« PowerPoint の脆弱性が修正されました

ぎゃんぶらぁ

スタンス的に 「Gumblar? へー?なんか怖いよね?」という立場の当サイトですが、
なんか怖そうなウィルスの話がありましたので一応翻訳してみました。

Gumblar Q&A

何が起きてるんだい?
複数の段階を経て感染するマルウェアが Google のサイト検索結果(SERP)を改ざんするようです。陥落しているサイトの悪意を持って改ざんされた検索結果をもとに、そのサイトを訪問してしまう危険性があります。
また、その危険コードは(もし存在すれば)犠牲者のコンピュータからアクセス権(credentials)を盗み取ります。盗まれたFTP情報は、犠牲者の所持しているサイトの改ざんに使用されます。感染してしまった犠牲者はさらに自分のサイトから感染コードを発信し、さらに犠牲者を増やします。こうして、幾何級数的に被害が拡大していったものと思われます。

これは XSS(cross-site scripting)攻撃なの?
違います。陥落したサイトは FTP情報を盗み取られており、Web Serverのファイルを手動で直接改ざんされています。
※注釈:複数の攻撃コードがインジェクトされた例が多数みられますので、自動攻撃だとは思います。

ScanSafeは、いつ最初にこの事態に気がついたの?
この攻撃には2つの段階がありました。最初は 94.247.2.195 からの攻撃コード埋め込みで、3月23日頃に検出しています。シグネーチャベースによる検知は 3/27からです。Googleは 4/13にリダイレクションの危険情報を出しています。
詳細:Malware Manipulating Google SERPs

その後どうなったの?
Googleが感染しているサイトをリストから除外し始め、サイトのオーナーは 94.247.2.195 からの悪意コードを除去し始めました。防衛の手段としてはマニュアル通りの対応ですが、5月の初めに攻撃者は 94.247.2.195 の代用として gumblar.cn に差し替え、当初の悪意ブラックリストの回避を試みました。結果的にブラックリストによる防備は破られ、感染したサイトが検索結果の上位に上がることになってしまいました。

Gumblarによって感染したWebSiteを通してMalwareをばら撒いた意図は?
感染したサイトのMalware-Code は、不正な PDFや SWF(Flash)ファイルを起動し、感染したユーザの(google)サーチ結果を改ざんすることを目的としています。この特定の攻撃は Internet Explorerのユーザの Google 検索結果を狙ったものです。更に、gumblar.cnの悪意コードは 78.109.29.112 に接続するバックドアをインストールします。このアドレスは、歴史的に有名な Botnet の C&C(コマンド&コントロール)のリダイレクションに向けられていました。
詳細:Google SERPs Redirections Turn to Bots

この悪意的なリダイレクトはどんな働きをするの?
中間窃取攻撃(man-in-the-middle attack)と似ています。この攻撃は、「ブラウザーの中間窃取(a man-in-the-browser attack)」とでも呼ぶ状況の結果、リダイレクションが発生します。悪意コードはブラウザプロセスの内側に介入し、そのプロセスのリクエストを監視、改ざんされたトラフィックを注入します。Googleの検索結果(SERP)のリダイレクションの場合、本来Googleが返してきた検索結果(SERP)を悪意を持ったリンクに改ざんして表示します。

Googleの問題点は終わったの?
いえ、指摘しているようにこれはブラウザベースの中間窃取攻撃です。感染しているPCはこの検索結果の改ざんが延々と起こり続けます。

過去、数え切れないほどのウェブサイトが感染してきたわけですが、今回のものとどう違うの?
通常の感染サイトは、だいたい一週間ほどくらいのウィルスのピークがすぎれば、シグネチャベースによるセキュベンダーの対応や、ユーザが気がついたりして、当該ウェブサイトのオーナーが悪意コードを除去します。(これは、攻撃者がつぎつぎと新種を生み出している理由でもあります。)

ところが、gumblar.cnの攻撃では逆効果がおきてしまっています。感染したウェブサイトのオペレータが、汚染データを削除したり、.htm .php .asp といったサイト内ファイルをオリジナルのものに戻したとしましょう。gumblar.cnは再度、同様のコードを注入してきます。この注入コードは他の感染サイトはもちろん、同じサイトによってもランダムで変更され、検出が難しくなっています。更にシグネーチャベースの検出回避のためにより難読化されています。この結果、gumblar.cn に感染させられたサイトは(当社で確認しただけで) 昨日から 61%の増加、先週比で 188%増加という事態になってしまっているのです。

わーなんてこわいんでしょう(棒)
みなさんきをつけましょうね(棒)

This entry was posted on 金曜日, 5 月 15th, 2009 at 10:24 PM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

One Response to “ぎゃんぶらぁ”

  1. excomp Says:
    5 月 15th, 2009 at 10:53 PM

    14日の記事が減りましたが、何かありましたか?


Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード