ここから本文です

エクスプロイトキット戦国時代! 新興ツールが急速な進化を見せる

6/20(火) 13:45配信

THE ZERO/ONE

最近「Terror」と呼ばれるエクスプロイトキットに修正が加えられた。その結果、多数のエクスプロイトで同時に被害者に無差別攻撃を行うのではなく、ターゲットが抱える特定の脆弱性を狙うようになったと、Talosの研究者が発見した。

以前、Security AffairsではSteganoエクスプロイトキットの新たな改善点について記事を公開した。今回はフィンガープリント機能を実装するようになったTerrorエクスプロイトキットについて取り上げる。

Terrorエクスプロイトキットが初めて脅威認識されたのは2017年1月。4月には、研究者がそのエクスプロイトキットを活用したハッキングキャンペーンの大幅な増加を観測した。

セキュリティベンダーであるMalwareBytesの専門家は、Sundownエクスプロイトキットとの類似点からこれは単にSundownの新しい亜種だと考えていた。しかし詳細調査によって、それは全く別の攻撃者によるもの(TrustwaveがTerrorエクスプロイトキットと名付けた)だということが明らかになった。

オンライン名が@666_KingCobraというハッカーが様々な地下フォーラムでTerrorを宣伝しており、別の名前(Blaze、Neptune、Eris)でそれを販売している。

Malwarebytes Labsの専門家らは、Terrorがインターネットエクスプローラー、Flash、Silverlightの脆弱性を悪用して、Smoke Loaderを配布するための悪意ある広告(マルバタイジング)のキャンペーンに使用されていたと報告している。

Terrorはまた、Andromedaマルウェアを配布するキャンペーンにも関係しており、別のランディングページ(被害者が誘導される、攻撃の起点となるページ)も使用していた。
感染したウェブサイトは、サーバーの302リダイレクト呼び出しを介してエクスプロイトキットのランディングページにリダイレクトするために使用されており、スクリプトインジェクションによって実行されていた。

これまでは、同時に多数のエクスプロイトを使用して被害者を無差別攻撃する強力なエクスプロイトキットが観測されていた。しかしTalosグループの専門家は現在、エクスプロイトキットの明確な戦略の変更を目の当たりにしている。今回のニュースは、Terrorエクスプロイトキットが新たなエクスプロイトとフィンガープリント機能を実装して改善されたことだ。これらの最新の機能によって、Terrorは標的のシステムを感染させるためにどのエクスプロイトを使うかを決定することができる。

Terrorエクスプロイトキットの新しい亜種は、被害者のPCで動作するOS、ブラウザーバージョン、インストールされているセキュリティパッチやプラグインを特定することができる。研究者がInternet Explorer 11やInternet Explorer 8といった別のブラウザーからサイトにアクセスした際には別のファイルが送られてきた。

Talosのマルウェア研究者は、マルウェアのゲートとして動作する、侵入された可能性のある正当なウェブサイトを特定した。そのウェブサイトは初め、RIGエクスプロイトキットのランディングページへ訪問者をリダイレクトするのに使用されていたが、1日後にはそのゲートはTerror Exploit Kitに切り替った。

「Terrorは進化し続けているようだ。このキャンペーンではさらなるエクスプロイトが追加され、もはや被害者を無差別に攻撃することはない。その代わりに、被害者の環境に関するデータを評価してから、被害者のオペレーティングシステムやパッチのレベル、ブラウザーのバージョン、インストールされたプラグインによって成功しやすいエクスプロイトを採用する。これによって、どのエクスプロイトがあるのかを調査者が完全に解明するのは難しくなる」とTalosが公開した解析レポートで説明されている。

興味深いことに、犯人は自分たちが悪用しようとしている脆弱性に平文のURLパラメータを使用している(例えばURLの一部がcve20132551で、これはCVE2013-2551を意味する)。Talosの専門家が発見した侵入されたウェブサイトは、過去のキャンペーン同様にHTTPの302 Moved Temporarilyレスポンスを使ってTerror Exploit Kitのランディングページにユーザーをリダイレクトしていた。

「被害者のブラウザー環境を査定するために難読化されたJavascriptコードが使用されている。例えば、ActiveXやFlash、PDFリーダー、Java、Silverlight、QuickTimeなどのプラグインに関するバージョン情報を取得しようとする。それから、この機能の戻り値を使用して、『frm』という隠しフォームを送信するのだ」と解析レポートは続く。

またTerrorは、エクスプロイトのダウンロードにCookieベースの認証を使い、第三者がエクスプロイトにアクセスできないようにしていると研究者が発見した。このアプローチは、どこから、どのように被害者が感染したかを調査者に知られないようにするだけでなく、ライバルがエクスプロイトを盗むのを防ぐこともできる。

「エクスプロイトキット市場は変化し続けてきた。新しいキットが登場する一方、このマーケットでの大物が消えた。新たな参入者は継続的に質や技術を改善することで顧客のために努力している。彼らはセキュリティツールを回避する機能を改善するために、継続的にこれらの技術を修正している。これは、全てのシステムが最新であるということを確かめることがいかに大事かということを浮き彫りにしている」とTalosは結論づけている。
 
翻訳:編集部
原文:Experts discovered that the Terror Exploit Kit now includes fingerprinting capabilities
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

Security Affairs

最終更新:6/20(火) 13:45
THE ZERO/ONE