 |
August 8,2008 Posted by Lordian & Alia, Response Team
このところ何かと視線を集める中国は,特に北京オリンピック関連の話題が注目され,「中国」という単語は検索エンジンで人気キーワードになっている。そのため,マルウエアの作者も中国語のWebサイトに注目する。我々は,利用者の所在地が中国本土であるかどうかに関係なく,中国語Webサイトを狙い撃ちする興味深いSQLインジェクション攻撃に気づいた。
今回の攻撃はたいていのSQLインジェクション攻撃と同じく,正常なWebサイトにスクリプトを注入して汚染し,アクセスしてきたユーザーを攻撃用サイトへ誘導する。そのサイトでユーザーのパソコンに存在するセキュリティ・ホールを突き,攻撃用プログラムのダウンロードと実行を試みる。
図1●難読化されたスクリプト
[画像のクリックで拡大表示]
送られてきたサンプルの一つを材料に,難読化されたURLを詳しく調べたところ,汚染されたWebサイトに対するアクセスは「hxxp://vc??.cn」にリダイレクトされると判明した。リダイレクト先にある攻撃用Webサイトの存在は2008年4月に初めて報告されたが,現在もアクセス可能で,感染能力も健在だ。「pdh0??.cn」「iihao??.cn」「qqhao??.cn」「yyhao??.cn」「zzhao??.cn」など多くのミラー・サイトもあるが,いずれも非常に感染力の高いマルウエアを配信している二つのWebサイト「jzm0??.cn」「hby0??.cn」へユーザーを導く。
基本的に「vc??.cn」は中継地点として機能し,ユーザーの使っているWebブラウザの種類に応じてリダイレクト先を変える。ただし,どのWebサイトに誘導されても,最終的にパソコンは我々が「Trojan-GameThief.Win32.OnLineGames.snsq」と呼ぶパスワードを盗むトロイの木馬に感染する。
図2●感染後の状態
[画像のクリックで拡大表示]
このSQLインジェクション攻撃で興味深い点は,背後にいるマルウエア作者の悪用する多くのセキュリティ・ホールが,中国系Webサイトによく存在する点だ。つまり,攻撃の狙いは中国人(もしくは中国語を使う)ユーザーということになる。例えば,検索ツールバー関連の遠隔コード実行セキュリティ・ホール「Baidu Soba Remote Code Execute Vulnerability 」があるのは中国系Webサイトばかりだし,ActiveX関係のセキュリティ・ホール「Sina DLoader Class ActiveX Control 'DonwloadAndInstall' Method Arbitrary File Download Vulnerability」も同様だ。
中国系ユーザーを狙った攻撃だが,それ以外のユーザーも影響を受ける可能性がある。この攻撃用サイトでは,Flash Playerのオーバーフロー関連セキュリティ・ホール「Adobe Flash Player Integer overflow(CVE-2007-0071)」を悪用する特別なFlashファイルも配布しているからだ。問題のWebページを読み込むと,ユーザーのパソコンでメモリー・オーバーフローが起こされる。このFlashファイルは,オーバーフローに対処するパソコンの動作を逆手に取り,隠していたコードを実行する。Flash Playerのバージョンを攻撃対象となるものより上げない限り,パソコンは危険な状態のままである。
自分の身を守るには,パソコンに最新アップデートを漏れなく適用しているかどうか,セキュリティ検査サービス「F-Secure Health Check」で確認しよう。一番大切なのは,北京オリンピック関係の怪しいリンクをクリックしないことだ。
Copyrights (C) 2008 F-Secure Corporation. All rights reserved.
◆この記事は,エフ・セキュアの許可を得て,フィンランドのセキュリティ・ラボの研究員が執筆するブログWeblog:News from the Labの記事を抜粋して日本語化したものです。本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。オリジナルの記事は,「SQL Injection Attacks Targeting Chinese-oriented Sites」でお読みいただけます。
