ハイブリッドWebワームとは
ハイブリッドWebワームはサーバとクライアントの両方を介して感染する。同氏はその動きを下記の図を使用して説明した。
|
Billy Hoffman、Black Hat Japan 2007より引用。図中の丸数字は著者が追加(下記説明に対応) |
- サーバinfected.comを改ざんし、不正なJavaScriptを含んだWebコンテンツを作成・追加する。そのJavaScriptにPerlのコードを含めておく。クライアントAliceがサーバinfected.comにアクセスした場合に、特定のPerlコードを含むJavaScriptがダウンロードされる。
- クライアントAliceはJavaScriptを解釈し、site.comがホスティングしているWebアプリケーションを攻撃し、最終的に特定のPerlコードを実行させる。同時に、サーバsite.comのWebコンテンツにもJavaScriptが含まれるよう改ざんを行う。
- 特定のPerlコードが実行された結果、サーバsite.comからの感染活動が発生し、他のサーバを探索する。感染対象の探索には検索エンジンが悪用される。そして、新たに発見されたサーバother.comに感染を行う。この場合も同様にWebコンテンツにJavaScriptが含まれるようにする。
- 感染したサーバother.comからのアウトバウンド通信が制限されている場合、Webサーバにアクセスしてくるクライアントを狙い、不正なJavaScriptを含んだWebコンテンツを作成・追加する。クライアントBobがアクセスした際に不正なJavaScriptを送信し、感染させる。
このようにサーバに感染する手法とアクセスしてきたクライアントに感染する手法を組み合わせることが特徴である。これによりハイブリッドWebワームは旧来のWebワームと比較し、感染能力が大きく向上しているのだという。
また、Webワームにとっての課題は「セキュリティ製品による検知の回避」ならびに「感染拡大の手法」であるとした。そして、同氏が提唱するハイブリッドWebワームはこれらの問題を解決しているのだという。
