6 月 26 日、シマンテックは Segway 社の Web サイトに対する悪用キットの攻撃を確認しました。シマンテックからこの攻撃に関する通知を受けた Segway 社はすでに、同社の Web サイトが侵入を受けないよう対策を講じています。このブログでは、Redkit 悪用キットを使った攻撃の詳細を説明します。
攻撃の詳細
コードが jQuery スクリプトにインジェクトされます。
図 1.コードがインジェクトされた jQuery スクリプト
悪質なコードは、jquery.min.js という JavaScript に存在します。
図 2. jquery.min.js に存在する悪質なコード
インジェクトされた JavaScript が悪質な iframe をデコードし、それがユーザーをランディングページにリダイレクトします。リダイレクト後には cookie も設定されますが、これは同じユーザーが 2 回以上侵入を受けないようにするためです。
デコードすると、以下のようになります。
図 3. JavaScript が悪質な iframe をデコード
この iframe によって、以下の Redkit ランディングページにリダイレクトされます。
- [削除済み]. [削除済み].co.uk/abcd.html
このランディングページは JNLP(Java Network Launch Protocol)をロードして、悪質な JAR ファイルを呼び出します。悪用に成功すると、JAR ファイルは「Open Connection」を使って、不明瞭化された形で "param value=" から URL を受け取ります。
図 4."param value=" から取得される不明瞭化された URL
エンコードされた文字列は、以下の URL に解決されます。
- http://[削除済み]. [削除済み].co.uk/19.html
JNLP スクリプトは、悪質な JAR ファイルをユーザーのコンピュータ上に配備するために使われます。
図 5. 悪質な JAR ファイルの配備に使われる JNLP スクリプト
JAR ファイルの URI は次のとおりです。
- http://[削除済み]. [削除済み].co.uk/8o.jar
現在の JAR ファイル名は、80.jar、sj.jar、7t.jar のように長さが 2 文字です。これらの JAR ファイルは、暗号化されたペイロードをダウンロードし、暗号方式を利用して復号します。
この攻撃に使われている JAR ファイルは、Java データ型の混乱の脆弱性(CVE-2012-1723)を悪用しています。
図 6. Java データ型の混乱が悪用される
URL のデコードに使われる暗号方式は、JNLP を介してパラメータとして渡されますが、単純な文字置換アルゴリズムです。
図 7. URL のデコードに使われる暗号方式
この攻撃では、以下の複数のマルウェアが投下されます。
図 8.攻撃のシナリオ
まとめ
Redkit は 2012 年初めに登場し、それ以来同じ方法で拡散しています。今回シマンテックが発見したように、悪質な iframe でハッキングされたサイトから悪用キットのランディングページにリダイレクトされます。フィンガープリントにプラグイン検出スクリプトを使う点は、他の悪用キットと同じです。
最近、シマンテックは以下の URI パターンのランディングページを確認しています。
- [削除済み]. [削除済み]/hfiv.htm
- [削除済み]. [削除済み]/hmtg.htm
- [削除済み]. [削除済み]/hmtg.htm
Redkit が JAR ファイルの配備を開始するときには、その JAR ファイルをロードするプラグインとして JNLP スクリプトを使います。投下された JAR ファイルの名前には、11.jar や 123.jar のように番号が付けられています。JAR ファイルは不明瞭化されており、Java の最新の脆弱性を悪用します。ファイルのペイロードは暗号化されています。
Redkit は、以下のように Java の複数の脆弱性を悪用します。
- Oracle Java SE に存在するリモートコード実行の脆弱性(CVE-2012-1723)
- Oracle Java SE のリモート Java Runtime Environment に存在する脆弱性(CVE-2013-0431)
- Oracle Java SE に存在するリモートコード実行の脆弱性(CVE-2013-1493)
- Oracle Java Runtime Environment に存在するセキュリティ回避の脆弱性(CVE-2013-2423)
Redkit は、以下の脅威を投下することが確認されています。
シマンテックは先月、約 150,000 件の Redkit 攻撃を遮断しました。
図 9.攻撃の地理的な拡散状況
地理的に見ると、北米、ヨーロッパ、ロシアの各地域で最も多く影響が確認されています。これらの攻撃の動機は、幅広くユーザーのコンピュータに侵入して利益を上げることにあります。最近では、知的財産を盗み出すためにこれらの攻撃で特定の組織が標的になっています。
保護対策
幸い、シマンテックは Redkit 攻撃に対して包括的な保護を提供しており、侵入防止とウイルス対策のシグネチャを更新することで保護されます。侵入防止では、コンピュータ上で送受信されるネットワークトラフィックをすべてスキャンし、その情報を一連の攻撃シグネチャと比較して、インターネット上の代表的な攻撃からユーザーを保護します。
シマンテックは、お客様をこの攻撃から守るために、以下の保護対策を提供しています。
侵入防止:
- Web Attack: Redkit Exploit Website 2
- Web Attack: Red Exploit Kit Website
- Web Attack: Exploit Toolkit Website 48
- Web Attack: Malicious Java Download 26
- System Infected: Downloader.Ponik Activity
- System Infected: ZeroAccess RootKit Activity 7
- System Infected: ZeroAccess P2P Request
- System Infected: W32 Waledac Activity 9
ウイルス対策:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。