前回はウイルス解析の視点から不正プログラムを紹介する第1弾として、オートランを取り上げた。続いては、有名企業のWebサイト改ざんでも有名になった「ガンブラー(Gumblar)」について見ていこう。
ガンブラーは何をする?
すでにご存知の方も多いと思うので、概要に関しては簡単に説明したい。ガンブラーによる一連の攻撃は、図1の通りだ。
なお、ガンブラーは1つの不正プログラムをさすのではなく、上記の一連の攻撃をさすことが一般的だ。
Webサイト改ざんの仕組み
-->以上のように、ガンブラーの最初の活動は、正規のWebサイトの改ざんだ。ここでいう改ざんは、正規のWebサイトのソースコードに、不正プログラムの感染源になる不正サイトへ誘導する記述を追記することである。
図2が実際に改ざんされたWebサイトに埋め込まれたソースコードとなる。一部モザイク処理をしているのでわかりにくいが、前半部分がオリジナルのWebサイトに記載されていたソースコードで、後半部分が埋め込まれたスクリプト文になる。
改ざんされたコードは、非常に複雑になっていることがわかるだろう。このように複雑に見えるのは、解析を困難にするために難読化の処理を行なっているためだ。この改ざんコードを復号すると、「http://***:8080/***/****/***.php」のようなURLへ転送されるコードが現われる。これが、正規のWebサイトへのアクセスを、不正なWebサイトにリダイレクトさせる仕組みだ。
不正なWebサイトからの感染
それでは次に、改ざんコードによって誘導される不正なWebサイトがどのような仕組みになっているのかを解説したい。図3は不正なWebサイトのソースコードだ。
先ほど紹介した改ざんされたWebサイトと同様に、ソースコードが難読化されていることがわかるだろう。そのため、一見するとどのような動きをするのかわからない。このコードを復号するには、別途「jquery.jxx」というファイルをダウンロードする必要がある。「jquery.jxx」というファイルが復号する際の「鍵」となっているのだ。
図3のソースコードを「jquery.jxx」を使用して復号すると図4になる。復号してしまえば非常に単純なソースコードが記述されていることがわかる。
このソースコードでは脆弱性を利用して不正プログラムを自動的にアクセスしたコンピュータに感染させる記述がされている。大きく分けると前半はOSの脆弱性、中段はPDFの脆弱性、後半はJavaの脆弱性を悪用している。
攻撃者側の傾向を見ると、感染させるための不正プログラムを日々入れ替え、未知の不正プログラムの状態を保つようにしていることも確認されている。これは、パターンマッチングなどによって不正プログラムが検出されるようになったとしても、新しい不正プログラムに入れ替えることで検出されることを防いでいると想定される。
このような脅威に対して、トレンドマイクロでは不正なWebサイトへのアクセスを防止するWebレピュテーションや、脆弱性に対する修正プログラムを適用するまでの暫定対策として、脆弱性を狙う攻撃コードを防ぐ仮想パッチ機能などを提供している。
Webサイトの改ざんというと、なにか特別なことのように感じる方も多いと思う。しかし、実際には単純な仕組みが用いられているのだ。このように脅威の仕組みを知ることによって、どのような対策をとるべきかを考察いただければ幸いだ。
この連載の記事
-
第28回
TECH
いつの間にか、あなたもネット犯罪者? -
第27回
TECH
ゲームのアイテムを日本円に替えるRMTにまつわる危険とは? -
第26回
TECH
身代金要求からワンクリック詐欺、犯罪ツールには要注意 -
第25回
TECH
われわれの身近に存在するアンダーグラウンドマーケット -
第24回
TECH
オフライン端末への脅威は、こうすれば防げる! -
第23回
TECH
オフライン端末へのウイルス対策5ケースとつきまとう欠点 -
第22回
TECH
ダウンアドが院内感染!オフライン端末の被害事例とは? -
第21回
TECH
市販のUSBメモリにウイルスが混入する理由とは? -
第20回
TECH
仮想アプライアンスのここがメリット! -
第19回
TECH
セキュリティには仮想アプライアンスという選択肢を -
第18回
TECH
ウイルスバスター2011 クラウドに搭載された3つの新機能 - この連載の一覧へ