その他のBotやExploit紹介

今までにトロイの木馬を紹介してきましたがそもそもどんなにアンチウイルスソフトに検知されないとはいえ、ユーザーにトロイの木馬を実行させなければ攻撃者側としては意味がありません。

古くからWarezサイトなどでアプリの違法クラックファイルに紛れ込ませたりしてウイルスを散布してきました。

最近ではP2P　Spreadと言ってP2Pのファイル共有ソフトを検知し自身をP2PソフトのUploadフォルダにコピーして拡散させる機能や、USBメモリを検知して自身をコピーしさらにAutorun.infを作成し、別のPCにそのUSBメモリを挿した時にそのPCにも感染を拡大する機能を持ったRATもリリースされています。

しかしこれらの拡散方式でも広範囲に拡散するのは非常に手間がかかり非効率です。

なので今攻撃者が主に使用してるいるのはBotやExploitなどのOSの脆弱性を利用した拡散方法です。

BotはWindowsの脆弱性やMSN　Spread、VNC Scanなどの複数の方法を組み合わせて自動で次々に感染を広げていきます。

OSのUpdateなどをしていないPCなどはインターネットに繋げているだけで感染しています。

現にService Packを全く適用していないWindows　XPをPCにインストールするとOSのUpdateをするためにインターネットに接続した瞬間複数のウイルスに感染してしまうことを確認できました。

事前にService　Packを統合することが必須と言えます。

Botを使って感染を拡大させると感染PCのネットワークが形成されます。

これらのネットワークはIRCプロトコルを使って攻撃者によって管理されDDos攻撃に使われるなどの犯罪の温床にもなります。

自らが意図していないところで犯罪に荷担しているのです。

半年ほど前にロシアでリリースされたZeuSというツールはBotの一種ですがDDosは実装されてはいませんでした。

しかし感染PCのクレジットカードや電子マネーなどの情報のみを抽出する機能などが実装されてる上に管理に強固なサーバーを必要としないため急速にクラッカーの間で利用が拡大しています。

他に拡散の方法としてExploit　Packがあげられます。

これはOSやソフトの脆弱性を利用してサイトにアクセスしただけでウイルスに感染させる手法です。

以前はMPackやIce Packが使われていましたが最近では新たな脆弱性を利用したUnique　PackやNeon Exploit　Packがメジャーになっています。

この二つは400$くらいで取引されています。

管理画面のスクリーンショットはこちら

トラフィックやOS、rateなどが表示されるのはどのPackも共通です。

最新のPackはEleonore ExpやYes　Exploit　Packでこれらは1000$前後の高値で取引されています。

殆どのExploit　Packはロシアで作られているのが現状です。

EleonoreとYESのスクリーンショットはこれです。

 

 

このようなパックはPHPを扱えるサーバーならどこでも利用できます。

これとHTMLのiframeを使った攻撃が主流です。

 

まず、攻撃者はSQLインジェクションやクロスサイトスクリプティング（XSS）などでWebページをハッキングします。

このときハッキング対象となるページはユーザーに人気のページであることが多いです。

数ヶ月前にPCパーツショップのWebサイトがハッキングされたことから発展した「GENOウイルス事件」もこれと手法は一緒です。

ハッキングしたページにIFRAMEタグを使った不正なHTMLコードを埋め込み、そのページにアクセスしたユーザーがExploitを仕込んだページを開くようにします。

通常なら開いたことは判断できますがiframeの指定時に見えないようにしているのでユーザーはExploitページが開いた事を認識しません。

こうして，不正サイトにアクセスしていることを気付かないようにして，ユーザーをExploitサイトに誘導しウイルスに感染させるのです。

さらに感染ユーザーのFTPのパスワードを探し、そのWebサイトも自動で書き換えたりするようなウイルスも存在します。

 

 

 

このようにインターネット上では一見安全なサイトだったり、有名な企業なサイトであったとしても気づかないうちにクラッカーに書き換えられウイルスを含んだサイトにされています。

これらの攻撃に対処するには

OSやAdobe製品、ブラウザは欠かさずUpdateする
怪しいファイルは実行しない
ファイル共有ソフトは利用しない
などの自己防衛が大切です。

 

前へ