管理人のMonoblog　

Verisign / iDefenceによるMPackの解析情報

SANS Internet Storm Centerに掲載されているMPack Analysisという記事より。

Verisign / iDefenceから詳細な解析情報がリリースされた模様です。
インターネットには公開されていないけれども、SANSに全文の掲載許可が出たようで、詳細な
情報が載せられています。原文はこちらですが、英語に拒否反応を示す人のために以下に
翻訳しておきます。SANS様、Verisign様、お許しください

Greetings All,

MPackは、ロシアのアンダーグラウンドで販売されている最新、そして最強のツールです。$ashという人物が、およそ500～1,000ドルで販売しています。最近の投稿によると、$ashはローダーを300ドル、本体を1,000ドルで販売しようとしている模様です。開発者によると、攻撃の成功率は45～50%程度で、アニメーションカーソルの脆弱性をはじめとするおおくの脆弱性に対応しているとのこと。具体的には、MS06-014, MS06-006, MS06-044, XMLオーバーフロー, WebViewFolderIconオーバーフロー, WinZip ActiveXオーバーフロー, QuickTimeオーバーフローなどです (これらはすべて$ashが具体的に名前を挙げている脆弱性です)。 MPack、別名WebAttacke IIからの攻撃は、2006年10月から観測されており、公にされているある情報によると、現在観測されているWebの脆弱性を突いた攻撃のおよそ10%は、MPackによるものだそうです。

MPackの攻撃リストには1万以上のドメインが存在しています。特にイタリアでの攻撃で大きな成功を収めており、攻撃を受けたIPアドレスは、少なくとも8万はあると考えられています。どうやら、ホストプロバイダが持つcPanelの脆弱性を攻撃された結果、そのサーバにホストとしているドメインにiFrameが挿入された模様です。不正なiFrameが挿入された正規のページがロードされると、こっそりとMpackが作成したページに犠牲者をリダイレクトします。Mpackが生成したページはよく作りこまれていて、攻撃が成功するまで次々に様々な脆弱性を突き、成功したら攻撃者が選択した悪意のあるコードのインストールを行います。

Torpigというスパイウェアは、今のところ知られているMpackの攻撃に含まれるペイロードの一つです。このコードの背後にはRussian Business Network (RBN)が見え隠れしていますが、RBNは多くのインターネット経由の攻撃の攻撃元となっています。RBNは、ロシアのサンクトペテルブルグからの攻撃を覆い隠す仮想の安全な家となっており、Torpigやその他の悪意のあるコード、フィッシングや児童ポルノ、その他の不正なオペレーションなどを請け負っています。最近のMPackの攻撃先となっているドメインの多くを管理しているイタリアのホストは、クライアントのWeb管理ツールとしてcPanelを利用しています。cPanelへの0-Day攻撃が発生したのは2006年の秋で、大規模なVML攻撃の発端となりました。cPanelの攻撃コードを作成したStep57.infoというロシア人もまた、RBNを利用してイタリアのISPと関連ドメインを攻撃していました。これらのISPとドメインは、Mpackの攻撃先でもあります。

Mpackは、管理や攻撃状況をレポートするインターフェースとしてWebを利用します。最近の攻撃状況のスクリーンショットがJPEG形式でこのメッセージに添付されています。

引用

1. Mpackは強力なWeb攻撃ツールで、音もなくWebブラウザに対して攻撃を行う。その成功率は50%と主張している。

2. Mpackをアンダーグラウンドで販売しようとしている首謀者のロシア人の名前が$ashで、完全なMPackのキットの価格は約1,000ドル。

3. MPackは、脆弱性を抱えたコンピュータに感染するために、複数の脆弱性を洗練された方法で悪用する。最近発見されたアニメーションカーソル(ANI)の脆弱性からからQuickTimeの脆弱性まで、MPackは様々な脆弱性を幅広く悪用する。MPackの最新バージョンである.90では、以下の脆弱性の攻撃コードが含まれている。

MS06-014
MS06-006
MS06-044
MS06-071
MS06-057
WinZip ActiveXオーバーフロー
QuickTimeオーバーフロー
MS07-017

4. Russian Business Network (RBN)は、今日のインターネットにおいて最も悪名高い犯罪集団の一つである。最近のMPackの攻撃では、RBNのサーバに置かれている悪意のあるコードであるTorpigがインストールされている。RBNは、Step57.infoによるcPanelの脆弱性を突いた攻撃、VML、フィッシング、児童ポルノ、Torpig、Rustock、その他の今日行われている多くの犯罪的な攻撃などにも関与している。RBNが持つアドレスブロックからなにかいいものが出てきたことは、未だかつてない。

5. VeriSignとiDefenseが解析した攻撃ログファイルによると、MPackの攻撃の成功率は高い。わずか数時間の間に、2,000以上の新たな犠牲者がMPackの管理サーバに報告されている。イタリアをターゲットにした最近の攻撃では、8万以上のIPが攻撃を受けていた。

Ken Dunham
Senior Engineer
Director of the Rapid Response Team
VeriSign-iDefense
CISSP, GREM, GSEC, GCIH Gold Honors

クライアントから見れば直接の感染元はWebサーバになるわけですが、そのWebサーバも実は
被害者というところが新しいですね。攻撃に成功するまで次々と色々な脆弱性を突いてみると
いうのも、非常に理に適っています。

どこで見たか忘れましたが、MPackの管理画面のスクリーンショットの中に日本の国旗もあった
ので、既に日本でも感染しているサーバが相当数出ている模様です。

記事の中で取り上げられたcPanelは、日本語化されていて日本でも販売されているようなので、
こちらを利用している方は念のため注意しておいた方がいいでしょう。
＃もちろんそれ以外の人も、ですが...

投稿者 Ryu : 2007年06月21日 15:52

トラックバック

このエントリーのトラックバックURL:
http://www.bflets.dyndns.org/cgi-bin/MovableType/mt-tb.cgi/199

コメント