最近,見たもの(ガンブラー関連)
f0158244_144581.jpg 種々雑多に収まらないので,こっちの記事にしました。
 大半の記事は,先週,当方がトロイの木馬を発見する前にメモっておいたもので,先週blogに書こうとしていたんですよ。
 そしたら,自分のとこが,ガンブラー騒ぎになってしまったので,書けなかったの(笑

 昨日(1.30)も,ガンブラーの誘導サイトを踏みました。前回とは違う検出名です。今回はNOD32が反応してブロックしてくれたので,誘導先へ連れて行かれる事はありませんでした。自分のウイルス対策ソフトが,本番の時に,どういう挙動を示するのか?知ることが出来てよかったデス(笑
 そのお話は,最後の方で。



・Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
http://www.itmedia.co.jp/news/articles/1001/07/news092.html
> Amebaでは1月1日、芸能人ブログ450件のパスワードが流出しているほか、昨年12月には
> 「Amebaなう」でクロスサイトリクエストフォージェリ(CSRF)の脆弱性を突かれた問題が
> 起きるなど、セキュリティ関連の不祥事が続いている

 たかがウイルス対策ソフトのくせして「警察」なんて名乗るからですよ(笑

・ドイツやフランスの政府機関、「IEの利用中止」を推奨
http://itpro.nikkeibp.co.jp/article/NEWS/20100120/343477/
> セキュリティ更新プログラム(修正パッチ)が提供されるまでは、
> IE以外のブラウザーを使うことを推奨している

 あれこれ面倒だから,常時,IE自体を使わないようにすれば,手っ取り早いと思ったりして。
 これは,Gumblarではなくて,オーロラ攻撃の時のこと。
 その後に報じられた記事では,代替ブラウザはFirefoxですって。
 オーストラリア政府も同様の動きをしたとか。

・ガンブラーから考える「一歩踏み込んだ」業務委託先のセキュリティ確保
http://pc.nikkeibp.co.jp/article/column/20100118/1022227/
> この問題が広がりを見せている一つの要因に「コンテンツを外部委託している」
> ということがあると私は考えています

 と見るのが妥当でしょう。
 この流れですと,外部業者→本番用サーバへ直接FTPしているわけで,大きな会社のWebサイトだと,そんなのもあるのかなぁ?と。
 ウイルス以外の点でも,そういうのは,いかがなものかと,老婆心ながら思ってしまいますけどね。
 ただ(個人客向けの)キャンペーンサイトのような形態ですと,広告宣伝だけが目的なので,制作から運用管理まで,ドメインも独立していてサーバーもそれ用だから,すべて業者に任せるのが,今はふつーなんでしょうか。

・Gumblar[ガンブラー](複数の亜種を含む)ウイルスの感染拡大と対策のお願い
http://www.sakura.ad.jp/news/archives/20100119-004.news
> お客様にて運用中のホームページにおいて、スクリプトの埋め込みなど
> ウイルスの感染の事実確認が取れました場合、被害拡大防止の観点から該当
> ホームページの公開を一時停止するなどの対応を実施し、お客様へ弊社より
> ご連絡差し上げる場合がございます

 連鎖を断ち切る,という主旨で,レンタルサーバーの場合,こういう方向になるんですかね。
 だからといって,レンタルサーバーの運営者(この例では,さくら)が,積極的にサーバーの内容をウイルスチェックするかというと,どうかなぁ。
 日本のレンタルサーバーで,ウイルスチェック(バッチベースのスキャン処理)をやっているところなんて,あるかしら?さくらの場合も,事が発覚した場合,目にとまってしまった場合は,こういう処置をするかも。って,ところでしょう。

・【緊急】猛攻マルウェア「ガンブラー」感染調査を無償で実施!!
http://home.isle.ne.jp/news/ac6j5o0000004uia.html
 探してみたら,こういうところ↑がありました。
 GMOのアイルというレンタルサーバ。今では,ロリポップもGMOグループですが,ロリポップは低価格で勝負なので,こんなのやらないでしょうね。たぶん。安いのには,安い理由ってもんがあるものです(笑
 個人の規模で使うなら安いだけのレンタルサーバもいいでしょうが,会社での業務利用となれば,サービスレベルと相場というのがあるわけで,値段だけっていうのはねぇ。セキュアなFTPの件もからめれば,そうなりますがな。

・ガンブラー再燃を契機にセキュリティの基本を見直そう
http://itpro.nikkeibp.co.jp/article/Interview/20100120/343557/
> 図●ガンブラー攻撃の仕組み
 この図は「(初期の)感染の仕組み」しか載っていません。
 この記事の流れから行くと,この図は仕組の全体像のように読み取れますので,専門家向けサイトであることを考えれば,誤りだと感じます。
> ■変更履歴
> 記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだと
> いう誤解を招く表現があったため、これを修正しました

 某所にdiffがあって見ましたが,若干表現を弱めた程度でしたわ(笑
 修正後でも論旨は,FTPアカウント奪取より,SQLインジェクション攻撃のウエイトの方が高い,と読み取れます。
 これは,現在,主流となっている分析とは違います。IT proのような専門家向けサイトで,このような見方を紹介するのは,いかがなものか。
 もしかしたら,トレンドが言っているのは,最初の一滴のことじゃないですかね。感染の連鎖の過程では,RDBMS(≒SQLサーバ)とは,どうみても関係のないWebサイトもあるので,SQLインジェクションなんて関係ないです。あとは,トレンドの主旨と記者の受け取り方が食い違いがあったとか?
 どっちにせよ,マト外れな記事になってしまったと思います。現在の主流は,こちら↓

・埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2130
> 一連のサイト改ざん(Gumblar.x、8080)は、ウイルスに感染したサイト管理者のパソ
> コンからサイト更新用のFTPアカウントを盗み出し、それを使って行っている。SQLイ
> ンジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、
> 正面玄関から堂々と入って来てしまう

 トレンドさんとは,真逆の説(笑
 今回,これだけの連鎖が起きているのは,やっぱりFTPアカウントを奪取するのが大きかったんだろうなぁ,とも。

・Web経由のウイルス感染、4割以上は「ガンブラー」亜種
http://itpro.nikkeibp.co.jp/article/NEWS/20100127/343820/
 過去の事例から行くと,そろそろ終息しても,いい時期ですが,今回は終わりそうな気配がありません。困ったものです。

・ガンブラー型ウイルス猛威、サイト改ざん悪質化
http://www.yomiuri.co.jp/national/news/20100130-OYT1T00527.htm
> 「地方自治情報センター」が作成したガンブラー専用の検知システムを
> 利用するよう全国の自治体に呼びかけている

 たぶん,これ↓
・「Web感染型マルウェア能動的検知事業」実施希望団体の募集について
http://www.lasdec.nippon-net.ne.jp/cms/12,15601,84.html
 Webサーバーの感染有無を検査して,感染してしまったら,アドバイスをするみたいですな。
 この手合いの財団が,自前で作業が出来るとは思えないので,セキュリティ対策会社へ丸投げでしょう。この時期だと予算消化?

・「FFFTP」のパスワードが“Gumblar”ウイルスにより抜き取られる問題が発生
http://www.forest.impress.co.jp/docs/news/20100130_346056.html
 昨夕(1.30)FFFTPの事を書いたら,本日にかけて動きがありました。
 この件は,FTPサーバーをセキュアにしないと恒久的な対策にならないと思います。昨日も書いたように,国内のサーバーの多くは生FTPなので,今日明日出来ることは暫定対策や運用での回避になってしまいます。
 (当方の経験では)国内のレンタルサーバ使われていることが多いProFTPDをちょっと見てきました。SSL/TLS化は,そんなに難しいとは思えませんでした。問題の多い生FTP→SFTP/FTPSへ業者が移行しない理由は広い意味での,お金って事なんでしょう。


 ところで,昨日(1.30)またガンブラー.8080関連と思われるトロイの木馬を検出しました。
 今回は,Webサイトでのリアルタイム検出でした。Googleの検索結果から,当該Webサイトへ移動したところで,ESET NOD32がWebページの表示を遮断しました。
 NOD32による検出名は,JS/TrojanDownloader.Agent.N●●。VirusTotalで調べたところ「結果:4/40(10.00%)」となっていましたので,比較的新しいのですかね。
 ESETの国内代理店のWebサイトによれば,対応定義ファイルの日付は2010.1.28になっていました。
 なお,先週フルスキャンで見つかったのは,Java/TrojanDownloader.Agent.NACの亜種でした。

 画面の方は,一瞬だけ移動先のページが表示されましたが(先頭の方だけ?),Firefoxのエラーページが表示されました。
f0158244_1432345.jpg
 Firefoxのアドレス欄は,移動先のURLが表示されていました。
 この時,タスクバーのステータス通知領域(=システムトレイ)の上あたりにNOD32のダイアログが,うっすらと表示されました。
f0158244_144581.jpg
 見ての通りで,OKなどを応えるボタンはなく,その後,勝手に消えて行きました。なお,音は出ませんでした。
 総じて,おとなしいというか,Firefoxのエラーに気とられていたら,気がつかないような反応でしたわ(笑

 動作を見ていての当方の感触では,改ざんされた誘導サイトのJavaScriptをFirefoxが読んだところで,NOD32がスクリプトの内容に反応して,遮断したのではないか?と。
 スクリプトのコードを入手してみればいいのでしょうが,そこまで,やる気が起きませんでした(苦笑

 なお,当該サイト(改ざんされた誘導サイト)は,個人の方がHTMLで,コンピュータ関連の記事を載せているものです(なんだと思う)。
 こんなところまで入り込んでいるのか?と思いましたが,ガンブラー.8080の処理の流れならば,入り込んでいても不思議じゃないです。NOD32の定義ファイルが比較的新しかったのは,アタッカーがFTPのIDとパスワードを持っているので,改ざんを再度改ざんしたのかも?当方が,訪れるのが,もう1,2日前だったら,このタイミングでNOD32がブロックできたか,どうか。
 現状では,Firefox+RequestPolicy(≒NoScript)のWebブラウジングなので,NOD32がダメでも,誘導サイトなら踏んでも,連れて行かれないと思いますけど,あまりいいものではありません。
 こんな調子じゃ,ガンブラー.8080は,終息しそうもないですな。

 なんか,1月は長かったような気が(笑
[PR]
by rainbow-5 | 2010-01-31 23:39 | 日記 | Comments(2)
Commented by aim-120a at 2010-02-05 00:22
ftpのSSL/TLS化が進まないのは、サーバ側の技術的なことより、コンテンツをアップロードする側が「なにがなんだかわかりません」と言ってきてサポートに手間がかかる理由が大きいです。

それと、ホントにちゃんとやるところは、VPNクライアント(含むクライアント証明書)をコンテンツ制作者に配布して手堅くやってますよ。それで、アップロード用のソフトはご自由に、てな感じ。
Commented by rainbow-5 at 2010-02-05 00:51
aim-120aさん

それは確かに言えますな。永遠のビギナー(今回,こういう言葉がある事を知りましたぁ。笑)には,CAがどうちゃら,こうちゃらって出てきても,わからんものね。
(主に個人客や小規模事業者を対象とした)レンタルサーバのアップロードガイドの案内は,FFFTPPが圧倒的なのでは?
良くも悪くも知名度があるソフトだと話が簡単。

昨日だったと思いますが,ロリポが.ftpaccessに対応したことを公表。FTPSも導入の作業をしていることを表明。
これも,ガンブラーで問合せが多くて根を上げたのか?と思ったりもして。
ロリポがやるとなると,他も考えるのかな?

JPCERT/CCの案内によれば,パスワードを抜かれるのはFFFTPだけじゃないこともわかってしまったりして。
まぁ,FTPクライントも対策はするんだろうけど,今度は,キーロガーで抜かれるかもしれないし...
100%安全っていうのは,ないってことだね。


<< NTT東日本 NVIIIの設定方法 最近,見たもの(種々雑多) >>