インジェクション GNU GPL/CODE1 2
Published: 2010/01/04
「インジェクション GNU GPL/CODE1」の続きで、
最近のインジェクションされている難読化スクリプトを解くと出てくるURLの特徴です。
/*GNU GPL*/が特徴のものについてはこのような感じで、有名サイト、一般サイトの文字列で構成されています。
jp系ではbiglobeとかnikkeibpとかも文字列が使われていますね。
/*CODE 1*/が特徴のもについても同様でこちらはocn.ne.jpが使われている例です。
これらのドメインに関してはレジストラやIPアドレスは基本的には共通ですかね、タイミングによってAレコードのメンバーが若干変化します。
;; QUESTION SECTION: ;BROWNBAGBAR.RU. IN A ;; ANSWER SECTION: BROWNBAGBAR.RU. 300 IN A 85.25.73.243 BROWNBAGBAR.RU. 300 IN A 91.121.49.129 BROWNBAGBAR.RU. 300 IN A 91.121.142.111 BROWNBAGBAR.RU. 300 IN A 94.23.89.95 BROWNBAGBAR.RU. 300 IN A 62.75.184.40
domain: BROWNBAGBAR.RU type: CORPORATE nserver: ns1.hostserverdirect.com. nserver: ns2.hostserverdirect.com. nserver: ns3.hostserverdirect.com. nserver: ns4.hostserverdirect.com. state: REGISTERED, DELEGATED, VERIFIED person: Private Person registrar: NAUNET-REG-RIPN created: 2009.11.22 paid-till: 2010.11.22 source: TCI
年末に登場したあたらしいインジェクションに関しては解読するとこのようなURLが得られます。
「oughwa.com」は最近のWaledac関連でも使われているようですね。上記二つのものとは別物っぽい。
両URLともにレジストラもIPアドレスも同じですね。そしてともに「domoktov.com」へリダイレクトされます。
Domain Name: OUGHWA.COM Registrar: CHINA SPRINGBOARD INC. Whois Server: whois.namerich.cn Referral URL: http://www.namerich.cn Name Server: NS1.FAVOLU.COM Name Server: NS2.FAVOLU.COM Name Server: NS3.FAVOLU.COM Name Server: NS4.FAVOLU.COM Name Server: NS5.FAVOLU.COM Name Server: NS6.FAVOLU.COM Status: clientDeleteProhibited Status: clientTransferProhibited Updated Date: 30-dec-2009 Creation Date: 25-nov-2009 Expiration Date: 25-nov-2010
TTL=0のAレコードをひとつしか返してきませんが、毎回異なるアドレスを応答するタイプのFast-fluxですね。かるく3分ほどしらべただけで70個程のユニークなIPアドレスが取得できました。実際はかなりの規模のボットが使われてるかもしれません。
;; QUESTION SECTION: ;sodanthu.com. IN A ;; ANSWER SECTION: sodanthu.com. 0 IN A 221.247.134.16
取得できたIPアドレスのAS別の数をまとめてみました。NO_ENTRIESが多いのは使ったDBに登録がなかっただけです。この表では国内IPは17676、7522、9824だけですが、試しに調べたときには別の国内IPもあったのですが、構成しているボットの規模が大きいのか、一度応答された国内のIPがなかなか二度以上登場しないです。
AS | AS NAME | BOT数 |
---|---|---|
4766 | KIXS-AS-KR-KR | 20 |
17858 | KRNIC-ASBLOCK-AP | 6 |
6739 | ONO-AS | 6 |
7132 | SBIS-AS | 5 |
20115 | CHARTER-NET-HKY-NC | 4 |
11426 | RoadRunner | 3 |
12322 | PROXAD | 3 |
33287 | Comcast | 3 |
11427 | RoadRunner | 2 |
12392 | ASBRUTELE | 2 |
131 | UCSB-NET-AS | 2 |
13184 | HANSENET | 2 |
16086 | NO_ENTRIES | 2 |
16338 | NO_ENTRIES | 2 |
17676 | GIGAINFRA | 2 |
18988 | NO_ENTRIES | 2 |
20214 | CCCH-AS6 | 2 |
28679 | NO_ENTRIES | 2 |
33490 | DNEO-OSP5 | 2 |
33650 | DNEO-OSP7 | 2 |
35002 | NO_ENTRIES | 2 |
3737 | PTD-AS | 2 |
41668 | NO_ENTRIES | 2 |
42610 | NO_ENTRIES | 2 |
6198 | BELLSOUTH-NET-MIA | 2 |
6678 | NO_ENTRIES | 2 |
7018 | ATT-INTERNET4 | 2 |
7725 | CCH-AS7 | 2 |
7757 | CCCH-AS4 | 2 |
812 | ROGERS-CABLE | 2 |
9698 | YOUNGDOONG-AS-KR | 2 |
10994 | RoadRunner | 1 |
1267 | ASN-INFOSTRADA | 1 |
14051 | NO_ENTRIES | 1 |
16735 | NO_ENTRIES | 1 |
19262 | VZGNI-TRANSIT | 1 |
27699 | TSP | 1 |
33491 | NO_ENTRIES | 1 |
33657 | NO_ENTRIES | 1 |
34779 | NO_ENTRIES | 1 |
41887 | NO_ENTRIES | 1 |
44814 | NO_ENTRIES | 1 |
6830 | UPC | 1 |
7522 | STNET | 1 |
8404 | CABLECOM | 1 |
9824 | @Home | 1 |
リダイレクトされるサイトはここです。ここのサイト構造は単純な感じで。
Domain Name: DOMOKTOV.COM Registrar: ARSYS INTERNET, S.L. D/B/A NICLINE.COM Whois Server: whois.nicline.com Referral URL: http://www.nicline.com Name Server: NS1.EVERYDNS.NET Name Server: NS2.EVERYDNS.NET Name Server: NS3.EVERYDNS.NET Name Server: NS4.EVERYDNS.NET Status: ok Updated Date: 13-nov-2009 Creation Date: 13-nov-2009 Expiration Date: 13-nov-2010
122.115.63.19 inetnum: 122.115.32.0 - 122.115.63.255 netname: Qishangzaixian descr: Beijingqishangzaixian Shujutongxinkejiyouxiangongsi descr: Room 1908-1909, No.32, Beisanhuanxilu descr: Beijing, China, 100086 country: CN
by jyake