インジェクション msvidctl.dllの脆弱性を悪用する攻撃2
Published: 2009/07/08
このIEの脆弱性を利用する攻撃のインジェクションのバリエーションがいろいろとみつかりますね。
もともとは
go.jpg
一つのファイルでしたが、こんなタイプがありました。
2分割型
11分割型
文字通り例のスクリプトが2or11分割されてます。
たとえば11分割型では、例のスクリプトが11個のファイルに分割されています。
1.jpgがこれ
2.jpgがこれ
3.jpgがこれ
:
:
:
以下11.jpgまで続く。
確かに、2分割だと2つ目のファイルがウィルスチェックに引っかかるようになったのですが、11分割のほうはウィルスチェックにひっかからなくなりました。外部参照を駆使して分割するタイプは昔からありましたが、単純に攻めてきましたね。
スクリプト一つ一つを見るのではだめで、分割されたファイルを総合的に判断する仕組みが求められるわけですね、、、大変だ、、、
以下、新規の関連するドメイン。
n.js型
bjzyedu.com dgwhfz.org joyoeast.com yingshi99.com
c.js型
19743.yfyf.net
ad.js型
ln.vnet.cn
0.js型
tt99lov.cn
0.htm型?
ckt4.cn ckt5.cn
二段目以降に使われるドメイン。
wr323e2e2.cn wf3gr.8800.org(引き続き使用中)
うーむ。まだこの機能が組み込まれていないインジェクショングループもありますが、時間の問題でしょう。全体的な攻撃システムアップデートのようで、、、
さらにいろいろな新たな試みが行われているって感じですね。。
攻撃側の彼らの勤勉さには感心させられることが多いです。。。
by jyake