【情報】Targeted attack: experience from the trenche

Published: 2006-05-21,
:2006-05 - 21を発表しました、
Last Updated: 2006-05-21 18:32:42 UTC by Swa Frantzen (Version: 3(click to highlight changes) )
最新アップデート:2006-05-21 Swa Frantzen によっての18:32:42の UTC (バージョン:3(変更を強調するクリック))

Learn
学んでください

Learning lessons from incidents is a very important part of incident handling. Yet with targeted attacks it is very hard as you need to have a case before you can learn. So learning from others is even more important in this case.
事件からのレッスンを学ぶことは扱える事件の非常に重要な部分です。 もう目標を定められた攻撃で、あなたが学ぶことができる前に、ケースを持つことはあなたが必要とすると比べて非常に難しいです。 それで他の人たちから学ぶことはこの場合さらにいっそう重要です。

Michael reported on an unnamed organization being hit by a limited, extremely targeted attack.
マイケルは限定された、極めて目標を定められた攻撃によって打撃を与えられている匿名の組織について報告しました。

Detection is mostly the very hard part in these attacks. This case seems to have been detected by a very alert user detecting a domainname in an email that wasn't completely right.
検出はこれらの攻撃で主として非常に難しい部分です。 このケースは完全に正しくなかった電子メールで domainname を検出している非常に油断なく気を配るユーザーによって検出されたように思われます。

That user detected an email coming in that originated from a domain that looked like their own, but wasn't their own (actually only had an MX record in it). The email was written to look like an internal email, including signature. It was addressed by name to the intended victim and not detected by the anti-virus software.
そのユーザーは(彼・それ)ら自身のもののように見えたが、(彼・それ)ら自身のものではありませんでした(実際にただその中に MX レコードを持っていただけであった)ドメインに起源した入ってきている電子メールを検出しました。 電子メールは、署名を含めて、内部電子メールのように見えるよう書かれました。 それは所期の犠牲者に名前によって扱われて、そして対ウイルスのソフトウェアによって検出されませんでした。

FUD ?
FUD ?

In reaction to this reporting we've seen people react to it like it were a widespread thing. We need to stress this is not the case. This kind of attack is new, and so must the response be.
この報告への反応で我々は人々が、それが広範囲にわたることであったように、それに反応するのを見ました。 我々はこれがケースではないことを強調する必要があります。 もし応答がそうであったなら、この種類の攻撃は新しくて、そしてそうです。

The group originating these attacks does so in a very targeted fashion. The document is crafted to target a specific organization, containing specific elements that deal with just that one organization. If you don't work for them, you are very unlikely to ever see this. Proof of how rare it is, are the number of requests for samples we got from companies like anti-virus vendors.
これらの攻撃を創作しているグループは非常に目標を定められたファッションでそうします。 ドキュメントは、ただその1つの組織だけを扱う特定の要素を限定して、特定の組織に目標を定めるために精巧な細工をされます。 もしあなたが(彼・それ)らのために働かないなら、あなたは今までにこれを見ることが非常にありそうもありません。 それがどれぐらいまれであるかについての証明、我々が対ウイルスのベンダーのような会社から得たサンプルのリクエストの数です。

Chances are really huge you're not targeted, at least not by this exploit. There is so far one group doing (at least) one very targeted attacks with this. Either they need to change their method of operation to do widespread attacks, or some other group would need to get a sample, reverse engineer it, find the core of the exploit, modify it to work in a wider fashion and launch a new attack.
あなたがそうである可能性が本当に強い、少なくともこの偉業のそばに、向けない. これまでのところこれで(少なくとも)1人に非常に目標を定められた攻撃をしている1つのグループがあります。 (彼・それ)らが広範囲にわたる発作をするオペレーションの(彼・それ)らの方法を変える必要があること、あるいは何か他のグループがサンプルを得て、それをリバース・エンジニアして、偉業のコアを見いだして、1つの新しい発作1つのより広い方法と始動を取り入れるためにそれを修正する必要があるであろうことが、どちらかが真です。

So do you need to dig in now? Most likely not, we suggest you act as if it's any new vulnerability where the details are still very well hidden.
それであなたは今穴を掘る必要がありますか? 最も見込みが高くそうではない、我々はあなたが細部がまだきっと隠されるのはどんな新しい弱点でもであるかのように振る舞うことを提案します。

  • The one being targeted organization needs specific actions.
    1つの存在は組織の必要に特定された行動に目標を定めました。
  • If you are on the potential target list, you need to learn to defend against the unknown, not against this threat.
    もしあなたが潜在的な標的リストに載っているなら、あなたは、この脅威に対してではなく、無名から守ることを学ぶ必要があります。
  • If you're not on their target list, chances are you will not see an exploit till Microsoft releases a patch and the knowledge to exploit it can be derived by the hackers.
    もしあなたが(彼・それ)らの標的リストに載っていないなら、マイクロソフトがパッチをリリースし、そしてそれを利用する知識がハッカーによって得られることができるまで、チャンスはあなたが功績を見ないであろうということです。

Panic and blindly taking actions is probably the worst course of action you can take.
パニックを起こしてください、そうすればやみくもに行動をとることはおそらくあなたがとることができる最も悪い行動方針です。

Report
報告

To say it in Michael's words:
マイケルのワードでそれを言うために:

"Emails were sent to specific individuals within the organization that contained a Microsoft Word attachment. This attachment, when opened, exploited a previously-unknown vulnerability in Microsoft Word (verified against a fully-patched system). The exploit functioned as a dropper, extracting a trojan byte-for-byte from the host file when executed. After extracting and launching the trojan, the exploit then overwrote the original Word document with a "clean" (not infected) copy from payload in the original infected document. As a result of the exploit, Word crashes, informs the user of a problem, and offers to attempt to re-open the file. If the user agrees, the new "clean" file is opened without incident." They are working with Microsoft on this.
」電子メールがマイクロソフト・ワードのアタッチメントを含んだ組織の中で特定の個人に送られた. このアタッチメントは、開かれるとき、(完全にパッチを当てられたシステムに対して確認された)マイクロソフト・ワードで前に未知の弱点を利用しました。 実行されるとき、 exploit はホストファイルから1 trojan 「バイトためのバイトを」抽出して、点滴器として作用しました。 trojan を引き抜いて、そして開始した後で、 exploit は有効搭載量からオリジナルの感染しているドキュメントで「きれいな」(感染していない)コピーでそれからオリジナルの Word ドキュメントに上書きしました。 偉業の結果として、 Word はクラッシュして、ユーザーに問題を知らせて、そしてファイルを再開しようと試みようと申し出ます。 もしユーザーが同意するなら、新しい「きれいな」ファイルは何事もなく開かれます。」(彼・それ)らはこれの上にマイクロソフトと共に働いている.

"We are still analyzing the trojan dropped by the exploit. What we do know is that it communicates back to localhosts[dot]3322[dot]org via HTTP. It is proxy-aware, and "pings" this server using HTTP POSTs of 0 bytes (no data actually POSTed) with a periodicity of approximately one minute. It has rootkit-like functionality, hiding binary files associated with the exploit (all files on the system named winguis.dll will not be shown in Explorer, etc.), and invokes itself automatically by including the trojan binary in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows". Note that, as of this morning, no anti-virus signatures detected this file as problematic according to virustotal.com.
」我々はまだ exploit によって落とされた trojan を分析している. 我々が知っていることはそれが HTTP によって localhosts [ドット]3322に戻る[ドット] org を伝えるということです。 それはプロクシ - 気付いていて、そしておよそ1分の定期性で0バイト(データが実際にポストしませんでした)の HTTP ポストを使ってこのサーバーに「ソナー信号を送ります」。 それは、 exploit と結び付けられる2進ファイル(すべてのファイルは winguis.dll という名前のシステムでエクスプローラなどで見せられないでしょう)を隠して、 rootkit のような機能性を持っていて、そして、「HKEY_LOCAL_MACHINE \ソフトウェア\マイクロソフト\ Windows NT \ CurrentVersion \ Windows」に trojan 2進を含めることによって、自動的にそれ自身に訴えます。 今朝の時点で、対ウイルスの署名が同じぐらい virustotal.com によれば問題のこのファイルを検出しなかったことに注意を払ってください。

We have traced nearly this attack to the far east; specifically, China and Taiwan. IP's seen are registered there, domains seen are registered there, and the emails received originated from a server in that region. The attackers appear to be aware that they have been "outed", and have been routinely changing the IP address associated with the URL above.
我々は;特に、極東にほとんどこの発作を追跡しました、中国と台湾。 見られた IP はそこ(に・で)登録されています、見られたドメインがそこ(に・で)登録されます、そして受け取られた電子メールはその地域でサーバーに起源しました。 攻撃者は(彼・それ)らが(今まで)そうであったことを知っているように思われる「公表する」、そして定期的に上記の URL と結び付けられる IP アドレスを変えていました.

Due to the aggravating circumstances (0-day, no AV detection), we wanted to make sure the community is aware that this problem exists as soon as possible."
腹立たしい状況(0日間の、AV検出はなしです)のために、我々は共同体がこの問題ができるだけ早く存在することを知っていることを確認することを望みました。」

More information:
もっと多くのインフォメーション:

Many thanks to all handlers active on this: Johannes, Chris, William, Adrien.
これの上に現役のすべての調教師:ヨハンネス、クリス、ウィリアム、エイドリアンに大変ありがとうございます。

--

Swa Frantzen - Section 66
Swa Frantzen - セクション66

【情報】Different strokes for different folks, spywa

Published: 2006-05-12,
:2006-05 - 12を発表しました、
Last Updated: 2006-05-12 00:23:57 UTC by Bojan Zdrnja (Version: 1)
最新アップデート:2006-05-12 ボーヤン Zdrnja によっての00:23:57の UTC (バージョン:1)

One of our readers, Chris, sent us a URL to an interesting site. The site in question tries to install some spyware on the users' machine. This in itself is not interesting, but some "more advanced" features that we've seen deployed on this site are.
我々の読者の1人、クリス、が面白いサイトに我々に URL を送ってくれました。 問題のサイトはユーザーのマシンの上にいずれかのスパイウェアをインストールしようとします。 これはそれだけで面白くありません、しかし我々がこのサイトで働かせられるのを見た若干の「いっそう進歩した」特徴がそうです。

The site creators first setup a wildcard DNS entry for their domain, so anything prefixed to their domain name will go to their web server. They needed to do this so they can try to poison Google rates and enhance their page rankings when users are searching for potential keywords. In Chris' case, he was looking for information about one higher education institution (the attack is not limited to higher education institutions; we've seen a lot of other "poison" attempts from this group).
1ワイルドカードサイト創造者最初のセットアップ(彼・それ)らのドメインへの DNS エントリー、(彼・それ)らのドメイン名に前接続された何でも(彼・それ)らの Web サーバに行くように. (彼・それ)らが Google レートを毒殺して、そして、ユーザーが潜在的なキーワードを捜しているとき、(彼・それ)らのページ順位表を拡張しようとすることができるように、(彼・それ)らはこれをする必要がありました。 クリスのケースで、彼は1つのより高等な教育機関についてのインフォメーション(攻撃は高等教育機関に制限されません;我々はこのグループから多くの他の「毒」の試みを見ました)を探していました。

Now they have the basis for their attacks and we come to the interesting part. As a security researcher, you should always be careful when accessing unknown URLs (if you want to try it with a browser, probably the best way is to use one in a virtual machine). So, we decided to use wget to download the initial index.html web page, to see what's inside. Surprisingly, wget didn't manage to download anything:
今(彼・それ)らは(彼・それ)らの攻撃の基礎を持っています、そして我々は面白い地域に来ます。 セキュリティー研究者として、未知の URL (もしあなたがブラウザでそれを試みることを望むなら、おそらく最も良い方法がバーチャルマシンで1(人・つ)を使うことです)にアクセスするとき、あなたは常に注意深くあるべきです。 それで、我々は wget を最初の index.html Web ページをダウンロードして、中にあるものを見るために使うことに決めました。 驚くべきことに、 wget が何かをダウンロードすることに成功しませんでした:

$ wget http://[REMOVED].ascii. zstopers.com
$ wget http://[REMOVED].ascii. が zstopers.com します
--10:56:29-- http://[REMOVED].ascii. zstopers.com/
- 10:56:29 - http://[REMOVED].ascii. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること |  接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 403 Forbidden
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 403が禁じられます
10:56:30 ERROR 403: Forbidden.
10:56:30のエラー403:禁じられました。

Hmm, forbidden. Ok, that goes with what Chris told us in his e-mail that the site seems to be down now. Being curious as we are (otherwise you won't be reading this diary) we decided to try the same site with Internet Explorer (in a virtual machine, of course).
ふーん、禁じられました。 オーケー、それはクリスが彼の電子メールで我々にサイトが今下がっているように思われると言ったものに付随します。 我々が(バーチャルマシンで、もちろん、)インターネット・エクスプローラで同じサイトを試みるために決断した、我々がそうであるように、不思議であること(さもなければあなたはこの日記を読んでいないでしょう)。

What we got: (I've removed the domain prefix, which showed higher education institution, but the spyware domain is still visible there):
我々が手に入れたもの:(私はより高等な教育機関を見せたドメイン接頭辞を削除しました、しかしスパイウェアドメインはそこ(に・で)まだ目に見えます) :



Notice the ActiveX control up there? That's what they want you to install. The popup will be shown until the user decides to install the ActiveX control. Keep in mind that other Internet Explorer versions will actually show a window asking the user to install the ActiveX component.
あちら(に・で) ActiveX コントロールに気付きます? それは(彼・それ)らがあなたがインストールすることを望むものです。 ユーザーが ActiveX コントロールをインストールすることに決めるまで、ポップアップは見せられるでしょう。 他のインターネット・エクスプローラバージョンが実際にユーザーに ActiveX コンポーネントをインストールするように求めてウインドウを見せるであろうということを念頭においてください。

So, why didn't our wget work? Let's try with Mozilla:
それで、我々の wget はなぜ働きませんでしたか? Mozilla と一緒に試みましょう:



Interesting! They detect what kind of browser is running, probably by parsing the User Agent field.
面白いです! (彼・それ)らはどんな種類のブラウザが、おそらくユーザーのエージェントフィールドを解析することによって、走っているか検出します。
So, let's try to download the web page (just the index.html) file with wget, but this time faking the User Agent field, so the remote site will think that we are actually using Internet Explorer. If you're wondering what the User Agent field should look like, the easiest way is to check web server logs on one of the servers you have access to. Below we used Internet Explorer's User Agent field.
それで、 wget で、しかし今回はユーザーのエージェントフィールドを偽造して Web ページ(ただ index.html)ファイルをダウンロードしようとしましょう、それで遠いサイトは我々が実際にインターネット・エクスプローラを使っていると考えるでしょう。 もしあなたがユーザーのエージェントフィールドが何のように見えるべきであるかと思っているなら、最も容易な方法はあなたがアクセスを持っているサーバーの1つで Web サーバログをチェックすることです。 下に我々はインターネット・エクスプローラのユーザーのエージェントフィールドを使いました。

$ wget -U "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://[REMOVED].ascii. zstopers.com/
$ wget U「Mozilla/4.0 (互換機; MSIE 6.0; Windows NT 5.1)」 http://[REMOVED].ascii. が / zstopers.com します
--11:04:52-- http://[REMOVED]. zstopers.com/
- 11:04:52 - http://[REMOVED]. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること |  接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 200 OK
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 200 OK
Length: unspecified [text/html]
長さ:特定されていない[テキスト / html ]

[ <=> ] 18,416 42.02K/s
[    <=>    ]18,416    42.02K / s

11:04:53 (41.87 KB/s) - `index.html' saved [18416]
11:04:53(41.87KB / s) - セーブされた「index.html」[18416]

Aha! So they do use the User Agent field to detect what browser you are running and then send you to different web pages depending on it.
アハ! それで(彼・それ)らはユーザーのエージェントフィールドをあなたがどんなブラウザを走らせているか検出して、そして次にそれによってあなたを異なった Web ページに行かせるために使います。
Further investigation of the index.html web page showed that it calls a JavaScript which then tries to install the WinAntiSpyware2006FreeInstall.cab, a well known spyware application, which some anti-virus vendors even detect as Trojans.
index.html Web ページのさらなる調査がそれがそれから WinAntiSpyware2006FreeInstall.cab をインストールしようとする JavaScript 、よく知られているスパイウェアアプリケーションを呼び出すことを示しました、そしてそれを若干の対ウイルスのベンダーが Trojan Horses として検出しさえします。

Those guys are definitely getting better and are actively adding new features to their malware. Remember the -U option for wget, it is very handy in cases like this.
それらの男たちは確かにもっと良くなっていて、そして活発に(彼・それ)らの悪性ソフトに新しい特徴を加えています。 wget の - U選択を覚えていてください、それはこのようなケースで非常に有用です。

【情報】May 9th Poll Results

First off, thank you to those that took part in the poll regarding James Ancheta's 57 month jail sentence.
まず第一に、ジェームズ Ancheta の57カ月の服役期間に関して世論調査に参加した人たちにありがとうございます。

With 725 participants the results break down like this:
725人の参与者と一緒に結果はこのように弱まります:
294 - 40.6% thought that the sentence was Fair Enough or Just Right
判決がまともに十分であるか、あるいはまさに正しかったという294 - 40.6%の考え
213 - 29.4% thought that it was Too Little
それがあまりにも小さかったという213 - 29.4%の考え
161 - 22.2% thought that is was Too Much
161 - 22.2%の考えはすなわち、度が過ぎました
57 - 7.9% answered No Idea
57 - 7.9%が考えを満たしませんでした

We also received some e-mails on the matter. Reader Tony H. put it this way:
我々は問題に関して同じく若干の電子メールを受け取りました。 リーダートニー賞H.がこのようにそれを置きました:
Ancheta is believed to have had some 500,000 computers under his control. That works out to: Serving 1 year for every 100,000 or so machines he hit; Serving 1 month for every 9000 or so machines; Serving 1 week for every 2000 systems; Serving 1 day for every 300 or so systems; Serving 1 hour for every dozen systems; or Serving 5 minutes for each machine infected. Considering that it takes anywhere from 30 minutes to many hours of a skilled person's time to clean an infected system reliably, that means he's only going to lose 15% of the time he took from others - and he gets to sleep at least part of that time. :)
Ancheta は彼のコントロールの下でおよそ500,000のコンピュータを(これまでに)持っていると信じられます。 それは働きます:1年彼が打った100,000かそこらのマシンごととして用を果たすこと;9000かそこらのマシンごとのために1カ月を勤めること;1週2000のシステムごととして用を果たすこと;1時間すべてのダースでシステムをサポートするか;あるいは感染させられて5分それぞれのマシンとして用を果たして、1日300かそこらのシステムごととして用を果たすこと。 それがどこでもから30分を確かに感染している制度をきれいにする多くの時間の熟練した人の時間まで持って行くことを考えると、それは彼が少なくともその time. の一部を宿泊させる彼が他の人たちからとった - そして彼が得る時間の15%を失うためにただ行くだけであることを意味します :)

Mikko enjoyed Tony's math! Please continue with the feedback, the address is listed on the top of the web page. Thanks.
Mikko はトニーの数学を楽しみました! どうかフィードバックを続けてください、アドレスは Web ページのトップにリストされます。 ありがとうございます。



【サイバー犯罪事件簿】2006年05月11日

----------------------------

■あまてらす

----------------------------

お疲れ様です。あまてらすです。

本日は、曇りですね。

週末また物件見に行かないと

戸建てとマンションどっちがいいだろう?





----------------------------

■セキュリティニュース

----------------------------

脆弱性

5月の月例セキュリティパッチが公開 - 「緊急」2件含む

Winny

中国電力、関連会社から業務情報がWinny流出

マカフィー、4月のネットワーク脅威の状況を発表。JS/Wonkaがウイルスのトップに
IIJの2005年度決算、専用線接続サービスが回復の兆しか


セキュリティ

海賊版対策プログラムが拡大、Office 2007で試験運用

米0・25%追加利上げ FF金利、年5%に

早わかり講座 企業情報を守るセキュリティ対策(13)
Q1のスパイウエア感染率は87%,1台あたりに29.5個


【情報】Critical vulnerability in Sophos Anti-Virus

Published: 2006-05-10,
:2006-05 - 10を発表しました、
Last Updated: 2006-05-10 04:10:48 UTC by Bojan Zdrnja (Version: 1)
最新アップデート:2006-05-10 ボーヤン Zdrnja によっての04:10:48の UTC (バージョン:1)

A critical, remotely exploitable vulnerability, has been identified in various Sophos Anti-Virus products. The list of products affected is pretty big and covers everything from desktop Anti-Virus scanners over PureMessage to MailMonitor for SMTP and Exchange.
クリティカルな、間接的に利用できる弱点、が種々の Sophos の対ウイルスのプロダクトで識別されました。 影響を受けたプロダクトのリストはかなり大きくて、そして PureMessage の上のデスクトップの対ウイルスのスキャナーから SMTP と交換のための MailMonitor まですべてをカバーします。

The vulnerability can be exploited by crafting a special CAB (Microsoft Cabinet) file with invalid folder count values in the header. This can result in corruption of heap memory which can further lead to execution of arbitrary code on the target machine.
ヘッダーで無効なフォルダーカウント値を持っている特別なタクシー(マイクロソフト内閣)ファイルを作りあげることによって、弱点は利用されることができます。 これは目標マシンの上にさらに任意のコードの実行に導くことができるヒープメモリの腐敗をもたらすことができます。

This obviously requires that the inspection of CAB files is enabled, which will surely be the case at least on e-mail gateways (so a special warning for users of PureMessage and MailMonitor packages).
これは明らかにタクシーファイルの点検が使用可能であることを必要とします、そしてそれは少なくとも電子メールゲートウェイ(それで PureMessage のユーザーと MailMonitor パッケージのための特別な警告)に確かに本当でしょう。

Sophos' advisory and details about updates are available at http://www.sophos.com/support/knowledgebase/article/4934.html .
Sophos 助言と更新についての詳細は http://www.sophos.com/support/knowledgebase/article/4934.html において利用可能です。


(出展:SANS)

【サイバー犯罪事件簿】2006年05月10日

----------------------------

■あまてらす

----------------------------

お疲れ様です。あまてらすです。

昨日は、久しぶりにお酒をのんでご機嫌でした。

おしゃれな立ち飲み屋で、料金も安くて美味しいお酒をだしてくれるので幸せです。





----------------------------

■セキュリティニュース

----------------------------

ハッカー



Winny

富士通、統合運用管理ソフトウェア「Systemwalker V13」を発表

Shareを悪用するウイルスが今後増える~トレンドマイクロ4月度調査



セキュリティ

Vistaのディスク暗号化機能は,ユーザーにとって恵みか災いか

ITR・CNET Networks Japan共同企画 アプリケーション・セキュリティに関する調査

セキュリティ脅威の86%はトロイの木馬、ソフォス4月度調査

7つの魅力 - IE7 β2日本語版が登場、開発者は動作チェックを

Symantec、フィッシング対策の業界団体を立ち上げへ

【情報】It's that time again! (NEW)

Published: 2006-05-09,
:2006-05 - 09を発表しました、
Last Updated: 2006-05-09 19:12:24 UTC by Lorna Hutcheson (Version: 2(click to highlight changes) )
最新アップデート:2006-05-09 ローナ・ハッチソンによっての19:12:24の UTC (バージョン:2(変更を強調するクリック))

Today is the day when Microsoft and many other vendors release their patches. Here is a break down of Microsoft's patches and other information that hopefully will help you out. It is a true team effort here at the ISC and I want to thank all the handlers for their help! Good luck and happy patching (testing too of course!).
今日はマイクロソフトと多くの他のベンダーが(彼・それ)らのパッチをリリースする日です。 ここに希望を抱いてあなたを助けるであろうマイクロソフトのパッチと他のインフォメーションの休憩ダウンがあります。 それはここに ISC で本当の団結です、そして私は(彼・それ)らの手助けに対してすべての調教師に感謝することを望みます! (もちろん同じくテスト!)にパッチを当てている良い、そして幸せな運。

Bulletin
ブレティン		 KB number
KB数		 Supercedes
Supercedes 		Severity
重大さ		 Impact
影響
MS06-018
MS06-018 		913580
913580		 MS05-051
MS05-051 		Moderate
穏健主義者		 Denial of Service
サービスの否認
MS06-019
MS06-019 		916803
916803
 MS05-048
MS05-048
Critical
クリティカルです
 Remote Code Execution
リモートコード実行
MS06-020
MS06-020 		913433
913433
 N/A
N / A		 Critical
クリティカルです		 Remote Code Execution
リモートコード実行

Vulnerability in Microsoft Distributed Transaction Coordinator Could Allow Denial of Service (913580) (NEW)
マイクロソフトの分配された取引調整者での弱点が(新しい)サービス(913580)の否定を許すことができました

Published: 2006-05-09,
:2006-05 - 09を発表しました、
Last Updated: 2006-05-09 18:32:27 UTC by Lorna Hutcheson (Version: 1)
最新アップデート:2006-05-09 ローナ・ハッチソンによっての18:32:27の UTC (バージョン:1)

MS06-018 , CVE-2006-0034 , CVE-2006-1184
MS06-018 、 CVE - 2006-0034、 CVE - 2006-1184

This update patches two vulnerabilities in MSDTC
この更新は MSDTC で2つの弱点にパッチを当てます
(CVE-2006-0034,CVE-2006-1184).
(CVE - 2006-0034、 CVE - 2006-1184)。
Both represent a denial of service in MSDTC which can be exploited locally
両方ともはサービスの否認を地域的に利用されることができる MSDTC で表します
or remotely with malformed messages.
あるいは間接的に身体障害のメッセージで。

This vulnerability is listed as moderate for Windows 2000 versus Low for
この弱点はウィンドウズ2000対 Low のために中ぐらいであると記載されるために
XP and 2003 because MSDTC is enabled by default on that platform. The
MSDTC がそのプラットホームの上にデフォルトで使用可能であるから XP と2003。
severity is the same on the other platforms when the service is running.
サービスが走っているとき、重大さは他のプラットホームの上に同じです。

There are three categories of mitigation available, but it is recommended
利用可能な緩和の3つのカテゴリーがあります、しかしそれは勧められます
the patch be applied if possible. #1. The service can be disabled, but
もし possible. # 1であるなら、パッチは用いられます。 サービスは不能にされることができます、ただ
this can affect a number of applications such as SQL Server, Exchange,
これは SQL サーバー、エクスチェンジ、のような多くのアプリケーションに影響を与えることができます
BizTalk, etc. #2 Network access for DTC can be disabled. This can also
DTC のための # 2のネットワークアクセスがそうすることができる BizTalk などが障害を持っています。 これは同じくそうすることができます
affect services. Also its important to note that the vulnerability could
サービスに影響を与えてください。 同じくそ弱点がそうすることができたことを指摘することが重要
still be exploited locally. #3 Block network traffic with a firewall (host
まだファイアウォールを持っている利用された locally. # 3のブロックネットワークトラフィックであってください(ホスト
or network). Traffic on ports greater than 1024 would need to be blocked
あるいはネットワーク). 1024より大きいポートの上のトラフィックがふさがれる必要があるでしょう
as well as any other configured RPC port.
他のいかなる構成を設定された RPC ポートと同様でも。

Also note that this bulletin replaces MS05-051 on Windows 2000.
同じくこのブレティンがウィンドウズ2000の上に MS05-051 を置き換えることに注意を払ってください。

From Symantec:
Symantec から:
"Although corrected in MS05-051, additional memory added in the allocater
「MS05-051 で修正されるけれども、追加のメモリが allocater を一部とみなしました
for memory accounting was not accounted for. These additional 8 bytes can
メモリのために経理が説明されませんでした。 これらの追加の8バイトはそうすることができます
be overwritten.These issues will kill the process and DoS the service."
銘柄が殺すであろう overwritten.These 、プロセス、と DoS 、サービス、であってください。」
(CVE-2006-1184)
(CVE - 2006-1184)

(Thanks Robert for the write-up)
(批評記事に対してロバートに感謝します)



Vulnerability in Microsoft Exchange Could Allow Remote Code Execution (916803) (NEW)
マイクロソフトエクスチェンジでの弱点がリモートコード実行(916803)(新しい)許すことができました

Published: 2006-05-09,
:2006-05 - 09を発表しました、
Last Updated: 2006-05-09 18:32:46 UTC by Lorna Hutcheson (Version: 1)
最新アップデート:2006-05-09 ローナ・ハッチソンによっての18:32:46の UTC (バージョン:1)

MS06-019 , CVE-2006-0027
MS06-019 、 CVE - 2006-0027

Exchange admins you will have your hands full, especially if you are running your own RIM/Blackberry Enterprise Server. Please read the earlier entry by Johannes for details on the "gotcha" there. This vulnerability allows for remote code execution and is critical that it be patched. Here are the details as reported by Microsoft:
特にもしあなたがあなた自身の縁 / ブラックベリー企業サーバーを走らせているなら、あなたがそうするであろうエクスチェンジアドミニストレーターがあなたの手をフルであるようにします。 どうかそこの「gotcha」の上に詳細についてはヨハンネスによってより以前のエントリーを読んでください。 この弱点はリモートコード実行を考慮に入れて、そしてそれがパッチを当てられることに関して批判的です。 マイクロソフトの報告によるとここに細部があります:

Maximum Severity Rating: Critical
最大の重大さを評価すること:クリティカルです

Affected software:
影響を受けたソフトウェア:
  • Microsoft Exchange Server 2000 with the Exchange 2000 Post-Service Pack 3 Update Rollup of August 2004(870540)
    エクスチェンジ2000年のポスト - サービスパックを持っているマイクロソフト・エクスチェンジ・サーバ2000 8月の3つの最新情報 Rollup  2004(870540)
  • Microsoft Exchange Server 2003 Service Pack 1
    マイクロソフト・エクスチェンジ・サーバ2003年のサービスパック1
  • Microsoft Exchange Server 2003 Service Pack 2
    マイクロソフト・エクスチェンジ・サーバ2003年のサービスパック2
Work Arounds:
仕事の Arounds :
Micosoft recommends two work arounds for this vulnerability. Keep in mind that these work arounds can break other required functionality and cause you lots of pain. Patching is the recommended solution.
Micosoft は2つの仕事の arounds をこの弱点に対して推薦します。 これらの仕事の arounds が他の必要とされる機能性を破って、そしてあなたにたくさんの痛みをもたらすことができるということを念頭においてください。 パッチを当てることは推薦された解決です。

1. Require authentication for connections to a server that is running Microsoft Exchange Server for all client and message transport protocols.
1. すべてのクライアントとメッセージ輸送プロトコルのマイクロソフト・エクスチェンジ・サーバを走らせているサーバーに接続のために認証を必要としてください。

2. Block iCal/vCal on Microsoft Exchange Server to help protect against attempts to exploit this vulnerability through SMTP e-mail.
2. 保護するのを手伝うべきマイクロソフト・エクスチェンジ・サーバに関するブロック iCal / vCal が SMTP 電子メールを通してこの弱点を利用しようと試みます。

Vulnerability Details:
弱点の細部:
EXCDO and CDOEX functionality provided with Exchange server does not properly process certain iCAL and vCAL properties provided in email messages. Collaboration Data Objects for Exchange (CDOEX) and Exchange Collaboration Data Objects (EXCDO) are interfaces that allow for certain types of information to be processed in the Exchange store. Virtual Calendar (vCAL) and Internet Calendar (iCAL) is a MIME content type used by Microsoft Exchange Server and email clients when sending and exchanging information related to calendars and scheduling.
EXCDO と CDOEX 機能性はサーバーが適切に処理しないエクスチェンジを電子メールメッセージで提供されたある特定の iCAL と vCAL の敷地に提供しました。 エクスチェンジ(CDOEX)のための協力データオブジェクトとエクスチェンジ協力データオブジェクト(EXCDO)はある特定のタイプのインフォメーションがエクスチェンジストアで処理されることを許すインタフェースです。 カレンダーとスケジューリングと関係があるインフォメーションを送って、そして交換するとき、バーチャルカレンダー(vCAL)そしてインターネットカレンダー(iCAL)はマイクロソフト・エクスチェンジ・サーバと電子メールクライアントによって使われる MIME 内容タイプです。

In short, when the exchanger server receives a message that contains specially crafted properties for vCAL and iCAL, it allows for execution of code on the exchange server.
要するに、交換器サーバーが vCAL と iCAL のために特別に精巧な細工をされた不動産を含むメッセージを受け取るとき、それはエクスチェンジサーバーでコードの実行を考慮に入れます。

【サイバー犯罪事件簿】2006年05月09日

----------------------------

■あまてらす

----------------------------

お疲れ様です。あまてらすです。

この3週間くらい物件を物色しております。

最終的には、利便性を優先して、マンションを購入することになりそうです。

この決断が正しいのかぜんぜんわかりません。

住宅購入は本当に難しいです。



----------------------------

■セキュリティニュース

----------------------------

ハッカー

Mac OS Xを狙うマルウェアが増加、米McAfeeが報告書

中国的「博客」は果たしてどこまで「集客」できるか

カナダの電車内で首相中傷する電子広告が流れる

Winny

人はなぜウイルスファイルを開くのか

連休も終わってしまいました・・・

Winny経由の情報漏えい対策、ソフトウェア開発者にできることは?

“2ちゃんねるブラウザ”の書き込み情報などを漏洩させるトロイの木馬

セキュリティ

中国 国家情報化建設を推進へ

次世代のWebサービスを担う技術 - Apache Axis2正式版公開




nepenthesを使用して捕獲したマルウェアをAntiVirusで確認しました。

使用しているAntiVirusは、Proventia M シリーズVPS機能で確認しております。

Proventiaについて:http://www.isskk.co.jp/product/proventia/m_series.html

VPSについて:http://www.isskk.co.jp/product/proventia/m_vps.html

捕獲したマルウェアのハッシュ値 :agent VirusName
02b293be3dbfed13c004e559062aeab7 signature_av W32/Rbot-CUF
181a901e7b1097352a99cd53272e5b25 signature_av W32/Rbot-Fam
26a1f622ec774cb64afc3305bc555aae signature_av W32/Rbot-Fam
42dcdbaa509d8a2288b6d6e33e0a243f signature_av W32/Rbot-AXT
47cf711fe7f0c590a0741c4ba7ee024b signature_av W32/Poebot-N
4960f8a02d3e612ccc907d9e922add49 signature_av W32/Rbot-Fam
598a8316c37ca8183a843aade1807600 signature_av W32/Rbot-Fam
5b5964da72a9aa0ebbc5e9d12133d66b signature_av W32/Rbot-Fam
5ae700c1dffb00cef492844a4db6cd69 signature_av W32/Blaster-A
5e8b0d93c279c4556490331d114cc48b signature_av Troj/Kango-C
6210115f33ddd9eeb75060557da19118 signature_av W32/Rbot-AIU
5fb6db3740559720fc9d56dafb877675 signature_av W32/Parite-B
6f27c26178457bd50626f1e6f751a200 signature_av W32/Poebot-N
7097c55ee0535457025dd158bb1988bb signature_av W32/Blaster-B
7660f9342071051b5663d242cce8bcd4 signature_av W32/Codbot-Y
8b14dcb37bde5c1558a0f29f4d51a23e signature_av Troj/Bdoor-HU
8676210e6246948201aa014db471de90 signature_av W32/Blaster-E
7dc73bfa4d78284155dd5101991eeb34 signature_av W32/Hwbot-A
8863eb4ffb7a15c591e6e19e788f7a3b signature_av W32/Parite-B
90115c4ff1b2d8727911140addd02fd9 signature_av W32/Rbot-Fam
a0dade499998f92695cdfcc58dbda478 signature_av W32/Rbot-CLS
9f655bf2e848bc54577262ae2484ed2c signature_av W32/Rbot-Fam
a604b24fd470d031691e832310aee528 signature_av W32/Rbot-Fam
b1b2704e72f831736b36cf9cd6b0050b signature_av W32/Rbot-DDH
b6c819bd61055a8063c54e9e8ecd74eb signature_av W32/Rbot-Fam
bcb4447cd8f58ffe1269c8c16071ae50 signature_av W32/Korgo-U
b9f0f3d1ed61c8ee2ea35c4b858fb1f1 signature_av W32/Rbot-Fam
cb86da4d4a77ee826704dffc5f311eab signature_av W32/Rbot-Fam
cb96db4513fa9307258d06d3b991d2b9 signature_av W32/Rbot-Fam
dc070bab47089698397b1edb9ab00b15 signature_av W32/Rbot-Fam
e4f13ea3cd597e4c260e217f0cf66530 signature_av W32/Sdbot-BMW
e5e08c49bf6611821e650eafe8ea2e1b signature_av W32/Rbot-Fam
f4d32fb561323869d9c9e99817239fc9 signature_av W32/Rbot-AIU
f1838cb025f428307fc16a9c9fc7e5f8 signature_av W32/Rbot-I
e57af05d8f1abd4118e7f857e69e3736 signature_av W32/Rbot-Fam
f589e17ea415efe0efd542e9a366a2cd signature_av W32/Rbot-Fam
f8b6a4d8f577138098fe0ef84c0db643 signature_av W32/Poebot-N
59bcb7120d8edb36bf219bdaab078a91 vps_av Malcode-7881
5ca35149515eea3e160c677171a22102 vps_av Malcode-7565
5ca9a9532656df7ad50a1699ccb7205e vps_av Malcode-7565
5df23042341bdc160f2d1bdd7dc977d0 vps_av Malcode-7881
9784b8f330245c5b4362467096740754 vps_av Malcode-7881
9aa31ec6c75beb028536aad711fa2f60 vps_av Malcode-7881
b1bd15869ff3b6f7eaa73fd20a72d276 vps_av Malcode-7881
b9ebaddb24d70316e978a41cffec6f69 vps_av Malcode-7565
c054a762ff79423627f2405ba55f2d8b vps_av Malcode-7565
cd07d438046c6b9bb16e8f543a6057f1 vps_av Malcode-7881

【情報】Psst... Come hither, Check out my profile

One of our readers has brought to our attention an interesting instance of a popular Yahoo! account phishing scam. This scam takes advantage of the fact that Yahoo! requires members to logon to their account to verify their age before they can view members with adult content in their profile. Users on Yahoo! chat rooms, besides other places, are enticed to click on a link to view a profile. The link leads to a phishing web page that is a spoof of a typical Yahoo! profiles login page hosted on a domain named yahoo-members.com.
我々の読者の1人が人気が高い Yahoo! アカウントフィッシング詐欺の面白い例に我々の注意を促しました。 この詐欺は Yahoo! がメンバーに、(彼・それ)らが(彼・それ)らのプロフィールに成人の内容を持ってメンバーを見ることができる前に、(彼・それ)らの年齢を実証するために(彼・それ)らのアカウントにログオンするように要求するという事実を利用します。 Yahoo! チャットルームの上のユーザーが、他の場所のほかに、プロフィールを視るためにリンクをクリックするようそそのかされます。 リンクは無骨者 - members.com という名前のドメインでホストされた典型的な Yahoo! プロフィールログインページの偽アドレス電子メールであるフィッシング Web ページに導きます。

YahooMD

The interesting thing about this domain is that none of the phishing blacklists we have checked seem to recognize this as a phishing site, which is weird because according to its whois record , yahoo-members.com has been around for about six months now.
このドメインについての面白いことは、その whois 記録によれば、無骨者 - members.com が(今まで)今およそ6カ月間存在していたから、我々がチェックしたフィッシングのブラックリストのいずれもこれを気味が悪いフィッシングサイトとして認識するように思われないということです。

This is one more reason why blacklisting should be combined with whitelisting - along with trying to catch all the spoofs of Yahoo! websites out there, phishing filters should also tell the users which Yahoo! sites are genuine. This way, when they go to a spoofed site that is not flagged by the blacklists, it will still make the users suspicious because it wont be validated as genuine either.
これはブラックリストに載せることがなぜホワイトリストに載せることと組み合わせられるべきであるかというもう1つの理由です - 前方へ、そこ(に・で) Yahoo! ウェブサイトのすべての偽アドレス電子メールをキャッチしようとすることで、フィッシングフィルターが同じくユーザーに Yahoo! サイトが本物であると言うべきです。 このように、(彼・それ)らがブラックリストによってフラグを付けられないちゃかされたサイトに行くとき、それはまだユーザーを疑い深くするであろうなぜならそれ習慣が同じぐらい同様本物で実証される.

By the way, the domain itself has been registered with a yahoo.com email address. Here is the Yahoo! profile of the apparent registrant of the domain with a nice pic.
ところで、ドメイン自身は yahoo.com 電子メールアドレスで登録されました。 すてきな写真でここにドメインの外見上明白な登録人の Yahoo! プロフィールがあります。

Thanks for the heads-up, Ian.
頭アップをありがとうございます、イアン。


(出展:SANS)

【情報】Port 8443 Spike (NEW)

Published: 2006-05-04,
:2006-05 - 04を発表しました、
Last Updated: 2006-05-04 21:00:02 UTC by Dan Goldberg (Version: 1)
最新アップデート:2006-05-04 ダン・ゴールドバーグによっての21:00:02の UTC (バージョン:1)

There is a recent spike in TCP port 8443 http://isc.sans.org/port_details.php?port=8443

TCP ポート8443 http://isc.sans.org/port_details.php?port=8443 に最近のスパイクがあります。
Any one have any details on what this traffic might be? Packets with payload would be great!
このトラフィックが何であるかもしれないかについて、1が詳細を持っていますか? 有効搭載量を持っているパケットは大きいでしょう!

update:
更新してください:
Many readers have written in commenting on what products use this TCP port.
多くの読者がプロダクトが何でこの TCP ポートを使うか述べて手紙を書きました。
This is a pretty sizable spike. It ispossible that there is some new exploit or scanning tool
これはかなり大きいスパイクです。 それは ispossible にそれほどそこ(に・で)いずれかの新しい exploit です、あるいは走査が運転します
being used. That is what I am looking for evidence of.
使われます。 それは私が証拠を探しているものです。

Okay we have a good handle on the products using port 8443:
うまく我々はポート8443を使ってプロダクトの上に良いハンドルを持っています:
ePO
ePO
Some web portal software
若干の Web ポータルソフトウェア
Alternate ssl port
代わりの ssl ポート
Web app backend products
Web アプリケーション backend プロダクト
A backup package
バックアップパッケージ

The question still remains: what is the cause of the spike?
質問はまだ残っています:スパイクの原因は何ですか?
It is legitimate traffic or malicious?
それは合法的なトラフィック、あるいは悪意がありますか?

(出展:SANS)