cNotes 検索 一覧 カテゴリ

Malicious PDF Server injection

Published: 2009/03/23

今年の頭からスパム文面上の誘導URLや、インジェクションだけでなく、いろいろな攻撃のリダイレクタとして登場するサーバー群です。こいつが直接インジェクションされていることもあります。共通項は「cocacola**」。ドメインもたくさんありますが「**」の部分の数字もいろいろあります。

 yourliteseek.cn/in.cgi?cocacola
 litetopfindworld.cn/in.cgi?cocacola30
 litedownloadseek.cn/in.cgi?cocacola29
 litetopfindworld.cn/in.cgi?cocacola44
 betstarwager.cn/in.cgi?cocacola84
 bestlotron.cn/in.cgi?cocacola54
 litetopfindworld.cn/in.cgi?cocacola48
 betstarwager.cn/in.cgi?cocacola86
 filmlifemusicsite.cn/in.cgi?cocacola95

2009/1/6の「pharmacy系botnet」の記事にも登場します。また、パキスタンやハンガリーの大使館サイトがインジェクション被害を受けた際に利用されていたのも、当時これらのドメインがホストされていたIPと同一のIPだったようです。直接確認してませんが。今は別のIPが使われてます。

ドメイン登録は中国のレジストラで取得されていて、レジストラントは「Scott Bell」「Raymond Keaton」「Michelle Rea」さんの三人のどれかで取得されているのが特徴です。

 Domain Name: filmlifemusicsite.cn
 ROID: 20081007s10001s46122147-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: Scott Bell 
 Registrant Name: Scott Bell
 Administrative Email: ScottKBell@missiongossip.com
 Sponsoring Registrar: 
 Name Server:ns1.freednshostserver.com
 Name Server:ns2.freednshostserver.com
 Registration Date: 2008-10-07 04:35
 Expiration Date: 2009-10-07 04:35
 Domain Name: betstarwager.cn
 ROID: 20081108s10001s82359910-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: Raymond Keaton 
 Registrant Name: Raymond Keaton
 Administrative Email: Keaton@cybernauttech.com
 Sponsoring Registrar: 
 Name Server:ns1.freednshostserver.com
 Name Server:ns2.freednshostserver.com
 Registration Date: 2008-11-08 16:09
 Expiration Date: 2009-11-08 16:09

このドメインをホストしているIPアドレスもころころ変わりますが、今現在はラトビアです。

 inetnum:        94.247.2.0 - 94.247.3.255
 netname:        ZLKON
 descr:          ZlKon
 country:        LV
 admin-c:        ZK508-RIPE
 tech-c:         DES31-RIPE
 status:         ASSIGNED PA
 mnt-by:         PCEXPRESS-MNT
 mnt-lower:      ZLKON-MNT
 mnt-routes:     ZLKON-MNT
 changed:        igors@pcexpress.lv 20081125
 source:         RIPE
 
 role:           ZlKon HostMaster
 address:        Lilijas iela 4-74
 address:        Riga, LV-1055
 address:        Latvija
 phone:          +371 26330593
 e-mail:         hostmaster@zlkon.lv
 admin-c:        AD5952-RIPE
 tech-c:         AD5952-RIPE
 nic-hdl:        ZK508-RIPE
 mnt-by:         ZLKON-MNT
 changed:        hostmaster@zlkon.lv 20081125
 source:         RIPE
 abuse-mailbox:  abuse@zlkon.lv

で、さらに、こいつは、リダイレクトの方法が一定じゃないのが特徴です。

こんなスクリプトを食らわされることもあれば、

 if((name.indexOf("Adobe Acrobat") != -1) ||   
 (name.indexOf("Adobe PDF") != -1))
 {
  document.write('<iframe src="*****/readme.pdf"></iframe>');
  }
  if(name.indexOf("Flash") != -1)
 {
  document.write('<iframe src="*****/flash.swf"></iframe>');
 }

リダイレクトしていってこんなのを食らわされる場合もあります。

VirusTotal先生の結果

?詳細解析は放置してます。

スクリプト自体もマイナーチェンジを繰り返しているようです。

この手法の変化がなにをキーに行われているのかはよくわかりません。

[カテゴリ:インジェクション観察日記]

by jyake