gumblar.cn から martuz.cn へ

5/15 21:00ごろにgumblar.cnのAレコードの登録がなくなりました。Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、レジストラによる対策ではない？ようなので再度Aレコードが登録される可能性があるので、引き続き注意は必要です。

その後5/16 2:00ごろからあらたなドメインが使われるようになったようです。

 martuz.cn

難読化スクリプトのバリエーションもほとんど変わっていませんが、スクリプト自体はちょっと変更されていて「Chrome」を除外するようになっています。

意図はよくわかりませんが、Vistaを使っているか、XPを使っていてもChromeを使っていればこのスクリプトから除外されるということになります。前回も言いましたが、まさかOS乗り換えやブラウザ乗り換えを後押しする意図ではないでしょうが、、、

 martuz.cn.              300     IN      A       95.129.145.58
 ;; AUTHORITY SECTION:
 martuz.cn.              300     IN      NS      ns4.everydns.net.
 martuz.cn.              300     IN      NS      ns2.everydns.net.
 martuz.cn.              300     IN      NS      ns3.everydns.net.
 martuz.cn.              300     IN      NS      ns1.everydns.net.
 ;; ADDITIONAL SECTION:
 ns1.everydns.net.       300     IN      A       208.76.56.56

 Domain Name: martuz.cn
 ROID: 20090513s10001s44729746-cn
 Domain Status: ok
 Registrant Organization: Chen
 Registrant Name: Chen
 Administrative Email: chen.poon1732646@yahoo.com
 Sponsoring Registrar: 
 Name Server:ns1.everydns.net
 Name Server:ns2.everydns.net
 Name Server:ns3.everydns.net
 Name Server:ns4.everydns.net
 Registration Date: 2009-05-13 01:40
 Expiration Date: 2010-05-13 01:40

 inetnum:        95.129.144.0 - 95.129.145.255
 netname:        NET-VENTREX
 descr:          Ventrex LLP customers
 country:        GB
 remarks:        **********************************************************
 remarks:        Send abuses, network issues to noc@storeandtrade.co.uk
 remarks:        **********************************************************
 admin-c:        DL3560-RIPE
 tech-c:         DL3560-RIPE
 status:         ASSIGNED PA
 mnt-by:         MNT-VENTREX
 changed:        noc@storeandtrade.co.uk 20090310
 source:         RIPE
 person:         David Lynn
 address:        16/5 West Pilton Rise, Edinburgh, GB, Scotland
 e-mail:         david@storeandtrade.co.uk
 phone:          +441312048700
 nic-hdl:        DL3560-RIPE
 mnt-by:         MNT-VENTREX
 changed:        noc@storeandtrade.co.uk 20090310
 source:         RIPE

ただ、若干の失敗は、このIPアドレスを含む95.129.144.0/23は去年？ロシアやウクライナのCAPTCHA破りサービスに関連しているとしてSBLに登録されています。攻撃者の関連性？

だからといって、すべてのセキュリティ製品がSBLを参照してブロックしてくれているわけではないので安全というわけではないです。

フィルタによる対策に関してですが、

ドメイン、IPアドレスの両方の要素が変化するのは通常の攻撃手法ですので、より安全性を高めるためには、IPベース、ドメインベース両方のフィルタを実施する必要があります。今のところは、アドレスブロックをまるまるフィルタしても通常のインターネット利用には影響ないアドレスを使ってくれてますのでホストでもアドレスブロックでもフィルタしてもいいかと。

今後どのような事態に発展するかわかりませんが、他の攻撃と同様に、よく見るサイトが運営されているホスティングサービスに混在されるようになってしまうと、アドレスブロックをまるまるフィルタするとそのホスティングサービス上で運営されている他のサイトもすべて見えなくなるのでなにかしらの支障がでてくるようになりますので、利用者の立場ごとの判断が必要になるかもしれませんね。ま、いつも見ていたサイトを見ることを我慢するほうが、被害者になるよりはましですよね。

[カテゴリ:インジェクション観察日記]

by jyake