昨年12月から被害が続出している国内のWebサイト改ざん。「ガンブラー」と総称される攻撃を、編集部では「8080」と「Gumblar.x」の2タイプに分けて情報をお伝えしているが、ここ数日で両タイプに嫌な変化が生じている。
■「8080」埋め込みコードに変化~対策ソフトの検出に影響
9日、8080によって埋め込まれるコードが大きく変化した。新しいコードでは、従来行われていた文字置換に加え、実行しても本編に関係のない無意味なコードが大量に挿入されている。また、これまでのコードには、「/*LGPL*/」「/*Exception*/」といった文字列が使われていたり、それらの文字列が使われなくなった後も目印にできる記述があったのだが、それらのすぐに見つけられる目立った特徴が消えてしまった。今回の変更はウイルス対策ソフトによる検出の回避に大きな影響があったようで、コードが変わった直後には、どの製品も検出が不可能な状態だった。
埋め込みコードの変更後、攻撃コードや攻撃成立時に実行されるウイルス本体に変化があったかどうかを確かめたいところだが、編集部の環境では残念ながらこれらを取得することができない。セキュリティベンダーの報告が待たれる。
■「Gumblar.x」復活~再改ざん、新規改ざん両ケースを確認
2009年10月に攻撃活動を開始し、12月には沈静化したGumblar.xだが、2月5日、攻撃が再開された。過去に改ざんされたサイトが再改ざんされたケースと、今回新たに改ざんされたケースの両方が確認されている。再改ざんされたサイトの中には、Gumblar.x以前の「元祖Gumblar」で改ざんされたサイトも含まれている。
攻撃サイトとして一般サイトが使われていることと、その攻撃サイトに、さらに別のサイトへ誘導するJavaScriptが埋め込まれている点は、昨年のGumblar.xと変わらない。ただ8080と同様に、こちらについても、編集部の環境では攻撃コード等を取得することができない。入手できた初段のJavaScriptについて、iframeで何かを開くこと、Adobe Reader、Flash Player、Internet Explorerの脆弱性攻撃を仕掛けていることは確認できたが、その先については、検体が手に入らないので不明だ。ちなみにこのJavaScriptを8日にVirustotalにかけてみたところ、対応していたのは40製品中5製品。対応名はTrojan-Downloader.JS.Gumblar.x(カスペルスキー名)などだった。
■サイト管理者の方へ~改ざんチェックのポイント
8080による攻撃、Gumblar.xによる攻撃の両方が並行して行われているので、サイトを運営している方は、以下のポイントに留意してサイトのチェックを行っていただきたい。
<8080>
・改ざんされるのは、インデックスページとして使われる可能性のあるファイル(ファイル名にindexまたはmainなどを含むファイル)と、javaScriptファイル(.js)。・意味不明の文字列が入った、覚えのないスクリプトが上記ファイルの先頭や末尾に埋め込まれていないかどうかを確認する。
・今回のコードは onload で function() を実行するが、これまでと違い、「window.onload=function(){…」も読みにくくされているので注意が必要。以前使われていた「document.write」がまた使われることも考えられる。
<Gumblar.x>
・覚えのないscriptタグが bodyタグの直前に埋め込まれていないか確認する。scriptタグは、難読化されていない。
・scriptタグが埋め込まれるのは、html、php、JavaScriptファイル。
・サイトに覚えのないPHPファイルが設置されていないか確認する。
米Websenseが8日、攻撃再開後に改ざんされたサイトの情報を掲載している。scriptタグが埋め込まれている様子が一目でわかるので、参考にしていただきたい。
また万が一、改ざんやウイルス感染が判明した場合は、必ず「ウイルスに感染していないパソコンを使用」して、サイト更新に使用するFTPのパスワードを変更していただきたい。
(2010/02/10 ネットセキュリティニュース)
■ Bollywood Hungama Web Site Compromised[英文](websense)
http://securitylabs.websense.com/content/Alerts/3548.aspx