先日、トレンドマイクロさんが2015年第3四半期セキュリティラウンドアップを公開されましたね。
ZDNETさんでも報道されている通り、経験上、攻撃サイトの誘導元は汚染(=改ざん)された正規サイトであることがほとんどのように思えます。
改ざんパターンは色々変遷してて一概にいえないのですが、不正なコードは<body>の直後に入るパターンとhtmlソースの一番最初に入るパターンが多い気がします。
不正なコードは、iframeが入っているパターンと、難読化されたjavascriptのパターンが多い印象ですね。
javascriptの場合は仮想環境下でIEのデバッグ使って追いかけると、lacationで飛ばそうとするようです。
困るのはjavascriptのパターンと遷移元がhttpsの場合で、refererが残ってないので改ざんされた遷移元を追いかけるのは、たとえパケットを取っていてもほぼ不可能となってしまいます。
同様に不正広告のパターンの場合、refererがない上に多段の遷移となり、パケットの海の中から1つ1つjavascriptを虱潰しに解析する(難読化やpackerのせいでキーワードに引っかからない)ということになり、基本諦めることになります。
かくして改ざんされたサイトが放置され、被害者が増えていくという感じです。(;´д`)
コメント