Webサイト経由でのマルウェア拡散 - Mpack

 FTP経由で一斉にWebサイトを改ざんする

これから先は、筆者が入手したMpack（0.90）およびFTP Toolz Pack（2.7)を利用した感触であり、憶測も含んでいるのだが、こうしたWebサイトを改ざんに加え、スパムメール、フォーラムリンクなどから更に誘導することでアクセスを増加（感染を拡大）させることができるのは言うまでもない。

まず、MpackのWebサーバーへ設置は、前述したように、他のWebアプリケーションなどと同様に、MySQLのデーターベースを作成し、そのMySQLサーバーへののログイン設定、そしてMpack自体へのログインパスなどを設定ファイルに記述して、設置するだけだ。これで、トップページ(ex:http://hackerjapan-test.com/mpack/index.php)へアクセスすると、攻撃コードが実行される母体が出来上がる。

次に、アクセスを誘導するために、多くのWebサイトを改ざんする必要がある。これは、Mpackを設置したWebサイトへアクセスするよう、改ざんするWebサイトのWebページに、iframeタグを挿入していけばよい。

FTP Toolz Packは、この作業を自動化して、多くのWebサーバーを一斉に改ざんするために用いられる。用意するのは、予めクラック済みのFTPアカウントリストである。

リストには、「ftp://ユーザー名：パスワード@サーバーアドレス」が一行づつ記載され、このリストを読み込ませて、改ざんを開始する。実作業は、挿入するiframeタグを記載して、実行ボタンをクリックするだけである。

FTP Toolz Packでも、成功の統計やどこの国のWebサイトか、またGoogle PageRankなども参照できるようになっている。ロシア語の記載であるため、手探りで利用してたため、細かい部分は不明なところもある。

本稿執筆中に、SecurityFocusにMpackの開発者インタビューが掲載されているので、興味のある方は参照してみるといいだろう。

■Newsmaker: DCT, MPack developer：http://www.securityfocus.com/news/11476/1

■図3：FTP Toolz Packでもアタック状況の統計やログをWebブラウザごしにモニタ可能。

●図4：改ざんするWebサイトへ追加するiframeタグを記述して、予め読み込ませたFTPアカウントに従って自動的に改ざんを行う。

・追加するタグを設定

・実行した際のログ

■図5：改ざんされたWebページには、iframeタグが追加される。