ハッキングされてから下記の登録情報になりました↓
この攻撃の続きはマルウェア感染仕組みになります。偽lizamoonのAレコードには「ur.php」のマルウェアのスクリプトを入れられました。
感染仕組みは色んなウェブページからの「ur.php」ページへアクセスが出来る様にハッカーが考えて、最近発見されたSQLインジェックションを使ってハッカーが色んなサイトで攻撃をかけて、ハッキングが出来たページに「lizamoon.com/ur.php」のリンクを入れました。
最初のアラートが出た時に攻撃されたのサイト数は大体28,000以上ページと報告されておりますが、このブログを書いた時に112,000ページの結果が出てました。下記の画像ではレコード数と感染されたURL情報を確認が出来ます↓
因みに、詳しくur.phpスクリプトの中身をみたら、obfuscated javascriptで書いマルウェアスクリプトを確認が出来ました。分散したらプロセスはこんな感じです⇒先ずはユーザのブラウザ情報を取ってたらユーザがマルウェアウェブサイト(h●●●://defender-uqko.in)に飛ばされてしまいます。そのマルウェアページは偽アンチウイルスソフトと偽セキュリティーアラートのマルウェアが発見されました。
問題なのは感染されたページの中にはitunes.apple.com(Apple iTunesの曲ダウンロードページ)も見つかります、詰りitunes.apple.comのサイトも本件のSQLインジェックションに攻撃されてました。確認の為に画像を取って、下記となります↓
但し、itunes.apple.comのサイトのポリシーで本件のスクリップトが実行が出来ませんという仕様ですので、itunesユーザが本件のマルウェア感染リスクが少ないです。
本件のハッキング目的は未だ不明です。確かに2年前同じSQL攻撃パターンが発見されたので、その時にクレジットカード情報が沢山取られてしまいましたから、恐らく今回も同じ目的じゃないかと思われます。
追加情報↓
1. つい最近を確認しましたのでlizamoon.comのDNS登録情報が元に戻されました。
2. 転送先のマルウェアサイト(h●●●://defender-uqko.in)もダウンした状況になりました。
3. 感染された数は現在130,000ページ以上超えました。
4月1日の追加情報↓
今日迄に500Kページ以上感染されております↓
http://isc.sans.edu/diary.html?storyid=10642&rss
---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
研究者:アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿