SCAN DISPATCH : Finjan発表の新しいクライムウエア | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.25(日)

SCAN DISPATCH : Finjan発表の新しいクライムウエア

国際 海外情報

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──
セキュリティ企業のFinjanが、“randam js exploits”と命名した新しいタイプのクライムウエア(CrimeWare)がニュースになっている。randam js exploitsは、同社のリアルタイム・コード検知技術が検出したアタックである。同社のインタビューがとれたのでそれを交え、Malicious Page of the Monthの仔細を報告しよう。

この攻撃はまず、ウエブホスティング・サービスを対象にした攻撃で始まる。攻撃者は一度ホスティング・サービスのサーバーを乗っ取ると、そのサービスがホストしている全てのドメインにrandam js exploitsを注入する。そして、そのドメインを訪れた一般ユーザーにトロイの木馬を送りつけてしまう。有名なiFrame攻撃と違い、randam js exploitsは悪意のあるスクリプト、トロイの木馬共に、同じ“正規”ドメイン内にあるため、正規ドメイン外部のアドレスからローカルを対象にしたのhttpリクエストを拒否する方法でも防御できない。また、アンチ・ウイルス・ソフトがドメインの“正規さ”を調査するWeb crawlersなどからリクエストがあると、悪意のあるコードは返さないという、ステルス機能も備えているそうだ。

この攻撃は、アクセスランキングが1759位のカリフォルニア大学バークレー校のbgess.berkeley eduや、同じくアクセスランキングが4845位のTeagames.comなど、非常にポピュラーなウエブページに対して行われていた(どちらのドメインも既にexploitを除去している)。

こうした正規サイトに埋め込まれた悪意のあるコードが怖い理由は、FinjanのCTO、Yuval Ben-Itzhak氏によれば「ウエブのレピュテーション・サービスは、通常すでに存在する正規サイトに対して高得点(安全だということ)を与える。そのため、こうしたサービスは使い物にならない」ことだ。

その良い例が、去年の8月におこったBankofIndia.comへの攻撃。Exploit Prevention Labがこの攻撃をビデオにしているから見て欲しい。

http://wormradar.com/vidchoices.html

ウエブサイトにアクセスしただけで、図のような変更・改ざんが加えられているのである(図1)。

図1:
https://www.netsecurity.ne.jp/images/article/finjan1.jpg

このウエブ・ホスティング・サービスへの攻撃だが、Finjin社によれば、攻撃を受けたホスティング・サービスのうちの十社だけで、すでに8,000ものドメインに悪意のあるコードが注入されていることになる。その例として挙げられているのが以下のとおり。()の中がそのドメイン数。

64.38.XX.130(2,648)、64.94.XX.8(2,351)、74.52.XX.19(660)、69.72.XX.42(449)、66.197.XX.165(421)、67.19.XX.2(375)、67.19.XX.50(342)、67.18.XX.250(289)、69.65.XX.193(235)、64.191.XX.16(231)

同社が去年の12月に検出した限りでは、全部で1万のサイトが新たにrandam js exploitsを注入されていたそうだ。

さて、この注入された悪意のあるコードだが、ユーザーがアクセスするとダイナミックにJavascriptのファイルネームを生成する。(図2)ユーザーが、一度このスクリプトが埋め込まれたページにアクセスすると、以後のリクエストでは一切同じスクリプトにリファレンスされることがない。また、ユーザーのIPをログするために、同じIPが同じファイルにアクセスすることも防いでいる。そのため、後からフォレンジックをかけても分析ができないのである。また、ベンダーがパッチをかけていない脆弱性を悪用するように、exploitは定期的にアップデートされているそうだ。

図2:
https://www.netsecurity.ne.jp/images/article/finjan2.jpg

トロイの木馬は一度ユーザーのマシンにダウンロードされると…

【執筆:米国 笠原利香】

【関連リンク】
Malicious Page of the Month (2007年12月号)
http://www.finjan.com/Form.aspx?id=50&Openform=true&ObjId=550
Eploit Prevention lab
http://www.explabs.com
Finjan
http://www.finjan.com
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×