beladen.net , shkarkimi.net , googleanalytlcs.net
Published: 2009/06/06
gumblar関連の攻撃自体はおさまったかと思っているのですが、その後たくさんニュースが流れてますね。攻撃継続話や新たな攻撃話なんですが、その中の一つで、ウェブセンスさんの情報をソースとしたニュースに引っかかったのでちょっとしらべてみました。
「Mass Compromise - Beladen(ウェブセンス)」
「難読化を繰り返して検出を困難に」――工夫を凝らすWebウイルス (ITpro)
「beladen.net」ですが、ニュースを見た時にはDNSのAレコード情報がなくなっていました。
Whois情報からも2009/6/2にclientHoldされたのだと思います。作成されたのも2008/6/6という古めのドメインでした。レジストラがDirectiというだけで怪しんでしまいます。レジストラントはイタリアの方ですね。
Domain Name: BELADEN.NET Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM Whois Server: whois.PublicDomainRegistry.com Referral URL: http://www.PublicDomainRegistry.com Name Server: NS1.SUSPENDED-DOMAIN.COM Name Server: NS2.SUSPENDED-DOMAIN.COM Status: clientDeleteProhibited Status: clientHold Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 02-jun-2009 Creation Date: 06-jun-2008 Expiration Date: 06-jun-2010
Domain Name: BELADEN.NET Registrant: Quadlane Mario Russo (mr@cerinc.org) Via Zannoni, 117 Terragnolo Trento,38060 IT Tel. +39.03471684723 Creation Date: 06-Jun-2008 Expiration Date: 06-Jun-2010
リアルタイムの情報はもう遅いというわけで、検知システムの過去情報をちょっと探ってみたところ、2009/5/2 23:00ごろから2009/5/31 16:00ごろまでの期間で関連するドメインへの通信が見つかりました。
こんだけバリエーションがありました。
a4394a.beladen.net 8e81b6.beladen.net 3cb063.beladen.net a5646a.beladen.net da41ee.beladen.net 8147e0.beladen.net e75385.beladen.net 0e6047.beladen.net a053db.beladen.net 228c4c.beladen.net 7d2670.beladen.net 26055c.beladen.net e0c53b.beladen.net 756f4c.beladen.net 963a44.beladen.net e43d1b.beladen.net 2b0a74.beladen.net 4159e1.beladen.net d57a16.beladen.net 791442.beladen.net 6c8b04.beladen.net a5fdf5.beladen.net 0ec5e0.beladen.net fdd3c9.beladen.net 932c7b.beladen.net 933101.beladen.net c5e9e9.beladen.net 33d35f.beladen.net 63e50b.beladen.net
これらのドメインで使用されたIPアドレスはこのとおり。ピンときますかね?
88.208.0.183 88.208.1.198 91.207.61.38 91.207.61.39 91.207.61.40 195.62.37.16 213.174.152.2
これはアメリカ
inetnum: 88.208.0.0 - 88.208.7.255 netname: ADVANCEDHOSTERS-MNT descr: ADVANCEDHOSTERS LIMITED country: US admin-c: AH36-RIPE tech-c: AH36-RIPE status: ASSIGNED PA remarks: Send abuse reports to abuse@advancedhosters.com mnt-by: ADVANCEDHOSTERS-MNT mnt-lower: ADVANCEDHOSTERS-MNT mnt-routes: ADVANCEDHOSTERS-MNT source: RIPE changed: ripe@advancedhosters.com 20090422
これはウクライナ
inetnum: 91.207.60.0 - 91.207.61.255 netname: NOVIKOV-NET descr: ISP Nova-NET country: UA org: ORG-INAL1-RIPE admin-c: NOVA-RIPE tech-c: NOVA-RIPE status: ASSIGNED PI notify: boss@ofsc.ru mnt-by: RIPE-NCC-HM-PI-MNT mnt-by: MNT-NOVIKOV mnt-lower: RIPE-NCC-HM-PI-MNT mnt-routes: MNT-NOVIKOV mnt-domains: MNT-NOVIKOV changed: hostmaster@ripe.net 20080930 changed: boss@nn.zp.ua 20081009 source: RIPE
これもウクライナ
inetnum: 195.62.36.0 - 195.62.37.255 netname: GEONIC-NET descr: Geonic.NET Ltd. country: UA org: ORG-GL26-RIPE admin-c: SKS-RIPE tech-c: INV13-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-by: GEONIC-MNT mnt-routes: GEONIC-MNT mnt-domains: GEONIC-MNT changed: invisible@dukenet.odessa.ua 20080311 source: RIPE
これはアメリカ
inetnum: 213.174.152.0 - 213.174.153.255 netname: ADVANCEDHOSTERS-NET descr: Advanced Hosters country: US admin-c: AH36-RIPE tech-c: AH36-RIPE status: ASSIGNED PA remarks: INFRA-AW remarks: Send abuse reports to abuse@advancedhosters.com mnt-by: ADVANCEDHOSTERS-MNT mnt-lower: ADVANCEDHOSTERS-MNT mnt-routes: ADVANCEDHOSTERS-MNT changed: ripe@advancedhosters.com 20090403 source: RIPE
ちなみに同じIPアドレスを「*.shkarkimi.net」が使ってますのでこのドメインも攻撃に利用されているでしょう。
Domain Name: SHKARKIMI.NET Registrar: INTERNET.BS CORP. Whois Server: whois.internet.bs Referral URL: http://www.internet.bs Name Server: NS-CANADA.TOPDNS.COM Name Server: NS-UK.TOPDNS.COM Name Server: NS-USA.TOPDNS.COM Status: clientTransferProhibited Updated Date: 05-jun-2009 Creation Date: 12-may-2009 Expiration Date: 12-may-2010
こちらのドメインは「127.0.0.1」応答になっています。
whois情報から2009/6/5に対策されたんですかね。
で、たぶんこいつは、こんなアクセスを発生させるインジェクションです。
791442.beladen.net/e/ads.php?b=*
リクエスト自体その他にもあるようですが、残念ながらうまく捕獲できてませんでした。なのでここまでしかわかりませんでした。
ただこれって、一年前2008年の3月ごろ話題になっていたRBN関連のインジェクション?と同じものですよね、、、こんなアクセスを発生させるやつ、、、
e.pepato.org /e/ads.php?b=* e.pepato.org /e/ads.php?b=* e.pepato.org /e/e*.html
これは直接捕獲できてないんですが、ブラックリストや各種レポートに載っています。その当時のレポートにも「FTPのアカウントハックでやられたものでは、、」とか書かれていますね。
うーん、自分も「beladen.net」に関しては、リアルタイムに捕捉できていなかったのが残念ですね、調査、解析の仕掛けに改善の余地ありですね。
ただ結局関連するドメインは今現在すべて対策済みでアクセス不能になっています。
うーん、gumblar後新たに流れている情報、ニュースって結局「gumblar.cn」関連が騒がれたので調査したら、たまたま、いままで見逃していた攻撃を発見したってだけなんじゃないかと思ってしまいます。実際のところ、攻撃自体新しいものでもないし、すでに沈静化しているのでは。。。
同時期に発生していたことが見逃されていたこと自体は問題なわけですが、
ニュースで流れているようなものではないと思うのですが、、、
ただ、gumblar関連含めて、これらのことが示唆するのは、実は、今現在は攻撃が次のステージに進んでいて、まだ検出されていない攻撃が行われているかもということですね。。
ま、実際そういうものなのですが、、、
うーん、しかし、、、、、もうちょっと詳しくわかったら追記します。
by jyake