コンテンツにスキップ
ビジネスとIT
ダークリーチが戻ってきた。あるいは、最初から消えていなかったのかもしれない。いずれにせよ、問題は深刻化している。
Apache Web サーバーを実行しているサイトに、訪問者の PC に非常に悪質なソフトウェアをインストールするよう強制するキャンペーンにより、過去 9 か月で 40,000 件を超える Web アドレスが侵害され、そのうち 15,000 件は 5 月だけで発生しました。
ウイルス対策プロバイダーEsetの研究者が火曜日に発表したデータは、インターネットで最も人気のあるウェブサーバーを稼働させているウェブサイトへの攻撃が勢いを増していることを示す最新の兆候です。「Darkleech」として知られるこの不正なApacheモジュールは、侵入されたサーバーにインストールされ、正規のウェブサイトをオンラインの地雷原に変え、何も知らない訪問者を様々な危険な脆弱性にさらします。10月以降、4万件以上のドメインとウェブサイトのIPアドレスが乗っ取られており、そのうち1万5000件は2013年5月だけで同時にアクティブでした。Esetは先週だけでも、ユーザーを攻撃にさらしているウェブサイトを少なくとも270件検出しました。
Darkleechの罠にかかったサイトは、特定の訪問者を悪質なウェブサイトにリダイレクトします。これらのウェブサイトには、悪名高いBlackholeエクスプロイトキットによって生成された攻撃コードが掲載されています。地下フォーラムで入手可能なこの有料パッケージは、初心者でもブラウザやブラウザプラグインの脆弱性を容易に悪用できるようになっています。これらの脆弱性を修正するアップデートをインストールしていないウェブサイト訪問者は、様々な危険なマルウェアに気づかれずに感染してしまいます。Darkleechが拡散するマルウェアの中には、「Nymaim」と呼ばれるランサムウェアがあり、これは被害者のマシンから暗号化されたファイルのロックを解除するために300ドルの支払いを要求します。他にも、Pony LoaderやSirefefなどのマルウェアがインストールされます。
「このキャンペーンは非常に長い間続いています」と、ESETのマルウェア研究者セバスチャン・デュケット氏は火曜日のブログ投稿で述べています。「私たちのデータによると、Blackholeインスタンスは少なくとも2011年2月から2年以上活動しています。」
Esetの調査は、わずか数週間で推定2万のApacheウェブサイトがDarkleechに感染したと報じたArsの4月の報道と一致している。ロサンゼルス・タイムズ、シーゲイト、その他の評判の良い企業が運営するサイトも被害に遭った。Arsと同様に、Esetは、このWebマルウェアがエンドユーザーに表示されるページに悪意のあるリンクを挿入するタイミングを決定するために詳細な一連の条件を採用していることを発見した。とりわけ、Esetは、ユーザーが攻撃を受けるのは、ブラウザーがMicrosoftのInternet ExplorerブラウザーまたはOracleのJavaプラグインを使用していると報告した場合のみであると述べている。Esetの調査結果は、マルウェア攻撃の大部分がハッキングされた正当なサイトから発生したことを示すGoogleの最近の数字とも一致している。
選ばれた少数
Darkleechは、セキュリティ企業やホスティング企業のIPアドレスを使用している訪問者、最近攻撃を受けたばかりのユーザー、特定の検索クエリからハッキングされたページにアクセスしていないユーザーも無視することが知られています。Darkleechの開発者は、潜在的な被害者を非常に厳選することで、セキュリティ対策担当者による攻撃の解明と感染のブロックを困難にしています。選択された訪問者には、侵害された正規サイトのWebページ内に、HTMLベースのiframeタグが表示されます。このiframeは、攻撃者が管理する悪意のあるサイトのコードを悪用します。
Linux/Charpoyとも呼ばれるDarkleechは、感染した被害者の地理的地域に合わせてエクスプロイトをカスタマイズすることも可能です。例えば、米国在住の訪問者を感染させるランサムウェアはFBIからの発信を装い、他の国の人々を狙うランサムウェアはそれに応じてカスタマイズされます。
ダークリーチの感染の流れ。
Darkleechの感染フロー。クレジット:Eset
10月、Darkleechは改良され、悪意のあるiframe内のURLの形式が変更され、検出が困難になりました。Darkleechは4つの異なるテキスト文字列を復号化し、暗号ハッシュを計算して、訪問者にiframeを表示するかどうかを判断します。攻撃サイトにつながるランダムに生成されたリンクは、末尾に「q.php」という特徴的な文字列が付く以外は、悪意のあるリンクとして検出するのが極めて困難です。
これまでの調査と同様に、研究者たちはDarkleechモジュールが感染したサイトを最初に掌握する方法をまだ解明していません。管理者がサイトのリモート管理に使用しているCPanelやPleskツールの未公開の脆弱性を悪用してサーバーが侵害されるのではないかという憶測が浮上していますが、この説を裏付ける確固たる証拠はありません。研究者たちはまた、管理者パスワードのクラッキングや、Linux、Apache、その他の一般的に使用されているソフトウェアのセキュリティ上の欠陥の悪用によってサイトが乗っ取られる可能性もあると考えています。Esetのセキュリティインテリジェンスプログラムマネージャー、ピエール=マルク・ビューロー氏がArsに語ったところによると、Darkleechはiframeインジェクションとペイロード配信の特定の側面を処理するためにCPanelとPleskサーバーを部分的に使用していますが、その他の部分はApacheサーバー自体に依存しています。
通常、単一のサーバーには多数のウェブサイトがホストされているため、単一のIPアドレスに複数のドメイン名が関連付けられていることがよくあります。そのため、ESETの研究者は、ApacheベースのウェブサイトのうちDarkleechに感染しているウェブサイトの数を正確に特定できません。ESETによると、その数は推定4万件よりも「おそらく少ない」とのことです。
Esetの報告書は、セキュリティ企業Sucuriの研究者がApacheサーバーに感染する新たな悪意あるモジュールを発見してから2週間後に発表されました。このプラグインがDarkleechのよりステルス性の高い新バージョンなのか、それともライバルの犯罪グループが開発した全く別のツールなのかは、まだ定かではありません。研究者たちはここ数ヶ月で、ウェブサイト訪問者を攻撃にさらす3つ目のマルウェアを発見しました。Linux/Cdorkedと呼ばれるこのマルウェアは、Apache、nginx、LighttpdのWebサーバーで稼働しているサイトを標的としており、5月時点でEsetソフトウェアを使用しているエンドユーザーだけで約10万人が攻撃にさらされていました。
Webサーバーのハッキングを防げるのはあなただけ
主要なWebサーバーを標的とする脅威が数多く確認されているため、管理者は適切なセキュリティ対策を講じてシステムをロックダウンする必要があります。まず、すべてのデフォルトパスワードを、長くランダムに生成されたパスワードに変更することが重要です。また、オペレーティングシステムやアプリケーションを含むすべてのソフトウェアコンポーネントが最新の状態であることを確認することも重要です。ウェブサイトセキュリティスキャナを定期的に使用し、WebサーバーのHTTPデーモンの暗号ハッシュが改ざんされていないことを確認することも重要です。
リスト画像: Eset
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
47件のコメント
