cNotes 検索 一覧 カテゴリ

SQLインジェクションの状況

Published: 2008/07/23

create: 2008/7/10


いろいろまとめている作成中なのですが、そうこうしているうちに関連する攻撃に「Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される」(たぶんこれ)が追加されたようです。

使用されるスクリプトの中身の抜粋(最近はウェブ閲覧にウィルスチェックがかかる環境も多いし、どこぞの検索エンジンにマルウェアホスティングと勘違いされたくないので画像で。)

まぁMS ACCESSをインストールしている環境が一般ユーザーにどれだけあるのかと一瞬思いますが、結局、SQLインジェクションの対象になるようなサーバーを運用している人がもろ対象になるんでしょう。まぁ、副産物として企業内でMS ACCESSがインストールされている端末が被害を受ける可能性もありますし、MS ACCESSがインストールされている端末ということはそれなりの業務に使っている=いいデータが集められるということが期待されるんですかね?あぶないです。

うーむ。最近のSQLインジェクション系の話や、asprox botnetの状況って2005、2006年頃の脆弱性利用で広がっていくボットネットの拡大率とか規模とかに匹敵するぐらいになってないですか?うーむ、比較軸を探し中で、明確な比較はできていないんですが。

update:2008/7/23

by jyake


しばらく書いてませんでしたのでざっくりと状況をまとめていこうかなと。


まぁ、端的に言えば減っていません。

利用されるドメインおよびIPアドレスは高頻度で使い捨てられ、新規作成、変化していきますので、感染に利用されるリンク構造は一見ありがちなSEO Treeのような構造と見ることができますが、そのtreeもすぐに違う構造に変化していくため、集約されるドメインやIPを抑えたとしても実効的な対策を行うことが可能かは疑わしいです。長期間放置して被害を拡大することを抑えるという意味はありますが、マルウェア感染は、瞬発力を利用して、短期間で感染対象を増やそうとするものなので、常に後攻になってしまう対策は苦しいですね。インジェクションされるサイト(獲物)が豊富に存在する豊かな海なので漁には困らないといったところでしょうか。したがって、どのブラックリストにも登録されていないものなどもまだまだあります。

利用されているドメインについて作成日をベースにまとめたものが以下のグラフになります。

あくまでドメイン作成日なので実際にインジェクション攻撃が行われた日ではありませんが、ほとんどの攻撃がドメイン作成から2,3日程度で行われていますので、ほぼ攻撃発生状況と一致すると思います。どれだけのサイトが被害にあったか?という視点ではないですが。

5月以降一日あたりの作成数が一気に増えています。6月中旬に若干勢いが鈍ったかのように見えますが、その後また復活しています。その状況が継続。ひどい日には30以上のドメインが作成されています。

最近使われたドメインでも非常に古いものもあり、一番古いものは2003年に作成された「chliyi.com」です。ほとんどは2008年製です。

ほとんどの狙いは、いわゆるアカウントハック系(ネットゲーム関連、mixi、windowsのアカウント情報を盗むもの)とスパイウェア含みのランサムウェアの誘導広告系ですね。

iframeやscriptで飛ばされた先でアクセスした端末にマルウェアを埋め込むために狙われる脆弱性は攻撃は以下のようなものがあります。(ごめんなさい詳細は追記していきます。)

利用される脆弱性説明
MS06014
MS06067
MS07004
MS07033
MS07055
MS08011
Ajax
Bfyy
LZ
PPS
RealPlayer10
RealPlayer11
XunLei
Baidu
GLWORLD(HanGamePlugin)
Tunder
FlashPlayerブラウザ依存タイプ(IE用)
FlashPlayerブラウザ依存タイプ(FF用というかIE以外用?)
FlashPlayerバージョン依存タイプ(9.0.16)
FlashPlayerバージョン依存タイプ(9.0.28)
FlashPlayerバージョン依存タイプ(9.0.29)?
FlashPlayerバージョン依存タイプ(9.0.47)
FlashPlayerバージョン依存タイプ(9.0.64)
FlashPlayerバージョン依存タイプ(9.0.115)
Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性

そのドメインが利用されていた期間、利用された実際のIPアドレスの変化、それぞれのドメイン、IPの関連性についても興味深いものなので、また追記していきたいと思います。

[カテゴリ:botnet観察日記]

by jyake