top links
top shadow		  
lft_mid
Google logorgt_mid
homeswitchstoreEARTHLINK TOOLSMEMBER CENTERtab_rgt
DIAL UPHIGH SPEEDwirelessbusinessextras

Security Blogs Security Response | Symantec Connect Community
Video Screencast Help
Search Video Help Close Back
to help
Not able to make it to Vision this year? Get a sampling in the Best of Vision on Demand group.

Security Response

Showing posts tagged with W32.Stuxnet remove filter
Duqu: 標的に関する最新情報
Eric Chien | 24 Oct 2011 | 0 comments

Duqu の発見について報告した最初のブログ記事は、私が執筆を担当しました。その際に「産業用制御システムメーカー(industrial control system manufacturers)」という言葉を使いましたが、多くの関係者と協議した結果、Duqu が発見された業種をより正確に定義するために、「製造産業メーカー(industrial industry manufacturers)」という用語に変えようと思います。ホワイトペーパーではすでにこの用語に変更しています。

適切な用語を見つけるのは、ときに困難を伴います。Stuxnet に関する最初の記事を書いたときにも、当初は SCADA(Supervisory Control and Data Acquisition)という用語を使いましたが、その後すぐに、「産業用制御システム」としたほうが適切であると判明しました。コンピュータセキュリティ産業では、「ウイルス」、「ワーム」、「トロイの木馬」のそれぞれに具体的な定義がありますが、一般のユーザーはどんなマルウェアも単に「ウイルス」としか呼びません(まったくの偶然ながら、シマンテックは Duqu をトロイの木馬ではなくワームであると誤って判定し、その後修正しました。今のところ自己複製の機能は見つかっていないためです)。

もちろん、用語を「製造産業メーカー」に変えたところで、シマンテックが危険と考えている組織にとっての脅威が変わるわけではありません。Duqu には多数の亜種が見つかっていますが、その標的はまだ判明していません。

Stuxnet がたどった経緯や Duqu も同じ攻撃者であるという可能性、そして現在までに知られている標的を考えあわせると、産業用制御システムメーカーも、産業施設にソリューションを供給しているあらゆる企業も、ネットワークで Duqu の監視を怠るべきではありません。現在までに検出されたどの亜種でも、...

Read more
Duqu 更新情報、その 1
Symantec Security Response | 24 Oct 2011 | 0 comments

以前のブログでお伝えしたとおり、W32.Duqu に関する第一報は、別の組織に対する標的型攻撃を調べていた、ある研究所からもたらされました。この調査を行ったのは、Budapest University of Technology and Economics(ブダペスト工科経済大学)の電気通信部門に所属する Laboratory of Cryptography and System Security(CrySyS)です。CrySyS は感染を特定し、W32.Stuxnet との共通点を調べましたが、この攻撃によるデータの漏えいはないと報告しています。

CrySyS に感謝の意を表します。同研究所が発見した結果を共有していただいたおかげで、将来的に想定される攻撃を特定することができました。シマンテックではすでに、当初の標的とされたのが、製造インフラ産業に該当するごく少数の組織のひとつだったことを確認しています。CrySyS の分析についての報告は、こちらのサイト(http://www.crysys.hu/)に掲載されています。

侵入を受けたコンピュータにダウンロードされることが確認された後続のコンポーネントについての詳報など、新しい情報はシマンテックの最新版ホワイトペーパー(英語)にも掲載されています。さらに詳しいことがわかりしだい、このホワイトペーパーは引き続き更新する予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、...

Read more
Duqu: Updated Targeting Information
Eric Chien | 21 Oct 2011 | 0 comments

I wrote Symantec's original blog post describing the discovery of Duqu. In that blog I use the term "industrial control system manufacturers" and (after discussions with a variety of parties) we want to change that term to "industrial industry manufacturers" to more accurately define where Duqu has been found. We already made this change to our paper.

Finding the correct term can sometimes be a challenge. When we first wrote about Stuxnet, we originally used the term SCADA (supervisory control and data acquisition) and quickly discovered the proper term was "industrial control systems". In the computer security industry, we actually have specific definitions of viruses, worms, and trojans, while the general public often refer to any malware as just a virus. (In an unrelated...

Read more
Duqu Status Update #1
Symantec Security Response | 21 Oct 2011 | 0 comments

As mentioned in our previous blog, W32.Duqu was first brought to our attention by a research lab who had been investigating a targeted attack on another organization. This research was conducted by the Laboratory of Cryptography and System Security (CrySyS) in the Department of Telecommunications, Budapest University of Technology and Economics. CrySyS identified the infection and observed its similarity to W32.Stuxnet. They stated that no data was leaked as part of this attack.

We are grateful to CrySyS—sharing their findings allowed us to identify further attacks taking place. We have now determined that the originally targeted organization was one of a limited number of targets which include those in the industrial infrastructure industry. CrySyS has issued a statement regarding their analysis here: http://www.crysys.hu/.

The latest version of our...

Read more
W32.Duqu: 次なる Stuxnet の前兆
Symantec Security Response | 18 Oct 2011 | 0 comments

2011 年 10 月 14 日、シマンテックは国際的に強いつながりを持つある研究所から、Stuxnet に酷似したサンプルに関する警告を受け取りました。「~DQ」という接頭辞の付いたファイルが作成されることから、同研究所ではこの脅威を「Duqu(デュークー)」と命名しています。ヨーロッパにあるコンピュータシステムから復元したサンプルのほか、初期段階で判明した結果の詳しいレポートも、同研究所から提供していただきました。これには Duqu と Stuxnet を比較した解析結果も含まれており、シマンテックでもその結果を確認することができました。Duqu の一部は Stuxnet とほぼ同一ですが、目的はまったく異なっています。

Duqu は本質的に、Stuxnet に類した攻撃が将来的に発生する前兆と言えます。Duqu は Stuxnet と同じ作成者(もしくは Stuxnet のソースコードにアクセスできる何者か)によって作成されており、最新の Stuxnet ファイルが検出された後で作成されたと考えられます。Duqu の目的は、産業用制御システムメーカーなどの組織から機密データや資産を収集し、別の組織に対する将来的な攻撃を容易にすることにあります。攻撃者は、産業用制御施設に対する攻撃の実施に役立つ設計文書のような情報を探しています。

Duqu には産業用制御システムに関係するコードは含まれておらず、基本的にはリモートアクセス型のトロイの木馬(RAT)です。自己複製の機能もありません。シマンテックの遠隔計測によると、Duqu は限られた少数の組織から特定の資産を取得しようとする高度な標的型攻撃です。しかし、まだ検出されていない亜種を使った類似の方法で、他の組織に対しても攻撃がしかけられている可能性は否定できません。

攻撃者は...

Read more
W32.Duqu: The Precursor to the Next Stuxnet
Symantec Security Response | 18 Oct 2011 | 0 comments

On October 14, 2011, a research lab with strong international connections alerted us to a sample that appeared to be very similar to Stuxnet. They named the threat "Duqu" [dyü-kyü] because it creates files with the file name prefix “~DQ”. The research lab provided us with samples recovered from computer systems located in Europe, as well as a detailed report with their initial findings, including analysis comparing the threat to Stuxnet, which we were able to confirm. Parts of Duqu are nearly identical to Stuxnet, but with a completely different purpose.

Duqu is essentially the precursor to a future Stuxnet-like attack. The threat was written by the same authors (or those that have access to the Stuxnet source code) and appears to have been created since the...

Read more
1 周年を迎えた歴史的マルウェア
Liam O Murchu | 12 Jul 2011 | 0 comments

ときおり、たった 1 つのマルウェアが世間の注目を浴びることがあります。(シマンテックのオフィスを別とすれば)給湯室の世間話で話題になるマルウェアは珍しいでしょうし、実際に歴史に残るほどのマルウェアとなれば、非常にまれです。発見から今月で 1 周年を迎えるあるマルウェアが、まさにそのまれなケースに該当します。

1 年前のほぼ今頃、ベラルーシのコンピュータセキュリティ企業が、Microsoft Windows の新しい脆弱性(.LNK の脆弱性)を悪用する悪質なコードを発見したと報告しました。同社もまさか、このマルウェアが世界を変えようとは思いもしなかったでしょう。

このマルウェアがゼロデイ脆弱性を悪用するという事実は重大でしたが、歴史に名を残すというほどではありませんでした。では、このマルウェアの何が特別だったのでしょうか。最初の発見を受けて、シマンテックは問題のマルウェアを詳しく解析しました。何千人時も費やして 500 KB のコードを解析した結果、.LNK の脆弱性は氷山の一角にすぎず、しかも氷山自体がきわめて危険であることが明らかになりました。

このマルウェアは、それまで知られていなかった .LNK の脆弱性を利用するだけでなく、さらに 3 つのゼロデイ脆弱性も悪用していました。同時に 4 つのゼロデイ脆弱性が狙われたというのも前代未聞でしたが、この脅威にはさらに、Windows のルートキット、初めて出現した PLC(プログラマブルロジックコントローラ)ルートキット、高度なウイルス対策回避技術、複雑なプロセスインジェクションとフックのためのコード、ネットワーク感染ルーチン、ピアツーピア更新、コマンド & コントロールインターフェースまで備えていました。これが、どのベンダーもかつて目撃したことのなかった複雑な脅威、Stuxnet です。

ここまででもセキュリティ関係者にとっては十分に衝撃的でしたが、それだけであれば、まだ「世界を変えた」と言うほどではなかったでしょう。Stuxnet が特に世界を震撼させたのは、それがデジタル世界を越えて一足飛びに現実の世界への侵入を図ったものだったからです。もちろん、情報を盗み出したり銀行口座情報を詐取したりするマルウェアは無数にありますが、...

Read more
A Malware Anniversary to Remember
Liam O Murchu | 11 Jul 2011 | 0 comments

Once in a while, a piece of malware will come along that grabs headlines. Rarer is malware that is talked about around the water cooler (at places other than Symantec). But the rarest of all is malware that actually makes history. It is for just such a piece of malware that we observe the one year anniversary this month.

Roughly around this time one year ago, a Belarusian computer security company reported finding malicious code designed to exploit a new Microsoft Windows vulnerability, dubbed the .LNK vulnerability. Little did they know this malware would change the world.

The fact that the malware exploited a zero-day vulnerability is significant, but certainly not history making. So, what made this malware so special? After the initial discovery, Symantec’s in-depth analysis of this particular malware ensued. Thousands of man hours analyzing 500 kilobytes of code later, the .LNK vulnerability was shown to be just the tip of the iceberg, and a very dangerous...

Read more
シマンテックインテリジェンス四半期レポート: 重要インフラへの標的型攻撃
Téo Adams | 16 Feb 2011 | 0 comments

最近盛んに議論されている標的型攻撃は、その名前が示すとおり、特定の個人や組織、企業、部門に向けて行われるサイバー攻撃です。『Symantec Intelligence Quarterly Report: October - December 2010(シマンテックインテリジェンス四半期レポート: 2010 年 10 月~ 12 月)』では、標的型攻撃の中でも、特に重要インフラに対するものを中心テーマとして取り上げています。

攻撃者はますます悪賢くなり、標的を研究して、攻撃を正規なものに見せかけようとしています。カスタマイズされた標的型攻撃は、標的のグループに影響を与えることを明確な目的として作成されている点で、他の攻撃よりも危険なものとなります。このようなカスタマイズされた攻撃を行う動機は、機密情報を盗み出して利益を得ることのほか、日常業務の妨害、さらには単なるいたずらまでさまざまです。このところ最もよく目にする標的型攻撃として Hydraq、Stuxnet、Night Dragon があります。

標的型攻撃

Hydraq(別名 Aurora)が初めて見つかり、企業ネットワークにアクセスして機密情報を盗み出すことが目的と思われる標的型攻撃の一部として使われたのは、今からちょうど 1 年前のことです。Hydraq は、電子メールの添付ファイルを経由してコンピュータに侵入したり、悪意のある Web サイトなどのその他の脅威によってダウンロードされたりします。Hydraq が実行されると、トロイの木馬によってバックドアがインストールされ、攻撃者はコンピュータを制御して、さまざまな行為を実行できるようになります。たとえば、ファイルの改ざん、実行、削除、悪意のあるファイルの実行のほか、最も深刻なものとして、侵入先の企業ネットワークにアクセスして、標的にさらなる攻撃を加えることが挙げられます。

昨年 7 月に注目を集めた Stuxnet は...

Read more
Symantec Intelligence Quarterly Report: Targeted Attacks on Critical Infrastructures
Téo Adams | 14 Feb 2011 | 0 comments

There’s been lots of discussion lately on targeted attacks which are, as the name implies, cyberattacks directed at specific individuals, organizations, corporations, or sectors. These targeted attacks, particularly on critical infrastructure, are the focus of our Symantec Intelligence Quarterly Report: October – December 2010.

Attackers are getting smart and researching their target so that the attacks appear legitimate. The customization of targeted attacks can make them more dangerous than non-targeted attacks because they are tailored explicitly to affect a target group. Motivations for such customized attacks can range from stealing confidential information for profit, to interfering with day-to-day operations, to mischief. The most prominent recent targeted attacks are Hydraq, Stuxnet, and Night Dragon.

Targeted Attacks

It has been just one year since Hydraq, a.k.a Aurora, was first discovered and used as part of a targeted...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
269,400