UnderForge of Lack

一応翻訳してみました。

Gumblar Q&A

何が起きてるんだい？
複数の段階を経て感染するマルウェアが Google のサイト検索結果(SERP)を改ざんするようです。陥落しているサイトの悪意を持って改ざんされた検索結果をもとに、そのサイトを訪問してしまう危険性があります。
また、その危険コードは（もし存在すれば）犠牲者のコンピュータからアクセス権（credentials)を盗み取ります。盗まれたFTP情報は、犠牲者の所持しているサイトの改ざんに使用されます。感染してしまった犠牲者はさらに自分のサイトから感染コードを発信し、さらに犠牲者を増やします。こうして、幾何級数的に被害が拡大していったものと思われます。

これは XSS(cross-site scripting)攻撃なの？
違います。陥落したサイトは FTP情報を盗み取られており、Web Serverのファイルを手動で直接改ざんされています。
※注釈：複数の攻撃コードがインジェクトされた例が多数みられますので、自動攻撃だとは思います。

ScanSafeは、いつ最初にこの事態に気がついたの？
この攻撃には２つの段階がありました。最初は 94.247.2.195 からの攻撃コード埋め込みで、3月23日頃に検出しています。シグネーチャベースによる検知は 3/27からです。Googleは 4/13にリダイレクションの危険情報を出しています。
詳細：Malware Manipulating Google SERPs

その後どうなったの？
Googleが感染しているサイトをリストから除外し始め、サイトのオーナーは 94.247.2.195 からの悪意コードを除去し始めました。防衛の手段としてはマニュアル通りの対応ですが、５月の初めに攻撃者は 94.247.2.195 の代用として gumblar.cn に差し替え、当初の悪意ブラックリストの回避を試みました。結果的にブラックリストによる防備は破られ、感染したサイトが検索結果の上位に上がることになってしまいました。

Gumblarによって感染したWebSiteを通してMalwareをばら撒いた意図は？
感染したサイトのMalware-Code は、不正な PDFや SWF(Flash)ファイルを起動し、感染したユーザの(google)サーチ結果を改ざんすることを目的としています。この特定の攻撃は Internet Explorerのユーザの Google 検索結果を狙ったものです。更に、gumblar.cnの悪意コードは 78.109.29.112 に接続するバックドアをインストールします。このアドレスは、歴史的に有名な Botnet の C&C(コマンド＆コントロール）のリダイレクションに向けられていました。
詳細：Google SERPs Redirections Turn to Bots

この悪意的なリダイレクトはどんな働きをするの？
中間窃取攻撃(man-in-the-middle attack)と似ています。この攻撃は、「ブラウザーの中間窃取(a man-in-the-browser attack)」とでも呼ぶ状況の結果、リダイレクションが発生します。悪意コードはブラウザプロセスの内側に介入し、そのプロセスのリクエストを監視、改ざんされたトラフィックを注入します。Googleの検索結果(SERP)のリダイレクションの場合、本来Googleが返してきた検索結果(SERP)を悪意を持ったリンクに改ざんして表示します。

Googleの問題点は終わったの？
いえ、指摘しているようにこれはブラウザベースの中間窃取攻撃です。感染しているＰＣはこの検索結果の改ざんが延々と起こり続けます。

過去、数え切れないほどのウェブサイトが感染してきたわけですが、今回のものとどう違うの？
通常の感染サイトは、だいたい一週間ほどくらいのウィルスのピークがすぎれば、シグネチャベースによるセキュベンダーの対応や、ユーザが気がついたりして、当該ウェブサイトのオーナーが悪意コードを除去します。（これは、攻撃者がつぎつぎと新種を生み出している理由でもあります。）

ところが、gumblar.cnの攻撃では逆効果がおきてしまっています。感染したウェブサイトのオペレータが、汚染データを削除したり、.htm .php .asp といったサイト内ファイルをオリジナルのものに戻したとしましょう。gumblar.cnは再度、同様のコードを注入してきます。この注入コードは他の感染サイトはもちろん、同じサイトによってもランダムで変更され、検出が難しくなっています。更にシグネーチャベースの検出回避のためにより難読化されています。この結果、gumblar.cn に感染させられたサイトは（当社で確認しただけで） 昨日から 61%の増加、先週比で 188%増加という事態になってしまっているのです。

Microsoft fixed Power Point Vulnerability

こないだのパッチで塞ぎきれなかった パワーポイントの脆弱性 CVE-2009-0556の修正が入ったようです。


New 0-day Exploits Using PowerPoint Files

攻撃コードが世に出ているにも関わらず、あんまり問題にならなかったのは PPT だから・・なのでしょうね。

まぁ、MacOS用が後回しにされたことで、セキュソフトを売るチャンスでもありますね

CVE-2009-0556 Vulnerability Patched

愚痴、見なくていいです



そもそも、この gumblarは zlkon の頃からずっと取り上げてきたので、gumblarの爆発的な感染を察知したときに、「無視する」というオプションをとることができませんでした。

通常のウィルスは、単純にＰＣを起動不能にしたり、データを消したりという、いわば自己損害で完結するものが殆どです。
しかし、コレは違います。

仮に自分が感染していたとしたら、穴を掘って埋まってしまいたいぐらい他人に申し訳ないと思うくらい悲惨なウィルスです。
自分のサイトにアクセスしに来てくださった人の ID/Passを盗み、あまつさえ画面キャプチャの送信機能やら Botnet汚染やらが指摘されている最悪のバックドアなのです。

そんなウィルスに感染しているサイトを見逃して笑っていることもできず、友人と協力して Mailを送り、何とか感染サイトを止めて欲しかった。

しかし、そんな努力がかえって一部の方の反感を買っってしまったことが非常に残念です。


残念ですが、今後はもう、感染サイトを見ても「ミテミヌフリ」をすることになるでしょう。

「自分たちだけが感染しなけりゃいいよね」という、情けない姿勢に切り替えざるを得ないことを恥ずかしく思いますが、所詮は個人サイトですから、責任をとることも出来ませんので・・・・

あと、ブロック範囲が広すぎるという指摘も受けましたが、そんなもんは自己判断してください。
というか、ブロックの意図がわからないなら、別にブロックしなくていいんですよ？

私が「ブロックするように！」と命令しているわけでは有りません。



よし、愚痴完了！

通常モードに移行します。

まず、ごめんなさい。

あまりにも急激にサイトアクセスが増えたため、サイト内のポストのうち19を非公開に、その他も記事削除した部分がかなりあります。

理由はお察しのとおり。

ですが、一言だけ・・・・・

感染したのは不可抗力かもしれませんが、その後放置したり、無告知で再開したりするのはあまりお奨めできません。

もう、多くは語りませんケドね


今後はちょっとトーンダウンすることになるでしょう。

Sophos said WIN THE GAME!

パンツなSophosが気勢を挙げています。（笑）

…And We Have A Winner!

笑

まぁ・・確かに米国とかインドとかのサイトに警告するとき
Viral Video Now Just Viral
しか貼れる参照対象が無かったのは事実ですけどね～

御三家は何やってるんだか・・

しかし、Sophosさん、コレ、とっても恥ずかしいタイトルでしたよ！
※「バイラルビデオ」あたりで検索してください

ちなみに、米・インド・パキスタン・オランダ・英国のサイト１２箇所ほどに警報メール送りましたが、お返事が返ってきたのはアダルトなサイト１こだけ（苦笑）
しかもその日から、バイアグラ！なメールが多数舞い込むようになりましたトサ・・・

----------------------
ScanSafe がいっぱい情報をだしてます。

出社せねば遅刻する～

暇みて翻訳するかも

本来はこのページは身内向けの備忘録だったような気もしないでもないですが・・・・

まぁ、今日も逝ってみましょう～
IRC不調なので こっちで告知します。

あと、マウスがオカシクナッテ、200回/secクリックするようになったのでポイ（泣）
現在、DECの３ボタンマウス使用中


-----------------
【新】
JUNIK Riga Network Latvia

JUNIKの別レンジが発覚・・・焼却推奨（プライオリティ：高）
195.216.160.0/19 (195.216.160.0 - 195.216.191.255)


195.216.175.117
www.loshaqe.com
www.mirain.cn
Trojan & Exploits

一応、Malicious Logには 195.216.175.114 - 195.216.175.117 しか反応しません。
温情派用； 195.216.175.0 - 195.216.175.255 (いつもの/24) いや・・温情不要だとは思いますがネ・・

-----------------
【新】
NTColo Networks Ukraine

見逃してました、Fake AV/Trojan で結構報告があります（最近は潜伏してた模様）
194.165.4.0/23 (194.165.4.0 - 194.165.5.255)

５月のレポート：

焼きですね


----------------
Bastion Trade Group Ukraine

stats-analytics.cn
system-check.net
win-biz.com
statsc0unter.com

いつもどおりの Luckysploit　たぶんこの５倍くらいドメイン洪水攻撃されてます（笑）
94.232.248.51 は焼却済みのはず

----------------
JUNIK Riga Network Latvia

luks5.cn : 213.182.197.229
yesey.net : 213.182.197.245
キミも元気だね・・・


----------------
gaztranzitstroyinfo-net RU

91.212.x.x の偽AVとトロイが再度、活発化

少し注意が必要です。

----------------
Strato Rechenzentrum, Berlin Germany

85.214系も暴れてます

全部 h1192104.stratoserver.net に吸い込まれるので、ドイツの当該ISPは当分ブラックリスト逝き

----------------
gaztranzitstroyinfo-net RU

91.212.65 にもちらほら・・

ここは偽アンチウィルスとウィルスを同時に（同じＩＰで）ばら撒くという離れ業をやってのけています

ステキ～

-----------------
209.44.126.0/24 CA

ここも偽AV・・・

-----------------
とりあえずこんなもので