2019年01月15日

【秘文】某大手企業から来た添付ファイルが酷い件について【悪い文明】

サイバー攻撃、死角なくせ、日立ソリューションズ、情報流出「出口」で監視。 | SECURITY SHOW
日立ソリューションズは12月1日から、企業向けセキュリティーサービス「秘文」シリーズに、標的型メール攻撃対策サービスを追加する。三菱重工業や外務省、衆議院、参議院など最近被害の発覚が相次いでいるタイプの攻撃に、対策の焦点を絞った。

7年ほど前日立ソリューションズさんが、悪名高い秘文シリーズの営業を最近サイバー攻撃の被害が発生している 三菱重工業や外務省 などをターゲットに攻勢をかけるようなニュースが流れていました

現物を見ることはなかったのですが、今年、某大手企業から 送られてきた見積書の PDF が酷い物でした。

・PDFを添付する旨が書かれている
・別メールで、さも当たり前であるかのように「先ほどの添付ファイルのパスワードは xxxxxxxxxxです」と言う通知が来る。
添付ファイルの拡張子は .EX になっている。

VirusTotal でスキャンすると 2件 安全ではないファイルとしてブロックされました。
念のためリソースハッカーで開いてみましょう
CONTROL "このファイルは暗号化されています。展開するためのパスワードと展開先フォルダ名を入力してください。", 1101, STATIC, SS_LEFT | WS_CHILD | WS_VISIBLE | WS_GROUP, 50, 15, 267, 20 CONTROL "パスワード(&P):", -1, STATIC, SS_LEFT | WS_CHILD | WS_VISIBLE | WS_GROUP, 73, 44, 85, 10
CONTROL "展開先フォルダ名(&F):", -1, STATIC, SS_LEFT | WS_CHILD | WS_VISIBLE | WS_GROUP, 73, 68, 85, 20
CONTROL "参照(&R)...", 1008, BUTTON, BS_PUSHBUTTON | WS_CHILD | WS_VISIBLE | WS_TABSTOP, 323, 66, 40, 14
CONTROL "OK(&O)", 1, BUTTON, BS_DEFPUSHBUTTON | WS_CHILD | WS_VISIBLE | WS_TABSTOP, 186, 96, 85, 26
CONTROL "キャンセル(&C)", 2, BUTTON, BS_PUSHBUTTON | WS_CHILD | WS_VISIBLE | WS_TABSTOP, 278, 96, 85, 26


32, "実行中の自己復号型機密ファイルを上書きしようとしています。\n別のフォルダへ復号するか、又は自己復号型機密ファイルの名称を変更してから再度実行してください。"
33, "ファイルを展開できません。\n展開するファイル名と同名のフォルダが存在します。"
34, "フォルダを展開できません。\n展開するフォルダ名と同名のファイルが存在します。"
35, "ファイルを作成できません。"
36, "不正なフォルダ名が指定されました。"
37, "展開先ファイル名が最大値を %s 文字超えています"
38, "サブディレクトリの作成に失敗しました。"
40, "Cabinet.dll のAPIの実行中に予期しないエラーが発生しました。\nAPI = %s\n詳細情報 = %s\n エラーコード = %d\n"
41, "圧縮ファイルがオープンできません。"
42, "秘文機密ファイルが壊れています。"
43, "秘文機密ファイルが壊れています。"
44, "展開するファイルの作成に失敗しました。"
45, "ファイルを復号化しています\nしばらくお待ちください..."
46, "一時ファイルの作成に失敗しました。再度実行してください。"
47, "一時フォルダ名が不正です。"
48, "このフォルダには既に’%s’ファイルが存在します。"
49, "Cabinet.dll が見つかりません。\n\n%s、または\n%s 下にCabinet.dllを置いてください。"
50, "TMPフォルダの作成に失敗しました。\nWindowsフォルダへのアクセス権があるか確認してください。\nエラーコード = %s"
51, "作業フォルダの作成に失敗しました。\n以下のフォルダに書き込み権限があるか確認してください。\n作業フォルダ = %s\nエラーコード = %d"
52, "展開処理をキャンセルしますか?"
53, "sfmkslfd.dll が見つかりません。"
54, "sfmkslfd.dll内にsfmk_loadDecInfoFileが見つかりません。"
55, "自動復号情報ファイルの読込みに失敗しました。"
56, "メディア暗号鍵が違います"
57, "ファイルを展開できません。\nアクセスできないファイルが展開先のフォルダにないか確認してください。"
58, "サポートしていない日付を持つファイルが見つかりました。\n\nお使いのファイルシステム(FAT/FAT32)では、1980年よりも古い\nファイル日付をサポートしていません。\n[はい]をクリックすると、自動的にサポート可能な日付範囲に変換して\n処理を続けることができます。\n以降のファイルも全て自動的に変換されます。\n\n日付を自動的に変換して処理を続けますか?\n[いいえ]をクリックすると処理を中断します。"
59, "展開先フォルダの作成に失敗しました。\n展開先の書き込み権限を確認し、作成途中の不要な\nフォルダがあれば削除してください。"
60, "フォルダが存在しません。\n作成しますか?"
61, "Version %s "
62, "ファイルを展開できません。\nライトプロテクトを解除してください。 "
63, "フォルダを選択してください"

Icon_7
これが秘文のアイコンだ・ω・

Icon_8
電子署名なんて無かった。
ファイル情報領域にバージョンリソースすら含まれていない不審な実行ファイルを送り付けるわけですね。

HIBU3
怖いので、仮想環境でスタンドアロンのWindows 2000で実行したらこうなった。

fcwin2kでOS偽装してみた
HIBU4
あの、展開できたんですけど、XP以前でブロックする意味あるんですか?
これ、XP以前では解凍できないような暗号使ってるとか言うスタイルを偽装してるんでしょうか?
まぁ、確かに、自己解凍プログラムが SSE2命令で書かれてるので、古いPCでは解凍できない様ではあります

少し解析してみると HibunEmbedded4V9 の文字列がありました、次のバージョンの 秘文V10製品ですら既に2017/6/30で販売が終了しています。

日立さんはそうそうに非を認めて撤退したのかと思ったら違いました。

現行製品の 秘文AE ContentsGate で同じことやっていますね


秘文の 何がまずいかってのは

・安易に添付ファイルの実行ファイルを実行させることによって取引先のセキュリティ意識を低下させる。
・EXEファイルなので、Windows の特定環境でしか解凍できない。
・実行ファイルに電子署名が無いので、信頼できるファイルなのか一見判定できない。
・同じネットワークで パスワードを送り付けるので、セキュリティ的にあまり意味はない。

秘文は悪い文明。滅ぶべきです ・ω・




blackwingcat at 18:30|PermalinkComments(0) | このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

2019年01月14日

Windows 2000 と PIP_ADAPTER_UNICAST_ADDRESS

副題 UTAU Plugin autoCVVC Win2000 で エラーになる件について その2 なのです
UTAU Plugin autoCVVC Win2000 で エラーになる件について その1
PIP_ADAPTER_UNICAST_ADDRESS pUnicast = NULL;
pUnicast = pCurrAddresses->FirstUnicastAddress;
printf("sizeof(pUnicast)=%d\\n", pUnicast->Length );
printf("pUnicast->OnLinkPrefixLength=%d\\n", ((int *)pUnicast)[0xb] );

ちょっと略しますが、こんなプログラムを書いて動かしてみました。


typedef struct _IP_ADAPTER_UNICAST_ADDRESS {
union {
struct {
ULONG Length; // Offset 0
DWORD Flags; // Offset 4
};
};
struct _IP_ADAPTER_UNICAST_ADDRESS *Next; // Offset 8
SOCKET_ADDRESS Address; // Offset 0x10
IP_PREFIX_ORIGIN PrefixOrigin; // Offset 0x14
IP_SUFFIX_ORIGIN SuffixOrigin; // Offset 0x18
IP_DAD_STATE DadState; // Offset 0x1c
ULONG ValidLifetime; // Offset 0x20
ULONG PreferredLifetime; // Offset 0x24
ULONG LeaseLifetime; // Offset 0x28
UINT8 OnLinkPrefixLength; // Offset 0x2c
} IP_ADAPTER_UNICAST_ADDRESS, *PIP_ADAPTER_UNICAST_ADDRESS;

IP_ADAPTER_UNICAST_ADDRESS structure (Windows)
OnLinkPrefixLength
  Type: UINT8
 The length, in bits, of the prefix or network part of the IP address. For a unicast IPv4 address, any value greater than 32 is an illegal value. For a unicast IPv6 address, any value greater than 128 is an illegal value. A value of 255 is commonly used to represent an illegal value.

Note This structure member is only available on Windows Vista and later.
最後のOnLinkPrefixLength は Vista 以降じゃないと非サポートだと書かれています。
定義上 この構造体が無ければ Windows 2000 は sizeof(pUnicast) を44 と返すはずです。
結果

sizeof(pUnicast)=48
pUnicast->OnLinkPrefixLength=0
が返ってきました。
どうやら使ってないだけで、構造体自体の領域は存在するようです (((・ω・)))



blackwingcat at 18:30|PermalinkComments(0) | このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote Windows2000 | Driver/API

先日、バックドアアカウントがあると判明した 台湾 ZyXEL のルーターにさらに脆弱性

先日、ルーター のファームウェアのファイルにアクセスされて、 etc/default.cfg に root アカウントのパスワードがハードコーディングされていることがばらされてバックドアアカウントが発覚してしまった台湾 ZyXEL さんですが、さらに証明書などの管理も杜撰だったことがばれてしまい、JVNのデータベースから注意喚起が出ていました

JVNDB-2018-011492 - JVN iPedia - 脆弱性対策情報データベース
ZyXEL VMG3312-B10B デバイスには、証明書・パスワードの管理に関する脆弱性が存在します。

情報公開日は 2019/1/15ですね・ω・

ルーターのバックドアと言えば、 2年前の 韓国 LG のルーターのバックドアが記憶に新しいですね。

JVNDB-2017-000217 - JVN iPedia - 脆弱性対策情報データベース
株式会社NTTドコモが提供する LG Electronics 製 Wi-Fi STATION L-02F には、バックドアの問題が存在します。




blackwingcat at 08:30|PermalinkComments(0) | このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote 韓国・中国製ソフト | 周辺機器

2019年01月13日

UTAU Plugin autoCVVC Win2000 で エラーになる件について その1


今回はツイッターからのヘルプ
【UTAUプラグイン】autoCVVC2.0配布所:デルタ@きみがためのブロマガ - ブロマガ
これがエラーになるというので調べてみました。


Traceback (most recent call last): File "autoCVVC.py", line 3, in File "zipextimporter.pyc", line 82, in load_module File "psutil\__init__.pyc", line 124, in File "zipextimporter.pyc", line 82, in load_module File "psutil\_pswindows.pyc", line 15, in File "zipextimporter.pyc", line 98, in load_module ImportError: MemoryLoadLibrary failed loading psutil\_psutil_windows.pyd

Error 内容はこんな感じ

psutil を調べてみた

psutil/_psutil_windows.c at master ・ giampaolo/psutil

このpython ライブラリ を使う場合、 _WIN32_WINN の定義を Vista 移行にしてしまうと、
MIB_IFROW 構造体ではなく、XP以前では使えない MIB_IF_ROW2 構造体を使うので正常に動作しなくなる。

GetIfEntry ではなく、GetIfEntry2 を呼び出したり、ConvertLengthToIpv4Mask をよび出すのも問題だ。
#if (_WIN32_WINNT >= 0x0600) // Windows Vista and above
  netmask_bits = pUnicast->OnLinkPrefixLength;
  dwRetVal = ConvertLengthToIpv4Mask(netmask_bits, &converted_netmask);
  if (dwRetVal == NO_ERROR) {
  in_netmask.s_addr = converted_netmask;
  netmaskIntRet = inet_ntop(
AF_INET, &in_netmask, buff_netmask,
sizeof(buff_netmask));
  if (!netmaskIntRet)
  goto error;
  }
#endif


TRC
トレース実行すると ConvertLengthToIpv4Mask をコールしようとしてこけてるのが分かる。
VC++2008 でコンパイルしてるのだから  _WIN32_WINNT の定義は 0x0500 で良いような気がする( ˘ω˘)



blackwingcat at 12:30|PermalinkComments(0) | このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote 助けて!黒猫先生 | Win2000拡張カーネル
このエントリーをはてなブックマークに追加
|
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation