ウイルス解析の現場その2　Webサイト改ざんの仕組み

大手サイトも驚愕させた、ガンブラーはどう動く？

2010年08月23日 09時00分更新

文● 飯田朝洋／トレンドマイクロ株式会社セキュリティエキスパート本部セキュリティエンハンスメントサポートグループ
Threat Monitoring Center 課長

前回はウイルス解析の視点から不正プログラムを紹介する第1弾として、オートランを取り上げた。続いては、有名企業のWebサイト改ざんでも有名になった「ガンブラー（Gumblar）」について見ていこう。

ガンブラーは何をする？

　すでにご存知の方も多いと思うので、概要に関しては簡単に説明したい。ガンブラーによる一連の攻撃は、図1の通りだ。

図1　ガンブラーによる一連の攻撃

　なお、ガンブラーは1つの不正プログラムをさすのではなく、上記の一連の攻撃をさすことが一般的だ。

Webサイト改ざんの仕組み

-->

　以上のように、ガンブラーの最初の活動は、正規のWebサイトの改ざんだ。ここでいう改ざんは、正規のWebサイトのソースコードに、不正プログラムの感染源になる不正サイトへ誘導する記述を追記することである。

　図2が実際に改ざんされたWebサイトに埋め込まれたソースコードとなる。一部モザイク処理をしているのでわかりにくいが、前半部分がオリジナルのWebサイトに記載されていたソースコードで、後半部分が埋め込まれたスクリプト文になる。

図2　改ざんされたWebサイトのソースコード（セキュリティのため一部にモザイク処理をしています。以下同）

　改ざんされたコードは、非常に複雑になっていることがわかるだろう。このように複雑に見えるのは、解析を困難にするために難読化の処理を行なっているためだ。この改ざんコードを復号すると、「http://***:8080/***/****/***.php」のようなURLへ転送されるコードが現われる。これが、正規のWebサイトへのアクセスを、不正なWebサイトにリダイレクトさせる仕組みだ。

不正なWebサイトからの感染

　それでは次に、改ざんコードによって誘導される不正なWebサイトがどのような仕組みになっているのかを解説したい。図3は不正なWebサイトのソースコードだ。

図3　不正なWebサイトのソースコード）

　先ほど紹介した改ざんされたWebサイトと同様に、ソースコードが難読化されていることがわかるだろう。そのため、一見するとどのような動きをするのかわからない。このコードを復号するには、別途「jquery.jxx」というファイルをダウンロードする必要がある。「jquery.jxx」というファイルが復号する際の「鍵」となっているのだ。

　図3のソースコードを「jquery.jxx」を使用して復号すると図4になる。復号してしまえば非常に単純なソースコードが記述されていることがわかる。

図4　復号を行なった不正なWebサイトのソースコード）

　このソースコードでは脆弱性を利用して不正プログラムを自動的にアクセスしたコンピュータに感染させる記述がされている。大きく分けると前半はOSの脆弱性、中段はPDFの脆弱性、後半はJavaの脆弱性を悪用している。

　攻撃者側の傾向を見ると、感染させるための不正プログラムを日々入れ替え、未知の不正プログラムの状態を保つようにしていることも確認されている。これは、パターンマッチングなどによって不正プログラムが検出されるようになったとしても、新しい不正プログラムに入れ替えることで検出されることを防いでいると想定される。

　このような脅威に対して、トレンドマイクロでは不正なWebサイトへのアクセスを防止するWebレピュテーションや、脆弱性に対する修正プログラムを適用するまでの暫定対策として、脆弱性を狙う攻撃コードを防ぐ仮想パッチ機能などを提供している。

　Webサイトの改ざんというと、なにか特別なことのように感じる方も多いと思う。しかし、実際には単純な仕組みが用いられているのだ。このように脅威の仕組みを知ることによって、どのような対策をとるべきかを考察いただければ幸いだ。

ツイートする

カテゴリートップへ