cNotes 検索 一覧 カテゴリ

盗まれたアカウント情報の行方

Published: 2010/09/14

ftpやウェブサイトのアカウント情報を奪われた結果こうなる例の一つ。

事象の詳細はこのあたりです。

薬や時計の広告メールで、

そのメール文面に埋め込まれている誘導URLが

 http://xxxxxxx/uuu/xxx数字2桁.html

となっているのが特徴。

uuuの部分がユーザーホームっぽいものが多数。

このURLにアカウント情報を盗まれたサイトが利用されているようです。

アクセスするとスパムの文面のとおり薬や時計の広告ページです。


たぶん、こんなモデルだと思われます。

2010年4月ごろまではこのような単純な形で、8080とかgumblar系?で収集したアカウント情報を利用して、そのサイトを改竄して広告ページを仕込む。そして数%の確率で攻撃サイトへ飛ばすiframeを仕込まれており、さらにアカウント情報の収集を行う当たりサイトがある。

2010年5月ごろからリダイレクタを組み合わせた複雑な構造を取るようになりました。

一段目の入り口サイトにはやはりアカウントが盗まれたサイトが利用されて改竄されているようで、ほとんどが広告サイトにリダイレクトされますが、やはり数%の確率で、攻撃サイトへのリダイレクトやiframeが仕込まれている当たりサイトがあり、8080系やindex.php系などで利用されていた手法で攻撃されアカウント収集が行われているようです。


で、この攻撃は2009/12/27ごろから捕捉していまして、9月までに収集した、一段目のアカウントを盗まれて利用されているサイトについてまとめるとこのような感じ。

まず、国別存在数。

USが全体の34%程度です。


次にAS別
ASAS nameサイト数
21844THEPLANET-AS21552
8560ONEANDONE-AS939
26496NO_ENTRIES795
36351SOFTLAYER419
16276OVH326
16265LEASEWEB_Netherlands255
24940NO_ENTRIES246
32475NO_ENTRIES217
9371SAKURA-C217
32244LIQUID-WEB-INC193
12824NO_ENTRIES170
9121NO_ENTRIES167
33182NO_ENTRIES165
26347DREAMHOST-AS131
32613IWEB-AS130
3595NO_ENTRIES128
16245NO_ENTRIES121
25532NO_ENTRIES118
27715NO_ENTRIES116
20773NO_ENTRIES112
21788BurstNet107
4713OCN107

日本だけ抜き出すとこんな感じ
ASAS nameサイト数
9371SAKURA-C217
4713OCN107
9370SAKURA-B87
4694IDC62
2516KDDI61
37907DIGIROCK28
2514InfoSphere27
2497IIJ25
17506UCOM23
4732DION17
10026ANC16
17676GIGAINFRA13
9597CPI-NET13
17511K-OPTICOM12
7678PROX11
2519VECTANT9
7506INTERQ9
17691TIKITIKI7
17707EDGE-JP-AP7
7514MEX7
9595XEPHION7
10006SECOMTRUST6
18126CTCX6
23824FUTURE6
4725ODN6
9600SONYTELECOM6
4716POWEREDCOM5
9353MEDIAWARS5
10015CWJ-NET4
2518MESH4
7511SYNAPSE3
7516TOHKNET3
10010TOKAI2
17514AICS2
17941BIT-ISLE2
23820RAKUTEN2

ホスティングやブログ作成サービスです。。。

アカウント情報を盗まれる被害は継続しているということで。。。

[カテゴリ:spam観察日記]

by jyake