最近の攻撃に利用された改ざんサイト
Published: 2012/05/22
5月中旬以降、春先から大量に観測されていた一般サイトを改ざんしてリダイレクタ「xxx.html」を設置して、マルウェア感染や広告サイトに誘導するタイプの攻撃がやっと弱まっているようです。
この攻撃の基本的な原理は去年
に書いた以下の図と同じ。
こんな場合も。
要は、トリガーとなる誘導に利用するためにspamメールの文中に書き込んだりして晒されるURLは、特別なものではなく改ざんされた一般のサイトのURLを利用し、調べても攻撃者の正体がわからないとか、一般サイトなので対策をうたれにくくしたりとか、対策をうたれたとしてもいくらでも代わりが準備できるような形になっています。
で、この改ざんサイトというのがインジェクションやいろいろなアカウント情報を盗まれたうえで改ざんされているのですが、最近はWordpressを利用しているサーバーのアカウントがのっとられている例が非常に多かったという状況です。
とりあえず文面にさらされた改ざんサイトはここ3ヶ月で3483サイト。
サイトの設置場所を国別に見るとこんなグラフになります。
48.55%がUSです。
とりあえずASで分類。
ユーザーの端末とかサーバーではなく、ホスティングサービスが改ざん対象となる例が圧倒的に多いのですが、その状況が見えますかね?
AS | AS name | country | sites |
---|---|---|---|
11798 | ACEDATACENTERS-AS-1_-_Ace_Data_Centers_Inc. | UnitedStates | 190 |
14112 | NET-SECURENET-MTL_-_SecureNet_Information_Services_Inc. | UnitedStates | 150 |
26347 | DREAMHOST-AS_-_New_Dream_Network_LLC | UnitedStates | 112 |
36351 | SOFTLAYER_-_SoftLayer_Technologies_Inc. | UnitedStates | 107 |
21844 | THEPLANET-AS_-_ThePlanet.com_Internet_Services_Inc. | UnitedStates | 96 |
46606 | BLUEHOST-AS-2_-_Bluehost_Inc. | UnitedStates | 92 |
24940 | HETZNER-AS_Hetzner_Online_AG_RZ | Germany | 91 |
26496 | AS-26496-GO-DADDY-COM-LLC_-_GoDaddy.com_LLC | UnitedStates | 85 |
31034 | ARUBA-ASN_Aruba_S.p.A._-_Network | Italy | 80 |
32475 | SINGLEHOP-INC_-_SingleHop | UnitedStates | 53 |
8560 | ONEANDONE-AS_1&1_Internet_AG | Germany | 46 |
8560 | ONEANDONE-AS_1&1_Internet_AG | UnitedStates | 39 |
27715 | LocaWeb_Ltda | Brazil | 34 |
16276 | OVH_OVH_Systems | France | 31 |
32392 | OPENTRANSFER-ECOMMERCE_-_Ecommerce_Corporation | UnitedStates | 29 |
33182 | DIMENOC---HOSTDIME_-_HostDime.com_Inc. | UnitedStates | 26 |
16397 | Comdominio_SA | Brazil | 23 |
32613 | IWEB-AS_-_iWeb_Technologies_Inc. | Canada | 23 |
27823 | Dattatec.com | Argentina | 22 |
34619 | CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_Sirketi | Turkey | 21 |
11042 | LANDIS-HOLDINGS-INC_-_Landis_Holdings_Inc | UnitedStates | 19 |
6724 | STRATO_STRATO_AG | Germany | 19 |
8972 | PLUSSERVER-AS_intergenia_AG | Germany | 18 |
4906 | FDS-01_-_Frontline_Data_Services_Inc | UnitedStates | 17 |
32244 | LIQUID-WEB-INC_-_Liquid_Web_Inc. | UnitedStates | 16 |
5606 | KQRO_GTS_Telecom_SRL | Romania | 16 |
12824 | HOMEPL-AS_home.pl_sp._z_o.o. | Poland | 15 |
29550 | SIMPLYTRANSIT_Simply_Transit_Ltd | UnitedKingdom | 14 |
43391 | NETDIREKT-TR_Netdirekt_A.S. | Turkey | 14 |
9891 | CSLOX-IDC-AS-AP_CS_LOXINFO_Public_Company_Limited. | Thailand | 14 |
9931 | CAT-AP_The_Communication_Authoity_of_Thailand_CAT | Thailand | 13 |
13768 | PEER1_-_Peer_1_Network_Inc. | Canada | 12 |
15244 | ADDD2NET-COM-INC-DBA-LUNARPAGES_-_Lunar_Pages | UnitedStates | 12 |
16265 | LEASEWEB_LeaseWeb_B.V. | Netherlands | 12 |
2914 | NTT-COMMUNICATIONS-2914_-_NTT_America_Inc. | UnitedStates | 12 |
31815 | MEDIATEMPLE_-_Media_Temple_Inc. | UnitedStates | 12 |
35393 | EURO-WEB-AS_Euro_Web_Sarl | France | 12 |
42926 | RADORE_Radore_Hosting_Telekomunikasyon_Hizmetleri_San._ve_Tic._Ltd._Sti. | Turkey | 12 |
12695 | DINET-AS_Digital_Network_JSC | RussianFederation | 11 |
21069 | ASN-METANET_METANET_AG_Switzerland | Switzerland | 11 |
33070 | RMH-14_-_Rackspace_Hosting | UnitedStates | 11 |
17971 | TMVADS-AP_TM-VADS_Datacenter_Management | Malaysia | 10 |
18450 | WEBNX_-_WebNX | UnitedStates | 10 |
日本は5サイトでした。
AS | AS Name | country | site |
---|---|---|---|
9371 | SAKURA-C_SAKURA_Internet_Inc. | Japan | 2 |
17511 | K-OPTICOM_K-Opticom_Corporation | Japan | 1 |
23637 | BI-CDN-IX_Bit-isle_Co.Ltd. | Japan | 1 |
7506 | INTERQ_GMO_InternetInc | Japan | 1 |
ただ4月の攻撃例では二段目以降の攻撃本体サイトとして日本国内のサービスも利用されていまいした。
IP | 逆引き | AS | AS name | country |
---|---|---|---|---|
210.56.23.100 | NONE | 7590 | COMSATS_Commission_on_Science_and_Technology_for | PK |
211.44.250.173 | NONE | 9318 | HANARO-AS_Hanaro_Telecom_Inc. | KR |
112.78.124.115 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP |
219.94.194.138 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | JP |
125.19.103.198 | NONE | 9498 | BBIL-AP_BHARTI_Airtel_Ltd. | IN |
210.109.108.210 | NONE | 9848 | GNGAS_Enterprise_Networks | KR |
88.190.22.72 | sd-29537.dedibox.fr. | 12322 | PROXAD_Free_SAS | FR |
202.149.85.37 | NONE | 17826 | SATATANET-ID_Jl._Raya_Pasar_Minggu_no_99D | ID |
41.168.5.140 | NONE | 36937 | Neotel-AS | ZA |
41.66.137.155 | 41-66-137-155-9b.availble.africainx.net. | 37179 | AFRICAINX | ZA |
62.85.27.129 | sw-gbit-1.gw.27-129.ime.lv. | 39201 | IMEPLUSS-AS_IME_PLUSS_Ltd. | LV |
89.31.145.154 | vserver-mpfppr2.nexen.net. | 41628 | NEXEN-NETWORK_NEXEN_SERVICES | FR |
基本的に簡単に利用できるホスティングサービスがやられちゃってる例が多いわけです。簡単だからゆえにセキュリティ対策も甘いということにはならないように、サイト管理はしっかりしないとだめですね。
攻撃に利用されていたドメインのほとんどがNXDOMAINとなっていますので、攻撃は一段落したということでしょうかね?
ただ、このパターン4年間繰り返されつづけているわけで、改ざん用のアカウントの収集とか準備が整ったら再開されるのでしょう。
by jyake