こんにちは。
クルマネタがない?いえいえ、今週末はTサイトであるミーティングに行ってこようかと思ってます。
自転車、カヌーネタもあるのだけど、写真をとってないんです、すみません。
さてさて、最近投稿しているセキュリティネタです。
本日は偽のウイルス感染メッセージについてです。
いきなりですが、こんな画面、見たことありませんか?
ある日、Webを閲覧していると、いきなりこんなメッセージが表示されると、驚きますよね。しかも実はBEEP音のBGM付、迷惑千万。親切に連絡先(電話番号)も書いてあります。拡大するとこんな感じです。
(注:むろん、こんな程度でFakeAVだなんて言っちゃおかしいのはわかってます)
慌ててOKボタンを押すと何度も画面が出てきます。昔からのハードユーザであれば懐かしい、ブラクラ的な。
挙句印刷しようとしてきます。焦りますよね。電話しちゃいたくなります、だって、ウイルス感染したのですから。
が、待ってください。貴方のパソコン、ウイルス対策ソフト、入っていませんか?ウイルス検知した画面、みたことないですか?そうですね、ウイルス検知した画面なんてそうみられません。そんな方はぜひ、「eicar」と呼ばれるウイルス検知のテストファイルを使って、一度ご自身のウイルス対策ソフトの検知画面を見ること、おすすめします。今日の本題ではないので、ここでは解説はしません。
eicar
http://www.eicar.org/
そう、この画面、ニセのウイルス検知画面です。最近ちょくちょく見かけます。ここの画面のURLでもでていますが、
jphen.net
や
plaisyaq.online
や
winmyjp.org
なんかがこの画面を出力するホスト/URLになります。このページに誘導する先が多数あり、すべては追えていません。
鹿児島の鹿児島中学高軟式野球のページの「ニセの」ページを作成してユーザをニセのウイルス検知ページ(ここでは面倒なのでFakeAVとします)に誘導しています。
意外なところで、こんなところに仕込まれているケースも
正確にいうと仕込まれているわけではありません。「おしえて~」にかかれていた内容は2013年に投稿された回答です。その中に含まれるbitscorp.netについては登録はこのような遷移となっています。
Historyを見るとわかるのですが、2015年に使われなくなったのち、今年2016年10月12日に再登録をしています。
もとはこんなWebサイトだったようです。
誘導元サイトとしてつかんでいるドメインに、japanese.comというサイトがあります。そちらも見てみましょう。
すみません、特段特徴はないですねレジストラがabove.com、くらいでしょか。もう一つ、見てみましょう。
やはりabove.comに登録しています。above.comはオーストラリアのレジストラです。
ku-gyou.netについてはこの犯人の特徴的な行動が見て取れます。
このページ、このようなページからリンクがされています。
ページの中の赤四角枠で囲んだリンクがku-gyo.netになります。このku-gyo.netについてはインターネットアーカイブからみると鉄道系のページとして運用されていた↓ことがわかります。アーカイブ上、2013年8月28日までは運用されたのち、使われなくなった・・・廃線となったようですね。その後第3セクターに移行して…という鉄の話はここでは止めておきましょう(笑)
この犯人、ほかにも同じような動きをしていることをつかんでおりますが、一つ特徴としては以下のような挙動をあげられます。
実は、上で書いたドメインの取得をしたabove.com、この上で上げているtrellian.comのサービスだったりします。何らかの関係がありそうですね。
#注:追記
#trellian.comはSEOのツールを提供しているのですが
#この辺の機能を悪用している可能性があるのでは?と考えています。
この辺の動きを少し追いかけてみましょう。
クルマネタがない?いえいえ、今週末はTサイトであるミーティングに行ってこようかと思ってます。
自転車、カヌーネタもあるのだけど、写真をとってないんです、すみません。
さてさて、最近投稿しているセキュリティネタです。
本日は偽のウイルス感染メッセージについてです。
いきなりですが、こんな画面、見たことありませんか?
(注:むろん、こんな程度でFakeAVだなんて言っちゃおかしいのはわかってます)
挙句印刷しようとしてきます。焦りますよね。電話しちゃいたくなります、だって、ウイルス感染したのですから。
が、待ってください。貴方のパソコン、ウイルス対策ソフト、入っていませんか?ウイルス検知した画面、みたことないですか?そうですね、ウイルス検知した画面なんてそうみられません。そんな方はぜひ、「eicar」と呼ばれるウイルス検知のテストファイルを使って、一度ご自身のウイルス対策ソフトの検知画面を見ること、おすすめします。今日の本題ではないので、ここでは解説はしません。
eicar
http://www.eicar.org/
そう、この画面、ニセのウイルス検知画面です。最近ちょくちょく見かけます。ここの画面のURLでもでていますが、
jphen.net
や
plaisyaq.online
や
winmyjp.org
なんかがこの画面を出力するホスト/URLになります。このページに誘導する先が多数あり、すべては追えていません。
鹿児島の鹿児島中学高軟式野球のページの「ニセの」ページを作成してユーザをニセのウイルス検知ページ(ここでは面倒なのでFakeAVとします)に誘導しています。
意外なところで、こんなところに仕込まれているケースも
正確にいうと仕込まれているわけではありません。「おしえて~」にかかれていた内容は2013年に投稿された回答です。その中に含まれるbitscorp.netについては登録はこのような遷移となっています。
誘導元サイトとしてつかんでいるドメインに、japanese.comというサイトがあります。そちらも見てみましょう。
やはりabove.comに登録しています。above.comはオーストラリアのレジストラです。
ku-gyou.netについてはこの犯人の特徴的な行動が見て取れます。
このページ、このようなページからリンクがされています。
この犯人、ほかにも同じような動きをしていることをつかんでおりますが、一つ特徴としては以下のような挙動をあげられます。
#注:追記
#trellian.comはSEOのツールを提供しているのですが
#この辺の機能を悪用している可能性があるのでは?と考えています。
この辺の動きを少し追いかけてみましょう。
鹿児島の鹿児島中学高軟式野球のページの「ニセの」ページをネタ元としてみてみます。いつもの「Fiddler」で追いかけてみます。
これはhttp://kagoshima-jhs-baseball.jimdo.com/ページ(これは偽の鹿児島の鹿児島中学高軟式野球のページ)に存在するhttp://kagoshima-jhs-baseball.com/(履歴は追えないものの、おそらく過去に使われた物を使っているのでは?)のリンクをクリックした挙動です。http://kagoshima-jhs-baseball.com/のHTTPのResponse Codeが302となり、転送されるようになっていることがわかります。その際のHTTPのLocation Headerがこのbidr.trellian.com/r2.phpになっており、ここに飛ばされるようになっています。
(若干省略しておりますが)その後http://stattraker.com/TWS/dsp/c5/index.phpとhttp://bigtrackr.online/data/path/lp.phpに飛ばされた後、ウイルス感染警告画面のWeb(http://plaisyaq.online/jpn/4800.html?sxid=[数字の羅列])に到達するという動きになります。
ちなみに、BGMで使われている警告音は
http://plaisyaq.online/jpn/welcome.mp3
だったりします。
実はこのページ、もう一つ動きのパターンがあります。このウイルス感染警告画面は1度しか表示されないように細工がされています。2度目のアクセスのパターンです。
2度目にアクセスした場合、リクエスト先となるhttp://kagoshima-jhs-baseball.com/側で2度目以降と判断、Code302で処理するものの、LocationHeaderには先ほどと異なり、http://ww1.kagoshima-jhs-baseball.com/がセットされています。実際に表示される画面は↓になります。
#ここから考えると単に.htaccessで制御しているわけではないような気がします。
よく見るやつですね。ここから先、なぜこうなるのかは、詳細の分析には未着手です。
あまり参考になりませんが、こんなのもどうぞ。
いろいろ分析をしてみましたが、いくつかここから学べることがあります。
①「ウイルス感染」表示されたとしても焦らない
文中にも書きましたが、ウイルス感染と表示がされたとしても慌てない事です。もしご自分のパソコンにウイルス対策ソフトがインストールされているのであれば、テスト用の検体「eicar」を使い、実際にウイルスが見つかると、自分の環境ではどのように表示されるのか、事前に見ておくことをお勧めします。真偽判断の基準を持つことが、正常な判断への助けとなります。
②ドメインを取得したのであれば、最後まで面倒を見る
やや言い過ぎかもしれませんが、ご自分でドメインを取得されたのであれば、そのドメインの先行きについては、責任を負うべきと考えてもらいたいです。自分が初めて取得したドメイン名、自分が産み出した物が、結果的に第3者にわたり犯罪に使われるような事があれば、例えば過去使っていた自分のドメインで公開されていたWebサイトに友達がリンクしていた場合、意図せず犯罪者のサイトへ誘導する結果にも繋がります。取得だけならまだしも、それを使って運用されていたのであれば、その点についてはしっかりと責任の所在を認識するべきです。
②については、これ、恐ろしいことに官公庁でもやっていることが多く、気が付いたら全然関係のないサイトに成り代わっている・・・市町村合併やイベントで使っていたドメインが放置されている事例を見ているので、非常にきになります。
僕ら、セキュリティのリサーチをしている中で、過去悪用されたドメインが売りに出た場合に取得して、そこに流れてくるトラフィックを調査する、なんて事をやることがあるのですが、犯罪者側も似たり寄ったり、ですね。
今回とりあげたケース、何もここ数か月で起きたものではなく、2015年くらいから掲示板等で確認されている事例です。決して新しいものではないのですが、「釣れた」こともあり、ちょっと取り上げてみた次第です。
御後がよろしいようで(fin)
(若干省略しておりますが)その後http://stattraker.com/TWS/dsp/c5/index.phpとhttp://bigtrackr.online/data/path/lp.phpに飛ばされた後、ウイルス感染警告画面のWeb(http://plaisyaq.online/jpn/4800.html?sxid=[数字の羅列])に到達するという動きになります。
ちなみに、BGMで使われている警告音は
http://plaisyaq.online/jpn/welcome.mp3
だったりします。
実はこのページ、もう一つ動きのパターンがあります。このウイルス感染警告画面は1度しか表示されないように細工がされています。2度目のアクセスのパターンです。
#ここから考えると単に.htaccessで制御しているわけではないような気がします。
あまり参考になりませんが、こんなのもどうぞ。
Conclusion
①「ウイルス感染」表示されたとしても焦らない
文中にも書きましたが、ウイルス感染と表示がされたとしても慌てない事です。もしご自分のパソコンにウイルス対策ソフトがインストールされているのであれば、テスト用の検体「eicar」を使い、実際にウイルスが見つかると、自分の環境ではどのように表示されるのか、事前に見ておくことをお勧めします。真偽判断の基準を持つことが、正常な判断への助けとなります。
②ドメインを取得したのであれば、最後まで面倒を見る
やや言い過ぎかもしれませんが、ご自分でドメインを取得されたのであれば、そのドメインの先行きについては、責任を負うべきと考えてもらいたいです。自分が初めて取得したドメイン名、自分が産み出した物が、結果的に第3者にわたり犯罪に使われるような事があれば、例えば過去使っていた自分のドメインで公開されていたWebサイトに友達がリンクしていた場合、意図せず犯罪者のサイトへ誘導する結果にも繋がります。取得だけならまだしも、それを使って運用されていたのであれば、その点についてはしっかりと責任の所在を認識するべきです。
②については、これ、恐ろしいことに官公庁でもやっていることが多く、気が付いたら全然関係のないサイトに成り代わっている・・・市町村合併やイベントで使っていたドメインが放置されている事例を見ているので、非常にきになります。
僕ら、セキュリティのリサーチをしている中で、過去悪用されたドメインが売りに出た場合に取得して、そこに流れてくるトラフィックを調査する、なんて事をやることがあるのですが、犯罪者側も似たり寄ったり、ですね。
今回とりあげたケース、何もここ数か月で起きたものではなく、2015年くらいから掲示板等で確認されている事例です。決して新しいものではないのですが、「釣れた」こともあり、ちょっと取り上げてみた次第です。
御後がよろしいようで(fin)
0 件のコメント:
コメントを投稿