パスワードを忘れた? アカウント作成
13416740 story
セキュリティ

「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 16

ストーリー by hylom
大規模に巻き込まれる 部門より
あるAnonymous Coward曰く、

先日、Avast SoftwareのWindows向けユーティリティソフト「CCleaner」にマルウェアが混入していたたことが発覚したが、これは特定の企業を狙った標的型攻撃だったことがマルウェアの解析結果から分かったという(ITmediaWIREDZDNetSlashdot)。

ターゲットとされていたのはCisco、Intel、Google、Microsoft、Akamai、Samsung、ソニー、VMware、HTC、Linksys、D-Linkなどで、これら企業のドメインがマルウェア制御用サーバー内のファイルに含まれていたという。実際、これらのうち8組織・20台のマシンが「第2段階」の攻撃を受けていたという。また、マルウェアに感染したマシンは環境に応じて異なる挙動を行うようになっていたようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 取引先関係が公になっている企業もふくめ、リレーションマップをはって
    そのリレーション情報を元に第3段階、第4段階とステージがすすんでいくとか
    「特定の企業を狙った攻撃」だと、そんな感じに発展しそうですね。

    • by Anonymous Coward

      ・・・・・・すでにそういうのはあったような気もするんだけど思い出せん。
      こういうのってソーシャルハック感もあって色々複合していくよね。

  • by Anonymous Coward on 2017年09月26日 7時22分 (#3285631)

    スラドもうちの会社も対象外 [talosintelligence.com]でした。

    ホントにtest.comをターゲットにしたかったのか、単に作者がRFC2606 [ietf.org]を知らなかったのか…

    • by minet (45149) on 2017年09月26日 8時45分 (#3285656) 日記

      test.com、何かと変なデータやメールを送られて来て大変だろうなぁ。

      親コメント
      • by Anonymous Coward

        foo@bar.comもそうですね。
        私もメールアドレスが求められて検証がない場合はたまに使ってます。
        受信者が実在する [bar.com]のでIPアドレスくらいはそこに漏れる事があり得るのでよろしくはないですが。

        • by Anonymous Coward

          そういう他人に「何かと変なデータやメールを送られて来て大変」な迷惑をかけない意味も含めてのRFC2606でしょうに。

          「.test」「.example」「.invalid」辺りは単純な文字列形式のチェックで弾かれるかもしれんけど、
          「example.com」「example.net」「example.org」辺りはよくある形式で名前解決も出来るし、
          もし何か来てもそれはゴミであるって前提で運用されてるから問題の程度が大きく異なる。

          RFC2606でなくても、チェック無いならせめて捨てアドの類とか、ゴミが来ること前提で運用されてるサービス使おうぜ……

    • by Anonymous Coward

      フリーウェアのインストールには厳しそうな会社が並んでますが、実際に攻撃受けたということは入れてる人いたんでしょうね。

      • by Anonymous Coward

        ?

        1. どこかのマシンが感染して、攻撃を行う。
                このマシンはフリーウェアをインストールして感染した。
        2. 攻撃先に前述の企業が入っていた
                この企業のマシンが感染してるかどうかについての言及はないし、読み取れない。

        • by Anonymous Coward

          チゲぇよ。
          まず、このマルウェアは感染すると「特定のサーバ」に対して「コンピューター名やIPアドレス、アプリケーション一覧など」を送信する。
          # 「特定のサーバ」は米当局が押さえて解析に回した。
          で、「特定のサーバ」を分析したら「接続してきた感染端末のドメイン名がリストにマッチしたら第二段階の攻撃を行う」ようになっていて、さらに「第二段階の攻撃が複数台に対して実行された痕跡が確認できた」というのがこのニュース。

          第二段階の攻撃ってのは最初に侵入したマルウェアがその第二段階用のマルウェアないし攻撃指令を実行する処理のこと。
          「特定のサーバ」はリストにマッチしない相手には攻撃用の返答をしないので、最初に送信された情報の収集以外の行動を行わない。

          標的内でしか行動しないボットネット端末みたいなもので、第二段階の攻撃も感染端末に対して行われる。
          それを受けた感染端末が更に別の組織や組織内での攻撃を行うかどうかはまた別の話。

  • by Anonymous Coward on 2017年09月26日 7時41分 (#3285639)

    内部の者の犯行ということになってしまえば、Piriformはほぼ間違いなく倒産の憂き目にあいますものね
    ここは是が非でも「我々も被害者なんだよ」という立ち位置を確保しなくては

    でも自分とこの証明書つけて配布しといてから被害者面は厳しいんじゃないのかな…
    同じ言い訳をするのであっても、そこはまず「証明書が盗まれていた」
    そして「盗んだ第三者が勝手にファイルを差し替えていた」ということにしてからでないと

    • by Anonymous Coward

      Piriformは既に倒産済みで別会社に売却済みですよ。ブランドだけ使ってるだけです
      しかしそうそうたる会社群の中にD-Linkも入っていてなんか誇らしいです

      • by Anonymous Coward

        買収されただけで倒産はしてないでしょ。メンバーごと移籍してるからブランドだけ使ってるわけでもないし。
        倒産して買収されたにせよ倒産せずに買収されたにせよ買収したのがAVASTでAVASTがセキュリティ関連製品・サービスを専門とする企業であることを考えると…
        AVASTの地位低下を狙った競合企業による犯行と考えるのが自然でしょうね。

        • by Anonymous Coward

          > AVASTの地位低下を狙った競合企業による犯行と考えるのが自然でしょうね。
          競合ではなく買収された事に不満を持つ従業員の内部犯行ってセンも捨てきれないってーのが元コメでいう内部の者の犯行ってやつでしょう。
          ただ、単純な攻撃ではなくそこそこ気合の入った段階的な攻撃が仕掛けられていたとなると、
          思いつきというには計画的だし、買収前から計画されていた攻撃にも見えてくるんですけどね。

  • by Anonymous Coward on 2017年09月26日 9時06分 (#3285664)

    https://blog.avast.com/additional-information-regarding-the-recent-ccl... [avast.com]
    The total number of unique PCs that received the 2nd stage payload was 40.
    って記事もありますね。

  • by Anonymous Coward on 2017年09月26日 12時23分 (#3285765)

    犯人の目的は?

  • by Anonymous Coward on 2017年09月26日 16時22分 (#3285919)

    私がいる限りウイルスなぞ入る余地はないわ!
    #とっさに思い出したのはこれだった

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...