UnderForge of Lack

＊＊＊＊＊ 重要 ＊＊＊＊＊

インシデント系に関しては以下も併せて参照してください。

インシデント発生： THE FIRST STEP

インシデントからの回復

TAG: Gumblar.cn


現在進行中の 8080系 (/*GNU GPL*/系）に関しては

[CAUTION] Security Tool にご用心

TAG: 8080

を併せて参照ください。


** 注意 **
このページには、意図せず実行すると使用中のＰＣに致命的なダメージを与えかねないツールを使った情報、あるいは、ファイル・レジストリの変更の情報が含まれています。
PC 操作等に自信の無い方は、そのようなツールの使用はお控えくださいますようお願いいたします。
すべては自己責任の範疇でお願いいたします。

また、専門用語等に関して注釈をいれていないものは、お手数ですが検索して調べてくださいますようお願いいたします。
**********

2009.12.10 少々加筆・訂正

2009.11.21 New Gumblar

---------------------------------------------------------------------
現在、2009年4月-6月に流行したのGumblarよりも更に性質の悪い攻撃が進行中です。

亜種が恐ろしい勢いで変更されているため、被害実態等は掴めませんが、相当数の感染者が水面下に存在するものと推測されます。

Gumblar infection count -- 2009.12.04
日本、堂々の１０位以内入賞

----------
絶対に必要な措置

適切なセキュリティソフトの適用：無料のセキュリティソフトでも優れたものはたくさんあります。
Windows Updateの実施と自動更新設定
Microsoft Updateの実施と自動更新設定(※1)
Adobe Flash Player 2009.12時点で Ver 10.0.42.34 (※2)
Adobe (Acrobat) Reader 2009.11時点で Ver 9.2

※1 Windows Updateは Windows関連のみですが、Microsoft UpdateはOfficeに代表されるMicrosoft製アプリケーションのアップデートを含みます。
※2 IE以外のブラウザを使用している方は IE用(Active-X)とそれ以外(Firefox, Chrome, Opera, Safariなど)へのインストールを２度行う必要があります。

運用に留意すべきコンポネンツ

これらのコンポネンツも幾度と無く脆弱性が報告されているものです。

※自分に本当に必要なコンポネンツなのか熟考しましょう。
※不要なコンポネンツは削除しましょう。

SUN Java JRE 2009.11時点で JRE 6 Update 17
Apple QuickTime 2009.11時点で 7.6.5(Win) 7.6.4(Mac)
Adobe Shockwave 2009.11時点で 11.5.2.602
RealPlayer SP 1.0.5 (12.0.0.343) (※3)
Skype 2009.12時点で 4.1.x.179 Hotfix 3 (※4)

※3 RealPlayerは脆弱性情報のアドバイザリを出しませんので、どのバージョンにどの脆弱性があるのか、セキュ会社の情報を参照するしかありません。
※4 Skypeをインストール後自動的にFirefox用Extentionがインストールさせられます。

他にも多数のコンポネンツ、ActiveXベースのPlug-ins、アプリケーションが潜在的な脆弱性を抱えています。

また・・・
素直結は絶対に避け、WANとの間に必ずルータを設置してください。
WindowsXPユーザはSP3を必ず適用してください。
DEPを有効にしてください。
WindowsVista/7ユーザはUACを有効にしてください。
Comodo Defence+のようなHIPSの導入を検討してください。
Firefox+NoScriptの使用を検討してください。
IE6を使い続けることの危険性を認識してください。
Adobe Readerの JavaScriptは必ずOFFにしてください。

----------
感染か？と思ったら・・・クライアント編

自分のPCが Gumblar かも？と思ったら・・・・

レジストリが何か？わからない方は、コンピュータに詳しい方か、販売店に問い合わせたほうが無難です

まず、レジストリをチェックします。
その際に、RegEditではなく、別のツールを使用してください。
※RegEditをフックし、起動時に一時的に抹消し、再度書き戻すような処理を行っているという解析レポートがあります。
11月4日からのGumblarは何が変わったのか
※２ (2009.11.26) RegEdit だけではなく、他のレジストリエディタ・ビューワにも影響を及ぼすことが指摘されています。
現在のところ、隠蔽の手段が悪質化していることのみが確認されており、どのツールであれば確実に改変が判るのかどうか、はっきりしません。 尚、HijackThis等は試していません。
xx2zz様に感謝します。

ProcessMonitor で Filterを Path : "Drivers32" で監視してみるのも良いでしょうが、確実ではありません。

チェック先：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
midi9 の値に [ランダム文字列].tmp .bak .dat .old のような見慣れないファイルが入っていないかどうか？

※今後の亜種でどのように変化するかわかりませんので、midi9 以外のエントリも一応チェックしてみてください。

2009.11.26 追加
レジストリの挙動チェックでは発見できないと思われる場合、以下の方法も有効です。
TCP Monitor Plus等による、TCP/IP トラフィックの監視。
netstat によるセッションの確認
などによる、「自分が認識していない宛て先」へのOutgoing をチェックしてください。

これらもフックされるようでしたら、ゲートウェイ（Router)のトラフィックログを見るか、別PCからパケットをスニフするしかなくなりますが・・・

----------
感染か？と思ったら・・・サーバ編

その１：
＜body＞タグの直前に、自分が挿入していない ＜iframe＞タグが存在していないかどうかをチェックします。

その２：
サーバにアップロードしてあるすべてのファイルを一度ローカル上に保存し、以下のキーワードでGrep検索を行ってください。

eval
unescape
base64

検索結果に、自分の記述したスクリプトで無いもの、オリジナルのCMSソースには存在しないもの、オリジナルの.js ファイルには存在しないもの・・・が含まれていた場合、あなたのサイトは深刻な汚染状態にあります。

----------
感染が確実になった場合：緊急

あなたがサイト運営者なら、まずやるべきことはサイトの停止です。

残念ながら、あわててPasswordを変更しても逆効果です。

直ちにサイト内の全ファイルを抹消するか、バーチャルホストへのアクセスを切るか、.htaccess による Basic認証をかけて一時的にパスワード必須にするか・・・とにかく訪問者の再被害の拡大を防いでください。

----------
感染が確実になった場合：会社組織

残念なことにあなたのPCで入力したすべてのキーストローク、暗号化されていないネットワークトラフィックが窃取された可能性があります。
このインシデントにおける対処は極めて鬱陶しいものになることを覚悟してください。

01. ローカルなネットワークをWANから切り離してください。
02. 感染PCが存在したセグメント内のすべてのPCの感染をチェックしてください。
03. 複数のセグメントを持ち、かつ適切なルーティングが行われていない場合、全社内のクライアントをチェックする必要があります。
04. 感染PCに流れ込んだパケットのうち、暗号化されていない FTP/Telnetの情報がどのくらいあるかどうかをブリーフィングしてください。
05. それらの ID/Password情報(Credential)の変更を、必ず感染していないネットワークから行ってください。
06. 変更した ID/Passwordと同一のCredentialを使いまわしている場合、それらのすべての変更が必要になるでしょう。
07. DMZにあるサーバのFTP/Telnetを停止してください。FTPではなく、FTPoSSLもしくはSFTPの使用を検討してください。
08. DMZの内側に対して、適切なフィルタリングが行われていたか確認してください。
09. ファイル転送をどうしてもFTP(20/21)でしか運用できない場合、FTPにはTCP-Wrapperを設定してください。
10. FTPdのログを必ずチェックしてください
11. FileZillaを使用中の方はパスワードを保存しないようにしてください（※1）
12. FTPクライアントにパスワードを保管しないように厳守してください。
13. アップロードファイルとローカルファイルの差分を定期的にチェックし、不正な改ざんがないかどうかチェックしてください。

また、これらのCredentialはBruteForceAttackによる単純なパスワード破りの可能性もあります。
その場合、FTP変更後にログを監視し、不正なFTPログインが無いかどうか注意深く見守る必要があるでしょう。

※1 パスワードがXML平文で保存されるため : 参照 10 FTP Clients Malware Steals Credentials From

----------
感染が確実になった場合：個人

残念なことにあなたのPCで入力したすべてのキーストローク、暗号化されていないネットワークトラフィックが窃取された可能性があります。
サーバー管理会社ほどではありませんが、やはり相当の苦痛を伴う作業になるでしょう。

01. ネットワークからパソコンを切り離します。
02. 複数台のパソコンを所有している場合には、残りすべてのPCのチェックを行ってください。
03. 会社へリモートログイン等を行った方は、会社のPCのチェックを行ってください。
04. 感染が確認されたPCの修復を行ってください。基本的にはインジェクションされたレジストリ・ポイントの抹消ですが、思い切って必要なファイルをバックアップし、OSをクリーンインストールし直すことをお奨めします。(※1)
05. 感染していないことが確認できるPCから、すべての ID/Password情報を変更してください。（※2)
06. WebやBlogを所有している場合、適切な措置をとってください

※1 ウィルス感染はどのような亜種が存在するのか誰にもわからないため、100%完璧な修復は存在しません。疑心暗鬼になってしまうよりも一度キレイにしてしまったほうが精神衛生上よいと考えています。
※2 IDの変更も可能なものに関してはIDも変えてしまうことをお奨めします

----------
必要な措置を行った後

脆弱性のあるソフトウェアを使い続けることの恐ろしさが身に染みたのではないでしょうか？

Web感染は、自分が加害者になって見ず知らずの人を巻き添えにすることがあるのです。

自分のインストールしているソフトウェアの脆弱性情報に留意することは難しいかもしれませんが、残念なことに、最後に頼れるのは自分だけです。

----------
感染が確実になった場合：WebやBlogへの告知

あなたは感染者であり、被害者でもあります。

しかし、あなたのサイトがインジェクションを受けている場合には、同時に加害者になっていることを自覚してください。

あなたのサイトへの訪問者が、同じ状況下におかれていることを放置できますか？

Thank you

---------------------------------------------------------------------

以下は 2009年６月頃の話です。 2009.11現在進行中の話とはかなり違う部分があります。

---------------------------------------------------------------------

ウィルスに感染したかもしれない！？と恐怖心でアクセスされた方へ、
まずこちらのほうをご覧ください。

Gumblar ？とおもったら















イマサラ何を言ってるんだ！？とお怒りの方、ごめんなさい



















概要

このウィルスは以下のような性質をもっています


------------
2009.06.21

現時点で、新しい Gumblar と思われる攻撃は停止しています。

最終的な Gumblar の攻撃コード撒布元は martuz.cn で、2009.05.19 の段階で停止しています。

なお、zlkon.lv に差し込まれていた撒布先が junik.lv に移動した際に、gumblarと、一連の .cn インジェクションとの関連が指摘されていますが、現時点で明確な合致点を確認することはできません。

最新の .cn(8080)インジェクションに関しては、injectionタグを参照してください。


------------

2009.05.18

現在、最初の zlkon (94.247.2.195 : hs.2-195.zlkon.lv) は応答停止中です。
gumblar.cn は 有効な A レコード情報が削除されているため正引きできません。
尚、当初、gumblar.cn に割り当てられていた 94.229.65.172 は現在も逆引き可能ですがサーバの応答は停止しています。

現在、攻撃者のインジェクション先は martuz.cn (95.129.145.58) に移行しています。
95.129.144.0/23 (95.129.144.0-95.129.145.255)

hosts ファイルへのブロックで凌ぐ方法はあまりお勧めできませんが（IPベースブロックのところを参照してください）、とりあえず
127.0.0.1 martuz.cn
を登録してください。

また、gumblar.cn がホストを変えて再攻撃を始める可能性もありますので
127.0.0.1 gumblar.cn
も登録しておいてください

尚、
127.0.0.1 zlkon.lv を hosts に登録しても、完全一致するドメインでの攻撃が確認されていないため、あまり効果が無いことを付記しておきます。
※ どうしても登録したい場合は 127.0.0.1 hs.2-195.zlkon.lv となりますが、他にも沢山存在します。

詳細な技術情報：
gumblar.cn から martuz.cn へ

martuz.cn -- FFXI(仮)
------------

2009.05.17

トロイ本体のシグネチャがようやく出されました。
Troj/Daonol-Fam

また挙動チェックの結果から、残念ながら ProcessExplorerによる挙動監視では検知が難しそうな印象です。

------------

名称は？

一応便宜上
jQueryを使っていたものを Zlkon。今回の Eval()を使用 + ScriptEngineで詳細にバージョンチェックを行っているものを Gumblar と呼んでいます。
日本国内では 「GENOウィルス」と呼ばれることが多いようです。
参考：GENOウイルスまとめ

Zlkonのシグネチャは
Symantec:
JS.Downloader IFRAME部
Trojan.Pidief.D PDF
Trojan Horse Trojan本体

TrendMicro:
JS_AGENT.AOIP
JS_AGENT.AVR

具体的な内容検証は、何度も行ったので、ちょっと混乱気味ですが
Disinfect from zlkon virus
を参考にしてください。

zlkonはもう過去の話なので、詳しくは過去ログをご覧ください。

-------------
Gumblar?

現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。


いまのところ、キチンとしたレポートを上げてくれたのは

Sophos
Viral Video Now Just Viral

ScanSafe
Google SERPs Redirections Turn to Bots

のみです。

2009. Mar14
国内の正規サイト改ざん：攻撃サイトを変え再襲来
so-net のほうが、セキュベンダーより詳しいってのはどういうこと？（笑）

あと、こちらが非常に詳しいレポートを上げていますので参考にしてください。
gumblar.cn -- FFXI(仮)

-------------
予防

残念ながら 完璧な予防策はありません。
Adobe Flash Player のアップデート
Adobe Acrobat Reader のアップデート
NoScriptの導入（Firefoxの導入も含めて）
Adobe Acrobat Readerの JavaScript OFF

危険IPのブロック（Firewall登録／IPベースのブロッカーの導入）後述

2009.05.18 追記
FTP を使用せず WinSCPのような SFTPを使用してください

当初 zlkon騒ぎの頃は書いてたのですが、キーロガーの懸念が広がったため（キーログされてると意味が無い）最近は書いていませんでした。

しかし、予防ということでは重要ですので再掲しておきます。
尚、SFTPに対応されているかどうかは、ホスティング会社さん次第であることを付記しておきます。

------------
感染の疑いがある場合

XP / 2000 の方は sqlsodbc.chm をチェックしてください。

Windows XP:
改ざんされていなければ、下記のはずです。
C:\WINDOWS\system32\sqlsodbc.chm
50,727 bytes
MD5:F639AFDE02547603A3D3930EE4BF8C12

Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認
（C:\WINNT\system32\sqlsodbc.hlp は存在する）
C:\WINDOWS\system32\sqlsodbc.hlp
17,148 bytes
MD5:3177C8154F1011535FDD1B1B30D3D2E9


改ざんされている場合には
1000-2000バイトのサイズになっていることが多いようです。
（確証はありませんが、キーロガーのコンテナに使用されているという話もあります。単なるテンポラリなのかもしれませんが、感染状態での読み・書きの頻度が異常に高まります。
※特にサイズが 1323バイトのものは、感染している可能性が極めて高いです）

MD5（ハッシュ）を使ったファイル検証は以下を参考にしてください

gumblar.cn感染をチェックする（MD5取得方法紹介）

HashChecker使用上の注意

※SQL Serverのバージョンによってはこのファイルが違う可能性があります

※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。

※05/15 しげさんより指摘を受けました。

ごめんなさい。
RegEditを使わないで目視で簡単に確認する方法が、sqlsodbc.chm の確認なのです（泣）
一応、身内には ProcessExplorer やら FileMon やらで監視するようにとは言ってありますが、普通の方にはなかなか難しいかもしれません。

----------
sqlsodbc.chm が怪しい場合には、以下のレジストリをチェックしてください。

注意：レジストリ操作はWindowsの知識が無いとシステムに致命的なダメージを与える可能性があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

aux, aux1, aux2... aux9 もしくは midi, midi1 などの設定に見慣れないファイルが設定されていないかどうか？



普通は .dll もしくは .drv のはずです。

感染している例：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 : aux = kft.blc


----------
以上２点を満たす場合、残念ながらウィルスに感染している可能性が高いです。

まず、LANケーブルを引っこ抜いてください！
笑い事ではなく、物理的にインターネットから切り離してください。

このへんを見ながら回復を図ってもよいのですが、はっきりいって不毛です。（回復した後も、本当に安全かどうか疑心暗鬼になってしまうため）

バックアップを取った後、必要なhtml, php, js を "unescape" で grep し、悪意コードの痕跡を消し去り、OSをクリーンインストールしたほうが無難です。

一応 MalwareBytes でも削除できたという報告はありますが、私は確認していません。

PCのサニタイズが完了したら、あなたのPCに関係するすべてのパスワード変更を行ってください。


-----------
注意点：

zlkon および gumblarは、何故か sqlsodbc.chm を使用していますが、意図は不明です。
そもそも何のために使用しているのかも判っていません。
将来のバージョンでは、このコンテナファイルが変更されることは十分に予想できます。

------------
Botnet?

ScanSafe
Google SERPs Redirections Turn to Bots
のレポート、および
gumblar.exe -- ThreatExpert
の実ファイル解析により、
GumblarはIRCもしくは何か別のものによる Botnet 命令待機を行っている可能性が高くなりました。

Botnetに関しては Botnet?を参照してください。

もし、これが事実だとすると、感染者は内部汚染ファイルを自動更新させられる危険性があります。
早急にPCのサニタイズを行ってください。

------------
IPベースブロッキング？

なぜ IP なのか？という話ですが
現在、中国のレジストラでのドメイン取得料が、日本円で２０円くらいなのです。

従って .cn のドメインラッシュによる洪水攻撃が日常茶飯事になっています。
JUNIK.LV host malicious site instead of gumblar.cn

もっとも簡単に IP ベースのブロックを行えるのは
Peer Guardian 2
ですが、セキュソフトによってはマルウェア扱いしているようです。

IDSを導入しているとこは、素直に IPをブロックしてください。

PFWを導入している方も、そこに IPベースでブロックルールを追加できます。

ルータにもIPテーブルを登録できます。

危険な IP は
焼却炉
に、逐次追加しますので、自己判断でブロック・ブロック解除してください。

------------------
急激にアクセスが増えていると思ったら、感染が更に拡大していたのですね

ＰＣ初心者用に、インストラクションを作ったほうがいいんじゃない？とか言われていたわけですが
コチラ
同人サイト向け・通称「GENOウイルス」対策まとめ
に、感染確認の詳細な方法が載っていますので、参照してください。

これ以上感染が広まりませんように・・・・・・・

------------
最後になりますが、今回の件で警報メール送信を手伝ってくださいましたＨさんに心から感謝いたします。
あなたがいなければ、このサイトごと辞めてたかもしれません。

そして、すべてのネットサーファーへ

Be safe!