Gumblar (ガンブラー) ?Web 攻撃を解説

一般的に「ガンブラー」と言われているものは、「ドライブバイダウンロード」と言われる攻撃者が用意した Webサイトにユーザーを自動的に誘導し、悪質なマルウェアをダウンロードさせる攻撃手法で、元々転送される URL「gumblar.cn」というサイトであったところから付いた名称です。最近の報道において「ガンブラー」をウイルスやマルウェアの一種と混同したものが見られますが、2009年末から2010年の初めにかけて一部の企業のホームページを改ざんした攻撃は、昨年5月に一部騒ぎになりました「ガンブラー」との関係性は低いと見ています。今回の攻撃の転送先が異なること、ガンブラーというものがマルウェアの名前ではないことをここでご理解ください。

 

gumblar0114.jpg


今回の攻撃は、転送先の URL を頻繁に攻撃者の方で変更することや、それに伴いユーザー側に実行される攻撃コードやダウンロードされるマルウェアが多種におよぶ可能性があり、すべての攻撃が同じ URL や同じマルウェアをダウンロードしている訳ではないことに難しさがあります。

Security Response Blog(英語)にて掲載された本件に関する記事(英語)をご紹介します。

 

 

/*LGPL*/ で始まる新しい難読化コードが出現


2009年12月より、Web サイトに不正な JavaScript が貼り付けられ、Webサイトが改ざんされるという被害が相次いでいます。このスクリプトには 2 種類あり、それぞれ以下のような記述で始まります。

 Gumbler01.png


ところが今回、これとは異なる新しいバージョンが見つかりました。以前、"/*GNU GPL*/" で始まるスクリプトで改ざんされていたサイトの 1 つが、最近になって "/*LGPL*/" で始まるスクリプトに書き換えられていることが確認されました。

難読化されたこのスクリプトの開始部分は、次のような記述となっています。

 Gumbler02.png

難読化を解除したあとに出てくるURLは下記のようなものです。

hxxp://free-fr.rapidshare.com.hotlinkimage-com.thechocolateweb.ru:8080/51job.com/51job.com/redtube.com/gittigidiyor.com/google.com/

良く知られているドメイン名をURLに使うことによって、攻撃者は保護メカニズムを迂回しようとしていることが読み取れます。上記の例では実際のドメイン名はthechocolateweb.ruに帰結し、他に表示されている様々なURLは関係しません。

ペイロード自体は昨年の攻撃からそれほど変化していません。ユーザーが改ざんされたサイトにアクセスすると、不正な JavaScript によって別の JavaScript がロードされます。この 2 番目の JavaScript は、2 つのリンクを含む iframe ページを開きます。1 つは Trojan.Pidief.H または Bloodhound.Exploit.288 として検出される不正な PDF ファイルへのリンクで(どちらに検出されるかはアクセスする URL によって異なります)、もう 1 つは Downloader として検出される不正な JAR(Java ARchive)ファイルへのリンクです。

これら 2 つのファイルは、以下の脆弱性を利用してコンピュータへのマルウェア感染を試みます。


 

なお、BID 37331 のパッチは 1 月 12 日の提供予定となっているため、それまでは Adobe Reader の JavaScript を無効にしておいた方がよいかもしれません。

最終的なペイロードには、Trojan.BredolabTrojan.Zbot などのマルウェアをはじめ、PrivacyCenter などのセキュリティリスク、およびその他多数のミスリーディングアプリケーション(Trojan.FakeAV などとして検出)が含まれます。ウイルス定義ファイルは頻繁に更新されているので、常に最新の状態に保つよう注意してください。

また、シマンテックではこの新しい不正な JavaScript をはじめ、同様のコードを含むスクリプトを汎用的に検出するウイルス定義「Trojan.Malscript.B」をリリースしました。

この記事の執筆には、林 薫 氏の解析を参考にさせていただきました。

2010年02月15日 15:17
にcomm_managerにより編集されたメッセージ