Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

拡大する BlackHole の猛威

Created: 05 Mar 2011 08:30:08 GMT • Translations available: English
Hardik Suri's picture
0 0 Votes
Login to vote

BlackHole 悪用ツールキットを使用している攻撃者によって、大量埋め込みキャンペーンが開始されています。これは、大量のトラフィックが流れ込む多数の Web サイトに侵入し、ユーザーを BlackHole サーバーにリダイレクトする iframe を埋め込むというものです。感染した Web サイトの数は、クライムウェアの世界におけるこのツールキットの人気の高さを物語っています。侵入された Web サイトには、アフリカで評判の良いニュース Web サイト、技術者の間で人気の Web サイト、海外の大学の公式 Web サイトなどがあります。次の図は、被害にあったすべての Web サイトに埋め込まれていた共通の iframe を示します。

このスクリプトは、Date クラスから取得した「getSeconds();」値によってデコードされます。次の図は、デコードされた iframe を示します。

 
iframe はユーザーを悪質なサイトにリダイレクトします。そのサイトには、次の不明瞭化されたコードが含まれています。

 
不明瞭化されたコードは、多数のよく知られたセキュリティ上の弱点にデコードされます。悪用された弱点の一覧は次のとおりです。

CVE-2010-1885: Help Center URL Validation Vulnerability(ヘルプセンターの URL 検証の脆弱性)

 
CVE-2006-0003: Microsoft MDAC RDS.Dataspace ActiveX Control Remote Code Execution Vulnerability(Microsoft MDAC RDS.Dataspace の ActiveX コントロールにリモートコード実行の脆弱性)


 
CVE-2009-1671: Sun Java Runtime Environment ActiveX Control Remote Buffer Overflow Vulnerability(Sun Java Runtime Environment の ActiveX コントロールにリモートバッファオーバーフローの脆弱性)


 
次のコードは、インストールされている Adobe Acrobat のバージョンを調べ、それに応じて悪質な PDF を提供します。

次の図は、PDF がダウンロードされた後に、その内部に含まれている不明瞭化されたコンテンツを示します。

デコードされたスクリプトには、3 件の PDF の脆弱性が存在します。

CVE-2008-2992: Adobe Reader 'util.printf()' JavaScript Function Stack Buffer Overflow Vulnerability(Adobe Reader に 'util.printf()' JavaScript 関数のスタックバッファオーバーフローの脆弱性)


 
CVE-2009-0927: Adobe Reader Collab 'getIcon()' JavaScript Method Remote Code Execution Vulnerability(Adobe Reader に Collab 'getIcon()' JavaScript メソッドのリモートコード実行の脆弱性)


 
CVE-2009-4324: Adobe Reader  'newplayer()' JavaScript Method Remote Code Execution Vulnerability(Adobe Reader に 'newplayer()' JavaScript メソッドのリモートコード実行の脆弱性)


 
シマンテック製品をお使いのお客様はこの攻撃から保護されていますので、ご安心ください。シマンテックでは、すべてのセキュリティパッチと定義ファイルを定期的にインストールすることを強く推奨しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。