cnドメインを利用した cocacola , income ,pepsi インジェクション
Published: 2009/06/09
今年の初めから続く「Acrobat(PDF)」「Fash(SWF)」の脆弱性を狙う攻撃があります。利用されるホスティングサービスやその手法からインジェクションに特化しない別の攻撃グループとの関連性が気になって追記しようと思っていたものですが、インジェクションに偏ってきたようにも見えるのでgumblarとも関連してるのかなぁ。。過去に書いた関連する記事はこれです。
- 1/6「pharmacy系botnet」
- 3/23「Malicious PDF Server injection」
特徴はそのURLに含まれる単語「cocacola」「income」「pepsi」です。
個々に簡単に説明すると、
まず一つ目が「cocacola系」。
インジェクションされるURLはこのような感じ。
*****.cn/in.cgi?cocacola## (##は任意の数字)
実際にはインジェクションされるだけではなく、スパムメールや、掲示板やコメント欄への書き込みなどいろいろなところで観測さてています。
このようなスクリプトを食らわされます。
利用されているドメインはこんな感じ。
yourliteseek.cn bestlotron.cn diettopseek.cn filmlifemusicsite.cn betstarwager.cn litetoplocatesite.cn litedownloadseek.cn litetopfindworld.cn x-betstarwager-x.cn
IPアドレスはころころ変わりますが3月ごろには例の「ZlKon」にありました。
二つ目が「income」系。
インジェクションされるURLはこのような感じ。
*****.cn/in.cgi?income## (##は任意の数字)
このようなスクリプトを食らわされます。
利用されているドメインはこんな感じ。
betbigwager.cn betworldwager.cn cheapslotplay.cn coolnameshop.cn cutlot.cn dotcomnameshop.cn homenameregistration.cn hotslotpot.cn litecarfinestsite.cn litecartop.cn litegreatestdirect.cn lotante.cn lotbetworld.cn lotmachinesguide.cn lotultimatebet.cn mediahousenameshopfilm.cn mixante.cn namebuyline.cn superbetfair.cn superlitecarbest.cn thelotbet.cn
もう一つが「pepsi」系。みたままcocacola系の仲間ですね。。一番新目のこれでこの三種類に共通する動作を少し詳しく説明します。
インジェクションされるURLはこんな感じ。
*****.cn:8080/ts/in.cgi?pepsi## (##は任意の数字)
たとえば「mixigroup.cn:8080/ts/in.cgi?pepsi##」にアクセスすると、
こんな302応答でクッキーによるドメイン指定「traffcount.cn」と別サイト「findbigmoneygame.cn」へのジャンプを行わせます。
ちなみに「mixigroup.cn」も「findbigmoneygame.cn」も同じIPアドレス「87.106.103.122」です。(と思ったら翌日には213.165.80.179)
同じIPアドレスですが当然「findbigmoneygame.cn」というドメインからしか以下のダウンロードは実行できません。いわゆるドメインベースのバーチャルホスティングですね。IPアドレスは同じでもドメインが違うので別サイトです。
そのサイトからいつものこんなスクリプトを食らわされて、
解読するとこうなります。
同じですね。
で、利用されていたドメイン。
hugepremium.cn technologybigtop.cn hugebest.cn toplitesite.cn findbigboob.cn mixreleasegroup.cn bestnameshop.cn mixigroup.cn compoundcapitolgroup.cn
IPアドレスはすべて前述の「87.106.103.122」。(と思ったら翌日には213.165.80.179に変更)
inetnum: 87.106.100.0 - 87.106.103.255 netname: SCHLUND-CUSTOMERS descr: 1&1 Internet AG country: GB admin-c: IPAD-RIPE tech-c: IPOP-RIPE remarks: INFRA-AW remarks: in case of abuse or spam, please mailto: abuse@oneandone.net status: ASSIGNED PA notify: ripe-role@oneandone.net mnt-by: AS8560-MNT changed: ncc@schlund.net 20061129 changed: ripe-role@oneandone.net 20090528 source: RIPE
inetnum: 213.165.80.0 - 213.165.95.255 netname: SCHLUND-CUSTOMERS descr: 1&1 Internet AG country: DE admin-c: IPAD-RIPE tech-c: IPOP-RIPE remarks: INFRA-AW remarks: in case of abuse or spam, please mailto: abuse@oneandone.net status: ASSIGNED PA notify: ripe-role@oneandone.net mnt-by: AS8560-MNT changed: ncc@schlund.net 20080306 changed: ripe-role@oneandone.net 20090528 source: RIPE
Domain Name: mixigroup.cn ROID: 20081108s10001s82359788-cn Domain Status: clientTransferProhibited Registrant Organization: Raymond Keaton Registrant Name: Raymond Keaton Administrative Email: Keaton@cybernauttech.com Sponsoring Registrar: Name Server:ns1.freednshostway.com Name Server:ns2.freednshostway.com Registration Date: 2008-11-08 16:08 Expiration Date: 2009-11-08 16:08
Domain Name: findbigmoneygame.cn ROID: 20081122s10001s80572550-cn Domain Status: clientTransferProhibited Registrant Organization: Michelle Rea Registrant Name: Michelle Rea Administrative Email: rea@cybernauttech.com Sponsoring Registrar: Name Server:ns1.freednshostway.com Name Server:ns2.freednshostway.com Registration Date: 2008-11-22 23:45 Expiration Date: 2009-11-22 23:45
以前書いた”ドメイン登録は中国のレジストラで取得されていて、レジストラントは「Scott Bell」「Raymond Keaton」「Michelle Rea」さんの三人のどれかで取得されているのが特徴です。”に変化はないかな?
共通する特徴をまとめると
- 302応答によるリダイレクト、クッキーでのドメイン操作。
- 同一IPの別ドメインにリダイレクトされる
- サーバーによりアクセス制御されていて、同じIPアドレスからの二回目以降のダウンロード要求は無視される。
- pdf、swfともに高頻度に更新される。
- ドメインは使い捨て(最近はIPアドレスを変更することによって以前よりは長めに利用)
検体は、たとえばこれを書いている時点ではこんな感じでした。
で、たぶんですがもともとこの攻撃に気づいた経緯からも、この三種類以外にも別のインジェクションURLがあると思います。
by jyake