UnderForge of Lack

さて、その終わったはずの Gumblarが完全に ShutDownさせられたかもしれない？というお話です

Gumblar Companion Finally Shutting Down?

最近誤訳をしたばかりなので（泣）一応原文をチェックしてみてください。
英語得意なわけじゃないんです・・・
斜め訳：
以前のBlogで以下のように報告しました

現時点では一週間以上の間、gumblar.cnとmartuz.cnは閉鎖状態ですが、その他の仲間は増殖し続けていました。悪意を持ったドメインは

liteautotop.cn
bigtruckstopseek.cn
autobestwestern.cn
bestlitediscover.cn
bigpremiumlite.cn
bigtopartists.cn
bigtopcabaret.cn
bigtopsuper.cn
giantnonfat.cn
hugebestbuys.cn
litebest.cn
litetopautoseek.cn
superdietfind.cn
yourlitetopfind.cn

と増え続けています。

つい先日、攻撃者がドメインリストを分割して、２つのIPアドレスでの攻撃に切り替えました

70.85.142.250
86.106.121.200

これら双方はとも、91.212.65.14というnameserverを使用しており、以下に示す複数のNameserverに登録していました。

この戦術は地方(home-grown : 意訳的にはIT先進国ではない～セキュリティ意識に欠ける)の防弾ホスティング問題と類似しています。しかし幸いなことに、現在はネームサーバ自身が閉鎖中のようです。これは朗報です。なぜなら、犯人は商売（攻撃）を続行するために余計なコストがかかるからです。いずれ、コストが高くなりすぎるならば、これらの特定な攻撃は終焉するでしょう。

もっとも、これはもぐらたたき(Whack-a-Mole)をやっているようなものです。ワンセットになったドメインの群れが引っ込んだら、他のセットが顔を出します。５月の前半の２週間で、ScanSafe STATは 919 もの別々の Web上の攻撃を検知しました -- Gumblarとその眷属はちょうどその期間の 3/919 の攻撃に過ぎません。

たった３ですか（苦笑）

70.85.142.250はMDL May 26, 2009で身内向けには通達済みでしたが、86.106.121.200のほうは漏れてました。ごめんなさい。
※MDLにも載ってないので、ScanSafe独自の調査なのかな？


防弾ホスティング(bullet-proof hosting)は、「悪意コンテンツだろうがスパマーだろうが」お構いなしに受け入れるホスティング会社を指します。
詳しくはこのへんを参考にしてください。
スパム・ビジネスに利用される「防弾ホスティング」と「防弾ドメイン」


DNSそのものを塞ぐのはイロイロ影響が出るかもしれませんし、他のDNSにzone fileが渡ってしまうとあまり意味がありませんが・・・

91.212.65.14 ？　んん？
Eurohost LLC Ukraine
塞いじゃって下さい・・・・

他のDNS
213.163.91.91
Serverboost IP space Netherlands
初見

209.44.126.7
Netelligent Hosting Services Inc. Canada Quebec
いつもの Zeusドメイン

213.182.197.23
JUNIK Riga Network Latvia
はいはい・・

202.73.57.20
dyn20-b57-access.superdsl.com.sg
Viewqwest Pte Ltd Singapore
初見
202.73.57.11と202.73.57.6でLuckysploit系の攻撃犯歴有
また、2009/01/21 に Zeus/wsnpoem の報告有
202.73.57.0/24

95.129.144.211
Ventrex LLP UK
LOVE MALWARESでクロ判定しておいた範囲内でした。

ということで、攻撃者の手札は相当狭められているようです。

Google検索すると（ちょっと危なげなとこに）危険DNSのリストがあり、そこにはバッチリ記載されていました。

しかし、DNSまで汚染してるとかアリエン・・・ラトビア、ウクライナ両国の人はそろそろ何とかしないと、国ごとブロックされかねませんよ？（苦笑）

-----------

いろいろなゴミも含めてコレが No.500 のPostでした。

-----------

ウチ的には既に終わった話の（はずの）Gumblarですが、巷では今頃騒ぎが広がっているようです。

厚労・国交省、公式サイトのハッカー攻撃を長期間放置

厚労・国交省、公式サイトのハッカー攻撃を長期間放置

問題はソコじゃないでしょ？

同省岐阜国道事務所の道路状況を伝えるサイトも改ざんされ、閲覧者のパソコンがコンピューターウイルスに感染する状態になっていた。改ざんは同７日から行われていたとみられ、２度にわたって利用者から「ウイルスが検知された」と指摘されていたが、同事務所では２４日までシステムを停止しなかった。その間のサイト閲覧件数は７０００件以上に上っている。

何故この部分をタイトルにしないんですか？

とか思ったりするけど、まぁいいヤ（乾燥した笑い）

正規サイト改ざん：ここまで広がった国内でのサイト汚染、訪問歴確認を
zlkon時代にヤられてたんですね

しかもそのレポートを PDF で配布するとか・・・・・空気の読めなさは素敵すぎます（苦笑）
道路状況ライブカメラ等のウェブサイトの改ざんに関する対応について

なぜ Scan しただけの JPEG貼り付けを PDF にするのか？　誰か理由を教えていただけませんか？（苦笑ｘ３）


ま、どのみち、一日10万アクセスを超える、英国の動画ストリーミングサイトやら、一日5万アクセスのタイのポータルサイトやらが感染してたので、その辺経由で問題が広がるのはこれからなんでしょう
（あるいは無かったことにされるのかもしれない）


---------------
あと、皆 「GENOウィルス」って言葉を連呼しているわけですが、いいんですかね？（苦笑）

まぁ、ScanSafeもG-Dataも Geno って言ってるので、いわいる「デファクトスタンダード」（笑）になってしまってるのかもしれませんね。ひょっとしたら広告効果になってるのかな！？

こういう話があったら 国交省ウィルスとか呼ばれるかもしれませんがネ

というか、日本のメディアは何か１ヶ月くらいタイムリープしてませんかね？

Genoウイルスの感染メカニズム【前編】

新マルウエア「ＧＥＮＯウイルス」蔓延に注意（

日本でGenoウイルスの感染拡大を確認

先月の中旬あたりから既にわかってることを、何をいまさら・・・
って思ったりもするけど、まぁ良しとしましょう。
（so-netさんの 1/10 でも見習ってください ってのが私的感想）


----------------
さて、例の何に使われているかよくわからない sqlsodbc.chm ですが、 ScanSafe が「感染していない正常な」ファイルサイズと SHA-1 のリストを上げています。
※思いっきりミスしました。ごめんなさい。


Gumblar: Modified Sqlsodbc.chm Clue to Infection

5/16検体は 1323バイトだったなぁ・・とか思ったりして



---------------
アクセスユーザも減ってきたことですし、IRCで相談した内容をちょっと纏めてみますが

Zlkon/Gumblar/Martuz/Geno（長いので以下 Gumblar) の問題は終わったの？

と言われれば、「恐らく終わっていない」というのが私の見解です。


少し考えてみればわかることですが、今回感染が発覚して騒ぎになったのは、犯人グループがFTPであまりにも多くのインジェクションを行いすぎたためです。
しかし、単純に一般ユーザの中で FTP 環境を持っている人と持っていない人の比率を考えてみてください。
恐らく「現在も感染していて、まったく気がついていない」ユーザの数のほうが多いことは容易に予測できます。

そういった、「一般ユーザ」は自分が感染していることも知らず、自分の個人情報を次々と抜かれているかもしれませんし、Botnet経由で次々と感染ファイルをアップデートさせられ、ゾンビ化している可能性も否定できません。そして、それこそが犯人グループの望んだことだと思います。
（Botnetはサイレントに潜伏してこそ意味があります。）


気がついて対処できた人はまだ幸せなのです。

今後、潜伏したゾンビがどんな行動に出るかは全く予測できませんし、それが Botnetの恐怖でもあります。


感染した人が、その可能性に気がつくためには、「感染して汚染ファイルを散布していた」陥落サイトがその旨を告知しなければなりませんが、それを行っているところがどれだけあるか？　ということに関しては私は口を噤みたいと思います。


結論から言えば

インターネットは悪意の塊である側面があります。
上司から、お前の存在自体がセキュリティホールだ！と言われようとも
自己防衛の一助のために、私はこのサイトを続けています。

一応注意を～

模倣かどうかは不明ですが

216.195.60.227
leosex.org
APS telecom USA White Plains

で似たようなインジェクション～PDF/SWFコールが発見されました。
あまり洗練されてない方法なので、gumblar一派（笑）とは別かもしれません。
※それ以前に、ドメイン名からしてソッチ系のような気もしないでもない・・・

216.195.60.0/24 での過去暦は無いため新規かと思われます。
全範囲を焼くのは、飛び火するかどうか様子見してから・・かな？

※出張中の身に、ZIP(しかもパスワード無し）のファイルをMail添付で送ってきてくれた Bさんにぐーで殴るぞ感謝を・・・・

--------------

同様の例と思われるところ

64.86.16.8
freehostwap.com
Velcom CANADA64.86.16.0-64.86.17.255(64.86.16.0/23)
SpamHouseのSpammer List に入っているので遠慮なく


70.85.142.250
litetopseeksite.cn
THEPLANET.COM USA Texas Houston
また君のとこか・・

そろそろ落ち着いた（と思う）zlkon/gumblar/GENO系のネタですが。
こんな質問を受けました

「そもそもAdobeがアップデートを怠けていたのが悪いんでしょう？」

思いっきり間違っています。
別に擁護するわけではありませんが、Adobeはこの件に関して、ゼロデイを封じる修正を、（できうる限り？）素早く行っています。

問題は　自動アップデートでは無い　という点にあります。

Flash PlayerやAcrobat Readerのような、デファクト・スタンダードとして広まっているアプリケーション（厳密に言えばコンポネンツなのかも？）に、脆弱性が指摘され、そのアップデートが行われているにもかかわらず、OSは自動ではアップデートしてくれません。この辺は Linux を使っている方には奇異に思えるかもしれませんが、バージョン管理リポジトリのような概念がＯＳに無いため、アプリベンダーは自力でアップデートをアナウンスする必要があるわけです。

しかしコレって、各アプリベンダーが独自にアップデータのcrontabのようなものを走らせる必要があるって、設計思想的にオカシクないですか？　百歩譲って、アプリは起動時にチェックに行けばいいかもしれませんが、flash や acrobat reader のように本体が無い、あるいは滅多に起動しないものは、Browser側にそういった機能、あるいはプロトコルを内蔵させる必要があるわけでして、どっちの問題なのかはよくわかりません。


一応、Flash Player には自動アップデートのチェックというのがあることはあるのですが・・・

Flash Playerの自動更新間隔をカスタマイズする ― べつになんでもないこと
でも指摘されているように、デフォルトのチェック・スパンがかなり長め（７日）です。
※訂正：Flash Player、自動アップデートのデフォルトは３０日でした。指摘ありがとうございます。

もっとも、これを全ての Flash Users が 2時間おきとかに飛ばすようになると、「それ何て DDoS？」になってしまう可能性があるわけですが・・・

こういう欠点を突く形で、現在 Phirash問題 が多発しているのは皮肉な結果としか言いようがありません。


ま・・ SilverLightを売り込みたい MS としては、今回の混乱は大歓迎！なんでしょうけど（邪推！）
そろそろ、Windows Subversion（笑) を認証運用していくような第三者機関がほしいところですね。


---------------------
何が言いたかったかといいますと（矛先変更）

セキュリティ・ソフトは、プロセスのチェックを行っているんだから、Flash とか Reader の脆弱バージョンを検知して警告を出すようにしたら？

と、前々から思っていただけです。

それくらいできるんじゃないかなぁ？とか思ってるんですけどね。


-----------------------------
あと、こっそり追加

あ～～～またこの話が連続してしまってる・・・
ま、旬なので（多少、薹が立ってますが）しょうがないかな？


今回の Gamblaroid 本体の解析ですが、最初に解析を出したのは ScanSafeでした。

Malware Manipulating Google SERPs -- 04/17/2009
このとき既に、
the malware is its ability to monitor traffic and steal FTP credentials
トラフィックをモニタし、FTP情報を盗む
となっています。

ここでいう、 trafficというのが具体的に何を指しているのか、あまり深く考えていなかったのですが


「感染すると、さまざまな被害に」――最新Webウイルスを徹底解説
原文：
Inside the Massive Gumblar Attack

FTPアカウントを盗み出す対象となるのは、感染パソコンだけではない。感染パソコンが接続しているネットワーク（サブネット）が対象となる。ウイルスは、ネットワークを流れるデータを収集するソフトを特定のサイトからダウンロードしてインストール。そのソフトを使ってネットワークを流れるデータを監視し、FTPアカウントと思われるデータを記録する。

As mentioned earlier, the malware downloads software to sniff network traffic, winpcap. With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.

An entry is made in the registry for winpcap: HKLM\SOFTWARE\WinPcap

え？
ちょっと待った

と、思った人も多いはずです。
こうなると話がかなり変わってきます。

今、出向中の身なので、まさか VM 入れて感染状態をつくるわけにもいかないわけですが（笑）
友人の環境下（わざわざ環境再構築してもらいました・感謝）では、このキーの登録は確認できませんでした。

となると、この人はいったい何（いつ、どこから落ちてきたバージョン）の解析をしているんだろう？とかなり疑問になるわけです。


まぁ、ウチも個人ですし、この人も個人のラボっぽいので、
どこまで何を信じるかは、捉えた人次第ということにしておきましょう。


------------
ノートン大先生の解析結果：

Infostealer.Daonol
危険度 1: ほとんど影響なし

影響ないのかぁ・・


--------------
そういえば、今回の一連の騒ぎの最中、もっとも静かだった TrendMicroですが

Gumblar Finds Successor, Continues Info Stealing Spree
なんかもう、自分たちも検出してたんだぜ！　みたいなこと言わなくてもねぇ・・
しかも、本体の解析はおろか、検出名すら出してないって・・・

この辺は、シグネチャベースを重視しているセキュ・ベンダーの悲しいところですね。

埋め込み JavaScriptの検出だけでも・・
JS_AGENT.ASWE　JS_AGENT.ASXB　JS_AGENT.ASYC　JS_AGENT.ASWF
JS_AGENT.ASXC　JS_AGENT.ASYD　JS_AGENT.ASWG　JS_AGENT.ASXD
JS_AGENT.ASYE　JS_AGENT.ASWH　JS_AGENT.ASXE　JS_AGENT.ASYG
JS_AGENT.ASWI　JS_AGENT.ASXF　JS_AGENT.ASYH　JS_AGENT.ASWO
JS_AGENT.ASXG　JS_AGENT.ASYL　JS_AGENT.ASWP　JS_AGENT.ASXI
JS_AGENT.ASYM　JS_AGENT.ASWQ　JS_AGENT.ASXK　JS_AGENT.ASYN
JS_AGENT.ASWR　JS_AGENT.ASXL　JS_AGENT.ASYO　JS_AGENT.ASWS
JS_AGENT.ASXN　JS_AGENT.ASYP　JS_AGENT.ASWT　JS_AGENT.ASXR
JS_AGENT.ASYQ　JS_AGENT.ASWV　JS_AGENT.ASXS　JS_AGENT.ASYR
JS_AGENT.ASWX　JS_AGENT.ASXT　JS_AGENT.ASYS　JS_AGENT.ASWY
JS_AGENT.ASXU　JS_AGENT.ASXA　JS_AGENT.ASXX
こんな感じだったらしいです・・・・

Signature Spammerですか？（苦笑）

--------------
余談：
zolkon って何ですか？ってメールが来たんですが、何かの符丁かと思ったらコレだった・・
被害が多発する「Gumblarウイルス」への対策を実施しよう

なんというか、隣に zlkon.lvって書いてるのは何？って感じですね（苦笑）


余談ついでに・・・
E-Wordsに項目ができていました（笑）
Gumblar　【GENOウイルス】

眠い（いきなり）
出張（というか出向）に入ってから、寝てはいるものの脳が活性化されずに困っています。


zlkon/gumblar/martuz/Geno(笑) 方面はとりあえずは落ち着いてきた様子ですが、落ち着いてくると今度は妙なデマやら流言が出回るようになりました。

何度かまとめたような気がしますが、オサライしてみました。

一応過去形のほうがいいかな？とはおもいましたが、まだ感染サイトが残っていますので「現在形」にしておきます
※引用するときは必ず日付もつけて引用してください（苦笑）


どうして感染するの？
感染してしまっているサイトを見ただけで感染します

具体的には、Adobe Acrobat Readerおよび Adobe Flash Player の脆弱性を悪用し、ユーザが気がつかないうちに不正なマルウェアをインストールさせられてしまいます。この際に、DEPがONになっていても警告窓は出なかったようです(VMware+XPで確認してくれた友人・談）


どうして自分のWEBが書き換えられるの？
あなたのパスワードが盗まれているからです。

具体的な窃取の方法はよくわかっていません（各社の解析結果がマチマチな為）、わかっている事は、あなたのPCから発行された FTP リクエストの IDとPassword(credentials)が、全く身に覚えのないIPから使用され、不正な悪意コードを注入（Injection)されていることです。
※詳細は別エントリで


感染したらどうなるの？
完全な挙動はまだわかっていません。
仮にわかったとしても、それは何時の亜種のものなのか？という問題もあります。

自分が(VM上で）感染してみて思ったのは
「感染したらマトモニPCは使えません」
ということでした（笑）
具体的には・・・

BSoD多発

アプリケーションがすぐフリーズ（挙動をみていると、すべてのタスクが一斉にsqlsodbc.chmを読みに逝ってしまうため）
トラフィックが異常に増える（何を送られているやら・・）
ブラウザがどんどん妙な挙動を始める（Embedタグが存在しないのに、html Error Embed src not foundとかがエラーログに山のように・・）

これだけ妙な状況下で平気で動作させている人がいたら往年のMacユーザからも尊敬を受けるでしょう（笑）


感染したら絶対にクリーンインストールしないとダメ？
ダメってことは無いでしょうけど・・
Drivers32に登録されたトロイ本体を潰して、sqlsodbc.chmを書き戻して、それで心の平穏が得られるなら、それでもいいのではないでしょうか？

自分だったら絶対イヤですけどね～


Vistaは絶対に平気？
絶対っていうのが 100.0% ということであれば、「わかりません」
自分が VM上に Vistaをインストールしてやってみた感じでは、そもそも感染できないのでは？という挙動でした。


MacOSは絶対に平気？
絶対っていうのが 100.0% ということであれば、「わかりません」
Windows用の PE(実行型ファイル）が MacOS上で駆動する方法を教えてほしいものです

※BootCamp 上の XP/2000 環境下には思いっきり感染します（笑）


Linuxは絶対に平気？
Infostealer.Daonolこのへん見て自分で考えてくださいよ～（嘆息）
そもそも、UPXってLinux環境下で動作するもんなんですかね？

※ていうか最近、Linux入れてる癖にセキュに疎い人多くないですか？


PCの感染状態を放置してても平気？
平気なわけないでしょうに・・・・
挙動がまだ完全にわかってないので、可能な限り早く駆除してください。

悪意ファイルのダウンロード元である 94.247.2.195 (hs.2-195.zlkon.lv)、gumblar.cn (94.229.65.172)、martuz.cn (95.129.145.58) は応答停止中です
。
これらは、いつ再開しても不思議ではありませんが、現時点では稼動していません。


Webの感染状態を放置してても平気？
訴訟されたいなら、放置しててもいいんじゃないですか？（笑）


３月末の段階で Flash/Acrobatを最新にしていた人は絶対に大丈夫だったの？
自分で .exe を踏まない限り大丈夫です。
少なくとも、 Acrobat Reader の 3月末のバージョンでは JBIG2でのエラーでもクラッシュしません。


今後はどうなるの？
今回の一件で得られた教訓としては
「セキュリティソフトを過信してはいけない」
ということでしょう。

少なくともセキュリティソフトがきちんと入っているにもかかわらず、それを完全にかいくぐって侵入しFTP情報を抜かれている人の例を目の当たりにすることになりました。

こうした事態に陥ったとき、必要なものは冷静な対処と、正確な情報であるということが改めて浮き彫りにされたということでしょう。

自分が最初にやったこと：
　CMS/海外BBS/ISPその他のパスワード変更（笑）



余談：

人間には大丈夫なの？
IRC経由で回ってきた本気の質問でした・・
私はなんて答えればいいのでしょう・・

今朝の宿題
Inside the Massive Gumblar Attack
をこそこそ翻訳してたら、日経さんの訳文がでたので、そちらにお任せ（笑）

「感染すると、さまざまな被害に」――最新Webウイルスを徹底解説

なんか、びみょーにボカして訳してる気がしないでもないですが
ま、いっか（笑）


あと、Botnet C&Cは 80番Portを使っていることが判明・・・・
それは反則です！

でも・・自分が Martuzを「飼っていた」解析結果では、一度も 78.109.29.112へのパケットは跳んでないような気もしないでもないです。

Gumblar analysis and writeup
Andrew has performed a client side analysis and writeup of recent gumblar malware attacks.

Inside the Massive Gumblar Attack


ちょっと目を通しただけですので、何とも・・
借り物の環境なのであまり危ないとこをアクセスできません（笑）

※いや、してるだろ！

今気がついたのですが
GDATA がやけにはっきりとBotnetに関して言及しているわけですが・・・

「GENOウイルス」対策について
GENOウイルスは、ウェブブラウザを開くだけで感染する「ドライブバイダウンロード」の一種です。感染すると、アカウントを盗まれたり、ネット犯罪者のためのボットネットの一部にされるといった実害があります。


（３）被害PCのボット化
さらにまた、GENOウイルスは、バックドアを感染したシステム上にインストールし、攻撃者がシステムを遠隔操作できるようにし、将来的にはボットネットの一部として使われるおそれがあります。ボット化すると、犯罪に加担するのみならず、パソコンに負荷をかけられてしまいます。


そんな簡単に特定していいのかなぁ・・
原文がドイツ語なので、何書いてあるかさっぱりわかりません

本当にBotnetなら、その待ち受けがどうなってるのか？ ScanSafeの解析で出ている 78.109.29.112 (Zeus-Zbot C&C)なのかどうか？という部分の追加情報がほしいところです。


Symantecの解析では

Infostealer.Daonol -- Technical

となってますが、待ち受けポート云々の記述は見当たりません。

It blocks access to Web sites containing the following strings:

この「除外サイト」の意図するところがよくわかりませんね
あっ！ Symantec怒ってル！？（笑）


あと、
The Trojan monitors network traffic and steals FTP account information, which it saves to the following file: このような記載もありますが、挙動をみてた感じだと、データストアというよりも何かのロックファイルのような印象でした。
（少なくとも、12時間程の間では、内容が変化したことは確認できませんでした）