cNotes 検索 一覧 カテゴリ

インジェクション msvidctl.dllの脆弱性を悪用する攻撃2

Published: 2009/07/08

このIEの脆弱性を利用する攻撃のインジェクションのバリエーションがいろいろとみつかりますね。

もともとは

 go.jpg

一つのファイルでしたが、こんなタイプがありました。

2分割型

11分割型

文字通り例のスクリプトが2or11分割されてます。

たとえば11分割型では、例のスクリプトが11個のファイルに分割されています。

1.jpgがこれ

2.jpgがこれ

3.jpgがこれ

以下11.jpgまで続く。

確かに、2分割だと2つ目のファイルがウィルスチェックに引っかかるようになったのですが、11分割のほうはウィルスチェックにひっかからなくなりました。外部参照を駆使して分割するタイプは昔からありましたが、単純に攻めてきましたね。

スクリプト一つ一つを見るのではだめで、分割されたファイルを総合的に判断する仕組みが求められるわけですね、、、大変だ、、、

以下、新規の関連するドメイン。

n.js型

 bjzyedu.com
 dgwhfz.org
 joyoeast.com
 yingshi99.com

c.js型

 19743.yfyf.net

ad.js型

 ln.vnet.cn

0.js型

 tt99lov.cn

0.htm型?

 ckt4.cn
 ckt5.cn

二段目以降に使われるドメイン。

 wr323e2e2.cn
 wf3gr.8800.org(引き続き使用中)

うーむ。まだこの機能が組み込まれていないインジェクショングループもありますが、時間の問題でしょう。全体的な攻撃システムアップデートのようで、、、

さらにいろいろな新たな試みが行われているって感じですね。。

攻撃側の彼らの勤勉さには感心させられることが多いです。。。

[カテゴリ:インジェクション観察日記]

by jyake