« 2010.01.12 Adobeの日(ただしUTC)
2010.01.13 シス管に捧げる日 »

Adobe Nightmare's Night


なかなか availaleavailable にならないので・・・
※Lさん、気が付いてるなら、早くおしえてよ(泣)

----------
ダメだ・・笑っちゃだめだ
トレンドマイクロ、ウイルスソフト「ガンブラー」対策で注目 [サーチナ]
腹筋を鍛えておかないとだめですねコレは・・・

参照その2:
[仕事][PC]駆除まで8時間。

----------
間違い?
間違いだらけのGumblar対策

少なくとも、
Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A. 細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。
このへんから既に(この筆者自身が)錯綜してますが?

Gumblar.xの悪用脆弱性は、実はカテゴリー的には変わっていません。Microsoft系が1つ増えただけで、FlashもAdobe Readerも旧来のものです。
問題となっている 8080は 絶賛ゼロディの Adobe Reader CVE-2009-4324 と、Java JRE CVE-2008-5353 の双方がどちらも(メーカPCにプリインストールの多い日本では特に)クリティカルなので、こんだけパンデミックな問題になってるわけですが・・・

更に、8080系の使用している URL文字列をみても、明らかに日本をターゲットにした攻撃になっています。(でないと kakaku.comとか 2ch.netとかを埋め込んでくる意味がわかりません)
このURL文字列は IDS管理者がログをチェックした際に、日本で一般的なドメインが混じっているためスルーしてしまうことを狙ったものです。

相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
セキュ会社よりも so-net様のほうが的確ってのはどうなんでしょうね?


かなり恥ずかしいと思うんですが・・・


相次ぐサイト改ざん(2) 新たな改ざん告知サイト12~ヤフー、ブックオフ子会社等
また、Gumblar亜種により改ざん被害を受けたと告知しているサイトを編集部で確認したところ、実際はGumblar.xでも8080でもない、まったく別の種類の改ざんが行われていたことが判明したという事例がある。下記サイトのうち、編集部で種別を確認できなかった分についても同様のケースがあるかもしれないので、この点をご承知おきいただきたい。

実は、あまり表立ってませんが、現在同時進行中のインジェクションには

"元祖" bredlab
Waledac(?)
7o8.net系の残党(js.xxxx.xx.la/xxxxx.js 系)
3ワード.cn 系(8080の亜種かも?)

というマイナーな系列もあって、かなり錯綜しています。

Waledac(?)は、元旦に(puppet様のところでも)触れた、更にイミフメイなインジェクションで、fast-fluxで接続先が変動するためかなり厄介なシロモノです。
これが完全にWaledacかどうか確証はありませんが、Fast-fluxに組み込まれている感染サイトの大部分がWaledacとしてSpamhausにBlackListされているので、Waledacもしくは、その組織から Credentials を買い取った攻撃と思われます。

そういえば、中国では依然として .cssにPE型を埋め込むインジェクションが報告されていますが、これに引っかかる環境って何なんでしょうね(笑)

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。
F-secureは感染してたら検出できるんでしょうね~?

実際コイツの感染検出は極めて困難です。トリガーがランダムなマルチドロッパなので、何を埋め込まれているのか全く予測がつきません。はっきりいって、Security Tools をインストールされてしまった環境は、「まだ判りやすいほう」です。
Trojan Dropperの本体は、日々変化しつつ潜伏している可能性がありますので、一度感染してしまうと、一般の方には検出はきわめて困難です。
※だから、So-net様が「感染サイトは、訪問者に感染の危険性を呼びかけるように!」と訴えているわけですが・・・・

シス管の方で、社内に感染ノードがあった場合、炙り出すために1回 DHCP を斬って、全ノードに1個づつIPを振ったほうが早いかもしれません(DHCPのリセットを行い、コロコロIPを変えているケースが確認されています)。怪しげなセグメントが見つかったら、そのセグメントだけ隔離し、WireSharkでsniffしてください。きっと怪しい場所への送信を行おうとしているはずです。そのへんの送信ログを確保できたら、お手数ですが こちら に BotNet C&C と書いて送ってあげてください。(8080って書いて理解してくれるかどうかは?ですが・・・)

余談
Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。
サイト管理者(Windows)のマシンが乗っ取られてFTPを使われるって・・どんなケースだよ!
誰か説明してください(笑)

※1 リ()モートデスクトップでFTPをそのIPから乗っ取られるとでも?
※2 SSHもろとも陥落して好き勝手にされることを "FTPサーバに侵入される" とは言いませんので念のため


EoF

This entry was posted on 火曜日, 1 月 12th, 2010 at 11:31 PM and is filed under Misc. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード Adobe padding margin トレンドマイクロ