UnderForge of Lack

大晦日 (年越し蕎麦、除夜の鐘)

----------
2009年が過ぎました。
なんとか投げ出すことなく続けられたのは、さまざまな人の手助けのおかげです。
セキュリティの話なんか無くなっちゃった方が本当は平和なのでしょうが、きっと無くならない気がします・・・

来年もよろしくお願いいたします。

----------
8080 takedown from LeaseWeb
少なくとも２年ほど前から、悪事のたまり場としての汚名を享受し続けてきた LeaseWeb ですが、ここへ来て方針転換を余儀なくされた模様。
Evict Hackers
What more important is I can see the results: mdvhost.com domain name no longer resolve. And none of the malicious domains is currently mapped to IP addresses on the LeaseWeb network.
*clap* *clap* *clap*
MDLとMalwareURLに来年から AS16265 が載らないように頑張ってください（笑）

で、いつものように、C&Cを潰されたため、他のISPに分散している様子。

85.25.73.243	AS8972	PLUSSERVER-AS
62.75.184.40	AS8972	PLUSSERVER-AS
77.37.19.43	AS44146	STARHOSTING
188.72.199.24	AS28753	NETDIRECT

OVH(AS16276)はもう書きませんので、PGBで潰しておいてください。

また、運用しているサーバーやVPS上で nginx を駆動している方は、一度リバースプロキシの設定を確認してみてください。

----------
MalwareはAdobeを狙う
Adobe to be Prime Target for Malware in 2010
別に2010年でなくても、既にそうなっています。
元:
McAfee 2010 Threat Predictions
Based on the current trends, we expect that in 2010 Adobe product exploitation is likely to surpass that of Microsoft Office applications in the number of desktop PCs being attacked.
ここで最大の問題なのは、Microsoft製品は（比較的）自動更新によって穴がふさがれる可能性が高いわけですが、Adobe製品は、自分で気が付かない限り放置されることがほとんどです。
これはAdobeの怠慢もありますが、MicrosoftがMicrosoft/Windows Updateをサードパーティーに開放しない方針を貫いていることが諸悪の根源でしょう。

セキュリティ問題はMicrosoftだけのせいじゃない -- 2009.09.28
IE 7の不具合でWindows XPマシンが乗っ取られる危険性が明るみに -- 2007.10.12
（ShellExecute()プロセス発効時のMS側の言い分）
Microsoft Update を 3rd Party に開放しないのは

別に有象無象の全サードベンダーに開放しろと言うつもりはありませんが、影響の大きいアプリケーションベンダー製品(Adobe, Sun=Oracle, Apple, Mozilla, 各AVベンダーなど）はMicrosoftもしくは、第三者ベンダーの統合アップデート・リポジトリのようなものを作る時期に来ていると思います。
GPL/MITライセンスのものは、SourceForgeで統括管理するとかできると良いんでしょうけど、難しいかな。

なんか最終的に、VeriSignがコードサイニング証明書で儲かる仕組みになってしまいそうな予感も・・・

当分は Secunia PSI のお世話になりそうですね。

----------
mofa.go.jp・・・
Dec. 29 CVE-2008-3005 / MS08-043 Darkmoon RAT Excel Russia Foreign Minister Meeting from spoofed daisuke_hasegawa＠mofa.go.jp Dec 2009 06:50:10 -0000 -- contagio
ロシア外相会議のレジュメを装った マルウェア散布メールがロシアでばら撒かれているようですが、日本外務省、テロ対策室 Daisuke Hasegawa の名前になっているようです。
もっとも、典型的な spoofed mail で、
Received: from unknown (HELO mofa.go.jp) (218.67.146.244) by xxxxx ; 29 Dec 2009 06:50:10 -0000
218.67.146.244 AS4837 China Unicom Tianjin province network

外務省的にコーイウの放置してて良いんでしょうかね？
添付.xls:
1229.xls 4/41 (9.76%)
ペイロード本体：
0x97.bin 11/41 (26.83%)
バックドアをピアスされます。

----------
もう一つの改ざん
検索エンジン被リンク稼ぎ目的の大規模なウェブ改ざん？ -- 無題なブログ
dvdworld.jpによるサイト改ざんseo spam -- てくてく糸巻き
なんというか、検索すると恐ろしい数が引っかかるのですが、どうやってこれが挿入されたのか「？」ですね。
SQLインジェクションにしては整いすぎているので、FTP Credential漏洩かもしれません。

ZeuSの一件でもわかっていることですが、Gumblar/8080などで窃取された FTP Credentialは地下市場で取引され、それを「購入した」犯罪者が、マルウェアに使うか、サイト改ざんに使用するかは本人次第・・・
２重売り３重売りと繰り返されると、そのうち自分のサイトではなくなってしまうかもしれません（苦笑）

Bot操作側としては、如何にサイト管理者に気が付かれない様に、セキュソフトに検知されないようにするか？という手綱の緩急が肝なので、たまにコードが「戦略的に」撤収されたりします。Telnetを使う人が既にいなくなっているのはなぜか？考えると、FTP(平文）を使い続けることの危険性も理解していただけると思うのですが・・・

※もっともキーロガーを仕込まれている場合には SFTPであろうが、FTPSであろうが関係ないわけですが・・・

----------
その他

2000〜2009年: この10年の最大の負け犬（落ち目の製品）は何と何？
Kindle、アマゾン史上最高のギフトアイテムに ＆電子ブックの売上、紙本を上回る
自分的には、こうして印刷業界がどんどんやせ細っていく現状を見て薄ら寒いものを感じます。明日は我が身かと・・・

来年はいい年になりますように

----------
| 1262203266 | B | [goog-black-hash 1.47737 update]
| 1262203204 | M | [goog-malware-hash 1.18285 update]
| 322075 | -2278(324353)
| 1193023 |
EoF

This entry was posted on 木曜日, 12 月 31st, 2009 at 7:48 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.