGumblar.8080(新種）のどっちの「ブロック」の話をしてるのか明確にしなさいってば
直近の日がハネあがってたので気になったけど・・・・
According to Wikipedia, sites become infected using passwords obtained from site admins. The host site will access a website via FTP and infect the website.
(Virusビヘイビアの）ソースをWikipediaに頼るのですか、そうですか・・・

TrendMicro:
SASFIS Fizzles in the Background
SASFIS variants usually be downloaded while visiting sites that have been compromised using the Eleonore Exploits Pack as a file named load.exe. Upon execution, these create temporary files and modify registry entries. They then attempt to send a GET request to a remote site to download another file usually named max.exe, which will again download another file named max_b.exe, a FAKEAV variant.
というマルウェアネットワークの一種で、アダルトサイトに埋め込まれている、Pay-Par-Installビジネスの一つの形式ってのとは、現行の"Gumblar.8080"（syszyd32.exeさん）とはちょっと違う気もするけど、SecurityToolの画面がどど～んと出てますしね。
複数のベクトルが絡み合って進行してるのかしらん？

どこまで吹かずに耐えられますか？
ガンブラー vs ウイルスセキュリティZERO
あっいつのまにっ
あたりでダメ・・・

命名「Gumblar.8080系」、でもってまた改竄コードが変化
なんということでしょう！
難読化をやめたとたん、ウイルス対策ソフトは検出できなくなってしまいましたｗ

そして、なんということでしょう！
「/*handle exception*/」→「/*Exception*/」

また難読化です。orz
いいように弄ばれています。

まず殴られる、そして相手が殴る、そしてまた殴られる

----------
落穂

オンラインゲームをかたるフィッシング出現、ファンサイトから誘導

Aurora攻撃で株を上げるセキュリティベンダー

Web users still don’t select good passwords
Consumer Password Worst Practices
Rank:1 290,731 user loved -- "123456"

Blackhole DNS Update - rogues, trojans, fastflux domains
rogues, trojans, zbot domains and more to add to your malware blocklist of malware sinkhole:
なんか、nikkei とか mainichi とかあるとおもったら、全部 Gumblar.8080 の ru ドメインでした・・・
※コロコロ変わるので、これは塞いでも意味がありません。

Nmap 5.20 Released

----------
Gumblar.8080
91.121.1.99 AS16276(OVH Paris) *NEW IP
91.121.167.41 AS16276(OVH Paris) *NEW IP
91.121.24.139 AS16276(OVH Paris)
91.121.79.191 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
これまで無かった OVH 管轄が２つと、WorldStreamが戻ってきました。

----------
Google Safe Browsing
| 1264104014 | B | [goog-black-hash 1.49315 update]
| 1264104001 | M | [goog-malware-hash 1.18802 update]
| 296800 | -855(297655)
| 1266907 |
EoF

ライバルが手を結ぶ日
慶応2年1月21日（旧暦。新暦では1866年3月7日）、坂本竜馬らの仲介により長州藩と薩摩藩が薩長同盟を結んだ。
料理番組の日
1937年のこの日、BBCが世界初の料理番組「夕べの料理」を開始したことにちなむ。
と、なってますけど、英語版wikipediaにすら項目がないほど不明な番組・・・(refer: 世界初の料理番組とされるイギリスＢＢＣの「夕べの料理」･･･その番組の詳しい内容・写真資料などに関する情報を探しています。
日本テレビ系全国ネットで「キユーピー3分クッキング」放送開始。
聖アグネスの祝日 (304年)

----------
ソバ屋遅延
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺です。
「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている脆弱性に対応する更新プログラムを2010/1/22にリリースします。
余裕が消し飛んだ様子・・・

Advance Notification for Out-of-Band Bulletin Release
We will be releasing MS10-002 tomorrow, January 21st, 2010. We are planning to release the update as close to 10:00 a.m. PST (UTC -8) as possible.
01/21/10AM PST => 01/22/3AM JSTということで、明日までお待ちください。

これを書いている時点(AM7 JST)ではまだ日本版の更新がありませんが、本家ではアドバイザリ979352にいくつかの修正が入っています。
Data Execution Prevention (DEP) Bypass
The DEP bypass exploit is not, at this time, publicly available and we have not seen it used in attacks.
ASLRで防護されてるから、Vista上では動作してないはず！

Microsoft E-Mail Products That Render using mshtml.dll Protected by Default
There have been reports that supported versions of Outlook, Outlook Express and Windows Live Mail are affected by the vulnerability in Security Advisory 979352.
IEだけじゃなくて、Outlook、Outlook Express そして Windows Live Mailもこの脆弱性をうける・・っと

Other products may also use the HTML rendering engine for Internet Explorer and could expose this vulnerability.Trident系のエンジン使用の製品にも影響があることを初めて認めましたとさ～

Office Applications with Active Scripting Enabled Potentially Vulnerable
We are also aware that the vulnerability can be exploited by including an ActiveX control in a Microsoft Access, Word, Excel, or PowerPoint file. Customers would have to open a malicious file to be at risk of exploitation.
をぃをぃをぃ・・・・

STAY TUNED Microsoft Update !

続くらしい
----------
DEP回避
Reports of DEP being bypassed
Yesterday we heard reports of a commercially available exploit that bypasses DEP. This exploit was made available to a limited number of major security vendors (Antivirus, IDS, and IPS vendors) and government CERT agencies. We wanted to use this opportunity to give an overview of current customer risk related to this DEP bypass.

その、limited number of major security vendorsといわれた Vupenですが
Internet Explorer 0-Day - DEP Does Not Prevent Exploitation
While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed reliable code execution with Internet Explorer 8 and permanent DEP enabled.
Enabling DEP will only protect your systems from public exploits, however, disabling JavaScript is the only way to prevent DEP bypass attacks.
と、自信満々のご様子

他のセキュ会社の反応が鈍いので、もう少し様子見（明日のパッチで解消されるのかどうか）ですかね～

まだ続く
----------
実際の様子（シス管の人は見ないほうがいいかも）
冷や汗出ました

IEのポインタ参照処理の脆弱性（CVE-2010-0249）に関する検証レポート
うひ～
完全にリモートログインされてるぢゃありませんか・・
このリバースパーサ・デーモンの出所はいったい！？

IEのポインタ参照処理の脆弱性（CVE-2010-0249）検証メモ
検証では、脆弱性の存在するターゲットPC（Windows XP SP2 & IE 6）で細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。

今後、Gumbelr亜種が、この脆弱性を利用しはじめたりなんかして昨今のGumbler騒ぎに拍車がかからないことを祈っております。
# Gumber騒ぎは個人的にち食傷気味だったりするんですよね。
たぶんわざと・・・typoがあるのはともかく、本気でそう願います。

これは確かにIE/OutLook系の全面使用禁止を打ち出されてもしょうがないですね。

とどめ・・
----------
ぎゃ～す
不特定多数を対象としたMicrosoft Internet Explorerのゼロデイ脆弱性を狙う攻撃【Tokyo SOC Report】
先日、マイクロソフトより公開されたInternet Explorerの新たな脆弱性(*1)を狙う攻撃が不特定多数を対象に行われていることを確認しました。この攻撃は、Webサイト経由で行われています。以下は、攻撃元URLの例です。
ちょっとまった・ちょっとまった・ちょっとまった
1iegoogle.22sys22・cn/pz/au.htm
2iegoogle.22sys22・cn/pz/au.htm
3iegoogle.22sys22・cn/pz/au.htm

IE6使用中のところは、今すぐにでも使用を中止すべきです。
Revisiting the Internet Explorer Security Bug
I had just finished opening an account at the local bank late last week when I happened to catch a glimpse of the bank manager’s computer screen: He had about 20 Web browser windows open, and it was hard to ignore the fact that he was using Internet Explorer 6 to surf the Web.
For more than a second I paused, and considered asking for my deposit back.
うはははは

Govt issues IE security warning
オーストラリア政府も

え？まだあるの？
----------
そしてFirefoxへようこそ
German government IE warning leads to spike in Firefox downloads
People in Germany Are Switching Browsers
Operaかと思ってたけど、やっぱり Firefoxなんですね～

Firefoxを導入したら No-script, Firebug, IE_tab あたりは必須でしょうか？
他にもなにかあったら教えてください。
※NoScriptは必ず IFRAMEを禁止にしてください。

Firefox 3.6のリリースは日本時間の1月22日2:00AMを予定
Comming Soon

----------
一方・・16bit(Win3.1)アプリも
こっちはさっさと斬ってしまっていいと思うんですが・・
Windows hole discovered after 17 years - Update
The problem is caused by flaws in the Virtual DOS Machine (VDM) introduced in 1993 to support 16-bit applications (real mode applications for 8086). VDM is based on the Virtual 8086 Mode (VM86) in 80386 processors and, among other things, intercepts hardware routines such as BIOS calls.

XPの場合： 以下をエディタで開いて"vdmdisallow.reg"として保存
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001
into a file called vdmdisallow.reg and double click the file. Windows will then automatically import the key (admin rights are required to perform this action).

Microsoft investigates 17-year-old Windows flaw

Windowsに新たな未修正の脆弱性、回避策の利用を

----------
しょっくうぇーぶ
Shockwaveってまだ必要なんですか？ほんとに（苦笑）
Security update available for Shockwave Player
Adobe recommends Shockwave Player users uninstall Shockwave version 11.5.2.602 and earlier on their systems, restart their systems, and install Shockwave version 11.5.6.606, available here: Get Shockwave.

Adobe Shockwave Player 3D Model Parsing Eight Vulnerabilities 4
８ですか・・
Security Bulletin - Adobe Shockwave Player
Adobe Releases Shockwave Player Update
Adobe fixes critical holes in Shockwave
Critical flaws haunt Adobe Shockwave Player

----------
Zero-DayのApple
もう一方のZERO-DAYの雄（笑）
セキュリティアップデート 2010-001 について
なんか、知らないのまで増えてるし・・

Apple Releases Security Update 2010-001
アップル、Mac OS X用「セキュリティアップデート2010-001」を公開
Apple Mac OS X Security Update Fixes Multiple Vulnerabilities 4
Apple Security Update 2010-001
Mac OS Xにパッチ、12件の重大なセキュリティホールを修正
Apple releases Security Update for Mac OS X

----------
まだまだっ（A PIT)

RealPlayer Multiple Vulnerabilities 4
またですか・・
Update to the latest version.

BIND 9 の DNSSEC 検証コードに脆弱性
遠隔の第三者によって、不正な NXDOMAIN レコードをキャッシュに追加される可能性があります。
BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses
ISC BIND DNSSEC CNAME / DNAME and NXDOMAIN Cache Poisoning Vulnerabilities 2

Pidgin MSN <= 2.6.4 File Download Vulnerability
Fixed in Pidgin 2.6.5 Update to the latest version.

----------
LGPL?
/*LGPL*/ infected files Clean-up/removal script
アンタノトコが ガンブラー™を主張したんだから最後まで責任取りなさいよね～
用語混乱させた責任は重いぞ～（笑）

というか、こんな怪しげな(hosted : possible.in) Script Cleanerなんか誰がつかうっていうんだか・・
堂々と Symantecの中にホストしなさいよ～
※出所不明の実行ファイルをダウンロードしてはいけません。

だいたい・・Scriptだけ削除してそれで再開できるほど甘いマルウェアじゃないことくらいそろそろ判ってるはず・・・
だけど、本気でわかってないのかしらん？
（まだCVE-2009-4324関連シグネチャはBloodHoundの状態）

LACさんも余裕ありげだけど・・
新春早々の「Gumblar一問一答」
JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。
ふ～ん
WAFで止めることはできますか？
NO!
ふ～ん

Tripwireを導入する
Tripwireによるホスト型IDSの構築
こっちのほうが役にたつかもですね～（重いけど）

しかし、セキュ会社がこれじゃ、今後が思い遣られますね・・・(嘆息）

微妙に続く
----------
失敗
「安全なウェブサイトの作り方　改訂第4版」を公開
～ ウェブアプリケーションに脆弱性を作り込んでしまった「失敗例」を拡充 ～

また新たに、WAF（Web Application Firewall）(*9)の活用に関して、WAFの動作原理、WAFの使用が有効な状況、導入検討における留意点を第2章に追記しました。
上で思いっきり否定されてますが・・・

----------
その他
時間切れですよ・・

iPhish - fake iPhone warranty steals info

Yahoo!フィッシング～容疑者グループ逮捕で偽サイト激減、今後の注意点は？

Operation Aurora (Deep Insight):
CVE-2010-0249 in the wild - xx222.8866.org and others – part 0 -- extraexploit

OpenLDAPからActive Directoryへ移行せよ――（1）
Active Directoryなら管理作業が楽になる！
！？

Using Curl to Retrieve Malicious Websites
cURL as cURL
Curlかと思ったのは内緒

----------
睡魔
ガンブラー vs 睡魔
ちなみに今日、とあるホームページを管理している係の人と話す事があったので
「最近こういうウイルスが流行ってるので～」
と忠告しといたんですが
「へー」と「ふーん」と「ほー」と「あ、そうなんですか」という返事しか返ってきませんでした。

ああ・・でじゃぶ・・

----------
8080
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
82.98.231.25 AS8455(ATOM86)
おかえりなさい > ATOM86

----------
Google Safe Browsing
| 1264017622 | B | [goog-black-hash 1.49243 update]
| 1264017607 | M | [goog-malware-hash 1.18778 update]
| 297655 | -268(297923) 減ってる減ってる・・
| 1264174 |
EoF

[ATTENTION]
Security Advisory 979352 – Going out of Band
We will provide the specific timing of the release tomorrow.
*clap* *clap* *clap*


致命的な障害をほぼ１ヶ月放置した某泥の会社にも見習って欲しいですね


Based on our comprehensive monitoring of the threat landscape we continue to see very limited, and in some cases, targeted attacks. To date, the only successful attacks that we are aware of have been against Internet Explorer 6.
これもまた、実際のトコでしょう。広範に出回っているDrive by download（ガンブラー™ ©Symantec）に悪用されている形跡もいまのところなく、スピア型攻撃としては非常にタイトな印象を受けます。
MS to issue emergency patch for potent IE vuln
Microsoft confirms plan to release out-of-band IE update

----------
二十日正月
玉の輿の日
1905年のこの日、アメリカの実業家J・P・モルガンの甥のジョージ・モルガンが祇園の芸妓・お雪と結婚した。お雪は「日本のシンデレラ」と呼ばれたが、その人生は平坦なものではなかった。
海外団体旅行の日
1965(昭和40)年、日本航空が海外団体旅行「ジャルパック」を発売し、海外団体旅行がブームとなった。

----------
さて・・ソバの出前は出たわけですが・・
インジェクション

Additional information about DEP and the Internet Explorer 0day vulnerability
このDEPというキーワードが非常にわかりにくく、一般の人に 「DEP ONにしてね」といっても「？？」で終わってしまうでしょう。

特にハードウェアNX（ハードDEP)を持たないプロセッサでいくらソフトウェアDEPをONにしたところで、効果は薄く、今回のような heap spray攻撃にはあまり役に立たないと考えられています。
古いPCを古いOSで古いブラウザのまま使用している環境が危険なのは今に始まったことではないわけで・・・
車検ではありませんが、古いPC/OSを使い続けるリスクをどこかが（IPA?)説かない限り、こうしたインシデントが繰り返されるでしょう。また、古い端末を「(WAN外部に)接続させないから安全」とタカをくくっていると、Conficker wormに内側から侵蝕された惨劇の記憶はまだ風化していないはずです。


結論
だから Windows7 を安くしてね（ちょっと違）


オフィス用途で Web Browserと Officeだけ動けばいいのでしたら、 Linux + OpenOffice 環境も視野にいれてみてはいかがでしょうか？（難しいカナ、やっぱり）
参考（技術検証）
New Internet Explorer 0-day Vulnerability and Targeted Attacks
The Trojan.Hydraq Incident
This PDF installed a Trojan horse which was an earlier version of the current Trojan.Hydraq.
IE Zero-Dayがメインベクトルじゃなかったって？
In addition to this, we know that one of the components of this Trojan is based on the code of VNC (Virtual Network Computing, an open source remote desktop access application) and this component has the ability to stream a live feed of a desktop to a remote computer. This means the remote attacker has the ability to see in real time any user interface activity as if they were sitting right next to the user.
Google(CN)って、VNC(もどき）をインストールされて Outgoing 監視にひっかからなかったのか！？
ザルですか？　そうですか
An Insight into the Aurora Communication Protocol
As you can see this attack involved very advanced methods with several pieces of malware working in concert to give the attackers full control of the infected system, at the same time it attempts to disguise itself as a common connection to a secure website. This way the attackers were able to covertly gather all the information they wanted without being discovered.
バックドアってレベルじゃないんですが・・（苦笑）

なんか、聞けば聞くほど、ほんとにコレが Google を含む３０数社のセキュリティ・ポリシーを潜り抜けて発生したという事態そのものが信じられないんですけど・・・

ねぇ・・
Googleを狙った中国のサイバー攻撃、内部に協力者の可能性も

----------
DEPは有効になったけど・・？
Microsoft Internet Explorer Use-after-free Code Execution Exploit (MS 979352)
えと・・DEP回避されたらイミナイじゃないですか！？
Vupenは登録しないとPoC配布されないので、なんとも・・

Hole in Internet Explorer: Good news and bad news
Microsoft readies emergency IE patch to counter public exploits
1:45 PM Jan 18th -- dinodaizovi
And now my Aurora exploit works on IE7 on Vista as well as IE6, IE7 on XP. Remember kids, DEP is useless if the app doesn't opt in.

The IE saga continues, out-of-cycle patch coming soon
SANSの解析を待ちますか

----------
This is not a good month for Microsoft
追い討ちをかけるように
Priviledge escalation exploit
In a posting to a public mailing list, Tavis Ormandy disclosed a zero day privilege escalation vulnerability in the Windows kernel. All versions of Windows, starting with Windows NS 3.1 up to including Windows 7, are affected.

権限昇格系の問題ですね。
The vulnerability affects support for 16 bit applications. In most cases, it is safe to turn off support for 16 bit applications.
16bitアプリっていまどき何かありますっけ？（苦笑）

回避策：
XP Professionalでの グループ・ポリシーエディタによる 16ビットアプリ実行を防止する方法：
Windows XP Policy Demonstration

This is not a good month for Microsoft.
1/13頃までは、実に優雅な１月（のようなふり）でしたよ？
2010年1月13日のセキュリティ情報 (月例)

----------
いまごろ
ガンブラー™(© Symantec) の登場によってワケワカメになってる最近のDrive by Download 事情ですが、
Inside Gumblar: Looking for the trigger
こっちは Gumblar.x(© Kaspersky)の解析結果です。
Gumblar.xのほうは、C&CとInjectorが完全に停止しているので、壊れたスプリンクラーよろしく制御不能になって感染コードを撒き散らしている一部のInfectorを除けば、脅威度は低下しています。

そういえば、さまれぼのExcomp様より、妙な感染サイトの情報を頂いたのですが、これまできちんと「掃除」されていた感染コードが積み重なって延々と記述されている .js の存在が確認できました。これは「感染コードを書き込む」Injectorと、「古い感染コードを掃除する」Infector(Scavenger)が連動して機能していた証拠でもあります（Kasperskyの解析にもありましたネ）

一方、noooo_spam様の解析で、
ウェブ改ざんとsdra64.exe
多重感染させられているサイトに埋め込まれている別インジェクションの最終埋め込み先が、なんとなくZeuS系っぽい感じですね。
検体入手してないので断言は避けますが、直近の感染報告にはコレがありました。
Troj/Zbot-LK

steggba・com AS29182(ISPSYSTEM)
mangasit・com AS49544(INTERACTIVE3D)
あたりと同じなのかな～
今日のMDLに恐ろしい数が登録されています
search = iframe

いずれにせよ、ZeuS系のFast-Fluxコントローラは追うだけムダなのでやめました（苦笑）

----------
なんとなく怪しげな穴

Microsoft Windows Defender ActiveX Heap Overflow PoC
#tested on :[windows 7]
Verified no

Foxit Reader v3.1.4.1125 ActiveX Heap Overflow PoC
#tested on :[windows 7]
Verified no

OpenOffice ".slk" File Parsing Null Pointer Vulnerability
#Tested Vulnerable Versions:3.1.1 and 3.1.0
Verified YES
出所不明の怪しげな .slk ファイルに注意しましょう。

----------
ん？
ガンブラーから考える「一歩踏み込んだ」業務委託先のセキュリティ確保
しかし、今回のガンブラーはコンテンツ作成会社からウイルスをアップロードしてくるのです。これでは信用している人に裏切られたようなものです。

いつのまにか、ビヘイビアが変貌してるきがす・・・

感染源となってるのは、普段Macしか使ってないようなWeb制作会社が BootCampあたりにノーガードでXPを動かしてるケースが多々あるのではないか？と推測してるんですけどね～

----------
8080
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
85.184.10.80 AS8954(INTOUCH) Netherlands
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.211.226 AS16276(OVH Paris)
WORLDSTREAMとINTOUCHが初参戦。
INTOUCH(AS8954)は身奇麗（）なのですけどね・・

----------
Google Safe Browsing
| 1263931216 | B | [goog-black-hash 1.49171 update]
| 1263931203 | M | [goog-malware-hash 1.18754 update]
| 297923 | -1065(298988) 順調に漸減してってますが・・
| 1261793 |
EoF

2010.02.01 改修

知り合いから相談を受けたのでちょっと・・・

----------
FTP
File Transfer Protocol（ファイル・トランスファー・プロトコル、略称：FTP）
を知らない人はあまり居ないかもしれませんが、そのセキュア転送に関してはIT企業でも混乱している様子ですので・・・

----------
SFTP
SFTPは SSH File Transfer Protocolの略称で、実はFTPではありません。
例えば、SourceForgeには
Windows用SCP/SFTPクライアント「WinSCP」で安全なファイル転送
最近では、セキュリティ向上のためファイル転送にFTPではなく、SCPやSFTPを推奨しているサイトも多い。
と記述されていますが、ここに大きな陥穽が潜んでいます。

SSHを外部に開くということは、Windows リモートデスクトップを外部に開放するのと同じということを理解していますか？

SFTPは、要するに SSH -- Secure Shellの仕組みを使ったファイル転送であって、旧 rcpコマンドのセキュア版（別名 scp）です。Portは TCP/22を使用します。

逆に言えば、SFTP/SCPを使用したいということになれば、DMZからWANにPort22をピアスすることになり、これはSSH辞書攻撃などに晒されることになります。
もちろん、id_rsa/dsa の鍵＋パスフレーズをきちんと管理し、一般のshell modeを許可しない方法で開けるのであれば、セキュリティ的には問題がないレベルですが、往々にしてそうはなっていません。
※SCPの場合、認証鍵の作成の際に no-pty オプションを使用することにより、端末の割り当てを明示的に禁止することが可能・・・・かも
SSHD (8) -- AUTHORIZED_KEYS ファイルの形式(※注1)

また、SSHログインとFTPログインのユーザ情報(Credential)は同じになってしまうため、一部ユーザのためだけに FTP を許可したりすると、そこから SSHで侵入、完全に制御を奪われてしまうというケースが多々あるものと推測されています。

----------
SCPとSFTP 2010.02.01追記
SCP
　SSH1でシェルコマンドを使用する（しかない）
SFTP
　SSH2のサブシステムとして動作可能
SCPではシェルコマンドを必ず実行しなければならないため実際問題としてはセキュアではないかもしれません。
WinSCPはその名称で SCP しか対応していないと見られがちですが、そうでは無いことを併記しておきます。

参考：
WinSCP : サポートしている転送プロトコル -- 2004.11.03

----------
FTPS (FTP over SSL/TLS) (※TLSは以降省略します)
FTPSは、従来のFTPで送受信するデータを SSLで暗号化するプロトコルで、SSHを使用する SFTP や SCP とは全く別のものです。 制御通信は Port21を使用し、実際のデータ送受信は、複数のポートをランダムに使用する PASVモードが一般的です。

FTPSには更に２つのモードがあります。
Explicit
　サーバ接続時は非SSLで接続し、ハンドシェイクが完了した後SSL通信に移行
Implicit
　最初からクライアントがSSLハンドシェイクを要求する

一見、Implicitのほうがセキュアに思えますが、Implicitの場合は、基本的にサーバ側のプロトコルに完全合致した設定を理解できる FTPS クライアントが必須となります。またTCP/990や989 を使用することもあるため、環境に依存することが多く、大抵すんなりとは動きません。ExplicitでもAUTHハンドシェイク完了後のID/PASS応答はSSLとなるため、どうしてもサーバ情報を秘匿したい場合以外は問題ないと考えています。

尚、PASVでの動作が前提となる場合、PASV用のポートに対してもケアが必要になります（特にNAT越えの場合）
※PORTモード(データ転送 : Port 20) はあまりお奨めしません。

2010.02.01 追記
Explicitモードのことを「明示的なFTPS」と翻訳され、FTPESと表記されることもあります。
Implicitは「暗黙的なFTPS」と翻訳されています。
用語から受ける印象と実際の通信手順に若干のズレがある点に注意してください。
No.6432　explicit, implicitの違い
誤解されているのでしょうか？　implicitは、SSLでセッションを張るための仕組みなのでそれ以外有り得ず、選択の余地がありません。
以前はこの部分がネックとなっていたわけですが、逆説的表現を使えば、Port21を塞いでPort990のみを開け、明確にFTPoverSSLのみしか受け入れないほうが良いと考える向きもあるかもしれません。

----------
結論
いずれにせよ、現在FTP で何も考えずにデータ転送をしている環境が大きく変更されることは間違いありません。しかし、インシデントはたった１回で致命傷になります。

今回のGumblar、ガンブラー™の蔓延は、セキュリティを見直す又とないチャンスです。

これを他山の石とし、社内のセキュリティ・ポリシーを再度見直し、クライアントに対してFTP通信の危険性を説き、Web全体のセキュリティの向上を目指す一助になれば、これに勝る幸いはありません。

参考：
FTP, FTPS, SFTP -- 更新日：2005.05.07
FTPの暗号化の種類
FTPサーバ(vsftpd)の構築(RedHat系編)
Fedora/CentOS - FTPサーバの構築(vsFTPD)

※注1
ssh scp sftp の正しい自動実行方法
via:
_ ssh scp sftp の正しい自動実行方法
あと、これも時々目にする勘違いだけど、「no-pty」は仮想端末とれなくなるだけで、シェルが取れなくなるわけじゃないので、仮想端末取らないで「ssh remotehost '/bin/sh' < 悪のスクリプト」とかやるだけの話。
という感じで、実際にはカナリ頭痛のタネ系の問題が多いことも事実です。

------------------------------------------------------------
追記：
ah様より、
restricted shell for scp/sftpってのぢゃだめ？
と、教えていただきました。

ありがとうございます。

rsshは実は使ったことがなかったので、今回勉強のため VMに入れてみます。
特に chroot が可能なのは初めて知りましたので、うまくいけば FTPSよりも楽かもしれません。
が、
相談してきた人は、IIS だったことに気が付いたのは内緒にしておきます（爆）
※正確には、運用中のサーバの中に 2003/IISのものが混じってる

あと、
企業のセキュリティ・ポリシーとして 22番を外向きに開けるのはどうか？と思うぞ？
という意見も頂きました。
ま・・やっぱりそうですよね・・・

------------------------------------------------------------
rssh homepage(日本語訳)
RSSH.CONF
chrootpath

rsshによるセキュアなファイル転送

----------
個人的な結論 2010.02.01
個人的な意見としてですが・・・・

FTP(21)をファイアウォールルールから抹消したい人は
Implicit FTPS(990/989) を

普通のFTPSなら
Explicit FTPES(21)+PASV を
※LIST → NLST

22番ポートが開いてもかまわないなら
SFTP(22) を

使うのが良いのではないでしょうか？

EoF

禁酒の日
1920年1月16日にアメリカで禁酒法が施行された
籔入り
嫁に出た人や奉公人が一時的に暇を許され、生家に帰ることができた日。宿下がりとも言う。この日と7月16日。
初閻魔／閻魔賽日／十王詣 1年で最初の閻魔の縁日

----------

今日は IE-ZERO DAY で時間食ったので・・
[その他落穂]

----------
Adobe the tainted
Adobeの意味からレンガが外されて単なる「泥」になってしまってから相当立つわけですが、今回の一件はどうなってるんでしょうか？
Clearing some things up about Adobe

This led some folks (including me) to the conjecture that the attack involved the use of a malicious PDF file. I’ve seen examples where this group used malicious PDFs, but nobody provided an example of the PDF file used in THIS attack. Adobe’s (the company) ASSET security team released additional details yesterday where they assert that Adobe Acrobat Reader was not involved in the incident, that instead it was an IE vulnerability (detailed here).

今回の Google/Adobeその他への攻撃には PDFによる攻撃が含まれていたと考えていたわけですが・・・・
Dec.13 Adobe 0 day CVE-2009-4324 PDF attack of the Day (#2) Interview Request from fureer.angelica@gmail.com Sun, 13 Dec 2009 14:13:46 -- contagio
少なくとも昨年の12/13には既に、この攻撃の詳報が出されており、CVE-2009-4324が受理されたのはその翌日です。

ま、こまけぇこたぁいーんだよー ということにしておきますか

FireEyeによる、（いつもながら）詳細なレポートが出されていますので参照してみるのも良いでしょう。
PDF Obfuscation using getAnnots()
廃業宣言したはずの、MalwareToolkit "Neosploit" による、mebroot(aka Torpig)のインストールの様子。
MebrootはMBRに潜伏する最悪のrootkitで、ウチでも12/22に警戒を呼びかけていました。

----------
IE8にあげちゃだめ
：Cisco ASAユーザ
シスコ製品のSSL VPN機能とIE 8との互換性問題が明らかに
米国Cisco Systemsのセキュリティ・アプライアンス「Cisco ASA」がInternet Explorer（IE）8をサポートするのは、今年3月以降になる見通しだ。それまでASAユーザーは、SSL VPNでアクセス可能なアプリケーションが限定されることになる。

そうだ、 FirefoxとかOperaとかChromeとか使えば良いんだ（Win版Safariは却下の方向で）

いやまて！？われわれには w3m があるじゃないか！
W3M Homepage

----------
せみな
感染被害拡大！今話題のGumblar（ガンブラー）を徹底解説
逝行ってみたかった

微妙に続く
----------
感染してみたシリーズ
必見です。
8080(aka ガンブラー™）に実際に感染して調査を行っていらっしゃる方のページ：
いわゆるガンブラーに感染してみた４　「あ、感染した。」
syszyd32.exeのアイコン七変化がかなり笑えました。

・MS09-043　→　Microsoft Office Web Components → そもそも生贄PCにはoffice入ってない。
・MS09-002　→　Internet Exploreの脆弱性 → 該当する修正プログラムをアンインストールして試してみたけど感染しなかった。
手元でこそこそ解体したときは
CVE-2008-2463
Office Snapshot Viewer
[MS08-041] Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617)

CVE-2008-0015
[MS09-037] Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)
が入っていましたが・・・・

まぁ
こまけぇこたぁいーんだよー
に激しく同意しました（笑）

ガンブラー vs Spybot-S&D
撃沈（苦笑）

次回も期待しておこうっと

余談：
Wiresharkはログパースが大変なので・・次回から TCP Monitor Plus を入れてInbound/Outgoing のセッションを暴いて欲しいかな（笑）

追記：
KDDI、ウェブ改ざん検知システムでGumblarを検知可能に
ふぅん・・
　Gumblarにより挿入されるスクリプトのパターンは、現在確認されているだけでも約30パターンあるという。今後も増加が予想されることから引き続き改ざんの特徴を分析し、システムに反映していくとしている。
「ワシのガンブラー™は108パターンまであるぞ」って感じなんですかネ？

----------
Twitterbuilding・com
Twitterbuilding.com—Stealing Your Passwords One Tweet at a Time
twitterbuilding.com as AS21844 THEPLANET-AS2
うはは・・
防弾ホストはいつまでたっても変わりません

----------
あなぼっこ by HIRT
BGM:
チェックしておきたいぜい弱性情報＜2010.01.15＞
・Sendmail 8.14.4リリース（2009/12/31）
・シマンテックVeritas VRTSweb.exeにぜい弱性（2009/12/09）
・Windows環境のIndeoコーデック処理にぜい弱性（2009/12/09）
・米アドビ システムズFlash Media Serverのセキュリティ・アップデート（2009/12/18）
・PHPで開発された複数のWebサイト用プログラムにぜい弱性

----------
あなぼっこ : Add

Zeus Web Server Buffer Overflow Vulnerability 4
[NO patch] : Restrict network access to the affected application.
この会社のせいではないとはいえ、名前にも問題が・・

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)

----------
Google Safe Browsing
| 1263499205 | B | [goog-black-hash 1.48812 update]
| 1263499202 | M | [goog-malware-hash 1.18634 update]
| 302136 | -8309(310445) 大幅減少!!
| 1248751 |
EoF

[ATTENTION]
MacOS ユーザは Adobe Reader/Acrobat 9.3/8.2 の導入を見合わせるように

【重要】Acrobatのアップデータは充てないで
12日より公開しました最新のAcrobatのアップデータを充てると、Illustrator＆InDesignが起動できなくなる問題がわかりました。現在わかっている問題ですがMac（PowerPC&Intel両方）で発生、条件は以下のバージョンになります。

問題を起こすアップデータ：Acrobat8, 9＆AdobeReader8,9（8.2.0&9.3.0）

影響を受けるアプリ：Illustrator CS&CS2　InDesign CS&CS2

上記バージョンのアップデータを充てるとIllustratorが異常終了またはフリーズ、InDesignはシリアルの入力を求められ、入力しても無効と表示されるなど、アプリケーションとして使えなくなることが確認されました。
当初Acrobat9では問題ありませんとお伝えしておりましたが、同様に問題が発生するようです。
現在問題の調査をしている所です。まずはMac版のAcrobatのアップデータを充てないようにご案内させていただきます。
ご迷惑をお掛けして申し訳ございません。

*shrug*

というわけですので、MacOSで Reader/Acrobatを使用中の方は、少しアップデートを待つか、差し戻してください。

現在、この脆弱性攻撃による MacOS の被害は確認できません（PDF内部に内封されたペイロードも MacOS用実行型が存在した形跡は、現時点ではありません）。

repeat after me
DID YOU TEST?

recon様、情報ありがとうございました。

----------

(旧)成人の日 現行法では1/15になることはなくなった。
小正月 feat. なまはげ
上元 eat 小豆粥
ウィキペディアの日 2001年1月15日にウィキペディア英語版が発足 *clap* *clap* *clap*
いちごの日 [いち(1)ご(5)]
警視庁創設記念日 1874年、東京警視庁（現在の警視庁）が創設 川路利良
1943年、アメリカ国防総省庁舎ペンタゴンが完成。

----------
ハイチ地震の被災者の方にお見舞い申し上げます。
怖くなって、家屋内の転倒防止金具などの点検を行った今日この頃・・・
そして・・
Haitian Earthquake Disaster Email Scams and Search Engine Poisoning Campaigns
US-CERT would like to warn users of potential email scams and search engine poisoning campaigns that may circulate regarding the Haitian Earthquake disaster.
時事ネタに即食いつく行動力には呆れるばかり・・・

Rogue AV exploiting Haiti earthquake
KILL: scan-now24.com
Black Hat SEO Causing Malicious Search Results For Recent Haiti Earthquake
ハイチ地震：新たなローグがニュースを悪用
待て！　何だって？　「エフセキュア」？！？　惜しい…　我々は断じて、このマルウェアをサポートしていない。
（笑）

SunBeltは特集４連弾
Best advice on avoiding Haitian relief fraud
Dangerous web search: “haiti earthquake donate”
location-delamare・fr
80.74.71.70
www.sevencycles・com/?www.sevencycles.com/
www.parksoptical・com/index2
Haiti hazards: more dangerous web searches
SEO汚染キーワード
Hacked sites used to redirect to malcode
scan-now24.com (registered Dec. 28)

まぁ、どうしてもネットから寄付したいのでしたらこちらで・・・
Helping Haiti respond to the earthquakevia: Google Checkout 安全で便利な Google Checkout がお客様の ショッピングを お手伝いします。
Googleのやってないサービスって無いのか！？（オークションくらい？）

----------
Spamの根絶・・
現在の、ビル・ゲイツ氏は慈善活動（ビル&メリンダ・ゲイツ財団など）に勤しんでおられますが、
2003年から、ゲイツ氏が取り組み、２年以内にspamを根絶させると気負ったのは古い記憶でしょうか。
ビル・ゲイツ、「魔法のスパム解決法」を語る

もっとも、その当時はSNS経由のspamやら、botnetによる踏み台spamなどは考慮されていませんでしたが・・・・

Spam and Phishing Landscape: January 2010
スパムは10年間で8％から90％に、Symantecが動向報告
2000年から2009年にかけてのスパムメールの動向を振り返り、全電子メールに占めるスパムの割合は2000年には8％足らずだったのが、現在では90％近くを占めるようになったと報告した。

そろそろ smtp に変わる新しい手段の確立が必要なのでしょうが、まずは DNSSEC から固めないとダメなのでしょうね。

ちょっと続く
----------
cnドメインスパムの漸減
A Drop in .cn Spam
CNNICによるドメイン取得ルール変更による効果が出ているようです。

.cnドメイン「が」減っただけで根っこは一緒なんですがネ・・

This Week in Avalanche / Zbot / Zeus Bot: HSBC & eBay
最近は .pl .kr .eu あたりが流行のようです。

----------
SMB DoS demo
本当に静かな 1月の Microsoftですが、今回見送られた SMB脆弱性によるDoSのデモが公開されています。
Windows SMB Crash Video

----------
google-analytiics.com
注意喚起 LOG WATCH:
set+variable=cast(variable+as+varchar(8000))%2Bcast(char(060)
%2Bchar(115)%2Bchar(99)%2Bchar(114)%2Bchar(105)%2
google-analytiics.com -- s3cwatch
SQLインジェクションによる攻撃とされています。
The above script opens a popup window from “best-youtubevideo.com” domain, however it is redirected to “scanner-antivirusw1.com”. This leads to scareware that scares people to install the malware.(Result: 2/41 (4.88%))
またこのケースですね。
SQLインジェクションではない可能性もありますので気をつけましょう。

----------
cn vs ir
Iranian “Cyber Army” Strikes at China’s Search Engine Giant, Chinese Hackers Retaliate
As of now, it has been reported that some Chinese hackers have hacked several of Iran’s websites right after the Baidu attack happened, apparently in retaliation to the Baidu DNS compromise. Some comments circulating on Web discussions mentioned that Iranians are blaming the Chinese for interfering with their war with Israel, hence the attack on the Chinese site.
だから中国に喧嘩うっちゃいけないって言われたでしょう？（笑）

DNS攻撃の詳細：
Baidu.com the Latest Victim of Iranian CyberArmy
百度の停止はDNSレコードの不正変更が原因

----------
facebookのプライバシーとは？
実際には存在しないFacebookプライバシー
まぁ、言いたいことは判るんですが、いままで普通にシェアしてきたものが、特定リンクを知らなければ判らなくなったということに好意的に評価したほうがいいのではないでしょうかネ？
※Facebook使ったこと無いので何が問題なのかわかってないだけかもしれませんが、同様のことはGoogle Mapのプライベートマップや、GoogleDocsにも存在します。

----------
DarkMarketの運営者はピザの配達人
Pizza delivery man cops to life in DarkMarket

最大で懲役１０年っと

----------
あなぼっこ

Red Hat update for acroread 5
５！？ って・・あ、acroread か！？
Critical: acroread security and bug fix update
Critical: acroread security and bug fix update

Google SketchUp 3DS and SKP Processing Vulnerabilities 4
Update to version 7.1 Maintenance 2.

PoC:
Apple iTunes 8.1.x (daap) Buffer overflow remote exploit (CVE-2009-0950)

Winamp 5.05-5.13 .ini local stack buffer overflow poc

CVE-2010-0012: Transmission BitTorrent Directory Traversal
良い子はこんなもん使っちゃいけません・・・って最近 Linuxが BT配布になってるんですよね

----------
ENIGMail
GMAILがデフォルトで https にしたわけですが、果たして本当にその公開鍵認証が安全かどうかわからないジャン！という方は
Want really secure Gmail? Try GPG encryption
を試してみましょう。

----------
うぃきぺぢあんの更新求む
現在のGumblarは、ウィルス名称となっているようですが
ADOBE READERとACROBATの新版公開、「ガンブラー™」悪用の脆弱性を修正
ガンブラー™を使う攻撃では、攻撃者は正規のWebサイトに不正侵入。Webページを改ざんして、ウイルスを感染させるような罠（ガンブラー™）を仕込む。ユーザーがそのWebページにアクセスすると、ガンブラー™によって悪質サイトにリダイレクト（誘導）されて、別のウイルスがダウンロードされる。
もう、完全にメソッドの名前になってますね（笑）
そのうち、３段活用で「Gumbる」「Gumbられる」「Gumbりんぐ」とか発展するんでしょう（ないよ）

gumblar.biz、gumblar.jp（No match!!） はまだ空いてますよ！？
※取って何をしろと！？

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris) NEW
91.121.86.130 AS16276(OVH Paris) NEW
94.23.206.229 AS16276(OVH Paris)

----------
Google Safe Browsing
| 1263499205 | B | [goog-black-hash 1.48812 update]
| 1263499202 | M | [goog-malware-hash 1.18634 update]
| 310445 | -6824(317269) 大幅減少
| 1248751 |
EoF