:2006-05 - 21を発表しました、
Last Updated: 2006-05-21 18:32:42 UTC by Swa Frantzen (Version: 3(click to highlight changes) )
最新アップデート:2006-05-21 Swa Frantzen によっての18:32:42の UTC (バージョン:3(変更を強調するクリック))
Learn
学んでください
Learning lessons from incidents is a very important part of incident handling. Yet with targeted attacks it is very hard as you need to have a case before you can learn. So learning from others is even more important in this case. 事件からのレッスンを学ぶことは扱える事件の非常に重要な部分です。 もう目標を定められた攻撃で、あなたが学ぶことができる前に、ケースを持つことはあなたが必要とすると比べて非常に難しいです。 それで他の人たちから学ぶことはこの場合さらにいっそう重要です。
Michael reported on an unnamed organization being hit by a limited, extremely targeted attack.
マイケルは限定された、極めて目標を定められた攻撃によって打撃を与えられている匿名の組織について報告しました。
Detection is mostly the very hard part in these attacks. This case seems to have been detected by a very alert user detecting a domainname in an email that wasn't completely right.
検出はこれらの攻撃で主として非常に難しい部分です。 このケースは完全に正しくなかった電子メールで domainname を検出している非常に油断なく気を配るユーザーによって検出されたように思われます。
That user detected an email coming in that originated from a domain that looked like their own, but wasn't their own (actually only had an MX record in it). The email was written to look like an internal email, including signature. It was addressed by name to the intended victim and not detected by the anti-virus software.
そのユーザーは(彼・それ)ら自身のもののように見えたが、(彼・それ)ら自身のものではありませんでした(実際にただその中に MX レコードを持っていただけであった)ドメインに起源した入ってきている電子メールを検出しました。 電子メールは、署名を含めて、内部電子メールのように見えるよう書かれました。 それは所期の犠牲者に名前によって扱われて、そして対ウイルスのソフトウェアによって検出されませんでした。
FUD ?
FUD ?
In reaction to this reporting we've seen people react to it like it were a widespread thing. We need to stress this is not the case. This kind of attack is new, and so must the response be.
この報告への反応で我々は人々が、それが広範囲にわたることであったように、それに反応するのを見ました。 我々はこれがケースではないことを強調する必要があります。 もし応答がそうであったなら、この種類の攻撃は新しくて、そしてそうです。
The group originating these attacks does so in a very targeted fashion. The document is crafted to target a specific organization, containing specific elements that deal with just that one organization. If you don't work for them, you are very unlikely to ever see this. Proof of how rare it is, are the number of requests for samples we got from companies like anti-virus vendors.
これらの攻撃を創作しているグループは非常に目標を定められたファッションでそうします。 ドキュメントは、ただその1つの組織だけを扱う特定の要素を限定して、特定の組織に目標を定めるために精巧な細工をされます。 もしあなたが(彼・それ)らのために働かないなら、あなたは今までにこれを見ることが非常にありそうもありません。 それがどれぐらいまれであるかについての証明、我々が対ウイルスのベンダーのような会社から得たサンプルのリクエストの数です。
Chances are really huge you're not targeted, at least not by this exploit. There is so far one group doing (at least) one very targeted attacks with this. Either they need to change their method of operation to do widespread attacks, or some other group would need to get a sample, reverse engineer it, find the core of the exploit, modify it to work in a wider fashion and launch a new attack.
あなたがそうである可能性が本当に強い、少なくともこの偉業のそばに、向けない. これまでのところこれで(少なくとも)1人に非常に目標を定められた攻撃をしている1つのグループがあります。 (彼・それ)らが広範囲にわたる発作をするオペレーションの(彼・それ)らの方法を変える必要があること、あるいは何か他のグループがサンプルを得て、それをリバース・エンジニアして、偉業のコアを見いだして、1つの新しい発作1つのより広い方法と始動を取り入れるためにそれを修正する必要があるであろうことが、どちらかが真です。
So do you need to dig in now? Most likely not, we suggest you act as if it's any new vulnerability where the details are still very well hidden.
それであなたは今穴を掘る必要がありますか? 最も見込みが高くそうではない、我々はあなたが細部がまだきっと隠されるのはどんな新しい弱点でもであるかのように振る舞うことを提案します。
- The one being targeted organization needs specific actions.
1つの存在は組織の必要に特定された行動に目標を定めました。
- If you are on the potential target list, you need to learn to defend against the unknown, not against this threat.
もしあなたが潜在的な標的リストに載っているなら、あなたは、この脅威に対してではなく、無名から守ることを学ぶ必要があります。
- If you're not on their target list, chances are you will not see an exploit till Microsoft releases a patch and the knowledge to exploit it can be derived by the hackers.
もしあなたが(彼・それ)らの標的リストに載っていないなら、マイクロソフトがパッチをリリースし、そしてそれを利用する知識がハッカーによって得られることができるまで、チャンスはあなたが功績を見ないであろうということです。
Panic and blindly taking actions is probably the worst course of action you can take.
パニックを起こしてください、そうすればやみくもに行動をとることはおそらくあなたがとることができる最も悪い行動方針です。
Report
報告
To say it in Michael's words:マイケルのワードでそれを言うために:
"Emails were sent to specific individuals within the organization that contained a Microsoft Word attachment. This attachment, when opened, exploited a previously-unknown vulnerability in Microsoft Word (verified against a fully-patched system). The exploit functioned as a dropper, extracting a trojan byte-for-byte from the host file when executed. After extracting and launching the trojan, the exploit then overwrote the original Word document with a "clean" (not infected) copy from payload in the original infected document. As a result of the exploit, Word crashes, informs the user of a problem, and offers to attempt to re-open the file. If the user agrees, the new "clean" file is opened without incident." They are working with Microsoft on this.
」電子メールがマイクロソフト・ワードのアタッチメントを含んだ組織の中で特定の個人に送られた. このアタッチメントは、開かれるとき、(完全にパッチを当てられたシステムに対して確認された)マイクロソフト・ワードで前に未知の弱点を利用しました。 実行されるとき、 exploit はホストファイルから1 trojan 「バイトためのバイトを」抽出して、点滴器として作用しました。 trojan を引き抜いて、そして開始した後で、 exploit は有効搭載量からオリジナルの感染しているドキュメントで「きれいな」(感染していない)コピーでそれからオリジナルの Word ドキュメントに上書きしました。 偉業の結果として、 Word はクラッシュして、ユーザーに問題を知らせて、そしてファイルを再開しようと試みようと申し出ます。 もしユーザーが同意するなら、新しい「きれいな」ファイルは何事もなく開かれます。」(彼・それ)らはこれの上にマイクロソフトと共に働いている.
"We are still analyzing the trojan dropped by the exploit. What we do know is that it communicates back to localhosts[dot]3322[dot]org via HTTP. It is proxy-aware, and "pings" this server using HTTP POSTs of 0 bytes (no data actually POSTed) with a periodicity of approximately one minute. It has rootkit-like functionality, hiding binary files associated with the exploit (all files on the system named winguis.dll will not be shown in Explorer, etc.), and invokes itself automatically by including the trojan binary in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows". Note that, as of this morning, no anti-virus signatures detected this file as problematic according to virustotal.com.
」我々はまだ exploit によって落とされた trojan を分析している. 我々が知っていることはそれが HTTP によって localhosts [ドット]3322に戻る[ドット] org を伝えるということです。 それはプロクシ - 気付いていて、そしておよそ1分の定期性で0バイト(データが実際にポストしませんでした)の HTTP ポストを使ってこのサーバーに「ソナー信号を送ります」。 それは、 exploit と結び付けられる2進ファイル(すべてのファイルは winguis.dll という名前のシステムでエクスプローラなどで見せられないでしょう)を隠して、 rootkit のような機能性を持っていて、そして、「HKEY_LOCAL_MACHINE \ソフトウェア\マイクロソフト\ Windows NT \ CurrentVersion \ Windows」に trojan 2進を含めることによって、自動的にそれ自身に訴えます。 今朝の時点で、対ウイルスの署名が同じぐらい virustotal.com によれば問題のこのファイルを検出しなかったことに注意を払ってください。
We have traced nearly this attack to the far east; specifically, China and Taiwan. IP's seen are registered there, domains seen are registered there, and the emails received originated from a server in that region. The attackers appear to be aware that they have been "outed", and have been routinely changing the IP address associated with the URL above.
我々は;特に、極東にほとんどこの発作を追跡しました、中国と台湾。 見られた IP はそこ(に・で)登録されています、見られたドメインがそこ(に・で)登録されます、そして受け取られた電子メールはその地域でサーバーに起源しました。 攻撃者は(彼・それ)らが(今まで)そうであったことを知っているように思われる「公表する」、そして定期的に上記の URL と結び付けられる IP アドレスを変えていました.
Due to the aggravating circumstances (0-day, no AV detection), we wanted to make sure the community is aware that this problem exists as soon as possible."
腹立たしい状況(0日間の、AV検出はなしです)のために、我々は共同体がこの問題ができるだけ早く存在することを知っていることを確認することを望みました。」
More information:
もっと多くのインフォメーション:
- Analysis and vendor information
分析とベンダーインフォメーション - Defenses
防御 - Summary
サマリー
Many thanks to all handlers active on this: Johannes, Chris, William, Adrien.
これの上に現役のすべての調教師:ヨハンネス、クリス、ウィリアム、エイドリアンに大変ありがとうございます。
-
Swa Frantzen - Section 66
Swa Frantzen - セクション66