cNotes 検索 一覧 カテゴリ

Update for Microsoft Outlook spam継続中

Published: 2009/06/27

Outlookユーザーをターゲットとしたスパム 追記2」のタイプを継続して大量に検出してます。

文面的には前回とまったく変わっていませんので省略しますね。

前回の懸念?通り、ドメインは次から次へと使い捨てられていき、Aレコードが登録された瞬間には攻撃として成立するようになっています。

文面上のこのようなリンクをクリックすると

 http://update.microsoft.com.ijj1hjl.com/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=2*******************

よくありがちなこういうスクリプトでリダイレクトされ、

いろいろ食らいます。

 http://gizliilimlerhazinesi.com/images/index.php

「The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine」

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2463

 http://gizliilimlerhazinesi.com/images/getexe.php

http://www.virustotal.com/analisis/b6c9a2125a43133d681be0e27aac281f404e29b5e6f031d04a789ff6f0bc8218-1246058584

 http://gizliilimlerhazinesi.com/images/pdf.php

http://www.virustotal.com/analisis/6571cad81dab7265dde41db3a869a610f87403f68f2fffd13b4f659b4cab656b-1246072005

一段目のサイトはfast-fluxの仕組みで構成されています。下記はdigの結果の一例ですが、リクエストのたびに異なるアドレスが含まれますので、世界中のたくさんのbotがサイトの構成要素とされています。ブロードバンド回線に接続されているPCですね。日本のものも何件か含まれます。

 ;update.microsoft.com.hilkij.com. IN    A
 
 ;; ANSWER SECTION:
 update.microsoft.com.hilkij.com. 300 IN A       84.126.129.173
 update.microsoft.com.hilkij.com. 300 IN A       86.133.174.144
 update.microsoft.com.hilkij.com. 300 IN A       87.97.50.124
 update.microsoft.com.hilkij.com. 300 IN A       95.79.23.113
 update.microsoft.com.hilkij.com. 300 IN A       190.19.196.244
 update.microsoft.com.hilkij.com. 300 IN A       190.82.54.68
 update.microsoft.com.hilkij.com. 300 IN A       190.100.180.34
 update.microsoft.com.hilkij.com. 300 IN A       190.190.48.52
 update.microsoft.com.hilkij.com. 300 IN A       200.77.205.199
 update.microsoft.com.hilkij.com. 300 IN A       61.205.187.253
 update.microsoft.com.hilkij.com. 300 IN A       67.203.141.246
 update.microsoft.com.hilkij.com. 300 IN A       76.97.133.144
 update.microsoft.com.hilkij.com. 300 IN A       78.40.139.120
 update.microsoft.com.hilkij.com. 300 IN A       78.88.220.69
 update.microsoft.com.hilkij.com. 300 IN A       84.122.58.149
 
 ;; AUTHORITY SECTION:
 hilkij.com.             300     IN      NS      ns1.hiringstaffing.net.
 hilkij.com.             300     IN      NS      ns1.job-depart.com.
 hilkij.com.             300     IN      NS      ns2.hiringstaffing.net.
 hilkij.com.             300     IN      NS      ns2.job-depart.com.
 
 ;; ADDITIONAL SECTION:
 ns1.hiringstaffing.net. 300     IN      A       67.223.241.59
   Domain Name: HILKIJ.COM
   Registrar: NAMEBAY
   Whois Server: whois.namebay.com
   Referral URL: http://www.namebay.com
   Name Server: NS1.HIRINGSTAFFING.NET
   Name Server: NS1.JOB-DEPART.COM
   Status: ok
   Updated Date: 26-jun-2009
   Creation Date: 25-jun-2009
   Expiration Date: 25-jun-2010
 
 Domain Name : HILKIJ.COM
 Created On : 2009-06-26
 Expiration Date : 2010-06-26
 Status : ACTIVE
 Registrant Name : Eileen Stahl
 Registrant Street1 : 243A FM 474
 Registrant City : Boerne
 Registrant State/Province  : US
 Registrant Postal Code : 78006
 Registrant Country : US

とりあえずざっくりと、構成要素のbotのASと国の例。

 190.82.54.68 190.82.32/19 AS7418 CL
 190.100.180.34 190.100.128.0/18 AS22047 CL
 190.190.48.52 190.190.32.0/19 AS10481 AR
 200.77.205.199 200.77.192/20 AS28554 MX
 61.205.187.253 61.205.128.0/18 AS9617 JP
 67.203.141.246 67.203.128.0/20 AS7829 US
 76.97.133.144 76.97.0.0/16 AS7725 US
 78.40.139.120 78.40.139.0/24 AS39505 BG
 78.88.220.69 78.88.216.0/21 AS29314 PL
 84.122.58.149 84.122.0.0/16 AS6739 ES
 84.126.129.173 84.126.0.0/16 AS6739 ES
 86.133.174.144 86.128.0.0/12 AS2856 GB
 87.97.50.124 87.97.0.0/17 AS12301 HU
 95.79.23.113 95.79.0.0/19 AS42682 RU
 190.19.196.244 190.18/15 AS10318 AR

fast-fluxの対策は基本的にドメインベースで実施するしかないですね。

 サイトのアドレス
 ≒fast-flux構造のサイトのアドレス
 ≒botのアドレス
 ≒接続の度に動的に変化するブロードバンドユーザーのPCのアドレス

なので、Route object的には各社のブロードバンドサービスのpoolアドレスになってしまいます。ホスト単位で考えても動的アドレスですので次の瞬間にはぜんぜん無関係なユーザーが使っているわけですし。これをIPアドレスベースでブロックするのはつらいです。それがfast-fluxの特徴の一つかなと。

リダイレクトされる先はここ。

 gizliilimlerhazinesi.com. 300   IN      A       84.51.21.87
 
 ;; AUTHORITY SECTION:
 gizliilimlerhazinesi.com. 300   IN      NS      ns1.isimtescil.net.
 gizliilimlerhazinesi.com. 300   IN      NS      ns2.isimtescil.net.
 
 ;; ADDITIONAL SECTION:
 ns1.isimtescil.net.     300     IN      A       84.51.21.162
 ns2.isimtescil.net.     300     IN      A       84.51.21.161
   Domain Name: GIZLIILIMLERHAZINESI.COM
   Registrar: FBS INC.
   Whois Server: whois.isimtescil.net
   Referral URL: http://www.isimtescil.net
   Name Server: NS1.ISIMTESCIL.NET
   Name Server: NS2.ISIMTESCIL.NET
   Status: ok
   Updated Date: 24-apr-2009
   Creation Date: 23-feb-2009
   Expiration Date: 23-feb-2010
 inetnum:        84.51.21.0 - 84.51.21.255
 netname:        FBS_4
 descr:          FBS
 country:        TR
 admin-c:        FT1665-RIPE
 tech-c:         NT674-RIPE
 status:         ASSIGNED PA
 mnt-by:         mnt-teletek
 changed:        murat.celik@teletektelekom.com 20070108
 source:         RIPE

さて、とりあえず使い捨てられていくドメインのバリエーションを書いてみますが、目が痛くなります、、、ドメインを作る方も使い捨てだから中には間違ったり、アドレス登録しないまま忘れ去られていくドメインも多いんじゃないでしょうか?ま、ちゃんと利用されなくてもそれはそれで、おとりとかダミーという効果や、ブラックリストをあふれさせる効果を生むんでしょうね。

ま、典型的なフィッシングの手法です。

 update.microsoft.com.11HILF.COM
 update.microsoft.com.11HILF.NET
 update.microsoft.com.11f1lk1.com
 update.microsoft.com.11f1lk1.net
 update.microsoft.com.11f1lkh.com
 update.microsoft.com.11f1lkh.net
 update.microsoft.com.11f1lki.com
 update.microsoft.com.11f1lki.net
 update.microsoft.com.11f1lkj.com
 update.microsoft.com.11f1lkj.net
 update.microsoft.com.11f1lkl.com
 update.microsoft.com.11f1lkl.net
 update.microsoft.com.11hilf.com
 update.microsoft.com.11hilf.net
 update.microsoft.com.1iki1.com
 update.microsoft.com.1iki1.net
 update.microsoft.com.1ikij.com
 update.microsoft.com.1ikij.net
 update.microsoft.com.1ikik.com
 update.microsoft.com.1ikik.net
 update.microsoft.com.1ikil.com
 update.microsoft.com.1ikil.net
 update.microsoft.com.1lj1ki1.com
 update.microsoft.com.1ljfki1.com
 update.microsoft.com.1lji1i1.com
 update.microsoft.com.1ljik11.com
 update.microsoft.com.1ljiki1.com
 update.microsoft.com.1llijk.com
 update.microsoft.com.1llijk.net
 update.microsoft.com.HFHILF.COM
 update.microsoft.com.HFHILF.NET
 update.microsoft.com.ILLIHIL.COM
 update.microsoft.com.ILLIHIL.NET
 update.microsoft.com.feikl1.com
 update.microsoft.com.feikl1.net
 update.microsoft.com.fekki1.com
 update.microsoft.com.fekki1.net
 update.microsoft.com.fekkil.com
 update.microsoft.com.fekkil.net
 update.microsoft.com.fekkl1.com
 update.microsoft.com.fekkl1.net
 update.microsoft.com.felkl1.com
 update.microsoft.com.felkl1.net
 update.microsoft.com.fiflil.com
 update.microsoft.com.fiflil.net
 update.microsoft.com.filiil1.net
 update.microsoft.com.hfhilf.com
 update.microsoft.com.hfhilf.net
 update.microsoft.com.hhili.com.mx
 update.microsoft.com.hhilil.com
 update.microsoft.com.hhilil.net
 update.microsoft.com.hhill1.com
 update.microsoft.com.hhill1.net
 update.microsoft.com.hhillh.com
 update.microsoft.com.hhillh.net
 update.microsoft.com.hhilli.com
 update.microsoft.com.hhilli.net
 update.microsoft.com.hhillj.com
 update.microsoft.com.hhillj.net
 update.microsoft.com.hiklij.net
 update.microsoft.com.hilkij.net
 update.microsoft.com.hillij.com
 update.microsoft.com.hillij.net
 update.microsoft.com.hillik.net
 update.microsoft.com.hillkj.net
 update.microsoft.com.i11lih11.net
 update.microsoft.com.i11lih1h.com
 update.microsoft.com.i11lih1i.net
 update.microsoft.com.i11lih1l.net
 update.microsoft.com.i11lihff.com
 update.microsoft.com.i11lihhf.net
 update.microsoft.com.i11lihjl.com
 update.microsoft.com.iilj1k.com
 update.microsoft.com.iilj1k.net
 update.microsoft.com.iilji1.com
 update.microsoft.com.iilji1.net
 update.microsoft.com.iiljik.com
 update.microsoft.com.iiljik.net
 update.microsoft.com.iiljil.com
 update.microsoft.com.iiljil.net
 update.microsoft.com.iiljlk.com
 update.microsoft.com.iiljlk.net
 update.microsoft.com.ijj1hj1.com
 update.microsoft.com.ijj1hj1.net
 update.microsoft.com.ijj1hjf.com
 update.microsoft.com.ijj1hji.com
 update.microsoft.com.ijj1hji.net
 update.microsoft.com.ijj1hjl.com
 update.microsoft.com.ijj1hjl.net
 update.microsoft.com.ijj1ifl.net
 update.microsoft.com.ijlijj1.net
 update.microsoft.com.ijlijjh.net
 update.microsoft.com.ijlijji.com
 update.microsoft.com.ijlijl1.com
 update.microsoft.com.il1if1.com.mx
 update.microsoft.com.ijlfij.com
 update.microsoft.com.ijlfij.net
 update.microsoft.com.ijlk1j.net
 update.microsoft.com.ijlkfj.com
 update.microsoft.com.ijlkfj.net
 update.microsoft.com.ijlkif.net
 update.microsoft.com.ijlkij.com
 update.microsoft.com.ijlkij.net
 update.microsoft.com.ikillif.com
 update.microsoft.com.ikillif.net
 update.microsoft.com.ikl1i1.com
 update.microsoft.com.ikl1i1.net
 update.microsoft.com.ikl1ij.com
 update.microsoft.com.ikl1ij.net
 update.microsoft.com.ikl1il.com
 update.microsoft.com.ikl1il.net
 update.microsoft.com.ikl1l1.com
 update.microsoft.com.ikl1l1.net
 update.microsoft.com.ikl1lj.com
 update.microsoft.com.ikl1lj.net
 update.microsoft.com.il1if1.com.mx
 update.microsoft.com.il1ifi.com.mx
 update.microsoft.com.il1il1.com.mx
 update.microsoft.com.il1ilf.com.mx
 update.microsoft.com.il1ili.com.mx
 update.microsoft.com.il1lhh.com
 update.microsoft.com.il1lhh.net
 update.microsoft.com.il1lkh.com
 update.microsoft.com.il1lkh.net
 update.microsoft.com.ilfh1l1.com
 update.microsoft.com.ilfiikl.com
 update.microsoft.com.ilfiikl.net
 update.microsoft.com.ilfijkl.com
 update.microsoft.com.ilfijkl.net
 update.microsoft.com.ilfl1i1.com
 update.microsoft.com.ilfl1i1.net
 update.microsoft.com.ilfl1l1.com
 update.microsoft.com.ilfl1l1.net
 update.microsoft.com.iljihli.com.mx
 update.microsoft.com.iljili1.com
 update.microsoft.com.iljilil.net
 update.microsoft.com.iljill1.com
 update.microsoft.com.iljlli1.com
 update.microsoft.com.ilkfhl.com
 update.microsoft.com.ilkih1.com
 update.microsoft.com.ilkihf.com
 update.microsoft.com.ilkihi.com
 update.microsoft.com.ilkihl.com
 update.microsoft.com.ill1ki1.com
 update.microsoft.com.ill1ki1.net
 update.microsoft.com.ill1kil.com
 update.microsoft.com.ill1kil.net
 update.microsoft.com.ill1kj1.com
 update.microsoft.com.ill1kj1.net
 update.microsoft.com.illih1l.com
 update.microsoft.com.illih1l.net
 update.microsoft.com.illihfl.com
 update.microsoft.com.illihfl.net
 update.microsoft.com.illihi1.com
 update.microsoft.com.illihi1.net
 update.microsoft.com.illihil.com
 update.microsoft.com.illihil.net
 update.microsoft.com.illikj1.com
 update.microsoft.com.illikj1.net
 update.microsoft.com.illjik1.com
 update.microsoft.com.illjik1.net
 update.microsoft.com.illjikl.com
 update.microsoft.com.illjikl.net
 update.microsoft.com.illkil.com.mx
 update.microsoft.com.illl1i1.com
 update.microsoft.com.illl1i1.net
 update.microsoft.com.illlhi1.com
 update.microsoft.com.illlhi1.net
 update.microsoft.com.illlkh.com
 update.microsoft.com.illlkh.net
 update.microsoft.com.jikikfi.com
 update.microsoft.com.jikikfi.net
 update.microsoft.com.jikikj1.com
 update.microsoft.com.jikikjf.com
 update.microsoft.com.jikikjf.net
 update.microsoft.com.jikikji.com
 update.microsoft.com.jikikji.net
 update.microsoft.com.jikikjl.com
 update.microsoft.com.jikikjl.net
 update.microsoft.com.jikikli.com
 update.microsoft.com.jikikli.net
 update.microsoft.com.k1fli1.com
 update.microsoft.com.k1fli1.net
 update.microsoft.com.k1flif.com
 update.microsoft.com.k1flif.net
 update.microsoft.com.k1flih.com
 update.microsoft.com.k1flih.net
 update.microsoft.com.k1flii.com
 update.microsoft.com.k1flii.net
 update.microsoft.com.k1flj1.net
 update.microsoft.com.kiffi1.net
 update.microsoft.com.kiffil.com.mx
 update.microsoft.com.kil1i1.com
 update.microsoft.com.kilji1.net
 update.microsoft.com.kill1k.com
 update.microsoft.com.kill1k.net
 update.microsoft.com.killi1.com
 update.microsoft.com.killi1.net
 update.microsoft.com.killik.net
 update.microsoft.com.lifl1i.com
 update.microsoft.com.liflh1.com
 update.microsoft.com.liflh1.net
 update.microsoft.com.liflhi.com
 update.microsoft.com.liflhi.net
 update.microsoft.com.liljh1.com
 update.microsoft.com.liljh1.net
 update.microsoft.com.lillh1.com
 update.microsoft.com.lillh1.net
 update.microsoft.com.llik1i.com
 update.microsoft.com.llik1i.net
 update.microsoft.com.llikh1.com
 update.microsoft.com.llikh1.net
 update.microsoft.com.llikhf.com
 update.microsoft.com.llikhf.net
 update.microsoft.com.llikhi.com
 update.microsoft.com.llikhi.net

[カテゴリ:spam観察日記]

by jyake