UnderForge of Lack

「ターゲット型攻撃」と「シーケンシャル攻撃」とは？

最近のウィルス・マルウェアの攻撃方法が徐々に巧妙化しているのは周知の事実ですが・・・

VIRUX Cases Escalate
There are an increasing number of reports from several countries about a complex file infector with several infection routines. Arriving via the Internet, this new strain bypasses the Windows Firewall, infects using various infection types and using more than one layer of encryption. The US seems to be the most affected amongst all other regions as of this writing.

Typical file infectors choose any of the following infection styles:
* cavity - the virus inserts its code into available spaces within the normal file
* appending - the virus inserts its code after the normal file’s code
* prepending - the virus inserts its code before the normal file’s code
* entry-point obscuring - a complex infection technique used to evade immediate detection

VIRUXの攻撃方法がエスカレートしています。
複数の感染経路、手段を持つ複合ウィルスの報告が各国から増加しています。インターネット経由で到達したそれは、ファイアウォールを潜り抜け、暗号化されたレイヤーを含んだ一つ以上の経路によって複数の感染個体が蔓延しつつ有ります。このレポートの執筆時点では米国が最もこの影響を受けています。

以下のようなスタイルの中のいずれかが感染源の典例です。
　cavity - ウィルスは通常ファイルの空白部分に攻撃コードを紛れ込ませます。
　appending - ウィルスは通常のファイルコードの末尾に攻撃コードを追記します。
　prepending - ウィルスは通常のファイルコードの先頭に攻撃コードを追記します。
　entry-point obscuring - 複合的な感染手段のテクニックは即効的な検出では判りませんでした。


上述のルーチンでは、PE_VIRUXはスクリプトファイルに偽装されています。この感染したスクリプトファイル(.PHP, .ASP, and .HTML)によって、PE_VIRUXはスクリプトファイルがOpenされたとき(htmlを開いた瞬間)、自動的に攻撃的なコードをIFrameとして埋め込みます。TrendMicroはこの感染スクリプトをHTML_IFRAME.NVとして検出します。このカタパルトは更に次の攻撃を可能とします。もし、このスクリプトが公開されているアクセス可能なウェブサイトにアップロードされると、訪問者は、URLが埋め込まれているIFrameから（勝手に）感染しているサイトへと誘導されます。疑いようも無くその先は悪意サイトです。そのサイトからHTML_XPLOIT.Vが自動的にシステムにダウンロードされ、あるいは、PE_VIRUT.BOがダウンロードされます。

PE_VIRUT.BO これは別の手段であり、（他のMalwareが）除去されると、TROJ_VIRUX.Aに変貌します。このトロイはWebsiteに接続します。記述している現在はアクセス不能ですが、将来は可能になる可能性があります。

PE_VIRUX群はまた、感染したPCの物理ドライブのフォルダーとサブフォルダーの中に存在する、ありとあらゆるタイプのファイルに潜伏します。


こうなるともうムチャクチャですね。

最初の感染源の切断に失敗すると、シーケンシャル攻撃(ZERG!)の防止は極めて難しいものがあります。

「Webからの脅威」の原因は「シーケンシャル攻撃」

------------------------------
これらをみても判るように、攻撃手段の多くが IFrameを使ったクロスサイト誘導を行います。しかし IFrameは（自分もそうですが）ついつい使ってしまうんですよね～（笑）　信頼しているサイト以外では IFrame を切るような切り分けが重要ですね

FireFoxユーザは必須だと思っている、No Script ダウンロード：No Script

これの
Option → <IFRAME>を禁止
でIFRAMEタグも原則禁止できます。

が・・・
いろいろなページでデザインがぶっ壊れますので、臨機応変に使い分けが必要です。
（自分のページもオカシクなる・笑）

This entry was posted on 木曜日, 2 月 12th, 2009 at 10:30 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.