2010年1月31日

ウィルス感染:Dreamweaver,FFFTPも対象:Gumblar および 8080系 の対応策について(2010/01/31)

昨年猛威を振るった、Gumblarウィルスに似た、8080系による webサイト改ざんがまた、再燃しているようです。 画像はkasperskyサイトより サイト管理者としての3S...

■昨年猛威を振るった、Gumblarウィルスに似た、8080系による
webサイト改ざんがまた、再燃しているようです。

 


画像はkasperskyサイトより

■サイト管理者としての3STEPは以下になると思います。
  1. 感染チェックと予防
  2. 利用FTPクライアントのチェック
  3. FTPからFTPS、認証キー使用など、接続方法の見直し
1.感染チェックと予防
■Web サイトが改ざんされていないかの確認 

Gumblarおよび8080系に関する詳細はJPCERTで最新情報をご確認ください
<以下JPCERTより引用:2010/01/31 >

 – Web サイトの更新ができるコンピュータを制限する。(IP アドレスなど)
– Web サイトで公開しているコンテンツに不正なプログラムが含まれてい
ないこと、を確認。
– コンテンツが改ざんされていないことを確認する。
– 多くの改ざんされたサイトでは不正な script タグが挿入されています。
HTML ファイル
外部 .js (Javascript) ファイル
「/*GNU GPL*/ try」
「<script>/*CODE1*/ try」
「/*LGPL*/ try」
– FTP サーバのログを確認し、アクセス元IPアドレス、アクセス日時などに
不審な点がないか確認する。
– Web サイトの更新ができるコンピュータがマルウエアに感染していないか
確認する。Web サイトの管理を外部に委託している場合は、委託先のコン
ピュータがマルウエアに感染していないかなど、委託先に確認の依頼を行
う。
 ■クライアント側の確認 

1)FFFTPはアンインストール 

今までお世話になった感謝をしつつ、作者様の指示に習い、一旦アンインストール。
(有志の方が改良版をリリースされていますが、ここではFTP送信時のリスクを考慮して様子見とします。) 

アンインストール時に、保存されているパスワードや各種情報は、
別途パスワード管理ツール(Roboform / ID Manager / 1Password など)に
MEMOしてあるか、確認しておくこと。念のため、運用時には変更しておくこと。 

2)セキュリティソフトの対応が追いついていないケースがありますので、 

セキュリティソフトをインストールしているから、大丈夫、という過信にご注意ください。
オンラインスキャンと、手動確認の二重確認のあと、
次の、3)の予防対策が必要です。 

2-1 )オンラインスキャン(自動) 

・  カスペルスキー(2010年1月31日現在:体験版で確認可能)
http://www.kaspersky.co.jp/virusscanner 

・nifty (カスペルスキー)

      http://www.nifty.com/security/vcheck/kav/kavwebscan.html 

2-2)手動確認 

windowsをセーフモード起動>コマンドプロンプトから、regedit で、レジストリエディタ起動
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]


“sysgif32″=”C:\WINDOWS\TEMP\~TMD.tmp”
“~TM6.tmp”=”C:\WINDOWS\TEMP\~TM6.tmp”
等の登録があれば感染済 

[感染後の削除方法]

 

サイト管理者の場合、OSのクリーンインストール後に
サイトへのアクセス・パスワード変更をお薦めします。

 

念のため、削除すべきファイルは、
C:Documents and Settingsユーザー名スタート メニュープログラムsiszyd32.exe

 

3)以下の更新作業を実行してください。※■←必須作業です 

■  1:Adobe Flash Player の更新
http://get.adobe.com/jp/flashplayer/ 

■ 2:Java(JRE)の更新
http://java.com/ja/download/manual.jsp?locale=ja&host=java.com
※ 一般の方は問題ないと思いますが、
Java を最新に更新した場合、未対応のアプリが動かない可能性があります。 

■3:Microsoft 関連を最新版に更新
https://www.update.microsoft.com/ 

■4:Adobe Readerを最新版に更新
http://www.adobe.com/jp/products/acrobat/readstep2.html 

■5:ウイルス対策ソフトの定義ファイルを最新の状態に更新する。
※ 現状、カスペルスキーの対応が最速だが、過信には注意ください。 

■6:Acrobat JavaScriptの無効化 

Adobe Reader の 編集 > 環境設定 > 分類 > JavaScript >  [Acrobat JavaScriptを使用]のチェックをはずす  >  「OK」 

※ レジストリ等にパスワードを保存するタイプはすべて対象なので、FFFTPを利用していなくても
上記の3)の作業は必須になります。※FFFTPだけでなく、Dreamweaverなども可能性があります。 

4)FFFTPが、直接狙われている可能性もある、と
FFFTPの作者さまのサイトに記載がありますので、一旦、1)でアンインストールしました。 

上記3)の感染しないための予防手順を施したあとの、代替え品としては 

WinSCP
NextFTP シェアウェア 

を、暫定的にパスワードを保存しない方法で利用して、
FTPS環境への乗り換えを検討が必要かと思います。 

(これらのツールが、今回の攻撃に対して、安全ということではありません。
「パスワードを保存せずに、FTPSで接続できる環境」へ移行するまでの、暫定的な対処法です。
# あるいは、各クライアント側でパスワードの保存方法が改善されるのを待つか。) 

(2010/01/31現在)


2:利用クライアントについて
■FFFTPについて
FFFTPを特定して攻撃しているという情報「も」あり(2010/01/31現在)、
FFFTPの作者がアンインストールを推奨されています。
h
ttp://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html

また、作者様もご指摘のとおり、
FTPSに対応していないサーバ環境の場合は、
今後、それ自体を見直す必要があるかもしれませんが
それまでは、まずは、下記の対応になると思います。
■Dreamweaverなど について、
FFFTP以外にも、Dreamweaver,WinSCP など、
レジストリなどにパスワードを保存しているFTPツールであれば
感染すれば、webサイト改ざんの可能性があります。 

可能な限り、FTPSで接続できるクライアントを利用して、
かつ、パスワードは保存せず、
パスワード管理ツールなどを活用してアクセスする必要があります。 

注)その他のFTPツールを使ったり、パスワードを手入力していても
FTPである以上、パスワードは平文(暗号化されていない)なので、
通信中に悪意のあるプログラムに傍受される可能性がありますので、
また、キーロガー的な振る舞いをされることも想定すると、完全とはいえません。 

本来、サーバへのIP制限や、FTPSやSSH接続が必要ですが、
SSHポートは開放しない、など、サーバ会社によって様々なので、
セキュリティご担当者やサーバ会社さまと相談されてみてください。 

いずれにせよ、以下の3)の手順でしっかりと予防をおこなう必要があります。 

■一般ユーザやサイト管理を外注している場合について 

さらに、上記のソフトを利用していない
一般ユーザも、注意が必要ですので、以下ご確認ください。
自社サイトを外部の制作会社に依頼されている場合も、下記のチェックが必要です。
(詳細については、セキュリティご担当者にご確認ください。)
■今後の対応 

今回に関わらずですが、
今まで通り、使用するコンピュータの OS やインストールされているソフトウエアを
常に最新の状態に維持することに、一層注意を払ってください。 

JPCERTのメーリングリストで最新情報を取得 

3:接続方法の検討

 

パスワードを保存しない、FTPSクライアントを利用。
また、FTPSや、認証キーなどを利用。

 

例:winSCPによるFTPS接続とpuTTYの併用 http://fedorasrv.com/winscp.shtml

例:Dreamweaver では サイト > サイトの管理 > 詳細設定 > リモート情報

 

で、

 

SFTPを使用 にチェック
パスワードは保存しない
.STE ファイルなどは完全に削除
サーバ側で、IP制限を設ける
(鍵方式の認証はDWの場合、ハードルが高そう)

などの方法が考えられると思います。

 

このあたりは、くどくて申し訳ないのですが、
いろいろと情報が錯綜していますので、ひとつのガイドライン程度になれば、と投稿しています。

ポリシーや、ビジネススピード、規模などから「これ」という正解はでないと思います。

社内セキュリティご担当者様、サーバご担当者様、あるいは、サーバ管理会社様とご相談の上、
最終的に方法を決めていただくのが、最良の方法と思います。

 

<謝辞>
本記事作成にあたり、情報、アドバイスをいただいた皆様に感謝いたします。 

security forcus -Mailing Lists-

 http://www.securityfocus.com/archive 

ガンブラーウイルスについての誤った情報にご注意ください。
http://blogs.yahoo.co.jp/noooo_spam/59368027.html 

wikipedia - Gumblar
http://en.wikipedia.org/wiki/Gumblar 

Gumblar .cn Exploit – 12 Facts About This Injected Script
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-… 

Inside Gumblar: Looking for the trigger
http://blog.fortinet.com/inside-gumblar-looking-for-the-trigger/

so-net 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115 

Thanks and Farewell FFFTP
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-… 

JPCERT
http://www.jpcert.or.jp/ 

インジェクション GNU GPL/CODE1
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF… 

インジェクション GNU GPL/CODE1 2
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF… 

Gumblarと類似したWebサイト改ざんを利用する攻撃【Tokyo SOC Report】
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333966?c… 

8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
http://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html 

ガンブラー(/*Exception*/) vs Norton Internet Security 2010
http://www.smilebanana.com/archives/2010/01/23-2158.php 

slashdot サーバ側の確認方法は?
http://slashdot.jp/comments.pl?sid=481462&cid=1702491 

twitterの皆様
FFFTPの更新言及についてのご指摘をいただいた jstclg氏
説明部でご指摘をいただいた Kosuke_BM氏
FFFTPの件について、RTでおしらせくださった tyto_style氏
検証情報等、FFFTPへの注意喚起を第一報をいただいた @fujista氏
tyto_style氏へのRTをhubしていたいだ72kh氏—————————————
MEMO 8080系ウイルスについて
Gumblar系とは似ていますが、厳密には別種で、埋め込むスクリプトが異なります。
ただ、おおまかな感染経路はGumblarと似ています。

ちなみに、8080系 と呼ぶのは日本のみです。
ページTOPへ