今、最も恐い「Gumblar」感染。この攻撃の実態を知るためにブログ記事にしておきます。
ボット、偽ソフト、ルートキット……「Gumblar」感染被害の実態 -INTERNET Watch
シマンテックは9日、一般的に「Gumblar(ガンブラー)」と呼ばれている攻撃の活動内容について、企業などのWebサイトが改ざんされる被害だけでなく、ボットや偽セキュリティソフト、ルートキットなどのマルウェアに感染するケースが多数発生しているとして、注意喚起を行った。
いわゆるGumblarとは、特定のマルウェアを指すものではなく、攻撃者が複数の手段を併用し、多数のPCにさまざまななマルウェアを感染させようとするために使う一連の手口のこと。改ざんされたWebページを閲覧すると悪意のあるWebページに誘導され、ウイルスがダウンロードされる。その際、PCのOSやアプリケーションに脆弱性が存在すると、そこを悪用されてマルウェアに侵入される。
● 大量感染のきっかけは「Trojan.Bredolab」
シマンテックの林薫氏(セキュリティレスポンスディベロップメントマネージャ)によれば、悪意のあるWebページを閲覧したユーザーの PCに侵入するマルウェアは、「Trojan.Bredolab」と呼ばれるダウンローダー型のトロイの木馬。感染したPCを攻撃者のサイトへ誘導し、さらに別のマルウェアをダウンロードさせるのが特徴だとしている。
Trojan.Bredolabがダウンロードするマルウェアの中には、FTPのアカウント情報を盗むトロイの木馬がある。ユーザーが Webサイトを管理している場合、攻撃者はFTPのアカウント情報を使ってそのサイトを改ざんし、ウイルスを埋め込む。さらに、このサイトを閲覧した別のユーザーがウイルスに感染する、といったサイクルで感染を拡大している。
さらにTrojan.Bredolabは、ボットや偽セキュリティソフト、ID・パスワードやキー入力情報を盗むインフォスティーラー、マルウェアの存在を隠すルートキット、セキュリティソフトを無効化するレトロウイルス、ポップアップ広告などのアドウェアといったさまざまなマルウェアをインストールする。
「2009年夏以降、“ボットの王様”とも言われる『Trojan.Zbot』などに感染するケースが増えている。オンラインバンキングで入力したキー情報を盗むなどのマルウェアに感染するユーザーも多い」と林氏は説明。また、Trojan.Bredolabはこれらのマルウェアをランダムにインストールするため、ユーザーの対策を困難にしているという。
なお、サイト改ざん被害につながるアカウント情報の詐取に関しては、「FTPやTelnetなどのように認証時に暗号化しないプロトコルは、通信のモニタリングにより簡単に盗まれる」と危険性を指摘。認証時のアカウントを暗号化して保存するブラウザーやFTPクライアントも多いが、すでに暗号方式が解析されているため効果がない状況という。
林氏によれば、2009年春ごろに出回ったGumblarは、FTPの通信が発生しない限り、アカウント情報が盗まれることはなかったという。しかし2009年夏以降、ローカルに保存されたアカウント情報を盗む機能が実装されたことで、改ざんされるサイトが短時間で増大したと見ている。
● 感染経路はスパムメールと「ドライブバイダウンロード」
感染経路としては、Trojan.Bredolabを添付したスパムメールや、Webページを閲覧しただけでマルウェアに感染する「ドライブバイダウンロード攻撃」が多いと指摘。前者については日本語メールは確認されていないほか、後者は単純なフィルタリングではブロックできないように、 Trojan.Bredolabが使うドメインやIPアドレスが頻繁に更新されているのが特徴だとしている。
「2009年春ごろに出回ったGumblarは、ドメインを決め打ちで持っていたため、ドメインが移動しただけで感染活動が終息していた。さらに、感染するマルウェアについても、夏以降出回っているGumblarのように高度なトロイの木馬はなく、感染したPCをボット化する動きもなかった。」
シマンテックによれば、マルウェアを添付したスパムメールのうち、Trojan.Bredolabを添付したスパムメールの割合は、 2009年8月以前は5%にも満たなかったというが、9月以降は30%前後を推移。この時期と同じくして、Trojan.Bredolabをダウンロードさせる悪意のあるWebページのURLも増えているという。
Trojan.Bredolabによるマルウェアへの感染が疑われるユーザーに対しては、感染していないシステムからパスワードを変更するとともに、駆除が難しいルートキットを含む多くのマルウェアがインストールされるため、「システムの再インストールがベスト」と説明する。
感染を未然に防ぐためには、OSやアプリケーションをアップデートして脆弱性をなくすとともに、スパムメールを開かないようにするなどのソーシャルエンジニアリングに対する教育も必要だとした。また、FTPやTelnetなど暗号化されていない通信を行うプロトコルを使用しないことも勧めた。
なお、いわゆるGumblarの活動について林氏は、「Trojan.Bredolabに感染したPCを増やすことが目的」と指摘。攻撃者はアフィリエイトプログラムを使い、感染PCを増やすごとに「エージェント」から報酬を得ているため、「感染PCを増やすことが利益に直結している」という。
トラックバックURL:
https://serene.sakura.ne.jp/blog/2010/03/10/0914/485.php/trackback