以前からWebでよく見られるソーシャルエンジニアリングの手口として、「動画コーデックの不備」をターゲットにしたものがあります。動画閲覧に必要なアプリケーションの不備を装い、リンクをクリックさせたり、実行可能ファイルをダウンロード、インストールさせたりするものです。以下のアニメーション画像はその一例です一見したところ、Webページに埋め込まれた動画が再生不可となっているようです。「再生するにはクリックしてください」との指示がありますが、ここに罠が潜んでいいます。本記事ではこのカラクリを解明すると同時に、現在のマルウェアキャンペーンでどのようなトラフィック管理がなされているかについて取り上げます。
上記アニメーション画像は、多くの会員を持つあるブログサービス上に存在しており、不審なFlashサンプルにリンクされています。簡単に分析したところ、このFlashコンテンツは圧縮され、難読化されたJavaScriptコードを含んでいました。このコードの真の目的はアクセスを別の場所へリダイレクトすることですが、それを難読化によって隠しています。
リダイレクト先は、いわゆる「トラフィック管理システム」です。今回のケースの場合、当該URLを読み込むと、最初の数回は宛先が変更されます。更に繰り返し読み込んである制限回数を超えると、常にGoogleのトップページへリダイレクトされるようになります。このシステムは、訪問者のIPアドレスをサーバーに一定期間記憶します。この期間が経過するか、あるいは別のIPアドレスで当該URLにアクセスすると、再び同システムにリダイレクトされるようになります。
このリダイレクトは、よくあるHTTPの「302 Found(要求されたソースは一時的に別のURLに属する)」応答を利用しており、トラフィック管理システムがインストールされたサーバーの場所が示されています。別なケースではGeo-Location(位置情報)が使用されることもあり、トロイの木馬(ダウンローダ)が当該システムと連携し、訪問者の国に応じて異なるマルウェア用バイナリをダウンロードさせるようになっていました。
上記のようなトラフィック管理システムは、現在はWebベースの管理インタフェースで設定を行います。通常、「受信トラフィック」のリンクは「http://www.example.com/in.cgi?three」や「http://www.example.com/in.cgi?default」のような形で表示されます。この中の「three」あるいは「default」は、システムの”キャンペーンID ”を表します。トラフィックに対する一般的なルールは、以下のようなものです。
管理者は「受信トラフィック」のルールを定義し、条件に応じて異なる「送信トラフィック」を指定できます。例えば、Geo-Locationを使用して、特定の国からの訪問者をある場所にリダイレクトし、別の国からの訪問者は別の場所にリダイレクトするといった具合です。対象国の言語を使ったローカライズキャンペーンをイメージすれば良いでしょう。つまり、米国のユーザーがフランスのWebサイトにリダイレクトされるパターン、あるいはその逆のパターンは生じません。
このようなトラフィック管理システムでは、ネットワークやリファラの情報を使用してさらに複雑なルールを実現することもできます。「Googleのリファラを有する訪問者は、IPアドレスが明らかにセキュリティ会社のものでない限り、攻撃用Webサイトへリダイレクトする」といった感じです。
こうした仕組みにしているのは、Webサイトを検索するユーザーに対してのみ悪意のあるリダイレクトを実行することができるからです。Webサイトの所有者や管理者は、検索など行わず問題のURLをブラウザに直接入力するため、通常のWebサイトしか表示されません。管理者はおかしな現象に遭遇しないため、攻撃者は感染を長期間隠ぺいすることができます。
別のトラフィック管理システムは上記の画像にあるように、”システムの管理者”、“販売者”、“購入者”のそれぞれに対し、別々のWebログイン画面を提供する機能も持ちます。販売者には、同システムを示すiframeが記載されたWebサイトを表示させ、購入者(エクスプロイトサーバーを実行し、パッチの当てられていないPCにマルウェアをインストールしようとターゲットを探す人々など)には、別のサイトを表示させます。同システムは、感染したWebサイトとエクスプロイトサーバーの間に設置することができます。上記画像から明らかなように、支払いオプションを設定することも可能です。つまり、購入者のトラフィックをリダイレクトすればするほど、販売者にお金が支払われることになります。同システムを介在させることにより、キャンペーンを簡単に変更、あるいは「トラフィック」を新たな購入者に売却することができます。
「ビデオ・コーデックの不備」というありがちなトリックですが、その行き着く先は最新のマルウェアキャンペーンを管理する、極めて複雑なシステムです。悪意のあるリソースにアクセスしたり、そのリソースを辿っていったりすると、最終的には、サーバー側の複雑な管理システムでリダイレクトされることとなります。
※本ページの内容はMcAfee Blogの抄訳です。
原文:Inside The Malicious Traffic Business
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)