wakatonoの戯れメモ このページをアンテナに追加 RSSフィード

たわいもないこと(日々の妄想とも言う)をつらつらと書いてます。断じて壊れメモではありません。ましてや「穢れメモ」でも爛れメモでもありません(涙)。
が、時により一つのことを掘り下げる傾向が見られるので、article数は少ないカモ。
ちなみにSlashdot Japanの日記もあります。個人的な連絡がある方はwakatono@todo.gr.jpまで("@"は2バイト文字になってるんで、てけとうに書き直してください)。GnuPG公開鍵はこちら

他のあたり:PFSEC - Systems Platform and Securityアマゾンのレビュー

強いWindowsの基本 WebDAVシステム構築ガイド(萌えバナーその1)
WebDAVシステム構築ガイドの方のバナーの絵柄は、内容とは何の関係もありません(汗)
アクセス探偵IHARA

おとなり日記はこちら

2013-06-05 あちこちで改ざん?

日本各地で改ざん被害が相次いでるようで…

piyokangoさんの2013年6月4日の日記に,良い感じでまとまってますが,それを紹介するだけだとそれで終わってしまうのでw,自分なりに読み解いてみたよ!

[]少し改ざんを読み解いてみる 少し改ざんを読み解いてみるを含むブックマーク 少し改ざんを読み解いてみるのブックマークコメント

といっても,難読化された内容を読むんじゃなくって,「改ざんされた結果取得されるネタがどういうパターンか?を読み解く」というだけだがw

[]改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターン 改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターンを含むブックマーク 改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターンのブックマークコメント

この場合,改ざんされて埋め込まれたスクリプトが動作し,悪意あるネタをダウンロードする,というように仕向けられる.トレンドマイクロさんの場合は,JS_BLACOLE.MTとして検出されるが,オレのところはKaspersky Internet Security 2013を使っているので,Trojan-Downloader.HTML.JScript.cfとして検知された.

f:id:wakatono:20130605014536p:image

ちなみに今回のケース,機械的だが何らかの内容解釈を行うプログラムによって放り込まれてる感がある.というのも,内容をパースして,適切に解釈されると思われるところに放り込まれているからだ.オレが見たパターンは,コンテンツの先頭とおもわれる部分(要素)が終わる,divタグを閉じた直後に,0c0896という内容を含む内容が入り,そのあとにスクリプトが延々続く,というものだ.

なお,このパターンの場合には,悪意ある(感染を引き起こす)スクリプトブロックは1つしかない.まぁ,1つあれば充分だろう.

f:id:wakatono:20130605014537p:image

f:id:wakatono:20130605014538p:image

[]改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターン 改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターンを含むブックマーク 改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターンのブックマークコメント

これは,HTMLの改ざんに成功してはいるものの,中身が一部エスケープされており,このままでは動作しない.

これはおそらく,Webアプリ等の脆弱性を突いて内容を送り込んだつもりが,内容を送り込む機能のエスケープ機能が有効に働いた結果,このような中途半端な改ざんに終わったのではないか?と考えている….

さらに,改ざんされたとおもわれる内容に,謎の"echo"が含まれている.

f:id:wakatono:20130605014539p:image

これは改ざんのために,何らかの処理系やコマンドプロセッサに含まれるビルトインコマンドの"echo"を動作させたかったというように見える(実際,スクリプトの終わりに,”キャラクタを確認出来た).

f:id:wakatono:20130605014540p:image

[]改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターン 改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターンを含むブックマーク 改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターンのブックマークコメント

図のように,scriptタグがなくて延々スクリプトが記述されているようなコンテンツを得られることがある.

オレはJSP(というかServlet)には疎いので,なぜこうなるのかはよくわからないw.でも,(おそらく)元のJSPファイルにはscriptタグが入っていたとおもわれる.

f:id:wakatono:20130605014541p:image

[]改ざんは成功しているが目的は達成していないパターン2と3を見てみる. 改ざんは成功しているが目的は達成していないパターン2と3を見てみる.を含むブックマーク 改ざんは成功しているが目的は達成していないパターン2と3を見てみる.のブックマークコメント

ちなみにパターン2とパターン3の場合,攻撃者がムキになっているのかわからないが,同じように難読化されたJavascriptのブロックが複数箇所あることがわかる.

視覚化wすると,ほぼ数字と","のみで構成された部分が真っ赤になるわけだがw,パターン3の改ざんされたJSPの1つを見ると,これが大きく4ブロック存在することがわかった.

f:id:wakatono:20130605014542p:image

この改ざんを行った攻撃者は,おそらく4回改ざんを試みたんだろう,という見立てがつく*1

[]やられたクチは一体どこか? やられたクチは一体どこか?を含むブックマーク やられたクチは一体どこか?のブックマークコメント

すでに述べたところもあるが,改ざんのパターンを見ていると,

  • Webアプリの脆弱性を突かれた(パターン2)
  • Apache Tomcatの管理機能をヤられた(パターン1と3)

というように見える.あくまでオレからはそう見える,というだけだが….

パターン2で,Webアプリの脆弱性を突かれて任意の内容を差し込まれたとなると,当該Webアプリの入力チェックは一部はうまく機能していたと考えるのが妥当だが,それでも悪意ある入力やリクエストに完全に対処しきれているとは言い切れず,改ざんにつながったとかんがえられる.

パターン1と3で,Apache Tomcatの管理機能をヤられたと仮定すると,JSPデプロイ以外にも,静的コンテンツの書き換えも行えそうである.改ざんされたJSPHTMLが置かれていたのは,同じWebサイトだったという事情もある.

ただ,個人的には「やられてもしょうがない状態だったのでは?」とも感じる.

[]なぜソフトウェアを最新状態に?〜アタリマエというなかれ なぜソフトウェアを最新状態に?〜アタリマエというなかれを含むブックマーク なぜソフトウェアを最新状態に?〜アタリマエというなかれのブックマークコメント

で,なんで「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」(トレンドマイクロさん) なのか?

これは,誘導される先のマルウェアが,古い脆弱性を使っていることを確認出来たからであろう.このblogでは,CVE2010-0188を使った攻撃を確認出来た,とある.この脆弱性は,Adobe ReaderおよびAcrobatの8.2.1以前および9.3.1以前で利用可能なものであるが,(言うまでもなく)かなり古い.他の脆弱性が悪用されたとして,古いことは同様に想像できる.

それ以前に,ここまで大々的に使われる脆弱性は,おそらく使い古されたモノであろう.

なので,とっととアップデートを!という話になる.

仮にマルウェアをウィルススキャナで検知出来なかったとしても,脆弱性対処を行ったソフトウェアを使っていれば,そもそも感染しない*2

ということで,ソフトウェアはアップデートを.

*1:それでもうまくいかなかったわけで

*2:自分から動かせば話は別だが

0000 | 00 | 01 |
2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 04 | 05 | 06 | 07 | 08 |
2011 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 12 |
2012 | 01 |
2013 | 05 | 06 | 07 | 08 | 09 | 12 |
2014 | 03 | 06 | 08 |
2015 | 02 | 04 | 08 | 10 |
2016 | 02 | 03 | 04 | 07 |
hacker emblem
ページビュー
1667081