Web改ざんの流行
Published: 2008/12/23
11月中旬から続いているweb改ざん、インジェクションによる誘導がまた盛り上がっているようです。
たくさんあるのですが、その中でも多そうなのがこんなのです。
s1.cawjb.com/*.js s.cawjb.com/*.js s.ardoshanghai.com/*.js c.nuclearr3.com/css/*.js jpdog.3322.org/*.asp
これらのURLは以前から利用されていて、何段階か変化したあと12月に利用されているURLがこの形というだけです。
気になっているは、11月末ごろは、*.nuclear3.comを利用して埋め込まれていた言語毎に準備されたアクセス解析ページは、12月は別のURLに変更されて継続してインジェクションされてます。これもまだアクセス解析?今後の攻撃に利用するためのデータ収集をここ2ヶ月行ってるってことでしょうか?
s.cawjb.com/jp.js s.cawjb.com/jp.htm 日本用 s.cawjb.com/kr.js s.cawjb.com/kr.htm 韓国用 11月版には英語用があったんですが、12月版にはないようです。
ここで収集された情報が数ヶ月後どんな形の攻撃で利用されるのか興味深いです。
またこれらのサイトにアクセスしただけで攻撃される脆弱性に関してはバリエーションがかなり増えていて12月頭からさらに進化しています。多いところでは20種類弱。ie7の機能が標準で組み込まれていたというのは当然の話でそれ以外も。非常にタイムリー?なツール改良が行われています。われわれ対策側の人間よりもはるかに勤勉です。
機能については後ほど。
by jyake