PR

Symantec Security Response Weblog
Tornado on the Loose」より
April 22, 2008 Posted by Liam O Murchu

 最近,Web関連のセキュリティ・ホールを突く新たな攻撃パッケージ「Tornado」を受け取った。このパッケージは,デフォルトで14個のぜい弱性を悪用できる。統計を見られるページや管理者用のページも備えている。もっとも,このパッケージが大成功しているのは,その巧みな潜伏方法にあるようだ。

 まず,Tornadoパッケージの中身を詳しくみてみよう。ユーザーがTornadoの管理コントロール・パネルにログインすると,以下のような統計ページが現れる。この統計ページには,攻撃の実行状況が表示される。同パッケージにおびき寄せられた訪問者の数や,そのうち実際に被害を受けたユーザーの数などが,OSやWebブラウザの種類ごとに詳しく示される。

 別のページには,利用可能なエクスプロイトが表示される。パッケージ利用者は,どのエクスプロイトを有効/無効にするか選ぶことができる。

 トラフィックに応じた処理も指定できる。以下に示すのは,繰り返しアクセスに関するドロップダウン・メニューである。通常,エクスプロイトのパッケージは,一つのIPアドレスに対して1回しか使われない。同じIPアドレスから再アクセスされると,疑われることが多いからだ。このような再訪者に対処するため,Tornadoのでは再訪者を複数のWebページのいずれかにリダイレクトするよう選択できる。

 再訪者に不審を抱かせないよう,アカウントが一時停止になっている,という内容のメッセージを表示することも可能だ。

“This Account Has Been Suspended Please contact the billing/support department as soon as possible.”(「このアカウントは一時停止となっています。課金/サポート部門までお問い合わせください」)

 アクセス状況を観察してみると,トラフィックは「ハッキング」されたWebページからTornadoに送り込まれているようだ。この事実は,同パッケージに含まれるFTPログから分かった。攻撃用Webサイトにアクセスさせるため,まずは不正入手したログイン情報を使って真っ当なFTPサイトにアクセスし,そこに保存されている「.html」ファイルをすべて探し出す。そして,htmlファイルを見つけるたびに,Tornadoパッケージを指し示すiframeタグを埋め込む。

 これは,多くの攻撃用パッケージで用いられる手法だ。ただし,Tornadoパッケージ自体は(攻撃ツール「IcePack」と同様)FTPサイトのチェック機能を備えていないらしい(関連記事:警戒したい攻撃ツール「IcePack」,犯罪者には至れり尽くせり)。したがって,FTP経由の場合は別のツールを利用してiframeタグを埋め込んでいる可能性があり,このようなツールはTornadoそのものの機能ではないかもしれない。

 我々が確認した別のログ・ファイルによると,今回のTornadoパッケージは少なくとも6カ月前から出回っていたらしい。おそらく,もっと以前から広まっていたのだろう。長い間人目につかなかったのは,Tornadoを販売していた人物が慎重に買い手を選んでいたためだ。

 Tornadoは,攻撃ツール「Neosploit」と同様のビジネス・モデルを取っている。Tornadoの販売用サーバーにアカウントを作成することで,「管理者」がTornadoを購入することになる。エクスプロイトがサービスと呼ぶのにふさわしいかどうかはともかく,このような販売方法の場合,管理者はエクスプロイトをパッケージではなくサービスとしてリース/販売できる。SaaS(Software as a Service)ならぬ,EaaS(Exploits as a Service)といったところだ。こうした理由から,Tornadoパッケージは長いこと人目につかなかったのだろう。この販売手法によって,同パッケージの作者たちは,不特定多数に販売して地下でコードが公開されるリスクを冒さずに,信頼の置ける少数の顧客に比較的高値で同パッケージを売ることができる。

追記:Tornadoパッケージのテスト中にWebブラウザがクラッシュし,エクスプロイトは完全には成功しなかった。

再追記:Tornadoは新しいパッケージではないが,コードが公開されたのはつい最近のことである。2007年10~11月に発生した大規模なiframeインジェクション攻撃に関与しており,ざっと調査したところ,Tornadoパッケージは現在も引き続き利用されている。これまでに判明した多くの結果からみて,わずか5日前にも実際に感染が起きている。

 TornadoパッケージとNeosploitパッケージを混同している人がいるが,両者は大きく異なる。最大の相違点は,TornadoがPHPで記述されており,NeosploitはELFバイナリを使用していることだ。両者を分析してみるとその違いがはっきりする。Neosploitとは対照的に,Tornadoがiframeタグと関連付けられていることが一目で分かる。

 Tornadoのもう一つの興味深い点は,同パッケージがロシア人に保有/記述されているものの,ホスティング・サーバーの多くが中国に存在することだ。既に報道されている通り,ロシアのRussian Business Network(RBN)が中国に拠点を移したということだろうか(関連記事:犯罪者帝国を築くロシア最大の犯罪グループ「RBN」)。

※Tornadoパッケージに関する情報を提示してくれた上級エンジニアのAdam Blaszczyk氏に感謝する。


Copyrights (C) 2008 Symantec Corporation. All rights reserved. 本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Tornado on the Loose」でお読みいただけます。