脆弱性を利用するStyxエクスプロイトキット

脅威情報
2013.8.21

Webベースのマルウェアは、新しいエクスプロイトキットの急増を受けて、ここ数年増加しています。これらのキットは、人気のあるアプリケーションの脆弱性をターゲットにしており、サイバー犯罪者がマルウェアを配布する効果的な方法を提供しています。以前、一般的なエクスプロイトキットであるRed Kitについて説明しました。最近McAfee LabsはStyxエクスプロイトキットの拡大を確認しています。

以下のグラフは、このエクスプロイトキットの実環境での広がりを示しています。

攻撃の概要

他のエクスプロイトキットと同様、Styxはひそかに、正規のWebサイトにアクセスしたユーザーを、さまざまな脆弱性をターゲットにしたエクスプロイトファイルを組み込まれている悪質なページにリダイレクトします。リダイレクターのリンクはスパムメールで届く場合があります。

リダイレクター

ユーザーが悪質なページにアクセスすると、マルウェアはシステムにインストールされている脆弱なアプリケーションを検索します。検索はブラウザのプラグイン検出コード（Plugin Detectバージョン0.8.0）を使って行われます。

Plugin Detectバージョン0.8.0

ページには、難読化されたコードを含む悪質なリンクが組み込まれたiframeが埋め込まれています。

悪質なiframe

悪質なページで使われているJavaScriptは、一意のIDを使ってiframeを参照し、悪質なコードを解読し、乗っ取ったサーバーにホストされている以下の悪質なWebページをロードします。

Jorg.html
Jlnp.html
Pdfx.html

悪質なJavaScript

Jorg.htmlというページは、CVE-2013-0422の脆弱性をターゲットにしたJARファイルをダウンロードします。
Jlnp.htmlは、Java Network Launch Protocolを利用して、CVE-2013-2423の脆弱性をターゲットにした悪質なJARファイルをユーザーにダウンロードさせることができます。攻撃者は、「__applet_ssv_validated」パラメーターの値をTrueに設定して、Javaセキュリティチェックを回避します。

Jlnp.html

Pdfx.htmlは、fnts.htmlとjovf.htmlの2つのWebページをロードします。これらはeot（Webベースのフォントファイル）とJARファイルをダウンロードします。ファイルはそれぞれ「CVE-2011-3402」、CVE-2013-1493の脆弱性をターゲットにしています。最後に、pdfx.htmlは、CVE-2010-0188の脆弱性をターゲットにしたPDFをダウンロードします。

ペイロード

このエクスプロイトキットの最後のペイロードは、リモートサーバーから追加のマルウェアを配信するダウンローダーです。攻撃者にもよりますが、ペイロードはカスタマイズされ、乗っ取ったマシンに配信されます。

URLのパターン

Styxエクスプロイトキットは、さまざまなURLパターンを悪質なページに使用します。