Endpoint Protection - Symantec Enterprise
The report, APT1: Exposing One of China's Cyber Espionage Units, published by Mandiant earlier this week has drawn worldwide attention by both the security world and the general public. This interest is due to the conclusion the report has drawn regarding the origin of targeted attacks, using advanced persistent threats (APT), performed by a certain group of attackers dubbed the Comment Crew. You
Endpoint Protection - Symantec Enterprise
W32.Flamer has built-in modules to gather an enormous amount of information from compromised computers, well beyond that of any threat seen previously. These modules, referred to as 'apps' by the threat, are downloadable and updatable by the threat from an 'app store', as described in a previous blog. Flamer may initially collect some preliminary information and—only based on that information—proc
Endpoint Protection - Symantec Enterprise
Microsoft は Flamer に関連してセキュリティアドバイザリ(2718704)を公開しました。Flamer では、コンポーネントの署名に Microsoft 提供の証明書が使われており、この証明書は信頼できる Microsoft Root Authority に連鎖しています。このため、これらの署名済みのコンポーネントは、あたかも Microsoft から提供されているように見えます。 Microsoft ターミナルサービス(またはリモートデスクトッププロトコル)を使うと、シンクライアントから Windows アプリケーションや Windows デスクトップ全体にアクセスできます。Microsoft は、ターミナルサービスライセンスサーバーで構成される、ターミナルサービス用のライセンス管理システムを提供しています。このサーバーは、クライアントにライセンスを提供し(クライアントア
Endpoint Protection - Symantec Enterprise
Flamer は、コンピュータからコンピュータへ拡散することができます。ただし、自動的には拡散せず、攻撃者からの指示を待ちます。拡散の方法は次のとおりです。 ドメイン管理者などの認証情報を取得して、ネットワーク共有を介して拡散する 以前 Stuxnet で使用された Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability(印刷スプーラに関するリモートコード実行の脆弱性)(CVE-2010-2729)を介して拡散する 以前 Stuxnet での使用が確認された、専用の autorun.inf ファイルを使用して、リムーバブルメディアを介して拡散する 以前 Stuxnet で使用された脆弱性の Microsoft Windows Shortcut 'LNK/PIF' Files Automatic
Endpoint Protection - Symantec Enterprise
きたる 5 月 15 日火曜日午前 10:00(太平洋標準時間)(日本時間の 5 月 16 日水曜日午前 2:00)より、シマンテックのセキュリティ専門家による Twitter 討論会が開催されます(ハッシュタグは #ISTR)。テーマは、最新の『インターネットセキュリティ脅威レポート』第 17 号で焦点を当てられている主な傾向についてです。ぜひご参加ください。 今年の脅威レポートでは、2011 年にシマンテックが確認した主な脅威の傾向を取り上げ、問題の多そうないくつかの局面を特集しています。 シマンテックが 2011 年の 1 年間に遮断した悪質な攻撃は 55 億以上にのぼりました。これは前年比 81 パーセントの増加です。 重複を含めないマルウェアの亜種は 4 億 300 万種を数え、1 日当たりに遮断された Web 攻撃の件数も 36 パーセント増加しました。 標的型攻撃が増加してお
Endpoint Protection - Symantec Enterprise
OSX.Flashback が初めて出現したのは 2011 年遅くのことでした。当初はソーシャルエンジニアリング詐欺として控えめに登場しましたが、Apple から発行されたと称するデジタル証明書を利用し、Flash Player の更新ファイルに偽装しようとする手口によって、その後は急激に被害を広げました。現在の Flashback は、Java の最新の脆弱性(BID 52161、Oracle Java SE のリモートランタイム環境に存在するサービス拒否の脆弱性)を利用して、そのペイロードを拡散しています。この最新の攻撃は、マルウェアの大規模な拡散を狙う犯罪者が、パッチ修正されていない脆弱性をいかに悪用できるかということを端的に証明する結果となりました。 マルウェアの作成者は、しばらく前から Mac OS を標的としてきましたが、今回の OSX.Flashback.K は、これまで W
Endpoint Protection - Symantec Enterprise
Adobe Acrobat と Reader に存在するリモートコード実行の脆弱性 CVE-2010-0188(BID 38195)を悪用する、PDF ファイルベース攻撃の新しい波が確認されています。この脆弱性は、利用者の多い PDF 閲覧アプリケーションのうち、パッチ修正されていない特定のバージョンに存在します。これらの攻撃はすべて、シマンテックの Skeptic™ 技術によって遮断されました。 図1 に示すように、今回悪用された典型的な PDF サンプルのひとつには、高度に不明瞭化された JavaScript が含まれています。 図 1: 不明瞭化された JavaScript の一部 この JavaScript は、Acrobat Form の XFA オブジェクト(上の図のオブジェクト 8)で使われており、埋め込まれた要素への参照を利用してサブフォームフィールド(この例では "qwe
Endpoint Protection - Symantec Enterprise
寄稿者: 中山雄克 先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。 これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありません
Endpoint Protection - Symantec Enterprise
Adobe Systems released a security update for Adobe Acrobat and Reader 9.x for Windows on December 16, 2011, in order to fix a zero-day vulnerability. As Vikram Thakur reported recently, there have been zero-day attacks using this PDF vulnerability, dropping Backdoor.Sykipot on to the compromised computer. We have found another variant of PDF malware in the wild using the same vulnerability. This v
Endpoint Protection - Symantec Enterprise
過去数カ月、シマンテックは Web ベースのマルウェアが拡散される仕組みを解明しようと試みてきました。地下経済について書かれた記事は多く、またアンダーグラウンドの Web サイトから Blackhole などの悪用ツールキットを入手する方法も知られるようになりましたが、悪用ツールキットを手にした攻撃者はいったい、どうやってコンピュータを感染させるのでしょうか。今回のブログでは、Traffic Distribution System(トラフィック流通システム)または略して TDS を利用する拡散経路を取り上げることにします。 TDS はどう機能するのでしょうか。一言で言うと、TDS ベンダーは Web トラフィックを売買しています。概念自体は古いものですが、その悪用が実際に目立つようになってきたのは、この数年間のことです。 たとえば、所有している Web サイトから収益を上げたいとしましょう
Endpoint Protection - Symantec Enterprise
RDP を悪用できるワームとして最近発見された W32.Morto については、いろいろと報道されていますが、このワームの挙動で特に注目すべき点が見過ごされているようです。最近確認されたマルウェアのほとんどは、リモートのコマンド & コントロール(C&C)サーバーとの通信手段を何らかの形で持っていますが、通信に使われる実際の経路は脅威によって変わる傾向があります。たとえば、W32.IRCBot はインターネットリレーチャットのチャネルを利用しますが、しばらく前に大きく注目を集めた Trojan.Downbot には HTML ページや画像ファイルに埋め込まれたコマンドを読み取る機能があります。W32.Morto は、DNS(Domain Name System)のレコードを通じてリモートコマンドを指定しており、これも C&C との通信経路としては新しい手法です。 DNS は主として、人間が
Desktop Email Encryption - Symantec Enterprise
近年、標的型攻撃が劇的に増加しています。大企業、政府機関、政治団体が軒並み標的になったことを報告しています。おおよその目安として、組織が扱う情報の機密性が高いほど、攻撃の標的になる可能性が高くなります。 ここでは、悪質な電子メールの送信元、標的にされる組織、電子メールの送信元ドメイン(なりすましかどうかにかかわりません)、電子メールに添付される悪質なファイルの種類など、標的型攻撃に関する数々の重要な問題への考察を試みます。次の図に示すように、シマンテックが解析したデータによると、標的型メール攻撃は、平均して増加傾向にあります。 図 1. 標的型攻撃の傾向 送信元 この解析では、まず電子メールの送信元を確認しました。電子メールは、全世界中 91 カ国にわたり 6,391 個の一意の IP から発信されていました。シマンテックが持つ標本データセットによると、電子メールを用いた攻撃の地域別内訳は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Endpoint Protection - Symantec Enterprise
Endpoint Protection - Symantec Enterprise