インジェクション　msvidctl.dllの脆弱性を悪用する攻撃

先週、別のネタとして書こうと思っていたら途中で別の攻撃に変わって、また昨日今回の攻撃に変わったのでその件だけまず書いときます、と思ったら「IE(msvidctl.dll) への 0-day attack」の記事があったので、その追加で。

継続観測の感じでは新たにインジェクションされているというよりは、従来の中国系のインジェクションの攻撃手法にこの脆弱性を悪用する機能が加わっただけのように見えます。すでにインジェクションされているスクリプトの三段目にこの脆弱性を悪用するスクリプトが加えられたという感じ。6月中旬頃から攻撃ツール全体の仕様が変更されているようで今回の件以外もかなり新しくなってます。過去記事を呼んでいただければいろいろな機能が試されていることがわかるかも。

関連：インジェクション （2009/3/19）、インジェクション （2009/3/27）、インジェクション　t.js型など

なので、この系統のインジェクションをされたままのサイトにはすべてこのゼロデイな機能が追加されたことになります。

おお、ボットネット、、、みたい。

たとえば、以下のような6/20以降に見つかっているインジェクションURL（一段目）によって誘導される攻撃スクリプトに今回の攻撃用スクリプトが加えられています。

n.js系

 datang58.com
 wddad.org
 jnei.com.cn

x.js系

 dlove8.com
 7sesex.com
 gift369.cn
 youku321.com
 alifuqin.cn
 ag268.com
 maimai2009.com
 qutaoba.com
 hdm123.com
 yqvip.com
 hbhtool.com

c.js系

 3b3.org

もっと昔からあるこれも仲間。過去記事「3b3.org」「3b3.orgの続き　HTMLShipでエンコード」など。

〜系についてはもっとほかの系統もあります。あとで追記。

実際に該当するスクリプト（*.jpg）が仕込まれているURLは2段目以降でよくみるやつ

 76ith.8866.org
 wf3gr.8800.org
 ccfsdee32.cn
 vip250.3322.org
 vipguibin22.3322.org

実際にはもっとたくさんあってURLはころころ変化しています。

リンクの全体像？は、こんな感じでいろんな攻撃を食らう中の一つに今回の機能が加えられています。インデントはリンクの何段目かを表しています。

ちなみに、このインジェクションによってくらうスクリプト群は、6/27にはこんな感じでした。

「インジェクション　t.js型」とほぼ一緒かな。

中身をみると一段目のスクリプトはこれ。よく見るやつですね。

実際のところポイントはこいつなんですよね。こいつの

 document.writeln("<iframe ･･･

行のURLを毎日変更することで、本体サイトの隠蔽および機能追加変更を実現しているわけです。

で、今回話題のgo.jpgの中身。これも同一のものはなかなかない？その点ではgumblar的？ま、一様ではない難読化は当たり前といえば当たり前なんですが、、、

とはいえ、8866.orgや3322.orgなどの転送サービスは古くからブラックリストに入れられているのでこれらに関しては影響はないと信じたいのですがどうでしょうか、、、

関連：インジェクション （2009/3/19）、インジェクション （2009/3/27）、インジェクション　t.js型など

[カテゴリ:インジェクション観察日記]

by jyake