ソフォスはこのほど、エクスプロイトキット「Angler」の解説記事を同社ブログに掲載した。

ここ数年のトレンドとして、サイバー犯罪者はユーザーをマルウェアに感染させるためにエクスプロイトキットといわれるものを利用している。このプロセスでは、ユーザーが気がつかないうちにユーザーのブラウザにエクスプロイトキットを仕組んだ悪意あるWebサイトへダイレクトするドライブバイ・ダウンロードという方法が用いられる。

ダウンロードされたエクスプロイトキットは脆弱性、つまりセキュリティホールを悪用する。こうしてユーザーをマルウェアに感染させるわけだが、このプロセスの間、ユーザーがなんらかのアクションをとることはない。そのため、まったく気がつかずに攻撃が行われている。

このリサーチ記事では、ドライブバイ・ダウンロードを簡素化するという特徴からエクスプロイトキットの中で最も悪名高い「Angler」を調べた結果までがまとめられている。

Anglerとは

Anglerが最初に検出されたのは2013年後半で、それ以降、サイバー犯罪者たちの世界でよく使われるツールとなった。Anglerはセキュリティ製品の検出を巧みに避けるという攻撃的な戦術を持ち、HTML、JavaScript、Flash、Silverlight、Javaなどの利用するコンポーネントに合わせて複数の変種が生まれている。

Anglerはまた、非常に流行している。例えば5月には、"ランディングページ"としてAnglerが埋め込まれた新しいWebページが1日数千件単位で発見されている。Anglerは2014年後半に急増しており、その後少し落ち着いたものの、2015年3月以降再び上昇している。

トラフィック制御

エクスプロイトキットの成功は、種類に関係なく、ターゲットとするコンピュータを悪用してマルウェアのインストールに成功することができるという能力にある。

しかしエクスプロイトキットは、潜在被害者が感染するのに必要な安定したストリームを確保するために、一定量のインバウンド・トラフィックがあることも必要とする。

多くのドライブバイ・ダウンロードはこれを実現するために、合法的なWebサイトをハッキングして悪意あるHTMLやJavaScriptをその中に注入する。被害者のWebサイトの知名度や人気が高いほど、エクスプロイトキットが利用できるトラフィックは多くなる。

ソフォスが調査したところでは、ユーザーのWebトラフィックをAnglerに仕向けるために、さまざまなトリックがあることがわかった。その多くが、HTMLやJavaScriptの追加を利用してシンプルなIFRAME(インラインHTMLフレーム)の挿入を行っているが、これらは別に興味深いものではない。だが、Anglerが利用するリダイレクト手法は通常のものとは異なり、注意に価する。

その中には、HTTP POSTリダイレクト、ドメイン生成アルゴリズム、HTTPリダイレクトなどがあり、英文のSophosブログで詳細に説明している。

まとめ

保護を提供するにあたってエンド・ツー・エンドでの行動を理解することが重要となる。Anglerはすべてのレベルで検出を免れる策を講じている。レピュテーション・フィルタリングを回避するため、ホスト名とIP番号を迅速に切り替えるし、ドメイン・シャドウイングを利用して合法ドメインを乗っ取る。

コンテンツ検出レベルでは、Anglerに関連するコンポーネントはさまざまなエンコードと暗号化手法を用いてそれぞれの潜在被害者に対し動的に生成する。仕上げとして、Anglerはわかりにくいアンチサンドボックス戦術を利用してサンプルの収集と分析を混乱させる。

Anglerは他のエクスプロイトキットから群を抜いた存在だが、この要因はいくつかあるだろう。Anglerに感染したページへのトラフィックが多いこと、マルウェアを配信するという点でヒット率が高いこと、サイバー犯罪者コミュニティ間でマーケティングが巧妙であること、価格、などが考えられる。

つまりインストールに応じて対価を得る"ペイ・パー・インストール(Pay Per Install)"を購入するサイバー犯罪者にしてみれば、投資対効果が高いということだろう。

AnglerはWebブラウジングを行うユーザー全員に深刻な悪影響を与えている。ソフォスは「これだけは確実に言える」としている。