トレンドマイクロではインターネットから複合的に侵入し継続的な危害を与える攻撃を「Webからの脅威」と位置づけています。最近多くなってきた不正Web経由での侵入の具体例を実際の調査例から紹介しましょう。
トレンドマイクロでは不正サイトの疑いがある 「hxxp://www.sou[セキュリティのため省略]xse.cn」 を調査しました。実際にこのサイトにアクセスしてもエラーメッセージのような表示があるだけで特に変わったところはありません。しかし、実際にはこのページでスクリプトが実行され、不正プログラムが送り込まれる仕組みになっていました。
仕組みは以下の通りです:
- ユーザが問題のサイトにWebブラウザでアクセスします。
- Webページのhtmファイルがブラウザにロードされます。エラーメッセージのような表示があり、特に変わったところはありません。
- しかし、実際にはページ内のスクリプトタグにより、「s.js」というスクリプトファイルが参照され実行されます。スクリプトはサーバ上の不正プログラムファイル “XUIK.EXE” をWindowsフォルダにダウンロードさせます。ダウンロード時にファイル名はインターネットテンポラリファイルの形式 “~TMP####.EXE” にリネームされます。
- ダウンロードされた “~TMP####.EXE” はスクリプト内の ShellExecute コマンドによりユーザのコンピュータ上で実行され、不正活動を開始します。
この例ではスクリプトによりファイルを実行しようとしています。そのため、デフォルト状態のセキュリティレベルであればダウンロードされたファイルがそのまま実行されることはありません。しかし、ユーザを騙してセキュリティレベルを下げさせたり、セキュリティホールへの攻撃によってファイルを実行させる場合もあります。また、今回は不審なサイトでしたが正規のWebサイトが改竄されて不正な攻撃を行うスクリプトタグが埋め込まれる例も多くなっています。ダウンロードされた不正プログラムはさらに外部サイトから他の不正プログラムをダウンロードしたり、不正サイトへのアクセスが行われるようにシステムの設定を変更するなどの不正活動を行い、被害を拡大させていきます。これは1つの例ですが悪意のハッカーはこれと同様の攻撃を行うサイトを常に準備しているのが実情です。
この例の不正プログラムは「TROJ_AGENT.RGA」として検出に対応しています。また、「TROJ_AGENT.RGA」がダウンロードする他の不正プログラムは「WORM_AGENT.RGB」、「TSPY_DELF.HAJ」として対応しています。