« 2014年4月 | トップページ | 2014年6月 »

2014年5月

マルウェア解析に特化した Linux ディストリビューション REMnux を使ってみた

マルウェア解析に特化した Linux ディストリビューション REMnux を使ってみた

                                   

このエントリーをはてなブックマークに追加

概要

REMnux は、マルウェア解析やリバースエンジニアリングに必要なツールがあらかじめインストールされたLinux ディストリビューションです。仮想マシン(OVA)形式や Docker などで提供されています。仮想マシン(OVA)形式をダウンロードし、VMwareやVirtualBox などにインポートするだけで、すぐにマルウェア解析やリバースエンジニアリングの環境が整うので非常に便利です。

Linux のディストリビューションですが、Windowsの実行ファイル形式やドキュメント形式(Word, Excel, PowerPointなど)などのマルウェアも解析することが可能です。また、JavaScript や Java, Adobe Flash SWF, PDF などの解析ソフトウェアも入っています。

また、疑似インターネット環境を作るためのプログラム inetsim や honeyd などもインストールされているので、マルウェアを実際に動作させて挙動を解析する「マルウェア動的解析」を行う際の環境として非常に便利です。

inetsim は、HTTP/HTTPS WebサービスやDNSサービスなどのインターネットの主要なサービスをエミュレートしてくれるソフトウェアです。DNSサービスでは fakedns のように、名前解決に対してあらかじめ設定しておいたIPアドレスを回答することが出来ます。HTTPサービスでは、特定のURLにアクセスがあった場合に、あらかじめ設定しておいたHTMLファイルやEXE実行ファイルなどをレスポンスとして返すことが出来ます。他にも様々な便利なソフトウェアがインストールされています。

標準では日本語環境となっていないので、日本語キーボードや日本タイムゾーン、日本語入力などの設定をする必要があります。これらの設定方法についても紹介します。


REMnux のデフォルトユーザとパスワード

  • ユーザ       : REMnux
  • パスワード  : malware

スポンサーリンク

REMnux でマルウェアを解析する


※ この記事は現在作成中です(2015/5/13)

疑似インターネット環境の設定

実行ファイルの解析

PDFマルウェアの解析

JavaScript の難読化解除

関連記事

スポンサーリンク

アノニマス(Anonymous)が中国への攻撃を予告 #OpChina 2014年6月25日

アノニマス(Anonymous)が中国への攻撃を予告 #OpChina 2014年6月25日

[関連リンク] アノニマス(Anonymous)が中国・香港の政府への攻撃を予告 #OpHongKong/#OpHK/#OcuppyHK 2014年10月10日

概要

アノニマス(Anonymous)は、#OpChina で南シナ海周辺諸国と中国との領有権問題について抗議するため、中国に対して6月25日にサイバー攻撃を行うと YouTube で予告している。
Facebook でも参加が呼びかけられており、5月22日時点で参加予定は 820 を超えている。

* 2014/5/27時点で参加予定は 1,000を超えている。

* 2014/6/8 時点で参加予定は、13,000を超えている。

また、Facebook EVENT に参加チームが追記されている。

Anonymous Taiwan, Malaysia, Indonesia, Tunisia
DZ MAFIA (ALGERIA)
Kosova Cyber Security
PEA (Philippine Electronic Army)
Pakistan Haxors CREW
ANONGHOST Bangladesh, Italy
など
多数の国のチームが参加。
南シナ海周辺諸国以外のチームも参加しているようです。

#OpChina のターゲットリストと思われるリストが pastebin にアップロードされている。このターゲットリストには、約2,400 ほどのURLが記載されているが、既に存在しないURLやドメイン、JP ドメインなども含まれており、どのような基準で作成されたのか不明。cn ドメインで運用している日本企業のWebサイトなども被害を受ける可能性がありそう。

アノニマス(Anonymous)は、2012年2月にも #OpChina により、山東省の通商サイトに不正アクセスを行い、8,000 を越えるアカウントのユーザ名、パスワードハッシュを漏洩させている。
OpChina: Anonymous Hackers Target China's Great Firewa
http://www.ibtimes.co.uk/opchina-anonymous-hackers-china-great-firewall-299622

攻撃・被害状況

5月23日現在、既にWeb改ざんなどの攻撃が行われている。また、WebLazer などのDDoS攻撃サイトなども公開されている。

http://www.twitlonger.com/show/n_1s1rlm5

http://flyz.qzsfj.gov.cn/china.html
http://cqjlpcxjw.gov.cn/china.html
http://xzdx.gov.cn/china.html
http://lamb.scsio.ac.cn/china.html

https://twitter.com/TeaMp0isoN_BR/statuses/372107448955310081

hysgt.gov.cn/index.html
http://www.pzhfzjz.gov.cn/index.html
http://12345.kaiping.gov.cn/index.html

2014/5/25追記

Facebook Event に、他の Anonymous オペレーションでも利用されている LOIC や AnonGhost DDoSer などの DDoS攻撃ツールへのダウンロードリンクが投稿され、使い方のレクチャーやターゲットURLなどの公開が行われている。

また、中国サイトにDDoS 攻撃を行いダウンさせた報告や、ハッキングした Web サイトの認証情報(ユーザー名・パスワードなど)の投稿などが行われている。

  • Hacked By AnonMafia

http://www.92paipai.com/***/attached/file/
20140525/20140525094634_75069.html
http://www.usatovip.it/***/Tested.html
http://www.fkcasings.com/***/attached/file/
20140525/20140525092016_94493.html
http://www.xjalsuyar.com/***/attached/file/
20140525/20140525174435_62712.html
http://zijingwang.org/xtw/***/kindeditor/attached/file/
20140525/20140525174727_69864.html
http://www.edicot.com/***Tested.html

など

  • Leaked By Calapan_Legion of AnonGhostPH
    Government & Private Data Website Leaked - BACK OFF CHINA

pastebin.com に280ほどの改ざんされたURLを公開されている

http://***/opchina_pea.html
http://***/tuyen.html
http://***/opchina.html
など

  • LEAKED FILES / DATABASE ACCOUNTS

http://opchina.cuccfree.org/***.html
URLとユーザー・パスワードが掲載されている

2014/5/27 追記

  • Hacked AnonMafia #OpChina

中国への抗議文を載せたファイルを設置する改ざんが大量に行われている。tw ドメインのサイトもやられてますね。

AnonMafiaOpChina

http://staic.qefeng.com/***/attached/file/
20140526/20140526111432_26626.html
http://***.e-bestis.com.tw/OpChina.html
http://***.cedare.int/OpChina.html
http://***.geland.com.cn/OpChina.html
http://***.av8software.com/OpChina.html
http://***.autowuhan.com.cn/OpChina.html
http://***par-group.net/OpChina.html
http://***yjx.com/OpChina.html
http://***ext.com/OpChina.html
http://***.bugwurx.com/OpChina.html
http://***yjqy.com/OpChina.html
http://***jiazn.com/OpChina.html
http://***.av8software.com/OpChina.html
http://***.bugwurx.com/OpChina.html
http://***w.e-bestis.com.tw/OpChina.html
など

2014/5/28 追記

AnonMafia による改ざんやDDoS攻撃が続いているようです。

  • Hacked AnonMafia #OpChina

http://***.vice.cn/Public/kendeditor/attached/file
/20140527/20140527125033_29223.html
http://***.vrlab.buaa.edu.cn/user/docueditor/attached/file/
20140527/20140527071605_19202.html
http://***k-oemala.site.bz/Index.html
http://***.chicek.cn/Public/Editor/attached/file
/20140527/20140527060240_34406.html
http://***.cnss.com.cn/include/js/kindeditor/attached/file
/20140527/20140527133320_69919.html
http://***.cmochina.com.cn/source/skin/editor/attached/file
/20140527/20140527141024_59432.html
など

  • TANGO DOWN!!! #OpChina #AnonMafia

http://www.trade.gov.cn/

  • BLoodSecurity が www.trade.gov.cn のユーザID、パスワードハッシュを pastebin.com に公開している(2014/5/26)
  • 2014/5/1 に php ベースの webshell backdoor (BackDoor Toxin : Anonymous Calapan) が公開されている

         Shell #OPCHINA #ANONCALAPAN #OfficialAnonGhostPH


2014/5/29 追記

Tunisian Agent Secret が 8 つの政府Webサイトを改ざんしたようです。
ターゲットとなったサイトは、Tunisian Agent Secret だけではなく、
複数のハッキングチームから改ざんされているようですね。

#Hacked By Tunisian Agent Secret#
8 Chinese Government site Stamped as prepared for #OpChina !

http://thly.gov.cn/tas.html
http://xtfy.gov.cn/tas.html
http://llhb.gov.cn/tas.html
http://zaqx.gov.cn/tas.html
http://jnjt.gov.cn/tas.html
http://jklz.gov.cn/tas.html
http://jgzx.gov.cn/tas.html
http://tzfg.gov.cn/tas.html

2014/6/8 追記

中国関連の Web サイト改ざんが続いているようです。また、ハックした WebサイトのID,Password を公開する活動も見られます。

115 Hacked Website - Root defaced -- Special Greetz to Anons Indonesia by : (https://www.facebook.com/profile.php?id=100007532263975)


73 H4CK3D CHINA SITES & Counting . . . .


China - H4ck3D by : (https://www.facebook.com/profile.php?id=100007532263975)


Back-OFF CHINA
Working Login Credentials
http://cyd●.net.cn/adminxtwh/index.asp

u - ●
p - ●

Feel free to 3xPL01T/F4cK
Please do not change username & password.


Anonymous China も参加するってことですかね

Anonymous China / 中國匿名者 We support the #Ops China 2014 time on fire


ASP Webshell - zehir3 (zehir4 ではなく)が仕掛けられている Web サイトが多数あるようです。また、 改ざんされたWebページを閲覧すると readme.eml を開こうとする Microsoft Security Essential が「Trojan:JS/Nimda.A」と反応するページがありました。マルウェア入りのサイトもあるかもしれないので、うかつに開かない良いほうが良いと思います。

2014/6/25 追記

認証情報を含むデータベースの情報が暴露されています。またサーバのオープンポートの情報なども公開されているようです。

 


参考URL

 

OFFICAL WEBSITE #OPCHINA 2014
http://opchina.cuccfree.org/

#OpChina 25/06/2014 - YouTube
http://youtu.be/s3bykQb79dk

#OPCHINA 2014 by OfficialAnonGhostPH AnonCalapan - pastebin
http://pastebin.com/kYg95zxX

Operation China | Facebook Event
https://www.facebook.com/events/1448305182074599/

Anonymous Malaysia
https://www.facebook.com/AnonymousMalaysiaOfficial/posts/900955226596983

Tunisian Agent Secret | Facebook
https://www.facebook.com/tunisian.agent.secret



Adobe Flash Playerの脆弱性「CVE-2014-0515」を悪用するウイルスに関する注意喚起

Adobe Flash Playerの脆弱性「CVE-2014-0515」を悪用するウイルスに関する注意喚起

概要

2014年5月21日、ESETは、Adobe Flash Player の脆弱性(CVE-2014-0515)を悪用するウイルスが日本国内で多く確認されたとして注意喚起を発表している。

Adobe Flash Player の脆弱性(CVE-2014-0515)が修正される4月28日以前から攻撃に悪用されていた。早急に最新バージョンにアップデートすることを推奨している。

4月末に修正された Adobe Flash Player の脆弱性を悪用するウイルス、日本で感染拡大 - INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140521_649487.html

対策

Adobe Flash Player を最新バージョンにアップデート

Adobe Security Bulletin (APSB14-13)

http://helpx.adobe.com/security/products/flash-player/apsb14-13.html

関連URL

  • Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515):IPA 独立行政法人 情報処理推進機構

    http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html

  • Flash Playerに存在するゼロデイ脆弱性「CVE-2014-0515」の解析 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

    http://blog.trendmicro.co.jp/archives/9070

  • [No.0031] Adobe Flash Playerの脆弱性(CVE-2014-0515)を悪用した水飲み場型ゼロデイ攻撃にご注意ください

http://canon-its.jp/product/eset/sn/sn20140521.html

  • New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks - Securelist

旧バージョンの Movable Type の利用に関する注意喚起を発表 - JPCERT/CC

旧バージョンの Movable Type の利用に関する注意喚起を発表 - JPCERT/CC

概要

2014年5月15日、JPCERTコーディネーションセンター(JPCERT/CC)は、古いバージョンの Movable Type を利用しているWebサイトで、改ざんなどの被害が多数報告されているとして注意喚起が発表しました。

旧バージョンの Movable Type の利用に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140024.html

影響

古いバージョンの Movable Type に存在する脆弱性を悪用した攻撃により、不正なファイルが設置されたり、既存のコンテンツに攻撃サイトへと誘導する iframe や難読化された JavaScript を埋め込まれる事例が確認されているという。攻撃サイトには、Web ブラウザのプラグイン(Java や Flash、PDF、Silverlight)などの脆弱性を攻撃する Exploit Kit が設置されており、アクセスした PC はマルウェアに感染する可能性がある。

対策

対策として Movable Type だけではなく、 OS やサーバソフトウエアも最新の状態にアップデートすることを推奨している。

Movable Type 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始 http://www.movabletype.jp/blog/6035210517.html

関連URL

Movable Type を安全に利用するためにできること | MovableType.jp

http://www.movabletype.jp/blog/secure_movable_type.html

【重要】Movable Type の利用に関する注意喚起 | さくらインターネット http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=895

三井住友銀行が自動で不正送金するマルウェア発生について注意喚起

三井住友銀行が自動で不正送金するマルウェア発生について注意喚起

概要

三井住友銀行のオンラインバンキングである「SMBCダイレクト」にログインした直後に、
偽の振込み画面を表示して暗証番号などの情報を入力させ、
盗み取った暗証番号を使って自動的に不正送金するマルウェアが発生しているそうです。

2014年5月12日、三井住友銀行のホームページ上で注意喚起を行っている。

【重要】インターネットバンキング(SMBCダイレクト)の情報を盗み取ろうとするコンピュータウィルスにご注意ください : 三井住友銀行
http://www.smbc.co.jp/security/popup.html

これまでもネットバンキングの暗証番号などを盗み取るマルウェアは存在していたが、
今回のマルウェアは盗み取った情報を使って自動的に不正送金する点が特徴となっている。また、ワンタイムパスワードを使っている利用者でも被害が発生しているという。

下記、現在確認されているマルウェアの特徴です。
これらの現象が発生した場合は処理を中止して、ウイルス対策ソフトウェアによるウイルス駆除やパソコン初期化などの対応を検討する必要がある。

  • ログイン直後に「ダウンロード中です」や「読込中です」などの進行状況を示すプログレスバーが画面上部に表示される
  • ログイン直後に暗証カードの番号を入力させるポップアップ画面を表示し、暗証カードのすべての数字の入力させようとする

関連情報

     

Apache Struts2 の脆弱性(CVE-2014-0094) S2-020 を悪用する攻撃コードが公開

Apache Struts2 の脆弱性(CVE-2014-0094) S2-020 を悪用する攻撃コードが公開

概要

Java の Webアプリケーション開発で多く利用されているフレームワーク Apache Struts 2 のバージョン 2.0.0 ~ 2.3.16.1 に、ClassLoader を操作される脆弱性CVE-2014-0094CVE-2014-0112CVE-2014-0113CVE-2014-0116)(S2-021S2-022)が見つかっています。情報処理推進機構(IPA) によると、この CVE-2014-0094 の脆弱性を悪用する攻撃コードが公開されているとの情報があり、再現検証を実施した結果、ウェブアプリケーションの権限を使って情報窃取やファイル操作、ウェブアプリケーションを一時的に使用不可にできることを確認したとのこと。

Apache Struts は、昨年2013年7月にも深刻な脆弱性(S2-016; CVE-2013-2251)が発見されており、検証コード公開により攻撃が急増。ウェブサーバに不正に web shell (ウェブシェル)などを設置され、データベースなどの情報を盗み取られる等の被害が多数出ました。

CVE-2014-0094 (S2-020) についても、今回の攻撃コード公開により脆弱性を持つウェブサーバが被害を受ける可能性が非常に高まっています。早急に対策することをお勧めします。


CVE-2014-0094 (S2-020) の脆弱性の概要

Apache Struts2 のデフォルトアップロードメカニズムに DoS 攻撃可能な脆弱性がある。また、ParametersInterceptor には、class パラメータを使って ClassLoader を操作出来てしまう脆弱性がある。

The default upload mechanism in Apache Struts 2 is based on Commons FileUpload version 1.3 which is vulnerable and allows DoS attacks. Additional ParametersInterceptor allows access to 'class' parameter which is directly mapped to getClass() method and allows ClassLoader manipulation.


影響を受けるソフトウェア

CVE-2014-0094 の対策版である Apache Struts 2.3.16.1 も不備があり影響を受けます。 また、Apache Struts 1 についても同様の脆弱性があることが確認されました。


対策

脆弱性が修正された Apache Struts 2.3.16.1 にアップデートする

脆弱性が修正された Apache Struts 2.3.16.2 にアップデートする

Apache Software Foundation からのアナウンス
http://struts.apache.org/announce.html#a20140424

脆弱性が修正された Apache Struts 2.3.16.3 にアップデートする

Apache Struts 2.3.16.3 では、以下の複数の脆弱性が修正されている

RedHat Enterprise Linux  5 の Struts1 に関しては Struts1 CVE-2014-0114 修正アップデートを適用する


回避策(暫定対策)

すぐに Apache Struts のバージョンアップは難しい場合は回避策を実施する。また、Apache Struts1 は、すでにサポートが終了しているため対策版はリリースされません。回避策を参考に対策する必要があります。


攻撃情報

Apache Struts 2 の S2-020 の攻撃の検知情報が出てきました。早急に対策する必要があります。

Struts 1の内部動作上、「class」の先頭の大文字・小文字は区別されます。そのため、先頭の「c」が大文字の場合、今回の脆弱性をついた攻撃は成功しません。


関連URL

  • StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを blog
  • http://d.hatena.ne.jp/higayasuo/20140425/1398403491

    このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータをBeanUtilsを使って、JavaBeansにセットしているフレームワークは、Strutsに限らず同じことが起きると思います。

  • 無償グループウェア「GroupSession」に「Apache Struts」起因の脆弱性 - 窓の杜
  • http://www.forest.impress.co.jp/docs/news/20140508_647318.html

    日本トータルシステム(株)は4月28日、無償で利用できるJava製の国産グループウェア「GroupSession」の最新版v4.2.6を公開した。本バージョンでは「Apache Struts」に起因する脆弱性が修正されている。

    「GroupSession」は、内部で「Apache Struts 1」を利用しているそうです。このため、脆弱性(CVE-2014-0094)の影響を受ける可能性がある。GroupSession v4.2.6 では修正されている。

  • CVE-2014-0114 は Red Hat 製品に含まれる Struts 1 に影響がありますか - Red Hat Customer Portal
  • https://access.redhat.com/site/ja/node/870563

    Struts 1 はすでにアップストリームでサポートされておらず、アップストリームではパッチ作成の責務はありません。Red Hat は、影響を受ける製品のパッチについて、高い優先度で対応中です。

    Red Hat はパッチ作成の責務はないけど、何らかの対応はするつもり?

  • 【セキュリティ ニュース】【修正】「Apache Struts 2.3.16.2」が公開 - 対応不十分だった深刻な脆弱性に対応:Security NEXT
    http://www.security-next.com/048414

  • Struts2 S2-020在Tomcat 8下的命令?行分析 - 百度安全中心
    http://sec.baidu.com/index.php?research/detail/id/18
  •   検証していませんが S2-020 の POC などの記載がありました。
    ClassLoader を使って Tomcat のログの出力先やファイル名を変更して、wepapps/ROOT などの公開ディレクトリ上に shell1.jsp を作成。
    shell1.jsp ログとして「<%Runtime.getRuntime().exec("calc");%>」などの jspコードを記録させて、shell1.jsp を呼び出すと calc が実行されるというもの。



« 2014年4月 | トップページ | 2014年6月 »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索