「Inside The Malicious Traffic Business」より
January 5,2009 Posted by Micha Pekrul
以前からWebでよく見られるソーシャル・エンジニアリングの手口として,「動画コーデックの不備」をかたったものがある。動画閲覧に必要なアプリケーションの不備を装い,リンクをクリックさせたり,実行可能ファイルをダウンロード/インストールさせたりするものだ(関連記事:狙われる“動画好き”ユーザー/Flash Playerに見せかけるウイルスサイト,おとり動画をちょい見せ)。以下のアニメーション画像はその一例である。一見したところ,Webページに埋め込まれた動画が再生不可となっているようだ。「再生するにはクリックしてください」との指示があるが,ここに罠(わな)が潜んでいる。本記事ではこのカラクリに迫ると同時に,現在のマルウエア・キャンペーンでどのようなトラフィック管理がなされているかを取り上げる。
上記アニメーション画像は,多くの会員を持つあるブログ・サービス上に存在し,不審なFlashサンプルにリンクされている。簡単に分析したところ,このFlashコンテンツは圧縮され,難読化されたJavaScriptコードを含んでいた。このコードの真の目的はアクセスを別の場所へリダイレクトすることだが,それを難読化によって隠している。
リダイレクト先は,いわゆる「トラフィック管理システム」だ。今回のケースの場合,当該URLを読み込むと最初の数回はあて先が変更される。さらに繰り返し読み込んである制限回数を超えると,常にGoogleのトップ・ページへリダイレクトされるようになる。このシステムは,訪問者のIPアドレスをサーバーに一定期間記憶する。この期間が経過するか,あるいは別のIPアドレスで当該URLにアクセスすると,再び同システムにリダイレクトされるようになる。
このリダイレクトは,よくあるHTTPの「302 Found(要求されたソースは一時的に別のURLに属する)」応答を利用しており,トラフィック管理システムがインストールされたサーバーの場所が示される。当ブログの別記事でも一例を取り上げたが,そのケースではGeo-Location(位置情報)も使われており,トロイの木馬(ダウンローダ)が当該システムと連携し,訪問者の国に応じて異なるマルウエア用バイナリをダウンロードさせるようになっていた。
上記のようなトラフィック管理システムは,現在はWebベースの管理インタフェースで設定を行う。通常,「受信トラフィック」のリンクは「http://www.example.com/in.cgi?three」や「http://www.example.com/in.cgi?default」のような形で表示される。この中の「three」あるいは「default」は,システムの“キャンペーンID”を表す。トラフィックに対する一般的なルールは,以下のようなものだ。
