cNotes 検索 一覧 カテゴリ

最近の攻撃に利用された改ざんサイト

Published: 2012/05/22

5月中旬以降、春先から大量に観測されていた一般サイトを改ざんしてリダイレクタ「xxx.html」を設置して、マルウェア感染や広告サイトに誘導するタイプの攻撃がやっと弱まっているようです。

この攻撃の基本的な原理は去年

盗まれたアカウント情報の行方

に書いた以下の図と同じ。

こんな場合も。

要は、トリガーとなる誘導に利用するためにspamメールの文中に書き込んだりして晒されるURLは、特別なものではなく改ざんされた一般のサイトのURLを利用し、調べても攻撃者の正体がわからないとか、一般サイトなので対策をうたれにくくしたりとか、対策をうたれたとしてもいくらでも代わりが準備できるような形になっています。

で、この改ざんサイトというのがインジェクションやいろいろなアカウント情報を盗まれたうえで改ざんされているのですが、最近はWordpressを利用しているサーバーのアカウントがのっとられている例が非常に多かったという状況です。


とりあえず文面にさらされた改ざんサイトはここ3ヶ月で3483サイト。

サイトの設置場所を国別に見るとこんなグラフになります。

48.55%がUSです。

とりあえずASで分類。

ユーザーの端末とかサーバーではなく、ホスティングサービスが改ざん対象となる例が圧倒的に多いのですが、その状況が見えますかね?

ASAS namecountrysites
11798ACEDATACENTERS-AS-1_-_Ace_Data_Centers_Inc.UnitedStates190
14112NET-SECURENET-MTL_-_SecureNet_Information_Services_Inc.UnitedStates150
26347DREAMHOST-AS_-_New_Dream_Network_LLCUnitedStates112
36351SOFTLAYER_-_SoftLayer_Technologies_Inc.UnitedStates107
21844THEPLANET-AS_-_ThePlanet.com_Internet_Services_Inc.UnitedStates96
46606BLUEHOST-AS-2_-_Bluehost_Inc.UnitedStates92
24940HETZNER-AS_Hetzner_Online_AG_RZGermany91
26496AS-26496-GO-DADDY-COM-LLC_-_GoDaddy.com_LLCUnitedStates85
31034ARUBA-ASN_Aruba_S.p.A._-_NetworkItaly80
32475SINGLEHOP-INC_-_SingleHopUnitedStates53
8560ONEANDONE-AS_1&1_Internet_AGGermany46
8560ONEANDONE-AS_1&1_Internet_AGUnitedStates39
27715LocaWeb_LtdaBrazil34
16276OVH_OVH_SystemsFrance31
32392OPENTRANSFER-ECOMMERCE_-_Ecommerce_CorporationUnitedStates29
33182DIMENOC---HOSTDIME_-_HostDime.com_Inc.UnitedStates26
16397Comdominio_SABrazil23
32613IWEB-AS_-_iWeb_Technologies_Inc.Canada23
27823Dattatec.comArgentina22
34619CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_SirketiTurkey21
11042LANDIS-HOLDINGS-INC_-_Landis_Holdings_IncUnitedStates19
6724STRATO_STRATO_AGGermany19
8972PLUSSERVER-AS_intergenia_AGGermany18
4906FDS-01_-_Frontline_Data_Services_IncUnitedStates17
32244LIQUID-WEB-INC_-_Liquid_Web_Inc.UnitedStates16
5606KQRO_GTS_Telecom_SRLRomania16
12824HOMEPL-AS_home.pl_sp._z_o.o.Poland15
29550SIMPLYTRANSIT_Simply_Transit_LtdUnitedKingdom14
43391NETDIREKT-TR_Netdirekt_A.S.Turkey14
9891CSLOX-IDC-AS-AP_CS_LOXINFO_Public_Company_Limited.Thailand14
9931CAT-AP_The_Communication_Authoity_of_Thailand_CATThailand13
13768PEER1_-_Peer_1_Network_Inc.Canada12
15244ADDD2NET-COM-INC-DBA-LUNARPAGES_-_Lunar_PagesUnitedStates12
16265LEASEWEB_LeaseWeb_B.V.Netherlands12
2914NTT-COMMUNICATIONS-2914_-_NTT_America_Inc.UnitedStates12
31815MEDIATEMPLE_-_Media_Temple_Inc.UnitedStates12
35393EURO-WEB-AS_Euro_Web_SarlFrance12
42926RADORE_Radore_Hosting_Telekomunikasyon_Hizmetleri_San._ve_Tic._Ltd._Sti.Turkey12
12695DINET-AS_Digital_Network_JSCRussianFederation11
21069ASN-METANET_METANET_AG_SwitzerlandSwitzerland11
33070RMH-14_-_Rackspace_HostingUnitedStates11
17971TMVADS-AP_TM-VADS_Datacenter_ManagementMalaysia10
18450WEBNX_-_WebNXUnitedStates10

日本は5サイトでした。

ASAS Namecountrysite
9371SAKURA-C_SAKURA_Internet_Inc.Japan2
17511K-OPTICOM_K-Opticom_CorporationJapan1
23637BI-CDN-IX_Bit-isle_Co.Ltd.Japan1
7506INTERQ_GMO_InternetIncJapan1

ただ4月の攻撃例では二段目以降の攻撃本体サイトとして日本国内のサービスも利用されていまいした。

IP逆引きASAS namecountry
210.56.23.100NONE7590COMSATS_Commission_on_Science_and_Technology_for PK
211.44.250.173NONE9318HANARO-AS_Hanaro_Telecom_Inc.KR
112.78.124.115NONE9371SAKURA-C_SAKURA_Internet_Inc.JP
219.94.194.138NONE9371SAKURA-C_SAKURA_Internet_Inc.JP
125.19.103.198NONE9498BBIL-AP_BHARTI_Airtel_Ltd.IN
210.109.108.210NONE9848GNGAS_Enterprise_NetworksKR
88.190.22.72sd-29537.dedibox.fr.12322PROXAD_Free_SASFR
202.149.85.37NONE17826SATATANET-ID_Jl._Raya_Pasar_Minggu_no_99DID
41.168.5.140NONE36937Neotel-ASZA
41.66.137.15541-66-137-155-9b.availble.africainx.net.37179AFRICAINXZA
62.85.27.129sw-gbit-1.gw.27-129.ime.lv.39201IMEPLUSS-AS_IME_PLUSS_Ltd. LV
89.31.145.154vserver-mpfppr2.nexen.net.41628NEXEN-NETWORK_NEXEN_SERVICES FR

基本的に簡単に利用できるホスティングサービスがやられちゃってる例が多いわけです。簡単だからゆえにセキュリティ対策も甘いということにはならないように、サイト管理はしっかりしないとだめですね。

攻撃に利用されていたドメインのほとんどがNXDOMAINとなっていますので、攻撃は一段落したということでしょうかね?

ただ、このパターン4年間繰り返されつづけているわけで、改ざん用のアカウントの収集とか準備が整ったら再開されるのでしょう。

[カテゴリ:spam観察日記]

by jyake