★阿修羅♪ > IT11 > 441.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
ガンブラーはサイバー戦争を準備するウィルスネットワークの可能性がある。
http://www.asyura2.com/09/it11/msg/441.html
投稿者 tk 日時 2010 年 1 月 17 日 00:47:02: fNs.vR2niMp1.

ガンブラーはサイバーテロ(サイバー攻撃作戦)を準備するウィルスネットワークを構築するように見えます。

以下の文書は主としてガンブラーの仕組みを技術的に説明した文書なのですが、その中にも次のような記述があります。

>現在この「ウイルスシステム」は、ネットワークの構築自体を目的にしているように見えます。
>しかし、出来上がった「ウイルスネットワーク」に、システムの破壊であるとか、ファイルの盗み出しなどといった、新たな「目的」をもったコードを流通させると、「サイバーテロ」が起こせます。
・・・
>1層目は、このウイルスシステムを作成し、ウイルス1・2・3を供給している「本当の親玉」です。まだ、この正体はわかっていないと思われます。もし、これが某国のサイバー戦部隊だったら・・・。

tkが付け加えたいのは、このシステムの巧妙なところは「本物の親玉」を検知するのは非常に困難だということです。必要に応じて適当なパソコンを乗っ取って第2層「やられ群1」のダミーのボス群の一つに指令を送れば、全世界にまん延した第4層のパソコン群を使った攻撃ができるようになります。指令役のパソコンを特定して、さらにそのパソコンを乗っ取った攻撃者を特定することは、まず不可能でしょう。

このガンブラーシステムを使えば、敵対国からのサーバー攻撃を偽装することなども自由自在だ。敵対国のパソコン(第4層)やサーバ(第2層、第3層)を選んで偽装攻撃を行わせるだけでOK。


問題は、第2層「やられ群1」のダミーのボス群を操る暗号キーを知っているのが、(a)たんなる犯罪組織なのか、、(b)それとも「某国のサイバー戦部隊」自身であるか、(c)たんなる犯罪組織だとしても、その組織が「某国のサイバー戦部隊」と極秘裏に取引を行う可能性があるのか・・・。

コードが頻繁に書き換えられていること、使っているセキュリティホールが新発見のものであること、から、開発しているのは相当な人数と技術力をもった組織であることがうかがえます。

* 少なくとも、サーバー攻撃を行ったパソコンを特定されるような間抜けな連中ではない。(http://www.asyura2.com/09/it11/msg/435.html)。

===

http://blogs.yahoo.co.jp/umayado17/archive/2009/10/28

【警告】新種の「Gumblar.x」PHPウイルスの猛威 そのメカニズム

10月9日ごろに発生した、新種のPHPのウイルス 「Gumblar.x」「JSRedir-R」(通称、GENOウイルス)について、おぼろげに全体像が見えてきました。

4層構造になっている、とても巧妙な「ウイルスシステム」です。


  サーバー管理者のマシンから、直接 FTPのパスワードがもれなくても、

  社内に感染したマシンがあれば、そこから、管理しているサーバーのパスワードがもれて、

  サーバーを乗っ取られます。


警告

現在この「ウイルスシステム」は、ネットワークの構築自体を目的にしているように見えます。

しかし、出来上がった「ウイルスネットワーク」に、システムの破壊であるとか、ファイルの盗み出しなどといった、新たな「目的」をもったコードを流通させると、「サイバーテロ」が起こせます。

平時に淡々と、ネットワークを作っておき、それは組織の内部に浸透していて、いざ、有事というときに、破壊コードを送り込まれたらと思うと、慄然といたします。

このエントリーでは、わかった部分について、報告いたします。


4層の 基本構造


この「ウイルスシステム」(以下述べるように、3つのウイルスからなるので、あえて、”システム”と呼びます)は、4階層で成り立っています。それが相互に連携しながら作動しているため、連携したネットワークのことを、「ウイルスネットワーク」と呼ぶことにします。

●技術情報
 http://blogs.yahoo.co.jp/noooo_spam/59020592.html
 http://www3.atword.jp/gnome/2009/10/23/kaspersky-leave-it-to-me-the-gumblar-x/

1層目


1層目は、このウイルスシステムを作成し、ウイルス1・2・3を供給している「本当の親玉」です。まだ、この正体はわかっていないと思われます。もし、これが某国のサイバー戦部隊だったら・・・。

2層目


2層目は、ウイルス1に感染し、相互に連携している感染サーバー群「やられ1群」です。「やられ1群」は:

  ・後述する「やられ2群」にサーバー用のウイルス2を供給して「やられ2群」を増殖させる

  ・やられ2群からでリダイレクトされてきて、
   クライアントPCに対してウイルス3を供給し「やられ3群」を増殖させる

機能を持っています。さらに、

  ・「やられ3群」から送られてくるFTPのアカウント情報を受け取る

  ・「やられ1群」同士はネットワークを組んでおり、乗っ取ったサーバーの
   FTPアカウントの情報を共有していると思われる

  ・「やられ1群」同士のネットワークを通じて、「本当の親玉」から
   供給される最新のウイルスシステム自体を共有している可能性もありうる
   
「やられ1群」は、一見すると普通のホームページであり、おそらく、このサーバーを管理している管理者も気づかないように、バックグランドで上記の動作をさせられていると思われます。

私の手元では
  http://ndrelationship.com/
  http://hd-select.com/
  http://sepahan-e.com/
  http://4355.yomiuri-yy.com/
  http://nicolematernity.com/
  http://incabrasil.org.br/
などが「やられ1群」であることがわかっています。

●技術情報
 http://ilion.blog47.fc2.com/blog-entry-154.html
 http://d.hatena.ne.jp/kaito834/20091025/1256437910

3層目


3層目は、ウイルス2に感染し、FTPを乗っ取られている感染サーバー群「やられ2群」です。「やられ2群」は:

  ・PHPスクリプトを利用しているWEBサーバー

  ・「やられ1群」からFTPを通じて、ウイルス2を送り込まれている

  ・php, html, htm, js, txt ファイルがウイルス2に感染している

  ・phpファイルの一部のみに「やられ1群」からウイルス2のコードが加えられる
   その後、クライアントPCからのアクセスでウイルス2のコードが動き出し
   サーバー内のWEB用フォルダ内全体にウイルス2が蔓延します。

  ・「やられ2群」の横のつながりはないようです。

「やられ2群」も、一見すると普通のホームページであり、正常に稼動しているように見える可能性もあります。CMSなど、PHPが重要な役割を果たしているサーバーでは、ウイルス2が多重に起動して、サーバーが落ち、発見に至ります。

●技術情報
 http://kanariia.com/blog/archives/612
 http://blogs.yahoo.co.jp/umayado17/59871598.html
 http://blogs.yahoo.co.jp/noooo_spam/59054571.html

4層目


4層目は、Windowsマシン(クライアントPC)用のウイルス3に感染したパソコン群「やられ3群」です。「やられ3群」は:

  ・Windows, InternetExplorer, Flash, Acrobatの脆弱性を修正していないパソコンです。

  ・そのパソコンが、「やられ2群」のホームページを閲覧することで、
   「やられ2群」を経由して「やられ1群」から脆弱性に応じた
   ウイルス3を送り込まれて感染します。

  ・「やられ3群」は、別のクライアントに感染しないようです。

  ・トロイの木馬型で、ネットワーク内のトラフィックを監視します。
   そして、ネットワーク内でFTPサーバーへのアクセスをした際に、
   そのURL,アカウント,パスワードを盗み取り、「やられ1群」に通報します。

  ・パソコンの状態によっては、起動しなくなるという症状も報告されています。

「やられ3群」もまた、一見すると普通のパソコンであって、ちょっと処理が重いといったくらいでしかない可能性もあります。

●技術情報
 http://blogs.yahoo.co.jp/noooo_spam/59033315.html

ウイルスシステム


以上のように、4層でなりたっており、しかもそれぞれのマシンの破壊を目的にせず、ウイルスネットワークの増殖自体を目的にしているようにも見えます。

「やられ1群」が「やられ3群」に感染させるコードは、暗号化されており、しかも、ダウンロードする毎に変数名などをランダムに変更するようです。さらに、さらに、その際に与える「やられ1群」のURLも、「やられ1群」の中からランダムに与えている可能性があります。その為、常にコードは変化します。ウイルス対策ソフトによって検出ができにくく工夫されています。

また、「やられ1群」「やられ2群」が大量に存在するため、すべての感染サーバーをリストアップすることも、非常に困難になっており、感染サーバーのリストでアクセスを遮断するタイプのウイルス対策ソフトでは対処できません。

ウイルスのコード自体も、複数のコードが複雑に組み合わされています。「やられ1群」用のウイルス1は、大掛かりなプログラムになっているものと思われます。逆に「やられ2群」用のウイルス2は、極めてシンプルであり、ウイルス2の多重動作によって、サーバーがダウンしない限り、気づきにくいコードです。「やられ3群」用のウイルス3は、Flash,PDF,EXEと脆弱性にあわせたコードが用意されています。

このように多層にくみあわされ、感染したマシンが連携して作動するネットワーク状の「ウイルスシステム」なのです。


クライアント・ホームページ管理者側から見た現象


Widowsマシン(クライアントPC)側からみた現象はこんなことです。

 ・身の回りにこのウイルス3に感染したWindowsがある(「やられ3群」)

 ・感染したWindowsにネットワークを監視され、FTPのパスワードが盗まれる

 ・管理しているサーバーに、このパスワードを使って侵入されてウイルス2をうつされる。
  具体的には、phpファイルの冒頭が   (「やられ2群」の誕生)

次に、このサーバー(ウイルス2に感染したサーバー)にアクセスすると、

 ・上記のphpファイルが作動して、gifimg.php の作成、
  そのサーバー内の html, htm, php, jsファイルの書き換えがおこる
  (「やられ2群」の出来あがり)

 ・このサーバーにWindowsマシン(クライアントPC)がアクセスすると、
  ウイルス3を送り込まれて感染する
  (「やられ3群」の誕生)

 ・はじめに戻る

ということです。

これをぐるぐる回ると、「やられ2群」と「やられ3群」が無限に増殖してゆきます。

大きな問題は、

  サーバーを管理している人のマシンから、直接 FTPのパスワードがもれなくても、

  社内に感染したマシンがあれば、そこから、管理しているサーバーのパスワードがもれて、

  サーバーを乗っ取られる可能性がある、

ということです。

やられ1群対策


対策はまだわかっていません。FTPサーバー・WEBサーバー・OSにセキュリティホールのあるサーバーが、「やられ1群」になっていると思われます。

やられ2群対策


「やられ2群」の対処策はこちら

  新種の「Gumblar」PHPウイルスがはやっています
    http://blogs.yahoo.co.jp/umayado17/59853513.html
 

  拍手はせず、拍手一覧を見る

コメント
 
01. 2010年1月22日 17:59:58
で、対策は、あるのですか? 今日、MSから、緊急パッチが、でましたが。
元の、特定が、出来ない様じゃ、効果は、薄いのでは。
さらに、突然、感染しているPCが、作動できなくなれば、これは、謀略ですよ。
感染しているPCに、ある日、別の指令が出されれば、全世界で、混乱が、起こる。情報が、拡散しない。TV,ラジオなども、アウトになれば、
完全に、ネットワークが、乗っ取られる。ああ、コワイですね。
そのとき、新たな、ソフトが、出て、このソフト、食わせ物、なんでしょうね。
多分。

  拍手はせず、拍手一覧を見る

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。