cNotes 検索 一覧 カテゴリ

インジェクション - /*km0ae9gr6m*/ 〜 /*qhk6sa6g1c*/

Published: 2012/07/08

6月下旬から、新たな?インジェクション被害がでているようです。

最終的にはいつもの脆弱性ねらいのようですが。。。

6/26に国内のサイトが被害にあっているのを確認しましたが、このようなコードが埋め込まれています。

結局はよく見る手法のバリエーションなわけですが、特徴としては、コードが

 /*km0ae9gr6m*/ 〜 /*qhk6sa6g1c*/

のようなコメントで囲まれている点です。

これは攻撃に利用しているexploit kitの特性のようで、

たとえば2008年〜には

のように、こんな特徴の

 /* a0b4df006e02184c60dbf503e71c87ad */ /* a995d2cc661fa72452472e9554b5520c */

改竄を、改竄サイト以外にも、ブログのコメント欄等いろんな場所でみましたし

2010年には、もっと特徴的な、このようなものもありました。


今回のコードですが

デコード一回目で

こうなって、

さらに展開するとこう。

ランダムドメインを作成するための関数ですね。

 nextRandomNumber
 RandomNumberGenerator
 createRandomNumber
 generatePseudoRandomString

これにより月、日、時間などを元にして生成された「16文字.ru」のドメインが生成されます。

解析したときはこれ。

 lohnrnnpvvtxedfl.ru

でiframeはこれ。

 http://lohnrnnpvvtxedfl.ru/runforestrun?sid=botnet2	

その昔、confikerとかでも使われた手法ですよね。DGAで定期的にランダムドメインにかわるのでブラックリストの効果が下がり?、かなり?効率的に感染者を増やす手法?ということですかね。

今現在の効果はどの程度かわかりませんが、昔効果的だった手法が、現在よく利用されているdrive byとの組み合わせではどの程度有効かを評価して、その結果を見て、いつも盛り上がる夏休み、9月、年末の感染被害の拡大のために利用することを考えているのかもしれませんね。たいてい毎年似たようなパターンだったような気がします。

生成されるドメインはこんなかんじです。

domaindate
fjgtmicxtlxynlpf.ru Sun Jul 01 2012 13:00:00
ppsvcvrcgkllplyn.ru Mon Jul 02 2012 01:00:00
ruhctasjmpqbyvhm.ru Mon Jul 02 2012 13:00:00
bdvkpbuldslsapeb.ru Tue Jul 03 2012 01:00:00
eilqnjkoytyjuchn.ru Tue Jul 03 2012 13:00:00
npxsiiwpxqqiihmo.ru Wed Jul 04 2012 01:00:00
qtmyeslmsoxkjbku.ru Wed Jul 04 2012 13:00:00
adbjjkquyyhyqknf.ru Thu Jul 05 2012 01:00:00
ciqmhuwgvfsxdtrw.ru Thu Jul 05 2012 13:00:00
mocrafrewsdjztbj.ru Fri Jul 06 2012 01:00:00
otruvbidvikzhlop.ru Fri Jul 06 2012 13:00:00
yafzvancybuwmnno.ru Sat Jul 07 2012 01:00:00
bhujzorkulhkpwob.ru Sat Jul 07 2012 13:00:00
lohnrnnpvvtxedfl.ru Sun Jul 08 2012 01:00:00
ntvrnrdpyoadopbo.ru Sun Jul 08 2012 13:00:00
wakvnkyzkyietkdr.ru Mon Jul 09 2012 01:00:00
zfyafrjmmajqfvbh.ru Mon Jul 09 2012 13:00:00
jnlkttkruqsdjqlx.ru Tue Jul 10 2012 01:00:00
lsbppxhgckolsnap.ru Tue Jul 10 2012 13:00:00
vznrahwzgntmfcqk.ru Wed Jul 11 2012 01:00:00
xeeypppxswpquvrf.ru Wed Jul 11 2012 13:00:00
inqgvoeohpcsfxmn.ru Thu Jul 12 2012 01:00:00
ksgmckchdppqeicu.ru Thu Jul 12 2012 13:00:00
uyrorwlibbjeasoq.ru Fri Jul 13 2012 01:00:00
wejungvnykczyjam.ru Fri Jul 13 2012 13:00:00
gmvdnpqbblixlgxj.ru Sat Jul 14 2012 01:00:00
jrkjelzwleadyxsd.ru Sat Jul 14 2012 13:00:00
sywleisrsstsqoic.ru Sun Jul 15 2012 01:00:00
venrfhmthwpqlqge.ru Sun Jul 15 2012 13:00:00
fmacqvmqafqwmebl.ru Mon Jul 16 2012 01:00:00
hrpgglxvqwjesffr.ru Mon Jul 16 2012 13:00:00
rxbkqfydlnzopqrn.ru Tue Jul 17 2012 01:00:00
tdsorylshsxjeawf.ru Tue Jul 17 2012 13:00:00
elfxqghdubihhsgd.ru Wed Jul 18 2012 01:00:00
gqtcxunxhyujqjkf.ru Wed Jul 18 2012 13:00:00
qxggipnnfmnihkic.ru Thu Jul 19 2012 01:00:00
sdxkjaophbtufumx.ru Thu Jul 19 2012 13:00:00
clkujrjqvexvbmoi.ru Fri Jul 20 2012 01:00:00
fqyyxagzkrpvxtki.ru Fri Jul 20 2012 13:00:00
owldagkyzrkhqnjo.ru Sat Jul 21 2012 01:00:00
rccjvgsgffokiwze.ru Sat Jul 21 2012 13:00:00
blorcdyiipxcwyxv.ru Sun Jul 22 2012 01:00:00
dpewaddpoewiycnj.ru Sun Jul 22 2012 13:00:00
nwpykqeizraqthry.ru Mon Jul 23 2012 01:00:00
pchgijctfprxhnje.ru Mon Jul 23 2012 13:00:00
zisiiogqigzzqqeq.ru Tue Jul 24 2012 01:00:00
cpittmwbqtjrjpql.ru Tue Jul 24 2012 13:00:00
mvuvchtcxxibeubd.ru Wed Jul 25 2012 01:00:00
oblcasnhxbbocpfj.ru Wed Jul 25 2012 13:00:00
xixftoplsduqqorx.ru Thu Jul 26 2012 01:00:00
bpnqmxkpxxgbdnby.ru Thu Jul 26 2012 13:00:00
kvzstpqmeoxtcwko.ru Fri Jul 27 2012 01:00:00
nbqypqrjiqxlfvdj.ru Fri Jul 27 2012 13:00:00
whddmvrxufbkkoew.ru Sat Jul 28 2012 01:00:00
ymrhcvphevonympo.ru Sat Jul 28 2012 13:00:00
jveqgnmjxkocqifr.ru Sun Jul 29 2012 01:00:00
lavvckpordclbduy.ru Sun Jul 29 2012 13:00:00
vhhzcvbegxbjsxke.ru Mon Jul 30 2012 01:00:00
xmwettbvtbhvrjuo.ru Mon Jul 30 2012 13:00:00
iujniiokeyjbmerc.ru Tue Jul 31 2012 01:00:00
kzxrowftdocgyghs.ru Tue Jul 31 2012 13:00:00
gacdiuwnhonuulpe.ru Wed Aug 01 2012 01:00:00
ifrhgnqeeotnzrmz.ru Wed Aug 01 2012 13:00:00
rmdlgyreitjsjkfq.ru Thu Aug 02 2012 01:00:00
uqspvdwyltgcyhft.ru Thu Aug 02 2012 13:00:00
ezfydrexncoidbus.ru Fri Aug 03 2012 01:00:00
hfveiooumeyrpchg.ru Fri Aug 03 2012 13:00:00
qlihxnncwioxkdls.ru Sat Aug 04 2012 01:00:00
sqwlonyduvpowdgy.ru Sat Aug 04 2012 13:00:00
dyjvewshptsboygd.ru Sun Aug 05 2012 01:00:00
febcbuyswmishvpl.ru Sun Aug 05 2012 13:00:00
plmekaayiholtevt.ru Mon Aug 06 2012 01:00:00
rpckbgrziwbdrmhr.ru Mon Aug 06 2012 13:00:00
cyosongjihugkjbg.ru Tue Aug 07 2012 01:00:00
eefysywrvkgxuqdf.ru Tue Aug 07 2012 13:00:00
nkrbvqxzfwicmhwb.ru Wed Aug 08 2012 01:00:00
qphhsudsmeftdaht.ru Wed Aug 08 2012 13:00:00
axtopsbtntqnfdyk.ru Thu Aug 09 2012 01:00:00
ddkudnuklgiwtdyw.ru Thu Aug 09 2012 13:00:00
mkwwclogcvgeekws.ru Fri Aug 10 2012 01:00:00
opldkflyvlkywuec.ru Fri Aug 10 2012 13:00:00
yvxfekhokspfuwqr.ru Sat Aug 11 2012 01:00:00
bdprvpxdejpohqpt.ru Sat Aug 11 2012 13:00:00
ljbvfrsvcevyfhor.ru Sun Aug 12 2012 01:00:00
noqzuukouyfuyrmd.ru Sun Aug 12 2012 13:00:00
xvcewyydwsmdgaju.ru Mon Aug 13 2012 01:00:00
zatiscwwtipqlycd.ru Mon Aug 13 2012 13:00:00
jjgshrjdcynohyuk.ru Tue Aug 14 2012 01:00:00
mouwwvcwwlilnxub.ru Tue Aug 14 2012 13:00:00
vuhaojpwxgsxuitu.ru Wed Aug 15 2012 01:00:00
yayfefhrwawquwcw.ru Wed Aug 15 2012 13:00:00
iiloishkjwvqldlq.ru Thu Aug 16 2012 01:00:00
knauycqgsdhgbwjo.ru Thu Aug 16 2012 13:00:00
uumwyzhctrwdsrdp.ru Fri Aug 17 2012 01:00:00
wzbdwenwshfzglwt.ru Fri Aug 17 2012 13:00:00
hiplksflttfkpsxn.ru Sat Aug 18 2012 01:00:00
jnfrqmekhoevppvw.ru Sat Aug 18 2012 13:00:00
ttqtkmthptxvwiku.ru Sun Aug 19 2012 01:00:00
vygzhvfiuommkqfj.ru Sun Aug 19 2012 13:00:00
fhuidtlqttqxgjvn.ru Mon Aug 20 2012 01:00:00
imjosxuhbcdonrco.ru Mon Aug 20 2012 13:00:00
rtvqcdpbqxgwnrcn.ru Tue Aug 21 2012 01:00:00
tykvyflnjhbnqpnr.ru Tue Aug 21 2012 13:00:00
ehyewyqydfpidbdp.ru Wed Aug 22 2012 01:00:00
gmokuosvnbkshdtd.ru Wed Aug 22 2012 13:00:00
qsbourrdxgxgwepy.ru Thu Aug 23 2012 01:00:00
sxpskxdgoczvcjgp.ru Thu Aug 23 2012 13:00:00
dhedppigtpbwrmpc.ru Fri Aug 24 2012 01:00:00
flthmyjeuhdygshf.ru Fri Aug 24 2012 13:00:00
osflhkaowydftniw.ru Sat Aug 25 2012 01:00:00
rxupwhkznihnxzqx.ru Sat Aug 25 2012 13:00:00
bgjzhlasdrwwnenj.ru Sun Aug 26 2012 01:00:00
elxegvkalqvkyoxc.ru Sun Aug 26 2012 13:00:00
nrkhysgoltauclop.ru Mon Aug 27 2012 01:00:00
pwyloytoagndnrex.ru Mon Aug 27 2012 13:00:00
zenquqdskekaudbe.ru Tue Aug 28 2012 01:00:00
cldcrgtnuwvgnbfd.ru Tue Aug 28 2012 13:00:00
mroeqjdaukskbgua.ru Wed Aug 29 2012 01:00:00
owekhoeuhmdiehrw.ru Wed Aug 29 2012 13:00:00
ydrngsmrdiiyvoiy.ru Thu Aug 30 2012 01:00:00
bkhyiqitpoxewhmt.ru Thu Aug 30 2012 13:00:00
krtbityuhlewigfe.ru Fri Aug 31 2012 01:00:00
nvjgyermzsmynaeq.ru Fri Aug 31 2012 13:00:00
jwkpdxqbemsmclal.ru Sat Sep 01 2012 01:00:00
lccwpflcdjrdfjib.ru Sat Sep 01 2012 13:00:00
uinyjmxfqinkxbda.ru Sun Sep 02 2012 01:00:00
xndfbivuonkxfxrq.ru Sun Sep 02 2012 13:00:00
hvpmffxpfnlquqxo.ru Mon Sep 03 2012 01:00:00
kbgsbqjugdqrgtdw.ru Mon Sep 03 2012 13:00:00
tisubmfvqrgnloxr.ru Tue Sep 04 2012 01:00:00
vmibswhnpqhqwyih.ru Tue Sep 04 2012 13:00:00
gvujhzvjxwptrtdg.ru Wed Sep 05 2012 01:00:00
iblpdiqdmmsbnuxb.ru Wed Sep 05 2012 13:00:00
shxrsvasoncjnxpn.ru Thu Sep 06 2012 01:00:00
ummxjwieppswcnrg.ru Thu Sep 06 2012 13:00:00
fuyfrockpfclxccd.ru Fri Sep 07 2012 01:00:00
haqmuqqukywrcxfa.ru Fri Sep 07 2012 13:00:00
qhcplcuugevvyham.ru Sat Sep 08 2012 01:00:00
tmrtbcienxrbnsjc.ru Sat Sep 08 2012 13:00:00
dueebwwdllfburag.ru Sun Sep 09 2012 01:00:00
fzsirujgdbvabrjm.ru Sun Sep 09 2012 13:00:00
pghnrmkoeoetfwsm.ru Mon Sep 10 2012 01:00:00
rlvqmipovrqbmvqd.ru Mon Sep 10 2012 13:00:00
ctjbmgjudwisgshv.ru Tue Sep 11 2012 01:00:00
eyxejlabqaytqmjx.ru Tue Sep 11 2012 13:00:00
ogmjjmqdhlbyabzg.ru Wed Sep 12 2012 01:00:00
qlbpfyrupyadvjsl.ru Wed Sep 12 2012 13:00:00
atnwerhvttvbivra.ru Thu Sep 13 2012 01:00:00
dydderasilekaegh.ru Thu Sep 13 2012 13:00:00
mfqfrnqllqcrayiw.ru Fri Sep 14 2012 01:00:00
pkglwwwmjxokzzfq.ru Fri Sep 14 2012 13:00:00
yrrnrgliojezjctg.ru Sat Sep 15 2012 01:00:00
bxhzugppnulxghvm.ru Sat Sep 15 2012 13:00:00
lfvcngdbzjrzgyby.ru Sun Sep 16 2012 01:00:00
nkkijjyioljbfysn.ru Sun Sep 16 2012 13:00:00
xqwkdyjydkggsppd.ru Mon Sep 17 2012 01:00:00
axmvnmubgwlmqfrp.ru Mon Sep 17 2012 13:00:00
keabgwmpzqhpmlng.ru Tue Sep 18 2012 01:00:00
mjpflkwqskuqbjnk.ru Tue Sep 18 2012 13:00:00
vqcicnuhtwhxmtjd.ru Wed Sep 19 2012 01:00:00
yvqnltydqtpresfu.ru Wed Sep 19 2012 13:00:00
iefwvulgninlkoxe.ru Thu Sep 20 2012 01:00:00
ljubdldgqwbarplc.ru Thu Sep 20 2012 13:00:00
upgghggmbusopaxv.ru Fri Sep 21 2012 01:00:00
wuvjdexaqtmqkvgk.ru Fri Sep 21 2012 13:00:00
hektxucstnbuncix.ru Sat Sep 22 2012 01:00:00
jiyxdlvawkranmin.ru Sat Sep 22 2012 13:00:00
tplczomvebjmhsgk.ru Sun Sep 23 2012 01:00:00
vuaivypissryzhij.ru Sun Sep 23 2012 13:00:00
gdoqznfilmtulxxv.ru Mon Sep 24 2012 01:00:00
iiewprjomieydnix.ru Mon Sep 24 2012 13:00:00
ropypfmcqjjfdiel.ru Tue Sep 25 2012 01:00:00
utfenjxpvwtroioi.ru Tue Sep 25 2012 13:00:00
edtmjcvfnfcbweed.ru Wed Sep 26 2012 01:00:00
hhishrpjdixwtctz.ru Wed Sep 26 2012 13:00:00
qouubrmdxtgnnjvm.ru Thu Sep 27 2012 01:00:00
stkbtccbckhdkbii.ru Thu Sep 27 2012 13:00:00
dcyjurmfwhgvyoio.ru Fri Sep 28 2012 01:00:00
fhnpjsnknkuvhazm.ru Fri Sep 28 2012 13:00:00
pozrtgdmhvhvdscn.ru Sat Sep 29 2012 01:00:00
rsoxjlibxohdcyov.ru Sat Sep 29 2012 13:00:00
ccdifvomwhtynpay.ru Sun Sep 30 2012 01:00:00
ehsmldxnregnruez.ru Sun Sep 30 2012 13:00:00

そして

 eyxejlabqaytqmjx.ru	 Tue Sep 11 2012 13:00:00

までのドメインにはすべて同じ

 94.100.27.16

がAレコードとして登録されています。

 domain:        LOHNRNNPVVTXEDFL.RU
 nserver:       evilstalin.https443.net.
 nserver:       smolny.https443.org.
 state:         REGISTERED, DELEGATED, UNVERIFIED
 person:        Private Person
 registrar:     NAUNET-REG-RIPN
 admin-contact: https://client.naunet.ru/c/whoiscontact
 created:       2012.06.14
 paid-till:     2013.06.14
 free-date:     2013.07.15
 source:        TCI
 
 94.100.27.16
 
 inetnum:         94.100.26.0 - 94.100.27.255
 netname:         InternetMediaSolution
 descr:           King Servers
 country:         NL
 admin-c:         KN1199-RIPE
 tech-c:          KN1199-RIPE
 status:          ASSIGNED PA
 mnt-by:          swiftway-mnt
 mnt-domains:     swiftway-mnt
 mnt-lower:       swiftway-mnt
 changed:         hostmaster@info-tel.net 20100426
 changed:         hostmaster@info-tel.net 20100428
 changed:         hostmaster@info-tel.net 20100525
 changed:         hostmaster@info-tel.net 20110610
 source:          RIPE

アルゴリズムがわかってるから対策しやすそうですが、

将来的に利用される予定のドメインはまだ攻撃に利用されていないドメインなわけで、アルゴリズム的には将来的に生成されるはずのものだから、事前にブラックリストにいれてもいいってことになるんでしょうかね?固くまじめに考えると微妙な感じがしますが。

そもそもアルゴリズム変えられたら昔のアルゴリズムで生成されるはずのドメインは攻撃に利用されないこともありうるし、、、

当然新たなアルゴリズムに対応したブラックリスト対応が必要になるわけですが。

[カテゴリ:インジェクション観察日記]

by jyake