つぶやき

このブログは,ご覧頂いたあなたのコンピュータが犯罪に利用されていないか?確認していただく為のひとつの手段としてご利用頂ければ幸いです。電子メール:amaterasu@job.email.ne.jp


テーマ:

不正アクセス

http://internet.watch.impress.co.jp/cda/news/2004/08/20/4320.html


市場

http://japan.cnet.com/news/tech/story/0,2000056025,20124927,00.htm


ガイドライン

http://www.watch.impress.co.jp/game/docs/20060605/ogfguide.htm

AD
いいね!した人  |  リブログ(0)

テーマ:
Published: 2006-05-24,
:2006-05 - 24を発表しました、
Last Updated: 2006-05-24 11:55:40 UTC by Johannes Ullrich (Version: 2(click to highlight changes) )
最新アップデート:2006-05-24 ヨハンネス・ウルリッヒによっての11:55:40の UTC (バージョン:2(変更を強調するクリック))

This morning (shortly after 9am UTC, 5am EDT), Cogent experienced an outage resulting in many sites being not reachable. Things are slowly coming back together. Some sites may still not yet be reachable.
今朝(午前9時の UTC 、午前5時東部夏期時間でのすぐ後に)、 Cogent は停電が多くのサイトが到達可能ではないという結果になっているのを経験しました。 ものが一緒にゆっくりと戻って来ます。 若干のサイトがまだまだ到達可能ではないかもしれません。

Keynote shows issues between Cogent and almost all of its peers, as well as some isolated issued with Savvis.
Cogent と、いくらかと同様、その対等者のほとんどすべての間の銘柄が隔離した要旨ショーが Savvis と一緒に発せられました。
http://scoreboard.keynote.com/scoreboard/Main.aspx?Login=Y&Username=public&Password=public
http://scoreboard.keynote.com/scoreboard/Main.aspx?Login=Y&Username=public&Password=public

Note: Cogent's URL is 'cogentco.com', NOT 'cogent.com'.
ノート: Cogent の URL は、「cogent.com」ではなく、「cogentco.com」です。

Screen shot from Keynote as of 07:50 EDT (11:50 UTC):
東部夏期時間で07時50分(11時50分の UTC)の時点でショットを Keynote から保護してください:
keynote
AD
いいね!した人  |  リブログ(0)

テーマ:

Possible GNU Strings Denial Of Service Vulnerability (NEW)
可能なGNUは(新しい)サービス弱点の否定を張ります

Published: 2006-05-23,
:2006-05 - 23を発表しました、
Last Updated: 2006-05-23 22:57:48 UTC by David Goldsmith (Version: 2(click to highlight changes) )
最新アップデート:2006-05-23 デイビッド・ゴールドスミス(バージョン:2(変更を強調するクリック))によっての22:57:48の UTC

SecurityFocus has a vulnerability advisory about an issue with the GNU strings command and a potential Denial of Service attack. If a file contains certain character strings, the string command will crash due to a failure to properly handle unexpected user-supplied input.
SecurityFocus はコマンドとサービスの可能性がある否認が攻撃するGNU付帯条件で問題について弱点助言を持っています。 もしファイルがある特定の文字列を含むなら、ストリングコマンドは適切に意外なユーザーによって供給されたインプットを取り扱うという失敗のためにクラッシュするでしょう。

The bugzilla entry 2584 authored by Jesus Olmos Gonzales, who discovered the issue, contains more information. It indicates the the issue actually lies within the bfd_hack_lookup() routine in the BFD library.
問題を見いだしたジーザス・ Olmos ゴンザレスによって著作された bugzilla エントリー2584はもっと多くのインフォメーションを含んでいます。 それが示す問題は BFD ライブラリで bfd_hack_lookup () ルーチンの中で実際に横たわる.

The results of initial testing done by several ISC Handlers made it appear that this was only affecting some Linux/Unix distributions and not others. Further testing indicated that the "exploit" seems sensitive to the content of the triggering file.
数人の ISC 調教師によってされた最初のテストの結果はそれをこれがただ他のものではなく、若干の Linux / Unix 分配に影響を与えていただけであったように思われさせました。 それ以上のテストが「偉業」が引き起こしているファイルの内容に敏感に思われることを示しました。

If the file contained only the following line:
もしファイルがただ次のラインだけを含んだなら:

%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc
%の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc

then running strings on the file would result in a segmentation fault.
それからストリングをファイル上で走らせることは分割欠陥をもたらすでしょう。

If the file contained additional content, such as:
ファイルが追加の内容、そんなものを含んだもし:

This file will not crash
このファイルはクラッシュしないでしょう
%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc
%の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc

then running strings on the file did not result in a segmentation fault.
それからストリングをファイル上で走らせることは分割欠陥をもたらしませんでした。

The potential security impact of this is an attacker might be able to include this character sequence in their executable thereby making it harder to do binary analysis with the strings command.
これの潜在的なセキュリティー影響は、付帯条件が命令するという状態で、2進法の分析をすることをもっと難しくして攻撃者がそれによって(彼・それ)らの実行可能プログラムにこの文字のシーケンスを含めることが可能であるかもしれないということです。

To test if you system is vulnerable to this issue, you can run the following commands:
あなたシステムがこの問題に傷つきやすいかどうか試すために、あなたは次のコマンドを行なうことができます:

echo "%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc%253Cc" > evil-file
「%の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc %の 253Cc」 > 悪 - ファイルに共鳴してください
strings evil-file
悪 - ファイルを張ります

If you get a segmentation fault, you are vulnerable.
もしあなたが分割欠点を受けるなら、あなたは攻撃されやすいです。

Results for some tested operating systems [1]:
若干のテストされたオペレーティング・システム[1]に対する結果:

CentOS 4.3 - vulnerable
CentOS 4.3 - 攻撃されやすいです
Fedora Core 4 - vulnerable
中折れ帽コア4 - 攻撃されやすいです
Mac OS X 10.4.5 - NOT vulnerable
Mac OS X10.4.5 - 攻撃されやすくありません
OpenBSD 3.5 - vulnerable
OpenBSD 3.5 - 攻撃されやすいです
OpenBSD 3.9 - vulnerable
OpenBSD 3.9 - 攻撃されやすいです

Cygwin - vulnerable
Cygwin - 攻撃されやすいです

Update 1:
最新情報1:

Here is a workaround that may work for some folks. Run the strings command with the "-a" option. This says to scan the whole file instead of just the "initialized and loaded sections of object files". When "strings -a evil-file" ran, it did not result in a segmentation fault. (Thanks Swa)
若干の人々のためにここにうまくいくかもしれない回避策があります。 ランストリングは「- で1インチを取得するオプション. これはただ「初期化された(人たち・もの)の代わりにファイル全体を走査するように言って、そしてオブジェクトファイルのセクションをロードしました」。 「ストリング - 害悪 - がファイルする」が走ったとき、それは分割欠陥をもたらしませんでした。 (Swa のおかげで)

[1] - "vulnerable" meaning that the included version of the "strings" command will segment fault.
[1] - 「ストリング」コマンドの含まれるバージョンが分けるであろう「傷つきやすい」意味 - が断層を生じます。

Metasploit Framework 2.6 Released (NEW)
公表された Metasploit のフレームワーク2.6(新しいです)

Published: 2006-05-23,
:2006-05 - 23を発表しました、
Last Updated: 2006-05-23 21:06:53 UTC by David Goldsmith (Version: 1)
最新アップデート:2006-05-23 デイビッド・ゴールドスミス(バージョン:1)によっての21:06:53の UTC

Version 2.6 of the Metasploit Framework was released today. The Metasploit Framework is an open-source penetration-testing / vuln-assessment tool, similar to the commercial tools CANVAS and CORE IMPACT . The latest version now has 3 user interfaces, 143 exploits and 75 payloads.
Metasploit のフレームワークのバージョン2.6は今日公表されました。 Metasploit のフレームワークは商業のツールカンバスとコア影響に類似しているオープンソース浸透テスト / vuln - 査定ツールです。 最新のバージョンは今3つのユーザインタフェース、143の偉業と75の有効搭載量を持っています。

If you already have an older version of the Framework installed (version 2.2 or newer), you can simply run "msfupdate" to update to the latest and greatest parts and pieces.
もしあなたがすでにインストールされたフレームワーク(バージョン2.2、あるいはもっと新しいです)の前のバージョンを持っているなら、あなたは最近の、そして最も大きい部分と小片に更新するためにただ「msfupdate」を走らせることができます。

Update on Word 0-Day Issue (NEW)
Word の上に(新しい)0日間の問題を更新してください

Published: 2006-05-23,
:2006-05 - 23を発表しました、
Last Updated: 2006-05-23 12:19:28 UTC by David Goldsmith (Version: 1)
最新アップデート:2006-05-23 デイビッド・ゴールドスミス(バージョン:1)によっての12:19:28の UTC

Microsoft and eEye have each released advisories related to the issue this evening.
マイクロソフトと eEye はそれぞれ今晩問題と関係がある助言を公表しました。

Microsoft's security advisory can be found here.
マイクロソフトのセキュリティー助言はここで見いだされることができます。

eEye's advisory can be found here.
eEye の助言はここで見いだされることができます。

The information about vulnerable exploits differs a little between the two advisories.
傷つきやすい exploit についてのインフォメーションは2つの助言の間に少し異なります。

Microsoft says the vulnerability only affects Word 2002/XP and Word 2003 and that Word 2000 is not vulnerable. The Microsoft advisory contains information on workarounds including not using Word as the default mail editor in Outlook and running Word in 'Safe Mode' to disable the functionality that is affected by the vulnerability and exploit.
マイクロソフトは弱点がただ Word 2002年 / XP と Word 2003に影響を与えるだけである、そして Word 2000が傷つきやすくないと言います。 マイクロソフト助言はアウトルックで Word をデフォルトメールエディタとして使用しないことと、弱点と exploit によって影響を与えられる機能性を停止するために「安全なモード」で Word を走らせることを含めて回避策についてのインフォメーションを含みます。

eEye says that the vulnerability affects Word 2000 as well. The eEye advisory mentions that they believe there are two variants of this exploit. Thus, it may be that the first variant only affects Word 2002/XP and 2003 and the second variant affects all three versions.
eEye が弱点が同様に Word 2000年に影響を与えると言います。 eEye 助言は(彼・それ)らがこの偉業の2つの変形があると信じると述べます。 それで、最初の変形がただ Word 2002年 / XP に影響を与えるだけである、そして2003と2番目の変形がすべての3つのバージョンに影響を与えるのであるかもしれません。

(出展:SANS)

AD
いいね!した人  |  リブログ(0)

テーマ:

May 18 2006 7:52AM
2006年5月18日午前7時52分




With Myspace popularity exploding it was only a matter of time. There have been reports of a phishing attack which targets Myspace customers by requesting login details via a login page. The site was originally reported on "Technocrats" blog here: (http://djtechnocrat.blogspot.com/2006/05/myspace-phishing-attacks-on-rise.html ). Although the site was down at the time we tested it, we have no reason to believe this was not live bait and expect more attacks in the future.
Myspace 人気でそれを爆発させることはただ時間の問題に過ぎませんでした。 ログインページによってログインの詳細を求めることによって、 Myspace 顧客をターゲットにするフィッシング攻撃の報告がありました。 サイトはここで「専門技術者」ブログで当初報告されました: (http://djtechnocrat.blogspot.com/2006/05/myspace-phishing-attacks-on-rise.html) 。 サイトが我々がそれをテストした時にダウンしていたけれども、我々はこれが電流が通じたえさではなかったと信じる理由を持っていないそして将来もっと多くの攻撃を予想します。

Site screenshot from "Technocrats" blog:
「専門技術者」ブログからのサイトスクリーンショット:


(出展:Websense)

いいね!した人  |  リブログ(0)

テーマ:

Hacktivism...wide scale defacement on more than 20,000 sites.
Hacktivism ...20,000以上のサイトの上の広いスケール defacement 。

May 19 2006 9:10AM
2006年5月19日午前9時10分




Zone-H, the popular defacement reporting website, reported that more than 20,000 websites have been compromised and defaced. The sites were hacked by someone with the handle "Iskorpitx" and displayed the Turkish flag along with other information. See screenshot below. Luckily there appears to be no malicious code on the sites, however this shows the potential of how vulnerable machines are being exploited and have the potential for spreading malicious code in a widespread manner.
地域H、人気が高い defacement 報告ウェブサイト、が 20,000以上のウェブサイトが妥協解決されて、そして落書きされたと報告しました。 サイトはハンドル「Iskorpitx」と一緒の誰かによってたたき切られて、そして他のインフォメーションとともにトルコのフラグを表示しました。 見てください、下のスクリーンショット。 運良くサイトに悪意があるコードがあるように思われません、しかしながらこれは傷つきやすいマシンがどのように利用されていて、そして広範囲にわたる方法で悪意があるコードを広める可能性を持っているかの可能性を示します。

Zone-H information details: http://www.zone-h.org/news/read/id=206009 (*warning, language that maybe offensive to some is on this site*)
ゾーンHインフォメーションの細部: http://www.zone-h.org/news/read/id=206009 (* 多分いくらかへの攻撃がこのサイトの上にあるという言語警告 *)

Example site screenshot:
例サイトスクリーンショット:


(出展:Websense)

いいね!した人  |  リブログ(0)

テーマ:

There's been quite a lot of buzz about the new 0-day Word vulnerability.
新しい0日間の Word 弱点について非常に多くのブンブンいう音がありました。

While talking about details of the vulnerability, it's easy to forget what the vulnerability was actually used for.
弱点の詳細について話をしている間に、弱点が実際に何のために使われたか忘れることは容易です。

According to the information we have, a US-based company was targeted with emails that were sent to the company from the outside but were spoofed to look like internal emails.
我々が持っているインフォメーションによれば、合衆国ベースの会社が外部から会社に送られた、しかし内部電子メールのように見えるために偽装された電子メールで狙いを定められました。

8866The emails contained a Word DOC file as an attachment. DOCs are a nasty attack vector. Few years ago, when macro viruses were the number one problem, many companies were not allowing native DOC files through their email gateways. Now that has changed, and DOCs typically get through just fine. But Word has vulnerabilities and users typically don't install Word patches nearly as well Windows patches.
電子メールはアタッチメントとして Word ドクターファイルを含みました。 DOCs は不快な攻撃ベクトルです。 ほとんど年前に、マクロウイルスがナンバー1の問題であったとき、多くの会社が(彼・それ)らの電子メールゲートウェイを通ってネイティブのドクターファイルを許していなくはありませんでした。 今それは変化しました、そして DOCs は典型的にただ素晴らしくて成し遂げます。 けれども Word は弱点を持っています、そしてユーザーが典型的にほとんど元気な Windows のパッチとして Word のパッチをインストールしません。

When run, the exploit file ran a backdoor, hid it with a rootkit and allowed unrestricted access to the machine for the attackers, operating from a host registered under the Chinese 3322.org domain.
走らせられるとき、 exploit ファイルはバックドアを走らせて、 rootkit でそれを隠して、そして、中国語の 3322.org ドメインの下で登録されたホストから稼働して、攻撃者にマシンへの無制限のアクセスを割り当てました。

3322.org is a free host bouncing service in China. Anybody can register any host name under 3322.org (like whatever.3322.org) and the service will point that hostname to any IP address you want. There's actually a series of such services, including 8866.org, 2288.org, 6600.org, 8800.org and 9966.org. There are tons of useful things you can do with such host-resolving service. And tons of bad things too.
3322.org は中国でサービスを跳ね上げる無料のホストです。 誰でも(whatever.3322.org のような) 3322.org の下でどんなホスト名でも登録することができます、そしてサービスはあなたが欲するどんな IP アドレスにでもそのホスト名を向けるでしょう。 8866.org 、 2288.org 、 6600.org 、 8800.org と 9966.org を含めて、実際にこのようなサービスのシリーズがあります。 あなたがこのようなホストを変換するサービスですることができる有用なことのトンがあります。 そして同じく良くないことのトン。

Now, we've seen these kinds of attack before.
今、我々は前にこれらの種類の攻撃を見ました。

In March 2005, somebody was sending out dozens of emails to US government email addresses, spoofed to be from Washington Post. The email content talked about "international IPR conventions China has acceded to". The attached DOC file dropped a backdoor that connected to a host under 8866.org.
2005年3月に、誰かが、「ワシントン・ポスト」からであるためにペテンにかけられて、合衆国政府の電子メールアドレスに多数の電子メールを送っていました。 電子メール内容は「中国が応じた国際 IPR 会議」について話をしました。 付加されたドクターファイルは 8866.org の下でホストに接続したバックドアを落としました。

In September 2005, somebody sent several batches of EU-themed emails to addresses at the EU Parliament. Email topics included "Parliamentary Assembly", "Assembly of Council of Europe" and "Parliamentary Assembly Declaration". Emails contained a DOC that connected to a host under 3322.org.
2005年9月に、誰かがEU議会でアドレスに数回分のEUをテーマにした電子メールを送りました。 電子メールトピックが「議会の議会」、「ヨーロッパ会議の議会」と「議会の議会公表」を含みました。 電子メールが 3322.org の下でホストに接続したドクターを含みました。

In March 2006, a big European company received emails that were spoofed to look like internal job applications. The attached DOC file dropped a backdoor that connected to a host under 3322.org.
2006年3月に、大きいヨーロッパの会社が内部の求職申し込みのように見えるために偽装された電子メールを受け取りました。 付加されたドクターファイルは 3322.org の下でホストに接続したバックドアを落としました。

In April 2006, another European company was targeted by a similar attack, this time connecting to a host under 8866.org.
2006年4月に、もう1つのヨーロッパの会社が、今回は 8866.org 以下のホストに接続して、類似の攻撃によって目標を定められました。

And now in May 2006, this latest case complete with a zero-day exploit, connecting to a host under 3322.org.
そして2006年5月、 3322.org の下でホストに接続しているゼロ日 exploit を完備したこの最近の事例で今。

So, should you block access to hosts under 3322.org, 8866.org and others? Depends. It's kind of like blocking access to Geocities: you'd block lots of bad stuff - and lots of good stuff. But then again, most users of these services are in China. If you're not in China and your users are not supposed to access different Chinese services, blocking might not break too many things.
それで、あなたは 3322.org 、 8866.org と他のものの下でホストへのアクセスを阻止するべきですか? 事情によります。 それはまあ Geocities へのアクセスを阻止するようです:あなたはたくさんの良くない物 - そしてたくさんの良い物をブロックするでしょう。 けれどもそれから再び、これらのサービスのたいていのユーザーが中国にいます。 もしあなたが中国にいなく、そしてあなたのユーザーが異なった中国のサービスにアクセスするはずではないなら、ブロックすることはあまりに多くのことを破らないかもしれません。

We'd recommend you'd at least check your company's gateway logs to see what kind of traffic you have to such services.
我々はあなたがあなたがこのようなサービスにどんな種類のトラフィックを持っているか見るために少なくともあなたの会社のゲートウェイが木材を伐採することを調べるであろうことを勧めるでしょう。

いいね!した人  |  リブログ(0)

テーマ:
Published: 2006-05-21,
:2006-05 - 21を発表しました、
Last Updated: 2006-05-21 18:32:42 UTC by Swa Frantzen (Version: 3(click to highlight changes) )
最新アップデート:2006-05-21 Swa Frantzen によっての18:32:42の UTC (バージョン:3(変更を強調するクリック))

Learn
学んでください

Learning lessons from incidents is a very important part of incident handling. Yet with targeted attacks it is very hard as you need to have a case before you can learn. So learning from others is even more important in this case.
事件からのレッスンを学ぶことは扱える事件の非常に重要な部分です。 もう目標を定められた攻撃で、あなたが学ぶことができる前に、ケースを持つことはあなたが必要とすると比べて非常に難しいです。 それで他の人たちから学ぶことはこの場合さらにいっそう重要です。

Michael reported on an unnamed organization being hit by a limited, extremely targeted attack.
マイケルは限定された、極めて目標を定められた攻撃によって打撃を与えられている匿名の組織について報告しました。

Detection is mostly the very hard part in these attacks. This case seems to have been detected by a very alert user detecting a domainname in an email that wasn't completely right.
検出はこれらの攻撃で主として非常に難しい部分です。 このケースは完全に正しくなかった電子メールで domainname を検出している非常に油断なく気を配るユーザーによって検出されたように思われます。

That user detected an email coming in that originated from a domain that looked like their own, but wasn't their own (actually only had an MX record in it). The email was written to look like an internal email, including signature. It was addressed by name to the intended victim and not detected by the anti-virus software.
そのユーザーは(彼・それ)ら自身のもののように見えたが、(彼・それ)ら自身のものではありませんでした(実際にただその中に MX レコードを持っていただけであった)ドメインに起源した入ってきている電子メールを検出しました。 電子メールは、署名を含めて、内部電子メールのように見えるよう書かれました。 それは所期の犠牲者に名前によって扱われて、そして対ウイルスのソフトウェアによって検出されませんでした。

FUD ?
FUD ?

In reaction to this reporting we've seen people react to it like it were a widespread thing. We need to stress this is not the case. This kind of attack is new, and so must the response be.
この報告への反応で我々は人々が、それが広範囲にわたることであったように、それに反応するのを見ました。 我々はこれがケースではないことを強調する必要があります。 もし応答がそうであったなら、この種類の攻撃は新しくて、そしてそうです。

The group originating these attacks does so in a very targeted fashion. The document is crafted to target a specific organization, containing specific elements that deal with just that one organization. If you don't work for them, you are very unlikely to ever see this. Proof of how rare it is, are the number of requests for samples we got from companies like anti-virus vendors.
これらの攻撃を創作しているグループは非常に目標を定められたファッションでそうします。 ドキュメントは、ただその1つの組織だけを扱う特定の要素を限定して、特定の組織に目標を定めるために精巧な細工をされます。 もしあなたが(彼・それ)らのために働かないなら、あなたは今までにこれを見ることが非常にありそうもありません。 それがどれぐらいまれであるかについての証明、我々が対ウイルスのベンダーのような会社から得たサンプルのリクエストの数です。

Chances are really huge you're not targeted, at least not by this exploit. There is so far one group doing (at least) one very targeted attacks with this. Either they need to change their method of operation to do widespread attacks, or some other group would need to get a sample, reverse engineer it, find the core of the exploit, modify it to work in a wider fashion and launch a new attack.
あなたがそうである可能性が本当に強い、少なくともこの偉業のそばに、向けない. これまでのところこれで(少なくとも)1人に非常に目標を定められた攻撃をしている1つのグループがあります。 (彼・それ)らが広範囲にわたる発作をするオペレーションの(彼・それ)らの方法を変える必要があること、あるいは何か他のグループがサンプルを得て、それをリバース・エンジニアして、偉業のコアを見いだして、1つの新しい発作1つのより広い方法と始動を取り入れるためにそれを修正する必要があるであろうことが、どちらかが真です。

So do you need to dig in now? Most likely not, we suggest you act as if it's any new vulnerability where the details are still very well hidden.
それであなたは今穴を掘る必要がありますか? 最も見込みが高くそうではない、我々はあなたが細部がまだきっと隠されるのはどんな新しい弱点でもであるかのように振る舞うことを提案します。

  • The one being targeted organization needs specific actions.
    1つの存在は組織の必要に特定された行動に目標を定めました。
  • If you are on the potential target list, you need to learn to defend against the unknown, not against this threat.
    もしあなたが潜在的な標的リストに載っているなら、あなたは、この脅威に対してではなく、無名から守ることを学ぶ必要があります。
  • If you're not on their target list, chances are you will not see an exploit till Microsoft releases a patch and the knowledge to exploit it can be derived by the hackers.
    もしあなたが(彼・それ)らの標的リストに載っていないなら、マイクロソフトがパッチをリリースし、そしてそれを利用する知識がハッカーによって得られることができるまで、チャンスはあなたが功績を見ないであろうということです。

Panic and blindly taking actions is probably the worst course of action you can take.
パニックを起こしてください、そうすればやみくもに行動をとることはおそらくあなたがとることができる最も悪い行動方針です。

Report
報告

To say it in Michael's words:
マイケルのワードでそれを言うために:

"Emails were sent to specific individuals within the organization that contained a Microsoft Word attachment. This attachment, when opened, exploited a previously-unknown vulnerability in Microsoft Word (verified against a fully-patched system). The exploit functioned as a dropper, extracting a trojan byte-for-byte from the host file when executed. After extracting and launching the trojan, the exploit then overwrote the original Word document with a "clean" (not infected) copy from payload in the original infected document. As a result of the exploit, Word crashes, informs the user of a problem, and offers to attempt to re-open the file. If the user agrees, the new "clean" file is opened without incident." They are working with Microsoft on this.
」電子メールがマイクロソフト・ワードのアタッチメントを含んだ組織の中で特定の個人に送られた. このアタッチメントは、開かれるとき、(完全にパッチを当てられたシステムに対して確認された)マイクロソフト・ワードで前に未知の弱点を利用しました。 実行されるとき、 exploit はホストファイルから1 trojan 「バイトためのバイトを」抽出して、点滴器として作用しました。 trojan を引き抜いて、そして開始した後で、 exploit は有効搭載量からオリジナルの感染しているドキュメントで「きれいな」(感染していない)コピーでそれからオリジナルの Word ドキュメントに上書きしました。 偉業の結果として、 Word はクラッシュして、ユーザーに問題を知らせて、そしてファイルを再開しようと試みようと申し出ます。 もしユーザーが同意するなら、新しい「きれいな」ファイルは何事もなく開かれます。」(彼・それ)らはこれの上にマイクロソフトと共に働いている.

"We are still analyzing the trojan dropped by the exploit. What we do know is that it communicates back to localhosts[dot]3322[dot]org via HTTP. It is proxy-aware, and "pings" this server using HTTP POSTs of 0 bytes (no data actually POSTed) with a periodicity of approximately one minute. It has rootkit-like functionality, hiding binary files associated with the exploit (all files on the system named winguis.dll will not be shown in Explorer, etc.), and invokes itself automatically by including the trojan binary in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows". Note that, as of this morning, no anti-virus signatures detected this file as problematic according to virustotal.com.
」我々はまだ exploit によって落とされた trojan を分析している. 我々が知っていることはそれが HTTP によって localhosts [ドット]3322に戻る[ドット] org を伝えるということです。 それはプロクシ - 気付いていて、そしておよそ1分の定期性で0バイト(データが実際にポストしませんでした)の HTTP ポストを使ってこのサーバーに「ソナー信号を送ります」。 それは、 exploit と結び付けられる2進ファイル(すべてのファイルは winguis.dll という名前のシステムでエクスプローラなどで見せられないでしょう)を隠して、 rootkit のような機能性を持っていて、そして、「HKEY_LOCAL_MACHINE \ソフトウェア\マイクロソフト\ Windows NT \ CurrentVersion \ Windows」に trojan 2進を含めることによって、自動的にそれ自身に訴えます。 今朝の時点で、対ウイルスの署名が同じぐらい virustotal.com によれば問題のこのファイルを検出しなかったことに注意を払ってください。

We have traced nearly this attack to the far east; specifically, China and Taiwan. IP's seen are registered there, domains seen are registered there, and the emails received originated from a server in that region. The attackers appear to be aware that they have been "outed", and have been routinely changing the IP address associated with the URL above.
我々は;特に、極東にほとんどこの発作を追跡しました、中国と台湾。 見られた IP はそこ(に・で)登録されています、見られたドメインがそこ(に・で)登録されます、そして受け取られた電子メールはその地域でサーバーに起源しました。 攻撃者は(彼・それ)らが(今まで)そうであったことを知っているように思われる「公表する」、そして定期的に上記の URL と結び付けられる IP アドレスを変えていました.

Due to the aggravating circumstances (0-day, no AV detection), we wanted to make sure the community is aware that this problem exists as soon as possible."
腹立たしい状況(0日間の、AV検出はなしです)のために、我々は共同体がこの問題ができるだけ早く存在することを知っていることを確認することを望みました。」

More information:
もっと多くのインフォメーション:

Many thanks to all handlers active on this: Johannes, Chris, William, Adrien.
これの上に現役のすべての調教師:ヨハンネス、クリス、ウィリアム、エイドリアンに大変ありがとうございます。

--

Swa Frantzen - Section 66
Swa Frantzen - セクション66
いいね!した人  |  リブログ(0)

テーマ:
Published: 2006-05-12,
:2006-05 - 12を発表しました、
Last Updated: 2006-05-12 00:23:57 UTC by Bojan Zdrnja (Version: 1)
最新アップデート:2006-05-12 ボーヤン Zdrnja によっての00:23:57の UTC (バージョン:1)

One of our readers, Chris, sent us a URL to an interesting site. The site in question tries to install some spyware on the users' machine. This in itself is not interesting, but some "more advanced" features that we've seen deployed on this site are.
我々の読者の1人、クリス、が面白いサイトに我々に URL を送ってくれました。 問題のサイトはユーザーのマシンの上にいずれかのスパイウェアをインストールしようとします。 これはそれだけで面白くありません、しかし我々がこのサイトで働かせられるのを見た若干の「いっそう進歩した」特徴がそうです。

The site creators first setup a wildcard DNS entry for their domain, so anything prefixed to their domain name will go to their web server. They needed to do this so they can try to poison Google rates and enhance their page rankings when users are searching for potential keywords. In Chris' case, he was looking for information about one higher education institution (the attack is not limited to higher education institutions; we've seen a lot of other "poison" attempts from this group).
1ワイルドカードサイト創造者最初のセットアップ(彼・それ)らのドメインへの DNS エントリー、(彼・それ)らのドメイン名に前接続された何でも(彼・それ)らの Web サーバに行くように. (彼・それ)らが Google レートを毒殺して、そして、ユーザーが潜在的なキーワードを捜しているとき、(彼・それ)らのページ順位表を拡張しようとすることができるように、(彼・それ)らはこれをする必要がありました。 クリスのケースで、彼は1つのより高等な教育機関についてのインフォメーション(攻撃は高等教育機関に制限されません;我々はこのグループから多くの他の「毒」の試みを見ました)を探していました。

Now they have the basis for their attacks and we come to the interesting part. As a security researcher, you should always be careful when accessing unknown URLs (if you want to try it with a browser, probably the best way is to use one in a virtual machine). So, we decided to use wget to download the initial index.html web page, to see what's inside. Surprisingly, wget didn't manage to download anything:
今(彼・それ)らは(彼・それ)らの攻撃の基礎を持っています、そして我々は面白い地域に来ます。 セキュリティー研究者として、未知の URL (もしあなたがブラウザでそれを試みることを望むなら、おそらく最も良い方法がバーチャルマシンで1(人・つ)を使うことです)にアクセスするとき、あなたは常に注意深くあるべきです。 それで、我々は wget を最初の index.html Web ページをダウンロードして、中にあるものを見るために使うことに決めました。 驚くべきことに、 wget が何かをダウンロードすることに成功しませんでした:

$ wget http://[REMOVED].ascii. zstopers.com
$ wget http://[REMOVED].ascii. が zstopers.com します
--10:56:29-- http://[REMOVED].ascii. zstopers.com/
- 10:56:29 - http://[REMOVED].ascii. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること |  接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 403 Forbidden
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 403が禁じられます
10:56:30 ERROR 403: Forbidden.
10:56:30のエラー403:禁じられました。

Hmm, forbidden. Ok, that goes with what Chris told us in his e-mail that the site seems to be down now. Being curious as we are (otherwise you won't be reading this diary) we decided to try the same site with Internet Explorer (in a virtual machine, of course).
ふーん、禁じられました。 オーケー、それはクリスが彼の電子メールで我々にサイトが今下がっているように思われると言ったものに付随します。 我々が(バーチャルマシンで、もちろん、)インターネット・エクスプローラで同じサイトを試みるために決断した、我々がそうであるように、不思議であること(さもなければあなたはこの日記を読んでいないでしょう)。

What we got: (I've removed the domain prefix, which showed higher education institution, but the spyware domain is still visible there):
我々が手に入れたもの:(私はより高等な教育機関を見せたドメイン接頭辞を削除しました、しかしスパイウェアドメインはそこ(に・で)まだ目に見えます) :



Notice the ActiveX control up there? That's what they want you to install. The popup will be shown until the user decides to install the ActiveX control. Keep in mind that other Internet Explorer versions will actually show a window asking the user to install the ActiveX component.
あちら(に・で) ActiveX コントロールに気付きます? それは(彼・それ)らがあなたがインストールすることを望むものです。 ユーザーが ActiveX コントロールをインストールすることに決めるまで、ポップアップは見せられるでしょう。 他のインターネット・エクスプローラバージョンが実際にユーザーに ActiveX コンポーネントをインストールするように求めてウインドウを見せるであろうということを念頭においてください。

So, why didn't our wget work? Let's try with Mozilla:
それで、我々の wget はなぜ働きませんでしたか? Mozilla と一緒に試みましょう:



Interesting! They detect what kind of browser is running, probably by parsing the User Agent field.
面白いです! (彼・それ)らはどんな種類のブラウザが、おそらくユーザーのエージェントフィールドを解析することによって、走っているか検出します。
So, let's try to download the web page (just the index.html) file with wget, but this time faking the User Agent field, so the remote site will think that we are actually using Internet Explorer. If you're wondering what the User Agent field should look like, the easiest way is to check web server logs on one of the servers you have access to. Below we used Internet Explorer's User Agent field.
それで、 wget で、しかし今回はユーザーのエージェントフィールドを偽造して Web ページ(ただ index.html)ファイルをダウンロードしようとしましょう、それで遠いサイトは我々が実際にインターネット・エクスプローラを使っていると考えるでしょう。 もしあなたがユーザーのエージェントフィールドが何のように見えるべきであるかと思っているなら、最も容易な方法はあなたがアクセスを持っているサーバーの1つで Web サーバログをチェックすることです。 下に我々はインターネット・エクスプローラのユーザーのエージェントフィールドを使いました。

$ wget -U "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://[REMOVED].ascii. zstopers.com/

$ wget U「Mozilla/4.0 (互換機; MSIE 6.0; Windows NT 5.1)」 http://[REMOVED].ascii. が / zstopers.com します
--11:04:52-- http://[REMOVED]. zstopers.com/
- 11:04:52 - http://[REMOVED]. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること |  接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 200 OK
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 200 OK
Length: unspecified [text/html]
長さ:特定されていない[テキスト / html ]

[ <=> ] 18,416 42.02K/s
[    <=>    ]18,416    42.02K / s

11:04:53 (41.87 KB/s) - `index.html' saved [18416]
11:04:53(41.87KB / s) - セーブされた「index.html」[18416]

Aha! So they do use the User Agent field to detect what browser you are running and then send you to different web pages depending on it.
アハ! それで(彼・それ)らはユーザーのエージェントフィールドをあなたがどんなブラウザを走らせているか検出して、そして次にそれによってあなたを異なった Web ページに行かせるために使います。
Further investigation of the index.html web page showed that it calls a JavaScript which then tries to install the WinAntiSpyware2006FreeInstall.cab, a well known spyware application, which some anti-virus vendors even detect as Trojans.
index.html Web ページのさらなる調査がそれがそれから WinAntiSpyware2006FreeInstall.cab をインストールしようとする JavaScript 、よく知られているスパイウェアアプリケーションを呼び出すことを示しました、そしてそれを若干の対ウイルスのベンダーが Trojan Horses として検出しさえします。

Those guys are definitely getting better and are actively adding new features to their malware. Remember the -U option for wget, it is very handy in cases like this.
それらの男たちは確かにもっと良くなっていて、そして活発に(彼・それ)らの悪性ソフトに新しい特徴を加えています。 wget の - U選択を覚えていてください、それはこのようなケースで非常に有用です。

いいね!した人  |  リブログ(0)

テーマ:

First off, thank you to those that took part in the poll regarding James Ancheta's 57 month jail sentence.
まず第一に、ジェームズ Ancheta の57カ月の服役期間に関して世論調査に参加した人たちにありがとうございます。

With 725 participants the results break down like this:
725人の参与者と一緒に結果はこのように弱まります:
294 - 40.6% thought that the sentence was Fair Enough or Just Right
判決がまともに十分であるか、あるいはまさに正しかったという294 - 40.6%の考え
213 - 29.4% thought that it was Too Little
それがあまりにも小さかったという213 - 29.4%の考え
161 - 22.2% thought that is was Too Much
161 - 22.2%の考えはすなわち、度が過ぎました
57 - 7.9% answered No Idea
57 - 7.9%が考えを満たしませんでした

We also received some e-mails on the matter. Reader Tony H. put it this way:
我々は問題に関して同じく若干の電子メールを受け取りました。 リーダートニー賞H.がこのようにそれを置きました:
Ancheta is believed to have had some 500,000 computers under his control. That works out to: Serving 1 year for every 100,000 or so machines he hit; Serving 1 month for every 9000 or so machines; Serving 1 week for every 2000 systems; Serving 1 day for every 300 or so systems; Serving 1 hour for every dozen systems; or Serving 5 minutes for each machine infected. Considering that it takes anywhere from 30 minutes to many hours of a skilled person's time to clean an infected system reliably, that means he's only going to lose 15% of the time he took from others - and he gets to sleep at least part of that time. :)
Ancheta は彼のコントロールの下でおよそ500,000のコンピュータを(これまでに)持っていると信じられます。 それは働きます:1年彼が打った100,000かそこらのマシンごととして用を果たすこと;9000かそこらのマシンごとのために1カ月を勤めること;1週2000のシステムごととして用を果たすこと;1時間すべてのダースでシステムをサポートするか;あるいは感染させられて5分それぞれのマシンとして用を果たして、1日300かそこらのシステムごととして用を果たすこと。 それがどこでもから30分を確かに感染している制度をきれいにする多くの時間の熟練した人の時間まで持って行くことを考えると、それは彼が少なくともその time. の一部を宿泊させる彼が他の人たちからとった - そして彼が得る時間の15%を失うためにただ行くだけであることを意味します :)

Mikko enjoyed Tony's math! Please continue with the feedback, the address is listed on the top of the web page. Thanks.
Mikko はトニーの数学を楽しみました! どうかフィードバックを続けてください、アドレスは Web ページのトップにリストされます。 ありがとうございます。



いいね!した人  |  リブログ(0)

テーマ:
Published: 2006-05-10,
:2006-05 - 10を発表しました、
Last Updated: 2006-05-10 04:10:48 UTC by Bojan Zdrnja (Version: 1)
最新アップデート:2006-05-10 ボーヤン Zdrnja によっての04:10:48の UTC (バージョン:1)

A critical, remotely exploitable vulnerability, has been identified in various Sophos Anti-Virus products. The list of products affected is pretty big and covers everything from desktop Anti-Virus scanners over PureMessage to MailMonitor for SMTP and Exchange.
クリティカルな、間接的に利用できる弱点、が種々の Sophos の対ウイルスのプロダクトで識別されました。 影響を受けたプロダクトのリストはかなり大きくて、そして PureMessage の上のデスクトップの対ウイルスのスキャナーから SMTP と交換のための MailMonitor まですべてをカバーします。

The vulnerability can be exploited by crafting a special CAB (Microsoft Cabinet) file with invalid folder count values in the header. This can result in corruption of heap memory which can further lead to execution of arbitrary code on the target machine.
ヘッダーで無効なフォルダーカウント値を持っている特別なタクシー(マイクロソフト内閣)ファイルを作りあげることによって、弱点は利用されることができます。 これは目標マシンの上にさらに任意のコードの実行に導くことができるヒープメモリの腐敗をもたらすことができます。

This obviously requires that the inspection of CAB files is enabled, which will surely be the case at least on e-mail gateways (so a special warning for users of PureMessage and MailMonitor packages).
これは明らかにタクシーファイルの点検が使用可能であることを必要とします、そしてそれは少なくとも電子メールゲートウェイ(それで PureMessage のユーザーと MailMonitor パッケージのための特別な警告)に確かに本当でしょう。

Sophos' advisory and details about updates are available at http://www.sophos.com/support/knowledgebase/article/4934.html .
Sophos 助言と更新についての詳細は http://www.sophos.com/support/knowledgebase/article/4934.html において利用可能です。


(出展:SANS)

いいね!した人  |  リブログ(0)

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。