UnderForge of Lack

ロシア革命記念日
鍋の日
知恵の日
紀州山の日 (和歌山県)

----------
TEH IMPACT of GUMBLAR

Errors Not Slowing Down Gumblar Attacks
ScanSafeの解析データは顧客のFirewallのデータを集計していますので、実際の企業で発生していると推測される事態の母集団としては最適でしょう。そのデータによれば、10月のMalware-Blockerのうち、28.8%がGumblarに関連するものであったとしています。この数字は、５月の Gumblar-OUTBREAKの２倍にあたります。数千の陥落サイト群が複雑に絡み合った Gumblar-Botnet群による攻撃は、５月のそれよりも更に高い効率を上げていると推論しています。

Gumblar "A" Record Down
Gumblarの再攻撃によって陥落した２つのサイト群（クラスター）のうち、第一次攻撃に使用されている .php 挿入先の一つに、 "gumblar.cn" が存在したらしいです（苦笑）
現在は有効なAレコードがありませんが、未だに DNSには登録されています。

これらの陥落サイト群のオーナーが全てGumblar-BOTに感染しているのかどうかは不明ですが、FTPのログイン情報が抜かれていることだけは間違いありません。しかし、尋常な数ではありません。
想像ですが、FTPやPOP3のフリーメールを運用しているサーバと同一セグメント上のPCが感染し、パケットスニファされた可能性も否定できません。

専守防衛的対処策：
FTP(Port21/20)の使用中止 → FTPS /SFTP(SCP)への換装
(※Shellを空けてくれるところは少なそう・・)
Telnet・・は流石に常用している人は居ないでしょうが・・・
POP3の使用中止 → POP3+SSL(Port995) / POP3+TLS(Port110)への換装
IMAPの使用中止 → IMAP+SSL(Port993) / IMAP+TLS(Port143)への換装

このへんは、ホスティング会社も連携しなければ意味がないんですけどね～

参考：
FTPには対策を施さないといけない -- 2008.05
各プロトコルの安全性 -- RAT portal
pop3はどうしても危険なのか？
※この部分で、自分の傍のセグメントに感染BOTが存在していると、安全ではなくなります。

----------
Chrome update

最新：3.0.195.32
Stable Channel Update -- 2009.11.05

Google closes vulnerabilities in Chrome 3
High-risk flaw dings Google Chrome

Chromeは自動でセキュリティアップデートされます。

----------
Firefox update

最新: 3.5.5
バグフィックスのみ・・？

セキュリティ系の問題点ではないようです。

----------
Bot叩き

Smashing the Mega-d/Ozdok botnet in 24 hours
against Mega-d/Ozdok

Botnet退治はもぐらたたきなんですけど、一致協力すればきっと・・たぶん・・

----------
偽のセキュリティ対策ソフトの脅威が再び拡大！

コンピュータウイルス・不正アクセスの届出状況[10月分]について
今頃？とかおもっちゃだめですよ（苦笑）

昨今の偽セキュソフトは、機能的にBOT端末と同じバックドア型が多いので、危険度はきわめて高いです。

参考：
「過半数のユーザーは『偽ソフト』を知らない」、IPAの調査

----------
Flashホール

Facebook and Myspace bolt Flash backdoors
cross-domain-policyはflashがスクリプトを実行する際に、例外的にクロスサイトスクリプトを認めるという定義です。FaceBook/Myspaceはこの指摘を受け、セキュリティホールを修正しましたが、他のSNSには残っていると思われます。

参照:
Flash，JSONでのクロスドメインアクセス

----------
Tokyo and Kyoto

Tokyo
Greetings from Tokyo…
PacSec 2009 アジェンダ

Kyoto
AVAR国際会議へようこそ
「AVAR 2009」からこんにちは！
AVAR 2009

カスペのメンバー怖いよ！

----------
去り行くもの

奈良先端大のIRCサーバ、撤去の見込み
nara.wideには本当にお世話になりましたね・・・

IRCそのものが消え去ろうとしているのでしょうか
昨今ではBotnetのC&Cが一番大きな用途なんですかね・・・
今までありがとうございました。

----------
さぁ・・Win7だ
インストール開始！

----------
Google Safe Browsing STATUS:
| 1257555616 | B | [goog-black-hash 1.43869 update]
| 1257555602 | M | [goog-malware-hash 1.17002 update]
| 324983 | 現在ブロック中のドメイン
| 879127 | 現在までにログに取られたドメイン
EoF

This entry was posted on 土曜日, 11 月 7th, 2009 at 10:53 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.