インジェクションがらみで

最近のインジェクション関連について、相関するURLと実体サイト（IPアドレス）をまとめると図のようになります。

実際にはこれ以外のサイト（IPアドレス）やURLも関連しているのですが、ビジビリティの高いもの、てゆうかニュースに載ったことのあるものを中心に抽出してみるとこうなります。全部描くとWeb上の表現では見難くなるので、、、

図の見方的には、上から下に時間の経過を表し、IP1〜5が固有のIPアドレスを指します。同じ四角に入っているURLがその時期にそのIPアドレスを使っていたことを示してます。既に存在しないURLも含まれています。（意外にシンプルになったので全部の関係を描けばよかったか？）

さまざまなJavascriptやiframeによりこれらのサイトは相互に関連しあっていて、FQDNだけではなく、URLを細かく指定することで数ステップ後で結局元のサイトに戻ってきて最初のステップとは別のコンテンツがダウンロードされるなど複雑なシーケンス図が描けます。（またいつか載せることもあるでしょう、、）

ぱっと解析した感じ、３月、４月に発生した攻撃は半年前に既に行われていたものの再現？継続？であって、実は「とある」分野では、ずっと問題になっている攻撃のようですね。細かい構造も手法も大きく変化していない。その当時から利用されていたサイトがいまだに使われていたり、攻撃ツール自動作成ツール（？変な表現？）も同じものが使われていたり。要は、この攻撃ツールを利用する、踏ませるためのサイトを作るためのインジェクション等の手法が新しくなった感じ？もっと過去にさかのぼってみれば面白いことがわかるかもしれません。関連するサイトを抽出すれば、本体サイトは数十のグループを、インジェクションされているサイトは数万件はぬきだせそうなのはなんとも･･･

[カテゴリ:botnet観察日記]

by jyake