cNotes 検索 一覧 カテゴリ

今日もインジェクション(5/17)

Published: 2008/05/17

Update:新規ドメインを1件追記しました

今日もまた…

一連のインジェクションキャンペーンですが、SEO(特にスパム的な方)の世界で数年前に使い古された手法だと思っていましたが、現在でも効率的に実行が可能ということが証明されたという点がポイントなんだろうなと。。。ということは、効率的なものを応用して利用するのがマルウェア業界、ボットネット業界で繰り返されていることなので、これらへの応用や拡大を警戒する必要があるでしょう。

そういった点からも不毛と思いつつも、状況の変化、手法の変化を追いかけておく意味はあるでしょう。

スクリプト、バイナリの更新頻度はそれほど頻繁ではないですが、配布サイト自体の新規作成、ドメインの変更とその組あわせ変更という配布の仕組みの変更が頻繁に行われているのは、URL/ドメインを頻繁に変更することで、リサーチャーの調査、解析といったところからIDSやFirewall、DNSBLなどのフィルタリングでの対策といったところまでの一連の対策を困難にするために行われるマルウェア感染、ボットネットやスパムの世界でよく行われている防衛手法です。

見つかっても頻繁に変更することで追いつけなくする。追従されたとしても解析、対策が行われるまでの短期間で十分成果を得られるからです。(十分な対策を施さない端末やユーザーが多いのも事実ではありますが、、、)

s.see9.us

 Domain Name:                                 SEE9.US
 Domain ID:                                   D16534293-US
 Sponsoring Registrar:                        ENOM, INC.
 Domain Status:                               clientTransferProhibited
 Registrant ID:                               00EEEDE8EA2
 Registrant Name:                             bobo  bobo
 Registrant Organization:                     bobo
 Registrant Address1:                         hunanlinwuxianchengguan
 Registrant City:                             hunan
 Registrant State/Province:                   Beijing
 Registrant Postal Code:                      564856
 Registrant Country:                          China
 Registrant Country Code:                     CN
 :
 :
 Name Server:                                 DNS1.NAME-SERVICES.COM
 Name Server:                                 DNS2.NAME-SERVICES.COM
 Name Server:                                 DNS3.NAME-SERVICES.COM
 Name Server:                                 DNS4.NAME-SERVICES.COM
 Created by Registrar:                        ENOM, INC.
 Last Updated by Registrar:                   ENOM, INC.
 Domain Registration Date:                    Fri May 09 07:55:28 GMT 2008
 Domain Expiration Date:                      Fri May 08 23:59:59 GMT 2009
 Domain Last Updated Date:                    Fri May 09 08:01:33 GMT 2008 

IPアドレスは香港です。

このIPアドレスは以下のドメインでも利用されています。したがってこれらのドメインも同じ目的で利用されるのでしょう。

 a.ka47.us
 a188.ws
 5252.ws
 sb.5252.ws

www.wow112.cnwww.qiqi111.cnとほぼ同じ攻撃内容ですが、違いは

 b.kaobt.cn
 d.godaand.cn

からスクリプトのダウンロードを行う点です。

若干傾向が変わってきましたか、、、?

www.qiqigm.com

   Domain Name: QIQIGM.COM
   Registrar: ENOM, INC.
   Whois Server: whois.enom.com
   Referral URL: http://www.enom.com
   Name Server: DNS1.NAME-SERVICES.COM
   Name Server: DNS2.NAME-SERVICES.COM
   Name Server: DNS3.NAME-SERVICES.COM
   Name Server: DNS4.NAME-SERVICES.COM
   Name Server: DNS5.NAME-SERVICES.COM
   Status: clientTransferProhibited
   Updated Date: 16-may-2008
   Creation Date: 16-may-2008
   Expiration Date: 16-may-2009

IPアドレスは、www.qiqi111.cnwww.dota11.cnと同じです。

以下のドメインから追加でスクリプトをダウンロードしてきます。

 d.godaand.cn
 www.qiqigm.com

前述の「s.see9.us」で利用されているものが組み合わされています。

まとめてブラックリストへ

[カテゴリ:botnet観察日記]

by jyake