Update for Microsoft Outlook spam継続中
Published: 2009/06/27
「Outlookユーザーをターゲットとしたスパム 追記2」のタイプを継続して大量に検出してます。
文面的には前回とまったく変わっていませんので省略しますね。
前回の懸念?通り、ドメインは次から次へと使い捨てられていき、Aレコードが登録された瞬間には攻撃として成立するようになっています。
文面上のこのようなリンクをクリックすると
http://update.microsoft.com.ijj1hjl.com/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=2*******************
よくありがちなこういうスクリプトでリダイレクトされ、
いろいろ食らいます。
http://gizliilimlerhazinesi.com/images/index.php
「The Microsoft Office Snapshot Viewer ActiveX control allows remote attackers to download arbitrary files to a client machine」
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2463
http://gizliilimlerhazinesi.com/images/getexe.php
http://gizliilimlerhazinesi.com/images/pdf.php
一段目のサイトはfast-fluxの仕組みで構成されています。下記はdigの結果の一例ですが、リクエストのたびに異なるアドレスが含まれますので、世界中のたくさんのbotがサイトの構成要素とされています。ブロードバンド回線に接続されているPCですね。日本のものも何件か含まれます。
;update.microsoft.com.hilkij.com. IN A ;; ANSWER SECTION: update.microsoft.com.hilkij.com. 300 IN A 84.126.129.173 update.microsoft.com.hilkij.com. 300 IN A 86.133.174.144 update.microsoft.com.hilkij.com. 300 IN A 87.97.50.124 update.microsoft.com.hilkij.com. 300 IN A 95.79.23.113 update.microsoft.com.hilkij.com. 300 IN A 190.19.196.244 update.microsoft.com.hilkij.com. 300 IN A 190.82.54.68 update.microsoft.com.hilkij.com. 300 IN A 190.100.180.34 update.microsoft.com.hilkij.com. 300 IN A 190.190.48.52 update.microsoft.com.hilkij.com. 300 IN A 200.77.205.199 update.microsoft.com.hilkij.com. 300 IN A 61.205.187.253 update.microsoft.com.hilkij.com. 300 IN A 67.203.141.246 update.microsoft.com.hilkij.com. 300 IN A 76.97.133.144 update.microsoft.com.hilkij.com. 300 IN A 78.40.139.120 update.microsoft.com.hilkij.com. 300 IN A 78.88.220.69 update.microsoft.com.hilkij.com. 300 IN A 84.122.58.149 ;; AUTHORITY SECTION: hilkij.com. 300 IN NS ns1.hiringstaffing.net. hilkij.com. 300 IN NS ns1.job-depart.com. hilkij.com. 300 IN NS ns2.hiringstaffing.net. hilkij.com. 300 IN NS ns2.job-depart.com. ;; ADDITIONAL SECTION: ns1.hiringstaffing.net. 300 IN A 67.223.241.59
Domain Name: HILKIJ.COM Registrar: NAMEBAY Whois Server: whois.namebay.com Referral URL: http://www.namebay.com Name Server: NS1.HIRINGSTAFFING.NET Name Server: NS1.JOB-DEPART.COM Status: ok Updated Date: 26-jun-2009 Creation Date: 25-jun-2009 Expiration Date: 25-jun-2010 Domain Name : HILKIJ.COM Created On : 2009-06-26 Expiration Date : 2010-06-26 Status : ACTIVE Registrant Name : Eileen Stahl Registrant Street1 : 243A FM 474 Registrant City : Boerne Registrant State/Province : US Registrant Postal Code : 78006 Registrant Country : US
とりあえずざっくりと、構成要素のbotのASと国の例。
190.82.54.68 190.82.32/19 AS7418 CL 190.100.180.34 190.100.128.0/18 AS22047 CL 190.190.48.52 190.190.32.0/19 AS10481 AR 200.77.205.199 200.77.192/20 AS28554 MX 61.205.187.253 61.205.128.0/18 AS9617 JP 67.203.141.246 67.203.128.0/20 AS7829 US 76.97.133.144 76.97.0.0/16 AS7725 US 78.40.139.120 78.40.139.0/24 AS39505 BG 78.88.220.69 78.88.216.0/21 AS29314 PL 84.122.58.149 84.122.0.0/16 AS6739 ES 84.126.129.173 84.126.0.0/16 AS6739 ES 86.133.174.144 86.128.0.0/12 AS2856 GB 87.97.50.124 87.97.0.0/17 AS12301 HU 95.79.23.113 95.79.0.0/19 AS42682 RU 190.19.196.244 190.18/15 AS10318 AR
fast-fluxの対策は基本的にドメインベースで実施するしかないですね。
サイトのアドレス ≒fast-flux構造のサイトのアドレス ≒botのアドレス ≒接続の度に動的に変化するブロードバンドユーザーのPCのアドレス
なので、Route object的には各社のブロードバンドサービスのpoolアドレスになってしまいます。ホスト単位で考えても動的アドレスですので次の瞬間にはぜんぜん無関係なユーザーが使っているわけですし。これをIPアドレスベースでブロックするのはつらいです。それがfast-fluxの特徴の一つかなと。
リダイレクトされる先はここ。
gizliilimlerhazinesi.com. 300 IN A 84.51.21.87 ;; AUTHORITY SECTION: gizliilimlerhazinesi.com. 300 IN NS ns1.isimtescil.net. gizliilimlerhazinesi.com. 300 IN NS ns2.isimtescil.net. ;; ADDITIONAL SECTION: ns1.isimtescil.net. 300 IN A 84.51.21.162 ns2.isimtescil.net. 300 IN A 84.51.21.161
Domain Name: GIZLIILIMLERHAZINESI.COM Registrar: FBS INC. Whois Server: whois.isimtescil.net Referral URL: http://www.isimtescil.net Name Server: NS1.ISIMTESCIL.NET Name Server: NS2.ISIMTESCIL.NET Status: ok Updated Date: 24-apr-2009 Creation Date: 23-feb-2009 Expiration Date: 23-feb-2010
inetnum: 84.51.21.0 - 84.51.21.255 netname: FBS_4 descr: FBS country: TR admin-c: FT1665-RIPE tech-c: NT674-RIPE status: ASSIGNED PA mnt-by: mnt-teletek changed: murat.celik@teletektelekom.com 20070108 source: RIPE
さて、とりあえず使い捨てられていくドメインのバリエーションを書いてみますが、目が痛くなります、、、ドメインを作る方も使い捨てだから中には間違ったり、アドレス登録しないまま忘れ去られていくドメインも多いんじゃないでしょうか?ま、ちゃんと利用されなくてもそれはそれで、おとりとかダミーという効果や、ブラックリストをあふれさせる効果を生むんでしょうね。
ま、典型的なフィッシングの手法です。
update.microsoft.com.11HILF.COM update.microsoft.com.11HILF.NET update.microsoft.com.11f1lk1.com update.microsoft.com.11f1lk1.net update.microsoft.com.11f1lkh.com update.microsoft.com.11f1lkh.net update.microsoft.com.11f1lki.com update.microsoft.com.11f1lki.net update.microsoft.com.11f1lkj.com update.microsoft.com.11f1lkj.net update.microsoft.com.11f1lkl.com update.microsoft.com.11f1lkl.net update.microsoft.com.11hilf.com update.microsoft.com.11hilf.net update.microsoft.com.1iki1.com update.microsoft.com.1iki1.net update.microsoft.com.1ikij.com update.microsoft.com.1ikij.net update.microsoft.com.1ikik.com update.microsoft.com.1ikik.net update.microsoft.com.1ikil.com update.microsoft.com.1ikil.net update.microsoft.com.1lj1ki1.com update.microsoft.com.1ljfki1.com update.microsoft.com.1lji1i1.com update.microsoft.com.1ljik11.com update.microsoft.com.1ljiki1.com update.microsoft.com.1llijk.com update.microsoft.com.1llijk.net update.microsoft.com.HFHILF.COM update.microsoft.com.HFHILF.NET update.microsoft.com.ILLIHIL.COM update.microsoft.com.ILLIHIL.NET update.microsoft.com.feikl1.com update.microsoft.com.feikl1.net update.microsoft.com.fekki1.com update.microsoft.com.fekki1.net update.microsoft.com.fekkil.com update.microsoft.com.fekkil.net update.microsoft.com.fekkl1.com update.microsoft.com.fekkl1.net update.microsoft.com.felkl1.com update.microsoft.com.felkl1.net update.microsoft.com.fiflil.com update.microsoft.com.fiflil.net update.microsoft.com.filiil1.net update.microsoft.com.hfhilf.com update.microsoft.com.hfhilf.net update.microsoft.com.hhili.com.mx update.microsoft.com.hhilil.com update.microsoft.com.hhilil.net update.microsoft.com.hhill1.com update.microsoft.com.hhill1.net update.microsoft.com.hhillh.com update.microsoft.com.hhillh.net update.microsoft.com.hhilli.com update.microsoft.com.hhilli.net update.microsoft.com.hhillj.com update.microsoft.com.hhillj.net update.microsoft.com.hiklij.net update.microsoft.com.hilkij.net update.microsoft.com.hillij.com update.microsoft.com.hillij.net update.microsoft.com.hillik.net update.microsoft.com.hillkj.net update.microsoft.com.i11lih11.net update.microsoft.com.i11lih1h.com update.microsoft.com.i11lih1i.net update.microsoft.com.i11lih1l.net update.microsoft.com.i11lihff.com update.microsoft.com.i11lihhf.net update.microsoft.com.i11lihjl.com update.microsoft.com.iilj1k.com update.microsoft.com.iilj1k.net update.microsoft.com.iilji1.com update.microsoft.com.iilji1.net update.microsoft.com.iiljik.com update.microsoft.com.iiljik.net update.microsoft.com.iiljil.com update.microsoft.com.iiljil.net update.microsoft.com.iiljlk.com update.microsoft.com.iiljlk.net update.microsoft.com.ijj1hj1.com update.microsoft.com.ijj1hj1.net update.microsoft.com.ijj1hjf.com update.microsoft.com.ijj1hji.com update.microsoft.com.ijj1hji.net update.microsoft.com.ijj1hjl.com update.microsoft.com.ijj1hjl.net update.microsoft.com.ijj1ifl.net update.microsoft.com.ijlijj1.net update.microsoft.com.ijlijjh.net update.microsoft.com.ijlijji.com update.microsoft.com.ijlijl1.com update.microsoft.com.il1if1.com.mx update.microsoft.com.ijlfij.com update.microsoft.com.ijlfij.net update.microsoft.com.ijlk1j.net update.microsoft.com.ijlkfj.com update.microsoft.com.ijlkfj.net update.microsoft.com.ijlkif.net update.microsoft.com.ijlkij.com update.microsoft.com.ijlkij.net update.microsoft.com.ikillif.com update.microsoft.com.ikillif.net update.microsoft.com.ikl1i1.com update.microsoft.com.ikl1i1.net update.microsoft.com.ikl1ij.com update.microsoft.com.ikl1ij.net update.microsoft.com.ikl1il.com update.microsoft.com.ikl1il.net update.microsoft.com.ikl1l1.com update.microsoft.com.ikl1l1.net update.microsoft.com.ikl1lj.com update.microsoft.com.ikl1lj.net update.microsoft.com.il1if1.com.mx update.microsoft.com.il1ifi.com.mx update.microsoft.com.il1il1.com.mx update.microsoft.com.il1ilf.com.mx update.microsoft.com.il1ili.com.mx update.microsoft.com.il1lhh.com update.microsoft.com.il1lhh.net update.microsoft.com.il1lkh.com update.microsoft.com.il1lkh.net update.microsoft.com.ilfh1l1.com update.microsoft.com.ilfiikl.com update.microsoft.com.ilfiikl.net update.microsoft.com.ilfijkl.com update.microsoft.com.ilfijkl.net update.microsoft.com.ilfl1i1.com update.microsoft.com.ilfl1i1.net update.microsoft.com.ilfl1l1.com update.microsoft.com.ilfl1l1.net update.microsoft.com.iljihli.com.mx update.microsoft.com.iljili1.com update.microsoft.com.iljilil.net update.microsoft.com.iljill1.com update.microsoft.com.iljlli1.com update.microsoft.com.ilkfhl.com update.microsoft.com.ilkih1.com update.microsoft.com.ilkihf.com update.microsoft.com.ilkihi.com update.microsoft.com.ilkihl.com update.microsoft.com.ill1ki1.com update.microsoft.com.ill1ki1.net update.microsoft.com.ill1kil.com update.microsoft.com.ill1kil.net update.microsoft.com.ill1kj1.com update.microsoft.com.ill1kj1.net update.microsoft.com.illih1l.com update.microsoft.com.illih1l.net update.microsoft.com.illihfl.com update.microsoft.com.illihfl.net update.microsoft.com.illihi1.com update.microsoft.com.illihi1.net update.microsoft.com.illihil.com update.microsoft.com.illihil.net update.microsoft.com.illikj1.com update.microsoft.com.illikj1.net update.microsoft.com.illjik1.com update.microsoft.com.illjik1.net update.microsoft.com.illjikl.com update.microsoft.com.illjikl.net update.microsoft.com.illkil.com.mx update.microsoft.com.illl1i1.com update.microsoft.com.illl1i1.net update.microsoft.com.illlhi1.com update.microsoft.com.illlhi1.net update.microsoft.com.illlkh.com update.microsoft.com.illlkh.net update.microsoft.com.jikikfi.com update.microsoft.com.jikikfi.net update.microsoft.com.jikikj1.com update.microsoft.com.jikikjf.com update.microsoft.com.jikikjf.net update.microsoft.com.jikikji.com update.microsoft.com.jikikji.net update.microsoft.com.jikikjl.com update.microsoft.com.jikikjl.net update.microsoft.com.jikikli.com update.microsoft.com.jikikli.net update.microsoft.com.k1fli1.com update.microsoft.com.k1fli1.net update.microsoft.com.k1flif.com update.microsoft.com.k1flif.net update.microsoft.com.k1flih.com update.microsoft.com.k1flih.net update.microsoft.com.k1flii.com update.microsoft.com.k1flii.net update.microsoft.com.k1flj1.net update.microsoft.com.kiffi1.net update.microsoft.com.kiffil.com.mx update.microsoft.com.kil1i1.com update.microsoft.com.kilji1.net update.microsoft.com.kill1k.com update.microsoft.com.kill1k.net update.microsoft.com.killi1.com update.microsoft.com.killi1.net update.microsoft.com.killik.net update.microsoft.com.lifl1i.com update.microsoft.com.liflh1.com update.microsoft.com.liflh1.net update.microsoft.com.liflhi.com update.microsoft.com.liflhi.net update.microsoft.com.liljh1.com update.microsoft.com.liljh1.net update.microsoft.com.lillh1.com update.microsoft.com.lillh1.net update.microsoft.com.llik1i.com update.microsoft.com.llik1i.net update.microsoft.com.llikh1.com update.microsoft.com.llikh1.net update.microsoft.com.llikhf.com update.microsoft.com.llikhf.net update.microsoft.com.llikhi.com update.microsoft.com.llikhi.net
by jyake