※本記事は2018年2月9日に米国で掲載されたブログ記事の抄訳版となります。

1月31日、韓国CERTによって、実際に侵害が確認されている、新しいAdobe Flash Playerのゼロデイ脆弱性(CVE-2018-4878)に関するセキュリティ アドバイザリが公開されました。Adobeは、この脆弱性に対処するためのパッチおよびセキュリティ公報を2月6日にリリースしました。この脆弱性は、Adobe tvsdk内に存在するUse-After-Free (UAF)バグです。攻撃の最終的な目標は、DogCall (別名ROKRAT)というマルウェアをダウンロードして実行することとみられており、DogCallは情報を盗むためのバックドアです。DogCallは、多くの場合、韓国で一般的に使用されているアプリケーションであるHangul Word Processor (HWP)の悪意のあるファイルを介して配信されます。

図1 – 悪意のあるサンプルで確認された攻撃フロー

図1に悪意のあるサンプルで確認された攻撃フローを示しました。最初に悪意のあるXLSスプレッドシート ファイルが被害者によって開かれます。次に、そのドキュメントが、埋め込まれたAdobe Flashファイルを実行します。このファイルには、暗号化されたバイナリ データBLOBが含まれています。Adobe Flashファイルはリモート サーバに接続して、このバイナリBLOBの復号キーを要求します。バイナリBLOBは復号され、2つめのAdobe Flashファイルとして動的にロードされます。このAdobe Flashファイルが、CVE-2018-4878用のゼロデイ エクスプロイトを含むファイルです。エクスプロイトに成功すると、シェルコードが実行されて、悪意のあるペイロードを取得し、実行します。

 

Trapsがどのようにしてこの脅威に対して防御するか

Palo Alto Networks Traps次世代エンドポイントセキュリティは、マルウェアおよびエクスプロイト防御の複数の手法を提供して、このような複雑な脅威から保護します。この脅威の場合、Trapsは、Trapsエクスプロイト防御機能を使用して、悪意のあるシェルコードがExcel.exeで実行されるのを防ぎます。また、機械学習を利用したTrapsローカル分析で、悪意のあるペイロードが実行されないようにします。

AutoFocusをご使用のお客様は、DogCallタグで、この活動を追跡することができます。


 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 5
  • 17244

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 11453

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 3920

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 9198

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 5910