最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆その後の正規サイト改ざん〔前編〕(3)~セキュリティベンダーの感染状況報告(2009/06/30) | メイン | ◆その後の正規サイト改ざん〔後篇〕(2):新たな攻撃手法~「Beladen」「Nine Ball」(2009/07/02) »

2009/07/02

◆その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法~「新Nine Ball」「8080」(2009/07/02)

  ●「新Nine Ball」:改ざんされた在米エチオピア大使館公式サイト

 Gamblar終息以降、サイト改ざん情報はウェブセンスが積極的な情報提供を行っており、現地時間6月22日には在米エチオピア大使館の公式サイト改ざんを、同24日にはこれを含む複数の改ざん事例を紹介している。

 在米エチオピア大使館の公式サイトは、公表時には改ざん状態にあり、その後も再改ざんが繰り返された後、日本時間の7月2日未明に修復。今のところは正常だが、再び改ざんされる可能性もあるので注意が必要だ。

 当該サイトには、/headタグの直前とbodyタグの直後に、異なる誘導コードが埋め込まれていた。

 前者はNine Ballと同じ手法で難読化されたものだが、従来のKZ(カザフスタン)やTW(台湾)ドメインへの誘導ではなく、中身は「Nonstop Web Site Re-Infections」の記事にある「Second Malicious Injection」そのもの。マレーシアでホストされた「traffics-inspector.cn」に誘導後、さらに中国の「bingos-totonya2.com」に誘導され、Adobe ReaderやFlashPlayerの脆弱性攻撃を仕掛けられる。以前Nine Ballに汚染されていたサイトも、同様の中身に再改ざんされていることから、攻撃手法が変わったものとみられる。

 後者は、「Nonstop Web Site Re-Infections」の記事にある「Latest Injection」で説明されている、難読化なしでストレートにiframeタグを埋め込んだタイプ。誘導先の8080ポートにアクセスさせるのが特徴で、Gumblar終息後の攻撃の中で、編集部が最も警戒しているタイプだ。

【参考サイト】
・Compromised Site Embassy of Ethiopia in Washington D.C.[英文](ウェブセンス)
http://securitylabs.websense.com/content/Alerts/3423.aspx
・Nonstop Web Site Re-Infections[英文](ウェブセンス)
http://securitylabs.websense.com/content/Blogs/3425.aspx


●「8080」:大量ドメインを使用する8080攻撃

 セキュリティベンダーがまだ命名していないので、ここでは便宜的に8080攻撃と呼ぶことにする。編集部では、この攻撃を6月初旬から観測しているが、見るたびに誘導先が違うほど大量のドメインをとっかえひっかえ使用。編集部が把握しているだけでも、約200のドメインが現在も稼働し続けている状況だ。大半はCN(中国)だが、最近はIN(インド)やPL(ポーランド)、RU(ロシア)、AT(オーストリア)などもチラホラ見受けられる。

 Googleのセーフブラウジングの診断では、個々のドメインの汚染度は多いものでも3000程度だが、なにせ数が多いので総計は6万を超える。再改ざんによる重複が多数あるとは思うが、Gumblar以来の規模ではなかろうか。今のところまだ国内サイトの被害は見つかっていないが、海外サイトの日本語ページが改ざんされている例はあり、1日付のウェブセンスの記事では、人気の高いファイル共有ソフトTorrentの総合サイト「Torrent Reactor」も改ざん被害にあったという。

 使われている個々のドメインには、欧米のサーバー5基が1セットで登録されているが、全てのドメインが同じセットで動いているので、攻撃サイトは実質5基。早いサーバは1日で入れ替わるが、長いものは20日間以上使用されており、ボットネットの攻撃に見られるような短時間で入れ替わって行く、いわゆるFast-Fluxではない点がまだ救われる。

 先のウェブセンスの例にある「in.cgi?pepsi78」に誘導される場合には、そこからさらに別のドメインの「index.php」を開こうとする。これらを含め、攻撃は全て8080番ポートにアクセスするのが特徴で、通常のWebアクセスに使用する80番ポートでは何も起こらない。

 「index.php」は難読化されたJavaScriptで、現時点ではAdobe Reader、FlashPlayer、MDAC、SnapShot Viewerの脆弱性攻撃が行われ、ダウンロードしたトロイの木馬を実行しようとする。攻撃コードやウイルス本体は頻繁に更新されており、特にウイルス本体に関しては対策ソフトの対応が追い付かない状況にあるが、プラグイン類が最新であれば、攻撃は成立しない。

【参考サイト】
・Torrentreactor Website compromised[英文](ウェブセンス)
http://securitylabs.websense.com/content/Alerts/3430.aspx

(2009/07/02 ネットセキュリティニュース)

投稿情報: 10:13 |

|