Web脅威の動向 (2022年第2四半期): 悪質なJavaScriptダウンローダの進化

  • 2,526
    people reacted
  • 0
  • 3 min. read

By , , and

Category: Malware

Tags: , , , , , , , ,

Trends conceptual image, covering web threat trends such as the evolution of a malicious JavaScript downloader.

This post is also available in: English (英語)

概要

弊社のセキュリティサブスクリプション「高度なURLフィルタリング(Advanced URL Filtering)」は、「ランディングURL」と「ホストURL」という2種類のURLに関するデータを収集しています。弊社では「悪性ランディングURL (malicious landing URL)」を「ユーザーが悪質なリンクをクリックする機会を提供するURL」と定義しています。また「悪性ホストURL (malicious host URL)」を「誰かの計算能力を悪用したり、機微情報を盗んだり、そのほかの種類の攻撃を行う可能性のある、悪質なコードスニペットを含んだWebページ」としています。

弊社のリサーチャーはつねにWeb脅威を追跡しつづけ、時間経過とともに現れてくる脅威動向の理解につとめています。本稿は、弊社のWeb脅威検知モジュールを用いて、2022年4月から2022年6月の間に確認された脅威動向を解説します。

私たちの検出モジュールは、あらゆる種類のWeb脅威を含むランディングURLを約75万1,000件検出し、そのうち25万3,000件(約1/3)がユニークURLでした。また同検出モジュールでは、約174万件の悪質ホストURLも検出しており、そのうち25万6千件(約15%)がユニークなものでした。

本稿は得られたWeb脅威動向について以下の分析結果と知見を解説します。

  • これらのWeb脅威がもっと活発だった時期
  • ホスティングされた場所
  • Web脅威の属するカテゴリ
  • もっともよく確認されたマルウェアファミリ

このほか、悪意のあるダウンローダの事例を検証します。この事例では、ある悪質なJavaScriptダウンローダが、さまざまな種類の検知を回避するためにどう進化してきたか、あるキャンペーンを取り上げて紹介します。

パロアルトネットワークスのお客様は高度なURLフィルタリング[1][2]、DNSセキュリティ脅威防御のクラウド配信型セキュリティサブスクリプションにより、本稿で取り上げる脅威その他のWeb脅威から保護されています。

本稿で取り上げる攻撃の種類と脆弱性の種別 Skimmer attacks, malware
関連するUnit 42のトピック Information disclosure, Webスキマーに関する詳細な考察 

目次

悪質ランディングURLの検出分析

悪質ホストURLの検出分析

ケーススタディ: 悪質なJavaScriptダウンローダ
結論
IoC

悪質ランディングURLの検出分析

私たちは、2022年4月から6月にかけ、高度なURLフィルタリング[1][2]サブスクリプションをお持ちのお客様から、Web脅威検知モジュールの特別なYARAシグネチャを使い、Web脅威関連のデータを収集しました。私たちは、WebスキマーやWeb詐欺など、あらゆる種類のWeb脅威を含むランディングURLを検出しました。このうち25万3,644件がユニークURLでした。検出されたランディングURLの合計が57万7,275件、ユニークURLの合計が11万6,643件だった前四半期(2022年第1四半期)の結果と比べ、第2四半期の合計数は増加していました。

時間分析

図1は2022年第2四半期のWeb脅威の総ヒット数、そのうちの何件がユニークなヒット数か、そのうち何件が前四半期にも観測されたかを示したものです。この図から分かるとおり、第1四半期から繰り返し現れるユニークなヒット数は少なくなっています。このことからは、攻撃者がつねに新たな侵入口を狙っていることがうかがえます。

ランディングURLの分布(2022年4月~6月)を表す棒グラフ。青の棒グラフは同一URLの重複検出も含む総URL検出数を、赤の棒グラフは重複を除くユニークURLの検出件数を、オレンジの棒グラフは2022年第1四半期に観測され、2022年第2四半期にユニークだった検出を示す。
図1. Web脅威: ランディングURLの分布 (2022年4月~6月)(青の棒グラフは同一URLの重複検出も含む総URL検出数を、赤の棒グラフは重複を除くユニークURLの検出件数を、オレンジの棒グラフは2022年第1四半期に観測され、2022年第2四半期にユニークだった検出を示す)

地理的分析

弊社の分析によると、先に述べた25万3,644件のユニークURLは3万4,833個のユニークなドメインからのものです。これらのドメイン名の地理的分布を特定すると、米国がその大半を占め、次いでドイツ、ロシアが多くなっていました。これは前四半期と同様の結果です。ただし攻撃者はそれらの国に設置されたプロキシサーバーやVPNを利用し、実際の物理的な場所を隠している可能性があることも私たちは認識しています。

図2のコロプレスマップはほぼすべての大陸にこれらのドメイン名が広く分布していることを示しています。図3は、これらのドメインネーム所有者の所在地と思われる場所の上位8カ国を示したものです。

ランディングURLの地理的分布を示すコロプレスマップ(2022年4月~6月)
図2. Web脅威: ランディングURLドメインの地理的分布(2022年4月〜6月)
ランディングURLの発信国分布を示す円グラフ(2022年4月~6月)米国64.4%、ドイツ4.9%、ロシア2.0%、フランス2.0%、カナダ1.8%、英国1.7%、オランダ1.7%、インド1.3%、その他20.2%
図3. Web脅威: ランディングURLドメインの発信国上位8カ国(2022年4月〜2022年6月)

カテゴリ分析

検知モジュールが当初は良性と判定していたランディングURLを分析し、サイバー攻撃者に狙われやすいターゲットや彼らがユーザーをどこでだまそうとしているかを調べました。これらのランディングURLをきっかけに、ユーザーは悪質ホストURLをクリックしてしまうおそれがあります。それ以降の悪質なコードスニペットにつながるこれらのランディングURLはすべて、弊社の製品によって悪意のあるものとしてマークされることになります。

図4に示すように、一見無害なカテゴリは「個人サイトやブログ」がトップで、ついで「ビジネス・経済サイト」、「コンピュータ・インターネット情報サイト」となっています。前四半期と比べるとコンピュータ・インターネットの情報サイトがショッピングサイトを抜いて第3位となっています。攻撃者は、一見良性に思われるサイトから悪質なリンクに誘導させようとすることが多いので、知らないWebサイトを訪れる際は、十分注意することを強くお勧めします。

Web脅威をホストする上位10カテゴリを示す円グラフ(2022年4月~6月)「個人サイト・ブログ」14.3%、「ビジネス・経済サイト」13.8%、「コンピュータ・インターネット」7.8%、「ショッピング」5.5%、「健康・医療」4.7%、「社会」4.6%、「娯楽・芸術」4.4%、「検索エンジン」3.7%、「パーキングドメイン」3.4%、「旅行」3.2%、その他 34.7%
図4. もともとは良性と思われていたランディングURLをカテゴリ別に分類。この図は2022年4月~6月にかけてWeb脅威を受け入れた上位10カテゴリを示している

悪質ホストURLの検出分析

高度なURLフィルタリング[1][2]は、2022年4月~6月に174万4,649件の悪質ホストURLを検出しました。このうち25万6,844件はユニークURLであることが確認されています。次のセクションでこれら悪質ホストURLを詳しく見ていきます。なお「悪質なホストURL」とは具体的には「ユーザーのコンピュータリソースを悪用する、機密情報を盗むなどの攻撃を行う可能性のある悪質なスニペットを含むページ」を指します。

総ヒット数は前四半期とほぼ同じですが、ユニークヒット数は大幅に増加しています。この42%の増加からは、攻撃者の悪質な振る舞いが多様化してきていることが示唆されます。

時間分析

図5は、ユニークヒット数に分類されるものを含む、Web脅威の総ヒット数を示したものです。

日時(2022年4月~6月)をX軸、ヒット件数(0~100万)をY軸にとった棒グラフ。青い棒グラフは総ヒット数、赤い棒グラフはユニークなヒット数を示す。2022年4月は総ヒット数80万5,6924件、7万6,866件のユニークヒット数を記録。2022年5月は総ヒット数38万5,834件、6万4,553件のユニークヒット数を記録。2022年6月は総ヒット数55万3,103件、11万5,425件のユニークヒット数を記録。
図5. Web脅威の悪質ホストURLの分布(2022年4月~6月)

地理的分析

ホストURLの地理的分析では、25万6,844件の悪質ホストURLは2万3,663個のユニークドメインに属していることが判明しました。ユニークドメイン数はランディングURLで観測したものより少なくなっています。

これらのドメイン名の地理的な位置を確認したところ、一般的なWeb脅威と同様に、その大半が米国から発信されていることがわかりました。図6はこの調査結果を表すヒートマップです。

悪質なホストURLの地理的分布を示すコロプレスマップ(2022年4月~6月)
図6. Web脅威: 悪質ホストURLドメインの地理的分布(2022年4月~6月)

図7はこれらドメイン名の所有者が所在すると思われる上位8カ国を示したものです。Web上の脅威全体では米国、ドイツ、ロシアが上位3カ国となっていました。悪質ホストURLの上位3カ国もこれと同じでした。前四半期の調査結果とも一致しています。

悪質ホストURLの発信国分布を示す円グラフ(2022年4月~6月)米国66.0%、ドイツ4.8%、ロシア2.4%、フランス1.7%、英国1.6%、カナダ1.6%、オランダ1.6%、インド1.4%、その他18.9%
図7 Web脅威: 悪質ホストURLのドメイン所在地と考えられる国上位8カ国(2022年4月〜6月)

マルウェア分類分析

私たちが観測したWebの脅威のトップ5は、クリプトマイナー、JavaScriptダウンローダ、Webスキマー、Web詐欺、JavaScriptリダイレクタでした。これらの分類の定義については、前回の分析「Web脅威の一年: クラウドホスティングを利用するWebスキマー 他」をご参照ください。

図8に示すように、2021年末時点ではJavaScriptダウンローダの脅威がもっとも活発で、WebスキマーとWebマイナー(別名クリプトマイナー)がそれに続いています。。この結果は前四半期の調査結果と似てます。

カテゴリ名(js_downloader、web_miner、web_skimmer、web_scam、js_redirector)をX軸、ヒット数(0〜100万件)をY軸にとった棒グラフ。青い棒グラフは総ヒット数、赤い棒グラフはユニークなヒット数を示す。Js_downloaderは93万0,359件の総ヒット数、11万2,422件のユニークヒット数を記録。web_minerは32万7,472件の総ヒット数、2万5,590件のユニークヒット数を記録。web_skimmerは33万7,710件の総ヒット数、7万1,468件のユニークヒット数を記録。web_scamは1万8,132件の総ヒット数、3,749件のユニークヒット数を記録。Js_redirectorは9万2,157件の総ヒット数、2,988件のニークヒット数を記録。
図8. Web脅威カテゴリ内訳トップ5 (2022年4月~6月)

マルウェアファミリ分析

上で説明したWeb脅威の分類に基づいて、Web脅威のグループをマルウェアファミリごとにさらに整理しました。ファミリの把握は脅威の仕組みを理解する上で重要です。なぜなら同一ファミリの脅威は、表示されるHTMLランディングページのレイアウトやスタイルが異なっていても、同じようなJavaScriptコードを共有しているからです。

年次の分析「Web脅威の一年: クラウドホスティングを利用するWebスキマー 他」でもそうしたように、「コードのパターンや振る舞いが似ている」、「同じ攻撃者から発信されている」といった特徴をチェックすることで、私たちは「あるマルウェアがある特定のファミリに属するかどうか」を識別しています。

図9は、今回確認した上位10のマルウェアファミリで観測されたスニペットの数を示しています。前回同様、JavaScriptリダイレクタ、Web詐欺、JavaScriptダウンローダのファミリは少なく、Webスキマーはコードや振る舞いが多様です。

X軸にWeb脅威ファミリを、Y軸にヒット数(0〜20万)を示した棒グラフ。青い棒グラフは総ヒット数、赤い棒グラフはユニークなヒット数を示す。
図9 Web脅威のマルウェアファミリの分布 (2022年4月~6月)

ケーススタディ: 悪質なJavaScriptダウンローダ

今回の分析で検出したWebの脅威の中で、もっとも目についたのが、広く使われているコンテンツ管理システム(CMS)からWebページにインジェクトされた悪質なJavaScriptダウンローダでした。このダウンローダは、正規Webページにインジェクトされてユーザーを広告やスパムなどにリダイレクトします。

検出を回避するように進化した同じマルウェアファミリ亜種に感染したWebサイトが多数確認されました。最初に発見されたさい、このマルウェアファミリはいっさい難読化をしていませんでした。ところが2022年第2四半期に見つかったサンプルでは、リダイレクト先URLを隠すために若干難読化を施しているようすが確認されました。

図10は、侵害されたWebサイトのソースコードから抽出した悪意のあるJavaScriptのコードスニペットを示しています。

侵害されたWebサイトのソースコードから抽出したJavaScriptのコードスニペット。CharCodeで若干難読化されている
図10 インジェクトされた悪質なJavaScriptコードスニペットのソースコード

見ての通りこのスニペットはCharCodeで若干難読化してあります。難読化を解除すると図11に示すようなコードが得られます。

この悪質なJavaScriptコードは、新たにスクリプト要素をつくり、Webサイト訪問者を別の悪質な宛先にリダイレクトします。このサンプルコードはページのheadの下にあり、ページがクリックされるたびにトリガーされます。私たちは、train[.]developfirstline[.]comjs[.]digestcolect[.]comstat[.]trackstatisticsss[.]comなどの複数の悪質なドメインを確認済みです。

難読化されたソースコード。複数の悪性ドメインが含まれている
図11 インジェクトされた悪質なJavaScriptコードスニペットのソースコード。難読化を解除してある

最近見つかったこの悪質なダウンローダファミリのサンプルは、JavaScriptコード全体が高度に難読化されています(図12参照)。JavaScriptの関数evalの難読化を解除した後のコードは図11のようになります。

悪質なダウンローダのサンプルに含まれていた、高度に難読化されたコード
図12. 悪質なダウンローダのサンプルの高度に難読化されたコード

弊社の検出データにもとづくと、この種類のJavaScriptインジェクションは、弊社顧客データでは約5,000件ヒットしていることが確認されています。この脅威は2022年4月から6月にかけて約300の異なるドメインに感染していました。この悪意のあるJavaScriptダウンローダファミリがいかに活発かがわかります。

結論

本稿で取り上げたように、今期もっともよく見られたWeb脅威は今期もJavaScriptダウンローダ、クリプトマイナー、Webスキマー、Web詐欺、JSリダイレクタでした。私たちが分析したランディングURLのうち攻撃者にもっとも狙われた業種は、個人サイトやブログ、ビジネス・経済サイト、コンピュータ・インターネット情報サイトで、これらが上位3位を占めていました。

とくに注目すべきは、JavaScriptダウンローダが時間の経過とともに進化してより効果的に検知を回避できるようになってきていることです。このファミリの初期の亜種は難読化されていませんでしたが最近のものはより高度に難読化されてきています。

サイバー犯罪者は悪意のあるサイバーアクティビティのチャンスをつねにうかがっています。パロアルトネットワークスのお客様は、クラウド配信型セキュリティサブスクリプションの高度なURLフィルタリングDNSセキュリティ脅威防御を通じて今回取り上げた攻撃その他のさまざまなWeb脅威から保護されています。

このほか、以下の対策が推奨されます。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、 infojapan@paloaltonetworks.commまで電子メールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • 欧州: +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200

IoC

悪質なWebスキマーのSHA256:
bb38741575706a94cc1a3ab43d445b641b2c225f408d67a76d3302ca1233e122

Train[.]developfirstline[.]com
Js[.]digestcolect[.]com
stat[.]trackstatisticsss[.]com

謝辞

本稿にご協力いただいたMike Harbison氏、Billy Melicher氏、Alex Starov氏、Jun Javier Wang氏、Laura Novak氏に感謝いたします。