CVE-2012-1823を狙った攻撃の増加 2
Published: 2014/01/16
11/3→11/21→12/14と段階的に攻撃量が爆発していたこの攻撃ですが
2013/12/17をピークに徐々に減少し、現状は11/21頃の水準にまで低下しました。
もともとこういう感じのPOSTリクエストで、
POSTされるデータとしてはこういう単純なコマンドが送り込まれてきていたわけですが、
12/14頃からの攻撃では、このようにPOSTされるデータがbase64でエンコードされているものが含まれるようになったのがこの間の変化です。
この手の攻撃では毎回同様に
新しい手法が公開される→単純な攻撃→そろそろパターンマッチで簡単に防がれるので、単純な文字列マッチングできないように、エンコード、難読化しますか、
的な流れを各所に適用した感じです。
また、linux用のmalware等がダウンロードされることや、攻撃中に行われる操作的にもlinux狙いと思っていましたが、POSTで送り込まれてくるコマンドやパスが、windows用のコマンドで構成されているパターンも観測されていますので、特にlinuxだけを狙っているわけではなさそうです。
このまま終息するかどうかは継続観測です。
by jyake