SCAN DISPATCH : Finjan発表の新しいクライムウエア | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

SCAN DISPATCH : Finjan発表の新しいクライムウエア

国際 海外情報

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──
セキュリティ企業のFinjanが、“randam js exploits”と命名した新しいタイプのクライムウエア(CrimeWare)がニュースになっている。randam js exploitsは、同社のリアルタイム・コード検知技術が検出したアタックである。同社のインタビューがとれたのでそれを交え、Malicious Page of the Monthの仔細を報告しよう。

この攻撃はまず、ウエブホスティング・サービスを対象にした攻撃で始まる。攻撃者は一度ホスティング・サービスのサーバーを乗っ取ると、そのサービスがホストしている全てのドメインにrandam js exploitsを注入する。そして、そのドメインを訪れた一般ユーザーにトロイの木馬を送りつけてしまう。有名なiFrame攻撃と違い、randam js exploitsは悪意のあるスクリプト、トロイの木馬共に、同じ“正規”ドメイン内にあるため、正規ドメイン外部のアドレスからローカルを対象にしたのhttpリクエストを拒否する方法でも防御できない。また、アンチ・ウイルス・ソフトがドメインの“正規さ”を調査するWeb crawlersなどからリクエストがあると、悪意のあるコードは返さないという、ステルス機能も備えているそうだ。

この攻撃は、アクセスランキングが1759位のカリフォルニア大学バークレー校のbgess.berkeley eduや、同じくアクセスランキングが4845位のTeagames.comなど、非常にポピュラーなウエブページに対して行われていた(どちらのドメインも既にexploitを除去している)。

こうした正規サイトに埋め込まれた悪意のあるコードが怖い理由は、FinjanのCTO、Yuval Ben-Itzhak氏によれば「ウエブのレピュテーション・サービスは、通常すでに存在する正規サイトに対して高得点(安全だということ)を与える。そのため、こうしたサービスは使い物にならない」ことだ。

その良い例が、去年の8月におこったBankofIndia.comへの攻撃。Exploit Prevention Labがこの攻撃をビデオにしているから見て欲しい。

http://wormradar.com/vidchoices.html

ウエブサイトにアクセスしただけで、図のような変更・改ざんが加えられているのである(図1)。

図1:
https://www.netsecurity.ne.jp/images/article/finjan1.jpg

このウエブ・ホスティング・サービスへの攻撃だが、Finjin社によれば、攻撃を受けたホスティング・サービスのうちの十社だけで、すでに8,000ものドメインに悪意のあるコードが注入されていることになる。その例として挙げられているのが以下のとおり。()の中がそのドメイン数。

64.38.XX.130(2,648)、64.94.XX.8(2,351)、74.52.XX.19(660)、69.72.XX.42(449)、66.197.XX.165(421)、67.19.XX.2(375)、67.19.XX.50(342)、67.18.XX.250(289)、69.65.XX.193(235)、64.191.XX.16(231)

同社が去年の12月に検出した限りでは、全部で1万のサイトが新たにrandam js exploitsを注入されていたそうだ。

さて、この注入された悪意のあるコードだが、ユーザーがアクセスするとダイナミックにJavascriptのファイルネームを生成する。(図2)ユーザーが、一度このスクリプトが埋め込まれたページにアクセスすると、以後のリクエストでは一切同じスクリプトにリファレンスされることがない。また、ユーザーのIPをログするために、同じIPが同じファイルにアクセスすることも防いでいる。そのため、後からフォレンジックをかけても分析ができないのである。また、ベンダーがパッチをかけていない脆弱性を悪用するように、exploitは定期的にアップデートされているそうだ。

図2:
https://www.netsecurity.ne.jp/images/article/finjan2.jpg

トロイの木馬は一度ユーザーのマシンにダウンロードされると…

【執筆:米国 笠原利香】

【関連リンク】
Malicious Page of the Month (2007年12月号)
http://www.finjan.com/Form.aspx?id=50&Openform=true&ObjId=550
Eploit Prevention lab
http://www.explabs.com
Finjan
http://www.finjan.com
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×