スパムを餌に被害者を釣る Angler
この記事は Erick Galinkin
、Alex McDonnell の協力の下に Nick Biasini によって投稿されました。
エクスプロイト キットは継続的な脅威です。このブログでも、ユーザを悪意へと誘う手段として取り上げてきました。多くの場合、ユーザは感染した Web サイトやマルバタイジングによって、エクスプロイト キットが埋め込まれたランディング ページへと転送されます。しかし最近、従来の方法に電子メールを組み合わせることによって、エクスプロイト キットに感染させる新たな手法が発見されました。
エクスプロイト キットへのゲートとなる、感染した Web サイトを調べると、通常、サイト全体もしくは単一のページに、悪意ある iFrame がドロップされています。こうした iFrame は、エクスプロイト キットが埋め込まれたランディング ページへのリンクであるか、または、そのゲートへのリンクである場合があります。攻撃者はゲートを使うことで、侵害した WordPress のサイトを変更することなく、ランディング ページの場所を変えることができます。私たちが検知およびブロックしたスパム攻撃では、攻撃者は iFrame を含むページにユーザをリンクするのではなく、「隠された」Web ページ(サイトのディレクトリ構造内に存在するページ)にユーザをリンクしていました。
 |
| スパム メッセージのサンプル |
プロセス
私たちは、常時、エクスプロイト キットの動作を調べ、攻撃者の手法を特定しようとしています。それがわかれば、検出してブロックする方法があるかどうかを判断できるからです。先日、こうした調査を行っていた際、少し奇妙なことに気付きました。Angler の感染時の動作を確認していたところ、新しいゲートと思われるものを偶然見つけたのです。
blog[.]silverline[.]com/wp-content/uploads/2014/08/8F1A1B774013446CD626408FEA44482B/order/order_details.html
侵害された WordPress のサイトから Angler にリダイレクトされるのは珍しいことではありませんが、そのサイトのサブ ページが使われることはまずありません。通常、iFrame は Web サイト内の複数のページにランダムにドロップされます。iFrame をページに組み込むのは、ユーザが実際にそのページを参照するようにするためです。今回の手法では、他の方法でユーザを特定の URL に向かわせるよう仕向けていました。
さまざまなデータ ソースを詳細に調べ始めたところ、驚くべきものを見つけました。スパムによるリダイレクトです。調査の過程で、電子メールのメッセージに表示される URL リンクを見つけました。そのサンプルを上に示します。
このメッセージは基本的に、「Thank you for your order(ご注文ありがとうございます)」で始まり、詳細についてはサイトにアクセスするよう依頼する内容になっています。攻撃そのものは数時間しか実施されておらず、様々な企業名が使われていました。Amazon、AT&T、Comcast、General Electric などのよく知られたサイトから、比較的知名度の低い社名を混ぜ合わせたもの、さらに、存在しない企業のものまでありました。この攻撃では、合計で 900 社にのぼる企業が使われていたことが分かりました。それらすべての企業は、IOC のセクションで一覧にまとめています。
リンクは実際には、侵害された一連の WordPress サイトのものでした。フォルダ構造はそれぞれ違いますが、最後はすべて、/order/order_details.html で終わっています。合計で 22 の異なる WordPress サイトがアクティビティのホストとして利用されていました。発見されたすべてのサイトの一覧を以下に示します。
WordPress のゲート:
- http://aquiladoro[.]eu/demo/wp-content/uploads/2016/03/qhcka/order/order_details[.]html
- http://blog[.]silverline[.]com/wp-content/uploads/2014/08/8F1A1B774013446CD626408FEA44482B/order/order_details[.]html
- http://digitalism[.]de/wp-content/uploads/2015/10/dkto3w/order/order_details[.]html
- http://digitero[.]pl/wp-content/plugins/contact-form-7/admin/css/order/order_details[.]html
- http://dottactical[.]pl/administrator/templates/bluestork/images/system/order/order_details[.]html
- http://duancanhobason[.]com/wp-includes/js/tinymce/plugins/hr/order/order_details[.]html
- http://fatiteke[.]ru/images/stories/demo/general/ext/order/order_details[.]html
- http://forexlearns[.]com/wp-admin/css/colors/coffee/014EEBC06CD57E0EF9C5FE5B56A623E8
/order/order_details[.]html - http://genialgest[.]it/administrator/tmp/install_568ac8c8e3ac3/DirectPHP_v1[.]56/DirectPHP
_v1[.]56/order/order_details[.]html - http://gestionalesweethome[.]it/images/stories/virtuemart/category/resized/order/order_details[.]html
- http://hossanashipping[.]com/images/cg-bn/order/order_details[.]html
- http://huangpai88[.]com/update/20111209/base/admin/js/order/order_details[.]html
- http://klasplan[.]com/webmail/logs/migjc/templates/lro5bi/order/order_details[.]html
- http://ohle-bau[.]de/administrator/components/com_admin/views/profile/tmpl/order/order_details[.]html
- http://petitshop[.]by/wp-content/themes/multi-color/colors/blue/order/order_details[.]html
- http://pijar[.]co[.]id/wp-content/uploads/wysija/bookmarks/medium/11/order/order_details[.]html
- http://plawyer[.]com/include/FCKeditor/editor/dialog/fck_link/order/order_details[.]html
- http://salonjar[.]ru/wp-content/themes/x/buddypress/activity/order/order_details[.]html
- http://salonmanifest[.]ro/wp-includes/js/tinymce/plugins/wpdialogs/order/order_details[.]html
- http://solom[.]it/tmp/install_53eb25ed3533b/chronoforums/locales/en_gb/order/order_details[.]html
- http://strategies-sociales[.]com/cache/images/tpnose/templates/lro5bi/order/order_details[.]html
- http://universalmen[.]es/wp-content/themes/destro/images/grun/order/order_details[.]html
- http://women-peace[.]net/wp-content/ngg/modules/photocrati-nextgen_basic_gallery/static/order/order_details[.]html
OpenDNS でドメインに関してさらに調査すると、この数ヵ月の間にこのアクティビティが定期的に実施されていた可能性があることがわかりました。以下は、最近の急増を示す画面キャプチャですが、これを見てもわかるように、過去数ヵ月にわたり他にも急増している箇所があります。
感染
ユーザが URL をクリックしてページにアクセスすると、「Please wait…」と書かれた、回転するアニメーション GIF が表示されます。
ではここで、実際にどのように感染するのかを見てみましょう。ユーザが上記の電子メールのリンクをクリックすると、次のコードが現れます。
最初の GET リクエストは上記の GIF のものです。サブフォルダが /facebookapi で、IP アドレスがハード コードされている 2 番目のリンクが Angler への実際のゲートで、次のような 302 Cushion を返します。
この構文には見覚えがあるはずです。Angler のランディング ページです。しかし、攻撃者は同じランディング ページを常に利用したくはなかったようで、興味深いことに、私たちが分析している間にも大手企業の Web サイトにリダイレクトする 302 が見つかりました。
GET リクエストは Angler のランディング ページのものですが、ユーザに表示されるのは、302 でリダイレクトされる att.com です。これは、エクスプロイト キットの存在を極力発見されないようにするためと思われます。私たちが通常目にするのはゲートに関するもので、実際のエクスプロイト キットのランディング ページではありません。なお、この攻撃に関連する Angler のサーバは 1 台しか確認できませんでした。通常の Angler のアクティビティでは、多くの場合、1 つのプロバイダーで複数の IP が使われますが、それとは異なっています。
IOC
WordPress サイト:
aquiladoro.eu
blog.silverline.com
digitalism.de
digitero.pl
dottactical.pl
duancanhobason.com
fatiteke.ru
forexlearns.com
genialgest.it
gestionalesweethome.it
hossanashipping.com
huangpai88.com
klasplan.com
ohle-bau.de
petitshop.by
pijar.co.id
plawyer.com
salonjar.ru
salonmanifest.ro
solom.it
strategies-sociales.com
universalmen.es
women-peace.net
ゲート サーバ:
207.244.95.41
Angler プロキシ サーバ:
212.227.162.50
電子メールの IOC:
件名:Your Online Order was Successfully Submitted.Thank You!
企業名
ペイロード ハッシュ:
da6641030988baf5b0b0352e4c4fc8e1a6b08def527e1fca97518d305c5adcec
まとめ
エクスプロイト キットは驚くべき数のユーザを侵害しており、その影響範囲は拡大し続けています。当初は、感染した Web サイトと悪意のある Web 広告しかありませんでした。それが今では、悪意あるアクティビティへのゲートとして使われる感染 WordPress サイトと、スパム メールとが組み合わされています。エクスプロイト キットの利用者と作成者は、既存の枠を超え、できるだけ多くのユーザを侵害するために進化し続けています。ランサムウェアが収益を生み出す主要な手段となるにつれ、脆弱なユーザへの侵害競争がますます激しくなっています。このような背景のもとに、私たちはこうした脅威に注意を払い、侵害の痕跡を公開し、シスコのユーザ ベースだけでなく、社会全体を守るための対策を講じています。
攻撃者がエクスプロイト キットによってユーザを侵害している限り、できるだけ多くの方法でそのアクティビティを発見し、阻止できるよう、引き続き努力していきます。
カバレッジ
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェア実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。
IPS のネットワーク セキュリティ保護や NGFW には、攻撃者による不正なネットワーク アクティビティを検出できる最新のシグネチャが備わっています。
ESA は、攻撃活動の一環として攻撃者が送信した悪意のある電子メールをブロックできます。
Tags:本稿は 2016年5月3日に Talos Group
