セキュリティソフトに含まれるファイルを悪用したマルウェア 26
ストーリー by headless
ややこしい 部門より
ややこしい 部門より
あるAnonymous Coward 曰く、
シマンテックは、Kingsoft Internet Securityの「WebShield」モジュールを悪用してInternet Explorerのスタートページを書き換えたり、特定のドメインへのアクセスを広告サイトにリダイレクトしたりするマルウェアを発見した(Symantec Connectの記事)。
これはWebShieldの設定がテキスト形式のファイルに書き込まれていることを悪用したもので、設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。すべてのモジュールは正しく署名されており、その他の機能は正常に動作するため、インストールしてしまうと発見するのが困難になる。セキュリティソフトとマルウェアが紙一重、という点でなかなか興味深い話といえそうだ。
なお、キングソフトのアナウンスによれば、「Kingsoft Internet Security日本語版」には該当するモジュールが含まれないということだ(サポートからのお知らせ)。
信頼済みのソフトウェアを悪用する不正行為 (スコア:5, 参考になる)
セキュリティソフトのファイルを組み合わせて開発されたウィルス登場 [mycom.co.jp]という記事は削除されていますが、信頼済みのソフトウェアを悪用する不正行為 | Symantec Connect [symantec.com]に記事がありました。
実質 Kingsoft WebShield を手玉に取ったトロイの木馬と言えそうですね。;-)
モデレータは基本役立たずなの気にしてないよ
なんで日本語版には該当するモジュールが含まれないの? (スコア:3, 興味深い)
日本語版はバージョンが古かったりするのかね?
エンドユーザにはどうしようもない (スコア:0)
これエンドユーザにどうしろと?
署名が正しいから信頼してインストールするはずだよね?
大本の鍵が割れたってことならエンドユーザは信頼性ってものを何に頼ればいいのかな?
Re:エンドユーザにはどうしようもない (スコア:3, 参考になる)
鍵は割れてないでしょ。署名済の正しいプログラムが参照する設定ファイルを書き換えているだけ。
設定ファイルには署名されていないのだから署名の信頼性が低下した訳じゃなくて、
署名無しの設定ファイルを元に特定のサイトに飛ばしてしまう挙動の穴を突かれたと言うこと
電子署名の運用が誤っていたって話だよね (Re:エンドユーザにはどうしようもない (スコア:5, 興味深い)
挙動の穴を攻撃されたとか言うと、新しい攻撃方法みたいに見えちゃうから問題な気がする。
これって単純に、やっちゃいけない電子署名の運用やってたって話だよね。
バイナリは署名してました、バイナリが使う設定ファイルは署名してませんでしたっていう単純な話。
# メール本文は署名してました、添付ファイルはしてなかったので差し替えられました、レベルの話:-P
パッケージ全体を署名すれば良かっただけ。
もしアップデートがあるなら、それもまるまる署名すれば良いだけ。
# まあ、んなことエンドユーザは気をつけようがないとは思うので難しい問題ですが:-(
単純だが、ありがちな穴(Re:電子署名の運用が誤っていたって話だよね) (スコア:0)
今回は悪用されたのがセキュリティソフトだったので注目されているが、このパターンの穴は至る所にあると思う。
Re: (スコア:0)
このニュースでアイデアが広がっちゃったからね。
暫くしたら「オンラインヘルプを見ようとしたら何故かバイアグラの販売に」とか出て来そうな。
最近は重箱の隅どころか裏側までつつかれる (Re:単純だが、ありがちな穴) (スコア:0)
インストール先のパスに、インストーラがインストールしようとしているファイルと同名で、より新しいタイムスタンプのファイルがすでにある場合には、インストーラがそれを上書きしない。
これがセキュリティ・ホールとして扱われるというのです。
悪意のあるプログラムによって悪意のあるファイルを先に配置されていると、それをそのままソフトの一部として実行してしまう、具体的にはhtml形式のヘルプファイルに悪意のあるスクリプトを仕込まれるということなのです。
Re: (スコア:0)
ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事?
それってまずくない?
Re:エンドユーザにはどうしようもない (スコア:1)
インストール時や設定時に動的に変更できるように「設定ファイル」にしている訳で、
配布時決定するような設定なら初めから実行ファイルに入れちゃうでしょう。
設定ファイル(レジストリとかにおく設定も含め)は署名するものでは無いと思いますが。
Re: (スコア:0)
動的な修正とかいろいろを考えると、そこまで徹底して署名することには問題があるかも知れません。
まぁ、パターンデータぐらいは署名があっても良いかもしれませんが、一方で、差分アップデートとかが難しくなるわけで。
ノーガード戦法最強伝説 (スコア:0, オフトピック)
Re:ノーガード戦法最強伝説 (スコア:1, オフトピック)
最強にはならないよねw
Tak.Miyoshi
Re: (スコア:0)
ネタにマジレス
ノーガード戦法は最強ではないが、ノーガード戦法でも平気な奴は最強
#つか攻撃しないノーガードは、ノーガード戦法じゃありません
選定眼がないとだめですね (スコア:0)
安かろう悪かろうって感じですね。
やっぱり定評のあるソフトを選択しないとだめでしょう。
有料でも評判の悪いソフトもありますが。
OS本体でも (スコア:0)
古典的ちゃ古典的な手法ですよね (スコア:0)
最新の技術を追うあまりのポカなのでしょうか。
まぁ頑張ってくださいとしか・・・・・・・・
Re: (スコア:0)
問題はKISが件のマルウェアをブロック出来なかったことでは?
まともなセキュリティソフトなら設定ファイルに限らず書き換え出来ないようにしてるはずだが一体いつの時代の(ry
Re: (スコア:0)
どのような根拠があってそのように主張するのでしょうか?
Re: (スコア:0)
よく知りませんが、「ウィルス=利用者の想定に反して利用者の計算機に危害を加えるプログラム」、みたいなと定義に読めるとか。
だとすると、=の右側は「バグのあるプログラム」でも成立し得る条件ですよね。
Re: (スコア:0)
「という解釈をしている法律家もいる」という話に対して質問しているのに、「よく知りませんが」という話をされても情報量がないですね。その法律家って誰でしょうか。
この場合、使用者の想定に反して計算機に危害を加えたのは、WebShieldの設定ファイルを書き換えたプログラムであって、WebShield ではないでしょう。ウイルスは、セキュリティホールがあるプログラムではなく、セキュリティホールをついて不正な命令を実行するプログラムのことを言うものです。
Re:ウイルス作成罪が成立したら (スコア:1)
>使用者の想定に反して計算機に危害を加えたのは、WebShieldの設定ファイルを書き換えたプログラムであって
WebShieldだという信用するに値する情報を誰かに引き渡してしまった上で、その誰かがその情報を元にWebShieldを騙って第三者に危害を加えた場合、これは引き渡した側の責任も問われますよね。
そういった事を言っているのだと思います。ただ、今回は、
>設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。
ということなので、リパッケージしたモノを導入した、つまり出所が不明なものを導入したということで、元投稿の様な指摘には該当しないと思いますね。
>ウイルスは、セキュリティホールがあるプログラムではなく、セキュリティホールをついて不正な命令を実行するプログラムのことを言うものです。
これについては、ちょっと難しい観点がありますよね。
セキュリティホールが多数あり、それについて対処しないとしたら、それはそれで責任を問われることがある。
なので、色々と使用前の契約とか利用者への指示として、「そんなことがあっても、こっちは知らないってことを了解して使え」みたいなことをやっているわけなんですよね。
そして、セキュリティで商売する企業が、それを言ってしまうと、一般消費者としては何を信用したらええのかね?ということになりそうで、先行きを面白く見ています。
Re: (スコア:0)
> ウイルスは、
の下り。
昔なら、自己感染・潜伏・発病の3つが必要だったんだけどねぇ。<ウイルスと呼ばれるには
例えばネットワークを介して伝染するものの多くは、潜伏機能を有さないので「ワーム」と呼ばれてたり。
ごめん、本題じゃ無いね。