BlackHole 悪用ツールキットについては、しばらく前からシマンテックでも幅広く取り上げてきました。簡単に確認しておくと、Phoenix などの悪用ツールキットと同様、BlackHole を使う攻撃者は正規のサイトに侵入し、巧妙に不明瞭化された悪質な JavaScript コードをサイトのメインページに埋め込みます。検出をすり抜け、疑惑の目を逃れるために、ページの残りにはまったく手を加えません(サイトも実際には何も変わりません)。
何も知らないユーザーが BlackHole に感染したサイトにアクセスすると、そのブラウザで JavaScript コードが実行され、非表示の iframe が作成されるのが一般的です。この iframe が脆弱なブラウザプラグインを密かに悪用し、マルウェアや悪用コードをユーザーのシステムに投下します。通常、このとき攻撃の標的になるのは脆弱な Java、Adobe Flash Player、Adobe Reader、Windows Help Center などのアプリケーションです。このような攻撃を、ドライブバイダウンロードと言います。
このアプローチはマルウェア作成者にとって今までおおむね効果的でしたが、1 つだけ弱点があります。実際に悪質なコードを含んでいる iframe の場所や URL が変更または停止された場合、侵入先のサイトはすべて、新しい場所にリンクするように更新する必要があるということです。この処理は難しく、現実的でもありません。
この問題に対処するために、BlackHole で侵入先のサイトに埋め込まれる JavaScript コードは、日付などの情報に基づいて擬似ランダムなドメインを生成し、そのドメインにリンクする iframe を作成します。
侵入先のサイトには、不明瞭化された JavaScript が埋め込まれます。その例を以下に示します。
このコードは、String オブジェクトの fromCharCode メソッドを使い、実行する JavaScript コードを含む長大な文字列を構築します。実際に実行されるコードの一部を以下に示します。
このコードは、setTimeout() DOM 関数を使って、0.5 秒後に特定のコード(コードの下部にある匿名の関数)を実行します。呼び出されるのは以下のものです。
- generatePseudoRandomString() 関数(タイムスタンプ付き)
- 16(ドメイン名の所定の長さ)
- ru(使用するトップレベルドメイン名)
コードは次に、上の手順で生成したドメインをソースとして、非表示の iframe を作成します。
ドメインの生成と iframe の作成が終わると、悪用ツールキットのページが通常どおり多数の悪用を実行し、たとえばインストールされている Adobe Reader のバージョンに応じて、危殆化した PDF ファイルのうちどれを表示するかを決めるなど、さまざまな機能を実行します。
このコードを単独で実行してみると、擬似ランダムに生成されるドメインは、初期のシード値、現在の月、現在の日付に基づいた数値によって決定されるようです。このブログの執筆時点では、このコードを実行すると、以下のように返されました。
lfbovcaitd[削除済み].ru
関数に渡される日付を変更してみると、今後使われるドメインを予測できます。今年の 8 月 7 日までのドメインがすべて登録されており、現時点ではすべてが同じ IP アドレスに解決されます。ドメインはすべて最近登録されたもので、WHOIS で登録者情報が公開されないなど、プライベート登録が使われています。
これまでのところ、この手口によるドメインの感染は少数ながらも一定して続いていることが分かっています。何らかの実験かテストという可能性があり、将来的に拡大されるのかもしれません。
過去にもボットネットソフトウェアが同様の手口を使った例はありましたが(最も有名なところでは Storm)、Web 悪用ツールキットでは新手と言えます。
Web 攻撃とドライブバイダウンロードは今でも、企業や個人のコンピュータが感染する大きな経路のひとつです。ノートン製品や Symantec Endpoint Protection をご利用のお客様は、ネットワークベースの保護技術をお使いいただければ、BlackHole Web 攻撃ツールキットによるドライブバイダウンロードを未然に防ぐことができます。ネットワーク脅威防止の技術によって、このような攻撃は末端のコンピュータに到達する前に遮断されます。ウイルス対策の技術だけでは、BlackHole のような Web 攻撃ツールキットで生成されるマルウェアのポリモーフィック機能に対処できず、危険です。シマンテック製品をお使いではなく、サイトにアクセスしてコンピュータに感染の疑いがある場合には、シマンテックが無償で公開しているノートン パワーイレイサーをダウンロードしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。