マカフィー株式会社 公式ブログ

McAfee Labs] 2013年2月 8日 更新

最新のエクスプロイトキット、Red Kit

 

エクスプロイトキットは、バイナリやスクリプトなどのマルウェアコンポーネントを構築するためのツールキットです。ブラウザやプログラムをターゲットとし、クライアント側の脆弱性を悪用した攻撃を自動化しています。

これらのエクスプロイトキットによって、サイバー犯罪者は、ユーザーに気付かれないよう効果的にマルウェアを配布することができます。Blackholeエクスプロイトキットはこういったエクスプロイトキットの中で最も流行っているもののひとつですが、現在ある別のキットがセキュリティ研究者の間で注目を集めています。Red KitはJavaやAdobe Readerなどのアプリケーションの脆弱性を狙うエクスプロイトキットです。マカフィーラボでは、Red Kitの使用が増加していることを確認しています。

overview

攻撃の概要

上の図に示したように、ユーザーがRed Kitのランディングページへのリンクを含む改ざんされたWebサイトを表示すると、感染が始まります。改ざんされたWebページのリンクは、ユーザーをだまして有害なリンクをクリックさせるスパムキャンペーンとして、メールで送付されることがあります。

irame

リダイレクタ

Redkitのランディングページは、Blackholeのランディングページと同様です。プラグイン検出コード(バージョン0.7.7)を使用して、システムにインストールされているブラウザのプラグインのバージョンを識別します。

plugin1

プラグインがバージョン0.7.7を検出

調査によると、Red Kitのランディングページには数種類のURLパターンが使用されています。たとえば、次のようなパターンです。

  • hxxp://[domain name]/ewci.htm
  • hxxp:// [domain name]/hmod.html
  • hxxp:// [domain name]/mhes.html
  • hxxp:// [domain name]/hmpu.html
  • hxxp:// [domain name]/asjs.html
  • hxxp:// [domain name]/aces.htm
  • hxxp:// [domain name]/aoef.htm

また、ランディングページには、有害な.jarおよび.pdfファイルをダウンロードするコードが仕込まれています。これらのファイルは、脆弱性CVE 2012-1723およびCVE 2010-0188をターゲットにしています。

main1

Red Kit ランディングページ

このエクスプロイトキットは、.jarおよび.pdfファイルのダウンロードに、ユニークなURLパターンを使用しています。

  • hxxp://[domain name]/332.jar
  • hxxp://[domain name]/887.jar
  • hxxp://[domain name]/987.pdf

.jarおよび.pdfファイルのペイロードもユニークなURLパターンからダウンロードされます。

  • “332.jar”  は “hxxp://[domain name]/33.html” からペイロードをダウンロード
  • “887.jar”  は “hxxp://[domain name]/41.html” からペイロードをダウンロード
  • “987.pdf” は “hxxp://[domain name]/62.html” からペイロードをダウンロード

最後のペイロードは、リモートサーバーから追加のペイロードを配信するダウンローダーとして識別されます。

この攻撃を防ぐには:

  • 前述のようなURLパターンをブロックするのが、この攻撃を防止する効率的な方法のひとつです。しかし、ランディングページのURLパターンは常に変わり続けています。それでも、ペイロードのURLパターンは、我々が調査したすべての有害なドメインにおいて共通でした。

  • CVE2012-1723やCVE2010-0188などの既知の脆弱性に対するパッチが公開されていますが、このエクスプロイトキットはこれらの脆弱性をターゲットにしています。マカフィーは、JavaとAdobe Readerについて最新のパッチにアップデートすることをお勧めします。

  • 迷惑メールや知らないリンクを開くときには特に注意してください。

マカフィー製品はこれらのエクスプロイトをJS/Exploit.Rekitとして検出します。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Red Kit an Emerging Exploit Pack

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/japan/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.