無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

タグ:Twitter

サーバーハッキングでAndroidウイルス置き場に! Web Diary Professional原因か?
 
{{{ 2015年8月 更新 }}}
 
管理するサイトが悪意のある第三者にハッキングされてしまう原因の1つであり、注意喚起も出てる国産ブログ作成CGI「Web Diary Professional」(WDP)。
 
管理できていないウェブサイトは閉鎖の検討を:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html
 
具体的な被害としてはこんなのを確認してます。
  1. 通販詐欺サイトへ転送する不正なページを大量に作成される
  2. フィッシング詐欺サイトが設置される
  3. マルウェア置き場として悪用される
この記事では、サーバー上に不正なファイルがアップロードされ、マルウェア置き場になってる侵害事例の紹介です。

サーバーにAndroidアプリ? 正体はウイルス!

とあるJPドメインのサイトに、Androidアプリ拡張子 *.apk)である「b.apk」ファイルを存在しました。
 
イメージ 1
JPドメインにナゾのapkファイルがアップされてる?
 
www.virustotal.com/ja/file/abc5dac4d5650797bee9a066f8a1fb8f60e110f30f42a2777cbe19793c568c5e/analysis/1437644263/
www.virustotal.com/ja/file/7b4388cfe9b5c52155197d77db42b85fe383fe6b697582c76deeb9d17017a837/analysis/1437644907/
 
avast! Android:SMSThief-AU [PUP]
AVG Android/Deng.HCE
Avira ANDROID/SMSForward.ML.Gen
BitDefender Android.Trojan.SmsSpy.DX
Dr.Web Android.SmsSpy.425.origin
ESET Android/Spy.Agent.JQ
F-Secure Trojan:Android/Fakeinst.IT
Kaspersky HEUR:Trojan-Spy.AndroidOS.SmsThief.e
Sophos Andr/Spy-AER
 
ここは波乗りサーフィンに関連する日本語表記のホームページで、そのブログに「Web Diary Professional」が使われてました。
 
イメージ 2
 
そして、別のJPドメインのサイトにも、Androidアプリ張子 *.apk)である「a.apk」ファイルを確認しました。
 
イメージ 3
別のサーバーにapkファイルがアップされてる…
 
www.virustotal.com/ja/file/bd73179b2ef0cce4da11d0a9abd884b2d98cf963d727c8bed111d625ba946155/analysis/1441055467/
 
avast! Android:Agent-HMU [Trj]
AVG Android/Deng.NBB
Avira ANDROID/Agent.BAA.Gen
BitDefender Android.Trojan.SmsSpy.KI
Dr.Web Android.SmsSpy.369.origin
ESET Android/Spy.Agent.JQ
F-Secure Trojan:Android/SmsThief.Q
Kaspersky HEUR:Trojan-Spy.AndroidOS.SmsThief.ej
Sophos Andr/SmsSend-EN

 
こちらは日本のペンションのホームページで、やはりそのブログに「Web Diary Professional」が使われてます。
 
イメージ 4
 
問題となってる「Web Diary Professional」経由でサーバー上にバックドアをアップロードされることで、悪意のある第三者がサーバー内に安々と出入りできるようになってると考えられます。
 
不正なapkファイルそのものは、日本人に感染させるのを狙ってるものではなさそうだけど、日本の正規サーバーが不正なファイルの物置きとして悪用され、結果的に悪事に加担してしまう形。 <踏み台!
関連するブログ記事
このエントリーをはてなブックマークに追加

FilesMan? 運営サイトがハッキングされバックドアがサーバーに設置される!
 
自分が管理するサーバー上に FilesMan なんて呼ばれてる不正なPHPファイル(拡張子 .php)がアップロードされてる!?!?
 
なんてなお話を見かけます。 <サイトがハッキングされたってな状況で!
 
イメージ 1
不正なPHPファイルの中身
 
<?php
$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace (~長い英数字の羅列~) ?>
 
このプログラムは攻撃者から WebShell と呼ばれてます。
 
セキュリティ上の脅威では”裏口”という意味であるバックドアという分類になり、悪意のある第三者がサーバー内で出入りする侵入ルートとして使われます。
 
【不正なPHPファイルの検出名例】
AVG PHP/BackDoor
avast PHP:Decode-DE [Trj]
Avira PHP/WebShell.R
ESET PHP/WebShell.NAH
Kaspersky Backdoor.PHP.PhpShell.cs
Microsoft Backdoor:PHP/WebShell.A
 
WebShell はファイルのアップロード、ファイルのダウンロード、フォルダの作成、ファイル・フォルダの削除、ファイルの編集、ファイルの閲覧…、といったことが可能なので、攻撃者はサーバー内でやりたい放題できます。
 
イメージ 2
自分のサーバー上に手動でアップロードしてみた~♪
WebShellの1つ WSO(Web Shell by oRb)
 
日本では、ブラウザからファイルをアップロードできるファイルマネージャー機能に近いシロモノです。 <ファイルマネージャーは管理者向けだけど
 
FilesMan? → 「Files Manager」の略!

FilesManを設置されサイトが侵害される被害

◆ WordPress本体、プラグイン … 世界的に有名な定番ブログ作成ツールなのでよく狙われる。脆弱性が修正されてない旧バージョンのまま放置してる侵害されやすい。
 
Web Diary Professional (WDP) … セキュリティ面に問題を抱えていて、国産であるがゆえに日本国内の正規サイトで深刻な改ざん被害が確認されてる
 
◇ 攻撃者の物置として悪用される 
 
マルウェアといった不正なファイルがアップロードされる
フィッシング詐欺サイトが設置される
詐欺通販サイトへ強制転送するページがアップロードされる
 
◇ HTMLファイルが改ざんされる 
 
ブラックハットSEO目的の隠しテキストや隠しリンクが挿入される
ウイルス配信ページを読み込む不正なJavaScriptタグやIframeタグを挿入される
 
◇ データベースが盗まれる
 
MySQLやPostgreSQLのデータベースにアクセスしたり、ログインするパスワードをブルートフォース攻撃(総当たり攻撃)する機能も用意されてる
関連するブログ記事
改ざんされたサーバーにバックドアファイル PHP/WebShell PHP/Shell
サーバーハッキングでAndroidウイルス置き場に! Web Diary Professional原因か?
このエントリーをはてなブックマークに追加

レイバンサングラスTwitter乗っ取りスパム どのくらいクリックされる?
 
Twitterのアカウントが乗っ取られスパムメッセージをバラ撒きまくる脅威は相変わらず継続中ということで、いつになったら止むのかい。 <ここ数日はレイバンのサングラスが超人気!
 
レイバンのサングラスのファッション、今日限り2499円!
 
イメージ 1
NHKや首相官邸の中の人にまでレイバンをプッシュするアカウント
 
スパムメッセージのURLアドレスをクリックすると、海外のサイバー犯罪者が運営するインチキレイバン通販サイトへ誘導されるけど、流れはこんな感じになってます。
 
Twitterスパムツイート
 ↓ ユーザーがクリック
http://bit[.]ly/1CbwA6e
 ↓ 強制転送
http://bdraybanstoreo[.]pw/JP3.php ... リダイレクター 107.161.156.116
 ↓ 強制転送
http://www.japansrayban[.]com/ ... インチキレイバン
 
この流れの場合、短縮URLサービス Bitly のアクセス解析ページを確認してみると、約1万のクリック誘導に成功してることが分かります。
 
イメージ 2
偽レイバンへ誘導された数
 
日別グラフや誘導されたユーザーの地理的位置。
 
イメージ 4
昨日14日は3,200クリック、今日15日は5,700クリック
 
イメージ 3
日本をターゲットにしてるので当然のごとく国内ユーザー98%

誘導先はクレジットカード決済に対応する不正な通販サイト

誘導先のインチキレイバン通販サイトはこんな感じ。
 
イメージ 5
唯一の連絡先となるフリーメールのアドレス(Gmail)が上部に見える
 
通販サイト内の会社案内ページを見ても、会社名、所在地、責任者の氏名、電話番号といった情報がなく、どこの誰が運営してるのかサッパリ不明。
 
イメージ 6
英語の文章があるものの運営会社の素性が記載されてない
 
見るべきとところを見ず、テキトーに外観デザインだけで判断すると不正な通販サイトであることに気づけません。
 
ちなみに、通販サイトのソースコードを見ると不正なURLアドレス『realypay-checkout[.]com』を読み込む処理が確認でき、これはクレジットカード決済にも対応してる目印です。
 
イメージ 7
 
ただ、注文時にクレジットカード番号を仮にも送信してしまうと、この情報はお隣の大陸へ流れていくことになります。
このエントリーをはてなブックマークに追加

↑このページのトップヘ