図解&サンプル付き: exploit kitとは?

exploit kitとはどういうものか、どのような経路で攻撃してくるのか?具体的にはどういう作動をしているのか?をまとめたページです。

exploit kitなどについて。

図解&サンプル付き: exploit kitとは?

2015.12.11: 色々と補足情報を追記

コンピューターウイルスを拡散させる仕組みである「exploit kit」とは、どういうものか?どのような経路で攻撃してくるのか?具体的にはどういう作動をしているのか?をまとめたページです。

ページ前半は文章でざっくり解説。
ページ後半で図解入りで詳細解説。

exploit kitの仕組み (概要)

exploit kit とは、インターネットに接続されたPCの「様々な脆弱性」に対して臨機応変に攻撃ができるよう、キット化・パッケージ化されたプログラム群。

  • exploit kit は、PCへの潜入に成功すると、「IE、Adobe Flash、Java、Adobe Reader、Silverlight など一般的に使用されている技術」のバージョンチェックなどを行い、脆弱性を調べます。
    そして、その脆弱性に最適な攻撃用プログラムを選出・ダウンロードし、ユーザーのPCを攻撃します。
  • この一連のプログラムがパッケージ化されたものを「exploit kit」と呼びます。
  • キット化されている事で、新しい脆弱性が発見される度、すぐに攻撃プログラムを用意する事が可能。
  • 2015年時点で、PCの脆弱性突破に広く使われるようになった模様。

外部サイトの解説

  • exploit kitとは、複数のエクスプロイトコード(エクスプロイト)をパッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのことである。
  • エクスプロイトコードは、セキュリティ上の脆弱性を攻撃するためのプログラムを指す用語である。
  • 従来のエクスプロイトに対して、新しく発見された脆弱性への攻撃プログラムなどが随時追加されていくことで、さまざまな場面に対して攻撃を仕掛けることが可能となっている。
 エクスプロイトキットとは 「エクスプロイトツールキット」 (exploit kit):-IT用語辞典バイナリ

 

exploit kit はどのような経路で攻撃してくるのか

Microsoftの SIR(19)2015年 11月18日版の、55 ページ目の図
どのような経路で攻撃してくるのか
▲クリックで拡大

  • (広告枠などが)汚染された(普通の)Webページを開く
  • 攻撃元のサイトに(主にクロスサイトスクリプティングで)接続される
  • 攻撃元のサイトは、PCに脆弱性やセキュリティホールが無いかを分析する
  • 対象PCに合う攻撃ツールを選び、ウイルスを仕込む

exploit kit は具体的にどんな動きをするのか

注意: 以下は 2012年頃に私が採取した古いモノです。
exploit kitというか、その一部。エクスプロイトコードと呼ばれるもの。
古いものなので現在のコードとはかなり異なると思われます。

先の図
「2.攻撃元のサイトに接続」された後の「3.攻撃元のサイトは、PCに脆弱性やセキュリティホールが無いかを分析する」に相当する部分です。

ウイルスをPCにロードするためのプログラム(PHP)
ウイルスをPCにロードするためのPHP
▲クリックで拡大
FlashやJAVAのバージョンを確認し、それに合った攻撃モジュールのダウンロードを試みます。
また最新のキットでは、セキュリティーソフトなども検出可能となっているようで、脆弱性を持つPCのみを攻撃する事が可能になっています。

またPCに潜入後、一定時間潜伏する事も可能です。
ウイルスの設定ファイル
▲クリックで拡大
感染から発動まで30分~1時間などと間を空けられたら、ドコで感染したとか普通の人には特定出来ないです。

現在のウイルス感染の主流は「Webページを開いただけ」で上記の様なプログラムが走り、脆弱性を検知した上で感染させるような仕組みになっています。
セキュリティーソフトに検知されないような工夫も、当然の様に行われています。

exploit kitの種類について

Microsoftの SIR(19)2015年 11月18日版、56ページ目の図
どんなツールで攻撃してくるのか
▲クリックで拡大
これも流行り廃りがある模様。
2015年現在、「Angler」というexploit kitが多く使われている。
また「Nuclear」というexploit kitも多く使われるようになっている。
現在はこの2つが主流。

exploit kitが怖い理由、Anglerが怖い理由

エクスプロイトとは?なぜそんなに恐いのか? | Kaspersky Daily -カスペルスキー公式ブログ

リンク先 一部転用

Angler – アンダーグラウンドマーケットで最も高度なキットの1つです。

Anglerがアンチウイルスと仮想マシン(セキュリティリサーチャーがよくハニーポットとして使用)を認識したり、暗号化されたドロッパーファイルを展開したりするようになってから、エクスプロイトを巡る状況が一変しました。

また、新たに公表されたゼロデイをいち早く組み込むキットでもあります。Anglerのマルウェアはメモリから実行されるため、標的コンピューターのハードディスクへ書き込む必要がありません。

セキュリティーソフトや仮想マシンを検知したり、
ドロッパーファイルを暗号化して検出されにくくしたり、
ゼロデイをいち早く組み込んだり、
Anglerはexploit kitの中でも色々と性質の悪いパッケージです。

スパムメールにも注意する

スパムメールを介して拡散する「Blackhole Exploit Kit」の脅威とは?| トレンドマイクロ:セキュリティ情報
スパムメール経由の「exploit kit」も存在する。
近年は「不正Webサイト」経由の拡散が増えてきたが、スパムメールにも十分注意する。

余談

非常に怖いお話ですが、海外の闇サイトではこのようなキットがGPLとして配布されていたり、性能の良いものは高値で売買されていたりします。攻撃者は、このようなツールを入手してオリジナルのランサムウェアを作成します。

サイト内関連リンク

PC は いつどんな風にウイルスに感染するのか? - 2015年版



次のページへ
前のページへ
図解&サンプル付き: exploit kitとは?
TOPページへ

コメント(多忙中のため休止中) C[0] T[0]

人気ブログランキング
このブログを応援する・このブログに寄付する
mona:MEmMcKYAWfdX1r3XkoWBoweJTSjtDgdqRo
btc :1342ndtQDJ3NKkTw1BfP8AD4xMy8NJ4kWb


広告&サイト内おすすめページ

 

関連記事(ぜんぶ見る>> セキュリティ全般
hostsファイルの改ざんの確認と修復方法
非常駐で検出力の高いフリーのセキュリティツール、eScan AntiVirus & Spyware ToolkitUtility
図解&サンプル付き: exploit kitとは?
オンラインで怪しいファイルのウィルスチェックをしてくれるWebサービスまとめ

※コメント欄の一時休止中につき、Monacoin企画も休止中です。
簡単!4ステップでふるさと納税 amazon
次のページへ
前のページへ

更新日 2015/12/11(2015年12月公開)このページはリンクフリーです

カテゴリ(メニュー)
このページ

Amazon

Amazon 日替わりタイムセール
サイト内検索
Special Thanks (TOP15)

Amazon
リンク集
楽天市場/ブログランキング
a8 a8