Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ

Googleの持株会社Alphabet傘下のセキュリティ企業Chronicleの、ウィルスやマルウェアをスキャンするサービスVirusTotalが今日(米国時間9/27)、エンタープライズ向けのバージョンを立ち上げた

VirusTotal Enterpriseと名付けられたその新サービスは、より高速でよりカスタマイズ性に富むマルウェア検索と、Private Graphと呼ばれる新しい機能を提供する。Private Graphは、企業のインフラストラクチャと、彼らのマシンに悪影響を及ぼすマルウェアの、プライベートな視覚化を作りだす。

企業はPrivate Graphを使って社内のインフラストラクチャやそのユーザーの明細を容易に作れるので、セキュリティチームはインシデントとその起点を調べやすくなる。上図のようなグラフを作る過程でVirtusTotalは、複数のノードの共通性を見つけ、問題の発見を助ける。

当然ながらこれらのグラフはプライベートに維持される。VirusTotalはすでにその有料ユーザーにVirusTotal Graphという機能を提供しているが、しかしその情報はすべて、パブリックだ。

VirusTotalの主張によると、このサービスはAlphabetの大きなインフラストラクチャと検索の専門的能力を利用できるので、高速で高度な検索ができる。VirusTotal EnterpriseのスピードはこれまでのVirusTotalの100倍で、検索の精度も高い。その高度な検索機能により、企業のセキュリティチームは、偽アプリケーションからアイコンを取り出したり、同じファイルに取り付いているすべてのマルウェアを見つけたりできる。

さらにVirusTotalによれば、同サービスは今後も引き続きGoogleの強力なインフラストラクチャを利用する前提で、そのエンタープライズサービスを徐々に拡張していく。

GoogleがVirusTotalを買収したのは2012年で、その後長年このサービスに変化はなかったが、今年の初めにGoogleの親会社AlphabetがVirusTotalを新設のChronicleブランドへ移し、それ以降、開発が活発になったようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Webサーバを攻撃するLinux上のランサムウェアが出没、身代金は1ビットコイン

encoder-1

新種のランサムウェアがLinuxマシンを攻撃している。とくに、サーバがサーブするWebページ関連のフォルダが被害者だ。そのLinux.Encoder.1と呼ばれるランサムウェアは、MySQL、Apache、およびhomeやrootのフォルダを暗号化する。そしてファイルを解読するために1bitcoinを要求する。

以下、Dr.Web Antivirusより:

管理者権限で侵入したこのLinux.Encoder.1と呼ばれるトロイの木馬は、犯人が求めるファイルと、RSAの公開鍵のパッチのあるファイルをダウンロードする。そのあと、その悪質なプログラムはデーモンを始動し、元のファイルを削除する。その後RSAキーを使ってAESキーを保存し、トロイの木馬はそれを利用して、感染したコンピュータの上のファイルを暗号化する。

最初にLinux.Encoder.1はhomeディレクトリと、Webサイトの管理に関連したディレクトリ内のすべてのファイルを暗号化する。それからトロイの木馬は、自分が侵入したディレクトリとその下のファイルシステムのすべてを再帰的にトラバースする。さらにその次は、rootディレクトリ(“/”)とその下を襲う。そのときトロイの木馬は、犯人が指示した文字列のどれかで始まる名前のディレクトリのみを訪ね、指定した拡張子のあるファイルだけを暗号化する。

 

被害者がランサム(ransom, 身代金)を払うとシステムは信号を受け取り、再びディレクトリをトラバースしてファイルの暗号を解く。このマルウェアは自分が動くために管理者権限を必要とし、またおそらく、そのようなプログラムにうかつに実行許可を与えるようなシスアドミンを必要とする。Dr.Webのチームは、すべてのデータをバックアップすることと、攻撃された場合には、研究者たちが脱暗号化システムを作るまで被害の現状を保全することを、勧めている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。