最近ホームページでXSR/XSRFのセキュリティ攻撃が沢山発見されています。
攻撃されたサイトでは、アタッカーがマルウェアコードをオリジナルのhtmlファイルに追加します。マルウェアコードが追加された感染ページ(redirectorページ)にアクセスした場合、ユーザは他のマルウェア・ダウンロード・サイト(infectorページ)へリダイレクトされて、パソコンにマルウェアファイルをダウンロードされてしまいます。
htmlファイルに追加されたコードの殆どはjavascriptのコードです。どんなjavascriptを使われているのか、このブログで説明します。
マルウェアに感染されたjavascriptページは2つパターンがあります。
1. 「難読化」されたjavascript
2. hidden/「隠れた」IFRAME
2. hidden/「隠れた」IFRAME
htmlファイル内のjavascriptのマルウェアコードの追加場所は・・↓
<body>タグの直後
</html>タグの直後
<html>タグの前
</html>タグの直後
<html>タグの前
「難読化」されたjavascriptの方は直ぐに発見出来ます。例えば下記の画像です。
↑見た通り多くのesacpe-codeが使われてます。目的はマルウェア関係のメールアドレスやURL/ドメイン名を簡単に見つからない様に作られています。↑
下記のサンプルはGumblarマルウェアに感染された「リダイレクト・ページ」で、javascriptが追加されています。特別なソフトを使うと「難読化」javascriptが読み易いコードに変換できます。
調査の結果、結局、単純なコードでした。下記のコードにアクセスしてしまうと、ブラウザの情報をマルウェアサイトに渡す事で、次は様々なマルウェアを動作させることが可能になります。
このコードをマルウェア対策ソフトで検知出来るか?
マルウェアとしてのjavascriptはウイルス対策ソフトに登録出来ますが、様々な書き方が簡単にできますので、全ての書き方を対応するのは困難と思われます。
自分のホームページは感染されたかどうすればて分かりますか?
一番の方法は、マルウェアjavascriptコードを追加された場合、ファイルの(1)日付、(2)サイズ、(3)md5情報が変更されますので、オリジナルと比較すれば確実に確認が出来ます。比較する為にローカル側にもhtmlのバックアップがあれば有効です。
どんなWeb攻撃が流行っていますか?具体的にアタックしやすいサイトとは何ですか?
コンテンツ・マネジェメント・パッケージ(Drupal, Xoops, Joomla, など)とブログ・パッケージ(WordPress, MT, など)がSQL-INJECTION攻撃を受けています。また、PHP/Perlで作られたウェブ・マネジェメント・システムはXSS/XSRFで攻撃されてます。
つづく
---
0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック&渡部 章
0 件のコメント:
コメントを投稿