あちこちで改ざん?
日本各地で改ざん被害が相次いでるようで…
piyokangoさんの2013年6月4日の日記に,良い感じでまとまってますが,それを紹介するだけだとそれで終わってしまうのでw,自分なりに読み解いてみたよ!
少し改ざんを読み解いてみる
といっても,難読化された内容を読むんじゃなくって,「改ざんされた結果取得されるネタがどういうパターンか?を読み解く」というだけだがw
改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターン
この場合,改ざんされて埋め込まれたスクリプトが動作し,悪意あるネタをダウンロードする,というように仕向けられる.トレンドマイクロさんの場合は,JS_BLACOLE.MTとして検出されるが,オレのところはKaspersky Internet Security 2013を使っているので,Trojan-Downloader.HTML.JScript.cfとして検知された.
ちなみに今回のケース,機械的だが何らかの内容解釈を行うプログラムによって放り込まれてる感がある.というのも,内容をパースして,適切に解釈されると思われるところに放り込まれているからだ.オレが見たパターンは,コンテンツの先頭とおもわれる部分(要素)が終わる,divタグを閉じた直後に,0c0896という内容を含む内容が入り,そのあとにスクリプトが延々続く,というものだ.
なお,このパターンの場合には,悪意ある(感染を引き起こす)スクリプトブロックは1つしかない.まぁ,1つあれば充分だろう.
改ざんは成功しているが目的は達成していないパターン2と3を見てみる.
ちなみにパターン2とパターン3の場合,攻撃者がムキになっているのかわからないが,同じように難読化されたJavascriptのブロックが複数箇所あることがわかる.
視覚化wすると,ほぼ数字と","のみで構成された部分が真っ赤になるわけだがw,パターン3の改ざんされたJSPの1つを見ると,これが大きく4ブロック存在することがわかった.
この改ざんを行った攻撃者は,おそらく4回改ざんを試みたんだろう,という見立てがつく*1.
*1:それでもうまくいかなかったわけで
やられたクチは一体どこか?
すでに述べたところもあるが,改ざんのパターンを見ていると,
というように見える.あくまでオレからはそう見える,というだけだが….
パターン2で,Webアプリの脆弱性を突かれて任意の内容を差し込まれたとなると,当該Webアプリの入力チェックは一部はうまく機能していたと考えるのが妥当だが,それでも悪意ある入力やリクエストに完全に対処しきれているとは言い切れず,改ざんにつながったとかんがえられる.
パターン1と3で,Apache Tomcatの管理機能をヤられたと仮定すると,JSPのデプロイ以外にも,静的コンテンツの書き換えも行えそうである.改ざんされたJSPとHTMLが置かれていたのは,同じWebサイトだったという事情もある.
ただ,個人的には「やられてもしょうがない状態だったのでは?」とも感じる.
なぜソフトウェアを最新状態に?〜アタリマエというなかれ
で,なんで「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」(トレンドマイクロさん) なのか?
これは,誘導される先のマルウェアが,古い脆弱性を使っていることを確認出来たからであろう.このblogでは,CVE2010-0188を使った攻撃を確認出来た,とある.この脆弱性は,Adobe ReaderおよびAcrobatの8.2.1以前および9.3.1以前で利用可能なものであるが,(言うまでもなく)かなり古い.他の脆弱性が悪用されたとして,古いことは同様に想像できる.
それ以前に,ここまで大々的に使われる脆弱性は,おそらく使い古されたモノであろう.
なので,とっととアップデートを!という話になる.
仮にマルウェアをウィルススキャナで検知出来なかったとしても,脆弱性対処を行ったソフトウェアを使っていれば,そもそも感染しない*1.
ということで,ソフトウェアはアップデートを.
*1:自分から動かせば話は別だが