寄稿: John Harrison
シマンテックは、ある大規模なマルバタイジング(悪質な広告)活動を 5 カ月以上にわたって追い続けてきました。この活動は現在も盛んに続いており、動的 DNSを使って追跡の目を逃れています。
この活動は急速に広がり、有名なドメインやアダルトサイトに侵入しました。Alexa ランキングで 5,000 位より上位の知名度の高いドメインの中にも、感染したサイトがあります。感染した Web サイトの一部は、ユーザーがサイト訪問時にシマンテック製品から警告されたことで通知により除染されていますが、多くのドメインは感染したままです。
マルバタイジングによって拡散される感染には、ユーザーの操作(クリックなど)を必要とせずにシステムに感染し、Web サイトやホストサーバーの脆弱性もまったく悪用しないという特徴があります。マルバタイジングで拡散される感染は、オンラインマーケティングサービスによって提供されている Web ページ広告を介して静かに広がります。
Image may be NSFW.
Clik here to view.
図 1.マルバタイジングの最近の検出数
感染サイクルは、攻撃者が悪質な広告を作成し、不明瞭化した JavaScript をインジェクトするところから始まります。次に、複数の正常なドメインにまたがる広告ネットワークに広告がホストされ、そのドメインにアクセスしたユーザーが感染します。
不明瞭化された JavaScript の一部を以下のスクリーンショットに示します。
Image may be NSFW.
Clik here to view.
図 2. 不明瞭化された JavaScript を利用するマルバタイジング
この悪質な JavaScript は、4 つの部分に分けることができます。
- ActiveX が有効になっている Internet Explorer が存在するかどうかを確認します。このスクリプトは Internet Explorer に対してしか効果がないためです。
Image may be NSFW.
Clik here to view.
図 3. ActiveX が有効な IE の存在を確認
- 感染したコンピュータを追跡し、ターゲット広告にリダイレクトして URL を追跡する cookie を実装します。
Image may be NSFW.
Clik here to view.
図 4.追跡機能の実装
- ランダムなドメイン名をリストから選択します(過去 5 カ月の間に、複数のサーバー上にホストされた 50 以上の動的ドメインが使われていることをシマンテックは確認しています)。
Image may be NSFW.
Clik here to view.
図 5. 動的なドメインの使用
- 隠し iFrame を作成し、news、finance、songs、forums といった一般的なディレクトリ名と動的なドメインを組み合わせます。
Image may be NSFW.
Clik here to view.
図 6. 動的ドメインと一般的なディレクトリ名を組み合わせる
この iFrame が次に、一般的なディレクトリ名と動的ドメインを組み合わせて作成された以下のような最終 URL にユーザーをリダイレクトします。
- [ランダムな文字].blogdns.com/forum
- [ランダムな文字].dyndns.biz/news
- [ランダムな文字].is-an-accountant.com/finance
上記のステップで生成された最終 URL はさらに別のページにリダイレクトされ、そのページで Java フィンガープリントが実行されて悪質な .jar ファイルが実行されます。.jar ファイルの拡張子は 1 種類だけではありません。図 7 に示すように、「.jar」以外にも画像形式に関係する拡張子(.gif、.jpg など)も使われています。
Image may be NSFW.
Clik here to view.
図 7. .gif 拡張子が付いた JAR ファイル
感染したコンピュータの Java ランタイムのバージョンに応じて、複数の JAR ファイルが投下されます。これまでに、Oracle の Java ランタイム環境に存在するリモートコード実行の脆弱性(CVE-2012-4681)と、Oracle の Java ランタイム環境に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)として特定されている脆弱性を悪用した JAR ファイルが確認されています。以下のスクリーンショットは、CVE-2013-0422 を悪用した JAR ファイルから、不明瞭化された Java クラスファイルを抽出したものです。
Image may be NSFW.
Clik here to view.
図 8. CVE-2013-0422 を悪用する Java クラスファイル
Java 脆弱性の悪用に成功して Java のサンドボックス制限をすり抜けると、JAR ファイルは一時ディレクトリの内部に DLL エントリを作成し、対応するレジストリエントリを侵入先のコンピュータに追加します。DLL の名前は、JAR ファイルのコンパイル時に毎回ランダムに生成されます。これまでの解析で確認されたファイル名の例としては、以下のものがあります。
- %Temp%\spoolsv.dll
- %Temp%\winlogon.dll
- %Temp%\java.dll
- %Temp%\alg.dll
- %Temp%\firefox.dll
次に DLL ファイルは、侵入先のコンピュータに他のマルウェアをダウンロードします。
マルバタイジングは増加傾向にあり、2010 年から 2012 年にかけては 20 倍に膨らみました。広告出版業者の 50 パーセント以上が、少なくとも一度はマルバタイジングの被害を受けています。
シマンテックのセキュリティ製品をお使いのお客様は、多層型の保護によってこれらの攻撃からすでに保護されています。Symantec Endpoint Protection 11 と 12 には、ネットワーク脅威防止の IPS 技術が搭載されており、マルバタイジングやそれに伴うドライブバイダウンロードから事前に保護します。企業のお客様は、セキュリティ製品でネットワーク脅威防止が有効になっていることを確認してください。すべてのノートンセキュリティ製品では、ネットワーク脅威防止技術は自動的に有効になっています。
Web 攻撃ツールキットがマルバタイジングからマルウェアを投下するのを遮断するための IPS シグネチャの一部を以下に挙げます。
シマンテックのウイルス対策製品も、投下されるペイロードを Backdoor.Trojanとして、対応する JAR ファイルを Trojan.Maljavaとして検出します。
シマンテックが最近発表した Symantec AdVantage(英語)は、クラウドベースのマルバタイジング対策製品です。最新の検出機能とレポート機能を搭載しており、広告出版業者や配信業者が顧客にマルウェアを拡散するのを防ぎます。
Web サイトに広告を掲載しているサイト所有者に対しては、OTA(Online Trust Alliance)が推奨するマルバタイジング対策のガイドライン(英語)をお読みいただくことをお勧めします。OTA は、オンラインの信頼性を強化する一方、インターネットの革新性と活力を推進することをミッションとする非営利団体であり、シマンテックも OTA の創設メンバーです。
最新の Java アップデート(Java 7 Update 13)を適用している場合は、密かな悪用のリスクにさらされる心配はありません。悪用を避けるために、オペレーティングシステムやソフトウェア、ウイルス対策定義、IPS 定義には常に最新の更新を適用するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。