多重偽装で攻撃を隠す悪質サイト

IEや中国製P2Pソフト「Xunlei WebThunder」の脆弱性を狙う悪質サイトが発見された。何重にも偽装を施して攻撃を隠そうとしているという。

» 2007年06月22日 19時36分 公開
[ITmedia]

 6月の月例パッチで修正されたInternet Explorerの脆弱性などを狙い、さまざまな悪意あるコードやスクリプトをダウンロードさせようとする悪質サイトが発見された。攻撃の事実を隠すために何重にも偽装を凝らしていることから、Symantecが注意を呼び掛けている。

 一連の悪意あるサイトは、同社のハニーポットシステム「DeepSight」で発見された。ユーザーがアクセスすると、MS07-033のパッチで修正された、音声認識のメモリの破損の脆弱性を悪用してバッファオーバーフローを発生させ、任意のコードを実行させようとする。具体的には「W32.Looked.BK」という悪意あるペイロードをダウンロードしてくるという。

 同社の調査によると、これらのサイトはまた、中国で広く利用されているP2P型ファイル共有ソフト「Xunlei」(迅雷)にWebからアクセスできるようにする「Xunlei WebThunder」の未パッチの脆弱性も悪用するという。

 注意が必要なのは、これらの悪質サイトは対策ソフトから攻撃を隠すため「難読化」を何重にも行っている点だ。一見すると文字化けしたページが表示されているだけのように見えるが、その裏で、難読化されたJavaScriptベースのエクスプロイトが実行されてしまう。

 オリジナルのエクスプロイトはJavaScriptだが、変数名をすべてランダム化し、値も16進数に置き換えられている。それがラッパーファンクションを用いてエンコードされ、もう一度JavaScriptのescape()ファンクションを用いてエンコードされている。その上でさらに、改行文字のエスケープやラッパーによる置換処理が施されているという。

 Symantecでは、ターゲットが広がり効果的であることから、クライアントを狙う攻撃が攻撃者にとって魅力的なものになっていると指摘。同時に、正規のWebサイトが不正アクセスを受け、こうした攻撃に荷担するケースも頻繁に見られていると述べている。

 同社は今後もこうしたクライアントを狙う攻撃の頻度が増し、高度化する可能性があるとし、パッチの適用やウイルス対策ソフトの更新、信頼できるサイトのみへのアクセスといった対策を通じて身を守るよう呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ