元気にやっていますか?
私は相変わらず、曖昧な空白とともにふらふらする毎日です。
健体壮美なあなたのことだから大丈夫だとは思いますが、
くれぐれもお体にはお気をつけください。

2010/02/11

Gumblar攻撃の特徴

昨年末から騒がれているGumblar攻撃。
概要だけを簡単に定義すれば、
『Webページを改ざんし、悪なJavaScriptコードを埋め込むことで、Adobe(Reader Acrobat・Flash Player)、Java、Windowsなどなどの脆弱性を利用して、被害者に気付かれないようにマルウェアをダウンロードさせる攻撃手法のこと。』
ということになると思うのだが、いまいち具体的なイメージがわかないと常々思っていた。
開発者としては実装方法が気になるところだが、どこのサイトも上記の概要レベルの説明に留まっている。モノの性質上、あからさまにコーディングを公開するわけにもいかないのが歯痒い。

今日、ようやく少し具体的な記事を見つけた。
マルウェア解析の現場から-03 Gumblar攻撃 - TrendLabs SECURITY BLOG
■Gumblar攻撃の特徴
  1. 改ざん内容がランダムに難読化され、方法も随時変化しながら長期に渡って継続している。また改ざんページ閲覧時の接続先サイトはリバースプロキシ(nginx)になっており、一つの名前に対するIPアドレスも複数存在している。
    =>検出およびURLフィルタリングによるブロックが困難になる。
  2. 不正スクリプトによる不正サイトへの接続先URLに正常なドメインの文字列が多数含まれている。
    =>URLフィルタリングをすり抜けることがある。
  3. 不正スクリプトによる不正サイトへの接続は、同じIPアドレスからは初回接続時(または初回接続後のわずかな時間)しか本来の(不正な)応答がされない。
    =>マルウェアサンプルの入手が困難になる。
  4. file.exe(TROJ_BREDOLAB)をダウンロードさせるJavaScriptは一部が別ファイルに分かれている。
    =>単体では動作を解析できず解析が困難になる。
  5. file.exe(TROJ_BREDOLAB)をダウンロードさせるために複数の脆弱性が利用される(JustExploitなどが利用されている模様)。
    =>より多くの環境で感染しやすくなる。
  6. file.exe(TROJ_BREDOLAB)はダウンロードしたファイルデータをファイルとしては作成せずに別プロセスにインジェクションして実行することができる。
    =>検出・動作の解析が困難になる。
  7. TROJ_AGENT.AUQSはSYSファイル内で自身のコードを復号した上で、service.exeにコードをインジェクションして動作させる。また、自身が削除されないように監視する。
    =>解析・駆除が困難になる。
  8. TSPY_DAURSO.CによるFTPクライアントの設定情報からの収集、TSPY_DAURSO.DによるFTPサーバ側での受信内容の監視、TROJ_WALEDACによるネットワークパケットの監視など、いくつもの方法でFTPアカウント情報を収集する。
    =>感染コンピュータから見えるFTPアカウント情報を逃さず収集される。
  9. TROJ_WALEDAC.AYZはFTPアカウントだけでなく、HTTPベーシック認証、POP3、SMTP Authenticationなど平文で流れるパスワード情報を収集する。
    =>収集された情報を利用した情報漏えいなど問題が広がる。
  10. 様々な動作の背後で偽セキュリティソフトをインストールする。
    =>注目を集中させるとともに、購入を促すことで攻撃者の安定した資金源になる。

0 件のコメント:

コメントを投稿