とりあえずメモメモ。

8080系(Gumblar)ウィルス(2)

セキュリティ | 00:04 |

感染経路

1. 感染しているWebサイトを閲覧
2. Javascriptで、悪意のあるサイト(ロシアの踏み台と思われる複数のサイトのいずれか)からPDF/Javaアプレットなどがダウンロードされる
3. iframeに埋め込まれる
4. 脆弱性を突くコードが実行される
5. 任意のコードが実行される

現状で実行されるコード

FTPのIDとパスワードを掠め取り、FTPサーバに接続、HTMLファイルやJavascriptファイル、テンプレートファイルなどに、難読化されたJavascriptを埋め込まれる(埋め込みは感染したPCからではなく、他のアドレスからのアクセスで行われているとも言われています)。

現状で考えられる防御対策

攻撃方法が変わる(攻撃者によって改良される)可能性がありますが、現状での対策です。

• Adobe Reader/Acrobatを最新版に更新する
• Adobe FlashPlayerを最新版に更新する
• WindowsをMicrosoft Update/Windows Updateで最新に更新する
• Java Runtime Environment(JRE)を最新版に更新する
• Quick Timeを最新版に更新する
• 上記のうち、使わないソフトウェアはアンインストールする

Adobe Reader/Acrobatの脆弱性がAdobeにより対処されたので*1、上記の対処でリスクの軽減ができます。ただし、攻撃方法が変わる(攻撃者によって改良される)可能性があり、その場合、新たな対処が必要です。

なお、防御できてもマルウェア自体はダウンロードされてしまいます。除去する(もしくはダウンロードを阻止する)には、アンチウィルスソフトウェアなどの対策ソフトを使うことが必須です。

Webサイトが感染していないかの確認方法

• 難読化されたJavascriptが埋め込まれていないか確認
• サーバ転送前のオリジナルファイルと、サーバ上のファイルとの比較
• FTPサーバのログから、アクセスを調査

/*LGPL*/,/*GNU GPL*/,/*CODE1*/などの単語が埋め込まれると見られていますが、これらの単語が見つからない亜種が存在する可能性もあるので注意が必要です。

一般利用者の対処

• PCの防御とマルウェアの除去

サイト管理者の対処

• PCの防御とマルウェアの除去
• サーバにアクセスする権限を持つ人(またはPC)を限定する
• 改変されていた場合、FTPパスワードの変更
• 改変されていた場合、ファイルの修正

サーバ管理者の対処

• FTPサーバへアクセスできるアドレスを限定する
• FTPで同一ファイルに対してアップロード、ダウンロードを短時間で行われた際にアラートをあげるなど検出を試みる
• FTPサーバを使わない(SSH経由等でファイル操作を行うなど)

参照:

• http://www.ipa.go.jp/security/topics/20091224.html
• http://www.lac.co.jp/info/alert/alert20091225.html
• https://www.jpcert.or.jp/at/2010/at100001.txt