SCAN DISPATCH : Finjan発表の新しいクライムウエア | ScanNetSecurity
2024.05.05(日)

SCAN DISPATCH : Finjan発表の新しいクライムウエア

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
facebookLINE
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──
セキュリティ企業のFinjanが、“randam js exploits”と命名した新しいタイプのクライムウエア(CrimeWare)がニュースになっている。randam js exploitsは、同社のリアルタイム・コード検知技術が検出したアタックである。同社のインタビューがとれたのでそれを交え、Malicious Page of the Monthの仔細を報告しよう。

この攻撃はまず、ウエブホスティング・サービスを対象にした攻撃で始まる。攻撃者は一度ホスティング・サービスのサーバーを乗っ取ると、そのサービスがホストしている全てのドメインにrandam js exploitsを注入する。そして、そのドメインを訪れた一般ユーザーにトロイの木馬を送りつけてしまう。有名なiFrame攻撃と違い、randam js exploitsは悪意のあるスクリプト、トロイの木馬共に、同じ“正規”ドメイン内にあるため、正規ドメイン外部のアドレスからローカルを対象にしたのhttpリクエストを拒否する方法でも防御できない。また、アンチ・ウイルス・ソフトがドメインの“正規さ”を調査するWeb crawlersなどからリクエストがあると、悪意のあるコードは返さないという、ステルス機能も備えているそうだ。

この攻撃は、アクセスランキングが1759位のカリフォルニア大学バークレー校のbgess.berkeley eduや、同じくアクセスランキングが4845位のTeagames.comなど、非常にポピュラーなウエブページに対して行われていた(どちらのドメインも既にexploitを除去している)。

こうした正規サイトに埋め込まれた悪意のあるコードが怖い理由は、FinjanのCTO、Yuval Ben-Itzhak氏によれば「ウエブのレピュテーション・サービスは、通常すでに存在する正規サイトに対して高得点(安全だということ)を与える。そのため、こうしたサービスは使い物にならない」ことだ。

その良い例が、去年の8月におこったBankofIndia.comへの攻撃。Exploit Prevention Labがこの攻撃をビデオにしているから見て欲しい。

http://wormradar.com/vidchoices.html

ウエブサイトにアクセスしただけで、図のような変更・改ざんが加えられているのである(図1)。

図1:
https://www.netsecurity.ne.jp/images/article/finjan1.jpg

このウエブ・ホスティング・サービスへの攻撃だが、Finjin社によれば、攻撃を受けたホスティング・サービスのうちの十社だけで、すでに8,000ものドメインに悪意のあるコードが注入されていることになる。その例として挙げられているのが以下のとおり。()の中がそのドメイン数。

64.38.XX.130(2,648)、64.94.XX.8(2,351)、74.52.XX.19(660)、69.72.XX.42(449)、66.197.XX.165(421)、67.19.XX.2(375)、67.19.XX.50(342)、67.18.XX.250(289)、69.65.XX.193(235)、64.191.XX.16(231)

同社が去年の12月に検出した限りでは、全部で1万のサイトが新たにrandam js exploitsを注入されていたそうだ。

さて、この注入された悪意のあるコードだが、ユーザーがアクセスするとダイナミックにJavascriptのファイルネームを生成する。(図2)ユーザーが、一度このスクリプトが埋め込まれたページにアクセスすると、以後のリクエストでは一切同じスクリプトにリファレンスされることがない。また、ユーザーのIPをログするために、同じIPが同じファイルにアクセスすることも防いでいる。そのため、後からフォレンジックをかけても分析ができないのである。また、ベンダーがパッチをかけていない脆弱性を悪用するように、exploitは定期的にアップデートされているそうだ。

図2:
https://www.netsecurity.ne.jp/images/article/finjan2.jpg

トロイの木馬は一度ユーザーのマシンにダウンロードされると…

【執筆:米国 笠原利香】

【関連リンク】
Malicious Page of the Month (2007年12月号)
http://www.finjan.com/Form.aspx?id=50&Openform=true&ObjId=550
Eploit Prevention lab
http://www.explabs.com
Finjan
http://www.finjan.com
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP