« Previous Entries

2010.03.23 火曜日

Posted in security on 3 月 23rd, 2010 by gnome

世界気象デー(World Meteorological Day)
1950年に世界気象機関(WMO)が発足したことから、発足10周年を記念して1960年に制定。
パキスタン 共和制記念日
フリードリヒ・フォン・ハイエク 1992年没、享年92

----------
Vulnerabilities in WordPress #
注意喚起です
Vulnerabilities in WordPress
These are Brute Force and Insufficient Authorization vulnerabilities.
There is no protection from picking up of a password (from Brute Force attacks) in function of protecting pages/posts by a password.
ここで言われている、"At every page/post in WP it's possible to set a password" というのは、各ページに掛けるパスワード保護のことかな?
要するに、パスワード保護を掛けて幾つも「秘密の」記事をポストしている場合、1個のパスワードを通せば、cookieに保存された認証により、他の(恐らくは違う)パスワード保護記事も閲覧できてしまうというもの。

At every page/post in WP it's possible to set a password and these passwords can be equal. But function of accessing by a password writes global cookie, which works for the whole site. And so, after setting the password one time for one page/post, it's possible to see all protected pages/posts (with the same password, even without knowing that the password matches), because at a request to them the access will be granted automatically.

秘密な記事をいっぱい投稿しているサイトは注意しましょう(笑)
※BFAへの軽減策も無いので、延々と攻撃を受ける可能性・・・というか、ロシアの小学校に攻撃した人はヒマというか、よっぽどそこに重要なことが書かれていたのか・・(苦笑)

----------
ドイツでは3/30までFirefox禁止! #
Mozilla Firefox
ドイツ語読めない・・

German Government: Don't use Firefox
And it's worth bearing in mind - what are you going to do when your replacement browser itself turns out to contain a vulnerability? Are you going to switch yet again?
My advice is to only switch from Firefox if you really know what you are doing with the browser you're swapping to. If you stick with Firefox, apply the security update as soon as its available.
って言われましても・・
この脆弱性いったい全体何者なのか、まだまったく実像が見えてこないので・・・

Germany warns surfers against Firefox
The German government, which previously urged surfers to stay off IE in January for similar unpatched security bug reasons, has now taken a stand against Firefox.
これで残った選択肢は、帝國か、Safariか、いや・・欧州的にはOperaを使えってことなんでしょうか?

Security hole fixed in Firefox 3.6
Germany’s CERT warns against Firefox use

NoScriptのdeveloperはこんな発言をしていますので、JavaScript絡みなんでしょうね・・たぶん。
Firefox 3.6’s “0-Day” and You

微妙に続く
----------
Opera 10.51 #
Opera 10.51 addresses vulnerabilities


Opera 10.51 for Windows released
Opera 10.51 for Windows changelog
Opera 10.51 is a recommended security and stability upgrade. Opera highly recommends all users to upgrade to Opera 10.51 to take advantage of these improvements.

HTTP Content-Length header can be used to execute arbitrary code
The malformed Content-Length header Security Issue
XSLT can be used to retrieve random contents of unrelated documents
Operaはアドバイサリが非常に充実しているので好感が持てますね

Opera Buffer Overflow and Information Disclosure 4

使用中の方は、アップデートしましょう。
そして、勝手に「デフォルトのブラウザ」になってしまう・・・

2個前の記事からびみょうに続く
----------
Sophos! not spam me! #
Sophos - Stop Spamming Me and End Your SEO Campaign
Sophos - if you're listening - stop your comment spam campaign and end your SEO attacks. It's unprofessional.
UCCと同じようなことを・・(笑)

Sophos sorry for blog comment spam campaign
Comment Spam and SEO Campaign Apology
but by a worker at an external company hired by our marketing department.
言い訳としてはこんなもんでしょう・・

----------
予兆 #
春の兆しは来ていますが、こんな兆しは要りません
Koobface C&C servers steadily dropping - new spike coming soon?
漸減してはどっと増え、また漸減するというパターンマッチングによると、また増えそうというKasperskyの予想です(苦笑)

●Be cautious when opening links in suspicious messages, even if the sender is one of your trusted Facebook friends.
●Use an up-to-date, modern browser: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10 etc.
●Divulge as little personal information as possible. Do not give out your home address, telephone number or other private details.
●Keep your antivirus software updated to prevent new versions of malware from attacking your computer.
日本では Facebookユーザがあまり居ない様子ですが、Twitter経由には気をつけてください。

----------
DbD #
種の起源ではありませんが、「Webページを踏んだだけで感染する」という Drive by Downloadの起源は意外と古いというお話。
2001年8月に確認された「JS_FLUG.A」を調べてみる
ウィルスの歴史的な動向って、まとめたら書籍にできそうですね。
zlkon(gumblarの前身)が怖ろしかったのって何故だろうという話で、ちょこっと盛り上がりましたが、私的には「マルウェア作者の異常な勤勉さ」だったような気がします。そういう意味では、今の 8080/Gumblar.x も偏執狂めいた執拗さがキモチワルイ。

早く捕まえてくれないかなぁ?(他力本願)

----------
google.cn slawn #
A new approach to China: an update
So earlier today we stopped censoring our search services—Google Search, Google News, and Google Images—on Google.cn. Users visiting Google.cn are now being redirected to Google.com.hk, where we are offering uncensored search in simplified Chinese, specifically designed for users in mainland China and delivered via our servers in Hong Kong.
帝國は、.cnをあきらめ、非検閲の検索結果を .hk で流すってことで決着・・?
なんか、また物議を醸しそうですが・・はてさて?

Google posts page monitoring Chinese censorship
Google has put up a page that shows what Web services are currently being blocked by the Chinese government.
Mainland China service availability
こんな感じで検閲されてるんですね~

Google vs. China — Who's Got the Most To Lose?

----------
音声CAPTCHAも・・ #
Botnet pierces Microsoft Live through audio captchas
A new version of the bot causes infected PCs to pull down Live.com audio captchas and return the correct response within 10 seconds, according to a researcher at anti-virus firm Webroot. The attack allows the zombi machines to send email through accounts with a Live.com address, which are whitelisted by many spam filters.
そのうち、人間にも読めず、聞き取れず、なCAPTCHAになってしまいそうな予感・・

Pushu Variant Spams Hotmail, Cracks Audio Captchas

----------
Other #

Debian update for spamass-milter 4
Spam-assassin milter plug-in 脆弱性へのfixが入り始めました。

Victorinox offers hackers £100,000 challenge
Swiss Army Knife maker Victorinox is asking the best of Britain's hackers to try and beat the biometric security built into its latest USB Flash drive-fitted penknife.
If you manage it, you stand to win £100,000.

いわゆる Gumblar ウイルスの活動に注意
■今週のひとくちメモ

Phishers cast their nets at Neopets Users
Neopoints・tk
ネオペット (Neopets)
※2008年12月31日をもって日本語・イタリア語・韓国語の更新が休止された。
が、まだ子供たちへの英語教育ツールとして使用されているケースもありそうですので、気をつけてください。

Merogo SMS worm
these worms try to spread on Symbian Series 60 3rd Edition devices
日本ではあまり影響はなさそうですが・・

FAKEAV with LSP Routine
LSP chainを書き換えるもの・・修復がメンドイ・・

Malicious Medical Ads Flood Users’ Inboxes
バイアグラ、シアリスは、もういいです・・

Icelandic Volcano Erupts, Fake Antivirus Spews Forth
そして、時事SEO毒も・・もういいです。

Jimmy Wales、「コラムニストを首にしろ」とバカ気た発言(注意:本記事の中立性は保証の限りにあらず)
ジミー・ウェールズ:Wikipedia創始者の一人の発言に関して。

----------
8080 #
countASN登録更新
91.121.160.21759427 AS16276 03/12 19:40:1503/23 08:40:26
91.121.163.21535358 AS16276 03/12 18:10:1703/23 08:40:26
91.121.137.12432635 AS16276 03/17 23:50:2503/23 08:40:26
94.75.229.7232525 AS16265 03/18 01:10:2603/23 08:40:26
91.121.180.5522459 AS16276 03/13 01:10:1603/23 08:40:26
91.121.134.5815870 AS16276 03/16 10:40:2803/23 08:40:26
94.23.12.629528 AS16276 03/20 06:40:2603/23 08:40:26
94.23.13.658068 AS16276 03/16 22:10:2403/23 08:40:26
94.23.235.932526 AS16276 03/20 10:10:3203/23 08:40:26
94.23.246.1721670 AS16276 03/22 13:10:3203/23 08:40:26
91.121.64.21429086 AS16276 03/12 07:40:3003/23 08:00:39
91.121.121.2272473 AS16276 03/17 20:10:2103/23 08:00:39
91.121.8.731862 AS16276 03/22 06:10:2303/23 08:00:39
91.121.184.16726485 AS16276 03/12 17:40:1503/23 07:00:26
91.121.7.2678745 AS16276 02/20 05:50:3403/23 06:00:21
91.121.108.385762 AS16276 03/20 06:10:3603/23 06:00:21
91.121.85.17811105 AS16276 03/15 00:10:3403/23 05:40:22
91.121.24.13992346 AS16276 02/17 10:35:2003/23 03:00:21
91.121.113.1841253 AS16276 03/17 03:10:4103/22 22:00:20
62.75.218.19250335 AS8972 02/17 12:30:2703/22 19:10:25
91.121.147.1634894 AS16276 03/12 08:10:2703/22 19:10:25
85.197.78.2373 AS25220 03/17 06:10:3303/22 11:40:20
194.150.236.199795 AS44976 03/15 07:40:3803/22 08:40:21
188.165.192.1062451 AS16276 03/20 09:40:2803/22 06:10:23
91.121.108.53114691 AS16276 02/17 10:35:2003/22 03:40:22
94.23.231.1401029 AS16276 03/16 20:40:3403/21 09:10:23
91.204.116.1146217 AS44976 02/24 23:30:0703/21 04:40:33
213.251.133.1596154 AS16276 02/17 18:00:5003/20 15:40:29
93.89.80.1173062 AS39326 03/15 13:10:3103/20 09:10:33
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[64]IPs

.ru ドメイン取得の方法も .cn と同様に変更の予定
To fight scammers, Russia cracks down on .ru domain
がんばれロシア!
※そしてまた妙なTLDになるんでしょうが・・

----------
Google Safe Browsing #
| 1269298816 | B | [goog-black-hash 1.53645 update]
| 1269298802 | M | [goog-malware-hash 1.20237 update]
| 303171 | +1337(301834) + LEET !?
| 1519840 |
EoF

Leave A Comment »

2010.03.16 火曜日

Posted in security on 3 月 16th, 2010 by gnome

国立公園指定記念日
1934年、内務省が瀬戸内海・雲仙(現在の雲仙天草)・霧島(現在の霧島屋久)の3か所を国立公園に指定し、日本初の国立公園が誕生したことに由来。
財務の日 aka 「ざ(3)い(1)む(6)」
キリンレモンの販売が開始。(1928年)

----------
Spam Assassin exploit go wild #
Spamassassin Milter Plugin Remote Root Attack
SpamAssassin Milter Plugin 'mlfi_envrcpt()' Remote Arbitrary Command Injection Vulnerability
Currently we are not aware of any vendor-supplied patches.

Mitigation: There is a preliminary patch available at the SpamAssassin Milter Plugin project site, bug #29136: SpamAssassin Milter Plugin Input Validation Flaw Lets Remote Users Execute Arbitrary Code: SpamAssassin Milter Plugin - bug #29136, SpamAssassin Milter Plugin Input...
Alternatively, don't use the -x option when running this plugin, as well do not run it as root.

といわけで、Milter Plugin を使用している環境の方は、パッチを・・・Alpha パッチの導入が企業ポリシー的に難しい場合は -x オプションの使用を中止し、 root 権限で動作させないようにしてください。

SpamAssassin Milter Plugin Shell Command Injection 4

----------
IE ZERO DAY #
ZERO-DAYには3種類ありまして、
PoCが公開されていない「脆弱性があるよ~」状態
PoCが公開され、脆弱性攻撃の危険性のある状態
「既に攻撃が確認されている」状態
に分かれると考えています。今回のケースはその最悪のものですね・・・

マイクロソフト、IE 6とIE 7の脆弱性修正パッチをテスト中
「この問題に対処するためのセキュリティ・アップデートを、臨時にリリースすべきだという見方があることは承知している。しかし、今言えるのは、テスト中のアップデートを完成させるため懸命に作業をしているということだけだ」
Update on Security Advisory 981374
ということで、緊急パッチの可能性を否定しませんでした。
緊急、あるいは定例パッチに混ぜてしまうと、プリンタスプーラが動作しないといったクレーム対応に追われることになるでしょうから、MSとしても頭が痛いところでしょう。

しかし、1月のときといい今回といい、タイミングが悪いですね・・

Microsoft offers 'fix-it' workaround for IE zero-day
IEの脆弱性、臨時アップデートで対処の可能性も
Microsoft pushes temporary security fix to IE laggards
Shops and homes that can should immediately upgrade to IE 8. Those that can't should check out the temporary fixes, but don't say you weren't warned.
Simple workarounds for latest IE security vulnerability
Security experts have already demonstrated that it can be bypassed even for older IE exploits. It is therefore probable that an exploit adapted for DEP will be doing the rounds soon.
そういえば、IE5.5と7には影響しないという変なExploitも存在しましたね・・・
(注意:これはIE8 Bateの頃の話です。現在の IE8には影響しません)

微妙に続く
----------
もじばけっ! #
Non-English Text in Add or Remove Programs tool
英語版、Excel 2003, Excel 2002の一部ユーザが、MS10-017 を適用すると、コントロールパネルのソフトウェア一覧に表示される文字が中国語になってしまうという問題(笑)

中身は問題無いようですが、キニナル方は、一度 KB978471 もしくは KB978474 をアンインストールした後、修正されたKBに入れなおしてくださいとのこと・・・

どこで Q/A テストを行っているのかよくわかりますネ
日本語版での不具合は確認されていません。

Windowsの画面が中国語に――3月のMSパッチで一部に不具合
Re: Microsoft Patch Tuesday March 2010 MovieMaker patch errors

----------
Fake and Fake #
SEO, spam, 陥落Webサイト・・・様々なベクトルから「インストール」させようとします。
Pacquiao-Clottey Live Streams Lead to FAKEAV
March Madness madness
Mac OS X SMS ransomware - hype or real threat?
What do you think? Is Mac OS X ransomware a real threat, or a hype, with cybercriminals basically experimenting in the short term?
ハイチ、チリ地震に関連した募金

Vista以降でUACをONにしているのであれば、脆弱性を放置した環境でない限り「自分から進んでインストールに応じ」ないかぎり、こうしたマルウェアが自動的にインストールされることは無いはずです。

「偽ウイルス対策ソフト」流行に注意~改ざんサイト経由での被害が多数
こうした被害にあわないためには、システムや使用しているソフトウェアを常に最新の状態にしておくことが重要かつ基本の予防策であることを忘れずに、こまめにパッチを適用するようにしたい。また、信頼できないサイトやメールは開かない、サイトの閲覧時などにプログラムのダウンロードや実行を警告するセキュリティの警告が表示されたらキャンセルするように、常に意識していただきたい。信頼できるウイルス対策ソフトを入れておくこともおすすめする。
今はまだ、日本語の偽セキュアプリが少ないですが、今後は増加してくる可能性がありますので注意が必要です。
※もっとも、本当に注意が必要な方への注意喚起がなかなか難しいわけですが・・・

‘Scareware’ Poses Danger to Consumers

----------
CVE-2010-0425 #
Apache HTTP Server Vulnerability Advisory for Adobe Flash Media Server Customers
あーっ!
Adobe is issuing this blog post as an advisory for customers of Adobe Flash Media Server 3.5.x (Windows only), which ships with version 2.2.9 of Apache HTTP Server:
盲点でした(苦笑)

Flash Media Server(Windows)を駆動中で、Apache 2.2.9 httpdエンジンを使用している場合、

To prevent the ISAPI module from loading, change the following line in the Flash Media Server Apache configuration at FMS_INSTALL_DIR/Apache2.2/conf/httpd.conf from
LoadModule isapi_module modules/mod_isapi.so
to
#LoadModule isapi_module modules/mod_isapi.so
と、mod_isapiを無効化してくださいとのこと。
どうしても isapi ドライバが必要な方は Apache 2.2.15 へアップデートしてください。

Apache HTTP Server "mod_isapi" and "mod_headers" Vulnerabilities 4

びみょに続く
----------
Adobe Targeted, WHY? #
「Adobe Reader」を狙う標的型攻撃が増加傾向に
別に今にはじまったことじゃないですけどね~
なぜ Adobe なのか?ということを Adobe と Microsoft はもう少し真剣に考えて欲しいものです。
※プリインストールされていることが多く、脆弱性が放置される率が圧倒的に高い(自動でアップデートされない)から。
Adobe yet again

McAfeeとAdobeの夢のコラボ・・かとおもいきや?
マカフィー、Adobe LiveCycle ES2 と連携した情報漏えい防止ソリューションを提供開始
本製品を通し、マカフィーとアドビ システムズ社は、情報漏えい防止(Data Loss Prevention、DLP)とエンタープライズデジタル著作権管理(Digital Rights Management、DRM)の統合ソリューションを共同で提供し、データ保護領域を社外へと拡大していきます。
想像とちょっと違った・・・

----------
school blackboard for security #
Teaching Some Security (II)
今回のはイマイチかな?(苦笑)

Lesseon-1
via : The Simpsons

----------
KoobFace #
Koobface Redirectors and Scareware Campaigns Now Hosted in Moldova

AS43558 (EVENTISMOBILE) : モルドバ共和国
43558 / AS43558 どちらもあまり出てきませんね~
今後、こうした東欧諸国のISPには注意が必要なのかもしれません。

今日付けの MDL は Koobface であふれ返っています。

----------
がんぷら~ #
ガンブラー攻撃、ピークは過ぎたがまだまだ警戒は必要 - ラック・新井氏
またもや国内で相次いだWeb改ざん

コメントはありません(笑)

----------
8080 #
countASN登録更新
91.121.160.21722603 AS16276 03/12 19:40:1503/16 08:50:25
91.121.163.21516029 AS16276 03/12 18:10:1703/16 08:50:25
82.98.193.21115837 AS8455 03/13 23:40:2303/16 08:50:25
91.121.184.16713729 AS16276 03/12 17:40:1503/16 08:50:25
85.17.137.93936 AS16265 03/16 05:40:3403/16 08:50:25
91.121.7.2673358 AS16276 02/20 05:50:3403/16 08:40:30
91.121.64.21415935 AS16276 03/12 07:40:3003/16 08:40:30
91.121.108.5399952 AS16276 02/17 10:35:2003/16 07:40:38
91.121.85.1782588 AS16276 03/15 00:10:3403/16 06:40:34
91.121.180.559240 AS16276 03/13 01:10:1603/16 06:00:28
91.121.24.13990411 AS16276 02/17 10:35:2003/16 05:40:34
91.121.147.1634363 AS16276 03/12 08:10:2703/16 01:40:30
93.89.80.117833 AS39326 03/15 13:10:3103/15 23:40:41
194.150.236.199103 AS44976 03/15 07:40:3803/15 08:00:22
91.204.116.1145723 AS44976 02/24 23:30:0703/14 23:40:50
91.204.116.7942792 AS44976 02/20 04:50:5903/13 15:00:28
188.40.118.683683 AS24940 02/17 10:35:2003/13 09:00:27
188.40.58.14592 AS24940 03/13 08:50:2903/13 09:00:27
95.154.237.24992 AS29131 03/13 08:50:2903/13 09:00:27
89.149.226.132526 AS28753 03/13 01:10:1603/13 06:40:15
62.75.218.19249920 AS8972 02/17 12:30:2703/13 05:40:15
78.41.156.23613333 AS6908 02/18 20:00:4303/12 08:00:24
84.200.227.1447228 AS31400 02/17 12:30:2703/12 06:40:27
87.106.247.1933381 AS8560 02/17 19:40:5003/12 05:00:33
213.251.133.1595967 AS16276 02/17 18:00:5003/12 02:40:55
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 7日経過:[51]IPs

ちょこちょこ陥落サーバが増えているということは、攻撃の手を緩める気が無いということなのでしょう。
LeaseWebって文字が見えるのはきっとキノセイ・・

----------
Google Safe Browsing #
| 1268683233 | B | [goog-black-hash 1.53132 update]
| 1268683202 | M | [goog-malware-hash 1.20068 update]
| 308988 | -896(309884) 微減
| 1491179 |
EoF

Leave A Comment »

2010.03.12 金曜日

Posted in security on 3 月 12th, 2010 by gnome

半ドンの日
1876年、官公庁で日曜日を休日・土曜日を半休(半ドン)とする太政官布告が実施された。週休二日制の採用で、「半ドン」という言葉自体、死語化しつつある。
モーリシャス 独立記念日 1968年サイフの日 「さ(3)い(1)ふ(2)」
スイーツの日 「ス(3)イ(1)ーツ(2)」 also?:(笑)
モスの日 not モス

----------
ゼロデイ情報は秘匿されるべきか? #
When too much is not enough too much.
McAfeeのblogで、URIの全情報とそのステップが公表されたことで、Exploitコードの拡散を招いたのではないか?というお話。

It seems pretty reasonable to list that information in a blog post, right? Surely someone writing IDS signatures would find the URL used by the malware useful, and other anti-virus researchers might gain benefit from knowing the file names associated with the attack.

My suggestion for researchers writing about live threats is simple. If the domain(s) hosting un-patched exploits are still active, don’t post the URL or filenames associated with the exploit: frequently Google will happily locate the page for you.
は、完全に二律背反する話で、非常にデリケートな部分でもあります。今回はSecuniaSANSも蚊帳の外に置かれていた様子ですので、McAfeeとMicrosoftはよほど仲がいいのかもしれませんね。

ともあれ、既にMetasploit にモジュール登録されていますので、別のマルウェア作者が近日中にこの脆弱性を「利用」してくる事態は避けられないと思われます。

IE6/7をどうしても使用しなければならない方は、対策を講じる必要がありそうです。

IE -- FFXI(仮)
「女子自衛官の写真冊」。写真冊とは写真集のことのようです(標的型ということで、実際はメールが主力と思われます)。
もし 20100305rss.htmというファイル名が日時だとすればこちらのほうが早かったことになります。
もし防衛省や自衛隊を狙ったのだとすればAurora作戦の一環でしょうか。
2chのスレッドにも貼られていた様子です。
そういえば、IE6/7のTridentを使用しているブラウザも同じ脆弱性攻撃を受ける可能性があるのではないでしょうか?

Researcher publishes exploit for new IE hole
He was able to create the exploit code after figuring out where an existing exploit was in the wild, based on information in a McAfee blog post, he told Ryan Naraine of the Zero Day blog at CNET sister site ZDNet. It took him about 10 minutes to de-obfuscate the exploit and pinpoint the vulnerability, he said.
イスラエルの研究家はMcAfeeのblogを見て、10分でPoCが出来たと言及しています。

Zero-Day Attack on IE6 – JS.Sykipot Doesn’t Spare Retired Software
"retired"ですか・・
Internet Explorer 6 may have taken its path to retirement but it still remains a good target for exploits, as we can see from JS.Sykipot. This zero-day was found on March 8th and it exploits a vulnerability in some Internet Explorer versions (CVE-2010-0806 , BID 38615) that can lead to remote code execution. Upon successful exploitation, JS.Sykipot will download and run Backdoor.Sykipot, which is a back door capable of communicating with its control server to receive and run several commands.
相変わらずsymantec は自分のシグネチャを主張しますね。ポリシー的なものでしょうか?(苦笑)
So, seeing as IE6 is no longer supported by Microsoft, it is time to update your browser to a newer version or to use a different one.
さっさとに入ってほしいものです・・・

Demonstrating the Latest IE 0-day Vulnerability

Exploit for new IE hole
At the recent RSA conference, the creator of Metasploit, H.D. Moore, accused software vendors of only responding fast once an exploit is in circulation – it will be interesting to see if he's right again.
きたきた~

----------
Safari 4.0.5 #

About the security content of Safari 4.0.5
あ・・相変わらず山のようなCVE・・・

CVE-2009-2285
LZWDecodeCompat function in libtiff 3.8.2

CVE-2010-0205
解凍爆弾とよばれた The png_decompress_chunk function in pngrutil.c in libpngは入っていないようですが・・・影響ないのかな?

----------
Who res'ed? #
One-third of orphaned Zeus botnets find way home
Troyak の遮断により多数のZeuS C&C がテイクダウンされた・・・と思いきや結局は元にもどってしまいました。
Cyber security's short-lived victory
*sigh*

----------
Koobfaceもサーバ移動 #
Koobface gang refresh botnet to beat takedown
Twitter scourge changes pants
英国人的センスなの?・・・

Command and Control servers associated with the infamous Koobface worms have gone through a complete refresh over the last fortnight. Russian net security firm Kaspersky Lab reckons the change up might be aimed at making takedown efforts by cybercrime fighters more difficult.
一連のBot掃討作戦を受け、先手を打ってC&C などの悪意サーバの移転を図っているようです。
「逃がすかっ!」って意気込みでやってほしいのですけどね~

Koobface Worm Doubles C&C Servers in 48 Hours

関連:
New Twitter Feature Looks For Malicious URLs
ツイッター、フィッシング遮断サービスを提供開始
Twitterが提供する新しいサービスのなかには、短縮URLを可能にするツールがある。これはほかのユーザーから送付される通知メールやダイレクト・メッセージに含まれるURLを、「twt.tl」という短いリダイレクトURLに変換するというものだ。

関連注意?
212.175.173.88 via MDL search:Facebook
AS9121

Malicious Web Attack Using Executable With facebook.com in Name

----------
go JAIL! #
Allaple Virus Author Sentenced
Allapleウイルスの作者に判決
エストニアのウイルス・ライターが、エストニアのハリュで実刑判決を受けた。
Allapleウイルス・ファミリの作者、44歳のArtur Boiko氏は無罪を主張した。
とは言え、彼は有罪であるとされ、2年7カ月の懲役を言い渡された。
YES
なんか、「個人的な復讐のためにWORM作ったら蔓延しちゃったよ(てへっ)」って感じなんでしょうか?

Allaple worm -- 2007-03-14

----------
go JAIL! 2 #
PKK Hackers Arrested in Turkey
こっちは政治色強そうなので突っ込みはやめておきます・・・

----------
Bot involved Skype #
Cert write up on Skype IMBot Logic and Functionality.
SkypeやICQ(ふるっ!)のようなIMを使った新しい手法が、cert.at(オーストリア)から発表されたそうで・・・なんか面白(失礼)そうです。
This is a fairly new vector. I have seen other IM based malware using skype IM so it’s not brand new but not too common yet either. The malware detects many Reverse Engineering applications and attempts to make the system unbootable if any type of RE is detected. It uses a new (novel) method to hide its processes/files. It scans local networks for 445 probably to exploit one of the many Microsoft vulnerabilities that can be exploited via that service. It uses "conficker like" encryption. It had logic to "infect" usb drives.
うは・・それWormじゃないですか?

An Analysis of the Skype IMBot Logic and Functionality

更に FakeAVへの誘導も行われているようです。
Interesting SKYPE SPIM.

コンタクトリストに無いユーザからのメッセージは「受け取らない」ことが重要です。

----------
PITs #

ispCP Omega "net2ftp_globals[application_skinsdir]" File Inclusion 4
Successful exploitation requires that "register_globals" is enabled.
またか・・

Skype URI Handling "/Datapath" Vulnerability 3
Update to version 4.2.0.1.55 (v4.2 hotfix #1).

ViewVC Query View Cross-Site Scripting Vulnerabilities 2
Update to version 1.0.10 and 1.1.4.

----------
Other #

A new setting file for the .....
爆弾付きmailも最近増えてますね・・・
settings.zip 25/42 (59.52%)
2010.03.11 19:01:53 (UTC)

ネット上で健康食品の虚偽・誇大表示~消費者庁が320業者に指導

Cryptanalysis of the Sasfis Registry Key
Sasfis (Botnet/Trojan)の暗号化解析

Is that a bot in your pocket? Or does it just look like one?
"MOBOTS" SmartPhone Bot のテスト結果

PayPal restores Cryptome for real
"Your Account Access is Fully Restored"

Most malicious websites are hosted in the US
今に始まったことでは・・・

Foxit Reader 3.2
リリースノートはどこ?

Consoles for old games come with new malcode
PlayStation Malware

読み物:
Top 25 Series

----------
Crash at ..? #
Secret Obsession: Odd Windows Crash Alerts
笑っちゃいけないんでしょうが・・・

Bill Gates, Windows 98, Blue Screen of Death

----------
8080 #
countASN登録更新
91.121.24.13985321 AS16276 02/17 10:35:2003/12 09:10:16
91.121.108.5383320 AS16276 02/17 10:35:2003/12 09:10:16
91.121.7.2664732 AS16276 02/20 05:50:3403/12 09:10:16
91.121.64.214459 AS16276 03/12 07:40:3003/12 09:10:16
91.121.147.163322 AS16276 03/12 08:10:2703/12 09:10:16
91.204.116.7940762 AS44976 02/20 04:50:5903/12 08:00:24
78.41.156.23613333 AS6908 02/18 20:00:4303/12 08:00:24
62.75.218.19249582 AS8972 02/17 12:30:2703/12 07:40:30
84.200.227.1447228 AS31400 02/17 12:30:2703/12 06:40:27
87.106.247.1933381 AS8560 02/17 19:40:5003/12 05:00:33
213.251.133.1595967 AS16276 02/17 18:00:5003/12 02:40:55
91.204.116.1145416 AS44976 02/24 23:30:0703/11 22:00:45
188.40.118.683591 AS24940 02/17 10:35:2003/09 06:10:24
86.58.190.93808 AS16095 02/26 10:50:0803/07 00:00:14
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 7日経過:[50]IPs

新IP 2個追加・・またおまえかっ!

----------
Google Safe Browsing #
| 1268337632 | B | [goog-black-hash 1.52843 update]
| 1268337603 | M | [goog-malware-hash 1.19972 update]
| 301120 | -1256(302376) 30万切り目前!
| 1465874 |

----------
明日は更新できない可能性があります。

EoF

2 Comments »

2010.02.03 恵方巻

Posted in security on 2 月 3rd, 2010 by gnome

slugは冗談ですので、本気にしないでね(苦笑)

節分
のり巻きの日
1987年、全国海苔貝類漁業協同組合連合会が制定
大岡越前の日
1717年2月3日に、大岡忠相南町奉行に就任した。
チューリップ・バブル崩壊。(1637)
オープンソース誕生の日 (1998)
History of the OSI
The 'open source' label was invented at a strategy session held on February 3rd, 1998 in Palo Alto, California

----------

今日は、大きな話は無いんですが、細かいのが沢山・・・

----------
C.I.A
C.I.Aサイバー・インテリジェント・エンジェルズ
presented by TBS, Microsoft and Yahoo

秘密組織“C.I.A”がネットの平和を守る!---TBSなど3社が情報セキュリティ啓発キャンペーン
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
小野寺さんは脱がないのかっ(笑)
サイバー・インテリジェント・エンジェルズ
ネットの安全特集2010春
インターネットと情報セキュリティの基礎知識

2月は情報セキュリティ月間です。
スルー力を発揮して、余計なことそれにしてもすごいコラボ・・・は言わないでおこう・・

----------
MASS Password Reset via Twitter
@safety
Got an email from us saying we've reset your password? A small # of accts seemed possibly affected offsite & we took a precautionary step.
ご注意―Twitter、フィッシング攻撃を受けたと認める
Twitter Mass Password Reset due to Phishing
フィッシングではなく本当にパスワード変更が行われています。
メールがやってきた方は、まずメールを破棄、以下のサイトからパスワードの変更を行ってください。
https://www.twitter.com

do not reuse the password, do not use a simple password scheme (like "twitterpassword" and "facebookpassword")
also don't "123456" and similar =) and of course not "password"

関連:
Most consumers reuse banking passwords
Online security firm Trusteer reports that 73 per cent of bank customers use their online account password to access at least one other, less sensitive website. Even worse, around half (47 per cent) use the same online banking username and password for other website logins.
Reused Login Credentials

----------

About the security content of iPhone OS 3.1.3 and iPhone OS 3.1.3 for iPod touch
Code execution holes in iPhone OS, iPod Touch
The most serious flaw could allow remote code execution if an iPhone/iPod Touch user opens audio and image files.

This iPhone/iPod Touch update is only available through iTunes and will not appear in the software update utility available in Mac and Windows systems.
iPod Touchは無償で受けられるのかな?

続く
----------
iPhone Certの脆弱性?
iPhones Vulnerable to New Remote Attack
ナナメ読みなのでアレですが、
Appleのroot CAが iPhone用とその他でIDが違うと、違う証明書発行元(CN)、違うシリアル番号なのに、KeyIDが同じっては、同一の証明書をIDだけ変えて使い回ししてるんじゃない?
という話かな?
即、リモートコード実行や、不正規なソフトの自動アップグレードにつながる性質のものでは無いようですが、何とも言えない脆弱性(?)ですね・・
"You can make any part of the phone not work. You definitely don't get to run code, but there's lots of nasty things you can do. You can make applications not work, make it so that you can't remove this config file," Miller said. "At the very least, you can make someone's day miserable."

ソース:匿名のpost
iPhone PKI handling flaws -- Cryptopath

微妙に続く
----------
Koobface thru MacOS
How the Koobface Gang Monetizes Mac OS X Traffic
MacOSからのアクセスだけを別の場所に飛ばすKoobfaceの新手法
MacOS系のウィルス・マルウェアはあまり聞かないですが、こういった形でアフィ踏み台になってる人は意外と多いのかも?

AS9394(CRNET-CHINA RAILWAY)
相変わらず、謎なBGP運用してるなァ・・

こっちはウクライナの(偽)デートサイト
62.90.136.237 AS1680(NV-ASN 013)

アクセスログにこういったのが残っていたら注意しましょう。

----------
Pushdo rampage continues
Pushdo Update
続いているようですね・・国内の感染ノードも存在するようですので、注意しましょう(どうやって!?)
※自自律系の中に 443を撃ちまくってるノードが無いか確認カナ

----------
Conficker
Manchester cops clobbered by Conficker
Greater Manchester Police's computer network has been infected by the infamous Conficker worm, leaving beat cops unable to run computer checks on suspected criminals and vehicles for the last three days.
やっぱりまだ居るんですね・・
天然痘とか、コレラみたいな印象ですが・・・

Conficker cause of Greater Manchester Police disconnection
Conficker virus hits Manchester Police computers

----------
イカ君
Squid update fixes DoS vulnerability
Squid DNS Packet Processing Denial of Service Vulnerability 2
Squid DNS Packet Processing Denial of Service Vulnerability 2
Update to Squid 3.0.STABLE22 or apply patch.

----------
WordPress
Wordpress injection attack and “affiliate ping-pong”
激しく既視感のあるインジェクションコードですね・・

WordPressの現行バージョンは 2.9.1 です
なのですよ! > ATWORDさん

----------

On the Trustworthiness of the AV Industry and AV Tests
で・・?(とか書くと、またあちこちで物議を醸すのカナ?

AMTSOに権限をもっと持たせろ!という点にだけは賛成!

----------
オンラインヘルプにご注意
Be careful on help files
Earlier variants of “Muster” drop encoded copies of main backdoor components in filenames with the extension “.hlp”. These “.hlp”files are later decrypted with Microsoft CryptAPI with hardcoded keys and executed by loaders.
“upgraderUI.exe”with the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch

----------
Zimuse
Password-Protected Word Document In W32.Zimuse
こないだの、チェコ語のパズルウィルスですね

----------
やばい!
Anatomy of a free Starbucks gift card scam
コーヒー狂な(私)人は、こーいうのに引っかかってしま・・・わないですよね(苦笑)
スタバだとちょっと開きそうだなとか思ったのは内緒

----------
P2P共有
年末年始のP2P(つづき)
減ってるのか、減ってないのか・・
喉元すぎれば・・とか言いますしね~

----------
ああ GreaseMonkey
Firefox出し抜かれる。Greasemonkeyの作者が、Chromeにネイティブサポートを追加
TechCrunchの見出しは相変わらず上手いナァ

----------
Flashホール?
Adobe Flash Security on Menu at Black Hat
抽象的なので、なんとも・・
「Adobeですから」、で終わってしまいそうな今日この頃・・

----------
もぐら叩きの果てに・・・
第13回 「脆弱性根絶なんてできっこない」と嘆く前に
私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場はなくなる」と考えていました。しかし、脆弱性検査はすっかり定着して、不況にもかかわらず、市場規模は縮小する気配がありません。
いま、一番儲かるとこですしね・・(嘆息)
※ムシられる側の愚痴です、ええ・・

関連?
名古屋市長が住基ネットの侵入実験を構想「今ならもっと面白い実験ができる」
「オープンソースの注意点」、オープンソースを利用する際はまず開発企業を調べろ?
私もわかりません・・

----------
ふむ~
ベネッセが中高生に「安心・安全に携帯電話を使う」ためのサービスを提供
ベネッセモバイル FREO

自ら決めたルールの中に、本当の自由はある
このコピーはちょっと感心しました。

----------
な・・なんじゃこりゃ
URGENT! Help needed w/ Virus
また新しいタイプですね・・・
デコードする時間がなかったのでこのまま・・

----------
AS47560
trojan Gozi?
search:47560
91.200.164.44 AS475601(VESTEH)
なんか IDSに引っかかってたらしいので、注意喚起です。

----------
8080
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
94.23.199.154 AS16276(OVH Paris)
*NEW(2010.02.02 23:00 +9 JST)
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

1個 NEW IP/ISP が発生・・・って NETZNERか・・

----------
Google Safe Browsing
| 1265140838 | B | [goog-black-hash 1.50178 update]
| 1265140802 | M | [goog-malware-hash 1.19084 update]
| 293522 | -1271(294793) なんとなく膠着状態・・
| 1302894 |
EoF

Leave A Comment »

2010.01.14 どんど焼き

Posted in security on 1 月 14th, 2010 by gnome

左義長、どんと、松焚祭(どんと祭
最近はダイオキシン問題で取りやめている事例もある。
主の割礼祭 正教会の祭
愛と希望と勇気の日
1959年、南極大陸で1年間置き去りにされたカラフト犬タロとジロの生存が確認される

----------

皆様、Adobe Reader 9.3.0 (or 8.2.0) へのアップデートは済まされたでしょうか?
Adobe Acrobat の購入者の方々もアップデートをお忘れなきようお願いします。

----------
Java JRE 6 update 18
Sun Java JRE 6 Update 18 Released
そのうち、Oracle Java になるんでしょうか・・・
This release contains fixes for 358 bugs. You can see the release notes for this version here. You can download the update here.

Note: "This feature release does not contain any new fixes for security vulnerabilities to its previous release, Java SE 6 Update 17. Users who have Java SE 6 Update 17 have the latest security fixes and do not need to upgrade to this release to be current on security fixes."

バグフィックス x 358 あるって言われてて、セキュリティの問題は無いので updateしなくていいですよ? というのもありえない話でして・・・・

Java SE ダウンロード : Java SE Runtime Environment JRE 6 Update 18
ぽちっと・・

----------
Goodbye China
政治が絡んだ問題には(怖いから)あんまり口を差し挟みたくないんですが・・・
A new approach to China
訳:
中国に対するあたらしい姿勢

Google、中国事業から撤退か - 大規模サイバー攻撃を報告
今回サイバー攻撃の情報を公開した理由についてGoogleは、「深刻なセキュリティ問題、そして人権問題が含まれているためだけではなく、この情報が"言論の自由"について世界規模でより大規模な論争を巻き起こす核になるからだ」と説明している。
なんかもう政治色でべっとりな印象なんですが・・

Google’s Threat Echoed Everywhere, Except China
もう献花されてるし・・(苦笑)

このへんは、読者の方々のリテラシー・ベクトルによって十人十色な判断がされる部分でしょう。

グーグル、中国での検索結果検閲を廃止へ--同国から撤退の可能性も
Google、中国からの大型サイバー攻撃に中国市場撤退も
Googleにとっての中国: 人権うんぬんよりも世界でのビジネスが第一
おそらく、もっとも衝撃的な部分は: かつてYahooは中国でGoogleよりはうまくやっていた。しかし数年前に撤退したのは、Alibabaには勝てない(Aliの40%近くの株主になることはできない)と悟ったからだ。Alibabaは、中国での成長の仕方をいちばんよく知っている企業だ。中国に住む起業家でエンジェル投資家のBill Bishop…彼は私が書く中国記事を批判することもある… は、そう言ってから次のように付け加えた:“YahooがGoogleよりもお利口と思えたことは、あまりないのにね”*。〔*: そのときだけはYahooがGoogleよりも賢いと見えた、の意。〕

微妙に続く
----------
Adobeも受けてたんです・・
アドビ、「洗練された組織的な」攻撃を受けたことを認める
Adobe Investigates Corporate Network Security Issue
なんだかよくわかりませんね

Google, Adobe attacked through China
SecurityFocusでは、確証はないとしながらも、この2つの事例を同列に扱っています。

一方、ScanSafeは独自見解:
Google Attack Reflects Sophistication of Today's Malware
ScanSafeは、昨年から執拗に続く中国の Password Stealerの事例を挙げ、PWS.Lineage や WoWStealerといった、一見ゲームのパスワードしか盗まないような印象を受けてしまうトロイが、実際には何をしでかしているか検証できていないことを警告しています。
Password Stealers: Few Names, Many Flavors -- 2009.06.23
うちにもありましたね・・・
2009.08.29 土曜日
om7890.com : a0vの系列

このあたりは、Ilion様のサイトが詳しいです。
インジェクション -- 2009-07-19

あと、バリュードメインの一部のラウンドロビンに潜んでいた(アクセス解析にも)コレも、その系統です。
hellh.net -- 2009-07-07

--
こうなってくるともう一般人には何もいえない
Adobe Flaws Alleged in Google Attacks
Google attack part of widespread spying effort

もうちょっとだけ続く
----------
Adobeがクラックを受けた原因は・・?
Hackers used rigged PDFs to hit Google -- and Adobe, says researcher
Analysts at Verisign's iDefense security group told Robert McMillan of IDGNews today that hackers had launched targeted attacks using a malicious document attached to e-mail messages.

Unpatched Adobe holes link Google and earlier attacks
マテ・・・・

これがほんとなら、あの「イケテナイ」Blacklistingは Adobe社内でも機能してなかったってことですね・・・
あはは・・(乾燥)

Googleに対する標的型攻撃
Screen Capture: Targeted Attack PDF Exploit Taking Over A Computer

この攻撃は昨年からずっと警告されていたものです
contagio -- malware dump

あと1個だけ・・
----------
だからgmailはhttpsに
Google (finally) enables default "https" access for GMail

チャイナ・シンドローム―Google、中国のハッカー攻撃を機にGmailのセキュリティーを引き締める
Googleは当然ながらGmailのセキュリティーを重大に受け止めており、今後、Gmailは暗号化されたバージョンをデフォールトとすると発表した。

GJ! ・・・なのかな?
「既に盗まれ済」なアカウントはど~にもならないわけですけどね。

あ・・あともう1個・・
----------
Adobe Readerの新機能
A Few Words on the January 2010 Security Update for Adobe Reader and Acrobat
And we're providing more fine-grained control for any future JavaScript API vulnerabilities with the JavaScript Blacklist Framework. Finally, disabling Legacy Multimedia by default protects users against any potential security vulnerabilities identified in these rarely used features.
Legacy Multimediaをデフォルトでブロックするんだったら、JavaScriptもそうなさいってばさ!

----------
Gumbられる
もう言うまいと思ったけど、ちょっとだけ・・・
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説
セキュリティ企業のシマンテックは2010年1月12日、国内で猛威を振るっている「ガンブラー(Gumblar)」について解説した。
このソースが見当たらないんですけど、何かプレス向けのブリーフィングでもあったんですかネ?

シマンテックによれば、一般的にガンブラーと呼ばれているのは、別サイトに誘導してウイルスに感染させる攻撃手法のこと。同社では「ドライブバイダウンロード」と呼んでいて(図)、感染させられるウイルスの名称ではないという。同社では、最近の報道では「ガンブラー」を、ウイルスやマルウエアの一種と混同しているケースが見られるとして、誤解しないよう呼びかけている。
いや・・それ、どこもそう呼んでますが・・・・
Drive by Download = Gumblar って説ははじめて聞きました。
そういえば、SymantecさんはBloodhoundから、"Hacktool.Rootkit"という、なんとなくヒューリスティック的な名前しか付けてくれなかったんですよね・・・

----------
諸君、これは戦争だ!
Minipost: #CNIRcyberwar ? ? ?
昨日イランのサイバー軍を名乗る組織に(かのご高名な)Baidu がヤラれちゃったわけですが、人海戦術では絶対に負けない中国は報復に出たようです。

勝手にやってて・・・

----------
一方・・・Microsoftは渦の外
2010年1月13日のセキュリティ情報 (月例)
また、Adobe製品だけではなく、SUN Java Runtime Environment (JRE), Quicktime も利用している方は最新の状態にしておく事もおすすめします。
余裕ですね・・・

Rimecud and Hamweq - birds of a feather
Win32/Rimecud
IM経由で飛んでくるらしいですが、国内では感染事例を聞いたことがありません。
もっとも PidginMSNの穴を塞いだのはコレ対策のようですので、そこそこ流行しているのでしょう。

----------
Kerberos PoC
MIT krb5 Security Advisory 2009-004 -- release: 2010-01-12
AFFECTED SOFTWARE
KDC and application servers in MIT krb5-1.3 and later releases are vulnerable. Earlier releases did not contain the functionality implemented by the vulnerable code.
Third-party applications linked with the libraries from vulnerable releases are also vulnerable.
CVE-2009-4212 as *reserved*
patch:
for krb5-1.6
for krb5-1.7
PoC:
CVE-2009-4212: MIT Kerberos Multiple Integer Underflows
う・・・

Kerberos KDC RC4 and AES Decryption Integer Underflow Vulnerabilities 4
Update to version 1.6.4 and 1.7.1 as soon as available or apply patches.
RedHat系、Ubuntu、Debianには既にパッチが来ています。

----------
ZeuSだって元気です
USのTaxSeasonが近づいてますので・・・
eBayを騙るフィッシング
ただしアクセスしても「Not found」となってコンテンツはありません。
そのため単なるフィッシングなのかいつものようにZeuS関連のマルウェア配布なのかは未確認です
※cNotesさんのfaviconが元にもどった・・・

ebay.comの偽サイト -- Jan.13
110.54.126.137 == 110-54-126-137.ppps.bbiq.jp
bbiqは久しぶりですね・・・
ここもルータ挟んでないユーザがいっぱい居そうです。

IRS Warns of Online Scams
The U.S. Internal Revenue Service has issued a news release on its website warning consumers about potential scams. These scams are circulating via fraudulent email or other online messages appearing to come from the IRS.
IRSのspamも相変わらずの様子

----------

rogue, trojan, exploit domains to sinkhole
130 domains to add to your dns sinkhole:
dns sinkholeってなってますが、コレは DNS拒否リストに入れるのかな?
まだそのへんは宿題中だったりします(笑)
※DNS siknhole routingによって不正リダイレクトされている「ドメイン」はこんな数じゃないはずです。

----------
あなぼこっ
Adobe getPlus DLM Multiple Vulnerabilities 4
Follow the update recommendations included in APSB10-02.
アップデータにも穴を掘るなんて・・・

Novell ZENWorks Asset Management SQL Injection Vulnerability 3
Update to version 7.5 Interim Release IR19 or later. visit

----------
その他

今日は数が多かった・・・

New Koobface variant saves researchers time from analysis

SMS Donations Advertised via Twitter
ハイチ募金を呼びかけるSMSがTwitterアカウントにリンク・・・
正規サイトは
http://www.mgive.com
http://mobilegivinginsider.com
だそうです。
日本国内ではあまりSMSが使われていませんのでなんとも・・

Yahoo!、Zimbra を VMware に売却で合意
VMware は買収後、Zimbra の既存のオープンソース プロジェクトおよび商用製品を引き続きサポートするほか、Zimbra の製品を自社の仮想化プラットフォーム『VMware vSphere』ベースのクラウド インフラに統合する計画だ。
ターゲットが鮮明ではありませんけど、一応期待しておきましょう。

----------
オチ(酷い)
踏み台に注意(オフトピ-10)
誰がうまいことを・・・(1:00頃
こうして DDoS攻撃の踏み台に(笑)

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
95.168.170.89 AS28753(NETDIRECT) NEW
212.117.165.149 AS5577(ROOT eSolutions)

----------
Google Safe Browsing
| 1263412806 | B | [goog-black-hash 1.48740 update]
| 1263412802 | M | [goog-malware-hash 1.18610 update]
| 317269 | +62(317207)
| 1244406 |
EoF

1 Comment »

2009.12.13 日曜日

Posted in security on 12 月 13th, 2009 by gnome

正月事始め (煤払い・松迎え)正月を迎える準備を始める日
聖ルチアの日
双子の日 1874年(明治7年)に「双子の場合は、先に産まれた方を兄・姉とする」という太政官布告が出された。以前は「先に生まれたほうが弟・妹」とする風習があった。
※太政官布告に「産婆ノ妄説」と断じられています。
美容室の日 (この記事をめぐってWikipediaがモメてる様子)
ビタミンの日 鈴木梅太郎博士が、脚気を予防する成分(チアミン=ビタミンB1≒オリザニン)を米糠から抽出、学会に発表。
※鈴木梅太郎博士は三倍醸造の元となった合成清酒の発明者。

----------
来週一週間は出張のため、更新が不定期になります
(なるべく出先からがんばります!)

----------
ZeuSは眠らない
それにしても、ZeuS/Zbotの手札はいつになったら収まるのでしょうか?

ZeuS/zbot - VISAカードの不正利用警告を騙って
iframeによるドライブ・バイ・ダウンロードを使った複合攻撃の例
PDFとDirectShow ActiveX脆弱性ですね。

ページを開いても怪しげなダウンロードを拒絶すれば大丈夫という固定観念を持った人も多かったのですが、もうそれは通用しなくなっています。
メールでやってきた警告文などからカード番号やPINを尋ねられることは絶対に(たぶん)ありません。どうしても気になるなら、クレジットカード会社に問い合わせをしましょう。

Ongoing VISA scam drop Zeus Zbot -- GarWarner

微妙に続く
----------
ZeuS in cloudの話
Christmas, Amazon and Zbot - it’s that time of year again.
amazon側がどういう対処をするのか、注視したいところですね。

Amazon Web Serviceを利用した攻撃

Port 1080って Proxyなのかな~と思ってたら、かのNetskyやらMyDoomやらのバックドア待ちうけポートでもあったのですね。
MyDoom、Bagle対NetSky --作者同士がウイルスコードで「罵り合い」
こんな珍事もありました・・・
今でも、FakeAV系のバックドアで使用されています。
Packed.Win32.Krap.ag

Port 9988 も似たような存在ですね
W32/RAHack!7efec6d0
このへんのウィルスに感染しているかどうか探っているのかもしれません。

いずれにせよ、ルータを導入してきちんとフィルタリングすることが重要です。

さらに微妙に続く(セキュから脱線気味)
----------
Azure
マイクロソフト、パブリック・クラウド向けの新しいセキュリティ技術を説明
2010.01.01が近づいてまいりました Azureですが
いまいち、「プライベート」クラウドの意図するところがわかっていないのですが・・・
クラウドの本命となるか? 進化するWindows Azure
いずれにせよ、この説明で日本のお堅い頭の企業に説明できるとは思い難いですね。

そういえば、DNSの問題なんかもあったわけですが
クラウド・サービスへの移行で忘れてはならないDNS管理の問題 (Pg3)
なんかもう、クエリ問い合わせをGoogleに任せてしまえばいいんじゃない?って思ってしまう今日この頃(笑)

UnderGoogle
中央やや左に
Introduce .google TLD の文字が(笑)

----------
治りました
Windows Update で 403 エラー その2
先ほど、Microsoft Update側を調整し、現象を解消しました。

よかったよかった。

ひとつだけわかったことは、MS内での XPのプライオリティが確実に低下している(あたりまえですが)ということなのでしょう。

----------
何が釣れるかな?
The Phishing of Applications on Social Networking Websites
Social networking on mobile
Live chat
Blogging
Gaming

対策(というか慣習化)はいつもと同じ
E-mailのURLを踏まない
どうしても踏むときには、万全の注意を払う(URLをチェックするなど)
SNSの友人からE-mailが突然届いた場合、親しい相手なら本当にそれを送ったかどうか尋ねる(笑)
※親しくない場合の処置は言うまでも無く・・
アプリケーションやコンポネンツの脆弱性に注意し、常に最新版を保つ

----------
Koobface注意報
MDLがKoobfaceで洪水状態になっています。
もちろん、このアドレスが直近のものである確証はありませんが、流行していることは間違いありません。

Koobface – the social network trojan
少し古い情報ですが、まとまっています

----------
ネット社会の恐ろしいところは、過去が消えないのです
若かりし頃の汚点を消すには?

昔使っていたハンドルネーム(笑)あたりを検索すると恐ろしい昔のログがひっかかったりしますね。
なむなむ・・

----------
| 1260648020 | B | [goog-black-hash 1.46441 update]
| 1260648004 | M | [goog-malware-hash 1.17852 update]
| 346567 | +3877(342690)
| 1117934 |
EoF

Leave A Comment »

2009.12.01 師走の火曜日

Posted in security on 12 月 1st, 2009 by gnome

世界エイズデー
の記念日 (安政4年 新日本製鐵釜石製鐵所の前身である釜石高炉が出銑)
映画の日
デジタル放送の日
カイロの日 (ホッカイロ)
データセンターの日 「DatacenterがDecemberに似ているから」

----------
火曜は多いので駆け足!

----------
Wordpressの自動パスワードクラッカー
Distributed Wordpress admin account cracking
自動スクリプトによるパスワードクラッカーをSANS読者の一人が(恐らくレンタルサーバ管理者)発見したということで・・・
スクリプトそのものは単純ですが、Wordpressがここまで広範に拡大している点と、デフォルトの管理者ユーザ名が"admin"である点により、こうした自動クラッカーの成功率は低くないと警告しています。

管理者IDを "Admin" から変更し、適切な強度を持ったパスワードを維持することが重要です。
また、管理ディレクトリ wp-admin/ を .htaccess による IP制限をかけることも重要な要素でしょう。

----------
IPA謹製 脆弱性チェッカ
簡単な操作で製品のバージョンをチェックできる「MyJVNバージョンチェッカ」を公開
MyJVN 脆弱性対策情報収集ツール

OS ※32bit版のみ対象 Microsoft Windows XP SP2, SP3 または Microsoft Windows Vista
ブラウザInternet Explorer 6, 7 または Firefox 3
JRESun Java Runtime Environment 5.0, 6.0

最新版ソフトかどうかをチェックして――IPAがツール公開
チェックできるソフト製品は、Adobe Flash Player、Adobe Reader、JRE、Firefox、Thunderbird、Lhaplus、QuickTime。今後はチェックできる製品を拡充していくという。
少なっ!?

どっちにせよ、Windows7(64) + Firefox3.5.5 の私は蚊帳の外・・・
トボトボ・・・・・ Secunia PSI
F-secure版:
Health Check

----------
Avira jp
Avira AntiVir
読み方に諸説があった、Avira AntiVirですが、正式に「アビラ・アンチヴィア」ということが判りました(笑)

12/1より正式に日本語版のサポートが始まりました。
パーソナルユースはVectorの特設ページからのダウンロードを推奨されています。

セキュソフトを買うことを拒んでいる方は(勝手につけた)無料御四家のどれかを必ず入れましょうね~
Avira AntiVir
ALWIL Software Avast!
Grisoft AVG
MSE(これだけM)

Aviraのエンタープライズ用途に新ソリューションも発表されています。
Insufficient access protection in Avira's enterprise solution

----------
Koobface Alert
Koobface Now Using Christmas Theme
The Koobface Web site offers a video posted by 'SantA'. The usual ruse of requiring a codec to watch the video is used, to encourage the user to install and run a file called setup.exe

Koobface Worm Asks for Captcha
ダウンロード中にCAPTCHAを表示してロックしてしまうケースも・・・
McAfee Labs reminds users not to click on YouTube links from unknown sources and to not accept any requests from unknown users!

クリスマスシーズンに向けてありとあらゆるMaliciousな攻撃が増加しています

----------
MDL洪水中
Update
11/30(UTC)も Koobface であふれかえっています。

あと、users21.heteml.jp にRFIが補足されてますね(苦笑)

----------
時間切れ:

KENZERO
いろいろ
P2Pユーザー狙う新型ウイルス「Kenzero」~1日で1500人がさらし者になる騒動
個人情報をさらすマルウェア、Shareを通じて日本で流通

大学生(collage)にこの絵で啓蒙はないだろう!
Boosting Security Awareness in Colleges

ランサムウェアはロシア発が多い・・・
New ransomware attack blocks Internet access

ランチョンミ~ト: Chase銀行
Chase Bank phish

ランチョンミ~ト: IRS還付
IRS Spam Campaign leads to low detection malware

敵ってなんですか・・?
Google Chrome OSのセキュリティはどうなっている?
GoogleはChrome OSで、従来とは違う「Webアプリのセキュリティモデル」を採用。アプリを「敵」であるかのように扱うことで、OSを守るという。

線香パンダ再来
中国で「Panda」ワームの強力な亜種が出現

Vulnerability WARNING [4:HIGHLY CRITICAL]
SumatraPDF Shading Pattern Processing Buffer Overflow Vulnerabilities
Haihaisoft Universal Player ActiveX Control Buffer Overflow
MuPDF Shading Pattern Processing Buffer Overflow Vulnerabilities

----------
| 1259611226 | B | [goog-black-hash 1.45583 update]
| 1259611202 | M | [goog-malware-hash 1.17572 update]
| 366340 | +934(365406)
| 1066548 |
EoF

Leave A Comment »

2009.11.30 月曜日

Posted in security on 11 月 30th, 2009 by gnome

明日はもう師走

アンデレ使徒 (St. Andrew's Day)
カメラの日 (1977年,世界初の自動焦点カメラ コニカC35AF発売の日)
みりんの日「いい(11)みりん(30)」 (※さしすせそには入っていない)
シティズ・フォー・ライフの日 (死刑制度の廃絶の為に起こされる運動。)

----------
月曜朝なので、何もアリマセン

----------
MASS Hacking
一昨日のUnmask Parasiteの記事、BlackHat SEOが、正規を装ったBlogからReffererを悪用して、検索エンジンを経由した場合だけ全く関係ない場所に誘導しているという話ですが・・・どうやら思ったよりも深刻だったようです。

基点:
Tweet Week: Nov 23-29, 2009
Nov 28, 2009:

November 2009 (gs) Security Exploit Removal
Starting Nov 6, 2009, we received reports from some of our customers reporting a new php injection exploit affecting their sites.
Media Templeというホスティング会社のサイトのかなりの部分が、このインジェクション攻撃を受け、ユーザが全く認識しないままFakeAVの誘導攻撃の踏み台にさせられていた模様。
Media Temple, WordPress, Mass Hacking
About 10% of all (gs) users were affected.
総ユーザの10%のサイトがこの攻撃の影響下にあったと・・

Massive Badware Campaign Targets Google's "Long Tail"
コメントには他のホスティング会社でも同様のことが発生しているとしていますが、確認はできませんでした。
GENERIC CIALIS on my website? I think my site has been hacked!
自分が全く認識していないにもかかわらず、GoogleのSERP(検索結果)にのみ、「CIALIS(バイアグラのクローン)」と表示される!?

外向きWebを運用している人は、好むと好まざるとにかかわらず Google Webmaster Toolのアカウントは取得しておいたほうがよさそうです。

あと、パスワードを変更した後、元のパスワードに戻す人が非常に多いと警告されていますが・・・何のためのパスワード変更なのか理解していないのかもしれませんね(苦笑)
パスワード強制リセットの弊害かもしれませんが・・・

----------
オワッテル

予想以上にオワタ
asianmotors●co●in
見本市状態・・
ワザトやってんじゃないですかね?(笑)

追加で書かれている2つのサイトはどちらもセンセイ無視(片方は不審な動きとは検知してるようですが・・)
ちょっと嫌な感染拡大を続けていますね


しまったぁ! GIF見損ねたぁ!


----------
くらうど!?
そういえば、IBMがクラウド、クラウド!とCMで連呼していましたが・・(英語版)
A Cloudy Weekend

Cloud Security Alliance (CSA)

クラウドというと、常に漠然としたセキュリティ不安がつきまとうわけですが・・・
あと、ISP27kもなんだかお金ばっかりかかる印象があったりします。
ISO27000シリーズ ISO/IES 27001

----------
Massive Koobface
MDL Updatelist
11/29がKoobFaceで洪水状態に・・・

----------
らんちょんみ~と

ZeuS back to facebook
Beware Weekend Facebook Scam! -- GarWarner
updatetool.exe 17 of 41
早朝(US)はまだ5ベンダしか反応していなかったそうですので、ZeuSに対する各セキュリティ会社の応対は比較的素早いようです。

----------
| 1259524832 | B | [goog-black-hash 1.45511 update] |
| 1259524810 | M | [goog-malware-hash 1.17548 update]
| 365406 |-1485(366891)
| 1060769 |
EoF

Leave A Comment »

2009.11.10 火曜日

Posted in security on 11 月 10th, 2009 by gnome

----------
エレベーターの日
トイレの日 「いい(11)ト(10)イレ」
技能の日 (1970年国際技能競技大会日本開催)
井戸の日 「いー(1)井(1)戸(10)」
断酒宣言の日 「もう飲めんばー(Nobember)酒止(10)まる」: アルコール依存症

----------
iWorm'

JailBrokenは「ハッキングツール」ではなく、Appleの認めていないアプリを動作可能にするためのツールだという指摘をうけました。
dmnlk様、ありがとうございます。
どっちかというとチートツールなんでしょうかネ?

とりあえず、iPhoneユーザ各位(私も欲しいよ~)に置かれましては、デフォルトになっているrootパスワードを変更したほうがよいかと思います。

この壁紙になってる人は誰?
初のiPhoneワームを発見
「初のiPhoneワーム」をセキュリティ企業が発見
世界初の「iPhoneウイルス」出現、“脱獄”ユーザーを狙う
First iPhone worm discovered - ikee changes wallpaper to Rick Astley photo
Ikee Worm Rickrolls Jailbroken iPhones
iPhone worm spreads via default password

SANSの切り口が一番楽しいかな?
80's Flashback on Jailbroken iPhones

Rick Astley
リックロール : 「釣り」の先駆け的なもの・・・らしい
Rick Astley - Never Gonna Give You Up

----------
Big Bird

先日からGoogleのTOP絵が、セサミストリート特集になっていますが、Googleが何かやると、当然マルウェアのターゲットにされるわけで・・
Rogue Anti-Spyware Targets Sesame Street’s Big Bird
パーマリンクが機能していないので、TopLinkです。

偽セキュソフトへの誘導

----------
錯綜

マルウェア「Gumblar」のホーム・ドメインが復活

gumblar.cnは既に死んでますが、そもそもC&Cの大元がどこなのか不明なので手のつけようがありません。

malwareURLの今日の項目に、"Compromised website / Directs to Exploits" が大量に登録されています。全部チェックしたわけではありませんが、おそらく Gumblar'ed でしょう(苦笑)
※クエリリンクを貼らないで言われているので、検索クエリは自分で行ってください。

ちらほらと日本の国旗が見えますね・・・
このへんのサーバは殆どがバーチャルホストで多重化されているはずなので、IPベースでブロックされると巻き添えが多数出そうですね。

----------
交錯

Gumblar以外の攻撃も交錯しています。

Koobface
Koobface Abuses Google Reader Pages

ZeuS/Zbot(攻撃対象をMySpaceに変更)
Zeus Malware Moves to Myspace -- GarWarner

MSN Phishing
More on MSN scams ......

もう何がなんやら・・

----------
Zen Cart

ECサイトソフトウェアはなぜ更新されないのか

止められないという強迫観念があるから・・・かな?

----------
指が足りません

18ボタン+アナログスティック搭載のOpenOfficeMouse発表、OpenOffice.orgに最適
価格は74.99ドル。

----------
釣られた!?

マクロを組んで作業は「実力」ではない?
要約すると、「エクセルのマクロを活用して事務処理をしていたら、『それはお前の実力じゃねぇ!ズルい!』と文句をつけられた」という話だそうだ。

#!/bin/bash

----------
Google Safe Browsing STATUS:
| 1257764442 | B | [goog-black-hash 1.44044 update]
| 1257764415 | M | [goog-malware-hash 1.17059 update]
| 340016 | 現在ブロック中のドメイン
| 931057 | 現在までにログに取られたドメイン
EoF

Leave A Comment »

2009.10.16.金曜日

Posted in security on 10 月 16th, 2009 by gnome

ボスの日
1958年にアメリカで、経営者と部下の関係を円滑にする日として提唱され、アメリカ商業会議所に登録された。
アメリカではこの日に、ボスを昼食に招待したりプレゼントを贈ったりして日頃の労をねぎらう。
世界食糧デー
1945年10月16日に国際連合食糧農業機関 (FAO) が設立されたことを記念して、1981年に制定。

----------
Outlook Web Accessの変更を装ったマルウェアスパム

[DANGER]
You have (6) New Message from Outlook Microsoft
Outlook Web Access のアップデートを騙るspamが出回っているようです。

スパムで利用されるTargetted URLの応用
メールサーバーの管理者から、
「メールサービスのセキュリティアップグレードをしたのであなたのメールボックスの設定の変更してね」
というメールが届きます。
中略
「Outlook Web Access」のupdateと見せかける。
ここでマスクしている部分も、このスパムを受信した人のドメインです。徹底してます。

これは・・・かなり引っかかる人が多くなるかもしれません。
中身は、Zbotなのですがネ・・

Malware Spam Messages Related to Microsoft Outlook, SSL Certificates
Yet another round of Viral Spam
Server upgrade spam redux
Outlook Web Access Social Engineering Malware Scam
OWA Phish - a new vector
OWA Phish - a new vector (2)

と、各社・研究機関が一斉に警報を発しています。
とりあえず Microsoftの Outlook Web Access のアップデートは存在しませんので、無視しましょう。(仮にあったとしてもWindows/Microsoft Updateからアップデートされる性質のものです。

settings-file.exe -- 2009.10.14 6/41 (14.63%)

----------
サイボウズ製品

複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

開発者が提供する情報をもとに最新版へアップデートしてください。
※上記対象製品をイントラネット内でのみ運用している場合に、外部(インターネット網)から攻撃を受けることはございません。
・・・・・?

Cybozu Products Unspecified Cross-Site Scripting Vulnerabilities
指標:2

----------
Foxit vulnerability in zero day

脆弱性はAdobeよりも少ない!と豪語していたような気もしますが・・・
Foxit Reader Firefox Plugin Memory Corruption Vulnerability
Solution:
Do not visit untrusted websites or follow untrusted links.
Disable the Foxit Reader plugin in Firefox.

Re: Memory corruption when loading/unloading Adobe objects through EMBED tag in Firefox
Foxit reader was also vulnerable to the JPEG2000/JBIG2 decoder bug.
Makes me wonder how much code is common to both Adobes and Foxits PDF readers

過信は禁物です・・ということでしょうか

----------
Koobfaceだって負けてません

新型KoobfaceはFlashのアップデートプログラムを模倣
10月第3週の始め、ソーシャルエンジニアリングを利用したもっとも効率的なボットネットであるKoobfaceの管理者は、偽のYouTubeページに埋め込んだ、AdobeのFlashアップデートプログラムを真似る新たなテンプレートを使って、Facebook内でのキャンペーンを開始した。

キャンペーンとか言われると、正規のソフトの話のように捉えられそうですが・・
※USでは、よく使われる表現でもあります。

facebookを偽装した IRSスパム・フィッシング(ZeuS/Zbot)も相変わらずですので、注意が必要です。

----------
Microsoft salvaged Sidekick's Customer data

Microsoft Confirms Data Recovery for Sidekick Users
Data Restoration to Begin as Soon as Possible for Affected Customers.

Microsoft/Sidekickの大惨事、続報―「ユーザーデータの大部分、回復可能」と判明

MSの威信にかけて!がんばってください

----------
Microsoft FakeAV Collection

Scanti-ly Clad - Another Rogue Stripped by MSRT

恒例になった MSRT でブロックしている FakeAV の展覧会です。

Using Active Desktop to place text on the desktop background
のデスクトップが新鮮ですね(笑)

----------
New Injection : Opera Only?

Ncccnnnc .cn – Warning: Not Opera Only
Funny, it tries to make it look less suspicious adding this silly “Warning: Opera Only” comment. Browsers don’t read such comments and the code is executed in every browser.

WARNING Opera Only
としていますが、当然他のブラウザでも影響があります(苦笑)

----------
Day-15 Secure Email Ports

Cyber Security Awareness Month - Day 15 - Ports 995, 465, and 993 - Secure Email
折り返し点に達した SANS の Cyber Security Awareness Month特集。
今回は、なんだかよくわからないままに設定しているかもしれない Emailの特殊ポートです。

一般的な email 関連のポートは 25(smpt)と110(pop3)ですがセキュアメールを実装しているISP/サービスによっては以下のポート使用を推奨しているかもしれません。

Port995 : POP3 over SSL
Port465 : SMTP over SSL
Port993 : IMAP over SSL

しかし、一部のサービスにおいて、これらのSSL Certを自前の証明書(いわいる「オレオレ証明書」)を使用し、「セキュアメール」と謳っているところもありますので注意が必要です。

もちろん、正規の証明書を正しく運用している場合には、通常のメールよりも遥かに安全なやり取りが行われます。

----------
DNS-BH

New update: 124 new domains to block

そういえば、DNS-BL (blackholes.us)がドメイン失効しており、何も考えずにこのサービスを使用している人は注意が必要だと SANS が警告していましたね。
Check your email servers - blackholes.us DNSBL is dead
セキュリティのルールの変更はなかなか気が廻らないものです。

----------
3万円で警告?

小学生が親のカードで高額利用も~グリーが未成年ユーザー課金に上限設置
具体的には、ソフトバンクモバイルを利用している未成年ユーザーについて、月間での課金利用額の上限を3万円とする。これは、ソフトバンクモバイルの場合、課金利用額の上限が設定されておらず、暗証番号による認証も行われていないため。

3万円でいいの?
まず、最初に有料課金であることの警告を1円からでも発生させるべきだと思うんですが・・・

----------
iFrame

アップル、新たな動画形式「iFrame」を発表

紛らわしいからやめて・・・(苦笑)
でもいつか使われそうな商標だとおもってた人は多いはず(笑)

----------
Google Safe Browsing STATUS:
[goog-malware-hash 1.16470 update]
[goog-black-hash 1.42270 update]
Results: 347983 338853 (+9130)
Logged Total: 791562 781436 (+10126)

昨日の算数をミスってたようなきもする・・

EoF

1 Comment »

« Previous Entries
ホットワード padding margin 火曜日 世界気象デー 世界気象機関
割引クーポンまとめ情報 - クー割