Video Screencast Help
Security Response

Trojan.Milicenso: .htaccess リダイレクトによる感染手法

Created: 05 Jul 2012 08:26:31 GMT • Translations available: English
Kaoru Hayashi's picture
0 0 Votes
Login to vote

Trojan.Milicenso(別名「Printer Bomb(プリンタ爆弾)」)に関する調査をさらに進めていくうちに、このマルウェアは一種の .htaccess リダイレクトによる Web 攻撃によってダウンロードされること、そして犯行グループによって 4,000 以上の Web サイトが感染したことが判明しました。
 

.htaccess ファイルを利用したリダイレクト

.htaccess ファイルは、Web サーバーで使われる設定ファイルのひとつです。Web 管理者がネットワークトラフィックを制御するために、たとえば特定の Web ページへのアクセスを制限したり、モバイルデバイスからのアクセスを特定のサイトにリダイレクトしたりする目的で利用できます。正規の Web サイトへのネットワークトラフィックを監視するために、攻撃者(と一部の悪用ツールキット)は、脆弱な Web サーバーに侵入して .htaccess ファイルを書き換えます。

.htaccess リダイレクトによる感染フローを次の図に示します。

図 1. 感染フロー

  1. ユーザーが Web サイトへのリンクをクリックすると、Web ブラウザは感染した Web サイトにアクセスします。
  2. 次に Web サーバーは、.htaccess ファイルに基づいてアクセスを悪質な Web サイトにリダイレクトします。
  3. 悪質なサイトが、特定の脆弱性を悪用して、感染したコンピュータに後続の脅威をダウンロードします。

手順 2. で発生するリダイレクトは通常認識されないので、ブラウザの裏でいったい何が起きているのかユーザーにはわかりません。
 

問題の .htaccess ファイル

次の画像は、悪質な .htaccess ファイルの中身です。攻撃者は、ファイルの先頭と末尾に 800 行以上の空行を挿入して、ネットワーク管理者の注意を引かないようにしています。

図 2. 書き換えられた .htaccess ファイルの中身

この設定は、外部のユーザーや研究者によって感染が露呈しないように、細心の注意を払って作成されています。感染した Web サイトへのアクセスが悪質な Web サイトにリダイレクトされるのは、以下の条件がすべて満たされた場合に限られます。

  1. その Web サイトにアクセスするのが初めてであること。
    補足: 最初のアクセス以降、リダイレクトは起きません。
  2. Web サイトに、検索エンジンの検索結果、SNS、電子メールなどのリンクをクリックしてアクセスすること。
    補足: ブックマークから、またはブラウザのアドレスフィールドに URL を貼り付けて Web サイトにアクセスした場合、リダイレクトは起きません。
  3. 脅威が Windows プラットフォーム上で動作していること。
    補足: Windows 以外のプラットフォームでは、リダイレクトは起きません。
  4. 利用者の多い Web ブラウザを使っていること。
    補足: 一般的でない Web ブラウザや検索エンジンでは、リダイレクトは起きません。

攻撃者は、元の URL をリダイレクト要求に挿入することでトラフィックの発信元を追跡できます。

図 3. 悪質な Web サイトへのリダイレクトを起こす .htaccess ファイルでの設定
 

悪質な Web サイト

ログを調べた結果、犯行グループはこの .htaccess リダイレクトによる手口を少なくとも 2010 年から使い始めていることがわかりました。シマンテックで確認された悪質な Web サイトのうち、最新のリストの一部を以下に挙げます。

  • [ランダムなドメイン名].tedzstonz.com
  • [ランダムなドメイン名].tgpottery.com
  • [ランダムなドメイン名].yourcollegebody.com
  • [ランダムなドメイン名].tgpottery.com
  • [ランダムなドメイン名].beeracratic.com
  • [ランダムなドメイン名].buymeaprostitute.com
  • [ランダムなドメイン名].zoologistes-sansfrontiere.com
  • [ランダムなドメイン名].zoologistes-sansfrontiere.com
  • [ランダムなドメイン名].buymeaprostitute.com
  • [ランダムなドメイン名].wheredoesshework.com
  • [ランダムなドメイン名].wheredidiwork.com
  • [ランダムなドメイン名].jordanmcbain.com
  • [ランダムなドメイン名].bankersbuyersguide.net
  • [ランダムなドメイン名].findmeaprostitute.com
  • [ランダムなドメイン名].watchmoviesnchat.com
  • [ランダムなドメイン名].joincts.info

ドメインが遮断されたりブラックリストに登録されたりしないように、攻撃者はドメイン名を頻繁に変更します。2010 年と 2011 年には数カ月ごとに新しいドメインに移行していましたが、2012 年になると、ほぼ毎日ドメインを変更しています。
 

感染した Web サイト

過去 3 日間だけで、重複を数えず約 4,000 の Web サイトが感染しており、悪質な Web サイトにリダイレクトすることが確認されました。感染した Web サイトのほとんどは、個人または中小規模企業の Web サイトですが、政府機関や通信業者、金融サービスの Web サイトも感染していました。

図 4. トップレベルドメイン(TLD)別の感染サイト

上の図は、感染した Web サイトを TLD 別に示したものです。他の脅威と同様に、感染が確認されたドメインの大半は .com で、.org と .net がそれに続きます。リストには全世界 90 以上の国または地域が挙がっていますが、感染したサイトの大部分はヨーロッパと中南米に集中しています。これは、以前のブログ記事で詳しく取り上げた Trojan.Milicenso の感染パターンと同じです。
 

対処方法

Web 管理者の場合
シマンテックのウイルス対策製品は、悪質な .htaccess ファイルを Trojan.Malhtaccess として検出します。悪質な .htaccess ファイルを削除し、感染していないことがはっきりしているバックアップファイルに置き換えてから、CMS を含む Web アプリケーションとオペレーティングシステムすべてにパッチを適用してください。

ユーザーの場合
以前のブログ記事で挙げたウイルス対策のシグネチャのほか、シマンテックは新しい IPS シグネチャとして 25799: Web Attack: Malicious Executable Download 6 を作成しました。これにより、悪質なリダイレクトから保護されます。

最近の ISTR でも報告されているように、Web ベースの攻撃は依然として活発な感染経路であり、攻撃者は執拗にその悪用を続けています。シマンテックは、こうした悪質な活動を監視しており、引き続きお客様を脅威から保護します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。