トップ > 【日刊】忙しい人のためのセキュリティニュース(2017/10/09) Pornhubに仕込まれたマルヴァタイジング/Office365ビジネス用アカウントを標的に攻撃/FormBookの蔓延 他

【日刊】忙しい人のためのセキュリティニュース(2017/10/09) Pornhubに仕込まれたマルヴァタイジング/Office365ビジネス用アカウントを標的に攻撃/FormBookの蔓延 他

f:id:nanashi0x:20171010203540p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

Pornhubに仕込まれたマルヴァタイジング

アダルトビデオ無料配信サイト『PornHub』にマルウェアをインストールさせる広告が仕込まれた。

KobCoreGによってPornHubにマルウェア広告が仕込まれ、以下のように訪問ユーザーが使うブラウザの種類によってアラートメッセージを表示する。ユーザーがアラートメッセージをクリックすると、攻撃者が作成した”本物っぽい”ページに遷移させられる。

IEMicrosoft Edgeの場合

Adobe Flash Playerのインストール画面を表示。HTAファイルをダウンロードさせられる。

ChromeFirefoxの場合

ChromeFirefoxのアップデート画面を表示。JavaScriptファイルをダウンロードさせられる。

いずれの場合もダウンロードさせられるのは『Kovter』というトロイの木馬だ。Kovterの挙動について記載しているニュース記事があったので、引用したい。

(Kovter)は、オーソドックスにファイルベースで動作する一方、PowerShellが導入された環境や、ネットワーク経由でPowerShellを追加できる環境では、レジストリへ自身のコードを隠ぺいし、ファイルを持たないメモリ常駐型のマルウェアとして機能する特徴を持っていた。(引用元”マルウェア「Kovter」が進化、コードをレジストリに隠ぺい”)

犯行グループとされるKovCoreGは、ISPから取得できるユーザーの地理情報を元に、アメリカ、イギリス、カナダ、オーストラリアのユーザーを標的とした。

Office365ビジネス用アカウントを標的に攻撃

http://www.securityweek.com/stealthy-attack-could-hit-50-percent-large-office-365-customers-report

本年5月のSkyhigh Networksによる発見以来、Office365のビジネス用アカウントに対する攻撃が未だに継続している。

攻撃者の用いる手法は巧妙で、まずはOffice365のユーザーアカウントデータベース情報を盗み出す。

そして盗み出したアカウントに対してパスワード入力を行う。

本来ならブルートフォース攻撃を仕掛ければアカウントがロックされたり、検知アラートが管理者に飛び、アカウント保有者に通知が行くような対策はしてあるはずだ。

しかし攻撃者からしたらそのような設定は想定内で、検知に引っかからない巧妙な手段を用いている。

攻撃者は取得したデータベースの2%以下の数のアカウントに対して攻撃を実行する。更に、攻撃の際も各アカウントに対して2−3回程しかログイン試行を試みない。

このようにすれば大規模にアカウントが攻撃されているようには見えず、2−3回程度のログインエラーは通常ユーザーでも起こす為、セキュリティ管理者は攻撃に気づきにくい。

FormBookの蔓延

過去記事(2017/10/04)でも紹介したFormBookだが、ThreatPostによってさらに情報が公表された。

FormBookはダークウェブで購入できるマルウェアで、キーロガー、プロセス監視、HTTPセッション情報の盗聴等、多様な方法を使ってユーザー情報を盗み出す。

FireEye社のレポートによれば、このような機能は以前から存在したので特別ではないが、「FormBookの簡単な操作性(GUI)、値段の安さ、どこでも手に入る点等から、クラッカー達のスキルに関わらず扱う事が出来る為、人気が出ている」という事だ(ThreatPost)。

Dnsmasqって何?脆弱性のチェック方法は?

過去記事でも紹介したDnsmasqに関する7つの脆弱性に関する記事だが、Trendmicroによって詳細な情報が書かれていたので改めてダイジェストを書いておきたい。

そもそもDnsmasqとは何か、Wikipediaには以下のように書いてある。

Dnsmasqは軽量で比較的容易に設定できるDNSサーバのフォワーダとDHCPサーバをもつソフトウェアである。ADSL回線などのインターネットサービスプロバイダを利用してインターネットにNATによる接続をしている(最大1000クライアント以下の)小規模ネットワークを対象に設計されている。 Dnsmasqを利用すると、グローバルなDNSには保持されないローカルエリア内の端末にDNSのサービスを提供することができ、(2回目以降のグローバルアドレス参照では対内DNSが応答するので)対外DNSの負荷分散に貢献でき応答性の向上が期待できる。--Wikipedia"Dnsmasq"

簡単に説明すると、Dnsmasqとは小規模ネットワーク用のDNSサーバの事だ。。

LinuxベースのOSを搭載する端末(Android含む)のネットワーク設定に使われる事が多く、ルーターにもDnsmasqが使われている。

さらに最近ではIoTデバイスでもDnsmasqが使われているので、今回の脆弱性が対象となる端末は非常に多く存在している事が推測できる。

脆弱性を発見したGoogleが提供するサービスはパッチが提供されるので、Android端末のユーザーは定期アップデートを適用するだけで脆弱性の心配をする必要はないだろう。

しかしGoogle以外のサービスの場合は、Dnsmasq 2.78にアップデートする必要がある。PackageのDnsmasqを使っていない場合は、ソースコードから新たにビルドするしかない。(ソースコードは開発者のウェブサイトでGitが公開されている

他にも小規模オフィス等でネットワーク運用をしている場合は、Dnsmasqの設定をオフにしておくといいだろう。