ウイルス感染体験 PCに強制インストールされた! ドライブバイ・ダウンロード攻撃編
 
イメージ 1
 
{{{ 2015年9月 更新 }}}
 
Windowsパソコンがコンピュータウイルス・マルウェアに殺られてしまう経路・手口は主に2パターンありますかー。
 
【1】 不正なファイルをユーザーの意思でダブルクリックして起動し感染してしまった
 
【2】 ネットサーフィン中に不正なファイルが強制的にダウンロードされ感染してしまった
 
1番の場合は、ブラウザ、Skype、ダウンローダー支援ソフト、P2Pソフトとかでダウンロードしたファイルだったり、迷惑メールの添付ファイルUSBメモリ上のファイルもそうで、いずれもユーザーが手動で起動する流れがあります。
 
この記事のお題は2番の方で、セキュリティ用語だと「ドライブバイ・ダウンロード」と呼ばれる攻撃手法になります。
 
1番と違って、怖いのがいつに間にやら知らないうちにウイルス感染して気付かないこともあって、たとえばネットバンキングウイルスとかファイル暗号化ランサムウェアなんかがそのいい例です。

ウイルス感染経路は脆弱性の定番 4系統

この攻撃は、ご存知のユーザーさんいるやもしれんけど、下の4系統のバージョン管理状況がポイントになってて、{何も起こらない} or {ウイルス感染地獄へ落ちる} が決定されます。
  1. Java
  2. Adobe Reader
  3. Adobe Flash Player
  4. Windows Update (Windows OS、Internet ExplorerMicrosoft Silverlight、Windows Media Player、Micorosoft Office など)
2015年では、で示したのソフトの旧バージョン危険な脆弱性(読み方:ぜいじゃくせい)が確認されていて、実際にウイルス感染させる攻撃時によく狙われます。
 
ちなみに、2014年にマイクロソフトのサポートが終わった Windows XP は、Windows Update が使えないので、ユーザーがアクションを起こさない限り {ウイルス感染地獄へ落ちる} 路線に乗ってるワケね。

ウイルス感染体験 強制インストールされた!

今回のウイルス感染体験は、シミュレーションみたいな擬似的な仮想体験ではなく、「Adobe Flash Player」の更新をすっぽかし旧バージョンのまま放置してる危ない状況を想定したので、攻撃をまともに喰らってしまいした。
 
ウイルス感染した瞬間の↓スクリーンショット画像です。
 
イメージ 2
 
攻撃を受けることが分かってるので状況を可視化してるけど、リアルでは普通にネットサーフィンしてる途中にブラウザ内部で処理されるので、ユーザーは裏側で起こってるトンでも状態に気づかんワケです。
 
【ドライブバイ・ダウンロード攻撃の流れ】
 
(1)
http://www.×××××.com/wp-content/themes/realhomes/bqjdymxn.php?id=7960426 | GET 200 | text/html | 489 バイト | ナビゲート
 
(2)
http://dfgg48.fortunacubana[.]com/?xHiNdbSVKBjGAoA= ~ | GET 200 | text/html | 84.23 KB | <frame
 
(3)
http://dfgg48.fortunacubana[.]com/index.php?xHiNdbSVKBjGAoA= ~ | GET (保留中...) | (保留中...) | 0 バイト | (保留中...) | Flash
 
(4)
http://dfgg48.fortunacubana[.]com/index.php?xHiNdbSVKBjGAoA= ~ | GET 200 | application/x-msdownload | 96.71 KB | 3.38 秒
 
(1)
 
まず、ハッキングされてる日本国内の一般サイトに挿入されてた不正なJavaScriptコードが読み込むURLアドレスにブラウザから直接アクセスしました。
 
ここはリダイレクターと呼ばれる部分で、エクスプロイトキットが設置されてるページヘ転送する役目を担います。
 
「wp-content」という文字が見えるけど、ブログ作成アプリ WordPress に関連してることが分かり、攻撃者が乗っ取ったサーバー内に不正なリダイレクターが設置されてることを示してます。 (セキュリティソフトのブラックリスト回避目的)
 
(2)
 
エクスプロイトキットのランディングページ(入り口)です。
 
エクスプロイトキットは、ドライブバイ・ダウンロード攻撃を行うWebアプリで、脆弱性を悪用する攻撃処理を送り込む役目があります。
 
(3)
 
Adobe Flash Player」経由での攻撃なので、不正なFlashファイルが正常に読み込まれ、「リモートから任意のコードを実行される」攻撃が有無を言わさず発動します。
 
(4)
 
何ら確認もなくWindows向け実行ファイルが勝手にダウンロードされます。
 
ブラウザ(が読み込んでた Microsoft Visual C++ Runtime Library)が「ランタイムエラー」でクラッシュしてるダイアログも表示されました。 
 
一番下のエクスプローラでは、一時フォルダに投下されたナゾの tmpファイル を確認できました。これが…

強制的にウイルス発動した…

このファイルはWindows向け実行ファイル(拡張子 *.exe)で、ここでは分からないけど、すでに起動し動きだしていて感染成功してるのでした。
 
今回のウイルス感染体験では、Adobe Flash Player を最新版に更新してないことで実現できたので、ユーザー自らウイルス感染経路を解消しておくことが大事だと分かりました。
 
 
というのも、仮にセキュリティソフトを導入してるからといって、Adobe Flash Player が最新版に更新されるとは限らず、ウイルス感染経路がふさがってないなら根本的なウイルス対策になっとらんワケです。