攻撃の流れ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/09/14 14:25 UTC 版)
Gumblarはその脅威としてWebサイトに埋め込まれる攻撃コード、および攻撃コードによってコンピュータに感染するマルウェアに大別される。 まず何らかの不正アクセスによって、Webページに攻撃コードを埋め込んで改竄する。この攻撃コードは、アンチウイルスベンダーによって「Troj/JSRedir-R」「JS_GUMBLAR」などと呼ばれるJavaScriptプログラムである。この攻撃コードが読み込まれるとAdobe Reader・AcrobatやFlash Player、Java、Windows、Microsoft Officeなどの脆弱性を利用してクライアント側のコンピュータにマルウェアを感染させる。 このときに感染するマルウェアはアンチウイルスベンダーによって「Troj/Daonol-Fam」「TSPY_KATES」などと呼ばれるトロイの木馬であり、感染コンピュータのFTP通信を監視しFTPアカウントを攻撃者のサーバに送信する活動を行う。これによって攻撃者が当該Webサイトの管理権限を取得し、サイトの改竄が行われる。このとき、JSRedir-R型のコードの埋め込まれることによってさらなる同様の攻撃が広がっていくのである。 元々マルウェアのダウンロード元のURLが「gumblar.cn」であったことから「Gumblar」の名称が広がったが再び攻撃が広まった際にパターンが変更され、シンプルに攻撃パターンを分類すると「Gumblar系攻撃」、「Gumblar.x系攻撃」、「ru.8080系攻撃」、「cn.8080系攻撃」、「改変型8080系攻撃」の5タイプが存在する。 以上の説明は、Webページの改竄につながる攻撃に関する場合に限る。FTPアカウントの盗難によって、秘密情報が漏洩したりするおそれがある。またダウンロードされるマルウェアはWebサイトを管理しているコンピュータをターゲットにしているが、他の活動を行ったりそもそも種類が異なるマルウェアが感染する可能性もあることに注意されたい。
※この「攻撃の流れ」の解説は、「Gumblar」の解説の一部です。
「攻撃の流れ」を含む「Gumblar」の記事については、「Gumblar」の概要を参照ください。
- 攻撃の流れのページへのリンク