攻撃手法が複雑化するGumblar、以前の感染サイトが再度改ざん


 セキュアブレインは18日、2009年6月に大規模なWebサイトの改ざんをもたらした「Gumblar(ガンブラー)」ウイルスによる被害が急増しているとして注意喚起した。同社は、Gumblarウイルスが新たな攻撃手法を用いていることから被害が増えているとしている。

 新たな攻撃手法は、以前にGumblarウイルスによる改ざん被害を受けた3分の1以上のサイトが、再度改ざんされているという。具体的には、Gumblarによって収集されたFTPサーバーのID・パスワードを変更していないサイトが標的となっている。

 新たな攻撃手法で改ざんされたWebサイトは、1)悪意のあるスクリプトファイルがアップロードされる、2)スクリプトファイルを自動的にダウンロードおよび実行するコードが挿入される、という2種類に分けられるという。

 1)については、WebサイトのHTMLコードが改ざんされず、Webサーバー上に不正なスクリプトファイルがアップロードされる。スクリプトは「shopping_cart.php」などの名称が付けられているため、ファイル名からはウイルスかどうか判断できないという。

 また、不正なスクリプトは難読化されていることから、その詳細を理解することが困難であると指摘。このスクリプトが置かれているディレクトリに「/s」などのようなサブディレクトリを作成し、複数のファイルを作成していることも確認したという。

 2)については、直接HTMLの内容が改ざんされている。改ざんされたサイトをユーザーが閲覧すると、1)でアップロードされた不正なスクリプトを自動的にダウンロードおよび実行させる。なお、ここで改ざんされたHTMLコードは、難読化されていないとしている。

 以前のGumblarによる大規模なサイト改ざんでは、悪意のあるスクリプトのアップロード先が悪意のあるWebサイトだったが、新たな攻撃手法では、以前Gumblar被害に遭った一般的なサイトとなっているため、ブラックリストによる検知が難しいという。

新たな攻撃手法のイメージ図

関連情報

(増田 覚)

2009/11/18 17:13