cNotes 検索 一覧 カテゴリ

CVE2011-3544を利用した攻撃に関わるスパムについて

Published: 2011/12/19

結構大物だったこのspamですが、12/17を最後に約二日間観測されていません。

が、実は今のところ攻撃が成立していない(一次リンクサイトにファイルが存在しない)、似たようなスパムが大量に届いているところなので、そちらへ移行しているのかもしれません。(まだ正体は確認できてませんが。。。)

一部のダウンロードサイトしか確認していませんが、そこからのマルウェアのダウンロードもやはり12/17の21時頃からダウンロードできなくなってます。


関連するスパムの受信件数の推移です。

今から見返してみると11/7に200通弱を最初に受信しその後0〜10通前後の受信がしばらく続き、11/20ごろにひと山、その後11末から12月に入って大量に受信し、観測して、12/13でピークになっています。


他のレポートに詳細は書いていますが、簡単にするとこの攻撃はこのようなシーケンスになっていてます。

 スパム
 
  ↓
 
 一次リンクサイト(index.html)
 
  ↓ javascriptでリダイレクト
 
 3〜4つのサイト(xxx.js)
 
  ↓ 簡単に難読化されたjavascriptを利用したリダイレクト
 
 マルウェアダウンロード

もっとも大量に存在する一次リンクサイトについて調査。

利用されるURLはこのような特徴があります。

 http://xxxxxxxxxx/HHHHHH/index.html
 
 HHHHHHは6桁の16進数?

一次リンクサイト(メールの文中で利用される入り口サイト)の存在する国の割合はこのような感じ。
Noサイト数割合
1 UnitedStates 1204 47.29%
2 Germany 218 8.56%
3 Spain 102 4.01%
4 France 80 3.14%
5 Italy 80 3.14%
6 Turkey 77 3.02%
7 Canada 41 1.61%
8 Netherlands 37 1.45%
9 Romania 37 1.45%
10 Australia 33 1.30%
11 UnitedKingdom 31 1.22%
12 Singapore 27 1.06%
13 SaudiArabia 13 0.51%
14 Switzerland 13 0.51%
15 Belgium 12 0.47%
16 Ireland 12 0.47%
17 CzechRepublic 10 0.39%
18 NewZealand 10 0.39%
19 Tunisia 9 0.35%
20 Japan 8 0.31%

AS別にサイト数を数えてみました。

NoASAS Nameサイト数割合
18560 ONEANDONE-AS_1&1_Internet_AG 340 13.35%
236351 SOFTLAYER_-_SoftLayer_Technologies_Inc. 230 9.03%
321844 THEPLANET-AS_-_ThePlanet.com_Internet_Services_Inc. 2088.17%
426496 PAH-INC_-_GoDaddy.com_Inc. 115 4.52%
524940 HETZNER-AS_Hetzner_Online_AG_RZ 65 2.55%
616276 OVH_OVH_Systems 58 2.28%
726347 DREAMHOST-AS_-_New_Dream_Network_LLC 58 2.28%
86245 NETWORK-SOLUTIONS_-_InterNIC_Registration_Services 66 2.59%
946606 BLUEHOST-AS-2_-_Bluehost_Inc. 47 1.85%
1020718 AS_ARSYS-EURO-1_arsys.es 45 1.77%
1123352 SERVERCENTRAL_-_Server_Central_Network 43 1.69%
1233182 DIMENOC---HOSTDIME_-_HostDime.com_Inc. 42 1.65%
1332244 LIQUID-WEB-INC_-_Liquid_Web_Inc. 40 1.57%
1431034 ARUBA-ASN_Aruba_S.p.A._-_Network 37 1.45%
1529802 HVC-AS_-_HIVELOCITY_VENTURES_CORP 33 1.30%
1632475 SINGLEHOP-INC_-_SingleHop 27 1.06%
1748881 DATA-NODE-AS_Data_Node_SRL 20 0.79%
1834619 CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_Sirketi 17 0.67%
1918450 WEBNX_-_WebNX 16 0.63%
2016265 LEASEWEB_LeaseWeb_B.V. 15 0.59%

ちなみに日本というのは
ASAS Nameサイト数割合
9600 SONYTELECOM_Sony_Business_Solutions_Corporation 80.31%

とりあえず一瞬沈静化していますが、クリスマス、年末年始はこれからなので様子見ですね。

[カテゴリ:spam観察日記]

by jyake