脅威リサーチ

Sundown エクスプロイトキットにご注意

TALOS Japan
2016年11月10日

エクスプロイトキットを取り巻く一部の状況は、過去 6 か月で大きく変化しました。その変化は、4 月～5 月にかけて Nuclear が活動を停止したことや、6 月末の Angler の終了と同時期にロシアでサイバー犯罪者が逮捕されたことから始まっています。2016 年に入ると一部のエクスプロイトキットがなりを潜めてきましたが、最近は Neutrino もその中に加わっています。残っているのは、トップの座を狙う比較的小規模のエクスプロイトキット群です。これらのキットは、現在もランサムウェアやバンキング型トロイの木馬のようなペイロードを使っており、何百万ドルもの金を稼ぎ続けています。

そこで今回は、まだ活動を続けているエクスプロイトキットの 1 つである「Sundown」を取り上げます。Sundown エクスプロイトキットはかつて、Magnitude や Sweet Orange などと同じ 2 番手のエクスプロイトキットの 1 つでした。これらのキットは、ユーザへの侵入には成功していますが、一般に高度な技術は持ち合わせておらず、他の主なエクスプロイトキットのように幅広く使用されることもありません。これらの脅威が重要でないとは言いませんが、被害に合う可能性の点で言えば、Angler や RIG など従来の他の EK と比べると、これまでのところ影響の範囲は大きくありません。
Talos では数週間にわたって Sundown の活動を重点的に調査してしましたが、その結果、驚くべきことを発見しました。これは比較的小規模なインフラストラクチャ領域で動作するキットだったのですが、過去最大級のドメインシャドウイングが実装されていることが判明しました。このキャンペーンはごく少数の IP を足掛かりに活動を開始しましたが、最終的には 8 万を超える悪意あるサブドメインが発見されています。それらのサブドメインは、さまざまな登録アカウントを利用している 500 以上のドメインに関連付けられていました。このようなキットは、従来のブラックリストによるソリューションでは防御できません。Sundown の手口は非常に巧妙で、使用するサブドメインを短期間で入れ替えて検出を逃れようとしていました。中には、ドメインシャドウイングに 1 回しか使用されなかったと思われるものもあり、それらはブラックリストによって停止させるのが非常に困難です。

概要

Sundown は、他の大半のエクスプロイトキットと同じように動作します。ランディングページや、ペイロードを含むエクスプロイトページなど、いくつかのパーツで構成されています。現在のほとんどのエクスプロイトキットでは、リダイレクトの最初のポイントとして主にゲートが使用されています。大半の被害者は、侵害された Web サイトまたは悪意のある広告のいずれかの方法でエクスプロイトキットに誘導されています。今回調査したキャンペーンでは、トラフィックの送信元として、侵害された Web サイトが主に利用されていました。

侵害された Web サイトの大半は、iframe が Web ページのどこかに追加され、画面から外れた場所に表示されるようになっています。これは Sundown のキャンペーンでも同様でした。

侵害された Web サイトからのゲートによるリダイレクト

上記の最初のリダイレクトは、このキャンペーンに使用されていたゲートを示しています。そして、以下に示すように、シャドーイングされた別のドメインによって、別のページに誘導されます。

ゲートからリダイレクトされたエクスプロイトキットのランディングページ

ハイライトされている箇所は、Sundown のランディングページに実際にリダイレクトしている部分です。このランディングページは次にユーザのシステムを調査して潜在的な脆弱性が存在するかどうかを判断し、悪意のあるペイロードを含むエクスプロイトページを配信します。Sundown のサーバからのレスポンスのヘッダーには、Sundown と他のエクスプロイトキットのトラフィックとを明確に区別できるフィールド（「Yugoslavian Business Network」）が含まれています。この固有の文字列は、Sundown から配信されるすべてのランディングページのレスポンスに含まれています。そのサンプルを次に示します。

Sundown のコーリングカード：Yugoslavian Business Network

これは、ランディングページのリクエストにだけ見られるもので、エクスプロイトページのリクエストには明らかに存在しないことに注意してください。

Sundown のエクスプロイトページの GET リクエスト例

Sundown の感染チェーンには、/undefined と書かれた、もう 1 つの GET リクエストがあります。その結果、エクスプロイトページがリクエストされる前にサーバから 404 が返されます。Sundown によるエクスプロイトについて Talos が観察したところ、被害者への侵害には Adobe Flash と Silverlight の脆弱性を利用しています。ひとつ興味深いのは、Sundown の攻撃ファイルは拡張子がすべて統一されていたことです。つまり、Flash のファイルに対するリクエストはすべて「.swf」で終わっており、Silverlight に対するリクエストは「.xap」で終わっています。普通のエクスプロイトキットならアクティビティを隠そうと試みるものなので、これは珍しいケースです。

キャンペーン

これらの情報に基づいて、Talos はこのエクスプロイトキットに関するデータの収集を始めました。最初に収集したのは、Sundown のホスティング IP アドレスです。このキャンペーンを実行した攻撃者は、Sundown のホスティングシステムをかなり長期間利用していました。エクスプロイトキットを追跡してきたこれまでの経験からすると、キットのホスティングサーバが長期間アクティブになっていることは普通ありません。Angler の場合は通常 12 時間未満で、長くても 48 時間でした。Sundown のホストとして確認された IP の中には、数週間アクティブになっているものや、場合によっては数か月に及ぶものもありました。これは予想していなかったことです。というのは、アクティビティのホスティング IP は、ほとんどのセキュリティプロバイダーによって比較的短時間のうちに無効にされるからです。今回の Sundown のキャンペーンに使用されたホストは、オランダでのみホストされていました。オランダのプロバイダーにはアクティビティについて通知しましたが、この記事の執筆時点では、なんの回答もなく、措置も取られていないようです。

調査期間中にこのキャンペーンに関連して発見された IP は10 種類のみでした。チームはさらに、これらのホストに関連する DNS アクティビティの調査を開始しましたが、その結果は特筆すべきものでした。問題の IP に関連する DNS アクティビティを調査したところ、8 万種類を超えるサブドメインが発見されました。興味深いのは、これらのドメインがアクティブとして観察された時間です。ほとんどの場合、ドメインがアクティブな時間は、1 時間未満でした。また、ドメインに関連付けられているアクティビティはあまり多くありませんでした。概して、各サブドメインへのリクエストはごく少数で、場合によっては、1 つのリクエストしか発見されませんでした。

Sundown サブドメインのアクティビティ

これらの何千にも及ぶサブドメインは、数百の異なるドメインに関連付けられており、その大半は、異なる 2 つの登録アカウントが所有しているものでした。ドメインの中にはプライバシー保護機能を利用して登録されているものもあるので、実際にどれだけの登録アカウントが攻撃者に利用されていたのかを把握する現実的な方法はありません。

サブドメインアクティビティを日別に分類して見てみると、興味深いことがわかります。次に示すように、1 日に登録されるサブドメインの数は、4,300 を少し越えたところがピークになっています。

Sundown の一意なサブドメインの数（日単位）

今回の Sundown キャンペーンでは、1 日 24 時間を通して、1 分間に約 3 つのサブドメインが生成されていたことがわかりました。ドメインの数が多すぎて手に負えないように思えたので、基本的なチェックのみ行いました。その結果、今回の Sundown キャンペーンは、利用していたドメインに対して、実は従来のドメインシャドウイングではなくワイルドカードを使用していたようでした。いくつかの DNS リクエストを以下に示します。最初のものは、実際の Sundown のドメインで侵害が確認されています。他の 2 つのドメインは、サブドメインとして「random」を使用していたものも含め、複数のサブドメインで構成されています。

ワイルドカードを使用したドメインの例

このように、問題となっているすべてのドメインは Sundown のホスティングサーバへと名前解決されています。他のエクスプロイトキットを利用したこれまでのキャンペーンでは、エクスプロイトキットのユーザが実際にサブドメインを作成するのが確認されています。Sundown は、ドメインシャドウイングを使用しません。その代わり、ドメインにワイルドカードを使用してアクティビティをホストします。このタイプの技術には、コアドメインに影響を与えるという明らかな問題があります。侵害された登録アカウントを利用している場合は、これが顕著になります。このキットのホストとして使用しているドメインがアクティブな場合、たとえそれがパーク保留中ページのようなシンプルなものであったとしても、影響を与える可能性があります。現在パーク保留中のドメインを例にとると、通常、www.ドメイン名[.]TLD のサーバでドメインをホスティングすることになります。ワイルドカードの使用には問題点があり、誰かがそのドメインを名前解決しようとすると、悪意のあるサーバにリダイレクトされてしまいます。それがこのキャンペーンにも該当しました。

また、データから、www.ドメイン名[.]TLD が正規のホスティングサーバに名前解決された後で Sundown サーバにも名前解決されたという結果が発見されましたが、これも、上で述べたことが原因です。さらに、Sundown アクティビティのホスティングに使用された IP アドレスを詳しく分析した結果、2,300 万のサブドメインが検出されましたが、その説明もつきます。

ペイロードに関しては、バンキング型トロイの木馬のみを配信していることが確認されました。バンキング型トロイの木馬やランサムウェアをペイロードとして利用するのは、現在のエクスプロイトキットユーザにとってはごく当然の選択です。そのような犯罪者は金銭を得ることを目的にしており、現時点では、バンキング型トロイの木馬やランサムウェアが一番簡単に大金を手に入れられる方法だからです。

YBN のロゴ

エクスプロイトキットでは一般に、サーバからコンテンツが提供される仕組みに注目します。たとえば、アクティブなランディングページに直接アクセスしたとしても、データが提供されることはほとんどありません。キットは通常、コンテンツを提供する前に、特定のリファラなどのデータポイントを探します。典型的なレスポンスは、空のファイル、または HTTP 404 です。ところが、当チームの調査の中で、Sundown のランディングページに対して何もパラメータを指定せずに GET リクエストを試してみたところ、結果は驚くべきものでした。空データや 404 ではなく、実際にデータが戻ってきたのです。

Base64 でエンコードされた Sundown のロゴ

Web ページのメタタグに、Base 64 でエンコードされた大きな BLOB が指定されているのがわかると思います。この BLOB が復号されても、Base 64 でエンコードされた BLOB がさらに 2 つある、別の Web ページが現れます。すべて復号されると最後に、背景と画像が表示されたきれいな Web ページが登場します。

Sundown YBN Web ページのコーリングカード

どうやら、Sundown の開発者が、自らの組織「Yugoslavian Business Network」のロゴを披露したようです。

IOC

ドメイン
IP アドレス
キャンペーンでドメインにワイルドカードが使用されたため、サブドメインは含まれていません。

まとめ

直近の数ヵ月で主なエクスプロイトキットが急速に消滅したため、状況に大きな変化が生じました。現在は、少数のエクスプロイトキットだけが活動を続けている状況です。その中で、以前は 2 番手の EK であったキットが台頭し始めています。Sundown は、当初考えていたよりもはるかに広範囲に展開されているエクスプロイトキットです。インフラストラクチャの観点からは大きな割合を占めてはいませんが、このキットに接触しているユーザは多数存在します。

Sundown とこれまで見てきた他の主なキットとの間には、いくつかの大きな違いがあります。それは、Sundown が、エクスプロイトを再利用すること、ドメインにワイルドカードを使用すること、キットをあまり隠そうとしていないこと、などです。この事実から、Sundown には他のキットで見られたような高度な技術がないか、あるいは単にアクティビティを隠すつもりがないかのいずれかであることが伺えます。このことはまた、ユーザを侵害するのに高度な技術は必要ないことも示しています。この状況が今後半年から 1 年の間にどのように変化するのか観察していくとおもしろいでしょう。エクスプロイトキット市場への参入を目論んでいる犯罪者にとって大きな機会があることは明らかです。このタイプのアクティビティの開発や維持が労力に見合わないというころまで来ているのか、それが今後の課題です。引き続きご覧ください。