ウイルス対策企業シマンテックのセキュリティ研究者によると、ハッカーはウェブベースの攻撃の存続期間を延ばすために、ボットネット型マルウェアで通常使用されるドメイン生成技術を採用し始めているという。
シマンテックのセキュリティ研究者ニック・ジョンストン氏は火曜日のブログ投稿で、こうしたドメイン生成技術は、ブラックホール攻撃ツールキットを使用して、侵入されたウェブサイトを訪問したウェブユーザーをマルウェアに感染させる一連のドライブバイダウンロード攻撃で最近確認されたと述べた。
ドライブバイダウンロード攻撃は、侵害されたウェブサイトに不正なコードを挿入することで、訪問者をBlack Holeなどのエクスプロイトツールキットをホストする外部ドメインへ密かにリダイレクトします。これは通常、隠されたiframe HTMLタグを介して行われます。
これらのツールキットは、訪問者のブラウザに脆弱なプラグインが含まれているかどうかを確認し、見つかった場合は、対応するエクスプロイトを読み込んでマルウェアをインストールします。
セキュリティ研究者はホスティングプロバイダーやドメイン登録業者と協力して攻撃ウェブサイトをシャットダウンし、悪質なドメイン名を停止するため、Web 攻撃の存続期間は通常短くなります。
ボットネットのコマンドアンドコントロール (C&C) サーバーをターゲットにした同様の削除活動のため、一部のマルウェア作成者は、感染したコンピューターの制御を取り戻すことができるバックアップ方法を実装しています。
こうした方法の 1 つは、主要な C&C サーバーがアクセス不能になった場合に備えて、特別なアルゴリズムに従って毎日生成される新しいドメイン名にマルウェアが接続することです。
これにより、攻撃者はボットネットが特定の日付にどのドメイン名に接続を試みるかを理解できるため、事前に登録して更新を発行することができます。
最近のブラックホール攻撃でも同様の手法が使用されました。隠しiframeによって読み込まれるURLのドメイン名は毎日変更され、日付依存のアルゴリズムによって生成されていました。
攻撃者は、侵害されたウェブサイトに挿入されたコードに変更を加えることなく、その日まで攻撃が機能することを保証するために、このアルゴリズムが生成するすべてのドメインを 8 月 7 日までに登録しました。
「これまでのところ、この手法を用いた侵害ドメインは少数ながら着実に確認されています」とシマンテックの研究者らは述べている。「これは、将来的に拡大される可能性のある何らかの試行またはテストである可能性を示唆しています。」
