1: ゆでたてのたまご ★ 2015/02/09(月) 14:09:17.74 ID:???*.net
「UACを回避して管理者権限で実行」--不正送金ウイルスの新手口
【日経BP】 2015/02/09
セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は2015年2月9日、ネットバンキングの
不正送金に使われるウイルス(マルウエア)である「Dridex」を紹介し、注意を呼びかけた。Windowsの
UAC(ユーザーアカウント制御)を回避する機能を備えるという。
Dridexは、ボットと呼ばれるウイルスの一種。感染するとPCを乗っ取り、攻撃者のC&CサーバーとHTTPで通信。
攻撃者の命令に従って動作するとともに、認証情報などを盗んで攻撃者に送信する。
JPCERT/CCで確認しているDridexの多くは、Word文書のマクロ機能に潜んだウイルス(マクロウイルス)によって
ダウンロードおよび実行されるという(図1)。
図1●「Dridex」の感染過程(JPCERT/CCの情報から引用)
ウイルスがPCを完全に乗っ取るには、管理者権限を奪う必要がある。だが、Windows Vista以降ではUACという
セキュリティ機能が備わっているため、勝手に管理者権限を奪うことができない。そこで一部のウイルスには、
UACを回避する機能が組み込まれている。以前から、UACを回避する手法は存在するが、今回紹介された
Dridexでは、新しい手法を備えているという。
従来の手法では、Windowsのシステムプログラムを悪用する(図2)。例えば「PlugX」では、
explorer.exeのような、信頼できる企業・組織にデジタル署名されているプログラムと、sysprep.exeのような
自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
図2●従来のUAC回避手法(JPCERT/CCの情報から引用)
Dridexの新手法では、「アプリケーション互換性データベース」を用いる点が特徴。
アプリケーション互換性データベースとは、互換性に問題のあるアプリケーションを実行する際のルールを
設定するファイル。拡張子はsdb。
新手法では、次のようにしてUACを回避する(図3)。
図3●新たなUAC回避手法(JPCERT/CCの情報から引用)
(1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexの
コピー(edg3FAC.exe)を作成する。
(2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を
使用して、$$$.sdbをインストールする。
(3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、
iscsicli.exeが$$$.batを管理者権限で実行する。
(4)$$$.batがedg3FAC.exeを管理者権限で実行する。
以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの
警告を表示することなく管理者権限に自動的に昇格するためだという。
JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が
変更されたとしても、継続して用いられる可能性があるとしている。また、Dridexだけでなく、別のウイルスで
使われていることも確認しているという。
ソース: http://itpro.nikkeibp.co.jp/atcl/news/15/020900463/
引用元: http://r.2ch.sc/test/read.cgi/newsplus/1423458557/【日経BP】 2015/02/09
セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は2015年2月9日、ネットバンキングの
不正送金に使われるウイルス(マルウエア)である「Dridex」を紹介し、注意を呼びかけた。Windowsの
UAC(ユーザーアカウント制御)を回避する機能を備えるという。
Dridexは、ボットと呼ばれるウイルスの一種。感染するとPCを乗っ取り、攻撃者のC&CサーバーとHTTPで通信。
攻撃者の命令に従って動作するとともに、認証情報などを盗んで攻撃者に送信する。
JPCERT/CCで確認しているDridexの多くは、Word文書のマクロ機能に潜んだウイルス(マクロウイルス)によって
ダウンロードおよび実行されるという(図1)。
図1●「Dridex」の感染過程(JPCERT/CCの情報から引用)
ウイルスがPCを完全に乗っ取るには、管理者権限を奪う必要がある。だが、Windows Vista以降ではUACという
セキュリティ機能が備わっているため、勝手に管理者権限を奪うことができない。そこで一部のウイルスには、
UACを回避する機能が組み込まれている。以前から、UACを回避する手法は存在するが、今回紹介された
Dridexでは、新しい手法を備えているという。
従来の手法では、Windowsのシステムプログラムを悪用する(図2)。例えば「PlugX」では、
explorer.exeのような、信頼できる企業・組織にデジタル署名されているプログラムと、sysprep.exeのような
自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
図2●従来のUAC回避手法(JPCERT/CCの情報から引用)
Dridexの新手法では、「アプリケーション互換性データベース」を用いる点が特徴。
アプリケーション互換性データベースとは、互換性に問題のあるアプリケーションを実行する際のルールを
設定するファイル。拡張子はsdb。
新手法では、次のようにしてUACを回避する(図3)。
図3●新たなUAC回避手法(JPCERT/CCの情報から引用)
(1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexの
コピー(edg3FAC.exe)を作成する。
(2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を
使用して、$$$.sdbをインストールする。
(3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、
iscsicli.exeが$$$.batを管理者権限で実行する。
(4)$$$.batがedg3FAC.exeを管理者権限で実行する。
以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの
警告を表示することなく管理者権限に自動的に昇格するためだという。
JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が
変更されたとしても、継続して用いられる可能性があるとしている。また、Dridexだけでなく、別のウイルスで
使われていることも確認しているという。
ソース: http://itpro.nikkeibp.co.jp/atcl/news/15/020900463/
4: 名無しさん@1周年 2015/02/09(月) 14:14:13.13 ID:66FQkOLa0.net
>>1
こういうの読んでもさっぱり分からん。
ガンダムで三行でって書くとジジイ死ねって言われる。(´・ω・`)
こういうの読んでもさっぱり分からん。
ガンダムで三行でって書くとジジイ死ねって言われる。(´・ω・`)
13: 名無しさん@1周年 2015/02/09(月) 14:20:53.67 ID:xE0rlgPs0.net
>>4
ホワイトベースに潜入したミハルがジオン軍へ送金した
ホワイトベースに潜入したミハルがジオン軍へ送金した
3: 名無しさん@1周年 2015/02/09(月) 14:14:02.75 ID:zoKyUxUc0.net
サザエさんでたとえて風呂敷包み背負った泥棒とか登場させて
俺にもわかるようにカモン
俺にもわかるようにカモン
58: 名無しさん@1周年 2015/02/09(月) 15:33:33.33 ID:VR4VHD4U0.net
>>3
サブちゃんがサザエさんを寝取ってフグタ家の預金を
自分の口座に振り込ませてる
サブちゃんがサザエさんを寝取ってフグタ家の預金を
自分の口座に振り込ませてる
8: 名無しさん@1周年 2015/02/09(月) 14:16:23.84 ID:YZJM/KWk0.net
大問題なんですけどw
とりあえずexplorerを削除か?
とりあえずexplorerを削除か?
19: 名無しさん@1周年 2015/02/09(月) 14:23:57.42 ID:5TWuM/G40.net
>>8
>とりあえずexplorerを削除か?
1.まず、wordのマクロを使わない。
2.wordを窓からすてる。
3.explorerを全削除
4.bbleanなどの代替シェルを使う
5.iSCSIサービスを停止
>とりあえずexplorerを削除か?
1.まず、wordのマクロを使わない。
2.wordを窓からすてる。
3.explorerを全削除
4.bbleanなどの代替シェルを使う
5.iSCSIサービスを停止
9: 名無しさん@1周年 2015/02/09(月) 14:16:36.68 ID:4X4AxbTM0.net
対して便利にもならない機能をつけて、不正侵入者だけが喜ぶ構図(´・ω・`)
10: 名無しさん@1周年 2015/02/09(月) 14:17:44.76 ID:bbAGT5dY0.net
利用者の少ないOSを使うのが一番の対策ってこと?(´・ω・`)
14: 名無しさん@1周年 2015/02/09(月) 14:21:46.14 ID:FlvqlKrb0.net
>>10
OS/2か、、
OS/2か、、
113: 名無しさん@1周年 2015/02/10(火) 17:06:02.56 ID:2B0dh3tB0.net
>>10
ACOS4もあるぞ
国産品だ
ACOS4もあるぞ
国産品だ
16: 名無しさん@1周年 2015/02/09(月) 14:23:24.70 ID:nnWPg68f0.net
口座に13000円しかない俺の勝利
21: 名無しさん@1周年 2015/02/09(月) 14:26:15.85 ID:7d4H78yqO.net
(´・ω・`)つまり窓口最強ってことでいいんだろ
22: 名無しさん@1周年 2015/02/09(月) 14:28:49.97 ID:pon+nVEg0.net
ちっこいダイアログで質問されて、クリックした時点でなんでもありな
UACなんかにセキュリティーを期待してる奴いるの?
心配ならUbuntuでも使っとけ。
UACなんかにセキュリティーを期待してる奴いるの?
心配ならUbuntuでも使っとけ。
24: 名無しさん@1周年 2015/02/09(月) 14:34:05.04 ID:ZP6UdXrJ0.net
UACを無効にしている俺に隙はなかった
29: 名無しさん@1周年 2015/02/09(月) 14:38:47.44 ID:pnQCfydJ0.net
スパムメールを介して侵入するだとさ
30: 名無しさん@1周年 2015/02/09(月) 14:44:22.96 ID:1Ax5wqPY0.net
Linuxに乗り換えたら?
俺はウィルスとは無縁になりましたよ
俺はウィルスとは無縁になりましたよ
34: 名無しさん@1周年 2015/02/09(月) 14:57:02.66 ID:mYa/EYQJ0.net
>>30
aptitudeでなんでもyでアップデートしてたら
設定変わったりするからわけわかんない
aptitudeでなんでもyでアップデートしてたら
設定変わったりするからわけわかんない
37: 名無しさん@1周年 2015/02/09(月) 15:00:01.25 ID:QE+N1yw70.net
>>30
そんなOS使ったら社会からも無縁になりませんか?
そんなOS使ったら社会からも無縁になりませんか?
41: 名無しさん@1周年 2015/02/09(月) 15:08:48.32 ID:Zs5HAQCh0.net
>>37
バンキングやショッピングなどの自分の金を振り込む場合はLinuxを使い、
他者に配布する文書ファイル作成や画像編集などはWindowsを使う
これで安全性が飛躍的に高まるのに
できればWindowsマシンは外部ネットに到達できない閉鎖LAN
の中だけで使うといいよ(こういう使い方の場合、XPや2000でも可)
会社で給与振込みソフトと連動して自動振り込みしてるようなマシンは
隔絶できないのはやむを得ないが、個人には関係ないからな
バンキングやショッピングなどの自分の金を振り込む場合はLinuxを使い、
他者に配布する文書ファイル作成や画像編集などはWindowsを使う
これで安全性が飛躍的に高まるのに
できればWindowsマシンは外部ネットに到達できない閉鎖LAN
の中だけで使うといいよ(こういう使い方の場合、XPや2000でも可)
会社で給与振込みソフトと連動して自動振り込みしてるようなマシンは
隔絶できないのはやむを得ないが、個人には関係ないからな
33: 名無しさん@1周年 2015/02/09(月) 14:54:25.11 ID:SQpoV1k40.net
なんか明後日の方向で知恵を絞るよなぁ
42: 名無しさん@1周年 2015/02/09(月) 15:10:04.40 ID:eOYmXpDY0.net
そもそもWindowsは管理者権限の行使や再起動をさせすぎ
44: 名無しさん@1周年 2015/02/09(月) 15:13:03.50 ID:pPkEilkr0.net
linuxてそんなに安全なのか?
46: 名無しさん@1周年 2015/02/09(月) 15:14:59.65 ID:5TWuM/G40.net
windowsよりはlinuxの方が安全でしょ。
48: 名無しさん@1周年 2015/02/09(月) 15:17:21.58 ID:eAcsrn3C0.net
一応、できるだけの対策は取っているけど
怖いからメインバンクはネットバンキングをやめた。便利だったんだけどね。
振込み用とかネット通販用に少額の口座だけ残したよ。
怖いからメインバンクはネットバンキングをやめた。便利だったんだけどね。
振込み用とかネット通販用に少額の口座だけ残したよ。
65: 名無しさん@1周年 2015/02/09(月) 16:37:31.81 ID:5TWuM/G40.net
Windowsよりも、FreeBSDの方が
セキュリティがしっかりしてるね。
セキュリティがしっかりしてるね。
67: 名無しさん@1周年 2015/02/09(月) 17:03:22.87 ID:QE+N1yw70.net
>>65
去年のOpenSSL問題見れば分るだろ。
GNUに頼ってるかぎり穴だらけってことだ。
去年のOpenSSL問題見れば分るだろ。
GNUに頼ってるかぎり穴だらけってことだ。
68: 名無しさん@1周年 2015/02/09(月) 17:06:14.29 ID:IsoHRH960.net
セキュリティと利便性は反比例するから我慢して使ってるのに、
それを突破されちゃ不便さが残るだけじゃん
それを突破されちゃ不便さが残るだけじゃん
73: 名無しさん@1周年 2015/02/09(月) 17:31:28.32 ID:cWn5Prxj0.net
自分の所属する会社により、真実を捩じ曲げ、真偽が逆転する奴は必ずいる。
78: 名無しさん@1周年 2015/02/09(月) 17:40:00.11 ID:QV68JPJh0.net
大金をネットバンキングでいじれる環境に置いておくのが一番間抜け。
必要な額だけを入れて置くのが正解。
必要な額だけを入れて置くのが正解。
79: 名無しさん@1周年 2015/02/09(月) 17:47:42.89 ID:MfmynIBP0.net
>>78
銀行全滅だろ
銀行全滅だろ
80: 名無しさん@1周年 2015/02/09(月) 17:48:29.92 ID:tXxGNDeT0.net
WindowsにしろLinuxやFreeBSDにしろ、アプリを開発しやすい
開放的な環境を目指しているのだろ
金融取引専用の端末とOSを作るべきなんじゃないかな
それからネット回線も金融取引専門のプロバイダーを立ち上げて
取引先以外のサーバーと通信できない構造が必要だと思う
あるいは金融取引専用ルーターが無いと安心できない
開放的な環境を目指しているのだろ
金融取引専用の端末とOSを作るべきなんじゃないかな
それからネット回線も金融取引専門のプロバイダーを立ち上げて
取引先以外のサーバーと通信できない構造が必要だと思う
あるいは金融取引専用ルーターが無いと安心できない
83: 名無しさん@1周年 2015/02/09(月) 17:56:17.08 ID:J2MdW4bu0.net
不正送金された場合って全く銀行から補償されないのかな?
姉ちゃんが空き巣被害で通帳と銀行印盗まれて全額引き出されたときは、
郵貯が全額補償してくれたけど
姉ちゃんが空き巣被害で通帳と銀行印盗まれて全額引き出されたときは、
郵貯が全額補償してくれたけど
90: 名無しさん@1周年 2015/02/09(月) 18:03:34.23 ID:4X4AxbTM0.net
>>83
でも、通帳と銀行印で引き出されちゃったのって、基本銀行は「準占有者への正当な弁済」で終わりになったりしないのかね。
「男が引き出しに行った」とかなんか特段の理由でもあったんだろうか。
でも、通帳と銀行印で引き出されちゃったのって、基本銀行は「準占有者への正当な弁済」で終わりになったりしないのかね。
「男が引き出しに行った」とかなんか特段の理由でもあったんだろうか。
85: 名無しさん@1周年 2015/02/09(月) 17:58:57.36 ID:Ga0BfzzK0.net
定期組んで普通口座マイナスにしておけばどうか
101: 名無しさん@1周年 2015/02/09(月) 18:52:03.43 ID:bHZTBjDp0.net
今どきLinuxはないだろ
最先端のXPを使え
捗るぞ
最先端のXPを使え
捗るぞ
おまオレ
Windows Vista以降の通過儀礼の一つだわ