cNotes 検索 一覧 カテゴリ

今日もインジェクション(5/24) ASCIIコード利用

Published: 2008/05/24

いっぱいたまってきました。海外のセキュリティ関連の人たちからもfull listという形で公開されているものが多数ありますが、すでにfullとは遠い状態であったり、広告系(古いものも含め)や、数ヶ月前に対策済みのドメインまで含まれていたりと、リスト作成側も攻撃側もかなりカオスな感じになってますね。すべてのRFI、インジェクションを含めると現状の数十倍(もっと?)あるのではないでしょうか。

追加分はおいおい掲載していきたいと思いますが、ちょっと特徴的なものを数例あげていきます。今回の例は、「誘導URLの工夫は続く」で書いた手法の一つでURLが文字列そのままではなくASCIIコード化されて注入されています。こんな感じで。

 http://%61%31%38%38%2E%77%73/*.js

これでも問題なく機能します。

%61%31%38%38%2E%77%73

「a188.ws」のこと。

  Domain Name: A188.WS
  Registrar Name: Directi Internet Solutions Pvt. Ltd. DBA   Domain created on 2008-04-12 23:47:46
  Domain last updated on 2008-04-12 23:47:46
  Current Nameservers:
    ns1.superdns.org
    ns2.superdns.org

ちょっと前のものですね。

今日もインジェクション(5/17)でも触れていますが「s.see9.us」や「sb.5252.ws」と同じIPアドレスです。同じIPアドレスだった「s.see9.us」はアドレス解決できなくなっています。

%73%61%79%38%2E%75%73

「say8.us」のこと。

 Domain Name:                                 SAY8.US
 Domain ID:                                   D16812244-US
 Sponsoring Registrar:                        ENOM, INC.
 Domain Status:                               clientTransferProhibited
 Registrant ID:                               D7350328031
 Registrant Name:                             bobo  bobo
 Registrant Organization:                     bobo
 Registrant Address1:                         hunanlinwuxianchengguan
 Registrant City:                             hunan
 Registrant State/Province:                   Beijing
 Registrant Postal Code:                      564856
 Registrant Country:                          China
 Registrant Country Code:                     CN
 Name Server:                                 DNS1.NAME-SERVICES.COM
 Name Server:                                 DNS2.NAME-SERVICES.COM
 Name Server:                                 DNS3.NAME-SERVICES.COM
 Name Server:                                 DNS4.NAME-SERVICES.COM
 Created by Registrar:                        ENOM, INC.
 Last Updated by Registrar:                   ENOM, INC.
 Domain Registration Date:                    Wed May 21 07:40:30 GMT 2008
 Domain Expiration Date:                      Wed May 20 23:59:59 GMT 2009
 Domain Last Updated Date:                    Wed May 21 07:42:04 GMT 2008

5/23 23:00ごろまでは「a188.ws」と同じでしたが、その後b.kaobt.cnd.godaand.cnと関連するIPアドレスに変わりました。5/23 15:30ごろまではDNSラウンドロビンしてましたが、現状は1台のようです。

 ww1.pigzd.cn

からRealPlayer10,11などの脆弱性を狙ういつものセットをダウンロードしてきます。この「ww1.pigzd.cn」も同じIPアドレスです。

%76%63%63%64%2E%63%6E

「vccd.cn」のこと。

 Domain Name: vccd.cn
 ROID: 20061222s10001s06178545-cn
 Domain Status: ok
 Registrant Organization: 臼奨嵐利仟佶利大室宝嗤・巷望
 Registrant Name: 35w
 Name Server:dns13.hichina.com
 Name Server:dns14.hichina.com
 Registration Date: 2006-12-22 20:07
 Expiration Date: 2008-12-22 20:07

ちょっと古いですね。系統的には別系統のようです。

いつもの「js.users.51.la」とそのほか2つのURLに段々にジャンプしていきますね。

それ以外の詳細は不明。

[カテゴリ:botnet観察日記]

by jyake