cNotes 検索 一覧 カテゴリ

beladen.net , shkarkimi.net , googleanalytlcs.net

Published: 2009/06/06

gumblar関連の攻撃自体はおさまったかと思っているのですが、その後たくさんニュースが流れてますね。攻撃継続話や新たな攻撃話なんですが、その中の一つで、ウェブセンスさんの情報をソースとしたニュースに引っかかったのでちょっとしらべてみました。

「Mass Compromise - Beladen(ウェブセンス)」

「難読化を繰り返して検出を困難に」――工夫を凝らすWebウイルス (ITpro)

「beladen.net」ですが、ニュースを見た時にはDNSのAレコード情報がなくなっていました。

Whois情報からも2009/6/2にclientHoldされたのだと思います。作成されたのも2008/6/6という古めのドメインでした。レジストラがDirectiというだけで怪しんでしまいます。レジストラントはイタリアの方ですね。

   Domain Name: BELADEN.NET
   Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A  PUBLICDOMAINREGISTRY.COM
   Whois Server: whois.PublicDomainRegistry.com
   Referral URL: http://www.PublicDomainRegistry.com
   Name Server: NS1.SUSPENDED-DOMAIN.COM
   Name Server: NS2.SUSPENDED-DOMAIN.COM
   Status: clientDeleteProhibited
   Status: clientHold
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Updated Date: 02-jun-2009
   Creation Date: 06-jun-2008
   Expiration Date: 06-jun-2010
 Domain Name: BELADEN.NET 
 
 Registrant:
    Quadlane
    Mario Russo        (mr@cerinc.org)
    Via Zannoni, 117
    Terragnolo
    Trento,38060
    IT
    Tel. +39.03471684723
 
 Creation Date: 06-Jun-2008  
 Expiration Date: 06-Jun-2010

リアルタイムの情報はもう遅いというわけで、検知システムの過去情報をちょっと探ってみたところ、2009/5/2 23:00ごろから2009/5/31 16:00ごろまでの期間で関連するドメインへの通信が見つかりました。

こんだけバリエーションがありました。

 a4394a.beladen.net
 8e81b6.beladen.net
 3cb063.beladen.net
 a5646a.beladen.net
 da41ee.beladen.net
 8147e0.beladen.net
 e75385.beladen.net
 0e6047.beladen.net
 a053db.beladen.net
 228c4c.beladen.net
 7d2670.beladen.net
 26055c.beladen.net
 e0c53b.beladen.net
 756f4c.beladen.net
 963a44.beladen.net
 e43d1b.beladen.net
 2b0a74.beladen.net
 4159e1.beladen.net
 d57a16.beladen.net
 791442.beladen.net
 6c8b04.beladen.net
 a5fdf5.beladen.net
 0ec5e0.beladen.net
 fdd3c9.beladen.net
 932c7b.beladen.net
 933101.beladen.net
 c5e9e9.beladen.net
 33d35f.beladen.net
 63e50b.beladen.net

これらのドメインで使用されたIPアドレスはこのとおり。ピンときますかね?

 88.208.0.183
 88.208.1.198
 91.207.61.38
 91.207.61.39
 91.207.61.40
 195.62.37.16
 213.174.152.2

これはアメリカ

 inetnum:        88.208.0.0 - 88.208.7.255
 netname:        ADVANCEDHOSTERS-MNT
 descr:          ADVANCEDHOSTERS LIMITED
 country:        US
 admin-c:        AH36-RIPE
 tech-c:         AH36-RIPE
 status:         ASSIGNED PA
 remarks:	Send abuse reports to abuse@advancedhosters.com
 mnt-by:         ADVANCEDHOSTERS-MNT
 mnt-lower:      ADVANCEDHOSTERS-MNT
 mnt-routes:     ADVANCEDHOSTERS-MNT
 source:         RIPE
 changed:        ripe@advancedhosters.com 20090422

これはウクライナ

 inetnum:        91.207.60.0 - 91.207.61.255
 netname:        NOVIKOV-NET
 descr:          ISP Nova-NET
 country:        UA
 org:            ORG-INAL1-RIPE
 admin-c:        NOVA-RIPE
 tech-c:         NOVA-RIPE
 status:         ASSIGNED PI
 notify:         boss@ofsc.ru
 mnt-by:         RIPE-NCC-HM-PI-MNT
 mnt-by:         MNT-NOVIKOV
 mnt-lower:      RIPE-NCC-HM-PI-MNT
 mnt-routes:     MNT-NOVIKOV
 mnt-domains:    MNT-NOVIKOV
 changed:        hostmaster@ripe.net 20080930
 changed:        boss@nn.zp.ua 20081009
 source:         RIPE

これもウクライナ

 inetnum:        195.62.36.0 - 195.62.37.255
 netname:        GEONIC-NET
 descr:          Geonic.NET Ltd.
 country:        UA
 org:            ORG-GL26-RIPE
 admin-c:        SKS-RIPE
 tech-c:         INV13-RIPE
 status:         ASSIGNED PI
 mnt-by:         RIPE-NCC-HM-PI-MNT
 mnt-lower:      RIPE-NCC-HM-PI-MNT
 mnt-by:         GEONIC-MNT
 mnt-routes:     GEONIC-MNT
 mnt-domains:    GEONIC-MNT
 changed:        invisible@dukenet.odessa.ua 20080311
 source:         RIPE

これはアメリカ

 inetnum:        213.174.152.0 - 213.174.153.255
 netname:        ADVANCEDHOSTERS-NET
 descr:          Advanced Hosters
 country:        US
 admin-c:        AH36-RIPE
 tech-c:         AH36-RIPE
 status:         ASSIGNED PA
 remarks:        INFRA-AW
 remarks:        Send abuse reports to abuse@advancedhosters.com
 mnt-by:         ADVANCEDHOSTERS-MNT
 mnt-lower:      ADVANCEDHOSTERS-MNT
 mnt-routes:     ADVANCEDHOSTERS-MNT
 changed:        ripe@advancedhosters.com 20090403
 source:         RIPE

ちなみに同じIPアドレスを「*.shkarkimi.net」が使ってますのでこのドメインも攻撃に利用されているでしょう。

   Domain Name: SHKARKIMI.NET
   Registrar: INTERNET.BS CORP.
   Whois Server: whois.internet.bs
   Referral URL: http://www.internet.bs
   Name Server: NS-CANADA.TOPDNS.COM
   Name Server: NS-UK.TOPDNS.COM
   Name Server: NS-USA.TOPDNS.COM
   Status: clientTransferProhibited
   Updated Date: 05-jun-2009
   Creation Date: 12-may-2009
   Expiration Date: 12-may-2010

こちらのドメインは「127.0.0.1」応答になっています。

whois情報から2009/6/5に対策されたんですかね。

で、たぶんこいつは、こんなアクセスを発生させるインジェクションです。

 791442.beladen.net/e/ads.php?b=*

リクエスト自体その他にもあるようですが、残念ながらうまく捕獲できてませんでした。なのでここまでしかわかりませんでした。

ただこれって、一年前2008年の3月ごろ話題になっていたRBN関連のインジェクション?と同じものですよね、、、こんなアクセスを発生させるやつ、、、

 e.pepato.org /e/ads.php?b=*
 e.pepato.org /e/ads.php?b=*
 e.pepato.org /e/e*.html

これは直接捕獲できてないんですが、ブラックリストや各種レポートに載っています。その当時のレポートにも「FTPのアカウントハックでやられたものでは、、」とか書かれていますね。

うーん、自分も「beladen.net」に関しては、リアルタイムに捕捉できていなかったのが残念ですね、調査、解析の仕掛けに改善の余地ありですね。

ただ結局関連するドメインは今現在すべて対策済みでアクセス不能になっています。

うーん、gumblar後新たに流れている情報、ニュースって結局「gumblar.cn」関連が騒がれたので調査したら、たまたま、いままで見逃していた攻撃を発見したってだけなんじゃないかと思ってしまいます。実際のところ、攻撃自体新しいものでもないし、すでに沈静化しているのでは。。。

同時期に発生していたことが見逃されていたこと自体は問題なわけですが、

ニュースで流れているようなものではないと思うのですが、、、

ただ、gumblar関連含めて、これらのことが示唆するのは、実は、今現在は攻撃が次のステージに進んでいて、まだ検出されていない攻撃が行われているかもということですね。。

ま、実際そういうものなのですが、、、

うーん、しかし、、、、、もうちょっと詳しくわかったら追記します。

[カテゴリ:インジェクション観察日記]

by jyake