共同執筆者: Peter Coogan
2012 年の初め、バージョン 10.3 またはそれ以前の Parallels Plesk Panel に存在する可能性がある脆弱性を修正し、Web サイトコントロールパネルである同製品への不正アクセスを防ぐためのパッチが公開されました。このとき懸念された脆弱性はすでにパッチ対応されたと考えられていますが、この修正を実際に適用した管理者がすでに侵入の被害に遭い、ログイン情報を盗み出されています。10.3 またはそれ以前の Parallels Plesk Panel を使用している管理者は、最新のパッチを適用したうえで、この脆弱性が原因で漏えいしたおそれのあるログイン情報を必ず変更するようにしてください。詳しくは、「Parallels Plesk Panel のセキュリティ向上のために: 脅威を回避するためのベストプラクティス」をお読みください。
報告によれば、侵入を受けると極端に不明瞭化された JavaScript がサーバーの HTML ページにインジェクトされます。コードが評価されて不明瞭化も解除されると、危殆化した Web ページにアクセスがあるたびに、以下の図のようなコードスニペットを使って独自の iframe が生成されます。このときインジェクトされるコードは、Blackhole 悪用ツールキットに関する以前のブログ記事で紹介されたコードに類似しています。シマンテック製品をお使いのお客さまであれば、侵入を受けてコードをインジェクトされた Web ページにアクセスしても、「Web Attack: Blackhole Toolkit Website 10」を含む IPS シグネチャによって保護されます。
この画像からもわかるように、生成されるすべての iframe には 'runforestrun' という文字列が共通して存在します。
生成された iframe のドメインの例
シマンテックの 2012 年 7 月の遠隔測定だけでも、Blackhole 悪用ツールキットへと誘導されるこの文字列を含む URL からユーザーが保護された件数は、重複を含まずに 68,000 件を超えています。次の分布図から、検出の件数が最も多いのは米国であることがわかります。
2012 年合計の遠隔測定データでは、シマンテックで検出された iframe につながる照会 URL に対し、重複を含まずに 171,000 以上の IP も確認されています。これらの IP アドレスに関係するサーバーがすべて危殆化して 'runforestrun' iframe の生成に荷担しているとは断定できませんが、この攻撃の相対的な規模と成果は見当がつくでしょう。次の分布図を見ると、照会 URL の IP も大部分が米国内にホストされていることがわかります。
インジェクトされる iframe には一時期、多くのサイトへのリンクが設定され、最終的なペイロードである Downloader.Parshell(ハードコードされた URL を含み、無防備なユーザーのコンピュータに追加のマルウェアをダウンロードします)を配布するために、そのリンク先からリダイレクトと転送が行われていました。追加でダウンロードされるマルウェアとしては、Trojan.FakeAV と Trojan.Maljava があります。この Downloader の新しい亜種に対する防御策も、Downloader.Parshell!gen1 として公開されています。
シマンテックのネットワークベースの保護技術をお使いのお客様は、Blackhole 悪用ツールキットの攻撃を未然に防ぐことができます。Web サイトにアクセスしてコンピュータが感染した疑いがある場合には、シマンテックから無償で公開されているノートン パワーイレイサーをダウンロードし、感染があれば除去することが可能です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。