« Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~ | メイン | DEF CON 22で仕入れた悪意のあるUSBデバイス »

2014年9月19日 (金)

9.18で改ざんされたWebサイトをMaltegoで見てみた

今年も、9.18に乗じたWebサイトの改ざんが多数発生したようです。中国国内向けの情報提供サイトから、実際に改ざんされた日本語Webサイトを合計88サイト確認することができました。

918

改ざんされたWebサイトを、Maltegoで分析したところ、いくつかの共通する特徴を素早く捉えることができました。一つ目の特徴は、HTTP(S)の80/443番ポートだけでなく、FTP、SSH、SMTP、POP、IMAPのポートが開いていました。(MaltegoのSHODANプラグインで分析)

Service2

二つ目の特徴は、Adobe Dreamweaverでコンテンツ作成されたWebサイトが多いということです。

Tech2

Adobe Dreamweaverは、ホームページ作成ソフトですが、FTPでコンテンツをアップロードするためのFTPクライアント機能も有しているようです。

数年前、Gumblarウイルスが、FFFTP(FTPクライアント)で保存されたFTPパスワードを読み取り、それがWebサイト改ざんで使われたのは記憶している方も多いと思います。

推測ですが、Dreamweaverで保存されたFTPパスワードがウイルスによって読み取られたのではないでしょうか。攻撃者は、盗んだパスワードを9月18日の攻撃のために使わず温存しておいたのでしょうか。

三つめの特徴は、改ざんされたWebサイトのIPアドレス・ブロックが偏っていることでした。当該IPアドレスを所有している事業者で分けると、わずか5つほどのIPアドレス・ブロックに偏っていました。それらの事業者は、いずれもレンタルサーバやVPSを提供しているため、被害サイトは、それらのサービス上に構築されたものであると思われます。

Netblock2

被害を受けたWebサイトの管理者の方々で、Dreamweaverを使っている方は、管理用端末にウイルスが潜んでいる可能性を疑ってみて下さい。

« Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~ | メイン | DEF CON 22で仕入れた悪意のあるUSBデバイス »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat