Articles - Malware |
2007年7月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。
Mpackとは?
Mpackは、PHPスクリプトで記述されたクラックツールキットで、有償のクラックツール(~$1,000)として販売されたことも話題の1つとなっている。複数の脆弱性(0day含む)を利用して、Webサイトへアクセスしたユーザーに攻撃コードを実行し、マルウェアを仕掛けることを可能にする。
Web上でクラッキング状況をモニタリングすることもできるため、どこの国でどのくらい成功しているか、などの結果もわかる。
Mpack自体の設置方法などは簡単に言ってしまえば、phpBBやJoomlaのようなWebアプリケーションと同様である。クラッカーは、既に侵入済みのWebサーバーにMpackを仕掛けておけば、後は、設置したMpackのトップページへカモのアクセスを誘導することで攻撃コードを実行→カモが感染するという仕組みだ。
アタックに成功した際に実行するプログラム(Webダウンローダー)の作成ツール「DreamDownloader」も付属しているため、カモのコンピュータ上で実行するファイルを指定したWebサーバーよりダウンロード・実行させることができる(もちろん、オリジナルのマルウェアでもかまわない)。
各国のクラッカー・コミュニティでも今年の5月くらいから話題になっていたが、ソースは流出しておらず、孫売りなどが行われているケースも見受けられた(5ユーザーのみ150ドルで…など)。その後、6月の初め頃から次々とパブリックになりつつあり、当初はReadMeのロシア語を判別する必要があったが、現在では英語で翻訳されたものも出回っている。
Mpackは設置したWebサーバーへ、カモを誘導するために改ざんされたWebサイトは数万~数十万とも言われているが、実際のところは不明だ。ただし、同様にしてパブリックとなっているロシア製のFTP関連ツール「FTP Toolz Pack」(こちらもWebアプリケーション)を用いて、複数のWebサイトのindex.*を改ざんし、Mpackへのアクセスを誘導することができる。
■図1:Mpackに付属のWebダウンローダーDreamDownloaderの起動画面。ダウンロード・実行させるファイルのURLを記載して作成する。
■図2:Mpackの管理画面。ローカルネットワークでテストしたため、国旗アイコンは表示されていないが、実際には国別アイコンとともにアクセス、アタック結果が表示される。一度アタックしたクライアントへはアタックしない(UserBlocking)機能や、アタックを国別指定して限定することもできる。