エクスプロイトキットBlackholeの作者逮捕 サイト閲覧でウイルス感染する裏方

ロシア製のエクスプロイトキット
 
 Blackhole Exploit Kit
(ブラックホール エクスプロイトキット)
 
の開発者「Paunch」とされる男性と、そのパートナーが逮捕されたそうな。 イメージ 1<宇宙は関係ない

画像検索すると、ウイルス攻撃者側が Blackhole Exploit Kit を管理する統計画面の暴露画像たくさん。 イメージ 2
エクスプロイトキットは、主にWindowsパソコンをターゲットにウイルスを配信したい時に使われるもので、サイトの閲覧でウイルス感染(ドライブバイ・ダウンロード攻撃)となったユーザーに、ブラウザ内部で読み込まされてるWebアプリです。

http://i39.tinypic.com/1tamo4.png
Blackhole は検知上位の常連 (IBM Tokyo SOCのレポートから引用)

ユーザーの意思関係なく問答無用でウイルスを強制的に送り込んで起動させるため、Blackhole Exploit Kit で悪用される既知の脆弱性は4系統。。。

    Java
  1. Adobe Reader
    Adobe Flash Player ← 最近は処理ない?
    ● Microsoft系(Internet Explorerなど) Windows Update

この中で、Javaの旧バージョンに存在する脆弱性を悪用するために降ってくるJARファイルの更新がストップしてるそうで、現物をゲットしてきて確認してみると…

http://i41.tinypic.com/2dr5bnb.png
Java 7 旧バージョン向けのファイル、タイムスタンプが先週

hxxps://www.virustotal.com/ja/file/be3f2b092535b9dcd77b91daba7af3d6a86f28470cdae52b2fb1878fcc4e05e7/analysis/1380803575/

後を追うセキュリティソフトに検出されない状態をなるたけ維持するため、以前は1~2日の間隔で更新してたとのこと。

セキュリティ会社F-Secureの中の人によると、検知数にも大きな変化があったそうな。 (Cool Exploit Kit は Blackhole の上位バージョン