« Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~ | メイン | DEF CON 22で仕入れた悪意のあるUSBデバイス »

2014年9月19日 (金)

9.18で改ざんされたWebサイトをMaltegoで見てみた

今年も、9.18に乗じたWebサイトの改ざんが多数発生したようです。中国国内向けの情報提供サイトから、実際に改ざんされた日本語Webサイトを合計88サイト確認することができました。

918

改ざんされたWebサイトを、Maltegoで分析したところ、いくつかの共通する特徴を素早く捉えることができました。一つ目の特徴は、HTTP(S)の80/443番ポートだけでなく、FTP、SSH、SMTP、POP、IMAPのポートが開いていました。(MaltegoのSHODANプラグインで分析)

Service2

二つ目の特徴は、Adobe Dreamweaverでコンテンツ作成されたWebサイトが多いということです。

Tech2

Adobe Dreamweaverは、ホームページ作成ソフトですが、FTPでコンテンツをアップロードするためのFTPクライアント機能も有しているようです。

数年前、Gumblarウイルスが、FFFTP(FTPクライアント)で保存されたFTPパスワードを読み取り、それがWebサイト改ざんで使われたのは記憶している方も多いと思います。

推測ですが、Dreamweaverで保存されたFTPパスワードがウイルスによって読み取られたのではないでしょうか。攻撃者は、盗んだパスワードを9月18日の攻撃のために使わず温存しておいたのでしょうか。

三つめの特徴は、改ざんされたWebサイトのIPアドレス・ブロックが偏っていることでした。当該IPアドレスを所有している事業者で分けると、わずか5つほどのIPアドレス・ブロックに偏っていました。それらの事業者は、いずれもレンタルサーバやVPSを提供しているため、被害サイトは、それらのサービス上に構築されたものであると思われます。

Netblock2

被害を受けたWebサイトの管理者の方々で、Dreamweaverを使っている方は、管理用端末にウイルスが潜んでいる可能性を疑ってみて下さい。

« Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~ | メイン | DEF CON 22で仕入れた悪意のあるUSBデバイス »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat