Symantec Security Response Weblog
Fragus Exploit Kit Changes the Business Model」より
November 4,2009 Posted by Peter Coogan

 当社(米シマンテック)のセキュリティ監視網に数カ月前,「Fragus」というエクスプロイト・ツールキットが引っかかった。当社が調査したところ,その後Fragusは着実に勢力を拡大し,現時点で最も使われているエクスプロイト・パックの一つになったと見られる。「Unique Pack」や「YES Exploit System」,「Eleonore」,「Liberty」といったほかのツールキットと似ている点はあるが,興味深い新機能を装備していた。エクスプロイト・ツールキットの目的は一般的に,「複数のエクスプロイトをWebサイトで一括配信し,不用心なユーザーのWebブラウザを攻撃する」機能を提供することだ。使いやすいGUIを備えるWebサーバーでホスティングされており,多くの場合,攻撃者が実行したいエクスプロイトを選べるようになっている。エクスプロイトの動作が成功すると,最終的にペイロードを攻撃目標のシステムに送り込む。これらの機能はすべて操作画面から利用できて,攻撃キャンペーンの達成度を確認できる立派なステータス画面もある。

 Fragusの作者はこうした定石をきちんと踏襲したうえで,悪事と無関係な英ionCubeのコード保護ツール「PHP Encoder」で自分のコードを守るようにした。ionCube PHP Encoderを採用したことで,作者はコードを守ると同時に,エクスプロイト・ツールキットの使い方を管理したり,エクスプロイト・ツールキットを収入源として維持したりできる。Fragusの価格は800ドルと決して安くないものの,従来のエクスプロイト・ツールキットと同じ販売方法では,販売時に売り上げが得られるだけで,作者がある種のアップデート版をリリースしない限り収入は途絶えてしまう。それどころか最悪の場合,誰でも無料ダウンロード可能な状態にされてしまうこともある。ionCube PHP Encoderを使うと,以下のような制限を対象ファイルに設けられる。

・実行可能なIPアドレスとサーバー名の両方もしくは片方を指定する:

 この制限により,作者はFragusを販売する際,実行用のIPアドレスやドメイン名とFragusをひも付けできる。その結果,購入者が後からFragusを動かすシステムのIPアドレスやドメイン名を変えたくなると,改めて作者や仲介業者にFragusをアップデートしてもらう必要が生じる。

・特定の日やある一定期間後に使用期限が切れるファイルを作る:

 この制限により,作者はFragusを期限付きで貸し出せるようになる。ファイルの使用期限が過ぎると,それ以降Fragusは使えない。使い続けたい購入者は,Fragusを購入し直すかアップデートするかしなければならない。

 当社の調査によると,「Vertigoinvasion.com」というドメインでホスティングされているFragusは,この制限機能を両方とも使っていた。どうやらこのWebサイトは,2009年9月から10月にかけてFragusを借りて使っていたようだ。我々は,このWebサイトから実行された二つの攻撃キャンペーンのステータス・ページを見つけた。これらの攻撃は,それぞれドイツとスペインを標的にしていたようだ。いずれの攻撃も,シマンテックは最終的なペイロードを「Infostealer.Banker.C」として検出する。これは,当社が「Zeus」に対して付けた名称である(関連記事:トロイの木馬作成ツール「Zeus」,アングラ犯罪ソフト・ツールキット界の王者)。以下(図2と図3)にステータス・ページを掲載した。このデータから,合計5万台以上のシステムがこのFragusホスティング・サイトにアクセスし,1万6700台以上が被害を受けたことが読み取れる。

 エクスプロイト・ツールキットFragusには,英語版とロシア語版がある。最後に,このFragusの特徴をもう一つ紹介して当記事を終えよう。Fragusには攻撃用Webサイトへ配備するiframeを暗号化するユーティリティが付属しているのだ。

 シマンテックでは,ウイルス対策ソフトと侵入防止システム(ISP)でFragusによるエクスプロイト悪用を未然に防いだ。当社製ISPは,Fragusのエクスプロイト・パックを「HTTP Fragus Toolkit Activity」または「HTTP Fragus Toolkit Java Class Activity」として検出する。

 なお,今回の調査と記事執筆に協力してくれたCathal Mullaney氏に感謝する。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Fragus Exploit Kit Changes the Business Model」でお読みいただけます。