インターネットサービスの宣伝方法によく使われているファイルアップローダーシステム。ファイルアップローダーのCGIスクリプトも沢山ありますので、グロバルIPアドレスのUNIXサーバがあれば直ぐにアップローダーサービスを立ち上げられます。
日本のファイルアップローダーサービスを4ヶ月間に亘り調査した結果、5件のサイトでその中に49件マルウェアを発見しました。本件サービスに発見されたマルウェア事件情報を見ると、スピードが結構早いので、注意が必要かと思います。
ファイルアップロードサービスに感染したマルウェアの一覧のスナップショットは下記となりますが、データをダウンロードはこちらです。
↑このデータに基づいて色んな感染関係の情報を調べたので、調べた情報は下記のQ & Aサマリーで説明します。
1. 日本の無料ファイル・アップローダー・サイトに発見されたマルウェアは全国のウェブサービスに感染されたマルウェアの何パーセントの割合でしょうか?
ファイルアップローダーサービスの数はそんなに多くありません。サイト/ドメイン的には1番多いのはウェブホスティングサービスの感染されたページ(大体40%)、2番目は企業向けのITオンラインビジネスのホームページ(大体30%)、その次は無料アップローダーサービスですね。
逆に、感染されたマルウェアの数を見たら無料アップローダーサービスに発見されたマルウェアが一番多いです。原因はマルウェアの犯罪者が好きなように一遍にアップロードが出来ます。
2. 無料ファイルアップローダーサービスに発見したマルウェアはどんな種類が多いですか?
ほぼトロイとスパイウェアですね、たまにルートキットも。
トロイ・ドロッパーとトロイダウンローダーが多いです、他のマルウェアをダウンロードしたり、ドロップしたりします、ダウンロードされたマルウェアの中にはキーローガーが多いです。
3. ↑何故トロイ/スパイウェアが多いのですか?
目的は個人情報を盗む為だと思われます。
犯罪者によく送る情報はパソコンの情報とキーボードの情報です。たまに(一覧の中には1件だけですが)デスクトップの画像です。
4. どこから来たマルウェアでしょうか?
マルウェアの中身を調べると、韓国OSで作られたマルウェアが一番多いです、次は中国OS環境で作られたマルウェアですね。残りはその他ですが英語OSで作られた物です。
韓国経由のマルウェアが日本のアップローダーに入れる前に日本のIPアドレスなど(感染されたPCの情報を日本にあるサーバーに送るようセッティング)を調整されていることが分かりました、中国からのマルウェアは、アップローダーサービスの中よりハッキングされたウェブページの中に結構多いですが、中国系のマルウェアは日本の環境に入れる前の調整が無いみたいです。
5. 一覧にはウェブ感染とメール感染が書いてありますがどういう意味でしょうか?
アップローダー・サービスに発見したマルウェアは殆どマルウェアのダウンロードURLがありますので、そのURLはマルウェアの犯罪者が色んな掲示板/ブログに書いていると確認が出来ましたので、これはウェブ感染URLタイプで、数が多いです。メールの感染は、少ないタイプですが、25%ほど発見しました。メールの感染はスパムメールの中にマルウェアのダウンロードURLが書いてあります。
6. アップローダー・サイトに発見したマルウェアはどんなファイル種類が多いでしょうか?
一番多いのはアーカイブファイルですね、目的は中にある怪しいファイルの確認が簡単に出来ない。
2番目は偽PDFファイル、偽画像ファイル又は偽スクリーンサーバーファイルです。この手のファイルのマルウェアは犯罪ツールを使うといくらでも沢山作れます。
7. 本件に付いて、止める方法のアドバイスがありますでしょうか?
アドバイスは下記となります↓
1. アップローダーサービスのログイン仕組みをもっと厳しくして欲しいです、詰り、ログインしている人のレピュテーションをちゃんと見る事、又はブラックリストIPからログインを禁止する事
2.アップロードしたファイルがマルウェアだったら殆どアンチウイルスの検知が出来るので、アップローダーサービスを使うなら無料や有料アンチウイルスソフトをサーバに入れて欲しいですね。
3. アップロードされたマルウェアを発見したらサーバの管理者が直ぐにマルウェアのファイルを外して欲しいですね、しないと他の方々に感染される可能性が高いです。
ファイルアップローダーサービスの数はそんなに多くありません。サイト/ドメイン的には1番多いのはウェブホスティングサービスの感染されたページ(大体40%)、2番目は企業向けのITオンラインビジネスのホームページ(大体30%)、その次は無料アップローダーサービスですね。
逆に、感染されたマルウェアの数を見たら無料アップローダーサービスに発見されたマルウェアが一番多いです。原因はマルウェアの犯罪者が好きなように一遍にアップロードが出来ます。
2. 無料ファイルアップローダーサービスに発見したマルウェアはどんな種類が多いですか?
ほぼトロイとスパイウェアですね、たまにルートキットも。
トロイ・ドロッパーとトロイダウンローダーが多いです、他のマルウェアをダウンロードしたり、ドロップしたりします、ダウンロードされたマルウェアの中にはキーローガーが多いです。
3. ↑何故トロイ/スパイウェアが多いのですか?
目的は個人情報を盗む為だと思われます。
犯罪者によく送る情報はパソコンの情報とキーボードの情報です。たまに(一覧の中には1件だけですが)デスクトップの画像です。
4. どこから来たマルウェアでしょうか?
マルウェアの中身を調べると、韓国OSで作られたマルウェアが一番多いです、次は中国OS環境で作られたマルウェアですね。残りはその他ですが英語OSで作られた物です。
韓国経由のマルウェアが日本のアップローダーに入れる前に日本のIPアドレスなど(感染されたPCの情報を日本にあるサーバーに送るようセッティング)を調整されていることが分かりました、中国からのマルウェアは、アップローダーサービスの中よりハッキングされたウェブページの中に結構多いですが、中国系のマルウェアは日本の環境に入れる前の調整が無いみたいです。
5. 一覧にはウェブ感染とメール感染が書いてありますがどういう意味でしょうか?
アップローダー・サービスに発見したマルウェアは殆どマルウェアのダウンロードURLがありますので、そのURLはマルウェアの犯罪者が色んな掲示板/ブログに書いていると確認が出来ましたので、これはウェブ感染URLタイプで、数が多いです。メールの感染は、少ないタイプですが、25%ほど発見しました。メールの感染はスパムメールの中にマルウェアのダウンロードURLが書いてあります。
6. アップローダー・サイトに発見したマルウェアはどんなファイル種類が多いでしょうか?
一番多いのはアーカイブファイルですね、目的は中にある怪しいファイルの確認が簡単に出来ない。
2番目は偽PDFファイル、偽画像ファイル又は偽スクリーンサーバーファイルです。この手のファイルのマルウェアは犯罪ツールを使うといくらでも沢山作れます。
7. 本件に付いて、止める方法のアドバイスがありますでしょうか?
アドバイスは下記となります↓
1. アップローダーサービスのログイン仕組みをもっと厳しくして欲しいです、詰り、ログインしている人のレピュテーションをちゃんと見る事、又はブラックリストIPからログインを禁止する事
2.アップロードしたファイルがマルウェアだったら殆どアンチウイルスの検知が出来るので、アップローダーサービスを使うなら無料や有料アンチウイルスソフトをサーバに入れて欲しいですね。
3. アップロードされたマルウェアを発見したらサーバの管理者が直ぐにマルウェアのファイルを外して欲しいですね、しないと他の方々に感染される可能性が高いです。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿