マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)(情報元のブックマーク数)
松川さんによるガンブラーの攻撃の動き。
不定期でお送りしている本ブログのこのシリーズ。今回はこれまでと少し趣向を変えて、特定の単体のマルウェアではなく「Gumblar攻撃」を取り上げます。最近のマルウェアを利用した攻撃は複数のマルウェアを利用することが多いため、一つのマルウェアの動作を詳細に解析しているだけでは起きていることの全貌を明らかにすることができません。そのため解析エンジニアには、個々のマルウェアを詳細に解析する「虫の目」だけでなく、関連するすべてのマルウェアを俯瞰して全体を見通す「鳥の目」も必要になります。そこで今回は、解析エンジニアの鳥の目で「Gumblar攻撃」を眺めて感じたことをお伝えします。
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティブログ
まずは改ざん。
■第1段階:Webページの改ざん
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティブログ
Gumblar攻撃は、Webページが何らかの方法で改ざんされるところから始まります。これまでに確認されている情報によれば、FTPによってWebコンテンツへの不正アクセスが行なわれているようです。先日、とある改ざんされたWebサイトのFTPアクセスログを見る機会がありましたが、そのログによれば短時間の間にファイル名が「index」「main」「default」で拡張子が「htm*」「php」のファイルがすべて同じサイズだけ増加していました。つまり、それらのファイルには同じ不正スクリプトが機械的に追加されたと考えられます。また、拡張子が「js」のすべてのファイルも書き換えられていました。これらの接続元のほとんどは海外で、しかも異なるIPアドレスが接続元となって同じファイルのダウンロード(RETR)とアップロード(STOR)が行なわれていました。さらには、悪用されたFTPアカウントのパスワードを変更した後に、総当り攻撃によって侵入を試みられている形跡もありました。ユーザ名だけでも判明していれば侵入の試みの半分は成功したも同然ですから、攻撃者としては狙い目なのでしょう。
改ざんされたページを見たい人は、EXEのダウンロードを実施。(でもfile.exeは別サイト)
■第2段階:file.exeのダウンロード
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティブログ
改ざんされたWebページを閲覧すると何が起きるのでしょうか。結論から述べると、まず行なわれるのは、WindowsやAdobe Reader、JREなど様々な脆弱性を利用した「file.exe」のダウンロードと実行です。この「file.exe」とは、トレンドマイクロ製品で「TROJ_BREDOLAB」ファミリとして検出する高機能なダウンローダーです。「TROJ_BREDOLAB」はGumblar攻撃のみで使われているわけではなく、昨年からスパムメールに添付されてばら撒かれていることが確認されています。
そして、ダウンローダが様々なマルウエアをダウンロードして実行・・・初期化しかないほど大変なことになると。
■第3段階:様々なマルウェアのダウンロード
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティブログ
脆弱性の利用に成功してfile.exe(TROJ_BREDOLAB)がダウンロードされ実行されると、file.exe(TROJ_BREDOLAB)はいくつものファイルをダウンロードします。TROJ_BREDOLABの動作で特筆すべきは、ダウンロードしたファイルをファイルとしては保存せずに直接的にプロセスにインジェクションして実行させることです。ファイルとして保存されないので通常のファイル検索で検出できないのはもちろん、感染環境で何が行なわれたか後から調査することが困難になります。
リバースプロキシとかも使ってるのか!そして、改ざんされたってことはfile.exeも正規通常サイトにおかれる可能性もある・・
これからも多々の亜種が出ると思いますが、よろしくお願いしますm(_ _)m
Gumblar攻撃の流れの振り返りが終わったところで、解析エンジニアの「虫の目」「鳥の目」で見たGumblar攻撃の特徴的と思われる部分をご紹介しましょう。全部で10にまとめてみました(順不同。検出名は解析時点での名前です)。あくまで一エンジニアが感じたこととして上に示した図と併せてご覧いただき、わかりにくいGumblar攻撃の全貌を明らかにするための参考となれば幸いです。
マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティブログ
1. 改ざん内容がランダムに難読化され、方法も随時変化しながら長期に渡って継続している。また改ざんページ閲覧時の接続先サイトはリバースプロキシ(nginx)になっており、一つの名前に対するIPアドレスも複数存在している。
=>検出およびURLフィルタリングによるブロックが困難になる。
2. 不正スクリプトによる不正サイトへの接続先URLに正常なドメインの文字列が多数含まれている。
=>URLフィルタリングをすり抜けることがある。
3. 不正スクリプトによる不正サイトへの接続は、同じIPアドレスからは初回接続時(または初回接続後のわずかな時間)しか本来の(不正な)応答がされない。
=>マルウェアサンプルの入手が困難になる。
4. file.exe(TROJ_BREDOLAB)をダウンロードさせるJavaScriptは一部が別ファイルに分かれている。
=>単体では動作を解析できず解析が困難になる。
5. file.exe(TROJ_BREDOLAB)をダウンロードさせるために複数の脆弱性が利用される(JustExploitなどが利用されている模様)。
=>より多くの環境で感染しやすくなる。
6. file.exe(TROJ_BREDOLAB)はダウンロードしたファイルデータをファイルとしては作成せずに別プロセスにインジェクションして実行することができる。
=>検出・動作の解析が困難になる。
7. TROJ_AGENT.AUQSはSYSファイル内で自身のコードを復号した上で、service.exeにコードをインジェクションして動作させる。また、自身が削除されないように監視する。
=>解析・駆除が困難になる。
8. TSPY_DAURSO.CによるFTPクライアントの設定情報からの収集、TSPY_DAURSO.DによるFTPサーバ側での受信内容の監視、TROJ_WALEDACによるネットワークパケットの監視など、いくつもの方法でFTPアカウント情報を収集する。
=>感染コンピュータから見えるFTPアカウント情報を逃さず収集される。
9. TROJ_WALEDAC.AYZはFTPアカウントだけでなく、HTTPベーシック認証、POP3、SMTP Authenticationなど平文で流れるパスワード情報を収集する。
=>収集された情報を利用した情報漏えいなど問題が広がる。
10. 様々な動作の背後で偽セキュリティソフトをインストールする。
=>注目を集中させるとともに、購入を促すことで攻撃者の安定した資金源になる。
