※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
2013年2月19日に情報を追加
_____
OS X に影響する新たなバックドアがアンチウイルス業界のメーリングリストで報告されました。詳細はまだよく分かりませんが、コンポーネントのサイズはかなり小さく単純で効率の良い脅威のようです。標的攻撃であると考えられ、 セキュリティの弱点を突いて感染すると思われます。この記事執筆時点では、 ネットワークコンポーネントのすべてに不備が見られ、コマンドを受けつけることはできません。
これまでのところ、この脅威の動作はセキュリティの弱点を突いて Gatekeeper を擦り抜けるようとするところから始まると考えられています。システムに到達 すると、リバースシェルを設定します。該当するマシンが最初から標的であり、 その場所をも特定しているのでマシンが感染したとコントローラに通知する必要がありません。代わりに、コントローラが感染したマシンに定期的に接続してコマンドを実行させようとします。感染したマシンが、外部からの接続が行えるようにファイアウォールの突破を手助けするとも考えられます。この部分の機能 は分かりやすいテキストの Pearl スクリプトでできており、何を探せばよいか 分かっていれば見つけ出すのは簡単です。
ここで、この脅威の第二段階が始まります。バイナリコンポーネント部分は、通 信を暗号化してセキュアな接続を確立することで、より見つかりにくくなるよう に、OpenSSH 6.0p1 という既存のツールの改造版を使っています。このツール は、通常なら印刷のために使われるディレクトリにファイルを保管する方法でさ らにファイルを隠します。そのためネットワークに接続するプロセスのリストを確認しても、感染したマシンがネットワークプリンタから印刷を行っているだけのように見えます。また、ここで使われているツールでは、コマンド履歴をログ に保存しない改造も施されています。
この脅威は、RSA キーを使って、指令チャンネルとの通信を暗号化します。
The filenames as they were reported are:
- com.apple.cocoa.plist
- cupsd (Mach-O binary)
- com.apple.cupsd.plist
- com.apple.cups.plist
- com.apple.env.plist
この脅威が接続しようとする動作しないネットワークアドレスの一つは、“corp- aapl.com”です。これは Apple のミススペルと指摘されていますが、Apple の株式銘柄記号でも あります。
Intego VirusBarrier は、 最新の定義ファイルでこのバックドアを OSX/Pintsized.A として検出します。現 時点では、XProtect はこの脅威に対応していません。
Posted on February 18th, 2013 by Lysa Myers
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。