Clever Geek Handbook

オーロラ作戦。 Kick Googleとその他

McAfee Labsは、昼夜を問わず、現在「オーロラ」と呼ばれる攻撃を調査しました。これは、多くの組織に打撃を与え、火曜日にGoogleのおかげでメディアにヒットしました。 私たちは、影響を受ける組織だけでなく、政府や法人とも協力しています。 調査の段階の1つは、特定の量の悪意のあるコードの分析でした。これは、見たように、攻撃された組織のネットワークに侵入する試みで使用されました。





最新のInternet Explorerの脆弱性



調査中、攻撃に使用された悪意のあるコードのインスタンスの1つが、MS Internet Explorerの未公開の脆弱性を悪用していることがわかりました。 この脆弱性をマイクロソフトに報告し、彼らは明確化を投稿し、火曜日にブログで報告しました。

ほとんどの標的型攻撃と同様に、攻撃者は1人以上の選択されたユーザーに対して標的型攻撃を行うことにより、組織のネットワークへのアクセスを得ました。 ユーザーは、組織の特定の知的財産へのアクセスに基づいて選択されたと想定しています。 これらの攻撃は信頼できるソースから実行されたように見えたため、注意が減り、リンクまたはファイルを開くことで悪意のあるコードが起動されました。 これは、Microsoft Internet Explorerの脆弱性が悪用される場所です。

悪意のあるコードがダウンロードおよびインストールされると、バックドアが開かれ、攻撃者は侵入先のシステムを完全に制御できます。 攻撃者は会社のネットワーク内にいたため、会社にとって重要なデータの「マージ」を開始できました。

調査の結果、Internet ExplorerにはWindows 7のバージョン8を含むすべてのバージョンに脆弱性が含まれていることが判明しました。しかし、攻撃者は主にブラウザーの6番目のバージョンを標的にしました。 調査中にマイクロソフトにご協力いただきありがとうございます。

この事件ではInternet Explorerが攻撃の主な焦点であると特定しましたが、攻撃のかなりの部分は未公開(ゼロデイ)の脆弱性と高品質のソーシャルエンジニアリングシナリオの混合によるものでした。 そのため、攻撃が発生した方向が拡大する可能性があります。 つまり、他のレポートとは異なり、Adobe Readerが攻撃に使用される可能性があるという確認は見つかりませんでした。

オーロラ作戦



「オーロラ」の名前の由来を知りたいと思います。 分析によると、「オーロラ」という単語は攻撃者のコンピューター上のファイルパスの一部であり、攻撃に関連する2つのバイナリの悪意のあるファイルに含まれていました。 通常、このファイルパスは、開発者のコ​​ンピューター上のソースコードとデバッグシンボルが格納されている場所へのポインターとしてコンパイラーによって組み込まれます。 この言葉で、攻撃者は自分たちの間で操作を呼び出したようです。

景観の変化



Blaster、Code Red、およびその他の広範なワームは過去のものです。 現在の悪意のあるコードは非常に専門的で、目的があり、データに感染、密かにアクセス、「流出」、さらには慎重に変更するように設計されています。

「高度な持続的脅威」(APT)として知られるこれらの柔軟に変更された攻撃は、政府によって最初にコミットされたものであり、言及するだけでサイバー戦士を興奮させるのに十分です。 実際、それらは戦場でのドローンに相当します。 宝石の精度で、彼らは危険な貨物を配達し、いつも手遅れになっています。

Operation Auroraは、サイバー脅威を取り巻く環境を変えました。 これらの攻撃は、あらゆる分野の企業が非常に有益な標的であることを示しました。 ほとんどはこれらの標的型攻撃に対して非常に脆弱であり、知的財産という非常に大きな戦利品をもたらします。

2009年のATM強盗と同様に、Operation Auroraは著名な企業に対する協調攻撃のようで、知的財産を狙っています。 ATMからお金を引き出すゾンビの軍隊のように、この悪意のあるコードは、人々がクリスマス休暇でリラックスしている間に攻撃者が会社の宝物を盗むことを可能にしました。 確かに、この時点で痕跡を隠すために攻撃が行われました。

私が言えることは、「すごい!」だけです。世界は変わりました。 普遍的な脆弱性モデルは、これらのAPTの新しい現実に適応させる必要があります。 クレジットカードデータベースを盗もうとする東ヨーロッパのサイバー犯罪者に加えて、基本的な知的財産、個人の非金融顧客情報、およびその他の無形資産の世話をする必要があります。

イベントの発生に合わせて引き続きお知らせします。 以前の投稿で書いたように、これは氷山の一角にすぎません。



マカフィー情報セキュリティスペシャリスト、ジョージカーツ。



UPD:スプリットの操作を示すビデオ:



「オーロラ」IEはVimeo のPraetorian Prefectの乗組員から アクションで悪用されます。



UPD2:エクスプロイト自体が公開されています。 Praetorianプロジェクトへのリンク。

haberman matrosovのスプライトへのリンクwww.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb-Metasploitの Ruby

ahmed.obied.net/software/code/exploits/ie_aurora.py-Pythonで。


More articles:


All Articles