Tokyo SOC Report
Rig Exploit Kitによるドライブ・バイ・ダウンロード攻撃の検知状況
2016-11-18
カテゴリー Tokyo SOC Report
記事をシェアする:
Tokyo SOCでは、2016年9月中旬頃から「Rig Exploit Kit」と呼ばれる攻撃ツールによる攻撃が増加傾向にあることを確認しています。下図は2016年7月1日から11月2日における、「Rig Exploit Kit」によるドライブ・バイ・ダウンロード攻撃検知数の推移です。
Rig Exploit Kitによるドライブ・バイ・ダウンロード攻撃の日別検知数推移
(Tokyo SOC調べ 2016年7月1日~2016年11月2日)
攻撃は、改ざんされた一般のWebサイトを閲覧することをきっかけに発生しています。特にCMSを利用しているWebサイトが改ざんされているケースが多く見受けられ、Tokyo SOCで確認した誘導元サイトの80%以上がCMSを利用したサイトとなっていました。内訳として、国内(日本語)のサイトではWordPress、海外のサイトではWordPressまたはJoomlaを利用したサイトを多く確認しています。
改ざんされたサイトの閲覧により「Rig Exploit Kit」で構築されたサーバーへ誘導された場合、Internet ExplorerおよびAdobe Flash Playerの脆弱性を狙う攻撃が行われ、マルウェアに感染する可能性があります。Tokyo SOCではこの攻撃によりマルウェア感染に至った事例は確認していませんが、金融マルウェア”Ursnif”や、ランサムウェア”Locky”などへの感染が試みられることが報告されています[1]。
ドライブ・バイ・ダウンロード攻撃については、「2016年上半期 Tokyo SOC 情報分析レポート」において、2016年上半期は減少傾向にあったことを報告しました。現在のところ、「Rig Exploit Kit」による攻撃検知数も2015年の検知数と比較すると特別に多い状況にはありません。しかし、今後しばらくは攻撃が継続することも考えられるため、クライアントPCのアップデートの実施やブラウザ・プラグインの無効化、Click-to-Play機能の利用などの対策を引き続きご検討いただくことを推奨します。
ドライブ・バイ・ダウンロード攻撃の月別検知数推移
(Tokyo SOC調べ 2012年7月1日~2016年6月30日)
【参考情報】
[1] Rig Exploit Kit 観測数の拡大に関する注意喚起(IIJ-SECT)
https://sect.iij.ad.jp/d/2016/10/178746.html
=========================
【Appendix】
Tokyo SOCで確認した「Rig Exploit Kit」が稼動する不正サーバーのIPアドレス、およびURLパターンを掲載いたします。Proxyサーバーのログ等に該当するアクセスログが存在する場合、攻撃が行われた可能性がありますので影響をご確認ください。
- 「Rig Exploit Kit」が稼動するサーバーのIPアドレス(Tokyo SOC調べ)
| 107.191.63.102 | 109.234.38.100 | 185.158.152.159 | 194.87.237.217 | 5.200.53.44 |
| 109.234.34.144 | 109.234.38.135 | 185.158.152.229 | 194.87.239.147 | 52.45.71.223 |
| 109.234.34.166 | 109.234.38.80 | 188.227.16.136 | 195.133.48.234 | 64.187.225.228 |
| 109.234.35.124 | 162.219.29.82 | 188.227.72.26 | 195.133.48.98 | 74.208.147.73 |
| 109.234.36.151 | 182.50.132.242 | 188.227.75.79 | 206.72.201.56 | 74.208.153.241 |
| 109.234.36.33 | 185.141.26.109 | 193.124.117.105 | 212.8.246.7 | 91.107.107.247 |
| 109.234.37.245 | 185.158.152.45 | 194.87.145.238 | 45.32.150.7 |
- 「Rig Exploit Kit」が利用するURLパターン(Tokyo SOC調べ)
■ パターン1
URLパラメーターの値として、「l3SKfPrfJxzFGMSUb-nJDa9」または「l3SMfPrfJxzFGMSUb-nJDa9」で始まる長い文字列が指定されている。
例:
k5le[略].top/?zniKfrGfKRfODYY=l3SKfPrfJxzFGMSUb-nJDa9GP0XCRQLPh4SGhKrXCJ-ofSih17OIFxz[略]
k5le[略].top/index.php?zniKfrGfKRfODYY=l3SMfPrfJxzFGMSUb-nJDa9GP0XCRQLPh4SGhKrXCJ-ofSih17OIFxz[略]
■ パターン2
URLパラメーターに「q」「oq」「sourceid」「es_sm」「ie」「aqs」が指定されており、「q」および「oq」の値としてランダムな長い文字列が指定されている。
※ 上記のパラメーターはGoogle検索時に利用されるパラメーターと同様であるため、調査時にはドメイン名等より検索による通常のアクセスは除外してください。
例:
fre[略].com/?q=z33QMvXcJwD[略]vvHPRAP7tgW&sourceid=msie&oq=CelvV_fZ5L[略]iW9UU4HupE&es_sm=112&ie=UTF-16&aqs=msie.74l67.406f5o9
acc[略].info/?sourceid=mozilla&q=w37QMvXcJx[略]-qoVjcCgWR&ie=Windows-1251&oq=xfB-eOBSbw[略]KlJLN_mhj2&es_sm=131&aqs=mozilla.72e68.406h4h3
【著者情報】
窪田 豪史
2007年日本アイ・ビー・エム株式会社入社。Tokyo Security Operation Center(SOC)アナリストとして監視・分析業務や脅威情報発信を行う。2018年よりX-Force Incident Response and Intelligence Service 日本チームメンバーとしてセキュリティー・インシデント対応支援に従事。CISSP、GREM。
大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状
この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]
AIと人間の不正搾取対決:新時代のフィッシングの手口を解明する
※この記事は、IBM X-Force Redに所属するエシカル・ハッカーのStephanie Carruthersにより執筆された文章を翻訳しています。 攻撃者の技術革新は、テクノロジーの発展とほぼ同じスピ […]
IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください
架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]