CVE2011-3544を利用した攻撃に関わるスパムについて
Published: 2011/12/19
結構大物だったこのspamですが、12/17を最後に約二日間観測されていません。
が、実は今のところ攻撃が成立していない(一次リンクサイトにファイルが存在しない)、似たようなスパムが大量に届いているところなので、そちらへ移行しているのかもしれません。(まだ正体は確認できてませんが。。。)
一部のダウンロードサイトしか確認していませんが、そこからのマルウェアのダウンロードもやはり12/17の21時頃からダウンロードできなくなってます。
関連するスパムの受信件数の推移です。
今から見返してみると11/7に200通弱を最初に受信しその後0〜10通前後の受信がしばらく続き、11/20ごろにひと山、その後11末から12月に入って大量に受信し、観測して、12/13でピークになっています。
他のレポートに詳細は書いていますが、簡単にするとこの攻撃はこのようなシーケンスになっていてます。
スパム ↓ 一次リンクサイト(index.html) ↓ javascriptでリダイレクト 3〜4つのサイト(xxx.js) ↓ 簡単に難読化されたjavascriptを利用したリダイレクト マルウェアダウンロード
もっとも大量に存在する一次リンクサイトについて調査。
利用されるURLはこのような特徴があります。
http://xxxxxxxxxx/HHHHHH/index.html HHHHHHは6桁の16進数?
一次リンクサイト(メールの文中で利用される入り口サイト)の存在する国の割合はこのような感じ。
No | 国 | サイト数 | 割合 |
---|---|---|---|
1 | UnitedStates | 1204 | 47.29% |
2 | Germany | 218 | 8.56% |
3 | Spain | 102 | 4.01% |
4 | France | 80 | 3.14% |
5 | Italy | 80 | 3.14% |
6 | Turkey | 77 | 3.02% |
7 | Canada | 41 | 1.61% |
8 | Netherlands | 37 | 1.45% |
9 | Romania | 37 | 1.45% |
10 | Australia | 33 | 1.30% |
11 | UnitedKingdom | 31 | 1.22% |
12 | Singapore | 27 | 1.06% |
13 | SaudiArabia | 13 | 0.51% |
14 | Switzerland | 13 | 0.51% |
15 | Belgium | 12 | 0.47% |
16 | Ireland | 12 | 0.47% |
17 | CzechRepublic | 10 | 0.39% |
18 | NewZealand | 10 | 0.39% |
19 | Tunisia | 9 | 0.35% |
20 | Japan | 8 | 0.31% |
AS別にサイト数を数えてみました。
No | AS | AS Name | サイト数 | 割合 |
---|---|---|---|---|
1 | 8560 | ONEANDONE-AS_1&1_Internet_AG | 340 | 13.35% |
2 | 36351 | SOFTLAYER_-_SoftLayer_Technologies_Inc. | 230 | 9.03% |
3 | 21844 | THEPLANET-AS_-_ThePlanet.com_Internet_Services_Inc. | 208 | 8.17% |
4 | 26496 | PAH-INC_-_GoDaddy.com_Inc. | 115 | 4.52% |
5 | 24940 | HETZNER-AS_Hetzner_Online_AG_RZ | 65 | 2.55% |
6 | 16276 | OVH_OVH_Systems | 58 | 2.28% |
7 | 26347 | DREAMHOST-AS_-_New_Dream_Network_LLC | 58 | 2.28% |
8 | 6245 | NETWORK-SOLUTIONS_-_InterNIC_Registration_Services | 66 | 2.59% |
9 | 46606 | BLUEHOST-AS-2_-_Bluehost_Inc. | 47 | 1.85% |
10 | 20718 | AS_ARSYS-EURO-1_arsys.es | 45 | 1.77% |
11 | 23352 | SERVERCENTRAL_-_Server_Central_Network | 43 | 1.69% |
12 | 33182 | DIMENOC---HOSTDIME_-_HostDime.com_Inc. | 42 | 1.65% |
13 | 32244 | LIQUID-WEB-INC_-_Liquid_Web_Inc. | 40 | 1.57% |
14 | 31034 | ARUBA-ASN_Aruba_S.p.A._-_Network | 37 | 1.45% |
15 | 29802 | HVC-AS_-_HIVELOCITY_VENTURES_CORP | 33 | 1.30% |
16 | 32475 | SINGLEHOP-INC_-_SingleHop | 27 | 1.06% |
17 | 48881 | DATA-NODE-AS_Data_Node_SRL | 20 | 0.79% |
18 | 34619 | CIZGI_Cizgi_Telekomunikasyon_Hizmetleri_Sanayi_Ve_Ticaret_Limited_Sirketi | 17 | 0.67% |
19 | 18450 | WEBNX_-_WebNX | 16 | 0.63% |
20 | 16265 | LEASEWEB_LeaseWeb_B.V. | 15 | 0.59% |
ちなみに日本というのは
AS | AS Name | サイト数 | 割合 |
---|---|---|---|
9600 | SONYTELECOM_Sony_Business_Solutions_Corporation | 8 | 0.31% |
とりあえず一瞬沈静化していますが、クリスマス、年末年始はこれからなので様子見ですね。
by jyake