※本記事は2018年2月9日に米国で掲載されたブログ記事の抄訳版となります。

1月31日、韓国CERTによって、実際に侵害が確認されている、新しいAdobe Flash Playerのゼロデイ脆弱性(CVE-2018-4878)に関するセキュリティ アドバイザリが公開されました。Adobeは、この脆弱性に対処するためのパッチおよびセキュリティ公報を2月6日にリリースしました。この脆弱性は、Adobe tvsdk内に存在するUse-After-Free (UAF)バグです。攻撃の最終的な目標は、DogCall (別名ROKRAT)というマルウェアをダウンロードして実行することとみられており、DogCallは情報を盗むためのバックドアです。DogCallは、多くの場合、韓国で一般的に使用されているアプリケーションであるHangul Word Processor (HWP)の悪意のあるファイルを介して配信されます。

図1 – 悪意のあるサンプルで確認された攻撃フロー

図1に悪意のあるサンプルで確認された攻撃フローを示しました。最初に悪意のあるXLSスプレッドシート ファイルが被害者によって開かれます。次に、そのドキュメントが、埋め込まれたAdobe Flashファイルを実行します。このファイルには、暗号化されたバイナリ データBLOBが含まれています。Adobe Flashファイルはリモート サーバに接続して、このバイナリBLOBの復号キーを要求します。バイナリBLOBは復号され、2つめのAdobe Flashファイルとして動的にロードされます。このAdobe Flashファイルが、CVE-2018-4878用のゼロデイ エクスプロイトを含むファイルです。エクスプロイトに成功すると、シェルコードが実行されて、悪意のあるペイロードを取得し、実行します。

 

Trapsがどのようにしてこの脅威に対して防御するか

Palo Alto Networks Traps次世代エンドポイントセキュリティは、マルウェアおよびエクスプロイト防御の複数の手法を提供して、このような複雑な脅威から保護します。この脅威の場合、Trapsは、Trapsエクスプロイト防御機能を使用して、悪意のあるシェルコードがExcel.exeで実行されるのを防ぎます。また、機械学習を利用したTrapsローカル分析で、悪意のあるペイロードが実行されないようにします。

AutoFocusをご使用のお客様は、DogCallタグで、この活動を追跡することができます。


 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 8762

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 4311

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 2997

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1138

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2080