大規模なASP.NET攻撃によりWebサイトが訪問者を攻撃~現在までに614,000ページに蔓延中(The Register) | ScanNetSecurity
2021.01.16(土)

大規模なASP.NET攻撃によりWebサイトが訪問者を攻撃~現在までに614,000ページに蔓延中(The Register)

大規模なASP.NET攻撃によりWebサイトが訪問者を攻撃 現在までに614,000ページに蔓延中

国際 TheRegister
大規模なASP.NET攻撃によりWebサイトが訪問者を攻撃
現在までに614,000ページに蔓延中

By Dan Goodin in San Francisco
Posted in Malware, 14th October 2011 19:24 GMT

上手く構築されていないWebサイトに、マルウェア攻撃により密かに訪問者を損なわせる感染が、約614,000 Webページに達したことを、Googleサーチが示している。

この大量感染は、オラクルのJavaやアドビのFlashプレーヤー、各種ブラウザの古いバージョンを悪用するサイトへユーザーをリダイレクトするもので、最初水曜にArmorizeのリサーチャーにより発見された。その時点で、およそ180,000ページが影響を受けていたようだ。金曜の執筆時では、最初の攻撃および後続するエクスプロイトが合わせて613,890ページに拡がっていた。このSQLインジェクション攻撃は、ほとんどの場合、マイクロソフトのASP.Net Webアプリケーション・フレームワークを実行するWebサイトを悪用している。

同感染は、レストランや病院、他の中小企業が運営するWebサイトにコードを注入し、訪問者のブラウザにjjghui.comやnbnjkl.comなどのサイトへの不可視のリンクを仕掛ける。これらのサイトは次々に、高度に難読化されたコードを含む他のWebサイトへとリダイレクトされる。最終的に、Javaや標的とされた他のプログラムに存在する既知の脆弱性を悪用する、混合型の攻撃が待っている。そして、パッチを当てていないバージョンを実行しているコンピュータは乗っ取られる。攻撃で用いられたサーバは、米国とロシアベースのIPアドレスを使用した。

Decoded attack script

デコードされたスクリプトは、strongdefenseiz.inにiFrameを生成し、safetosecurity.rr.nuへリダイレクトする


VirusTotalの分析によれば、Armorizeのリサーチャーが水曜、同攻撃で使用されたコードを提出した際、上位43のアンチウイルス・プロバイダーのうち6プロバイダーしか、この攻撃を検出していなかったという。その後この数字が改善したかどうかは不明だ。

同攻撃は、何十万もの脆弱なWebページをビジターに敵対させるタイプの最新事例だ。たとえば8月に起きた、オープンソースのosCommerce Webアプリケーションを実行するマシンに対する攻撃は、830万という途方もない数のWebページを汚染した。今週の攻撃で使用されたWebサイトは、ニューヨーク・プレーンビューのJames Northoneという人物に登録されているが、これは3月にLizamoon大規模インジェクション攻撃(使用されたアドレスの一つをとって命名された)で使用されたドメインの登録名義人と同一だ。

セキュリティ会社Sucuriが、進行中の攻撃に関する詳細と、Webサイトが感染しているかどうかチェックできるスキャナーを、ここここで公開している。改ざんから復旧しようとしているサイトは、データベースから感染を除去し、SQLインジェクション・バグを取りのぞくため、コードをチェックする必要がある。(本文

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×