cNotes 検索 一覧 カテゴリ

インジェクション GNU GPL/CODE1 2

Published: 2010/01/04

インジェクション GNU GPL/CODE1」の続きで、

最近のインジェクションされている難読化スクリプトを解くと出てくるURLの特徴です。


/*GNU GPL*/が特徴のものについてはこのような感じで、有名サイト、一般サイトの文字列で構成されています。

jp系ではbiglobeとかnikkeibpとかも文字列が使われていますね。

/*CODE 1*/が特徴のもについても同様でこちらはocn.ne.jpが使われている例です。

これらのドメインに関してはレジストラやIPアドレスは基本的には共通ですかね、タイミングによってAレコードのメンバーが若干変化します。

 ;; QUESTION SECTION:
 ;BROWNBAGBAR.RU.                        IN      A
 
 ;; ANSWER SECTION:
 BROWNBAGBAR.RU.         300     IN      A       85.25.73.243
 BROWNBAGBAR.RU.         300     IN      A       91.121.49.129
 BROWNBAGBAR.RU.         300     IN      A       91.121.142.111
 BROWNBAGBAR.RU.         300     IN      A       94.23.89.95
 BROWNBAGBAR.RU.         300     IN      A       62.75.184.40
 domain:     BROWNBAGBAR.RU
 type:       CORPORATE
 nserver:    ns1.hostserverdirect.com.
 nserver:    ns2.hostserverdirect.com.
 nserver:    ns3.hostserverdirect.com.
 nserver:    ns4.hostserverdirect.com.
 state:      REGISTERED, DELEGATED, VERIFIED
 person:     Private Person
 registrar:  NAUNET-REG-RIPN
 created:    2009.11.22
 paid-till:  2010.11.22
 source:     TCI

年末に登場したあたらしいインジェクションに関しては解読するとこのようなURLが得られます。

「oughwa.com」は最近のWaledac関連でも使われているようですね。上記二つのものとは別物っぽい。

両URLともにレジストラもIPアドレスも同じですね。そしてともに「domoktov.com」へリダイレクトされます。

 Domain Name: OUGHWA.COM
 Registrar: CHINA SPRINGBOARD INC.
 Whois Server: whois.namerich.cn
 Referral URL: http://www.namerich.cn
 Name Server: NS1.FAVOLU.COM
 Name Server: NS2.FAVOLU.COM
 Name Server: NS3.FAVOLU.COM
 Name Server: NS4.FAVOLU.COM
 Name Server: NS5.FAVOLU.COM
 Name Server: NS6.FAVOLU.COM
 Status: clientDeleteProhibited
 Status: clientTransferProhibited
 Updated Date: 30-dec-2009
 Creation Date: 25-nov-2009
 Expiration Date: 25-nov-2010

TTL=0のAレコードをひとつしか返してきませんが、毎回異なるアドレスを応答するタイプのFast-fluxですね。かるく3分ほどしらべただけで70個程のユニークなIPアドレスが取得できました。実際はかなりの規模のボットが使われてるかもしれません。

 ;; QUESTION SECTION:
 ;sodanthu.com.                  IN      A 
 ;; ANSWER SECTION:
 sodanthu.com.           0       IN      A       221.247.134.16

取得できたIPアドレスのAS別の数をまとめてみました。NO_ENTRIESが多いのは使ったDBに登録がなかっただけです。この表では国内IPは17676、7522、9824だけですが、試しに調べたときには別の国内IPもあったのですが、構成しているボットの規模が大きいのか、一度応答された国内のIPがなかなか二度以上登場しないです。

ASAS NAMEBOT数
4766KIXS-AS-KR-KR20
17858KRNIC-ASBLOCK-AP6
6739ONO-AS6
7132SBIS-AS5
20115CHARTER-NET-HKY-NC4
11426RoadRunner3
12322PROXAD3
33287Comcast3
11427RoadRunner2
12392ASBRUTELE2
131UCSB-NET-AS2
13184HANSENET2
16086NO_ENTRIES2
16338NO_ENTRIES2
17676GIGAINFRA2
18988NO_ENTRIES2
20214CCCH-AS62
28679NO_ENTRIES2
33490DNEO-OSP52
33650DNEO-OSP72
35002NO_ENTRIES2
3737PTD-AS2
41668NO_ENTRIES2
42610NO_ENTRIES2
6198BELLSOUTH-NET-MIA2
6678NO_ENTRIES2
7018ATT-INTERNET42
7725CCH-AS72
7757CCCH-AS42
812ROGERS-CABLE2
9698YOUNGDOONG-AS-KR2
10994RoadRunner1
1267ASN-INFOSTRADA1
14051NO_ENTRIES1
16735NO_ENTRIES1
19262VZGNI-TRANSIT1
27699TSP1
33491NO_ENTRIES1
33657NO_ENTRIES1
34779NO_ENTRIES1
41887NO_ENTRIES1
44814NO_ENTRIES1
6830UPC1
7522STNET1
8404CABLECOM1
9824@Home1

リダイレクトされるサイトはここです。ここのサイト構造は単純な感じで。

   Domain Name: DOMOKTOV.COM
   Registrar: ARSYS INTERNET, S.L. D/B/A NICLINE.COM
   Whois Server: whois.nicline.com
   Referral URL: http://www.nicline.com
   Name Server: NS1.EVERYDNS.NET
   Name Server: NS2.EVERYDNS.NET
   Name Server: NS3.EVERYDNS.NET
   Name Server: NS4.EVERYDNS.NET
   Status: ok
   Updated Date: 13-nov-2009
   Creation Date: 13-nov-2009
   Expiration Date: 13-nov-2010
 122.115.63.19
 
 inetnum:      122.115.32.0 - 122.115.63.255
 netname:      Qishangzaixian
 descr:        Beijingqishangzaixian Shujutongxinkejiyouxiangongsi
 descr:        Room 1908-1909, No.32, Beisanhuanxilu
 descr:        Beijing, China, 100086
 country:      CN

[カテゴリ:インジェクション観察日記]

by jyake