コンテンツへスキップ

CookieBombと言えば、2013年6月頃に相次いだWebサイト改ざんでインジェクションされたものです。
当時書いた記事はこちら =>> 「相次ぐWebサイト改ざん被害 遅れる対応 -CookieBomb-

今回は再び、CookieBomb新型なるWebサイト改ざんが広まってきているようです。

0day.jp: 新型「CookieBomb」マルウェア転送クッションのdecoding方法(日本語版)
Malware Must Die!: ..And another "detonating" method of CookieBomb 2.0 - Part 1
..And another "detonating" method of CookieBomb 2.0 - Part 2

ということで、今回も日本国内サイトをざっと調査してみました。
とはいっても0day.jpさんで日本語の記事もあり、二番煎じではありますが、もうちょい詳しく解説してみようと思います。

... "Webサイト改ざん 新型CookieBombの解析" を続けて読む

5

GMOデジロック(旧デジロック)が運営する共有レンタルサーバー「VALUE SERVER」が、クラッキングされ、
Indexページ改ざんという被害が発生しています。
改ざんが確認されているのは「s1.valueserver.jp」(IP: 157.7.184.16)サーバーです。

発生日時は2014/1/19 16:40で、1/20 2時~3時頃まで改ざんされたページが表示される状況でした。
また、復旧後も対策漏れがあり、1/20 17時~18時に再び改ざんされてしまいました。
現状につきましては、公式の障害情報ページにて発表があります。

現時点では、悪意のあるページに改ざんされたり、リダイレクトされるようなことは確認されていません。

... "VALUE SERVER(s1.valueserver.jp) 改ざん被害 対応後も再び改ざん!" を続けて読む

W3Q: あぁ諸行無常…2012年にサービス終了したWebサービスまとめ23個

本年も様々なWebサービスが終了しました・・・

個人的に大きいのは、「Google Apps 無償版」ですね。
2012年12月6日以降、新規アカウントの登録は終了したとのことです。(既存ユーザーは継続)
事前にこの告知がされていたのはどうかは知りませんが、私は終了当日にGoogle Appsのアカウントの方のメールにて初めて知りました。
思い返せば以前から、最大50ユーザーが10ユーザーに削減されたりと、無償版サービスの提供が縮小傾向だったことは確かです。
これほどのサービスを無償で利用できるのは皆無といってもよいので、非常に残念です。

それと、まとめには記載されていませんが、KDDI「au one メール」のサービス終了もユーザーとしてはビックリ。

auポータル: 「au oneメール」の提供終了について
slashdot: 「一生つきあえる100年メール」とうたった「au one メール」、来年でサービス終了

ご存知ない方のために簡単に説明すると、ケータイ向けアドレスの他にセカンドアドレスとして提供されるもので、ケータイメールも保存することができます。
ちなみにこのメールシステムはKDDIのものではなく、Gmailのシステムを利用したものです。
そのため使い勝手も安定性もそこらのISPメールより良かったのに・・・
終了の理由としては、利用者の減少ということで・・・確かに認知度は低いと思います。良いサービスなのに。

終了は2013年9月30日なので、猶予期間は十分ではありますが、メールサービスの持続性が問われますよね。
「100年メール」と称していましたが、注釈を見ると容量的な意味で100年ということらしいです。
しかしながら、保守運用の手間も減らすためにGmailベースを導入したということも十二分にあると思うのですが、6年でサービス終了とは短すぎじゃないでしょうかね。
ちょっとKDDIにはガッカリです。

一昨日16日に、本サイトを動かしているサーバー機を更新しました。
これに関しては、また後ほど詳しく書こうと思います。

また、16日~17日にかけて、サーバーの設定ミスによりアクセス不能となっておりました。
 わざわざ零細サイトにアクセスしようとしてくださった方、申し訳ありませんでした。
一応確認したつもりだったんですが・・・
いち早く異常を報告してくれたGoogleウェブマスターツールに感謝です。

2

ある業界では有名な「Blackhole Exploit Kit」ですが、どうやら最近アップグレードが行われたようです。

Symantec : BlackHole 悪用ツールキットがアップグレード: 擬似ランダムなドメイン
Slashdot : Blackhole Exploit Kit Gets an Upgrade

で、今回の目玉は「疑似乱数によるドメインの動的生成」らしいです。

何のことかと言うと、まず、Exploit Kit によるマルウェアサイトに誘導する主な手法はサイト改竄です。
その理由は、セキュリティベンダなどが提供しているブラックリストベースの検出を回避するため。
また、既存のサイトを改竄することで、特に何もすることなくユーザーが怪しむことなく集まります。
攻撃者にとってはホイホイな訳で。

そこで、改竄時に挿入される難読化されたJavaScriptについてが本題です。
大まかな動作としては、攻撃用サーバーにアクセスさせるために不可視のiframe(インラインフレーム)を埋め込みます。
んで、そこからJavaやらAdobe Flash / Reader やらのExploitが送り込まれて、それらが成功すればドライブバイダウンロードでマルウェア感染ってなことが一連の流れです。

ただ、従来の方法には一つ欠点がありました。
それはiframeとして埋め込んだURLがダウンした(ブラックリスト入りしたり、対策された)時です。
攻撃用サーバーにアクセスさせるためには、当然新しいURLに差し替える必要があります。
ただ、大量の改竄サイトを更新するのは困難であると。
そこで、もしダウンした場合でも自動的に更新するために、日付などの情報を基にして疑似乱数を基にドメイン名を動的に生成しようという訳です。

... "Blackhole Exploit Kitアップグレードされる" を続けて読む