インジェクション msvidctl.dllの脆弱性を悪用する攻撃
Published: 2009/07/08
先週、別のネタとして書こうと思っていたら途中で別の攻撃に変わって、また昨日今回の攻撃に変わったのでその件だけまず書いときます、と思ったら「IE(msvidctl.dll) への 0-day attack」の記事があったので、その追加で。
継続観測の感じでは新たにインジェクションされているというよりは、従来の中国系のインジェクションの攻撃手法にこの脆弱性を悪用する機能が加わっただけのように見えます。すでにインジェクションされているスクリプトの三段目にこの脆弱性を悪用するスクリプトが加えられたという感じ。6月中旬頃から攻撃ツール全体の仕様が変更されているようで今回の件以外もかなり新しくなってます。過去記事を呼んでいただければいろいろな機能が試されていることがわかるかも。
関連:インジェクション (2009/3/19)、インジェクション (2009/3/27)、インジェクション t.js型など
なので、この系統のインジェクションをされたままのサイトにはすべてこのゼロデイな機能が追加されたことになります。
おお、ボットネット、、、みたい。
たとえば、以下のような6/20以降に見つかっているインジェクションURL(一段目)によって誘導される攻撃スクリプトに今回の攻撃用スクリプトが加えられています。
n.js系
datang58.com wddad.org jnei.com.cn
x.js系
dlove8.com 7sesex.com gift369.cn youku321.com alifuqin.cn ag268.com maimai2009.com qutaoba.com hdm123.com yqvip.com hbhtool.com
c.js系
3b3.org
もっと昔からあるこれも仲間。過去記事「3b3.org」「3b3.orgの続き HTMLShipでエンコード」など。
〜系についてはもっとほかの系統もあります。あとで追記。
実際に該当するスクリプト(*.jpg)が仕込まれているURLは2段目以降でよくみるやつ
76ith.8866.org wf3gr.8800.org ccfsdee32.cn vip250.3322.org vipguibin22.3322.org
実際にはもっとたくさんあってURLはころころ変化しています。
リンクの全体像?は、こんな感じでいろんな攻撃を食らう中の一つに今回の機能が加えられています。インデントはリンクの何段目かを表しています。
ちなみに、このインジェクションによってくらうスクリプト群は、6/27にはこんな感じでした。
「インジェクション t.js型」とほぼ一緒かな。
中身をみると一段目のスクリプトはこれ。よく見るやつですね。
実際のところポイントはこいつなんですよね。こいつの
document.writeln("<iframe ・・・
行のURLを毎日変更することで、本体サイトの隠蔽および機能追加変更を実現しているわけです。
で、今回話題のgo.jpgの中身。これも同一のものはなかなかない?その点ではgumblar的?ま、一様ではない難読化は当たり前といえば当たり前なんですが、、、
とはいえ、8866.orgや3322.orgなどの転送サービスは古くからブラックリストに入れられているのでこれらに関しては影響はないと信じたいのですがどうでしょうか、、、
関連:インジェクション (2009/3/19)、インジェクション (2009/3/27)、インジェクション t.js型など
by jyake