cNotes 検索 一覧 カテゴリ

cnドメインを利用した cocacola , income ,pepsi インジェクション

Published: 2009/06/09

今年の初めから続く「Acrobat(PDF)」「Fash(SWF)」の脆弱性を狙う攻撃があります。利用されるホスティングサービスやその手法からインジェクションに特化しない別の攻撃グループとの関連性が気になって追記しようと思っていたものですが、インジェクションに偏ってきたようにも見えるのでgumblarとも関連してるのかなぁ。。過去に書いた関連する記事はこれです。

特徴はそのURLに含まれる単語「cocacola」「income」「pepsi」です。

個々に簡単に説明すると、

まず一つ目が「cocacola系」。

インジェクションされるURLはこのような感じ。

 *****.cn/in.cgi?cocacola## (##は任意の数字)

実際にはインジェクションされるだけではなく、スパムメールや、掲示板やコメント欄への書き込みなどいろいろなところで観測さてています。

このようなスクリプトを食らわされます。

利用されているドメインはこんな感じ。

 yourliteseek.cn
 bestlotron.cn
 diettopseek.cn
 filmlifemusicsite.cn
 betstarwager.cn
 litetoplocatesite.cn
 litedownloadseek.cn
 litetopfindworld.cn
 x-betstarwager-x.cn

IPアドレスはころころ変わりますが3月ごろには例の「ZlKon」にありました。


二つ目が「income」系。

インジェクションされるURLはこのような感じ。

 *****.cn/in.cgi?income## (##は任意の数字)

このようなスクリプトを食らわされます。

利用されているドメインはこんな感じ。

 betbigwager.cn
 betworldwager.cn
 cheapslotplay.cn
 coolnameshop.cn
 cutlot.cn
 dotcomnameshop.cn
 homenameregistration.cn
 hotslotpot.cn
 litecarfinestsite.cn
 litecartop.cn
 litegreatestdirect.cn
 lotante.cn
 lotbetworld.cn
 lotmachinesguide.cn
 lotultimatebet.cn
 mediahousenameshopfilm.cn
 mixante.cn
 namebuyline.cn
 superbetfair.cn
 superlitecarbest.cn
 thelotbet.cn

もう一つが「pepsi」系。みたままcocacola系の仲間ですね。。一番新目のこれでこの三種類に共通する動作を少し詳しく説明します。

インジェクションされるURLはこんな感じ。

 *****.cn:8080/ts/in.cgi?pepsi## (##は任意の数字)

たとえば「mixigroup.cn:8080/ts/in.cgi?pepsi##」にアクセスすると、

こんな302応答でクッキーによるドメイン指定「traffcount.cn」と別サイト「findbigmoneygame.cn」へのジャンプを行わせます。

ちなみに「mixigroup.cn」も「findbigmoneygame.cn」も同じIPアドレス「87.106.103.122」です。(と思ったら翌日には213.165.80.179)

同じIPアドレスですが当然「findbigmoneygame.cn」というドメインからしか以下のダウンロードは実行できません。いわゆるドメインベースのバーチャルホスティングですね。IPアドレスは同じでもドメインが違うので別サイトです。

そのサイトからいつものこんなスクリプトを食らわされて、

解読するとこうなります。

同じですね。

で、利用されていたドメイン。

 hugepremium.cn
 technologybigtop.cn
 hugebest.cn
 toplitesite.cn
 findbigboob.cn
 mixreleasegroup.cn
 bestnameshop.cn
 mixigroup.cn
 compoundcapitolgroup.cn

IPアドレスはすべて前述の「87.106.103.122」。(と思ったら翌日には213.165.80.179に変更)

 inetnum:        87.106.100.0 - 87.106.103.255
 netname:        SCHLUND-CUSTOMERS
 descr:          1&1 Internet AG
 country:        GB
 admin-c:        IPAD-RIPE
 tech-c: 	IPOP-RIPE
 remarks:        INFRA-AW
 remarks:        in case of abuse or spam, please mailto: abuse@oneandone.net
 status:         ASSIGNED PA
 notify: 	ripe-role@oneandone.net
 mnt-by:         AS8560-MNT
 changed:        ncc@schlund.net 20061129
 changed:        ripe-role@oneandone.net 20090528
 source:         RIPE
 inetnum:        213.165.80.0 - 213.165.95.255
 netname:        SCHLUND-CUSTOMERS
 descr:          1&1 Internet AG
 country:        DE
 admin-c:        IPAD-RIPE
 tech-c: 	IPOP-RIPE
 remarks:        INFRA-AW
 remarks:        in case of abuse or spam, please mailto: abuse@oneandone.net
 status:         ASSIGNED PA
 notify: 	ripe-role@oneandone.net
 mnt-by:         AS8560-MNT
 changed:        ncc@schlund.net 20080306
 changed:        ripe-role@oneandone.net 20090528
 source:         RIPE
 Domain Name: mixigroup.cn
 ROID: 20081108s10001s82359788-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: Raymond Keaton 
 Registrant Name: Raymond Keaton
 Administrative Email: Keaton@cybernauttech.com
 Sponsoring Registrar: 
 Name Server:ns1.freednshostway.com
 Name Server:ns2.freednshostway.com
 Registration Date: 2008-11-08 16:08
 Expiration Date: 2009-11-08 16:08
 Domain Name: findbigmoneygame.cn
 ROID: 20081122s10001s80572550-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: Michelle Rea 
 Registrant Name: Michelle Rea
 Administrative Email: rea@cybernauttech.com
 Sponsoring Registrar:
 Name Server:ns1.freednshostway.com
 Name Server:ns2.freednshostway.com
 Registration Date: 2008-11-22 23:45
 Expiration Date: 2009-11-22 23:45

以前書いた”ドメイン登録は中国のレジストラで取得されていて、レジストラントは「Scott Bell」「Raymond Keaton」「Michelle Rea」さんの三人のどれかで取得されているのが特徴です。”に変化はないかな?

共通する特徴をまとめると

  • 302応答によるリダイレクト、クッキーでのドメイン操作。
  • 同一IPの別ドメインにリダイレクトされる
  • サーバーによりアクセス制御されていて、同じIPアドレスからの二回目以降のダウンロード要求は無視される。
  • pdf、swfともに高頻度に更新される。
  • ドメインは使い捨て(最近はIPアドレスを変更することによって以前よりは長めに利用)

検体は、たとえばこれを書いている時点ではこんな感じでした。

swf⇒http://www.virustotal.com/analisis/8fa7088e7dae6ff5f9c4f5eaff14de22e2198b28946472486a5045e44d0d5b5d-1244355837

pdf⇒http://www.virustotal.com/analisis/fc4b0883f1f94b5e9d9038c92c647ef8210abbcb13566a3ff62e46b34c8063ab-1244347244

で、たぶんですがもともとこの攻撃に気づいた経緯からも、この三種類以外にも別のインジェクションURLがあると思います。

[カテゴリ:インジェクション観察日記]

by jyake