ガンブラーの攻撃手段が変化したらしい ― 2010/03/01 20:13
エフセキュアブログ : ガンブラー対策「.htaccess」にも注意!
JavaScriptを切ってるのを誘導しても感染させられないんだから効率悪くね?
JavaScriptを使わない攻撃方法が見つかったら洒落にならんけどねぇ。
Firefoxの自動リロード(<meta http-equiv="refresh">)を無効にする(accessibility.blockautorefresh;true)ような方法で、「.htaccess」で転送されるのをブロックする方法とかないものですかねぇ。
<追記>
「Firefox」+「NoScript」では防げない新型「Gamblar攻撃」が発生(1/2):Security NEXT
ここまで書くからには、リダイレクト先がPDFとかなんでしょうねぇ。だったら、PDFのプラグインはアンインストールしないとですね。
ちなみにNoScriptでJavaScriptとJavaとFlashとSilverlight™はブロックできますので、それ以外の手段で攻撃されないと言う通りにはならない筈です。
なんだか今回は出し惜しみしてるような、あるいは危機感を煽ってるだけのような(感染サイトが外部から探せなくなって脅威が増すにしても)感じがするのですが、きっと私の気のせいなんでしょう。うんきっと疲れてるんだ。そうに違いないw
</追記>
<追記2>
当のLACから注意喚起が出ました。
【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認 | LAC
<追記4>
↑トラックバック元のFirefox Add-on「NoRedirect」で HTTP レスポンスコードによるリダイレクトを防止する - 思い立ったら書く日記で.htaccess改竄によるリダイレクト対策としてNoRedirect :: Add-ons for Firefoxが紹介されてました。
なかなかよさげあまりおすすめしない。
</追記4>
2010.03.03 ひなまつり - UnderForge of Lackでも指摘されてますが、これって本当にGumblerなんでしょうか?
</追記2>
↓ガンブラーは相変わらず元気ですのでお気をつけて。
[Attention] 8080 added massive IPs - UnderForge of Lack
<追記3>
Gumblar(ガンブラー)による.htaccessファイルのリダイレクト先を踏んでみる - 無題なブログ
ということだそうですので、今のところリダイレクトされたら即危険というわけではないです。
(言われるままファイルを実行してしまうカモは除く)
</追記3>
関連:
NoRedirectを使ってみた
参考:
ラック、Apacheの「.htaccess」を不正アップロードするGumblarへの注意喚起 | マイコミジャーナル
お隣の119チームのSEKI隊員の呟きによると、、、
ガンブラーに新しい攻撃をするものが出てきているようです。
具体的には、FTPのアカウント情報を盗用され、「.htaccess」ファイルをアップロードされます。
どうやら、JavaScript以外でのリダイレクトの方法に切り替えてきている模様。(現在、詳細確認中・・・)
JavaScriptを切ってるのを誘導しても感染させられないんだから効率悪くね?
JavaScriptを使わない攻撃方法が見つかったら洒落にならんけどねぇ。
Firefoxの自動リロード(<meta http-equiv="refresh">)を無効にする(accessibility.blockautorefresh;true)ような方法で、「.htaccess」で転送されるのをブロックする方法とかないものですかねぇ。
<追記>
「Firefox」+「NoScript」では防げない新型「Gamblar攻撃」が発生(1/2):Security NEXT
今回見つかった攻撃は、ウェブを管理するPCへウイルスが感染して、FTPアカウントが窃取され、不正アクセスによりウェブサイトが改ざんされる点は従来と同様だが、ページ内部へ「JavaScript」を埋め込む手口ではなく、不正サイトへ誘導する設定を記載したサーバ設定ファイル「.htaccess」をアップロードする点が異なっているという。
(中略)
不正な「JavaScript」の実行を制限するため、「Firefox」とアドオンの「NoScript」を用いるケースがあるが、こうした対策では今回の攻撃を防げない可能性があると同氏は指摘する。
ここまで書くからには、リダイレクト先がPDFとかなんでしょうねぇ。だったら、PDFのプラグインはアンインストールしないとですね。
ちなみにNoScriptでJavaScriptとJavaとFlashとSilverlight™はブロックできますので、それ以外の手段で攻撃されないと言う通りにはならない筈です。
なんだか今回は出し惜しみしてるような、あるいは危機感を煽ってるだけのような(感染サイトが外部から探せなくなって脅威が増すにしても)感じがするのですが、きっと私の気のせいなんでしょう。うんきっと疲れてるんだ。そうに違いないw
</追記>
<追記2>
当のLACから注意喚起が出ました。
【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認 | LAC
【動作概要】403、404はともかく、
この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。
【従来型Gumblarとの相違点】
従来のGumblar攻撃と異なる点は、次の2点が判明しています。
- 1. ユーザはJavaScriptの対策だけでは防げない
- Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。
- 2. コンテンツファイル監視だけでは気付くことができない
- コンテンツファイル自体は改ざんされておらず、さらにブックマーク(お気に入り)やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。
主要検索サイトからのアクセスに関しては、RefControl :: Add-ons for Firefoxで規定を「阻止」にしておけばいいか。
<追記4>
↑トラックバック元のFirefox Add-on「NoRedirect」で HTTP レスポンスコードによるリダイレクトを防止する - 思い立ったら書く日記で.htaccess改竄によるリダイレクト対策としてNoRedirect :: Add-ons for Firefoxが紹介されてました。
</追記4>
2010.03.03 ひなまつり - UnderForge of Lackでも指摘されてますが、これって本当にGumblerなんでしょうか?
</追記2>
↓ガンブラーは相変わらず元気ですのでお気をつけて。
[Attention] 8080 added massive IPs - UnderForge of Lack
8080系が恐ろしい勢いでIPを増やしています
とうとう、大西洋を渡ってアメリカのISPも汚染を開始しました。
何度も言うようですが、脆弱性をきちんを塞いでいれば恐れることはありません。
<追記3>
Gumblar(ガンブラー)による.htaccessファイルのリダイレクト先を踏んでみる - 無題なブログ
ってなわけで、早速ここにアクセスしてみました。複数回のリダイレクトの後、インドドメインのページでウイルススキャンを行うインチキシーンが表示されました。ウイルスが”検出”されたぞ!と驚かせて、”駆除ツール”と称する偽ウイルス対策ソフトをダウンロードさせようとする典型的なスタイルです。
ということだそうですので、今のところリダイレクトされたら即危険というわけではないです。
(言われるままファイルを実行してしまうカモは除く)
</追記3>
関連:
NoRedirectを使ってみた
参考:
ラック、Apacheの「.htaccess」を不正アップロードするGumblarへの注意喚起 | マイコミジャーナル
コメント
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/03/01/4915729/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
_ 思い立ったら書く日記 - 2010/03/06 22:23
いわゆる Gumblar に .htaccess を悪用して Exploit コードが仕込まれたサイトに誘導される方法が確認されたようですね。ラックが発表した注意喚起の動作概要を引用します。 【動作概要】 この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。