マルウエアの「Gumblar」が戻ってきた。しかも,Webブラウザや「Microsoft Office」,米アドビ・システムズの各種製品に対する感染力を高めている。
米IBMインターネット・セキュリティ・システムズ(ISS)のマネージド・セキュリティ・サービス部門は,悪質なPDFファイルが全世界で急増していることに気付いた。しかも,Adobe Readerを狙った最近の遠隔コード実行攻撃と同じシグネチャで,今回の攻撃の大半を検出できるのだ。検出数の推移を以下のグラフで示そう。
検出数は(記事執筆時の)2009年10月19日に1000件を超えた。これは,普段のこうした悪質なPDFファイルの検出数の5倍近くに当たる。我々が過去に観測した同種の攻撃に比べても2倍近い数で,激しい活動と言える。
調査したところ,この攻撃用PDFファイルをホスティングしているのは,悪事とは無関係な個人所有/運営のWebサイトであるとほぼ断定できた。これらのWebサイトはすべてマルウエアに感染しており,数え切れないほど多くの標的に攻撃用ペイロードを無差別配信している。
以前のGumblarは,Webサイトに感染する際,不正取得したFTPのログイン情報を利用していた。現時点で我々は,感染手段に変化はないと見ている。こうしたWebサイトにアクセスして感染したユーザーは,知らない間にFTP用のログイン情報を奪われ,感染可能なWebサイトの情報をGumblarのコントローラに渡してしまう。
以前と今回の攻撃は何が違うのだろうか。かつてのGumblarは,遠隔サーバーで攻撃用のスクリプトとペイロードをホスティングしていた。Webサイトにiframeコードを挿入し,アクセスしてきたユーザーを攻撃用サーバー(gumblar.cn)へリダイレクトした。ところが今回は,攻撃用スクリプト/ペイロードは遠隔サーバーでなく,感染したWebサイトにそのまま置かれている。そのため,本来は世界中にある数千もの本来は無害なWebサイトを悪用し,攻撃源を分散/冗長化できるのだ。
攻撃用スクリプトは,感染するWebサイトのファイル構成にうまく合わせてアップロードされる。厳重な難読化で既存セキュリティ対策からの回避も図っている。
以下は,難読化された攻撃用スクリプトの一部だ。
感染用の攻撃手段は一部だけ変わっていた。現在のところ,以下に挙げた手段の悪用が判明している。
・PDFエクスプロイト
・Adobe Flash(我々は,以前Gumblarが同じFlashエクスプロイトを使っていたことを確認している)
・Microsoft Office Web Components
いずれの攻撃もごく最近のもので,攻撃用スクリプトを全世界に広めるためのクライアントに効率よく感染できる。オンライン・セキュリティ検査サービス「VirusTotal」によると,この新しいGumblarの分析はあまり進んでいない。
最良の対策は,侵入防御/検知システム(IPS/IDS)の保護機能を利用することだ。さらに,攻撃の影響を受けるアプリケーションに最新の修正パッチを適用していないなら,忘れずに適用しよう。
Gumblarを避けて通ることはできないし,今回の新たな攻撃はこれが現実であることの証拠なのだ。我々はいつも通り,活動状況やその変化の最新情報を知らせられるよう努力する。
変更履歴:
2009年10月20日:検出数グラフに10月19日までのデータを反映
Copyrights (C) 2009 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,Gumblar Reloadedでお読みいただけます。
