Webサイト経由でのマルウェア拡散 - Mpack

2007年7月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。

Mpackとは？

Mpackは、PHPスクリプトで記述されたクラックツールキットで、有償のクラックツール（～$1,000）として販売されたことも話題の1つとなっている。複数の脆弱性（0day含む）を利用して、Webサイトへアクセスしたユーザーに攻撃コードを実行し、マルウェアを仕掛けることを可能にする。

Web上でクラッキング状況をモニタリングすることもできるため、どこの国でどのくらい成功しているか、などの結果もわかる。

Mpack自体の設置方法などは簡単に言ってしまえば、phpBBやJoomlaのようなWebアプリケーションと同様である。クラッカーは、既に侵入済みのWebサーバーにMpackを仕掛けておけば、後は、設置したMpackのトップページへカモのアクセスを誘導することで攻撃コードを実行→カモが感染するという仕組みだ。

アタックに成功した際に実行するプログラム（Webダウンローダー）の作成ツール「DreamDownloader」も付属しているため、カモのコンピュータ上で実行するファイルを指定したWebサーバーよりダウンロード・実行させることができる（もちろん、オリジナルのマルウェアでもかまわない）。

各国のクラッカー・コミュニティでも今年の5月くらいから話題になっていたが、ソースは流出しておらず、孫売りなどが行われているケースも見受けられた（5ユーザーのみ150ドルで…など）。その後、6月の初め頃から次々とパブリックになりつつあり、当初はReadMeのロシア語を判別する必要があったが、現在では英語で翻訳されたものも出回っている。

Mpackは設置したWebサーバーへ、カモを誘導するために改ざんされたWebサイトは数万～数十万とも言われているが、実際のところは不明だ。ただし、同様にしてパブリックとなっているロシア製のFTP関連ツール「FTP Toolz Pack」（こちらもWebアプリケーション）を用いて、複数のWebサイトのindex.*を改ざんし、Mpackへのアクセスを誘導することができる。

■図1：Mpackに付属のWebダウンローダーDreamDownloaderの起動画面。ダウンロード・実行させるファイルのURLを記載して作成する。

 ■図2：Mpackの管理画面。ローカルネットワークでテストしたため、国旗アイコンは表示されていないが、実際には国別アイコンとともにアクセス、アタック結果が表示される。一度アタックしたクライアントへはアタックしない（UserBlocking）機能や、アタックを国別指定して限定することもできる。