最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法~「新Nine Ball」「8080」(2009/07/02) | メイン | ◆その後の正規サイト改ざん〔後篇〕(1):多数ドメインを使うサイト改ざんが継続(2009/07/02) »

2009/07/02

◆その後の正規サイト改ざん〔後篇〕(2):新たな攻撃手法~「Beladen」「Nine Ball」(2009/07/02)

  Gumblar以降、話題になった攻撃から、編集部が実際に調査したものをいくつか紹介する。

●「Beladen」:難読化された「googleanalytlcs.net」へリンク

 Beladenは、ウェブセンスが現地時間5月29日付けで2万サイトが改ざんされていると報告した攻撃。報告当初の攻撃サイトのドメインが「beladen.net」だったことから便宜上こう呼ぶが、攻撃サイトはその後「shkarkimi.net」へと移転したという。改ざんサイトには難読化された「googleanalytlcs.net」へのリンクが埋め込まれ、同サイトから攻撃サイトにリダイレクトする手法だったそうだが、いずれのサイトも編集部が調査した6月初旬にはすでに閉鎖されていたため、詳しい状況は把握できなかった。

 「コンピュータワールド」などの記事によると、一連の攻撃には、ウクライナのサーバーが使われていたといい、FirefoxやInternet Explorerの脆弱性を突いてトロイの木馬をインストールしようとしたり、ポップアップ広告を表示して偽のウイルス対策ソフトをダウンロードさせようとしたそうだ。感染サイトは約4万にも上ったというが、事後調査では発見することができず、いつの間にか始まってよく分からないまま終了してしまった感じだ。

 Googleのセーフブラウジングによれば、誘導サイト「googleanalytlcs.net」に汚染されたドメインは7541、攻撃サイトの「beladen.net」が3500、同「shkarkimi.net」が417と診断されており、Gumblar(約6万)のような大規模な改ざんではなかったと思われる。

【参考サイト】・Mass Compromise - Beladen[英文](ウェブセンス)http://securitylabs.websense.com/content/Blogs/3408.aspx・Beladen payload site changes to Shkarkimi[英文](ウェブセンス)http://securitylabs.websense.com/content/Alerts/3412.aspx・Beladen Update Drastic Decrease in Infected Sites[英文](ウェブセンス)http://securitylabs.websense.com/content/Alerts/3420.aspx


●「Nine Ball」:たらい回しと隠ぺい工作

 ウェブセンスが6月16日付で4万サイトが改ざんされていると報じたもの。その後、ソフォスやトレンドマイクロからも警告が出されているが、複数のリダイレクトを繰り返し最終的な攻撃サイトに誘導するのが特徴だ。ウェブセンスの当初の報告では「ninetoraq.in」が最終的な攻撃サイトになっていたことから、同社がNine Ballと名付けた。

 4万サイトとあったものの、改ざんサイトを見つけるのに手間取ってしまい、発見した18日時点では、「ninetoraq.in」はすでに閉鎖。攻撃サイトは「orep.tw」へと移転していた。

 改ざんサイトには、難読化された「rnw.kz」へのリンクが埋め込まれており、同サイトから「bro.tw」、さらに「rmi.tw」へとたらい回しにされた後、最終的な攻撃サイト「orep.tw」へと誘導される。別のタイプでは、molo.tw→rmi.tw→rmi.tw→orep.twとリダイレクトされるケースもあるが、いずれもウクライナの同一サーバでホストされており、リダイレクトを繰り返すことによって、攻撃サイトを特定されないようにしているものと思われる。

 この攻撃には別の隠ぺい工作も行われており、誘導サイトに再びアクセスすると、最終的な攻撃サイトにたどりつく直前に、ask.comやgoogle.comに飛ばされ、攻撃サイトにたどりつけないようになっていた。Gumblarの攻撃でも、最終的に投下されるバイナリは続けてダウンロードできないようアクセス制御が行われていたが、こちらは攻撃サイトにも行かせない一段と手の込んだ手法。直接攻撃サイトに再アクセスしようとしても、Googleにリダイレクトされてしまう。

 最終的な攻撃サイトでは、Windowsの標準コンポーネントMDAC(Microsoft Database Access Components)やAdobe Readerなどの脆弱性攻撃を受けるが、いずれも修正済みのものなので、ソフトウェアを最新の状態にしていればトロイの木馬がインストールされる心配はない。

 一連のサイトはすでに閉鎖されており、編集部ではこのタイプのNine Ball攻撃は終了したのではないかと見ている。トレンドマイクロによると、攻撃サイトは何百も存在するというのだが詳細は不明。ちなみに、Googleのセーフブラウジングの診断では、前掲のサイトの汚染されたドメインの総数は5226だった。

【参考サイト】
・Mass Injection - Nine-Ball Compromises more than 40,000 Legitimate Web sites[英文](ウェブセンス)
http://securitylabs.websense.com/content/Alerts/3421.aspx
・Nine-Ball Mass Injection - Details[英文](ウェブセンス)
http://securitylabs.websense.com/content/Blogs/3422.aspx
・Yet more mass injections[英文](ソフォス)
http://www.sophos.com/blogs/sophoslabs/v/post/4890
・厄介な大規模Webサイト改ざん事件が再発生(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/2940

(2009/07/02 ネットセキュリティニュース)

投稿情報: 10:14 |

|