Webサイトの脆弱性を悪用したマルウェア感染の仕組みについて

2023/3/13 セキュリティ対策全般情報

【スポンサーリンク】

カテゴリー別人気記事

皆様、こんばんは。

今回の投稿は、インターネット上のWebサイトの脆弱性を悪用するマルウェア感染に関する投稿となります。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

さて改めまして今回の投稿は、インターネット上のWebサイトの脆弱性を悪用するマルウェア感染に関する投稿になります。

ゼロディ・ジャパンより  【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます!

上記は昨日に書かせていただいた記事ですが、1日でかなりの方にご閲覧頂きました。やはり日本のwebサイトにマルウェア感染が広がっているという事実は脅威ですね。

上記の記事でも触れられています、Blackhole Exploit Kit。

そして今年に入り急速にその数を増やしている、RedKit exploit kit

これらのツールがPC内のアプリケーションの脆弱性を悪用し、どのようにマルウェア感染を引き起こすのか。

今回の投稿では、実際に上記のツールを用いた不正改ざんサイトを用いて、その仕組みを考えていきましょう。

なお僕もwebサイト経由の感染、いわゆるドライブバイダウンロード攻撃については、未だ勉強中です。万一この記事内で誤った記載があった場合は、ご指摘いただきますと幸いです。

【スポンサーリンク】

不正改ざんサイトを利用した検証

それでは始めます。

まず今回の検証を行うために、以下のサイトを用います。

>ホームページレシピ

www.h3.dion.ne.jp/~k.t2590/

今回の記事を記載するにあたって利用した不正改ざんサイトのトップページ

URLスキャン結果

スキャン結果にも記載があるように、RedKit exploit kitを用いた不正改ざんサイトです。

このサイトのソースコード見てください。

今回の記事を記載するにあたって利用した不正改ざんサイトのソースコード

見えにくいと思いますが、このソースコードの一番下に、以下のような記載があります。

今回の記事を記載するにあたって利用した不正改ざんサイトのソースコードの中で悪意ある第三者によって不正改ざんされた箇所

>laurals.com/mamd.html?i=447510

不正なiframeタグが挿入されています。上のURLが攻撃者が用意したリダイレクトされる攻撃サイトですね。

つまり上記の不正改ざんサイトにアクセスしますと、上のURLにリダイレクトされ、PC内にマルウェアを送り込むというわけです。

そして1番の問題点が、なぜマルウェアを送り込めるのかということですね。

それこそが、PC内のアプリケーションの脆弱性を悪用するということなのです。

このRedKit exploit kitの特徴の一つは、左記に感染した不正改ざんサイトにアクセスすると、まずは攻撃者が用意したサイトにリダイレクトし、アクセスすることに用いられたブラウザ内のプラグインのバージョンを調べます。プラグインに脆弱性があるバージョンですと、その脆弱性を悪用し、マルウェアをダウンロードさせるというわけです。

そして上記のような行為を全て自動化し行うことができるツールこそが、exploit kitと呼ばれるものです。

今回の検証に用いた不正改ざんサイトでは、脆弱性を悪用されたアプリケーションはjavaです。

そしてこれらexploit kitと呼ばれるものは、年々進化しています。接続するサーバーを動的に変化させたり、擬似的にドメイン名を生成したりするなどし、セキュリティツールの検出逃れを図ります。

virustotalの結果

それでは実際に上記の不正改ざんサイトに、アクセスした際の状況を見ていきましょう。

まず致命的な脆弱性が存在するjavaをインストールします。

当ブログ管理人のパソコン環境に致命的な脆弱性が存在するjavaをインストールする

Java 7 Update 10及びそれ以前のバージョンの脆弱性

なお不正改ざんサイトにアクセスする際は、プラグインは有効にし、セキュリティソフト及びブラウザのセキュリティ機能は無効化しています。

それではアクセスした際のsystem explorerの画像です。

今回の記事を記載するにあたって利用した不正改ざんサイトのトップページに当ブログ管理人のパソコン環境からアクセスした際にjavaが自動的に実行されてbbccje.exeという不正な実行ファイルが起動する様子

赤枠の部分をご参照ください。

javaが勝手に起動し、以下のファイルが勝手に実行されています。

bbccje.exe

javaの脆弱性を悪用され、勝手にインストールされたマルウェアです。本来であれば、左記のマルウェアがインストールされたことなど、全く気づかないでしょう。

ちなみに上記の検証後、セキュリティツールの機能を有効にして、アクセスした際の結果です。

当ブログ管理人のパソコン環境のセキュリティ機能を有効にして不正改ざんサイトにアクセスした際にセキュリティ機能によってWebサイトへのアクセスが遮断される様子

赤のマークはマカフィーサイトアドバイザ、緑のマークはAdvanced SystemCareのブラウザプロテクションです。

web評価機能も100%ではないということがわかりますね。

さて投稿は以上です。

まとめ

いかがだったでしょうか?webサイト感染の脅威が少しでもご理解いただければ幸いです。

なお今回用いました不正改ざんサイトは、どうやら発見されてから3週間以上、マルウェア配布サイトとして稼働中のようです。

今現在も稼動していますので、この記事を見た方も決してアクセスしないでください。

そして何度も書きますが、上記のような感染リスクを減らす手段は、脆弱性対策です。

ウイルスに感染しにくくするために実行するべき6つのこと

必ず実行し、インターネットを楽しく安全に行えるようにしましょう。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。

<マルウェアの対策方法に関連する記事のまとめ>

1、URL

マルウェアの対策方法に関連する記事のまとめ

それでは以上です。

【全カテゴリーの人気記事】