過去数カ月間、Web サーバーが改ざんされ、そこでホストしているすべての Web サイトに悪質なリダイレクト機能がインジェクトされるケースの増加が確認されています。このブログで以前にご報告した悪質な Apache モジュール(Linux.Chapro と Trojan.Apmod)もその一例でした。新たな例としては Linux.Cdorked があり、これについてはセキュリティ企業 ESET 社もブログ記事を掲載しています。
Linux.Cdorke の場合、悪質な Apache モジュールを設定リストに追加するのではなく、メインの httpd バイナリファイルを、改ざんしたバージョンに置き換えます。これにより、Linux.Cdorke は特殊な要求に反応し、応答を改ざんできるようになります。
http デーモンファイルを改ざんすることによって、昔ながらの逆接続シェルを通じて、または完全に共有メモリに格納されている設定を変更する特殊な HTTP 要求を通じて、制御が可能になります。要求文字列から解析されるコマンドトークンとしては、"DU"、"ST"、"T1"、"D1" など 23 種類が特定されています。これらのコマンドが共有メモリのセクションを改ざんし、ブラックリストやリダイレクト先アドレスを変更したり、その他の機能を実行したりします。Linux.Cdorke の最大の狙いは、すでに述べたように、ホストされているあらゆる Web サイトにアクセスしたユーザーを別のサイトにリダイレクトすることです。このリダイレクトで、悪用ツールキットが仕込まれているドライブバイダウンロードのサイトやスパムサイトに誘導し、トラフィックを生成することができます。ブラックリストへの登録をすり抜けるためにリダイレクト先の URL が頻繁に更新されることは、言うまでもありません。
リダイレクトが発生するのは、特定の条件が満たされた場合に限られます。つまり、アクセス元の IP アドレスがブラックリストに載っていないこと、URI が管理ページに関連する特定のキーワードに一致しないこと、ユーザーエージェントがブラックリストに載っていないこと、クライアントに以前リダイレクトしたときの cookie がないこと、という条件があります。管理者のローカル IP アドレスはブラックリストに載っている場合が多く、アクセス先の URI もブラックリストに載っているので、管理者は悪質なサイトにリダイレクトされません。この点でも、Web サイトの管理者が感染を突き止めるのは難しくなります。
図 1. 攻撃の特徴
この攻撃は、たとえば Web サイトのコンテンツ管理システム(CMS)に対する SQL インジェクション攻撃などを利用して悪質な iframe を静的な HTML Web サイトにインジェクトする通常の方法より、明らかに高度なものです。Web ページは処理中に改ざんされるので、ファイルが変更されていないかどうかを検証するために FTP 経由でサーバーにログインしても、改ざんがあったという証拠は得られません。そのレベルでは実際に改ざんは発生していないからであり、感染の痕跡を特定することは困難です。
しかも、この手口は何重にも巧妙になっています。サーバーにホストされている Web サイトはどれもデフォルトで感染しているためで、短時間で多数の被害者が出るおそれがあります。また、設定情報はすべて共有メモリセクションに保管されており、特殊なコマンド要求は Web サーバーのログにも残らないため、Linux.Cdorked はきわめて高いステルス性を備えています。そのため、感染しても長期にわたって見過ごされてしまう可能性があります。このタイプの攻撃は、今後も増えると予測されます。
攻撃者が、この Web サーバーにそもそも最初にどうやってアクセスできたのかという疑問に対しては、多くの答えが考えられます。これまでにも、cPanel や Plesk などの管理フレームワークの脆弱性を悪用することによってアクセスを許してしまった例がありました。もちろん、多くの場合に攻撃者が試すように、これらのパネルや SSH に対してパスワードの推測が実行された可能性もあります。いつものように、管理者はシステムを最新の状態に保ち、監視を続けるようにしてください。MD5 のハッシュ値をベンダーから提供されている正常なバイナリのリストと比較するか、または Debian プラットフォームであれば 'rpm-verify' などのコマンドを使って、Web サーバーのバイナリを検証することもお勧めします。ただし、攻撃者がサーバーにアクセスできることを忘れてはなりません。システムに残る痕跡すら改ざんされているかもしれないということです。
シマンテックは、このような悪質なリダイレクト攻撃からお客様を保護するために、IPS とウイルス対策の各種シグネチャを提供しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。