無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2014/08

日産自動車のページが改ざん被害を受けウイルス感染攻撃
 
日産自動車が提供してたクルマの「下取り参考価格シミュレーション」のページが悪意のある第三者に侵害されたというニュース。
日産:「下取り参考価格シミュレーション」サイト改ざんに関するお詫びとご報告
http://www.nissan.co.jp/TOP/ANNOUNCE/
オンラインURLスキャンサイト URLQuery に残ってる情報…
 
> www.urlquery.net/report.php?id=1408692576542 (8月22日)
> www.urlquery.net/report.php?id=1408343574599 (8月18日)
 
攻撃の流れは恐らくこんな感じ。
http://tradein.nissan.co.jp/
http://tradein.nissan.co.jp/_common/js/???.js
 ↓
http://www.dwz .org.in/jp.php
 ↓
http://www.dwz .org.in/jps.php
 ↓
http://www.*****.com/***.phtml
 ↓
http://www.*****.com/***.phtml?gonext= ~
 ↓
http://digudyfg.belucent .co.uk/?PHPSSESID= ~ ← RIG Exploit Kit
誘導先の一部が記事を書いてる時点でも稼働してます。
 
最終的にエクスプロイトキット(RIG Exploit Kit)が設置されてる不正なページを読みこまされ、Windowsパソコンにウイルスを強制的インストールされるドライブバイ・ダウンロード攻撃でした。
 
日産自動車 以外にも、たとえば 箱根町観光情報ポータルサイト とか複数の日本の正規サイトが過去に殺られてたみたい。
 
> www.urlquery.net/report.php?id=1404936167949 (7月9日)
 
あと、URLQuery には、この流れと同じ改ざん被害を受けてる海外サイト(韓国語、中国語、英語、ロシア語、ブラジルポルトガル語…)が確認できるので、特に日本だけを狙ったものではなさげな印象。

マルウェア

ドライブバイ・ダウンロード攻撃が仮に成立した時、強制的に発動するWindows用実行ファイル… あくまで29日時点のもの
 
 
手元でちょっと動かすと、マルウェアの起動用パラメータがレジストリに。
 

ウイルス感染経路をふさいでおけば感染回避

サイト閲覧でウイルスを強制的にインストールさせるドライブバイ・ダウンロード攻撃で悪用されるのは、4系統旧バージョンにある欠陥(脆弱性)です。
 
なので、ちゃんと最新版に更新しておく、不要なら削除しておけばウイルス感染経路が存在しない状態なので攻撃は成立しないから100%感染回避! 
 
定番のウイルス感染経路4系統
 
【1】 Java
【2】 Adobe Reader
【3】 Adobe Flash Player
【4】 Microsoft系 (OS、Internet ExplorerSilverlight、Office など)
 
→ RIG Exploit Kit に用意されてる攻撃処理
このエントリーをはてなブックマークに追加

共有ボタンを表示するブログパーツが改ざん! ウイルス強制インストール感染攻撃
 
セキュリティ会社トレンドマイクロのブログより…
 
SNSなどの共有ボタンをページ脇に表示する無料ブログパーツが改ざんされ、エクスプロイトキットFlashPack Exploit Kit)が設置されてる不正なページが読み込まれてしまう状態になってるそう。
Website Add-on Targets Japanese Users, Leads To Exploit Kit (Trend Micro)
http://blog.trendmicro.com/trendlabs-security-intelligence/website-add-on-targets-japanese-users-leads-to-exploit-kit/
このブログパーツは、ブログの自由形式のところに指定のソースコードを貼り付けるだけで利用できるタイプになります。
 
どのくらいの数か分からないけれど、日本の複数の一般ブログに設置されてることが災いし、トレンドマイクロ調べで影響範囲の87%が日本国内ユーザーとなってしまってるとか。
 
ブログパーツを貼り付けてる一般ブログ
 ↓  パーツを表示する処理を読み込む
http://*****.***/s.js
 ↓  強制的に転送される
http://fsj3txp0nq7f2301a41ebjf.freetv-home .co.uk/index.php?h= ~
http://vrugucd39c21wkm9owqlhn7.gardenfurniture-spain .com/index.php?h= ~
などなど
転送されるチャンスは、1IPアドレスにつき最初の1回という制限がかかってるようで、2回目のアクセスでは転送されることなく共有ボタンを表示する正常な処理が返ります。

ウイルス感染手口はドライブバイ・ダウンロード攻撃

…んな制限があるもんだから、少し手こずりやっと成功。 <プロキシ指して試す
 
イメージ 1
ドライブバイ・ダウンロード攻撃が成立してウイルス強制起動の瞬間
 
イメージ 2
マルウェアの実行ファイルが一時フォルダに投下されたのを確認
 
ファイルはそれなりの頻度で差し替えられてるはずで、セキュリティソフトのウイルス定義データによるスキャン結果は当てにならない?
 
マルウェアの正体は、Windowsパソコンがターゲットの Carberp(ウイルスバスター TROJ_CARBERP.*)となってます。
《オンラインスキャン VirusTotal 》
www.virustotal.com/ja/file/b36755b291d782f551bf40681bb5bfa295764c9e9d6bf693f75e7908cbeb0be9/analysis/1408844743/

《マルウェア解析 Comodo 》
camas.comodo.com/cgi-bin/submit?file=b36755b291d782f551bf40681bb5bfa295764c9e9d6bf693f75e7908cbeb0be9
グラフィックボード NVIDIA の更新チェックプログラムっぽく偽装した実行ファイル nvdupdate.exe に、不正なWindowsサービスを登録して常駐します。
《オンラインスキャン VirusTotal》
www.virustotal.com/ja/file/7d2b1420e4288212df3b00df76d960f2fa4d8237ee394c4299f8ad295545eac6/analysis/1408834475/

ウイルス感染経路をふさいでおけば感染回避

サイト閲覧でウイルスを強制的にインストールさせるドライブバイ・ダウンロード攻撃で悪用されるのは、4系統の旧バージョンにある欠陥(脆弱性)です。
 
なので、ちゃんと最新版に更新しておく、不要なら削除しておくことで、ウイルス感染経路が存在しない状態となり攻撃が成立せず100%ウイルス感染回避となります!

定番のウイルス感染経路4系統
【1】 Java
【2】 Adobe Reader
【3】
Adobe Flash Player
【4】 Microsoft系 (Windows OS、Internet Explorer、Silverlight、Office など)
このエントリーをはてなブックマークに追加

台湾や香港を襲うワンクリック詐欺請求サイト 中国語で.HTAウイルス配信
 
{{{ 2015年5月 更新 }}}
 
Windows のシステムに用意されてる mshta.exe を悪用し、架空の登録完了&料金請求ウィンドウがデスクトップ画面に張り付く .HTAファイル(ワンクリックウェア) を配信するアダルトサイトが存在します。
 
ワンクリック請求に関する相談急増!パソコン利用者にとっての対策は、まずは手口を知ることから! (IPA 情報処理推進機構)
http://www.ipa.go.jp/security/topics/alert20080909.html 
 
專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」 | 網路安全趨勢網路安全趨勢
http://blog.trendmicro.com.tw/?p=790
 
One-click fraudsters extend reach by learning Chinese (Symantec)
http://www.symantec.com/connect/blogs/one-click-fraudsters-extend-reach-learning-chinese
 
これは日本で独自に発展したローカルなインターネット上の脅威だけど、どうやら海外に輸出されてるみたいで、引っかかった 中華圏 のユーザーさんが悲鳴を上げてる投稿を複数確認しました。
 
被不良色情網站強行收費了,怎辨? - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/question/question?qid=1614030104265
 
求救!!!按到香港色情網頁怎麼辦 - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/question/question?qid=1514041600739

Win7 桌面出現關不掉的色情小視窗 - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/question/question?qid=1514112605665

相關知識 - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/search/search_result?p=%22adult-man%22
https://tw.knowledge.yahoo.com/search/search_result?p=%22100-av%22

請大家教我怎樣辦 - U-CAR 討論區
http://forum.u-car.com.tw/thread.asp?forumid=270527

開了機後,不時重覆彈出同一個要比錢才能通知負責人刪除的廣告 - 電腦保安問題 - 香港討論區 Discuss.com.hk - 香討.香港 No.1
http://computer.discuss.com.hk/viewthread.php?tid=23917976
 
香港ユーザーの投稿も見つけたけど、とにかく台湾が圧倒的に多い?

ワンクリックウェア感染の流れ

手口は日本とまったく同じで、エッチな映像を再生するシーンで *.hta という拡張子を持つ不正なファイルを起動するよう促します。
 
これをユーザーが手動で実行してしまうと感染アウト~となる流れです。
 
This .hta file is NOT a porn movie!!! Don't open it!!!
 
イメージ 1
映像の再生に htaファイルの起動を促してくる中国語表記のサイト
  
イメージ 5
.hta application malware
  
不正なファイルを実行しちゃうと
 
イメージ 4
画面に張り付いて消せない架空料金請求ウィンドウ (2014年8月)
 
イメージ 3
画面に張り付いて消せない架空料金請求ウィンドウ (2015年5月)
201*-**-** **:**:**登錄手續完成。
顧客請於三天內付款定額費用港幣5,500元。付款詳情請細閱以下「信 息」。
顧客付款前同意已細閱並同意所有使用條款,
如沒有詳細閱讀本會條款而註冊成為本會會員的人士,
請致電:※ Support Number : +852 **** ****
海外會員電話聯絡方法:手機”+” 號輸入方法: 長按0字(費用約為7~10台幣/分鐘)
固網電話:請向所在地之電話公司查詢所需之字頭。
中国語はイマイチ分からんけど、メッセージ内に「港幣」「台幣」という表現が見えて、香港や台湾のユーザーに PayPal か 銀行振込 で料金を支払わせようと要求してます。

ワンクリックウェアが作成したレジストリ&ファイル

手元で感染させてみると
 
【1】 レジストリから指定されてるファイルパスのパラメータを確認して項目を削除
 
【2】 ファイルを手動でゴミ箱へポイッ! で駆除は完了します。
 
イメージ 2
ウィンドウ起動用のパラメータがレジストリに
 
《 registry 》
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Name -> [random]
Value -> mshta "C:\ProgramData\[random]\[RANDOM].hta"

《 files 》
C:\ProgramData\[random]\[RANDOM].hta 
C:\ProgramData\[random]\bg.jpg
 
竹北 極珖 電腦 維修 升級 組裝 : 關不掉的 100-av[.]com 噁心 裸露 胖女人 惡意 色情 廣告
http://kill.virus.tw/2015/04/100-avcom.html

関連ドメイン 103.24.70.236

中華圏ユーザーを狙って不正な.htaファイルを配信してる関連ドメイン!
【関連するドメイン】
http://www.100-av[.]com
http://hta.100-av[.]com
http://www.adult-man[.]com
http://www.h-mania[.]com
http://www.look-av[.]com
http://www.av-no1[.]com
http://www.ytube141[.]com
http://www.youtube141[.]com
http://www.hktw99[.]com
> www.virustotal.com/ja/ip-address/103.24.70.236/information/
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ