検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

攻撃の進化: Darkleechから疑似Darkleechへ、そしてさらに

Darkleechから疑似Darkleechへ、そしてさらに

Brad Duncan 3 22, 2016 at 03:00 午後

※本記事は2016年3月22日に米国で掲載されたブログ記事の抄訳を基にしています。

 2015年にSucuriが2つのブログ記事を公開しました。1つは3月に公開したもので、WordPressサイトを標的とする 疑似Darkleech攻撃について解説しています。もう1つはその進化に関する同年12月のものです。この攻撃の侵害を受けたサイトでは何も知らないでいるユーザーがエクスプロイト キット(EK)にリダイレクトされました。Sucuriの記事は注入されたスクリプトにおけるパターンについて解説していますが、注入されたスクリプトはこの攻撃に関係があります。2015年12月以来、疑似Darkleechに対応付けられているパターンは進化をし続けています。本日の弊社のブログ記事ではこの変化について考察します。

 しかし、最近の進化の結果を見るまえに、EKが全体像の中でどのように溶け込んでいるのか理解しDarkleecの歴史について振り返ってみることにしましょう。

エクスプロイト キットへの経路

 EKは、何も知らないでいるユーザーをWebブラウジング中に感染させてしまうのを目的として犯罪者に利用されます。EKはEK専用のサーバ上で動作し、ユーザーのコンピューターに脆弱性があるか確認し、適合するエクスプロイトを送信します。このエクスプロイトはEKによって利用され、マルウェアを送信し、マルウェアをバックグラウンドで実行し、ユーザーのコンピューターに感染します。

 このマルウェアはEKのペイロードです。大多数のペイロードはMicrosoft Windowsが稼働しているコンピューターに感染するよう設計されています。この目的のために犯罪者は様々なEKを手に入れることができます。ここ数か月の間に目立ったEKにはAngler、Neutrino、Nuclear、Rigなどがあります。

 WebブラウザはどのようにしてこれらのEKサーバに振り向けられるのでしょうか。ユーザーはEKをわざわざ見たいわけではありませんから、犯罪者が秘密裏に経路を確立しているのに違いありません。この過程における第一歩はWebサイトを侵害することです。侵害されたWebサイトは正規のページですが、EKへのネットワーク接続を開始するスクリプトが潜んでいます。これがEKへの一番直接的な経路です。

 犯罪者は、侵害を受けたWebサイトとEKサーバとの間のゲートとして別のサーバを利用します。この経路に複数のゲートが見つかる場合もあります。しかし、見た目には、疑似Darkleechのトラフィックはゲートに依拠していません。弊社として言えるのは、ほとんどの場合、注入されたスクリプトがEKのランディング ページを直接指し示しているということです。

Darkleech登場

 Darkleechは、何千というApacheサーバに感染する、2012年に始まった攻撃の名前です。具体的には、Darkleechとは、ブラック マーケットで手に入るApacheモジュールでマルウェア配布に使われるもののことです。2013年では、多くの組織がDarkleechに関する報告をしました。当時、Darkleechに感染したサーバはBlackhole EKに通じていました。

 下記は、2012年7月および8月にDarkleecモジュールを実行中の、侵害を受けたWebサイトから採取した注入されたスクリプトの例です。
 

Pseudo Darkleech 1

図1: 2012年7月の注入されたスクリプトの例
 

Pseudo Darkleech 2

図2: 2012年8月の注入されたスクリプトの例
 

 注入されたスクリプトに関するパターンは、2013年全般で比較的変化がありませんでした。しかし変化が現れつつありました。2013年10月までに、ロシア当局が Blackhole EKを作成したとされるPaunchを逮捕しました。数か月間でBlackhole EKは舞台から姿を見せなくなりました。2014年のはじめまで、同じDarkleechパターンがNo-IP.comのドメイン(hopto.org、ddns.net、myftp.biz、serveftp.comなど)を指し示していました。このNo-IPドメインはEKへのゲートであるか、さもなければFiestaのようなEKを直接稼働させていました。

 

Pseudo Darkleech 3

図3: 2014年3月の注入されたスクリプト(Fiesta EKを指し示している)
 

Pseudo Darkleech 4

図4: 2014年11月の 注入されたスクリプト に関する新たな例
 

擬似Darkleechの出現

 2015年3月に、Sucuriは、2014年初期から挿入されたスクリプトに見られるこれらの新たなパターンを「擬似Darkleech」として特定するブログを公開しました。特に、挿入されたスクリプトが以前と同様に見える場合でも、なぜ「擬似」という言葉を使って、この活動を説明しているのでしょうか? 現在、挿入されたスクリプトは IIS サイトからも確認されているからです。以前は、Apacheサーバ上でしか気付かれませんでした。その年が進むにつれ、擬似Darkleechスクリプトは、CryptoWallと同様に、Angler EKをポイントし、ランサムウェアを配信していることが判明しました。
 

Pseudo Darkleech 5

図5: 2015年7月のAngler EKランディング ページをポイントする挿入されたスクリプト
 

 これらのパターンは、2015年9月下旬までは一貫したままでした。その後、擬似Darkleechにより挿入されたスクリプトは劇的に変わりました。スクリプトは、高度に難読化されました。以前のDarkleechパターンとは別物に見え、それが生成するURLを容易に判別することはできませんでした。

Pseudo Darkleech 6

図6: 2015年9月以降の挿入されたスクリプト
 

 2015年10月以降のこの挿入されたスクリプトの例が、分離され、Pastebinに投稿されました。Kahu SecurityのReveloというツールを使用すると、スクリプトが何を実行するかをすばやく確認できます。以下に示すように、スクリプトは URL へのアクセスを試み、その URL は Angler EK のパターンに一致しています。

Pseudo Darkleech 7

図7: Reveloを介して実行された2015年10月以降の挿入されたスクリプト
 

 その後2015年には、擬似Darkleechにより挿入されたスクリプトは、CryptoWallやTeslaCryptなどのランサムウェアを配信するときに、時折、Angler EKまたはNeutrino EKの間を切り替えるようになりました。2015年12月に、Sucuriは、これらの擬似Darkleechにより挿入されたスクリプトの最新の更新内容をカバーした新しいブログ投稿を公開しました。Sucuriは、挿入されたスクリプトの新しいパターンですら、サーバ側からみると、2015年3月に報告されたときと同じままであると報告しました。この活動は、引き続き擬似Darkleechでした。

最近の開発

 2015年9月以降、擬似Darkleechに関連付けられたパターンは進化しています。2016年2月上旬まで、変更はマイナーでした。当時、私たちは、挿入されたスクリプトに数字を含むサイズ変更可能なブロックが追加されたことを確認しました。

Pseudo Darkleech 8

図8: 2016年2月上旬以降、擬似Darkleechにより挿入されたスクリプトの開始部分
 

Pseudo Darkleech 9

図9: 2016年2月上旬以降、擬似Darkleechにより挿入されたスクリプトの終了部分
 

 そのとき以降、数字の大きなブロック内で数字を区切る文字が変更されてきました。たとえば、2016年2月24日には、区切り文字がスペースからカンマに切り替わりました。2016年2月29日までに、擬似Darkleechはセミコロンに切り替えました。2016年3月7日までに、アスタリスクが確認されました。2016年3月14日には、パターンがさらにもう一度変更されました。
 

Pseudo Darkleech 10

図10: 2016年3月7日以降、擬似Darkleechにより挿入されたスクリプトの開始部分

Pseudo Darkleech 11

図11: 2016年3月14日以降、擬似Darkleechにより挿入されたスクリプトの開始部分
 

結論

 2015年3月にSucuriによって初めて擬似Darkleechと呼ばれて以来、セキュリティ コミュニティのメンバーは、この活動を通じて侵害されたWebサイトを毎日のように検出してきました。元のDarkleechバナーでは、侵害されたサイトが数万件に及ぶことが2013年に報告されましたが、擬似Darkleechは、衰える気配なく猛攻を続けています。

 ここ数週間で、この活動では、Angler EKを使用して、特にTeslaCryptなどのランサムウェア ペイロードを配信しています。擬似Darkleechと関連付けられたAngler EKトラフィックは、依然として、持続型の進化し続けている脅威です。DarkleechとAnglerはどちらも、検出を避けるためにパターンを頻繁に変えています。パロアルトネットワークスのリサーチャーは、すでに、2016年1月の兆候を含め、Angler EKを調べ、綿密なレポートを公開しています。私たちは、継続して、擬似DarkleechとAngler EKに当てはまる兆候について調査し、コミュニティに通知し、脅威防御プラットフォームをさらに強化していきます。

セキュリティ侵害の兆候

 この活動を通じて侵害されたWebサイトのドメインとIPアドレスは、継続的に変更されています。以下は、分離されPastebinに投稿されている、擬似Darkleechにより挿入されたスクリプトの最近の例です。

·    2015-10-13 – http://pastebin.com/XCe7ZHz8

·    2015-12-16 – http://pastebin.com/DrUtXgxM

·    2016-02-05 – http://pastebin.com/Knz2bYR0

·    2016-02-24 – http://pastebin.com/K053dSti

·    2016-02-29 – http://pastebin.com/EcHHmu0p

·    2016-03-07 – http://pastebin.com/zmjRguGW

·    2016-03-14 – http://pastebin.com/QWb09vJJ


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2020 Palo Alto Networks, Inc. All rights reserved.