マルバ タイ ジング。 パスワードスティーラー・マルバタイジングとは？ それぞれの特徴について知ろう。

WMDでマルバタイジングを防ぐ

マルバタイジングの仕組み マルバタイジングはこれまで、アダルトサイトやカジノサイト、ゲームサイト、詐欺まがいのショッピングサイトなど、いかにも怪しいWebサイトで表示されることが多かった。 また、広告のクリックによって起こることは、不正なソフトウェアやWebブラウザーのプラグインをインストールされることが多かった。 これらにより、Webブラウザーのホームページ設定を変更され、ポップアップ広告が頻繁に表示されるなどの被害を受けた。 最近のマルバタイジングでは、怪しいWebサイトではなく、一般的に使用されるメジャーなWebサイトでも表示されるようになり、しかも一見しただけでは危険なものとは思えない普通の広告にマルウェアが仕込まれるようになった。 広告そのものは本来無害なものであるが、その広告のHTML（ホームページを表示する内容を設定するプログラム）にスクリプトが埋め込まれているケースが多い。 これにより、悪意のあるサイトへ間接的に誘導する。 広告に埋め込まれるスクリプトは、WebブラウザーやWindowsなどの脆弱性を悪用するものも多く、閲覧したパソコンに脆弱性があると、広告が表示されただけでマルウェアに感染してしまう可能性もある。 2017年には、米国の三大信用情報会社の一つとして知られるEquifax（エクイファックス）社がハッキングにより個人情報漏えい事故を起こしているが、その後、同社のWebサイトにマルバタイジングが埋め込まれ、ランサムウェアの拡散に利用されている。 Webサイトの広告枠の仕組み 一般的なサイトでも、マルバタイジングは行われる。 これは、Webサイトの多くが広告により収入を得ているためだが、その仕組みに原因がある。 多くのWebサイトは、ページ上に広告用の表示枠を設定し、そこに広告を表示するようにしている。 つまり、表示枠部分は広告主のサーバーからデータを読み込むようになっている。 広告配信の仕組み 最近では、単独の広告主よりも広告配信事業者が広告を提供するケースが多くなっている。 広告配信事業者は広告代理店のようなもので、複数の広告主から依頼を受け、より効果的に広告を掲出する事業者だ。 現在は、Webサイトに「計測タグ」と呼ばれるタグを設置することで、ユーザーのWebブラウザーに個人を識別できるクッキーを付与する。 ユーザーのクッキー情報を集めることで、そのユーザーがどのようなWebサイトでどのような商品を見ているのかが分かる。 つまり、ユーザーの嗜好が分かるというわけだ。 また嗜好に合わせて、広告配信事業者は最適な広告を表示するようにできる。 これは「ターゲティング広告」と呼ばれるもので、不特定多数に広告を表示するよりも効果的に広告を表示できるし、ユーザーは自分と無関係な広告が表示されることがなくなり、趣味に合った広告のみが表示されるようになる。 オリジナルの広告を作成するのは広告主やその依頼を受けた広告会社であるが、そこがサイバー攻撃を受けて広告に不正なスクリプトを埋め込まれてしまう。 そして、広告主から提供される広告のチェックを十分にしていない広告配信事業者があると、一見は問題ないが、中には不正なスクリプトが埋め込まれた危険な広告が、メジャーなWebサイトに表示されることになってしまう。 Webサイト側でもページに表示するHTMLにミスがないか、リンク先のWebサイトが安全なものなのか、あるいはWebサーバーに脆弱性がないかなどはチェックしているが、広告枠はユーザーによって表示内容が変わるため、安全性をチェックしきれないのが現状だ。 こうしたことから、メジャーなWebサイトでもマルバタイジングが発生してしまうわけだ。 マルバタイジングの被害に遭わないために 現在のマルバタイジングは、メジャーなWebサイトをネットサーフィンしていても遭遇する可能性がある。 以前のような「怪しいWebサイトにはアクセスしない」という対策は、もはや意味をなさない。 ただし、対策方法はある。 アドバタイジングは現在のところ、スパムメールやフィッシングメール、ウイルスメールなどで誘導されるWebサイトとほぼ同じ手法を採用している。 そのため、基本的にはウイルス対策の一環でマルバタイジング対策が行える。 具体的には、まずパソコンにインストールされているソフトウェアを最新の状態に保つことだ。 「Windows」や「Internet Explorer」、「Office」といったマイクロソフトの製品は、毎月第二水曜日に月例の修正プログラムが公開される。 通常はMicrosoft UpdateやWindows Updateが自動実行される設定になっているので、これをなるべく早く適用する。 マルバタイジング対策 また、アドビシステムズの「Adobe Acrobat」や「Adobe Acrobat Reader」、「Adobe Flash Player」、オラクルの「Java SE」などの脆弱性は、しばしばサイバー攻撃に利用されるため、アップデート情報を定期的にチェックするようにしたい。 アドビシステムズでも、マイクロソフトの月例修正プログラム公開と同じ日にアップデート情報が公開される。 ウイルス対策ソフトの導入も重要なポイントだ。 ウイルス対策ソフトには、パソコンの購入時に3カ月無料で利用できるようなものがあるが、これは基本的なウイルス対策しかできない可能性が高い。 できれば「総合セキュリティソフト」といわれるバージョンを導入したい。 これはWebフィルタリングの機能を搭載するものが多く、たとえメジャーなWebサイトでも、改ざんされている場合には警告してくれる。 サイバー攻撃者は、その攻撃が効果的であると判断すれば過去の手法もすぐに取り入れる。 最近ではマクロの手法が再び活発に使用されており、マルバタイジングも同様だ。 沈静化したからといって、サイバー攻撃の手法が使われなくなる可能性は低いと考えられるため、過去の手法にも継続して対策していくことが重要だ。 また、「格安セール」などと気になる広告があっても、クリックせずにその会社やサービスを検索し、トップページで情報を確認するなど、より慎重にネットサーフィンをする必要があるだろう。

次の

マルバタイジングとは？

概要 今年度、Proofpointのリサーチャーはを頻繁に報告しています。 しかし、EKは依然としての重要なコンポーネントであり、数多くのユーザーが悪意のある広告を通じてマルウェアに曝されています。 10月末以降は、マルバタイジングによる継続的な攻撃で使用される「DNSChanger EK」[1] の改良されたバージョンを確認しています。 DNSChangerは、標的とするユーザーのウェブブラウザー経由でインターネットルーターを攻撃します。 EK はブラウザーやデバイスの脆弱性ではなく、ユーザーの自宅や小規模オフィス SOHO のルーターの脆弱性を狙います。 ほとんどの場合、DSNChangerは、ChromeブラウザーやWindowsのデスクトップ、およびアンドロイドデバイス経由で攻撃します。 しかし、一旦ルーターが攻撃されてしまうと、オペレーティングシステムやブラウザーの種類に関わらず、そのルーターに接続している全てのユーザーが攻撃とマルバタイジングの危険にさらされます。 ルーター攻撃は次から次へと続き、数日続くマルバタイジング攻撃と関連があるようです。 攻撃パターンと感染連鎖の類似性から、これらの攻撃の背後に潜むアクターが、2015年前半に発生した「CSRF クロスサイトリクエストフォージェリ Soho pharming」の活動にも関わっていると結論づけました [1]。 しかし、弊社はこれらの攻撃の実行に際して、以下のような改良が施されていることを発見しました。 社内アドレス用の外部DNSリゾリューション• 隠ぺいのためのステガノグラフィー• 標的になったルーターを攻撃するために送信されるコマンドのレイアウト• 十数件のルーターエクスプロイトの追加：2015年には55のフィンガープリントだったものが、今では129のフィンガープリントが255のルーターをカバーしています。 可能な場合 36件 、エクスプロイトキットはネットワーク規則を改変し、外部アドレスから管理ポートにアクセスできるようにして、Miraiボットネット攻撃のように、ルーターをさらなる攻撃にさらします [2]• マルバタイジング攻撃チェーンは、アンドロイドデバイスも対象となっています。 攻撃チェーン： 攻撃チェーンは、悪意のある広告をホスティングさせた正規のウェブサイトを通じて、被害者のネットワークを陥れます。 悪意ある広告は、知らない間に正当な広告エージェンシーから配信されています。 図1に攻撃チェーンの全容を示します。 図1：攻撃チェーンの全容図 図2は、この攻撃に捉われたトラフィックの例を示しています。 攻撃分析： デスクトップとモバイルデバイス上でマルバタイジングに遭遇すると、DNSChanger EKにトラフィックを送信します。 この攻撃は、最新版にアップデート済みの、Windowsやアンドロイド向けGoogle Chrome上で確実に実行されたことが確認できました。 DNSChangerは、 を利用して、stun. services. mozilla[. ]com経由で をリクエストし、被害者のローカルIPアドレスを特定します。 被害者のIPアドレスがすでに知られている場合、あるいはローカルIPが攻撃範囲にない場合、サードパーティ広告エージェンシーからの合法的な広告が表示されるデコイパスに移動します。 クライアントがこのチェックにパスすると、被害者には偽の広告が表示されます。 JavaScriptは、PNGファイルのコメントフィールドからHTMLコードを抽出し、被害者をDNSChanger EKにランディングするように仕向けます。 図3 1 に示した画像は、本来の. jpgではなく偽物のPNGファイルです。 図3： DNSChanger EKへのリダイレクトを引き起こすコードが含まれた偽の広告 2016年11月 DNSChanger EK は、STUNリクエスト経由で、再度、被害者のローカルIPアドレスをチェックします。 それから、複数の機能と小さな画像内にステガノグラフィーで隠されたAESキーをロードします。 図4：AESキーを抽出する関数とそれを使用した、フィンガープリントと関連コマンドの解読。 このキーは、フィンガープリントの解読に使用され、フィンガープリントは129のアイテムへと重複排除されます（完全なリストは付録を参照）。 スキャン関数が実行されると、ブラウザーはDNSChanger EKにそれを報告し、DNSChanger EKがルーター攻撃に関する適切な指示を返します。 図6：画像と復号されたAESから抽出した攻撃レイアウト 図7：攻撃コマンドの例 この攻撃は、スキャン段階で検出された特定のルーターモデルによって決定されます。 既知のエクスプロイトがない場合、攻撃はデフォルトの認証情報の使用を試みます。 あるいは、既知のエクスプロイトを利用してルーターのDNSエントリーを改ざんし、可能な場合（129存在するフィンガープリントのうち、36で確認済み）、外部アドレスから管理ポートにアクセスしようと試みます。 このようにして、ルーターを Mirai [2] ボットネットが実行したような追加の攻撃にさらすのです。 図8：解読されたポートマッピングの指示例 図9：DNSChanger EKがトラフィックで捉えた外部TCP 8780へ、テルネット管理ポートをマッピングしようと試みている様子 感染後： このような攻撃 ルーターのDNS記録を書き換える の目的は、必ずしも常に明確ではありません。 今回、その目的の要素を少なくともひとつ判定できました。 信頼できる公開DSNサーバーとこれらの攻撃で識別された悪意あるサーバーの間のDNSレゾリューションの違いを調査した結果、攻撃の目的は、主に以下のような大規模なウェブ広告エージェンシーのトラフィックを盗むことであるとわかりました。 エージェンシー 経由 Alexa ランキング Propellerads onclickads. net 32 Popcash popcash. net 170 Taboola cdn. taboola. com 278 OutBrain widgets. outbrain. com 146 AdSuppy cdn. engine. 4dsply. com cdn. engine. phn. doublepimp. com 362 245 攻撃者は193. 238. 153[. ]10 または46. 166. 160[. ]187に該当するドメインのレゾリューションを図ります。 ドメインによっては、攻撃者はレゾリューションを利用して広告の動作と標的とするウェブサイトを改ざんしたり 例えば、ページの任意の場所をクリックすると、ポップアップがトリガーされるようにするなど 、置き換えを実行したりします。 図10：攻撃によって改ざんされた広告コール 弊社が調査した時点では、これらの攻撃はトラフィックをFogzy a. rfgsi[. ]com とTrafficBrokerに誘導していました。 弊社はこの両社に連絡し、さらなる情報を得て、両社のネットワーク上でトラフィックが盗まれていることを報告しました。 攻撃されたルーターと被害緩和の手順 被害者サイドですでにフィンガープリントのデータと関連ルーター間の明らかな関係がなくなっているため、攻撃されたルーターの完全なリストを提供することはできません。 明らかな関連性は、2015年半ばにDNSChanger EKから削除されており、より深い調査はこの分析の範囲を超えていました。 しかし、エンドユーザーにとって最も安全なアプローチは、全ての既知のエクスプロイトがこのようなエクスプロイトキットに統合されているとみなし、全てのルーターを最新版のファームウェアにアップデートすることです。 弊社は、脆弱なルーターとして新たに複数のルーターを判別しました。 D-Link DSL-2740R• NetGear WNDR3400v3 このシリーズの他のモデルもおそらく脆弱と思われる• DGA4001N• Netgear R6200 Netgear R7000, R6400のゼロデーエクスプロイト[4]とその他の攻撃[6]が最近、他のリサーチャーによって公表されました。 DNSChanager内で、これらのモデルに関連するフィンガープリントを調査しましたが、2016年12月12日の時点では、見つかりませんでした。 それでも、弊社はUS-CERT [5]からの指示に従い、攻撃されたNetgearルーターのウェブサーバーを無効化することをユーザーに強く推奨しています[7]。 近い将来、このエクスプロイトがこのEKに追加されると考えられるためです。 Netgearは、これらの脆弱性の問題を抱えるユーザーに対し、ベータ版のファームウェアを利用可能にしました [9]。 多くの場合、SOHOルーターの遠隔管理機能を無効にするだけで、セキュリティを改善できます。 この場合、攻撃者はネットワーク上のデバイスから有線あるいは無線の接続を試みます。 その結果、攻撃者は遠隔管理機能がオンになっていなくても、ルーター設定を変更できます。 残念ながら、こうした攻撃を回避するための簡単な方法はありません。 ルーターに最新のアップデートを適用することが、エクスプロイトを回避する最善の方法なのです。 この場合に限っては、デフォルトのローカルIP範囲を変えることで、ある程度の回避は可能かも知れません。 しかし、どのソリューションも標準的なSOHOルーターのユーザーが利用する典型的な方法に過ぎません。 そのため、ルーターの製造者にとっては、ハードウェアのシンプルで使いやすいアップデート方法を開発するのは手間がかかるのです。 しかも、広告はウェブパブリッシングエコシステムの重要なコンポーネントだとわかってはいますが、攻撃がマルバタイジングに端を発している場合には、広告をブロックするブラウザーのアドオンがこうした種類の攻撃回避につながることもあります。 結論： 攻撃者がネットワーク上のDNSサーバーをコントロールしてしまうと、ネットワークに接続しているデバイス上で、さまざまな悪意ある行動を実行する恐れが生じます。 これには、銀行の不正取引、中間者攻撃、フィッシング[8]、不正広告、その他さまざまな行為が含まれます。 この場合、攻撃者はDNSChanger エクスプロイトキットを利用して、SOHOネットワークの唯一のDNSサーバー、つまりインターネットルーターを攻撃できるようになります。 一般に、これらの攻撃を回避するには、ルーター製造者が定期的にファームワークにパッチを提供し、ユーザーが定期的にこれらのパッチを適用する必要があります。 ルーターが脆弱な場合、攻撃されてボットネットで利用されてしまうと、ネットワーク上のユーザーだけでなく、ネットワーク外の他のユーザーにも影響が及びます。 ファームウェアのアップデートはユーザーの責任ですが、デバイス製造者もセキュリティを明確にし、アウトセットからべークインしておかなければなりません。 特にSOHOマーケット向けに設計された機器には必要です。 参考 [1] [2] [3] [4] [5] [6] [7] [8] [9] 攻撃されたことを示す痕跡（IOC ドメイン IP コメント modificationserver. com 93. 115. 248 EKの前のマルバタイジング ステップ2 - 2016年12月 expensiveserver. com 46. 21 EKの前のマルバタイジング ステップ 1 - 2016年12月 immediatelyserver. com EKの前のマルバタイジング - 2016年11月 respectsserver. com 217. 220. 127 EKの前のマルバタイジング ステップ 1 - 2016年10月 ad. reverencegserver. com EKの前のマルバタイジング ステップ 2 - 2016年12月 parametersserver. com 93. 115. 102. 10 ～ 24 Rogue DNS サーバー 5. 220. 117 ～ 126 Rogue DNS サーバー 217. 218. 114 ～ 121 Rogue DNS サーバー 93. 115. 194 ～ 244 Rogue DNS サーバー 193. 238. 153. 10 および 46. 166. 160. 187 標的になったトラフィックの代替IP 偽装サーバー） このホストへのトラフィックは、ルーターで改ざんされたDNSエントリーの前兆だと思えます。 pix1. payswithservers. com 192. 168. 1の外部ドメイン pix2. payswithservers. com 192. 168. 1の外部ドメイン pix3. payswithservers. com 192. 168. 178. 1の外部ドメイン pix4. payswithservers. com 192. 168. 1の外部ドメイン pix5. payswithservers. com 192. 168. 1の外部ドメイン pix6. payswithservers. com 192. 168. 137. 1の外部ドメイン pix7. payswithservers. com 10. 1の外部ドメイン pix8. payswithservers. com 192. 168. 100. 1の外部ドメイン pix9. payswithservers. com 10. 1の外部ドメイン pix10. payswithservers. com 10. 1の外部ドメイン pix11. payswithservers. com 192. 168. 1の外部ドメイン pix12. payswithservers. com 192. 168. 254. 1の外部ドメイン pix13. payswithservers. com 192. 168. 1の外部ドメイン pix14. payswithservers. com 192. 168. domain254. com 名前解決なし sub16. domain. com 66. 162. 92に解決 sub17. domain. com 66. 162. n704bcm. n704bcm. n704a3. jpg",140,90,"0",0].

次の

大規模なマルバタイジング攻撃により 288 サイトが感染

私は学生のころ、中小企業のコンピューターの保守と管理を行うアルバイトをしていました。 それから何年も経ちましたが、今でもその「古き良き時代」を思い出すことがあります。 たいていは、毎日のようにPCを使っていても、適切に管理できていない親戚の家を訪れるときです。 何週間か前、そんな親戚からまた面倒を見てほしいと頼まれました。 非常にパワフルで、決して古くないラップトップなのですが、動作がとても遅くなってしまったというのです。 詳しく調べてみたところ、コンピューティングリソースの4分の3が、5種類の「ホームページヘルパー」と「検索パネル」によって消費されていることがわかりました。 こうしたプログラムとともに悪意あるアドウェアがインストールされており、そのせいでWebページを開くたびに巨大で不愉快なバナーが表示されていたのです。 2時間かけて手を加えたところ、結果は上々でした。 そして、もちろん（のWindows対応プログラム）をインストールしておきました。 迷惑な広告表示 「悪意ある」アドウェアと書きましたが、これには2つ理由があります。 1つは、あまりにも大量のPCリソースを消費すること。 もう1つは、こちらの方が重要なのですが、広告を表示する手段だからです。 実際、Webページを開くたびにバナーが表示され、しかもそれがページの元々のコンテンツや特徴を真似ているのであれば、どんなアドウェアも一種のマルウェアと言ってよいでしょう。 自分のよく知るWebサイトにアクセスしたとき、どんなにひどい状況にあるのかをようやく理解しました。 見るページ見るページ、本文の下や横の余白に広告が5つ6つと挿入されていたのです。 これでは、Webサイト所有者が欲をかいて広告で埋め尽くしているのだ、と人々に勘違いされてしまいます。 この「超便利」な機能は、ブラウザーごとに最大300MBのメモリを必要とし、CPU負荷の3分の2を消費します。 自ら消える リソースを大量に食う悪質プログラムをタスクマネージャーで停止する作戦は成功しました…が、10秒もすると、その多くが復活し、PCの処理能力をまた食いつぶすようになりました。 ダッシュボードからアンインストールしても、あまり効果はありません。 YandexやYahoo! の検索バーなど、「本物」のプログラムだけが、自発的にきちんと消えてくれました。 この2つのプログラムが消費していたシステムリソースは、実際のところごくわずかだったようです。 注意：1つ1つのプログラムはそれほど多くの処理能力を必要としていたわけではありません。 ただ、このようなプログラムは5つありました。 つまり、5つのプログラムが同じタスクを実行し、ブラウザーのホームページの座をかけて戦っていたのです。 download. comで人気トップ10のプログラムを同時にインストールしたPCは、こうなります。 画像提供：Howtogeek. com しかし、マイナーな「検索ヘルパー」は本当にたちが悪く、なかなか削除できませんでした。 インストール済みプログラムの一覧に表示されないものもあれば、削除ボタンを押そうとしても毎回エラーメッセージが出て削除できないものもありました。 しつこいプログラムにはキツいお別れを すばやい操作を得意とする上級ユーザーであれば、「フィンガーダンス」という手もあります（『ゲーム・オブ・スローンズ』オタクの皆さん、のことではないですよ）。 PCのメモリ内のタスクを停止してから3秒以内にアプリのファイルを手動ですべて削除するという方法なのですが、（KVRT）を使う方がもっと効果的です。 これは基本的な機能を備えた無料のアンチウイルスソフトウェアで、駆除できないマルウェアに感染したコンピューターをスキャンし、修復します。 Kaspersky Virus Removal Tool（KVRT）は効果的な削除手段。 基本的な機能を備えた無料のアンチウイルスソフトウェアです 私の場合、KVRTを使って、感染したアドウェアコンポーネントを2つ削除できました。 再起動すると、PCが少しすっきりとしました。 さらに、2つのツールバーとヘルパーを削除する必要がありました。 こちらはアンインストールのオプションが用意されていたため、マルウェアとして検知されなかったのです。 もう一度再起動すると、PCはかなりきれいになりました。 後は、一時フォルダーからファイルを削除する、ハードディスクをデフラグするなど、簡単なメンテナンスを行うだけです。 諸悪の根源 さて、こうした削除できないバナーは、一体どこからやって来たのでしょうか？すぐに見当がつきました。 デスクトップを一目見ただけで答えがわかったのです。 デスクトップには20個ほどのゲームが置かれていました。 そのほとんどが、開発元から無料で配布されたものです。 ゲーム開発コミュニティは、自分の利益にならないことはしません。 最近のゲームは、単純なものであっても開発費が高額なので、何らかの方法で資金を集める必要があります。 ユーザーに直接課金しないのなら、何か別のところで利益を得ているのです。 たとえば、広告ネットワークや検索エンジンと提携しているのかもしれません。 ゲームやフリーウェアを介して入ってくる、というのが「検索ヘルパー」や「ホームページ保護ツール」の基本的なインストール経路です。 このビジネスモデルは概ね許容できますが、ここまで見てきたように、実際に被る影響はとても理想的とは言えません。 一般的にいって、PCユーザーは、似たようなソフトウェアをいくつもインストールすることに疑問を持たないものです。 そこで、ソフトウェア間の「健全な競争」を利用できるかもしれません。 PCへのインストール時に競合するアドウェアの存在に気付いたアドウェアが、「競合するソフトウェアがあります」とのメッセージを表示する場合があるかもしれないのです。 アンチウイルスソフトウェアの場合、これがうまくいっています。 同じマシンに2つのアンチウイルスソフトウェアをインストールすると、多くの場合、からです。 ただ、アドウェアの開発元が同じアプローチを採用しない限り、定期的な「アドウェア駆除」（私がやったようなことです）は、ひっぱりだこのサービスになるでしょう。 アドウェアのアドオンがインストールされないようにするには アドウェアがシステムに入り込むのを防ぐ方が、削除するよりずっと簡単です。 以下のヒントが役に立つことでしょう：• アプリは必ず開発元の公式Webページからダウンロードし、ソフトウェア紹介サイトは利用しない• ソフトウェアをインストールするときは、インストールウィザードが表示するウィンドウに注意し、追加プログラムのインストールを勧めるチェックボックスはすべてチェックを外す いらない広告を表示するアドウェアや、何かをインストールしたとき勝手についてきたツールバーを、削除したい！削除はそんなに難しくありません。 手順をご紹介します。 「高度なインストール」「インストールオプション」といったボタンを選択する。 これらのインストールタイプには、アドオンのインストールを無効にするなど、便利なオプションが用意されていることが多い.

次の