52-o.cn

以前書いた記事以降もSQLインジェクションは継続して増加してますね。同じサイトが何個も何十個も違うiframeを埋め込まれている姿も多く見られるようになっています。ここまでくると、そのサイトが、被害サイトなのか、被害サイトを装った罠なのか、解析サイトなのか、わけがわからない状況ですね。

攻撃手法的には、サイトアクセス後、iframeなり、jsなりなんなりを用いて複数のサイトを多段階ジャンプしてから、何種類かの攻撃ツールが埋め込まれたサイトへたどり着くという構造になっているものがほとんどで、それらに用いられるURL、ドメインは使い捨てられ続々と新しいもに変更になっていきます。

その中で一部のドメインは長期間にわたって変更されることなく使い続けられているものがあります。

「52-o.cn」は、今年の3月ごろから利用されているドメインの一つで、めずらしく使い捨てられず、継続的に利用されています。目的はアカウントハック系です。これほど長期間使用し続けられているのはめずらしい部類に入ると思いますが、有効に機能しているからなのでしょうか？

また、このドメインのIPアドレスは頻度は高くありませんが2ヶ月に一回ほど変化します。

で、結局、「52-o.cn」は多段階におこなわれるダウンロードの一段目のドメインであって、このドメイン自体は変化なく使用し続けられていますが、ダウンロードされるファイル「admin.js」によって、飛ばされる次の段階のURLが定期的に変化しています。（このダウンロードされるファイル名は何種類かが使い分けられているようです。）

たとえばここ一ヶ月間はこんな感じ。

 2008/7/22 14:43 www.7o7o7o.cn/xiao.htm
 2008/7/24 15:07 www.77o77o.cn/xiao.htm
 2008/7/26 09:59 www.1ovel.cn/xiao.htm
 2008/7/28 10:04 www.5lal1a5.cn/xiao.htm
 2008/7/30 07:47 www.5l1l1.cn/xiao.htm
 2008/8/02 01:57 www.fewgq.cn/118.htm
 2008/8/03 19:03 www.safdsfa.cn/118.htm
 2008/8/05 21:32 www.gqdsaa.cn/118.htm
 2008/8/11 01:04 www.frewqgf.cn/118.htm
 2008/8/13 01:00 www.fqgqfq.cn/118.htm
 2008/8/15 01:05 www.fdsfaf.cn/118.htm

実はこれらのドメインは他のドメインのCNAMEにすぎなかったり、まったく同じIPアドレスが登録されていたりで、共通性が非常に高いです。多段階ジャンプが実は一つのサーバー内で行われているということも多いです。

これらのURLも単に２段階目のサイトであって、ここに仕掛けられているスクリプトによりさらに次のサイトにジャンプします。ここにうめこれているURLも定期的に変化します。（ごめんなさいそこは省略。）最終的な攻撃は以前からアカウントハック系で利用されている数種類の脆弱性狙いです。

二段目以降が見た目上複雑な構造になっていますが、一段目をとめることで対策できそうなものですが、多くのブラックリストに登録されているにもかかわらず、なぜ生き残っているのか不明です。

たくさんのドメインの動向を解析してみると、これらのインジェクション系の特徴は、最近のボットネット、スパム、フィッシングで見られるサイト運用とは若干違いがあって

• IPアドレスは使い回しが多い（特に中国系のアカウントハック系はその傾向が強いかも）
• ドメイン名を頻繁に変える
• ファイル名は固定の場合が多い

のような感じかと。

つまり一見たくさんのＵＲＬが存在しますが、結局は一つのサイト内に設置したファイルを、使いまわしているだけの傾向が強い感じです。

こんなインジェクション運用が多いということは、個人ユーザーさんの使っているセキュリティソフトの導入率や、それらのソフトのDNSBL、URIBLというもの対策効果が低いという状況を表してるってことなのでしょうか？

[カテゴリ:botnet観察日記]

by jyake