いわゆるガンブラー攻撃の真の問題について
いわゆるガンブラー攻撃の真の問題について ~ガンブラー攻撃の活動内容と予測されるユーザーへの被害~ 株式会社シマンテック 2010年3月 いわゆる「ガンブラー」攻撃の真の問題について 1 ガンブラー攻撃の活動内容 いわゆる「ガンブラー」攻撃の真の問題について 2 「ガンブラー」攻撃の仕組み 改ざんされた 企業Webサイト 攻撃サイト 攻撃者 2 1 3 脆弱性 5 4 エンドユーザーのPC 1 悪質サイトへ誘導 するスクリプトが 埋め込まれた 正規のWebサイト にアクセス 2 悪質サイトへ自 動的にリダイレ クト いわゆる「ガンブラー」攻撃の真の問題について 3 PC上の脆弱性 を悪用したコー ドを送信 4 知らぬ間にマル ウェアがインス トールされる 5 個人情報の窃盗 遠隔操作 •FTPアカウントの窃盗 •カード番号の窃盗 •偽ソフトの押し売り •ボットによる悪事への 加担 3 ガンブラー攻撃の目的 改ざんされた Webサイト Trojan.Bredolabの感染拡大が目的! 攻撃者 攻撃サイト 2 1 3 Trojan.Bredolab 5 (トロージャン ブレドラブ) 4 脆弱性 エンドユーザーのPC いわゆる「ガンブラー」攻撃の真の問題について 4 Trojan.Bredolabの特長 1 “トロイの木馬“型のマルウェアである。 2 “ダウンローダー“機能を備え 他のマルウェアを無断でダウンロードしてしまう。 3 “ボット“機能を備え攻撃者の指示でPCを 乗っ取ってしまう。 Trojan.Bredolab (トロージャン ブレドラブ) いわゆる「ガンブラー」攻撃の真の問題について 5 Trojan.Bredolabが個人情報を盗むマルウェアを 次々とダウンロード Bredolabの 飼い主 その他のマルウェア ? 企業のWeb サイト 指令サーバー 攻撃者 5 5 3 •ID/パスワード •カード番号 など 2 5 1 Trojan.Bredolab ? ! 5 1 Bredolabの飼い主が その他のマルウェアをダウン ロードするように指令を送る 5 2 その他のマルウェアをダウン ロードされインストールされる いわゆる「ガンブラー」攻撃の真の問題について 5 3 •FTPアカウントの窃盗 •カード番号の窃盗 •偽ソフトの押し売り •スパム送信へ加担 6 Trojan.Bredolabの配信者は他のマルウェア製作者に ダウンロードサービスを提供して報酬を得る! 攻撃者 「偽AVソフト」の代金、 「カード番号」の闇 マーケットでの売却で 利益をえる 「偽AVソフト」、「カード番号 を盗むマルウェア」、「広告 表示プログラム」の成功した インストールに応じた報酬が 支払われる 企業の Web サイト Bredolabの 飼い主 •ID/パスワード •クレジットカード番号 ? ? ? いわゆる「ガンブラー」攻撃の真の問題について ? ・・・・・ ? ? ? 7 Trojan.Bredolabによってインストールされる その他のマルウェア タイプ マルウェア名 被害 ボット Trojan.Zbot W32.Waledac W32.Koobface Trojan.Srizbi Backdoor.Rustock Backdoor.Haxdoor Backdoor.Tidserv 遠隔操作、スパムの送信、 DoS攻撃、マルウェアの再配布、 情報盗難、広告の差し換え 偽セキュリティ ソフト SecurityToolFraud Trojan.FakeAV Downloader.MisleadApp 偽警告画面、 クレジットカード番号の盗難 インフォ スティーラー Infostealer.Ldpinch.C Trojan.Goldun Infostealer ユーザID・パスワードの盗難、 キーロギング ルートキット レトロウイルス Hacktool.Rootkit マルウェアの隠蔽 セキュリティソフトの無効化・削除 アドウェア Adware.Lop Adware.Purityscan Trojan.KillAV いわゆる「ガンブラー」攻撃の真の問題について ポップアップ広告 8 商業化するマルウェアによる個人情報の詐取 “ボット”によるダウンロードが温床に・・・ RSA® Conference USA 2010の Symantecブースにて撮影 いわゆる「ガンブラー」攻撃の真の問題について 9 企業サイトの改ざんの主な原因~ 盗まれたFTPアカウント! Bredolabの 飼い主 4 攻撃者 企業の Web サイト 2 1 FTP 3 ID/パスワード Trojan.Bredolab Webサイト管理者/編集者のPC 1 偽メール、ドライブバイ ダウンロードで Trojan.Bredolabが インストール 2 FTPアカウント情報 を盗むマルウェアを 新しくインストール いわゆる「ガンブラー」攻撃の真の問題について 3 PC上に保存された FTPアカウント情報が 攻撃者に盗まれる 4 盗まれたFTPアカウント で企業Webが改ざん される 10 推測される Trojan.Bredolab の管理者パソコンへの 侵入手口 From: [email protected] To: [email protected] Subject: Important Info ①巧妙な偽メール もっともらしい文面の「偽のメール」に 添付してターゲットに送信 XXXX様 本日の打ち合わせ資料を添付お送りいたします。 ご査収ください。 何卒よろしくお願いいたします。 Agenda.pdf ②検索結果の操作とドライブバイダウンロード 検索結果を操作し、上位に表示される検索結果に 攻撃者サイトへ誘導するリンクを表示。 脆弱性があるPCは感染 いわゆる「ガンブラー」攻撃の真の問題について 11 補足資料 いわゆる「ガンブラー」攻撃の真の問題について 12 Trojan.Bredolabとは? • 2009年5月に発見 • 様々なマルウェアや偽セキュリティソフトなどをインストールす るダウンローダー • インストールされた Agent (本体)は HTTP GET REQUESTにより Controller (サーバ)と通信 • データは暗号化されている • Spamメールや Drive By Download により感染 いわゆる「ガンブラー」攻撃の真の問題について 13 Bredolabが添付された Email の数の推移 マルウェア添付Email全体に占める“Bredolab”が添付されたものの 割合 出典:“MessageLabs Intelligence” いわゆる「ガンブラー」攻撃の真の問題について 14 Bredolabをダウンロードさせる悪意のあるURLの 推移 悪意のあるURL全体に占める“Bredolab”をダウンロードさせるものの 割合 Bredolabとそれに関連してダウン ロードされるマルウェアは、検索サイ トの検索結果を操作して、マルウェア をダウンロードさせるURLを結果の 上位に表示して誘導。 出典:“MessageLabs Intelligence” いわゆる「ガンブラー」攻撃の真の問題について 15 参考 • ホワイトペーパー: The Bredolab Files http://www.symantec.com/content/en/us/enterprise/media/security_resp onse/whitepapers/the_bredolab_files.pdf Zeus: King of the Bots http://www.symantec.com/content/en/us/enterprise/media/security_respo nse/whitepapers/zeus_king_of_bots.pdf いわゆる「ガンブラー」攻撃の真の問題について 16 アカウント情報の窃盗 • FTPやTelnet などのように認証時に暗号化しないプロトコルの 場合は通信のモニタリングにより簡単に盗むことができる。 • ブラウザやFTPクライアントなどは、認証時のアカウント・パス ワードを暗号化して保存しているケースが多い。しかし、すでに 暗号方式は解析されており、様々なマルウェアによって実装さ れている。 • オリジナル ‘ガンブラー’で使用されたマルウェアは前者だった ため、FTPの通信が発生しない限りはアカウント情報を盗まれ ることはなかった。 • 現在の攻撃は前者と後者の併用なので、アカウント収集能力 が圧倒的に高く、そのため被害サイトが短時間で増大した。 いわゆる「ガンブラー」攻撃の真の問題について 17 アカウント情報の窃盗 - ターゲット例 • Internet Explorer • CoreFTP • FireFox • FFFTP • Opera • FriGate • WindowsCommander • FTP Commander • TotalCommander • FTP Commander Pro • WS_FTP • FTP Commander Deluxe • Far Manager • FTP Navigator • CuteFTP • FTPExplorer • FileZilla • FTPRush • WinSCP • SecureFX • BulletProofFTP • SmartFTP • FlashFXP • UltraFTP いわゆる「ガンブラー」攻撃の真の問題について 18 Trojan.Bredolabが添付されたメール いわゆる「ガンブラー」攻撃の真の問題について 19 Trojan.Bredolabの使うドメイン • 単純なフィルタリングではブロックできないように、ド メインやIPを頻繁に更新している mmsfoundsystem.ru statcount.cn preflopp.com galoh.ru brinnit.cn svirze-pondo.cn turokgame.net forhomessale.ru Imoviemax.ru yourarray.ru dollaradmin.ru sanbiz.biz mudstrang.ru greatmoder.cn varge-stilz.cn youaskedthedomain.cn いわゆる「ガンブラー」攻撃の真の問題について 20 ありがとうございました。 Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. いわゆる「ガンブラー」攻撃の真の問題について 21
© Copyright 2025