http://www.securelist.com/en/analysis/204792254/Kaspersky_Security_Bulletin_2012_Malware_Evolution (securelist.com 05.Dec.2012 ?)
2012特徴的だった10件のセキュリティ話
1.Mac OS Xを攻撃するマルウェア Flashback
・70万台以上のMacに感染。
・主因
(1)Java脆弱性 CVE-2012-0507 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0507 、
(2)Macでのセキュリティ無関心
・Windows以外でも、大規模感染はありうる。
2.FlameとGauss、国家によるサイバースパイ活動
2012四月中旬に、サイバー攻撃が中東のいくつかの石油会社のコンピュータシステムを破壊した。
Wiperと言う名のマルウェアは、DuquやStuxnetとの類似性があったものの、それまでマルウェアとして認識されていなかった。今ではFlameとして知られる巨大なサイバースパイ活動に、我々は出くわした。
(訳注、stumbled upon 「出くわした」は、come across に比べて、「しくじった」というニュアンスがあり、国家が支援する地下活動レベルに対処するには、他のアンチウイルスベンダー同様に、 Kasperskyも苦しんでいる? と推察します)
Flameは最も洗練されたマルウェア。20MB。
機能は、感染したPCからの、音声傍受、Bluetoothデバイスのスキャン、文書泥棒、スクリーンショット取得、など。
Windows Updateへの中間者攻撃を行うために、MSの偽の証明書を使用する点が特徴的。
それにより、フルパッチ適用のWindows7上で、瞬間的に感染可能。
これは紛れも無い国家が関与する作戦。
Flameの開発メンバーは、おそらく同じ作戦で、Stuxnet開発メンバーと協働している。
作成後、五年以上経過のFlameは、非常に高度なマルウェアが何年も発見されずに存在可能という事を証明。
他にも同様の活動があるのか、当然知りたい。
中東で広範に配布された、もう一つの高度に洗練されたトロイの木馬である、Gaussの発見は、国家レベルのサイバースパイ活動において、新たな様相を示すものだ。
“Palida Narrow”というカスタムフォント、またはインターネット接続していないPCを狙った暗号化されたデータについても、謎は多い。
それはまたレバノンで見つかった、最初の国家によるバンキング用トロイの木馬である。
FlameやGaussは中東に新たなサイバー戦争の局面をもたらした。
3.Android脅威の爆発的増加
Androidマルウェア数
・2011年、約 8,000件
・2012年、35,000件以上
誘因は、Androidがポピュラーになった事と、オープンである事。
この0-dayとデータ漏洩に関する攻撃の増加傾向は今後も続くだろう。
4.LinkedIn, Last.fm, Dropbox, Gamigo パスワード漏洩
2012/6/5、LinedInの6.4百万以上のパスワードハッシュ値がハックされ、漏洩。
セキュリティ研究家はGPUカード利用で85%のパスワード解析成功。
(弱い方式である)SHA1ハッシュだったのがまずかった。もっとも400USDの Radeon 7970で
一秒当たり20億個のSHA1パスワードハッシュをチェック可能。
Markov鎖使用や、マスク攻撃等の暗号技術に対する近年の攻撃に対処するため、Web開発者は暗号化パスワードの保管方法を新たに学ぶべき。
2012に同様の攻撃で8百万以上のパスワード漏洩が、Last.fmやGamigoで起きた。
これがいかに重大か、InfoSecSouthwest 2012カンファレンスでKorelogicが発表している。
1億4千6百万のパスワードハッシュ値の漏洩を含む。
内、1億2千2百万は クラック済み。
クラウド時代には一台のサーバに集約されたパスワード情報が大量に盗難され得るのであり、Sony Playstation ネットワークのハックは驚くほどのものでもないだろう。
5.Adobeの証明書盗難、ならびに偏在する標的型攻撃
2011にCA (証明局)に対する高度な攻撃があった。
6月、DigiNortar, オランダの会社がハッキング被害が元で倒産。
2011.9のDuqu発見も、CAハックに関連していた。
2012/09/27、Adobeは同社の証明書を使ったマルウェアの発見を公表。
特殊な暗号デバイスであるHSMに保存された証明書は安全なはずだったが、
攻撃はそれほど高度だった。
標的型攻撃は非常に高度になっていて、Adobeのような企業がハックされた事実は、留意すべきである。
6.DNSChangerの停止
2011.11に”Ghost Click”作戦で、DNSChangerマルウェアの罪人が逮捕され、FBIはidentity theftのインフラを占拠した。
サイバー犯罪に対して公開された協力と情報共有が成功の元であることが証明された。
7.Ma(h)di事件
2011後半~2012前半、中東の(イラン、イスラエル、アフガニスタン他の)各個人のコンピュータに進入する活動が行われた。
カスペルスキーはSeculertと共同で、“Madi”作戦を調査した。
“Madi”は洗練されては いなかったが、ソーシャルエンジニアリング他により、浸透した。
資本力は低くても、攻撃が成功しうる点には注意すべきである。
8.Java 0-days
Flashback事件で、Appleはは Mac OS XでJaveを無効にした。
(訳注、私は使ってなくて良く分からないが、そんな事が出来るんですか? OnlineでOS Xユーザ全員に強制?)
パッチは、WindowsユーザにはOracleから(早期に)提供されたが、Mac OS XユーザにはAppleから(2,3ヶ月遅れて)提供された。
2012.8には、Java 0-day脆弱性が見つかった ( CVE-2012-4681 )。 BlackHoleキットはその悪用を実装し、数百万台のPCへの感染の元になった。
2012 第二Qで、カスペルスキーの調査で、30%以上のPCが 脆弱性のある古いJavaを使っていることが分かった。
(訳注、Java脆弱性は頭痛い。使わざるを得ないから。Java利用アプリケーションは、VM Playerの環境に閉じ込めて、必要な時だけ使うようにするのが良いかなー)
9.Shamoon
2012.8月中旬、最大の石油複合企業体の一つ、Saudi Aramco社で悪用された、破壊的なマルウェア。
3万台以上のPCが完全に利用不能になった。
カスペルスキーの分析
ShamoonはマルウェアWiperで使われたアイデアの元になっている。
Wiperは、誰が黒幕か、など、未知な点が多い。
10.DSLモデムやHuaweiの禁止とハードウェアハック
2012.10、カスペルスキーの研究者、Fabio Assoliniは、ブラジルで2011以降の攻撃に関するレポートを発表。
これは、1種類のファームウェアの脆弱性を悪用し、二つのスクリプトと40の悪のDNSをつかうものだった。
この作戦はハードウェア製造会社6社に影響し、ブラジルのインターネットユーザの数百万が被害を受けた。
2012.3にブラジルCERTは、4.5百万のモデムが侵されていることを確認。
フィンランドのT2カンファレンスで、Recurity Labs社のセキュリティ研究家でありFelix 'FX' Lindnerが、Huawai関連ルータの脆弱性を議論した。
これがHuawai社製品を利用することでスパイリスクがあるか調査するよう、米国政府が決めた事につながっている。
これがHuawai社製品を利用することでスパイリスクがあるか調査するよう、米国政府が決めた事につながっている。
組み込み機械のファームウェアがアップデートされないと、防御はとても難しい。
2012.12.11、以下追記
結論: 激変から、暴露と発見へ
LulzSec のXavier Monsegur や有名な'Anonymous' ハッカーの逮捕にも関わらず、ハクティビズム活動は続いています。サイバー戦争/サイバースパイは、FlameやGaussの発見で新たな局面を迎えました。標的型攻撃は今後も紙面を賑わすでしょう。Mac OS XユーザはFlashfakeで打撃を受けました。
2011からの実力ある演者も同様です。ハクティビストグループ、ITセキュリティ企業、サイバースパイ通じて戦い合う国家、主要なソフト・ゲーム開発会社(例、Adobe, Microsoft, Oracle, Sony)、法執行機関、伝統的サイバー犯罪者、Android OS のgoogle、Mac OS XのおかげのAppleなど。
2011を我々は”爆発的"と位置づけた。 2012の事件に驚き、興味をそそられた。新たな攻撃の形が明らかになり、今そこにある脅威は新たな局面を迎えている。
以上
No comments:
Post a Comment