マルウェアJavaScriptについて（その１）

※このブログの内容はマルウェア調査内容になりシリーズで続きます、ビギナーとセキュリティ専門の一つリファレンスになるかと、続きはこちらのリンクでアクセスして下さい⇒「２」「３」「４」「５」と「追加警告」、宜しくお願いします。

最近ホームページでXSR/XSRFのセキュリティ攻撃が沢山発見されています。
攻撃されたサイトでは、アタッカーがマルウェアコードをオリジナルのhtmlファイルに追加します。マルウェアコードが追加された感染ページ(redirectorページ)にアクセスした場合、ユーザは他のマルウェア・ダウンロード・サイト(infectorページ)へリダイレクトされて、パソコンにマルウェアファイルをダウンロードされてしまいます。

htmlファイルに追加されたコードの殆どはjavascriptのコードです。どんなjavascriptを使われているのか、このブログで説明します。

マルウェアに感染されたjavascriptページは２つパターンがあります。

1. 「難読化」されたjavascript
2. hidden/「隠れた」IFRAME

htmlファイル内のjavascriptのマルウェアコードの追加場所は・・↓

＜body＞タグの直後
＜/html＞タグの直後
＜html＞タグの前

「難読化」されたjavascriptの方は直ぐに発見出来ます。例えば下記の画像です。

↑見た通り多くのesacpe-codeが使われてます。目的はマルウェア関係のメールアドレスやURL/ドメイン名を簡単に見つからない様に作られています。↑

下記のサンプルはGumblarマルウェアに感染された「リダイレクト・ページ」で、javascriptが追加されています。特別なソフトを使うと「難読化」javascriptが読み易いコードに変換できます。
調査の結果、結局、単純なコードでした。下記のコードにアクセスしてしまうと、ブラウザの情報をマルウェアサイトに渡す事で、次は様々なマルウェアを動作させることが可能になります。



このコードをマルウェア対策ソフトで検知出来るか？
マルウェアとしてのjavascriptはウイルス対策ソフトに登録出来ますが、様々な書き方が簡単にできますので、全ての書き方を対応するのは困難と思われます。

自分のホームページは感染されたかどうすればて分かりますか？
一番の方法は、マルウェアjavascriptコードを追加された場合、ファイルの(1)日付、(2)サイズ、(3)md5情報が変更されますので、オリジナルと比較すれば確実に確認が出来ます。比較する為にローカル側にもhtmlのバックアップがあれば有効です。

どんなWeb攻撃が流行っていますか？具体的にアタックしやすいサイトとは何ですか？
コンテンツ・マネジェメント・パッケージ（Drupal, Xoops, Joomla, など）とブログ・パッケージ（WordPress, MT, など）がSQL-INJECTION攻撃を受けています。また、PHP/Perlで作られたウェブ・マネジェメント・システムはXSS/XSRFで攻撃されてます。

つづく

---
0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック＆渡部 章