Web閲覧による感染とは、ユーザーがWebサイトを見ることで攻撃者がユーザーのシステムへのアクセスを得ることです。このテクニックでは、通常、ユーザーのWebブラウザーが攻撃の対象になりますが、攻撃者はアプリケーションへのアクセストークンの取得など、改ざんされたWebサイトを使用することもあります。
攻撃コードをブラウザに配信する方法には、次のような複数の方法があります。
多くの場合、攻撃者が使用するWebサイトは、政府、特定の業界、地域などの特定のコミュニティが訪問するWebサイトであり、その目的は共有の利益に基づいて特定のユーザーを侵害することです。この種の標的型攻撃は、戦略的なWeb侵害または水飲み場攻撃と呼ばれます。この攻撃には、いくつかの例が知られています。[1]
典型的な感染プロセス:
外部公開されたアプリケーションへの攻撃と異なり、このテクニックの狙いは、Webサイトにアクセスしたときにクライアントのソフトウェアを悪用することです。これにより、一般的に、DMZにある外部システムではなく、内部ネットワーク上のシステムへ、攻撃者のアクセスが許可されます。
攻撃者は、侵害されたWebサイトを使用して、OAuthトークンなどのApplication Access Tokenの搾取のために設計された悪意のあるアプリケーションをユーザーを配信し、保護されたアプリケーションおよび情報にアクセスすることもできます。これらの悪意のあるアプリケーションは、正当なWebサイトのポップアップを介して配信されています。[2]
Name | Description |
---|---|
APT19 | |
APT32 | |
APT37 |
APT37 は、マルウェアを配布するために、特に北朝鮮のWebサイトを戦略的にWeb侵害を使用しています。このグループは、また、マルウェアをより無差別に被害者に広めるために、トレントファイル共有サイトを使用します。 感染活動の一部において、グループはRICECURRYと呼ばれるJavascriptベースのプロファイラーを使用して、被害者のWebブラウザーを分析し、それに応じて悪意のあるコードを配信しました。[17][7] |
APT38 | |
BRONZE BUTLER |
BRONZE BUTLER は、水飲み場攻撃を実行するために、不正なFlashファイルで日本のWebサイトを3つ改ざんしました。[10] |
Dark Caracal |
Dark Caracalは、水飲み場を利用して悪意のあるコードを配信しました。[18] |
Darkhotel |
Darkhotel は、選定した被害者をリダイレクトさせてマルウェアをダウンロードさせるために、ホテルのログインポータルにiframeを埋め込みました。[25] |
Dragonfly 2.0 |
Dragonfly 2.0 は、正当な組織のWebサイトを侵害し、被害者を感染させるために水飲み場攻撃を行いました。[9] |
Elderwood |
Elderwoodは、特定業界のターゲットが訪問した特定の公開Webページに悪意のあるコードを挿入することにより、ゼロデイエクスプロイトとマルウェアを被害者に配信しました。[11][12][13] |
KARAE |
KARAE は、YouTubeビデオダウンローダーアプリケーションをおとりとして使用して、トレントファイル共有Webサイトを通じて韓国の被害者に配信されました。[7] |
Lazarus Group |
Lazarus Group は、汚染された正当なWebサイトを通じで被害者に RATANKBA を配信しました。[8] |
Leafminer | |
Patchwork |
Patchwork は、最初の被害者に攻撃コードを含むファイルを配信するために水飲み場攻撃を使用しました。[15][16] |
PLATINUM | |
POORAIM | |
Threat Group-3390 |
Threat Group-3390 は、被害者を狙って戦略的にWeb侵害を行います。[21][22] |
Mitigation | Description |
---|---|
Application Isolation and Sandboxing アプリケーションの分離とサンドボックス化 |
ブラウザーのサンドボックスを使用して、攻撃の一部を軽減できますが、サンドボックス避けが、依然として存在する可能性があります。 他のタイプの仮想化およびアプリケーションのマイクロセグメンテーションも、クライアントへの攻撃の影響を緩和する可能性があります。これらのタイプのシステムでは、追加の攻撃や実装の弱点のリスクが依然として存在する可能性があります。[3][4] |
Exploit Protection |
Windows Defender Exploit Guard(WDEG)やEnhanced Mitigation Experience Toolkit(EMET)など、攻撃時に使用される動作を探すセキュリティアプリケーションを使用して、一部の攻撃動作を緩和できます。制御フローの整合性チェック(CFG)は、攻撃の可能性を識別し、停止させるための別の方法です。これらの保護の多くは、構成に依存し、レガシーなアプリを対象としています。[5][6] |
Restrict Web-Based Content Webベースのコンテンツの制限 |
広告を介して配信される悪意のあるコードの場合、アドブロッカーはそのコードが最初に実行されるのを防ぐのに役立ちます。 スクリプトブロックの拡張機能は、攻撃プロセスで一般的に使用される可能性のあるJavaScriptの実行を防止するのに役立ちます。 |
Update Software ソフトウェアのアップデート |
すべてのブラウザとプラグインを最新に保つことで、この手法の攻撃フェーズを防ぐことができます。セキュリティ機能がオンになっている最新のブラウザを使用します。 |
ファイアウォールとプロキシは、既知の悪性ドメインまたはパラメータのURLを検査できます。また、Webサイトや、ドメインの古さ、登録者、既知の悪性リストにあるかどうか、以前に接続した他のユーザーの数など、要求されたリソースに対して評価ベースの分析を行うこともできます。
場合によってはSSL / tLS MITM検査を伴うネットワーク侵入検知システムを使用して、既知の悪性スクリプト(偵察、ヒープスプレー、ブラウザー識別スクリプトは頻繁に再利用されている)、一般的な難読化スクリプト、および悪性コードを探すことができます。
正当なWebサイトからドライブバイ攻撃に基づく感染を検出することは困難な場合があります。また、ブラウザプロセスの異常な動作など、感染の成功を示すエンドポイントシステム上の動作を探すこともできます。これには、ディスクに書き込まれた疑わしいファイル、実行を隠そうとするプロセスインジェクションの痕跡、探索の痕跡、またはシステムに転送された追加のツールを示す他の異常なネットワークトラフィックが含まれます。