2015.12.11: 色々と補足情報を追記
コンピューターウイルスを拡散させる仕組みである「exploit kit」とは、どういうものか?どのような経路で攻撃してくるのか?具体的にはどういう作動をしているのか?をまとめたページです。
ページ前半は文章でざっくり解説。
ページ後半で図解入りで詳細解説。
exploit kitの仕組み (概要)
exploit kit とは、インターネットに接続されたPCの「様々な脆弱性」に対して臨機応変に攻撃ができるよう、キット化・パッケージ化されたプログラム群。
- exploit kit は、PCへの潜入に成功すると、「IE、Adobe Flash、Java、Adobe Reader、Silverlight など一般的に使用されている技術」のバージョンチェックなどを行い、脆弱性を調べます。
そして、その脆弱性に最適な攻撃用プログラムを選出・ダウンロードし、ユーザーのPCを攻撃します。
- この一連のプログラムがパッケージ化されたものを「exploit kit」と呼びます。
- キット化されている事で、新しい脆弱性が発見される度、すぐに攻撃プログラムを用意する事が可能。
- 2015年時点で、PCの脆弱性突破に広く使われるようになった模様。
外部サイトの解説
- exploit kitとは、複数のエクスプロイトコード(エクスプロイト)をパッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのことである。
- エクスプロイトコードは、セキュリティ上の脆弱性を攻撃するためのプログラムを指す用語である。
- 従来のエクスプロイトに対して、新しく発見された脆弱性への攻撃プログラムなどが随時追加されていくことで、さまざまな場面に対して攻撃を仕掛けることが可能となっている。
exploit kit はどのような経路で攻撃してくるのか
Microsoftの SIR(19)2015年 11月18日版の、55 ページ目の図
▲クリックで拡大
- (広告枠などが)汚染された(普通の)Webページを開く
- 攻撃元のサイトに(主にクロスサイトスクリプティングで)接続される
- 攻撃元のサイトは、PCに脆弱性やセキュリティホールが無いかを分析する
- 対象PCに合う攻撃ツールを選び、ウイルスを仕込む
exploit kit は具体的にどんな動きをするのか
注意: 以下は 2012年頃に私が採取した古いモノです。
exploit kitというか、その一部。エクスプロイトコードと呼ばれるもの。
古いものなので現在のコードとはかなり異なると思われます。
先の図の
「2.攻撃元のサイトに接続」された後の「3.攻撃元のサイトは、PCに脆弱性やセキュリティホールが無いかを分析する」に相当する部分です。
ウイルスをPCにロードするためのプログラム(PHP)
▲クリックで拡大
FlashやJAVAのバージョンを確認し、それに合った攻撃モジュールのダウンロードを試みます。
また最新のキットでは、セキュリティーソフトなども検出可能となっているようで、脆弱性を持つPCのみを攻撃する事が可能になっています。
またPCに潜入後、一定時間潜伏する事も可能です。
▲クリックで拡大
感染から発動まで30分~1時間などと間を空けられたら、ドコで感染したとか普通の人には特定出来ないです。
現在のウイルス感染の主流は「Webページを開いただけ」で上記の様なプログラムが走り、脆弱性を検知した上で感染させるような仕組みになっています。
セキュリティーソフトに検知されないような工夫も、当然の様に行われています。
exploit kitの種類について
Microsoftの SIR(19)2015年 11月18日版、56ページ目の図
▲クリックで拡大
これも流行り廃りがある模様。
2015年現在、「Angler」というexploit kitが多く使われている。
また「Nuclear」というexploit kitも多く使われるようになっている。
現在はこの2つが主流。
exploit kitが怖い理由、Anglerが怖い理由
エクスプロイトとは?なぜそんなに恐いのか? | Kaspersky Daily -カスペルスキー公式ブログ
Angler – アンダーグラウンドマーケットで最も高度なキットの1つです。
Anglerがアンチウイルスと仮想マシン(セキュリティリサーチャーがよくハニーポットとして使用)を認識したり、暗号化されたドロッパーファイルを展開したりするようになってから、エクスプロイトを巡る状況が一変しました。
また、新たに公表されたゼロデイをいち早く組み込むキットでもあります。Anglerのマルウェアはメモリから実行されるため、標的コンピューターのハードディスクへ書き込む必要がありません。
セキュリティーソフトや仮想マシンを検知したり、
ドロッパーファイルを暗号化して検出されにくくしたり、
ゼロデイをいち早く組み込んだり、
Anglerはexploit kitの中でも色々と性質の悪いパッケージです。
スパムメールにも注意する
スパムメールを介して拡散する「Blackhole Exploit Kit」の脅威とは?| トレンドマイクロ:セキュリティ情報
スパムメール経由の「exploit kit」も存在する。
近年は「不正Webサイト」経由の拡散が増えてきたが、スパムメールにも十分注意する。
余談
非常に怖いお話ですが、海外の闇サイトではこのようなキットがGPLとして配布されていたり、性能の良いものは高値で売買されていたりします。攻撃者は、このようなツールを入手してオリジナルのランサムウェアを作成します。
このページの情報は 以上です。