2117966.netが復活
Published: 2009/03/14
1,2年前から今現在まで続くSQLインジェクション騒ぎの中で、ちょうど一年前の騒ぎでやたらと取り合げられていたドメインのひとつ「2117966.net」が復活しています。
cNotesにおける昨年の関連する話題は、2117966.net -SQLインジェクション-、www.2117966.netの閉鎖、、 、例のwww.2117966.net、、、など。
モニタリングシステムからExpiration Dateが延長されたアラームが飛んできました。
確かに1年間延長されていますし、StatusもClientHolldからokになっていてドメイン自体が利用可能になっています。
Domain Name: 2117966.NET Registrar: HICHINA ZHICHENG TECHNOLOGY LTD. Whois Server: grs.hichina.com Referral URL: http://www.net.cn Name Server: NS3.EACHNIC.COM Name Server: NS4.EACHNIC.COM Status: ok Updated Date: 27-feb-2009 Creation Date: 26-feb-2008 Expiration Date: 26-feb-2010
IPアドレスも2009/2/27 18:00(JST)ごろから登録されています。
復活当初は
218.30.103.68
でしたが、2009/3/11 11:00(JST)ごろから今の2つのアドレスに変更されています。
60.29.240.87 118.102.24.109
;www.2117966.net. IN A ;; ANSWER SECTION: www.2117966.net. 300 IN A 60.29.240.87 ;; AUTHORITY SECTION: 2117966.net. 300 IN NS ns4.eachnic.com. 2117966.net. 300 IN NS ns3.eachnic.com.
「218.30.103.68」は、2009/3/5までは、別のSQLインジェクションに利用される「maplestorfy.com」と共用されていましたが、今現在はどちらのドメインでもこのIPアドレスは利用されていません。
「60.29.240.87」は別のインジェクションに利用される多数のドメインと共用されていました。たとえばこんなドメイン。
web.lylss.com www.mvoe.cn www.pkck.cn www2.1000ylc.cn wuqing17173.cn
「118.102.24.109」も別のインジェクションに利用される多数のドメインと共用されていました。たとえばこんなドメイン。
c.uc8010.com www.mvoe.cn www2.1000ylc.cn a.158dm.com
登録されているIPアドレスをころころ変えるのが、最近の攻撃のIPアドレス、ドメインマネージメントの基本手法なので、すでに別のIPアドレスに変更されて共通性はなくなっているものも多々あります。
また、これらのドメインは去年の1月ごろに作成されて攻撃に利用されたものなので ちょうどドメインが削除+請戻猶予期間に入っているものや、あと1,2ヶ月で同様に削除になるという攻撃側のドメインのマネージメントの状況を観察するには面白い時期ではあります。
たとえば「maplestorfy.com」はredemptionPeriod(請戻猶予期間)となっていますのでドメイン自体が利用できない状況です。たぶん請戻はおこなわれずexpireされるんじゃないかと思います。
Domain Name: MAPLESTORFY.COM Registrar: HICHINA ZHICHENG TECHNOLOGY LTD. Whois Server: grs.hichina.com Referral URL: http://www.net.cn Name Server: NS3.EACHNIC.COM Name Server: NS4.EACHNIC.COM Status: redemptionPeriod Updated Date: 05-mar-2009 Creation Date: 28-jan-2007 Expiration Date: 28-jan-2009
「wuqing17173.cn」は別のレジストラですが同様の状況。
Domain Name: wuqing17173.cn ROID: 20080125s10001s20547862-cn Domain Status: pendingDelete Domain Status: inactive Registrant Organization: Registrant Name: Administrative Email: zhslswrh@163.com Sponsoring Registrar: Registration Date: 2008-01-25 14:20 Expiration Date: 2009-01-25 14:20
去年同時に利用されていた「414151.com」は3/31でexpire予定。
Domain Name: 414151.COM Registrar: XIN NET TECHNOLOGY CORPORATION Whois Server: whois.paycenter.com.cn Referral URL: http://www.xinnet.com Name Server: DNS.51YM.COM Name Server: DNS1.51YM.COM Status: clientHold Updated Date: 07-apr-2008 Creation Date: 31-mar-2008 Expiration Date: 31-mar-2009
基本的にはドメインは使い捨てなはずなので、昨年利用されたドメインが「2117966.net」と同様に更新されるのかそのまま放置され使い捨てられるのか興味深いです。
普通に考えれば、すでにブラックリストに登録済みであるためこれらのドメインを使っても十分な攻撃効果は得られないはずですが、たとえばブラックリストが高品質(?)に運用されていて、一年攻撃が観測されなかったものは、ブラックリストから削除されるようなことがあれば長期スパンでのドメインリサイクルの価値はあるわけです。攻撃に利用されるドメインは無限に増え続けているため、ありえそうで興味深いですね。
「2117966.net」自体がインジェクションに再利用されてはいないようですが、何の意図をもって更新したのかは継続解析ですね。
by jyake