2015.12.11: 色々と補足情報を追記

コンピューターウイルスを拡散させる仕組みである「exploit kit」とは、どういうものか?どのような経路で攻撃してくるのか?具体的にはどういう作動をしているのか?をまとめたページです。

ページ前半は文章でざっくり解説。
ページ後半で図解入りで詳細解説。

exploit kitの仕組み (概要)

exploit kit とは、インターネットに接続されたPCの「様々な脆弱性」に対して臨機応変に攻撃ができるよう、キット化・パッケージ化されたプログラム群。

外部サイトの解説

  • exploit kitとは、複数のエクスプロイトコード(エクスプロイト)をパッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのことである。
  • エクスプロイトコードは、セキュリティ上の脆弱性を攻撃するためのプログラムを指す用語である。
  • 従来のエクスプロイトに対して、新しく発見された脆弱性への攻撃プログラムなどが随時追加されていくことで、さまざまな場面に対して攻撃を仕掛けることが可能となっている。
 エクスプロイトキットとは 「エクスプロイトツールキット」 (exploit kit):-IT用語辞典バイナリ

 

exploit kit はどのような経路で攻撃してくるのか

Microsoftの SIR(19)2015年 11月18日版の、55 ページ目の図
どのような経路で攻撃してくるのか
▲クリックで拡大

  • (広告枠などが)汚染された(普通の)Webページを開く
  • 攻撃元のサイトに(主にクロスサイトスクリプティングで)接続される
  • 攻撃元のサイトは、PCに脆弱性やセキュリティホールが無いかを分析する
  • 対象PCに合う攻撃ツールを選び、ウイルスを仕込む

exploit kit は具体的にどんな動きをするのか

注意: 以下は 2012年頃に私が採取した古いモノです。
exploit kitというか、その一部。エクスプロイトコードと呼ばれるもの。
古いものなので現在のコードとはかなり異なると思われます。

先の図
「2.攻撃元のサイトに接続」された後の「3.攻撃元のサイトは、PCに脆弱性やセキュリティホールが無いかを分析する」に相当する部分です。

ウイルスをPCにロードするためのプログラム(PHP)
ウイルスをPCにロードするためのPHP
▲クリックで拡大
FlashやJAVAのバージョンを確認し、それに合った攻撃モジュールのダウンロードを試みます。
また最新のキットでは、セキュリティーソフトなども検出可能となっているようで、脆弱性を持つPCのみを攻撃する事が可能になっています。

またPCに潜入後、一定時間潜伏する事も可能です。
ウイルスの設定ファイル
▲クリックで拡大
感染から発動まで30分~1時間などと間を空けられたら、ドコで感染したとか普通の人には特定出来ないです。

現在のウイルス感染の主流は「Webページを開いただけ」で上記の様なプログラムが走り、脆弱性を検知した上で感染させるような仕組みになっています。
セキュリティーソフトに検知されないような工夫も、当然の様に行われています。

exploit kitの種類について

Microsoftの SIR(19)2015年 11月18日版、56ページ目の図
どんなツールで攻撃してくるのか
▲クリックで拡大
これも流行り廃りがある模様。
2015年現在、「Angler」というexploit kitが多く使われている。
また「Nuclear」というexploit kitも多く使われるようになっている。
現在はこの2つが主流。

exploit kitが怖い理由、Anglerが怖い理由

エクスプロイトとは?なぜそんなに恐いのか? | Kaspersky Daily -カスペルスキー公式ブログ

リンク先 一部転用

Angler – アンダーグラウンドマーケットで最も高度なキットの1つです。

Anglerがアンチウイルスと仮想マシン(セキュリティリサーチャーがよくハニーポットとして使用)を認識したり、暗号化されたドロッパーファイルを展開したりするようになってから、エクスプロイトを巡る状況が一変しました。

また、新たに公表されたゼロデイをいち早く組み込むキットでもあります。Anglerのマルウェアはメモリから実行されるため、標的コンピューターのハードディスクへ書き込む必要がありません。

セキュリティーソフトや仮想マシンを検知したり、
ドロッパーファイルを暗号化して検出されにくくしたり、
ゼロデイをいち早く組み込んだり、
Anglerはexploit kitの中でも色々と性質の悪いパッケージです。

スパムメールにも注意する

スパムメールを介して拡散する「Blackhole Exploit Kit」の脅威とは?| トレンドマイクロ:セキュリティ情報
スパムメール経由の「exploit kit」も存在する。
近年は「不正Webサイト」経由の拡散が増えてきたが、スパムメールにも十分注意する。

余談

非常に怖いお話ですが、海外の闇サイトではこのようなキットがGPLとして配布されていたり、性能の良いものは高値で売買されていたりします。攻撃者は、このようなツールを入手してオリジナルのランサムウェアを作成します。

サイト内関連リンク

PC は いつどんな風にウイルスに感染するのか? - 2015年版