9.18で改ざんされたWebサイトをMaltegoで見てみた

今年も、9.18に乗じたWebサイトの改ざんが多数発生したようです。中国国内向けの情報提供サイトから、実際に改ざんされた日本語Webサイトを合計88サイト確認することができました。

918

改ざんされたWebサイトを、Maltegoで分析したところ、いくつかの共通する特徴を素早く捉えることができました。一つ目の特徴は、HTTP(S)の80/443番ポートだけでなく、FTP、SSH、SMTP、POP、IMAPのポートが開いていました。(MaltegoのSHODANプラグインで分析)

Service2

二つ目の特徴は、Adobe Dreamweaverでコンテンツ作成されたWebサイトが多いということです。

Tech2

Adobe Dreamweaverは、ホームページ作成ソフトですが、FTPでコンテンツをアップロードするためのFTPクライアント機能も有しているようです。

数年前、Gumblarウイルスが、FFFTP(FTPクライアント)で保存されたFTPパスワードを読み取り、それがWebサイト改ざんで使われたのは記憶している方も多いと思います。

推測ですが、Dreamweaverで保存されたFTPパスワードがウイルスによって読み取られたのではないでしょうか。攻撃者は、盗んだパスワードを9月18日の攻撃のために使わず温存しておいたのでしょうか。

三つめの特徴は、改ざんされたWebサイトのIPアドレス・ブロックが偏っていることでした。当該IPアドレスを所有している事業者で分けると、わずか5つほどのIPアドレス・ブロックに偏っていました。それらの事業者は、いずれもレンタルサーバやVPSを提供しているため、被害サイトは、それらのサービス上に構築されたものであると思われます。

Netblock2

被害を受けたWebサイトの管理者の方々で、Dreamweaverを使っている方は、管理用端末にウイルスが潜んでいる可能性を疑ってみて下さい。

前へ

Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~

次へ

DEF CON 22で仕入れた悪意のあるUSBデバイス