cNotes 検索 一覧 カテゴリ

インジェクション t.js型

Published: 2009/06/18

インジェクションに関してはいろいろたまっているので徐々に書いていこうかと。。

これはgumblarとかその他最近話題になっている攻撃の仲間ではなく、数年前から継続しているブラウザやアプリケーションまでいろんな脆弱性を突くスクリプト詰め合わせの罠サイトの仲間です。目的はやはりアカウントハックですが。

その中の特徴として「t.js」を使う仲間です。

 xyypw.cn/t.js
 gdtynpf.cn/t.js
 er12.com/t.js
 ywdnc.com/t.js

このようにシンプルなインジェクションです。

インジェクションの仕方のシンプルさからも昔から継続している攻撃グループ?のものでしょう。html中の変なところにインジェクションされている例が多々、、これは他のインジェクションでも同じですね、、、

個々のドメインを見ていくと、めずらしくレジストラ、レジストラントに共通点がないですね、、、共通点はすべて中国というだけ、、、

まぁ確かに「t.js」とは違う名前のもので同じ攻撃手法はたくさんありますから、「t.js」を共通項と考えるのは間違いなのかもしれませんが、見た目で、、

一つ目「xyypw.cn」

 ;; ANSWER SECTION:
 xyypw.cn.               300     IN      A       61.164.126.75
 
 ;; AUTHORITY SECTION:
 xyypw.cn.               300     IN      NS      ns4.ename.cn.
 xyypw.cn.               300     IN      NS      ns6.ename.cn.
 xyypw.cn.               300     IN      NS      ns5.ename.cn.
 xyypw.cn.               300     IN      NS      ns1.ename.cn.
 xyypw.cn.               300     IN      NS      ns3.ename.cn.
 xyypw.cn.               300     IN      NS      ns2.ename.cn.
 Domain Name: xyypw.cn
 ROID: 20081011s10001s74810332-cn
 Domain Status: clientDeleteProhibited
 Domain Status: clientTransferProhibited
 Registrant Organization:
 Registrant Name:
 Administrative Email: zongji009@163.com
 Sponsoring Registrar:
 Name Server:ns1.ename.cn
 Name Server:ns2.ename.cn
 Name Server:ns3.ename.cn
 Name Server:ns4.ename.cn
 Name Server:ns5.ename.cn
 Name Server:ns6.ename.cn
 Registration Date: 2008-10-11 11:40
 Expiration Date: 2010-10-11 11:40
 inetnum:      61.164.126.0 - 61.164.126.255
 netname:      ZHEJIANG-CANGNANZZS-CO
 country:      CN
 descr:        TaiZhou SOIDC Network Technology Corp
 descr:
 admin-c:      DL1060-AP
 tech-c:       CW27-AP
 status:       ASSIGNED NON-PORTABLE
 changed:      auto-dbm@dcb.hz.zj.cn 20081107
 mnt-by:       MAINT-CN-CHINANET-ZJ-WZ
 source:       APNIC

二つ目「ywdnc.com」

 ;; ANSWER SECTION:
 ywdnc.com.              300     IN      A       59.36.98.242
 
 ;; AUTHORITY SECTION:
 ywdnc.com.              300     IN      NS      ns1.dns.com.cn.
 ywdnc.com.              300     IN      NS      ns2.dns.com.cn.
 
 ;; ADDITIONAL SECTION:
 ns1.dns.com.cn.         300     IN      A       122.70.138.5
 ns1.dns.com.cn.         300     IN      A       122.70.138.6
 ns1.dns.com.cn.         300     IN      A       124.42.122.8
 ns1.dns.com.cn.         300     IN      A       124.42.122.9
 ns2.dns.com.cn.         300     IN      A       124.42.122.6
 ns2.dns.com.cn.         300     IN      A       122.70.138.8
 ns2.dns.com.cn.         300     IN      A       122.70.138.9
 ns2.dns.com.cn.         300     IN      A       124.42.122.5
   Domain Name: YWDNC.COM
   Registrar: BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN
   Whois Server: whois.dns.com.cn
   Referral URL: http://www.dns.com.cn
   Name Server: NS1.DNS.COM.CN
   Name Server: NS2.DNS.COM.CN
   Status: clientTransferProhibited
   Updated Date: 10-apr-2009
   Creation Date: 21-sep-2007
   Expiration Date: 21-sep-2010
 
  Domain Name.......... ywdnc.com
  Creation Date........ 2007-09-21 13:22:53
  Registration Date.... 2007-09-21 13:22:53
  Expiry Date.......... 2010-09-21 13:22:53
  Organisation Name.... yao ting
  Organisation Address. yiwu Computer city
  Organisation Address.
  Organisation Address. yiwu
  Organisation Address. 322000
  Organisation Address. BJ
  Organisation Address. CN
 inetnum:      59.32.0.0 - 59.42.255.255
 netname:      CHINANET-GD
 descr:        CHINANET Guangdong province network
 descr:        China Telecom
 descr:        No.31,jingrong street
 descr:        Beijing 100032
 country:      CN

三つめ「gdtynpf.cn」

 gdtynpf.cn.             300     IN      A       61.152.157.67
 
 ;; AUTHORITY SECTION:
 gdtynpf.cn.             300     IN      NS      ns4.dns-diy.com.
 gdtynpf.cn.             300     IN      NS      ns3.dns-diy.com.
 
 ;; ADDITIONAL SECTION:
 ns3.dns-diy.com.        300     IN      A       222.76.217.174
 ns3.dns-diy.com.        300     IN      A       60.191.252.68
 ns3.dns-diy.com.        300     IN      A       218.85.139.33
 ns3.dns-diy.com.        300     IN      A       218.107.207.40
 ns4.dns-diy.com.        300     IN      A       211.152.33.4
 ns4.dns-diy.com.        300     IN      A       210.51.180.239
 Domain Name: gdtynpf.cn
 ROID: 20080621s10001s43150569-cn
 Domain Status: clientTransferProhibited
 Registrant Organization:
 Registrant Name:
 Administrative Email: sz136138@21cn.com
 Sponsoring Registrar:
 Name Server:ns3.dns-diy.com
 Name Server:ns4.dns-diy.com
 Registration Date: 2008-06-21 10:18
 Expiration Date: 2010-06-21 10:18
 inetnum:      61.152.156.0 - 61.152.159.255
 netname:      SHANGHAI-GLOBAL-NET
 descr:        Shanghai Global Network Co., Ltd.
 country:      CN
 admin-c:      JY81-AP
 tech-c:       JY81-AP
 mnt-by:       MAINT-CHINANET-SH
 status:       ASSIGNED NON-PORTABLE
 changed:      ip-admin@mail.online.sh.cn 20020819
 changed:      hm-changed@apnic.net 20040927
 source:       APNIC

四つめ「er12.com」

 er12.com.               300     IN      A       221.122.67.9
 
 ;; AUTHORITY SECTION:
 er12.com.               300     IN      NS      dns27.hichina.com.
 er12.com.               300     IN      NS      dns28.hichina.com.
   Domain Name: ER12.COM
   Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
   Whois Server: grs.hichina.com
   Referral URL: http://www.net.cn
   Name Server: DNS27.HICHINA.COM
   Name Server: DNS28.HICHINA.COM
   Status: ok
   Updated Date: 23-nov-2008
   Creation Date: 23-nov-2008
   Expiration Date: 23-nov-2009
 Domain Name ..................... er12.com
 Name Server ..................... dns27.hichina.com
                                   dns28.hichina.com
 Registrant ID ................... hc452606839-cn
 Registrant Name ................. dongxu ren
 Registrant Organization ......... rendongxu
 Registrant Address .............. zhengzhou
 Registrant City ................. zhengzhou
 Registrant Province/State ....... henan
 Registrant Postal Code .......... 450008
 Registrant Country Code ......... CN
 inetnum:      221.122.0.0 - 221.123.255.255
 netname:      CHINACOMM
 descr:        CECT-CHINACOMM COMMUNICATIONS Co.,Ltd.
 descr:        INTERNET COMMUNICATIONS
 country:      CN
 admin-c:      ML850-AP
 tech-c:       GJ355-AP
 mnt-by:       MAINT-CNNIC-AP
 changed:      ipas@cnnic.net.cn 20050901
 status:       ALLOCATED PORTABLE
 source:       APNIC

実際にアクセスするとどうなるかというと、すべての階層は書きませんが、こんな感じでいろいろな脆弱性を突くスクリプトを食らっていきます。時期によって微妙に変わってきてはいますが、昔からよくみるやつですよね。

 http://ywdnc.com/t.js
    http://fsgnfjh123.3322.org/a/a1a.htm?4
        http://fsgnfjh123.3322.org/a/index.htm
            http://fsgnfjh123.3322.org/a/flash.htm
                http://fsgnfjh123.3322.org/a/iss .html
                http://fsgnfjh123.3322.org/a/fss .html
              http://fsgnfjh123.3322.org/a/a44.htm
                http://fsgnfjh123.3322.org/a/14.js
            http://fsgnfjh123.3322.org/a/office.htm
                http://fsgnfjh123.3322.org/a/of .js
            http://fsgnfjh123.3322.org/a/02.htm
                http://fsgnfjh123.3322.org/a/set .js
            http://fsgnfjh123.3322.org/a/pef .pdf

以前にくらべて目立った?変更点は、流行を取り入れてpdfの脆弱性をつくためのpdfファイルが加わった点ですね。

pef.pdf⇒

http://www.virustotal.com/analisis/fcc25f6874e5db99ffbebcc95cc2c9703a8c82b6542255082331a19852ab8259-1245220527

3322.orgもしつこいですね。当然、この飛び先のドメインはころころ変わります。

こいつにも仲間がたくさんいることでしょう、、

[カテゴリ:インジェクション観察日記]

by jyake